Dienstag, 11. April 2017

Datenplattform und Standards für vernetzte Fahrzeuge

Von Ralf Keuper

Das vernetzte Auto ist in gewisser Weise eine Datenschleuder. Um hier für etwas mehr Sicherheit und Verbindlichkeit zu sorgen, hat der Verband der Deutschen Automobilindustrie (VDA) kürzlich eine IT-Architektur vorgestellt, die Herstellern und Kunden die Datenhoheit verschaffen soll, wie in  Autobranche einigt sich auf Datenplattform zu lesen ist. 

Darin heisst es u.a.:
Die Daten aus dem Auto sollen in Zukunft über eine gesicherte Verbindung auf einen neutralen Backend-Server geleitet werden. Heutige Anwendungen zur Nutzung von Fahrzeugdaten greifen meist auf die OBD-Serviceschnittstelle der Autos zu. Dieser Zugang soll sukzessive geschlossen werden – jedenfalls sobald das Auto fährt; im Stand bleibt die Schnittstelle offen, damit Werkstätten über sie ihre Diagnoseanwendungen fahren können.
Auf einem neutralen Server sollen Daten auch Dritten zur Verfügung gestellt werden, die dazu in fünf Kategorien klassifiziert werden - wie Daten zur Verkehrssicherheit, Daten zur technischen Produktbeobachtung oder persönliche Daten des Nutzers bzw. Fahrers. Keinesfalls ist es beabsichtigt, die Daten für Werbezwecke zu verkaufen. 

Von einem anderen Projekt berichtet Silicon.de. Dabei handelt es sich um das vom Bundesforschungsministerium geförderte Projekt SeDaFa (Selbstdatenschutz im vernetzten Fahrzeug). Zur Motivation: 
Auch aus Sicht der Fahrzeughersteller ist die Übertragung von Daten auch aus technischen Gründen inzwischen unverzichtbar um die Zuverlässigkeit zu verbessern, Verschleiß frühzeitig zu erkennen und Wartung kundenfreundlich zu planen. Und für Autobesitzer kann der Datenaustausch mit ihrer Versicherung, mit der Werkstatt oder Dienstleistern durchaus vorteilhaft sein – sofern sie die Kontrolle darüber behalten, was für Daten da ausgetauscht werden.
Das Ergebnis der Forschungen soll eine Selbstdatenschutz-Schnittstelle sein:
Die soll der Besitzer künftig bequem über einen Bildschirm steuern können, indem er ein Schutzprofil definiert. Im Hintergrund wendet das SeDaFa-System die eingestellten Richtlinien dann an, um sie in technische Schutzmaßnahmen umzusetzen. Als Beispiel nennt das Fraunhofer SIT Daten, die der Versicherung als Nachweis einer umsichtigen Fahrweise zur Verfügung gestellt werden. Die würden dann vor der Übertragung so aggregiert, dass sich daraus keine detaillierten Bewegungsprofile mehr ableiten lassen.
 

Dienstag, 4. April 2017

MAN ist mit seiner Datenplattform Rio Vorreiter in der Logistikbranche

Von Ralf Keuper

Im Wettlauf um das neue Öl der Digitalmoderne, die Daten, setzt der Lastwagenhersteller MAN ein deutliches Zeichen. Mit RIO will MAN den Logistikunternehmen eine offene Plattform zur Verfügung stellen. Bereits im vergangenen Jahr erschienen mehrere Beiträge, die sich mit der neuen Plattform beschäftigten, wie in Alles schaut in Richtung RIO: MAN präsentiert Logistik-Plattform.

Vor wenigen Tagen erschien der informative Beitrag Wenn der Lastwagen autonom fährt. Ziel ist es, so der Vorstandsvorsitzende Joachim Drees, RIO zu "dem" Ökosystem für die Logistikbranche zu machen. Dazu soll die Tatsache beitragen, dass die Plattform markenunabhängig ausgelegt ist. Weiterhin heisst es in dem Beitrag:
Einbezogen werden sollen alle Beteiligten der Liefer- und Logistikkette; vom Versender, über das Transportunternehmen, Verlader, Disponenten, Fahrer und Empfänger. Partner zum Start des Projekts sind der Autozulieferer Continental, die führenden Anhänger- und Aufliegerproduzenten Schmitz-Cargobull, Krone und Meiller, Tom Tom als Navigationsspezialist, Microlise, Telogis und Idem als Lösungspartner und Start-ups wie der Parkassistent Parkhere und der Verladungsoptimierer Loadfox. Mittendrin steht MAN.
Darüber hinaus beabsichtigt MAN, mit RIO seine Wertschöpfungskette zu verlängern, d.h. neue Einnahmequellen zu erschließen, um so die Abhängigkeit vom reinen Verkauf der LKWs zu mindern:
Eine Fülle von Sensoren erfassen die Beladung, sie versorgen den Fahrer mit Navigations-, Verkehrs- und Wetterdaten, und sie geben Fahrempfehlungen in Echtzeit. Transport- und Umschlagprozesse lassen sich mit ihrer Hilfe deutlich verbessern. „Rio“ wird damit zu einem wesentlichen Bestandteil der neuen Strategie: „Für MAN wird es eine wichtige Serviceplattform sein, um Umsatz zu generieren, der ein Stück weg führt vom reinen Fahrzeugverkauf“, beschreibt Drees das Konzept. Damit erweitere das Unternehmen sein Geschäftsmodell. Es geht weit über das hinaus, was der Konzern bislang mit direkten Dienstleistungen um den Lkw wie etwa Wartung und Finanzierungen angeboten hat. „Rio ist eine digitale Form, unsere Wertschöpfungskette zu verlängern.“

Freitag, 24. März 2017

Sicheres Identitätsmanagement im Internet mit ISÆN

Von Ralf Keuper

Auf der diesjährigen CeBIT stellte das Forschungszentrum Informatik eine auf der Blockchain-Technologie basierende Lösung für die digitale Identifizierung vor. Deren Urheber ist eine Standardisierungsinitiative aus Frankreich namens ISÆN (Individual perSonal data Auditable addrEss). Diese könnte auch in Deutschland die Grundlage einer einheitlichen Identitätslösung bilden, wie in eID-System ISÆN: Erika Mustermanns Daten landen in der Blockchain berichtet wird. 

In dem Beitrag wird die Studie Sicheres Identitätsmanagement im Internet erwähnt, die sich intensiv mit dem französischen Konzept beschäftigt. 

Darin heisst es u.a.:
Die französische Standardisierungsinitiative ISÆN verfolgt das Ziel, sowohl Bürgern als auch Unternehmen einen möglichst sicheren Umgang mit personenbezogenen Daten zu ermöglichen und so den Schutz personenbezogener Daten der Bürger bei der Verarbeitung und Nutzung von Daten zu stärken.

In der vorliegenden Studie wird der Begriff ISÆN sowohl für die Standardisierungsinitiative selbst als auch für konkrete Umsetzungen und damit einhergehende Technologien verwendet.
Einige Seiten später steht dort: 
Die Standardisierungsinitiative ISÆN soll die rechtssichere Weitergabe und Verarbeitung von persönlichen Daten sowohl in kommerziellen als auch im behördlichen Umfeld erleichtern und absichern. ISÆN adressiert in erster Linie den automatischen Datenaustausch und die Verarbeitung der Daten, die Kennung kann aber natürlich auch in gedruckter Form (beispielsweise als QR-Code) verwendet werden, um beispielsweise Dokumente auszutauschen.
Kernelement ist der  SÆN-Identifier, der sich aus den folgenden Bestandteilen zusammensetzt: 
  • Code des Geburtslandes
  • Geschlecht
  • Nachname Vorname
  • Geburtsdatum
  • Postleitzahl des Geburtsortes 
  • Mobilfunknummer 
  • Gültigkeitsdauer (beispielsweise geänderte ISÆN bei Wechsel der Mobilfunknummer) 
  • biometrischer Hash oder Fingerabdruck, „Selfie“ zur Absicherung der Daten
Zum eigentlichen Verfahren: 
Wir gehen davon aus, dass sich die Ævatar- App auf dem Smartphone befindet. Der Nutzer registriert sich bei dieser durch Angabe seiner persönlichen Daten. Aus diesen Daten wird ein Hashwert gebildet, ein neuer Account in der Blockchain eingerichtet und der Hash dort gespeichert. Dieser Hashwert dient im Folgenden zur eindeutigen Identifikation (ID) des Benutzers und wird auf dem Smartphone auch als QR-Code gespeichert. Der QRCode kann in der Folge anstelle des (länglichen) Hashwerts bei einer Anfrage der Daten verwendet werden
Über die Gemeinsamkeiten und Unterschiede zwischen dem ISÆN-Identifier und der eID-Funktionalität des neuen Personalausweises:
Ähnlich der geplanten Funktionalität des ISÆN-Identifiers bietet die eID-Funktionalität des elektronischen Personalausweises die Möglichkeit der eindeutigen und universellen Identifizierung eines Nutzers. Dieses Merkmal unterscheidet den elektronischen Personalausweis von anderen Identifikationssystemen, die nur bereichsspezifisch sind und deren Verwendung außerhalb des jeweiligen Bereichs unzulässig ist. Im Gegensatz zu ISÆN wird die Identifizierung durch den Personalausweis nicht durch persönliche Daten, sondern durch kryptographische Maßnahmen erreicht.
Die Autoren halten resümierend fest:
Aus datenschutzrechtlicher Sicht muss angedacht werden, das Konzept dahingehend zu erweitern, dass eine Möglichkeit der Zuordnung von öffentlich gespeicherten Daten zu den Realdaten ausgeschlossen ist. Beispielsweise sollte die Nutzung eines entsprechenden neuen Pseudonyms für jede einzelne Transaktion in Erwägung gezogen werden, um das Risiko einer Identifizierung so gering wie möglich zu halten. Die Verwendung eines einsehbaren Speichers kann sowohl für den Dienstanbieter im Hinblick auf entsprechende Dokumentations- und Informationspflichten als auch für die betroffene Person hilfreich sein, um sich in transparenter Weise zu erkundigen, wem entsprechende Zugriffe auf Daten erteilt wurden. Dadurch könnte sich die betroffene Person gezielter an entsprechende Verantwortliche wenden, um ihre Betroffenenrechte geltend zu machen.

Data Economy: Ein kurzer Wochenrückblick #KW12

Von Ralf Keuper 

Anbei eine Liste von Meldungen, die mir in dieser Woche besonders ins Auge gefallen sind:

Donnerstag, 23. März 2017

Kann Europa seine Digitale Souveränität behaupten?

Von Ralf Keuper

Die Sorge, Europa könne demnächst unwiederbringlich seine Digitale Souveränität an Länder wie die USA und China verlieren, geht schon länger um. 

In dem Positionspapier Digitale Souveränität: Positionsbestimmung und erste Handlungsempfehlungen für Deutschland und Europa warnte Bitkom davor, dass europäische Unternehmen in eine gefährliche Abhängigkeit amerikanischer und asiatischer IT-Konzerne geraten könnten - eigentlich sei das schon jetzt der Fall, strittig sei einzig noch die Frage nach dem Ausmaß. Was unter einer Digitalen Souveränität im dem Zusammenhang zu verstehen ist, beschreibt Bitkom wie folgt: 
Souveräne Systeme hingegen sind zu selbstbestimmtem Handeln und Entscheiden befähigt, ohne ausschließlich auf eigene Ressourcen zurückzugreifen. »Digitale Souveränität« bezeichnet in diesem Sinne die Fähigkeit zu selbstbestimmtem Handeln und Entscheiden im digitalen Raum. Digital souveräne Systeme verfügen bei digitalen Schlüsseltechnologien und -kompetenzen, entsprechenden Diensten und Plattformen über eigene Fähigkeiten auf internationalem Spitzenniveau. Sie sind darüber hinaus in der Lage, selbstbestimmt und selbstbewusst zwischen Alternativen leistungsfähiger und vertrauenswürdiger Partner zu entscheiden, sie bewusst und verantwortungsvoll einzusetzen und sie im Bedarfsfall weiterzuentwickeln und zu veredeln. Nicht zuletzt sind souveräne Systeme in der Lage, ihr Funktionieren im Innern zu sichern und ihre Integrität nach außen zu schützen.
Im vergangenen Monat nun, legten drei führende Forschungsinstitute im Bereich der IT-Sicherheit, das Fraunhofer Institut für Sichere Informationstechnologie in Darmstadt, das Max Planck-Institut für Softwaresysteme in Saarbrücken und das Karlsruher Institut für Technologie (KIT), ihr Positionspapier Cybersicherheit in Deutschland vor. Darin erklären sie die Digitale Souveränität zum strategischen Ziel: 
Die Entwicklung der Cybersicherheit muss auf nationaler und europäischer Ebene strategiegetrieben sein. Die Verbesserung der digitalen Souveränität muss dabei ein vorrangiges strategisches Ziel sein. Die Abhängigkeit von IKT, der man mangels Überprüfbarkeit der IKT und ihrer Hersteller blind vertrauen muss, muss reduziert und das vorhandene hohe Potenzial in Deutschland und Europa für Forschung und Entwicklung muss besser genutzt werden. Zugleich muss die enge internationale Kooperation in Forschung und Entwicklung mit Partnern in Europa, aber auch mit in Cybersicherheit führenden Nationen wie USA und Israel, fortgesetzt und ausgebaut werden. Deutschland zeichnet sich durch Offenheit, Schutz von Menschenrechten und gesellschaftliche Stabilität aus – Eigenschaften, die Deutschland zum idealen Standort für Hochtechnologiefirmen und Arbeitsort für hochqualifizierte Mitarbeiter machen. Die Fortschreibung und Ausgestaltung der Cybersicherheitsstrategien brauchen feste, ressortübergreifende Strukturen.
Dass dies möglich ist, und, bezogen auf Europa und Deutschland, kaum an Ressourcen und vorhandenem Know How scheitert, zeige, so die Autoren, das Beispiel Israel:
In Deutschland gibt es nur eine sehr kleine Zahl von in der Cybersicherheit auch international erfolgreicher Unternehmen. Dies ist besonders deutlich sichtbar, wenn man Deutschland z.B. mit Israel vergleicht: Deutschland hat grob zehnmal mehr Einwohner als Israel. Eine Studie von Cybersecurity Ventures verzeichnet unter den Top-500 Anbietern weltweit 25 aus Israel, davon 8 unter den Top-100, aber nur 11 aus Deutschland, davon keines unter den Top-100.
Zum Schluss formulieren die Autoren Sieben Thesen zur Cybersicherheit in Deutschland. Darin plädieren sie u.a. für eine massive Steigerung der Forschungsausgaben im Bereich Cybersicherheit sowie bessere Rahmenbedingungen für Startup mit dem Schwerpunkt Cybersicherheit. 

Allen Mängeln zum Trotz, sind die Autoren für die Zukunft keineswegs pessimistisch:
Grundsätzlich sind Deutschland und Europa für diese Herausforderungen gut aufgestellt; es sind viele Stärken vorhanden. Im Rahmen der Cybersicherheitsstrategie muss es daher auch darum gehen, die relevanten Stärken zu identifizieren und in geeigneter Weise zu bündeln. Dort, wo es noch entscheidende technologische Lücken gibt, sollten die Lücken geschlossen werden. Dies kann mit geeigneten Instrumenten und Anreizsystemen unterstützt werden. Hierbei kann es sich um Instrumente handeln, die im Wirtschaftssystem (z.B. durch Subventionen) oder im Wissenschaftssystem ansetzen.
Lässt sich der Machtkonzentration im Internet in From Digitaler Plattformen, wie Apple, Google, Amazon, facebook und Alibaba auf Dauer mit dem ordnungspolitischen Instrumentarium beikommen, wie das Weißbuch Digitale Plattformen des Bundeswirtschaftsministeriums empfiehlt? 

Leitende Fragen dabei sind: 
Wie kann Wettbewerb gesichert werden, wenn Netzwerkeffekte über Konzentrationstendenzen zu Marktverschlüssen führen können? Wie kann Vertragsfreiheit gewahrt bleiben, wenn die Datenkontrolle durch Plattformbetreiber Informationsungleichgewichte entstehen lässt? Welche Funktion erfüllt der Preisbildungsmechanismus, wenn Leistungen auf der einen Seite der Plattform unentgeltlich erbracht werden, weil sie durch Zahlungen auf der anderen Plattformseite finanziert werden? Welche Rolle spielt Eigentum, wenn Daten zum zentralen Gut werden, das jedoch beliebig zu vervielfältigen ist? Und wie können Haftungslücken vermieden werden, wenn Freiheiten entfaltet werden, ohne dass Verantwortung übernommen wird?
Die Vorschläge riefen ein geteiltes Echo hervor; beispielhaft dafür ist Weißbuch Digitale Plattformen: Jetzt wird durchreguliert.

Ganz so schlecht sieht es mit der Digitalen Souveränität Deutschlands nicht aus. Das jedenfalls ist die Ansicht des FAZ-Autors Carsten Knop, der auf die jüngste Hannover-Deklaration von Japan und Deutschland Bezug nimmt. Die beiden Länder vereinbarten darin eine Digitale Kooperation. Die Kooperation umfasst die Bereiche Autonomes Fahren, Künstliche Intelligenz und Datenanalytik. 

Knop bemerkt dazu in seinem Kommentar Ätsch, Amerika in der FAZ vom 21.03.17:
Wer baut die besten Autos? Deutschland und Japan. Wer hat die intelligentesten Roboter und die dazugehörigen Forscher? Japan und Deutschland. Und wer sagt, dass man das Geschäft mit Daten und Plattformen allein den Amerikanern überlassen muss? Längst nicht mehr jeder. Die Welt der Technik ist schnelllebig. .. Beide Länder sind dafür bekannt, keine halben Sachen zu machen, wenn es um solide Angebote für die Kunden geht. 

Mittwoch, 22. März 2017

Next Generation Internet

Von Ralf Keuper 

Die Next Generation Initiative (NGI) befragte zwischen November 2016 und Januar 2017 449 Personen hinsichtlich ihrer Wünsche und Anforderungen an das (neue) Internet. Die Ergebnisse wurden in dem Dokument Next Generation Internet Initiative - Consultation zusammengefasst. 

Die wesentlichen Erkenntnisse:
Ensuring citizens' sovereignty over their own data and the protection of their privacy is deemed the most important value proposed in the survey by the participants. Secondly, participants also felt strongly that the Internet should ensure diversity, pluralism and a right to choose. Thirdly, the concentration of data in a few proprietary platforms is understood as a significant issue today. 
Besonderes Interesse äußerten die Befragten an Personal Data Spaces: 
Those rating the importance of this value highest also selected Personal Data Spaces as a very important technology area. Therefore an NGI with a focus on Personal Data Spaces (Technology Area 3) may help in addressing the issues of sovereignty over data.
Für das Next Generation Internet (NGI) folgt daraus u.a.: 
The NGI needs to keep personal data secure and this means educating and enabling citizens regards criminals and big business. Systems that allow assurance, transparency and freedom for citizens to control the data that's held on them should not limit access to innovative services. Infrastructures are needed to both enable benefits and minimise exploitation of using personal data. This will include enabling privacy aware access control and enforcing accountability for responsible use of personal data. The values this group related most to were those of sovereignty over data and Next Generation Internet Initiative – Consultation Page 3 diversity, pluralism and the right to choose.

Montag, 6. März 2017

The Human Face of Big Data

Datensouveränität der Nutzer im Verhältnis zur Marktmacht der digitalen Plattformen

Von Ralf Keuper

Von dem höchst umstrittenen Staatsrechtler Carl Schmitt stammt der Satz: 
Souverän ist, wer über den Ausnahmezustand entscheidet
In der heutigen Zeit, die als Digitalmoderne bezeichnet wird, bekommt das Thema Souveränität eine weitere Bedeutung. Kann der Einzelne, der Nutzer der Angebote der großen Digitalen Plattformen, wie Google, Amazon, facebook, Apple und Alibaba,  im Umgang mit seinen Daten souverän entscheiden? Ist das überhaupt vorgesehen bzw. nötig? Einige halten den Begriff der Datensouveränität für ungeeignet bei der Klärung der Frage, ob Daten eine Art Währung, ein Zahlungsmittel sind, wobei ordo- und marktliberale Argumente ins Feld geführt werden. 

Souveräne Systeme hingegen sind zu selbstbestimmtem Handeln und Entscheiden befähigt, ohne ausschließlich auf eigene Ressourcen zurückzugreifen. »Digitale Souveränität« bezeichnet in diesem Sinne die Fähigkeit zu selbstbestimmtem Handeln und Entscheiden im digitalen Raum. Digital souveräne Systeme verfügen bei digitalen Schlüsseltechnologien und -kompetenzen, entsprechenden Diensten und Plattformen über eigene Fähigkeiten auf internationalem Spitzenniveau. Sie sind darüber hinaus in der Lage, selbstbestimmt und selbstbewusst zwischen Alternativen leistungsfähiger und vertrauenswürdiger Partner zu entscheiden, sie bewusst und verantwortungsvoll einzusetzen und sie im Bedarfsfall weiterzuentwickeln und zu veredeln. Nicht zuletzt sind souveräne Systeme in der Lage, ihr Funktionieren im Innern zu sichern und ihre Integrität nach außen zu schützen.
Wenn schon große Unternehmen, Branchen um ihre digitale Souveränität gegenüber Amazon, Google & Co. bangen müssen, um wie viel mehr gilt das dann für den Normalverbraucher? Die Verhandlungsmacht der Nutzer ist um einiges geringer als die von Unternehmen. Insofern ist die Datensouveränität kein Luxus, kein Sand im Getriebe der Datenökonomie, sondern der Mindeststandard. Sicherlich muss man in dem Zusammenhang definieren, was mit Datensouveränität gemeint ist: Ist sie in etwa deckungsgleich mit der Informationellen Selbstbestimmung oder geht ihr Anspruch weiter? Wo verlaufen die Grenzen? Datensouveränität, wie ich sie verstehe, schließt das Recht ein, die Daten, die im Netz oder in den Systemen großer Unternehmen zu einer Person gespeichert sind, anzufordern, in Besitz zu nehmen und selber verwalten und/oder in andere Systeme portieren zu können. Es geht nicht um Autarkie - das ist in einer vernetzten Ökonomie ohnehin keine Option mehr. Allerdings gewinnt man bei der Diskussion um die Frage, ob es Eigentumsrecht an Daten gibt, den Eindruck, als wäre das Eigentum an Daten mit dem Bestreben gleichzusetzen, Inseln/uneinnehmbare Festungen im Datenmeer zu errichten. Wohl aber geht es, um das eingangs erwähnt Zitat aufzugreifen, darum, ob wir in einer Art Ausnahmezustand leben, über den allein wirtschaftlich und technologisch mächtige Akteure entscheiden, oder ob die Bürger sich dem Einfluss der Plattformen, zumindest in bestimmten Bereichen, entziehen können und/oder über echte Wahlmöglichkeiten verfügen. Das ist schon allein aus Wettbewerbsgründen wichtig. Monopole oder Oligopole sind nicht dafür bekannt, die Bedürfnisse und wirtschaftlichen Interessen der Kunden an die erste Stelle zu setzen. 



Sonntag, 5. März 2017

The New Reality of Social Data - Andreas Weigend


Andreas Weigend definiert fünf Regeln beim Umgang mit Daten:
  1. The right to access to the data
  2. The right to amend the data
  3. The right to blur the data 
  4. The right to play with the data
  5. The right to port the data 
Weitere Informationen:

The Social Data Revolution(s)

Weigend: Should we get some of the profits from our data?

Dienstag, 28. Februar 2017

Daten: Über den rechtlichen Umgang mit einem neuen Tauschmittel

Von Ralf Keuper 

In ihrem Beitrag Daten als neue Währung? in der FAZ vom 24.02.2017 zieht Heike Schweitzer die Bedeutung der Datensouveränität in Zweifel:
... zeigt das Geschäftsmodell "Leistung gegen Daten" dem Konzept der Datensouveränität gerade seine Grenzen auf? Wir haben es dann zwar immer noch mit einem beiderseitig oftmals vorteilhaften Austausch wirtschaftlich werthaltiger Leistungen zu tun. Der "Datenpreis" wäre dann aber womöglich nicht mehr im Markt, kontrolliert durch den Wettbewerb, zu ermitteln. Er wäre gesetzlich zu begrenzen. Passt dann aber noch die Parallele zum normalen Austauschvertrag?
Zwar sei der ökonomische Wert der Daten mittlerweile nicht mehr zu leugnen, schließlich, so möchte ich hier hinzufügen, basiert das Geschäftsmodell von Google, facebook & Co.  letztlich aus nichts anderem als Datenverwertung, jedoch sei es ein Kurzschluss daraus zu folgern, Daten seien ein Zahlungsmittel wie Geld:
Geld ist regelmäßig knapp und für Dienstenutzer damit ein brauchbarer Wertmesser. Nutzungsdaten werden im Internet demgegenüber ständig und nebenbei erzeugt. Der wirtschaftliche Wert dieser Daten ist für den Einzelnen intransparent. Anders als die Zahlung eines monetären Preises wird die Einwilligung in die Datenverarbeitung häufig nicht als Verlust wahrgenommen, kann die Datenverarbeitung doch zugleich auch der Leistungsverbesserung dienen.
Dass Geld knapper ist als Nutzungsdaten, dürfte wohl weitgehend unbestritten sein. Jedoch kann sich der Wert des Geldes aufgrund einer (galoppierenden) Inflation gegen Null bewegen. Ganz abgesehen von dem "Irrationalen Überschwang", der immer wieder zu Finanzblasen führt. Die Messung des Wertes der Daten verläuft im Vergleich dazu relativ unspektakulär und treffsicher, wie u.a. aus The economic value of personal data for online platforms, firms and consumers hervorgeht. Die These, von Schweitzer, die personenbezogenen Daten hätten für sich genommen noch keinen Wert, sondern müssten erst durch Aggregration und durch die Nutzung analytischer Verfahren mit Wert versehen werden, greift zu kurz. Wie ist es sonst zu erklären, dass selbst Google zahlender Kunde von Datenlieferanten wie Axciom ist? Die Nutzer als Erzeuger der Daten, als erste Instanz in der Wertschöpfungskette, werden an der Erlösen aus ihren Daten nicht beteiligt, jedenfalls nicht in monetärer Form. Das aber muss nicht bedeuten, Daten seien kein Zahlungsmittel. Der Nutzer liefert nicht nur Daten, sondern auch Informationen (wie beispielsweise Verhaltensdaten), d.h. er übernimmt bereits einen Teil der Aufgaben der Datenhändler. Die Forderung einer "Datenpreisregulierung", wie von Schweitzer erhoben, bestätigt ja paradoxerweise, dass es einen Preis für Daten gibt. Die Argumentation ist an dieser Stelle zirkulär. Wie lässt sich ein fairer Datenpreis ermitteln, wenn einem der beteiligten Vertragspartner die Souveränität, das Eigentum an den Daten, abgesprochen wird? Damit wird die Verhandlungsposition der Nutzer deutlich geschwächt. Es kann nicht Sinn des Wettbewerbs sein, Machtungleichgewichte noch zu verstärken. Wie verhält sich das mit dem Liberalismus, man denke hier an John Stuart Mill, John Rawls und Karl Popper? 

Mittwoch, 22. Februar 2017

Brauchen wir einen TÜV für Algorithmen?

Von Ralf Keuper

Für einige ist es eine typisch deutsche Frage bzw. Diskussion: Brauchen wir einen TÜV für Algorithmen? Katharina Zweig, Professorin für Sozioinformatik an der Uni Kaiserslauten, hält einen Algorithmen-TÜV für unabdingbar

Auf einem Symposium der EKHN-Stiftung wird Frau Zweig mit den Worten zitiert: 
"In Algorithmen sind Menschenbilder eingefroren - aber nicht immer die richtigen", kritisierte Zweig. Algorithmen entschieden aber über die Zukunft der Menschen. "Algorithmen können jemandem einen Flug verweigern, einen Kredit, ein Visum oder ein bestimmtes Bildungsangebot". Die Wissenschaftlerin kritisierte, es gebe keine Partei, die sich ernsthaft mit dem Thema befasse. Sie forderte die Kirchen auf, in der Diskussion eine aktive Rolle zu übernehmen.
In die gleiche Richtung argumentiert die Verbraucherzentrale in dem Positionspapier zum automatisierten und vernetzten Fahren:
Die für Algorithmen herangezogenen Kriterien müssen offengelegt werden. So können Diskriminierung verhindert und das Informationsungleichgewicht zwischen Anbietern und Verbrauchern ausgeglichen werden. Der Ursprung und das Ziel der von hochautomatisierten/autonomen Systemen hervorgerufenen Datenströme sollten für Verbraucher einsehbar sein. Der Algorithmus selbst, also die Annahmen und die Gewichtung, fallen unter das Geschäftsgeheimnis. Um dieses zu wahren und gleichzeitig Nachteile für Verbraucher auszugleichen, muss ein AlgorithmenTÜV eingeführt werden: Das Kraftfahrtbundesamt oder eine andere geeignete Behörde müssen die Funktions- und Arbeitsweise von Algorithmen nachvollziehen können und als Voraussetzung der Zulassung definiert werden.
Unterstützt bei ihrer Forderung nach einem Algorithmen-TÜV wird die Verbraucherzentrale u.a. von dem ehemaligen Bundesinnenminister Gerhard Baum.  

Einige Kommentatoren halten das Thema mittlerweile für relevant im Bundestagswahlkampf. 

Wenig anfreunden mit dem Gedanken eines Algorithmen-TÜVs kann dagegen Gesche Joost, wie in einem Wired-Interview. Unter einem Algorithmen-TÜV könne sie sich nichts vorstellen. 

Die Forderung nach einer zentralen Kontrollinstanz für das Netz ist indes nicht neu, wie von Viktor Mayer-Schönberger, Professor für Internet Governance and Regulation an der Uni Oxford und daneben noch erfolgreicher Sachbuchautor (Big Data - A Revolution That Will Transform How We Line, Work, and Think) in einem Interview mit der Zeit aus dem Jahr 2013. 

Inzwischen gibt es eine Beobachtungsplattform für Algorithmen: Algorithm Watch. Zu den Gründern gehört auch die eingangs erwähnte Katharina Zweig. In einem Interview schließt sich der Mathematik-Professor von TU Braunschweig, Sebastian Stiller, der Forderung nach einem Algorithmen-TÜV - für sicherheitskritische Bereiche - an, ebenso wie Yvonne Hofstetter, die sich für eine Treuhandstelle für Algorithmen einsetzt. 

Einen Schutzengel für Algorithmen (Algorithmic Angels) hält Jarno M. Koponen für ein geeignetes Mittel, um als Nutzer die digitale Souveränität zurückzugewinnen. Ein Leistungsmerkmal des Algorithmic Angels:
Your angel makes you either recognizable or anonymous when you choose to be. The guardian alters your appearance according to your wishes so that you can use different services with different sets of personal preferences and identities. You’re able to choose your own appearances and identity.
So ganz ohne Assistenz und Regulierung wird es künftig nicht gehen. 

Dienstag, 21. Februar 2017

Wem gehören die Daten?

Von Ralf Keuper

Die Frage, ob Personen oder Unternehmen das exklusive Recht an ihren Daten für sich beanspruchen können, wird seit längerer Zeit kontrovers diskutiert. So plädierte EU-Kommissar Günter Oettinger vor einigen Monaten für ein Bürgerliches Gesetzbuch für Daten. Demgegenüber warnt Bundesinnenminister Lothar de Maizière vor einem überzogenen Datenschutz. Das Privateigentum an Daten ist für ihn eine Form des Protektionismus, und damit quasi wettbewerbsverhindernd. Der Minister warnt jedoch vor einem Ausverkauf der Privatsphäre, wovon in erster Linie die ökonomisch schwächeren Bürgerinnen und Bürger betroffen sein könnten. Der Schutz der Privatsphäre dürfe kein Luxus sein. Informativ und ausgewogen ist das Interview Wem gehören Personendaten? mit Maximilian Becker 

In seinem Kommentar zu den Aussagen des Innenministers stellt Eckehard Kraska fest, dass die Diskussion ohne klare Definition dessen, was Daten und was Informationen sind, in die Irre führt. 

Das Institut für IT-Recht (IITR) hat dazu ein Video produziert:


Mitschrift:

Daten 

  • Daten sind an Materie gebunden und damit körperlich
  • Daten liegen im Universum in analoger Form vor 
  • Analoge Daten lassen sich in digitale Daten umwandeln
  • Digitale Daten lassen sich verarbeiten, speichern und transportieren. Dazu sind Daten wiederum an Materie gebunden

Information

  • Information gehört zu Sphäre der Wertung
  • Information setzt ein wertendes Bewusstsein voraus
  • Information ist auf das Vorhandensein des Menschen beschränkt
  • Information ist körperlos

Fazit: 

Der Datenbegriff ist sinnvoll nur im naturwissenschaftlichen und damit auch technischen Umfeld anwendbar. Von Informationen sollten wir immer dann sprechen, wenn ein bewertender Vorgang vorliegt, der an das Vorhandensein eines menschlichen Bewusstseins gebunden ist. Der Informationsvorgang ist alleine dem Menschen vorbehalten.

Problemstellung:

Beide Sphären greifen im Alltag ineinander über. Wir transferieren Inhalte menschlicher Bewertung in die Sphäre der Naturwissenschaft, indem wir Daten in Informationen umwandeln, um diese einer Datenverarbeitung zugänglich zu machen.

Forderung: 

Die Bedeutung der Begriffe Daten und Information präzisieren, um diese rechtlich verbindlich zu machen, um Gesetze, Regelungen und die gesellschaftliche Verständigung zu verbessern.

Nur was folgt daraus für die Frage nach dem Eigentum an den Daten? Wird das Eigentum an den Daten von dem Eigentum an Informationen übersteuert oder ist es dem übergeordnet? Muss das Recht auf Informationelle Selbstbestimmung ergänzt werden? Können tatsächlich nur Menschen Daten bewerten? Was ist mit Algorithmen und Entscheidungssystemen, Künstlicher Intelligenz, was ist mit dem Bereich der Semantischen Analyse? 

Nach Gregory Bateson ist Information das, was einen Unterschied macht. Ökonomisch betrachtet, würde die Informationen einen zusätzlichen Wert schaffen. Wem fällt dieser Wert zu? Allein demjenigen, der die Information erzeugt hat, oder auch demjenigen, der die Daten geliefert hat? Wenn beispielsweise Unternehmen die Kundendaten in ihren Systemen speichern, verwalten und analysieren, erzeugen sie damit Informationen und damit einen Wert. Gehört dieser Wert dem Unternehmen? Was ist, wenn der Kunde die Herausgabe seiner gespeicherten Daten, z.B. bei einer Bank, verlangt? Die Bank könnte ein Entgelt für die Kosten der Datenhaltung und Aufbereitung sowie für die Transformation der Daten in Informationen fordern. Ist dieser Kostenpunkt in den Gebühren bereits enthalten? Im Umkehrschluss müsste der Lieferant für seine Daten ebenfalls ein Entgelt erhalten. Maßstab dafür könnte sein, wie sich die Daten verwerten, ob sich interne Verfahren oder die Produktentwicklung verbessern lassen. Was ist aber, wenn der Lieferant nicht nur Daten, sondern auch Informationen mit bringt? Wie erfolgt da die Verrechnung? 

Montag, 20. Februar 2017

Was ist überhaupt noch privat?

Von Ralf Keuper

Vor einiger Zeit widmete sich das Technologie-Magazin Wired (Wir lassen uns freiwillig überwachen. Was ist überhaupt noch privat?) der Frage, was in der heutigen Zeit unter Privatheit überhaupt noch zu verstehen ist.

Der Beitrag Ruf! Mich! Ab! gibt einen Überblick über den Bedeutungswandel, den der Begriff Privatheit in der Vergangenheit durchlaufen hat. Bei der Römern beispielsweise galt der Rückzug ins Private als Schmach; jedenfalls unter den Bewohnern mit vollen Bürgerrechten. Das Leben in der Öffentlichkeit, als öffentliche Person galt als besonders erstrebenswert. Wem das nicht möglich war, so der Beitrag, war seiner Ehre beraubt. Daher auch die Herleitung von privat aus dem Lateinischen privare = berauben. Der Wert der Privatheit wurde den Menschen erst gegen Ende des 19. Jahrhunderts, mit dem Aufkommen der Massengesellschaft bewusst. Wegweisend war u.a. der Aufsatz The Right To Privacy von Samuel Warren und Louis Brandeis aus dem Jahr 1890.

Heute haben wir die paradoxe Situation, dass die Menschen einerseits um den Schutz ihrer personenbezogenen Daten besorgt sind, andererseits ihr Verhalten im Netz nur selten dementsprechend anpassen. Neben ökonomischen Erklärungsversuchen wird auch die Theorie der Kognitiven Dissonanz herangezogen. Demnach ist der konkrete Nutzen heute uns wichtiger als die abstrakte Gefahr zu einem späteren Zeitpunkt, der womöglich nie eintritt.

An Versuchen, die Privatsphäre in das Netz einzuführen, fehlt es nicht. Sie reichen von dem Modell Privacy by Design über den Ansatz der Kontextuellen Integrität (Helen Nissenbaum) bis, so paradox das auch klingen mag, zur Post-Privacy.

Als wünschenswerter Zustand gilt gemeinhin, dass der Datenschutz nicht wie jetzt noch üblich erst später installiert werden muss, sondern bereits zur Grundausstattung gehören sollte, wie z.B. die End-to-End-Verschlüsselung von E-Mails.

Bis dahin ist es noch ein steiniger Weg. Die Privatsphäre aufzugeben, wäre in jeder Hinsicht die falsche Konsequenz, so sehr ihre vollständige Bewahrung auch künftig ein unerreichbares Ideal sein wird. Aber das war sie eigentlich schon immer. Das berührt Fragen, die mit Technologie allein kaum gelöst werden können.