Ziel dieser Vortragsreihe war es, wissenschaftliche Expertise zum Thema Datenintermediäre zu erlangen, zu bündeln und unter Beteiligung von verbraucherpolitischen Akteuren sowie einer interessierten Öffentlichkeit zu diskutieren. Die Vorträge werden durch Aufzeichnungen und Paper dokumentiert.
Foto:
TK Schütte / VZ NRW
On
Eine Online-Vortragsreihe der Verbraucherzentrale NRW e. V.
mit Unterstützung durch das Institut für Verbraucherinformatik
der Hochschule Bonn-Rhein-Sieg
Ziel dieser Vortragsreihe ist es, wissenschaftliche Expertise zum Thema Datenintermediäre zu erlangen, zu bündeln und unter Beteiligung von verbraucherpolitischen Akteuren sowie einer interessierten Öffentlichkeit zu diskutieren. Angesichts des fortschreitenden Tempos der europäischen und nationalen Regulierung in diesem Bereich und der aktuellen Unklarheit über Ausgestaltung, Rolle und Zielsetzung ist eine wissenschaftliche Beratung in diesem Bereich unerlässlich.
Die Vorträge werden durch Aufzeichnungen und Arbeitspapiere dokumentiert.
Verbraucher:innendaten in treuen Händen? Wissenschaftliche Expertise notwendig!
Mit der zunehmenden Digitalisierung durchdringen internetbasierte Dienste den Konsumalltag von Verbraucher:innen. Der Schutz der eigenen Daten wird immer komplexer und aufwändiger. Verbraucher:innen müssen sich mit einer Vielzahl von Sicherheits- und Datenschutzthemen auseinandersetzen, die sich zudem häufig ändern. Dabei wird die Verantwortung für die digitale Selbstbestimmung vor allem den Verbraucher:innen zugeschoben, ohne dass diese in die Lage versetzt werden, diese Verantwortung auch übernehmen zu können.
Eine Möglichkeit zur Entlastung der Verbraucher:innen sind Datentreuhänder, die insbesondere durch die Fokussierung auf Personal Information Management-Systemen (PIMS) im Gutachten der Datenethikkommission aus dem Jahr 2019 in den Fokus geraten sind. Der Begriff des Datentreuhänders ist aber nicht klar definiert, unterschiedliche Dienste und Angebote fallen unter diesen Oberbegriff.
Deshalb möchte die Verbraucherzentrale NRW mit Unterstützung durch das Institut für Verbraucherinformatik der Hochschule Bonn-Rhein-Sieg (IVI) die wissenschaftliche Expertise zum Thema Datentreuhänder in einer durch das Ministerium für Umwelt, Landwirtschaft, Natur- und Verbraucherschutz des Landes Nordrhein-Westfalen geförderten Online-Vortragsreihe bündeln und mit verbraucherpolitischen Akteuren sowie einer interessierten Öffentlichkeit diskutieren. Angesichts des fortschreitenden Tempos der europäischen und nationalen Regulierung in diesem Bereich und der aktuellen Unklarheit über Ausgestaltung, Rolle und Zielsetzung ist eine wissenschaftliche Auseinandersetzung über dieses Thema unerlässlich.
Twitter
Unter dem Hashtag #ZuTreuenHänden? können Sie über die Veranstaltungen twittern. Es gelten dabei die Chatham House Rules; Inhalte der Vorträge dürfen den Referentinnen namentlich zugeordnet werden.
YouTube-Playlist
Bitte beachten Sie, dass durch Nutzung des folgenden Links eine Verbindung zu YouTube hergestellt wird und Daten dorthin übermittelt werden. Hier finden Sie dessen Hinweise zur Datenverarbeitung.
Alle Aufzeichnungen der Vorträge finden Sie auf der Playlist des YouTube-Kanals der Verbraucherzentrale NRW.
Dokumentation: Veranstaltungsbeschreibungen, Videos und Paper
Vortrag 1: Datentreuhandstrukturen und Regulierungsoptionen
Freitag, den 18. Juni 2021, 13:00 Uhr – 14:30 Uhr
Professorin Dr. Louisa Specht-Riemenschneider (Rheinische Friedrich-Wilhelms-Universität Bonn) und Aline Blankertz (Stiftung Neue Verantwortung, Berlin)
Download des Papers | PDF
Hinweis: Das Paper trägt den abweichenden Titel "Wie eine Regulierung für Datentreuhänder aussehen sollte".
Datentreuhandmodelle sind eine wichtige Lösungsoption zum Ausgleich zwischen Datenschutz- und Datenverwertungsinteressen. Sie könnten zu einem wesentlichen Baustein in der Datenökonomie werden. Es existieren aber so vielfältige Datentreuhandmodelle, dass sich bislang weder eine einheitliche Definition noch spezifische Treuhandtypen herausbilden konnten. Gerade eine solche Ausbildung von Datentreuhandtypen, ihren Grundfunktionen und den daraus resultierenden Risiken für die Rechte und Interessen von Beteiligten sind aber unerlässlich, um passgenau zu regulieren. Der Entwurf eines Data Governance Acts (DGA) schlägt vor, Anmeldeerfordernisse, Neutralitätspflichten und Aufsichtsstrukturen für eine Vielzahl von Datentreuhandmodellen vorzusehen. Das Problem datenschutzrechtlicher Grauzonen als ganz erheblichem Hemmnis für ein freiwilliges Datenteilen wird nicht adressiert. Weshalb Datentreuhändern zusätzliche strengere Anforderungen als sie im geltenden Recht v. a. mit dem Datenschutz- und dem IT-Sicherheitsrecht ohnehin bestehen, auferlegt werden sollten, ist jedenfalls dann nicht nachvollziehbar, wenn man Anreize für die Entwicklung von Datentreuhandmodellen setzen möchte. Zusätzlichen regulatorischen Vorgaben für Datentreuhandmodelle ist daher ein ermöglichender Rechtsrahmen vorzuziehen, der sich an anreizbasierten Zertifizierungslösungen orientiert. Der Beitrag systematisiert mögliche Datentreuhandmodelle und stellt alternative anreizbasierte Regulierungsmodelle vor.
Vortrag 1 auf YouTube
Vortrag 2: Daten-Governance, Treuhandmodelle und die Verteilung von Nutzen und Risiken
Mittwoch, den 18. August 2021, 13:00 - 14:00 Uhr
Professorin Dr. Ingrid Schneider (Universität Hamburg)
Download des Papers | PDF
Hinweis: Das Paper trägt den abweichenden Titel "Datentreuhandschaft durch Intermediäre: Chancen, Herausforderungen und Implikationen".
Daten werden oft als wichtigster Rohstoff für Big Data, künstliche Intelligenz und die derzeitige wirtschaftliche und gesellschaftliche Transformation bezeichnet. Daten sind weder Arbeit noch Kapital, sondern stellen ein Drittes dar, das sich nicht einfach als Wissen begreifen lässt. Das Geschäftsmodell vieler großer Plattformen beruht auf Netzwerkeffekten und zweiseitigen Märkten. Die damit verbundenen neuen Machtasymmetrien der Datenökonomie geben Anlass zur Sorge. Denn die Verhandlungsmacht der Plattform ist viel größer als die der einzelnen Nutzer:innen. Daher sind Nutzen und Risiken ungleich verteilt.
Auf der Suche nach Modellen, die Alternativen zu den bestehenden Geschäftsmodellen der plattformbasierten Datenökonomie eröffnen könnten, werde ich vier Governance-Formen untersuchen, die Daten (1) als privates Gut, (2) als öffentliches Gut, (3) als Gemeingut und (4) mittels einer Treuhänderschaft bewirtschaftet sehen wollen. Die entsprechenden Geltungsansprüche sollen hinterfragt werden. Wie kann die informationelle Selbstbestimmung derjenigen, die Daten zur Verfügung stellen, gewahrt werden? Und kann eine Brücke zwischen geregelter kommerzieller Nutzung und der Nutzung für das Gemeinwohl geschlagen werden?
Der besondere Fokus des Vortrags liegt auf Datentreuhändermodellen, die als Schnittstelle zwischen Datenschutzbelangen und der Datenökonomie dienen können. Deren Bandbreite reicht von Personal Information Management Systems (PIMS), also Diensten, welche die individuellen Präferenzen der Nutzer weitgehend automatisch umsetzen ("Datenagenten") bis hin zur mehr oder weniger umfassenden Verwaltung der Daten durch Dritte. Es wird diskutiert, wie Nutzen und Risiken bei verschiedenen Treuhand-Modellen verteilt sind, ob die Rechte und Schutzbedürfnisse von Bürger:innen dabei gewahrt werden und welche Governance notwendig wäre, informationelle Selbstbestimmung und Gemeinwohlbelange zu sichern.
Vortrag 2 auf YouTube
Vortrag 3: Digitale Souveränität – Chance oder Bürde?
Dienstag, den 5. Oktober 2021, 13:00-14:30 Uhr
Professorin Dr. Martina Sasse (Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum)
Traditionelle IT-Systeme in Wirtschaft und Verwaltung wurden auf die Bedürfnisse von Auftraggebern zugeschnitten, die Daten von Kunden und Bürgern einforderten und als ihr Eigentum behandelten, und Informationen über uns an andere weitergeben. Benutzbarkeit und gelebte Erfahrung der „Datensubjekte“ war zweitranging, wenn überhaupt bedacht. Neue technische Entwicklungen (insbesondere Blockchain und Zero Knowledge Proofs) schaffen die Möglichkeit dass Bürger und Konsumenten ihre Daten selbst verwalten und entscheiden können, an wen sie welche Informationen geben – ein wichtiger Baustein für informationelle Selbstbestimmung. Aber wie sieht es mit der Benutzbarkeit und gelebten Erfahrung dieser Systeme aus? In dem Vortrag werde ich aufzeigen, dass viele dieser Systeme keine nutzerzentrierte Perspektive haben, und so mehr Bürde als Chance für Konsumenten darstellen.
Vortrag 3 auf YouTube
Vortrag 4: Digitale Selbstbestimmung durch Personal Information Management Systems? Chancen, Hemmnisse und politische Handlungsempfehlungen
Mittwoch, den 10. November 2021, 13:00 Uhr – 14:30 Uhr
Professor Dr. Jan Krämer (Universität Passau)
Download des Papers | PDF
Personal Information Management Systeme (PIMS) sind Softwarelösungen, die Nutzer:innen bei zahlreichen Aspekten der Verwaltung, Speicherung und Nutzbarmachung von (persönlichen) Daten unterstützen sollen. Beispielsweise könnten PIMS Nutzer:innen dabei unterstützen, ihre Datenfreigabeentscheidungen über verschiedene Online-Plattformen hinweg zu verwalten, Kopien der über Sie gespeicherten persönlichen Daten mittels des Rechts auf Datenportabilität anzufordern und zu speichern, oder ihre Daten sogar im Interesse der Nutzer:innen direkt zu vermarkten und zu monetarisieren. Doch warum haben sich PIMS dann bisher nicht am Markt durchgesetzt? Welche ökonomischen und technischen Hemmnisse bestehen noch und wie kann die Politik diese gegebenenfalls adressieren? Der Vortrag bietet – auch für technische Laien – einen Einblick und Überblick in die Vielfalt und Möglichkeiten von PIMS und adressiert dabei ihre Chancen und Risiken hinsichtlich der Förderung der digitalen Selbstbestimmung von Konsument:innen. Mögliche Geschäftsmodelle von PIMS werden kritisch beleuchtet und schlussendlich politische Handlungsempfehlungen abgeleitet, welche Voraussetzungen erfüllt sein müssen, sodass PIMS in der Zukunft tatsächlich zu einem signifikanten Baustein in der Durchsetzung der digitalen Selbstbestimmung werden können.
Vortrag 4 auf YouTube
Vortrag 5: Datenschutz: Rechtsstaatsmodell oder neoliberale Responsibilisierung? Warum Datentreuhänder kein Mittel zum Schutz der Grundrechte sind
Donnerstag, den 18. November 2021, 13:00 Uhr – 15:00 Uhr
Dr. Jörg Pohle (Alexander von Humboldt Institut für Internet und Gesellschaft, Berlin)
Download des Paper | PDF
Welche Rolle sollen Datentreuhänder überhaupt spielen, und welche Probleme sollen sie eigentlich lösen – und welche nicht? Ein Blick in aktuelle Gesetzesvorhaben und die wissenschaftliche Literatur zeigt: Um Grundrechtsschutz geht es nicht. Stattdessen steht etwas anderes im Vordergrund: Es soll Betroffenen einfacher gemacht werden, in die Verarbeitung ihrer personenbezogenen Daten durch eine große Zahl von Datenverarbeitern und zu beliebigen und/oder beliebig breiten Zwecken einzuwilligen. Dabei wird ein Mittel – die Einwilligung, die selbst auch nur ein Aspekt der Daten(fluss)kontrolle ist oder sein kann, die Betroffene nach dem Gesetz haben – am eigentlichen Gesetzeszweck (dem Grundrechtsschutz) vorbei zum Schutzziel stilisiert und scheinbar gelöst – „scheinbar“ deshalb, weil die geforderte Vereinfachung einer Abgabe von Einwilligungserklärungen natürlich dem Ziel dient, die Betroffenen zu mehr Einwilligungen zu bewegen und damit den Datenverarbeitern zu nutzen. Die Funktion der Datentreuhänder wird dann darin bestehen, die Tatsache des Fehlens eines effektiven Grundrechtsschutzes hinter einer scheinbar Transparenz und Kontrolle gewährenden Oberfläche in Form eines persönlichen Dashboards oder Daten-Cockpits zu verstecken.
Ausgehend von einem Datenschutzverständnis, das Datenschutz nicht als individuelle Befindlichkeit, private Neigung oder Schutz einer als privat verstandenen Sphäre und schon gar nicht als auf die Betroffenen abgewälzte Schutzverantwortung versteht, sondern Mittel zur Festlegung und Durchsetzung der Bedingungen, unter denen moderne Informationsverarbeitung gesellschaftlich, also für alle Teile der Gesellschaft, akzeptabel sein kann, will der Vortrag eine grundsätzliche Kritik an Datentreuhändern formulieren. Der Vortrag wird zeigen, wie Datentreuhänder nicht nur zur Fortschreibung einer neoliberalen Individualisierungs- und Responsibilisierungsstrategie im Datenschutzbereich dienen, sondern dass sie auch strukturell nicht in der Lage sein können, den Schutz der Grundrechte bei der Datenverarbeitung sicherzustellen – entweder mangels Macht gegenüber den großen Datenkonzernen wie Google, Amazon, Facebook, Apple oder Microsoft, oder weil sie selbst zu mächtigen Spielern, vielleicht gar Monopolisten und zentralen Gatekeepern, und damit Grundrechtsrisiken werden.
Vortrag 5 auf YouTube
Vortrag 6: Kann man dem trauen? Überlegungen zur Datentreuhänderschaft als stellvertretender Datenschutz
Donnerstag, den 18. November 2021, 13:00 Uhr – 15:00 Uhr
Professor Dr. Gunnar Stevens (Universität Siegen)
Download des Papers (Gunnar Stevens und Alexander Boden) | PDF
Hinweis: Das Paper trägt den abweichenden Titel "Warum wir parteiische Datentreuhänder brauchen: Zum Modell der Datentreuhänderschaft als stellvertretende Deutung der Interessen individueller und kollektiver Identitäten".
In diesem Vortrag soll der Frage nachgegangen werden, ob wir eine Art Professionalisierungstheorie für die Datentreuhänderschaft benötigen. Die zunehmende Komplexität technischer Infrastrukturen und empirische Befunde zum Privacy Paradox weisen auf eine eingeschränkte Autonomie des Subjekts hin, sein Interesse wahrzunehmen und seine Daten selbstbestimmt zu kontrollieren. Das Bild des:der selbstbestimmten Nutzers:in scheint damit an seine Grenzen zu geraten. Im Sinne Ullrich Oevermanns ließe sich dann Datentreuhänderschaft als stellvertretende Krisenbewältigung ansehen, die darauf abzielt, für den:die Klienten:in entsprechend dessen Wertvorstellungen und Interessen Entscheidungen zu treffen, sowie dessen:deren Integrität und Autonomie wiederherzustellen, respektive zu fördern. Hieraus leiten sich besondere Rechte, aber auch Fürsorgepflichten ab, die es genauer zu bestimmen gilt. Insbesondere gilt es, strukturelle Konflikte, z. B. zwischen Eigeninteresse von Datentreuhändern und den Interessen ihrer Klient:innen, zu berücksichtigen. Diese müssen allen Parteien transparent sein und durch Ausgestaltung der Datentreuhänderschaft minimiert werden. Im Vortrag soll zum einen der Frage nachgegangen werden, inwieweit das Oevermann’sche Professionalisierungsmodell übertragbar ist und welche Implikation für die Ausgestaltung von Rechten und Pflichten sich hieraus ergeben.
Vortrag 6 auf YouTube
Vortrag 7: Digitale Souveränität durch neue technische Ansätze für Transparenz und Auskunft
Donnerstag, den 2. Dezember 2021, 13:00 Uhr – 14:30 Uhr
Elias Grünewald, M.Sc. (Technische Universität Berlin)
Download des Papers (Elias Grünewald und Frank Pallas) | PDF
Hinweis: Das Paper trägt den abweichenden Titel "Datensouveränität für Verbraucher:innen: Technische Ansätze durch KI-basierte Transparenz und Auskunftim Kontext der DSGVO".
Verbraucher:innen werden täglich mit diversen Datenschutzbestimmungen und -optionen konfrontiert, die ihren rechtlich vorgesehenen Zweck der digitalen Souveränität nicht hinreichend erfüllen. Insbesondere in den beiden Feldern Transparenz und Auskunft, die gemäß der Europäischen Datenschutzgrundverordnung (DSGVO) als Betroffenenrechte und zur Umsetzung durch die verantwortlichen Stellen vorgesehen sind, besteht beachtlicher Nachholbedarf in der Praxis, da sie kaum zu tatsächlich gesteigerter digitaler Souveränität beitragen. Mit Blick auf viel diskutierte Datentreuhändermodelle und Personal Information Management-Systeme werden in diesem Vortrag neuartige technische Ansätze vorgestellt, die sowohl für Verbraucher:innen zu informierten Entscheidungen als auch bei verantwortlichen Stellen zur skalierbaren Umsetzung beitragen können. Unter anderem steht hierbei die maschinenlesbare Repräsentation von DSGVO-Transparenzinformationen im Fokus. Diskutiert werden sollen dabei u. a. Fragen zur technischen Umsetzung und der präferenzorientierten oder auch adaptiven Ausspielung. Im Ausblick wird zudem zu einem neuen technischen Möglichkeitsraum Stellung genommen, der als Leitgedanke zur zukünftigen regulatorischen und technischen Umsetzung beitragen soll.
Vortrag 7 auf YouTube
Vortrag 8: Selbstbestimmte Identitäten zur Stärkung der digitalen Souveränität
Dienstag, den 7. Dezember 2021, 13:00 Uhr – 15:00 Uhr
Professor Dr. Nils Urbach (Frankfurt University of Applied Sciences)
Download des Papers | PDF
Bei der Nutzung von Internet-basierten Diensten entstehen zwangsläufig Daten, deren Analyse und Kommerzialisierung häufig in den Händen weniger großer Technologiekonzerne liegen, wodurch wenig transparente und kaum kontrollierbare Datensilos entstehen. Aufgrund des Datenschutzrechts und im Sinne der digitalen Souveränität des Einzelnen ist es daher wichtig, jeder Nutzerin und jedem Nutzer die Möglichkeit zu geben, selbstbestimmt darüber entscheiden zu können, wann, wie und wofür die persönlichen Daten übermittelt und verarbeitet werden. Dies gilt vor allem für solche Daten, die unmittelbar die eigene Identität betreffen. Durch die Weiterentwicklung von kryptografischen Verfahren in Kombination mit der Blockchain-Technologie gewinnt ein neues Identitätsmanagementparadigma an Aufmerksamkeit, was genau an dieser Stelle ansetzt und die geschilderten Herausforderungen zu adressieren versucht. Das Konzept dieser portablen, selbstbestimmten Identitäten (engl.: Self-Sovereign Identities) sieht vor, dass die Nutzerinnen und Nutzer selbst über die Verbreitung ihrer digitalen Identitätsdaten bestimmen können. Dieser Vortrag wird sowohl auf die konzeptionellen Grundlagen als auch die Chancen und Herausforderungen dieses neuen Identitätsmanagementparadigmas eingehen und aufzeigen, wie es zur Stärkung der digitalen Souveränität beitragen kann.
Vortrag 8 auf YouTube
Vortrag 9: Transparenz und Auskunftsrecht aus Sicht der Nutzer:innen
Dienstag, den 7. Dezember 2021, 13:00 Uhr – 15:00 Uhr
Dr. Martin Degeling (Ruhr-Universität Bochum)
Download | PDF
Schon seit Langem ist es für die meisten Betroffenen schwierig nachzuvollziehen, wer was wann über sie weiß. In der Welt von Big Data und KI geht es dabei heute nicht mehr nur darum, welche Daten wann und auf welcher Plattform mit wem geteilt wurden, sondern welche zusätzlichen Informationen die Betreiber:innen oder Dritte aus den Datenspuren herleiten. Bei Tracking zu Werbezwecken im Internet ist es etwa üblich aus dem Surfverhalten von Webseitenbesucher:innen ihr Geschlecht, Alter und Interessen abzuleiten. Um die Transparenz über Datenflüsse für die Nutzer:innen zu erhöhen, sieht die Datenschutzgrundverordnung vor, dass Betroffene sowohl eine Auskunft als auch eine Kopie ihrer Daten erhalten können. In der Usable-Privacy-Forschung wurde in den vergangenen Jahren untersucht inwiefern Betroffene von diesem Recht Gebrauch machen können und inwiefern die Informationen, die Sie erhalten, dem Ziel der Transparenz und Nachvollziehbarkeit zuträglich sind. Die Probleme fangen damit an, dass einige Unternehmen es (absichtlich) schwer machen, für Betroffene eine Auskunft zu erhalten. Ist diese Hürde genommen, werden Daten dann in verschiedensten Formaten und häufig ohne Erläuterung bereitgestellt, und auch Fehler sind nicht unüblich.
Im Vortrag werden verschiedene Forschungsergebnisse zu Transparenz und Auskunft dargestellt und Vorschläge gemacht, wie Unternehmen oder Datenintermediäre oder Personal Information Management-Systemen (PIMS) ihre Plattformen gestalten sollten, um die informationelle Selbstbestimmung der Nutzer:innen zu stärken. Im Vortrag werden verschiedene Forschungsergebnisse zu Transparenz und Auskunft dargestellt und Vorschläge gemacht, wie Unternehmen oder Datenintermediäre oder Personal Information Management-Systemen (PIMS) ihre Plattformen gestalten sollten, um die informationelle Selbstbestimmung der Nutzer:innen zu stärken.
Vortrag 9 auf YouTube
Vortrag 10: Zulässigkeit einer digitalen Einwilligungsassistenz: Rechtliche Hürden und Lösungsvorschläge für einen nutzerfreundlicheren Datenschutz durch Personal Information Management Systems
Mittwoch, den 15. Dezember 2021, 13:00 Uhr – 15:00 Uhr
Dr. Jonas Botta (Deutsches Forschungsinstitut für öffentliche Verwaltung Speyer)
Download des Papers | PDF
Wer sich im Internet dem allgegenwärtigen Webtracking entziehen will, braucht einen langen Atem. Unbeobachtet bleibt allenfalls derjenige, der sich mühsam durch den Cookie-Banner-Dschungel klickt. Einen nutzerfreundlicheren Datenschutz versprechen indes sogenannte Personal Information Management Systems (PIMS) mit ihrer Funktion einer digitalen Einwilligungsassistenz. Internetnutzer sollen ihre Datenschutzpräferenzen zukünftig nur noch abstrakt-generell festlegen müssen. Anschließend kann das PIMS im konkreten Einzelfall die Einwilligung für den Nutzer automatisiert erklären. Um den bislang beschränkten Verbreitungsgrad dieser Technologie zu erhöhen, hat der Bundesgesetzgeber § 26 TTDSG erlassen. Es bestehen jedoch Bedenken, ob eine Einwilligung via PIMS überhaupt datenschutzrechtlich zulässig ist. Zudem birgt ein einwilligungszentrierter Regulierungsansatz für die Datenwirtschaft auch ganz allgemein die Gefahr in sich, das tatsächliche Datenschutzniveau abzusenken. Der Vortrag spürt daher sowohl Chancen als auch Risiken der PIMS nach.
Vortrag 10 auf YouTube
Vortrag 11: Von Personal Information Management zu Vendor Management Software: Empowerment und Selbstbestimmung der Verbraucher gegenüber Anbietern mittels digitalen Intermediären
Mittwoch, den 15. Dezember 2021, 13:00 Uhr – 15:00 Uhr
Erik Dethier, M.Sc., Dr. Christina Pakusch und Professor Dr. Alexander Boden (Institut für Verbraucherinformatik der Hochschule Bonn-Rhein-Sieg)
Download des Papers | PDF
Personal-Information-Management-Systeme (PIM-S/PIMS) gelten gemeinhin als Chance und Instrument, um die Datensouveränität der Verbraucher:innen zu stärken und zugleich die Ausübung von Datenschutzrechten zu erleichtern. Im Zuge dessen unterstützen bestehende PIMS-Anbieter entweder als Intermediär mit einer Dienstleistung oder als Softwarelieferant datenbezogene Aufgaben. Im Rahmen der verbraucherzentrierten Betrachtung der Tätigkeiten des sogenannten Life Admins, sehen sich Verbraucher:innen mit hohen Transaktionskosten konfrontiert. Dabei fällt auf, dass das PIM nur eine Aufgabenstellung neben vielen ist, die mit dem Management von Anbietern verbunden ist. So kann das PIM als ein Teilbereich des Anbieter-Managements (VRM) gesehen werden. Kern des VRM sind Verbraucherverträge, welche sowohl dem Datenschutz als auch anderen Anwendungsfällen, wie bspw. dem einer Kündigung oder einem Servicefall, zugrunde liegen. Organisationen setzen bereits seit langem CRM-Systeme ein, um Kundenbeziehungen und -daten zu pflegen sowie die operative Effizienz und effektive Durchsetzung kundenbezogener Prozesse zu steigern. Analog haben Verbraucher:innen durch neue Angebote auf dem Markt ebenso die Möglichkeit verschiedene IT-basierte Werkzeuge, welche sich als VRM-Systeme einordnen lassen, zu nutzen. VRM-Systeme besitzen das Potenzial, alle Aufgaben des Konsum-Lebenszyklus - von der Angebotsanfrage über Servicefälle bis hin zur Kündigung - zu einer Vielzahl von Anbietern zu unterstützen. Genau wie CRM-Systeme haben sie zum Ziel, die operative Effizienz und (rechtliche) Effektivität zu unterstützen und damit den Verbraucher:innen in seiner Position gegenüber Anbietern ganzheitlich zu stärken und souveränes Handeln zu ermöglichen. Durch eine kombinierte Betrachtungsweise der Herausforderungen von Verbraucher:innen in der aktuellen Forschung ist es möglich, Synergieeffekte ebenso für den Teilbereich von PIMS zu nutzen. Eine Grundlage von Datensouveränität muss ein:e ganzheitlich souveräne:r Verbraucher:innen sein.
Vortrag 11 auf YouTube
Vortrag 12: Digitale Selbstbestimmung und Datensouveränität durch Datenintermediäre? Eine Kritik am Beispiel der Datenschutzgrundverordnung (DSGVO) und dem Versuch einer risiko-basierten Regulierung von KI und automatisierten Entscheidungssystemen (AES)
Dienstag, den 11. Januar 2022, 13:00 Uhr – 14:30 Uhr
Christian Wadephul, M. A. (Stuttgart, vormals Institut für Technikfolgenabschätzung und Systemanalyse, ITAS des Karlsruher Instituts für Technologie, KIT)
Download | PDF
Obwohl der Entwurf eines Data Governance Acts (DGA) explizit Datentreuhandmodelle vorsieht, bleibt – gerade nach den vielen kritischen Stimmen in dieser Vortragsreihe (etwa von Schneider und Pohle) – fraglich, ob Datenintermediäre überhaupt als Lösung für die Konflikte zwischen Datenschutz- und Datenverwertungsinteressen dienen sollten. Befriedigende Antworten auf die folgenden beiden dringlichen Fragen stehen weiterhin aus: Wie kann die informationelle Selbstbestimmung und Datensouveränität derjenigen, die Daten zur Verfügung stellen, gewahrt werden? Welche Regulierung ist notwendig, um informationelle Selbstbestimmung zwischen einer kommerziellen und einer am Gemeinwohl orientierten Nutzung zu sichern? Das Problem datenschutzrechtlicher Grauzonen ist für eine Regulierung der Datenökonomie insofern von zentraler Bedeutung, als ein erheblicher Angriff auf Grundrechte zu beobachten ist (Stichworte: Diskriminierung durch Algorithmen, Machtasymmetrie durch Plattformgiganten etc.). Deshalb sind zusätzliche regulatorische Vorgaben zum geltenden Recht überfällig. Doch leider bleibt der Datenschutz auch nach Einführung der DSGVO noch zahnlos – und das obwohl sich nicht nur aus diesem Gesetz, sondern auch dem kürzlich veröffentlichten Verordnungsentwurf zur Regulierung der Künstlichen Intelligenz der EU-Kommission Anknüpfungspunkte für ein „Recht auf Erklärung“ bezüglich der investierten (Software-)Verfahren („Algorithmen“) entnehmen lässt. Als andere Seite von „Big Data“ enthalten die neuartigen (Software-)Verfahren, also „Algorithmen“ und „Künstliche Intelligenz“ (KI), diejenigen Regelsysteme, die entscheidend dafür sein können, welche Schlussfolgerungen aus Datenverarbeitungen gezogen und welche Bewertungen und Entscheidungen über Personen getroffen werden. Sie dienen dementsprechend nicht mehr allein der Automatisierung der Datenverarbeitung sowie der Informations- und Wissensgenerierung, sondern sind zunehmend auch Kernelemente von Systemen der automatisierten Entscheidungsunterstützung oder -durchführung.
Mittlerweile finden sich jedoch zahlreiche Anhaltspunkte, dass existierende oder künftige Anwendungen von KI und automatisierten Entscheidungssystemen (AES) Risiken und konkrete Beeinträchtigungen von Menschen- und Verfassungsrechten und weiteren gesellschaftlichen Grundwerten wie Demokratie und Rechtsstaatlichkeit haben. Zum (auch präventiven) Schutz der Grundrechte und -werte sind zahlreiche Vorschläge zur Regulierung von KI und AES unterbreitet worden, wobei risiko-basierte Ansätze überwiegen – etwa im Weißbuch Europäische Kommission (2020), ebenso AI HLEG (2019), Datenethikkommission (2019) oder Council of Europe (2020). Dabei stellt die risiko-basierte Regulierung nur eine von vielen Formen der Risikoregulierung dar, mit der Ressourcen der Regulierungsbehörde geschont werden sollen, indem sie sich auf diejenigen Regulierungsobjekte fokussiert, denen ein hohes Risiko zugeschrieben wird. Hierbei drängt sich die Frage auf, ob der risiko-basierte Ansatz die betroffenen Schutzgüter erfassen kann und welche normativen Entscheidungen über gefährdete Grundrechte und akzeptable Risiken an welcher Stelle getroffen werden (sollten).
Im Vortrag werden die Herausforderungen für eine Risikoregulierung von KI und AES dargestellt, die sich vor allem in der normativen Ambiguität bei der Risikobestimmung und -bewertung zeigt. Sie erfordert umfangreiche politische Prozesse, bevor eine Risikoregulierung eingerichtet und betrieben werden kann. Des Weiteren werden einzelne Vorschläge zum Ausbau der Risikoregulierung unterbreitet, um der Gefahr des Regulierungsversagens zu entgehen. So scheint es – auch und vor allem zur Stärkung des Datenschutzes – notwendig zu sein, neben dem Element der risiko-basierten Regulierung auch allgemein verbindliche Anforderungen bzw. Prinzipien (etwa das Vorsorgeprinzip) zu entwickeln und anzuwenden, die für KI- und AES-Anwendungen gelten sollten.
Vortrag 12 auf YouTube
Vortrag 13: Die Regulierung von Datenintermediären: Der Entwurf des Data Governance Act
Donnerstag, den 20. Januar 2022, 13:00 Uhr – 15:00 Uhr
Professor Dr. Moritz Hennemann (Universität Passau)
Download des Paper | PDF
Der Data Governance Act ist Teil der umfassenden Regulierungsbestrebungen der Europäischen Union in Bezug auf den Umgang mit und die Nutzung von Daten. Als Ausfluss Ihrer Datenstrategie hat die Europäische Union verschiedene Vorschläge vorgelegt (Digital Markets Act, Digital Services Act, Data Governance Act). Weitere Vorschläge sind angekündigt. Der Vorschlag des Data Governance Act umfasst Regelungen zu Daten öffentlicher Einrichtungen, zu Datenintermediären und zum Datenaltruismus. Im Vortrag soll der Data Governance Act vor dem Hintergrund der geltenden Rechtsordnung eingeordnet werden und im Schwerpunkt die Regelungen zu Datenintermediären (oder auch Datenmittlern) vorgestellt und diskutiert werden. Abschließend werden die vorgeschlagenen Neuregelungen mit Blick auf die globalen Entwicklungen im Datenrecht bewertet.
Vortrag 13 auf YouTube
Vortrag 14: Datenschutz im Internet der Dinge: Können Datentreuhänder helfen?
Donnerstag, den 20. Januar 2022, 13:00 Uhr – 15:00 Uhr
Dr. Zinaida Benenson (Friedrich-Alexander-Universität Erlangen-Nürnberg)
Download | PDF
Internet of Things (IoT) verspricht, unseren Alltag durch allgegenwärtige Automatisierung zu erleichtern. Insbesondere soll alles „smart“ werden: smarte Beleuchtung schaltet sich ein, wenn man nach Hause kommt; smarte Heizung passt Temperatur und Luftfeuchtigkeit den Präferenzen der Bewohner an; smarter Saugroboter erstellt den Plan der Wohnung, um effizient saugen zu können; smarte Türklingel filmt die Besucher; smarte Türschlösser lassen den Paketboten rein und smarte Hauskamera beobachtet, dass er nur in einen vorher bestimmten Bereich der Wohnung geht; smarte Alarmanlagen schützen vor unbefugten Zutritt. Und das Ganze wird mithilfe von Smartphone-Apps und smarten Sprachassistenten verwaltet. Solche smarten Systeme gibt es nicht nur in privaten Wohnungen und Häusern, sondern auch in Bürogebäuden, Fabriken, Hotels.
Um smart zu sein, sammeln all diese Systeme persönliche Daten, und verraten teilweise sehr viel über die Menschen, die sich in ihrer Nähe aufhalten – seien es die Besitzer der Systeme, ihre bewussten Benutzer oder Unbeteiligte, die eventuell gar nicht wissen, dass das System da ist. Folgen dieses Datensammelns sind für Laien sehr schwer einzuschätzen, und auch in der Industrie und in der akademischen Forschung noch nicht ausreichend untersucht. So stellte sich in der Vergangenheit heraus, dass intelligente Strommesser, falls sie mit einer hohen Granularität den Energieverbrauch in Haushalten messen, den Tagesablauf der Bewohner, die im Haushalt vorhandenen Geräte, und sogar angeschaute Fernsehprogramme bestimmen lassen. Diese Forschung hat dazu geführt, dass für Smart Metering in Deutschland hohe Datenschutzanforderungen gelten. Für andere smarte Systeme sind diese Anforderungen jedoch weitgehend nicht festgelegt.
Aktuelle Forschung im Bereich Datenschutz in smarten Systemen zeigt, dass die Gefahren, die von smarten Systemen ausgehen, den Verbraucher:innen weitgehend nicht bewusst sind. Deswegen stellt sich die Frage, ob die Verbraucher:innen unter diesen Umständen überhaupt in der Lage sind, ihre Präferenzen zu bestimmen und an Dritte, zum Beispiel an Datentreuhänder, zu kommunizieren.
Vortrag 14 auf YouTube
Vortrag 15: Datenintermediäre als Fairness-Akteure in der Datenökonomie
Mittwoch, den 2. Februar 2022, 13:00 Uhr – 14:30 Uhr
Dr. Jonathan Kropf, Professor Dr. Jörn Lamla und Dr. Markus Uhlmann (Universität Kassel)
Download | PDF
Herausforderungen der Datenökonomie werden zunehmend unter Gesichtspunkten der Fairness diskutiert. Zentral ist dabei die Einsicht, dass neben Problemen der missbräuchlichen Verwendung personenbezogener Daten verstärkt Fragen nach der gerechten Verteilung datenökonomischer Erlöse oder der Manipulation und Diskriminierung durch Algorithmen relevant werden. Dabei kann die Frage der Fairness als Frage der fairen Vermittlung verschiedener Werte verstanden werden, bei der auch Trade-offs und Grenzen von Modellen der Wertvermittlung reflektiert werden müssen. Während etwa Aspekte der Verteilungsgerechtigkeit den Maßstab des Geldes nahelegen, sind Selbstbestimmungsrechte für viele unbezahlbar und nicht ohne Weiteres in monetäre Vergleichsmaßstäbe übersetzbar.
Zur Konzeptualisierung datenökonomischer Fairness unterscheiden wir drei Ebenen: Erstens wird sondiert, inwiefern sich unterschiedliche Werte in eine übergreifende ökonomische Sprache der Preise übersetzen und darin fair verrechnen lassen (Verrechnung). Zweitens wird ausgelotet, inwiefern durch ökonomische Gestaltungsmacht mit technischen Mitteln eine faire Koexistenz verschiedener Wertordnungen realisiert werden kann (Design). Drittens wird geprüft, inwiefern durch Prozesse der Konfliktmediation seitens der Datenintermediäre eine Kultur der Fairness befördert werden kann, die eine Aushandlung von Wertkonflikten durch Beteiligte und Betroffene ermöglicht (Kultivierung). Im Vortrag möchten wir diese Perspektive auf datenökonomische Fairness, die wir im interdisziplinären BMBF-Verbundprojekt „Faire digitale Dienste: Ko-Valuation in der Gestaltung datenökonomischer Geschäftsmodelle (FAIRDIENSTE)“ ausloten, exemplarisch auf Ansätze und Projekte der Datentreuhänderschaft beziehen. Inwiefern können Datenintermediäre als Fairness-Akteure in der Datenökonomie auftreten und wirken? Welche Fairnesskonzepte zeigen sich in ihren Lösungsmodellen und wie sind diese mit Blick auf Aspekte einer fairen Wertvermittlung und der zugehörigen (theoretischen) Diskussion über Fairness in der Datenökonomie einzuschätzen?
Vortrag 15 auf YouTube
Gefördert durch