Was ist Datenwäscherei?

Wäscherei von Personenbezogene Daten ist der Prozess, durch den personenbezogene Daten, die entgegen den geltenden Datenschutzbestimmungen erhoben, verarbeitet oder abgeleitet wurden (alle "verarbeitet", in Anlehnung an die GDPR-Terminologie), unter Verschleierung ihrer illegitimen Quelle wieder in die Datenwirtschaft eingebracht werden.[1]

Dieses Konzept spiegelt das Konzept aus dem Finanzsektor über die Wäsche von Geld, das aus kriminellen Aktivitäten stammt. Wenn Geldwäsche jedoch voraussetzt, dass es sich bei dem Objekt der Wäsche um den Erlös aus Straftaten handelt, gibt es auf der Ebene der GDPR keine strafrechtlichen Sanktionen für Daten, die entgegen ihren Regeln verarbeitet werden, sondern nur administrative. Es gibt Sanktionen, die auf nationaler Ebene von den Mitgliedsstaaten implementiert wurden, die verschiedene Grade von Straftaten im Zusammenhang mit der Verletzung von Datenschutzbestimmungen aufgenommen haben.[2] In der Schweiz gibt es einen 143 StGB (Hacking), der den Diebstahl jeglicher Daten abdeckt. Diese Sanktionen und die erfassten Handlungen sind jedoch nicht einheitlich, so dass es sinnvoll ist, das Thema auf EU-Ebene zu betrachten.

Betrachtet man nur die GDPR, so würden die Verstösse gegen die Verordnung, die zu einer Form der personenbezogenen Datenwäsche führen können, insbesondere diejenigen umfassen, die von Art. 83 Abs. 5 der GDPR fallen. Diese wären:

1. die Grundsätze für die Verarbeitung, einschliesslich der Bedingungen für die Einwilligung (Art. 5-9)

2. Recht auf Vergessenwerden (Art. 17)

3. Recht auf Einschränkung der Verarbeitung (Art. 18)

4. Recht auf Widerspruch bei berechtigtem Interesse (Art. 21)

Die Gemeinsamkeit diesen Artikeln ist, dass die Daten ohne entsprechende Einwilligung oder rechtliche Rechtfertigung aus dem Einflussbereich des Betroffenen genommen werden.

Die Waschaktion würde dann einen Verstoss gegen die Datenschutzbestimmungen wie oben beschrieben verschlimmern, indem sie den unrechtmässigen Zugriff auf personenbezogene Daten erweitert und die Möglichkeit der betroffenen Person, ihre Rechte durchzusetzen, auf eine praktische Unmöglichkeit reduziert. Dies liegt daran, dass neue Dateninhaber, die in dem Irrglauben sind, diese Daten rechtmässig erhalten zu haben, z.B. ihren Informationspflichten nach Art. 14 GDPR nicht nachkommen würden.

Sobald die Daten in einer Art und Weise gewaschen oder präsentiert werden, die den Anschein erweckt, rechtmässig erlangt worden zu sein, können sie weitergegeben und rechtmässig von Dritten gemäss Art. 14 GDPR erworben werden.

Es ist anzumerken, dass in der Datenwirtschaft personenbezogene Daten nur selten einzeln verarbeitet werden, so dass ein Fall von Wäscherei von Personenbezogene Daten die Daten vieler betroffener Personen und potenziell grosse Mengen an personenbezogenen Informationen für jede dieser Personen umfassen würde.

Abgesehen davon könnte ich mir verschiedene konkrete Szenarien vorstellen, in denen solche Handlungen für die betroffenen Personen von besonderem Schaden sind:

A. Personenbezogene Daten werden an mehrere kommerziellen Organisationen verkauft, die in Unkenntnis der Unrechtmässigkeit der erhaltenen Daten den Betroffenen gegen seinen Willen kontaktieren. Dadurch wird die betroffene Person gezwungen, jedes Mal Kontakt mit den kontaktierenden Organisationen aufzunehmen (erinnern Sie sich an den Spam vor effektiven KI-Filtern?).

B. Personenbezogene Daten werden verkauft, um als Trainingsdaten für Machine Learning Algorithmen verwendet zu werden, die ein detaillierteres Verständnis oder detaillierte Informationen, über die durch die betroffenen Personen repräsentierte Bevölkerung liefern. Aufgrund des Umfangs der illegitimen Daten, die möglicherweise involviert sind, wird die Population der betroffenen Datensubjekte mehr ungewollte Exposition oder Transparenz von persönlichen Informationen haben, da das Modell und die Erkenntnisse, die es liefert, dann vom Entwickler verwendet werden können oder sogar geteilt oder verkauft werden können, um mehr Informationen über die Subjekte abzuleiten. Im Extremfall können persönliche Informationen bestimmter Personen auf arglistige Weise aus dem Modell extrahiert werden, oder die Granularität der gewonnenen Einblicke ist so gross, dass eine fast vollständige Transparenz gegeben ist.

Es sollte leicht verständlich sein, dass ein detaillierteres Verständnis einer Population, das mit illegitimen Mitteln gewonnen wurde, unerwünscht sein könnte.[3]  

C. Personenbezogene Daten werden an kommerzielle Organisationen verkauft, die die Daten weiterverarbeiten, um Erkenntnisse über Personen, einschliesslich der betroffenen Person, zu gewinnen (und möglicherweise weiterzuverkaufen). Ähnlich wie beim Beispiel der Machine Learning Algorithmen besteht der Schaden für die betroffenen Personen in den erweiterten Erkenntnissen, die dank der statistischen Ableitung, die durch die Verfügbarkeit weiterer (legitimer) Informationen ermöglicht wird, über ihr Leben gewonnen werden können.

Auch in diesem Fall können die gewonnenen Informationen so beschaffen sein, dass sie so weit destilliert (d. h. mit verfügbaren persönlichen Informationen kombiniert) werden können, dass daraus ansonsten unzugängliche persönliche Informationen abgeleitet werden können.

Derzeit wird davon ausgegangen, dass Daten, die anonymisiert werden, nicht mehr unter die DSGVO fallen und somit deren Schutzregeln nicht mehr gelten.[4] Es ist jedoch anzumerken, dass die Unterscheidung zwischen personenbezogenen und nicht-personenbezogenen Daten schwierig ist und unter Berücksichtigung vieler verschiedener Aspekte erfolgen muss. Am Markt für personenbezogene Daten sind oft ein oder mehrere Vermittler beteiligt, sowohl innerhalb als auch ausserhalb der EU, die möglicherweise wenig Anreiz haben, die Regeln zum Schutz der Daten von Einzelpersonen zu befolgen oder zu verstehen, welche Anforderungen an die Anonymisierung gestellt werden, so dass einfacher wird, Fälle von Wäscherei von Personenbezogene Daten einfacher sind.

Warum jetzt? (oder noch nicht?)

Warum ist das relevant? Datenschutz ist in Europa als ein Grundrecht anerkannt.[5] Es leitet sich aus dem Recht auf Privatsphäre ab, das das Recht auf ein Privatleben, das Recht auf Eigenständigkeit und Kontrolle über Informationen über die eigene Person, das Recht, in Ruhe gelassen zu werden schützt.[6] Trotz einiger technischer Diskrepanzen, die den Datenschutz vom Recht auf Privatsphäre abgrenzen,[7] kann man sagen, dass der Datenschutz massgeblich zur Gewährleistung des Rechts auf Privatsphäre beiträgt.

Es werden immer mehr Daten von den Betroffenen und ihrem Umfeld gesammelt, und aus diesen Daten lassen sich dank Netzwerkeffekten immer mehr Erkenntnisse gewinnen, die es zum Beispiel erlauben, "Systeme zu schaffen, die Empfehlungen, Feedback, Vorschläge und Einfluss in einer personalisierten und adaptiven Weise bereitstellen."[8] Auch ohne Wäscherei von Personenbezogene Daten sind die Erkenntnisse, die man also dank der Sammlung und Kombination von Daten zusammen mit dem Wissen über das menschliche Verhalten gewinnen kann, bereits sehr weit fortgeschritten.

Ermöglicht wird diese Entwicklung durch die sich ständig weiterentwickelnde Technologie und insbesondere durch die künstliche Intelligenz, die es erlaubt, mit dieser Masse an Informationen umzugehen und sie auf personalisierte Weise zu nutzen. Diese Entwicklung ermöglicht aber auch, personalisierte Dienste zu einem erschwinglichen Preis oder sogar kostenlos anzubieten, die Infrastrukturen zu verwalten, die unsere Lebensweise ermöglichen, sowie einen Grossteil der Sicherheit zu gewährleisten, die wir geniessen.

Fazit

Die Entwicklung in der Datenerfassung, -verarbeitung und -modellierung zeigt die zunehmende Spannung zwischen dem Fortschritt und den aktuellen Vorstellungen, die auf der Unabhängigkeit und Privatsphäre des Einzelnen basieren. Es findet ein tiefgreifender gesellschaftlicher und kultureller Wandel statt. Meiner Meinung nach besteht derzeit kein kritischer Bedarf, das Thema Wäscherei von Personenbezogene Daten durch eine Gesetzgebung zu adressieren, auch weil es im Allgemeinen relativ einfach ist, reichlich personenbezogene Daten auf konforme Weise zu sammeln. Dieses Thema ist jedoch ein wichtiger Aspekt, den man bei der Entwicklung von Best Practices im Auge behalten sollte.

[1] Vergleich die Definition auf Wikipedia https://en.wikipedia.org/wiki/Data_laundering

[2] Für eine Übersicht, siehe https://www.twobirds.com/en/in-focus/general-data-protection-regulation/gdpr-tracker/penalties

[3] Zugegeben, die derzeitige allgemeine Praxis ist es, persönliche Informationen recht großzügig zu teilen.

[4] D.h., die Daten betreffen keine identifizierte oder identifizierbare natürliche Person im Sinne der Definition von personenbezogenen Daten nach Artikel 4(1) GDPR, die den Anwendungsbereich der Verordnung definiert..

[5] Nach Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union und Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

[6] https://edps.europa.eu/data-protection/data-protection_en

[7] Siehe u.a. https://edps.europa.eu/data-protection/data-protection_de und “The distinction between privacy and data protection in the jurisprudence of the CJEU and the ECtHR” in “International Data Privacy Law, 2013, Vol. 3, No. 4. “

[8] Boratto, L., Vargiu, E. Data-driven user behavioral modeling: from real-world behavior to knowledge, algorithms, and systems. J Intell Inf Syst 54, 1–4 (2020). https://doi.org/10.1007/s10844-020-00593-x