2.5 Ubiquitär, mobil, multi-medial – das Internet und der „neue“ Datenschutz
Im Mittelpunkt der juristischen Debatte zwischen Anfang der 1990er und Anfang der 2000er Jahre – bis dann circa 2002 oder 2003 die Anschläge vom 11. September 2001 und deren Folgen der Diskussion ihren Stempel aufdrücken – steht die EG-Datenschutzrichtlinie 95/46/EG – erst in Begleitung ihrer schweren Geburt, dann zu ihrer Auslegung und ihrer Umsetzung in nationales Recht und am Ende dazu, ob die jeweiligen nationalen Regelungen akzeptable Umsetzungen der Richtlinie sind und ob die Richtlinie vor dem Hintergrund der gesellschaftlichen Durchsetzung des Internets nicht wieder grundlegend überarbeitet werden müsste. Insbesondere der letzte Teil kann dabei auf die Ergebnisse einer auch in den Rechtswissenschaften gegen Ende der 1990er Jahre breiter werdenden Debatte über die Folgen des Internets für privacy und Datenschutz zurückgreifen. Insgesamt kommt es zu einem Wechsel des Leitbildes des Datenschutzes in der breiten Debatte: Die Zukunft liege in einem Datenschutz durch Technik.
Grundlegend neue Ansätze zur Problemanalyse, zur Problemlösung und zur Operationalisierung der Problemlösung werden in der Diskussion jedoch nicht vorgebracht. Am deutlichsten wird dies gerade in der EG-Datenschutzrichtlinie, die ein kruder Mix – ein „Flickwerk“ – aus zwei Regelungsarchitekturen ist, die auf einander fundamental widersprechenden Grundannahmen aufbauen: der französische Ansatz der Abstufung von Anforderungen nach einer „Sensitivität“ von Informationen und der bundesdeutsche Ansatz basierend auf der Annahme, dass „Sensitivität“ keine Eigenschaft von Informationen ist. Aber auch Simitis’ wenig informiert, aber dafür umso pathetischer vorgetragene Behauptung, „[z]ur Debatte stehen erneut »Notwendigkeit und Grenzen des Schutzes personenbezogener Daten« – nicht mehr und nicht weniger“, zeigt, wie sehr sich die Debatte im Kreis dreht und wie immer wieder längst überwunden geglaubte Fehlvorstellungen reproduziert werden – und wie sehr diese vor allem durch die Gleichsetzung von Datenschutz und Datenschutzrecht bzw. Datenschutzgesetzen hervorgerufen oder aufrechterhalten werden, etwa wenn Simitis behauptet, „Datenschutz und Informations-technologie sind untrennbar miteinander verbunden“, und damit die weitgehende Ablösung der „dinosaurienhaften [sic!] Computer der 70er Jahre“ durch PCs meint. Was für einzelne – oder viele – Regelungen des Datenschutzrechts korrekt ist, ist es weder zwangsläufig auch für den Datenschutz als solchen noch für die rechtliche Regelungsarchitektur, und so geht auch Simitis’ Schlussfolgerung einer freudigen Fixierung auf in Technik umgesetzte IT-Sicherheitsmaßnahmen
– denn fast nichts anderes führt Simitis beispielhaft an – am Problem vorbei: Es geht bei ihm im Grunde nur darum, „den Betroffenen die Entscheidungsmacht über die Preisgabe ihrer Anonymität wiederzugeben.“
2.5.1 Die „neuen“ Gefahren
Die Gefahren, die in der Debatte in den 1990er Jahren als neu oder zumindest wesentlich gesteigert identifiziert werden, decken einen weiten Bereich ab. Sie reichen von der zunehmenden Überwachung am Arbeitsplatz über die Möglichkeit der Erstellung von feingranularen Bewegungsprofilen, der Verarbeitung von Gendaten und der Entscheidung über Individuen auf der Basis von Gruppenprofilen bis zu vermeintlich ausgewachsenen Techniken der politischen Kon-trolle.
Im Mittelpunkt der Diskussion steht jedoch das Internet, bei dessen Nutzung Menschen Unmengen von Spuren hinterlassen, die gespeichert, verarbeitet und genutzt werden können und werden. Allzuoft weist dabei allerdings die Beschreibung der – wahrgenommenen – Realität im Netz sowohl hinsichtlich der technischen wie der sozialen Verhältnisse auf eklatante Fehlverständnisse, Fehlannahmen oder Fehlvorhersagen über die zukünftige Entwicklung hin. Dennoch werden daraus kühne Forderungen abgeleitet, vor allem zur Technikgestaltung und zum Technikeinsatz. Vor allem jedoch beginnt mit der Diskussion über Internet-bezogene Gefahren für privacy und Datenschutz eine Entwicklung zu einer zunehmenden Verengung der Perspektive: Während in der sonst durchaus vergleichbaren Debatte über „offene“ Netze in den 1980er Jahren noch die grundlegenden Eigenschaften offener Netze zum Gegenstand der Analyse gemacht wurde, verschiebt sich der Fokus der Debatte seit den 1990er Jahren immer mehr auf einzelne Teilaspekte und sogar einzelne Datenschnipsel – ob Cookies, Browserkennungen oder installierte Schriftarten. Auch kommt es zu einer extremen Zunahme an Wiederholungen in der Debatte, indem etwa alle allgemeinen Gefahren für privacy und Datenschutz, die im Zusammenhang mit dem System oder der Plattform S1 diskutiert werden, nach dessen Ablösung durch das System oder die Plattform S2 – und nachfolgend auch für S3 bis Sn – als „neu“ diskutiert werden; so wird „Privacy bei Myspace“ einfach abgelöst durch „Privacy bei Facebook“. Und mit der zunehmenden Verbreitung des Internets werden auch nicht mehr – nur oder vorwiegend – Organisationen als Angreiferinnen betrachtet – wenn auch zumeist unter Rückgriff auf Theorien, die sich auf die Betrachtung interpersonaler Beziehungen beschränken –, sondern vermehrt auch Personen. Vor allem die Organisationen als Datenverarbeiterinnen profitieren von diesem Perspektivwechsel, die dadurch im Diskurs unsichtbar werden oder sich gar – in Verdrehung der realen Interessenkonstellationen und Machtverhältnisse – als „privacy guardians“ ihrer Nutzerinnen gerieren können. Während die Kommodifizierung individueller Aktivitäten im Internet in der Debatte relativ breit problematisiert wurde, bleibt die Kommodifizierung sozialer Beziehungen im Netz lange Zeit eher unbeachtet.
2.5.2 Zum Verhältnis von Technik und Recht, oder: Zum falschen Traum von „code is law“
Die Debatte zum Verhältnis von Technik und Recht im privacy– und Datenschutzbereich und dazu, ob, inwieweit und in welcher Art und Weise rechtliche Anforderungen in informationstechnischen Systemen und Informationsverarbeitungsprozessen und mit Hilfe welcher Regelungsregime umgesetzt werden können, oszilliert zwischen zwei Polen: einerseits dem Verhältnis von Technik und Recht im Allgemeinen oder Abstrakten – unter anderem mit dem falschen, aber vielzitierten „code is law“ (Larry Lessig) – und andererseits dem Verhältnis von konkreten privacy– und datenschutzrechtlichen Regelungen zur Technik. Von dieser stark juristisch dominierten Debatte getrennt werden in einem vorwiegend informatisch geprägten Umfeld konkrete technische Ansätze sowie Analyse- und Entwicklungsmethoden diskutiert – von „Privacy Impact Assessment“ über „Privacy by Design“ bis hin zu „Sticky Policies“ –, deren Verhältnis zum Recht oft unbestimmt bleibt und die dennoch nicht selten als „silver bullets“ verkauft werden.
Dabei fällt schon zu Beginn auf, dass die Beteiligten dieser Debatte in den 1990ern ihre Erkenntnis, dass Technik das Verhalten ihrer Anwenderinnen regeln würde, für eine neue Erkenntnis halten. Weitverbreitet ist auch ein sehr beschränktes Verständnis der jeweiligen gesellschaftlichen Probleme, etwa des privacy-Problems, in der Art, dass sie durch die jeweils ziemlich banalen technischen Mechanismen, die als Beispiele angeführt werden, gelöst werden können. Hinzu kommt ein sehr oberflächliches Verständnis von Technik, indem etwa behauptet wird, das Netzwerk könne Eigenschaften garantieren, die in der Realität jedoch technisch ausschließlich in den Endgeräten umgesetzt werden, oder es werden der Technik Eigenschaften unterstellt, die sie nicht hat. Damit zerfällt jedoch auch das zentrale Argument, nach dem „Lex Informatica“ „automated and self-executing rule enforcement“ erlaube – was immer Technik durchsetzen könne, sie kann sich nicht selbst einsetzen und in den meisten Fällen ihren Einsatz gerade auch nicht erzwingen. Das komplette Fehlen einer Auseinandersetzung mit Organisationen und ihrem Technikgebrauch lässt darum auch sowohl Reidenberg wie Lessig übersehen, dass Recht Technikgebrauch steuern kann, ohne dies notwendig in Form einer Technikregulierung tun zu müssen. Noch schwerwiegender jedoch ist der Mangel an einer Auseinandersetzung mit den offensichtlichen Problemen, etwa wenn zur Norm wird, was in Technik umgesetzt wird, indem es in Technik umgesetzt wird, jedoch dabei die Rechte der Betroffenen beschnitten werden.
Auch die stark juristisch geprägte Diskussion zum Einfluss des Datenschutzrechts auf die Technik wie auch auf ihre Gestaltung nimmt immer wieder Bezug auf konkrete technische Systeme, ohne dass darüber reflektiert wird, in welchem Verhältnis das von der Technik „gelöste“ Problem zu dem Problem steht, das das Recht zu lösen versucht. So überrascht es kaum, dass Konflikte zwischen den Interessen der Datenverarbeiterinnen und denen der Betroffenen in einer Form als ausbalancierbar betrachtet werden, die die Grundentscheidung des Datenschutzrechts, den Schutz der Betroffenen in den Vordergrund zu stellen, strukturell unterminiert, ohne dass die Rechtswissenschaft darauf reagiert.
Einer der Pfeiler dieses neuen Verhältnisses zwischen Datenschutzrecht und Technik ist die Forderung nach einem „technischen Selbstschutz“, der – zusammen mit einer Selbstregulierung der Datenverarbeiterinnen – an die Stelle einer rechtlichen Regulierung der Datenverarbeitung durch verantwortliche Stellen treten soll. Dieser technische Selbstschutz, der auch als „Selbstdatenschutz“ bezeichnet wird, legt die Verantwortung für den Grundrechtsschutz in die Hand der Betroffenen und entspricht damit durchaus dem neoliberalen Gesellschaftsverständnis. Damit einher geht eine mindestens teilweise Neudefinition der Rolle der Datenschutzaufsichtsbehörden: Zwar sollen sie noch immer Aufsicht über Datenverarbeiterinnen ausüben, wenn auch durchaus eher als Mitgestalterinnen von Technik und nicht nur zu deren nachträglicher Kontrolle, zugleich aber solle sich der Schwerpunkt ihrer Arbeit auf die Überzeugung der Betroffenen von der Notwendigkeit eines Selbstschutzes verschieben. Diese Reorientierung der Datenschutzaufsicht erinnert fatal an eine Krankenhausaufsicht, als deren Aufgabe definiert wird, den Patientinnen zu kommunizieren „Werdet nicht krank!“
Zur Frage, wie das Recht gestaltet werden müsse, um erfolgreich auf die Gestaltung der Technik Einfluss nehmen zu können, wird von der juristischen Debatte wenig Neues vorgelegt. Stattdessen wird vor allem auf bereits bestehende Gestaltungsansätze rekurriert, etwa den von provet vorgestellten, während sich beim Recht auf die allgemeinen Gestaltungsvorgaben verlassen wird. Und während große Einigkeit darüber besteht, dass Datenschutzbeauftragte Einfluss auf die Technikgestaltung nehmen sollen, bleibt die Debatte um die Frage des Wie ausgesprochen wolkig: Datenschutzbeauftragte sollen Entwicklerinnen „unterstützen“, etwa durch „Vorschläge für Standardkonfigurationen“, indem Entwicklerinnen „ihre Konzepte und Vorstellungen über Detaillösungen“ den Datenschutzbeauftragten zur Diskussion stellen und von diesen „Hinweise und Empfehlungen zur datenschutzgerechten Gestaltung“ bekommen oder durch „»projektbezogene Dreiecke« zwischen Herstellern und Anbietern aus der Wirtschaft einerseits, dem institutionalisierten Datenschutz andererseits sowie drittens der Wissenschaft“.
2.5.3 Modernisierung des Datenschutzrechts
Die EG-Datenschutzrichtlinie soll nach Art. 1 Abs. 1 „den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten“ gewährleisten. Sie geht damit in ihrer Zieldefinition, wenn auch nicht in der Umsetzung in den konkreten Regelungen, von einem relativ breiten Verständnis von Datenschutz aus. Im Gegensatz dazu beschränkt sich das Bundesdatenschutz seit 1990 nach § 1 Abs. 1 darauf, „den einzelnen davor zu schützen, daß er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“
Im Zuge der Debatte um die Umsetzung der europäischen Vorgaben in nationales Recht und der allgemeinen Modernisierung des deutschen Datenschutzrechts wird eine Vielzahl an Regelungsansätzen und -mechanismen diskutiert – eine Wiederbelebung veralteter Konzepte wie der Sphärentheorie, die Forderung nach Rehabilitation der Generalklauseln und andererseits ihrer Ablösung oder die Forderung nach einer Abschaffung vieler formaler Pflichten der Datenverarbeiterinnen, etwa die Aufklärungs- und Unterrichtungspflichten, unter anderem wegen der „Papier- und Portoverschwendung“. Die Uninformiertheit der Debatte zeigt sich jedoch nicht nur im Verweis auf das „Porto-Problem“, sondern vor allem auch in der Fehlanalyse technischer und gesellschaftlicher Verhältnisse. Thilo Weichert glaubt, „[i]n Netzen, etwa im Internet, [seien] alle gleich“, für Bull ist es „schwer vorstellbar, wie [ein Geheimdienst] ohne gezielte, für den besonderen Zweck organisierte Informationssuche an wirklich relevante Persönlichkeitsdaten herankommen soll“, denn „sehr persönliche Lebensumstände“ gebe „niemand in einen Computer oder das Internet ein“, und Wolfgang Hoffmann-Riem glaubt, dass „Vorkehrungen zur sparsamen Datenerhebung“ „Elemente eines Selbstschutzes“ seien. Und wenn Christoph Gusy dem Datenschutzrecht das Paradigma eines „Schutz[es] vor Kommunikation“ unterstellt und dem das Ziel eines „Schutz[es] der Kommunikation“ gegenüberstellt, dann ist das nicht nur historisch falsch, denn Datenschutzrecht dient Schutz in der Kommunikation, sondern markiert zugleich eine Umdefinition der Angreiferin: Im Falle eines Schutzes vor oder in Kommunikation wird (mindestens auch) die Kommunikationspartnerin als Angreifern identifiziert, im Falle eines Schutzes der Kommunikation wird die Angreiferin als Außenstehende verortet, womit jedoch in vermachteten Verhältnissen die Angreiferinnenposition der Organisation einfach wegdefiniert wird.
Nachdem Anfang 2001 unter großem Zeitdruck vor dem Hintergrund eines von der EG-Kommission eingeleiteten Vertragsverletzungsverfahrens wegen der verspäteten Umsetzung der EG-Datenschutzrichtlinie in nationales Recht ein neues Bundesdatenschutzgesetz beschlossen wurde und in Kraft trat, das jedoch der erklärten Intention des Gesetzgebers nach so bald wie möglich grundlegend modernisiert werden sollte, wird diese Intention im wenig später publizierten Gutachten von Roßnagel, Pfitzmann und Garstka im Auftrag des Bundesministeriums des Innern, „Modernisierung des Datenschutzrechts“, aufgegriffen.
Das Grundproblem des Gutachtens aus Sicht einer wissenschaftlichen Beschäftigung mit der historischen Konstruktion des Datenschutzes ist, dass im Gutachten zwar allenthalben exzessiv Kritik sowohl am konzeptuellen Ansatz der Abbildung des Datenschutzes im Recht wie auch an der konkreten Umsetzung geübt wird, die Autoren aber an keiner Stelle auf Literatur verweisen, aus denen sich ihre jeweiligen Zuschreibungen begründen ließen, kurz: Die von den Autoren als dem Datenschutzrechtsansatz zugrunde liegend behaupteten Vorstellungen, Annahmen und Grundentscheidungen sind schlicht nicht wissenschaftlich belegt. Das überrascht nicht. So behaupten die Autoren gleich zu Beginn etwa:
„Das Datenschutzrecht ist vom Ansatz her orientiert an einer Datei personenbezogener Daten, die von einer verantwortlichen Stelle in einer zentralen Datenverarbeitungsanlage verarbeitet oder zu einer solchen übermittelt wird. Dieses Schutzkonzept ist in den 70er Jahren am Paradigma zentraler staatlicher Großrechner entwickelt worden, zwischen denen ein Datenaustausch die Ausnahme war.“
Was die Autoren als zugrunde gelegte Annahmen des Datenschutzrechts ansehen, sind in Wirklichkeit normative Vorgaben. Das gilt sowohl für den Begriff der „Datei“, mit dem der Geltungs-bereich des Gesetzes eingeschränkt werden sollte, wie für den „closed-shop-Betrieb“. Auch wurde nicht die Existenz einer „zentralen Datenverarbeitungsanlage“ unterstellt oder angenommen, sondern der „Informationstechnologie“ wurde schlicht ein „instrumentaler Charakter“ unterstellt, der zugleich zur Annahme wie zur normativen Forderung führte, die Organisation werde und müsse dafür sorgen, dass sie die Technik unter Kontrolle habe. Und ob der Datenaustausch in der Praxis die Ausnahme war, darf erstens bezweifelt werden, ist zweitens jedoch auch irrelevant, denn gerade der Datenaustausch zwischen den – „vermaschten“ oder „integrierten“ – Systemen wurde als in naher Zukunft liegendes Problem adressiert.
An dieser auf Fehlannahmen basierenden Re-Konstruktion des Datenschutzrechts wird dann eine konzeptionell ebenso unsaubere Kritik geübt: Während die Autoren die konzeptionell saubere – und zugleich schon immer praktisch schwer zu trennende – Trennung zwischen der dem Gesetz unterworfenen und der nicht dem Anwendungsbereich unterfallenden Datenverarbeitung begrüßen, kritisieren sie diese Trennung als überholt, „wenn private und geschäftsmäßige Datenverarbeitung in der konkreten Anwendung oft nicht mehr von außen zu unterscheiden sein werden“, liefern aber nur mit der Sache nichts zu tun zu habende Begründungen. Ähnlich falsch sind die Behauptungen, in den 1970er Jahren sei „die staatliche Datenverarbeitung als Hauptbedrohung“ gesehen worden, „[e]rst jüngste Datenschutzgesetze haben die Erkenntnis aufgenommen, dass die Gewährleistung von Datenschutz Anforderungen an Datenverarbeitungssysteme erfordert“, oder „die Globalisierung der Datenverarbeitung“ setze „dem nationalen Datenschutzrecht Grenzen“. Auch der Verweis auf die Leistungssteigerungen der Technik sowie neuere technische Entwicklungen geht vollkommen fehl: Ein Großteil der angesprochenen Entwicklungen – Geschwindigkeits-, Speicherfähigkeits- und Komplexitätssteigerung, Scoring, Auswertungsmöglichkeiten, Profilbildung, Biometrie – ist nicht neu und wurde bereits Anfang der 1970er Jahre umfassend analysiert, wenn sie auch nicht in allen Fällen zu Regelungen im Datenschutzrecht geführt haben. Und dass die „Nutzungsmöglichkeit neuer Kommunikations- und Informationstechnik die Zweckbindung der Datenverarbeitung“ gefährdet, war nie anders und einer der Gründe für die Forderung ihrer Aufnahme ins Gesetz, genauso wie die zu-nehmende Intransparenz von Technik und Informationsverarbeitung. Allein die Ausführungen zur Intransparenz und Widersprüchlichkeit des Datenschutzrechts scheinen nicht aus der Luft gegriffen zu sein.
Bei den von den Autoren vorgeschlagenen Lösungsansätzen handelt es sich um eine weitgehend arbiträre Mischung von „bewährten“ Ansätzen, deren Bewährtheit allerdings unglücklicherweise mangels Begründung nicht überprüfbar ist, und „neuen“ Konzepten wie Systemdatenschutz und Selbstdatenschutz, mit denen die identifizierten Ziele – „Datenschutz durch Technik“, Transparenz, Vermeidung des Personenbezugs, der Entwicklung von Betroffenen „zu Teilnehmern des Datenschutzes“ und der Einbettung des Datenschutzes in eine „Informations- und Kommunikationsordnung“ – durch „Anreize“ wie Auditierung, Zertifizierung oder „Erleichterung der rechtlichen Anforderungen“ etwa beim Einsatz „zertifizierter datenschutzfreundlicher Produkte“ erreicht werden sollen. Selbst offensichtliche Lücken in diesen Lösungsansätzen werden nicht problematisiert oder sollen mit dem gleichen Mechanismus gelöst werden, der vorher am bestehenden Recht kritisiert wurde, etwa wie ein weltweiter Einsatz datenschutzfreundlicher Technik sichergestellt werden soll, wenn er nur national und rechtlich erzwungen werden kann. Während auch diese Autoren nicht begründen, warum sie für das Datenschutzrecht eine Selbstbeschränkung auf personenbezogene Informationen vorsehen, präsentieren sie zumindest einen guten Vorschlag für den Ausgleich zwischen der allgemeinen Informationsfreiheit aus Art. 5 Abs. 1 Satz 1 GG und dem Datenschutzrecht: Personenbezogene Informationen „aus allgemein zugänglichen Quellen“ sollen datenschutzrechtlich nur für die Phasen der Erhebung und der Speicherung privilegiert werden, nicht jedoch für andere Phasen.
Besonders problematisch an dem Gutachten ist der Begriffsgebrauch, der auf eine beschränkte analytische Schärfe verweist und sich durch das gesamte Gutachten zieht: Die Autoren machen an keiner Stelle deutlich, ob sie über Informationsverarbeitung – durch soziale Akteurinnen – sprechen oder über Datenverarbeitung – durch technische Systeme. Aus dem Gutachten wird daher nicht deutlich, dass den Autoren der Unterschied sowie die Konsequenzen der Unterscheidung bewusst sind. Weil ihnen darüber hinaus ein umfassendes und zugleich in sich konsistentes Konzept zur Gefährdungsanalyse fehlt, verlieren sie sich in Detailregelungen, die sie wahllos aus ordnungs- und technikrechtlichen Ansätzen zusammenmischen, und deren spezifischen Begründungszusammenhängen. Und weil sie die Phasenorientierung weder als ein zu übernehmendes bisheriges Datenschutzkonzept identifizieren noch sonst im Gutachten reflektieren, kann ihnen auch gar nicht auffallen, dass die von ihnen an einigen Stellen ins Spiel gebrachten Schutzziele, die selbst aber auch nicht als methodischer Ansatz analysiert werden, die Frage aufwerfen müssten, ob, inwieweit und in welcher Form Phasen und Schutzziele kombiniert werden können und müssen, oder ob eine konsequente Schutzzielausrichtung des Datenschutzrechts eine grundsätzliche Alternative zur Phasenorientierung bieten könnte.
Zusammenfassend ist festzustellen, dass das Gutachten eine Fleißarbeit ist, in der viele der damals diskutierten Ansätze dargestellt und eingeordnet werden, jedoch kein großer Wurf im Hinblick auf eine notwendige Aktualisierung einer Analyse des Datenschutzproblems im beginnenden 21. Jahrhundert.
2.5.4 Die „neuen“ Theorien
Zwischen Mitte der 1990er und Anfang der 2000er Jahre wurde eine relativ große Menge an Werken publiziert, in denen die Autorinnen für sich in Anspruch nahmen, neue – oder zumindest grundlegend überarbeitete – privacy-, surveillance– oder Datenschutztheorien zu präsentieren oder diese konzeptionell neu zu ordnen.
In einer von Simitis betreuten Dissertation zur den Prinzipien und Zielen des Datenschutzes versucht Pelopidas Donos, mit einer Verbindung von Luhmannscher Systemtheorie und Habermas’scher Kommunikationstheorie, indem er die Gesellschaft zugleich als System und als Lebenswelt betrachtet, den Datenschutz als Schutzgegenstand des Datenschutzrechts zu bestimmen. Wie bei Rüpke, den er auch zitiert, ist auch bei Donos die Hauptaufgabe des Datenschutzes „die Bewahrung der kommunikativen Integrität der Betroffenen“, also „die Gewährleistung einer autonomen Reproduktion der Lebenswelt der Betroffenen durch ungestörte kommunikative Handlungen“ gegen die „kommunikationsstörende Funktion von Datenverarbeitungssystemen, welche die Kommunikation entsprachlichen und die soziale Handlungskoordinierung beeinträchtigen können.“ Damit will Donos sich von den als defensiv beschriebenen Datenschutztheorien abgrenzen, namentlich Rollentheorie und Systemdatenschutz, „welche die Aufgabe des Datenschutzes auf den Schutz oder Mitgestaltung der jeweiligen Datenrolle reduzieren“, und stattdessen „kommunikative Räume schaffen, in denen sich die individuellen Lebenswelten reproduzieren und die Personen sich kommunikativ entfalten können“ und zugleich der „substanzielle[n] Rolle des Datenschutzes bei der Formierung von autonomen Öffentlichkeiten“ dienen. Zugleich erklärt er aber die „Legitimation der Datenverarbeitung“ zur zentralen Aufgabe des Datenschutzes, indem es durch seine „Prozeduren“ dafür sorge, dass „jede Datenverarbeitung und jede Datenrolle [im Sinne eines Profils] in der Lebenswelt der Betroffenen diskursiv thematisiert werden.“
In einem Artikel, in dem er zugunsten einer Grundregel, die nur „functionally necessary“ Verarbeitung personenbezogener Informationen erlaubt, wenn nichts anderes vereinbart worden sei, eintritt – natürlich ohne auf die europäischen Vorarbeiten dazu zu verweisen –, ordnet Jerry Kang die ihm bekannten privacy-Konzepte drei Clustern zu: „space“, „decision“ und „information“ – einem physischen Raum, der vor dem Eindringen geschützt sein solle, der Freiheit, ohne Einmischung von außen Entscheidungen treffen zu können, sowie der Kontrolle der Betroffenen über die Verarbeitung personenbezogener Informationen.
Raab und Bennett argumentieren, dass es nicht ausreiche, bereichsspezifische Regelungen zur Datenverarbeitung zu erlassen, sondern in den jeweiligen Bereichen auch analysiert werden müsse, inwieweit verschiedene Gruppen von Betroffenen – Junge und Alte, Arme und Reiche, Gesunde und Kranke – unterschiedlichen Risiken in unterschiedlichem Umfang ausgesetzt seien, und das Recht darauf dann eine Antwort zu finden habe. Darüber hinaus müsse das Recht sich von einem rein prozeduralen Ansatz lösen und sich einem materiell-rechtlichen Ansatz nähern, auch um überprüfbar machen und überprüfen zu können, ob und inwieweit das Recht tatsächlich das betreffende Schutzgut schütze.
Paul Schwartz hingegen verfolgt – wenig überraschend, nachdem er Post-Doc bei Simitis war – einen klassisch europäischen Ansatz, indem er privacy als funktionale Voraussetzung für individuelle Selbstbestimmung und deliberative Demokratie markiert, wenn auch ohne anzugeben, von wo er diesen Ansatz übernommen hat. Diese würden, so Schwartz, durch das „managerial data processing model“ rationaler Bürokratien im Weberschen Sinne, im Internet strukturell unterlaufen, weshalb privacy nur zu retten sei mit einem – nicht explizit so genannten – europäischen Regulierungsansatz: „(1) defined obligations that limit the use of personal data; (2) transparent processing systems; (3) limited procedural and substantive rights; and (4) external oversight“, die weder durch den Markt noch durch Selbstregulierung geleistet werden könnten, sondern nur durch das Recht. Dieses Modell sei einem theoretisch wie praktisch unterkomplexen und von ihm als „privacy-control“ bezeichneten „personal right to control the use of one’s data“ vorziehen, denn es gehe darum den Zugriff von Staat und Gemeinschaft auf personenbezogene Informationen zu beschränken „as a necessary means of restricting these entities’ sovereignty“ über die Normierung von Verhalten „to allow the necessary independence of social expression and action“. Im Hintergrund steht eine an die frühe Datenschutzdebatte erinnernde Analyse der individuellen und gesellschaftlichen Folgen von Informationsmacht, bei der „the structure of access to personal information can have a decisive impact on the extent to which certain actions or expressions of identity are encouraged or discouraged.“
In diese von Paul Schwartz und William Treanor als „new privacy“ bezeichnete Strömung gehören auch die Arbeiten von Priscilla Regan, Julie Cohen und Daniel Solove, die dort ansetzen würden, wo die Annahmen der „old privacy“, die auf „shared, pre-existing norms of the private“ basierten, unzureichend seien, weil sie die Realitäten des „modern bureaucratic state“ nicht entsprächen. Im Gegensatz zu Schwartz verweist Cohen im Jahre 2000 zumindest darauf, dass die Autorinnen der EG-Datenschutzrichtlinie „agreed with [Cohen’s] characterization“, wonach Informationsverarbeitungen verhindert werden sollten, „that threat individuals as mere conglomerations of transactional data, or that rank people as prospective customers, tenants, neighbors, employees, or insureds based on their financial or genetic desirability“, um die Autonomie der Betroffenen als „an essential independence of critical faculty and an imperviousness to influence“ in einer „zone of relative insulation from outside scrutiny and interference“ – oder in Rückgriff auf Goffman: „a field of operation within which to engage in the conscious construction of self“ – zu sichern; kurz: es gehe um den Schutz der „boundaries that insulate different spheres of behavior from one another.“ Gleichwohl wird auch bei Cohen dieser Autonomiebereich nicht bedroht, wenn es nur darum gehe, „knowledge about groups“ zu erheben und zu verarbeiten. An Goffmans auf interpersonale Beziehungen beschränkten Theorie hält Cohen auch später fest – und nimmt gleich noch Altman hinzu –, wenn sie mit den Surveillance-Studies-Theorien versucht, die Bedingungen, unter denen Menschen und ihr Verhalten transparent gemacht werden können und werden, und die Kontrolle über diese Bedingungen zu problematisieren, um am Ende ganz bei Altmans „boundary management“ und ähnlichen sozialpsychologischen Ansätzen zu landen, denen noch Reste von postmodernen Theorien zur „self-formation“ zur Seite gestellt werden.
Auch Soloves Arbeiten zeigen viele Parallelen zur Datenschutzdebatte der 70er und 80er Jahre, etwa indem er auf der Basis von Webers Bürokratieverständnis die gleichen Folgen moderner Informationsverarbeitung für Individuen und Gesellschaft identifiziert, die schon das BVerfG im Volkszählungsurteil problematisierte, und deshalb argumentiert, dass nicht Orwells „1984“, sondern Kafkas „Der Process“ die angemessenere Metapher für sein privacy-Problem sei. Auf der Basis von Wittgensteins Konzept der Familienähnlichkeit versucht er sich dann „on understanding privacy in specific contextual situations“, kommt dabei allerdings nicht darüber hinaus, die von ihm untersuchten sozialen Praktiken – sowohl deskriptiv wie normativ – in das Schema von „private“ vs. „not private“ zu pressen, um dann den Wert von privacy instrumental anhand des Kontextes bestimmen zu wollen. 2006 schließlich legt Solove eine Taxonomie der privacy-Verletzung vor, die „the activities that invade privacy“, die er identifiziert, in vier Gruppen einteilt: „(1) information collection, (2) information processing, (3) information dissemination, and (4) invasion“, wobei es sich nicht um privacy-Verletzungen handeln solle, wenn die Betroffene einwillige. Im Gegensatz zu seinen vorhergehenden Arbeiten beschränkt er sich bei der Angreiferin nicht mehr auf bürokratische Organisationen, sondern betrachtet „various entities (other people, businesses, and the government)“. Weder für diese Entscheidung noch für die Auswahl der betrachteten Aktivitäten liefert er eine Begründung, und die konzeptionelle Verwandtschaft zum Gutachten „Grundfragen des Datenschutzes“ ist fast vollständig unbeachtet geblieben.
Auf der anderen Seite behauptet Amitai Etzioni, ein kommunitaristisches privacy-Konzept vorzulegen, präsentiert aber eigentlich nur eine hochgradig individualistische Konzeption des zugrunde liegenden Interesses, dem er dann seine Gemeinschaftsideologie entgegensetzt und diese als übergeordnet behauptet. Privacy ist dann am Ende bei ihm nichts anderes als „a societal license that exempts a category of acts (including thoughts and emotions) from communal, public, and governmental scrutiny“, wobei das ganz wesentlich das Ergebnis einer extrem verkürzten Darstellung in den vorangegangenen Kapiteln ist, wo er alle Auseinandersetzungen unterschlägt, die nicht in sein Trivial-Schema passen: die Datenverarbeiterinnen vertreten das „common good“ – selbst die privaten –, während die Betroffenen nur „individual rights“ dagegensetzen können. Während Etzioni einerseits behauptet, zwischen „social scrutiny“ und „governmental control“ zu unterscheiden, macht er andererseits immer wieder den Staat zum Sachwalter seiner – eher an eine Sekte erinnernde – Gemeinschaft, wobei es für Etzioni ausreicht, wenn der Staat sich auf ein „öffentliches Interesse“ beruft – er muss es nicht einmal begründen.
In eine sehr ähnliche Richtung geht Robert Posts Kritik an Jeffrey Rosens Konzept von privacy als Schutz vor einem „unwanted gaze“ – dem unerwünschten Starren –, vor einem „being misdefined and judged out of context in a world of short attention spans, a world in which information can easily be confused with knowledge“ aufgrund des Risikos zur Missinterpretation: Für Post ist die Fremddefinition des Menschen gerade das „Soziale“ und gleichzeitig das Effiziente, das Gute und das Wünschenswerte.
Diese Kontextgebundenheit hat noch viel stärker Helen Nissenbaum in den Fokus genommen, dort allerdings nicht nur im Sinne des Herkunftskontexts von Informationen, sondern auch im Sinne der Erwartungen der Betroffenen an den Verwendungskontext. Wie schon einige vor ihr hatte Nissenbaum festgestellt, dass eine Konzeption von privacy „all information, including information gathered in so-called public realms“ umfassen müsse, denn es gebe eine „multiplicity of contexts“ in dem Sinne, dass „[i]nformation learned in one context belongs in that context and is public vis-à-vis that context“, wofür sie dann behauptet, dass „[p]eople count on this contextual integrity as an effective protection of privacy“: „Privacy, in enabling individuals to maintain contextual integrity, enables them to develop a variety of distinct relationships.“ Kontexte seien dabei „structured social settings characterized by canonical activities, roles rela-tionships, power structures, norms (or rules), and internal values (goals, ends, purposes)“ und können unterschiedlich granular sein, sich überschneiden und auch konfligieren, um dann ausgehandelt zu werden. In der Folge fasst sie „contextual integrity“ als Maß für die Erfüllung der „informational norms“. Akteurinnen – „senders of information, recipients of information, and information subjects“ – können „single individuals, multiple individuals, or even collectives such as organizations, committees, and so forth“ sein, aber gerade Organisationen werden hinsichtlich ihrer spezifischen Eigenschaften als Organisationen nicht adressiert, Informationen sind für sie das gleiche wie Daten im technischen Bereich, und in der Betrachtung beschränkt sie sich auf Informationsflüsse im engeren Sinne. Anschließend nutzt sie „contextual integrity“ als Framework zur Untersuchung von Veränderungen, die sich aus der Einführung neuer Technik oder dem Einsatz neuer Praktiken ergeben, die dann bewertet werden können und sollen. In ihrem abschließenden Kapitel wird deutlich, wie wenig Neues und wie wenig Potential ihr Ansatz birgt, wenn sie etwa feststellt, dass „contextual integrity“ im Grunde das gleiche sei wie die „reasonable expectation of privacy“, die amerikanische Gerichte seit der Katz-Entscheidung 1967 verwenden, oder wenn sie in der Gegenüberstellung zwischen umfassender und sektoraler Regulierung nur an der Oberfläche bleibt und pauschal die sektorale vorzieht, indem sie nicht nur Mischformen aus allgemeinen und bereichsspezifischen Gesetzen wie in der Bundesrepublik ignoriert, sondern gerade auch die Auseinandersetzungen, die zu diesen Mischformen geführt haben.
Auf der Basis von Altmans Theorie von privacy als „boundary management“ werden zu Beginn des neuen Jahrtausends einige „neue“ privacy-Theorien publiziert, die allerdings alle nur auf interpersonale Beziehungen abzielen, und deren beschränkter Geltungsbereich nicht problematisiert wird: Weil nur interpersonale Beziehungen betrachtet werden, in denen die Akteurinnen als strukturell gleich mächtig angenommen werden, lässt sich einfach unterstellen, dass „revealing and concealing“ durch die Betroffene ausgehandelt werden könne – eine Unterstellung, die im Verhältnis gegenüber Google oder dem Staat einfach nur lächerlich ist.
Und auch die Surveillance Studies als eine „cross-disciplinary initiative to understand the rapidly increasing ways in which personal details are collected, stored, transmitted, checked, and used as means of influencing and managing people and populations“ behaupten, dass sie sich weiter entwickeln müssten und würden, denn die „new surveillance“ sei anders als die „old surveillance“: „more intensive and extensive than previous forms and transcends distance, darkness, physical barriers and time; its records can be stored, retrieved, combined, analyzed and communicated with great ease; it has low visibility or is invisible; is often involuntary; emphasizes prevention; is capital rather than labor intensive; involves decentralized control and triggers a shift from targeting a specific individual to categorical suspicion.“
Dabei werden zumindest auch wieder alte, wenn auch schon beantwortete Fragen neu aufgeworfen, und ebenso alte, jedoch in Teilen bislang unerfüllte Forderungen neu aufgestellt, wenn auch ohne große Konsequenzen für die Debatte: So problematisiert etwa Felix Stalder die Vorstellung von privacy als einer Sphärentheorie, der „bubble theory“, die Relativität der individuellen „privacy notions“ oder die Tatsache, dass es auch Informationen gebe, von denen die Betroffenen gerade wollen, dass sie von den Datenverarbeiterinnen verarbeitet werden, und fordert eine Abkehr von einer solchen „ever-weakening illusion of privacy“ und das Vertreten der Forderung nach „accountability of those whose power is enhanced by the new connections.“ Neu sind eigentlich nur der postmoderne Impetus und stetige Neuerfindung von Begriffen für Dinge und Konzepte, die es schon lange vorher gab.
Vor dem Hintergrund der von ihm als Fehlstelle identifizierten „entwickelte[n] Geschichte oder gar Soziologie des Datenschutzes“ versucht Martin Rost Anfang der 2000er Jahre auf der Basis der Beobachtung, dass Datenschutz „Kommunikationen, an denen Organisationen beteiligt sind, unter Bedingungen“ stelle, die gesellschaftliche Funktion des Datenschutzes soziologisch zu theoretisieren. In einer „systemtheoretische[n] Lesart der Evolution sozialer Systeme“ – segmentär strukturierte gefolgt von stratifizierten und dann funktional differenzierten Systemen – analysiert er die „um sich greifende[] Industrialisierung der Informationsverarbeitung in Organisationen“, die „tendenziell zu einer Restratifizierung der Gesellschaft“ führe, „weil der inhärente funktionale Impuls von Organisationen, die Umwelt der Organisation, allein aus Verwaltungs- und Transferkostenersparnisgründen, der organisationsinternen Struktur entsprechend zu entwerfen, wieder gute Chancen auf Realisierung hat“, und identifiziert als Funktion des Datenschutzes, „dafür zu sorgen, dass die gesellschaftlichen Struktur- und Leistungsgewinne, die sich im Zuge der sozialen Evolution durch funktionale Differenzierung einstellen, durch zunehmende Restratifizierungszumutungen seitens der Organisationen nicht wieder verloren gehen.“ Datenschutz sei dabei sowohl „Entropiewächter“ zum Schutz vor gesellschaftlicher Entdifferenzierung wie „Modernisierungsagent, der weitere Strukturdifferenzen einzieht.“ Als zentralen Mechanismus zur Sicherstellung der Aufrechterhaltung der in einer funktional differenzierten Gesellschaft „weitgehend kontingente[n] Wahl einnehmbarer Rollen“ sieht er die Verhinderung „einer Verkettung von differenzierten Kommunikationen“. Während „in der nicht-technisierten sozialen Wirklichkeit“ moderner Gesellschaften diese Nichtverkettung etwa in Form von Anonymität grundsätzlich gegeben sei, müsse sie unter den Bedingungen einer technisch vermittelten Kommunikation explizit durch Technik erzeugt werden.
2.5.5 Der Markt soll es richten
Warren und Brandeis hatten ihr privacy-Konzept auf der Beobachtung, dass die traditionelle eigentumsbasierte Schutzarchitektur von privacy mit den neuen technischen Entwicklungen an ihre Grenzen gestoßen sei, aufgebaut und daher einen persönlichkeitsrechtlichen Ansatz gewählt. Damit war die Diskussion allerdings nicht beendet. Stattdessen gab es in großen Wellen immer wieder Vorschläge, das privacy– oder Datenschutzproblem durch den Markt richten zu lassen, vorwiegend – jedoch nicht ausschließlich – über Eigentums- oder eigentumsähnliche Konstruktionen. Die Auseinandersetzung ist besonders durch zwei Eigenschaften gekennzeichnet: erstens die geringe Lernfähigkeit aller Beteiligten, besonders, aber nicht nur der Marktlösungsverfechterinnen, die sich etwa darin zeigt, dass die immer gleichen Vorschläge für eine Lösung über den Markt auf immer gleiche Kritiken treffen, und zweitens die komplette Ignoranz gegenüber der Tatsache, dass in einer auf dem Prinzip individueller Autonomie basierenden Rechtsordnung einer bürgerlichen Gesellschaft eigentums- und persönlichkeitsrechtliche Operationalisierungsansätze notwendig strukturähnlich sein müssen.
Marktansätze treten dabei vorwiegend in zwei Formen auf – als Vorschläge für einen Markt, auf dem personenbezogene Informationen als handelbare Güter getauscht werden, und als Vorschläge für einen Markt, der PETs erzeugt und handelt oder nutzt und damit wirbt –, wobei die Grenzen zwischen beiden allerdings fließend sind. Die konkreten Vorschläge beziehen sich dabei notwendig auf konkrete, jedoch oft nicht explizierte Vorstellungen über das Schutzgut. Viele dieser Vorschläge zielen auf eine Institutionalisierung von bestimmten Intermediären – entweder in der Form von „information banks“, „information exchanges“ und „information clearinghouses“ oder in der Form von Zertifizierungsagenturen und Auditoren, die dann Siegel wie TRUSTe oder EuroPriSe vergeben.
Dabei vertreten einige der Marktbefürworterinnen die Ansicht, es bedürfe eines – teilweise durchaus strengen – staatlichen Eingriffs zur Erzeugung eines Marktes, während andere auf eine (fast) reine Selbstregulierung setzen und gar fordern, dass der Staat schlicht die Ergebnisse von Aushandlungsprozessen in vermachteten Verhältnissen zugunsten der sozial Mächtigen, die schon gesiegt haben, normiere in der Form, „dass staatliche Maßnahmen nur in Abstimmung mit den Selbstorganisationsprozessen der betroffenen Industrien und Dienstleistungsunternehmen erfolgen können.“
Am Ende sind bisher alle Markt- und Selbstregulierungsansätze wenig überraschend gescheitert, wobei es allerdings keine Einigkeit darüber gibt, was die Ursachen für dieses Scheitern sind. Alles ist schon als Begründung angeboten worden, von Staatsversagen, weil der Staat keinen oder keinen funktionsfähigen Markt kreiert habe, über Eigenschaften von Informationen als Waren bis hin zur Interessenkonstellation und den Anreizstrukturen im Bereich der organisierten Informationsverarbeitung.
2.5.6 Privacy by Design und Architekturvorschläge
Im Verlaufe der 1990er und zu Beginn der 2000er Jahre wurde eine Reihe von Arbeiten zum Prozess der Gestaltung privacy– und datenschutzfreundlicher Systeme vorgelegt, die durchaus eng mit der allgemeinen Debatte in der Informatik zu Vorgehensweisen und Technikgestaltungsmethoden verzahnt ist, insbesondere wenn es darum geht, aus Zielen beteiligter Akteurinnen oder Dritter technische Anforderungen abzuleiten und dabei im Laufe dieses Prozesses Abwägungen zwischen konfligierenden Zielen vorzunehmen.
Ein frühes Modell in diesem Zusammenhang ist das von Batya Friedman und Kolleginnen vorgeschlagene „Value Sensitive Design“: Danach sollen in einem iterativen Vorgehen konzeptuelle, empirische und technische Analysen zusammengebracht werden, um „values“ – die durchgängig nur „philosophisch“ begründet, nicht aber wirklichkeitswissenschaftlich substantiiert werden – in die Technikgestaltung einfließen zu lassen. Die konzeptuelle Analyse soll dabei die zu verfolgenden „values“ identizieren und miteinander abwägen, die dann durch empirische Untersuchungen – etwa zu welchen Abwägungsergebnissen Nutzerinnen und Betroffene kommen – unterstützt werden. Technische Untersuchungen sollen dann etwa aufdecken, welche „technological properties and underlying mechanisms support or hinder human values.“
Etwa zur gleichen Zeit wurden formale Beschreibungen von „Privacy Impact Assessments“ vorgelegt, deren Entwicklungsgeschichte bis in die 1970er Jahre zurückreichen soll. Sie sollen weiter reichen als reine Audits und eine echte Folgenabschätzung liefern, um nicht nur die Übereinstimmung mit oder Verletzung von Gesetzen feststellen, sondern deren Angemessenheit selbst auch hinterfragen zu können. Sie können sich dabei auf ganz unterschiedliche Konzepte von privacy beziehen. Das Vorgehen soll systematisch und zugleich umfassend sein, den Prozess der Systemgestaltung wie das System als Produkt betrachten, die jeweils angemessene Expertise einbeziehen und zugleich unabhängig sein – oder zumindest alle Interessen offenlegen – sowie direkt in den Entscheidungsprozess über die Gestaltung oder Einführung des neuen Systems eingebunden sein. Im Laufe der Zeit sind dann auch konkrete Vorgehensmodelle vorgelegt worden, etwa ein sechsschrittiges Modell von Oetzel und Spiekermann in Zusammenarbeit mit dem BSI: (1) Festlegung des Untersuchungsgegenstandes, (2) Identifikation der „privacy targets“ – eine etwas willkürliche und jedenfalls juristisch nicht fundierte Auswahl aus in der EG-DSRL statuierten Anforderungen –, (3) Schutzbedarfsfeststellung für jedes „privacy target“, (4) Bedrohungsanalyse für jedes „privacy target“, (5) Identifikation der Mittel Minimierung, Abschwächung oder Abwehr der Bedrohungen und (6) Bewertung und Dokumentation der verbleibenden Risiken. Nicht nur wählen die Autorinnen nur eine Teilmenge der durch das Recht adressierten Anforderungen aus, sie prüfen sie auch nur einzeln und unabhängig voneinander. Wenig überraschend ist Kritik an diesen verkürzten PIAs laut geworden: „Ungeklärt ist oft die Unabhängigkeit der Autoren und die Verallgemeinerungsfähigkeit und Relevanz der Modelle, fragwürdig sind darin vor allem die Validität und Reliabilität der genutzten Kriterien, mit denen Datenschutzrisiken operationalisiert und analysiert werden“, insbesondere fehle eine Analyse der „Risiken für die informationelle Selbstbestimmung durch die Machtasymmetrie zwischen Organisationen und Personen“.
Rost und Bock schlagen daher vor, in einem ersten Schritt explizit zu machen, welches Ziel das PIA verfolge: (1) Evaluation eines Produktes oder Verfahrens, „ohne dass im Vorhinein ein bestimmtes Set an Kriterienkatalogen und Definitionen sowie Angreifermotive festgelegt sind“, (2) vollständige Compliance mit dem Datenschutzrecht und (3) mit wissenschaftlichem Anspruch, also „Risiken vollständig, sowohl empirisch verlässlich als auch mit einem hohen prognostischen und spekulativen Anteil theoretisch gestützt und methodisch zu erfassen“, indem „neben den Perspektiven des Betroffenen und der Organisation(en) auch die der gesellschaftlichen Risiken“ analysiert und bewertet werden.
In Anlehnung an das „Privacy Impact Assessment“ wurde im Rahmen des „Privacy Incorporated Software Agent Consortium“ ein „Design Embedded Privacy Risk Management“ (DEPRM, manchmal auch DEPREM) entwickelt, das auch auf der Basis der EG-DSRL operiert und im wesentlichen die gleichen Rechtsprinzipien identifiziert wie Oetzel und Spiekermann, diese jedoch – jedenfalls zu Beginn des Projekts – nur in den Dimensionen confidentiality, integrity, availability und controllability analysiert. Im weiteren Projektverlauf wird die Methode erweitert: Aus den analysierten Rechtsquellen wird abgeleitet, wie sich das System zu verhalten habe, um diese Verhaltensanforderungen dann in technische Anforderungen zu übersetzen, wobei die im Recht verwendeten Begriffe und Konzepte sowie deren Verhältnisse zueinander in formalisierter Form in Ontologien abgebildet werden sollen.
Mit einer Beschränkung auf die fünf Fair Information Practice Principles, die sie als „privacy protection goals“ übernehmen, und die sie um sieben „privacy vulnerability goals“ – später „privacy goal obstacles“ genannt – ergänzen, die Faktoren oder Handlungen bezeichnen sollen, die als „privacy invasions“ identifiziert werden, versucht eine Gruppe um Annie Antón und Julia Earp ein Framework für die Analyse von Privacy Policies vorzulegen, das sie dann erweitern, um damit privacy-Anforderungen in der Modellierung von Rollen und Berechtigungen im Rahmen von RBAC-Systemen (Role-Based Access Control) abbilden zu können. Eine weitere Erweiterung erfolgt dann in einem größeren Projekt durch Annie Antón und Colin Potts, indem sie nicht nur die Abbildbarkeit von Pflichten hinzunehmen, sondern auch eine Formalisierung anstreben, die es ermöglicht, mit Hilfe von Software – „Run-Time Tools“ – die Einhaltung der Policies durchzusetzen. Ein ähnliches Vorgehen, aber auf der Basis der OECD-Guidelines, wählen Eric Yu und Luiz Marcio Cysneiros, wobei sie allerdings mit ihrem Modell in der Lage sind, privacy und mithin die sich daraus ergebenden Anforderungen, aus der Sicht der verschiedenen beteiligten Stakeholder jeweils getrennt zu modellieren und damit auf eine A-priori-Definition verzichten zu können. Und Ann Cavoukian stützt sich auf das „Canadian Standards Assciation Model“, das große Überschneidungen zu den OECD-Guidelines und der EG-DSRL aufweist, und schlägt dafür dann „Privacy Design Principles“ vor. Diesen Ansatz arbeitet sie später zu ihrem erfolgreich verkauften „Privacy by Design“ aus, das auf sieben grundlegenden Prinzipien beruhe: „[1] Proactive not reactive; Preventative not remedial, [2] Privacy as the default setting, [3] Privacy embedded into design, [4] Full functionality – positive-sum, not zero-sum, [5] End-to-end security – full lifecycle protection, [6] Visibility and transparency – keep it open, [7] Respect for user privacy – keep it user-centric“. Seda Gürses, Carmela Troncoso und Claudia Diaz weisen völlig zu Recht darauf hin, dass das Konzept komplett vage ist, und das ist eigentlich noch untertrieben: Nicht nur enthält es überhaupt keine Ausführungen zum methodologischen Vorgehen, es fehlt auch schlicht an einer ordentlichen Operationalisierung von Anforderungen – es handelt sich eher um einen Mummenschanz.
Neben den Vorgehensweisen und Technikgestaltungsmethoden wurden Architekturen und Systeme diskutiert, die für eine Durchsetzung der Anforderungen in der Datenverarbeitung sorgen sollen, sowie formale Sprachen, mit denen sich die dazu erforderlichen Regeln formulieren lassen.
Bei IBM entwickelte eine Gruppe um Günter Karjoth und Matthias Schunter die „IBM Enterprise Privacy Architecture“ (EPA) auf der Basis eines zentralen Berechtigungsmonitors mit dem Ziel, „to maximize the business use of personal information while respecting privacy concerns and regulations.“ Für die Formulierung der Regeln, nach denen der Berechtigungsmonitor die Datenverarbeitung steuern sollte, wurde anschließend die „Enterprise Privacy Authorization Language“ spezifiziert, allerdings scheint es keine Systeme zu geben, die diese Sprache unterstützen. Ein Team bei Hewlett-Packard entwickelte ein ähnliches System, das sie um „sticky policies“ erweiterten, die HP dann patentierte, und sogar in Produkte von HP implementierte. Und Larry Korba und Steve Kenny untersuchen, ob und inwieweit sich Digital-Rights-Management-Systeme (DRM) als „Privacy Rights Management for individuals“ (PRM) auf der Basis der EG-DSRL einsetzen lassen, aber auch dieser Ansatz scheint keine praktischen Auswirkungen gehabt zu haben, genauso wenig wie das ISTPA Privacy Framework oder Carnival.
2.5.7 Nutzerkontrollierbare Systeme
Die in den 1990ern an Fahrt gewinnende Debatte zur Gestaltung von privacy-freundlichen Systemen, die nicht auf Rechnern von Datenverarbeiterinnen, sondern auf Rechnern von Betroffenen laufen, bettet sich einerseits in ein viel breiteres Interessenfeld im Bereich des „Computer Supported Cooperative Work“ ein, andererseits gibt es aber auch sehr viele Überschneidungen mit der Debatte um PETs, insbesondere dort, wo die PETs auf nutzerkontrollierbare und nutzerkontrollierte Systeme setzen. Im Vergleich zu der vorher weit verbreiteten Selbstbeschränkung der Gestaltungsdiskussion auf Systeme, die unter der Kontrolle von Datenverarbeiterinnen laufen, verschieben sich dann auch die Anforderungen an die technischen Systeme, wenn Betroffene sind jetzt nicht mehr nur usees, sondern gerade auch user sind. Insbesondere wird privacy damit auch zu einem Problem des UI-Designs.
Victoria Bellotti und Abigail Sellen stellen vor diesem Hintergrund „feedback“ und „control“ als Designprinzipien auf. Dabei definieren sie „feedback“ als Prinzip des Informierens der Nutzerinnen darüber, wann und welche Informationen jeweils erhoben und wem sie übermittelt werden, während „control“ die Eigenschaft von Systemen bezeichnet, Nutzerinnen sinnvolle Steuerungsmöglichkeiten darüber an die Hand zu geben, welche Informationen sie jeweils preisgeben und an wen, und mappen die beiden Prinzipien dann auf die vier von ihnen als relevant identifizierten Aspekte der Informationsverarbeitung: „capture“, „construction“, „accessibility“ und „purpose“. Andrew Clement baut darauf auf und verweist auf die in der CSCW-Debatte bislang ignorierten Fair Information Practice Principles, hält für den wichtigsten Punkt allerdings die Einbindung der Betroffenen in den Entwicklungsprozess, in dem die Eigenschaften der zu entwickelnden Systeme tatsächlich verhandelbar sein müssen.
Einen Schritt weiter geht Dag Wiese Schartum und fordert die Entwicklung von nutzerkontrollierten Werkzeugen, die mindestens sechs Bereiche abdecken sollen: (1) die Opt-In-/Opt-Out-Verwaltung für das Abgeben und Zurückziehen von Einwilligungen, (2) die Durchsetzung der Informationsfreiheit im Sinne der Rezipientinnenfreiheit, (3) den Zugriff auf die über sich selbst gespeicherten personenbezogenen Informationen, (4) den Zugriff auf Informationen über das interne Verhalten von Systemen und Verfahren, (5) das Verhindern, zum Objekt automatisierter Einzelfallentscheidungen zu werden, und (6) die Information, wenn personenbezogene Informationen bei Dritten erhoben werden. Ein Versuch, einen Teil dieser Anforderungen umzusetzen, unternehmen David Nguyen und Elizabeth Mynatt mit ihrem Vorschlag für einen „Privacy Mirror“, der Nutzerinnen in die Lage versetzen soll, das soziotechnische System, mit dem sie interagieren und das Informationen über sie sammelt, verarbeitet und nutzt, zu verstehen und zu beeinflussen. Dazu soll das System die Informationsflüsse sichtbar machen, die sonst vor der Nutzerin versteckt ablaufen. Im Rahmen der Entwicklung einer Methode zur „Privacy Interface Analysis“ versuchen auch Andrew Patrick and Steve Kenny, für das PISA-Projekt passende User Interfaces zu entwickeln, um Nutzerinnen verständlich zu informieren, auf das sie angemessen reagieren können.
2.5.8 Das Privacy-Paradox
Fast nirgends sonst lässt sich so gut beobachten, wie fragwürdig die Wissenschaftlichkeit der ganzen privacy-, surveillance– und Datenschutzdebatte war und ist, wie in der Causa „Privacy Paradox“. Die Frage, wer den Begriff des Privacy Paradox zuerst nutzte und zur Beschreibung welchen Sachverhalts, wird sich wohl nicht mehr klären lassen, jedenfalls aber wurde der Begriff in sehr viel mehr Kontexten gebraucht, als sein heutiges Verständnis – zur Bezeichnung der Diskrepanz zwischen den von Individuen geäußerten privacy-Bedenken und ihrem tatsächlichen Verhalten – nahelegt.
Anfang 1998 nutzte das „Reporters Committee for Freedom of the Press“ den Begriff, um damit die Beschränkung der Pressefreiheit zugunsten eines verstärkten privacy-Schutzes zu problematisieren – mit teils absurden Beispielen wie „wiretapping and eavesdropping are illegal in most states even if done for the purpose of gathering news“, indem sie fordern, dass Journalistinnen unbedingt auf Gesundheitsdaten aller Patientinnen zugreifen müssten, denn „[i]dentification of individuals strengthens the impact and credibility of newsworthy articles“, indem sie beklagen, dass Vergewaltigungsopfer in Strafverfahren inzwischen ein Recht auf Anonymität hätten, oder indem sie behaupten, der Erste Zusatzartikel zur US-Verfassung verbiete jede staatliche Regulierung jedes „exchange of truthful information in the first place.“
Im gleichen Jahr behauptet Joseph Kizza, das Privacy Paradox bestehe darin, dass „too much individual privacy is very dangerous“, denn „if each individual has total privacy, then society as a whole has zero security.“ Und im Jahre 2001 behauptet Fred Cate, das Privacy Paradox bestehe in der Nichtnutzung der von Verbänden und Lobbyorganisationen angebotenen „»opt-out« programs“ durch Betroffene bei gleichzeitiger Angabe, dass sie „worried about their privacy“ seien, während Eric Jorstad mit dem Privacy Paradox die „ambivalence“ bezeichnen will, die darin liege, dass „we“, also „americans“, gleichzeitig an einen abgeschlossenen „private space“ und „a free market and free speech regime“ ohne „out-moded barriers“, wo „no question, no comment, no product, is out of bounds“, glauben. Diese Gebrauche des Privacy Paradox sollen hier, obwohl sie es durchaus auch verdient hätten, nicht adressiert werden.
In der Literatur zum Privacy Paradox wird häufig eine Untersuchung von Lorrie Faith Cranor, Joseph Reagle und Mark Ackerman als erste Arbeit zum Privacy Paradox genannt, obwohl der Begriff dort gar nicht auftaucht. In einer webgestützten Umfrage fragten die Autorinnen die Einstellungen der Befragten zur privacy auf der Basis von Szenarien ab und kommen unter anderem zum Ergebnis, dass Nutzerinnen mehr Informationen über sich preisgeben, wenn diese anonym erhoben werden, und dass ganz grundlegend sehr viele Faktoren die Preisgabewahrscheinlichkeit beeinflussen, darunter ob die Informationen an Dritte weitergegeben werden, welche Informationen überhaupt erhoben werden und für welche Zwecke das geschieht – überhaupt wird sehr konkret auf die Zweckbezogenheit und Zweckgebundenheit der Preisgabeentscheidung verwiesen. Wenn diese Studie hingegen zitiert wird, dann nicht mit einem dieser differenzierten Ergebnisse, sondern immer mit einer sehr pauschalen Aussage aus dem Einleitungsabsatz zur Darstellung der Ergebnisse – „General Attitudes about Online Privacy“: „Overall, our respondents registered a high level of concern about privacy in general and on the Internet. Only 13% of respondents reported they were »not very« or »not at all« concerned. Nonetheless, while the vast majority of our respondents were concerned about privacy, their reactions to scenarios involving online data collection were extremely varied. Some reported that they would rarely be willing to provide personal data online, others showed some willingness to provide data depending on the situation, and others were quite willing to provide data – regardless of whether or not they reported a high level of concern about privacy. Thus it seems unlikely that a one-size-fits all approach to online privacy is likely to succeed.“
Barry Brown hingegen bezeichnet etwas später die Gleichzeitigkeit von Beschwerden von Betroffenen über die Gefährdung ihrer privacy und ihrer Nutzung von Supermarkt-Kundinnenkarten, die die Aussage von Cranor, Reagle und Ackerman zu stützen scheint, explizit als Privacy Paradox, während Tara Radin – natürlich in einer ethischen Betrachtung – behauptet, dass „[p]rivacy, at least in part, encompasses the goal of being left alone. The simple act of engaging in e-commerce, though, indicates that people actually want to interact with others“, und gerade das sei das Privacy Paradox, denn „[a] person truly concerned with privacy is not surfing the net or engaging in e-commerce.“ Und auch Sarah Spiekermann, Jens Grossklags und Bettina Berendt sowie Alessandro Acquisti und Grossklags stellen in ihren Untersuchungen eine solche Diskrepanz fest, ohne sie jedoch explizit als paradox zu bezeichnen.
Popularisiert wurde der Begriff Privacy Paradox jedoch erst durch einen Artikel von Susan Barnes, in dem sie das Verhalten von – vor allem jugendlichen – Nutzerinnen auf Social-Media-Plattformen reflektiert und eine „paradoxical world of privacy“ beschreibt: „On one hand, teenagers reveal their intimate thoughts and behaviors online and, on the other hand, government agencies and marketers are collecting personal data about us.“ Das Problem sei, so Barnes, dass „[s]tudents may think that their Facebook or MySpace journal entries are private but they are actually public diaries.“ Und Patricia Norberg, Daniel Horne und David Horne, die im Gegensatz zu Barnes tatsächlich (zwei) Studien durchführten, führen das Privacy Paradox darauf zurück, dass die Verhaltensabsicht und das tatsächliche Verhalten betreffend die Preisgabe von personenbezogenen Informationen nicht von den gleichen Faktoren beeinflusst würden, sondern die Absicht vorwiegend Produkt der individuellen Risikowahrnehmung sei, während die tatsächliche Preisgabe in erster Linie von einer Vertrauensheuristik gesteuert werde.
Begriff, Inhalt und Begründung des Privacy Paradoxes sind jedoch in den letzten Jahren durchaus verstärkt in die Kritik geraten, vor allem als zu wenig differenzierend. Alyson Leigh Young und Anabel Quan-Haase zeigen mit einer Differenzierung nach social privacy – in Interaktionssystemen – und institutional privacy – zwischen Individuen und Organisationen –, dass das Verständnis der Betroffenen stark zugunsten der social privacy verzerrt ist, während die Betroffenen nur wenig Problembewusstsein in Bezug auf die institutional privacy hätten, zugleich aber im Bereich der zwischenmenschlichen Beziehungen eine relative Konsistenz zwischen den Intentionen und den tatsächlichen Handlungen bestehe. Zu einem ähnlichen Ergebnis kommen auch Christoph Lutz und Pepe Strathoff, die unter Verweis auf Tönnies social privacy mit Gemeinschaft und institutional privacy mit Gesellschaft verbinden, um dann sogar einen Schritt weiter zu gehen: Das Privacy Paradox erscheine gar nicht mehr paradox, weil die „emotional geprägte Suche nach Gemeinschaft“, die sich in der Preisgabe von personenbezogenen Informationen etwa auf Facebook verwirkliche, stärker sei „als die Abgrenzung in der Gesellschaft im Sinne der Privatsphäre und die damit verbundenen Befürchtungen um Privacy-Gefahren.“
Andererseits zeigt Young Min Baek in einer Serie von Experimenten, in denen den Probandinnen zwischen je zwei Befragungen Gegenargumente vorgelegt wurden, dass die meisten Menschen gar keine gefestigte Meinung zu privacy und den damit zusammenhängenden Gefährdungen haben, vor allem nicht diejenigen mit geringeren Kenntnissen, und dass in diesem Zusammenhang gar kein Privacy Paradox auftrete. Und zuletzt erklären Tobias Dienlin und Sabine Trepte das Privacy Paradox sogar für gelöst, indem sie einerseits zwischen „informational“, „social“ und „psychological privacy“ trennen, andererseits zwischen „privacy attitudes“ und „privacy concerns“, und dann feststellen, dass das Privacy Paradox „disappears“.
In allen Fällen wird – manchmal sehr offen und manchmal nur implizit – privacy als Zustand betrachtet, in dem sich die Betroffenen nicht mehr befinden, wenn sie Informationen über sich preisgegeben haben. In diesem Sinne geht also privacy durch die Preisgabe personenbezogener Informationen verloren. Dies geschieht selbst dann, wenn entweder die zugrunde gelegte privacy-Theorie, die Antworten der Befragten oder beides auf ein anderes als ein zustandsorientiertes privacy-Konzept verweisen oder hinweisen. So legt etwa Alan Westin privacy-Konzept mit privacy als dem „claim of individuals, groups, or institutions to determine for themselves when, how, and to what extent information about them is communicated to others“ und das diesem Konzept entsprechende – unterkomplexe – Verständnis von informationeller Selbstbestimmung als „Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“ nahe, dass die Preisgabe der Informationen kein privacy-Verlust, sondern gerade eine Ausübung der privacy ist. Gleiches gilt für die auf Irwin Altman aufbauenden Konzeptionen von privacy, nach denen privacy gerade die reale Praxis des „boundary management“ als einem dialektischen Prozess sei, ebenso wie für eine als Selbstdarstellung verstandene privacy. Und auch die privacy-Konzeptionen, die sich auf die Frage der Fairness in der organisationsinternen Abbildung der Person, der Fairness im Umgang mit personenbezogenen Informationen oder der Fairness in Entscheidungen über Menschen durch Organisationen beziehen, sprechen gerade gegen einen Verlust der privacy allein durch die Preisgabe von personenbezogenen Informationen. Vor allem aber ignoriert die Forschung zum Privacy Paradox, dass die jeweiligen Preisgaben von Informationen grundsätzlich nicht bedingungslos erfolgen, sondern – jedenfalls wenn es sich um eine gemäß den meisten privacy– und Datenschutzgesetzen legale Datenverarbeitung handelt – beschränkt sind auf konkrete Kontexte und Zwecke, in die vor oder mit der Preisgabe explizit oder implizit eingewilligt wurde.
Das Privacy Paradox, so wie es in allen diesen Arbeiten beschrieben wurde und wird, kann deshalb konzeptionell nur dann vorliegen, wenn privacy ein Zustand ist, der durch die Preisgabe personenbezogener Informationen zwingend verlassen wird, wenn – wie in James Rules Konzept von privacy – die Verarbeitung personenbezogener Informationen durch Organisationen per de-finitionem als Verletzung der privacy der Betroffenen betrachtet wird oder wenn privacy nichts anderes als Geheimhaltung bedeutet.
Vor diesem Hintergrund stellt sich natürlich die aus Platzgründen leider hier nicht diskutiert werden könnende Frage, warum dann auch so viele Vertreterinnen von privacy-, surveillance– und Datenschutztheorien an die Existenz dieses Privacy Paradoxes glauben. Eine mögliche Erklärung könnte sein, dass es sich bei allen diesen Theorien um „Schaufenster-Theorien“ handelt, die nur vorgeschoben sind, weil sie vermeintlich wissenschaftlicher wirken, ihre Vertreterinnen jedoch – im Grunde ihres Herzens – von einer zustandsorientierten Theorie ausgehen, einem von der Welt und der Gesellschaft abgeschlossenen Rückzugs-„Raum“ des Individuums.
Jörg Pohle; Humboldt-Universität zu Berlin; 2019
Open-Access-Erklärung: https://edoc-info.hu-berlin.de/de/nutzung/oa_hu
https://edoc.hu-berlin.de/handle/18452/19886
Zur leichteren Lesbarkeit wurden die Quellenverweise entfernt. Bei Interesse finden Sie sie im obigen Link.