Datenschutz und Technikgestaltung Die Geschichte des Datenschutzes – Teil 18

Datenschutz und Technikgestaltung Die Geschichte des Datenschutzes – Teil 18

12/2021

 

5 Zusammenfassung und Abschluss

 

5.1 Zusammenfassung

In der historischen Systemanalyse der politischen und wissenschaftlichen Auseinandersetzungen zur Beschreibung, Einordnung und Begründung der Probleme, die mit den Begriffen privacy, Datenschutz und surveillance markiert werden, der jeweils vorgeschlagenen Lösungen oder Lösungsansätze, der Umsetzungen dieser Lösungen im Recht und ihrer Anwendung in der Praxis sowie der parallel geführten Debatten um eine zur Lösung des privacy-, Datenschutz- und surveillance-Problems geeignete und angemessene Technikgestaltung ist herausgearbeitet worden, dass es weder in der wissenschaftlichen noch in der politischen Debatte eine Einigung zu den unzähligen Aspekten gibt, die dieses Feld prägen. Die Unterschiede zwischen den Beschreibungen, Einordnungen und Erklärungen, die von den unterschiedlichen Beteiligten an dieser Debatte geliefert werden, sind stattdessen so groß und teilweise so grundlegend, so die Schlussfolgerung dieser Arbeit, dass die adressierten Phänomene, Praxen und Probleme als voneinander grundsätzlich verschieden verstanden werden müssen, auch wenn sie mit den gleichen Begriffen bezeichnet werden.

Diese Unterschiede fangen schon auf der Ebene des betrachteten Gegenstandsbereichs an. Sie betreffen die zugrunde gelegten Akteurskonstellationen – von interpersonalen Beziehungen über Beziehungen zwischen Individuen oder Gruppen und Organisationen bis zur gesellschaftlichen Informationsordnung insgesamt – sowie die Eigenschaften und Interessen der betrachteten Akteurinnen ebenso wie deren Umgang mit und Kontrolle über informationstechnische Systeme und die Zwecke, die sie damit verfolgen. Kurz: Die einzelnen Theorien oder Theorieschulen legen ihren Analysen teilweise überschneidungsfreie Phänomenbereiche zugrunde. Aber nicht nur hinsichtlich des Seins, sondern auch im Hinblick auf das Sollen, also die Zielvorstellungen oder Erwartungen, an denen sich das Informationsgebaren von Individuen, Gruppen und Organisationen, von Vereinen und Unternehmen, von Privaten und vom Staat oder von der Gesellschaft insgesamt messen lassen muss, gibt es einen tiefen Dissens. Die Menge der identifizierten Schutzgüter reicht dabei von individuellen Zuständen, Bedürfnissen, Interessen oder Werten über soziale Konstruktionen, gesellschaftliche Werte oder Normen bis hin zu Struktureigenschaften von gesellschaftlichen Verhältnissen, kann aber auch (fast) jede beliebige Kombination davon umfassen. Für die jeweils identifizierten Probleme – als Differenzen zwischen Sein und Sollen – und ihre Beschreibungen und Erklärungen folgt daraus, dass auch sie fundamental verschiedenen sind – und notwendig sein müssen. Dabei kann es sich um Artefakte wie Daten, Informationen oder Wissen handeln, um konkrete Handlungen oder Handlungsformen wie Überwachung, Missbrauch oder Informationsverarbeitung, um besondere Akteurskonstellationen oder deren Eigenschaften wie Machtimbalancen oder um gesellschaftliche Phänomene wie die Digitalisierung aller Lebensbereiche. Genauso umstritten sind die Beziehungen zwischen den Akteurinnen, Artefakten und Praxen und die jeweils daraus gezogenen Schlussfolgerungen für die Bestimmung, was Auslöser und was Folge ist, und was davon – Auslöser oder Folge – gerade das Problem bezeichnen soll und wie es einzuordnen und zu erklären ist. In der Folge werden wenig überraschend daher ganz unterschiedliche Lösungen oder Lösungsansätze vorgeschlagen: soziale Normen, rechtliche Regelungen, der Markt oder technische Schutzsysteme, auch beliebig kombiniert und in verschiedenen konkreten Formen, die sich etwa danach bestimmen, wer oder was als Problem identifiziert wurde, wie das Problem charakterisiert und was als Auslöser identifiziert wurde. Auch ist deutlich geworden, dass es im Bereich der Diskussion um die Technikgestaltung an konsentierten oder auch nur durchgängig offengelegten Angreifer- und Bedrohungsmodellen mangelt.

Auch sind, wie die Analyse gezeigt hat, viele Konzepte, mit denen in der Debatte operiert wird, aus informatischer Sicht schlicht falsch, nicht, nicht mehr oder nicht vollumfänglich haltbar oder unzulässig verkürzt. Dazu gehören etwa die Fixierung auf personenbezogene Informationen sowohl hinsichtlich der Beschränkung des Gegenstandsbereichs als auch als Anknüpfungspunkt für Rechtssetzung und Technikgestaltung, die offenkundig falsche und doch weitverbreitete Behauptung, Sensitivität sei eine Eigenschaft von Informationen, die naive Trennung von „öffentlich“ und „privat“, das Konstrukt der informierten Einwilligung, vor allem in seiner derzeitigen Um-setzung, oder das sogenannte „Privacy Paradox“.

Darüber hinaus ist festzustellen, dass die Datenschutztheorie, deren Betrachtung im Zentrum der Arbeit stand, zumindest als Theorieschule gescheitert ist. Es ist dieser Schule nie gelungen, eine zugleich umfassende und dennoch lesbare Darstellung ihres Verständnisses vom Menschen und von der Welt, von Organisationen und von der Informationstechnik, von der Informationsverarbeitung und der Informationsgesellschaft vorzulegen, die die eigenen theoretischen Fundamente, Annahmen und Prämissen aufdeckt, das Datenschutzproblem auf dieser Basis fundiert erklärt und die vorgeschlagene Lösung – den Datenschutz – sauber begründet. Zwar hat sie die Entwicklung des deutschen – und damit vermittelt auch des europäischen Datenschutzrechts – wesentlich beeinflusst, sie hat jedoch zugelassen – oder sich sogar daran beteiligt –, dass das Datenschutzproblem von einem gesellschaftlichen Problem weitgehend auf eines der individuellen Entscheidung über die Preisgabe oder Nichtpreisgabe von personenbezogenen Informationen zurückgestutzt wurde. Und sie hat nicht verhindern können, dass aus der Datenschutzdiskussion, die immer zentral nur eine politische Diskussion sein kann, im Grunde eine reine Datenschutzrechtsdiskussion wurde, die damit nur noch zu den Bedingungen und gemäß den diskursiven Regeln der Rechtswissenschaft geführt werden kann.

Die vorliegende Arbeit hat es dann unternommen, den Datenschutz, den diese Theorieschule produziert hat, zu rekonstruieren. Dazu wurden die zugrunde gelegten Annahmen, der betrachtete Gegenstandsbereich, die auf dieser Basis durchgeführte Bedrohungsanalyse sowie die vorgeschlagene Lösungsarchitektur zur Abwehr der identifizierten Bedrohungen kompakt und zusammenhängend dargestellt und einer informatisch fundierten Kritik unterzogen. Dabei ist deutlich geworden, wie sehr die Datenschutztheorie von ihren Annahmen über Gesellschaft, Organisation und Technik sowie Technikgebrauch geprägt ist. Die Theorie geht von der Vorstellung einer modernen, funktional differenzierten Gesellschaft aus, die von Organisationen geprägt ist, bei denen es sich um rationale Bürokratien im Weberschen Sinne handelt. Diese Organisationen rationalisieren ihre Informationsverarbeitung zum Zwecke besserer Entscheidungsfindung und setzen dabei Computer als Werkzeuge ein, sowohl als Rationalisierungs- wie auch als Automatisierungswerkzeuge. Auf dieser Basis analysiert die Theorie, wie diese Praxen der Informationsverarbeitung und Entscheidungsfindung durch Organisationen mit den dafür eingesetzten Mitteln – Technik und Verfahren – überkommene gesellschaftliche Aushandlungsergebnisse – insbesondere in der konkreten Form, die sie im Recht gefunden haben – wie auch die Aushandlungsmechanismen selbst strukturell unterminieren. Als Kern des Datenschutzproblems werden dabei die strukturellen Machtimbalancen, die durch die Rationalisierung, Maschinisierung und Automation gesellschaftlicher Informationsverarbeitungsprozesse erzeugt, verstärkt oder verfestigt werden, und deren Folgen für Individuen, Gruppen, Organisationen und die Gesellschaft insgesamt identifiziert. In der vorliegenden Arbeit wurde gezeigt, dass das verwendete Webersche Organisationsmodell für die Beschreibung und Analyse moderner Organisationen und ihrer Informationsverarbeitung und Entscheidungsfindung nicht mehr angemessen ist, dass dabei insbesondere die spezifische Rationalitätsunterstellung ein verzerrtes und damit unpassendes Bild moderner Organisationen und ihrer Informationspraxen erzeugt und dass die einseitige Charakterisierung von informationstechnischen Systemen als Werkzeuge gerade dafür blind ist, dass die Technik weder von organisationsinternen noch von organisationsexternen Akteurinnen ausschließlich instrumentell eingesetzt wird. Genauso mechanistisch wie das Webersche Organisationsmodell ist das Regelungsmodell, das die Datenschutztheorie vorgelegt hat, um die Informationsverarbeitungspraxen von Organisationen unter Bedingungen zu stellen. Insbesondere ist dabei die zugrunde gelegte Vorstellung der Erzeugbarkeit von Kontrollfähigkeit der Informationsverarbeitungprozesse tayloristisch, indem sie der Fehlannahme erliegt, dass die Zerlegung der Prozesse in Einzelschritte zugleich alle Probleme und Gefahren in Teilprobleme und Teilgefahren zerlegen könnte, die sich dann innerhalb der Einzelschritte abschließend bannen ließen. Bei allen aufgedeckten Einzelproblemen stellt die Arbeit aber auch fest, dass die Datenschutzdiskussion der 1970er Jahre für die Rationalisierung, Mechanisierung und Automation der Informationsverarbeitung und Entscheidungsfindung in Organisationen und deren gesellschaftliche Auswirkungen eine in Teilen sehr fundierte Analyse geliefert hat.

Die vorliegende Arbeit zieht daraus den Schluss, dass der Datenschutz als „Lösung“ des durch die Industrialisierung der gesellschaftlichen Informationsverarbeitung erzeugten Datenmachtproblems in der Informationsgesellschaft des 21. Jahrhunderts neu abgeleitet werden muss und dass dazu auf den von der historischen Datenschutztheorie vorgelegten Ableitungsprozess zurückgegriffen werden kann und sollte. Ausgangspunkt dieser Ableitung muss eine Analyse der gesellschaftlichen Informationsverarbeitung sein: Welche Eigenschaften haben die Akteurinnen – Organisationen, Individuen, Gruppen –, wie verarbeiten sie Informationen und treffen Entscheidungen, wie nutzen sie dabei welche Technik; schließlich: Wie „nutzt“ die Technik die Akteurinnen? Auf dieser Basis sind dann die Folgen dieser Informationsverarbeitungspraxen in vermachteten sozialen Beziehungen zu analysieren – und anschließend zu bewerten.

Eine solche Analyse legt die vorliegende Arbeit in Form eines dem Stand der wissenschaftlichen Debatte entsprechenden abstrakten – und damit jeweils noch anwendungsbereichsspezifisch zu konkretisierenden – Angreifermodells sowie eines analytischen Rasters für eine darauf aufbauende Bedrohungsanalyse vor. Diese Bedrohungsanalyse hat dabei das Problem der Machtverschiebung zwischen den Akteurinnen durch das zu gestaltende oder einzusetzende Verfahren sowie die sich aus den einzelnen Verfahrenskomponenten in den einzelnen Verarbeitungsphasen ergebenden genauso wie die komponenten- und phasenübergreifenden besonderen Gefährdungen anwendungsbereichsspezifisch zu konkretisieren und produziert dabei das Bedrohungsmodell, das dann als Grundlage für Auswahl und Gestaltung informationstechnischer Systeme dient. Dazu hat die vorliegende Arbeit einen prozeduralen Operationalisierungsansatz vorgelegt, der die Vorgehensweise und die jeweils zu analysierenden oder zu prüfenden inhaltlichen Fragen deutlich werden lässt. Dieses Vorgehensmodell ist dabei nicht nur für die Technikgestaltung nutzbar, sondern kann auch Basis eines prozeduralen Regelungsansatzes dienen. Zugleich zeigt die Arbeit, wie sich mit den Produkten der Akteursanalyse sowie der Interessen-, Zweck- und Machtanalyse eine pragmatische Lösung des Problems der informierten Einwilligung umsetzen lässt.

Anschließend wird das für die Technikgestaltung relevante Verhältnis zwischen dem rekonzeptionalisierten Datenschutz und dem geltenden – deutschen und europäischen – Datenschutzrecht bestimmt, vor allem im Hinblick auf den jeweiligen Geltungsbereich, die verwendeten Informationsbegriffe und das jeweils zugrunde gelegte Prozessmodell der Informationsverarbeitung. Dabei wird deutlich, dass jedenfalls für Organisationen als Informationsverarbeiterinnen der Schutzbereich des Datenschutzes eine Obermenge des Schutzbereiches des Datenschutzrechts ist, womit grundsätzlich eine datenschutzfreundliche Informationsverarbeitung durch Organisationen auch als datenschutzrechtskonform gelten kann. Als defizitär wird besonders der Umgang des Rechts mit dem Informationsbegriff herausgestellt, dessen Potenziale, etwa bei Verwendung des der Datenschutztheorie zugrunde liegenden modelltheoretischen Informationsbegriffs, das Recht ungenutzt lässt, aber auch die Nichtnutzung des Phasenmodells, vor allem als Instrument für die Problemanalyse, aber auch – vor allem mit der neuen EU-Datenschutzgrundverordnung –, um an die einzelnen Phasen je spezifische rechtliche Anforderungen zu knüpfen.

Abschließend werden auf der Basis der gewonnenen Erkenntnisse Folgerungen für die Gestaltung datenschutzfreundlicher – und dabei nicht notwendig nur datenschutzrechtskonformer – informationstechnischer Systeme als Teilkomponenten von soziotechnischen Systemen gezogen.

Basierend auf der Feststellung, dass Datenschutzkonformität und Datenschutzrechtskonformität Eigenschaften von Informationsverarbeitungspraxen, nicht von Technik, sind, wird eine Klassifikation für die Charakterisierung von informationstechnischen Systemen hinsichtlich ihres Verhältnisses zu einem datenschutzkonformen Einsatz vorgelegt. Dabei wird zwischen (1) datenschutzfeindlichen Systemen, die gar nicht datenschutzkonform eingesetzt werden können, (2) datenschutzunfreundlichen, die einen datenschutzkonformen Einsatz behindern oder erschweren, datenschutzneutralen, bei denen die Datenschutzkonformität nur von der Art und Weise des konkreten Einsatzes abhängt, (4) datenschutzfördernden, die einen datenschutzkonformen Einsatz unterstützen und einen nicht datenschutzkonformen erschweren, sowie (5) datenschutzgarantierenden Systemen, die unabhängig von der Intention der Datenverarbeiterin ausschließlich datenschutzkonform eingesetzt werden können, unterschieden. Vor dem Hintergrund von, vor allem im Bereich des Rechts vorgenommenen, Verantwortungszuschreibungen wird im Feld der datenschutzfördernden und datenschutzgarantierenden Systeme darüber hinaus zwischen (1) ein-fachen Unterstützungssystemen, (2) Systemen, die nicht unbewusst umgangen werden können, Systemen, die weder unbewusst noch fahrlässig umgangen werden können, und (4) Systemen, die auch nicht vorsätzlich umgangen werden können, unterschieden. Anhand eines Beispiels wird mit Hilfe dieses Klassifikationsschemas gezeigt, wie Probleme im Bereich des Datenschutzes, die sich in keiner einzelnen der beteiligten Disziplinen lösen lassen, lösbar sind, wenn die Disziplinen kooperieren.

Als zentral für das Vorgehen bei der Auswahl zu verwendender und der Gestaltung neuer Technik hat die Arbeit die Entscheidung über den zu benutzenden Referenzrahmen identifiziert, also die Frage, welche privacy-, surveillance- oder Datenschutztheorie oder welches Recht als Bezugspunkt gelten soll. Damit entscheidet sich, welche Akteurinnen und Akteurskonstellationen, welche Zielvorstellungen und Schutzgüter und welche Probleme, Bedrohungen und Gefährdungen für diese Ziele und Schutzgüter in den Blick genommen werden können und zugleich, für welche dieser Probleme, Bedrohungen und Gefährdungen Lösungen gesucht oder entwickelt werden sollen. Während die Entscheidung für eine Theorie oder ein Recht vergleichsweise objektiv auf der Basis eines Vergleichs zwischen deren Geltungsbereichen und dem zukünftigen Anwendungsbereich der Technik getroffen werden kann, ist die Entscheidung über den Schutzbereich, wie die vorliegende Arbeit zeigt, immer eine immanent politische, keine rein wissenschaftliche. Nicht nur deshalb ist die Entscheidung über den zugrunde gelegten Referenzrahmen, wie alle anderen wesentlichen Entscheidungen auch, zu begründen und transparent zu machen. Aus dem gewählten Referenzrahmen folgt, wie die Arbeit feststellt, in weiten Teilen das Vorgehen sowie die inhaltliche Ausgestaltung der einzelnen Schritte bei Bedrohungsanalyse und Technikgestaltung. Abschließend wird das am Beispiel des für den rekonzeptionalisierten Datenschutz vorgelegten Operationalisierungsansatz dargestellt.

 

5.2 Offene Forschungsfragen und mögliche Forschungsprogramme

Im Rahmen der vorliegenden Arbeit konnten nicht alle Fragen und Probleme, die sich im Zuge der Auseinandersetzung mit den Beschreibungen, Einordnungen und Begründungen verschiedener Theorien für die privacy-, Datenschutz- und surveillance-Probleme, den jeweils vorgeschlagenen Lösungen oder Lösungsansätzen, den Umsetzungen dieser Lösungen im Recht sowie der parallel geführten Debatten um eine zur Lösung der jeweiligen Probleme geeignete und angemessene Technikgestaltung ergaben, umfassend geklärt werden. Im Folgenden sollen daher diese offenen Forschungsfragen und möglichen Forschungsprogramme zumindest expliziert werden.

  1. Es bedarf einer umfassenden Analyse und Gegenüberstellung der verschiedenen privacy-, Datenschutz- und surveillance-Theorien nach ihren Geltungsbereichen, ihren Annahmen über die Akteurinnen und deren Verhältnisse zueinander sowie ihren Schutzbereichen.
  2. Für die existierenden Privacy-Enhancing Technologies sowie für die vorhandenen Systemkonzepte bedarf es einer Analyse der Frage, welche Probleme, Bedrohungen und Gefährdungen für welche Ziele und Schutzgüter sie jeweils in welchen Akteurskonstellationen zu lösen oder abzuwehren versuchen, also eines Mappings der Schutzbereiche auf die PETs.
  3. Auf der anderen Seite ist für die verschiedenen Theorien und Gesetzesauslegungen jeweils zu untersuchen, welche Privacy-Enhancing Technologies und Konzeptvorschläge bereits existieren, die die jeweils identifizierten Probleme, Bedrohungen und Gefährdungen für Ziele und Schutzgüter in den betrachteten Akteurskonstellationen lösen oder abwehren können, also ein Mapping der PETs auf die Theorien.
  4. Es bedarf einer Untersuchung, inwieweit sich der in dieser Arbeit rekonzeptionalisierte Datenschutz mit seinem systemanalytischen Ansatz und seinen Instrumenten über die hier dargestellten Ansätze hinaus für die Auslegung und Anwendung des überkommenen deutschen und europäischen Datenschutzrechts nutzbar machen lässt, vor allem für Datenschutz-Folgenabschätzungen, Datenschutz durch Technikgestaltung und Zertifizierungsverfahren nach der neuen EU-Datenschutzgrundverordnung.
  5. Nachdem sich das Konzept der Schutzziele als interdisziplinär anschlussfähiges Instrument zur Konditionierung von Recht und Technik erfolgreich etabliert hat, sind die Schutzziele, die bislang nur aus dem überkommenen Datenschutzrecht abgeleitet wurden, neu aus dem in dieser Arbeit rekonzeptionalisierten Datenschutz abzuleiten, so dass sie sich nicht nur auf Verfahren mit den Komponenten Informationen, Prozesse und Systeme anwenden lassen, sondern auch auf die Organisationen selbst und deren Gestaltung.

Darüber hinaus sind die in Form von Schutzzielen formulierten materiellen Anforderungen phasenspezifisch zu konditionieren, mit möglicherweise jeweils unterschiedlichen führenden Schutzzielen.

Jörg Pohle; Humboldt-Universität zu Berlin; 2019

Open-Access-Erklärung: https://edoc-info.hu-berlin.de/de/nutzung/oa_hu

https://edoc.hu-berlin.de/handle/18452/19886

Zur leichteren Lesbarkeit wurden die Quellenverweise entfernt. Bei Interesse finden Sie sie im obigen Link.


 

Datenschutz

 

Datenschutz


Datenschutz greift auch in unsere Lebensprozesse ein

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind!

Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen