Selbstfahrende Autos, personalisierte Medizin und das Internet der Dinge: Werden solche Technologien die transatlantische Datenschutzkluft überwinden?
Deutschland und die Vereinigten Staaten sind prominente Beispiele für zwei höchst unterschiedliche Auffassungen über die Artikulierung von Datenschutzmaßnahmen, insbesondere im privaten Sektor.
Laut deutschem Gesetz dürfen Unternehmen keine persönlichen Informationen sammeln, sofern sie keine Rechtsgrundlage dafür identifiziert haben. Wenn sie einmal Daten erhoben haben, lässt das deutsche Recht die Nutzung persönlicher Daten nur für die spezifisch benannten Zwecke zu und verlangt, dass Daten nicht länger als nötig aufbewahrt werden. Im Gegensatz dazu gestattet das amerikanische Recht Unternehmen, vielerlei Arten persönlicher Informationen von den Verbrauchern zu sammeln, solange sie dabei nicht arglistig oder unredlich handeln.
In der Praxis ist die Sache wesentlich komplizierter. Viele führende US-Firmen unterliegen auf nationaler Ebene eigentlich strengen Regeln, wenn sie als sensibel erachtete oder für bestimmte geschützte Zwecke genutzte Daten erheben. Im Bank-, Kredit-, Versicherungs-, Gesundheits-, Bildungs-, Wohn- und Telekommunikationswesen sowie im Umgang mit Kindern und in anderen Bereichen sind detaillierte Bundesregulierungen zu beachten, die die Möglichkeiten der Datennutzung einschränken und diskriminierende Praktiken verbieten. Hinzu kommen noch Regulierungen auf Bundesstaatsebene, wie etwa Gesetze gegen Datenlecks oder die Verpflichtung, Datenschutzrichtlinien bereitzustellen. In manchen Staaten ist es Arbeitgebern verboten, die Social-Media-Passwörter ihrer Mitarbeiter zu verlangen. Eine personell gut ausgestattete Bundeshandelskommission (Federal Trade Commission) sowie über 50 politisch ehrgeizige Innenminister in den jeweiligen Bundesstaaten nutzen diesen Fleckenteppich aus Gesetzen dazu aus, Maßnahmen zu deren Durchsetzung zu ergreifen. Diese Konstellation hat in der jüngeren Vergangenheit eine Prozesswelle gegen sämtliche großen Tech-Unternehmen und Hunderte anderer Firmen ausgelöst. Dazu kommen noch Sammelklagen, durch die es routinemäßig gelingt, millionenschwere Vergleiche im Namen der Verbraucher einzustreichen. Da verwundert es nicht, dass Firmen Datenschutz nun doch immer ernster nehmen.
In der Tat hat eine Studie zweier führender Akademiker der Universität Berkeley ergeben, dass Deutschland und die USA zwar gesetzgeberisch unterschiedlich an das Thema Datenschutz herangehen, die beiden Länder jedoch im tatsächlichen Ergebnis, d.h. in Bezug auf den Schutz von Einzelpersonen, vergleichbar sind.
Kritiker auf beiden Seiten debattieren jedoch weiterhin. Dabei flammen die größten Herausforderungen für den privaten Sektor oft dann auf, wenn es darum geht, Daten für Marketingzwecke zu verwenden. Aus deutscher Sicht ist es verboten, Daten ohne Rechtsgrundlage zu sammeln, und Marketing wird selten als ehrbares Ansinnen gesehen. Datenschutz des Einzelnen ist ein von der Verfassung geschütztes Menschenrecht. Aus Sicht der USA sollte die Nutzung von Daten für Innovationszwecke gefördert werden, sofern keine Bedenken vorliegen, dass eine bestimmte Verwendung der Daten echten Schaden anrichten wird. Obwohl jede Position flexibel sein kann, führen die unterschiedlichen Auffassungen oft zu Debatten und Konflikten zwischen Unternehmen und Regulierern.
Im Zuge der Entwicklung neuer Technologien, die Gesundheitspflege, Verkehrswesen und Bildung spürbar verbessern können, werden die Streitpunkte, die die beiden Länder trennen, wohl nur noch komplizierter und schwieriger abzuwägen. Über die vergangenen zwanzig Jahre sind neue Technologien avanciert, die durch maschinelles Lernen und Zugriff auf massive Datenmengen medizinische Durchbrüche und wertvolle Effizienzgewinne erzielen. Sogenannte ‚connected cars‘ stützen sich auf Daten über die Passagiere und die Umgebung, um sicherer zu fahren. Zur Optimierung lebensrettender Therapien benötigt die personalisierte Medizin Forschung, die über Patientenpopulationen hinweg lebenslange Datensätze auswertet. Das Internet der Dinge ermöglicht die Entwicklung einer Fertigungskette, die detaillierte Rückmeldungen über Produktleistung und Ergebnisse gibt.
In jedem dieser Bereiche sind Forscher und führende Unternehmen in Deutschland und in den USA fest dazu entschlossen, die zur Entwicklung neuer, bahnbrechender und gesellschaftsverbessernder Produktgenerationen notwendigen Daten zu sammeln und zu nutzen. Autohersteller in Deutschland und den USA möchten die sichersten und leistungsstärksten Fahrzeuge produzieren. Gesundheitsforscher brauchen Zugang zu Forschungsdaten, um Krankheiten zu heilen und Therapien zu verbessern. Und die Fertigungsbereiche beider Länder wandeln sich grundlegend, während das Internet der Dinge in der neuen Wirtschaft zum unerlässlichen Wettbewerbsfaktor wird.
Viele neue Arten der Datennutzung werden sich anonymisierte Informationen zunutze machen oder mit Zustimmung eingeholte persönliche Daten nutzen; auf diese Weise lassen sich Datenschutzprobleme minimieren. Doch in vielen Fällen wird es nicht praktikabel sein, Zustimmung einzuholen und lohnende Forschung wird große Datensätze vorhalten müssen. Von deutschen Bürgern erhobene Daten sind unter der neuen, 2018 in Kraft tretenden Europäischen Allgemeinen Datenschutzregulierung geschützt. Wichtige Forschung, Produktentwicklung und Personalisierung wird unter der neuen Regulierung möglich werden, doch die Analyse zur Legitimierung solcher Aktivitäten ist kompliziert und kleinteilig. In vielen Fällen werden neue Arten der Datennutzung Risiken für Datenverantwortliche und -verarbeiter bergen, bis sich lokale Datenregulierer dazu äußern oder zwischen den 29 nationalen EU-Datenregulierungsbehörden ein Konsens entsteht. Diese Behörden sind oft mit unzureichenden Ressourcen ausgestattet und einige haben einfach nicht die Kapazitäten, sich persönlich mit der massiven Anzahl bereits anlaufender neuer Dateninnovationen zu befassen.
Firmen in den USA haben da den einfacheren Weg vor sich, werden sich aber einem ungewissen politischen Umfeld und umtriebigen Medien stellen müssen, denn die Medien haben Datenmissbrauch zu einem vorrangigen Berichterstattungthema erhoben. Bürgerrechtsorganisationen haben sich diskriminierende Datennutzung als Schwerpunktthema vorgeknöpft und beabsichtigen, auch künftig aktiv zu werden, wenn sie Datenverwendung aufdecken, die sie für schädlich halten.
Wenn wir uns eine Gesellschaft wünschen, die auch weiterhin sicherere Autos entwickeln, ihr Gesundheitswesen verbessern und Fertigung effizienter gestalten kann, dann müssen politische Entscheidungsträger auf beiden Seiten des Atlantiks sich ernsthaft mit sowohl den Vorzügen als auch den Risiken von Datenverwendung befassen müssen. Sie werden sich Fortschritten im Bereich Datennutzung öffnen und gleichzeitig dafür sorgen müssen, dass Unternehmen und Forscher Maßnahmen zum Schutz der Rechte des Einzelnen ergreifen und beachten. Vielleicht werden beide Traditionen von den rechtlichen Überschneidungen beeinflusst, die sich zwingend aus grenzüberschreitenden Aktivitäten ergeben, wie etwa institutionenübergreifende Zusammenarbeit von Forschern an Universitäten, Normeinhaltung und der Geschäftsbetrieb global agierender Unternehmen. Dies wäre in der Tat vielleicht die Idealformel für eine Welt, die die Fallstricke einer orwellianischen Zukunft vermeiden und doch gleichzeitig jene Arten der Datenverwendung vorantreiben will, die unsere Gesellschaft verbessern.