Verbraucherschutzgutachten: Was die nächste Bundesregierung für die Nutzersouveränität tun kann

So könnte es gehen: Ein Beratungsgremium des Justizministeriums hat umfangreiche Vorschläge vorgelegt, wie Nutzern mehr digitale Souveränität ermöglicht werden kann. Unter anderem wiederholt das Gremium seine Forderung nach einem Audit für algorithmische Entscheidungsverfahren und regt die Schaffung von Datenportalen an, mit denen Nutzer ihre Datenspuren kontrollieren können.

CC-BY-SA 2.0 stanjourdan

Egal ob Datenschutz, freies Wissen oder Algorithmen – es gibt einen Begriff, ohne den kommt keine gesellschaftliche Debatte um die Gestaltung des digitalen Wandels aus: Souveränität. Digital souveräne Nutzer sind das Phantom der Digitalethik. Alle reden darüber, aber die wenigsten können sagen, wie sie eigentlich konkret aussehen sollen. Ein Beratungsgremium des Bundesministeriums für Justiz und Verbraucherschutz legte jüngst ein Gutachten [PDF] vor, in dem der Begriff etwas mit Leben gefüllt wird. Der „Sachverständigenrat für Verbraucherfragen“ (SVRV) macht in diesem Zusammenhang gleich eine ganze Reihe von politischen Vorschlägen, an denen eine neue Bundesregierung nicht vorbeikommen wird – zumindest dann nicht, wenn sie von sich behauptet, etwas für mehr Vertrauen in der digitalen Welt tun zu wollen.

Kontrollverlust als Normalzustand

Bereits vor zehn Jahren schrieben wir hier im Blog über Versuche des Verbraucherzentrale Bundesverbands, digitale Souveränität zu fördern. Die Entwicklung ging seitdem in die entgegengesetzte Richtung. Viele Menschen fühlen eine gewisse Hilflosigkeit in Anbetracht der Abhängigkeit und Unübersichtlichkeit von Informations- und Kommunikationstechnologie sowie der Rücksichtslosigkeit vieler Unternehmen.

Kaum etwas veranschaulicht das so sehr wie das viel zitierte Privatsphäre-Paradox: Obwohl Privatsphäre als wichtig empfunden wird, übersetzt sich der Wunsch danach bei vielen Menschen nicht in entsprechendes Handeln – zu komplex, zu bequem, zu unmöglich. Obwohl das Vertrauen in die Firmen, die unsere digitale Infrastruktur in Form von Netzen und Diensten betreiben, gering ist, verlässt man sich darauf, dass schon nichts schiefgehen wird – und nimmt das ungute Gefühl des informationstechnischen Kontrollverlusts als Normalzustand in Kauf. Eine repräsentative EU-Umfrage (Eurobarometer, PDF, S. 66) ergab 2015, dass lediglich 32 Prozent der Deutschen ihren Internet- und Telefonanbietern vertrauen; die restliche Internetwirtschaft genoss sogar nur bei 19 Prozent das Vertrauen der Befragten.

Wie schlecht es um die Souveränität von Bürgern und Nutzern im Digitalen tatsächlich steht, verdeutlichte nicht zuletzt die Expertendiskussion bei der Vorstellung des Papieres. Weder der parlamentarische Staatssekretär im Bundesjustizministerium, Gerd Billen, noch Carolin Sibernagl von betterplace.org mochten von sich sagen, wirklich digital souverän zu sein. Einzig Kryptographie-Professor Rüdiger Weis bejahte die Frage von SVRV-Mitglied Gesche Joost. Um diesen Zustand zu erreichen, müsse er jedoch gut zwanzig Prozent seiner Arbeitszeit aufwenden – keine realistische Lösung für die Mehrheitsgesellschaft.

Digitale Souveränität geht nicht ohne Regulierung

Angesichts der komplexen Verbindungen zwischen Mensch und Technologie ist es eine philosophisch durchaus umstrittene Frage, ob Souveränität im Sinne kompletter Selbstbestimmung im Zeitalter der digitalen Vernetzung überhaupt ein realistisches und hilfreiches Ideal ist – oder jemals war. In seiner Funktion als politisches Beratungsgremium wählte der SVRV aber einen pragmatischen Ansatz: Digitale Souveränität lasse sich anhand der vier Leitlinien Wahlfreiheit, Selbstbestimmung, Selbstkontrolle und Sicherheit erschließen, heißt es in dem Gutachten [PDF]. Oder vereinfacht gesagt: „Nutzer sollen nicht das Gefühl haben, dass ihr Leben von der Technik gesteuert wird“, so die Juristin Helga Zander-Hayat vom Sachverständigenrat.

Gerade im Vergleich zum eindimensionalen Souveränitätsverständnis, das Teile der schwarz-roten Bundesregierung in der jüngeren Vergangenheit an Tag legten, ist der mehrschichtige Ansatz des Gremiums jedoch geradezu wohltuend. Die Bundeskanzlerin und andere Kabinettsmitglieder hatten seit vergangenem Jahr verstärkt versucht, Souveränität als Kampfbegriff gegen effektivere (Datenschutz-)Regulierung ins Spiel zu bringen (Merkel: „Ich habe gehört, dass ich Datenschutz jetzt Datensouveränität nennen soll.“). Selbstbestimmung in der digitalen Welt sei vor allem eine Frage des individuellen Könnens. Wenn Nutzer kompetent genug seien und genug Informationen zur Verfügung hätten, könnte man sich weitere Regeln für kommerzielle und staatliche Datenverarbeiter sparen, so die Devise.

Der SVRV entfaltet seine Forderungen stattdessen in drei Handlungsfeldern: Technikgestaltung, Kompetenzen und eben Regulierung. „Digitale Souveränität ist keine individuelle Aufgabe“, stellt SVRV-Mitglied Kirsten Schlegel-Matthies von der Universität Paderborn klar. Nach weitreichenden Vorschlägen für ein Update des Verbraucherschutzrechts legt das von Justiz- und Verbraucherschutzminister Heiko Maas ins Leben gerufene Gremium damit nun eine zweites Dokument mit konkreten Empfehlungen vor.

Datenschutzgrundverordnung vernünftig umsetzen, Algorithmen regulieren, Lehrkräfte qualifizieren

Viele der Anregungen knüpfen an die bereits im Dezember vorgelegten Vorschläge an. Im Bereich Technik empfiehlt der SVRV etwa die Förderung datensparsamer Produkte und eine echte Durchsetzung der Prinzipien Privacy-by-Design und Privacy-by-Default. Beide Ansätze werden von der Datenschutzgrundverordnung (DSGVO) abstrakt vorgeschrieben, bedürfen aber dringend einer Konkretisierung, um tatsächlich Wirkung zu entfalten. Eine Chance, diese zu vorzunehmen, hatte die Große Koalition erst vor wenigen Wochen mit dem neuen deutschen Datenschutzgesetz bewusst verstreichen lassen. Der SVRV fordert, die Einhaltung dieser Prinzipien künftig zur Bedingung für die staatliche Förderung von Technologie-Projekten zu machen.

Auch das mit der DSGVO neu eingeführte Recht auf Datenportabilität müsse konkretisiert werden. Dass Nutzer ihre Daten von einem Anbieter zum anderen mitnehmen können, berge die Chance, ihre Wahlfreiheit und den Wettbewerb zwischen Plattformen zu erhöhen. Hierfür müsse aber ein geeigneter rechtlicher Rahmen geschaffen werden. Gleiches gelte für die Interoperabilität von gleichartigen Diensten: Wie im Mobilfunk sollte es beispielsweise bei Messengern möglich sein, unabhängig vom eigenen Anbieter Nachrichten mit Accounts bei anderen Anbietern auszutauschen. Was sich simpel anhört und auch bei E-Mail-Diensten funktioniert, bedarf entsprechender technischer Standards und rechtlicher Konkretisierungen, die bisher nicht in Reichweite sind.

In Sachen Kompetenzen regen die Sachverständigen zunächst einen „Qualifizierungs-Pakt für Digitale Kompetenz in der Lehrerbildung“ an. Neben Methoden der digitalen Bildung müssten Lehrkräfte auch inhaltlich fit gemacht werden, um die Digitalisierung mit Schülern reflektieren zu können. Darüber hinaus sollten Projekte gefördert werden, die eine „Lotsenfunktion“ übernehmen und „verlässliche Verbraucherinformationen“ bereitstellen: „Der Förderung digitaler Kompetenz außerhalb von Schule und anderen Bildungsinstitutionen kommt angesichts der schnellen Fortentwicklung digitaler Anwendungen und sich ändernder Nutzungsgewohnheiten eine zentrale Rolle zu.“ Es brauche zudem eine gezielte Förderung interdisziplinärer Forschung „über die Auswirkung der Digitalisierung auf die Kognition, Emotion und das soziale Leben von Verbrauchern“.

In Sachen Regulierung wiederholt das Gremium seine Forderung nach mehr Verlässlichkeit und Transparenz für algorithmische Entscheidungssysteme. Firmen müssten zwar nicht alles offenlegen, doch Verbraucher müssten nachvollziehen können, nach welchen Parametern sie kategorisiert und bewertet werden. Außerdem müsse ein Audit-Verfahren entwickelt werden, bei dem ein Expertengremium „Inputs“ und „Outputs“ der algorithmischen Systeme auf Fairness prüfen könne.

Um das Internet of Things sicherer zu machen, empfiehlt das Gremium die Entwicklung technischer Standards, die kontinuierliche Sicherheitsupdates ermöglichen. Auch wenn die Herstellerfirma eines smarten Geräts pleite gehe, müsse durch eine Hinterlegung des Quellcodes beispielsweise sichergestellt werden, dass weiterhin Sicherheitsupdates entwickelt und aufgespielt werden können, etwa durch Open-Source-Communities.

Informationssymmetrie durch Daten-Dashboard

Neben dieser langen Liste macht der Sachverständigenrat zudem einen neuen Vorschlag, den Gesche Joost bei der Vorstellung des Gutachtens ins Zentrum stellte: Die Entwicklung eines „Datenportals“, das Nutzern Souveränität im Umgang mit ihren Daten ermöglichen soll. Es soll Verbrauchern die Chance geben, den Überblick über die eigenen Datenspuren zu behalten und diese zu kontrollieren. Die damit verbundene Hoffnung: Symmetrie zwischen gläsernen Datenproduzenten und intransparenten Datenverarbeitern herstellen. In dem Gutachten heißt es dazu:

Der SVRV empfiehlt die Entwicklung eines verbraucherzentrierten Datenportals (Dashboard) zur Realisierung der individuellen Datensouveränität. Darin hat der Verbraucher Transparenz über die Nutzung (Umfang, Inhalt) seiner individuellen Daten durch die unterschiedlichen Anbieter im Netz und kann sie zentral löschen, ändern und die Zugriffsrechte verwalten.

Ein solches Datenportal könne in Zusammenarbeit von Staat und Wirtschaft entwickelt werden. Der Zugang dazu solle allen Nutzern rechtsverbindlich zugesichert werden. Über diese Punkte hinausgehende Konkretisierungen gibt es bislang jedoch kaum. Man wolle einen ersten Impuls für eine Debatte geben, so Joost. Entsprechend offen sind viele Detailfragen bisher, beispielsweise zur technischen Gestaltung des Portals. So stellt sich nicht nur die Frage, ob es sich um eine komplette Spiegelung aller Daten an einem zentralen Ort handeln soll oder lediglich um einen Überblick anhand von Meta-Informationen.

Mehr als Souveränität?

Offen bleibt auch, wie sich der Vorschlag in die Debatten um ein Eigentumsrecht an Daten oder personenbezogene Daten als offizielles Zahlungsmittel einfügt. Im Gutachten heißt es dazu:

Es gilt zu betonen, dass der Leitgedanke bei der Schaffung eines verbraucherzentrierten Datenportals die beschriebene Lenkung des Datenflusses durch Verbraucher ist. Die Möglichkeit des Handels mit eigenen Daten hingegen sollte bei der Entwicklung des Datenportals nicht im Fokus stehen, sondern nur ein mögliches Szenario für Verbraucher sein.

Eine Monetarisierung von Daten sei für Verbraucher derzeit kaum fair möglich, so das Gremium. Ein von der Open Knowledge Foundation Deutschland für den SVRV angefertigtes Gutachten [PDF] kam unter anderem zu dem Schluss, dass derzeitige Verfahren, mit denen der Wert individueller personenbezogener Datensätze ermittelt wird, ihrer tatsächlichen ökonomischen Bedeutung nicht gerecht wird.

Gänzlich ausschließen möchte der Sachverständigenrat die individuelle Monetarisierung von personenbezogenen Daten also offenbar nicht. Erst vor wenigen Monaten hatte der europäische Datenschutzbeauftragte Giovanni Buttarelli angesichts eines Vorschlags der EU-Kommission eindringlich davor gewarnt, das weiter um sich greifende „Bezahlen mit Daten“ rechtlich zu legitimieren und als Gegenleistung offiziell anzuerkennen. Das Grundrecht auf den Schutz personenbezogener Daten sei mit einer Definition von Daten als Geldäquivalent nicht zu vereinbaren, so Buttarelli. Die ab Mai 2018 anzuwendende Datenschutzgrundverordnung verbietet es explizit, die Erbringung einer Dienstleistung zwingend an die Preisgabe persönlicher Daten zu koppeln.

Der Fokus auf individuelle Souveränität erscheint an dieser Stelle zudem zu eng, weil er dazu verleitet, die kollektive Dimension der Datenwirtschaft auszublenden: Personenbezogene Daten, die einzelne Individuen gerne als Gegenleistung preisgeben mögen, werden im Rahmen von Big-Data-basierten Bewertungs- und Prognoseverfahren schließlich genutzt, um Bewertungskategorien zu bilden und Vergleiche mit anderen Gruppen zu ermöglichen. Das heißt: Auch wenn aufgrund einer komfortablen eigenen Situation keine individuellen negativen Folgen der Datenfreigabe erwartet werden, helfen die eigenen Informationen Unternehmen dabei, weniger gut gestellte Mitmenschen auszuschließen. Forscher warnen deshalb vor einem „Big Data Divide“. Die kleinen alltäglichen Benachteiligungen vermeintlich weniger wertvoller Kunden würden sich bereits heute addieren und so wiederum Chancen auf Änderungen des eigenen Status minimieren.

Als Impuls ist das Gutachten zur digitalen Souveränität insgesamt auf jeden Fall ein Gewinn. Während manche Vorschläge direkt umgesetzt werden können, brauchen die Gedanken zum Datenportal sicher noch eingehende Reflexion. So oder so: Die Parteien, die ab Herbst die neue Bundesregierung stellen, werden gut beraten sein, die Anregungen des Sachverständigenrates aufzugreifen.

2 Ergänzungen

    1. Ich schließe mich deiner Meinung an!

      Es geht hier um Geld, Geld das unsere Politiker schon ihren „Freunden“ (spätere Arbeitgeber) versprochen haben!
      Oder anders ausgedrückt, unsere Politiker haben unsere Daten schon vertickt, weil „Wir“ das genau so wollten und im September werden diese Vögel in ihren Ämtern bestätigt!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.