Wir brauchen ein gemeinsames Mindset zur Nutzung von Daten

© Artem/AdobeStock

In Deutschland sehen wir bei der Datennutzung vor allem die Risiken. Das liegt auch am Ruf der Datenschutzgrundverordnung, sagt Rechtsprofessorin Christine Wendehorst. Die Co-Vorsitzende der Datenethikkommission hofft auf ein neues Mindset, das sich auch auf die Chancen fokussiert.

Frau Prof. Dr. Wendehorst, die Corona-Pandemie hat gezeigt, dass Deutschland in Sachen Digitalisierung und beim Einsatz von Künstlicher Intelligenz (KI) Aufholbedarf hat. Wo liegen die größten Schwierigkeiten, die wir – gedanklich und rechtlich – überwinden müssen?

Wir tendieren in Europa und vor allem in Deutschland dazu, Datennutzung mit etwas potenziell Bedrohlichem zu verbinden. Das gilt insbesondere für die Nutzung personenbezogener Daten und noch einmal verstärkt bei Gesundheitsdaten. Das riesige Potenzial, das gerade in der Nutzung dieser Daten liegt, ist im öffentlichen Bewusstsein dagegen nicht hinreichend verankert. Das haben wir in der Pandemie vielfach gesehen, angefangen bei der Diskussion über Contact-Tracing-Apps bis zur Auswertung von Impfdaten. Bei uns wurde zum Beispiel sehr einseitig kritisiert, dass in Israel Gesundheitsdaten zu Forschungszwecken ausgewertet wurden, was in Europa so gar nicht möglich sei. Nun mag bei der konkreten Weitergabe von Gesundheitsdaten in Israel vieles zu weit gegangen sein. Aber die oft unreflektierte Annahme, dass es per se illegitim oder gar rechtswidrig sei, wenn man mit Gesundheitsdaten Forschung betreibt, macht mir Angst. Das deutet für mich auf ein Mindset hin, welches das Potenzial von Daten nicht richtig begriffen hat und nicht trennen kann, zwischen guter und gefährlicher Datennutzung. Ja, es wird viel Missbrauch mit Daten betrieben, dagegen müssen wir entschlossen vorgehen. Aber wir dürfen nicht alles in einem Topf werfen und die technische Entwicklung verschlafen, weil wir uns auf den Missbrauch fokussieren.

Können Sie dafür ein Beispiel nennen?

Wir ringen europaweit gerade um die Frage, welche Auswirkungen der Impfstatus auf bestimmte Freiheiten einer Person hat. Aber für so eine Entscheidung fehlen uns verlässliche wissenschaftliche Daten. Wir haben keine ausreichenden Studien darüber, ob eine geimpfte Person das Virus an andere Personen weitergeben kann oder nicht. Es gibt Studien aus Israel und auch wenige Studien aus dem Vereinigten Königreich aber praktisch keine Daten aus Europa. Das darf nicht sein. Wenn wir bei Experten nachfragen, warum es keine Daten gibt, hören wir manchmal, das sei in Europa nicht möglich und hören Verweise auf die Datenschutzgrundverordnung (DSGVO) oder auf unsere Regeln zu klinischen Studien. Auch wenn es nur subjektiv empfundene Hindernisse sein mögen, im Ergebnis bedeutet dies, dass wir für solche existenziellen Fragen, wie zum Transmissionsschutz bei Impfungen, keine Datenbasis haben. Offenbar gibt es auch große innere Hemmungen, diese Datenbasis zu schaffen oder zu erschließen.

Warum sind die Menschen hierzulande bereit, für Apps sozialer Netzwerke ihre persönlichen Daten einem US-Unternehmen zu offenbaren, während sie gleichzeitig bei einer deutschen datenschutzkonformen Anwendung wie der Corona-Warn-App Bedenken haben?

Ich bin Juristin und keine Psychologin. Aber nach meiner Einschätzung ist das ein ganzes Bündel von Gründen. Es hat viel damit zu tun, dass wir uns selbst in die Tasche lügen, und mit Bequemlichkeit. Viele Apps sozialer Netzwerke bieten uns grandiose Leistungen, die uns das tägliche Leben enorm erleichtern, die Kommunikation mit Familie und Freunden zum Beispiel. Das ist verführerisch. Hinzukommt die Unsichtbarkeit des Preises, den wir dafür bezahlen. Und auch – das ist ein wichtiger Unterschied etwa zur Corona-Warn-App – eine enorm gekonnte und intransparente Kommunikation über mögliche Risiken. Das führt dazu, dass wir sehr schnell sagen: Wenn ich mit den anderen in Kontakt bleiben will, muss ich das nutzen und habe keine andere Wahl, als den Bedingungen zuzustimmen. Bei der Corona-Warn-App sieht der Fall ganz anders aus. Sie ist nicht bequem, sie klärt mich nüchtern über die Verarbeitung personenbezogener Daten auf, und ich erleide keinen spürbaren Nachteil, wenn ich sie nicht nutze. Das sind alles Stellschrauben, die am Ende dazu führen, dass Menschen die Verarbeitung ihrer personenbezogenen Daten ablehnen.

„Wir dürfen die technische Entwicklung nicht verschlafen, weil wir uns auf den Missbrauch fokussieren.“

Sie arbeiten bei dem Projekt „Principles for a Data Economy“ mit US-amerikanischen Kollegen zusammen. Wo unterscheiden sich die Auffassungen zum Umgang mit personenbezogenen Daten am grundlegendsten?

Es gibt nicht die eine US-amerikanische Auffassung. Die USA sind ein gespaltenes Land, das betrifft auch die Frage der Datennutzung. Sehr konservative Kreise sehen in der Nutzung von Daten die Nutzung von Informationen, die vom ersten Zusatzartikel zur Verfassung geschützt ist, also von der Meinungs- und Redefreiheit. Sie betrachten demzufolge vieles, was die Datennutzung reguliert, als verfassungswidrig. Für uns ist das nur schwer nachvollziehbar. Sehr progressive Kreise dagegen plädieren massiv für eine stärkere Datenschutzgesetzgebung. Sie machen sich teilweise sogar dafür stark, etwas ähnliches wie die DSGVO in den USA einzuführen. Es ist wirklich kurios zu sehen, dass gerade manche großen Silicon-Valley-Konzerne in den USA Lobbyarbeit für die DSGVO betreiben. Sie haben sich längst mit hohem Aufwand darauf eingestellt und erkannt, dass sie ihre Geschäftsmodelle auch unter der DSGVO fortführen können. Es wäre jetzt ein Wettbewerbsvorteil für sie, würden die USA etwas wie die DSGVO flächendeckend in Kraft setzen.

Sehen Sie einen möglichen gemeinsamen Weg?

Im Prinzip schon, immerhin wären viele amerikanische Konzerne ja sogar bereit, etwas ähnliches wie die DSGVO zu akzeptieren. Ich persönlich vertrete in meiner Forschung eher ein „Ampel-Modell“ mit drei Bereichen, jeweils differenziert nach Art beziehungsweise Zweck der Datennutzung: Einem großen grünen Bereich, in dem die Datennutzung per se gesetzlich gerechtfertigt ist. Hier wäre übrigens auch ganz viel Nutzung für KI drin. Der gelbe Bereich ist ein Korridor von Datennutzungen, bei denen man aufpassen muss und die deswegen die freie Einwilligung des Datensubjekts erfordern. Und dann gibt es noch einen roten Bereich schädlicher Datennutzungen, die von vorneherein verboten sind.

Was würde das bringen?

Sowohl die Wirtschaft als auch der Einzelne könnten hier viel gewinnen. Für die Wirtschaft entstünde ein „Safe Harbor“. Solange ich nicht in die Nähe der gelben und roten Bereiche komme, und solange ich niemanden schädige und keine unvertretbaren Risiken schaffe, kann ich mit Daten frei wirtschaften. Nur wenn ich mit meinem Geschäftsmodell in die Nähe des kritischen Bereichs komme, muss ich genauer prüfen, ob die Datennutzung zulässig ist. Das würde der Wirtschaft sehr viel mehr Freiheit und Sicherheit bringen. Aber auch der Einzelne würde gewinnen. Unter der DSGVO haben wir oft bloß eine Schein-Autonomie. In vielen Fällen haben wir das Gefühl, etwas entscheiden zu können, aber eigentlich können wir gar nichts entscheiden. Wir klicken und stimmen 50 Seiten Nutzungsbedingungen zu, die wir weder lesen wollen noch oft verstehen können. Am Ende haben wir keine andere Wahl, als auf „OK“ zu klicken. Ich vertrete die Auffassung, dass man für den Einzelnen vielmehr einen Bereich rationaler Gleichgültigkeit schaffen muss. Das heißt: Ich klicke auf OK und kann darauf vertrauen, dass keiner in den roten Bereich gehen darf und wird. Dann kann ich mich relativ sicher in der Datengesellschaft bewegen. Das bedeutet für die Wirtschaft mehr Innovationsmöglichkeiten, für den Einzelnen mehr Lebensqualität und für beide Seiten viel mehr Freiheit.

Was wäre ein Beispiel für den roten Bereich?

Etwa Eindringen in den privatesten Lebensbereich, in meine innersten Neigungen und Schwächen. Dabei sollten wir aber weniger auf die Art der Daten schauen, und mehr auf den Effekt der Datennutzung. Ich kann sehr „sensible“ Gesundheitsdaten auf vollkommen harmlose Art verarbeiten, und aus scheinbar völlig harmlosen Daten – wie Browsing-Verhalten oder Tipp-Geschwindigkeit – höchst sensible Ableitungen gewinnen und für höchst riskante Zwecke einsetzen. Die DSGVO schaut zu sehr auf den Ursprung, also auf die Art der Daten, woher sie kommen und wie der Verantwortliche sie erlangt hat. Sie schaut tendenziell zu wenig darauf, was der Verantwortliche mit den Daten macht. Wenn eine Datennutzung einzelne Betroffene überhaupt nicht in ihren Rechten verletzen kann, dann würde ich die Nutzung im grünen Bereich sehen. Wenn dagegen schon von vornherein klar ist, dass eine Datennutzung den Einzelnen schädigen kann, etwa weil ich seine Vulnerabilität bei der Preisgestaltung ausnutze, ist man womöglich bereits im roten Bereich und muss sehr genau definieren, wo die Grenze zwischen gelbem und rotem Bereich verläuft.

„Wir sollten weniger auf die Art der Daten schauen und mehr auf den Effekt der Datennutzung.“

Wo sollten wir in Deutschland ansetzen, um bei den Menschen Vertrauen zu schaffen ohne neue Technologien zu behindern?

Da gibt es viele Ansatzpunkte. Zunächst geht es einfach darum, Aufklärungsarbeit zu betreiben in den Schulen, in der Ausbildung, in der Fortbildung, in den Medien. Aber wir sollten auch neue Institutionen schaffen. Ich glaube ganz stark an das Potenzial von Datentreuhandmodellen. Die Treuhandstellen stehen zwischen denen, die Daten zur Verfügung stellen, und denen, die die Daten nutzen. Also zum Beispiel zwischen Patienten und einer Forschungseinrichtung. Diese Treuhandstelle sorgt dafür, dass die Daten nur in bestimmter Art und Weise verwendet werden dürfen, aber auch verwendet werden können. So schaffen wir mehr Freiheit und Potenziale für Wirtschaft und Forschung, zugleich aber auch mehr Sicherheit für den Einzelnen, der oft mit Einwilligungserklärungen überfordert ist. Wir brauchen im Mindset einen grünen Bereich guter Datennutzungen. Momentan ist alles fokussiert auf die Bereiche, die potenziell gelb oder rot sind.

Erwarten Sie, dass sich mit der Einführung des europäischen Dateninfrastrukturprojekts GAIA-X das Data Mindset in Deutschland verändern wird?

Es wird sich sicher etwas zum Positiven verändern. Wenn wir über das Data Mindset sprechen, ist GAIA-X ein wichtiger Baustein, um Vertrauen zu schaffen. Im Moment wissen wir noch nicht, was unter dem Dach von GAIA-X alles entstehen kann. Aber es hat sehr viel Potenzial.

Was ist noch wichtig, um das Data Mindset zu verändern, so dass wir weniger die Gefahren als vielmehr die Chancen erkennen?

Für mich sind hier die Stichworte „Data Awareness“ und „Data Skills“ zentral, denn was wir nicht verstehen und was wir nicht selbst beherrschen, empfinden wir tendenziell als Bedrohung. Im Moment haben die meisten Menschen leider keine oder ganz wenig Datenkompetenz. Wir müssen die grundlegende Datenkompetenz bereits im jungen Alter aufbauen. Aber eigentlich brauchen wir sie in allen Alterslagen, so dass die Menschen wieder das Gefühl haben, dass sie verstehen, worum es geht, dass sie mitreden und mitgestalten können und Datennutzung nicht als bedrohlich ansehen. Das müsste ein Kernelement einer solchen Strategie in Richtung eines neuen Data Mindsets sein.

Christiane Wendehorst ist seit 2008 Professorin für Zivilrecht an der Universität Wien. Aktuell arbeitet sie vor allem zu den rechtlichen Herausforderungen der Digitalisierung. Die gebürtige Münchnerin war unter anderem Co-Vorsitzende der deutschen Datenethikkommission und ist Gründungsmitglied und Präsidentin des European Law Institute (ELI). Zu ihren aktuellen Forschungsprojekten zählen die „Principles for a Data Economy“, ein Gemeinschaftsprojekt mit dem American Law Institute (ALI), sowie zahlreiche Projekte zu Künstlicher Intelligenz. © Universität Wien