Datenschutz: Freibeuter und Fischer

Nr. 35 –

Dank wachsender technischer Möglichkeiten werden gigantische Datenmengen beschafft, gespeichert und ausgewertet.


«Fischen im Datenmeer» hiess der Titel des 15. Symposiums über Datenschutz und Sicherheit, das am Dienstag im Hauptgebäude der Eidgenössischen Technischen Hochschule (ETH) in Zürich stattfand. Und plötzlich grinste der Filmpirat Jack Sparrow den über hundert TeilnehmerInnen von der Leinwand entgegen. Beat Rudin, Datenschutzbeauftragter des Kantons Basel-Stadt und gemeinsam mit seinem Zürcher Arbeitskollegen Bruno Baeriswyl Gastgeber des Anlasses, erläuterte: «Im riesigen Datenmeer fischen auch Freibeuter, sie gilt es zu stoppen. Aber längst nicht alle Fischer sind Freibeuter. Wir wollen heute gemeinsam herausfinden, welche Regeln für das Fischen im Datenmeer gelten.»

Privatwirtschaft ist weiter

Im ersten Teil standen die technischen Aspekte von zwei Methoden im Vordergrund. Andreas Meier, Wirtschaftsinformatiker an der Universität Freiburg, stellte das «Data Warehousing» vor, das zentrale Speichern und Sammeln von Daten aus unterschiedlichen Quellen innerhalb eines Unternehmens, das über eine nachfolgende Analyse Antworten über Umsatzmöglichkeiten, Verkaufspreise, Marktanteile, MitarbeiterInnenzufriedenheit oder Kundenmanagement geben kann. Meier sagte: «Kein mittleres und schon gar kein grosses Unternehmen kommt heute ohne Data Warehousing aus.» Stefan Rüping vom deutschen Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme äusserte sich zum «Data Mining». Dabei wird ein bereits vorhandener Datenbestand – nicht selten eben Data Warehouses – statistisch-mathematisch ausgewertet mit dem Ziel der Mustererkennung. Zur Anwendung kommt Data Mining vorwiegend in der Privatwirtschaft, die beim Fischen im Datenmeer schon viel weiter ist als die (öffentliche) Verwaltung. Ein Beispiel sind die Kundenempfehlungen beim Versandhaus Amazon. Aber auch Banken, Versicherungen oder Krankenkassen wenden Data Mining an, um beispielsweise Aufschluss über allfälliges Betrugs- oder Missbrauchspotenzial zu erhalten.

Globales Datenschutzgesetz fehlt

Im zweiten Teil wurden die beiden erwähnten Methoden aus der Sicht von Datenschützern beurteilt. Das Spannungsfeld war bald einmal abgesteckt: Den immer ausgeprägteren technischen Möglichkeiten stehen juristische Rahmenbedingungen gegenüber. Die entscheidende Frage bleibt allerdings, wie die Rechtswirklichkeit aussieht. Wenn Google beispielsweise eine Firma aufkauft, die über eine Datenbank mit personenbezogenen Daten verfügt, darf Google diese dann für seine Zwecke benutzen? Die Frage führte sogleich zum nächsten Problem: Noch gibt es kein einheitliches, globales Datenschutzgesetz, wie also soll man mit sogenannten Global Players umgehen? Die eingangs aufgeworfene Frage, welche Regeln für das Fischen im Datenmeer gelten, musste so unbeantwortet bleiben.

In der abschliessenden Paneldiskussion wurden aber doch Lösungsansätze präsentiert: Während Sanktionen eher kritisch bewertet wurden – «eine Busse von 300 000 Euro bezahlt Google doch aus der Portokasse» –, war man sich einig, dass künftig für die Erhebung von Daten eine Deklarationspflicht und die Einwilligung der Kunden nötig seien.