IBM-Rechenzentrum in Dallas, Texas © Ben Torres/Bloomberg/Getty Images

Nach Ansicht von Verbraucher- und Datenschützern wird es eine "Beerdigung erster Klasse" für den Datenschutz: Am Freitag stimmen die EU-Mitgliedsstaaten im Ministerrat über Kapitel II der geplanten Datenschutzgrundverordnung ab. Darin geht es um Kernfragen des europäischen Datenschutzrechts. Doch zentrale Prinzipien zum Schutz von Internetnutzern werden dann über den Haufen geworfen, fürchten die Kritiker. Aus dem ambitionierten Entwurf der EU-Kommission, der den europäischen Datenschutz auf Jahre hinaus definieren soll, drohe ein in erster Linie wirtschaftsfreundliches Regelungswerk zu werden.

2012 hatte die Kommission ihren Vorschlag vorgelegt, den das Parlament 2013 an vielen Stellen präzisiert und ergänzt hat. Seit 2014 verhandeln die Regierungen der Mitgliedstaaten im Rat über die Reform. Im Sommer müssen sie sich dann abschließend im sogenannten Trilog mit Kommission und Parlament einigen. Bislang ging es einigermaßen gut.

Doch im jüngst geleakten Positionspapier werden sowohl die sogenannte Zweckbindung als auch das Prinzip der Datensparsamkeit verwässert. Zweckbindung heißt: Unternehmen dürfen Nutzerdaten nur für den Zweck verwenden, für den sie ursprünglich erhoben wurden. Datensparsamkeit heißt: Es werden nur so viele personenbezogene Daten verwendet, wie unbedingt notwendig.

Die einen vermuten dahinter Böswilligkeit, andere einfach Unfähigkeit der verhandelnden Politiker. "Gut gedacht, aber schlecht gemacht" wäre aber auch eine Interpretationsmöglichkeit. Die liegt nahe, wenn man Axel Voss zuhört, einem CDU-Abgeordneten im EU-Parlament. Er unterhält einen guten Draht ins Bundesinnenministerium, das jüngst für seine Lobbyhörigkeit heftig gescholten wurde.

Big Data stellt den Datenschutz auf den Kopf

Voss zufolge geht es vor allem um Big Data: Die Bundesregierung will die Zweckbindung aufweichen, um Big-Data-Geschäftsmodelle nicht zu zerstören, die im kommenden Internet der Dinge eine wichtige Rolle spielen werden. Wenn bei Big-Data-Analysen sogenannte Deep-Learning-Algorithmen zum Einsatz kommen, entscheiden diese eigenständig darüber, welchen Zweck die Auswertung verfolgen wird. Ein bestimmter Zweck lässt sich also gar nicht mehr vorab definieren. Auch benötigt Big Data eine ordentliche Datenbasis, um überhaupt interessante Ergebnisse liefern zu können – weshalb die Datensparsamkeit nicht übertrieben werden soll.

Voss nennt noch ein weiteres Anwendungsbeispiel, das aus seiner Sicht gegenwärtig nicht möglich wäre. So könnten nach Naturkatastrophen Twitter- oder Facebook-Meldungen automatisch danach ausgewertet werden, wo wie viele Zelte, medizinische Versorgung, Wasser und Lebensmittel gebraucht werden. Das wäre eine klare Zweckentfremdung personenbezogener Daten. Entsprechende Pilotprojekte haben bereits einige Katastrophenschutzeinrichtungen aufgesetzt.

Grundsätzlich findet Voss, dass schon die gegenwärtige Regelung, nach der ein Nutzer in die Datenverarbeitung informiert einwilligen muss, in der Praxis ins Leere läuft: Zum einen würden die meisten sich nicht informieren und trotzdem einwilligen, weil sie einen Dienst unbedingt nutzen möchten. Zum anderen sei auch informierten Nutzern oft unklar, was wirklich mit ihren Daten gemacht werden kann. Letztlich willige er ja meist in eine umfangreiche Datenverarbeitung ein. Sinnvoller fände Voss es daher, wenn Nutzer selbst den Zweck der Datennutzung flexibel bestimmen und einzelne Fälle  kategorisch ausschließen könnten. Das ist nach gegenwärtiger Regelungslage nicht möglich.

Lösung durch Privacy by Design

Aber können Big-Data-Analysen überhaupt so gestaltet werden, dass sie die Grundrechte der Betroffenen nicht verletzen? Technisch ist das möglich, behauptet der Bericht der europäischen Sicherheitsagentur ENISA zu Privacy by Design.

Demnach ist Pseudonymisierung nicht der einzige Weg, um Big Data datenschutzfreundlich zu gestalten. Der ENISA zufolge lassen sich Daten durch sogenannte Rauschdaten ohne inhaltlichen Wert ergänzen, einzelne Werte zu bestimmten Eigenschaften unterdrücken oder die Daten bestimmter Gruppen zusammenfassen. Ebenfalls lassen sich mit kryptografischen Techniken Originaldaten so verändern, dass die charakteristische Werteverteilung erhalten bleibt, aber Rückschlüsse auf bestimmte Personen unmöglich sind.

Etliche dieser Ansätze sind, sagen die Autoren des Berichts, bislang nur Experten bekannt, nicht hingegen Unternehmen oder Politikern. Mit etwas mehr Zeit ließe sich diese Wissenslücke wohl schließen. Eventuell ist Big Data demnach auch unter den verschärften Bedingungen der neuen Verordnung möglich. Nur müssten Unternehmen die entsprechenden Techniken auch anwenden. Bröckeln aber mit der Zweckbindung und der Datensparsamkeit die Säulen des Datenschutzrechts, droht das ganze Gebäude zusammenzubrechen, weil der Anreiz für die Anwendung von Privacy-by-Design-Techniken fehlt.