Ruhr-Uni-Bochum

Leona Lassak

Arbeitsgruppe Mobile Security, Fakultät für Elektrotechnik und Informationstechnik, Ruhr-Universität Bochum

Titel des Promotionsprojekts: Privatautonomes Entscheiden als Sicherheitsrisiko

Datenschutzrechtliche Einwilligungen setzen auf einen freiwilligen, selbstbestimmten Zustimmungsakt von Privatpersonen („informed consent“ bzw. „notice and consent“). Tatsächlich weisen aber viele Studien darauf hin, dass viele Einwilligungen – etwa beim Akzeptieren von Cookies – uninformiert getroffen werden. Ziel der Tandemforschung ist es, zum einen die Prüfung von Autonomie (u.a. Informiertheit) einer sozialwissenschaftlichen und rechtlichen Bestandsaufnahme zu unterziehen, und zum anderen dabei alternative Mechanismen zu „notice and consent“ zu entwickeln, die für menschliche Nutzer*innen zu bevorzugen sind.

Moderne IT-Systeme, das Internet und insbesondere Big Data führen zu einer Erosion datenschutzrechtlicher Grundprinzipien, die sich größtenteils in den 1980er Jahren herausgebildet haben. Die Einwilligung ist ein Beispiel hierfür: Personenbezogene Daten dürfen nur erfasst werden, wenn eine wirksame Einwilligung vorliegt oder ein gesetzlicher Erlaubnistatbestand dies gestattet, beispielsweise die Wahrnehmung berechtigter Interessen. Voraussetzungen für eine wirksame Einwilligung sind aber unter anderem, dass sie in informierter Weise bzw. in Kenntnis der Sachlage erfolgt. Hierzu muss die oder der Einwilligende zumindest wissen, wer welche personenbezogenen Daten für welche Zwecke verwenden können soll und an wen er diese überdies weitergeben darf (dazu etwa Bitter/Buchmüller/Uecker, Datenschutzrecht, in: Th. Hoeren (Hrsg.), Big Data und Recht, 2014, S. 72 ff.). An diese Einwilligung ist die spätere Datennutzung gebunden.

Die Einwilligung - genuiner Ausdruck informationeller Selbstbestimmung - wird unter den Bedingungen moderner IT und Big Data einer Belastungsprobe ausgesetzt. Sie betrifft insbesondere den Zustimmungsakt und die Zweckbindung der Datennutzung: Datenschutzrechtliche Einwilligungen setzen auf einen freiwilligen, selbstbestimmten Zustimmungsakt von Privatpersonen („informed consent“ bzw. „notice and consent“). Tatsächlich weisen aber viele Studien darauf hin,  dass viele Einwilligungen, etwa beim Akzeptieren von Cookies, uninformiert getroffen werden (etwa J.A. Obar/A. Oeldorf-Hirsch, The biggest lie on the internet: Ignoring the privacy policies and terms of service policies of social networking services, Information, Communication & Society, pp. 1-20, 2018; I. Pollach, What’s wrong with online privacy policies?, Communications of the ACM, vol. 50, no. 9, pp. 103-108, 2007; D. Susser, Notice After Notice-and-Consent: Why Privacy disclosures are valuable even if consent frameworks aren’t, Journal of Information Policy 9: 37–62, 2019). Weder werden Datenschutzerklärungen vor einer Einwilligung gelesen („clicking-without-reading“) oder – sofern ausnahmsweise doch – meist nicht oder nur teilweise zutreffend verstanden. Auch die Zweckbindung der Einwilligung wird durch technische Entwicklungen in Frage gestellt. Das betrifft gerade den Bereich big data/machine learning, wo von Nutzer*innen erhobene Daten z.B. in das Training und die Selektion von Algorithmen und Modellen einfließen. Hier ist der Zweck der Daten oft nicht mehr klar erkennbar und durch den Einsatz von trainierten Modellen in immer neuen Einsatzzwecken extrem wandelbar. Das widerspricht einer Informiertheit ex ante, von der das Prinzip der datenschutzrechtlichen Einwilligung ausgeht.

Es stellt sich mithin die Frage, welche Alternativen es zu einer Einwilligung im herkömmlichen Sinne gibt: Diese werden in der juristischen Literatur bislang nur vereinzelt und eher apodiktisch diskutiert (etwa L. Specht/L. Bienemann, Zur Zukunft der datenschutzrechtlichen Einwilligung, in: Beilage 1 zu K&R 9/2018, S. 22-23, S. Augsberg/U. Ulmenstein, Modifizierte Einwilligungserfordernisse - Kann das Datenschutzrecht vom Gesundheitsrecht lernen? | GesR 2018, 341-346). Eine umfassende Aufarbeitung hierzu fehlt, soweit ersichtlich. Denkbar wären z.B. ein stärkeres Datenschutzbewusstsein bei Einwilligung durch eine wirtschaftliche Betrachtung von Daten oder die Limitierung der Einwilligung der Reichweite von Einwilligungen durch den Gesetzgeber und eine intensivere Aufsichtspraxis („rote Linien“); das gilt gerade für den Bereich asymmetrischer Machtverhältnisse (dazu etwa M. Kamp/M. Rost, Kritik an der Einwilligung, DuD 2013, 80-84).

Produktiv für eine Weiterentwicklung erscheinen aber vor allem die Verknüpfung einer rechtlichen und einer technischen Perspektive („privacy by design“): Ein möglicher Ansatz wäre eine standardisierte Schnittstelle für Privatsphäre-Einstellungen, ein Ansatz der in der Vergangenheit aber wiederholt gescheitert ist, vgl. den Do-Not-Track Standard (J. Mayer and J. Mitchell. Third-Party Web Tracking: Policy and Technology. IEEE SP 2012.). Erfolgsversprechender erscheinen daher Ansätze, die ohne weitere Mitwirkung der Seitenbetreiber auskommen, z.B. erscheint es möglich, „Cookie-Banner“ automatisiert auszufüllen, basierend auf vom Benutzer einmal vorgenommenen Privatsphäre-Einstellungen.  Auch wenn heute nur eine Minderheit der eingesetzten Cookie-Banner den rechtlichen Anforderungen genügen, könnte es unter Umständen möglich sein, eine Struktur der Cookie-Banner einzufordern, die ein automatisiertes Ausfüllen erleichtert.

Ein anderer Ansatz könnte bei der Einwilligung selbst auf technische Assistenten setzen, welche die eigene Einwilligungspraxis dokumentieren (Wo welche Einwilligungen zu welchem Zeitpunkt unter Verwendung welcher Datenschutzerklärungen?) und Risikobewertungen vornehmen. Denkbar wäre aber auch ein fortlaufendes Monitoring von erteilten Einwilligungen bzw. dem Gebrauch von personenbezogenen Daten, die – gerade wenn sie in einem neuen, datenschutzrechtlich relevanten Kontext verwendet werden sollen – einen Hinweis sendet, ob erneut eingewilligt bzw. widersprochen werden soll.

Letztlich also soll die Prüfung von Autonomie (u.a. Informiertheit) als Grundannahmen einer Einwilligung einer sozialwissenschaftlichen und rechtlichen Bestandsaufnahme unterzogen werden. Sich hieraus ergebende Herausforderungen sollen insbesondere im Verbund mit technischen Lösungen weiterentwickelt werden.

Mögliche übergreifende Forschungsfragen:

  • Welche Chancen und Risiken bringt der „notice and consent“-Ansatz aus rechtlicher und sozialwissenschaftlicher Perspektive?
  • Wie lassen sich der bisherige „notice and consent“-Ansatz im Verbund einer rechtlichen und technischen Perspektive modifizieren bzw. funktionale Äquivalente zum bisherigen Ansatz finden?
  • Welche alternativen Mechanismen zu „notice and consent“ sind aus Nutzersicht zu bevorzugen, weil sie die rechtliche Zielvorstellung „informationelle Selbstbestimmung“ im Zeitpunkt der Erteilung einer datenschutzrechtlichen Einwilligung und hierüber hinaus unterstützen?

Bei der Beantwortung dieser Fragen käme ein Mix aus Methoden zum Einsatz.  Zentral wären auf der einen Seite ein Mix aus Nutzerbefragungen und Experimenten (sowohl in-lab also auch online), um Intentionen und Handlungen in Bezug auf Einwilligungen zu untersuchen. Sie wären eng mit rechtlichen Fragestellungen zu verknüpfen, um auch hier Aussagekraft zu erhalten.

Wir haben somit einen Themenkomplex identifiziert, der in sehr enger Abstimmung zwischen den Tandempartnern bearbeitet werden kann. Verbunden werden hier eine rechtliche, technische und sozialwissenschaftliche Perspektive, die auch die PI’s fachlich abdecken.

 

Betreut von: Prof. Markus Dürmuth

E-Mail:  leona.lassak@ruhr-uni-bochum.de

Website https://informatik.rub.de/mobsec/people/lassak/

Sechuman

Copyright: CASA, Caroline Schreer