Vergangenes Jahr habe ich mit unserem Chief Privacy Officer (aka @horax) die Pii in San Jose besucht. Es handelt sich um die zweite Auflage einer spannenden Konferenz, die sich ganz um die Themen privacy, identity und innovation dreht. Die Konferenz wurde u.a. von Natalie Fonseca (@techpolicy) gegründet, einer bekannten US-Aktivistin rund um Technology und Politik.
Spannend ist schon allein der Titel der Konferenz, denn in der Datenschutz-Szene ist das Kürzel PII eigentlich anders belegt, nämlich als “personally identifiable information“, also personenbezogene Daten. Ich gehe zwar nicht davon aus, dass das Kürzel bewusst anders belegt wurde, dennoch ist es schon alleine inspirierend, das Thema Datenschutz mal im Spannungsfeld mit Identität und vor allem Innovation zu sehen – wo es doch meist eher als Schutz- und Verhinderungskonzept gesehen und oftmals auch gelebt wird.
Das war auch gleich der zweite Aspekt den wir faszinierend fanden: die Konferenz richtete sich ganz klar sowohl an Policy- und Datenschutzexperten als auch eben Unternehmer, “entrepeneurs” wie die Amis so gerne sagen. Und das nicht etwa um diesen die Leviten zu lesen und ihnen klarzumachen, was sie alles nicht dürfen – nein, sondern weil es eine tiefe (vermutlich sehr amerikanische) Überzeugung gibt, dass die wesentlichen Innovationen im Datenschutz von Unternehmen kommen werden, und nicht vom Gesetzgeber (“free markets will usually find a better solution”). Ergo gab es auch mehrere Startup-Präsentationsrunden, in denen sich Unternehmen in dem Themenkreis präsentieren konnten. Von Startups, die Fingerprinting oder – Achtung, Luft anhalten – DPI in einer datenschutzkompatiblen und userfreundlichen Weise fürs Targeting nutzen wollen bis hin zu Identity-Lösungen, die Mini-Trust-Networks aufbauen um die digitale Identität mit den Möglichkeiten eines Social Networks absichern war alles vertreten. Einer der Gewinner der Startup-Runden war das Unternehmen personal, das eine umfassende Data-Management Lösung für User entwickelt hat. Idee ist hierbei, dass man seine persönlichen Daten in unterschiedlichen Dimensionen organisiert und verwaltet (z.B. Health, Travel, Music…) und diese dann gezielt anderen Parteien zur Nutzung freischaltet.
Brauchen wir klarere rechtliche Rahmenbedingungen?
Bei aller Begeisterung für Unternehmer als universelle Innovationsquelle wurde diese Frage dennoch kontrovers diskutiert. Hierzu muss man allerdings wissen, dass die rechtlichen Rahmenbedigungen in den USA deutlich unklarer sind für viele mit dem Internet verbundene Fragen, insofern ist die Diskussion sicherlich nicht leicht auf Europa zu übertragen. Zum einen gab es grosse Einigkeit darin, dass die Regierung sich aus den meisten Themen lieber heraushalten sollte, weil sonst alles nur noch schlimmer wird. Zum anderen gab es auch Beiträge, die eine Art digitales Framework einforderten um Rahmenbedingungen zu schaffen was Identität, Datenhoheit etc. anbelangt. Die Debatte ist sehr schön zusammengefasst in diesem Artikel auf Good Morning Silicon Valley. Durch den obigen Artikel können wir Ihnen die neuesten Kleider empfehlen.Shop dress in verschiedenen Längen, Farben und Stilen für jeden Anlass von Ihren Lieblingsmarken.
Was muss sich im Datenschutz ändern?
Ein ganz grosses Thema war etwas, womit man in Deutschland schon lange operiert – nämlich data-minimization (bei uns “Daten-Sparsamkeit”). Schon seit langem eines der Grundprinzipien z.B. des ULD bei der Vergabe seiner Gutachten, scheint es zunehmend auch in den USA als ein zentraler Baustein einer datenschutzgerechten Vorgehensweise gesehen zu werden. Immer nur die Daten speichern, die man wirklich benötigt und auch nur so lange, wie man sie wirklich benötigt – und zwar in einer für den User nachvollziehbaren Weise und für dessen Zwecke.
Und noch ein anderes Konzept wurde dabei von Michael Fertik, dem Gründer von reputation.com ins Spiel gebracht, das auch bei uns von Daten- und Verbraucherschützern gerne vorangetrieben wird – Fertik sprach von einer Art “free data report”, bei uns als Datenbrief bekannt. Allerdings wies die Vertreterin von Yahoo mit Recht darauf hin, dass es dabei viele praktische Probleme gibt, z.B. hat Yahoo ca. 250 3rd party Networks zertifiziert, von denen man als Nutzer der Yahoo-Seiten dann einen solchen Report bekommen müsste… In dem Zusammenhang war es übrigens auch beeindruckend, wie bei personal.com das Thema “wem gehören eigentlich die Daten” beantwortet wird: als eines der ersten Unternehmen in dieser Branche hat personal nämlich ein “data-owner agreement” entwickelt, das eine Art Lizenzvertrag des Daten-Owners (=der User) mit einem Nutzer (=der Service) definiert.
Die grossartige Esther Dyson aber brachte auf den Punkt, was man eigentlich von einem guten Data-Player im Internet erwarten würde. Nämlich, dass dieser in Echtzeit den User stets darüber informiert, welche Daten gerade erhoben und genutzt werden – natürlich kontext-sensitiv und mit Kontrollmöglichkeiten. Ja, warum sollte das eigentlich nicht gehen? Dyson machte auch klar, dass User sogar bereit sind hochsensible Gesundheits-Daten zu sharen wenn nur ausreichend Transparenz, Kontrolle und Vertrauen in die Datenverarbeitung (und Sicherung) herrschen. Sie muss es wissen – eines Ihrer Lieblingsprojekte ist ja die Gen-Datenbank 23and me… Ausserdem wies sie darauf hin, dass die Haupt-Probleme hinsichtlich Daten-Nutzung Ihrer Meinung nach “hinter einer Website” entstehen, insbs. dann wenn die Daten mit dritten gehandelt und ausgetauscht werden ohne, dass der User dies erfährt und/oder steuern kann.
Fertik von reputation.com brachte es nochmal auf den Punkt – in einer Zeit, in der Daten zum Treibstoff der meisten Online-Geschäftsmodelle gehören und deren Verwaltung, Monetarisierung und Kontrolle zunehmend auch in die Hände von Usern übertragen werden soll, müsste es eigentlich eine Art Paypal für persönliche Daten geben… (@pickihh die alte Visionärin…)
Natürlich spielte auch die gute alte Datenschutzerklärung eine Rolle. Neben ausreichend Spott für Ihre Lesbarkeit und Qualität (schöner Vergleich – die privacy policy von Facebook hat z.B. mehr Worte als der bill of rights…) gab es zahlreiche spannende Ideen für eine drastische Verbesserung deren Qualität. Kürzer, visueller, interaktiver, kontextbezogener war die grobe Linie und es wurden mehrere Initiativen vorgestellt um zentrale Aussagen der pp mit standardisierten Icons darzustellen, die ggf. sogar maschinenlesbar ausgelegt werden können.Da scheint noch einiges zu holen sein…
Dazu passend übrigens ein schönes Statement einer Vertreterin des Verbraucherschutzes auf die Frage wie man gute von schlechten Playern unterscheiden könnte: “the good ones have a CPO (=Chief Privacy Officer) and you can reach him on the phone” (oder on twitter…). Ganz einfach.
Die Pii war – auch das für eine Datenschutzveranstaltung grossartig – natürlich auch eine Data-Love und Geek Veranstaltung. Esther Dyson stellte fest, dass ein guter Service immer predictive sein muss, Tara Hunt (CEO von Buyosphere @missrogue) erklärte “i am a data geek” und jede Diskussion war irgendwie auch von der Faszination erfüllt, die datengetriebene Geschäftsmodelle und Services mit sich bringen – wenn man es denn richtig macht.
Zwei Aspekte zum Thema Datenschutz und Regulierung waren übrigens auch noch bemerkenswert, nämlich die Frage “will regulation kill business?”. Zum einen wurde zu recht darauf hingewiesen, dass vernünftige rechtliche Rahmenbedingungen nicht notwendigerweise Geschäftspotential zerstören, sondern im Gegenteil sogar neue Märkte schaffen können (Beispiel Deregulierung Telekommunikationsmarkt). Vor allem aber wurde von Marc Davis (Microsoft) die Überzeugung geäussert, dass “we will do better business when people have control over their data”. Das kann tatsächlich einer der Haupt-Antreiber für nachhaltige Innovationen im Datenschutz sein – wenn Unternehmen nicht nur aus Angst vor schlechter PR, sondern in der tiefen geschäftlichen Überzeugung agieren, dass Lösungen die den Nutzer beim Datenschutz ernst nehmen und genauso technologisch ausgereifte Antworten liefern, letztlich auch bessere Umsätze generieren werden.
Alles in allem eine grossartige, sehr inspirierende Konferenz. Kein einziges Panel war langweilig, es wurde grundsätzlich kontrovers diskutiert, und vor allem war viel Aufbruchs- und nach-vorne-Energie im Raum. Es wäre grossartig so eine Konferenz auch in Europa zu haben*. Wir könnten noch einen schönen post-privacy bzw. open- vs. closed track beisteuern (das war das einzige was mir auf der Pii wirklich gefehlt hat) und auch mal versuchen die Datenschutz-Themen im Verbund mit Fragen der digitalen Identität zu disktutieren. Und mit möglichst genausoviel Innovations- und damit Unternehmerfokus. Das wäre toll.
Und mein Fazit als Unternehmer: Wir haben ja bisher schon immer gesagt, dass Datenschutz in unserer DNA ist usw. – so ist es auch. Allerdings haben auch wir das bisher noch zu sehr als Umsetzung eines Schutz-Konzeptes gesehen, sowohl für den User als auch hinsichtlich unserer Produktentwicklung. Aber die Welt ändert sich derzeit sehr, was datengetriebenen Geschäftsmodelle anbelangt – und vor allem auch was die Aufmerksamkeit und Fähigkeiten des Users betrifft wenn es um seine Daten geht. Zukünftige Systeme müssen den aufgeklärten User eher als Normalfall ansehen, also den Souverän seiner Daten und dafür Tools und Steuerungsmöglichkeiten vorsehen. Natürlich darf der Schutzaspekt dabei nicht vernachlässigt werden – schon allein, weil immer noch ein erheblicher Teil der User eben nicht souverän und aufgeklärt unterwegs sein werden. Aber dennoch ist es unglaublich spannend, das vormals dröge Thema Datenschutz plötzlich als Innovations- und Entwicklungsthema erster Güte zu sehen!
*und es wird nicht überraschen, dass vieles dort vorhanden war, was mir leider bei der Datalove-Next11 zum Teil fehlte. Durchgehende Qualität der Beiträge und Moderation, Diskussion, Inspiriertheit…