Das Bundesministerium für Wirtschaft und Energie (BMWi) hat am 20. März 2017 zur Eröffnung der Cebit das Weißbuch Digitale Plattformen veröffentlicht. Es baut auf dem Grünbuch vom Mai 2016 auf, enthält konkretere Regelungsvorschläge und ist Teil der „Digitalen Strategie 2025″ des BMWi.
BMWi beschreibt die Entwicklung vom Grünbuch zum Weißbuch:
Anhand von zwölf Thesen und 52 Leitfragen haben wir vier Monate lang mit Unternehmen, Verbänden und Interessierten aus allen Bereichen der Gesellschaft über die künftige Ausgestaltung eines Ordnungsrahmens für digitale Plattformen diskutiert.
Über 260 wertvolle Hinweise, Anregungen und Vorschläge sind in den Konsultationsprozess eingeflossen.“
Hannover IT e.V. beabsichtigt eine Stellungnahme zum Weißbuch abzugeben und hat Partner:innen dieses B2B-Netzwerkes eingeladen, ihre Anmerkungen beizutragen.
praemandatum hat sich aktuell aus datenschutzrechtlicher Sicht zu den Punkten „3.2 Eine moderne Datenökonomie schaffen“ und „3.4 Eine demokratische Digitalkultur sichern“ geäußert:
Generell fällt auf, dass das Wort „Netzneutralität“ nur an einer Stelle in einem Nebensatz des vorliegenden Weißbuches genannt wird (Seite 99). In diesem Nebensatz wird zudem der Eindruck erweckt, als wäre das Thema eher ein Innovationshemmnis. Eine diskriminierungsfreie Datenpolitik sollte jedoch eines der Primärziele des politischen Handelns im digitalen Bereich sein – insbesondere, wenn im Rahmen aller anderen Kapitel stark für eine Chancengleichheit im Wettbewerb plädiert wird.
3.2.1 Freier Datenfluss und Nutzungsrechte an Daten
Die Praxis zeigt, dass kaum Daten ohne jeglichen Personenbezug entstehen werden. Sowohl im Industrie-4.0- als auch und insbesondere im IoT-Bereich werden praktisch alle entstehenden Daten entweder einen direkten Personenbezug haben oder durch ihre Auswertung im Kontext eine Deanonymisierung der beteiligten Mitarbeiter oder Privatpersonen erlauben. Insbesondere diese „indirekten Daten“ sollten der ebenfalls im Dokument proklamierten Datensouveränität der natürlichen Personen in all ihren Facetten unterliegen.
Das hört sich gut an, ist aber aufgrund der schwammigen Formulierung ein unmögliches Ziel.
Diese Formulierung klingt nach dem Willen, den Schutz sensibler Daten abzuschaffen und möglichst jedem Unternehmen die Verwendung dieser Daten zu erlauben.
Hier sollte zwingend zwischen explizit und implizit durch den Nutzer abgegebene Daten unterschieden werden. Explizite Datenabgaben sind zum Beispiel Postings in sozialen Netzwerken. Implizite Datenabgaben sind Daten, die aufgrund des Nutzerverhaltens entstehen wie beispielsweise durch Big-Data-Verfahren ermittelbare Gesundheitsdaten.
Implizit abgegebene Daten zeichnen sich zumeist dadurch aus, dass deren Existenz dem Nutzer nicht bewusst ist. An dieser sollten die Schranken zur weiteren Nutzung Dritter keinesfalls aufgehoben werden. Idealerweise sollte ganz im Gegenteil die Nutzung respektive Generierung solcher Daten im Sinne der Datensouveränität sehr viel transparenter und aus Nutzersicht steuerbarer gemacht werden.
Bei explizit abgegebenen Daten erscheint hingegen eine Datenmonopolvermeidung im beschriebenen Sinne sinnvoll.
Nach allen Erfahrungen der letzten Jahre erscheint es zur Entstehung von Innovation und Kreativität vielmehr notwendig, dass sinnvolle Fair-Use-Regelungen gefunden werden, die auch nichtkommerzielle Nutzungen entkriminalisieren.
Eine harte Abgrenzung zwischen „Kreativschaffenden“ und reinen „Konsumenten“ ist nicht mehr zeitgemäß und somit obsolet. Spätestens das fatale Leistungsschutzrecht hat gezeigt, dass eine weitere Stärkung von Durchsetzungsrechten in konventioneller Weise nicht der richtige Weg sein kann.
3.2.3 Siegel und Zertifizierungen
Die Erfahrung zeigt, dass Pseudonymisierungen und insbesondere Anonymisierungen in der Praxis in fast allen Fällen derart schlecht umgesetzt werden, dass sie in keiner Weise dem Datenschutz dienlich sind. Ganz im Gegenteil werden unter diesen Feigenblättern geradezu haarsträubende Handel getrieben.
Somit muss auf die Güte und die unabhängige Beurteilung durch Dritte bei der Nutzung solcher Verfahren geachtet werden.
3.2.4 Vertrauensdienstegesetz
In diesem Abschnitt wird viel über Authentifizierung gesagt, nichts jedoch über Verschlüsselung. Ein System zur Kommunikation mit Behörden muss neben der Authentizität auch zwingend Ende-zu-Ende-verschlüsselt garantieren.
Weiterhin muss dafür Sorge getragen werden, dass eine eindeutige Identifikationsmöglichkeit (wie beispielsweise mit der eID) nicht zum Standard für eine pauschale Deanonymisierung aller Internetnutzer werden kann.
Eine großflächige Nutzung solcher Systeme wird ohne Zweifel auch von Serviceanbietern gefordert werden, um die Datenqualität bzgl. ihrer Nutzer zu erhöhen. Das mag bei Bezahldiensten sinnvoll sein, bei sozialen Netzwerken jedoch das Gegenteil.
Eine anonyme Nutzung des Internets muss gewährleistet bleiben.
3.2.8 AGB-Recht
Der Autor verschweigt, dass im B2B-Bereich die gesetzlichen Kontrollmöglichkeiten bereits beschränkt sind, da hier §§ 308, 309 BGB ausgeschlossen sind.
Das Argument, das AGB-Recht müsse sich an europäischen Standards orientieren, kann ebenfalls nicht gelten, da Harmonisierung nicht um jeden Preis erfolgen darf. Denn die richterliche Überprüfbarkeit von AGB soll den Adressaten von AGB schützen, so etwa vor unlauteren Praktiken.
Gerade im Zuge der erwähnten neuen digitalen Geschäftsfelder und damit einhergehenden neuen Geschäftspraktiken sollte eine Überprüfbarkeit nach bewährten Standards möglich sein. So bietet die Inhaltskontrolle nach § 307 BGB im Rahmen einer Güterabwägung genug Spielraum, auch neue Medien und digitale Technologien zu berücksichtigen und gerade dem im Text befürchteten erwähnten Missbrauch von Machtgefällen zu begegnen.
3.4 Eine demokratische Digitalkultur sichern
Das sind sie aktuell nicht. Generell erscheinen die Ausführungen im Weißbuch größtenteils ausgewogen.
Hinzuzufügen wäre allerdings noch der Aspekt der Filterblase: Fake-News breiten sich aktuell zu einem nicht unwesentlichen Teil deswegen aus, weil die großen Plattformbetreiber Filterblasen für ihre Nutzer ausbilden. Dabei werden Postings bevorzugt angezeigt, die dem bereits vorhandenen Weltbild des Nutzer am meisten entsprechen. Die Konfrontation mit anderen Meinungen unterbleibt in vielen Fällen.
Insofern wäre ein regulatorischer Eingriff überlegenswert, die eine harte Abkapselung in die eigene Filterblase zumindest erschwert.
praemandatums Justiziar kommentierte eine Regulierung von Digitalkultur aus anderer Sicht: Eine Kontrolle junger Medien wie den sozialen Netzwerken, die sich selbst noch entwickeln bzw. definieren müssen und somit einer eigenen Dynamik unterliegen, erscheint, – wenn überhaupt notwendig – verfrüht. Vielmehr könnte sie die Entwicklung der Medien selbst behindern. Es ist anzunehmen, dass sich das Bewusstsein dafür, dass Beiträge nicht nur einem begrenzten Adressatenkreis, sondern einer Vielzahl von potenziellen Lesern zugänglich und dieser Umstand mit Konsequenzen verbunden sein kann, erst noch etablieren muss. Darüber hinaus wird die Hemmschwelle, Meinungen und somit auch „hate speech“ über soziale Medien zu äußern, regelmäßig niedriger sein. Daher sollte eher Aufklärungsarbeit durch den Staat getätigt werden anstatt eine Kriminalisierung der Nutzerschaft voranzutreiben.
Der Autor des Weißbuches unterstreicht zurecht die Meinungsfreiheit als hohes Gut in einem demokratischen Staat. Ein demokratischer Staat sollte jedoch idealerweise durch seine Bürger definiert werden und nicht durch staatliche Instanzen, die diesen durchzusetzen versuchen. Auch die in 3.4.1 formulierte Einführung von Compliance-Vorschriften für private Anbieter sozialer Medien käme zur Unzeit, da im Ergebnis eine Massenzensur zu befürchten ist. Eine Atmosphäre der Zensur im Kontext aktueller Tendenzen einiger Staaten, die Meinungsfreiheit zu beschränken, wäre als äußerst problematisch zu bewerten.
3.4.1 Den Grundrechtsschutz im Internet stärken
Dieser Satz führt alle Ausgewogenheiten, die im Vorfeld genannt wurden, vollständig ad absurdum und steht in klarem Widerspruch zur Überschrift. Ein Rechtsstaat muss auch unliebsame, anonyme Äußerungen aushalten können. Eine Pseudonomysierung durch den Plattformbetreiber ist weder zuverlässig im Hinblick auf Datenunfälle oder Hackerangriffen, noch bei international agierenden Unternehmen sinnvoll, wenn man die Aktivitäten und die Datenaffinität anderer Regierungen bedenkt.
Bei eindeutigen Rechtsverstößen ist es mittels Polizeiarbeit in der Regel möglich, den Absender auch mit den beim Anbieter und ISP entstehenden Metadaten zu identifizieren. Der Anbieter sollte und darf die Namen nicht zwingend selbst kennen und vorhalten müssen.
Weiterhin würde eine solche Regelung die Datenqualität der großen Monopolisten enorm verbessern und somit die durchaus sinnvollen Regelungen der DSGVO unterlaufen.
pl/mk/dh