Big Data – Regulative Herausforderungen – Wolfgang Hoffmann-Riem – Rezensiert von: Holger Plank

Buchbesprechungen

Hoffmann-Riem, Wolfgang Prof. Dr.[1] (Hrsg.); „Big Data – Regulative Herausforderungen“[2] ; ISBN: 978-3-8487-4782-5, 203 Seiten, Nomos Verlag, Baden-Baden, Band 77 der Reihe „Materialien zur rechtswissenschaftlichen Medien- und Informationsforschung“, Erscheinungsjahr 2018, 52.– €

Spätestens mit Definition des eigenständigen Grundrechts auf „Vertraulichkeit und In­tegrität informationstechnischer Systeme“ durch das BVerfG im Rahmen der Ent­scheidung zum NRW-Verfassungsschutzgesetz (dort § 5 Abs. 2 Nr. 11 – „Online-Durch­suchung“, BVerfGE 120, 274, 313) im Februar 2008, welche im Rahmen der Entscheidung des Gerichts zum BKA-Gesetz vom April 2016 nochmals im Anwen­dungs- und Schutzbereich erweitert wurde (nämlich um die Feststellung, dass zu den geschützten informationstechnischen Systemen nicht nur von den Betroffenen eigen­genutzte Computer zählen, sondern auch die durch Vernetzung mit fremden Computern arbeitenden informationstechnischen Systeme, etwa bei der Nutzung der sog. „Clouds“ (BVerfG 141, 220, 304), hat das Gericht klargelegt, dass der Frei­heitsschutz auch auf der Systemebene greift.

Wie steht es aber mit der Verpflichtung des Staates zum Schutz des Bürgers im Rahmen privater Transaktionen hinsichtlich der horizontalen „Drittwirkung“ der Grundrechte, al­so der Erweiterung des subjektiv-öffentlichen Ab­wehranspruchs um einen „Schutz­anspruch“ und wie wirksam könnte dieser bei der globalen Dimension der Digi­talisierung sein? Die in schnellem Tempo voranschreitende digitale Transformation von Gesellschaft, Wirt­schaft und Kultur erfasst aktuell potenziell alle Lebensbereiche, jeweils verbunden mit der Chance der Veränderung und zugleich der Verbesserung von Lebens­bedingungen, aber auch mit Risiken für das Wohl des Einzelnen und den Erhalt einer ge­rechten Gesellschaftsordnung. Die digitale Transformation betrifft eine Viel­zahl von Er­scheinungen und beruht auf zahllosen technologischen und sozialen Inno­vationen.

Hierbei gerät vor allem der Begriff „Big Data“, dem sich Wolfgang Hoffmann-Riem und seine Mitkommentatoren in diesem Sammelband namens und im Auftrag der gleichnamigen „Leopoldina-Arbeitsgruppe“ annehmen, in jüngerer Vergangenheit in die öf­fentliche Diskussion. Er verweist schon semantisch zum einen auf die Größe und Vielfalt der bei dem Einsatz digitaler Techniken anfallenden (strukturierten / unstruk­turierten / personalisierten und Meta-)Daten, zum anderen auf die diversen Mög­lich­keiten ihrer Zusammenführung, ihrer Auswertung sowie der anschließenden Nutzung durch private und natürlich auch hoheitliche[3] Stellen in sehr unterschiedlichen Kon­texten. Beispielhaft erwähnt Hoffmann-Riem in seinem den Sammelband einleitenden Beitrag (S. 11 – 80) in diesem Zusammenhang:

  • Die Verwertung für die Entwicklung neuartiger Geschäftsmodelle,
  • die digitale Begleitung und Veränderung alltäglichen Handelns (z. B. „IoT“, autonomes Fahren etc.),
  • die (ggf. verdeckte) Beeinflussung von Einstellungen (Werbung, Wahlen etc.),
  • die Steuerung von individuellem und kollektivem Verhalten,
  • die Erfassung von Entwicklungstrends,
  • neue Arten von Produktion und Distribution,
  • veränderte Möglichkeiten staatlicher Aufgabenerfüllung und eben auch
  • die Entstehung neuer Formen von Illegalität, darunter die „Cyber-Kriminalität“.

Ob und wie Chancen der Digitalisierung genutzt und Risiken dabei minimiert werden, ist grds. gestaltbar! Gestaltende Akteure sind dabei wirtschaftliche Unternehmer, Nutzer, indi­vi­duelle Innovatoren, interessenwahrnehmende Verbände, aber auch „Hacker“! Der Staat ist im Rahmen seiner nationalen Handlungsmöglichkeiten bei diesem globalen Phänomen „Digitalisierung“ für die Schaffung eines Rahmens zur Sicherung von Individual- und Gemeinwohl zuständig. Neben anderen Mechanismen kann er dabei das Steuerungsmedium Recht einsetzen, so Hoffmann-Riem! Dies sollte jedoch nur dosiert und vor allem nach umfassender Darlegung einer „Sicher­heitsstrategie“ und eines „Code of Conduct“ (vgl. Arbeitsauftrag der AG der „Leopoldina“) erfolgen.

Hoffmann-Riem eröffnet dabei auch eine interessante kriminologische Frage, nämlich die des „Zwei-Welten-Problems“ (gibt es eine eigenständige digitale / virtuelle und ei­ne analoge / reale Welt und wie muss man sich die Existenz in diesen beiden Spektren ggf. vorstellen?). Letztlich löst er mit einigen Feststellungen die Fragestellung jedoch in Richtung eines ge­meinsamen, verschmolzenen, hybriden Gestaltungsfeldes auf, z. B. mit folgenden Fest­stellungen / Bemerkungen / „Neologismen“ auf:

  1. „Das tägliche Leben ist vielfach weder on- noch offline, sondern beides, sodass sich eine neue Welt – die „Onlife-Welt“ – zu bilden beginnt (S. 22).
  2. „Zu den schon angesprochenen Problemfeldern gehören – neben anderen – die vielen Möglichkeiten zur Verschmelzung der physischen und virtuellen Welt (‚Onlife‘) und zur (den Betroffenen häufig) unbewussten Steuerung von Verhalten“ (S. 35).
  3. „Herkömmliche Vorstellungen von Privatheit und Öffentlichkeit erodieren, die Notwendigkeit von spezifischem Privatheitsschutz wird sogar zum Teil – so durch Anhängerinnen und Anhänger der sog. Post-Privacy-Bewegung – bezweifelt“ (S. 36).
  4. In diesem Raum wird „Tracking[4] insbesondere als Vorbereitung des Profilings[5] und des Targetings[6] eingesetzt“ (S. 44).
  5. Scoring“ bezeichnet die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person; es wird zur Beurteilung der Kreditwürdigkeit oder – allgemeiner – als Grundlage der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses genutzt. Zu Anforderungen an einen solchen Wahrscheinlichkeitswert s. 13 BDSG (neu).
  6. „Die Anlässe der Überprüfung vorhandenen Rechts sind keineswegs auf die tech­nologischen Aspekte der digitalen Transformation begrenzt. Denn parallel zu ihr verändert sich auch die soziale Ordnung und die Bedingungen für das individuelle und gesellschaftliche Leben werden neu bestimmt“ (S. 52).

Hinzu tritt in diesem Zusammenhang natürlich auch die Problematik der selbstbestimmten, eigenverantwortlichen „Selbst­erfassung im Stil der Kriminologie“, wie sie Andreas Bernhard in anderem Zusammenhang in seinem Buch „Komplizen des Erkennungsdienstes“ beschreibt.

„Big Data-Anwendungen“ werden in der Literatur durch das „5 – V – Schema“ gekennzeichnet, wie Hoffmann-Riem sehr deutlich herausarbeitet:

  1. „High – Volume“ – im Hinblick auf die gewaltigen zur Verfügung stehenden Mengen von Daten
  2. „High – Variety“ – hinsichtlich der unterschiedlichen Art und Qualität der Daten
  3. „High – Velocity“ – in Bezug auf die hohe Geschwindigkeit ihrer Verarbeitung
  4. Veracity“ – wegen der Möglichkeit höchst leistungsfähiger Formen der Datenprozessierung, der Überprüfung ihrer Stimmigkeit und auch der Qualitätssicherung und nicht zuletzt
  5. Value“ – da „Big Data“ Gegenstand und Basis neuer Geschäftsmodelle und von Möglichkeiten diverser Wertschöpfungen sind.

Diese fünf „V“ bringen in der Summe eine ganz neue Qualität in die Analytik von Big Data und die erstmals ohne große Aufwände mögliche Verknüpfung von persona­lisierten / entpersonalisierten und Meta-Daten. Hierbei werden in der Literatur drei analytische Ebenen beschrieben:

  1. Die „deskriptive Analytik“, um das Material für Zwecke der Auswertung zu sichten und aufzubereiten. Hierbei spielen Begriffe wie „Data Mining“, die Registrierung und Systematisierung von Datenbeständen (Priorisierung, Klassifizierung und Filterung) eine entscheidende Rolle.
  2. Die „prädiktive Analytik“ (zu deren notwendiger Regulierung Hermstrüwer, S. 99 – 116, einen eigenen Beitrag in diesem Sammelband beisteuert), noch weitgehend losgelöst von einem Verstehens­prozess sollen Indikatoren für einen möglichen Kausalzusammenhang identi­fiziert werden, allerdings – jedenfalls bisher – nur in Gestalt statistisch signi­fikanter Korrelationen; auf dieser Basis sollen dann Ereignisse mit einer bestimmten Wahrscheinlichkeit vorhergesagt werden. Dadurch sollen Einsichten in des Verhalten von Menschen gewonnen und bspw. sich entwickelnde Trends und Verhaltensmuster erkannt werden, etwa um zukünftiges Verhalten vorhersagen und darauf aufbauend, so in Gestalt des „Automated Decision Making“, unternehmerische (künftig vielleicht auch kriminoresistente?) Entscheidungen treffen zu können. Beispielsfelder sind die Erfassung der sog. „Predictive Consumer Interests“ oder auch im hoheitlichen Kontext das „Predictive Policing“.
  3. Die „präskriptive Analytik“, die auf Handlungsempfehlungen zielt, um das deskriptiv erfasste und das prädiktive Wissen zur Erreichung bestimmter Ziele (gezielt) einzusetzen.

Diese Analytik geht weit über die im traditionellen Datenschutzrecht im Fokus stehende Erhebung, Speicherung und Verwendung von personenbezogenen Daten hinaus. Sie zielt vor allem auf die durch den Einsatz künstlicher Intelligenz ermöglichte Aus­weitung und Nutzung des durch Daten aller Art generierten Wissens in einer Vielzahl von Anwendungsfeldern, darunter die gezielte Steuerung von Verhalten!

Nach der sehr informativen, tiefgreifenden Einführung von Hoffmann-Riem widmen sich elf namhafte Autoren in eigenen, z. T. recht kurzen Aufsätzen den zahlreichen Bei­spielsfeldern (z. B. der Erosion traditioneller Prinzipien des Datenschutzrechts durch Big Data – Gerrit Hornung, S. 81 – 98  / oder zum Verhältnis von Big Data, Internet und dem Völkerrecht zueinander von Andreas von Arnauld, S. 117 – 124  / vom wichtigen Thema des Zugangs zu staatlicher Information in Zeiten von Big Data von Tobias Mast, S. 125 – 134 / grundlegende verfassungsrechtliche Betrachtungen zu Predictive Analytics aus der Perspektive von Menschenwürde und Autonomie von Stephan Dreyer, S. 135 – 144 / zur Verfälschung von Datenbeständen durch Social Bots von Kevin Dankert, S. 157 – 166 / natürlich zum Verhältnis von Big Data und dem Zivilrecht von Thomas Hoeren, S. 187 – 194 und, last but not least, zur Rechts[durch]setzung durch Informationsmediäre und Big Data als Entscheidungs- und Handlungsressource dabei von Markus Oermann, S. 145 – 156) der Big-Data-Analytik, darunter auch Mathias Bäcker (vgl. auch oben, Fn. 3), Jan C. Joerden und Tobias Singelnstein aus dem Blickwinkel des Sicherheitsrechts, der Kriminalität und Strafverfolgung.

Mathias Bäcker stellt bspw. heraus, dass Big Data-Anwendungen auch zur Ge­währleistung von Sicherheit von zunehmender Bedeutung seien, und zwar – durch technische Entwicklungen – sowohl auf der Ebene der Datenerzeugung als auch auf der Ebene der Datenanalyse. So werden die inzwischen bei nahezu allen Lebensvorgängen entstehenden und rapide anwachsenden Datenspuren prinzipiell auch einer (technisch möglich) immer umfassenderen Analyse zu Sicherheitszwecken zugänglich. Dabei bildeten zahlreiche informationstechnisch unterstützte Möglichkeiten der Muster­erkennung in großen, teils sehr heterogenen Datenbeständen derzeit noch einen „blinden Fleck“ im gegenwärtigen Sicherheitsrecht. Datenanalyse sei nämlich im einzelnen sicherheitsbehördlichen Verfahren als „unselbstständiger, nachgelagerter Bestandteil der Datenerhebung konzipiert.“ Dies bedürfe angesichts der bereits dargelegten „neuen Qualität in der Analytik“ einer kritischen Überprüfung, da damit auch das Eingriffs­gewicht exponentiell gestiegen sei. Das gelte sogar für die bisher als „unproblematisch“ erachteten anlasslosen „Internet-Streifen“, jedenfalls dann, wenn hierbei durch die Nutzung von Auswertetools (Stichwort „OSINT“) derartige Analysen inzwischen erheblich über die kognitiven Fähigkeiten eines menschlichen Auswerters, der die Inhalte sichtet,  hinausgehe.

Tobias Singelnstein vertieft diesen Ansatz Bäckers im Rahmen einer kon­kreten Betrachtung einiger weniger Ermittlungsmaßnahmen, bei denen grds die „neuen Möglichkeiten der Datenverarbeitung es ermöglichen, einmal erhobene Daten in stärkerem Maße auch zu weiteren Zwecken zu nutzen, was die Eingriffstiefe verstärke“. So sei es inzwischen bspw. möglich, „ohne Kenntnis des Betroffenen potenziell um­fassende Persön­lichkeitsprofile zu fertigen“, nicht nur im Rahmen der neu eingeführten Befugnisgrundlagen der Online-Durchsuchung und Quellen-TKÜ im BKAG, der StPO  und inzwischen in zahlreichen Ländergefahrenabwehrgesetzen. Durch diese Entwick­lung nehme etwa „die Bedeutung allgemeiner Prinzipien und übergreifender Begren­zungen erheblich zu, wie bspw. der Grundsatz der Verhältnismäßigkeit“ und bedürfe strafverfahrens- und gefahrenabwehrrechtlich (obwohl hier durch die bereits benannten Urteile des BVerfG vertiefte Grundlagenarbeit verrichtet sei) dringend weiterer „Kontu­rierung“. Problematisch sei dabei auch der inzwischen „einheitliche Informations­stand“ beim BKA im Rahmen der (notwendig) stärkeren Informationsverknüpfung zwischen den Bundes- und Länderdatenbeständen (z. B. aber nicht nur im Rahmen des „Polizeilichen Infor­mations- und Analyseverbundes“ PIAV, der 2017 in der ersten Stufe mit den Deliktsbereichen Waffen und Sprengstoffe in Wirkbetrieb ging). Big Data werde, so Singelnstein, zu einer „grundlegend anderen Form der Wahrnehmung und Bearbeitung von Kriminalität durch Behörden und Gesellschaft führen“, und das nicht nur im Rahmen von prädiktiven Verfahren, die vorausschauende Kriminalintervention weit in das Vorfeld konkret unmittelbar bevorstehender Straftaten verschiebe. Dies müsse zu einer Problematisierung hinsichtlich der sicherheitsbehördlichen Betrachtung und Bewertung derartiger Risiko­faktoren führen.

Alles in allem ein zwar kleiner, aber wirklich sehr lesenswerter, informativer Sammelband zu einem sicher auch künftig Gewinn bringenden Forschungsprojekt „Big Data“ der Nationalen Akademie der Wissenschaften „Leopoldina“ zu diesem sehr wichtigen Zukunftsthema mit wichtigen Hinweisen zu datenschutzrechtlichen Implikationen und Regelungslücken de lege ferenda trotz Inkrafttreten der europäischen DSGVO am 25.05.2018.

[1] Prof. Dr. em. an der Universität Hamburg, Chair of Innovation and Law an der Bucerius Law School und Richter des BVerfG a. D., vgl. Website der Bucerius Law School.

[2] Inhaltsverzeichnis auf der eLibrary Verlags-Website.

[3] Vgl. hierzu auch z. B. Bäcker in „Verfassungsblog“: Der Umsturz kommt zur früh: Anmerkungen zur polizeilichen Informationsordnung nach dem neuen BKA-Gesetz.“

[4] Art. 8 des Entwurfs der e-Privacy Verordnung sieht vor, dem Tracking über Cookies dadurch Grenzen zu setzen, dass auch insoweit ein Verbot mit Erlaubnisvorbehalt gilt und für eine Einwilligung die „Opt-in-Lösung“ vorgeschrieben wird (anders als noch nach gegenwärtigem deutschen Recht in § 15 Abs. 3 TKG: „Opt-out“. Diese Konstruktion wird im Übrigen als europarechtswidrig erachtet).

[5] Eine Definition des Profilings befindet sich in Art. 4 Nr. 4 der DSGVO. Sie lautet: Profiling ist „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese per­sonenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirt­schaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufent­haltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.“

[6] Als Beispiele für die Kriterien, nach denen Nutzerverhalten ausgewertet wird, s. Auflistung der von Facebook genutzten Merkmale hierzu: Tischbein, 22.08.2016, „98 Daten, die Facebook über die weiß und nutzt, um Werbung auf dich zuzuschneiden.“

Rezensiert von: Holger Plank