Zwischen Berechnung und Regulierung

Datengesteuerte Systeme bilden die Grundlage für Plattformen, mit denen wir täglich interagieren – Suchmaschinen, E-Commerce-Websites, soziale Medien und sogar Recruiting-Plattformen. Dabei stellen wir sowohl wissentlich als auch unwissentlich riesige Mengen an Informationen bereit – von Attributen wie dem Standort oder dem Geburtsdatum über Interaktionsartefakte wie Suchanfragen bis hin zu Verhaltensspuren wie Klickmustern oder der auf Webseiten verbrachten Zeit. Diese riesige Datensammlung erstellt ein detailliertes Bild unseres Lebens und unserer Persönlichkeit und ermöglicht es den Plattformen so, ihre Entscheidungen und unser Online-Erlebnis zu personalisieren.

Personalisierung ist das Fundament für den Erfolg datengesteuerter Systeme. Da Suchergebnisse je nach individueller Nutzung variieren, Inhaltsempfehlungen unterschiedlich ausfallen und sogar die Preise für dasselbe Produkt auf der Grundlage datenbasierter Erkenntnisse variieren, beeinflusst Personalisierung unser Verhalten, unsere Möglichkeiten und unsere Weltanschauung. Gleichzeitig werfen heutige Datenerfassungspraktiken kritische Fragen zu den Auswirkungen einer umfangreichen, konzentrierten Datenspeicherung auf, die Datenschutz- und andere gesellschaftliche Risiken mit sich bringt.

Datengesteuerte Systeme sind folglich nicht nur technischer, sondern soziotechnischer Natur. Daher erfordert ihre Governance auch mehr als nur technische Lösungen: Sie erfordert eine wertorientierte Gestaltung sowie durchsetzbare Verordnungen.

Governance datengesteuerter Systeme: von den Grundsätzen zur Praxis

Verordnungen wie die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union legen Grundsätze für die respektvolle Verarbeitung von Daten von Nutzenden fest, darunter die Grundsätze der Zweckbindung, der Datenminimierung oder der Notwendiit, eine gültige Grundlage für die Verarbeitung von Daten zu schaffen, etwa die Einwilligung. Obwohl solche Grundsätze für die Bemühungen um eine verantwortungsvolle Daten-Governance unerlässlich sind, ist ihre Umsetzung in realisierbare Systemdesigns alles andere als einfach. Die Allgemeingültigkeit des Gesetzes gewährleistet zwar die Anwendbarkeit über verschiedene Technologien hinweg, aber die Praxis erfordert konkrete Richtlinien: mathematische Definitionen und Algorithmen zur Operationalisierung dieser Grundsätze.

Mehrere Hindernisse erschweren die Erstellung wirksamer Datenschutzrichtlinien. Erstens entwickeln sich moderne digitale Systeme oft schneller als die Prozesse zu ihrer Regulierung. Zweitens sind bestehende Richtlinien oft zu allgemein gehalten, klare praxisnahe Implementierungsvorgaben fehlen. Drittens verschärfen gegensätzliche Interessen der Beteiligten das Problem. Regulierungsbehörden verfügen möglicherweise nicht über die technische Expertise und notwendige Ressourcen, um detaillierte Richtlinien zu entwickeln, während Platformbetreiber oft eine möglichst ungehinderte Datenerfassung anstreben.

Forschung für eine wirksamere Daten-Governance

Die Computerforschung spielt eine entscheidende Rolle dabei, die Lücke zwischen technologischer und rechtlicher Realität zu schließen. Durch technische Interpretationen, Auditstudien und Forschung zum Nutzungsverhalten können wir abstrakte Prinzipien in praktische Lösungen übersetzen, die Systemkonformität bewerten und uns für die Rechte der Nutzer und Nutzerinnen einsetzen. Durch interdisziplinäre Zusammenarbeit können wir technische und rechtliche Erkenntnisse gewinnen, die die Entwicklung konformer Systeme vorantreiben und in Gesetzgebungs- und Durchsetzungsmaßnahmen einfließen. Wir können Compliance-Lücken identifizieren, die ohne methodische Innovationen, die verschiedene wissenschaftliche Disziplinen umfassen, nur schwer zu erkennen sind.

Meine Forschungsgruppe treibt eine effektive Daten-Governance in all diesen Bereichen voran. Durch eine Kombination aus technischen und juristischen Methoden haben wir eine komplexe systemische Lücke aufgedeckt und gekennzeichnet, die es Unternehmen ermöglicht, große Datenmengen ohne ausdrückliche Zustimmung der Nutzer und Nutzenden auf Grundlage sogenannter legitimer Interessen zu sammeln. In Anerkennung ihrer Bedeutung wurde diese Arbeit mit dem Rodotà-Preis 2024 des Europarats ausgezeichnet – eine Auszeichnung, die innovative und originelle Forschung im Bereich des Datenschutzes ehrt.

Wir haben nachgewiesen, dass das Fehlen konkreter Umsetzungsrichtlinien die wirksame Einhaltung des Grundsatzes der Datenminimierung in datengesteuerten Systemen behindert. Die von uns entwickelte Auslegung ist inzwischen zu einer offiziellen Empfehlung in den Richtlinien für den verantwortungsvollen Einsatz und die Entwicklung künstlicher Intelligenz der norwegischen Digitalisierungsagentur geworden und füllt die bestehende Lücke in den Richtlinien.

Die derzeitigen Mechanismen zur Einholung der Zustimmung der Datenverarbeitung sind bekanntermaßen mit trügerischen Designs der Benutzungsoberfläche durchsetzt, die die Entscheidungen von Personen bei der Nutzung digitaler Dienste beeinflussen. Wir haben jedoch ein weiteres Problem im Zusammenhang mit dem Missverständnis der Nutzenden hinsichtlich der Beschreibungen des Zwecks der Datenverarbeitung aufgedeckt – Beschreibungen in Einwilligungserklärungen, die eigentlich darüber informieren sollen, wofür personenbezogene Daten verwendet werden. Nachdem wir nachgewiesen haben, dass trügerische Designs über Probleme auf der Ebene der Benutzungsoberfläche hinausgehen, haben wir eine erneute Überprüfung der Regulierungsstandards für Einwilligungserklärungen gefordert.

Damit Datenschutz in der Praxis funktioniert, ist interdisziplinäre und branchenübergreifende Zusammenarbeit entscheidend.  Wissenschaftler und Wissenschaftlerinnen müssen mit Regulierungsbehörden, Industrie und Nutzendenvertretungen zusammenarbeiten, um wirksame Lösungen zu entwickeln. Mein Team trägt dazu bei, indem wir unser Fachwissen und unsere Ergebnisse mit Behörden und Organisationen für digitale Rechte teilen. Als externe technische Expertin habe ich die Europäische Kommission bei der Delegierten Verordnung zum Datenzugang im Digital Services Act beraten, die Forschenden ermöglicht, Plattformen in der EU auf systemische Risiken zu prüfen.

Während Datenschutz und -Governance viele Herausforderungen mit sich bringen, trägt die Grundlagenforschung im Bereich der Informatik zum Schutz der digitalen Welt und ihrer Bürger und Bürgerinnen bei.

Literaturhinweise