Ein halbes Jahr ist es her, dass der Datenskandal um Facebook und Cambridge Analytica die Öffentlichkeit erschütterte. Seit knapp vier Monaten ist die Datenschutzgrundverordnung (DSGVO) in Kraft. Was hat sich seitdem getan und wie muss es weitergehen? Dazu haben wir Frederike Kaltheuner befragt. Sie ist bei der britischen Nichtregierungsorganisation Privacy International für die Themen Datenauswertung und Datenschutz zuständig und spricht am Freitag auf unserer Konferenz „Das ist Netzpolitik!“.
Was wir aus dem Fall Cambridge Analytica gelernt haben
netzpolitik.org: Ob wir es gut finden oder nicht: Persönliche Daten werden in der digitalen Gesellschaft mehr und mehr zur Ware. Du kritisierst, dass wir in der Debatte darüber oft nur an Konzerne wie Facebook und Google denken. In deinem Vortrag auf unserer Konferenz willst du deshalb auch die Rolle der weniger sichtbaren Player der Datenindustrie beleuchten. Welche Akteure hat die Öffentlichkeit nicht genug im Blick?
Frederike Kaltheuner: Der Sicherheitsexperte Bruce Schneier hat es einmal sehr schön formuliert: „Bei jedem Artikel über Facebooks unangenehmes Stalker-Verhalten seufzen Tausende von anderen Unternehmen gemeinsam vor Erleichterung auf; darüber, dass Facebook – und nicht sie selbst – im Rampenlicht stehen. Facebook ist zwar einer der wichtigsten Spieler in diesem Bereich, jedoch gibt es unzählige andere Unternehmen, die uns für Profit ausspionieren und manipulieren.“ Mein Team bei Privacy International schaut sich deshalb gerade zwei Akteure genauer an: Databroker, also Firmen, die im großen Stil mit Profilen, Konsumentensegmenten und Daten handeln, und Firmen, die Nutzer in Apps und im Netz systematisch tracken.
netzpolitik.org: Skandale wie der um Facebook und Cambridge Analytica zeigen, dass die Öffentlichkeit weder darüber im Bilde ist, was eine relativ unbekannte Firma wie CA so treibt, noch eine realistische Einschätzung von den Tätigkeiten eines in der Öffentlichkeit stehenden Datenkonzerns wie Facebook hat. Die Veröffentlichungen des Guardian sind jetzt ziemlich genau ein halbes Jahr her. Was haben sie in Europa bewirkt?
Frederike Kaltheuner: Eine ganze Menge! Um nur ein paar Beispiele aus England zu nennen: Der endgültige Untersuchungsbericht liegt zwar noch nicht vor, trotzdem hat die britische Datenschutzbehörde ICO (Information Commissioner’s Office) schon jetzt Abmahnungen an elf politische Parteien erteilt und Strafverfolgung gegen SCL, die Mutterfirma von Cambridge Analytica, eingeleitet. Das ICO hat außerdem angekündigt, Facebook eine Strafe von 500.000 Pfund aufzuerlegen – die Höchststrafe vor Inkrafttreten der DSGVO.
Es geht aber noch viel weiter. Vor den britischen Parlamentswahlen 2017 kaufte die Labour Party Daten von mehr als einer Million junger oder werdender Mütter sowie von deren Kindern von dem Datenbroker Experian. Gesammelt wurden die Daten über den Elternblog Emma’s Diary. Der ICO verhing hierfür eine Strafe von 140.000 Pfund. Die Wahlkommission fordert dringend eine Gesetzesänderung, auch weil bestehende Gesetze viel zu viele Grauzonen für den Online-Wahlkampf lassen. Es gibt also noch viel zu tun. Die Datenschutzbeauftragte Elizabeth Denham hat es ziemlich gut auf den Punkt gebracht: „Das Vertrauen und die Zuversicht in die Integrität unseres demokratischen Prozesses wird beschädigt, wenn der Durchschnittswähler kaum eine Vorstellung davon hat, was hinter den Kulissen ablauft.“ Ich glaube, dieser Punkt ist bei vielen angekommen.
netzpolitik.org: Was hat der Skandal denn im Kernland des Datenkapitalismus, den USA, bewirkt?
Frederike Kaltheuner: In der jüngsten Anhörung im US-Senat fragte Senator Ron Wyden, ob der Schutz der Privatsphäre eine Frage der nationalen Sicherheit ist. Sheryl Sandberg von Facebook und Jack Dorsey von Twitter antworteten beide mit “ja.” Das Framing um die Nationale Sicherheit ist natürlich nicht unproblematisch, die Formulierung dieser Frage ist aber Beleg einer Diskursverschiebung in den USA. Das Recht auf Privatsphäre wird nicht mehr nur als ein rein individualistisches Recht gesehen, das immer auch als ein wenig elitär gilt, sondern es geht zunehmend auch um kollektive Gefahren, zum Beispiel für die Demokratie.
Es ist schwer abzuschätzen, ob und in welcher Form es wirklich ein umfassendes Datenschutzgesetz in den USA geben wird. In all dem dürfen wir auch nicht vergessen, dass der derzeitige „Techslash“ auch als Vorwand genutzt wird, um Plattformen zu unterstellen, dass sie gezielt konservative Stimmen unterdrücken. Die Kritik kommt also von zwei Seiten und mit völlig konträren Motiven. Breitbart ist schon lange kein Fan von Internetkonzernen. Auf der bundesstaatlichen Ebene passiert momentan aber trotzdem sehr viel Positives. Kalifornien hat im Juni dieses Jahres ein Datenschutzgesetz verabschiedet, das Umfassendste seiner Art in den USA. Ein anderer Bundesstaat hat jetzt ein Gesetz zur Regulierung von Datenbrokern verabschiedet. Der Skandal spielt hier natürlich eine Rolle.
netzpolitik.org: Und wie sieht es im globalen Süden aus?
Frederike Kaltheuner: Außerhalb der USA ist die Situation nicht weniger kompliziert. “Fake News” und “Wahlmanipulation” sind perfekte Vorwände, um die Meinungsfreiheit zu unterdrücken und Wahlen ganz grundsätzlich anzufechten. Gleichzeitig ist die Fähigkeit, überhaupt mit Internetkonzernen im Dialog zu stehen, geschweige denn, sie für ihre Rolle zur Rechenschaft zu ziehen, global ziemlich ungleich verteilt. Das ist jetzt mal dahingestellt, aber ich bezweifle stark, dass jede Wahl so sehr untersucht und beobachtet werden wird, wie die anstehenden Midterm-Wahlen in den USA. Wir wissen beispielsweise noch immer nicht genau, was wirklich beiden Nationalwahlen in Kenya vor sich ging.
Großbritannien setzt auf die DSGVO
netzpolitik.org: Regulatorisch hat sich trotz der Empörung und der vollmundigen Ankündigungen zumindest in Deutschland und Europa wenig getan. Alle hofften ja auf die Datenschutzgrundverordnung – selbst Angela Merkel war plötzlich dankbar, auf das von der Union hart bekämpfte Regelwerk verweisen zu können. Wird die DSGVO halten, was viele sich davon versprechen?
Frederike Kaltheuner: Der Kern ist, dass es niemals um eine einzige Firma, oder gar um politische Online-Werbung während wichtiger Wahlkämpfe ging. Cambridge Analytica hat nur gezeigt, wie in undurchsichtigen Datenmärkten, aus denen regelmäßig Bestände gehackt und sensibelste Informationen für Cent-Beträge zum Verkauf geboten werden, auch sensible personenbezogene Daten ohne größere Umstände den Besitzer wechseln. Ich muss immer an die tolle Recherche von Svea Eckert und Andreas Dewes denken, die 2016 unter dem Deckmantel einer erfundenen Marketing-Firma ziemlich problemlos die Pornovorlieben eines Richters und Details über den Medikamentenkonsum eines deutschen Abgeordneten herausfinden konnten.
Um noch mal auf Großbritannien zurückzukommen: es ist schon sehr bedenklich, dass ein Elternblog und Kreditbüros alle mit politischen Daten handeln. All das in Ländern mit Datenschutzgesetzen. Die DSGVO hat in der Tat das Potenzial, diese systemischen Probleme zu bekämpfen. Nicht zuletzt durch höhere Strafen und dadurch, dass das Gesetz auch für Firmen mit Sitz im Ausland gilt. Damit sich etwas ändert, braucht es aber mehr Menschen, NGOs, Journalisten und Verbraucherschutzorganisationen, die das Gesetz nutzen, um ganz gezielt Missbräuche aufzudecken. Entgegen der weitverbreiteten DSGVO-Abmahn-Panik bleiben noch immer selbst grobe Gesetzesverstöße ungeahndet. Ja, die DSGVO ist nicht immer ganz eindeutig, aber einige Dinge sind doch auch sehr eindeutig.
netzpolitik.org: Wie wird die DSGVO denn eigentlich in Großbritannien aufgenommen, wo ihr mit Privacy International euren Sitz habt? Wird die Verordnung trotz Brexit am Horizont umgesetzt?
Frederike Kaltheuner: Ich war diese Woche auf einer Veranstaltung, wo eine Repräsentantin der wichtigsten Industrie-Lobby verkündete, dass die DSGVO immer nur das absolute Minimum sein kann. Das sind natürlich nur Worte, zeigt aber, dass die Stimmung allgemein recht positiv ist. Die Umsetzung der DSGVO war tatsächlich eine Hauptpriorität der britischen Regierung – nicht trotz Brexit, sondern wegen Brexit. Wenn Großbritannien weiterhin mit der EU Handel treiben will – und das beinhaltet 2018 zwangsläufig den Austausch personenbezogener Daten -, dann muss es zeigen, dass es diese Daten adäquat schützen kann.
Allerdings sind wir besorgt, dass die britische Regierung sehr vage formulierte Ausnahmen für sich selbst in Anspruch nimmt, etwa in den Bereichen Einwanderung und nationale Sicherheit. Dadurch fallen viele besonders kritische Anwendungen nicht mehr in den Geltungsbereich des Gesetzes. Doch trotz dieser schwerwiegenden Mängel habe ich den Eindruck, dass Großbritannien das Thema Daten – auch weit über den Datenschutz hinaus – ziemlich proaktiv angeht. Um nur zwei Beispiele zu nennen: die Regierung hat ein Framework für Datenethik verabschiedet und ein Ausschuss zum Thema KI im Oberhaus riet in seinem Abschlussbericht, dass Großbritannien eine Vorreiterrolle in der ethischen KI übernehmen soll. Das sind sehr positive Entwicklungen.
netzpolitik.org: Viel vom Gelingen der DSGVO hängt ja davon, dass die Datenschutzaufsicht das geltende Recht auch durchsetzt. Sind die Behörden deiner Meinung nach stark genug für diese wichtige Rolle?
Frederike Kaltheuner: Natürlich brauchen sie mehr Ressourcen. Die französische Behörde hat 195 Angestellte, der ICO hat in den letzten Monaten massiv eingestellt und hat jetzt über 600 Mitarbeiter.
Wie weiter mit der Daten(schutz)politik?
netzpolitik.org: Die enorme Verunsicherung rund um das Wirksamwerden der DSGVO am 25. Mai hat bei vielen das Gefühl hinterlassen, wir wären ohne die Verordnung womöglich besser dran. Manche haben bis heute den Wunsch, die Uhr einfach zurückzudrehen, weil die negativen die positiven Effekte überwiegen würden. Eine gute Idee?
Frederike Kaltheuner: Nein, natürlich nicht. Aus der Distanz ist dieser deutsche Diskurs sehr sonderbar. Bestehende Gesetze waren aus den 1990ern – also aus seiner Zeit, in der es weder Smartphones, noch Google, Facebook, oder Twitter gab. Dass die Aufsichtsbehörden und das Recht diesen Entwicklungen nicht mehr gewachsen waren, liegt doch auf der Hand. Wir arbeiten mit NGOs aus aller Welt, die zum Teil unter schwierigen Bedingungen dafür kämpfen, dass es überhaupt irgendwelche Gesetze gibt. Für den Einzelnen ist es derzeit extrem schwierig nachzuvollziehen, was mit den eigenen Daten geschieht. Ohne starke Datenrechte wird es fast unmöglich, einflussreiche Unternehmen zur Rechenschaft zu ziehen.
netzpolitik.org: Ob man sie jetzt gut findet oder nicht: Die Datenschutzgrundverordnung ist ein Meilenstein auf dem weiten Feld der Datenpolitik. Gleichzeitig sind die Debatten um die wirtschaftliche Nutzung persönlicher Daten, ihre Konsequenzen und notwendige Grenzen längst nicht am Ende. Was ist deiner Meinung nach zu tun, um die globale Datenindustrie zur Verantwortung zu ziehen?
Frederike Kaltheuner: Hier ein Beispiel: In mehr als der Hälfte der 54 afrikanischen Länder gibt es wenige oder keine Gesetzte zum Schutz der Privatsphäre. Dort wo Gesetze existieren, verfügen nur wenige über Aufsichtsbehörden, die diese auch durchsetzen können. In der Konsequenz heißt das, dass Firmen – von staatlicher Überwachung mal ganz zu schweigen – faktisch ungehinderten Zugang zu sensiblen Daten haben: sexuelle Präferenzen, politische Meinungen etc. Das gilt leider für einen großen Teil der mittlerweile mehr als vier Milliarden Internetnutzer weltweit. Ich halte das für gefährlich.
Unser Eindruck ist, dass besonders invasive Anwendungen oft gezielt dort getestet werden, wo Institutionen und gesetzliche Rahmenbedingungen schwach sind, aber neue Technologien besonders schnell verbreitet und skaliert werden können. Das Mindeste, was wir tun können, ist, unsere eigenen Datenrechte nicht kaputt zu reden, sondern sie nutzen, um eben genau diese globale Datenindustrie zu Rechenschaft zu ziehen.
netzpolitik.org: Brauchen wir neben der sehr allgemeinen DSGVO dafür womöglich auch spezifischere Datenschutzgesetze für unterschiedliche Bereiche, wie es mit der ePrivacy-Verordnung für den Kommunikationssektor angedacht ist?
Frederike Kaltheuner: Ganz unbedingt. Zusammen mit vielen anderen NGOs setzen wir uns für eine starke ePrivacy-Verordnung ein. Ich glaube, es ist aber dennoch wichtig, dass die Zivilgesellschaft über den Tellerrand des Datenschutzes hinausdenkt. Neue Technologien wie Künstliche Intelligenz, aber auch das Internet der Dinge stellen uns vor Herausforderungen, die der Datenschutz allein nicht lösen kann. Auch das Wettbewerbsrecht wird nicht weniger spannend in Zukunft.
netzpolitik.org: Im Herbst veröffentlichst du ein Buch mit dem Titel „Datengerechtigkeit“. Was verbirgt sich hinter dem Begriff und wie kann uns ein solches Konzept helfen?
Frederike Kaltheuner: Es ist der Versuch, weniger individualistisch über Daten und Privatsphäre nachzudenken. Das Buch beschreibt anhand von Beispielen aus aller Welt, wie wir zunehmend durch komplexe und undurchsichtige Systeme vermessen und kategorisiert werden. Dabei werden unsere Datenschatten dazu verwendet, um uns eine Identität zuzuschreiben. Das betrifft uns natürlich alle, doch sind nicht alle gleich in diesem „Wir“. „DatenUNgerechtigkeit“ heißt, dass die negativen Folgen und Risiken oft ungleich verteilt sind. Das Gewicht lastet vor allen auf denjenigen, die sowieso schon benachteiligt sind: sozial wie auch global.
netzpolitik.org: Vielen Dank für das Interview!
Am Freitag, 21. September, findet in der Berliner Volksbühne unsere diesjährige Konferenz „Das ist Netzpolitik“ statt. Von 10:00 bis 18:30 Uhr geht es auf diesem Treffen der digitalen Zivilgesellschaft darum, wie wir alle eine lebenswerte, faire und offene digitale Gesellschaft gestalten können – und um die politischen Kämpfe auf dem Weg dorthin. Neben Vorträgen und Podien gibt es auch ein feines Kunst- und Workshop-Programm. In den Tagen bis zur Konferenz stellen wir euch in dieser Preview-Reihe das Programm vor. Bisher veröffentlicht:
- Vernetzte Dinge und smarte Städte
- Staatliche Überwachung
- Hitzige Debatten um Plattforminhalte
- Mit offenen Zugängen für eine bessere Welt
- Algorithmen, DSGVO und die Zukunft der Datenpolitik
- Science Fiction, Podcasts, Influencer: Wenn Kultur netzpolitisch wird
- Netzpolitische Debatten aus und in Berlin
- Party: Tanztrojaner!
Der Hashtag für die Veranstaltung lautet #14np, denn wir feiern mit dieser Konferenz unser 14-jähriges Bestehen. Kommt vorbei und diskutiert und plant und feiert mit uns!
Ich finde die Datenschutz-Engagierten wirklich gut, Hut ab, was die machen. Auch der Artikel beschreibt ja, wie groß und mächtig die GegnerInnen sind.
Ich verstehe aber wirklich nicht, Privacy International dann doch bei Twitter und sogar bei Facebook einen Account haben. Das ist aus meiner Sicht höchst problematisch.
(Im übrigen verstehe ich nicht, warum sogar der CCC auch einen Twitter-Account inne hat, nun denn).
Übrigens: Das Reichweitenargument lasse ich nicht mehr gelten, es gibt doch genug Alternativen…,aber wenn sogar die Pioniere des Datenschutzes in der Masse nicht nutzen wollen…
Was muss passieren, dass die Datenschützer auf die Tracking-Industrie komplett verzichten?
Sozialarbeit macht man ja auch in den Brennpunkten und wartet nicht darauf, dass die Menschen zu einem ins Nobelviertel kommen.
Gesetze allein reichen nicht. Es bedarf auch einer kontinuierlichen Kontrolle mit effektiven Konsequenzen bei Verstößen.
Beispiel Arbeitsschutz in Deutschland: restriktive Vorschriften auf dem Papier einerseits, in der Einhaltung dieser aber auf dem Stand von Bulgarien – statistisch muss ein Bauunternehmen nur alle 30 Jahre mit einer arbeitsschutzrechtlichen Kontrolle rechnen.
Das sind eben die letzten noch verbliebenen Wachstumsfaktoren im hiesigen Wirtschaftssystem.
Datenreichtum, Lohnzurückhaltung, Personalknappheit bei Aufsichtsbehörden, Manipulation und Täuschung (VW), Konvertierung von Lebensraum in finanzielle Energie (RWE).