Die Geschichte des Datenschutzes – Teil 7
Zwischen Kontinuitäten und Umbrüchen
Das Volkszählungsurteil und seine Folgen
Das Volkszählungsurteil des Bundesverfassungsgerichts wird gemeinhin als große Zäsur verstanden. Die tatsächlichen Änderungen sind tatsächlich eher gering, wenn auch – weil das Gericht eben ein neues Grundrecht expliziert hat – sicher bedeutsam.
Das Urteil ist im wesentlichen ein Plagiat der Druckfahne der Kommentierung von Art. 1 Abs. 1 und Art. 2 GG durch Adalbert Podlech – eine Tatsache, die in der Rechtswissenschaft oft nicht bekannt, weitgehend ignoriert und teilweise absichtlich verschwiegen wird. Podlech selbst war in dem Verfahren – zusammen mit Steinmüller und Brunnstein – einer der Beschwerdeführerinnen und zusammen mit Steinmüller zugleich einer der Bevollmächtigten. Während eine Mehrzahl der Wissenschaftlerinnen – darunter mit Steinmüller, Podlech, C. Mallmann, Müller und Dammann die „Architekten“ von Datenschutztheorie und -recht – vorher das Recht auf informationelle Selbstbestimmung aus der Entscheidungsfreiheit nach Art. 2 Abs. 1 GG ableiteten, entschied sich das BVerfG für eine Ableitung aus dem allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG und schuf damit die Basis für die heute durchaus weitverbreitete Auffassung, die informationelle Selbstbestimmung sei ein Ausfluss der Menschenwürde. Jedenfalls aber akzeptiert das BVerfG mit dem Urteil faktisch die zwei gemeinsamen verfassungsrechtlichen Anknüpfungspunkte des Datenschutzrechts – den persönlichkeitsrechtlichen und den staatsrechtlichen – in ihrer Interpretation durch eine strukturalistische Theorieschule. Ganz überwinden konnte das Gericht dabei jedoch die vorwissenschaftlichen Vorstellungen – zumindest im Sprachgebrauch – nicht, auch wenn Ulrich Mückenberger das behauptet: So wird bei der vom Gericht herangezogenen Formulierung von der „Gemeinschaftsbezogenheit und Gemeinschaftsgebundenheit der Person“ schon nicht klar, ob damit Bezug auf die Gemeinschaft – wie die Begriffe implizieren – oder die Gesellschaft gemeint ist, auch weil das Gericht an anderer Stelle explizit von der „Person“ spricht, „die in freier Selbstbestimmung als Glied einer freien Gesellschaft wirkt.“ Wie bereits in der Vergangenheit hat das Gericht mit dieser Formulierung von der „Gemeinschaftsbezogenheit und Gemeinschaftsgebundenheit“ auch hier die Einschränkbarkeit des Grundrechts begründet, obwohl das für beide Auslegungen – als „Gemeinschaft“ und als „Gesellschaft“ – konzeptionell fehlgeht: Als liberaler Staat kann er sich eigentlich nicht – wie das etwa ein faschistischer könnte – mit der Gemeinschaft gleichsetzen, und „Gesellschaftsbezogenheit und Gesellschaftsgebundenheit“ sind keine natürlichen Eigenschaften von Menschen.
Schon kurz nach dem Urteil kam es wenig überraschend zu Streits um die Auslegung. Das BMI will einer „moderaten Interpretation“ ausgehen, die „die Anforderungen des Gerichts berücksichtigt, ohne die unerläßliche Funktionsfähigkeit der Verwaltung zu gefährden.“ Das Ziel sei eine „Konkordanz zwischen dem Recht auf informationelle Selbstbestimmung, anderen Datenschutzrecht strukturell zu unterminieren.
Auf der anderen Seite steht – ebenso wenig überraschend – der ehemalige Gerichtspräsident Benda, der aus dem Urteil fünf erforderliche Ergänzungen des Datenschutzrechts folgert: Einbeziehung der Phase der Erhebung in den Schutzbereich, „Beschränkung des Ausmaßes der Erhebung und des Austauschs von Daten, nicht lediglich eine Verhinderung von Mißbräuchen“, Auskunftsrechte der Betroffenen auch im Sicherheitsbereich, Verankerung des Zweckbindungsprinzips sowie die Mitteilung von Zweck und Adressaten bereits bei der Erhebung von Informationen. Auf den Aspekt der Überwindung der Fixierung auf „Missbrauch“ geht auch Steinmüller ein und identifiziert im Urteil einen Schwenk zu einer allgemeinen „Gebrauchsregelung“, den er fast schon euphorisch begrüßt. Zugleich warnt er aber auch vor der nur teilweisen Durchsetzbarkeit von Datenschutz im Recht: Es stünden „sehr große organisierte Interessen gegen die Betroffenen“, und das Urteil könnte ein Vertrauen erzeugen, das der Realität nicht standhalte.
Dieser grundsätzliche Streit um die „richtige“ Interpretation des Bundesverfassungsgerichtsurteils und insbesondere die daraus zu ziehenden Schlussfolgerungen sowohl für die neueren technischen Entwicklungen – einerseits die Einführung und Durchsetzung des Personal Computers, andererseits die zunehmende Vernetzung und die Entstehung vernetzter Netze – prägten einen wesentlichen Teil der Diskussion in der zweiten Hälfte der 80er und zu Beginn der 90er Jahre. Hinzu kamen die damals großen gesellschaftlichen Auseinandersetzungen – die neuen sozialen Bewegungen, wahrscheinlich vor allem die Umweltbewegung, der „Kampf gegen die organisierte Kriminalität“ sowie große öffentliche Streitgegenstände von der Startbahn West über Wackersdorf bis zu Tschernobyl – und der Umgang des Staates als „Informationsmachtzentrale“ damit – sowohl hinsichtlich der Informationseingriffe wie der Informationskontrolle –, die die Berufsverbote und die Anti-Terror-Gesetze der 1970er Jahre als gesellschaftliche Bezugspunkte der Datenschutzdebatte ersetzten oder zumindest in den Hintergrund drängten. Auch in den englischsprachigen Ländern gab es keine großen Umbrüche in der Diskussion – in der die verschiedenen Diskussionsstränge weitgehend parallel nebeneinander liefen, ohne sich groß zu beeinflussen –, abgesehen vielleicht vom Aufkommen der „Surveillance Studies“ zu Beginn der 90er Jahre und einer Zunahme an Arbeiten zu Fragen der Governance, rechtsvergleichenden Arbeiten und Untersuchungen zur Möglichkeit der Übertragbarkeit von Regelungsansätzen. Eine relativ starke Zunahme gab es bei Arbeiten, die sich mit der Technikgestaltung beschäftigten, insbesondere zu Verfahren und Modellen, während es im Bereich der „Kerninformatik“ in dieser Zeit vor allem um Anonymisierung und Anonymität und die dafür notwendigen kryptographischen Grundlagen ging.
Auf der einen Seite unternimmt es der damalige Bremische Landesdatenschutzbeauftragte Alfred Büllesbach, vor dem Hintergrund der sich zu dieser Zeit vollziehenden technischen Entwicklung eine zusammenfassende Betrachtung von Datenschutzproblem und Datenschutzrecht vorzulegen, um die stattfindende Reformdiskussion zu beeinflussen, und lehnt dabei das auf Luhmanns Vorarbeiten basierende Bedrohungsmodell des Datenschutzes zugunsten des von Rüpke ausgearbeiteten ab. Auf der anderen Seite versucht Steinmüller, den Datenschutz theoretisch und praktisch zu verbreitern, indem er dessen Schutz der Handlungsfreiheit ausdehnt auf das Ziel der Schaffung von (neuen) Handlungsmöglichkeiten für Betroffene von Informationssystemen – „über die löcherigen Datenschutzgesetze“ hinaus –, vor allem in Unternehmen. Den Hintergrund, vor dem Steinmüller die entstehenden Probleme analysiert und Lösungsvorschläge unterbreitet, bilden dabei das Verständnis des Computers als allgemeine Medien- und zugleich (Entscheidungs-)Rationalisierungsmaschine, sein möglicher Gebrauch als „Universalkontrollmittel“ sowohl für Menschen wie für Dinge und Prozesse als „»Fabriken« für Machtmöglichkeiten“, die absehbare Entwicklung hin zum „computer integrated manufacturing“ – heute „Industrie 4.0“ – bei gleichzeitiger Übertragung von (unbezahlter) Arbeit auf Kundinnen („Schattenarbeit“) – das gleiche Geschäftsmodell im Internet wird heute als AAL-Prinzip bezeichnet: „Andere arbeiten lassen“ (Andreas Weigend) – sowie die allgemeine Tendenz zu (eng gekoppelten) „Großtechnologien“. Aber nicht nur Büllesbach und Steinmüller, sondern auch Simitis fordert eine Weiterentwicklung des Datenschutzrechts, wobei seine Hauptkritikpunkte an den bestehenden rechtlichen Regelungen das Primat der Selbstkontrolle der verantwortlichen Stelle – und damit deren Fähigkeit, „ihre bisherigen Verarbeitungsprozeduren [. . . ] beizubehalten“ –, die Konstruktion der Datenschutzgesetze als „Auffanggesetze“ – oder jedenfalls deren erfolgreiche Umdefinition in Auffanggesetze in der öffentlichen und juristischen Debatte – und die grundlegende Ungeeignetheit der Einwilligung in vielen Handlungskontexten sind. Dem schließt sich Bull im wesentlichen an und fordert eine Neukonzeption des Datenschutzrechts als „Informationsrecht“, das „von den betroffenen Interessen“ ausgehen müsse und nicht allein „eine Abwägung der widerstreitenden Belange“ fordern dürfe, wobei er dann allerdings sehr schnell sehr konkret wird und etwa fordert festzulegen, welche Daten über Beschäftigte erhoben und verarbeitet werden dürften.
Gerade dieser Art von – tendenziell – falscher Konkretheit versuchen Steinmüller und Co. mit einer breit angelegten Diskussion im Rahmen des August-Bebel-Kreises, einem SPD-nahen Arbeitskreis von Wissenschaftlerinnen, Künstlerinnen und Politikerinnen in der zweiten Hälfte der 80er Jahre, über die „sozialökologischen Handlungsspielräume“ in der „verdatet[en] und vernetzt[en]“ Informationsgesellschaft entgegenzutreten. Sie identifizieren Informationstechnik dabei als grundsätzlich gestaltbar und daher gestaltungsbedürftig, warnen jedoch zugleich vor grundlegenden Eigeschaften von Datenverarbeitungssystemen, in denen „alles in Daten“ abgebildet werde und damit „[s]oziale Prozesse [. . . ] im Prinzip so berechenbar und beherrschbar gemacht werden wie technische Prozesse.“ Es gebe zwei tendenziell mögliche Entwicklungsrichtungen: Systeme, über die Individuen „wie bei anderen Werkzeugen frei verfügen könnten“, und Systeme, bei denen sie das nicht könnten, sondern die als „Organisations-, Steuerungs- und Kontrollinstrumente“ den Interessen Dritter, etwa Arbeitgeberinnen oder Anbieterinnen dienten, denn die „gesellschaftlich verwirklichte Technik bestimmt den Spielraum möglichen Verhaltens der Institutionen, Gruppen und Mitglieder der Gesellschaft.“ Um damit gesellschaftlich umgehen zu können, bedürfe es aber einer anderen informatischen Bildung, die gerade nicht in einer Programmiererinnenausbildung bestehe, sondern in der Vermittlung der Fähigkeit zur sozialen Beherrschung der Technik.
Während die Debatte in der Rechtsinformatik im Allgemeinen und im Datenschutzbereich im Besonderen vordergründig ein gewisses Niveau erreicht haben zu schien, mangelte es ihr offensichtlich an der Fähigkeit oder der Macht, die Erkenntnisse in einer Form in die allgemeine juristische Debatte einzubringen, die verhindert, dass bereits erreichte Einigungen – oder jedenfalls akzeptierte Differenzen – über zugrunde gelegte Annahmen und gezogene Schlussfolgerungen über das Datenschutzproblem und den Ansatz zu seiner gesellschaftlichen – und insbesondere rechtlichen – „Lösung“ von weiteren Debattenteilnehmerinnen einfach ignoriert oder gar für nichtexistent erklärt werden können. Die Folge davon zeigt ein Beitrag von Horst Ehmann. Der Autor muss, um den von ihm identifizierten Gegensatz zwischen einem „absoluten Informationsschutz[] und vollkommener Informationsfreiheit“ zugunsten der „Informationsfreiheit“ „lösen“ zu können, sowohl die inhaltlichen Positionen der Gegenseite falsch wiedergeben, mit „Klassenkampf“- und „Radikalen“-Rhetorik operieren, die Erkenntnisse, die im Zuge der Auseinandersetzungen gewonnen wurden, ignorieren als auch Individuen und private Organisationen in eins setzen und dann beide als Individuen – als „Mensch“ oder „Bürger“ – behandeln. Sein Menschenbild, das sich unter anderem darin äußert, dass Ehmann von Frauen verlangt, dass sie ihre Schwangerschaft gegenüber „dem Vater“, d. h. nicht einmal gegenüber ihren Eltern – und das 1988! – bekanntzugeben habe, und gleichzeitig das Bankgeheimnis der Verfolgung von Steuerhinterziehung vorrangig hält, ist sowohl vorwissenschaftlich, gesellschaftspolitisch reaktionär als auch von einer Unterordnung des Menschen unter die Interessen der Wirtschaft geprägt. Die Argumentation der Arbeit basiert wesentlich auf einer Zuschreibung von personalen Eigenschaften an Organisationen, um dergestalt Interessen von Organisationen als „Gegeninteressen“ dem Datenschutzinteresse der Betroffenen als gleichwertig gegenüberstellen zu können. Während er nun die „Bürger“ mit den Organisationen gleichsetzt und dabei die Organisationen vermittelt über den Strohmann der „Bürger“ vor den Folgen von „Informationsschutz“ und „Geheimnisschutz“ schützen will, versucht er andererseits, den Schutzbereich des allgemeinen Persönlichkeitsrechts auf etwas, das sich „gegenständlich verkörpert“ habe, zu beschränken. Durch die ganze Arbeit zieht sich immer wieder die Konstruktion einer als abgeschlossen verstandenen „Privatsphäre“, um deren Schutz es dem Datenschutzrecht gehen solle, etwa im Gegensatz zur „Sozialsphäre“, die dann für ungeschützt erklärt werden kann. Trotz seiner umfassenden Ausführungen zur soziologischen Konstruktion der Selbstbestimmung des Menschen vermeidet er es konsequent, diese Selbstbestimmung als Selbstbestimmung zu betrachten, und setzt sie stattdessen mit einem „Geheimnisbereich“ gleich, den er dann angreift. Und immer dann, wenn es um Interessen gegen wirtschaftlich mächtige Akteure geht, will Ehmann diese nicht als rechtlich geschützt ansehen, sondern setzt auf „ethische Prinzipien“ oder fordert einen „möglichst schonend[en]“ Umgang mit personenbezogenen Informationen. Dabei werden „Wirtschaftsverkehr“ und „wirtschaftliche Erwägungen“ als letztbegründend und damit über den Grundrechten stehend angenommen. Um seine Argumentation zu „stärken“, legt er ihr sachlich falsche Behauptungen zugrunde: So sollen private Stellen nicht der Zweckbindung bei der „Datennutzung“ unterworfen werden, „weil bei privaten Stellen auch nicht solche Massen von Daten gesammelt, gespeichert und genutzt werden können.“ Während Ehmann an mehreren Stellen die „soziologischen Erkenntnisse“ als „im wesentlichen als zutreffend“ bezeichnet, behauptet er jeweils gleichzeitig, aber ohne an irgendeiner Stelle dafür eine Begründung anzugeben, dass die daraus „gezogenen juristischen Folgerungen“ nicht akzeptiert werden dürften. Stattdessen legt er eine offensichtlich vormoderne Theorie zugrunde, die den Menschen allenfalls in Gemeinschaften, nicht jedoch auch in Gesellschaften zum Gegenstand hat und ihn nicht als gesellschaftlich geformt und bedingt annimmt, sondern sein Sozialverhalten in seiner „Natur“ verortet, oder er verweist auf eine ebenso ominöse wie begründungsfreie „Lebensklugheit“ und „uralte Klugheits- und Erfahrungsregeln“ als Verarbeitungsrechtfertigung. Ehmanns Behauptung, das Recht auf informationelle Selbstbestimmung wolle den Menschen als „Intimperson“ schaffen – und nicht als „Sozialperson“ –, widerspricht sowohl dem – von Ehmann selbst zitierten – Begründungszusammenhang dieses Rechts als auch der – auch von Ehmann angeführten – Luhmannschen Persönlichkeitskonstruktion „im sozialen Verkehr, indem auf seine Selbstdarstellung, sei es durch Konsens, sei es durch Dissens, eingegangen wird“, insbesondere insoweit Ehmann daraus schließen will, „daß der Wert des im sozialen Verkehr gewonnenen Persönlichkeitsbildes von der konsequenten und zuverlässigen Information durch die betroffenen Personen abhängt, die nicht durch selbstbestimmte Informationsbeschränkung verfälscht worden sind.“ Ehmann verwechselt hier offensichtlich – absichtlich oder unabsichtlich – Luhmanns Hinweis auf die Konsistenz der Selbstdarstellung – „konsequent, erwartbar, zuverlässig“ – mit einer Wahrhaftigkeit und sogar Vollständigkeit von Selbstdarstellung im Rollenspiel.
Ähnlich argumentiert Lorenz Gräf Anfang der 90er Jahre in seiner Dissertation. Auch er setzt Privatheit an den Anfang und behauptet dann, Datenschutz diene dem Schutz von Privatheit, um dann „herauszufinden, wodurch private Zustände gekennzeichnet sind, was die Funktionen von Privatheit sind und mit welchen Mechanismen Menschen ihre Privatheit aufbauen und erhalten.“ Privatheit ist dabei für Gräf in erster Linie ein Zustand von Geheimhaltung und Nichtwissen, zugleich aber auch alles und jedes, ohne dass er daraus die Konsequenz zieht, den Begriff der Privatheit als überholt oder untauglich zu verwerfen. Nach einem Überblick über die verschiedenen Privatheitstheorien kommt er zu einer ausschließlich personenfixierten Definition von Privatheit als „Zustand, in dem die Lebensäußerungen einer Person relativ zu nicht mitgemeinten anderen Personen sozial folgenlos sind“, die das Verhältnis zwischen Individuen oder Gruppen und Organisationen gar nicht in den Blick nimmt, um diese Privatheit dann in „Zustände“ und „Funktionen“ zu trennen. Hinzu kommt, dass er das informationelle Selbstbestimmungsrecht falsch als „Eigentumsrecht“ sieht, indem er behauptet, dass es wie ein Eigentumsrecht funktioniere, und dass er moderne Informationsverarbeitung nicht versteht und daher glaubt, es gebe Informationen, die „aus Sicht des Persönlichkeitsschutzes an und für sich belanglos sind“, und als Beispiel für solche „belanglosen“ Informationen „äußere körperliche Merkmale“ nennt. Wie Ehmanns basiert auch Gräfs Argumentation zu den Gefährdungen auf – schon damals widerlegten – falschen Behauptungen, etwa dass „[u]nsichtbar und unzugänglich [. . . ] die internen Zustände eines Menschen [seien] und das, was der Mensch exklusiv (d. h. in Abwesenheit anderer [Menschen, denn nur darüber spricht Gräf]) wahrnimmt oder tut“ oder dass „aus dem Normalvollzug der Verwaltung keine Gefahr [drohe], sondern aus dem aus privaten Antrieben motivierten Mißbrauch.“ Seine „Gefahrenanalyse“ muss darum auch scheitern. Auch scheint Gräf weder die Funktionsweise von Grundrechten noch das Rechtsstaatsprinzip zu verstehen, wenn er sich darüber mokiert, dass das BVerfG das Recht auf informationelle Selbstbestimmung zwar als „allgemeines Abwehrrecht konstituiert [habe], es aber im Bereich des öffentlichen Rechts entwertet, indem es Einschränkungen durch Gesetze zuläßt.“ Es kann sich aber auch um eine direkte Folge seiner Konstruktion der Privatheit als quasi gesellschaftsfreiem Zustand handeln, das er gerade dadurch bedroht sieht, dass diese Privatheit – oder korrekter: das Recht auf informationelle Selbstbestimmung – Gegenstand „kollektive[r] Regelungen“ wird.
Im Gegensatz dazu steht Bernhard Hoffmanns Arbeit zur Zweckbindung und der Funktionen, die sie im Rahmen des prozeduralen Regelungsansatzes, den der Datenschutz im bundesdeutschen Datenschutzrecht gefunden hat, erfüllen soll, der die historische Konstruktion dieses Prinzips ernst nimmt und ihr nicht einfach seine eigene Vorstellung überstülpt. Seine Analyse beschränkt sich dabei auf die Erforderlichkeit des Zweckbindungsprinzips für die „Wahrung des ursprünglichen Erhebungskontexts“ und insbesondere für die Schaffung „wohlgeordnete[r], transparente[r] und kontrollierbare[r] Strukturen“. Hoffmann identifiziert Zwecke einerseits als strukturbildend, indem sie Bereiche definieren und mithin die Grenzen zwischen den Bereichen, die zur Informationsflusskontrolle genutzt werden können. Andererseits dienen sie, so Hoffmann, der Bestimmung der Menge der für die Zweckerreichung, also innerhalb der Bereiche, funktional äquivalenten Handlungsmöglichkeiten und Mittel. Datenschutzrechtlich handelt es sich dabei um die Bestimmbarkeit der Geeignetheit, wobei die Setzung von Zwecken den Raum aller überhaupt möglichen Handlungen und Mittel sowie ihrer Wirkungen in er wünschte und unerwünschte trennt. Zugleich eröffnet die Zwecksetzung die Möglichkeit, die grundsätzlich erwünschten Handlungsalternativen und Mittel sinnvoll miteinander vergleichen zu können, so etwa zur Unterscheidung zwischen erforderlichen und nicht erforderlichen Handlungen und Mitteln. Auf dieser Basis kann abschließend die Angemessenheit der Handlungen und Mittel adressiert werden. Mit der Zweckbindung, der „Gewährleistung einer ausschließlich zweckbestimmten Verwendung“, wird dann Kongruenz von Sollen und Sein sichergestellt. Die Funktion des Zweckbindungsprinzip ist demnach die Erzeugung von Kontrollierbarkeit der Informationserhebung, -verarbeitung und -nutzung sowie der dabei verwendeten technischen wie nicht-technischen Mittel, indem es wohlgeordnete Organisationsstrukturen und Prozesse erzeugt, die zugleich transparent gemacht werden können – den Organisationen selbst, vor allem jedoch den Betroffenen und den Aufsichtsbehörden. Zwar ist Hoffmanns Arbeit in der Literatur hin und wieder zitiert worden, jedoch wird dabei fast nie auf die Funktion des Zweckbindungsprinzips eingegangen, und wenn, dann nur ab der abstrakten Ebene, nämlich dass sie die grundsätzlich zweckfrei mögliche Informationsverarbeitung zu beschränken vermag.
Die englischsprachige Debatte zwischen Philosophie, Recht und Governance
Die nicht-informatische englischsprachige Debatte zwischen Mitte der 80er und Mitte der 90er Jahre war geprägt von einer Zweiteilung – einerseits der Fortführung der grundsätzlichen Auseinandersetzung darum, was unter dem privacy-Problem zu verstehen sei und wie es gelöst werden müsse, und andererseits wurde eine durchaus ansehnlichen Zahl von rechts- und politikvergleichenden Arbeiten vorgelegt.
Ferdinand Schoeman, dessen Arbeiten durchaus häufig rezipiert werden – wahrscheinlich aber vor allem, weil er sie als „philosophisch“ ausweist, und sie damit als „Grundlagenwerke“ erscheinen –, unterscheidet drei Formen von privacy: den Zustand, die Kontrolle über den Zustand sowie das Recht auf Kontrolle über den Zustand. Die weite Rezeption auch heute ist insofern überraschend, als dass Schoemann aus seiner privacy-Betrachtung explizit gerade die sozialen Beziehungen ausschließt, um die es in der heutigen Diskussion vor allem geht: den Bereich der Wirtschaft sowie den staatlichen Bereich. Stattdessen wolle er sich beschränken auf „the less formal but possibly more important domains of social life, including the whole spectrum of social interaction“, also ausschließlich interpersonale Beziehungen. Unabhängig davon sind Schoemans „spheres of life“ nichts anderes als Goffmans Rollen mit „implicit privacy norms built in“, deren Zweck „freedom from overreaching social control“ sei.
Eine solche Selbstbeschränkung nimmt auch Anita Allen vor und vertritt eine reduktionistische privacy-Konzeption, in der privacy ein Zustand ist, „a degree of inaccessibility of persons, of their mental states, and of information about them to the senses and surveillance devices of others.“ Daneben nutzt sie den Begriff der „private sphere“ für den Haushalt und verweist darauf, dass es sich dabei auch um eine vermachtete Struktur handelt – zu Ungunsten der Frauen. Für privacy in der Öffentlichkeit setzt sie privacy mit Abgeschiedenheit und Anonymität gleich. Da in allen Fällen immer nur „others“ die Angreiferinnen sind, ist Allens privacy-Konzept eines von Asozialität in einem ganz umfassenden Sinne: privacy kann es nur für diejenige geben, die niemanden um sich herum hat – alles andere ist schon nur noch aufgegebene privacy.
Der dritte im Bunde ist Robert C. Post, der 1989 nach den „social foundations“ fragt, damit aber auch nicht die gesellschaftlichen, sondern eigentlich ausschließlich die gemeinschaftlichen meint. Das wird gerade auch an den Stellen deutlich, wo er nicht – wie sonst über die ganze Arbeit verteilt – Simmel oder Goffman zitiert, sondern Merton oder Parsons. Selbst dort, wo strukturfunktionalistische Theorie referenziert wird, geschieht das nur aus individualistischer oder gemeinschaftlicher Perspektive. Jed Rubenfeld hingegen beschäftigt sich im gleichen Jahr mit dem verfassungsrechtlichen Recht auf privacy in Abgrenzung zu den privacy-Erwartungen nach dem Fourth Amendment und dem privacy-Schutz aus dem „tort law“. Rubenfeld lehnt dabei die „personhood“-Theorie ab, wonach Menschen sich durch die Selbstbestimmung zugleich selbst in ihrer Identität definieren würden, und fordert stattdessen, dass die Selbstbestimmung verstanden werde als Abwehrrecht gegen das „being forced into an identity“ und somit als „anti-totalitär“. Daraus folgert er dann, dass jeweils gefragt werden müsse, was durch eine staatliche Handlung oder ein Gesetz „produziert“ werde: „Mütter“ durch Abtreibungsverbote, „Rassenreinheit“ durch Rassentrennungsgesetze und „a »standardization« of lives that it considered unacceptable“ durch Wohnbeschränkungsregelungen.
Von dieser Fixierung auf das Private und das Öffentliche als Referenzpunkte kann sich auch Simitis nicht trennen, wenn er den Stand der bundesdeutschen Debatte einem amerikanischen Publikum nahebringt, während er gleichwohl – wenn auch nur in einer Fußnote – privacy schlicht mit dem allgemeinen Persönlichkeitsrecht gleichsetzt und zugleich in dem gesamten Text ausschließlich über information privacy spricht. Dafür weist er das Problem jedoch explizit als nicht-individuelles aus, sondern als eines, dass alle betrifft. Er stellt fest, dass „surveillance“ ihren Ausnahmecharakter verloren habe und mehr und mehr zur Routine geworden sei. Und drittens weist Simitis darauf hin, dass personenbezogene Informationen zunehmend genutzt würden, um Verhaltensnormen durchzusetzen. Darüber hinaus wiederholt er seine im Jahr zuvor geäußerten Befürchtungen der Generierung von Personengruppen in der und durch die Datenverarbeitung und der anschließend erfolgenden Beurteilung der Betroffenen anhand der Zugehörigkeit zu einer der Gruppen mit der Folge der Institutionalisierung von Kontrolle.
Die Verbindung zu Foucault, die Simitis in seinem Artikel herstellt, ist nicht zufällig, denn etwa zur gleichen Zeit betritt eine neue Theorieschule die Bühne des Diskurses: die später so genannten Surveillance Studies, die im wesentlichen auf Vorarbeiten von Michel Foucault aufsetzen. Der Begriff „surveillance“ bezeichnet dabei im Grunde nichts anderes als „Informationsverarbeitung über Menschen und Dinge“ im weitesten Sinne, wenn auch manchmal gedacht als „mit dem Ziel von Kontrolle“ und manchmal nicht, manchmal eingeschränkt auf „systematische“ surveillance und manchmal nicht, jedoch immer unter Ausschluss von „Entscheidung“. Die Gesellschaft, die durch solche Überwachungspraktiken geprägt werde und von einer Bürokratisierung der sozialen Kontrolle geprägt sei, wird dementsprechend als „surveillance society“ bezeichnet. Das Verhältnis der Surveillance Studies zur privacy-Forschung ist extrem ambivalent: Gerade in den ersten Jahren wird stark auf – jedenfalls Teilen – der vorhergehenden privacy-Debatte aufgebaut und immer wieder privacy als das zentrale Schutzgut herausgestellt. Später wird darüber jedoch ausgiebig gestritten – nicht wirklich überraschend, denn die Surveillance Studies haben nicht privacy als zentralen Bezugspunkt, sondern die als surveillance bezeichneten Informationsverarbeitungsprozesse, und diese können sehr wohl – etwa bei der surveillance von Dingen – ganz ohne jede Verbindung zu privacy problematisiert werden.
Oscar H. Gandy liefert dazu Anfang der 90er Jahre eine der ersten beiden umfassenden – und in den Surveillance Studies als grundlegend angesehen werdenden – Arbeiten über das „panoptic sort“, „the all-seeing eye of the difference machine that guides the global capitalist system“, und meint damit „a kind of high-tech cybernetic triage through which individuals and groups of people are being sorted according to their presumed economic or political value.“ Gandy versteht dabei das „panoptic sort“ als eine Ausdehnung technischer Rationalität in den sozialen Bereich durch organisierte soziale Akteurinnen – „bureaucratic organizations“ – innerhalb vermachteter sozialer Beziehungen. „Panoptic sort“ bestehe aus drei miteinander verbundenen Prozessen: „identification, classification, and assessment“. Es gehe erstens um die Identifikation der zu kontrollierenden Betroffenen, die zweitens auf der Basis der sie beschreibenden Informationen in Klassen eingeteilt würden, wobei die Klasseneinteilung selbst wiederum Ergebnis einer Bewertung von Normalität und Unterschied sei. In solchen Prozessen würden Vorurteile institutionalisiert und zugleich Informationen dekontextualisiert, wobei die Fehlrepräsentation des Kontexts selbst wieder das Ergebnis von Vorurteilen sei. In den vermachteten Strukturen sei die Macht, die Betroffenen gegenüber Organisationen erwüchse, wenn sie diesen Informationen vorenthalten würden, unerheblich im Vergleich zu der Macht, die Organisationen hätten, indem sie Güter oder Dienstleistungen zurückhalten könnten, wenn die Betroffenen Informationen über sich nicht preisgeben würden. Die technischen Systeme – denn „panoptic sort“ bezeichnet nur die technischen, nicht aber die techno-sozialen Systeme – seien geprägt von einer instrumentellen Rationalität, und sie würden gerade deshalb so gestaltet, um den Interessen ihrer Betreiberinnen zu dienen. Im Gesamtblick präsentiert Gandy mit seiner Arbeit eine fast deckungsgleiche Analyse zu den Datenschutzanalysen der 70er Jahre, wenn auch durchaus mit Unterschieden, nicht nur bei den zugrunde gelegten Theorien. So hält Gandy etwa die Sensitivität von Informationen für einen geeigneten Maßstab für eine Regulierung.
Die andere für die Surveillance Studies grundlegende Arbeit entstammt der Feder David Lyons. Auch für diese Arbeit gilt das vorstehende – die Überschneidungen mit den Arbeiten zum Datenschutz aus den 70ern sind unübersehbar. Für Lyon ist surveillance „a shorthand term to cover the many, and expanding, range of contexts within which personal data is collected by employment, commercial and administrative agencies, as well as in policing and security“ und besitze zwei Gesichter: „The processes that may seem to constrain us stimultaneously [sic!] enable us to participate in society.“ Es handele sich dabei um eine Folge der für bürokratische Organisationen bestehenden Notwendigkeit, einen Überblick über eine zunehmend komplexer werdende Gesellschaft mit einer großen Vielfalt an Gruppen zu behalten. Eine Folge davon sei ein verändertes Verhältnis zwischen Organisationen und ihrem Klientel, denn dieses Verhältnis werde nun „mediated by the data collected“ und Entscheidungen über Betroffene seien darum „closely tied to available information about those subjects.“ Von einer Lösung durch Recht hält Gandy nichts und fordert stattdessen „[s]ocial, cultural and political approaches“, wobei sein Wissen um das Recht und dessen historische Konstruktion allerdings, wie seine Ausführungen zeigen, nicht sehr groß ist. Während dieses fehlende Verständnis seine Ablehnung von Recht als geeigneter Lösung erklären könnte, ist seine Unkenntnis der information privacy-Konstruktion und ihrer Geschichte – so schreibt er Westins privacy als claim to control the information flow einfach dem von der britischen Regierung eingesetzten Lindop Committee und dem Jahr 1978 zu – wahrscheinlich der Grund für seine Ablehnung jeder Anknüpfung an die privacy-Debatte. Vor diesem Hintergrund überrascht sein Lösungsvorschlag – oder auch nicht. Auf der einen Seite „controlling the circulation of personal information is a question of the appropriateness of disclosure within differing contexts“, denn „access to particular information is systematically related in the appropriate way to the network of social relationships in which that person stands to others by virtue of their places in the role structure“, auf der anderen Seite „personhood centred on self-communication“ mit „human dignity and human freedom“ mit Referenz zu Habermas’ Theorie des kommunikativen Handelns mit seinen idealen Sprechsituationen und das Ganze zusammengefasst unter der Trinität von „participation, personhood and purposes“, denn: „From »participation« derive some alternatives to the exclusionary power of much surveillance, from »personhood« some criteria by which to judge the data-image, and from »purposes« an antidote to the self-augmenting development of surveillance technologies.“
Beide Werke lesen sich, und das überrascht durchaus ein wenig, über weite Strecken wie eine überarbeitete Version von Vance Packards „The Naked Society“ und zugleich – jedenfalls aus Sicht einer Technikwissenschaft – oberflächlicher, als das zu dieser Zeit verfügbare Wissen über Informationstechnik und moderne Informationsverarbeitung in Organisationen hergeben würde.
„Surveillance“ ist aber nicht der einzige Begriff, der sowohl die Realität moderner Informationsverarbeitung in den Vordergrund stellt – und nicht das (echte oder vermeintliche) Schutzgut –, und dem es zugleich gelingt, eine Gruppe Gleichgesinnter um sich zu scharen. Gleiches gilt für Roger Clarkes Begriff der „Dataveillance“, bei dem es sich um eine Zusammenziehung von „data surveillance“ handelt, und mit dem Clarke „the systematic use of personal data systems in the investigation or monitoring of the actions or communications of one or more persons“ bezeichnen will. Darauf aufbauend analysiert er dann etwa das Problem des Profiling und kreiert – ob in Unkenntnis von oder Ignoranz gegenüber der vorhergehenden Diskussionen zu Datenschatten – das Konzept der „digital persona“ im Sinne eines Personenmodells, um sich später dem Thema „Privacy Impact Assessments“ zuzuwenden – einem Konzept, das Clarke zumindest mitentwickelt hat.
Obwohl schon vorher immer wieder rechts- und politikvergleichende Arbeiten publiziert worden waren, gab es gerade zwischen Mitte der 80er und Mitte der 90er Jahre einen wahren Boom solcher Arbeiten.
In einer dreiteiligen Arbeit analysiert Michael Rogers Rubin im ersten Teil die durch moderne Informationsverarbeitungspraktiken erzeugten privacy-Probleme, im zweiten Teil die verschiedenen Antworten, die darauf in verschiedenen Ländern gegeben wurden, sowie deren Geltungsbereiche und Durchsetzungsansätze, und im dritten Teil die Regulierung in den USA im Detail. Er ordnet die Probleme, die er als „abusive practices“ bezeichnet, in drei Bereiche – „areas of attack“ – ein. Mit „abusive collection practices“ will er unfaire Erhebungsmethoden und die Erhebung von für die angegebenen Zwecke ungeeigneten Informationen adressieren, während er mit „abusive dissemination practices“ eigentlich Verarbeitungspraktiken wie „computer matching“ einerseits und Nutzungen für andere als die angegebenen Zwecke andererseits problematisieren will und mit „abusive management practices“ adressiert er schließlich die Nichtinformation der Betroffenen, die Nichtgewährung von Betroffenenrechten auf Einsicht und Korrektur sowie den Widerwillen zur Korrektur weitergegebener falscher Informationen auf Seiten der Organisation. Anhand dieser Dreiteilung untersucht er dann die Regelungsansätze in verschiedenen Ländern – Canada, Dänemark, Deutschland, Frankreich, Großbritannien, Luxemburg, Norwegen, Österreich, Schweden – sowie der OECD und des Europarats und stellt fest, dass sie einander stark ähneln, wobei er allerdings nur prüft, ob die von ihm im ersten Teil identifizierten Probleme adressiert werden. Während die meisten Länder umfassende Datenschutzgesetze erlassen haben, existieren in den USA ausschließlich sektor- und ebenenspezifische privacy-Gesetze mit im Ergebnis großen Schutzlücken sowohl im Bereich der öffentlichen wie der nicht-öffentlichen Informationsverarbeitung.
Zu einem ähnlichen Ergebnis kommt David H. Flaherty in seiner viel tiefer gehenden und stark auf Interviews mit verschiedenen Stakeholdern basierenden Untersuchung der datenschutzrechtlichen Regelungen in Canada, Deutschland, Frankreich, Großbritannien und den USA sowie der Rolle der Aufsichtsbehörden in den betreffenden Jurisdiktionen. Flaherty will untersuchen, wie effektiv der Schutz der privacy durch Gesetze und Aufsichtsorgane gegen „the emergence and installation of surveillance societies“ sichergestellt wird. Wie die meisten Autorinnen hat auch Flaherty einen vordefinierten Begriff davon, was privacy sei – Ruth Gavisons „limitation of others’ access to an individual“ –, und dieser ist, jedenfalls auf der Ebene der zugrunde gelegten Theorie, beschränkt auf interpersonale Beziehungen und auf der Ebene der Problembeschreibung zugleich ausgerichtet auf „the growing power of large public and private institutions in relation to the individual citizen.“ Im Ergebnis stellt er zwar durchaus nationale Besonderheiten fest, gerade auch hinsichtlich verschiedener Verfassungstraditionen, aber im Großen und Ganzen seien sowohl die adressierten Probleme wie die Lösungsansätze vergleichbar, wobei er zugleich den europäischen Datenschutzgesetzen eine „hidden agenda“ zuschreibt, nämlich die Verhinderung einer Wiederkehr des Nazismus mit seinem Ziel der Bevölkerungskontrolle. Darüber hinaus trennt er zwischen privacy und Datenschutz, wobei er nur letzteres in allen Gesetzen, auch den kanadischen und US-amerikanischen Privacy Acts, umgesetzt sieht, und verweist für die Definition von Datenschutz auf die Definition des Europarats, wonach Datenschutz „the legal protection of individuals with regard to automatic processing of personal information relating to them“ sei. Hingegen hält er privacy und privacy interests für viel breiter und – ohne Begründung – für in allen westlichen Ländern in ihrem Kern gleich, ohne sie allerdings angeben zu können; stattdessen verweist er auf „Freiheit“ und „Gleichheit“, für die das auch nicht angeben werden könne, und darauf, dass es um das gehe „what each of us thinks and feels about his or her own interests in a value like privacy“. Alles, was Flaherty daraus aber zieht, sind dann wieder nur abstrakte Prinzipien „for the control of surveillance“, die er als „Data Protection Principles and Practices“ bezeichnet und die weitgehend den „Fair Information Practice Principles“ folgen.
Auch Colin J. Bennett kommt in seinen Untersuchungen zu grundsätzlich vergleichbaren, wenn auch differenzierteren Ergebnissen. So untersucht er die Konvergenz von vier nationalen Regelungen – Deutschland, Großbritannien, Schweden, USA –, ob sie das Produkt eines technischen Imperativs, von Emulation, von Harmonisierung oder durch direkte Einflussnahme von Akteurinnen eines Landes auf die Gesetzgebung eines anderen sind, und kommt zu dem Ergebnis, dass die Entstehung einer „transnational policy community“, die gemeinsame Basis in der liberal-demokratischen Ideologie, gleiche oder sehr ähnliche Vorstellungen zu Computern, privacy– und Persönlichkeitsrechten sowie effektiven Regelungsansätzen und der durch die OECD und den Europarat geschaffenen institutionellen Rahmen für eine internationale Debatte zur Regulierung des privacy-Problems nur zusammen eine sinnvolle Erklärung liefern könnten. Nachfolgend versucht Bennett, die Regelungsansätze Canadas, Deutschlands, Großbritanniens, Schwedens und der USA auf drei einschlägige Regulierungstheorien – „a technology control theory, a civil rights theory, and an institutional accountability theory“ – zu mappen, wobei das Datenschutzrecht in Großbritannien und Schweden am ehesten der ersten, das US-amerikanische Recht im wesentlichen der zweiten und das deutsche und das kanadische Recht am ehesten der dritten Theorie entsprechen würde. Seine Schlussfolgerung, in der er vor dem Hintergrund der technischen und gesellschaftlichen Entwicklungen fordert, „a more complete understanding of the relationship between bureaucratic organization and technology is necessary — the information technology practices of organizations, in other word“ zu entwickeln, zeigt allerdings, dass er die umfangreichen Vorarbeiten in dieser Richtung durch die deutsche Datenschutzdebatte der 1970er nicht kennt. Grundsätzlich sei jedenfalls die Konvergenz auf der Ebene der Prinzipien größer als auf der Ebene der spezifischen Regelungsinstrumente. Abschließend versucht er, aus drei Perspektiven eine zusammenfassende Einschätzung zum Datenschutzrecht und seiner Zukunft abzugeben, wobei er offensichtlich Datenschutz und Datenschutzrecht gleichsetzt: Aus humanistischer Sicht sei Datenschutz „a symbolic attempt to protect a lost value“ gegen den Drang nach Effizienz und Kontrolle durch moderne, bürokratische Organisationen, aus politischer Sicht sei privacy nur ein Interesse unter vielen im politischen Prozess mit sehr gemischten Ergebnissen – Erfolgen wie Niederlagen – und in instrumenteller Hinsicht könne die Integration von „fair information practice“ in Organisationen als Teil einer Entwicklung zu einer umfassenderen Informationspolitik verstanden werden. Jedenfalls, so statuiert Bennett, „the roots of data protection are individualistic“ und würden zum Schutz von „a preindustrial value“ in einem „postindustrial state“ dienen.
Während Priscilla M. Regan Mitte der 1980er auch noch zu dieser rechts- und politikvergleichenden Debatte beitrug, wandte sie sich aber Ende der 1980er der Analyse der amerikanischen privacy-Debatte und -Gesetzgebung zu. So analysiert sie etwa den Privacy Act of 1974 und die ihm zugrunde liegenden Fair Information Practice Principles vor dem Hintergrund neuerer technischer Entwicklungen – der zahlenmäßigen Zunahme der gespeicherten Daten, der qualitativen Änderungen in den Informationsverarbeitungsprozessen durch die Computerisierung, der Einführung von PCs, neuen Suchverfahren („types of searches“) wie „matching“ und „profiling“ sowie der zunehmenden Vernetzung von Systemen – und kommt zum Schluss, dass die FIPPs in weiten Bereichen der amerikanischen Verwaltung, die unter den Privacy Act fallen, nicht befolgt würden und daher veraltet seien. Auch ihr Buch, „Legislating Privacy“, ist von dieser etwas abstrusen Sicht auf die Funktionsweise und die Grenzen von Recht geprägt, darüber hinaus aber auch von einer – jedenfalls teilweise – willkürlichen Unterteilung von privacy in „information privacy“, „communication privacy“ und„psychological privacy“, gefolgt von weiteren „privacy issues“ wie „medical privacy“.
Für alle drei Bereiche konstatiert Regan: „a similar pattern regarding the dynamics of the congressional policy debate emerges — initial definition of the policy problem as one of privacy invaded by new technology; opposition by those who benefited from use of the new technology and from redefinition of the problem; continued pressure by a small but vigilant privacy community that relied for support on the members and staff of key congressional committees; and, after years, passage of weakened legislation.“
In allen drei Fällen seien die privacy-Interessen als individuelle, nicht als gesellschaftliche Interessen markiert worden, denen die Gegeninteressen durchgängig als gesellschaftliche Interessen gegenübergestellt wurden. Regan ist die erste, die in der englischsprachigen Debatte die Tatsache explizit aufgreift, dass die meisten Debattenbeiträge, insbesondere die philosophischen, sich nicht auf gesellschaftliche, sondern auf zwischenmenschliche Verhältnisse beziehen, und das als Problem sieht. Allerdings sind ihre Versuche, privacy als „common value“, „public value“ und „collective value“ zu verkaufen, nicht sehr überzeugend, unter anderem weil auch sie sich nicht von der konzeptionellen Bindung an privacy als einen von der Öffentlichkeit getrennten Zustand und zugleich als Geheimnis trennen kann.
Diesen Ansätzen diametral gegenüber steht Paul M. Schwartz, der Ende der 1980er Jahre vorschlägt, das Recht auf informationelle Selbstbestimmung in das amerikanische Verfassungsrecht zu übernehmen, und dabei nicht nur wesentliche Argumentationsfiguren aus der deutschen Datenschutzdebatte übernimmt, sondern auch behauptet, das deutsche Datenschutzrecht zeige, dass ein solches Recht nicht auf der Basis einer „legal idea of privacy“ entwickelt werden könne. Stattdessen müsse die Regulierung auf einer Analyse der „dangers of specific data processing constellations in which individual information is employed“ aufsetzen. In die gleiche Richtung argumentiert er drei Jahre später, indem er den amerikanischen Ansatz, die öffentliche Verwaltung, die einem „data processing model of administrative control“ folge und die er daher als „processors of information“ bezeichnet, und deren Informationsverarbeitung unter Kontrolle zu bringen, als gescheitert erklärt. Schwartz zeigt, dass privacy als Paradigma für eine rechtliche Regulierung ausgedient hat – erstens wegen der konzeptionellen Bezugnahme auf einen „private space“ und zweitens wegen der Beschränkung auf „intimate or familial activities or information about such activities“ – und stellt dem zwei „neue“ Prinzipien als Ersatz gegenüber: „bureaucratic justice“ und „human autonomy“. Diese Prinzipien sollen dann in einem explizit am Modell des deutschen Datenschutzrechts ausgerichteten Datenschutzgesetz umgesetzt werden, mit dem die Transparenz der bürokratischen Systeme erzwungen und ein unabhängiges Aufsichtsorgan institutionalisiert werden würden.
Recht als Technikgestalter und die relative Betriebsblindheit der Informatik
Auch die – im weitesten Sinne – informatische Diskussion war zwischen Mitte der 80er und Mitte der 90er Jahre von einer Zweiteilung geprägt. Auf der einen Seite standen die Arbeiten, die sich mit der Frage der privacy– und datenschutzfreundlichen bzw. der datenschutzrechtskonformen Gestaltung von technischen und soziotechnischen Systemen beschäftigten, auf der anderen Seite fokussierte die vor allem aus der Kerninformatik gespeiste Debatte auf Anonymität und Anonymisierung als Schutzmechanismen. Die Gestaltungsdebatte bleibt dabei bis zur Freigabe des Internets für kommerzielle Zwecke Mitte der 90er Jahre und der Einführung des Health Insurance Portability and Accountability Act (HIPAA) 1996 mit seiner „Privacy Rule“ – von Ausnahmen aus dem Bereich der Computer-supported cooperative work abgesehen – vorwiegend auf die Bundesrepublik beschränkt.
Beide Stränge der Diskussion trafen aber auch zusammen, an manchen Stellen unter expliziter Einbeziehung nicht-informatischer Sichtweisen. Ein Beispiel für ein solches Zusammentreffen ist die erste GI-Fachtagung des Arbeitskreises „Datenschutz und Datensicherung“ des Präsidiums der GI zum Thema „Datenschutz und Datensicherung im Wandel der Informationstechnologien“ im Oktober 1985 unter Teilnahme von Informatikerinnen und Juristinnen, Wissenschaftlerinnen und Praktikerinnen sowie Vertreterinnen aus Verwaltung und Datenschutzaufsichtsbehörden. Die Tagung ist insofern spannend, weil sie zum Zeitpunkt zweier Umbrüche stattfand – dem durch das Volkszählungsurteil ausgelösten Umbruch im Datenschutzrecht und dem durch den PC ausgelösten Umbruch in Organisation und Praxis der Informationsverarbeitung – und damit sowohl auf die überkommenen – und die übernommenen oder nicht übernommenen – Vorstellungen der vorhergehenden wie auf die Erwartungen an die kommende Epoche verweist. So geht Peter Paul Spies in seinem wohl als Einleitungsbeitrag fungierenden Artikel davon aus, dass „die wesentliche gesellschaftspolitische Forderung die nach einem Regelsystem für den Umgang mit dem Gut Information“ sei und damit – begründungslos – quasi Schutzgut und Regelungsgegenstand gleichsetzt. Dieses Regelsystem operationalisiert er dann für „gesellschaftliche und technische Systeme“ als „Menge von Regeln, durch welche die Konflikte in einem System aufgelöst werden“, d. h. als „Recht des Systems“, und statuiert dann: „Wenn das Recht für ein System festgelegt ist und wenn alle Komponenten des Systems den Rechts-Regeln entsprechend konstruiert sind oder werden (d.h. das Recht durchgesetzt ist), dann sind alle Konflikte für das betrachtete System gelöst; wir nennen ein entsprechendes System dann sicher.“ Während er die Ableitbarkeit zutreffend nur in einer Richtung als gegeben ansieht – damit folge aus (der Einhaltung von) „Daten-Recht“ nicht auch (die Einhaltung von) „Informations-Recht“ –, finden sich keine Ausführungen zur dadurch entstehenden Schutzlücke bei (tendenziell) jeder Transformation von „Informations-Recht“ in „Daten-Recht“.
Auch David Chaum legt sein Gestaltungsziel offen – weil die Beziehung zwischen Organisation und Individuen in einer Art gestaltet sei, „which requires individuals to identify themselves in relationships with organizations“ und damit „allows records of all an individual’s relationships to be linked and collected together into a dossier or personal profile“ schlägt er einen Mechanismus vor, der „prevents linking of such data, by allowing individuals to conduct relationships under different account numbers or »digital pseudonyms«“, d. h. Transaktionspseudonyme – und unterlässt zugleich eine Auseinandersetzung zu den aus seiner Betrachtung ausgeschlossenen Aspekten, etwa der Frage, welche Inhalte in der Kommunikation zwischen Individuum und Organisation übertragen werden und wie die Organisation auf dieser Basis über das Individuum entscheidet. Dass schon die Darstellung von zugrunde gelegten Annahmen und verfolgten Regelungszielen eine Herausforderung darstellen kann, zeigen die Ausführungen des ersten Landesdatenschutzbeauftragten von Berlin, Hans-Joachim Kerkau, der dabei nicht sauber zwischen Datenschutz, Datenschutzrecht und Datenschutzgesetzen trennt. So unterstellt er dem BDSG etwa, wie das Hessischen Datenschutzgesetz von 1970 auf einem Bild der Datenverarbeitung zu basieren, „das sich an der industriellen Fertigung orientierte und den Aufbau von »Datenverarbeitungsfabriken« mit großen Informationssystemen zum Ziele hatte“. Auch fasst er die Normativität von Recht falsch als „falsche“ Beschreibung von Wirklichkeit, wenn er etwa die gesetzliche Verantwortungszuweisung an die „speichernde Stelle“ dafür kritisiert, dass damit die „Systemverantwortlichkeit in Netzen und bei verteilter Verarbeitung“ nicht abgebildet werden könnte, oder ignoriert einfach, was offensichtlich seiner Meinung nach nicht sein darf. Vor dem Hintergrund seiner Problemanalyse schlägt er als Lösung vor, „durch größere Technikferne, d.h. durch einen höheren Abstraktionsgrad, der wechselnden Technik besser gerecht zu werden“ und darüber hinaus das BDSG in Richtung „einfache[r], bürgerverständliche[r], inhaltliche[r] Grundsätze der Datenverarbeitung“ zu reformulieren – mit Verweis auf das „Gebot der fairen Datenverarbeitung“ im britischen Datenschutzgesetz.
Hans-Jürgen Leib hingegen weist darauf hin, dass sich aus der bisherigen Datenschutzdiskussion keineswegs eindeutig ableiten lasse, „welches Bild von Automation und Kommunikation dem jetzigen Datenschutzrecht zugrundeliegt“, weil abgesehen von dem von Steinmüller und Kolleginnen vorgelegten Gutachten insbesondere in den Gesetzesbegründungen und anderen Parlamentsmaterialien dazu „nur wenige und sehr pauschale Ausführungen“ gemacht würden. Sein Ziel ist zu prüfen, ob „neue (verschärfende) Regelungen innerhalb des jetzigen Regelungskonzeptes erforderlich“ seien oder ob es eines „grundsätzlich neue[n] Regelungskonzept[s]“ bedürfe. Dazu versucht er mangels Explizierung, die „Struktur von Datenverarbeitung, die dem Datenschutzrecht zugrundeliegt“, aus den Regelungen selbst zu schließen, allerdings verwechselt auch Leib Normativität und Deskription – „[j]ede Datenverarbeitung ist in sich abgeschlossen und damit beschreib- und identifizierbar“ muss, weil es sich um ein normatives Konzept handelt, eigentlich lauten: Jede Datenverarbeitung muss in sich abgeschlossen und damit beschreib- und identifizierbar sein. Während Leib nun durchaus Kontrollprobleme in der Praxis sieht, sieht er jedenfalls keine Notwendigkeit für ein grundlegend neues Regelungskonzept, die Behauptung allerdings sofort wieder einschränkt, „weil ein anderes Regelungskonzept – das diesen Problemen wirksam begegnen kann – nicht in Sicht ist.“
Karl Rihaczek hingegen verweist tatsächlich auf eine der Annahmen, die dem Datenschutzrecht zugrunde liegen: „Das BDSG geht offensichtlich von der Annahme aus, daß Datenverarbeitungssysteme dem Willen ihrer Herren vollkommen unterworfen sind und sich nicht gegen ihn sichern lassen.“ Für die Rechtsgestaltung folge daraus eine starke Selbstbeschränkung, die er überwinden wolle, denn es gebe „durchaus Systeme [. . . ], die sich dem unlauteren Willen ihrer Herren versagen.“ Er verlangt nun nach Systemen, die „Mißbrauch vom ordentlichen Gebrauch unterscheiden und wohlunterschieden verhindern können“, zeigt davon allerdings ein sehr mechanistisches Verständnis, wenn er etwa meint, dass „man Datenverarbeitung auch praktisch unkorrumpierbar (manipulationssicher) gestalten“ könne, und am Ende auch nur bei Berechtigungskontrollsystemen landet. Ähnlich ambivalent sind die Ausführungen Steinmüllers zur Frage der sozialen Beherrschbarkeit offener Netze, d. h. Netze mit offener Nutzerinnen- und Zweckstruktur, die er für grundsätzlich erreichbar hält, jedoch von einer Sozialverträglichkeit abgrenzt. Seine Lösungsvorschläge zielen erstens auf die Schaffung einer „[b]etroffenenrelevanten Systemtransparenz“ durch technische, organisatorische und rechtliche Mechanismen und zweitens auf die Reproduktion von dezidierten Netzen im offenen Netz zur Lösung des Problems der offenen Zweckstruktur durch Rückgriff auf die Erfahrungen aus dem Datenschutzrecht: ein Verbot der sozial ungeregelten „Teletransaktionen“ mit Erlaubnisvorbehalt. Voraussetzung für die Erlaubnis ist dann der Nachweis sozialer Beherrschbarkeit durch die Betreiberin. Damit würde die Lösung des Problems operationalisiert, mithin ein grundsätzlich unlösbares Problem aufgeteilt und auf der Zeitachse verteilt, „wobei die jeweils ungelöste Restmenge in die Zukunft geschoben wird.“ Das Gegenteil zu diesen eher breit und gesellschaftlich gedachten Ansätzen präsentieren Reinhard Gotzhein und Lothar Horbach in ihrer Analyse des Erlangener Krebsregisters, indem sie ein Rechtekontrollsystem und dessen technische Umsetzung als zur Erfüllung der gesetzlichen Anforderungen hinreichend postulieren. In diese Falle von durch Technikerinnen selbst (fehl-)interpretierte rechtliche Anforderungen und deren (mechanistische) Ableitung in technische Anforderungen tappt Fritz Krückeberg gerade nicht, sondern fordert überhaupt erst einmal die Entwicklung von geeigneten Prüf- und Zertifierungskonzepten zur Sicherstellung von Datenschutz(rechts)konformität von Software in Verbindung mit dem System, auf dem sie läuft, nicht jedoch der Hardware, und deren anschließende Einführung.
Einen Schritt weiter als Krückeberg geht Herbert Burkert, der fordert, überhaupt erst einmal technische „Gestaltungsanforderungen aus der rechtlichen Diskussion“ abzuleiten. Grundlegend sei dafür der im Datenschutzrecht zentrale Begriff des Verwendungszwecks, der zusammen mit Umfang und möglicher Weiterverwendung von personenbezogenen Informationen gesellschaftlich, d. h. mindestens zwischen „Informationsgeber“ und „Informationsnehmer“, ausgehandelt werden müsse mit der Folge, dass das zu implementierende System sich an diese Aushandlungsergebnisse zu halten habe, zugleich es aber wiederum ermöglichen müsse, „einen erreichten Konsens, wenn erforderlich, zu überprüfen und Zustimmungen zurücknehmen zu können.“ Als Anforderungen an die Gestaltungsverfahren identifiziert Burkert die Möglichkeit der umfassenden Darstellbarkeit des Systems mit dem Ziel der Sicherstellung der Überprüfbarkeit der Anforderungserfüllung, die Aufrechterhaltung der Gestaltbarkeit des Systems zum Zeitpunkt seines Einsatzes sowie die Möglichkeit einer vollständigen Thematisierung der Interessen aller Beteiligten, während er Datenschutz in den materiellen Anforderungen Systemtransparenz, Datenquantität und -qualität, Kontrollierbarkeit – oder besser: Kontrollfähigkeit und Kontrolle – und IT-Sicherheit operationalisiert. Burkerts Vorschläge etwa zur Transparenzerzeugung haben dabei bis heute nicht an Aktualität eingebüßt: Systeme, die den Betroffenen sowohl ihre eigenen Datenflüsse wie die Verarbeitungsverfahren – „etwa nach welchen Kriterien welche personenbezogenen Informationen für welche Entscheidungen verarbeitet werden“ – veranschaulichen, das daraus entstehende Dilemma der für die Sicherstellung der Systemtransparenz im System zusätzlich erzeugten Strukturierungsinformationen, das Problem, wie die Komplexitätsreduktion für die Sicherstellung von Benutzungsfreundlichkeit selbst wiederum daraufhin kontrollierbar bleibt, „daß nicht wichtige Elemente bei diesem Reduktionsprozess ausgeschieden werden“, oder der Umgang mit der Gefahr, „daß soziale und politische Verantwortlichkeit für die durch diese Systeme produzierten Entscheidungen verdeckt werden.“
Die Diskussion um die Technikgestaltung wird dabei in den 1980er Jahren stark von einem Programm beeinflusst, das das vom Ministerium für Arbeit, Gesundheit und Soziales des Landes Nordrhein-Westfalen unter dem Titel „Mensch und Technik – Sozialverträgliche Technikgestaltung“ aufgelegt und zur Finanzierung von wissenschaftlichen Untersuchungen, Modellvorhaben und Praxisprojekten genutzt wurde. Unter Verzicht auf eine „objektive Bestimmung und allgemeingültige Wertung des Begriffs Sozialverträglichkeit als Gemeinwohl für alle“ wird die Verbesserung der „Mitwirkung der Betroffenenseite“ in den Mittelpunkt gestellt, durch die Einfluss auf die Gestaltung von Technik als einem Produkt gesellschaftlicher und widersprüchlicher Prozesse genommen werden soll, insbesondere durch die Untersuchung und Gestaltung der Technikentwicklungsprozesse von der Diskussion gesellschaftlicher Ziele über die Analyse von Technikwirkungen und das Erkennen von Gestaltungsspielräumen bis hin zur Entwicklung technischer Alternativen.
Zwei mehr oder weniger lose Personen- oder Arbeitsgruppen, deren Arbeiten in den Bereich dieser Untersuchung fallen, beteiligten sich an der Debatte um sozialverträgliche Technikgestaltung: eine recht lose Gruppe um Adalbert Podlech an der TU Darmstadt und die „Projektgruppe verfassungsverträgliche Technikgestaltung (provet)“ um Alexander Roßnagel an der Uni Kassel. Während die Darmstädter Gruppe versucht, Datenschutz als Sozialverträglichkeitskriterium zu fassen und zugleich als Technikgestaltungsprinzip, wird in Roßnagels Umfeld der Begriff der Sozialverträglichkeit schnell durch den der Verfassungsverträglichkeit ersetzt und dieser anstelle eines breiten Datenschutzbegriffes zugrunde gelegt.
Eine Verfassungsverträglichkeitsprüfung soll dabei in einem Dreischritt ablaufen: erstens Darstellung der normativen Ziele des Grundgesetzes, vor allem „die normativen Versprechen von Freiheit und Gleichheit, Demokratie und Machtbegrenzung“, zweitens Abschätzung der Veränderung von „Verwirklichungsbedingungen von Verfassungszielen“ durch neue Systeme und drittens Untersuchung der Rückkopplung, etwa einen möglichen Änderungsdruck, auf die Verfassung. Darauf aufbauend versucht Roßnagel, eine Übersicht über Probleme und Bedingungen verfassungsverträglicher Technikgestaltung zu geben, die allerdings noch sehr abstrakt bleiben, wie die Institutionalisierung von Interessenvertretung in Entwicklungsprozessen, das Erstellen von Alternativkonzepten, das möglichst lange Offenhalten von Kontingenzen oder die „Inkorporierung“ von Freiheitsschutz in Technik. Bei dem etwas später vorgelegten Konzept KORA – „Konkretisierung rechtlicher Anforderungen zu technischen Gestaltungsvorschlägen“ – handelt es sich dann um einen vierstufigen Konkretisierungsprozess, der sich auf ein zu entwickelndes soziotechnisches System bezieht: erstens die Transformation von Grundrechten in „grundrechtliche Anforderungen“, indem die Grundrechte auf dieses System hin konkretisiert werden, zweitens deren Ableitung in „rechtliche Kriterien“, bei denen es sich im Grunde um Formen von Schutzzielen handelt, auch weil sie explizit als zueinander in Widerspruch stehend angenommen werden, gerade wie die zugrunde liegenden Interessen widersprüchlich sein können, drittens die Ableitung von „funktionsbezogenen Gestaltungszielen“ aus den Kriterien, wobei die Funktionen immer nur in der Form abstrakter oder abstrahierter „Grundfunktionen“ betrachtet werden, und viertens die Angabe konkreter „Gestaltungsmaßnahmen“ für die Zielerreichung. Indem die Autoren ihre Ableitung mit den Grundrechten beginnen – und damit im wesentlichen auf der Basis von materiell formulierten Grundlagen – und diese dann in Prinzipien transformieren, umgehen sie zugleich – ob wissentlich oder nicht, ob gewollt oder nicht – das zentrale Grundproblem der Ableitung von Prinzipien aus dem deutschen Datenschutzrecht – und dabei vor allem aus dem BDSG und allen anderen für private Datenverarbeiter geltenden Datenschutznormen –, nämlich dass diese in erster Linie prozedural – und eben nicht materiell – ausgerichtet sind.
Die Alternativkonzeption von Lothar Bräutigam, Heinzpeter Höller und Renate Scholz hingegen beschränkt sich bei der Betrachtung auf das für öffentliche Stellen geltende Recht, in dem die grundlegenden Abwägungsentscheidungen bereits vom Gesetzgeber getroffen und im Gesetz umgesetzt sind. Die Autorinnen setzen ihr Konzept dabei setzt direkt auf der These auf, „[d]ie Einhaltung gesellschaftlich geltenden Informationsrechts muß durch die Abbildung auf in informationstechnischen Systemen geltendes Systemrecht unterstützt werden. Die Systeme dürfen – in ihrem jeweiligen Anwendungskontext – nicht können, was sie nicht sollen.“ und bleibt viel weniger abstrakt, verliert damit – jedoch sicher auch mit der Selbstbeschränkung auf die relationalen Datenbanksysteme – Anschlussfähigkeit für spätere Arbeiten. Für Informatikerinnen faszinierend – und so später nur selten in anderen Projekten zu sehen – beginnen die Autorinnen ihre Untersuchung von technischen Gestaltungsvorschlägen mit einer vertieften Auseinandersetzung mit den gesellschaftlichen und rechtlichen Grundlagen des Datenschutzrechts mit dem Ziel der Durchdringung der Materie in einer Weise, „daß technisch »bedenkbare« Prinzipien und Strukturen erkennbar werden.“ Die Menge der softwaretechnisch realisierbaren „Regelungskonstrukte“ – „allgemeine Regelungsmuster“, „Grundprinzipien“ – nennen sie dann „Systemrecht“ – in Abgrenzung zum „Informationsrecht“, das Menschen und Organisationen adressiert –, und dessen Formulierung ist das Ziel der Arbeit. Die Trennung zwischen dem technischen und dem soziotechnischen System sorgt auch an einer anderen Stelle für eine grundlegende und sehr sinnvolle Unterscheidung: Informationstechnische Systeme lassen sich nach ihrer „Datenschutzeignung“ klassifizieren, soziotechnische Systeme und deren Informationsverarbeitungspraxen nach ihrer „Datenschutzkonformität“, weil den Autorinnen bewusst ist, dass das Systemrecht das Informationsrecht „nicht vollständig technisch abbilden, durchsetzen und kontrollieren“ kann und deshalb „der Einbettung in einen organisatorischen Rahmen [bedarf], der die Bedingungen einer datenschutzkonformen Anwendung [. . . ] formuliert und absichert.“ Als Ankerpunkt für ihre Ableitung wählen die Autorinnen des Zweckbegriff Bernhard Hoffmanns mit dessen Funktionen: Zwecksetzung diene der Auszeichnung erwünschter Wirkungen und deren Trennung von unerwünschten, sie institutionalisiere „systemeigene Mechanismen der Weltdeutung sowohl bezüglich der Innensicht als auch der Außensicht“ und sie sei strukturbildend, sowohl gegenüber der Umwelt als auch zwischen Teilsystemen, und wirke in „Zweckhierarchien“ als „Parameter auf die Menge zweckerfüllender Mittel, systemkonstituierender Strukturen und das Verhalten der zweckgesteuerten Subsysteme.“ Auf dieser Basis unternehmen es die Autorinnen dann, strukturell verschiedene Prinzipien jeweils in das Systemrecht abzubilden – allgemeine oder spezifische Verarbeitungsbeschränkungen für Nutzerinnen, Rechte der Betroffenen, die diese selbst direkt im System wahrnehmen können, objektive Regelungen wie Protokollierungen, Löschungen nach Zweckerreichung oder Fristablauf sowie die daraus resultierende Benachrichtigung der Betroffenen und nicht zuletzt die Prinzipien von Transparenz und Kontrollierbarkeit, sowohl hinsichtlich des Systems wie der Prozesse – und zugleich Anforderungen an den Transformationsprozess zu formulieren, der „geregelt, verläßlich, demokratisch und transparent“ ablaufen solle.
Im Umfeld des gleichen Projekts „sovt“ untersucht Hans-Jürgen Seelos die Implementation von insbesondere systemdatenschutzrechtlichen Anforderungen in ein computerunterstütztes Krankenhausinformations- und -kommunikationssystem. Von daher überrascht es wenig, wenn einer der Schwerpunkte seiner Arbeit auf der Frage der Umsetzung einer informationsgewaltenteiligen Systemstruktur sowohl im Technikgestaltungsprozess wie in der Technik selbst liegt, und Seelos dabei sowohl auf die betreffenden Vorarbeiten von Podlech wie die von Steinmüller zurückgreift. Zu den nicht nur für die Implementierung systemdatenschutzrechtlicher Anforderungen relevanten Ansätzen gehört die Speicherung des Kontextbezugs von Informationen als Attribute – oder Metadaten – der gespeicherten Daten und ihre Nutzung für nachfolgende Entscheidungen im informationstechnischen System wie auch im soziotechnischen bis hin zur Aggregation, die darum in einem solchen System – im Gegensatz zu vielen heute diskutierten Systemen – gerade nicht als kontext- oder zweckfrei erscheinen können.
Zwar werden diese Vorarbeiten durchaus von Simone Fischer-Hübner zitiert, aber gerade dort, wo ihre eigenen Vorschläge quasi deckungsgleich sind mit jenen aus diesen Vorarbeiten, fehlen Quellenangaben. So übernimmt sie zwar die Aufgabenbasiertheit des Entscheidungsmodells über Informationsverarbeitungen, das gerade ihr zentraler Ansatz sein soll, ein „Task-Based Privacy Model“, aus den Vorarbeiten, diese Vorarbeiten werden jedoch nur allgemein als vergleichbare Arbeiten aufgeführt oder nach der Darstellung des Modells im Rahmen eines Beispiels erörtert. Als zentrale Differenz wird dann die Entwicklung eines „formal state machine model with formal proofs that all state transition functions preserve all defined privacy properties“ angegeben, das auf Betriebssystemebene umgesetzt werden soll. Obwohl sie – ebenso wie ihr Habilitationsbetreuer Klaus Brunnstein – beteuert, dass sie mit der Arbeit versuche, datenschutzrechtliche Anforderungen in technische zu übersetzen, sind die von ihr aufgeführten Prinzipien bei weitem nicht vollständig: Neben den klassischen IT-Sicherheitsschutzzielen confidentiality, integrity und availability betrachtet sie nur die privacy-Aspekte anonymity, pseudonymity, unobservability und unlinkability und darüber hinaus die datenschutzrechtlichen Prinzipien Zweckbindung und Erforderlichkeit. Alle weiteren datenschutzrechtlichen Anforderungen werden ignoriert, auch die in den Vorarbeiten betrachteten – wie Betroffenenrechte oder Transparenzpflichten –, für die dort sogar Umsetzungvorschläge vorgelegt wurden.
Steinmüller versucht Anfang der 1990er Jahre – zum damit zugleich beginnenden Ende seiner akademischen Laufbahn –, alle seine Erkenntnisse in einer „Summa Informatiae“ zusammenhängend darzustellen – unter Umbenennung des „Datenschutzes im weiteren Sinne“ in „Informationsschutz“, „die Menge aller Maßnahmen, die die politische und private Freiheit des einzelnen wie von machtunterlegenen Gruppen und anderen gesellschaftlichen Kräften angesichts der Informationssysteme gewährleisten“, denn das Probleme bestehe „in der Freiheitsbedrohung durch die den Bürger und Werktätigen zum Verarbeitungsobjekt machende Verdatung, dem das zu kontrollierende Informationssystem mit seinen [sozialen wie technischen] Komponenten gegenübertritt“. Als positive Gestaltungskriterien aus Datenschutzsicht formuliert er zehn „Transparenzgebote“, wobei er einen sehr weiten Begriff von „Transparenz“ hat, den er auch hätte „Schutzziel“ nennen können: (1) das Postulat der ökonomischen Realisierung, (2) das Postulat der technischen Realisierung (gegenüber rechtlichen oder organisatorischen), (3) das Postulat der Abschottung, (4) das Postulat des ausgeschlossenen Dritten, (5) das Postulat der definierten Struktur (zur Sicherstellung von Voraussehbarkeit), (6) das Postulat der Einfachheit (eigentlich: Minimierung), (7) das Postulat der differenzierenden und verteilten Kontrolle, (8) das Postulat der doppelten Kontrolle (intern wie extern), (9) das Postulat des zusätzlichen Schutzes (gegenüber herkömmlichen, oder „analogen“, Systemen) und (10) das Postulat der Beteiligung der Betroffenen. Die meisten dieser Aspekte werden von der Kerninformatik – vielleicht besser: Schmalspur-Informatik – ignoriert.
Die Kerninformatik fokussiert sich vor allem auf Anonymität und Anonymisierung als Schutzmechanismen sowie möglichen Angriffen auf Anonymität, etwa durch die Möglichkeit der Re-Identifizierbarkeit anonymer oder anonymisierter Informationen. Die Debatte wird dabei wesentlich von den Vorschlägen von David Chaum geprägt, in der Bundesrepublik auch von Andreas Pfitzmann. Beide stützen sich auf die auch in anderen Disziplinen – sowie in der öffentlichen Debatte – allgemein vertretene Position, ein Datenschutzeingriff bzw. ein Eingriff in die privacy könne nur dann vorliegen, wenn personenbezogene Informationen verarbeitet werden. Daraus folgern sie, dass die Verhinderung der Herstellbarkeit eines Personenbezugs eine Lösung des privacy– bzw. Datenschutzproblems sei und schlagen daher entsprechende Systemgestaltungen vor.
Chaum publiziert dazu 1981 einen Vorschlag für ein anonymes Kommunikationsnetzwerk, das auf einer Kaskade von Mixen basiert, durch die alle Nachrichten geleitet werden und in denen jeweils die Reihenfolgen der Nachrichten geändert werden. Die zugrunde liegende Technik kann zugleich für unverkettbare digitale Pseudonyme genutzt werden, so dass Menschen sich gegenüber Organisationen nicht identifizieren müssen, um reproduzierbar mit ihnen zu interagieren. Zugleich würden diese (nutzerkontrollierten) Pseudonyme allerdings auch die Möglichkeit bieten, durch ihr periodisches Wechseln Verkettungen mit veralteten Informationen über die Individuen aufzubrechen – ein nutzergesteuertes Vergessen auf Seiten der Organisation.
Auch Pfitzmann forscht in dieser Richtung mit dem Ziel eines anonymitätsgarantierenden Netzwerkes. Ziel sei es, so Pfitzmann, „zumindest einen Teil des Datenschutzes in dem Bereich des Systems zu realisieren, über den ausschließlich der Teilnehmer bzw. eine Teilnehmergemeinschaft verfügt. Dieser Teil des Datenschutzes ist dann nicht einfach per Gesetz aufhebbar.“ Während diese erste Arbeit Chaums Vorarbeiten noch nicht wahrnimmt, übernimmt Pfitzmann – gleiches gilt aber auch für die anderen Mitglieder seiner Arbeitsgruppe – bald schon die Chaumschen Ansätze. Auf dieser Basis werden in der Folge unter anderem anonymitätsgarantierende und als „privacy enhancing“ bezeichnete Kommunikationsprotokolle und -systeme entwickelt, etwa für E-Mail.
Darüber hinaus läuft die Diskussion über Anonymität und Identifizierbarkeit im Datenbankbereich weiter, sowohl in Bezug auf die Analyse von Systemen und Datensammlungen darauf, ob sie sich – und unter welchen Bedingungen – deanonymisieren lassen, als auch wie diese Deanonymisierung verhindert werden kann. Diese Arbeiten lassen jedoch zugleich ein großes Problem deutlich werden. Die Informatik ist bis heute nicht in der Lage, ihre eigenen – ob selbstgewählten oder von anderen vorgegebenen – Annahmen und die Akteurinnen oder Systemen zugeschriebenen Eigenschaften kritisch zu hinterfragen. Schon mit den Arbeiten von Chaum und Pfitzmann hätte – gerade auch im Vergleich mit den Arbeiten aus dem Bereich der statistischen Datenbanken – deutlich werden müssen, dass ein privacy– oder Datenschutz vermittelt über Anonymität deutliche konzeptionelle Grenzen hat: Anonymität schützt nur vor der Verkettbarkeit von Transaktion(en) mit identifizierbaren – oder wiedererkennbaren – Personen, nicht jedoch vor der Verkettbarkeit von Transaktion(en) und Personen als solchen. Oder anders: Anonymität schützt die Außengrenzen der Transaktion(en), nicht jedoch vor Gefahren innerhalb der Transaktion(en). Damit ist Anonymität zugleich in erster Linie als Datensicherheitsmaßnahme identifiziert und nur in Ausnahmefällen – nämlich in Bezug auf die Verkettbarkeit verschiedener Transaktionen untereinander und das auch nur unter der Bedingung der Ignoranz gegenüber dem Innenbereich der Transaktionen – eine Datenschutzmaßnahme. Ein Beispiel dafür ist das von Pfitzmann als „Sicherheitsproblem“ angesprochene Problem der Verhinderung einer Diensterbringung, das gerade dann, wenn dies durch die Kommunikationspartnerin geschieht, tatsächlich ein Datenschutzproblem ist: Wenn die Kommunikationspartnerin die Kommunikation verweigert, weil die Betroffene anonym kommuniziert, dann schützt Anonymität gerade nicht. Allgemeiner: Soweit Transaktion – technisch oder nicht – stabilisierte soziale Kommunikation, etwa zwischen Google und einer Google-Nutzerin, und zugleich Information ist, können die Kommunikationspartnerinnen die Transaktion selbst als Grundlage für Entscheidungen über die jeweils anderen Beteiligten verwenden, weil sie in der hinreichend großen Erwartung einer sicheren Adressierbarkeit der jeweils anderen Kommunikationspartnerin agieren können, für die Identifizierbarkeit der Kommunikationspartnerinnen gerade nicht Bedingung ist. Die Frage muss hier offen bleiben, ob der sehr weite Begriff des Personenbezugs bei Steinmüller, der von einer Feststellung von Personenbeziehbarkeit nur innerhalb von Informationssystemen ausgeht, denn auch der Personenbezug sei nur relativ, „nämlich bezogen auf die spezifische Leistung, Benutzer- und Interessenstruktur des jeweiligen Informationssystems“, hier eine Lösung dieses Problems darstellen könnte. Einerseits könnte mit Steinmüller die oben genannte Google-Nutzerin für Google als Betroffene im Sinne des Datenschutzrechts bezeichnet werden, andererseits werden damit jedoch zwei weitere Probleme noch nicht adressierbar: Entscheidungen auf der Basis von statistischen Aussagen über alle und Entscheidungen auf der Basis von simplen sigmatischen Fehlzuschreibungen.
Solange dieses fundamentale Problem in der Debatte gar nicht reflektiert wird, kann für den allgemeinen Fall, d. h. ohne Kenntnis des konkreten Informationssystems, nicht einmal sinnvoll entschieden werden, ob und inwieweit sowohl die Betroffenen und ihre Grundrechte wie auch die Funktionsbedingungen der modernen Gesellschaft selbst unter den Bedingungen der modernen Informationsverarbeitung geschützt sind, wenn und insoweit Informationen über Betroffene anonymisiert werden und die eingesetzten informationstechnischen Systeme die Nicht-Deanonymisierbarkeit garantieren. Damit wird auch klar, dass die sich mit der gesellschaftlichen Funktion – oder den Funktionen – von Anonymität, der Frage nach einem Recht auf Anonymität sowie der gesellschaftlichen Auseinandersetzung um Anonymität beschäftigenden Arbeiten allenfalls Anonymität als notwendige Bedingung von privacy oder Datenschutz, nicht jedoch auch als hinreichende Bedingung beschreiben, analysieren und nachweisen. Über Grenzen von Anonymität wird also nur dann gesprochen, wenn es um die Gefahren einer möglichen Deanonymisierung geht, gerade nicht jedoch im Sinne von Grenzen von Anonymität als Schutzmechanismus allgemein oder für Klassen von Schutzgütern, denn erst vor dem Hintergrund konkreter Schutzgüter wird entscheidbar, ob Anonymität zu deren Schutz notwendig und hinreichend ist. Dieses Versagen wirft zugleich ein Schlaglicht auf die zweifelhafte Qualität der gesamten – nicht nur informatischen – privacy-, surveillance– und Datenschutzdebatte: Obwohl die übergroße Mehrheit der in diesem Bereich vertretenen Theorien und Konzepte in ihren jeweiligen Begründungszusammenhängen auf einen funktionalen Zusammenhang zwischen Verarbeitung bzw. Nichtverarbeitung personenbezogener Informationen und einem Schutzgut – oder Schutzgütern – verweist, wird mit Identifizierbarkeit und Anonymität umgegangen, als seien sie Selbstzwecke. Und David Phillips, der als einer der sehr wenigen die Konstruktion von Identifizierbarkeit im Recht – jedenfalls in Bezug auf das amerikanische Recht mit dem dort weitverbreiteten Konzept der „personally identifiable information“ – problematisiert, bleibt erstens bei einer relativ oberflächlichen Analyse stehen, zieht zweitens keine Konsequenzen, die über die damals schon in anderen als dem amerikanischen Rechtsraum hinaus implementierten Aspekte hinausgehen, und ist drittens – jedenfalls mit seiner Problematisierung der Identifizierbarkeitskonstruktion – anschließlich ignoriert worden.
Daneben gibt es jedoch eine Reihe weiterer Probleme, die in der Debatte grundlegend ignoriert werden und die auch kein gutes Licht auf die disziplinären und interdisziplinären Debatten werfen. So geht etwa die gesamte Anonymitätsdiskussion im Datenbankenbereich davon aus, dass die Betreiberin der Datenbank nicht als Angreiferin in Frage komme und dass das Problem im Grunde nur darin bestehe, möglichst große Teile der gespeicherten Daten zu veröffentlichen und zwar in einer Form, in der sie ohne oder mit möglichst wenigen Einschränkungen hinsichtlich ihrer statistischen Aussagekraft nutzbar ist, und zugleich Dritte – und nur diese – daraus keine Rückschlüsse auf in der Datenbank gespeicherte Informationen über Einzelpersonen ziehen können.
Ähnlich sieht die Situation im Bereich der sogenannten „Privacy-Enhancing Technologies“ (PET) aus, wobei dort die – offenen oder versteckten – Annahmen sind, dass alle privacy-enhancing Maßnahmen erstens durch „eliminating or minimising personal data“ erfolgen, weil das Ziel darin bestehe, „unnecessary or unwanted processing of personal data“ zu verhindern, und diese zweitens erreicht würden „all without losing the functionality of the information system.“ Ob diese Annahmen von allen Beteiligten an der PET-Debatte geteilt werden, ist nicht ganz klar – zu sehr handelt es sich bei PET auch um einen leeren Bezeichner, der fast beliebig verwendet werden kann, um „irgendwas mit Technik“ zu bezeichnen – allerdings eben nur fast: Im Zentrum der Aufmerksamkeit stehen Formen von technisch umgesetzter Anonymität sowie in Technik umgesetzte Verfahren zur Anonymisierung und/oder Pseudonymisierung. Zentrales Element des Vorschlags ist ein als „Identity Protector“ bezeichnetes Element in einem informationstechnischen System unter Kontrolle der Betroffenen zur Verwaltung und Freigabe von Identitätsinformationen wie zur Generierung, Verwaltung und Freigabe von Pseudonymen, die während der meisten Interaktionen der Betroffenen mit dem System zur Informationsverarbeitung und Entscheidungsfindung verwendet werden. Der „Identity Protector“ erinnert damit an eine Mischung aus einem „Reference Monitor“ und einer technischen Umsetzung von Informationsgewaltenteilung – also nicht nur zwischen Betroffenen und der Datenverarbeiterin, sondern vor allem auch innerhalb der Teilsysteme auf Seiten der Datenverarbeiterin. Gleichwohl handelt es sich nicht zwangsläufig um anonymitätsgarantierende Systeme im Sinne von Chaum und Pfitzmann, wie John J. Borking, einer der Erfinder dieses Begriffs, deutlich macht, sondern um technische Umsetzungen des datenschutzrechtlichen Erforderlichkeitsprinzips für „identifying“ Informationen und die beliebige Speicher-, Verarbeit- und Nutzbarkeit von „non-identifying“ Informationen. Und selbst die Auseinandersetzung um P3P, das „Platform for Privacy Preferences Project“, mit dem Endnutzerinnen-Systeme in die Lage versetzt werden sollten, als Clients in Kommunikationsbeziehungen die Verarbeitungsbedingungen mit den Servern der Datenverarbeiterinnen auf der Basis maschinenlesbarer „Privacy Policies“ „auszuhandeln“, wurde unter dem Label „PET“ geführt.
Während damit ein Teil der privacy– und Datenschutzdebatte relativ schnell auf den „neuen“ Zug „Internet“ aufsprang, brauchte insbesondere die rechtswissenschaftliche Debatte teilweise bedeutend länger.
Jörg Pohle; Humboldt-Universität zu Berlin; 2019
Open-Access-Erklärung: https://edoc-info.hu-berlin.de/de/nutzung/oa_hu
https://edoc.hu-berlin.de/handle/18452/19886
Zur leichteren Lesbarkeit wurden die Quellenverweise entfernt. Bei Interesse finden Sie sie im obigen Link.
Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.
Swiss Infosec AG; 23.06.2021
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch