AnFIfF

August 6th, 2017

V1.1

Die FIfF-Kommunikation 2017/02 ist schon vor einigen Wochen erschienen (FIfF-Webseite, FK-2017/02). Ich schleppe sie seit fast so vielen Wochen auch schon mit mir. Ein erster Scan der Artikel hatte in mir Ärger aufsteigen lassen.

Ich möchte vorweg schicken, ich bin Mental-FIfFler. Ich fühle mich der Szene, die Informatik und Gesellschaft (fällt das nur mir auf… es müsste doch heissen: “Informatik und Soziologie” oder “Technik und Gesellschaft”) zusammen denken möchte, ganz eng verbunden. Und deshalb ist es nicht hinnehmbar, wenn diese mir so mental und politisch nahestehende Szene, die gern im auch von mir geschätzen Modus des gepflegten Besserwissens agiert, Artikel abliefert, die an den theoretisch entscheidenden Stellen noch schlechter argumentieren als die miesesten Lobbyisten-Artikel. Während man Lobbyisten Respekt zollen kann für gutes Handwerk, wenn es ihnen nämlich gelingt, dass Verantwortung verschleiert wird und Analyseframeworks mit kritischem Anspruch verschmieren, wird es bei Autoren des eigenen Lagers schwierig, den gebotenen Respekt entgegenzubringen, wenn sie zwar im kritischen Duktus daherkommen aber nicht einmal das Analyse- und Darstellungsniveau von intelligenten Lobbyisten erreichen. Schlechte FIfF-Artikel sind insofern schlimmer, gerade weil man bei ihnen meinen darf, Artikel vertrauensvoll-naiver lesen zu dürfen. Nee, das sollte man genau nicht.

Ich fange mal mit dem Artikel von Britta Schinzel an. Frau Schinzel, habilitierte Informatikerin, stellt fest, “Algorithmen sind nicht schuld (…)” und fragt weiter “(…), aber wer oder was ist es dann?” (S. 5ff). Ich war wirklich dankbar für das Aufgreifen dieses Themas. Schließlich muss dringend mal wieder etwas her angesichts dieses überbordend grauenhaften Räsonnierens über “Algorithmen-Ethik” der letzten Monate allenthalben. Die Fragestellung ist aus meiner Sicht also top gewählt, ihre Erläuterungen zu Algorithmen sind konventionell aber lesenswert. Das Zwischenfazit, dass Algorithmen nicht verantwortlich gemacht werden können, ist erwartungsgemäß. Gut, das muss alles mal wieder gesagt werden; ihr Durchdeklinieren von Algorithmen-Schichten bis zu sozialen Netzwerken finde ich sogar ganz spannend. Alles klug, richtig und lesenswert … aber: Sie gibt am Ende keine Antwort auf ihre selbst gestellte Frage, wer denn schuld sei! Die Frage nach der Schuld – sie denkt weder theologisch noch ökonomisch über Schuld, sondern irgendwie, das will ich selbstverständlich nicht so eng sehen, wenn jemand zwar für den richtigen Gebrauch von Begriffen plädiert, dem Anspruch aber selber offensichtlich nicht gerecht wird, aber wer wird das schon? – wird wenig konturiert. Es scheint in kritischer Absicht ja klar zu sein, es geht irgendwie um Computerdominanz, problematische Entscheidungen über Menschen, die technisch generiert werden, irgendwie also auch um Datenschutzprobleme. Man weiss schließlich ohnehin, es läuft gerade sehr viel sehr schief im Gebrauch von Computertechnik, für den sie zu Recht Expertise beansprucht. Sie gerät an den Stellen, an denen man nun zum Ende hin Antworten erwarten darf, in das konventionell klassisch, vermeintlich kritische Fahrwasser der Feststellung, dass ja Menschen am Ende Programme schrüben oder neuronale Netze trainieren, es ist nicht die Technik an sich. Nein Frau Schinzel, diese Antwort reicht nicht bei einem analytisch-kritischen Anspruch. Sie ist in dieser Form irreleitend und trägt genau nicht zur Transparenz bzgl. Verantwortung bei, zu der sie ja beitragen wollen.

Dass Frau Schinzel den Fokus nicht schärfer stellen und entsprechend keine gehaltvolle Anwort anbieten kann liegt zum einen daran, dass sie sowohl gesellschaftstheoretisch als auch grundrechtsjuristisch ungebildet ist. In der FIfF verzeiht man beide Kognitionsdellen traditionell schnell und gern. Dabei gehört nicht viel dazu, die doch ganz gut angefangene Erzählung zu vervollständigen: Algorithmen bzw. deren Inkarnationen werden von Organisationen genutzt. Es sind, einen Schritt konkreter formuliert, Unternehmen, Behörden, Krankenhäuser, Forschungsinstitute gemeint, die allesamt Technikgebrauch motivational aufladen. Aber auch “motivational” ist nicht psychologisierend zu verstehen, sondern es sind, wenn man schon irgendwie “den Menschen” thematisiert, Rollen gemeint, also Hülsen, die Organisationen erzeugen und bereitstellen, mit denen Personen dann die Organisationsmotive übernehmen. Diese Feststellung bzgl. Organisationen und Rollen kann man trivial finden, sie ist trivial; sie ist Frau Kinzel aber offenbar gar nicht in den Sinn gekommen. Weil es zu trivial ist? Das glaube ich gar nicht. Wenn sie Organisationen in ihre Analyse mit aufnähme, ließen sich tatsächlich politische Forderungen formulieren und adressieren. Genau das macht bspw. das Datenschutzrecht in Bezug auf die Anwendung von IT in Organisationen. Es werden an alle Organisationen dieser Welt ganz spezifische Anforderungen gestellt, die im Prozess der Zivilisation entwickelt wurden und als Datenschutzrecht – in der aktuellen Inkarnation der Datenschutzgrundverordnung der EU (DSGVO), und dort in den “Grundsätzes” des Artikels 5 – auskristallisierten, mehr als die DSGVO ist gegenwärtig politisch offenbar nicht drin, aber immerhin. Denn Datenschutz operationalisiert Grundrechte. Was sind Grundrechte Frau Schinzel? Grundrechte sind Abwehrrechte von Personen (also Risikonehmer) gegenüber Organisationen (als asymmetrisch ungleich stärkere Risikogeber). Wobei es noch gar nicht um die notorisch unsichere Informationstechnik geht, die Organisationen benutzen, wenn sie Menschen als Objekte behandeln, sondern es geht darum, dass Organisationen in das Handeln und Denken von Personen eingreifen. Jedenfalls: In diesem Kontext nicht von Organisationen zu sprechen verschleiert die durch Technik ungeheuer angewachsene Macht der Organisationen, Frau Schinzel. Sie werfen am Ende wieder einen Schleier über das, was Sie zuvor dankenswert professionell ins Licht gestellt haben.

Leider ist der mäßig geratene Artikel von Frau Schinzel in dieser FIfF keine Ausnahme. So befasst sich Nicole Tornow mit der “Beurteilung des Datenschutzes anhand ausgewählter Kriterien” (S. 30ff). Frau Tornow stellt heraus, dass die Einarbeitung in gesetzliche Grundlagen abschreckend hoch sei; zu komplex sei das Ganze für den normalen Menschen. Sie stellt dann ein kriterienbezogenes System vor, das für alle Nutzer einen umfassenden Überblick zum Schutz der eigenen personenbezogenen Daten ermöglichen soll. Es geht ihr, entgegen der Zusage im Titel, dann doch nicht um Kriterien für Datenschutz, sondern nur um Kriterien für Datenschutzerklärungen. Kriterien… na da wollen wir doch mal sehen, ob Frau Tronow die Schutzziele nacherfindet, flüstert mir mein interner Coleser an meine inneren Anklangnerven. Oder ob sie zumindest in die semantische Nähe von diesen gerät. Frau Tornow diskutiert und verwirft sehr kurz das ohnehin obsolete BDSG, die ebenso obsolete EU-Richtlinie 95/46/EG und das demnächst gleichfalls obsolete Privacy Shield. Okay, ist alles abgestandenes Zeugs, sie hatte keine Lust noch mal Arbeit reinzustecken, ein bißchen Pfusch, den verstehe ich, der sei ihr verziehen, ihr Modellierungsansatz kann trotz des obsoleten Regelbezugs frisch sein.

Und dann listet sie ihre Kriterien auf und mir verschlägt es den Atem: Sie hat ihr Regelwerk und ihren Kriterienkatalog nicht durch eine Abstraktion der bestehenden Regelwerke des Datenschutzes gewonnen, sondern durch Analyse der Datenschutzrichtlinien von Facebook, Amazon, Valve und DropBox. Sie versteht offenbar nicht, dass man von ihr, bei ernsthaftem Interesse an Datenschutz, verlangen darf oder auch muss, das Humesche Problem zu ignorieren und zu versuchen, aus einem verpflichtend bestehenden Normenwerk (Datenschutzrecht) ein dazu passendes funktionales System zu generieren. Erdiger formuliert: Sie versteht den normativ-regulatorischen Stellenwert der Grundrechte nicht. Stattdessen nimmt sie irgendwelche Kriterien höchst verdächtiger Quellen, weil diese ihr offenbar nützlich und funktionaler erscheinen. Es geht ihr dann, und das ist typisch für fehlendes Grundrechteverständnis von Technikern, wesentlich nur noch um Transparenz, Transparenz als Selbstzweck.

Ich kann absolut verstehen, dass man Datenschutzrecht für kompliziert hält; ich verstehe noch viel besser, dass man auch so gar nichts mehr von Datenschutzaufsichtsbehörden erwartet und sich dort nicht einmal mehr umsieht, was diese dazu vielleicht verlautbart haben. Aber die überbordende Fachliteratur der letzten 30 Jahre zu diesen Themen schlicht vollständig zu ignorieren? Das ist für einen FIfF-Artikel inakzeptabel schlecht. Gerade seit 2010 hat eine sehr wichtige Konsolidierung von Datenschutzkriterien (“Gewährleistungsziele”) im Kontext des Standard-Datenschutzmodells stattgefunden, die einen reflektierten Versuch der Abstraktion, Generalisierung und Operationalisierung von Datenschutz-Anforderungen zum Zwecke der technisch-organisatorischen Umsetzung darstellt. Wenn also nicht einmal die kritische Technikintelligenz um den Status des Datenschutzrechts und um die Aktivitäten des operativen Datenschutzes weiss, dann ist das eine analytische und politische Katastrophe. Immerhin: Das Beurteilungssystem für Datenschutz-Maßnahmen, das Frau Tornow dann im Anschluss entwickelt hat, ist es durchaus wert, sich näher damit zu befassen.

Ich könnte weitere der Beiträge aus der FIfF diskutieren. Bspw. verschwimmt bei der Frage nach der Konditionierung von Robotern (Schott/ Sichtung) ganz typisch, wie schon bei Frau Schinzel, die klare Adressierbarkeit der Verantwortung für Entwicklung und Einsatz von Techniken. Auch der Artikel, der die Frage nach dem nun aber mal ganz echten Wert personenbezogender Daten (Krüger) bewegt, ist von bedrückender Trivialität; allein angesichts der seit mindestens 60 Jahren währenden Diskussion zur Ökonomisierbarkeit von Grundrechten. Dabei ist die Diskussion entschieden: Eine Ökonomisierung des Rechts entspräche dem Auflösen von Recht, zugunsten wirtschaftlicher Entscheidungen. Es ist gerade das Kennzeichen der Moderne, dass mit ihr Recht, Wirtschaft und Wissenschaft funktional differenziert wurden.

An diesen thematisch wichtigen und im Grundsatz gehaltvollen Beiträgen wird deutlich, was auf viele FIfF-Artikel zutrifft: Viele Autoren haben kein hinreichend entwickeltes Verständnis von Grundrechten oder von deren Operationalisierung durch Datenschutz; und sie haben ebenso wenig einen Begriff von Gesellschaft. Beide Semantiken bekommt man auch nicht geschenkt. Und wenn man begrifflich rumpfuscht – unter Datenschutz irgendwie nur IT-Sicherheit für personenbezogene Daten und unter Gesellschaft wenig mehr als eine Ansammlung vieler Menschen versteht -, dann passiert eben genau das, was Frau Schinzel beim unkritisch analogisierenden Gebrauch des Algorithmen-Begriffs zu Recht beklagt, nämlich dass die Semantiken verwässern. Mit der Folge, dass man keine ernsthafte Kritik mehr formulieren kann, allenfalls noch zu moralisieren übrig bleibt; und es immer schwieriger bis unmöglich erscheint, überhaupt noch klare Anforderungen an verantwortliche Adressaten zu formulieren. Der Adressat für Anforderungen ist nicht “die Technik” unmittelbar, und die Anforderungen sind auch nicht irgendwelche und zu kompliziert, sondern es sind Technik verwendende Organisationen, die Grundrechte einzuhalten haben.

Kommentar zur digitalen Grundrechte-Charta

Dezember 2nd, 2016

V1.1b

Mich erreichte der Link auf den Entwurf einer “digitalen Grundrechte-Charta” für die EU über einen Tweet von Sascha Lobo. (Hinweis auf SPIEGEL-Online). Ich ordnete diesen Entwurf deshalb spontan zunächst ihm zu, plus sicher noch einigen MitstreiterInnen im Hintergrund.

Ich lese Lobos Kolumnen in Spiegel Online gern, ich mag den Sound, ich mag die Inhalte, ich kann oft genug etwas daraus lernen. Da hat sich jemand – aus Begeisterung über die vielen von Vielen unverstandenen Möglichkeiten des Internet – vom Erzählonkel, der das immerhin so gut macht, dass er dafür Geld gezahlt bekommt, zu jemandem entwickelt, der reflexiv geworden ist. Und der nach Jahren der Befassung recht konventionell, aber absolut konsequent und folgerichtig, bei dem Regulierunginstrument “Grundrechte” landet. Und nun legt ein talentierter Bassist ein Arrangement für klassisches Streichorchester vor. Was für ein wunderbarer politischer Stunt der Selbstermächtigung, that’s Punk, eine Punk-Charta, eine Provokation als Diskurspumpe. Aber dann las ich kurze Zeit später die Liste der namhaften Coautoren (oder zumindest bekennenden Unterzeichner, geschätzte Symphoniker, darunter viele bislang spezialisierte Vertrauensanker auch für mich). Damit hatte ich nicht gerechnet. Mein (natürlich immer noch anhaltendes) Wohlwollen gegenüber Sascha Lobo wandelte sich in Entsetzen über diese Charta, hinter der die Mitzeichner offenbar mit allem gebotenen, ganz unironischen Ernst stehen. Dann erinnerte ich mich an das Projekt hinter dieser Charta, von dem ich vor langer Zeit gehört hatte.

Dieser Entwurf einer Charta führt gnadenlos deutlich vor Augen, wie klein die Anzahl derjenigen an Grundrechten Interessierter in dieser Republik tatsächlich ist, die einen auch theoretischen Zugriff auf Datenschutz haben. An dieser Charta ist ersichtlich alles Pfusch. Und dies ist so erschreckend typisch und weitverbreitet für den aktuellen Zustand im Datenschutz.

Ich möchte 3 meiner bislang 33 Anmerkungen herausgreifen und mich auf einen theoretischen, einen handwerklich-strategischen und einen praktischen Aspekt an diesem Entwurf konzentrieren.

1. Der Würde-Anker

In der Präambel wird etwas in “den Menschen” hineingesteckt, was man aus ihm herausholen möchte: Würde, sie wird bequem als “angeboren” ausgewiesen. Boah… eine Biologisierungsstrategie, das verweist auf ein Analyseniveau des beginnenden 17. Jahrhunderts. Man kann sich der Quelle von Würde auch anders nähern, bspw. wissenschaftlich.

Was auch immer beim Menschen vorausgesetzt ist, was sich dann als Würde bezeichnen lässt und erst mit der Bezeichnung entsteht oder thematisierbar wird, entsteht in Kommunikationsverhältnissen, in denen Menschen leben; erst leben sie in Gemeinschaften, dann auch noch in Organisationen, dann auch noch in Gesellschaften, dann der Weltgesellschaft; drei unterschiedliche Typen an Sozialverhältnissen erzeugen drei unterschiedliche Konzepte an Würde. Neuere Kommentarliteratur zum Artikel 1 des Grundgesetzes listet deshalb Kommunikation als Quelle der Würde als ein empirisches und damit wissenschaftlich zugängliches Konstrukt auf.

Wenn Würde sich durch Kommunikation unter Menschen erst konstituiert, dann ist es von unüberschätzbarer Bedeutung, dass die Aktivitäten von solchen Organisationen, die Techniken zur Vermittlung von Kommunikation bereitstellen, diese nutzen und überwachen – die also ein Höchstmaß an Macht ausüben -, eng an Grundrechte gebunden sind. (Wenn man dieser These folgt, wäre man logisch zum Urteil genötigt, dass Facebook für einen Diskurs über eine die Integrität von Personen und deren Kommunikationen stärkende Grundrechte-Charta zu nutzen ein performativer Selbstwiderspruch ist.)

Genau an diesem Punkt trifft diese Charta immerhin, mit Artikel 2, einen wesentlichen Punkt, nämlich: “Der Mensch hat ein Recht auf unversehrte Kommunikation”. Als generisches Prinzip ließe sich dieser Artikel berechtigt sogar an die 1. Position setzen.

2. Das Verbot mit Erlaubnisvorbehalt

Das regelungstechnisch zentrale “Verbot mit Erlaubnisvorbehalt” ist nicht enthalten.

Weil dieses Verbot selbst den ausgewiesenen Datenschutzexperten unter den Initiatoren ganz offenkundig nicht wirklich geläufig ist – sie haben vergessen es reinzuschreiben, das kann eigentlich nur bei schlechter Gruppendynamik passieren – wiederhole ich dieses Verbot sicherheitshalber, man kann es offenbar gar nicht oft genug wiederholen: Organisationen dürfen keine personenbezogenen Daten verarbeiten PUNKT

Ja, genau so wie es da steht ist es auch gemeint. In aller Klarheit und Entschiedenheit.

So steht es in der EU-Grundrechte-Charta, so wiederholt es die Datenschutz-Grundverordnung, so hat es Bestand seit mind. 30 Jahren im BDSG und den LDSGen. Und wenn die Datenschutzaufsichtsbehörden und die Gerichte dieses Verbot nur Ernst nähmen und durchsetzten, ließen sich damit Google, Facebook usw. an die Leine legen. Es bedarf dazu keiner neuen Regelungen, sie liegen vor; sie werden nicht durchgesetzt.

Diese zentrale Regelung ist jedem Firewalladmin geläufig: “DENY ALL” alle Ports aus dem Internet oder in das Internet sind nicht erreichbar. Und dann werden nach und nach, gut begründet, Ports geöffnet, weil Kommunikation sein soll, sein muss. Diese zentrale Firewall-Regel ist regelungstechnisch alternativlos. Die kontinentaleuropäischen Datenschutzgesetze regeln perfekt analog: Es müssen Gesetze und Verträge her, die portanalog das Verbot mit Erlaubsnivorbehalt punktuell aufheben. Kommunikation muss möglich sein, wenn sie die Würde von Personen nicht antastet. Wer die Würde antastet, muss mit Sanktionen rechnen.

Dieser Entwurf einer digitalen Charta schleift etwas, was selbst den übelsten Rechtsanwälten das letzte Mal auf dem Deutschen Juristentag 2012 nicht gelang, sie wurden das Verbot mit Erlaubnisvorbehalt nicht los. Ich ahne, wie die von Google und Facebook usw. bezahlten Sozietäten und Propagandisten in Berlin und Brüssel ihr Glück über so ein Weihnachtsgeschenk gerade nicht fassen können. Da liefern die Popgrößen des Privacy-Diskurses inklusive reputierlichster Grundrechtler und Datenschützer für umsonst und frei Haus den Organisationen die Schürfrechte für das Datengold. Ich prognostiziere: Sie werden, gewieft wie sie sind, auf diese Charta anspringen, sie stark machen. Viele der Initiatoren und Unterzeichner würden sie, inzwischen sicher beschämt, gern schnell beerdigen wollen, die Bedroher einer modernen, d.h. funktional differenzierten, Weltgesellschaft insbesondere aus den USA werden vieles dransetzen, das zu verhindern.

3. Operationalisierung von Grundrechten über Gewährleistungsziele

Im modernen Datenschutzdiskurs haben sich, als Zentrum zur Operationalisierung der Grundrechte, Gewährleistungsziele herausgeschält, sechs plus eines. Diese Ziele entkoppeln und vermitteln die Sphären des Sollens und des Seins, von denen man seit David Hume und spätestens Immanuel Kant weiß, dass sie nicht auseinander folgen. Gleiche Ziele bieten eine Fokussierung, die man mit jeweils eigenen Bordmitteln – Normen hier, CPU-Instruktionen dort – anstreben und umsetzen kann. Gekoppelt, aber nicht trivialisiert. Auch das kann man inzwischen wissen.

Die konfusen Bestimmungen der Art. 12 und 13, unter “informationelle Selbstbestimmung” und “Datensicherheit” eingefügt, zeigen insofern eine beängstigend ungenügende Ernsthaftigkeit bei der Befassung mit aktuellen Fragen und Antworten(!) zur Umsetzung von Grundrechten.

Fazit

Dieser Entwurf ist insgesamt unfassbar schlecht geraten. Nicht auszudenken, wenn sowas tatsächlich in der EU installiert würde, womöglich als Ersatz für die bestehende Grundrechte-Charta.

Anmerkung

Der Pfusch dieses Entwurfs entspricht allerdings dem analytischen Pfusch des gesamten Ansatzes, von “digitalen Grundrechten” auszugehen. Etwas dem Digitalen anzulasten, was allein Organisationen adressierbar anzulasten ist führt dazu, die konkrete Adressierung der Konfliktquellen zu vermeiden: eben Organisationen. Und die zu regulierenden Konflikttypen sind durch die Digitalisierung gar nicht neu, nur die Mittel auf Seiten der Organisationen sind ungleich mächtiger geworden. Dabei ist auch nicht primär der Staat der Angreifer, sondern es sind: Organisationen, zu denen neben Behörden und Unternehmen insbesondere Wissenschaftsinstitute, Kirchen und Kulturorganisationen zu zählen sind. Der Staat ist sehr gefährlich einerseits (Gewaltmonopol), aber andererseits die einzige heilbringende Quelle, weil nur er überhaupt Grundrechte gewähren kann. Diese logische Beunruhigung nennt man “Dialektik”, die gilt es analytisch auszuhalten. Den Staat flach zu beargwöhnen ist jedenfalls ein Frame, um die offensichtlich aggressiv agierenden Unternehmen und Forschungsinstitute zu camouflieren.

Es gilt, das Versprechen der Durchsetzung der vorhandenen Grundrechte-Charta, die um das Recht auf unversehrte Kommunikation ergänzt werden müsste, einzulösen.

Prof. Sandel empfiehlt Scheisse

Juni 16th, 2016

V1.2

Ich bin soetwas von genervt, wenn man in führenden deutschen Publikationskanälen amerikanische Pop-Philosophen für ihre, wohlwollend formuliert, trivialen Äußerungen feiert; diese gehören aufs Schärfste kritisiert.

Konkret denke ich an die jüngsten Äußerungen von Prof. Sandel, wie sie in der Süddeutschen Zeitung und bei Heise wiedergegeben werden (Sandel in der SZ / Sandel bei Heise).

Herr Sandel offenbart zum unendlich xten Male: Amerikaner kennen konzeptionell keinen Datenschutz. Datenschutz bezeichnet die grundrechtlich legitimierte, technisch-organisatorische Konditionierung einer strukturellen Machtasymmetrie zwischen übermächtigen Organisationen und den davon betroffenen Personen.

Die von Herrn Sandel aufgeworfenen Fragen, die er unfassbar unoriginell für noch nicht gestellt ausgibt und die er von Ethik und Diskurs behandelt wissen möchte, sind in Kontinentaleuropa bereits rechtlich beantwortet. Kontinentaleuropa steht nicht nur zur Beantwortung von Fragen, sondern zur Lösung der unkenntlich gemachten Konflikte keine für moderne Gesellschaften unterkomplexe bloße Moral, keine folgenlose ethische Reflexion, sondern sanktionierbares, demokratisch erzeugtes Recht zur Verfügung (das allerdings nicht durchgesetzt wird, allein darin besteht das vordringliche Problem Herr Sandel)! Nicht die Automaten sind das Problem, sondern die Organisationen, die die Automaten ingang halten. Herr Sandel müsste dieses rechtliche Niveau der Durchdringung erst einmal erreichen, um überhaupt aussichtsreich fruchtbar und anregend in den möglichen europäischen Diskurs zu dessen möglicherweise anstehenden Änderung einsteigen zu können. Stattdessen ziehen die Reflexionen und Empfehlungen bspw. über autonomes Fahren, wie sie den Berichten zu Herrn Sandel zu entnehmen sind, dieses zumindest konzeptionell hohe europäische Niveau herunter. Damit spielt der vermeintlich kritisch auftretende, aber am Ende nur folgerichtig moralisierende Herr Sandel, den global agierenden Organisationen aufs Feinste in die Karten.

Nachklang

Ich wurde von geneigten LeserInnen inzwischen mehrfach darum gebeten, den vulgären Titel zu ändern. Dieser Titel ist mir nicht im Modus eines “huch” passiert. Ich finde es großartig, wenn Worte offenbar noch immer magische Aufladungen enthalten. Diesen Effekt des (negativ) Berührtseins mitzunehmen ist mir wichtiger als jeder Retweet. Als Sammler von in der Geschichte der Menschheit bislang nur selten verlautbarter Sätze bin ich zudem geneigt, mich an eigenen, zumindest rhythmisch und prosodisch gelungenen Beiträgen zu versuchen.

Lässt sich Datenschutz durch Ethik ersetzen?

Mai 31st, 2016

Der europäische Datenschutzbeauftragte Giovanni Buttarelli
(Wikipedia) veröffentlichte am 31 Mai 2016 einen knappen Essay mit dem Titel “Big Brother, Big Data and Ethics”, in dem er empfiehlt, die von ihm ausgemachte Steuerungslücke zwischen moderner Technik und Menschen durch Ethik zu schließen. Ich möchte diesen kurzen, aus meiner Sicht rhetorisch elegant geschriebenen, aber inhaltlich hoch problematischen Text nachfolgend kommentieren.

Der Text ist in vier knappe Abschnitte untergliedert, dessen Struktur ich übernehme. Ich empfehle, diesen Text von Herrn Buttarelli, der dem Umfang dieses Kommentars entspricht, parallel oder vorgängig zu lesen.

1) What is digital ethics?” Darauf gibt Herr Buttarelli keine Antwort. Es folgt jedoch eine Bekräftigung, dass es einer Antwort darauf bedarf.

Ich bestreite, dass es einer Antwort darauf bedarf und dass die Frage überhaupt relevant ist. a) Ethische Reflexion sind per Füller auf Papier lesbar die exakt gleichen, die am Bildschirm angezeigt werden. Es gibt in diesem Sinne keine analoge/digitale Ethik, übrigens ebenso wenig ein digitales Recht. b) Wenn man gutwillig ist, liegt eine Bedeutungsverschiebung nahe, indem man von einer Ethik des Digitalen sprechen könnte. Aus meiner Sicht gibt es auch keine spezifische Ethik des Digitalen im Unterschied zur Ethik des Analogen. Ethik ist eine Reflexion der moralischen Unterscheidung von gut und böse; sie bewegt entweder die Frage, ob diese Unterscheidung selber eine ist, die im Rahmen von gut und böse behandelt werden kann; oder sie behandelt als weitere die dialektische Variation, wie Böse das Gute ist und umgekehrt.

Der Subtext lautet: Das Recht reicht nicht mehr, “wir” brauchen eine Ethik! Insofern fehlt mir eine Begründung dafür, dass rechtlich institutionalisierte Anforderungen nicht mehr hinreichen und durch Ethik zu ersetzen sind. Machte man diese These mit, wäre bspw. konkret zu fragen: Welche Instanz dürfte die Kriterien für ethische Entscheidungen sowie die Verfahren zu deren Generierung und Diskussion ganz konkret und legitimierbar festlegen? Eine solche Instanz gibt es nicht, es bliebe das Ungefähre des Nichtadressablen und damit Nichtverantwortbaren eines Ethik-Diskurses. Was es jedoch gibt, um dieses Problem zu lösen, sind etablierte politische Prozesse für Kriteriendefinitionen und positives Recht.

Wer Ethik an die Stelle von Demokratie und Recht setzt, schwächt das Recht! Nicht das bestehende Datenschutzrecht ist das zu lösende Problem, wenn man Datenschutz Ernst nimmt, sondern es ist die mangelnde politische Entschiedenheit – und es sind gegenläufige politische Interessen politischer Machtinhaber – bei der Durchsetzung der Grundrechte von Menschen.

Für einen institutionalisierten Datenschützer ist Ethik zu empfehlen anstatt Rechtsanwendung einzufordern und mehr noch, durchzusetzen, ein geradezu katastrophales Statement, ein Offenbarungseid.

2) Human dignity in the digital age” – Es folgt leider keine nähere Bestimmung zur menschlichen Würde im Kontext des Vollzugs der Durchindustrialisierung der Weltgesellschaft, sondern nur eine Bekräftigung der Bedeutung von Würde mit der Formel: “Human dignity is the cornerstone of fundamental rights.” Ja, das ist richtig, zumal wenn man im Zuschnitt des Grundgesetzes argumentiert. Aber was soll das nun heissen, wenn im Folgenden weder von Würde noch von Grundrechten die Rede ist? Etwa: Wer noch in den Kategorien der konventionellen Menschenrechte anstatt in Ethik denkt, kann ja nur(?) die menschliche Würde zu Gesicht bekommen?

Dann fragt Herr Buttarelli weiter: “Can we introduce moral responsibility in the vacuum created between people and automated processes such as surveillance or data collection?” Welches Vakuum soll zwischen Personen und automatisierten Prozessen bestehen? Die Formulierung spitzt den Konflikt falsch zu. Diese Formulierung verschleiert, dass letztlich jeder automatisierte Prozess durch Organisationen entwickelt, hergestellt und betrieben wird. Es besteht genau kein Vakuum zwischen Organisationen mit ihren Verfahren und Techniken und den davon betroffenen Personen. Der Adressat des Datenschutzrechts sind exakt diese Organisationen, juristische Personen, weil diese es sind, die die Würde der betroffenen Personen antasten, es sind nicht Techniken an-sich. Es gibt das behauptete Regelungsvakuum nicht.

3) Technology as a driver and an actor” – Anstatt nun die gewohnte Karte “Privacy-Enhancing-Technology” auszuspielen, werden wieder problematische Engführungen und Fragen gestellt, etwa der Art: “But should ethical considerations determine the direction of innovation? Should human values play a part in the development of new technologies?” Ja, wäre irgendwie nicht schlecht, wenn menschliche Werte bei der Technikentwicklung eine Rolle spielen sollten. Die Frage lautet doch, wie Organisationen dazu gebracht werden können, exakt das menschlich Gewünschte zu tun! Wenn es jedoch nicht einmal gelingt, mit rechtlichen Anforderungen (Menschen- und Bürgerrechten, aktuell: DS-GVO), die bestmöglich legitimiert sind, und deshalb Bindewirkungen beanspruchen dürfen(!) und die die einzigen sind, die von Aufsichtsinstanzen festgestellt und eingeklagt und sanktioniert werden können, Innovation in eine menschenwürdige Richtung gelenkt werden können, wie soll es denn mit ethischen …. Ja was? Grundsätzen? Prinzipien? Überzeugungen? Diskursen gelingen? Man predigt in theologischen Kategorien, und gibt dafür die rechtlich bestens verankerten Anforderungen auf, weil man diese für zu schwach hält?

Die im Datenschutzrecht auskristallisierten Grundrechte sind, bei allen Unzulänglichkeiten im Detail, der politisch und rechtlich aussichtsreichste Versuch, dass menschliche Werte, wie sie von Menschenrechten eingefordert und von Verfassungen gewährt werden, tatsächlich eine Rolle bei der Entwicklung neuer Techniken, so wie sie Organisationen zu ihrem Vorteil nutzen, spielen können.

Wer Ethik predigt, schwächte jeden ernsthaften, d.h. demokratisch erzeugten und rechtlich institutionalisierten Regulationsanspruch gegenüber Organisationen.

4) Ethics and the law” – Dieser Abschnitt enthält immerhin eine interessante Frage: “But is it enough that a practice affecting our privacy, our personal data or both is legal? What if the law was to be the minimum standard?” Reicht das Recht, insbesondere dann, wenn es nur einen minimalen Standard an Anforderungen formuliert?

Ich sehe überhaupt nicht, dass bspw. die nun gültige DS-GVO einen geringen Standard formuliert, ganz im Gegenteil. Wesentliche Regelungskomponenten sind enthalten: Das Verbot mit Erlaubnisvorbehalt, Einwilligungen müssen zusätzlich zur Freiwilligkeit, Bestimmtheit und Vollständigkeit die Erforderlichkeit der Datenerhebung ausweisen; und es ist das vollständige Set der elementaren Schutzzielen enthalten, was gesellschaftlich und individuell wirkungsvolle Schutzmaßnahmen einzufordern erlaubt. Natürlich: Die DS-GVO wird in einer ersten Flut von Artikeln zermahlen; man kann beobachten, wie sich inbesondere Rechtsanwälte mächtig ins Zeug legen, um möglichst frühzeitig die für Organisationen vorteilhaften Interpretationen nahezulegen. Genau in dieser Weichmach-Tradition steht nun leider auch der Essay von Herrn Buttarelli. Wenn die DS-GVO als schwacher Standard erscheint, dann letztlich deshalb, weil die Aufsichtsbehörden, Staatsanwaltschaften und Gerichte bei der Durchsetzung des Datenschutzrechts versagen.

Und dann kann man auf Twitter zu diesem Statement von Herrn Buttarelli zustimmend lesen: “@EU_EDPS @Buttarelli_G #Ethics is definitely the new frontier for #DataProtection. We should all get involved!”

Diesen Tweet möchte ich zum Schluss zum Anlass nehmen, dass dieses wohlfeile “We should” ohne genaue Adressierung, wer mit dem “WIR” gemeint sein könnte, eine weitere problematische Facette hineinbringt, die auch Buttarelli rhetorisch durchgängig nutzt: Nein, bitte, WIR sollten uns nicht alle von Ethik in einen vermeintlichen Konsens einlullen lassen, wenn es zum einen klare rechtliche Anforderungen gibt und zum zweiten mit Schutzzielen und deren Operationalisierung mittels des SDM inzwischen sogar eine Methode zur Verfügung steht, um diese Anforderungen transparent und integer in technische Maßnahmen zu übersetzen.

Fazit

Rhetorisch sind die Statements von Herrn Buttarelli geschickt formuliert: Die Problembeschreibungen treffen zu, die zur Analyse empfohlenen Begriffe führen ins Voodoo, die empfohlene Medizin – es mit Ethikdiskursen anstatt Durchsetzung des vorhandenen Rechts zu versuchen – ist pures Gift.

Selbstverständlich müssen aufgeklärte politische Diskurse und reflektierte Abwägungen zum Verhältnis von modernen Informationstechniken und Menschen stattfinden. Datenschutz muss weiterentwickelt werden, selbstverständlich. Aber diese Diskurse und Reflexionen müssen dann über politische Entscheidungen und Programme in Gesetze münden, deren Umsetzung von Organisationen einzufordern und bei mangelnder Umsetzung zu sanktionieren sind. Letzteres passt politisch allerdings so gar nicht in die gegenwärtig neoliberale Landschaft, ganz im Unterschied zu bloßen ethisch begründeten Empfehlungen.

Wo nur Ethik ist, muss Recht erst werden. Ethik allein ist regulativ eine Luftnummer ohne kalkulierbare Wirkung, insofern wenig mehr als gar nichts.

Weiterhin kein Datenschutz bei der Telekom

August 16th, 2015

V0.2-2015-0817

In einer Meldung bei Heise-News vom 14.08.2015 heisst es, dass die Telekom für “strengen europäischen Datenschutz” wirbt. (Heise-News vom 14.08.2015)

Mein erster Gedanke zu dieser Headline war: Wer Sätze wie “Einhaltung des strengen Datenschutzes” formuliert, macht in der Praxis nach meinen Erfahrungen immer und in Perfektion das Gegenteil.

Ein Hinweis auf “strengen Datenschutz” ist eine Beschwörungsformel, die erfahrungsgemaß rechtliche und operative Unkenntnis kompensiert. Und wieso meint die Telekom sich in die Position des “Werbens für Datenschutz” setzen zu können? Die Telekom kann niemals eine Lösung für das Problem sein, sondern sie ist notwendig immer ein Teil eines Datenschutzproblems. Allein die Verwendung dieses Verbs zeigt an, dass es sich um einen Propagandatext handeln muss. Aber warum jetzt dieser Artikel? Es stieg in mir die Erinnerung auf, dass da doch letztens noch ein Link Telekom-BND-NSA bestand. Ich fand dann in den Kommentaren zum Artikel bequemerweise den Hinweis auf eine weitere Heise-Meldung vom 19.05.2015, wonach die Telekom den Transitverkehr an den BND weiterleite. Okay, die Telekom hat also Bedarf an Imagekorrekturen, ganz aufs Vergessen mag man dort nicht setzen. Doch zum hochrelevanten Thema “Umgang mit Anfragen von Nachrichtendiensten” findet man im Artikel kein Wort.

Mein zweiter Gedanke lautete: Was versteht man bei der Telekom unter Datenschutz? Welche Datenschutz-Komponenten werden im Artikel wohl abgesprochen werden? Ob sie dort allein zwischen IT-Sicherheit und Datenschutz unterscheiden können? Sind die sechs Schutzziele des Datenschutzes vielleicht inzwischen angekommen? Ist hoch unwahrscheinlich aber nicht unmöglich.

Irritierenderweise scheint sogar die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bei der Telekom für den Datenschutz einstehen zu wollen. Warum riskiert die BfDI das, die ansonsten politisch doch eher vorsichtig agiert? Die BfDI ist für die Aufsicht der Telekom zuständig. Was macht sie offenbar Glauben, dass es dort zum Besten bestellt ist? Sind es Varianten der Klassiker “too big to fail” oder “Stockholm-Syndrom”? Man sollte die Bildunterschrift genau lesen: “Die Telekom hat einheitliche Datenschutzrichtlinien für alle Tochtergesellschaften. Der Datenschutzbeauftrage Ulmer und Vorstand Kremer bekommen das von der Bundesdatenschutzbeauftragten Andrea Voßhoff bestätigt.” Es wird also allein die Einheitlichkeit der Richtlinien des Konzerns bestätigt. Muss man die folgende Banalität tatsächlich formulieren? Einheitlichkeit bedeutet unter dem Aspekt der Entfaltung von Schutzwirkungen für Betroffene genau gar nichts.

Um so gespannter war ich, was im Artikel ausgeführt wird.

Tatsächlich problematisiert der Artikel zu einem Textanteil von etwa 40% die Einheitlichkeit der Datenschutzanforderungen in Europa. >>”Das [die Uneinheitlichkeit, MR] schadet den Unternehmen, weil sie dann mit ungleichen Wettbewerbsbedingungen zu kämpfen haben”, betonte der Datenschutzbeauftragte der Telekom, Claus Dieter Ulmer.”<< Aus einer Datenschutzsicht der Grundrechte eines Bürgers, Kunden, Patienten gegenüber staatlichen Verwaltungen und privaten Unternehmen besagt Einheitlichkeit des Datenschutzrechts, wie schon gesagt, nichts.

Die weiteren, dann doch noch auf Inhalte des Datenschutzes zielenden Ausführungen des Artikels zeigen in nahezu jedem Detail auf, wie datenschutzfeindlich die Telekom tatsächlich agiert und weiterhin zu agieren beabsichtigt. Ich frage mich, wer diesen Text geschrieben hat? Ein kritischer Journalist war das jedenfalls nicht, da es sich aus meiner Sicht um einen durchgestylten Propagandatext eines marktdominanten Telekommunikationsunternehmens handelt, das vorgibt, gegen die eigenen kommerziellen Interessen handeln zu wollen. Ich vermute, der Artikel basiert auf einer Pressemitteilung seitens der Telekom.

Herr Ulmer führt aus: >>Es dürfe für den Verbraucher keinen Unterschied zwischen Anbietern aus der EU und Übersee geben. Sie müssten sich auf den Schutz der Daten verlassen können „egal, wo der Anbieter sitzt und welchen Dienst sie nutzen wollen“.<< Der Schutz der Daten ist nicht das Problem des Datenschutzes bzw. des Verbrauchers, es geht nicht dessen um IT-Sicherheit. Der Verbraucher muss sich darauf verlassen können, dass Anbieter seine Grundrechte achten und operativ umsetzen, egal wo der Anbieter sitzt. Der Schutz personenbezogener Daten gegenüber den Anbietern selber ist das eigentlich zu lösende Datenschutzproblem. Nur grob überfliegend gelesen könnte es allerdings selbst professionellen Datenschützern passieren, dieser Passage zuzustimmen. Ja ja, sichere Daten sind wichtig.

>>Ulmer kritisiert insbesondere, dass die Regierungen im EU-Rat eigene Regelungen für personenbezogene Daten im öffentlichen Bereich zulassen wollen.<< Was soll diese Bemerkung Ulmers? Die Unterscheidung von öffentlichem und privatem Recht ist für Datenschutz hoch relevant. Datenschutz allein im Fahrwasser des Privatrechts würde die Einwilligung als Regelungsinstrument bevorzugen. Das ist genau das, woran amerikanische Sozietäten in Brüssel arbeiten, indem sie die Risikokalküle für personenbezogene Verfahren individualisieren. Von Einwilligungen gehen keinerlei Schutzwirkung für Betroffene aus. Sie erzeugen primär eine relative Rechtssicherheit für Organisationen, solange jedenfalls niemand vor einem Verfassungsgericht klagt. Ein Verfassungsgericht würde dann allerdings feststellen, dass bspw. die Anforderungen, die das Bundesdatenschutzgesetz an Einwilligungen stellt - Freiwilligkeit, Bestimmtheit, Informiertheit, vollständige Auflistung der Empfänger -, nicht erfüllt werden, und realistisch gar nicht erfüllt werden können. Ein öffentlich-rechtlicher Datenschutz stellte jede Datenverarbeitung dagegen ausschließlich unter einen Gesetzesvorbehalt. Ist es das, was Ulmer fordert? Doch ganz sicher nicht.

Ulmer verweist auf die Anforderung der Datensparsamkeit und wiederholt die platte, inzwischen mindestens 20 Jahre alte "Idee" des "Privacy By Design" (PbD). Datensparsamkeit und PbD sind weiche Regulatoren, ähnlich wie auch der Vorbehalt, der durch die "Erforderlichkeitsanforderung" an eine Datenverarbeitung besteht. Diese Aspekte entfalten, aus Sicht eines Datenschützers kann man das inzwischen wissen, keine tatsächlich relevanten Schutzwirkungen für Betroffene, es werden bestenfalls ein paar unzweckmäßige Nebenwirkungen eingedämmt. Der BND bekommt bzw. nimmt sich die Daten, die er für erforderlich hält, wie auch die Telekom, wie Versicherungen und Banken und überhaupt alle anderen Großunternehmen insbesondere der USA. Wenn es im nationalen Rahmen mal zwackt, werden entsprechende Gesetze auf den Weg gebracht. Dabei wäre natürlich der gute Ansatz des "Privacy-By-Design" durch das "Standard-Datenschutzmodell" (SDM) oder durch ein "Dataprotection-Impact-Assessment" (DPIA), das sich in seinem materiellrechtlichen Anteil am SDM orientierte, im Sinne des Betroffenenschutzes durchaus operationalisierbar. Aber davon ist hier keine Rede. Es kann einem mit dem Blick aufs SDM insofern durchaus klar sein, was und wie es zu tun wäre, wenn man Datenschutz (konzern)politisch für Kommunikationsinfrastrukturen tatsächlich wollte. Immerhin wurden die sechs Datenschutzziele, die den Regelungskern des SDM ausmachen, bereits 2010 von der Konferenz der Datenschutzbeauftragten verabschiedet. Ein deutsches Großunternehmen, das ernsthaft an Datenschutz interessiert ist, könnte das ebenso wissen wie ein kritischer Journalist, der einen Artikel zu Datenschutz in einem wichtigen Großunternehmen schreibt, anstatt nur abstrakte Formeln zu wiederholen.

Immerhin: Das Safe-Harbor-Abkommen, mit dem die Europäische Kommission es europäischen Unternehmen seit 2000 ermöglicht, personenbezogene Daten legal in die USA zu übermitteln, wird als obsolet bezeichnet. Doch mutig ist diese These natürlich nicht. Es geht auch gar nicht um Mut. Ein Unternehmen wie die Telekom mit logischerweise eigenen globalen Ambitionen kann nicht mehr bereit sein, allzu billig alle interessanten Datenverarbeitungen allein den Amerikanern zu überlassen, während man zuhause, anders als die Amerikaner, punktuell dann doch Gefahr läuft, mit den windigen eigenen BigData-Aktivitäten aufzufliegen.

Zuletzt heisst es: >>So sollte die Verarbeitung von pseudonymen Daten nur dann möglich sein, wenn sie transparent ist und der Nutzer dem nicht widerspricht. Bei vollständig anonymen Daten hält Kremer keine Einschränkungen für erforderlich, weil keine Rückschlüsse auf ein einzelnes Individuum möglich sind.<< Nein, es sind keinerlei Daten, auch keine pseudonymisierten, nicht einmal anonymisierte, Daten ohne vorherige Zustimmung von Bürgern, Kunden oder Patienten oder gesetzliche Erlaubnis zu verarbeiten. So besagt es der Regelungskern - das Verbot mit Erlaubnisvorbehalt - sowohl des deutschen Datenschutzrechts als auch des Entwurfs der EU-Grundverordnung. Die Betroffenen müssen zumindest vorher befragt werden (Opt-In), und dürfen nicht nur gnädigerweise hinterher widersprechen (Opt-Out). Und wieder geht es darum, dass sich keinerlei ernsthafte widerständige Schutzwirkung für Betroffene, nicht einmal den in der Praxis ebenso wirkungslosen Pseudoschutz des Opt-In, entfalten kann. Anonymisierte Daten bieten keinen ernsthaften Schutz: Organisationen können ihren strukturellen Machtvorteil gegenüber Personen auch dann nutzen, wenn Nutzerdaten aufgrund anonymisierter Daten nur grob typisiert verarbeitet werden. Mal ganz abgesehen davon, dass Anonymität im Internet herzustellen nicht mehr möglich ist. Einen positivistischen Juristen kann dieser Umstand der Schutzlosigkeit trotz Anonymität kalt lassen, einen Datenschützer nicht. Und eine Organisation, die vorgibt, für Datenschutz, strengen sogar, zu werben, auch nicht.

Fazit: Es zeigt sich bei einer genauen Analyse des Textes, dass die Telekom in Bezug auf Datenschutz nach wie vor beabsichtigt, nicht ernsthaft datenschutzrechtliche Anforderungen umzusetzen, sondern weiterhin Datenschutz nur zu simulieren.

Was besonders bestürzend ist und mich bedrückt: Ich vermute, dass nicht einmal den Telekom-Vertretern selber in allen argumentativen Verästelungen klar ist, wie fern ab von jedem wirkungsvollen Datenschutz sie tatsächlich agieren. Dass sie in Wahrheit kein Interesse an Datenschutz haben, propagandistisch aber versuchen, sich im Gegenteil als an Datenschutz interessierte Instanz ins Spiel zu bringen, ist ebenso logisch wie durchsichtige Propaganda, und die Machart ist peinlich. Aber auch die Online-Heise-Redaktion ist Teil des Problems, wenn Heise wie in diesem Falle hilft, schiere Propagandatexte, die das Gegenteil von dem enthalten, was sie vorgeben zu enthalten, verbreitet. Heise beansprucht als journalistische Instanz ein erhöhtes Maß an Vertrauen, verfestigt aber durch unendliche Wiederholungen der immer gleichen Buzzwords problematische Narrative. In diesem Artikel findet keine Verdichtung, keine Kommentierung, keine Kontrastierung, keine Kontextierung statt. Natürlich gibt es auch andere, gute Heise-News, die das Vertrauen in die Redaktion wieder stärken. Nur: Man kann sich auf die Redaktion eben nicht verlassen. Die distanzlose Beteiligung der BfDI an diesem Artikel zeigt auf, wie insgesamt verworrenen die gesamte Datenschutzsituation und deren Beurteilung geworden ist. Man muss lernen, sich seines eigenen Datenschutzverstandes zu bedienen. Vertrauen kann man niemandem, eigenbestimmte Kontrollen sind unmöglich.

Es geht nicht um Privatheit… Zur anhaltenden Armseligkeit des wissenschaftlichen und politischen Privacy-Diskurses

Mai 11th, 2015

Die deutschen Datenschutzaufsichtsbehörden entwickeln derzeit ein Standard-Datenschutzmodell (SDM) zur Prüfung und Beratung von Verfahren mit Personenbezug. Das SDM kommt ohne Definitionen zu „Privatheit“, „informationelle Selbstbestimmung“ oder „Freiheit einer Person“ aus. Das Modell erhebt den Anspruch, zwischen normativen Anforderungen und Wirkungen, zwischen Sollen und Sein, zu vermitteln. Es bietet zudem Anlass, auch theoretische Aspekte des Datenschutzes systematisch in den Blick zu nehmen.

Das SDM umfasst drei Bestandteile: a) Sechs als „elementar“ bezeichnete Schutzziele (Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettbarkeit, Intervenierbarkeit) gestatten eine vollständige Operationalisierung datenschutzrechtlicher Anforderungen an personenbezogene Verfahren, sobald eine Ermächtigungsregelung für ein Verfahren, das politisch, wirtschaftlich oder wissenschaftlich motiviert ist, rechtlich als gültig festgestellt wurde. b) Der Schutzbedarf eines Verfahrens wird, in Anlehnung an den erfolgreichen IT-Grundschutz des BSI, in drei Stufen festgelegt (normal, hoch, sehr hoch); allerdings mit der Fokussierung auf den Schutzbedarf betroffener Personen anstatt Geschäftsprozessen. Diese Fokussierung auf Personen ermöglicht eine bislang wenig beachtete grundrechtskonforme Gestaltung auch von IT-Schutzmaßnahmen für Geschäftsprozesse. Die drei Abstufungen dienen zudem der Operationalisierung der Beurteilung der Angemessenheit und Erforderlichkeit datenschutzspezifischer Schutzmaßnahmen. c) Ein Verfahren wird anhand von drei Komponentengruppen betrachtet (Daten, IT-Systeme, Prozesse). Diese drei Bestandteile erlauben die Entwicklung eines Referenzkatalogs mit Schutzmaßnahmen, mit denen die einzelnen Schutzziele in der vom Schutzbedarf definierten Wirksamkeit umsetzbar und betriebswirtschaftlich kalkulierbar sind. Dieser Katalog lässt sich als Soll-Vorlage zur Prüfung des Ist-Zustandes eines personenbezogenen Verfahrens heranziehen.

Das Konzept der sechs elementaren Schutzziele wurde im Herbst 2010 von der deutschen Datenschutzbeauftragtenkonferenz akzeptiert. Die Operationalisierung der Schutzziele mittels des Standard-Datenschutzmodells wurde in der Herbstsitzung 2014 angenommen mit dem Auftrag, bis zur Herbstsitzung 2015 den projektierten Referenzmaßnahmenkatalog zu entwickeln.

Das SDM kommt ohne eine Definition von Privatheit und einer Vorstellung von einer allgemeinen Kommunikationsordnung aus. Es setzt stattdessen an den entsprechenden grundrechtlichen Implikationen des Grundgesetzes sowie an deren Spezifikationen durch das Datenschutzrecht und die Rechtsprechung insbesondere des Bundesverfassungsgerichts an. Es kommt insofern ohne technisch und ökonomisch hinreichend operationalisierte Vorstellungen darüber aus, was „eigentlich“ personenbeziehbare Daten „sind“ oder wem solche Daten letztlich gehören: ob den Organisationen, die diese Daten im Rahmen eigener Personenmodelle generieren und mittels IT normalisieren, anreichern, typisieren, bewerten oder ob sie den Personen gehören, die sie im Rahmen von Kommunikationen und Interaktionen nutzen. Stattdessen richtet das SDM seine Aufmerksamkeit auf die Aktivitäten von Organisationen, die empirisch zweifelsfrei feststellbar ungleich mächtiger als Personen die Strukturen und Abläufe von Kommunikationsbeziehungen festlegen. Dieses asymmetrische Machtverhältnis bliebe auch dann bestehen, wenn Personen tendentiell fairer als bislang mit ihren persönlichen Daten handeln könnten („Meine Daten gehören mir!“). Organisationen werden strukturell permanent verführt, die gesellschaftlich induzierten Risiken (des Marktes, der Gewaltenteilung und Demokratie, der Diskurse) auf Personen als schwächere Risikonehmer abzuwälzen. Dabei kommt dem Internet die Funktion zu, diese Gestaltungsübermacht der Organisationen bis in die kognitiven Prozesse und Körper einer jeden einzelnen Person hineinzutragen. Was einst die vom Transmissionsriemen zusammengehaltene Maschinerie einer Fabrik war, ist nunmehr ein vom Netzprotokoll vermitteltes, über die Welt gezogenes großtechnisches System. Organisationen wirken mittels großtechnischer Systeme unmittelbar. Die Folge ist, dass organisationsexterne Nutzer von IT und Netzdiensten nicht nur zu organisationsinternen Quasimitgliedern sondern zu unbezahlt agierenden Mitarbeiterinnen und Mitarbeiter dieser Netzdienste werden, wie sich besonders deutlich im Fall google zeigt. Organisationen simulieren die strukturbildenden Risikoquellen der Gesellschaft in ihren eigenen Verfügungsgrenzen. Sie bilden in einem gewissen Ausmaß Märkte, Gewaltenteilung und Demokratie sowie freie Diskurse aus, beanspruchen in diesen jedoch willkürliche Letztentscheide, ohne die rechtsstaatlich gebotene rechtliche oder politische Rückkopplung einzuräumen. Diese Situation entspricht strukturell vormodernen Gesellschaften, in denen wenige Organisationen, die weder demokratisch legitimiert noch rechtlich eingefangen waren, die Regeln des Zusammenlebens von Menschen – und damit über die Menschen selber – bestimmten.

Eine am SDM orientierte, strukturell agierende Datenschutzaufsicht nimmt nicht unmittelbar eine einzelne zu schützende Person in den Blick, sondern orientiert sich am Erhalt gesellschaftlicher Strukturen, die die sozialen Generatoren für Privatheit, Individualität, Selbstbestimmung und Freiheit, mit ihrer logisch inhärenten Nicht-Feststellbarkeit bilden. Soziologisch gewendet: In der Moderne muss man individuell sein und Freiheit und Privatheit beanspruchen. Die Datenschutzaufsicht beobachtet, gelenkt vom Referenzrahmen der Grundrechte bzw. des Datenschutzrechts, an der maschinell gestützten Standardisierung der Handlungsfreiheit von Personen durch Organisationen gesellschaftliche Verwerfungen, die zu einer Regression der „funktionalen Differenzierung“ der Moderne zu einer „stratifizierten Gesellschaft“ (Niklas Luhmann) der Vormoderne führen. In der postmodernen Vormoderne wird „Selbstbestimmung“ vorstellbar nur noch in den festgelegt-standardisierten Formen, die wenige Unternehmen zu ihrem Vorteil definieren und auf die sich staatliche Sicherheitsbehörden jederzeit Vollzugriff verschaffen (können). Die Frage ist, was unter „Selbstbestimmung“ in totalitär verödeten Verhältnissen verstanden werden kann, wenn von Personen permanent in durchindustrialisierter Form Rechtfertigungen für riskante Handlungen abverlangt werden. Der Umsetzung der Grundrechte kommt, wie auch der Umsetzung des Umweltschutzrechts oder dem Kartellrecht insofern eine existentielle Bedeutung zum Erhalt einer modernen Gesellschaft mit modernen Formen der Individualität und Freiheit einzelner Personen zu.

In einer Privacy-Debatte, die als wissenschaftlich ausgeflaggt vornehmlich an der empirischen Erhebung und Typisierung notwendig beliebiger Vorstellungen von Personen zu Privatheit ansetzt, darüber jedoch die gesellschaftlich relevante Machtasymmetrie zwischen Organisationen und Personen, als den eigentlich für den Privatheitsschutz zu bearbeitenden Konflikt, gar nicht erst wahrnimmt oder aus dem Auge verliert, ist insofern aus einer professionellen Datenschutzsicht im besten Falle irrelevant. Allerdings tragen derartige wissenschaftliche Beiträge zur Privatisierung des Datenschutzkonflikts kulturell und politisch zur Invisibilisierung der Machtasymmetrie bei und spielen insofern staatlichen Sicherheitsbehörden und global agierenden Monopolunternehmen legitimierend in die Karten. Das kann professionelle DatenschützerInnen nicht kalt lassen.

Ein erster Schritt, die aktuelle Debatte um Privacy zumindest auf das bereits in den 1970er Jahre erreichte Diskursniveau zu heben, als sich Datenschutz an der ersten Welle des Aufkommens von IT im Rahmen der Kybernetik formierte, bestünde darin, eine Theorie des Datenschutzes der modernen Weltgesellschaft mit ihren großtechnischen Systemen zu entwickeln. Eine sozialphilosophisch oder auch politologisch wichtige Forschungsfrage könnte lauten, ob eine Anerkennung der elementaren Schutzziele, die die „Geltungsanforderungen einer vernünftigen Rede“ (Jürgen Habermas) operativ ergänzen, durch Organisationen unerlässlich für eine gelingende Sozialität ist, weil anders technische Systeme, kategorial genauer: die Organisationen, nicht beherrschbar sind. Von Theorie getriebene Forschungsfragen zu verfolgen ist allerdings schwierig in einem Forschungskontext, in dem sich vielfach die Vorstellung verfestigt, Korrelationen mit Kausalitäten verwechseln zu dürfen, wenn die Ergebnisse nur hinreichend nützlich sind. Kausalität zu behaupten und dabei sogar kausalitätsprengende Wechselwirkungen oder selbstgenerativ-kreative Systeme denken zu können, erfordert jedoch einen theoretischen, das heisst: auch freiheitlich-spekulativen und selbstreflexiven, Bezug zum Forschungsobjekt.

Wir sind weiter als selbst der gute Popdiskurs über Datenschutz vermutet…

Mai 10th, 2014

Untertitel 1: Immerhin ist Schluss mit lustig.
Untertitel 2: Sind Datenschützer unsexy?

(Version 1.1, 2014-0606)

Die Debatte darüber, dass es im Datenschutz in Bezug zum Internet nicht um Technik, sondern um gesellschaftliche Strukturen geht, ist inzwischen im Mainstream angelangt. Es geht um Politik, Grundrechte, Demokratie, Märkte und beliebig führbare künstlerische, wissenschaftliche, metaphysische Diskurse. Auf die Phase der Empörung folgt, gut ein Jahr nach dem ersten Snowden Leak, auch im Mainstream eine Phase, in der das Niveau der Analysen anzieht und Antworten nach Möglichkeiten für praktische Änderungen gegeben werden.

Zunächst sei auf zwei Beiträge aus dem aktuellen, gesellschaftlichen Diskurs zum Datenschutz hingewiesen, die die These vom Anziehen des Diskursniveaus zum Thema Datenschutz belegen:

Mainstream 1: Diskussion bei Beckmann am 18.04.2014 in ARD
Bei Beckmann liess sich am 18.04.2014 eine hervorragende Diskussion verfolgen – besetzt mit Schirrmacher, Gabriel, Zeh und Heilemann, die allesamt, mit Ausnahme von Herrn Beckmann, der leider, vermeintlich den doofen Zuschauer vertretend, zu oft dazwischen quatschte, insbesondere bei Juli Zeh, wenn die dort für bestimmte Logiksphären stehenden Experten konsequent ihre Pointen dann auch zuende bringen wollten – einen richtig guten Tag hatten.
Beckmann-Talk vom 18.04.2014

Mainstream 2: Rede von Sascha Lobo auf der re:publica 2014
Sascha Lobo beschimpft die Nerdszene der digital natives, die seit fünfzehn Jahren im Habitus der Internetbesserwisser den Rest der Gesellschaft meinen aufklären zu können, politisch dabei aber brotdumm agieren; und die sich letztlich ebensowenig wie der breite Mann auf der Strasse wirklich für das interessieren und gegenangehen, was da machtpolitisch und gesellschaftstrukturell im Internet abgeht.
Sascha Lobo: Über die Lage der Nation

Durch das Ansehen dieser Beiträge könnte jedem, anhand seiner bevorzugten Identifikationsfigur, vielleicht klar werden:

  1. Snowden und Geheimdienste sind nicht mehr unmittelbar das Thema, sondern sie bilden den Anlass, die Themen, die jede und jeden in seinem Alltagshandeln gegenüber Verwaltungen und Unternehmen betreffen, dahinter ernsthaft anzugehen.
  2. Selbstdatenschutz durch ein Nichtnutzen all der tollen Dienste ist keine adäquate Antwort zur Lösung des Problems.
  3. Ohne Regulation des Agierens von Organisationen gibt es keine Lösung.

Fast durchweg – mit Ausnahme der Juristin, Demokratin und intellektuellen Visionärin Juli Zeh – tut diese Pop-Diskurselite allerdings wie auch die Gegner des Datenschutzes stellenweise so, als ob nicht klar sei, was angesichts der Übermacht von NSA, google und Co in einer sich ändernden Welt inhaltlich zu tun sei… “Wir müssen darüber sprechen…” Ja, wenn diese Message nicht unterschwellig den Gedanken nahelegt, dass darüber noch nicht gesprochen worden sei. Überraschung: Es wird seit 40 Jahren im Datenschutz über Datenschutz gesprochen. Die Message, wir wissen (noch) nicht genau genug was eigentlich zu regulieren und zu tun ist, ist deshalb falsch. Man darf behaupten, dass es kristallin klar ist, wie Organisationen ihre Aktivitäten zu formen haben, damit diese als grundrechtskonform gelten können (Blogbeitrag von 2012). Die Frage kann deshalb vollständig das Problem fokussieren, wie dies nun durchzusetzen ist. Ob dies noch durchgesetzt werden kann oder der Hobbesche-Deal zwischen Bürger und Staat überhaupt noch gilt, weil der Staat im gegenwärtigen Zuschnitt für die Sicherheit seiner Bürger im Internet gar nicht mehr sorgen kann, ist eine weitere sehr dringend zu behandelnde Frage.

Der Datenschutz hat sich seit Beginn der 70er Jahre mit den aktuellen Fragen, was zu tun ist, sehr breit befasst. Die automatisierten Angriffe von Organisationen auf Grundrechte von Bürgern sind nicht neu. Datenschutz hat operationalisierbare Antworten dazu parat. Und die gilt es zunächst einmal überhaupt zu kennen, dann zu prüfen, dann zu bewerten, um vielleicht zu einem Urteil zu kommen, ob die Herangehensweise verändert werden muss. Datenschutzrecht ist der Versuch, das Grundgesetz zu operationalisieren. Wenn man Datenschutzrecht infragestellt, dann stellt man das Grundgesetz infrage, und zwar gerade mit dessen “edelsten” Teilen. Das kann man ja machen, es muss einem nur klar sein. Es ist nicht so, dass wir in Bezug zur Umsetzung von Datenschutz bei Null anfangen müssen, nur weil NSA, google und Co kriminell und imperialistisch handeln und die Politik sich bislang als unfähig erwiesen hat, dagegen zu regulieren und das wohlfeile Deregulationsbrainwashing der vergangenen 30 Jahre durch interessierte Kreise fortgesetzt wird. (Man darf von einer aktuell im Amt befindlichen politischen Exekutive allerdings auch nicht erwarten, dass diese zu einer angemessenen Regulation bereit ist. Die aktuell im Amt befindliche Exekutive ist, das muss einem klar sein, letztlich Nutznießer der alten Überwachungsstrukturen. Man muss Mandat, Macht und eine Vision davon haben, wie man den Verwaltungsapparat unterhalb der politischen Exekutive entsprechend ändert. An vielen Stellen agieren die Böcke als Gärtner, insbesondere die unsagbar aggressiv agierenden und sogleich so sexy daherkommenden Google und Apple.)

Natürlich diskreditieren sich Datenschutzinstitutionen, wenn sie sich wirklich länger als 5 Minuten an der Frage aufreiben, ob im Wald Videokameras zur Beobachtung von Tieren aufgehängt werden dürfen. Und dann nicht einmal der Kontext gebildet wird, dass Wildbeobachtungskameras zur Vollerfassung der Welt beitragen, sondern, mit dem imaginierten Bild von (prominenten) Liebespaaren vor Augen, primär darauf abgestellt wird, dass die Forstwege doch bitte aussenvor zu lassen seien und, dies ist so typisches Agieren von Datenschutzinstitutionen: dass Hinweisschilder auf die Kameras aufzuhängen sind. Die staatlich etablierten Datenschutzinstitutionen versagen, sowohl bei den Kontrollen als auch in der analytischen Durchdringung der veränderten Konfliktlagen, seit Jahren in ganz vielen ungleich wichtigeren Themenfeldern aufs Entsetzlichste. Und zwar auch deshalb, weil wesentliche Akteure in den Institutionen keine klare Auffassung mehr davon haben, welche gesellschaftliche Funktion Datenschutz hat und welche Aufgaben als Beauftragte der Bürger ihnen deshalb zukommen. Es ist möglich geworden, die Posten von Datenschutzbeauftragte mit Menschen zu besetzen, die nachweislich keine Bürgerrechtler sind; mit der Folge, dass Datenschutz vornehmlich verwaltet wird. Dass die Datenschutzinstitutionen auch für den aktuellen Diskurs, mit ganz wenigen Ausnahmen, unsichtbar geworden sind, liegt insofern nicht vornehmlich daran, dass die Datenschutzaufsichtsbehörden, angesichts ihrer Aufgaben, so schreiend offensichtlich unterfinanziert sind.

ABER: Was zu tun ist, und wie man man konzeptionell den Grundrechteschutz von Menschen normativ und praktisch operationalisiert umsetzen kann, da haben Datenschutzinstitutionen, Bundesverfassungsgericht, Technikfolgenabschätzer und dann insbesondere der Datenschutzexpertendiskurs der vergangenen gut 20 Jahre viel zu bieten. Das wird nicht wahrgenommen, es besteht offenbar kein Bedarf das wahrzunehmen. Wo sind die institutionalisierten Datenschützer in der aktuellen Debatte? Wer präsentiert die vorhandenen Lösungsansätze? Dass es Lösungen gibt, weiss diese Popdiskurselite nicht, das kann sie nicht wissen. Der Popdiskurs hat Interesse am Diskurs, an der Reproduktion von Problemen, zu denen sich etwas sagen lässt; die Diskurspopstars des Datenschutzes wissen nichts von Umsetzung. Sie kennen nicht einmal das normativ scharfe Schwert des Verbots mit Erlaubnisvorbehalt aus §4 des BDSG. Warum fragt man nicht mal die Datenschützer, welche Antworten es gibt? Zu privacy by design, zu Identitätenmanagement, zu Anonymisierungsinfrastrukturen, zu Schutzzielen? Hat der institutionalisierte Datenschutz tatsächlich so dermaßen versagt, dass man nicht mal mehr Vertreter zu den Debatten einlädt zu Konfliktthemen, die zu bearbeiten seit mehr als 40 Jahren deren passabel bezahlte Aufgabe ist? Wieso meint man im öffentlichen Diskurs, auf ausgerechnet die ausgewiesenen Datenschutzexperten verzichten zu können?

Ich habe Videointerviews durchgeführt, bei denen Datenschutzexperten zu Wort kommen. Und von denen rund die Hälfte mit Statements aufwartet, deren Horizont nicht erst durch Snowdens Berichte aufgespannt werden musste, um bereits über diesen Horizont verfügend nach operativen Umsetzungen für eine moderne, durchdigitalisiert kommunizierende Gesellschaft zu suchen. An einem verregneten und für die Jahreszeit zu kühlen Sonntagnachmittag kann man sich auch noch mal zumindest die 16min46sec für den Zusammenschnitt aus dem Gesamtmaterial oder die 3min33sec für den Trailer antun:
Interviews von Datenschutzexperten

Fazit: Wir sind im Bereich der Operationalisierung von Grundrechten um vieles weiter, als selbst die Datenschutz-Popdiskurselite vermutet.

Ein bißchen Nachhilfe für Sascha Lobo

April 22nd, 2014

Version 2.1, 2014-0425

Auch an Sascha Lobo ist das Deregulierungs-Brainwashing der vergangenen 40 Jahre nicht spurlos vorüber gegangen. Der Aufklärer Sascha Lobo hat in den vergangenen drei vier Jahren enorm dazugelernt, der bei einigen Fragestellungen auch mal ein bißchen Nachhilfe gebrauchen kann, angesichts der anstehenden großen Konferenz zur globalen Vernetzung und der Frage: Was ist zu tun?
(Das Netz braucht eine Internet-Uno)

A) Zur Einstimmung eine Paradoxie: Wenn der liebe Gott alles kann…. kann er eine Mauer bauen, die so hoch ist, dass er selber nicht drüber springen kann? Moderne Kalküle “gründen” auf Paradoxien wie diesen, nicht auf letzten, Zweifel entzogenen, nun aber mal ganz echten Gründen. Moderne Kalküle verstecken seit Gödel ihre Paradoxien nicht länger, weil es erkenntnistheoretisch albern geworden ist, vielmehr nutzen sie deren beunruhigendes Potential. Das gilt auch fürs moderne Staatsverständnis. Der Datenschutz ist ein Indikator dafür.

B) Der moderne Staat ist so verfasst, dass er seinen eigenen Aktivitäten nicht über den Weg traut. Das genau ist der strukturell wesentliche Unterschied zum Absolutismus, der Vertrauen schlicht beanspruchen muss. So hat die Institutionalisierung des Datenschutzes in den 70er Jahren als ein staatlich organisierter Zweifel des Staates gegen sich selber begonnen. (Bitte den vorigen Satz erneut und den nachfolgenden Satz zwei Mal langsam lesen, und versuchen zu verstehen). Grundrechte sind Abwehrrechte des Bürgers gegen den Staat; dabei wirken Grundrechte auch auf Rechtsverhältnisse zwischen Privaten (“Drittwirkung der Grundrechte”). Was folgt daraus? Unter anderem das folgende:

Ein Staat muss stark sein, um Grundrechte normativ setzen und deren Beanspruchung durch den einzelnen Bürger auch gegen sich selber gewährleisten zu können. Der moderne Staat ist insofern beides zugleich: Der einzige Quell und Garant und zugleich der größte Feind der Grundrechte. (Ja, diese Paradoxie gilt es als moderne Denkanforderung auszuhalten.) Sascha Lobo zeigt in seiner Kolumne kein in dieser Hinsicht hinreichend konturiertes Verständnis vom modernen Staat in einer “funktional differenzierten Gesellschaft” (Luhmann). Weshalb Sascha Lobo als Rettungsanker für eine Legitimationsquelle zur Verlegenheitsfloskel “Zivilgesellschaft” greift – was ihn ja immerhin verlegen macht, wie er aufrichtigerweise bemerkt. Die wie auch immer ausgebildete Exekutive einer Zivilgesellschaft muss erst einmal dieses Niveau erreichen, doch sie würde sich vermutlich schlicht an der Position der Guten sehen. Weil…. ähmm…. nee… ist ja klar.

Insofern: Ein moderner starker Staat ist gefragt! Was für eine Zumutung… für die Mental-Kinder von Margret Thatcher. Und das heisst: Ein Staat mit einem tatsächlich bestehenden Gewaltmonopol, mit Gewaltenteilung, Rechtstaatlichkeit und Demokratie. Einen solchen Staat gibt es bislang allerdings nur auf dem Reissbrett der Aufklärung:
- Der Deal zwischen Bürger und Staat bzgl. des Gewaltmonopols ist derzeit mit Bezug auf Internet hinfällig. Der Staat tut nichts gegen die informatorische Gewalt, die derzeit eine Gewalt der Stärkeren ist. Selbst die wenigen über Zweifel erhabene Datenschützer geben länger schon die Losung aus: Die Bürger sollen sich informatorisch selber bewaffnen (“Selbstdatenschutz”) – dabei haben die Bürger, Kunden, Patienten… Menschen, Individuen, Subjekte überhaupt keine reelle Chancen gegenüber den Organisationen, nicht den Sicherheitsbehörden, nicht den globalen Technikunternehmen, nicht den googles und facebooks, aber auch nicht den Banken und Versicherungen.
- Gewaltenteilung findet nicht statt. Die Exekutive ist in Form der Geheimdienste, auf die die anderen Sicherheitsdienste zugreifen können, vollends aus dem Ruder gelaufen. Die unteren Instanzen der Gerichtsbarkeiten haben Angst vor den globalen Konsequenzen ihrer als lokal verstanden Entscheidungen.
- Es wird offensichtlichst gegen Datenschutz als “Recht auf informationelle Selbstbestimmung” fortgesetzt und ungeahndet verstoßen. Die einzigen Organisationen, die sich leidlich um die Erfüllung von Datenschutzanforderungen auf einem relativ reifen Niveau kümmern, sind deutsche Kommunen.
- Demokratische Entscheidungsverfahren sind eine Farce, wenn die Behörden der Exekutive die Legislative und Jurisdiktion dominieren.

Was darf man in dieser Perspektive nun von der Netmundial tatsächlich erwarten? Ich vermute und prognostiziere: Gar nix. So wie alle anderen Veranstaltungen dieser Art in den letzten Jahren auch für die Katz waren. Sie wurden nur immer pompöser, alle mit dem Anspruch, nun aber verfahrenstechnisch wirklich alles richtig gemacht und jeden beteiligt zu haben. Nur: Die Inhalte fehlen. Diese stellen sich nicht von selbst ein.

Wir brauchen außerdem keinen zentralen Weltstaat, auf den muss man nicht als letzten legitimen Normenspender warten, wenn die Staatenverbünde es irgendwie nicht hinkriegen. Den will man doch auch politisch gar nicht, nur weil er verspricht, dass Normen und Logik dann aus einem Guss sein könnten. Rein gar nichts spricht dagegen, dass Deutschland, oder besser: die EU einfach mal anfangen, mit der feinen Blaupause der Komponenten an den Spiegelstrichen im vorigen Abschnitt Ernst zu machen. Diese Komponenten sind ja bedrückend langweilig und sattsam bekannt. Aber sie sind eben noch keine Realität.

Stellt sich die Frage: Womit denn nun inhaltlich anfangen? Was gilt es denn zu regeln? Darauf zu setzen, dass allein die Möglichkeit zu einem fair besetzten, zivilgesellschaftlichen Diskurs in einem offenbar hinreichend souveränen Land wie Brasilien – im Unterschied zu Deutschland – schon zu einem verallgemeinerungsfähigen Ergebnis führe, wenn man nun aber wirklich mal alle Stakeholder aufeinanderknallen lässt oder wirklich alle alle irgendwie guten NGOs zusammenruft, verfiele allerdings einer schlechten, romantisch verklärten Diskursbesoffenheit. Was genau ist inhaltlich vernünftigerweise zu fordern… und zwar so, dass es auch praktisch umsetzbar ist?

C) Die operationalisierbaren Kernforderungen sind aufgrund der theoretisch anreflektierten Erfahrungen mit Datenschutz – also dem erfahrenen, operativen Arm des Grundrechteschutz des Bürgers und Kundens vor Staat und Unternehmen – aus den vergangenen 40 Jahren die folgenden:

1. Kommuniktionssysteme sind so zu betreiben, dass sie für jeden in gleicher Weise verfügbar sind. (Netzneutralität als Verfügbarkeitsaspekt)
2. Kommunikationssysteme sind so zu konstruieren und zu betreiben, dass sie genau das und nur das machen, für was sie als Zweck ausgewiesen sind. (Integritätsanforderung)
3. Kommunikationssysteme sind so zu konstruieren und zu betreiben, dass nur diejenigen Kenntnis von Kommunikatonen nehmen können, die Sender und Empfänger intendieren (Vertraulichkeitsanforderung)
4. Kommunikationssysteme sind so zu konstruieren und zu betreiben, dass sie prüfbar sind. Und zwar prüfbar für die Betreiber der Systeme, die Nutzer der Systeme und für die Kontrolleure der Systeme, die stellvertretend für das verallgemeinerungsfähige gesellschaftliche Interesse die Systeme im Expertenmodus prüfen. (Transparenzanforderung)
5. Kommunikationssysteme sind so zu konstruieren und zu betreiben, dass sie jederzeit verändert und grundsätzlich gestoppt werden können. (Interventionsanforderung)
6. Kommunikationssysteme sind so zu konstruieren und zu betreiben, dass Teile von ihnen voreinander isoliert werden können. (Nichtverkettbarkeitsanforderung)

Das war es im Wesentlichen. Weitere Anforderungen lassen sich aus diesen sechs ableiten. Und wieder gilt: Diese Anforderungen stehen in einem Spannungsverhältnis zueinander, drei davon privilegiert in einer Achse, man kann nicht alle Anforderungen gleichzeitig in hohem Maße umsetzen. Wieder gilt es die Differenzen der Moderne auszuhalten. Jede dieser Anforderungen ist aber durch konkrete Maßnahmen umsetzbar. Wo die angemessenen Arbeitspunkte dieser Kompromisse liegen, gilt es politisch auszuhandeln und dann modernstaatlich rechtlich abzusichern und operativ für Datenbestände, IT-Systeme und Prozesse umzusetzen.

Und woher kommt die Sicherheit, dass es nun genau diese sechs Anforderungen sind?

D) Diese sechs elementaren Anforderungen an Kommunikationssysteme komplementieren die “Geltungsanforderungen an eine verünftige Rede”, wie sie Habermas Ende der 70er Jahre für die “Sinnebene” formuliert hat, auf der operativen Ebene. Die Umsetzung der Habermaschen Geltungsanforderungen an die Vernünftigkeit von Kommunikationen sind angewiesen auf die praktische Umsetzung der sechs Elementaranforderungen für technische Kommunikationssysteme. Man kann bspw. keine Wahrheit seiner Aussage beanspruchen, wenn die das Kommunikationsmedium beherrschenden Organisationen Mitteilungen beliebig ändern können. Das stiftet einen plausiblen Zusammenhang, soll aber keine Begründung liefern, die nicht auch der Aporien der Vernunft gedenkt. Mit Habermas kann man immerhin lernen, dass wenn man an Vernunft appelliert, man jedenfalls anzugeben gehalten ist, welche man denn meine.

Ohne ein vernünftig funktionierendes Kommunikationssystem kann es jedenfalls keine Zivilgesellschaft und keinen modernen Staat geben. So rum ist die Logik. Kann das jemand mal dem Sascha Lobo sagen! Ich möchte, dass er sich auch weiterhin gut entwickelt und seinen wirklich guten Job fortsetzt.

Warum Datenschutz?

Januar 13th, 2013

Damit Organisationen einzelne Personen nicht fremdbestimmen, nicht knechten.

So einfach ist das.

Fremdbestimmung ist dann der Fall, wenn Organisationen etwas über Personen wissen und dieses Wissen, das eigentlich nicht zum Aufgabenbereich einer Organisation zählt, zu ihrem Vorteil nutzen. Deshalb achtet man im Datenschutz darauf, dass Organisationen keine Daten erheben und keine Daten verabeiten, ohne dass der Zweck genau ausgewiesen ist. Ohne Ausweis des Zwecks und ohne Zweckbindung keine Daten über Personen. So einfach ist auch das.

Jede Organisation agiert jedoch grundsätzlich an der Grenze zur Fremdbestimmung von Personen. Wie unerzogene Kinder reizt jede Organisation notorisch ihre Grenzen aus. Unternehmen, Staaten und Verwaltungen, Wissenschaftsinstitute – die im riskanten Kontext von Märkten, politischem Wettstreit und Gewaltenteilung sowie freien Diskursen agieren – müssen deshalb jeder einzelnen Personen nachweisen, dass sie nicht gegen die Person agieren. Organisationen dürfen nicht einmal versuchen, die Risiken des Marktes, der Demokratie und Gewaltenteilung sowie der freien Diskurse, auf “ihre” Kunden, Bürger und Individuen abzuwälzen. Sie müssen als maßgebliche Leitlinie ihres Handelns die Würde einer jeden einzelnen Person achten.

Der Nachweis der Vertrauenswürdigkeit gelingt Organisationen dadurch, in dem diese zumindest den folgenden Anforderungen genügen:

  • Sie verarbeiten Daten von Personen ausschließlich zweckbestimmt.
  • Sie verarbeiten Daten von Personen vertraulich.
  • Sie schützen die Verarbeitung von Personen vor falschen Änderungen.
  • Und dass sie das machen, ist für Betroffene und externe Prüfer überprüffähig.
  • Sie reagieren schnell und korrekt auf Widerspruch durch Personen und Aufsichtsinstanzen.
  • Sie agieren fair und halten sich an Gesetze, ohne diese in ihrem Sinne zu überdehnen.

Das alles zu beachten und umzusetzen ist nicht einfach. Aber machbar. Dass diese Anforderungen umgesetzt werden, ist die allgemeine Arbeitsgrundlage einer jeden Handlung und Kommunikation zwischen Organisationen und Personen in einem modernen Staat. Wenn diese Arbeitsgrundlage infrage gestellt wird, droht ein moderner Staat zu einer Bananenrepublik zu verkommen und Personen verlieren ihr Vertrauen in die Institutionen. Massenhafter Vertrauensverlust in die Institutionen reduziert wiederum die Leistungsfähigkeit einer Gesellschaft drastisch. Wie real diese Bedrohung seit Jahren schon ist, zeigt dieser SPON-Artikel: EU-Bericht warnt vor Überwachung durch USA.

Datenschutz muss Organisationen prüfen, gegebenenfalls beanstanden oder ein Gerichtsverfahren starten. Datenschutz muss darüber hinaus darlegen, wie Organisationen diese Anforderungen praktisch umsetzen können und der Nachweis darüber gelingt.

Auch das passt…

Dezember 30th, 2012

Ein offenbar in den Diensten des Tagesspiegels stehender
Journalist weist darauf hin, dass mein Geschreibsel hier über Facebook verwirrt und ich beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein beschäftigt sei, das bekanntlich von Dr. Weichert geleitet werde, dessen Lieblingsfeinde ja facebook und google seien. Beide würden wir uns vor allem unserem Antiamerikanismus hingeben, und Weichert obendrein nicht seinen eigentlich Job machen.

Ich möchte dazu nicht mehr sagen als dass in Bezug zu mir jede/jeder selber meine Argumente im Blog prüfen und ggfs. mit einer kritischen Gegenrede entkräften kann. Wenn aber anstatt zu argumentieren nur der Autor als verwirrter, emotionaler Spinner diskreditiert wird, dann passt auch das, was mich natürlich wenig erstaunt, rhetorisch gut in den von mir begrifflich abgesteckten Analyserahmen.