Computer, Privacy, Datenschutz
Die Anfänge der Debatte in den USA
In einer Phase zunehmender Liberalisierung nach der Kommunistinnenjagd der fünfziger Jahre, die besonders mit dem House Committee on Un-American Activities des US-Repräsentanten-hauses, dem Permanent Subcommittee on Investigations des US-Senats und einem seiner Vor-sitzenden – Joseph McCarthy – verbunden sind, fanden zwischen 1959 und 1969 mehr als zehn Hearings zu Themen rund um privacy und Informationsfreiheit statt, die großen Einfluss so-wohl auf die öffentliche wie die wissenschaftliche Debatte hatten. Die wichtigsten davon waren die Hearings im Repräsentantenhaus „Special Inquiry on Invasion of Privacy“ (1965/66) und „The Computer and the Invasion of Privacy“ (1966), sowie die Hearings im Senat „Invasion of Privacy“ (1965/66), „Right of Privacy Act of 1967“ (1967) und „Computer Privacy“ (1967).
Während ein Unterausschuss des US-Repräsentantenhauses unter der Leitung von Cornelius Gallagher eine Anhörung über den Einsatz von Persönlichkeitstest in Arbeitsverhältnissen und deren Auswirkungen auf die privacy durchführte – die „Special Inquiry on Invasion of Privacy“ –, kam ein Report über Vorschläge für die Einrichtung eines „National Data Center“ an die Öffentlichkeit. Obwohl es in dem Report vor allem um eine Darstellung der Vor- und Nachteile zentralisierter statistischer Datensammlungen ging, wobei mögliche Gefahren für die privacy ignoriert wurden, wurde er in der Öffentlichkeit als Vorschlag für eine zentrale Sammlung aller Informationen, die in US-amerikanischen Bundesbehörden anfallen, und deren Weitergabe an öffentliche und private Stellen wahrgenommen und heftig kritisiert. Während der Autor dieses Reports, Edgar Dunn, jr., darauf verweist, dass es ausschließlich darum gehe, ein „statistical information system“ aufzubauen, und solche Systeme deutlich von „intelligence systems“ abgegrenzt wissen will, macht Arthur Miller deutlich, dass vor dem Hintergrund der damals aktuellen und absehbaren Entwicklung der Computertechnik eine scharfe Trennung zwischen „statistical“ und „intelligence systems“ immer weniger möglich werde und dass selbst harmlose „statistical systems“ gleichzeitig als „foot in the door“ für weitergehende Systeme wirken könnten. Unter vielen stark Computer-fixierten Forderungen zum Schutz der privacy, die auch von anderen zeitgenössischen Autorinnen und Autoren vertreten wurden, sticht seine Forderung nach der Einführung eines jährlichen Datenbriefes heraus. Das „National Data Center“ wurde dabei vor allem deshalb zentraler Anknüpfungspunkt der politischen privacy-Debatte, weil die Verantwortlichen sich schlicht weigerten, angemessen auf die Fragen und Bedenken einer bereits kritischen Öffentlichkeit einzugehen.
Die ersten Ansätze für Anforderungen an technische Systeme selbst wurden 1965 von Paul Baran formuliert. Ausgehend von der Annahme, dass viele privacy-Probleme erst durch moderne technische Entwicklungen entstanden seien, müssten diese auch „effective safeguards“ zur Verfügung stellen. Baran formuliert einige grundlegende Prinzipien, von denen einige auch heute noch Gültigkeit verlangen können: eine fundierte und realistische Risikoabschätzung, ein Bewusstsein für ständig komplexer werdende Systeme, die Einbeziehung von „safeguards“ schon in das Systemdesign, ein gesetzliches Verbot „schwacher“ Systeme und die Akzeptanz der damit einhergehenden Kosten. Letztere sieht Baran aber als notwendig an – „a price to society for the privilege of building a potentially dangerous system.“ Baran behauptet auch, dass Entwicklerinnen besser nicht auf die Hilfe von Juristinnen hoffen sollten, sondern schlicht auf „gutes Design“ achten müssten. Gesetze allein seien ineffektiv. Daneben schlägt er konkrete „safeguards“ vor: Kommunikations- und Datenverschlüsselung, externes Auditing, Monitoring „abnormaler“ Informationszugriffe, Zugriffsprotokollierung sowie internes Auditing. Er weist auch darauf hin, dass für die Zukunft damit zu rechnen sei, dass bisher unverbundene Systeme zusammengeschlossen werden. Darauf müsse sich frühzeitig vorbereitet werden, um dann sinnvolle Regelungen aufstellen und umsetzen zu können.
Mit der Zunahme populärwissenschaftlicher, aber auch populistischer Abhandlungen über privacy und einer steigenden öffentlichen Aufmerksamkeit, die sich auch in zunehmenden gerichtlichen Verfahren niederschlug, sei immer deutlicher geworden, dass privacy in erster Linie ein außerrechtliches Konzept geblieben sei, das der Rechtswissenschaft erst tiefgehend erschlossen werden müsse – eine Aufgabe, der sich die Zeitschrift „Law and Contemporary Problems“ mit einer Sonderausgabe stelle. Ein grundlegender Kritikpunkt bezieht sich auf den Begriff privacy selbst: Er sei negativ besetzt und impliziere einen Rückzug aus der Gesellschaft, während es doch auch und gerade darum gehe, das Agieren in der Öffentlichkeit selbst zu schützen. Edward Shils hingegen beschreibt privacy als „zero-relationship“, als Abwesenheit von Interaktion, Kommunikation und Wahrnehmung in einer sozialen Umgebung, in der diese aber grundsätzlich möglich sind. Privacy sei damit Isolation aus freien Stücken. Shils ist auch einer der ersten, die privacy mit dem Informationsfluss in Verbindung bringen: „Privacy in one of its aspects may therefore be defined as the existence of a boundary through which information does not flow from the persons who possess it to others.“ Die Information müsse sich dabei allerdings auf ein Ereignis aus der Privatsphäre beziehen, nur dann könne das Individuum oder die Gruppe darüber Kontrolle ausüben. Privacy sei dann der „social space“ um ein Individuum herum, der dem Individuum wegen dessen Individualität gehöre. Auf diese Kontrollierbarkeit stellt auch Kenneth Karst ab, wenn er von „selective disclosure“ spricht. Während er Probleme wie die tendenziell fehlende Zweckbindung zwar durchaus anspricht, expliziert er nur zwei Forderungen: Zugangsbeschränkungen zu personenbezogenen Daten und Garantie ihrer Vollständigkeit und Korrektheit. Karst formuliert auch eine der ersten Kritiken am Ersatz einer fundierten Erforderlichkeitsprüfung als Voraussetzung einer Veröffentlichung durch die Fiktion der Einwilligung.
Zu den wichtigsten Theoretikern der ersten Stunde der modernen privacy-Debatte gehört zweifellos Alan Westin, der 1966 mit zwei Artikeln und einem darauf aufbauenden Buch, das 1967 erschien, und dessen privacy-Konzeption bis heute prägend ist. Insbesondere seine allgemeine, in „Privacy and Freedom“ ausgeführte, privacy-Definition wird ausgiebig zitiert:
„Privacy is the claim of individuals, groups, or institutions to determine for them-selves when, how, and to what extent information about them is communicated to others.“
Westin unterscheidet drei Kategorien von Eingriffen in die privacy:
[. . . ] physical surveillance, the observation without his knowledge or consent of a per-son’s location, acts, speech, or private records through listening or watching devices; data surveillance, the collection, storage, exchange, and integration of comprehensi-ve documentary information about individuals and groups through computers and other data-processing systems; and psychological surveillance, the use of mental tes-ting, drugs, emotion-measuring devices, and other processes to extract information which the individual does not know he is revealing, reveals unwillingly, or discloses without full awareness of the exposure of his private personality.
Alle drei Eingriffskategorien – physical surveillance, data surveillance und psychological surveil-lance – sind grundsätzlich auch heute noch relevant, wenn auch jeweils nicht in der gleichen Form wie in der Zeit Westins. Für die Ausweitung der data surveillance, die hier im Vorder-grund stehen soll, macht Westin vier zentrale Entwicklungen verantwortlich: erstens die dramatische Ausweitung des Sammelns und Speicherns von Informationen auch unabhängig von der Computerentwicklung, zweitens die Durchsetzung des Computers, die es öffentlichen und nicht-öffentlichen Organisationen ermöglicht habe, die gespeicherten Informationen effektiver und schneller zu nutzen, drittens die Ausweitung des Informationsaustausches zwischen diesen Organisationen und viertens die absehbare Ersetzung des Bargelds durch elektronisches Geld mit Online-Banking und E-Business. Absehbar sei deshalb das Entstehen vollständiger und zentralisierter elektronischer Identitäten – eines „master computer dossier“ – auf der Basis von Personenkennziffern. Westin untersucht die Funktionen, die privacy in einer demokratischen Gesellschaft hat. Auf der Ebene des politischen Systems dient privacy dabei als Abwehr gegen totalitäre Tendenzen des Staates:
„a balance that insures strong citadels of individual and group privacy and limits both disclosure and surveillance is a prerequisite for liberal democratic societies. The democratic society relies on publicity as a control of government and privacy as a shield for group and individual life.“
In Interaktionssystemen gebe es vier Arten von privacy-Zuständen: solitude, intimacy, anonymity und reserve, die zusammen vier Funktionen erfüllen: personal autonomy, emotional release, self-evaluation und limited and protected communication. Westins Autonomie- und Individualitätskonzeption basiert dabei auf einem Sphärenmodell, dass er aus der Mikrosoziologie – so zitiert er etwa Georg Simmel, Robert Ezra Park und Erving Goffman – übernimmt. Westin schlussfolgert: „But privacy is neither a self-sufficient state nor an end in itself, even for the hermit and the recluse. It is basically an instrument for achieving individual goals of self-realization.“ Nicht nur Individuen, sondern auch Organisationen hätten ein Interesse an privacy, die dort die grundlegend gleichen Funktionen erfüllten. Auch bei der Betrachtung der Funktionen, die der jeweilige privacy-Eingriff spielt, trennt Westin konsequent zwischen Interaktions- und Funktionssystemen – auch wenn er sie nicht so bezeichnet – und unterscheidet sich damit stark von den meisten der ihm Folgenden. Zur Abwägung zwischen den beteiligten Interessen disclosure und surveillance auf der einen und privacy auf der anderen Seite schlägt Westin einen fünfschrittigen Prozess vor. In einem ersten Schritt müsse die Ernsthaftigkeit des Überwachungsbedürfnisses gemessen und im zweiten Schritt die Erforderlichkeit der Mittel geprüft werden. Im dritten Schritt müsse festgelegt werden, welche Anforderungen an die Geeignetheit und Zuverlässigkeit der Mittel zu stellen seien. Dann müsse in einem vierten Schritt geprüft werden, ob eine – grundsätzlich vorherige und informierte – zweckgerichtete Einwilligung eingeholt werden könne, wobei insbesondere die Freiwilligkeit sichergestellt werden müsse. Für implizite Einwilligungen müssten besondere Anforderungen gelten. Im fünften und letzten Schritt müssten Bedingungen und Grenzen der Datenverarbeitung geregelt werden. Dazu gehöre die Frage, wer erheben oder speichern dürfe, welche Datenmenge erhoben werden dürfe und wie lange die Daten gespeichert werden dürfen. Außerdem müsse es eine unabhängige Aufsichts- und Prüfbehörde geben, die den Betroffenen Rechtsschutz garantieren könne. Zuletzt seien Regeln für Datenweitergabe und -nutzung festzulegen.
Westin stellt fest, dass die von ihm geforderten technischen Maßnahmen – etwa Zugriffsbeschränkungen, Verschlüsselung oder Protokollierungssysteme in den drei Systemteilen Eingabe, Speicherung, Ausgabe – nur eine Hälfte aller erforderlichen Schutzmaßnahmen darstellen könnten. Die andere Hälfte bestehe aus passenden ethischen und rechtlichen Regelungen. So schlägt er vor, personenbezogene Daten („personal information“) rechtlich als Eigentumsrecht zu werten und damit dem gleichen Schutz zu unterwerfen, den das Eigentum in den USA hat. Damit sollten Haftungsregeln einhergehen: der Zwang zur Einhaltung rechtstaatlicher Prinzipien bei der Nutzung von Daten, das Recht informiert zu werden, wenn die Daten in zentralen Datenbanken gespeichert würden, Auskunfts- und Widerspruchsrechte.
Nach der Rechtswissenschaft machte 1967 auch die Computer Science das privacy-Problem zum Thema einer wissenschaftlichen Konferenz, der Spring Joint Computer Conference. Im Gegensatz zu Westins auch heute durchaus noch tauglicher Definition von privacy war die von den anwesenden Informatikern präsentierte schon damals schlicht absurd: Während security dem Schutz von Militärgeheimnissen diene, diene privacy dem Schutz von Privatgeheimnissen. Trotzdem blieb dieses „privacy as confidentiality“-Paradigma in der Informatik jahrzehntelang wirkmächtig. Insbesondere erklärt sich damit der langjährige Forschungsfokus auf Zutritts-, Zugangs- und Zugriffskontrollsystemen, Protokollierungsmechanismen, Übertragungsverschlüsselung und Anonymisierungstechniken – die security-Forschung war offenkundig auf der Suche nach einem von ihr und mit ihren Mitteln lösbaren Problem und fand es fälschlicherweise in der privacy.
Es gab allerdings nicht nur solche, für die weitere Entwicklung privacy- und datenschutzfreund-licher Technik wenig hilfreichen Wortmeldungen. Baran wies bereits Ende der sechziger Jahre darauf hin, dass es in Zukunft billiger sein würde, Daten zeitlich unbeschränkt aufzubewahren und dafür immer wieder neue Speichermedien zu kaufen, als sie aus Datenverarbeitungsanlagen zu löschen. Unabhängig von einem Verlust zukünftiger Datenverwendungsmöglichkeiten für die Datenverarbeiter ist eine Löschpflicht demnach schon seit dieser Zeit eine der Technik zu oktroyierende Anforderung, die der technischen Entwicklung und der daraus folgenden Preisent-wicklung widerspricht. Auch die Folgen, die sich aus der beliebigen Verkettbarkeit existierender personenbezogener Informationen ergeben, die jeweils einzeln – also: unverkettet – aus privacy-Sicht unproblematisch sein mögen, werden schon Ende der sechziger Jahre problematisiert.
Der zweite herausragende privacy-Theoretiker neben Alan Westin Ende der sechziger Jahre war Arthur Miller, der in seinem für die privacy-Debatte zentralen Werk die Folgen des Computers als dem zentralen Medium der Informationsgesellschaft für die privacy des Individuums analysiert:
The assumption throughout is that the computer is not simply a sophisticated indexing machine, a miniaturized library, or an electronic abacus; it is the keystone of a new communications medium that eventually will have global dimensions.
Aus der Sicht des Individuums liege das zentrale Problem im Verlust der Kontrolle über die sie betreffenden Informationen und ihre Verbreitung – „deprivation of access control“– sowie über deren faktische und kontextuelle Korrektheit – „deprivation of accuracy control“. Gesellschaftlich bestehe das Problem der Entwicklung hin zu einem Überwachungsstaat:
As might be expected, the proponents of these pervasively intrusive systems assert that they will be used only for »ethical« and »benevolent« purposes; but the enormous potential for abuse inherent in surveillance procedures of this type makes one wonder whether the assurances of these advocates are sufficient protection.
Miller weist auch darauf hin, dass sich die Sensitivität von Informationen nicht aus den Informationen selbst ableiten lässt – sie ist also keine intrinsische Eigenschaft –, sondern variiert nach den Umständen von Datenverarbeitung und Datenweitergabe sowie den beteiligten Organisationen. Zur Sicherstellung der privacy schlägt Miller neben sicherheitstechnischen Mechanismen wie Zugriffskontrollen, zertifizierter Software und organisatorischen Sicherheitsmaßnahmen auch explizite privacy-Maßnahmen vor, da Technik allein privacy nicht garantieren könne. Der aus Millers Sicht wichtigste Grundsatz ist jedoch die Datensparsamkeit: „a regulatory scheme that focuses on the end use of the data by governmental or private systems might be a case of too little, too late.“ Vorschläge wie die Gewährung von Eigentumsrech-ten oder eigentumsähnlichen Rechten an die Betroffenen, wie etwa von Westin vertreten, lehnt Miller wegen fehlender Vereinbarkeit mit den durch privacy zu schützenden Werten ab. Statt-dessen schlägt er ein Verbot mit Erlaubnisvorbehalt vor, wie es heute auch im deutschen und europäischen Datenschutzrecht gilt.
Zwei Jahre nach seinem auf die wissenschaftliche Debatte zielenden Beitrag publiziert er mit dem Buch „The Assault on Privacy“ ein eher populärwissenschaftliches Werk, dessen Verdienst vor allem darin besteht, die politischen Hintergründe zu beleuchten. So beschreibt er ausführlich, wie Menschen und Gruppen in den USA von verschiedenen staatlichen Organisationen überwacht werden. Betroffen sind dabei vor allem politische Gruppen, die sich kritisch zum Vietnamkrieg, zur Rassentrennung oder zum Umgang mit politischen Freiheitsrechten äußern. Miller beschreibt den Widerstand gegen das Nationale Datenzentrum als gegen eine in privacy-Fragen völlig ignorante – und somit angreifbare – Gruppe von Fürsprecherinnen. Die Ignoranz in Datenschutzfragen, das Bestehen auf einer Unterscheidung zwischen statistical und intelligence data auch gegen kritische Nachfragen und – ganz allgemein – die Nichtreaktion auf die Befürchtungen von Interessierten: Dies alles war wie ein Tropfen, der ein Fass zum Überlaufen brachte. Den Sieg über das Nationale Datenzentrum bezeichnet Miller als Pyrrhussieg: Mit dem Wegfall des Datenzentrums falle auch die Möglichkeit einer föderalen Regulierung der privacy weg. Langfristig hat Miller für die USA damit Recht behalten.
Neben staatlichen Datensammlungen betrachtet Miller die privatwirtschaftliche Erhebung und Nutzung von personenbezogenen Daten als zweiten großen Problembereich für die privacy und dabei insbesondere das Kredit- und Kreditauskunftsgeschäft. Der 1969 beschlossene Fair Credit Reporting Act wird von Miller ausführlich kritisiert. Das Gesetz würde kein einziges seiner erklärten Ziele erreichen, es sei eher ein Schutzgesetz für Kreditauskunfteien gegen von Daten-missbrauch Betroffene.
Miller verweist darauf, dass Computersysteme speichern könnten, aus welchen Quellen Daten ursprünglich stammten, d. h. welche Stelle die Daten weitergegeben hat. Damit könne auch weitergegeben werden, welchen spezifischen rechtlichen Regelungen diese Daten unterliegen. Miller stellt verschiedene Möglichkeiten vor, wie das amerikanische Recht das Problem der privacy angehen könnte. Zuerst wendet er sich der Theorie zu, die vorschlägt, das right of privacy als Eigentumsrecht zu fassen. Der Ansatz werde von Westin und Shils vertreten, sei aber schon von Warren und Brandeis als unsinnig abgelehnt worden. Es gehe grundsätzlich nicht um ökonomische, sondern um urpersönliche Interessen, sowie individuelle, menschliche Werte und emotionale Zustände. Die Verantwortung für den Schutz der Interessen würde einseitig auf die Betroffene verlagert, anstatt dass klare Pflichten oder Beschränkungen für die datenverarbeitenden Stellen aufgestellt würden. Eine zweite Meinung will personenbezogene Daten an Informationstreuhänder übertragen, die die Daten gemäß einem Treuhandvertrag verwalten und eine vertragskonforme Nutzung garantieren. Miller weist darauf hin, dass dieses Modell keinen allgemeinen Missbrauchsschutz biete, sondern beschränkt sei auf diejenigen Stellen, die sich für die Nutzung der Daten den Regeln des Treuhänders unterwerfen. Auch werde dabei die Datenerhebung völlig unreguliert gelassen. Gleiches gelte für gewährleistungsrechtliche Ansätze. Miller verweist hier darauf, dass mit der Gewährleistung etwa die Korrektheit der Daten zugesichert werden solle, und kritisiert diese Herangehensweise, weil das schon durch das law of defamation getan werde. Auch die Anlehnung der privacy an das Recht der Vertraulichkeit und Geheimhaltungsverpflichtungen lehnt er ab.
Miller wendet sich aus praktischen Erwägungen gegen eine komplexe und gleichzeitig kleinteilige – und technikzentrierte – Regulierung und plädiert stattdessen für einen weniger ambitionierten Ansatz eines „general standard of care to be followed by data handlers“. Eine solche gesetzliche Regelung müsse sowohl öffentliche als auch private Datenverarbeitung umfassen.
Auch M. G. Stone und Malcolm Warner betrachten privacy ausschließlich im Verhältnis zwischen Individuum und Organisation, für das sie eine Machtimbalance statuieren, die durch den Einsatz von Computern zunehmen werde: „More information, more rational judgments. Better data, better decisions. More facts, more power.“ Es gehe dabei nicht um eine Kontrolle des Menschen durch den Computer, sondern um den Machtzuwachs der Organisation, die die Computer einsetze. „The computer has given bureaucracy the gift of omniscience, if not omnipotence, by putting into its hands the power to know. No fact unrecorded, nothing forgotten nor lost, nothing forgiven.“ Es gelte zu verhindern, dass eine „infrastructure of tyranny“ entstehe. Dazu müsse insbesondere auch sichergestellt werden, dass die Informationen nicht verkettet werden:
It is important that information relating to criteria by which the claims of citizens could be judged is kept unintegrated. Honesty should be presumend, as it is now, in each sphere of the person’s relations with the State, unless there is specific evidence to the contrary—just as in law innocence is the primary presumption in all cases. When records are integrated, the picture could be changed.
Wie Westin und Miller erweiterten auch Stone und Warner ihre Ausarbeitung zu einem Buch, das sie 1970 unter dem Titel „The Data Bank Society“ publizierten. Darin bezeichneten sie das Verhalten von Organisationen bzgl. der Informationsverarbeitung als Spezialfall des Parkinson-schen Gesetzes: Je größer die Fähigkeit von Organisationen zur Verarbeitung von Informationen sei, desto mehr Informationen verlange sie. Gespeicherte Fakten würden zur Wahrheit, weil sie gespeichert seien. Und als solche würden sie dann zur Grundlage von Entscheidungen. Sie zitieren Stafford Beer:
„My electronic image in the machine may be more real than I am. It is rounded; it is complete; it is retrievable; it is predictable in statistical terms. . . There is no ambiguity, no loss of history, no rationalization. I am a mess; and I don’t know what to do. The machine knows better – in statistical terms. Thus is my reality less real than my mirror image in the store. That fact diminishes me.“
Es müsse sichergestellt werden, dass „separate files are not integrated, and not cross-referenced, so that data collected for one purpose is never used for any other.“ Außerdem müsse die Gewaltenteilung zwischen lokalen und nationalen Stellen aufrechterhalten werden. Warner und Stone führen auch eine frühe Auseinandersetzung mit Positionen, wie sie heute von der sogenannten post-privacy-Bewegung vertreten werden: Anthony Wedgwood Benn, ein Labour-Politiker,
„points out that only in a world of total information could we take off the fig-leaf which Adam and Eve were compelled to don when they ate of the tree of knowledge, and forgot the fact that people need not hide things about themselves. Against this view, we feel that the citizen should have the option of concealing or revealing personal affairs, whether to others, or the State; and would consider a world of total information probably impossible to achieve anyway or, if possible to achieve, a nightmare.“
Nicht zuletzt sind sie auch nicht verlegen um große Worte:
„»Man was born free, but everywhere he is on tape! Workers of the world unite; you have nothing to lose but your IBM card!« – there is the political slogan for the future.“
Nicht nur, dass die Macht von Organisationen auf Kosten der Individuen zunehmen würde, den Informationssystemen wohne auch eine Tendenz zur Zentralisierung inne, so Jeffrey A. Meldman. Das gelte sowohl für intelligence systems wie für statistical systems, obwohl sie in der öffentlichen Debatte als grundsätzlich verschiedene Systeme wahrgenommen würden, wobei der Unterschied zwischen beiden nur in der Ausgabe liege: beide Systeme speicherten die Daten personenbezogen, aber statistical systems würden nur anonymisierte Daten ausgeben. Meldman hält das nicht für ausreichend und verlangt den Einsatz von Pseudonymisierungstechniken.
Die immer lauter erhobenen Forderungen nach gesetzgeberischen Maßnahmen riefen auch Kritikerinnen auf den Plan, die stattdessen vorschlugen, dass die Industrie Maßnahmen des Gesetzgebers zuvorkommen müsse. Aus kartellrechtlichen Gründen und zur besseren Durchsetzung wurde die Form der regulierten Selbstregulierung vorgeschlagen. Die beiden zentralen Ziele der Selbstregulierung, „that computer systems which handle sensitive individual or proprietary data will meet certain minimum standards established for the protection of privacy“ und „that computer system operators will be able to continue to operate in a competitive economy unhindered by either overly restrictive governmental regulation or the fear of private legal liability“,prägen die Selbstregulierungsdiskussion bis heute. Andererseits war vorgesehen, dass Systeme, die nicht nachweisen können, dass sie die Anforderungen der „industry standards for the protection of privacy and security of data“ erfüllen, nicht betrieben werden dürfen.
Bis zum Ende der sechziger Jahre waren bereits mehr als 600 Arbeiten zum Themenbereich Computer und privacy erschienen. Die meisten davon drehten sich immer um die gleichen Topoi: IT-Sicherheitsmaßnahmen wie access control, Verschlüsselung und Protokollierung sowie die Korrektheit und Vollständigkeit von Informationen. Daneben tauchten aber auch die ersten Vorschläge zur technischen Umsetzung von originären Privacy-Anforderungen auf: Edgar L. Feige und Harold W. Watts lieferten etwa einen ersten Vorschlag für die Anonymisierung von personenbezogenen Informationen in Datenbanksystemen durch Datenaggregation. Alexander W. Astin und Robert F. Boruch schlagen ein manuelles Verfahren zur Sicherstellung der Anonymität in statistischen Datenbanken vor: Zum Schutz sowohl vor staatlichen Herausgabe-ansprüchen als auch vor unzulässiger Einsichtnahme und Weitergabe durch die Betreiber sollen die Informationen von Beginn an nur pseudonymisiert gespeichert werden, während die Zu-ordnungsliste außerhalb der eigenen Jurisdiktion aufbewahrt werde. Dieser „linking service“ solle, so Astin und Boruch, weltweit in einem auf Gegenseitigkeit basierenden System aufgebaut werden.
Während etwa Miller darauf hinwies, dass die Sensitivität von Informationen keine intrinsische Eigenschaft sei, versucht Jon Bing in einer ausführlichen Studie, genau dieses zu belegen und ein passendes Klassifikationsschema zu entwerfen. Tatsächlich bewertet er aber nicht die Sensitivität der Informationen selbst, sondern die Sensitivität ihrer Verarbeitung, weil er versucht, alle Umstände der Informationsverarbeitung in seine „Berechnung“ der Maßzahl einzubeziehen. Am Ende ist seine Liste der einzubeziehenden Faktoren so groß, dass sie keinen Vorteil gegen-über einer „normalen“ Risikoabschätzung der Informationsverarbeitung insgesamt bietet. Vor allem aber wird damit deutlich, dass alle verkürzenden Sensitivitätsangaben untauglich sind.
Lance J. Hoffman und William F. Miller führen 1973 den ersten bekannten erfolgreichen Angriff auf anonymisierte Informationen in statistischen Datenbanken aus und können diese unter Verwendung von Zusatzwissen deanonymisieren. Damit zeigen sie, dass Feige und Watts zu Recht gewarnt hatten, und fordern, dass statistische Datenbanken erstens keine Ergebnisse für sehr kleine Gruppen ausgeben dürften und zweitens eine eingebaute Angriffserkennung besitzen müssten.
Parallel wurden weitere Arbeiten veröffentlicht, die versuchten, das privacy-Problem genauer zu beschreiben und – vor allem rechtliche – Lösungen anzubieten.
Die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) gründete 1968 eine Arbeitsgruppe zur Computernutzung in den OECD-Ländern, die 1970 die Auswirkungen der elektronischen Datenverarbeitung auf die privacy untersuchte. Der Untersuchungsbericht wurde von G. F. B. Niblett erstellt und 1971 veröffentlicht. Niblett hält privacy für das Bedürfnis von Individuen, den Fluss von Informationen über sich selbst zu kontrollieren. Auf der Basis von drei für das privacy-Problem konstitutiven Phasen der Informationsverarbeitung – Erhebung/Sammlung (collection), Auswertung/Nutzung (analysis and evaluation) und Über-mittlung/Weitergabe (transmission) von Daten – versucht er dann, Gefahren zu identifizieren und schlägt mögliche Gegenmaßnahmen vor, wobei er keine neuen Erkenntnisse vermittelt.
Klaus Lenk stellt fest, dass es drei Gruppen gebe, die sich mit öffentlichen Datenbanken beschäftigten – 1. Computerspezialistinnen, 2. Bürgerrechtlerinnen und Datenschützerinnen sowie 3. Politikerinnen und Menschen aus der Verwaltung – und die, trotz teilweise jahrelanger, scharf geführter Diskussion – immer noch keine gemeinsame Sprache sprechen würden. Dies führe zu Unklarheiten und verhindere Lösungen.
„The negative consequences of computerised data banks that contain data which can be related to persons, are commonly described as threats to personal privacy. Yet the concept of privacy is not a very clear one. It largely depends on the different social and legal systems of the countries concerned. To define privacy with regard to government action is equivalent to determining how much and what kind of control of the citizens should be conceded to the government. To a large extend, this means that availability of person-related information considerably facilitates the exercise of power on individuals and thus increases this power. This concerns private power as well as the State [. . . ].“
Die umfassendste Auseinandersetzung Anfang der 1970er Jahre mit der Frage, was privacy eigentlich sei, wurde in einem Tagungsband der American Society for Political and Legal Philosophy niedergelegt. Stanley I. Benn verweist auf drei persönliche Ideale, die im Zentrum der liberalen individualistischen Tradition stünden: „The first is the ideal of personal relations; the second, the Lockian ideal of the politically free man in a minimally regulated society; the third, the Kantian ideal of the morally autonomous man, acting on principles that he accepts as rational.“ Dabei sei gerade das zweite Ideal zentral für die privacy und beschreibe ein Leben, in dem „first, the average individual is subject only within reasonable and legally safeguarded limits of the power of others, and, second, where the requirements of his social roles still leave him considerable breadth of choice in the way he lives.“ Machtbeschränkung und rollenspezifische Freiheiten stünden demnach im Zentrum. Hingegen sieht W. L. Weinstein in der privacy schlicht ein Gegenstück zur Öffentlichkeit. Elizabeth L. Beardsley kritisiert Westins privacy-Konzept als zu kurz gegriffen. Stattdessen müssten zwei Aspekte fundamental unterschieden werden: Autonomie im Sinne einer allgemeinen Handlungsfreiheit auf der einen sowie das Recht auf „selective disclosure“ auf der anderen Seite. M. A. Weinstein betrachtet privacy als einen Zustand des „being-apart-from-others“, d. h. als eine private oder geheime Sphäre. „It is voluntary limitation of communication to or from others for the purpose of undertaking activity in pursuit of a perceived good.“ Carl J. Friedrich erklärt privacy schlicht zu einem Aspekt von secrecy, zur „functional secrecy“. Ernest van den Haag hält privacy für einen „extended part of the person“ und behauptet, dass es am besten als Eigentumsrecht behandelt werden sollte. Privacy ist dann „the exclusive right to dispose of access to one’s proper (private) domain.“ Für Hyman Gross ist privacy notwendig „to maintain an integrated personality in a social setting“. Individuen seien daher immer darauf bedacht zu kontrollieren, wie sie auf andere wirken. Das tiefere Motiv sei dabei „to influence the reactions of others, and this is at the heart of human social accommodation.“ Privacy habe dabei nichts mit Scham zu tun, sondern Scham entstünde auf Seiten des Betroffenen gerade dadurch, dass ihr die Kontrolle darüber entzogen werde, „who else shall know it and what use shall be made of it.“ Paul A. Freund vergleicht das right to privacy mit dem allgemeinen Persönlichkeitsrecht und kommt zu dem Ergebnis, dass beide äquivalent seien, obwohl ersteres seit Prosser als ein mehrere unterschiedliche Rechtsgüter umfassendes Konzept verstanden werde, das allgemeine Persönlichkeitsrecht jedoch als ein holistisches Prinzip.
Im Auftrag der Russell Sage Foundation und des Computer Science and Engineering Board der National Academy of Sciences führten Alan F. Westin und Michael A. Baker zwischen 1970 und 1972 eine großangelegte Untersuchung über die Datenverarbeitung in 55 großen öffentlichen und privaten Organisationen durch: „The Project on Computer Databanks“, deren Ergebnisse 1972 als „Databanks in a Free Society: Computers, Record-Keeping and Privacy“ veröffentlicht wurden. Bei der Untersuchung handelte es sich im wesentlichen um eine Weißwäsche staatlicher und privater Datenverarbeitungs- und Überwachungssysteme. Behauptungen der Organisationen über ihren Umgang mit personenbezogenen Daten wurden nicht hinterfragt, sondern als Tatsachen behandelt. Auf diese Weise war die Untersuchung nicht einmal theoretisch geeignet, Datenschutzverletzungen zu entdecken. Auch wurde etwa der Verkauf personenbezogener Daten aus staatlichen Informationssystemen schlicht deshalb nicht als privacy-Verletzung betrachtet, weil er gesetzlich geregelt sei und weil die Daten als „öffentlich“ deklariert wurden. Die Autoren wollen aus ihren Untersuchungen drei Schlussfolgerungen gezogen sehen:
„First, computer usage has not created the revolutionary new powers of data surveillance predicted by some commentators. [. . . ] Second, computerizations is definitely bringing some important increases in the efficiency of organizational record-keeping. [. . . ] However, even where these increases in efficiency are taking place, organizational policies which affect individual rights are still generally following the precomputer patterns in each field of record-keeping.“
Im Gegensatz dazu untersuchte das Advisory Committee on Automated Personal Data Systems des U.S. Department of Health, Education & Welfare unter Leitung von Willis H. Ware die gesellschaftlichen Auswirkungen des Einsatzes von Computern bei der Verarbeitung personenbezogener Informationen nicht nur auf der Basis von Eigenaussagen der Datenverarbeite-rinnen und kam damit zu gegenteiligen Ergebnissen. Zentraler Untersuchungsgegenstand ist dabei das Verhältnis zwischen Individuen und informationsverarbeitenden Organisationen und die Herausforderungen, die die Datenverarbeitung für die überkommenen rechtlichen und sozialen Kontrollmöglichkeiten gegenüber diesen Organisationen erzeugen würden. Der Report stellt fest,
„that the net effect of computerization is that it is becoming much easier for record-keeping systems to affect people than for people to affect record-keeping systems. Even in non-governmental settings, an individual’s control over the use that is made of personal data he gives to an organization, or that an organization obtains about him, is lessening.“
Aus diesem Grund schlägt der Report die Einführung eines föderalen „Code of Fair Information Practice“ für alle automatisierten Informationssysteme vor, die personenbezogene Daten verarbeiten. Dieser Code basiert auf fünf grundlegenden Prinzipien: 1. keine geheimen Systeme, 2. Auskunftsrecht der Betroffenen, 3. Zweckbindung, 4. Berichtigungsrecht der Betroffenen, 5. Pflicht für Organisationen zu organisatorischen und technischen Schutzmaßnahmen. Dieser verfahrensorientierte Ansatz wurde unter anderem deshalb gewählt, weil er als eine notwendige Folge der Abbildung eines allgemeinen right to privacy auf die Informationsverarbeitung durch Organisationen gesehen wurde: Durch den grundsätzlich von beiden Seiten geteilten Verarbeitungszweck müsse „[p]ersonal privacy, as it relates to personal-data record keeping [. . . ] be understood in terms of a concept of mutuality.“ Daneben werden beispielhaft Fragen an-gegeben, die bei der Gestaltung eines „personal data system“ zu beantworten seien, wie etwa: „How might the same purpose be accomplished without collecting these data?“ Der hier niedergelegte Code bildet die Grundlage des US Privacy Act of 1974.
James B. Rule analysiert das privacy-Problem als Ausprägung und Folge einer zunehmen-den Bürokratisierung: „of large organizations, precise rules and formal criteria for action.“ Anhand der Analyse von fünf modernen Großorganisationen und deren Informationsverarbeitungspraktiken – „systems of mass surveillance and control“ – untersucht er die „changing mechanisms and patterns of social control associated with the growth of increasingly modern social structures“ auf der Basis der soziologischen Theorie Talcott Parsons. Solche Systeme seien charakteristische Produkte der modernen Gesellschaften, die sie hervorgebracht haben. Sie würden vor allem entstehen, wenn fünf Bedingungen erfüllt seien:
„1. When an agency must regularly deal with a clientele too large and anonymous to be kept track of on a basis of face-to-face acquaintance;
2. When these dealings entail the enforcement of rules advantageous to the agency and potentially burdensome to the clientele;
3. When these enforcement activities involve decision-making about how to act to-wards the clientele [. . . ];
4. When the decisions must be made discriminatingly, according to precise details of each person’s past history or present situation;
5. When the agency must associate every client with what it considers the full details of his past history, especially so as to forestall people’s evading the consequences of their past behaviour.“
Die entstehenden Informationssysteme erweiterten die Fähigkeiten der Organisationen, ihre Ziele auch auf Kosten der Betroffenen zu erreichen. Sie seien daher als Systeme der Macht im Sinne Max Webers zu bezeichnen. Die (Wieder-)Herstellung von Gerechtigkeit im Sinne eines gerechten Interessenausgleichs zwischen der bürokratischen Organisation auf der einen sowie dem Individuum und der Gesellschaft auf der anderen Seite erfordere dabei „control and hence standardization of data processes.“
Irwin Altman, dessen sozialpsychologische Theorien auch heute noch und vor allem sachlich falsch angewandt werden, definiert privacy als Prozess der „interpersonal boundary regulation“, „by which a person (or group) makes himself more or less accessible and open to others“ und als „selective control of access to the self or to one’s group.“ Dabei betrachtet er aber ausschließlich sehr kleine soziale Einheiten, „which can include the family, a pair of people, or other small social groups.“ Umfassend stellt Altman dann die Mechanismen dar, mit denen Individuen diesen Regulierungsprozess steuern würden.
Mitte der siebziger Jahre wurden auch von den Informatikerinnen die ersten sinnvollen Abgrenzungen zwischen privacy und security vorgenommen. So stellen Rein Turn und Willis H. Ware fest, dass privacy auf die Rechte des Individuums verweise, während confidentiality „im-plies that the data themselves and the information they contain must be protected, and that their use must be confined to authorized purposes by authorized people.“
Jörg Pohle; Humboldt-Universität zu Berlin; 2019
Open-Access-Erklärung: https://edoc-info.hu-berlin.de/de/nutzung/oa_hu
https://edoc.hu-berlin.de/handle/18452/19886
Zur leichteren Lesbarkeit wurden die Quellenverweise entfernt. Bei Interesse finden Sie sie im obigen Link.
Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO.
Swiss Infosec AG; 28.05.2021
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch