Viktor Mayer-Schönberger über DSGVO

"Das wird sich in der Praxis nicht bewähren"

Viktor Mayer-Schönberger, Professor Internet Governance und Regulierung an der Universität Oxford
Viktor Mayer-Schönberger, Professor Internet Governance und Regulierung an der Universität Oxford © Peter van Heesen peter@vanheesen.de
Viktor Mayer-Schönberger im Gespräch mit Dieter Kassel · 25.05.2018
Heute tritt die neue Datenschutz-Grundverordnung der EU in Kraft: Sie räumt Nutzern mehr Rechte zur Kontrolle ihrer Daten ein. Das sei idealistisch gedacht, sagt der Rechtswissenschaftler Viktor Mayer-Schönberger. Er sieht den Staat in der Pflicht.
Der Professor an der Universität Oxford erklärt, nun würden zwar die großen Unternehmen gezwungen, Maßnahmen zu ergreifen, damit wir unsere Daten, die sie über uns gesammelt hätten, einsehen könnten. Aber daraus alleine ergebe sich kein Ausgleich des "Machtungleichgewichts" gegenüber Konzernen wie Google:
"Die Realität im Datenschutz ist dramatisch. Wir haben ein relativ starkes Datenschutzrecht, das durch die Grundverordnung noch einmal geschärft worden ist. Und wir haben eine Datenschutzpraxis, in der die Menschen das Gefühl haben, den großen Datenkraken ausgeliefert zu sein. Und diese Kluft überwindet die Datenschutzgrundverordnung auch nicht."

Quadratur des Kreises

Die Rahmenbedingungen für Datenschutz dürften nicht darauf aufbauen, dass man entweder Informationen für sich behalte oder weitergebe, findet Mayer-Schönberger. Es sei schon wichtig, neue Einsichten über bessere Diagnose- und Behandlungsmöglichkeiten in der Medizin oder bessere Mobilität zu gewinnen:
"Aber gleichzeitig müssen wir sicherstellen, dass wir da nicht Schaden nehmen. Und ich glaube, dass wir hier die scheinbare Quadratur des Kreises lösen müssen, indem wir Unternehmen, die die Daten verwenden, in die Pflicht nehmen, dass wir sie verantwortlich machen für ihr Handeln und dass wir sie verantwortlich machen direkt, dass niemand dabei zu Schaden kommt und nicht darauf vertrauen, dass Betroffene dagegen Klage erheben."

Klagen gegen riesige Datenkraken

Das "Konstrukt dieses individuellen Datenschutzes" sei sehr idealistisch: "Das wird in der Praxis sich nicht bewähren, so wie es sich auch in der Vergangenheit nicht bewährt hat." Nach Ansicht Mayer-Schönbergers müsste Datenschutz so funktionieren wie die Lebensmittelbehörde: "Wir dürfen nicht abhängig sein davon, dass wir immer gegen die riesigen Datenkraken klagen müssen, sondern wir müssen sichergehen können, dass in einer komplexen Gesellschaft wie der unseren diese Funktion der Staat übernimmt." (bth)

Das Interview im Wortlaut:

Dieter Kassel: Das Verhältnis zwischen Menschen wie Ihnen und mir und Konzernen wie Google und Facebook ist ab heute ein anderes, denn heute tritt ja die EU-Datenschutzgrundverordnung in Kraft, und die soll es uns allen ermöglichen, diesen Konzernen, was deren Umgang mit unseren Daten angeht, quasi auf Augenhöhe zu begegnen. Darüber habe ich mich mit Viktor Mayer-Schönberger unterhalten. Er ist Professor für Internet-Governance und -regulierung an der Universität Oxford. Ich habe ihn gefragt, ob das wirklich gelingen kann.
Viktor Mayer-Schönberger: Nein, das wird nicht gelingen. Natürlich werden die großen Unternehmen gezwungen werden, verschiedene Maßnahmen zu setzen, damit wir die Daten, die sie über uns gesammelt haben, einsehen können. Aber daraus allein ergibt sich ein Ausgleichen des Machtungleichgewichtes nicht. Die Realität im Datenschutz ist dramatisch. Wir haben ein relativ starkes Datenschutzrecht, das durch die Grundverordnung noch einmal geschärft worden ist, und wir haben eine Datenschutzpraxis, in der die Menschen das Gefühl haben, den großen Datenkraken ausgeliefert zu sein. Und diese Kluft überwindet die Datenschutzgrundverordnung auch nicht.
Kassel: Sie ist ja der Versuch, bestehende Datenschutzverordnungen in einzelnen europäischen Ländern anzupassen an das digitale Zeitalter. Nun scheint es mir aber so, ich kann jetzt rausfinden, ist meine E-Mail-Adresse gespeichert, sind meine Einkäufe gespeichert und Ähnliches. Aber kann ich wirklich als User Informationen bekommen von den Konzernen, die mich begreifen lassen, was die wirklich über mich wissen und was sie damit tun?
Mayer-Schönberger: Zu einem gewissen Grad schon. Das vielleicht Spannendste überhaupt an der Datenschutzgrundverordnung ist ein Recht auf Datenportabilität. Da kann man dann jene Datenkraken, denen man die Daten gegeben hat, dazu zwingen, dass sie die personenbezogenen Daten in maschinenlesbarer Form wieder zurückgeben.
Warum ist das spannend? Weil man zum Beispiel, wenn man die Bank wechseln möchte, dann die personenbezogenen Daten über Daueraufträge und regelmäßige Überweisungen in maschinenlesbarer Form bekommt, und beim Wechsel das dem neuen Bankdienstleister geben kann. Also insofern wir der oder die Einzelne doch ein Stück weit bemächtigt. Aber das hängt dann schon stark davon ab, wie viele Menschen diese Datenportabilität dann in der Praxis nutzen werden.

Klageweg mit hohem Risiko

Kassel: Aber könnte ich noch weitergehen und diese Datenportabilität nutzen, indem ich persönlich versuche, Ungleichgewichte zwischen großen und kleinen Firmen auszugleichen? Sie haben das Bankenbeispiel gebracht, das ist sehr praktisch. Aber könnte ich zum Beispiel zu Apple sagen, ich möchte, dass ihr die Daten, die ihr über mich habt, weitergebt an ein kleines Startup?
Mayer-Schönberger: Ja, das wäre theoretisch möglich. Ich könnte mir auch vorstellen, dass man die Musikpräferenzen, die Apple über einen gesammelt hat, dann an Spotify weiterleitet oder an einen anderen viel kleineren Anbieter. Aber die Schwierigkeit ist immer, dass es vom Einzelnen und von der Einzelnen abhängt, wie viele Daten da weitergegeben werden und wie stark dieses Ausgleichen des Ungleichgewichts ist.
Und ich hab da meine Bedenken, denn dieses Recht, Daten zu bekommen, ist ja nicht ganz neu. Die Datenportabilität der Grundverordnung macht das klarer und einfacher strukturiert, aber das hatten wir in den bestehenden Datenschutzgesetzen schon heute, und die allerwenigsten haben davon Gebrauch gemacht.
Kassel: Aber das bleibt doch das Problem. Ich muss ja aktiv werden. Wenn ich einfach sage, zeigt mir das, und dann kriege ich nichts gezeigt oder Unverständliches, müsste ich persönlich ja im Prinzip den Klageweg gehen?
Mayer-Schönberger: Ja, dann müssten Sie den Klageweg gehen, und auch das werden wenige tun, denn es gibt im Klageweg wenig zu gewinnen, und verbunden damit ist ein hohes Risiko. Gewinne ich, kann ich die Daten bekommen. Verliere ich, dann muss ich vielleicht meinen Rechtsbeistand in einem langwierigen Prozess gegen ein großes internationales Unternehmen zahlen, und dieses Risiko werden die meisten nicht eingehen.
Das hat auch dazu geführt, dass ich in meinem letzten Buch gefordert habe, dass wir die Datenteilungspflicht einführen müssen, ganz unabhängig davon, ob die Betroffenen das jetzt nachfragen. Wir müssen den großen Datenkraken zu Rande kommen, auch ohne, dass die tausende und hunderttausende Betroffenen die Datenportabilität ausüben.
Kassel: Ich hab dazu eine Utopie: Eine zentrale Datensammelstelle – technisch kann die schon auch dezentral sein, aber ideell eine zentrale –, die die Daten sammelt, natürlich mit den üblichen Einwilligungen der Menschen, von denen diese Daten stammen, und die sind zentral verwaltet. Und wer möchte, ob es nun Google ist oder ein kleiner Betrieb in Linz, hat gemäß der Vorschriften Zugriff, aber keiner besitzt die Daten mehr. Ist das jetzt zu viel Kommunismus, zu viel Utopie?
Mayer-Schönberger: Nein, das ist nicht zu viel Kommunismus. Die große Gefahr ist, dass ich dann wieder eine ganz starke informationelle Machtkonzentration habe, nämlich in dieser einen Organisation, die all diese Daten sammelt. Ich glaube nicht daran, dass man das Datenschutzproblem oder das Informationsungleichgewichtsproblem dadurch löst, dass man eine neue große Datenkrake ins Leben ruft. Ich glaube daran, dass wir dieses Problem lösen müssen, indem wir dezentralisieren, indem wir die Datenmengen aufteilen, sodass nicht eine einzige Institution daraus alle Macht schöpfen kann.

Nicht den Algorithmus transparent machen, sondern die Daten

Kassel: Natürlich wollen die Behörden auch diesen Eindruck nicht einfach so stehen lassen, das überlassen wir jetzt alles den Verbrauchern, wir haben eine neue Grundverordnung, sollen sie klagen, wenn sie nicht zufrieden sind. Es gibt in Europa Stimmen aus der Politik, die sagen, wir wollen, dass zum Beispiel Facebook und andere Konzerne ihre Algorithmen freilegen, uns geben, damit wir kontrollieren können, was die wirklich machen. Ist das nicht technisch ein bisschen Unfug, ich meine, abgesehen von dem gigantischen Aufwand, den das auf Behördenseite bedeuten würde?
Mayer-Schönberger: Absolut. Ich kann den Unfug gut verstehen. Ich habe früher auch geglaubt, dass das eine gute Möglichkeit wäre, bin aber dann von Technikern zu Recht korrigiert worden. Die haben gesagt, die Algorithmen sind immer nur eine sehr temporäre Zusammenfassung von dem, was eine Maschine aus den Daten gerade gelernt hat. Kommen neue Daten hinzu, lernt sie wieder, und der Algorithmus verändert sich. Mache ich also einen Algorithmus irgendwann einmal transparent, kann ich daraus ganz wenig Rückschlüsse schaffen. Das, was wir machen müssen, ist nicht, den Output, also den Algorithmus transparent zu machen, sondern den Input, also die Daten.
Kassel: Sie haben Ihr neues Buch angesprochen. Sie haben schon vor fünf Jahren in Ihrem Buch "Big Data" Daten, Datensammlung als das Öl oder meinetwegen auch das Gold, was auch immer des 21. Jahrhunderts bezeichnet, also wirklich eine der großen wirtschaftlichen Ressourcen. Wie können wir denn überhaupt auf Dauer verhindern, dass diese Ressource tatsächlich nur in der Hand ganz weniger ist und bleibt?
Mayer-Schönberger: Da sprechen Sie ein ganz wichtiges Problem an. Wir haben eine ganz mächtige Ressource, und diese Ressource ist auch nicht so einfach zu kontrollieren. Das heißt, sie kann technisch kontrolliert werden, aber rechtlich ist sie so schwer zu fassen. Das heißt, wir brauchen jetzt die entsprechenden Rahmenbedingungen.
Meines Erachtens können das nicht Datenschutzbedingungen sein, die ganz binär darauf aufbauen, dass ich entweder Informationen weitergebe oder für mich behalte, sondern wir müssen eine Möglichkeit schaffen, in der wir aus den Daten lernen können, ohne dass wir dabei zu Schaden kommen. Es ist ja wichtig, aus den Daten zu lernen, wichtig, neue Einsichten zu gewinnen über bessere Diagnose- und Behandlungsmöglichkeiten in der Medizin, bessere Lernmöglichkeiten im Bereich der Bildung oder bessere Möglichkeiten, Mobilität und selbstfahrende Fahrzeuge zu haben.
Es ist wichtig, daraus zu lernen, aber gleichzeitig müssen wir sicherstellen, dass wir nicht Schaden nehmen. Und ich glaube, dass wir hier diese scheinbare Quadratur des Kreises lösen müssen, indem wir Unternehmen, die die Daten verwenden, in die Pflicht nehmen, dass wir sie verantwortlich machen für ihr Handeln, und dass wir sie verantwortlich machen direkt, dass niemand dabei zu Schaden kommt, und nicht darauf vertrauen, dass Betroffene dagegen Klage erheben.

Datenschutz wie Lebensmittelsicherheit

Kassel: Aber zum Schluss trotzdem die Betroffenen, Millionen von Internetusern auf der Welt, wahrscheinlich Milliarden, aber sagen wir mal im deutschen Sprachraum Millionen haben Dutzende von E-Mails bekommen, in den letzten Tagen auch erst, nicht in den letzten zwei Jahren, wo sie gebeten wurden, einmal auf eine Seite zu wechseln und auf "Ja" zu klicken, damit dann das Unternehmen, das ihnen die E-Mail geschickt hat, mit den Daten weiterhin genau das machen kann, was es bisher getan hat. Ich hab solche Zahlen nicht, würde aber ernsthaft schätzen, in meinem Freundeskreis haben 95 Prozent auf "Ja" geklickt, außer bei den Newslettern, die sie sowieso mal abbestellen wollten. Manchmal frage ich mich, müsste man nicht eigentlich auch die User zu mehr Datenschutz verpflichten?
Mayer-Schönberger: Ja, da sehen wir, dass dieses ganze Konstrukt dieses individuellen Datenschutzes ein sehr idealistisch gedachtes ist. Das wird in der Praxis sich nicht bewähren, so wie es sich auch in der Vergangenheit nicht bewährt hat. Wir tun das ja auch nicht im Bereich der Lebensmittelsicherheit. Wir gehen ja nicht mit einem Chemielabor in den Supermarkt einkaufen und prüfen dort, ob die Waren entsprechend sicher sind, die dort angeboten werden.
Nein, dafür haben wir Regulierungen und Institutionen geschaffen wie die Lebensmittelbehörde, die das für uns übernimmt. Und genau das brauchen wir auch im Datenschutz. Wir dürfen nicht abhängig sein, dass wir immer gegen die riesigen Datenkraken klagen müssen, sondern wir müssen sichergehen können, dass in einer komplexen Gesellschaft wie der unseren diese Funktion der Staat übernimmt.
Kassel: Viktor Mayer-Schönberger, Professor für Internet-Governance und -regulierung an der Universität Oxford, über die EU-Datenschutzgrundverordnung und all das, was darüber hinaus noch zu tun bleibt.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Deutschlandradio Kultur macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
Mehr zum Thema