Das gemeinsame Forschungsinteresse der SchuFa GmbH und des Hasso-Plattner-Instituts, wie man soziale Netzwerke zur Beurteilung der Kreditwürdigkeit heranziehen kann, hat viel Kritik ausgelöst: in der Politik, von Datenschützern, von Internet-Nutzern.
Im Zusammenhang mit Datenschutz und sozialen Netzwerken scheint Panik immer eine erste Reaktion zu sein. Dass dadurch die Debatte nicht wesentlich versachlicht wird, ist leider hinzunehmen. Dennoch ein paar grundlegende Überlegungen dazu, warum das Forschungsvorhaben nicht per se falsch war und warum es im Endeffekt scheitern musste.
1. Drei Ebenen dürfen nicht vermischt werden: Forschungsethische Debatte, technische Möglichkeiten und rechtliche Rahmenbedingungen.
In der Bewertung eines Forschungsgegenstandes gibt es immer drei Ebenen zu betrachten: die moralische, die technische und die rechtliche. Es hilft nichts, alle drei Ebenen miteinander zu verschränken, denn die Folge ist, dass man eine moralische Forderung, ob ein Unternehmen zu dieser Frage forschen sollte, mit der rechtlichen Frage, ob ein Unternehmen etwas darf, vermischt. Meistens lässt man dann auch die Diskussion offen, ob ein Unternehmen die Forschungsergebnisse überhaupt umsetzen kann.
2. Der rechtliche Rahmen ist eindeutig: im Grunde genommen darf die Schufa die sozialen Netzwerke wie Facebook nicht zum Kreditscoring verwenden.
Beginnen wir mit der letzten: Darf ein Unternehmen soziale Netzwerke dazu nutzen, um private Daten für Unternehmenszwecke auszuwerten? Bei aller Kritik an Facebook, aber ihre Data Policy schließt das Anliegen der Schufa direkt aus:
While you are allowing us to use the information we receive about you, you always own all of your information. Your trust is important to us, which is why we don’t share information we receive about you with others unless we have: received your permission; given you notice, such as by telling you about it in this policy; or removed your name or any other personally identifying information from it.
Aber auch die Bestimmungen des deutschen Datenschutzes sind da eindeutig. Vor allem §28, §28a, §28b, §29, §30 und §30a relevant. Das Gesetz setzt relativ enge Grenzen für die Nutzung privater Daten, insbesondere aus Bankgeschäften, für Auskunfteien wie der Schufa und fordert die explizite Einwillung der Nutzer. In §30a wird zwar die Nutzung öffentlich-zugänglicher Daten ermöglicht, aber dem Schutzbedürfnis des Betroffenen gegenüber gestellt – das heißt (anders als es Thomas Stadler vertritt) sieht sich die Schufa relativ engen Grenzen ausgesetzt.
Der Forschungsgegenstand, die unternehmerische Nutzung von privaten Daten in sozialen Netzwerken zum Zweck der Prüfung der Kreditwürdigkeit, ist rechtlich nicht erlaubt, aber das Forschungsvorhaben natürlich schon. Der Forschungsfreiheit sind zwar gesetzliche Schranken, wenn es zum Beispiel um die Würde des Menschen geht, aber in diesem konkreten Fall ist allein die Überlegung, wie man als Unternehmen die privaten Daten in sozialen Netzwerken nutzt, noch keine Einschränkung dieser Menschenwürde.
3. Die technischen Möglichkeiten sind im Grunde genommen vorhanden, aber höchst komplex – und deswegen erforschenswert.
Der eigentliche Zweck der Forschung des HPIs war ja auch, erstmal herauszufinden, welche technischen Möglichkeiten es gibt, diese privaten Daten auszulesen, zu speichern, auszuwerten und in Kreditbewertungen zu überführen.
Dieser Forschungszweck ist auch grundsätzlich legitim. Wäre das Forschungsanliegen beispielsweise gewesen, aus den Facebook-Status-Updates herauszulesen, wo und wie sich Krankkheiten verbreiten, fänden die meisten Menschen das wohl als sinnvoll – auch hier geht es um die Nutzung privater Daten.
Es gibt zahlreiche Forschungsprojekte, welche die privaten Daten von Facebook-Nutzern auslesen, aggregieren und auswerten. In der Regel werden hierbei die personenbezogenen Daten anonymisiert, so dass eine Zuordnung zu dem Betroffenen nicht mehr möglich ist.
Bei dem Schufa-Forschungsvorhaben stellt sich nicht nur die Frage der Zuordnung, sondern auch das Management der Daten-Menge, die Such-Algorithmen und viele weitere technischen Fragen, die durchaus von Forschungsinteresse sind. Ihre Beantwortung würde auch andere Forschungsfelder bereichern, zum Beispiel eben die Epidemie-Forschung.
Erst aber wenn diese Forschung öffentlich stattfindet, kann sie für die Gesellschaft relevant werden. Schon jetzt ist es eigentlich für Unternehmen kein Problem, ein Team aus Social Media Beratern und Programmieren zusammenzustellen, um daran zu arbeiten, diese privaten Daten zu nutzen. Das passiert in der Regel auch schon. Daher ist es aus Sicht der Gesellschaft eigentlich besser, wenn diese Forschung öffentlich dokumentiert und damit genutzt werden kann.
4. Die moralische Debatte muss öffentlich geführt werden – ein Rückzug ist kontraproduktiv.
Der öffentliche Aufschrei hat ja gezeigt, dass eine öffentliche Debatte über dieses Thema wichtig ist. Er ersetzt aber nicht ein längerfristiges Nachdenken über die Rolle von Unternehmen in sozialen Netzwerken.
Man muss beispielsweise darüber diskutieren, was öffentlich-verfügbare Daten sind. Die Pressemitteilung des HPIs zeigt da doch ein sehr diskussionswürdiges Verständnis:
Zum Hintergrund: Es geht nicht etwa um das Ausspionieren von Geheimdaten, sondern um das Auffinden öffentlicher Informationen, die im Netz stehen, weil sie jemand dort bewusst hinein und damit zur Verfügung gestellt hat. Die meisten dieser Daten sind für jeden Internetnutzer durch ganz normale Suchmaschinen-Abfragen manuell recherchierbar. Das HPI untersucht lediglich die automatisierte Suche – sowohl an der Oberfläche als auch in der Tiefe des Web. Suchmaschinen und ihre Webcrawler werden ja ständig weiterentwickelt, so dass Internetseiten, die in der Vergangenheit noch zum so genannten Deep Web gehörten, längst schon Teil des „Oberflächenwebs“ sind. Ignoriert wird von den beiden Journalisten schlichtweg, dass etwa Daten im Deep Web zwar für die meisten unsichtbar, aber doch recherchierbar sind. Berücksichtigt wird auch das so genannte „dark web“, also Daten, die für angemeldete Internetnutzer offen sichtbar sind.
Die Frage, die hier also diskutiert werden muss, ob das Veröffentlichen von Daten durch Nutzer schon dem Prozess des Zugänglich-Machens entspricht – d.h.nur weil ich eine Information mit mindestens einer Person teile, dies schon der Öffentlichkeit an sich entspricht. Geklärt werden muss auch, ob allein die zunehmende technische Verfügbarkeit der Suche den Begriff der Öffentlichkeit ausdehnt.
Durch die Einstellung des Projekts wurde diese Chance eigentlich vertan. Besser wäre es gewesen, daraus ein OpenScience Projekt zu machen, das heißt zu überlegen, wie man die Daten, die Erkenntnisse und die moralische Bewertung der Forschungsergebnisse öffentlich zugänglich macht.
5. Das Schufa-HPI-Desaster zeigt, dass nicht nur Unternehmen, sondern auch Forschungsinstitutionen in der Lage sein müssen, angemessen in den digitalen Medien zu kommunizieren.
Das HPI als auch die Schufa haben zwar eine Reihe von Pressemitteilungen dazu veröffentlicht, aber sie haben eben nicht den Shit-Storm ausgehalten, der sich über sie ergossen hat.
Der Eindruck scheint sich zu bestätigen, dass weder HPI noch Schufa eigentlich das Wesen von Social Media verstanden haben, nämlich die Kommunikation auf Augenhöhe. Bei so einem heiklen Thema wie der privaten Datennutzung durch Unternehmen hätte man von Anfang an öffentlich kommunizieren müssen.
Fazit: Im Grunde genommen müsste man nach dem Shitstorm sagen: „Jetzt erst recht, aber öffentlich!“ Durch das Einknicken sowohl von Schufa als auch des HPIs wird das Interesse an dem Thema nicht geringer werden, aber es besteht die Gefahr, dass die Unternehmen wie Schufa jetzt unternehmensintern die Forschung vornehmen. Davon hat die Gesellschaft überhaupt nichts.
Quellen: Datenschutz und Datensicherheit in sozialen Netzwerken, Facebook und der Datenschutz, Hasso-Plattner-Institut knickt ein, Schufa-Vorstoss zeigt, Datenutzung muss neu reguliert werden, Schufa macht – was sie immer gemacht hat