3.5 Kritik des Datenschutzes und Rekonzeptionalisierungsansätze
Bei allen aufgedeckten Einzelproblemen ist zu konzedieren, dass die Datenschutzdiskussion der 1970er Jahre für die Rationalisierung, Mechanisierung und Automation der Informationsverarbeitung und der Entscheidungsfindung in Organisationen und deren gesellschaftliche Auswirkungen eine in Teilen sehr fundierte Analyse geliefert hat. In ihr spiegelt sich das große Interesse aller Beteiligten an einer interdisziplinären Zusammenarbeit wider und zugleich – jedenfalls in Bezug auf einige der für die Informatik zentralen Aspekte – auch deren Fähigkeit, die interdisziplinäre Anschlussfähigkeit tatsächlich herzustellen. Rückblickend hat die Datenschutzdiskussion mit dem Datenschutz einen Prototypen geliefert, an dem sich selbst einige der heutigen Debatten um privacy, Privatheit und Privatsphäre noch messen lassen können. Vor allem der verwendete Informationsbegriff und die Explikation des Modellierungsproblems stechen dabei heraus. Klar ist aber auch: Der Prototyp hätte ordentlich ausgetestet und dann verworfen werden müssen – so wie es auch für viele der Datenschutzgesetze in den 1970er Jahren geplant war. Aber genau das ist nie geschehen. Stattdessen ist das – im Gesetzgebungsverfahren schon weitgehend entkernte – Bundesdatenschutzgesetz einerseits in einer langen Folge von weitgehend selbstreferenziellen Novellierungen, andererseits vermittels der aus einander teilweise widersprechenden Architekturansätzen entstandenen EG-Datenschutzrichtlinie zu einem Gesetz geworden – und gemacht worden –, dessen einziges Ziel darin zu bestehen scheint, dafür zu sorgen, dass das Gesetz eingehalten wird. Eine fundierte Analyse des Prototyps hätte jedenfalls spätestens in den 1990er Jahren, nachdem die Organisationssoziologie einige neue Ansätze hervorgebracht hatte, zu einem Nachdenken über eine mindestens teilweise, wenn nicht gar komplette Rekonzeptionalisierung führen müssen.
Die vorliegende Arbeit macht deutlich, dass der Datenschutz als „Lösung“ des durch die Industrialisierung der gesellschaftlichen Informationsverarbeitung erzeugten Datenmachtproblems in der Informationsgesellschaft des 21. Jahrhunderts – vor allem hinsichtlich der Informationsverarbeitung von Organisationen – neu abgeleitet werden muss. Dazu kann und sollte der Ableitungsprozess, der auch schon die historische Datenschutztheorie geprägt hat, verwendet werden. Dieser Prozess scheint selbst vor dem Hintergrund der Kritik an einigen seiner historischen Produkte immer noch weit besser geeignet zu sein als die oft zu findende simplifizierende Bezugnahme auf die Natur des Menschen, individuelle Befindlichkeiten, naturrechtlich begründete subjektive Rechte oder gar bereits bestehende Gesetze. Ausgangspunkt dieser Ableitung muss – wie schon in der historischen Datenschutzdiskussion – eine Analyse der gesellschaftlichen Informations-verarbeitung sein: Welche Eigenschaften haben die Akteurinnen – Organisationen, Individuen, Gruppen –, wie verarbeiten sie Informationen und treffen Entscheidungen, wie nutzen sie dabei Technik und welche; schließlich: Wie „nutzt“ die Technik die Akteurinnen? Auf dieser Basis sind dann die Folgen dieser Informationsverarbeitungspraxen in vermachteten sozialen Beziehungen zu analysieren – und anschließend zu bewerten. Erst danach kann sinnvoll über „Lösungen“ diskutiert werden.
Dabei wird vor allem deutlich, dass die Beschränkung der historischen Datenschutztheorie auf vermachtete Verhältnisse zugleich ein Befreiungsschlag für eine ordentliche Datenschutztheorie ist und bleibt. Nur so lässt sich nämlich sicherstellen, dass die Datenschutztheorie nicht schon versucht, eine umfassende Theorie der Informationsgesellschaft zu werden, oder dass bei der Verwendung von personenbezogenen oder sonstigen Informationen als Anknüpfungspunkt einer Analyse oder einer Theorie nicht verhindert werden kann, dass sich eine untere Grenze des Anwendungsbereiches schon strukturell nicht finden lässt, weil klar ist: Soziale Akteurinnen können nicht nicht Informationen verarbeiten.
Während also der Ableitungsprozess ein besonders herausragendes Ergebnis dieses Teils der Datenschutzdiskussion ist, muss die dort vorgelegte Dokumentation der Datenschutztheorie hingegen als besonders mangelhaft eingeschätzt werden. Es ist in der ganzen Debatte keiner der Vertreterinnen gelungen, eine umfassende und doch lesbare Darstellung der Datenschutztheorie mit ihren Annahmen, ihrer Beschreibung und Analyse der Auswirkungen der modernen Informationsverarbeitung auf Individuen, Gruppen und die Gesellschaft, aber auch auf andere Organisationen und das staatliche Institutionengefüge insgesamt, sowie einem vorgeschlagenen Regelungsregime und dessen Begründung vorzulegen.
3.5.1 Angreifermodell
Auch wenn Organisationen nicht unbesehen und in ihrer Gesamtheit als rational oder im Weberschen Sinne zweckrational imaginiert werden dürfen, stellt doch der Topos der Rationalität immer noch einen wesentlichen Bezugspunkt des Organisationsverständnisses verschiedener Disziplinen und Schulen, der Selbstbeschreibung von Organisationen und der Organisationsberatung dar. Auch Zwecke haben als Bezugspunkt nicht ausgedient, auch wenn sie heute eher als Ziele bezeichnet werden. Klar ist auch, dass Organisationen versuchen, ihre Informationsverarbeitung möglichst weitgehend zu rationalisieren, zu automatisieren und zu industrialisieren, um ihre Entscheidungsfindung zu verbessern – und dabei nicht immer erfolgreich sind. Dabei werden die Bedingungen sehr weitgehend von der Organisation selbst bestimmt: Sie legt grundsätzlich ihre eigenen Modellannahmen zugrunde, gestaltet die Informationsverarbeitungs- und Entscheidungsverfahren nach ihren eigenen Interessen und entscheidet selbst, welche Informationen sie in welcher Form intern abbildet und zur Entscheidungsfindung heranzieht. Gleiches gilt für die innerhalb von Organisationen – etwa aus Korrelationsanalysen – erzeugten Informationen, die von der Organisation im Anschluss selbst wieder als Prämisse und Produktionsmittel für weitere Entscheidungen eingesetzt werden. Die Modellierungshoheit der Organisation bezieht sich aber nicht nur auf die Informationen und Informationsverarbeitungsprozesse, sondern grundsätzlich auch auf die technischen Systeme, die die Organisation einsetzt. Das gilt in jedem Fall für die Auswahl der Systeme, wenn auch nicht zwangsläufig zugleich für deren Gestaltung. Mit den von der Organisation eingekauften oder angemieteten Systemen importiert diese oft zugleich organisationsfremde Modellannahmen und -logiken, auch wenn die damit einhergehende relative Fremdbestimmung durch die Konfigurationshoheit der Organisation abgemildert wird.
Innerhalb von Organisationen herrscht noch immer ein instrumentelles Verständnis von Technik vor, genauso wie auch davon ausgegangen werden kann, dass Organisationen versuchen, sich die von ihr eingesetzte Technik nach ihren eigenen Interessen und für ihre eigenen Ziele oder Zwecke als Instrument zu gestalten. Zugleich wird aber die Technik weder von organisationsinternen noch von organisationsexternen Akteurinnen ausschließlich instrumentell eingesetzt: Sie wird entdeckt, sich angeeignet, fehlgenutzt, umgenutzt, zweckentfremdet, gehackt, bespielt, nicht wahrgenommen, demonstriert, konsumiert oder schlicht ignoriert – und durchaus auch alles gleichzeitig. Dass das gleiche System für unterschiedliche Nutzerinnen ganz unterschiedliche Rollen spielen und ganz unterschiedlich genutzt werden kann, bezieht sich dabei nicht nur auf die Zwecke, die diese Akteurinnen verfolgen. Es bezieht sich, wie das Beispiel der sozialen Netzwerke zeigt, auf das gesamte Verhältnis zwischen Nutzerinnen und Technik: Für die Nutzerinnen des sozialen Netzwerks ist das technische System vor allem Informations- und Kommunikationsmedium, für die Betreiberin hingegen in erster Linie ein klassisches Instrument – für die Aufrechterhaltung des Betriebs, für die Beobachtung des Verhaltens und der Kommunikation der Nutzerinnen sowie für deren ökonomische Verwertung. Dabei können sowohl die Akteurinnen als auch ihre jeweiligen Rollen für jeweils andere Akteurinnen sehr unterschiedlich sichtbar sein, wobei manche Akteurinnen erst sichtbar werden, wenn es zu unerwünschten Nebenwirkungen kommt oder die Technik ausfällt. Zugleich kann nicht mehr unterstellt werden, dass die Organisation ihre eigene Technik durchgängig versteht oder gar beherrscht. Gerade die weitverbreitete Nutzung von Standardsoftware oder Software-as-a-Service weist darauf hin, dass auch für die Organisation selbst wesentliche Eigenschaften – und damit sowohl Wirkungen wie Nebenwirkungen – tendenziell unsichtbar bleiben.
Ein für die Gestaltung von Technik brauchbares Datenschutz-Angreifermodell muss alle diese Aspekte anwendungsbereichsspezifisch konkretisieren. Vor dem Hintergrund, dass sich die tatsächlichen Auswirkungen von Angreiferinnen auf Individuen, Gruppen, Organisationen und die Gesellschaft nur einschätzen lassen, wenn das Informationssystem möglichst weitgehend bekannt ist und der Analyse zugrunde gelegt wird, kann ein abstraktes Modell, wie es hier beschrieben wurde, nur der Ausgangspunkt für eine Konkretisierung sein, nicht aber schon die Grundlage für eine Bedrohungsanalyse, die mehr bietet als allgemeine Hinweise auf grundlegende Problembereiche. Dazu gehören der konkrete Anwendungsbereich des zu gestaltenden – oder des zu prüfenden – Systems und die beteiligten oder zu beteiligenden Akteurinnen, ihre konkreten Rollen und gesellschaftlich geprägten Erwartungen, ihre Interessen, Rechte und Pflichten, ihre Ziele und Zwecke, ihr jeweiliges Verhältnis zueinander, vor allem ihr Machtverhältnis, sowie ihre tatsächliche Kontrolle – oder ihr Kontrolldefizit – über die und ihr konkreter Umgang mit den informationstechnischen Systemen.
3.5.2 Bedrohungsmodell
Auf dieser Basis kann dann eine anwendungsbereichsspezifische Bedrohungsanalyse durchgeführt und ein angemessenes Bedrohungsmodell generiert werden, das als Grundlage sowohl für rechtliche Regelungen als auch für die Gestaltung und den Einsatz informationstechnischer Systeme dienen kann. Das im Folgenden dargestellte analytische Raster für die Bedrohungsanalyse wird hingegen wegen des Verzichts auf eine Anwendungsbereichsspezifizierung nur die grundlegenden Problembereiche umreißen.
Im Bedrohungsmodell werden die Auswirkungen des Informationsgebarens von informationsverarbeitenden Organisationen auf ihre Umwelt problematisiert. Als zur Umwelt gehörend werden sowohl Individuen und Gruppen (Individualdatenschutz) sowie Organisationen und Institutionen (Institutionaldatenschutz) verstanden, soweit sie jeweils Betroffene sind, weil Informationen über sie verarbeitet oder Entscheidungen über sie getroffen werden, weil sie die von den Organisationen entwickelten oder ausgewählten informationstechnischen Systeme einsetzen oder weil ihre gesellschaftlich konsentierten Interessen berührt sind, sowie alle gesellschaftlichen Akteurinnen und die Gesellschaft als Ganzes (Systemdatenschutz), soweit das Informationsverhalten der Organisationen sozialschädliche Folgen herbeiführen kann. Die gesellschaftlich konsentierten Interessen sind in erster Linie die Freiheits- und Partizipationsversprechen der modernen bürgerlichen Gesellschaft, genauso aber die Strukturschutzprinzipien und -mechanismen der verfassungsmäßigen Ordnung. Betroffene stellen dabei selten oder nie eine homogene Gruppe dar, Betroffene können also in sehr unterschiedlicher Weise und in sehr unterschiedlichem Umfang betroffen sein.
Das allgemeine Datenmachtproblem entsteht, weil informationstechnische Systeme und die durch sie mitkonstituierten soziotechnischen Informationssysteme als „Machtverstärker“ wirken: Sie verstärken die Möglichkeiten der Akteurinnen – im Datenschutzbereich: der Organisationen –, die Kontrolle über diese Systeme haben – oder genauer: über die Leistungen der Systeme verfügen können –, zur Steuerung oder Beeinflussung individueller, kollektiver oder institutioneller Betroffener und ihrer Kommunikationen, Entscheidungen und Handlungen sowie der Prästrukturierung ihrer Handlungsmöglichkeiten. Das allgemeine Datenmachtproblem ist eine direkte Folge – und aus Sicht der Organisationen eine gewünschte Folge – der durch Rationalisierung, Maschinisierung und Automation verbesserten Informationsverarbeitungs- und Entscheidungsfähigkeiten von Organisationen. Welche zu problematisierenden Machtverschiebungen sich dabei tatsächlich ergeben, hängt sowohl vom konkreten soziotechnischen Informationssystem wie auch von seiner spezifischen Umwelt ab. Erst auf der Basis einer Analyse der konkreten Machtverschiebung kann entschieden werden, ob diese gesellschaftlich akzeptabel oder gar erwünscht ist oder nicht.
Neben dem allgemeinen Datenmachtproblem als Folge moderner Informationsverarbeitung als solcher erzeugt die konkrete Gestaltung, Organisation und Ausführung von Informations-verarbeitung und Entscheidungsfindung Probleme auf verschiedenen, analytisch voneinander zu trennenden Ebenen. Grundlegender Anknüpfungspunkt für eine Analyse dieser Probleme ist das Verfahren, das mit seinen Bestandteilen Informationen, Prozesse und informationstechnische Systeme dem entspricht, was in Organisationslehre und Informatik als Geschäftsprozess oder use case bezeichnet wird, und das dem Erreichen eines von der Organisation gesetzten Zweckes dient.
Das umfassendste, weil sich auf alle Verfahrensbestandteile erstreckende Problem stellt die schon beschriebene Rationalitätsverschiebung dar, die sich daraus ergibt, dass Organisationen alle Objekte aus ihrer Umwelt auf der Basis von Modellannahmen, die unter Modellierungshoheit der Organisationen nach organisationseigenen Zwecken produziert werden, intern abbilden, der organisationseigenen Funktions- und Verfahrenslogik unterwerfen und nach organisationseigenen Programmen verarbeiten. Informationsverarbeitung auf der Basis von Modellannahmen und Auswahlentscheidungen, Entscheidungsprämissen und Entscheidungsprogrammen reproduziert die diesen zugrunde liegenden – oder zugrunde gelegten – Verzerrungen. Am wirkmächtigsten zeigt sich die Rationalitätsverschiebung im Zuge der Automatisierung von Verfahren, weil Technik, vor allem IT, als geronnene Organisation an die Stelle der Organisation selbst tritt, mit der Betroffene im Zweifel noch verhandeln könnten.
In das Analyseraster für die Bedrohungsanalyse fallen grundsätzlich alle Informationen, die für die Entscheidungsfindung genutzt werden können, nicht nur für Entscheidungen über Menschen und nicht nur personenbezogene Informationen. Es geht um sozial wirksame Entscheidungen und mithin um die diesen zugrunde liegenden Informationen. Das zentrale Problem im Hinblick auf Informationen sind die Ketten von Verdatungen und Reinterpretationen, also Transformationen von Informationen – mit den Dimensionen Syntax, Semantik, Pragmatik und Sigmatik – in Daten, die nur Zeichen oder Zeichenketten sind, und von Daten in Informationen, die im Allgemeinen nicht verlustfrei durchgeführt werden können. Zu prüfen ist für ein konkretes Informationssystem an dieser Stelle, zu wessen Nachteil sich diese Verluste auswirken. Gleiches gilt für die Frage nach der Korrektheit von Informationen: Es ist immer zu prüfen, ob „»richtige« oder »falsche« [Informationen] »nützlicher« oder »gefährlicher« für Interessenten und Betroffene sind.“
Die Bedrohungsanalyse nimmt die Prozesse sowohl in ihrer Gesamtheit als auch ihre einzelnen Phasen in den Blick. Als Phasen werden dabei – wie bei Steinmüller et al. – die einzelnen typisierten, regelmäßig wiederkehrenden Zustände von Informationsverarbeitungsprozessen verstanden, die zugleich als analytisches Raster wie als Ansatzpunkt für die Problemlösung dienen. Für ihre Verwendung als Analyseraster gilt dabei, dass sie nicht exkludierend sind: Nicht nur können sie einzeln oder in beliebigen Kombinationen nacheinander auftreten, ein konkreter Informationsverarbeitungsschritt kann auch mehr als eine Phase umfassen.
Der Bedrohungsanalyse werden folgende Phasen zugrunde gelegt: Erheben, Speichern, Verändern – mit den herausgehobenen Subtypen Sperren, Pseudonymisieren und Anonymisieren –, Erzeugen, Übermitteln, Nutzen und Löschen. Als Oberbegriff für jede Art des Umgangs mit Informationen soll Verarbeiten dienen – Verarbeiten ist damit mehr als die Summe der nachfolgenden Phasen. Erheben bezeichnet dann den Prozessschritt, durch den Informationen oder Daten in den Herrschaftsbereich der Organisation gelangt. Speichern bezeichnet die Verstetigung von Informationen, also die Herstellung und Aufrechterhaltung der Möglichkeit – zeitlich – späterer Reproduzierbarkeit, vor allem zur weiteren Verarbeitung.
Verändern ist dann jede Transformation von Informationen, die die semantische, pragmatische oder sigmatische Dimension beeinflusst. Sperren ist dann das Verändern von Informationen derart, dass sie zwar noch für die Organisation grundsätzlich nutzbar bleiben, jedoch nicht mehr für bestimmte Teile der Organisation zu bestimmten Zwecken. Ähnlich ist die Definition von Pseudonymisieren: das Verändern von Informationen derart, dass sie für bestimmte Organisationsteile nicht mehr auf die konkreten sozialen Akteurinnen bezogen werden können, auf die sie für die Organisation als Ganzes noch beziehbar sind. Hingegen verhindert Anonymisieren die begründbare Beziehung von Informationen auf konkrete soziale Akteurinnen auch für die Organisation. Das Erzeugen von Informationen ist der Verarbeitungsschritt, mit dem neue, vorher nicht vorhandene – und auch nicht anders vorhandene oder bei einer anderen Akteurin vorhandene – Informationen geschaffen oder gewonnen werden. Übermitteln bezeichnet, in Anlehnung an die Definition von Erheben, den Prozessschritt, durch den Informationen oder Daten in den Herrschaftsbereich Dritter – also nicht der Organisation selbst oder der Verdateten – gelangen soll, unabhängig vom Erfolg. Dritte können dabei Personen außerhalb der Organisation, andere Organisationen oder die Öffentlichkeit sein. Nutzen ist jedes zweckgerichtete Gebrauchen oder Verwenden von Informationen. Und Löschen ist – im Verhältnis zu Sperren sehr ähnlich wie das Verhältnis zwischen Anonymisieren und Pseudonymisieren – das Unkenntlichmachen von Informationen derart, dass sie auch für die Organisation nicht mehr nutzbar sind.
Neben die schon angesprochenen Risiken, die sich auf alle Verfahrensbestandteile – und damit auch auf die Prozesse – beziehen, wie die Rationalitätsverschiebung, treten die verarbeitungs- oder prozessspezifischen. Beim zentralen phasenübergreifenden Problem handelt es sich um eines der IT-Sicherheit – das Problem der Nichtabschottung des Informationssystems und des nichtausgeschlossenen undichten Dritten, das in beide Richtungen wirken kann. Nicht nur lassen sich für solcherart „offene“ Systeme keine konkreten Bedrohungsanalysen erstellen, die informationsverarbeitende Organisation kann auch keine Eigenschaften über die Nutzung des Informationssystems durch Dritte oder die weitere Verwendung oder Verbreitung der Informationen garantieren. Nichtabschottung ist insofern einerseits gleichbedeutend mit Veröffentlichung, andererseits mit einem von beliebigen Akteurinnen nutzbaren System. Ein zweites Problem, das sich auf alle Phasen erstreckt, liegt in der tendenziellen Intransparenz der Informationsverarbeitungsprozesse zum Nachteil der Betroffenen. Auch auf alle Phasen, genauso aber auch phasenübergreifend wirken sich Verfestigungstendenzen aus, die sich etwa schon bei der Formalisierung und Rationalisierung von Prozessen, vor allem aber bei ihrer Automatisierung zeigen – die Prozesse können also tendenziell nur noch so, wie von der Organisation gestaltet, aber nicht mehr anders durchgeführt werden. Der damit einhergehende Kontingenzverlust verringert nicht nur die Fähigkeit von Organisationen, flexibel – und damit situations-, ereignis- oder betroffenenangemessen – reagieren zu können, sondern verringert auch die Möglichkeit von Betroffenen, Einfluss auf die Organisation und deren Prozesse zu nehmen – und mithin auf deren Entscheidungen. Es droht damit sowohl ein Selbst- wie ein Mitbestimmungsverlust, aber auch die schon angesprochene tendenzielle Verschlechterung der Rechtspositionen der Betroffenen.
Die phasenspezifische Risiken beim Erheben von Informationen folgen schon aus der Wahl der Quelle durch die Organisation. So führt eine Erhebung bei Dritten zu einer doppelten Fremddefinition und mithin Fremdbestimmung der Betroffenen – einerseits durch die Dritten, andererseits durch die Organisation –, während die Erhebung von Informationen über Betroffene aus verschiedenen Kontexten, gesellschaftlichen Subsystemen oder Lebensbereichen das schon angesprochene Risiko der gesellschaftlichen Entdifferenzierung birgt und zugleich individuelle oder kollektive Strategien zu Rollen-, Kontext- oder Logiktrennung unterläuft – mit der Folge möglicher, gesellschaftlich inakzeptabler Koppelung. Aus der grundsätzlich einseitig ausgeübten Kontrolle der Organisation über die Erhebung erwächst auch das Risiko, dass die Organisation Informationen erhebt, die – mindestens aus der Sicht der Betroffenen – falsch, einseitig oder unpassend, weil in keinem Zusammenhang mit den Betroffenen, den vermeintlich abgebildeten Ereignissen oder Sachverhalten oder mit den zu treffenden Entscheidungen, sind. Ein weiteres Risiko, das aus dieser Kontrolle über die Erhebungsbedingungen erwächst, besteht in der gegen die Interessen der Betroffenen gerichteten Verweigerung von Organisationen, bestimmte Informationen zu erheben. Und nicht zuletzt sind es bestimmte Formen der Erhebung, etwa die Massenüberwachung durch Geheimdienste oder eine heimliche Beobachtung, oder bestimmte Mittel, etwa Gewalt oder gar Folter, die als Bedrohungen im Rahmen dieser Phase identifiziert werden können.
Die zentrale, aus dem Speichern erwachsende Bedrohung liegt gerade in dem, wozu das Speichern dient: ihrer Verfügbarkeit für eine spätere Reproduktion – Aufrufen, Abrufen, Verändern, Übermitteln und Nutzen. Die Verstetigung vormals nur flüchtiger Informationen, die mit dem Akt des Speicherns zugleich beginnen zu veralten, transzendiert die zeitliche Beschränkung von Ereignissen und mithin jede Zeitgebundenheit von Bedeutung, Einordnung und Bewertung dieser Ereignisse, die so nicht nur zur Basis künftiger Entscheidungen werden, sondern zugleich die Möglichkeiten von anderen Akteurinnen verringern, diese Ereignisse, an denen sie beteiligt waren oder nicht, selbst darzustellen, einzuordnen oder zu bewerten, insoweit sie tendenziell mit der durch die Speicherung vermeintlich objektivierten Fremddarstellung, -einordnung oder -bewertung konfrontiert sind. Ein strukturell vergleichbares Problem erzeugt die Entscheidung der Organisation, Informationen gerade nicht zu speichern, mit der mögliche Folge eines Rechtfertigungszwangs für Betroffene für das Fehlen von Informationen.
Das Verändern von Informationen erzeugt eine große Bandbreite an Risiken, angefangen bei direkten Änderungen an den Zweck-, Bedeutungs- und Bezugsdimensionen von Informationen, aber auch am die Bedeutung beeinflussenden Kontext, in den Informationen stehen oder gestellt werden. Informationen werden auch durch Verdaten und Interpretieren, also die Transformationen von Informationen in Daten und umgekehrt, geändert. Mögliche Folgen von Verdatung sind nicht nur Fehlabbildungen, sondern auch Verkürzungen, Dekontextualisierungen, die Erzeugung von Mehrdeutigkeiten und – zentral – die tendenzielle Ersetzung des abgebildeten Objekts und der dieses Objekt immer nur unvollständig, ungenau und sozial aushandlungsbedürftig beschreibenden Informationen durch den vermeintlich objektiven Datenschatten des Objekts. Und wenn und soweit es keine eindeutigen Interpretationsregeln gibt, besteht mit jeder Interpretation von Daten das Risiko von Fehlkontextualisierung, Fehlinterpretation, sowohl hinsichtlich des Zwecks, der Bedeutung wie auch des Bezugs, und in der Folge auch das Risiko der Fehlbewertung. Das Risiko der Kontext- und Bedeutungsänderung steigt auch, wenn Informationen verknüpft – oder verkettet –, integriert oder aggregiert werden, insbesondere wenn das über Organisations- oder Kontextgrenzen hinweg geschieht. Zugleich nimmt für die Informationen damit der Anschein der Objektivität zu, vergleichbar etwa mit dem Steigen des Anscheins von Korrektheit bei zunehmender Genauigkeit, ebenso wie ihre Nutzbarkeit für Bewertungen vergangenen und Vorhersage zukünftigen Verhaltens. Und nicht zuletzt steigert auch das Trennen von Informationen das Risiko der Kontextänderung, vor allem das Risiko des Kontextverlusts, und der Bedeutungsänderung.
Bedrohungen, die durch das Erzeugen von neuen Informationen aus bereits gespeicherten Informationen entstehen, liegen vor allem in der relativen Unerwartbarkeit oder Unvorhersehbarkeit für die Betroffenen, deren Möglichkeiten zu einer auf den Informationsstand der Organisation angemessenen reagierenden Interaktion mit der Organisation dadurch beschränkt werden. So können Organisation etwa auf der Basis von Informationen Kategorien bilden – oder durch technische Systeme bilden lassen: Clustern –, in die die Informationen dann eingeordnet werden, um in der Folge die Einordnung selbst zur Grundlage von Entscheidungen zu machen. Auch die Verwendung unscharfer Suchverfahren erzeugt, vor allem im Vergleich mit einer „einfachen“ Suche, besondere Risiken, auch weil – wie auch bei der Verwendung von Heuristiken im Gegensatz zur Verwendung von Algorithmen – nicht sichergestellt werden kann, dass das Sucherergebnis nicht schlicht ein Artefakt ist, dass durch die Fuzziness der Suche erst erzeugt wurde. Und nicht zuletzt entstehen neue Bedrohungen durch die zunehmende Verwendung von korrelationsbasierten Verfahren, vor allem wenn die Ergebnisse solcher Verfahren, nämlich die berechneten Korrelationen, für Kausalitäten gehalten werden.
Neben das schon allgemein beschriebene Risiko einer möglichen Kommunikations-, Entscheidungs- und Handlungsbeeinflussung oder -steuerung der Empfängerinnen von Informationen – etwa auch eines allgemeinen Publikums oder der Öffentlichkeit –, das sich aus der Kontrolle der übermittelnden Organisation über die Weltdarstellung ergibt, treten durch eine Übermittlung die Risiken, die sich aus dem faktischen Kontrollverlust der Organisation über die übermittelten Informationen ergeben. Dazu gehören etwa die Risiken für die Vertraulichkeit der Informationen und ihre Kontextualität – und damit ihre Bedeutung –, aber vor allem die Möglichkeiten weiterer – auch zweckfremder – Nutzung und Übermittlung sowie allgemein ihrer Kommodifizierung.
Gerade auch in der Nutzung von Informationen kann sich das schon allgemein beschriebene Datenmachtproblem verwirklichen – die Beeinflussung oder gar Steuerung von individuellen, kollektiven oder institutionellen Betroffenen und ihrer Kommunikationen, Entscheidungen und Handlungen sowie die Prästrukturierung ihrer Handlungsmöglichkeiten. Besondere Risiken ergeben sich für Betroffene bei der Nutzung von Informationen für Zwecke, zu denen sie nicht erhoben wurden, die Nutzung beliebiger – und mit den Betroffenen oder ihrer Situation nichts zu tun zu habender – Informationen zur Entscheidung über Betroffene oder diskriminierende Entscheidungen. Nicht zuletzt können auch Fehlbewertungen oder Fehlentscheidungen eine Bedrohung darstellen.
Die Risiken, die von einem Sperren und Löschen ausgehen, sind vergleichbar: Fälschlich oder unberechtigt gelöschte oder gesperrte Informationen können zu Nachweisproblemen für Betroffene führen und Fehlbewertungen oder Fehlentscheidungen – oder sogar die Weigerung, ohne diese Informationen eine Entscheidung zu treffen – auslösen, bei gesperrten Informationen gegenüber oder durch alle von der Sperrung betroffenen Organisationsteile und bei gelöschten Informationen gegenüber oder durch die Organisation als Ganzes. Strukturell die gleichen Risiken können durch Pseudonymisieren oder Anonymisieren entstehen.
Die Bedrohungen, die von informationstechnischen Systemen ausgehen oder verstärkt werden, betreffen grundsätzlich alle Akteurinnen, sowohl Betroffene wie Techniknutzerinnen, und darunter wiederum Betroffene, die die Technik nutzen, ebenso wie Mitarbeiterinnen der Organisation, denn die Technik „bestimmt den Spielraum möglichen Verhaltens der Institutionen, Gruppen und Mitglieder der Gesellschaft.“ So sind grundsätzlich alle Systeme tendenziell intransparent für Nutzerinnen und Betroffene – eine Tendenz, die von der Trennung zwischen (grafischer) Oberfläche und „Innenleben“ noch verstärkt wird – und bezieht sich sowohl auf die in die Technik hineinkonstruierte „Politik“ als auch die vorhandenen oder nicht vorhandenen Schutzmechanismen und deren Eigenschaften, etwa ihre Qualität. Vor diesem Hintergrund ist es für Betroffene – und wenigstens in Teilen auch für Nutzerinnen – quasi unmöglich, überhaupt eine sinnvolle, weil informierte Risikoabschätzung vorzunehmen und auf dieser Basis über eine Preisgabe und die Bedingungen, unter die diese Preisgabe gestellt werden sollen, zu entscheiden. Auch kann die Organisation Technik nicht wirklich kontrollieren – und damit Eigenschaften wie etwa Diskriminierungsfreiheit nicht garantieren –, die sie selbst zwar einsetzt, aber nicht versteht. Und sie kann nach außen nicht transparent machen, was aus den technischen Systemen heraus nicht expliziert werden kann. Besonders deutlich wird dies bei den inzwischen recht verbreitet eingesetzten neuronalen Netzen. Nutzerinnen innerhalb und außerhalb der Organisation sehen nur, was die Systeme ihnen zeigen, und sie sehen es, wie die Systeme es ihnen zeigen; die informationstechnischen Systemen bestimmen damit das Weltbild der Nutzerinnen mit. Und die Systeme lassen auch Selbstdarstellung von Nutzerinnen nur insoweit zu, wie es ihnen eingebaut wurde. Das gilt auch gegenüber Organisationen, die informationstechnische Systeme einsetzen: Betroffene verlieren Interventions- und Aushandlungsmöglichkeiten, wenn diese Systeme solche Möglichkeiten nicht zulassen. Kurz: Informationstechnische Systeme sind nicht nur „Machtverstärker“, sondern, weil sie geronnene Organisation sind, auch Problemverstärker.
Ein für die Gestaltung von informationstechnischen Systemen nutzbares Bedrohungsmodell muss auf der Basis dieses analytischen Rasters das Problem der Machtverschiebung zwischen den Akteurinnen durch das zu gestaltende oder einzusetzende Verfahren sowie die sich aus den einzelnen Verfahrenskomponenten in den einzelnen Verarbeitungsphasen ergebenden genauso wie die komponenten- und phasenübergreifenden besonderen Risiken und Bedrohungen anwendungsbereichsspezifisch konkretisieren.
3.5.3 Operationalisierungs- und Regelungsansatz
Eine allgemeine „Lösung“ des Datenschutzproblems kann es ebenso wenig geben wie ein allgemeines und dennoch immer passgenaues Bedrohungsmodell. Nachfolgend soll daher ein prozeduraler Operationalisierungsansatz vorgelegt werden, der zumindest den Lösungsweg hinreichend deutlich beschreibt und der zugleich für eine rechtliche Regelung wie für Technikgestaltungsprozesse nutzbar ist, dabei auftretende Probleme – so das Checklisten-Problem – anspricht und zeigt, wie mit Hilfe eines der Zwischenprodukte der Analyse – der Interessen-, Zweck- und Machtanalyse – das in der Debatte der letzten Jahrzehnte als besonders drängend markierte Problem der informierten Einwilligung grundsätzlich lösbar gemacht werden kann. Gerade vor dem Hintergrund, dass konkrete Bedrohungen nur anhand konkreter Informationssystemen identifiziert und auch nur in diesen gelöst werden können, erscheint ein solcher prozeduraler Ansatz vorzugswürdig.
Die Prozeduralisierung erzeugt tendenziell das Checklisten-Problem: Das Ausfüllen der Checkliste wird zum Ersatz für eine inhaltliche Auseinandersetzung aufseiten der Ausfüllenden, die ausgefüllte Checkliste wird zum eigentlichen Ziel der Analyse und zum Erfolgsmarker für eine Datenschutzaufsicht, die im Zweifel selbst auch nur Checklisten ausfüllt. Die Frage, die sich also stellt, lautet: Wie kann ein Prozess gestaltet werden, der die einzelnen abzuarbeitenden Analyseschritte grundsätzlich nur in eine Reihenfolge bringt und bei der Sicherstellung einer vollständigen Abdeckung aller Schritte hilft, um eine sinnvolle – also fundierte inhaltliche (oder materielle) – Prüfung innerhalb der einzelnen Schritte zu erzwingen? Insbesondere muss verhindert werden, dass diejenigen, die eine solche Analyse durchführen, eine inhaltliche Prüfung mittels Phrasen wie „Überwiegende berechtigte Interessen der Betroffenen sind nicht ersichtlich.“ als „Prüfungsergebnis“ simulieren können. Wie also kann der Prozess so gestaltet werden, dass anhand der Produkte des Prozesses überprüfbar wird, dass eine fundierte inhaltliche Prüfung stattgefunden hat? Die beiden Fragen können hier nicht allgemein beantwortet werden, aber es lässt sich zumindest die plausible Hypothese aufstellen, dass eine Transparenzpflicht für die Zwischenprodukte – das sind nachfolgend die Anwendungsbereichsbestimmung, die Akteursanalyse sowie die Interessen-, Zweck- und Machtanalyse – die Überprüfbarkeit des Bedrohungsmodells zumindest stark erleichtern würde. Das gilt vor allem, wenn erstens die Zwischenprodukte hinreichend standardisiert werden, um vergleichbar zu sein, ohne zugleich übermäßig formalisiert zu werden und damit selbst als Checklisten-Äquivalente zu enden, und wenn sie zweitens standardisiert verfügbar sind, vergleichbar etwa der robots.txt oder den P3P-Versuchen der Vergangenheit. Nicht nur können sie dadurch verglichen werden, sie können vor allem industrialisiert verglichen werden – in einem ersten Schritt zu einer Industrialisierung des Datenschutzes.
Zugleich können die Produkte der Akteursanalyse sowie der Interessen-, Zweck- und Macht-analyse für eine pragmatische Lösung des Problems der informierten Einwilligung genutzt werden. Die von den Organisationen – oder zumindest aus Organisationssicht – erzeugte Beschreibung der Akteurinnen in Form einer Selbstbeschreibung der Organisation und einer Fremdbeschreibung aller Betroffenen(-gruppen), die ihnen zugeschriebenen Rollen und gesellschaftlich geprägten Erwartungen, die ihnen zugeschriebenen Interessen, Rechte, Pflichten, Ziele und Zwecke, und die Beschreibung des Verhältnisses, insbesondere des Machtverhältnisses, in dem die Akteurinnen als zueinander stehend angenommen werden, können von Betroffenen als Grundlage für die Entscheidung genommen werden, ob sie die Selbstzuschreibung der Organisation für vertrauenswürdig, die auf sie selbst bezogene Fremdzuschreibung für fair und die Darstellung der Interessengegensätze, Zweckkollisionen und Machtverhältnisse für angemessen hält – und damit als Basis für die Entscheidung, ob sie in eine sie betreffende Verarbeitung von Informationen einwilligen oder nicht. Mit einem an das Zweckbindungsprinzip angelehnte Modellbindungsprinzip kann dann zugleich sichergestellt werden, dass die auf dieser Basis durchgeführte anwendungsbereichsspezifische Bedrohungsanalyse nicht von der Organisation beliebig manipuliert werden kann, weil wesentliche Teile anhand der zugrunde gelegten Modelle für Dritte wie Aufsichtsorgane, Prüfinstitutionen oder Datenschutzvereinigungen objektiv überprüfbar gemacht werden.
In einem ersten Schritt ist damit der Anwendungsbereich des zu gestaltenden oder des zu prüfenden Verfahrens oder – im Rahmen von Technikgestaltung oder Technikprüfung – des informationstechnischen Systems festzulegen oder zu bestimmen.
Im zweiten Schritt sind die beteiligten oder zu beteiligenden Akteurinnen zu identifizieren und zu beschreiben. Dazu zählen nicht nur die Organisation, ihre Mitarbeiterinnen, die Verdateten und eventuelle Dritte, etwa Empfängerinnen, sondern gerade auch relevante Teilgruppen, die aber durchaus typisiert werden können: In Bezug auf die Mitarbeiterinnen sind etwa Admins und einfache Userinnen klassische Typen, in Bezug auf die Betroffenen lassen sich Gruppen nach den unterschiedlichen Risiken in unterschiedlichem Umfang bilden, denen sie ausgesetzt sind, während Dritte sich unterteilen lassen nach Individuen oder der Öffentlichkeit, den klassischen Angreifertypen oder der NSA, Gruppen oder Organisationen, Akteurinnen mit ökonomischen oder mit politischen Interessen. Für diese Akteurinnen ist dabei zu identifizieren, in welchen Rollen sie auftreten. Damit sind nicht nur die gesellschaftlich konstruierten Rollen wie Individuum, Subjekt, Familienmitglied, Bürgerin, Kundin, Patientin oder Mandantin für Menschen – als Personenkonzepte – oder Behörde, Unternehmen oder Presse für Organisationen gemeint, sondern auch die konkreten Handlungsrollen wie Technikgestalterin, Admin, Anbieterin, Nutzerin, Freundin oder Studentin, in denen sie jeweils miteinander und mit der Technik interagieren. Anhand dieser Rollen lassen sich dann schon die gesellschaftlich geprägten Erwartungen und die gesellschaftlich konsentierten Interessen identifizieren und zuweisen, also die Freiheits- und Partizipationsversprechen der modernen bürgerlichen Gesellschaft und sogar ihre Strukturschutzprinzipien und -mechanismen, aber durchaus auch individuelle oder kollektive Erwartungen und Interessen der jeweiligen Akteurinnen. Anschließend sind die Zwecke zu identifizieren, die die Akteurinnen jeweils verfolgen. Das können politische oder ökonomische Zwecke sein, aber auch zwischenmenschliche Kommunikation wie Small Talk. Klar ist, dass die unterschiedlichen Akteurinnen jeweils nicht die gleichen Interessen haben oder die gleichen Zwecke verfolgen müssen, trotzdem können sie miteinander interagieren.
Im dritten Schritt sind daher die Interessen und Zwecke vor dem Hintergrund, in welchem Verhältnis die Akteurinnen zueinander stehen, vor allem in welchem Machtverhältnis, und inwieweit sie voneinander abhängig sind, etwa von der Erbringung einer spezifischen Leistung wie der Bereitstellung einer Kommunikationsinfrastruktur für die Kommunikation mit anderen, zueinander in Beziehung zu setzen und zu analysieren. In dieser Interessen-, Zweck- und Machtanalyse muss deutlich werden, inwieweit die Interessen und Zwecke der unterschiedlichen Akteurinnen einander entsprechen, kompatibel sind oder einander widersprechen, welche Interessen und Zwecke nur durchgesetzt oder erreicht werden können, wenn andere Akteurinnen kooperieren, und von welchen Akteurinnen Kooperation zu erwarten ist und von welchen nicht. Darüber hinaus ist zu analysieren, welche Folgen sich für die Machtbeziehungen zwischen den Akteurinnen ergeben oder ergeben können, wenn Akteurinnen ihre Interessen und Zwecke auch gegen die Interessen und Zwecke anderer Akteurinnen durchzusetzen in der Lage sind. Anschließend sind diese Interessen und Zwecke zu gewichten und zu bewerten, um darauf basierend zwischen den widerstreitenden Interessen und Zwecken abzuwägen. Datenschutz steht dabei konsequent aufseiten der strukturell schwächeren Akteurinnen und schreibt sich die Durchsetzung ihrer Interessen gegen die Interessen der ungleich mächtigeren Organisationen auf die Fahne, und in diesem Sinne sind auch Gewichtung, Bewertung und Abwägung vorzunehmen. Die eigentliche Zwecksetzung für das Informationssystem ist eines der Ergebnisse dieses dritten Schritts.
Die anwendungsbereichsspezifische Bedrohungsanalyse stellt den vierten Schritt dar und dient der Erzeugung des oben beschriebenen Bedrohungsmodells.
Der fünfte Schritt ist dann die Auswahl und Gestaltung von Lösungen für die identifizierten Bedrohungen auf der Basis von materiellen Anforderungen. Diese materiellen Anforderungen sind sachlich in Form von Schutzzielen zu formulieren, die dazu nicht wie bislang aus dem geltenden Datenschutzrecht, sondern direkt aus der Datenschutztheorie abgeleitet werden müssen. Diese Schutzziele sind dabei so zu formulieren, dass sie sich nicht nur auf Verfahren mit den Komponenten Informationen, Prozesse und Systeme anwenden lassen, sondern auch auf die Organisationen selbst und deren Gestaltung. In zeitlicher Hinsicht sind diese Anforderungen phasenspezifisch zu konditionieren, aber wegen der Eigenschaften komplexer Systeme, zu denen inzwischen wohl die meisten automationsgestützten Verfahren gehören, sind sie nicht auf die Phasen zu beschränken. Und in sozialer Hinsicht ist – angelehnt an das Prinzip der Gewaltenteilung – dafür zu sorgen, dass die Kontrolle über bestimmte Verfahrensaspekte nicht nur innerhalb von Organisationen, sondern auch zwischen Organisationen und Betroffenen verteilt sind – und das nicht nur organisatorisch, sondern auch technisch.
Dieser Operationalisierungs- und Regelungsansatz, der hier in einer noch sehr rohen oder abstrakten Form vorgelegt wird, muss in der Praxis verwendet und damit getestet und auf der Basis der dabei gewonnenen Erkenntnisse überarbeitet und konkretisiert werden. Dazu gehören insbesondere auch die Ableitung der Schutzziele aus der Datenschutztheorie sowie ihre phasenspezifische Konditionierung.
Jörg Pohle; Humboldt-Universität zu Berlin; 2019
Open-Access-Erklärung: https://edoc-info.hu-berlin.de/de/nutzung/oa_hu
https://edoc.hu-berlin.de/handle/18452/19886
Zur leichteren Lesbarkeit wurden die Quellenverweise entfernt. Bei Interesse finden Sie sie im obigen Link.