Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Datenschutz

Datenschutz und Technikgestaltung Die Geschichte des Datenschutzes – Teil 17

4 Die Technik des Datenschutzes

Ausgehend von den im zweiten Kapitel dargestellten Ergebnissen der jahrzehntelangen wissenschaftlichen Auseinandersetzungen um privacy, Datenschutz und surveillance und auf der Basis des im dritten Kapitel rekonzeptionalisierten Datenschutzes werden nun Folgerungen für die Gestaltung datenschutzfreundlicher – und dabei nicht notwendig nur datenschutzrechtskonformer – informationstechnischer Systeme als Teilkomponenten von soziotechnischen Systemen gezogen.

4.1 Vorbemerkungen

Erstens: Nachdem die Arbeit gezeigt hat, dass fast alle in der Vergangenheit vorgeschlagenen komplexitätsreduzierenden Entscheidungshilfen – die Trennung von „privat“ und „öffentlich“, die Sphärentheorie, die „Sensitivität“ von Informationen, ja sogar die personenbezogenen Informationen – strukturell untauglich sind, bleibt eigentlich nur, mit Winston Churchill zu sagen „I have nothing to offer but blood, toil, tears and sweat“, und bis zur Entwicklung neuer – und dann hoffentlich geeigneter – Komplexitätsreduktionsmechanismen den langen und beschwerlichen Weg zu gehen und im Rahmen jeder Systementwicklung ein umfassendes wissenschaftliches Impact Assessment durchzuführen, wie es für den Datenschutz im vorherigen Kapitel in Form eines prozeduralen Operationalisierungsansatzes vorgelegt wurde.

Zweitens: Das Modellieren ist keine formale Tätigkeit, gerade auch dort nicht, wo gesellschaftliche Realitäten mit ihren sozial ausgehandelten Normen, ihren Kompromissen, aber auch ihren offenen und verdeckten Konflikten und den sie prägenden Machtstrukturen modelliert werden sollen. Es ist nicht unwahrscheinlich, dass dies nirgends mehr gilt als im Bereich von privacy, Datenschutz und surveillance. Nicht nur beschreibt so gut wie jede der in diesem Bereich operierenden Theorien das Feld als konfliktgeladen und geprägt von Interessengegensätzen, in dem erbitterte Auseinandersetzungen zwischen Datenverarbeiterinnen, Betroffenen und all den anderen streitbaren Geistern geführt werden, auch viele Vertreterinnen der unterschiedlichen Theorien tragen nicht unbedingt dazu bei, die Diskussion zwischen den Theorien zu einem Vorbild für eine Habermas’sche herrschaftsfreie Kommunikation zu machen.

Drittens: Aufgabe der Informatik in Bezug auf den Datenschutz ist keineswegs nur die Gestaltung technischer (oder die Mitgestaltung soziotechnischer) Systeme zur Verbesserung der Durchsetzung des Datenschutzes, sondern vor allem, die Grenzen von technischen Lösungen und der Lösbarkeit durch Technik im Allgemeinen gegenüber den Datenverarbeiterinnen, den Betroffenen und der Gesellschaft insgesamt transparent zu machen – und damit grundsätzlich verhandelbar. Insoweit es sich beim Datenschutzproblem in erster Linie um ein Gesellschaftsproblem und nicht um ein Technikproblem handelt, ist der in der Informatik weitverbreitete „solutionism“ (Evgeny Morozov) mehr als nur unpassend – er ist gefährlich, denn er suggeriert eine Lösung, wo es prinzipiell keine geben kann.

Viertens: Technikentwicklung muss als Rückmeldung liefern, welche Auswirkungen die Technik auf die Machtstruktur hat. Wenn das zu entwickelnde System zu komplex ist, um die Folgen für die Machtstruktur zu analysieren, dann ist es zu komplex, um es zu entwickeln.

Fünftens: Die Gestaltung von Informationssystemen soll sich, Heinz von Foerster folgend, an dem Ziel ausrichten, neue Möglichkeiten – und damit mehr Freiheit – zu erzeugen. Ein zentraler Schutzmechanismus für Freiheit ist Kontingenz, die auf der technischen Ebene etwa dadurch erreicht werden kann, dass zwar die Datenverarbeiterinnen die Technik gestalten, die „Konfigurationsmacht“ jedoch auf Seiten der Betroffenen liegt. Freiheitsbeschränkungen hingegen ergeben sich oft schon als Folge von beschränkenden Prozessen, die selbst historische Produkte konkreter – und damit je spezifisch beschränkter – Techniken sind (Akten, Ausweise mit Geburtsdaten). Ein wesentlicher Lösungsansatz besteht in der Übertragung der Funktion im Gegensatz zu einer Übertragung der überkommenen Prozesse (Geschirrspüler gegen Handspülroboter).

Sechstens: Dieses Ziel muss selbstreflexiv auf die Technik selbst bezogen werden. Die Technik ist so zu gestalten, dass sie in Zukunft wieder umgestaltet werden kann. Ein Beispiel für eine solche „Technik“ ist der Rechtsstaat: Er stellt die Mittel bereit, um ihn selbst infrage stellen zu können. Informationstechnische Systeme müssen das auch können: ein „Not-Aus“-Schalter für Machtmaschinen, wie es sie in den meisten Kraftmaschinen schon gibt.

Siebtens: Als konzeptionelles Gegenstück zur Kontingenz zugunsten der Betroffenen sind informationstechnische Systeme, die unter der Kontrolle der Organisationen stehen, mit technischen Vertrauensankern zu versehen, um einerseits selbst- und Fremdkontrolle sicherzustellen, andererseits aber auch Intervenierbarkeit durch die Betroffenen schon auf der technischen Ebene zu ermöglichen und ihnen damit Interventionsmöglichkeiten zu bieten, ohne auf die Kooperation der Organisationen angewiesen zu sein.

4.2 Technikgestaltung und Datenschutz

Datenschutzkonformität und Datenschutzrechtskonformität sind Eigenschaften von Informationsverarbeitungspraxen, nicht von Technik. Technik soll datenschutzfeindlich heißen, wenn sie nicht datenschutzkonform eingesetzt werden kann, wenn sie also Datenschutz verhindert. Sie heiße datenschutzunfreundlich, wenn sie einen datenschutzkonformen Einsatz behindert oder erschwert. Technik heiße datenschutzneutral, wenn die Datenschutzkonformität nur von der Art und Weise des konkreten Einsatzes abhängt. Sie heiße datenschutzfördernd, wenn sie einen datenschutzkonformen Einsatz unterstützt und einen nicht datenschutzkonformen erschwert. Und Technik heiße datenschutzgarantierend, wenn sie unabhängig von der Intention der Datenverarbeiterin ausschließlich datenschutzkonform eingesetzt werden kann.

In dem Feld zwischen datenschutzfördernd und datenschutzgarantierend und vor dem Hintergrund von – gerade auch rechtlichen – Verantwortungszuschreibungen ließe sich darüber hinaus unterscheiden zwischen (1) einfachen Unterstützungssystemen, die etwa Entscheidungshilfe bieten, (2) Systemen, die nicht unbewusst umgangen werden können, (3) Systemen, die weder unbewusst noch fahrlässig umgangen werden können, und (4) Systemen, die gar nicht – auch nicht vorsätzlich – umgangen werden können.

Eine solche Klassifikation ermöglicht interdisziplinäre Anschlussfähigkeit nicht nur in der Wissenschaft, sondern auch in der Praxis, etwa zwischen Informatik und Recht. Ein Beispiel: Derzeit besteht ein extremes Vollzugsdefizit im Datenschutzbereich. Die Datenschutzbehörden haben Schwierigkeiten, vorsätzlich begangene Datenschutzverstöße angemessen zu ahnden, denn die Täterinnen können damit rechnen, dass sie sich erfolgreich herausreden können, weil den Behörden die Ressourcen fehlen, um den Vorsatz nachweisen zu können. Im Ergebnis sehen sich die Behörden gezwungen, die Ausreden akzeptieren zu müssen, um wenigstens die oft sehr viel geringeren Strafen oder Bußgelder für fahrlässig begangene Datenschutzverstöße verhängen zu können. Weil in der Folge die Profite die Strafen um Größenordnungen übersteigen, ist das für vorsätzlich agierende Täterinnen ein Anreiz, den Datenschutz einfach komplett zu ignorieren, vor allem weil darüber hinaus die Entdeckungswahrscheinlichkeiten marginal sind. Die Informatik kann das ändern. Wenn Informatikerinnen für konkrete Systeme nachweisen können, dass sie in die vorgenannte Klasse 3 fallen, dann kann das Recht darauf durch die Umkehr der Beweislast reagieren. In der Folge muss nicht mehr denjenigen, denen ein Datenschutzverstoß nachgewiesen wird, auch Vorsatz nachgewiesen werden, sondern der Vorsatz wird unterstellt. Jetzt müssen die Beschuldigten nachweisen, dass es kein Vorsatz war. Und wenn ihnen das nicht gelingt, dann können die Aufsichtsbehörden signifikant höhere Strafen verhängen. Technik kann insofern die Rolle eines „Ausreden-Terminators“ spielen.

Nun kann eingewandt werden, dass die Technik ihren eigenen Einsatz nicht erzwingen kann. Das ist korrekt, und das ist einer der Gründe, warum viele Versuche, datenschutzgarantierende Technik zu gestalten, im Grunde nichts weiter als akademische Spielereien sind. Aber auch dieses Problem kann das Recht lösen. Während nämlich Technik nur berechenbare Probleme lösen kann, kann Recht sogar unlösbare lösen: Wenn es genügend Klasse-3-Systeme gibt, dann kann Recht die Beweislast auch umkehren, wenn die Beschuldigten ein solches System nicht einsetzen.

In dem Fall müssen dann die Beschuldigten nachweisen, dass es auch zu einem Verstoß gekommen wäre, wenn sie ein solches System eingesetzt hätten.

Hier zeigt sich, dass Probleme im Bereich des Datenschutzes, die sich in keiner einzelnen der beteiligten Disziplinen lösen lassen, lösbar sind, wenn die Disziplinen kooperieren. Und da es – wahrscheinlich um Größenordnungen – leichter ist, Klasse-3-Systeme zu entwickeln als Klasse-4-Systeme, wird darüber hinaus das Leben für die Entwicklerinnen auch einfacher.

4.2.1 Dokumentation

Dokumentation ist zweifellos eines der Lieblingsthemen der Informatik. Die Forderung nach Verbesserung der Dokumentation wird wahrscheinlich sogar öfter erhoben als die Forderung nach mehr Speicher, und dabei steigt der Bedarf nach Dokumentation sicher nicht in gleichem Maße wie der Bedarf nach Speicher. Die Wahrheit ist: Dokumentation ist unbeliebt, wird vernachlässigt und ist, selbst wenn sie existiert, allzu oft schlicht dysfunktional. Dennoch sprechen einige Gründe für eine umfassende Dokumentation, gerade bei der Entwicklung von IT-Systemen als Teil von soziotechnischen Systemen, die mindestens datenschutzfördernd sein sollen, vor allem wegen des dezidiert interdisziplinären Hintergrunds des Datenschutzes.

Der erste wichtige Grund ist, dass Dokumentation unabdingbar ist, um sicherzustellen, dass die Kommunikation zwischen den Disziplinen erfolgreich verläuft. Dokumentation ist schriftliche Kommunikation, die es erleichtert, frühere Festlegungen neu aufgreifen zu können, wenn sich – was in interdisziplinärer Kommunikation der Standardfall ist – herausstellt, dass der vermeintliche Konsens schlicht das Produkt eines inhaltlichen Missverständnisses auf der einen, der anderen oder auf allen Seiten war.

Der zwingendste Grund für eine Dokumentation ist nicht der Datenschutz, sondern das Datenschutzrecht. Das Datenschutzrecht ist in weiten Teilen genauso bürokratisch wie die rationale Organisation, die es versucht, unter Kontrolle zu bringen. Und der zentrale Anknüpfungspunkt für die rechtlichen Kontrollmechanismen ist die Dokumentation über das, was kontrolliert werden soll. Das Problem, das daraus entstehen kann, ist offensichtlich: Die Dokumentation ersetzt das, was dokumentiert wird oder werden soll, und das Ausfüllen von Checklisten ersetzt die inhaltliche Auseinandersetzung mit dem, worauf die Checkliste eigentlich nur verweisen soll. Andererseits ist genauso offensichtlich, dass sich nicht prüfen lässt, ob und wie sich eine Entwicklerin mit inhaltlichen Fragen auseinandergesetzt sowie Wertungen und Abwägungen vorgenommen hat, denn im Ergebnis – der Technik – sind der Prozess der inhaltlichen Auseinandersetzung, die Maßstäbe der Bewertungen und die Reflexionen der Abwägungen gerade unsichtbar und unsichtbar gemacht worden.

Eine Dokumentation ist gerade auch dann unabdingbar, wenn sich im Zuge eines Entwicklungsprozesses herausstellt, dass die aus Informatiksicht und vor dem Hintergrund, dass das Ziel darin besteht, Individuen, Gruppen, Organisationen, das staatliche Institutionengefüge und die Gesellschaft insgesamt vor informationsmächtigen Organisationen zu schützen, getroffenen Entscheidungen für oder gegen konkrete zu implementierende Technikeigenschaften gerade mit dem Recht kollidiert. Recht ist dynamisch; es ändert sich mit der Gesellschaft, in der es wirkt. Und einer der zentralen Auslöser solcher Veränderungen ist Dissidenz – begründete Dissidenz.

Während die vorgenannten Punkte auf eher nicht aus der Informatik selbst stammende Be-gründungen für eine umfassende und – auch für Dritte – nutzbare Dokumentation verweisen, erzeugt die Informatik gerade im Zuge jeder Verfahrens- und Technikgestaltung einer der zentralen Probleme: das Modellierungsproblem. Und damit fällt der Informatik eben auch die Verantwortung zu, dieses Problem der expliziten oder impliziten, der offenen oder versteckten Modellannahmen zu einem sozial aushandelbaren zu machen, indem sie das Problem transparent macht.

4.2.2 Stakeholder-Einbindung

Eine der Funktionen des Datenschutzes ist die der Produktion von gesellschaftlicher Akzeptanz von organisierter Informationsverarbeitung und deren Industrialisierung, der Schaffung von Systemvertrauen und mithin der Gewährleistung der Akzeptabilität der Informationsgesellschaft.

Die Frage ist, ob dafür die Partizipation der Betroffenen an der Systementwicklung ein geeignetes oder gar erforderliches Mittel ist. Die Antwort hängt davon ab, welchem Akzeptabilitätsbegriff mensch folgt, einem subjektiven oder einem objektiven. Der subjektive Akzeptabilitätsbegriff ist dabei verwandt mit dem demokratischen Prinzip: Akzeptabel ist, was von den Beteiligten akzeptiert wird – la volonté des tous. Der objektive Akzeptabilitätsbegriff folgt hingegen dem republikanischen Prinzip mit seiner volonté générale.

Wird dem ersten Prinzip gefolgt, dann ist eine Einbindung der Betroffenen unumgänglich, etwa durch partizipative Systemgestaltung. Wird hingegen dem zweiten Prinzip der Vorzug eingeräumt, dann bedarf es einer entsprechenden Rollenzuweisung an ein kompetentes Mitglied des Entwicklerinnenteams.

Beide Ansätze sind nicht unproblematisch. Im ersten Fall kann der Beitrag der Betroffenen nicht von „falschem Bewusstsein“ unterschieden werden, im zweiten Fall kann die Verselbständigung der Stellvertretung nicht verhindert werden.

Wie immer die Entscheidung lautet, sie muss getroffen und begründet werden.

4.2.3 Auswahl des Referenzrahmens

Der wichtigste – oder zumindest der folgenschwerste – Schritt bei der Auswahl zu verwendender und der Gestaltung neuer Technik ist die Entscheidung über den benutzten Referenzrahmen: Welche privacy-, surveillance– oder Datenschutztheorie oder welches Recht soll als Bezugspunkt gelten? Wegen seines Geltungs- und Befolgungsanspruchs ist Recht grundsätzlich begründungsfrei – in einer bürgerlichen Rechtsordnung wird nur Rechtstreue verlangt –, aber die Frage, welches Recht – und vielleicht sogar: welche Rechtsordnung – einschlägig ist und deshalb angewendet werden muss, ist gerade nicht immer leicht zu beantworten. Hinsichtlich der Theorien ist das einfacher: Jede kann genommen werden, denn keine erzwingt ihre Verwendung. Aber welche auch immer gewählt wird, die Entscheidung muss transparent gemacht und begründet werden. Das folgt schon aus dem aus Systemtheorie und Kybernetik folgenden Verständnis von System, Systemanalyse und Systemgestaltung: Alle drei basieren darauf, dass – ob vom System selbst, von einer Analystin oder, wie hier, von einer Gestalterin – eine Grenze zwischen System und Umwelt gezogen wird. Es gibt keine „natürliche“ Grenze; Grenzziehung ist Entscheidung und Entscheidung ist – vor allem in der Wissenschaft – begründungsbedürftig. Und die Begründungpflicht trifft die Gestalterin. Und eine sinnvolle Begründung kann sich nur auf die Angemessenheit der gewählten Theorie für den Bereich der sozialen Welt, für den die Technik ausgesucht oder entwickelt oder in dem sie wahrscheinlich eingesetzt wird, stützen. Das heißt, dass das Recht oder die Theorie ausgewählt werden muss, deren Geltungsbereich am ehesten dem zukünftigen Anwendungsbereich der Technik entspricht.

Neben dem Geltungsbereich gehört auch der Schutzbereich, also die Menge der Schutzgüter, zum Referenzrahmen, über den zu entscheiden ist. Während die Theorien tendenziell je einen konsentierten Schutzbereich mitbringen, kann ein konkretes Gesetz, etwa das Bundesdatenschutzgesetz oder die EU-Datenschutzgrundverordnung, unterschiedlich ausgelegt werden. Die unterschiedlichen Auslegungen können dabei – und hier schließt sich der Kreis zwischen Theorien und Recht – gerade wieder den Theorien entsprechen, die es in diesem Feld gibt. Während die Theorien einander grundsätzlich auf Augenhöhe gegenüberstehen und keine der Theorien jeweils ein Primat gegenüber allen anderen geltend machen kann, es sei denn, sie versammelt eine Mehrheit von Wissenschaftlerinnen eines Feldes hinter sich, gibt es im Bereich des Rechts durchaus jeweils „gewichtigere“ oder „weniger gewichtige“ Auslegungen. So sind etwa – jedenfalls in ihren jeweiligen Rechtsräumen – Höchst- oder Verfassungsgerichte legitime Letztauslegungsinstanzen, sie kreieren die „herrschende Meinung“, können sie aber auch wieder ändern – und sie ist immer politisch. Die Entscheidung für eine Theorie oder eine Rechtsauslegung, ja schon für einen Rechtsraum, ist im Hinblick auf den Schutzbereich daher immer eine immanent politische, keine rein wissenschaftliche. Und auch diese Entscheidung muss begründet werden.

Aus dem gewählten Referenzrahmen folgt in weiten Teilen das weitere Vorgehen bei der Analyse der Bedrohungen sowie der Gestaltung und der Auswahl informationstechnischer Systeme, sowohl hinsichtlich des Prozesses, etwa weil Theorien ihre eigenen Vorgehensmodelle mitbringen oder das Recht eine bestimmte Prüfreihenfolge verlangt, wie auch im Hinblick auf die inhaltliche Ausgestaltung der einzelnen Prozessschritte.

4.2.4 Privacy-Enhancing Technologies

Alle bestehenden PETs sind auf der Basis von Annahmen über die Akteurskonstellation, die Schutzgüter und die Bedrohungen für diese Schutzgüter entwickelt worden. Das gleiche gilt für die Vorschläge für noch zu entwickelnde PETs. Nicht immer wurden und werden diese Annahmen dabei expliziert. Bevor für ein Entwicklungsprojekt ein bestehendes oder zu entwickelndes informationstechnisches System als Bauteil ausgewählt wird, ist daher immer zu bestimmen, welche Annahmen der betreffenden Systemgestaltung zugrunde gelegt wurden. Für die nicht mit den Annahmen des für das eigene Entwicklungsprojekt gewählten Referenzrahmens übereinstimmenden Annahmen ist dann insbesondere zu prüfen, welche Nebenwirkungen bei einem Einbau oder Einsatz dieses Bauteils auftreten können und wie mit diesen umgegangen werden soll, also wie sie etwa entschärft werden sollen oder ob sie ignoriert werden können. In jedem Fall ist die Entscheidung zu begründen und transparent zu machen. Die Aufdeckung der zugrunde gelegten Annahmen für bestehende PETs bietet zugleich eine Möglichkeit, den Lösungsraum insgesamt transparent zu machen und strukturelle Lücken zu identifizieren. Damit werden zugleich die strukturellen Lücken in der Schutzabdeckung gesellschaftlich diskutierbar.

Für einige Anwendungsbereiche sind wenigstens große Teile der Annahmen bereits expliziert und transparent gemacht – jedenfalls in der betreffenden Fach-Community, teilweise auch darüber hinaus. So ist etwa, wie im zweiten Kapitel gezeigt, für die Anonymitätsdiskussion im Datenbankenbereich in der informatischen privacy-, Datenschutz- und surveillance-Forschung allgemein bekannt, dass die Betreiberin der Datenbank in dieser Diskussion nicht als Angreiferin verstanden wird. Auch für Kommunikationssysteme werden fast ausschließlich externe Lauscherinnen oder die Betreiberinnen der Kommunikationsnetze als Angreiferinnen betrachtet. Und für die als PETs im engeren Sinne verstandenen Systeme wird als Ziel formuliert, „unnecessary or unwanted processing of personal data“ zu verhindern, „all without losing the functionality of the information system.“ Da es aber nur wenige Arbeiten gibt, in denen die unterschiedlichen Annahmen verschiedener Theorien, die sich mit diesen Anwendungsbereichen beschäftigen, zusammengetragen und zueinander in Bezug gesetzt werden, und es darüber hinaus einen besonderen Mangel an bereichsübergreifenden Arbeiten gibt, wird es beim derzeitigen Stand der Forschung einem Entwicklungsprojekt schwerfallen, auf der Basis des gewählten Referenzrahmens passende technische Lösungen zu finden. Noch defizitärer ist die Situation bei Arbeiten, die disziplinübergreifend anschlussfähig sind und damit sowohl die nichtinformatischen Vertreterinnen der einzelnen Theorien als auch die Juristinnen in ihrer Arbeit am Recht über den Stand der technischen Umsetzungen informieren können.

4.2.5 Datenschutzfördernde Technikgestaltung

Wenn als Referenzrahmen der im vorherigen Kapitel rekonzeptionalisierte Datenschutz dient, kann dem Vorgehen bei der Technikgestaltung der dort vorgelegte Operationalisierungsansatz zugrunde gelegt werden. Dabei kann an dieser Stelle davon ausgegangen werden, dass für die Entscheidung über den Referenzrahmen der der Anwendungsbereich des zu gestaltenden informationstechnischen Systems bereits festgelegt wurde.

Soweit als Grundlage dieser Entscheidung noch keine umfassende Akteursanalyse erstellt wurde, sind alle beteiligten oder zu beteiligenden Akteurinnen zu identifizieren und zu beschreiben, vor allem hinsichtlich ihrer Rollen sowie der individuellen, kollektiven und der gesellschaftlich geprägten oder konsentierten Erwartungen und Interessen. Anschließend sind die Zwecke zu identifizieren, die die Akteurinnen jeweils verfolgen.

Im Rahmen der Interessen-, Zweck- und Machtanalyse sind dann die Interessen und Zwecke vor dem Hintergrund, in welchem (Macht-)Verhältnis die Akteurinnen zueinander stehen und inwieweit sie voneinander abhängig sind, zueinander in Beziehung zu setzen und zu analysieren. Anschließend sind diese Interessen und Zwecke zu gewichten und zu bewerten, um darauf basierend zwischen den widerstreitenden Interessen und Zwecken abzuwägen. Abschließend sind die Zwecke, die das Informationssystem verfolgen soll, festzulegen.

Anschließend ist die anwendungsbereichsspezifische Bedrohungsanalyse durchzuführen und das Bedrohungsmodell zu generieren, das die Auswirkungen des Einsatzes des konkreten zu gestaltenden informationstechnischen Systems auf die Betroffenen und die Gesellschaft insgesamt darstellt. Dazu gehören die entstehenden Machtverschiebungen zwischen des Akteurinnen sowie die Folgen von zugrunde gelegten Modellannahmen und vorgesehenen Entscheidungsprogrammen, die dabei zugleich zu explizieren sind, aber auch die sich aus den einzelnen Verfahrenskomponenten in den einzelnen Verarbeitungsphasen ergebenden genauso wie die komponenten- und phasenübergreifenden besonderen Gefährdungen.

Für die identifizierten Bedrohungen sind dann angemessene Lösungen auszuwählen oder zu gestalten. Gestaltungsziele sind dabei die im vorherigen Kapitel ausführlich dargestellten Freiheits- und Partizipationsversprechen der modernen bürgerlichen Gesellschaft sowie die gesellschaftlichen Strukturschutzprinzipien und -mechanismen wie Gewaltenteilung, Machtbeschränkung, Transparenz oder Verfahrensgerechtigkeit.

Dabei wird grundsätzlich davon ausgegangen, dass es im Laufe dieses Prozesses erforderlich sein kann, zu einzelnen vorherigen Prozessschritten zurückzukehren, etwa um auf der Basis der Bedrohungsanalyse Ergänzungen oder Anpassungen an der Akteursdarstellung vorzunehmen oder um vor einer Übernahme von existierenden Lösungen in das eigene Entwicklungsprojekt dafür eine Bedrohungsanalyse zu erstellen. Auch erfordern Systemänderungen oder die Setzungen neuer Zwecke, aber auch wesentliche Änderungen im Anwendungsbereich, etwa durch das Auftreten neuer Akteurinnen in diesem Bereich, eine Wiederholung des Analyseprozesses.

Die zentralen Zwischenprodukte – die Anwendungsbereichsbestimmung, die Akteursanalyse sowie die Interessen-, Zweck- und Machtanalyse – sind für die Herstellung der Überprüfbarkeit des Bedrohungsmodells sowie der gewählten oder entwickelten Lösungen, etwa durch Aufsichtsorgane, Prüfinstitutionen oder Datenschutzvereinigungen, sowie als Grundlage für eine informierte Einwilligung von Betroffenen transparent zu machen. Die Veröffentlichung der Zwischenprodukte erzeugt zugleich eine starke Bindungswirkung, die mit einem an das Zweckbindungsprinzip angelehnten Modellbindungsprinzip noch verstärkt werden könnte.

Jörg Pohle; Humboldt-Universität zu Berlin; 2019

Open-Access-Erklärung: https://edoc-info.hu-berlin.de/de/nutzung/oa_hu

https://edoc.hu-berlin.de/handle/18452/19886

Zur leichteren Lesbarkeit wurden die Quellenverweise entfernt. Bei Interesse finden Sie sie im obigen Link.

Kategorie: Datenschutz

Datenschutz und Technikgestaltung Die Geschichte des Datenschutzes – Teil 18

5 Zusammenfassung und Abschluss

5.1 Zusammenfassung

In der historischen Systemanalyse der politischen und wissenschaftlichen Auseinandersetzungen zur Beschreibung, Einordnung und Begründung der Probleme, die mit den Begriffen privacy, Datenschutz und surveillance markiert werden, der jeweils vorgeschlagenen Lösungen oder Lösungsansätze, der Umsetzungen dieser Lösungen im Recht und ihrer Anwendung in der Praxis sowie der parallel geführten Debatten um eine zur Lösung des privacy-, Datenschutz- und surveillance-Problems geeignete und angemessene Technikgestaltung ist herausgearbeitet worden, dass es weder in der wissenschaftlichen noch in der politischen Debatte eine Einigung zu den unzähligen Aspekten gibt, die dieses Feld prägen. Die Unterschiede zwischen den Beschreibungen, Einordnungen und Erklärungen, die von den unterschiedlichen Beteiligten an dieser Debatte geliefert werden, sind stattdessen so groß und teilweise so grundlegend, so die Schlussfolgerung dieser Arbeit, dass die adressierten Phänomene, Praxen und Probleme als voneinander grundsätzlich verschieden verstanden werden müssen, auch wenn sie mit den gleichen Begriffen bezeichnet werden.

Diese Unterschiede fangen schon auf der Ebene des betrachteten Gegenstandsbereichs an. Sie betreffen die zugrunde gelegten Akteurskonstellationen – von interpersonalen Beziehungen über Beziehungen zwischen Individuen oder Gruppen und Organisationen bis zur gesellschaftlichen Informationsordnung insgesamt – sowie die Eigenschaften und Interessen der betrachteten Akteurinnen ebenso wie deren Umgang mit und Kontrolle über informationstechnische Systeme und die Zwecke, die sie damit verfolgen. Kurz: Die einzelnen Theorien oder Theorieschulen legen ihren Analysen teilweise überschneidungsfreie Phänomenbereiche zugrunde. Aber nicht nur hinsichtlich des Seins, sondern auch im Hinblick auf das Sollen, also die Zielvorstellungen oder Erwartungen, an denen sich das Informationsgebaren von Individuen, Gruppen und Organisationen, von Vereinen und Unternehmen, von Privaten und vom Staat oder von der Gesellschaft insgesamt messen lassen muss, gibt es einen tiefen Dissens. Die Menge der identifizierten Schutzgüter reicht dabei von individuellen Zuständen, Bedürfnissen, Interessen oder Werten über soziale Konstruktionen, gesellschaftliche Werte oder Normen bis hin zu Struktureigenschaften von gesellschaftlichen Verhältnissen, kann aber auch (fast) jede beliebige Kombination davon umfassen. Für die jeweils identifizierten Probleme – als Differenzen zwischen Sein und Sollen – und ihre Beschreibungen und Erklärungen folgt daraus, dass auch sie fundamental verschiedenen sind – und notwendig sein müssen. Dabei kann es sich um Artefakte wie Daten, Informationen oder Wissen handeln, um konkrete Handlungen oder Handlungsformen wie Überwachung, Missbrauch oder Informationsverarbeitung, um besondere Akteurskonstellationen oder deren Eigenschaften wie Machtimbalancen oder um gesellschaftliche Phänomene wie die Digitalisierung aller Lebensbereiche. Genauso umstritten sind die Beziehungen zwischen den Akteurinnen, Artefakten und Praxen und die jeweils daraus gezogenen Schlussfolgerungen für die Bestimmung, was Auslöser und was Folge ist, und was davon – Auslöser oder Folge – gerade das Problem bezeichnen soll und wie es einzuordnen und zu erklären ist. In der Folge werden wenig überraschend daher ganz unterschiedliche Lösungen oder Lösungsansätze vorgeschlagen: soziale Normen, rechtliche Regelungen, der Markt oder technische Schutzsysteme, auch beliebig kombiniert und in verschiedenen konkreten Formen, die sich etwa danach bestimmen, wer oder was als Problem identifiziert wurde, wie das Problem charakterisiert und was als Auslöser identifiziert wurde. Auch ist deutlich geworden, dass es im Bereich der Diskussion um die Technikgestaltung an konsentierten oder auch nur durchgängig offengelegten Angreifer- und Bedrohungsmodellen mangelt.

Auch sind, wie die Analyse gezeigt hat, viele Konzepte, mit denen in der Debatte operiert wird, aus informatischer Sicht schlicht falsch, nicht, nicht mehr oder nicht vollumfänglich haltbar oder unzulässig verkürzt. Dazu gehören etwa die Fixierung auf personenbezogene Informationen sowohl hinsichtlich der Beschränkung des Gegenstandsbereichs als auch als Anknüpfungspunkt für Rechtssetzung und Technikgestaltung, die offenkundig falsche und doch weitverbreitete Behauptung, Sensitivität sei eine Eigenschaft von Informationen, die naive Trennung von „öffentlich“ und „privat“, das Konstrukt der informierten Einwilligung, vor allem in seiner derzeitigen Um-setzung, oder das sogenannte „Privacy Paradox“.

Darüber hinaus ist festzustellen, dass die Datenschutztheorie, deren Betrachtung im Zentrum der Arbeit stand, zumindest als Theorieschule gescheitert ist. Es ist dieser Schule nie gelungen, eine zugleich umfassende und dennoch lesbare Darstellung ihres Verständnisses vom Menschen und von der Welt, von Organisationen und von der Informationstechnik, von der Informationsverarbeitung und der Informationsgesellschaft vorzulegen, die die eigenen theoretischen Fundamente, Annahmen und Prämissen aufdeckt, das Datenschutzproblem auf dieser Basis fundiert erklärt und die vorgeschlagene Lösung – den Datenschutz – sauber begründet. Zwar hat sie die Entwicklung des deutschen – und damit vermittelt auch des europäischen Datenschutzrechts – wesentlich beeinflusst, sie hat jedoch zugelassen – oder sich sogar daran beteiligt –, dass das Datenschutzproblem von einem gesellschaftlichen Problem weitgehend auf eines der individuellen Entscheidung über die Preisgabe oder Nichtpreisgabe von personenbezogenen Informationen zurückgestutzt wurde. Und sie hat nicht verhindern können, dass aus der Datenschutzdiskussion, die immer zentral nur eine politische Diskussion sein kann, im Grunde eine reine Datenschutzrechtsdiskussion wurde, die damit nur noch zu den Bedingungen und gemäß den diskursiven Regeln der Rechtswissenschaft geführt werden kann.

Die vorliegende Arbeit hat es dann unternommen, den Datenschutz, den diese Theorieschule produziert hat, zu rekonstruieren. Dazu wurden die zugrunde gelegten Annahmen, der betrachtete Gegenstandsbereich, die auf dieser Basis durchgeführte Bedrohungsanalyse sowie die vorgeschlagene Lösungsarchitektur zur Abwehr der identifizierten Bedrohungen kompakt und zusammenhängend dargestellt und einer informatisch fundierten Kritik unterzogen. Dabei ist deutlich geworden, wie sehr die Datenschutztheorie von ihren Annahmen über Gesellschaft, Organisation und Technik sowie Technikgebrauch geprägt ist. Die Theorie geht von der Vorstellung einer modernen, funktional differenzierten Gesellschaft aus, die von Organisationen geprägt ist, bei denen es sich um rationale Bürokratien im Weberschen Sinne handelt. Diese Organisationen rationalisieren ihre Informationsverarbeitung zum Zwecke besserer Entscheidungsfindung und setzen dabei Computer als Werkzeuge ein, sowohl als Rationalisierungs- wie auch als Automatisierungswerkzeuge. Auf dieser Basis analysiert die Theorie, wie diese Praxen der Informationsverarbeitung und Entscheidungsfindung durch Organisationen mit den dafür eingesetzten Mitteln – Technik und Verfahren – überkommene gesellschaftliche Aushandlungsergebnisse – insbesondere in der konkreten Form, die sie im Recht gefunden haben – wie auch die Aushandlungsmechanismen selbst strukturell unterminieren. Als Kern des Datenschutzproblems werden dabei die strukturellen Machtimbalancen, die durch die Rationalisierung, Maschinisierung und Automation gesellschaftlicher Informationsverarbeitungsprozesse erzeugt, verstärkt oder verfestigt werden, und deren Folgen für Individuen, Gruppen, Organisationen und die Gesellschaft insgesamt identifiziert. In der vorliegenden Arbeit wurde gezeigt, dass das verwendete Webersche Organisationsmodell für die Beschreibung und Analyse moderner Organisationen und ihrer Informationsverarbeitung und Entscheidungsfindung nicht mehr angemessen ist, dass dabei insbesondere die spezifische Rationalitätsunterstellung ein verzerrtes und damit unpassendes Bild moderner Organisationen und ihrer Informationspraxen erzeugt und dass die einseitige Charakterisierung von informationstechnischen Systemen als Werkzeuge gerade dafür blind ist, dass die Technik weder von organisationsinternen noch von organisationsexternen Akteurinnen ausschließlich instrumentell eingesetzt wird. Genauso mechanistisch wie das Webersche Organisationsmodell ist das Regelungsmodell, das die Datenschutztheorie vorgelegt hat, um die Informationsverarbeitungspraxen von Organisationen unter Bedingungen zu stellen. Insbesondere ist dabei die zugrunde gelegte Vorstellung der Erzeugbarkeit von Kontrollfähigkeit der Informationsverarbeitungprozesse tayloristisch, indem sie der Fehlannahme erliegt, dass die Zerlegung der Prozesse in Einzelschritte zugleich alle Probleme und Gefahren in Teilprobleme und Teilgefahren zerlegen könnte, die sich dann innerhalb der Einzelschritte abschließend bannen ließen. Bei allen aufgedeckten Einzelproblemen stellt die Arbeit aber auch fest, dass die Datenschutzdiskussion der 1970er Jahre für die Rationalisierung, Mechanisierung und Automation der Informationsverarbeitung und Entscheidungsfindung in Organisationen und deren gesellschaftliche Auswirkungen eine in Teilen sehr fundierte Analyse geliefert hat.

Die vorliegende Arbeit zieht daraus den Schluss, dass der Datenschutz als „Lösung“ des durch die Industrialisierung der gesellschaftlichen Informationsverarbeitung erzeugten Datenmachtproblems in der Informationsgesellschaft des 21. Jahrhunderts neu abgeleitet werden muss und dass dazu auf den von der historischen Datenschutztheorie vorgelegten Ableitungsprozess zurückgegriffen werden kann und sollte. Ausgangspunkt dieser Ableitung muss eine Analyse der gesellschaftlichen Informationsverarbeitung sein: Welche Eigenschaften haben die Akteurinnen – Organisationen, Individuen, Gruppen –, wie verarbeiten sie Informationen und treffen Entscheidungen, wie nutzen sie dabei welche Technik; schließlich: Wie „nutzt“ die Technik die Akteurinnen? Auf dieser Basis sind dann die Folgen dieser Informationsverarbeitungspraxen in vermachteten sozialen Beziehungen zu analysieren – und anschließend zu bewerten.

Eine solche Analyse legt die vorliegende Arbeit in Form eines dem Stand der wissenschaftlichen Debatte entsprechenden abstrakten – und damit jeweils noch anwendungsbereichsspezifisch zu konkretisierenden – Angreifermodells sowie eines analytischen Rasters für eine darauf aufbauende Bedrohungsanalyse vor. Diese Bedrohungsanalyse hat dabei das Problem der Machtverschiebung zwischen den Akteurinnen durch das zu gestaltende oder einzusetzende Verfahren sowie die sich aus den einzelnen Verfahrenskomponenten in den einzelnen Verarbeitungsphasen ergebenden genauso wie die komponenten- und phasenübergreifenden besonderen Gefährdungen anwendungsbereichsspezifisch zu konkretisieren und produziert dabei das Bedrohungsmodell, das dann als Grundlage für Auswahl und Gestaltung informationstechnischer Systeme dient. Dazu hat die vorliegende Arbeit einen prozeduralen Operationalisierungsansatz vorgelegt, der die Vorgehensweise und die jeweils zu analysierenden oder zu prüfenden inhaltlichen Fragen deutlich werden lässt. Dieses Vorgehensmodell ist dabei nicht nur für die Technikgestaltung nutzbar, sondern kann auch Basis eines prozeduralen Regelungsansatzes dienen. Zugleich zeigt die Arbeit, wie sich mit den Produkten der Akteursanalyse sowie der Interessen-, Zweck- und Machtanalyse eine pragmatische Lösung des Problems der informierten Einwilligung umsetzen lässt.

Anschließend wird das für die Technikgestaltung relevante Verhältnis zwischen dem rekonzeptionalisierten Datenschutz und dem geltenden – deutschen und europäischen – Datenschutzrecht bestimmt, vor allem im Hinblick auf den jeweiligen Geltungsbereich, die verwendeten Informationsbegriffe und das jeweils zugrunde gelegte Prozessmodell der Informationsverarbeitung. Dabei wird deutlich, dass jedenfalls für Organisationen als Informationsverarbeiterinnen der Schutzbereich des Datenschutzes eine Obermenge des Schutzbereiches des Datenschutzrechts ist, womit grundsätzlich eine datenschutzfreundliche Informationsverarbeitung durch Organisationen auch als datenschutzrechtskonform gelten kann. Als defizitär wird besonders der Umgang des Rechts mit dem Informationsbegriff herausgestellt, dessen Potenziale, etwa bei Verwendung des der Datenschutztheorie zugrunde liegenden modelltheoretischen Informationsbegriffs, das Recht ungenutzt lässt, aber auch die Nichtnutzung des Phasenmodells, vor allem als Instrument für die Problemanalyse, aber auch – vor allem mit der neuen EU-Datenschutzgrundverordnung –, um an die einzelnen Phasen je spezifische rechtliche Anforderungen zu knüpfen.

Abschließend werden auf der Basis der gewonnenen Erkenntnisse Folgerungen für die Gestaltung datenschutzfreundlicher – und dabei nicht notwendig nur datenschutzrechtskonformer – informationstechnischer Systeme als Teilkomponenten von soziotechnischen Systemen gezogen.

Basierend auf der Feststellung, dass Datenschutzkonformität und Datenschutzrechtskonformität Eigenschaften von Informationsverarbeitungspraxen, nicht von Technik, sind, wird eine Klassifikation für die Charakterisierung von informationstechnischen Systemen hinsichtlich ihres Verhältnisses zu einem datenschutzkonformen Einsatz vorgelegt. Dabei wird zwischen (1) datenschutzfeindlichen Systemen, die gar nicht datenschutzkonform eingesetzt werden können, (2) datenschutzunfreundlichen, die einen datenschutzkonformen Einsatz behindern oder erschweren, datenschutzneutralen, bei denen die Datenschutzkonformität nur von der Art und Weise des konkreten Einsatzes abhängt, (4) datenschutzfördernden, die einen datenschutzkonformen Einsatz unterstützen und einen nicht datenschutzkonformen erschweren, sowie (5) datenschutzgarantierenden Systemen, die unabhängig von der Intention der Datenverarbeiterin ausschließlich datenschutzkonform eingesetzt werden können, unterschieden. Vor dem Hintergrund von, vor allem im Bereich des Rechts vorgenommenen, Verantwortungszuschreibungen wird im Feld der datenschutzfördernden und datenschutzgarantierenden Systeme darüber hinaus zwischen (1) ein-fachen Unterstützungssystemen, (2) Systemen, die nicht unbewusst umgangen werden können, Systemen, die weder unbewusst noch fahrlässig umgangen werden können, und (4) Systemen, die auch nicht vorsätzlich umgangen werden können, unterschieden. Anhand eines Beispiels wird mit Hilfe dieses Klassifikationsschemas gezeigt, wie Probleme im Bereich des Datenschutzes, die sich in keiner einzelnen der beteiligten Disziplinen lösen lassen, lösbar sind, wenn die Disziplinen kooperieren.

Als zentral für das Vorgehen bei der Auswahl zu verwendender und der Gestaltung neuer Technik hat die Arbeit die Entscheidung über den zu benutzenden Referenzrahmen identifiziert, also die Frage, welche privacy-, surveillance– oder Datenschutztheorie oder welches Recht als Bezugspunkt gelten soll. Damit entscheidet sich, welche Akteurinnen und Akteurskonstellationen, welche Zielvorstellungen und Schutzgüter und welche Probleme, Bedrohungen und Gefährdungen für diese Ziele und Schutzgüter in den Blick genommen werden können und zugleich, für welche dieser Probleme, Bedrohungen und Gefährdungen Lösungen gesucht oder entwickelt werden sollen. Während die Entscheidung für eine Theorie oder ein Recht vergleichsweise objektiv auf der Basis eines Vergleichs zwischen deren Geltungsbereichen und dem zukünftigen Anwendungsbereich der Technik getroffen werden kann, ist die Entscheidung über den Schutzbereich, wie die vorliegende Arbeit zeigt, immer eine immanent politische, keine rein wissenschaftliche. Nicht nur deshalb ist die Entscheidung über den zugrunde gelegten Referenzrahmen, wie alle anderen wesentlichen Entscheidungen auch, zu begründen und transparent zu machen. Aus dem gewählten Referenzrahmen folgt, wie die Arbeit feststellt, in weiten Teilen das Vorgehen sowie die inhaltliche Ausgestaltung der einzelnen Schritte bei Bedrohungsanalyse und Technikgestaltung. Abschließend wird das am Beispiel des für den rekonzeptionalisierten Datenschutz vorgelegten Operationalisierungsansatz dargestellt.

5.2 Offene Forschungsfragen und mögliche Forschungsprogramme

Im Rahmen der vorliegenden Arbeit konnten nicht alle Fragen und Probleme, die sich im Zuge der Auseinandersetzung mit den Beschreibungen, Einordnungen und Begründungen verschiedener Theorien für die privacy-, Datenschutz- und surveillance-Probleme, den jeweils vorgeschlagenen Lösungen oder Lösungsansätzen, den Umsetzungen dieser Lösungen im Recht sowie der parallel geführten Debatten um eine zur Lösung der jeweiligen Probleme geeignete und angemessene Technikgestaltung ergaben, umfassend geklärt werden. Im Folgenden sollen daher diese offenen Forschungsfragen und möglichen Forschungsprogramme zumindest expliziert werden.

  1. Es bedarf einer umfassenden Analyse und Gegenüberstellung der verschiedenen privacy-, Datenschutz- und surveillance-Theorien nach ihren Geltungsbereichen, ihren Annahmen über die Akteurinnen und deren Verhältnisse zueinander sowie ihren Schutzbereichen.
  2. Für die existierenden Privacy-Enhancing Technologies sowie für die vorhandenen Systemkonzepte bedarf es einer Analyse der Frage, welche Probleme, Bedrohungen und Gefährdungen für welche Ziele und Schutzgüter sie jeweils in welchen Akteurskonstellationen zu lösen oder abzuwehren versuchen, also eines Mappings der Schutzbereiche auf die PETs.
  3. Auf der anderen Seite ist für die verschiedenen Theorien und Gesetzesauslegungen jeweils zu untersuchen, welche Privacy-Enhancing Technologies und Konzeptvorschläge bereits existieren, die die jeweils identifizierten Probleme, Bedrohungen und Gefährdungen für Ziele und Schutzgüter in den betrachteten Akteurskonstellationen lösen oder abwehren können, also ein Mapping der PETs auf die Theorien.
  4. Es bedarf einer Untersuchung, inwieweit sich der in dieser Arbeit rekonzeptionalisierte Datenschutz mit seinem systemanalytischen Ansatz und seinen Instrumenten über die hier dargestellten Ansätze hinaus für die Auslegung und Anwendung des überkommenen deutschen und europäischen Datenschutzrechts nutzbar machen lässt, vor allem für Datenschutz-Folgenabschätzungen, Datenschutz durch Technikgestaltung und Zertifizierungsverfahren nach der neuen EU-Datenschutzgrundverordnung.
  5. Nachdem sich das Konzept der Schutzziele als interdisziplinär anschlussfähiges Instrument zur Konditionierung von Recht und Technik erfolgreich etabliert hat, sind die Schutzziele, die bislang nur aus dem überkommenen Datenschutzrecht abgeleitet wurden, neu aus dem in dieser Arbeit rekonzeptionalisierten Datenschutz abzuleiten, so dass sie sich nicht nur auf Verfahren mit den Komponenten Informationen, Prozesse und Systeme anwenden lassen, sondern auch auf die Organisationen selbst und deren Gestaltung.

Darüber hinaus sind die in Form von Schutzzielen formulierten materiellen Anforderungen phasenspezifisch zu konditionieren, mit möglicherweise jeweils unterschiedlichen führenden Schutzzielen.

Jörg Pohle; Humboldt-Universität zu Berlin; 2019

Open-Access-Erklärung: https://edoc-info.hu-berlin.de/de/nutzung/oa_hu

https://edoc.hu-berlin.de/handle/18452/19886

Zur leichteren Lesbarkeit wurden die Quellenverweise entfernt. Bei Interesse finden Sie sie im obigen Link.

Kategorie: Datenschutz
© Swiss Infosec AG 2026