Datenschutz und Technikgestaltung Die Geschichte des Datenschutzes – Teil 9

Datenschutz und Technikgestaltung Die Geschichte des Datenschutzes – Teil 9

09/2021

 

2.6 Noch mehr alter Wein in neuen Schläuchen und aufkommende Kritik

Im Anschluss an die Anschläge vom 11. September 2001 in New York – und dann jeweils in gesteigerter Form nach den Anschlägen vom 11. März 2004 in Madrid und vom 7. Juli 2005 in London – kam eine inzwischen sehr alte Diskussion zu neuen Weihen, die durch die Gegenüberstellung von Sicherheit und Freiheit geprägt ist und wenig überraschend mit einem Sieg der Sicherheit über die Freiheit endet. In der Folge wurde eine Vielzahl neuer Überwachungsgesetze und -instrumente eingeführt. In der Bundesrepublik zählten und zählen dazu etwa die Vorratsdatenspeicherung, die Online-Durchsuchung oder der Bundestrojaner, die dann jeweils Gegenstand umfassender politischer und wissenschaftlicher – und teilweise vor dem Bundesverfassungsgericht und anderen Höchstgerichten ausgetragener – Auseinandersetzungen waren und sind.

Ein wesentlicher Teil der Debatte im neuen Jahrtausend fokussierte auf alten und neuen Techniken moderner Informationsverarbeitung: den „Resten“ des Ubiquitous Computing, bevor es als Thema vom Internet of Things abgelöst wurde, Personalisierung und Tracking, immer noch und doch wieder neu entdeckt auch Profilbildung und Scoring, dazu dann Big Data und das alte und zugleich neu entdeckte Problem der Algorithmisierung. Parallel fand eine nicht enden wollende Diskussion um eine Reform des Datenschutzrechts statt, wobei die Reförmchen, die es stattdessen gab, nur Flickwerk bleiben, bis im Januar 2012 die EU-Kommission einen Entwurf für eine Datenschutzgrundverordnung vorstellt. Die nationalen Reformdiskussionen kommen damit fast schlagartig zum Erliegen, und alles dreht sich um die Europäische Datenschutzreform, die im April 2016 beschlossen wurde.

Dann gab Edward Snowden einen weiteren kleinen Einblick in die Praxis westlicher Massen-überwachung, und (fast) alle waren überrascht – oder gaben sich zumindest den Anschein, überrascht zu sein. Massive Änderungen wurden gefordert, aber am Ende passierte, was in der Vergangenheit – vielleicht mit Ausnahme des Church Committees und seiner Folgen – immer passierte: Die illegalen Machenschaften der Dienste wurden ein klein wenig zurückgestutzt, im wesentlichen aber einfach legalisiert. Das wird nicht nur am Fall „Schrems“ deutlich: Max Schrems gewann vor dem EuGH, der mit seinem Urteil „Safe Harbor“ den Todesstoß versetzte, das daraufhin durch ein ebenso löchriges „Privacy Shield“ ersetzt wurde.

2.6.1 Von 9/11 über Big Data bis Edward Snowden

Obwohl die konkrete Entwicklung im Bereich des Datenschutzes sowohl vor wie nach dem

September deutlich in Richtung seiner faktischen Abschaffung zeigt, vor allem im Bereich der Sicherheitsbehörden und der Geheimdienste, aber auch im Bereich der Wirtschaft, zeigen sich gerade die Datenschützerinnen fast schon übertrieben optimistisch. Vielleicht sind es jedoch gerade die „Rückzugsgefechte“ selbst, die eine Reaktion hervorrufen, die je nach Kontext weniger als Optimismus, sondern eher als „Pfeifen im Walde“ und teilweise als Trotz bezeichnet werden müssen. Letzteres gilt etwa für Simitis, der es für absurd hält, dass die Datenschutzgesetze „weder die Zunahme der Verarbeitung noch die schier unaufhaltsame Proliferation der Daten verhindert, sondern nachhaltig gefördert“ hätten. Dieser Kritik liegt eine Gleichsetzung des Ziels des Datenschutzes – Beschränkung von Informationsmacht über Menschen – mit dem Mittel, dessen sich das Recht zu seiner Erreichung bedient – Kontrolle über die Informationen, die diese Menschen abbilden oder abbilden sollen –, zugrunde. Anstatt jedoch an dieser Stelle anzusetzen und diese Gleichsetzung zu kritisieren, werden ihr einfach andere Gleichsetzungen entgegengesetzt – oder sogar die gleiche, etwa bei der Frage nach Profilbildung, die nur dann für relevant erachtet wird, wenn das Profil korrekt ist.

Die Folgen einer solchen Gleichsetzung zeigen sich dann etwa im Umgang mit Datenschutzaudits, aber auch in vergleichbarer Form in Bezug auf Privacy Policies. Unter solchen Bedingungen degenerieren Datenschutzaudits dann nicht selten zu reinen Datensicherheitsaudits – und die Beteiligten sind auch noch stolz darauf. Ähnliches gilt für ein Datenschutzmanagement, bei dem Datenschutz nur durch die Brille der IT-Sicherheit und ihrer Konzepte betrachtet wird: erstens schon nur als Substitut zweiter Ordnung (Datenschutz → Datenschutzrecht → Datenschutzrecht nach IT-Grundschutz), zweitens aber auch in Bezug auf die Rangordnung zwischen Sicherheit und Datenschutz. Und im Umgang mit Privacy Policies produziert diese Gleichsetzung dann sowohl auf Seiten der solche Policies untersuchenden Wissenschaftlerinnen wie auch auf Seiten der Betroffenen Fehlverständnisse und falsche Erwartungen.

Die innerdeutsche Diskussion um die Reform des Datenschutzrechts hat – ausgelöst durch einige Datenschutzskandale – im Jahr 2009 zu drei sehr kleinen Novellierungen geführt, die dann wieder breit juristisch diskutiert wurden. Dabei stehen sich unterschiedliche Forderungen nach einer grundsätzlichen Neukonzeption des Datenschutzrechts ebenso gegenüber wie in verschiedene Richtungen drängende Detailänderungen. Simitis fordert etwa, alle allgemeinen Regelungen im BDSG zu treffen und die bereichsspezifischen „durchweg darauf abgestimmt und bezogen“ zu gestalten. Darüber hinaus fordert er eine quasi binäre Regulierung: Zwecke und Verarbeitungsbedingungen seien gesetzlich verbindlich und abschließend zu regeln, Ausnahmen wie zweckfremde Verarbeitung dürften nicht zulässig sein. In einer Stellungnahme des Berliner Datenschutzbeauftragten vor dem Bundestags-Innenausschuss schlägt Alexander Dix nach der „Gefahrenträchtigkeit“ von Informationsverarbeitungsvorgängen, etwa nach der „Nähe der Daten zum Persönlichkeitskern von Betroffenen“, abgestufte Regelungen vor, ohne dabei allerdings diesen „Persönlichkeitskern“ bestimmen zu können – und das angesprochene Beispiel des Auskunfteiwesens bietet das gerade nicht. Und für das ULD statuiert Johann Bizer zwar, dass „[d]as derzeitige Schutzkonzept wird den Herausforderungen nicht im erforderlichen Umfang gerecht“, verweist dann aber nicht auf konzeptuelle Probleme, sondern nur auf die Unübersichtlichkeit des Rechts, einzelne Schutzlücken und das Problem des Vollzugsdefizits, um dann einen „Datenschutz durch Technik“, Audit- und Zertifizierungsverfahren sowie ein „Prozessmanagement“ zu fordern.

Die Rufe nach einer Überarbeitung des Datenschutzrechts werden nach den Novellierungen 2009 nicht leiser: Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder wiederholt Simitis’ Forderung nach einem BDSG als „Allgemeinem Teil“ des Datenschutzrechts auf der Basis von „Schutzzielen“ und „Grundsatznormen“, „die für alle Formen der Daten-verarbeitung gleichermaßen gelten“ sollen wie der Grundsatz der Zweckbindung oder ein neu einzuführendes „grundsätzliches Verbot der Profilbildung“. Dieses Verbot der Profilbildung ist dabei nicht der einzige Vorschlag, der in der Diskussion neu aufgewärmt wird. Gleiches gilt etwa für das Vergessen, seine rechtliche Normierung und seine Umsetzung in Technik, dessen „Erfindung“ in der neueren Debatte zum „right to be forgotten“ vor allem Viktor Mayer-Schönberger zugeschrieben wird. Seitdem feiert es jedenfalls in der Debatte fröhlich Urständ – mit teils sehr extremen Beiträgen von allen Seiten – und hat es am Ende sogar in die EU-Datenschutzgrundverordnung geschafft, wenn auch nur in einer Überschrift, denn die Norm selbst statuiert nicht mehr als ein Recht auf Löschung, wie es seit den 1970er Jahren im deutschen und später auch im europäischen Datenschutzrecht umgesetzt wurde.

Weil einerseits die Datenschutzdebatte schon immer von der Auseinandersetzung mit den Sicherheitsbehörden und Nachrichtendiensten geprägt war und andererseits die Aufdeckung und öffentliche Diskussion von Echelon sowie die oben schon angerissenen Auseinandersetzungen um die nach dem 11. September 2001 eingeführten oder ausgeweiteten Überwachungsgesetze und -instrumente noch hätten frisch in Erinnerung sein müssen, überrascht der relativ große Aufruhr, den Edward Snowden mit seinen Enthüllungen verursacht hat, sehr. Die Debatte ist von einer relativen Dreiteilung gekennzeichnet, die sich zwar nicht in drei streng getrennten Phasen, jedoch in drei zeitlichen Schwerpunkten beobachten lässt: Zu Beginn gab es einen Schwerpunkt auf der Beschreibung und Analyse der von Snowden und anderen enthüllten massiven Überwachung des weltweiten Kommunikationsverkehrs durch US-amerikanische – und wie dann aufgedeckt wurde, auch andere vor allem westliche – Geheimdienste, während gleichzeitig die politische Diskussion – oder besser: die Simulation einer politischen Diskussion – zwischen einer breiten Verurteilung dieser Maßnahmen vor allem von Oppositionsseite und einer weitgehenden Abwiegelung durch die verantwortlichen Regierungen oszillierte. Der zweite Schwerpunkt wurde durch die Versuche gekennzeichnet, auf verschiedenen Ebenen dieses Problem der Massenüberwachung technisch, politisch und/oder rechtlich zu lösen, und war geprägt von einem durchaus weitverbreiteten Optimismus hinsichtlich einer grundsätzlichen Lösbarkeit. Und die tatsächlich vorgenommenen Änderungen in den Gesetzen, aber auch in den Überwachungsorganisationen, stellen dann den dritten Schwerpunkt dar, wobei im Ergebnis in den meisten Fällen die vormals illegalen oder jedenfalls in einer rechtlichen Grauzone vollzogenen Überwachungsmaßnahmen legalisiert wurden oder sich gerade im Prozess der Legalisierung befinden. So gesetzliche Beschränkungen eingeführt wurden, bezogen sie sich fast ausschließlich auf die jeweils eigenen Bürgerinnen.

Die Nähe von Erfolg und Misserfolg beim Versuch, geheimdienstliche Massenüberwachung rechtsstaatlich unter Kontrolle zu bringen, zeigt der breit diskutierte Fall „Schrems“: Obwohl nicht nur in der wissenschaftlichen Debatte schon lange die Einschätzung vorherrschte, dass „Safe Harbor“ ein Papiertiger sei, der den europäischen Betroffenen keinen Grundrechtsschutz bieten könnte, bedurfte es erst des EuGH, um aus der Nacktheit des Kaisers Konsequenzen zu ziehen. Während auf der einen Seite das Urteil als großer Erfolg gefeiert wurde, beschleunigte die andere Seite die nach den Snowden-Enthüllungen begonnenen Verhandlungen über Regelungen zu staatlichen Zugriffen auf von privaten Anbieterinnen gehaltenen Daten im transatlantischen Datenaustausch, die Anfang 2016 in einem als „Privacy Shield“ bezeichneten Ersatz des „Safe Harbor“-Abkommens mündeten, der die zentralen Probleme gar nicht angeht und diese Tatsache etwa durch die Einführung einer zahnlosen, weil unter anderem auf der Basis einer einseitigen Entscheidung der US-Regierung umgehbaren, Ombudsperson nur vernebelt.

Eine andere Entwicklung, die mittelfristig größere Auswirkungen auf die tatsächlichen Möglichkeiten staatlicher Stellen zu Massenüberwachung und dem massenweisen Zugriff auf bei privaten Dritten gespeicherte personenbezogene Informationen haben könnte, stellt die EU-Datenschutzreform dar, die zugleich spätestens mit der Vorstellung eines Vorschlags für eine Datenschutzgrundverordnung (DSGVO) durch die EU-Kommission im Januar 2012 die fast ausschließlich auf die Bundesrepublik fixierte Reformdiskussion der Vorjahre zum Erliegen brachte. Die verschiedenen Entwürfe und Zwischenstände sind ebenso oft hoch gelobt wie tief verdammt worden und waren gleichzeitig Gegenstand heftiger Versuche von Lobbygruppen verschiedener Art, Einfluss auf die Inhalte und Formulierungen zu nehmen. Im April 2016 wurde die DSGVO dann verabschiedet. Die zentrale Änderung gegenüber der EG-Datenschutzrichtlinie von 1995 ist, dass die Grundverordnung direkt gilt und nicht erst in nationales Recht umgesetzt werden muss. Die Grundverordnung enthält sehr viele neue Einzelregelungen, aber – vor allem auch im Vergleich zum geltenden deutschen Datenschutzrecht – wenig substanziell Neues, das in den Gegenstandsbereich dieser Arbeit fällt, vielleicht abgesehen vom Recht auf Datenübertragbarkeit (Art. 20) und der Datenschutz-Folgenabschätzung (Art. 35), wobei allerdings noch unklar ist, ob es sich bei letzterem praktisch auch um mehr handelt als die jetzt schon geregelte Vorabkontrolle (§ 4d Abs. 5 BDSG). Trotz der „neuen“ – oder jedenfalls groß klingenden – Begriffe „Datenschutz durch Technikgestaltung“ und „Datenschutz durch datenschutzfreundliche Voreinstellungen“ (Art. 25) handelt es sich dabei um zwei grundsätzlich bereits existierende Regelungen. Auch die Zertifizierung (Art. 42) ist im BDSG grundsätzlich bereits geregelt (§ 9a), allerdings hat es der Gesetzgeber seit Jahren versäumt, ein Datenschutzauditgesetz zu verabschieden.

Darüber hinaus gibt es gegenüber dem geltenden Recht auch konzeptionelle Rückschritte. Mit der auf europäischer Ebene fortgeschriebenen Nichtdifferenzierung nach Phasen der Datenverarbeitung vergibt die DSGVO nicht nur die Möglichkeit differenzierter Regelungen, wie es sie im deutschen Recht derzeit noch gibt, sondern auch einen sinnvollen Anknüpfungspunkt für Analysen komplexer Informationsverarbeitungen, etwa im Rahmen von Datenschutz-Folgenabschätzungen. Strukturell das gleiche gilt für den Wegfall sowohl des Erforderlichkeitsprinzips wie der strikten Zweckbindung und deren Folgen für die Erzeugung von Vorhersehbarkeit und Kontrollierbarkeit. Und nicht zuletzt zeigt sich in der DSGVO sehr deutlich, wie schwierig es ist, all die Gefahren für Grundrechte und -freiheiten von Menschen sauber und verständlich zu adressieren, die durch moderne Informationsverarbeitung erzeugt oder verstärkt werden, wenn diese Gefahren sowohl konzeptionell wie auch im Versuch ihrer rechtlichen Lösung immer nur vermittelt über das Konzept der personenbezogenen Daten adressiert werden können, ganz zu schweigen von den immer noch enthaltenen „sensitiven“ Daten.

2.6.2 Geschichtsschreibung – Geschichtsneuschreibung – Geschichtsumschreibung

Historisch konstruierte Konzepte nehmen nicht nur direkt Einfluss darauf, wie sie in Theorie und Praxis eingesetzt und in Technik und Verfahren umgesetzt werden, sie werden auch immer wieder neu durch die Brille einer Geschichtsschreibung interpretiert – und dabei leider allzuoft auch bis zur Unkenntlichkeit verzerrt oder gar in ihr Gegenteil verkehrt. Vor diesem Hintergrund überrascht es nicht, dass die in den letzten zehn bis fünfzehn Jahren erschienenen Arbeiten, die sich wahlweise mit einzelnen Aspekten oder den großen Entwicklungslinien der privacy- und Datenschutz(rechts)geschichte beschäftigen, in Teilen die Geschichte schlicht neu- oder umgeschrieben haben und mit einer daraus folgenden falschen Rezeption der historischen Auseinandersetzungen, Problemdefinitionen und -lösungen die aktuellen Debatten in die Verwirrung getrieben haben. Auf der anderen Seite ist leider vielen Arbeiten, die solche Fehlvorstellungen aufdecken, ein größerer Einfluss auf die Debatte versagt geblieben.

Während etwa Marit Hansen die Geschichte der Versuche, Datenschutz durch Technik „umzusetzen oder zumindest [seine] Realisierung zu unterstützen“, tatsächlich bis in die Anfänge in den 1970er Jahren zurückzuverfolgen in der Lage ist – und leider dennoch nicht den fundamentalen Unterschied zwischen diesen Versuchen und den viel späteren PETs problematisiert – und Sandra Braman die in der heutigen Debatte extrem weit verbreitete Behauptung widerlegen kann, in den ersten Jahrzehnten der Entwicklung des Internets sei das privacy-Problem vor allem von den Ingenieurinnen schlicht ignoriert worden, und leider beide Arbeiten weitgehend ignoriert werden, wird James Whitmans ziemlich unsägliche Arbeit „The Two Western Cultures of Privacy: Dignity versus Liberty“ überraschend breit und unkritisch rezipiert, obwohl sie inhaltlich zur information privacy- und Datenschutzdebatte fast gar nichts beizutragen vermag, weil sie sich im Kern mit privacy in einem breiten Verständnis und mit dem allgemeinen Persönlichkeitsrecht – auch in seiner ganzen epischen Breite – als dessen kontinentaleuropäischem Äquivalent beschäftigt und alle Beteiligten die jeweiligen Unterschiede zwischen privacy in einem weiten Verständnis und information privacy sowie dem allgemeinen Persönlichkeitsrecht und dem Recht auf informationelle Selbstbestimmung fleißig ignorieren.

Damit er in seinem „Vergleich“ zu dem von ihm offensichtlich gewünschten Ergebnis kommen kann, muss er an einigen sehr deutlich sichtbaren Stellen die Geschichte umschreiben oder einfach ausblenden – oder er hat schlicht keine Ahnung, wovon er schreibt: So haben Warren und Brandeis ihr privacy-Konzept von Kohler übernommen, ohne es auszuweisen. Whitman scheint das nicht zu wissen und Kohlers Arbeit auch nicht zu kennen, daher schließt er aus Warren und Brandeis’ Übernahme des Persönlichkeitsbegriffs, dass dieser auf einem Ehrenschutzansatz basieren würde, obwohl Kohler gerade diesen Ansatz ablehnt – und gerade deswegen auch nicht einer der Väter, sondern allenfalls einer der Onkel des allgemeinen Persönlichkeitsrechts in Deutschland geworden ist. Hingegen ist ihm die Übernahme der privacy-Konzeption Alan Westins durch die deutsche – und in der Folge auch durch die europäische – Debatte und deren Übersetzung in das Recht auf informationelle Selbstbestimmung kein Wort wert. Stattdessen übersetzt er den historischen deutschen Disziplinbezeichner „Nationalökonomie“ in „»national« economics“ und macht daraus „a school critical of free trade and in many ways of the free market more broadly“.

Solche Fehldarstellungen der Geschichte sind aber keineswegs nur in Ausflüssen von Nichtbeteiligten zu finden, sondern werden oft genug auch von Zeitzeuginnen vorgelegt, die es eigentlich besser wissen müssten. So behaupten etwa Büllesbach und Garstka, dass die Phasenorientierung des deutschen Datenschutzrechts eine Fortentwicklung der aus den USA vorgegebenen Grundlagen sei und zugleich das damalige Bedrohungsmodell auf Systeme fokussierte, „die kaum einen Datenaustausch untereinander vornahmen“, obwohl nicht nur beides historisch falsch ist, sondern Garstka in die damaligen Debatten auch tief involviert war. Steinmüllers durchaus auch als Replik darauf zu verstehende Darstellung, an der selbst auch einiges zu kritisieren ist, räumt jedenfalls mit einigen der Fehldarstellungen auf – und produziert gleichzeitig ein ganz paar neue. Von den amerikanischen Vorarbeiten ist, wie schon gezeigt, nur die äußere Schale des informationellen Selbstbestimmungsrechts übernommen worden – im Sinne des Rechts, über die Preisgabe und Verwendung personenbezogener Informationen entscheiden zu können – sowie die diesbezügliche Phraseologie, jedoch unter gleichzeitigem Austausch der theoretischen Fundierung – von Goffmans individualistischer zu Parsons und Luhmanns strukturalistischer Rollentheorie. Und gerade in technischer Hinsicht sind eben nicht die Eigenschaften der damals eingesetzten, sondern die der für die Zukunft geplanten und von den Herstellern versprochenen Systeme zugrunde gelegt worden und das vor dem Hintergrund der schon seit den 1930ern laufenden Planungen der Staatsbürokratie für ein umfassendes Bevölkerungsinformationssystem, wie auch Steinmüller rekapituliert. Ob die recht weitgehenden Übereinstimmungen zwischen den Fair Information Practices (FIP) und dem deutschen Regelungsansatz – und dann eben auch den daraus entwickelten rechtlichen Regelwerken – nun aber daraus folgen, dass führende Personen hinter beiden Konzeptionalisierungen – unter anderem Steinmüller und Ware, aber auch Weizenbaum – ihren Hintergrund in oder ihr Interesse an Kybernetik zielführend einsetzten, es einfach dem damaligen regulierungstheoretischen Ansatz entsprach oder die Konzeption in „Records, Computers, and the Rights of Citizens“ von der in „Grundfragen des Datenschutzes“ abgeschrieben wurde, ist wohl auch deshalb nicht untersucht worden, weil selbst in den besseren Arbeiten zur Geschichte die FIP zur Grundlage aller gesetzlichen Regelungen erklärt werden.

Auch Lutterbecks Auseinandersetzung mit der eigenen wissenschaftlichen Vergangenheit bleibt ambivalent: Einerseits gehört er zu den wenigen, die nicht vergessen haben, warum sich die „Privatsphäre“ nicht als Anknüpfungspunkt für eine rechtliche Regelung eignet, andererseits hält er sie trotz aller Auseinandersetzungen in den 70ern, an denen er auch beteiligt war, immer noch für das Schutzgut – natürlich ohne dafür eine Definition oder gar eine Begründung mitzuliefern. Sehr ehrlich ist jedenfalls Michael Kirby, zwischen 1978 und 1980 Vorsitzender einer Expertinnengruppe der OECD zur Ausarbeitung der „OECD Guidelines on Privacy“, und erklärt: „Put bluntly, the OECD concern was that the response of European nations (and European regional institutions) to the challenges of TBDF [transborder data flows] for privacy might potentially erect legal and economic barriers against which it was essential to provide effective exceptions.“

Ganz anders agiert Simitis, der wie immer die Arbeiten anderer ausblendet und nur seine eigenen Verdienste hervorhebt, wenn er das BDSG quasi direkt aus dem HDSG, an dessen Entstehung er selbst beteiligt war, abgeleitet sieht. Im Ergebnis ist er – nicht nur wegen seiner Bekanntheit, sondern auch weil er im Gegensatz zu anderen Datenschützerinnen der ersten Generation relativ viele Arbeiten auf Englisch publiziert hat – damit ziemlich erfolgreich in der Beeinflussung der Debatte über die Geschichte des Datenschutzes und des Datenschutzrechts, wie unter anderem die sehr umfassende Arbeit von Gloria González Fuster zeigt, die nicht nur eine direkte Verbindungslinie zwischen dem HDSG und dem BDSG 1977 zieht, sondern es auch dabei belässt und die konzeptionellen Unterschiede oder der Diskussionen, die dazu in der Bundesrepublik geführt worden sind, einfach unter den Tisch fallen lässt. Hinzu tritt, dass Fuster sich bei der Darstellung der Analysen des privacy- und Datenschutzproblems allein auf US-amerikanische Arbeiten aus den 1960er und von Anfang der 1970er Jahre stützt, während sie die Entwicklungen in den anderen Ländern dann nur noch durch die Brille ihrer jeweiligen Übernahmen dieser Vorarbeiten und deren Umsetzungen in nationalem Recht betrachtet.

Und während es zur Vorgeschichte von privacy, Privatsphäre oder Geheimsphäre und deren Schutz durch das Recht durchaus einige umfassendere Arbeiten gibt, ist die Vorgeschichte des Datenschutzes und des Datenschutzrechts als Schutz vor Datenmacht, strukturell asymmetrischen Informationsverhältnissen, vor allem im Sinne einer strukturellen Beschränkung der Datenmacht staatlicher und privater Organisationen, bisher nur von Kai von Lewinski umfassender analysiert worden.

2.6.3 Noch mehr „neue“ Gefahren

Im Rahmen der Diskussion über die Gefahren, die es jeweils abzuwehren gelte, hat die Debatte in den vergangenen zehn bis fünfzehn Jahren so gut wie alle informatischen, verarbeitungspraktischen und Geschäftsmodellentwicklungen, die in der Praxis beobachtet oder für die Zukunft vorhergesagt wurden, aufgegriffen und problematisiert – von übermäßig detailfixiert bis zu alle Details zugunsten der „großen Entwicklungslinien“ ignorierend. Wenig überraschend folgt die Debatte dabei – wenn auch durchaus mit ein wenig Verzögerung – den Hypes und ihren Begriffen. Nur selten werden dabei allerdings die jeweiligen Vorgeschichten und die historischen Vorläufer der Techniken betrachtet, die jeweils als „neu“ markiert werden, bei denen jedoch bei genauerem Hinsehen nur der Begriff jeweils neu ist – wenn überhaupt. Nicht nur ist dieses Verhalten wissenschaftlich mehr als fragwürdig, dabei wird auch die Chance vergeben, vergangene Lösungsvorschläge und -umsetzungen kritisch überprüfen und daraus – ob positiv oder negativ – lernen zu können.

Andererseits werden natürlich auch Diskussionen, die mit bestimmten Begriffen, Konzepten und Entwicklungen verbunden sind, weitergeführt, wobei sich dann durchaus die Schwerpunkte ändern können. Eine dieser Diskussionen beschäftigt sich mit dem Ubiquitous Computing und bleibt dabei gerade dem Anfang der 1990er Jahre eingeführten Begriff verhaftet. Gleichzeitig bekommt dieses Konzept – begriffliche eher als inhaltliche – Konkurrenz: Ambient Intelligence. Wie schon bei Ubiquitous Computing handelt es sich bei Ambient Intelligence um einen Oberbegriff, unter dem einen breites Spektrum an technischen wie soziotechnischen Systemen diskutiert werden – von RFIDs, smart objects bis zum Internet of Things und derem jeweiligen Einsatz in der Praxis –, deren Auswirkungen auf privacy und Datenschutz problematisiert wird. Daneben werden die Ubiquitous Computing und Ambient Intelligence konstituierenden Elemente auch einzeln betrachtet.

Einen Schwerpunkt in der Debatte nehmen die personenbezogenen Verarbeitungsverfahren ein, die im Rahmen von Ubiquitous Computing, Ambient Intelligence und dem Internet of Things zum Einsatz kommen. Während Rost schon recht früh dafür wirbt, die seinerzeit in der technischen Datenschutzdiskussion schon eingeführten Begriffe „Verkettung“ und „Verkettbarkeit“ – „linkage“ und „linkability“ – als Operationalisierung von „Beziehung“, „Herstellen einer Beziehung“, „In-Beziehung-gesetzt-Haben“ und „Beziehbarkeit“ zu verwenden, kann sich damit allerdings nicht durchsetzen. Stattdessen setzen sich eher andere Begriffe wie Individualisierung, Personalisierung oder customization durch, die jeweils eine Zuschneidung von Angeboten auf Individuen oder Identitäten bezeichnen, für die die Erhebung, Speicherung, Verarbeitung und Nutzung großer Mengen von Informationen über die Individuen oder Identitäten notwendig ist, um die Zuschneidung vornehmen zu können. Diese Zuschneidung mit ihren Konsequenzen für die Menge der zu verarbeitenden Informationen ist dabei allerdings gar kein neues Phänomen, auch wenn es in der Diskussion oft als solches behandelt wird. Gleiches gilt für die Profilbildung, mit deren Adressierung der Fokus einerseits auf den Prozess der Profilbildung, andererseits auf das „Halbfertigprodukt“ Profil verschoben wird. Und gerade die vielen Anwendungsmöglichkeiten von Profilen sind es, die die Erstellbarkeit und Erstellung zum Problemfall machen. Die dabei problematisierten Anwendungsmöglichkeiten umfassen dabei sowohl das Scoring, also das quantifizierende Bewerten von Menschen und vergangenen Ereignissen, „predictive analytics“, also das Vorhersagen zukünftiger Ereignisse oder zukünftigen Verhaltens, vor allem durch automatisierte Systeme, social sorting, das Einteilen von Menschen in vordefinierte oder ad-hoc generierte Gruppen, und das dadurch ermöglichte unterschiedliche Behandeln von Menschen, das – insbesondere wenn es zu deren Nachteil geschieht – oft als Diskriminierung bezeichnet wird. Das Ergebnis dieser fortschreitenden Entwicklungen sowohl im Bereich der Datenverarbeitungmethoden wie der konkreten technischen Systeme, die diese Methoden umsetzen, ist jedenfalls eine wachsende Informations- und daraus folgende Entscheidungsmachtasymmetrie zwischen Datenverarbeiterinnen und Betroffenen zum Nachteil letzteres und mit gesamtgesellschaftlichen Folgen.

Dass die ganze Debatte enorm begriffsgetrieben geführt wird, zeigt sich etwa daran, dass die gleichen Probleme – von Profilbildung bis Diskriminierung – auch unter dem Label „Big Data“ diskutiert werden. Vor dem Hintergrund, dass die im Rahmen von Big Data verarbeiteten Daten nie objektiv und oftmals nicht einmal korrekt sind und mehr Daten nicht notwendig die Qualität der Analyse erhöht, die Algorithmen vorfindliche Verzerrungen in der Datenanalyse schlicht reproduzieren und darüber hinaus fundierte Analysen vorliegen, die nachweisen, dass selbst jahrzehntealte rechtliche Regelungen wie der Fair Credit Reporting Act von 1970 die aus solchen Verfahren erwachsenden Risiken besser adressieren als alle neueren Regulierungsvorschläge, überrascht jedenfalls die Selbstverständlichkeit, mit der auf die Vorteile von Big Data verwiesen wird, um eine Änderung zentraler Prinzipien des Datenschutzrechts als erforderlich zu verkaufen.

2.6.4 Noch mehr „neue“ Theorien

Obwohl zu Anfang des neuen Jahrtausends bereits eine fast unüberschaubare Zahl an privacy-, surveillance- oder Datenschutztheorien vorlag – auch wenn es oft nur schwer gelingt, die vorgelegten Theorien konzeptionell sauber voneinander trennen zu können –, ist es nicht etwa zu einer Konsolidierung gekommen, sondern eher zu einer fast exzessiven Ausweitung. Neben neuen – oder als „neu“ markierten – und mehr oder weniger grundlegend überarbeiteten Theorien gab es allerdings auch einige Versuche, bestehende Theorien zu ordnen und zu systematisieren sowie miteinander zu vergleichen.

Mit ihrer Habilitationsschrift „Informationelle Selbstbestimmung“ beabsichtigt Marion Albers, den Datenschutz neu zu konzeptionalisieren. Sie benutzt dabei einen schon vorher von Gregory Bateson übernommenen Informationsbegriff, der Informationen als „a difference which makes a difference“ definiert hat. Im Gegensatz zum Informationsbegriff der Semiotik, der dem Datenschutz historisch zugrunde gelegt wurde, und den sie als Ganzes ignoriert und nur Teile davon – und die auch noch falsch –, kann sie damit nur die syntaktische und die semantische Dimension unterscheiden und endet daher bei einer einfachen Trennung von Daten und Informationen, bei der Informationen mit Sinn versehene Daten sind. Diese Interpretationsleistung werde dann nur von Menschen erbracht, aber auch das ist falsch, denn es sind soziale Systeme, die diese Leistung erbringen können, und dazu gehören auch Organisationen – und Organisationen sind keine Menschen.

Albers denkt – und da ist sie keine Ausnahme, eher im Gegenteil – das Problem des Schutzguts von den Informationen her und betrachtet damit die in der Debatte aufgebrachten Regelungsmechanismen nicht als Mittel zu einem Schutzzweck, also als konzeptionell abhängige Variablen, sondern als quasi-selbständige Entitäten, und arbeitet auf dieser Basis drei Gruppen von Regelungserfordernissen aus der frühen Datenschutzdiskussion heraus: zur „rechtlichen Steuerung der Gewinnung und Umsetzung von Informationen und der Verarbeitung von Daten“, zum „Wissen“ der Betroffenen über „den Umgang mit den sie betreffenden Informationen und Daten“ sowie zu den „Einflußchancen, die den Betroffenen zustehen sollen.“ Aufbauend auf ihrer Analyse und Kritik schlägt sie die Entwicklung von zwei getrennten Schutzregimen – „Ebenen“

– vor. Das erste Schutzregime soll sich auf die erwartbaren Nachteile von Informations- und Datenverarbeitungen im Lichte konkreter Grundrechte und ihrer Verbürgungen beziehen. Das zweite Schutzregime soll sich einerseits auf den inhaltlichen Schutzbereich von Art. 2 Abs. 1 GG beziehen, „indem er die Grundrechtsträger in bestimmten Hinsichten in ihrer Identität, ihrer Individualität und in ihrer sozialen Stellung schützt“, andererseits als Vorverlagerung auf abstraktere Risiken „in Konstellationen, in denen bestimmte Folgen zwar zu erwarten, aber noch nicht zu spezifizieren oder abzuschätzen sind oder in denen eine Bündelung vielfältiger Situationen und Folgen notwendig ist.“

In den letzten Jahren ist ein Topos wieder stärker in den Vordergrund gerückt, der schon im Zuge der Diskussion in den 1960ern, vor allem aber im Umfeld von Podlech und Steinmüller problematisiert wurde: die Tendenz automationsgestützter Entscheidungssysteme, Verfahrensgarantien strukturell zu untergraben und dabei Beteiligungsrechte und -möglichkeiten der Betroffenen zu beschränken, indem die ihnen eingebauten Regeln an die Stelle der Rechtsregeln treten, sowie die Tendenz von Betreiberinnen solcher Systeme, die Systemprodukte für wahr zu halten, weil sie von den Systemen erzeugt werden. Während Steinbock explizit Bezug auf die privacy-Debatte nimmt und sie für das von ihm analysierte Problem für zu kurz greifend hält, kommen sowohl Citrons Analyse wie auch ihr Lösungsvorschlag ohne jede Bezugnahme auf Vorarbeiten aus der privacy- und Datenschutzdiskussion aus, weder aus der historischen noch aus der zeitgenössischen. Auch die von Citron zusammen mit Frank Pasquale vorgenommene Übertragung dieses Analyseansatzes auf automationsgestützte Scoringsysteme bleibt dafür blind, obwohl sie ihren Regulierungsvorschlag in Anlehnung an den Fair Credit Reporting Act of 1970 entwickeln.

Auf der anderen Seite des Atlantiks versuchen Paul de Hert und Serge Gutwirth, privacy und Datenschutz genau an dieser Stelle konzeptionell zu trennen: Privacy identifizieren sie dabei als „tool of opacity“, das dazu diene, der Macht normative Grenzen zu setzen und sie zu stoppen, während Datenschutz vor allem ein „tool of transparency“ sei, mit dem legitime Machtausübung eingehegt und kanalisiert werde. Dabei solle privacy vor der Einmischung des Staates und privater Akteurinnen in die Autonomiebereiche der Individuen schützen, während Datenschutz vor allem darauf ziele, mittels prozeduraler Sicherungsmechanismen die privacy des Individuums zu schützen und eine Rechenschaftspflichtigkeit von staatlichen und privaten Datenverarbeiterinnen zu erzeugen. An diese Diskussion knüpfen Mireille Hildebrandt und Katja de Vries mit einem Sammelband an, in dem etwa Antoinette Rouvroy (wieder-)entdeckt, dass allen propagandistischen Behauptungen, nach denen Menschen und ihre Situationen und Bedürfnisse, ihre Fähigkeiten und Präferenzen in den Mittelpunkt gestellt würden, zum Trotz das automatisiert generierte Profil den Menschen als Bezugspunkt ersetzt, und Bert-Jaap Koops die alte Doppelstrategie des Datenschutzes, die sich nur in verkürzter Form im Datenschutzrecht wiederfindet, wieder neu als Lösung vorschlägt: Nicht die Betroffenen sollen von den Organisationen transparent gemacht werden können, sondern den Betroffenen sollen die Datenverarbeiterinnen, ihre Informationsverarbeitungs- und Entscheidungsfindungsprozesse sowie die Entscheidungen selbst transparent gemacht werden.

In dem Teil der Debatte, der privacy als Bezugspunkt ansieht, scheint Kate Raynes-Goldie die erste zu sein, die in ihren Arbeiten sauber zwischen den Geltungsbereichen von Theorien zu trennen versucht. Sie unterscheidet dabei zwischen social privacy und institutional privacy, wobei social privacy sich auf „the management of what is disclosed about oneself to others (also called identity or reputation management) and the ability to navigate and manage various social contexts“ beziehe und institutional privacy darauf, „how institutions such as governments, banks and other businesses, use or misuse their personal information“. Zwei Probleme sind jedoch nicht zu übersehen: Erstens ist ihre Analyse der privacy-Debatte total verkürzt, indem sie unterstellt, die Debatte kreise bislang fast ausschließlich um institutional privacy, obwohl eher das Gegenteil der Fall ist, unter anderem weil sie fast die gesamte auf Goffman und Altman aufbauende Diskussion ignoriert. Und zweitens sind die beiden Geltungsbereiche nicht überschneidungsfrei

– ganz im Gegenteil. Das liegt daran, dass sie die Bereiche nach zwei fundamental unterschiedlichen Kategorien trennt – institutional privacy wird durch die Auswahl an Datenverarbeiterinnen konstituiert, die betrachtet werden, während social privacy durch individuelle Praktiken der Betroffenen bestimmt wird. Diese Trennung ist damit strukturell blind für Situationen, in denen die Praktiken, die unter social privacy gefasst werden, gegenüber Organisationen eingesetzt oder gerade von Organisationen verhindert werden.

Titus Stahl analysiert die Folgen der Massenüberwachung durch Geheimdienste in einer Weise, die an Rosts Datenschutztheorie erinnert, allerdings nur unter Verweis auf Habermas – und nicht auch Luhmann –, nur für die Sphäre der politischen Öffentlichkeit – und nicht für alle gesellschaftlichen Subsysteme – und eben beschränkt auf die Massenüberwachung – und nicht bezogen auf moderne Organisationen und deren Informationsgebaren insgesamt. Stahl stellt fest, wie vor ihm schon Roßnagel für soziotechnische Informationssysteme im Allgemeinen, dass „[n]ew technologies of indiscriminate mass surveillance [. . . ] shape the public sphere in a way that is likely to have an effect on those reasons that are dependent on the citizens standing in certain kinds of relationships in the public sphere“ – oder in Roßnagels Worten: sie beeinflussen die „Verwirklichungsbedingungen für Verfassungsziele“. Mit Habermas schlussfolgert er dann, dass „surveillance of the public sphere undermines the specific form of rationality that this sphere displays in the ideal case“ und „surveillance must count as an intervention into the process of collective reasoning distinctive to this sphere.“

In den letzten Jahren wurden einige Arbeiten publiziert, deren primäres Interesse darin bestand, die bestehenden Theorien – oder zumindest eine Auswahl davon – zu ordnen und zu systematisieren sowie miteinander zu vergleichen oder – wie schon Rule und Kolleginnen 1980, Clarke Mitte der 1990er Jahre oder Kang Ende der 1990er Jahre – Schutzgüter oder Schutzregime zu typisieren.

Herman Tavani unterscheidet vier Arten von privacyphysical oder accessibility privacy, decisional privacy, psychological oder mental privacy sowie informational privacy – und glaubt, dass es drei „full-fledged“ privacy-Theorien – die „Restricted Access Theory“ nach Gavison, die „Control Theory“ nach Westin und die „Restricted Access/Limited Control Theory“, die er selbst vertritt, – und drei Theorieskizzen – „Privacy as Contextual Integrity“ nach Nissenbaum, Floridis „Ontological Interpretation“ und Vedders „Categorical Privacy“. Darüber hinaus will er informational privacy jeweils nach „aspects of an individual’s life“, die betroffen seien, unterscheiden und liefert als Beispiele für seine „categories of informational privacy“ consumer privacy, medical privacy, employee privacy und location privacy.

Thomas Allmer behauptet, eine Systematisierung der privacy-Theorien vorzunehmen, indem er sie als individualistische, strukturalistische und integrative Theorien identifiziert. Stephen Margulis behauptet, in seiner Arbeit „the current most important theories of privacy“ darzustellen, und wählt dann Alan Westins, Irwin Altmans und Sandra Petronios Theorien aus. Die ersten beiden bezeichnet er als „the two best articulated and best supported“ privacy-Theorien, Petronios als „an important extension“ von Altmans Theorie sowie als „[t]he most valuable privacy theory for understanding interpersonal computer-mediated communication“.

Jeff Smith und Kolleginnen klassifizieren information privacy-Theorien in zwei Dimensionen: danach, ob sie normativ, rein deskriptiv oder empirisch deskriptiv sind, und danach, ob sie sich auf die individuelle, Gruppen-, Organisations- oder die gesellschaftliche Ebene beziehen. Privacy-Theorien werden entweder als auf (absoluten) Werten oder auf individuellen Vorstellungen basierend angesehen, wobei erste wieder unterteilt werden in privacy as right und as commodity, letztere in zustandsbasierte und kontrollbasierte Theorien. In Abgrenzung zu benachbarten Konzepten stellen sie fest, dass Anonymität, Geheimhaltung, Vertraulichkeit, Sicherheit und Ethik nicht das gleiche seien wie privacy.

Carsten Ochs und Petra Ilyes untersuchen die Forschungslandschaft im Umfeld der Science and Technology Studies zu information privacy, die sie sociotechnical privacy nennen, und klassifizieren diese als quantitative und qualitative Untersuchungen. Rachel Finn und Kollegen unterscheiden sieben Typen von privacy: „privacy of the person“ als das Recht, „to keep body functions and body characteristics (such as genetic codes and biometrics) private“, „privacy of behavior and action“ als innere und äußere Entscheidungs- sowie Handlungsfreiheit, „privacy of communication“ als Vertraulichkeit der direkten und der technisch vermittelten Kommunikation und ihrer Umstände, „privacy of data and image“, „privacy of thoughts and feelings“, „privacy of location and space“ einschließlich des Rechts, sich anonym, unbeobachtet und unverfolgt in der Öffentlichkeit zu bewegen, sowie „privacy of association“, die auch „group privacy“ beinhalte.

Stefan Drackert versucht, aus der deutschen und europäischen Rechtsprechung und willkürlich ausgewählter, fast ausschließlich deutscher Literatur Schutzgüter und Risiken zu destillieren, die das deutsche Datenschutzrecht prägen, dass die Schutzgüter vor den Risiken zu schützen versucht. Die von ihm identifizierten Risiken klassifiziert er nach strukturellen Risiken auf der Makroebene, überwiegend individuellen Risiken auf der Mikroeben und Risiken für Gesellschaft und Individuum auf der Makro- und Mikroebene, und schließt sogenannte Grenzfälle und Nicht-Risiken aus – unter anderem einen Großteil der Datenverarbeitung durch die Privatwirtschaft wie Werbung und Zielgruppenpräzisierung etwa durch „behavioral tracking“ oder Bonitätsprüfungen und Forderungsmanagement.

Kai von Lewinski ordnet die auf Deutsch unter dem Label „Datenschutz“ diskutierten Schutzgüter und Schutzkonzepte in eine zweidimensionale Matrix ein, bei der die Schutzgüter nach ihrem Abstraktionsgrad aufsteigend geordnet sind und zugleich eine „Vorfeldschutz-Kaskade“ – mit Rückkopplung von der gesamtgesellschaftlichen zurück auf die individuelle Ebene – abbilden, und bei der die Schutzkonzepte eingeteilt sind in außerrechtliche Schutzansätze, direkt wirkende normative Schutzregeln und Vorfeldschutzmechanismen. Die Kaskade der Schutzgüter beginnt mit dem „innere[n] Kern des Menschseins“, seinem „Eigenwert“, gefolgt von räumlichen, sozialen oder „logischen“ – informationstechnischen – Herrschaftsbereichen, dem als „informationelle Fremdbeschränkung“ bezeichneten Abwehraspekt des sonst „informationelle Selbstbestimmung“ genannten Schutzguts, einer auch als „market privacy“ bezeichneten informationellen Verfügung und endet beim „gesellschaftliche[n] Informationsgleichgewicht“, das dann aber wieder auf den Einzelnen zurückwirke.

Und zuletzt haben Bert-Jaap Koops und Kolleginnen eine privacy-Typologie vorgelegt, die auf der Basis einer Analyse des verfassungsrechtlichen privacy-Schutzes in neun Ländern – USA, Canada, UK, die Niederlande, die Bundesrepublik, Italien, Tschechien, Polen und Slowenien – sowie der zugehörigen wissenschaftlichen Literatur acht Typen in zwei Dimensionen – Ausrichtung auf „Freiheit von“ („being let alone“) und auf „Freiheit zu“ („self-development“) – ableiten mit einer neunten, alle anderen Typen überschneidenden, aber nicht mit ihnen übereinstimmenden privacy: der informational privacy. Die acht nicht-informationellen Typen sind jeweils auf einer Achse von einer „personal zone“ über eine „intimate zone“ und eine „semi-private zone“ bis zu einer „public zone“ eingeordnet – mit der Ausrichtung auf „Freiheit von“ sind das „bodily privacy“, „spatial privacy“, „communicational privacy“ und „proprietary privacy“ und mit der Ausrichtung auf „Freiheit zu“ „intellectual privacy“, „decisional privacy“, „associational privacy“ und „behavioral privacy“.

2.6.5 Privacy by Design

In den letzten 10 bis 15 Jahren wurden viele Vorschläge mit neuem Namen vorgelegt, darunter waren aber nicht unbedingt genauso viele neue Ansätze. Teilweise werden explizit ältere Ansätze wie KORA weitergenutzt – auch wenn nicht klar ist, ob sie auch weiterentwickelt werden –, teilweise sind die Konzepte auch einfach nur durch eine extreme Ähnlichkeit zueinander geprägt. Vor allem die Erzeugung von Anonymität nimmt weiterhin einen breiten Raum ein. In den einzelnen Vorschlägen für Methoden der Ableitung von konkreten technischen Anforderungen aus allgemeinen oder abstrakten privacy- oder Datenschutzanforderungen, die dann von Technik erfüllt werden sollen, wird nicht immer deutlich gemacht, woher die Anforderungen stammen, die dort jeweils zur Grundlage gemacht werden – in Teilen sind sie wohl auch einfach aus der Luft gegriffen. Vermehrt werden auch die existierenden Vorschläge selbst zum Gegenstand von Untersuchungen gemacht, vor allem in vergleichenden Arbeiten.

Die sich bereits in den 1990er Jahren abzeichnende und ab Beginn des neuen Jahrtausends verstärkende Verschiebung der Debatte zur den Entwicklungsmethoden von Systemen, die von Organisationen zur Verarbeitung von Informationen über Menschen eingesetzt werden, hin zu solchen, die von den Betroffenen (auch) selbst eingesetzt werden oder mit denen sie interagieren, hat zugleich zu einer Verschiebung des Fokus bei den Bedrohungsanalysen geführt: Während – abgesehen von den wenigen „klassischen“ datenschutzorientierten Gestaltungsansätzen – schon früher wegen eines auf Personen fixierten Verständnisses von privacy-Bedrohungen die Analysen eher weniger auf die informationsverarbeitenden Organisationen, sondern vor allem auf deren Mitarbeiterinnen sowie externe Angreiferinnen fokussierten, ist die Organisation im Verlauf der Diskussion immer weiter aus dem Blickfeld der Bedrohungsanalysen verschwunden oder gar zur Verteidigerin der privacy der Betroffenen mutiert. In der Folge stellen sich viele aus den Analysen abgeleitete Anforderungen an die Systemgestaltung aus Datenschutzsicht als deutlich bruchstückhaft heraus, die selbst erst wieder in passender Form als Bausteine in ein umfassenderes System von Entwicklungsmethoden und Systemanforderungen eingeordnet werden müssen.

Solche Bausteine sind etwa die von Scott Lederer et al. – beschränkt auf Aspekte, die sich aus Altmans interpersonaler privacy-Theorie zur Praxis des Changierens zwischen disclosure und non-disclosure – identifizierten Gestaltungsanforderungen für Endnutzerinnensysteme: Entwicklerinnen sollen sowohl die potentiellen wie die tatsächlich stattfindenden Informationsflüsse den Nutzerinnen transparent machen; Systeme sollten – eine frühe Form von Privacy by Default, vielleicht die erste – keiner exzessiven Vorkonfiguration bedürfen, um Nutzerinnen das Management ihrer privacy zu ermöglichen; Systeme sollten direkt auf dem zentralen User Interface grobkörnige Kontrollmechanismen mitbringen, von An-/Aus-Schaltern bis zu Genauigkeitseinstellungen für Ortsinformationen; und Systeme sollten sich an etablierte soziale Praktiken im Umgang mit privacy halten und sie nicht unterlaufen. Soziale Praktiken sind aber nicht statisch, nicht im Beziehungen zwischen Menschen, aber auch nicht innerhalb von Organisationen, mehr noch: insofern Entscheidungen gerade „Absorption von Unsicherheit“ sind, müssen Entscheidungsspielräume – oder allgemeiner: Kontingenzen – offenbleiben, die dann aber auch modellierbar sein müssen, auch um im Technikentwicklungsprozess verhandelbar, mit anderen Zielen abwägbar und in der Technik am Ende umsetzbar zu sein. Einen Ansatz, um „bewusste Auslassungen [. . . ], erkannte Unvollständigkeiten und [. . . ] situative[] Entscheidungen“, aber auch Perspektivenvielfalt und selbstreferenzielle Änderungen des Systems abbilden zu können, präsentieren vor diesem Hintergrund Thomas Herrmann et al. mit der Methode des „sociotechnical walkthrough“ und der Modellierungssprache SeeMe.

Und Paolo Giorgini et al. erweitern die Methode Secure Tropos um die Abbildbarkeit von Vertrauens- und Abhängigkeitsbeziehungen zwischen sozialen Akteurinnen, mit der dann Fabio Massacci et al. versuchen, die Informationsverarbeitung der Universität Trient gemäß dem Italienischen Datenschutzgesetz abzubilden, und die später von Luca Compagna et al. in „security and privacy patterns“ überführt werden.

Das konzeptionelle Gegenteil zu Herrmann et al. verfolgt eine Gruppe um Annie Antón: Während erstere Mehrdeutigkeiten und Kontingenzen aufrechtzuerhalten versucht, legt letztere eine Methode vor, die bei der Übersetzung von rechtlichen in technische Anforderungen alle Mehrdeutigkeiten auflösen soll, dabei allerdings Abwägungsanforderungen komplett ausblendet und damit einen Umgang mit rechtlich gebotenen Abwägungen zwischen jeweils legitimen Interessen nicht erlaubt. Und das konzeptionelle Gegenstück zu Massacci et al. kommt aus den Feder von Christos Kalloniatis et al., die erst vier und später acht privacy requirements identifizieren und in Pattern umsetzen, denn das Datenschutz-Pattern – die anderen sieben sind Identifizierung, Authentifizierung, Authentisierung, Anonymität, Pseudonymität, Unverkettbarkeit und Unbeobachtbarkeit – lautet schlicht: „if the user asks to perform any of the above tasks the system checks whether this complies with the privacy regulation and the request is either granted or denied, accordingly.“

Spiekermann und Cranor unterscheiden drei Kontrollsphären – die „user sphere“, die „recipient sphere“ und die „joint sphere“ –, die entweder allein von den Nutzerinnen, allein von den Datenverarbeiterinnen oder von beiden gemeinsam kontrolliert werden, sowie drei Funktionen von Systemen – „data transfer“, „data storage“ und „data processing“, wobei letzteres sowohl „use“ wie auch „transformation“ umfasst –, auf die sie in der Folge aber schlicht nicht mehr Bezug nehmen. Auf der Basis einer – sehr überspritzten – Unterscheidung zwischen „[c]ryptography researchers and privacy rights organizations“, die eine Verarbeitung personenbezogener Informationen unter allen Umständen verhindern wollen, und den Akteurinnen, die „acknowledge that information may be collected for useful purposes such as personalized services“, schlagen sie dafür zwei ebenso überspritzt konstruierte Systemgestaltungsansätze vor: „privacy-by-policy“ und „privacy-by-architecture“, wobei der erste Ansatz das Ziel verfolgt, einer Datenverarbeiterin dabei zu helfen, „to implement just enough privacy mechanisms to let users feel comfortable and perceive an adequate level of protection [. . . ] providing users with some degree of control over their personal data“, der zweite hingegen auf Anonymität, mindestens jedoch auf Datenminimierung zielt.

Seda Gürses und Jose del Alamo stellen diesen zwei Ansätzen später einen dritten zur Seite – „privacy by interaction“. Sie ordnen dabei „privacy-by-policy“ das Ziel zu, Organisationen und deren Informationsverarbeitung zu adressieren, während „privacy-by-architecture“ auf die Verhinderung von „unintended inferences“ ziele – es stellt sich die Frage, von wem – und „privacy by interaction“ privacy-Probleme adressiere, „that arise, for example, between peers or in a workplace due to the introduction of information systems.“

Einen völlig anderen Ansatz verfolgen Rost und Pfitzmann, indem sie die drei traditionellen Schutzziele der IT-Sicherheit – Vertraulichkeit, Verfügbarkeit und Integrität – um drei explizit auf Datenschutz orientierte Schutzziele – Transparenz, Unverkettbarkeit und Kontingenz, wobei die letzten beiden später Nichtverkettbarkeit und Intervenierbarkeit genannt werden –, die zwischen den Bereichen Recht, Organisation und Technik vermitteln helfen, ohne dass die Eigenlogik eines der Bereiche die Eigenlogiken der anderen Bereiche dominiert. Dabei werden die Schutzziele zugleich systematisiert, indem jeweils zwei einander als Duale gegenübergestellt werden, also einem in Bezug auf eine Referenz widersprüchlichen, jedoch in Bezug auf verschiedene Referenzen einander ergänzenden Verhältnis: Verfügbarkeit als Dual zu Vertraulichkeit, Transparenz als Dual zu Nichtverkettbarkeit und Integrität als Dual zu Intervenierbarkeit. Zugleich lassen sie die Schutzziele auf alle drei Komponenten eines Verfahrens – oder use cases oder Geschäftsprozesses – anwenden, auf Informationen, Systeme und Prozesse. Auf der Basis der sechs Schutzziele, der drei Verfahrenskomponenten sowie von drei Schutzstufen – normal, hoch und sehr hoch –, die einfach aus dem BSI-Grundschutz übernommen und für den Datenschutz angepasst wurden, schlägt Rost ein „standardisiertes Datenschutzmodell“ vor, das sowohl für die Gestaltung wie für die Prüfung von Verfahren und ihren Komponenten Soll und Ist kontrolliert aufeinander zu beziehen erlaubt, und zugleich die Einbindung von Schutzmaßnahmen ermöglicht. Als „Standard-Datenschutzmodell“ wurde es im Herbst 2015 von der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder beschlossen und von Michael Friedewald et al. zur Grundlage eines Vorschlags für eine Datenschutz-Folgenabschätzung nach Art. 35 EU-DSGVO gemacht.

Während das Standard-Datenschutzmodell auf der Annahme basiert, dass Datenschutz nur durch eine Kombination von rechtlichen, organisatorischen und technischen Maßnahmen sichergestellt werden könne, weil es nicht um den Schutz der Daten, sondern den Schutz der Betroffenen gehe, postuliert Carmela Troncoso in einer Dissertation über Analyse- und Designmethoden für „privacy technologies“ eine – an Spiekermann und Cranors „privacy-by-policy“ und „privacy-by-architecture“ erinnernde – strikte Trennung zwischen „soft“ und „hard privacy guarantees“ und verlangt, dass „privacy-preserving systems“ so zu designen und entwickeln seien, dass sie „hard privacy guarantees“ bieten. Die Notwendigkeit, rechtliche und organisatorische Maßnahmen als untauglich abzuschreiben, folgt dabei allerdings aus einem Irrtum – oder auch einer Lüge: Die Autorin geht davon aus, dass die Datenverarbeiterinnen „trusted“ seien oder sein müssen – sowie, korrekterweise, kompetent –, damit „soft privacy guarantees“ funktionieren würden, wobei sie aber übersieht oder verschweigt, dass das Verhältnis zwischen Datenverarbeiterinnen und Betroffenen nicht auf Vertrauen basiert, sondern auf Überprüfbarkeit, die mittels Zuweisung von Begründungs- und Nachweispflichten an die Datenverarbeiterinnen umgesetzt und mittels interner, externer und Betroffenenkontrolle abgesichert wird. Der Vorwurf ist umso absurder, weil ihr Konzept von „hard privacy guarantees“ auf PETs abzielt, die – wie Troncoso selbst feststellt – nicht immer Datenvermeidung, sondern unter Umständen auch nur Datenminimierung garantieren, mit der Folge, dass wie unter den Bedingungen von „soft privacy guarantees“ die Betroffenen, nachdem sie die Daten gegenüber den Datenverarbeiterinnen preisgegeben haben, „little control on how these data are later processed or shared“ haben.

Während es im Bereich des Security Engineering inzwischen zu einer Konsolidierung hinsichtlich der Konzepte, Designprinzipien, Vorgehensweisen und Standards, aber auch der Werkzeuge

– oder zumindest bestimmter Klassen von Werkzeugen – gekommen ist, liegt noch ein relativ weiter Weg vor der Entwicklerinnen-Community, die nicht security, sondern privacy, Datenschutz oder surveillance als Anknüpfungspunkte für die Technikgestaltung betrachten. Darüber hinaus kranken die existierenden vergleichenden Arbeiten am gleichen Problem wie die privacy-, Datenschutz- und surveillance- und die darauf bezogene Systementwicklungsdebatte insgesamt: Sie legen jeweils ihre eigenen, aus beliebigen Quellen oder einfach aus der Luft gegriffenen Verständnisse von dem, worum es gehen soll, an die Vorschläge für Entwicklungsmethoden an und verhindern damit im Kern sowohl eine Vergleichbarkeit der Methoden wie auch der Vergleichbarkeitsstudien selbst. Zumindest werden diese Probleme inzwischen grundsätzlich erkannt, wenn etwa auf die unterschiedlichen Verständnisse von und Erwartungen an Privacy by Design und die Notwendigkeit zu einer Einigung hingewiesen wird oder auch wenn die Grenzen technischer Systeme und der Technikgestaltung wieder deutlicher hervorgehoben werden.

Dass Kritik alleine nicht ausreicht, zeigt sich in Versuchen, die bestehenden Ansätze in ein umfassendes Entwicklungsmodell zu integrieren, das Entwicklungsmethoden und Systemansätze vereinigt. In dem von der ENISA herausgegebenen Report „Privacy and Data Protection by Design – from policy to engineering“ werden zwar Prinzipien, die der Technikgestaltung zugrunde gelegt werden sollen, aus dem europäischen Datenschutzrecht abgeleitet – Rechtmäßigkeit, Einwilligung, Zweckbindung, Erforderlichkeit und Datenminimierung, Transparenz, Betroffenenrechte, Informationssicherheit, Verantwortlichkeit und Datenschutz by Design und by Default –, aber erstens wird dabei nicht transparent gemacht, welche rechtlichen Anforderungen nicht durch diese Prinzipien abgedeckt werden, und zweitens folgt vor allem die Darstellung der technischen Mechanismen einer eigenen, nicht explizierten Logik, bei denen es sich darüber hinaus fast ausschließlich um IT-Sicherheits- und Anonymitätsmechanismen handelt. Während ENISA zwischen Design-Strategien – „minimise“, „hide“, „separate“ und „aggregate“ als datenorientierte und „inform“, „control“, „enforce“ und „demonstrate“ als prozessorientierte Strategien – und Design Pattern unterscheidet, schieben Michael Colesky et al. noch eine Ebene von „tactics“ dazwischen: „approaches to privacy by design which contribute to an overarching strategy“, und Nicolás Notario et al. versuchen, „goal-oriented“ und „risk-based“ Ansätze zu verbinden, indem sie in Reihe geschaltet werden: Erst soll mit einem zielorientierten Ansatz Unsicherheit absorbiert und eine Menge konkreter privacy-Anforderungen generiert werden, um anschließend mit einem risikobasierten Ansatz für die systemspezifischen Risiken jeweils konkrete Lösungsansätze zu ermitteln.

Und aus dem oben angesprochenen Whitepaper von Friedewald et al. lässt sich dann auch für die Entwicklung informationstechnischer Systeme die Forderung hinzunehmen, dass zu Beginn einer solchen Systementwicklung die beiden Ziele bestimmt und transparent gemacht werden müssen, die verfolgt werden sollen: Erstens ist zu fragen, ob es sich um eine „Marketing“-Entwicklung handeln soll, die „mit geringem Aufwand [. . . ] einen Nachweis über die Erfüllung datenschutzrechtlicher Anforderungen zu erbringen“ in der Lage ist, eine „Standard“-Entwicklung („im engeren Sinne“) oder gar eine „wissenschaftliche“ Entwicklung, „die sich eher in der Tradition wissenschaftlicher Technikfolgenabschätzungen“ versteht und das Ziel verfolgt, auch „unbekannte Eigenschaften und Risiken einer Technologie oder eines Systems aufzudecken“. Zweitens ist der Fokus zu bestimmen, also ob nur ein technisches System entwickelt werden soll, dass dann in verschiedenen Kontexten eingesetzt werden kann, oder ob für das zu entwickelnde System auch schon der Einsatzkontext feststeht, der dann vollständig im Analyse- und Entwicklungsprozess mit abgebildet werden muss.

2.6.6 Privacy-Enhancing Technologies

Neben den anonymitätsgarantierenden Kommunikationssystemen, die seit den 1980er Jahren durchgängig diskutiert, erforscht, entwickelt und eingesetzt werden, lassen sich als die drei größten Baustellen im Bereich der Privacy-Enhancing Technologies in den letzten eineinhalb Dekaden die Identitätsmanagementsysteme, die der Idee des „reference monitor“ aus den 1970er Jahren folgenden – und trotzdem immer wieder als neu verkauften – Middleware-Ansätze sowie die vor allem im Datenbankenbereich diskutierten formalen Anonymisierungsansätze identifizieren, die auf jeweils relativ unterschiedlichen Bedrohungsmodellen basieren. Hinzu kommen Attribut-basierte Credentials, die unter anderem auf Chaums Idee der „blind signatures“ aus den 1980er Jahren basieren und es erlauben, Eigenschaften nachzuweisen, ohne die Eigenschaften oder die den Eigenschaften zugrunde liegenden Informationen aufdecken zu müssen.

Diese Attribut-basierten Credentials sind – neben dem „obligation manager“ genannten „reference monitor“ – einer der zentralen Bausteine der Systemarchitektur, die das PRIME-Projekt – und das Nachfolgeprojekt PrimeLife – entwickelt hat. Das von PRIME zugrunde gelegte Angreifermodell ist fundamental defizitär: Zwar werden explizit auch Insider, „that [are] involved in the user’s transactions“, als Angreiferinnen identifiziert, aber aus der Ereigniskette „attack“ → „discover information“ → „gain some kind of advantage“ wird das eigentlich nur als Mittel zum Zweck genutzte „discover information“ zum eigentlichen Schutzgut erklärt; Technikgestaltungsziel soll nämlich sein, „[to] prevent the mere possibility to snoop private data.“ Die Fähigkeit von Insidern, die Transaktion selbst oder die Informationen, die sie im Rahmen der Transaktion erhalten haben, zur Grundlage von Entscheidungen zu machen, um „some kind of advantage“ zu erhalten, etwa „to minimize the risk of a policy“ im Versicherungsbereich, wird einfach und begründungslos ignoriert. Stattdessen wird dann einfach in solchen Fällen von den überbordenden Versprechungen der Informatikerinnen zurückgetreten, und an die Stelle technischer – und als beweisbar privacy garantierend markierter – Systeme werden soziale – vor allem rechtliche und institutionelle – und auf die Erzeugung von Vertrauen gerichtete Mechanismen gesetzt. Und im Laufe des wird der Anwendungsbereich – und damit der Schutzbereich – noch weiter eingeschränkt: „We stress again that in case two PRIME-enabled parties interact, only the part of the interaction that is related to privacy and identity management is governed by PRIME“, wobei offensichtlich ein sehr beschränktes Verständnis von privacy zugrunde gelegt wird, denn „[t]he architecture is definitely not concerned with business processes such as the data processing by services-side applications. The boundary between PRIME and application is where data leave the PRIME system for processing by applications. It is assumed that business applications only do processing according to the data handling policies.“

Die bereits beschriebenen – auch im PRIME-Projekt eingesetzten – Middleware-Ansätze werden seit der Jahrtausendwende ausgiebig diskutiert, die auf verschiedenen Ebenen – etwa als Teil der Software-Plattform oder als eigenständiges System – und für verschiedene Zwecke – vom simplen Tracking über die Steuerung des Zugriffs auf personenbezogene Informationen bis zur Steuerung der Nutzung bestimmter Systemfunktionen auf Informationen – eingesetzt werden können. Neben Vorschlägen, die auf einen Einsatz in informationsverarbeitenden Organisationen zielen, gibt es auch einige wenige, die auf Betroffenenseite zur Anwendung kommen sollen. Alle diese Ansätze setzen auf formale Sprachen für die Beschreibung der Rechte und Pflichten ein, auf deren Basis die „reference monitors“ ihre Entscheidungen über Zugriffsgewährung oder -ablehnung sowie weitere Aktionen wie Protokollierung treffen sollen. Soweit erkennbar, gibt es in diesem Bereich fast keine Diskussion zur Frage, inwieweit diese Policy-Sprachen mächtig genug sind, um alle – etwa aus rechtlicher Sicht – erforderlichen Entscheidungsbedingungen abbilden zu können.

Obwohl die zwei wesentlichen Bezugspunkte der privacy-Debatte im Datenbankbereich bereits in den 1960er und 70er Jahren „erfunden“ und diskutiert wurden – k-Anonymität und „statistical disclosure control“ – und k-Anonymität auch schon seit Ende der 1990er wieder auf dem Tisch lag, hat die Debatte erst gegen Mitte der nuller Jahre an Fahrt gewonnen. Einerseits wurden die Ansätze zu k-Anonymität sukzessive weiterentwickelt, nachdem sich die jeweils vorhergehenden Vorschläge als unzureichend herausgestellt haben, andererseits wurde mit „Differential Privacy“ ein – gegenüber Dalenius’ ursprünglichen Vorstellungen, die sich als unmöglich erwiesen hatten, weniger weitreichender, aber dafür praktisch umsetzbarer – Vorschlag für eine „statistical disclosure control“ vorgestellt, für die inzwischen gezeigt werden konnte, dass es zwar keine Äquivalenz, aber eine starke Verbindung zwischen beiden Strömungen gibt. Die Tatsache, dass in der privacy-Debatte im Datenbankbereich die Betreiberin der Datenbank nicht als Angreiferin betrachtet wird und werden kann, wird hingegen – jedenfalls von den Beteiligten an dieser Debatte – nicht problematisiert.

Die derzeit umfassendste Übersicht über den Stand von Wissenschaft und Technik im Bereich der Privacy-Enhancing Technologies bietet der Ende 2015 von der ENISA herausgegebene Report „Privacy by design in big data: An overview of privacy enhancing technologies in the era of big data analytics“, wenn auch wegen seiner Ausrichtung auf „Big Data“ und deren Nutzung vor allem mit Blick auf traditionelle, zentral organisierte Datenverarbeitung in Organisationen. Vergleichbare Arbeiten für dezentrale Informationssysteme, Kommunikationssysteme, den Bereich der zwischenmenschlichen Datenverarbeitung oder gar solche, die über das enge Verständnis von information privacy und Datenschutz im Sinne des derzeitigen Datenschutzrechts hinausgehen, existieren augenscheinlich nicht.

2.6.7 Die aufkommende Kritik

In den letzten Jahren ist zunehmend Kritik an zentralen Annahmen der privacy-, Datenschutz- und surveillance-Konzeptionen, Bezugspunkten der Debatten, rechtlichen Regelungsansätzen und der Richtung, die die Technikgestaltung genommen hat, laut geworden. Im Zentrum der Debatte steht dabei das Konzept der informierten Einwilligung.

Zwar gibt es schon länger Kritik an der Einwilligung, vor allem hinsichtlich ihrer konkreten Ausgestaltung und den daran angeknüpften Folgen, aber über die Jahre ist nicht nur die Kritik schärfer und mit empirischen Daten unterlegt worden, sie hat auch den politischen Charakter der Fixierung auf die Einwilligung als zentralem Rechtfertigungsgrund für private Datenverarbeitung aufs Korn genommen. Die empirischen Untersuchungen verweisen auf fundamentale Probleme sowohl auf der Informationsseite wie auf der Entscheidungsseite der Einwilligung und kommen unter anderem zum Ergebnis, dass ein Mehr an Informationen über die möglichen – auch negativen – Folgen der Einwilligung nicht zu mehr Aufmerksamkeit führen, dass aber ein Mehr an sowohl echter wie vermeintlicher Kontrolle tendenziell zur Preisgabe von mehr Informationen führt. Trotz der breiten und fundierten Kritik ist aber eine Lösung nicht in Sicht: Daniel Solove weist zu Recht darauf auf das Problem hin, „[to] limit people’s freedom to choose in the name of enhancing their autonomy“, und Benedikt Buchner sieht das Recht auf „Kommerzialisierung der Persönlichkeit“ als Ausprägung des – sehr eng verstandenen – Rechts auf informationelle Selbstbestimmung.

Auf der anderen Seite fordert Gabriela Zanfir, den Schwerpunkt auf „suitable safeguards“ zu legen, die unabhängig vom Rechtfertigungsgrund für die Datenverarbeitung die Rechte der Betroffenen zu schützen in der Lage seien, und auch Lisa Austin fordert objektivrechtliche Regelungen, die zu einer tatsächlichen Machtbeschränkung der Organisation führen, und knüpft dazu am Rechtsstaatsprinzip an. Und Paul Ohm schlägt vor, das Prinzip der Einwilligung zwar beizubehalten, aber die Organisation in der Manipulierbarkeit der Einwilligungsbedingungen zu beschränken, indem Unternehmen gezwungen werden, ihren Unternehmensnamen oder ihr „brand“ an selbstdefinierte, aber feste „core privacy commitments“ zu binden, bei deren Veränderung der Name des Unternehmens oder des von diesem angebotenen Services geändert werden muss.

Das zweite Problem, das in den letzten Jahren verstärkte Aufmerksamkeit erfahren hat, ist der konzeptionelle Anknüpfungspunkt der meisten Theorien und der rechtliche Anknüpfungspunkt aller Gesetze im privacy-, Datenschutz- und surveillance-Bereich: die personenbezogenen Informationen. Das Problem hat drei unterscheidbare Ebenen: Erstens kann es darum gehen zu fragen, ob das Konzept der personenbezogenen Informationen überhaupt ein geeigneter Anknüpfungspunkt für Theorien und Recht sein kann und welche Alternativen es geben kann. Auf einer etwas konkreteren Ebene stellt sich das Problem, welche Informationen über Menschen als personenbezogen gelten sollen und welche nicht. Und auf der dritten Ebene stellt sich ganz praktisch die Frage, ob konkrete Informationen in einem konkreten Kontext personenbezogen sind oder nicht. Insoweit in den meisten Jurisdiktionen eine Anonymisierung von Informationen eine legale Flucht aus dem Datenschutzrecht ermöglicht, haben die in den letzten Jahren entdeckten und entwickelten Möglichkeiten zur Re-Identifizierung anonymisierter Informationen „the fundamental inadequacy of the entire privacy protection paradigm based on »de-identifying« the data“ offengelegt.

Schwartz und Solove schlagen deshalb vor, aus einer binären Unterscheidung eine ternäre zu machen, also aus „anonymous“–„identifiable“, wobei letztere sowohl personenbezogene wie personenbeziehbare Informationen umfassen, „anonymous“– „identifiable“–„identified“. Tatsächlich ist die Beschränkung des Datenschutzes und des Datenschutzrechts auf personenbezogene und personenbeziehbare Informationen selbst defizitär, weil schon lange nicht mehr nur solche Informationen zur Entscheidung über Menschen – und damit zur Beeinflussung der Bedingungen ihrer Freiheitsausübung – genutzt werden, sondern beliebige Informationen. Wenn deshalb Datenschutz und Datenschutzrecht überhaupt beschränkt werden müssen auf den „Schutz der Grundrechte und Grundfreiheiten natürlicher Personen“, wie Art. 1 Abs. 2 der EU-DSGVO statuiert, dann kann einzig sinnvoller Anknüpfungspunkt das Kriterium der „personenbezogenen Entscheidung“ sein. Und Alessandro Mantelero vollendet, ohne es zu merken, mit seinem Vorschlag, einen Gruppen- oder Kollektivdatenschutz ins Auge zu fassen und die moderne Informationsverarbeitung durch Organisationen, vor allem im Big-Data-Bereich, durch Kollektivakteure oder Institutionen wie Datenschutzaufsichtsbehörden sowie mit Hilfe von Impact Assessments unter Kontrolle zu bringen, den Weg zurück zu den Anfängen der Datenschutzdebatte und dem Konzept des „Datenschutzes im weiteren Sinne“.

Die anderen Auseinandersetzungen nehmen sich demgegenüber fast ein bisschen bescheiden aus.

So steht die Privat/Öffentlich-Dichotomie inzwischen (wieder) verbreitet in der Kritik, auch wenn daraus oft die falschen Konsequenzen gezogen werden, indem die Forderung nach einer Verstärkung dieser überkommenden Trennung erhoben wird. Inzwischen finden sich jedoch verstärkt Arbeiten, die diese früh- oder sogar vormodernen Kategorien ablehnen. Nicht nur wird, wenn die Grundstruktur der sozialen Ordnung auf einen Unterschied von politischer Gesellschaft und häuslicher Wirtschaft reduziert wird, die Realität moderner Gesellschaft als vormoderne Gesellschaft beschrieben, sondern damit werden zugleich das Bedrohungsmodell sowie daraus folgend das Schutzmodell präformiert, an dem sich die Technikgestaltung dann ausrichtet.

Auch das Verhältnis zwischen Recht und Technik sowie zwischen Recht und Technikgestaltung wird inzwischen wieder kritischer beleuchtet, nachdem die sehr naiven Ansätze sowohl in der Rechtswissenschaft wie in der Informatik, die die Debatte lange dominierten, sich inzwischen als offensichtlich ungeeignet erwiesen haben. Die Auseinandersetzung ist dabei keineswegs ausgestanden, wie insbesondere die weitverbreitete Fehldeutung des Zweckbindungsprinzips als von der technischen wie gesellschaftlichen Entwicklung überholte Beschreibung von vergangenen Praxen organisierter Informationsverarbeitung zeigt. Klar ist aber jedenfalls, dass eine direkte Übertragung von rechtlichen Regeln in technische Anforderungen nicht funktioniert, und es noch nicht einmal eine Garantie dafür gibt, dass Regelungen, die auf eine Umsetzung von Datenschutz in Technik zielen, nicht einfach in Regelungen zur Datensicherheit uminterpretiert werden. Und nicht zuletzt stehen auch im informatischen Bereich inzwischen weitverbreitete – und doch oft unausgesprochene – Grundannahmen und -paradigmen in der Kritik, angefangen beim fast übermächtigen Fokus auf Geheimhaltung und Vertraulichkeit – und in der Folge davon Verschlüsselung und Anonymität – als zentrale Gestaltungsziele für technische Systeme. Ähnliches gilt für dezentrale Systeme, die nicht selten in einem überbordend positiven Licht dargestellt werden.

 

Jörg Pohle; Humboldt-Universität zu Berlin; 2019

Open-Access-Erklärung: https://edoc-info.hu-berlin.de/de/nutzung/oa_hu

https://edoc.hu-berlin.de/handle/18452/19886

Zur leichteren Lesbarkeit wurden die Quellenverweise entfernt. Bei Interesse finden Sie sie im obigen Link.

 

Datenschutz

 

Datenschutz


Datenschutz greift auch in unsere Lebensprozesse ein

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind!

Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

Mehr lesen