Weiterhin kein Datenschutz bei der Telekom

V0.2-2015-0817

In einer Meldung bei Heise-News vom 14.08.2015 heisst es, dass die Telekom für “strengen europäischen Datenschutz” wirbt. (Heise-News vom 14.08.2015)

Mein erster Gedanke zu dieser Headline war: Wer Sätze wie “Einhaltung des strengen Datenschutzes” formuliert, macht in der Praxis nach meinen Erfahrungen immer und in Perfektion das Gegenteil.

Ein Hinweis auf “strengen Datenschutz” ist eine Beschwörungsformel, die erfahrungsgemaß rechtliche und operative Unkenntnis kompensiert. Und wieso meint die Telekom sich in die Position des “Werbens für Datenschutz” setzen zu können? Die Telekom kann niemals eine Lösung für das Problem sein, sondern sie ist notwendig immer ein Teil eines Datenschutzproblems. Allein die Verwendung dieses Verbs zeigt an, dass es sich um einen Propagandatext handeln muss. Aber warum jetzt dieser Artikel? Es stieg in mir die Erinnerung auf, dass da doch letztens noch ein Link Telekom-BND-NSA bestand. Ich fand dann in den Kommentaren zum Artikel bequemerweise den Hinweis auf eine weitere Heise-Meldung vom 19.05.2015, wonach die Telekom den Transitverkehr an den BND weiterleite. Okay, die Telekom hat also Bedarf an Imagekorrekturen, ganz aufs Vergessen mag man dort nicht setzen. Doch zum hochrelevanten Thema “Umgang mit Anfragen von Nachrichtendiensten” findet man im Artikel kein Wort.

Mein zweiter Gedanke lautete: Was versteht man bei der Telekom unter Datenschutz? Welche Datenschutz-Komponenten werden im Artikel wohl abgesprochen werden? Ob sie dort allein zwischen IT-Sicherheit und Datenschutz unterscheiden können? Sind die sechs Schutzziele des Datenschutzes vielleicht inzwischen angekommen? Ist hoch unwahrscheinlich aber nicht unmöglich.

Irritierenderweise scheint sogar die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bei der Telekom für den Datenschutz einstehen zu wollen. Warum riskiert die BfDI das, die ansonsten politisch doch eher vorsichtig agiert? Die BfDI ist für die Aufsicht der Telekom zuständig. Was macht sie offenbar Glauben, dass es dort zum Besten bestellt ist? Sind es Varianten der Klassiker “too big to fail” oder “Stockholm-Syndrom”? Man sollte die Bildunterschrift genau lesen: “Die Telekom hat einheitliche Datenschutzrichtlinien für alle Tochtergesellschaften. Der Datenschutzbeauftrage Ulmer und Vorstand Kremer bekommen das von der Bundesdatenschutzbeauftragten Andrea Voßhoff bestätigt.” Es wird also allein die Einheitlichkeit der Richtlinien des Konzerns bestätigt. Muss man die folgende Banalität tatsächlich formulieren? Einheitlichkeit bedeutet unter dem Aspekt der Entfaltung von Schutzwirkungen für Betroffene genau gar nichts.

Um so gespannter war ich, was im Artikel ausgeführt wird.

Tatsächlich problematisiert der Artikel zu einem Textanteil von etwa 40% die Einheitlichkeit der Datenschutzanforderungen in Europa. >>”Das [die Uneinheitlichkeit, MR] schadet den Unternehmen, weil sie dann mit ungleichen Wettbewerbsbedingungen zu kämpfen haben”, betonte der Datenschutzbeauftragte der Telekom, Claus Dieter Ulmer.”<< Aus einer Datenschutzsicht der Grundrechte eines Bürgers, Kunden, Patienten gegenüber staatlichen Verwaltungen und privaten Unternehmen besagt Einheitlichkeit des Datenschutzrechts, wie schon gesagt, nichts.

Die weiteren, dann doch noch auf Inhalte des Datenschutzes zielenden Ausführungen des Artikels zeigen in nahezu jedem Detail auf, wie datenschutzfeindlich die Telekom tatsächlich agiert und weiterhin zu agieren beabsichtigt. Ich frage mich, wer diesen Text geschrieben hat? Ein kritischer Journalist war das jedenfalls nicht, da es sich aus meiner Sicht um einen durchgestylten Propagandatext eines marktdominanten Telekommunikationsunternehmens handelt, das vorgibt, gegen die eigenen kommerziellen Interessen handeln zu wollen. Ich vermute, der Artikel basiert auf einer Pressemitteilung seitens der Telekom.

Herr Ulmer führt aus: >>Es dürfe für den Verbraucher keinen Unterschied zwischen Anbietern aus der EU und Übersee geben. Sie müssten sich auf den Schutz der Daten verlassen können „egal, wo der Anbieter sitzt und welchen Dienst sie nutzen wollen“.<< Der Schutz der Daten ist nicht das Problem des Datenschutzes bzw. des Verbrauchers, es geht nicht dessen um IT-Sicherheit. Der Verbraucher muss sich darauf verlassen können, dass Anbieter seine Grundrechte achten und operativ umsetzen, egal wo der Anbieter sitzt. Der Schutz personenbezogener Daten gegenüber den Anbietern selber ist das eigentlich zu lösende Datenschutzproblem. Nur grob überfliegend gelesen könnte es allerdings selbst professionellen Datenschützern passieren, dieser Passage zuzustimmen. Ja ja, sichere Daten sind wichtig.

>>Ulmer kritisiert insbesondere, dass die Regierungen im EU-Rat eigene Regelungen für personenbezogene Daten im öffentlichen Bereich zulassen wollen.<< Was soll diese Bemerkung Ulmers? Die Unterscheidung von öffentlichem und privatem Recht ist für Datenschutz hoch relevant. Datenschutz allein im Fahrwasser des Privatrechts würde die Einwilligung als Regelungsinstrument bevorzugen. Das ist genau das, woran amerikanische Sozietäten in Brüssel arbeiten, indem sie die Risikokalküle für personenbezogene Verfahren individualisieren. Von Einwilligungen gehen keinerlei Schutzwirkung für Betroffene aus. Sie erzeugen primär eine relative Rechtssicherheit für Organisationen, solange jedenfalls niemand vor einem Verfassungsgericht klagt. Ein Verfassungsgericht würde dann allerdings feststellen, dass bspw. die Anforderungen, die das Bundesdatenschutzgesetz an Einwilligungen stellt - Freiwilligkeit, Bestimmtheit, Informiertheit, vollständige Auflistung der Empfänger -, nicht erfüllt werden, und realistisch gar nicht erfüllt werden können. Ein öffentlich-rechtlicher Datenschutz stellte jede Datenverarbeitung dagegen ausschließlich unter einen Gesetzesvorbehalt. Ist es das, was Ulmer fordert? Doch ganz sicher nicht.

Ulmer verweist auf die Anforderung der Datensparsamkeit und wiederholt die platte, inzwischen mindestens 20 Jahre alte "Idee" des "Privacy By Design" (PbD). Datensparsamkeit und PbD sind weiche Regulatoren, ähnlich wie auch der Vorbehalt, der durch die "Erforderlichkeitsanforderung" an eine Datenverarbeitung besteht. Diese Aspekte entfalten, aus Sicht eines Datenschützers kann man das inzwischen wissen, keine tatsächlich relevanten Schutzwirkungen für Betroffene, es werden bestenfalls ein paar unzweckmäßige Nebenwirkungen eingedämmt. Der BND bekommt bzw. nimmt sich die Daten, die er für erforderlich hält, wie auch die Telekom, wie Versicherungen und Banken und überhaupt alle anderen Großunternehmen insbesondere der USA. Wenn es im nationalen Rahmen mal zwackt, werden entsprechende Gesetze auf den Weg gebracht. Dabei wäre natürlich der gute Ansatz des "Privacy-By-Design" durch das "Standard-Datenschutzmodell" (SDM) oder durch ein "Dataprotection-Impact-Assessment" (DPIA), das sich in seinem materiellrechtlichen Anteil am SDM orientierte, im Sinne des Betroffenenschutzes durchaus operationalisierbar. Aber davon ist hier keine Rede. Es kann einem mit dem Blick aufs SDM insofern durchaus klar sein, was und wie es zu tun wäre, wenn man Datenschutz (konzern)politisch für Kommunikationsinfrastrukturen tatsächlich wollte. Immerhin wurden die sechs Datenschutzziele, die den Regelungskern des SDM ausmachen, bereits 2010 von der Konferenz der Datenschutzbeauftragten verabschiedet. Ein deutsches Großunternehmen, das ernsthaft an Datenschutz interessiert ist, könnte das ebenso wissen wie ein kritischer Journalist, der einen Artikel zu Datenschutz in einem wichtigen Großunternehmen schreibt, anstatt nur abstrakte Formeln zu wiederholen.

Immerhin: Das Safe-Harbor-Abkommen, mit dem die Europäische Kommission es europäischen Unternehmen seit 2000 ermöglicht, personenbezogene Daten legal in die USA zu übermitteln, wird als obsolet bezeichnet. Doch mutig ist diese These natürlich nicht. Es geht auch gar nicht um Mut. Ein Unternehmen wie die Telekom mit logischerweise eigenen globalen Ambitionen kann nicht mehr bereit sein, allzu billig alle interessanten Datenverarbeitungen allein den Amerikanern zu überlassen, während man zuhause, anders als die Amerikaner, punktuell dann doch Gefahr läuft, mit den windigen eigenen BigData-Aktivitäten aufzufliegen.

Zuletzt heisst es: >>So sollte die Verarbeitung von pseudonymen Daten nur dann möglich sein, wenn sie transparent ist und der Nutzer dem nicht widerspricht. Bei vollständig anonymen Daten hält Kremer keine Einschränkungen für erforderlich, weil keine Rückschlüsse auf ein einzelnes Individuum möglich sind.<< Nein, es sind keinerlei Daten, auch keine pseudonymisierten, nicht einmal anonymisierte, Daten ohne vorherige Zustimmung von Bürgern, Kunden oder Patienten oder gesetzliche Erlaubnis zu verarbeiten. So besagt es der Regelungskern - das Verbot mit Erlaubnisvorbehalt - sowohl des deutschen Datenschutzrechts als auch des Entwurfs der EU-Grundverordnung. Die Betroffenen müssen zumindest vorher befragt werden (Opt-In), und dürfen nicht nur gnädigerweise hinterher widersprechen (Opt-Out). Und wieder geht es darum, dass sich keinerlei ernsthafte widerständige Schutzwirkung für Betroffene, nicht einmal den in der Praxis ebenso wirkungslosen Pseudoschutz des Opt-In, entfalten kann. Anonymisierte Daten bieten keinen ernsthaften Schutz: Organisationen können ihren strukturellen Machtvorteil gegenüber Personen auch dann nutzen, wenn Nutzerdaten aufgrund anonymisierter Daten nur grob typisiert verarbeitet werden. Mal ganz abgesehen davon, dass Anonymität im Internet herzustellen nicht mehr möglich ist. Einen positivistischen Juristen kann dieser Umstand der Schutzlosigkeit trotz Anonymität kalt lassen, einen Datenschützer nicht. Und eine Organisation, die vorgibt, für Datenschutz, strengen sogar, zu werben, auch nicht.

Fazit: Es zeigt sich bei einer genauen Analyse des Textes, dass die Telekom in Bezug auf Datenschutz nach wie vor beabsichtigt, nicht ernsthaft datenschutzrechtliche Anforderungen umzusetzen, sondern weiterhin Datenschutz nur zu simulieren.

Was besonders bestürzend ist und mich bedrückt: Ich vermute, dass nicht einmal den Telekom-Vertretern selber in allen argumentativen Verästelungen klar ist, wie fern ab von jedem wirkungsvollen Datenschutz sie tatsächlich agieren. Dass sie in Wahrheit kein Interesse an Datenschutz haben, propagandistisch aber versuchen, sich im Gegenteil als an Datenschutz interessierte Instanz ins Spiel zu bringen, ist ebenso logisch wie durchsichtige Propaganda, und die Machart ist peinlich. Aber auch die Online-Heise-Redaktion ist Teil des Problems, wenn Heise wie in diesem Falle hilft, schiere Propagandatexte, die das Gegenteil von dem enthalten, was sie vorgeben zu enthalten, verbreitet. Heise beansprucht als journalistische Instanz ein erhöhtes Maß an Vertrauen, verfestigt aber durch unendliche Wiederholungen der immer gleichen Buzzwords problematische Narrative. In diesem Artikel findet keine Verdichtung, keine Kommentierung, keine Kontrastierung, keine Kontextierung statt. Natürlich gibt es auch andere, gute Heise-News, die das Vertrauen in die Redaktion wieder stärken. Nur: Man kann sich auf die Redaktion eben nicht verlassen. Die distanzlose Beteiligung der BfDI an diesem Artikel zeigt auf, wie insgesamt verworrenen die gesamte Datenschutzsituation und deren Beurteilung geworden ist. Man muss lernen, sich seines eigenen Datenschutzverstandes zu bedienen. Vertrauen kann man niemandem, eigenbestimmte Kontrollen sind unmöglich.

Es geht nicht um Privatheit… Zur anhaltenden Armseligkeit des wissenschaftlichen und politischen Privacy-Diskurses

Die deutschen Datenschutzaufsichtsbehörden entwickeln derzeit ein Standard-Datenschutzmodell (SDM) zur Prüfung und Beratung von Verfahren mit Personenbezug. Das SDM kommt ohne Definitionen zu „Privatheit“, „informationelle Selbstbestimmung“ oder „Freiheit einer Person“ aus. Das Modell erhebt den Anspruch, zwischen normativen Anforderungen und Wirkungen, zwischen Sollen und Sein, zu vermitteln. Es bietet zudem Anlass, auch theoretische Aspekte des Datenschutzes systematisch in den Blick zu nehmen.

Das SDM umfasst drei Bestandteile: a) Sechs als „elementar“ bezeichnete Schutzziele (Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettbarkeit, Intervenierbarkeit) gestatten eine vollständige Operationalisierung datenschutzrechtlicher Anforderungen an personenbezogene Verfahren, sobald eine Ermächtigungsregelung für ein Verfahren, das politisch, wirtschaftlich oder wissenschaftlich motiviert ist, rechtlich als gültig festgestellt wurde. b) Der Schutzbedarf eines Verfahrens wird, in Anlehnung an den erfolgreichen IT-Grundschutz des BSI, in drei Stufen festgelegt (normal, hoch, sehr hoch); allerdings mit der Fokussierung auf den Schutzbedarf betroffener Personen anstatt Geschäftsprozessen. Diese Fokussierung auf Personen ermöglicht eine bislang wenig beachtete grundrechtskonforme Gestaltung auch von IT-Schutzmaßnahmen für Geschäftsprozesse. Die drei Abstufungen dienen zudem der Operationalisierung der Beurteilung der Angemessenheit und Erforderlichkeit datenschutzspezifischer Schutzmaßnahmen. c) Ein Verfahren wird anhand von drei Komponentengruppen betrachtet (Daten, IT-Systeme, Prozesse). Diese drei Bestandteile erlauben die Entwicklung eines Referenzkatalogs mit Schutzmaßnahmen, mit denen die einzelnen Schutzziele in der vom Schutzbedarf definierten Wirksamkeit umsetzbar und betriebswirtschaftlich kalkulierbar sind. Dieser Katalog lässt sich als Soll-Vorlage zur Prüfung des Ist-Zustandes eines personenbezogenen Verfahrens heranziehen.

Das Konzept der sechs elementaren Schutzziele wurde im Herbst 2010 von der deutschen Datenschutzbeauftragtenkonferenz akzeptiert. Die Operationalisierung der Schutzziele mittels des Standard-Datenschutzmodells wurde in der Herbstsitzung 2014 angenommen mit dem Auftrag, bis zur Herbstsitzung 2015 den projektierten Referenzmaßnahmenkatalog zu entwickeln.

Das SDM kommt ohne eine Definition von Privatheit und einer Vorstellung von einer allgemeinen Kommunikationsordnung aus. Es setzt stattdessen an den entsprechenden grundrechtlichen Implikationen des Grundgesetzes sowie an deren Spezifikationen durch das Datenschutzrecht und die Rechtsprechung insbesondere des Bundesverfassungsgerichts an. Es kommt insofern ohne technisch und ökonomisch hinreichend operationalisierte Vorstellungen darüber aus, was „eigentlich“ personenbeziehbare Daten „sind“ oder wem solche Daten letztlich gehören: ob den Organisationen, die diese Daten im Rahmen eigener Personenmodelle generieren und mittels IT normalisieren, anreichern, typisieren, bewerten oder ob sie den Personen gehören, die sie im Rahmen von Kommunikationen und Interaktionen nutzen. Stattdessen richtet das SDM seine Aufmerksamkeit auf die Aktivitäten von Organisationen, die empirisch zweifelsfrei feststellbar ungleich mächtiger als Personen die Strukturen und Abläufe von Kommunikationsbeziehungen festlegen. Dieses asymmetrische Machtverhältnis bliebe auch dann bestehen, wenn Personen tendentiell fairer als bislang mit ihren persönlichen Daten handeln könnten („Meine Daten gehören mir!“). Organisationen werden strukturell permanent verführt, die gesellschaftlich induzierten Risiken (des Marktes, der Gewaltenteilung und Demokratie, der Diskurse) auf Personen als schwächere Risikonehmer abzuwälzen. Dabei kommt dem Internet die Funktion zu, diese Gestaltungsübermacht der Organisationen bis in die kognitiven Prozesse und Körper einer jeden einzelnen Person hineinzutragen. Was einst die vom Transmissionsriemen zusammengehaltene Maschinerie einer Fabrik war, ist nunmehr ein vom Netzprotokoll vermitteltes, über die Welt gezogenes großtechnisches System. Organisationen wirken mittels großtechnischer Systeme unmittelbar. Die Folge ist, dass organisationsexterne Nutzer von IT und Netzdiensten nicht nur zu organisationsinternen Quasimitgliedern sondern zu unbezahlt agierenden Mitarbeiterinnen und Mitarbeiter dieser Netzdienste werden, wie sich besonders deutlich im Fall google zeigt. Organisationen simulieren die strukturbildenden Risikoquellen der Gesellschaft in ihren eigenen Verfügungsgrenzen. Sie bilden in einem gewissen Ausmaß Märkte, Gewaltenteilung und Demokratie sowie freie Diskurse aus, beanspruchen in diesen jedoch willkürliche Letztentscheide, ohne die rechtsstaatlich gebotene rechtliche oder politische Rückkopplung einzuräumen. Diese Situation entspricht strukturell vormodernen Gesellschaften, in denen wenige Organisationen, die weder demokratisch legitimiert noch rechtlich eingefangen waren, die Regeln des Zusammenlebens von Menschen – und damit über die Menschen selber – bestimmten.

Eine am SDM orientierte, strukturell agierende Datenschutzaufsicht nimmt nicht unmittelbar eine einzelne zu schützende Person in den Blick, sondern orientiert sich am Erhalt gesellschaftlicher Strukturen, die die sozialen Generatoren für Privatheit, Individualität, Selbstbestimmung und Freiheit, mit ihrer logisch inhärenten Nicht-Feststellbarkeit bilden. Soziologisch gewendet: In der Moderne muss man individuell sein und Freiheit und Privatheit beanspruchen. Die Datenschutzaufsicht beobachtet, gelenkt vom Referenzrahmen der Grundrechte bzw. des Datenschutzrechts, an der maschinell gestützten Standardisierung der Handlungsfreiheit von Personen durch Organisationen gesellschaftliche Verwerfungen, die zu einer Regression der „funktionalen Differenzierung“ der Moderne zu einer „stratifizierten Gesellschaft“ (Niklas Luhmann) der Vormoderne führen. In der postmodernen Vormoderne wird „Selbstbestimmung“ vorstellbar nur noch in den festgelegt-standardisierten Formen, die wenige Unternehmen zu ihrem Vorteil definieren und auf die sich staatliche Sicherheitsbehörden jederzeit Vollzugriff verschaffen (können). Die Frage ist, was unter „Selbstbestimmung“ in totalitär verödeten Verhältnissen verstanden werden kann, wenn von Personen permanent in durchindustrialisierter Form Rechtfertigungen für riskante Handlungen abverlangt werden. Der Umsetzung der Grundrechte kommt, wie auch der Umsetzung des Umweltschutzrechts oder dem Kartellrecht insofern eine existentielle Bedeutung zum Erhalt einer modernen Gesellschaft mit modernen Formen der Individualität und Freiheit einzelner Personen zu.

In einer Privacy-Debatte, die als wissenschaftlich ausgeflaggt vornehmlich an der empirischen Erhebung und Typisierung notwendig beliebiger Vorstellungen von Personen zu Privatheit ansetzt, darüber jedoch die gesellschaftlich relevante Machtasymmetrie zwischen Organisationen und Personen, als den eigentlich für den Privatheitsschutz zu bearbeitenden Konflikt, gar nicht erst wahrnimmt oder aus dem Auge verliert, ist insofern aus einer professionellen Datenschutzsicht im besten Falle irrelevant. Allerdings tragen derartige wissenschaftliche Beiträge zur Privatisierung des Datenschutzkonflikts kulturell und politisch zur Invisibilisierung der Machtasymmetrie bei und spielen insofern staatlichen Sicherheitsbehörden und global agierenden Monopolunternehmen legitimierend in die Karten. Das kann professionelle DatenschützerInnen nicht kalt lassen.

Ein erster Schritt, die aktuelle Debatte um Privacy zumindest auf das bereits in den 1970er Jahre erreichte Diskursniveau zu heben, als sich Datenschutz an der ersten Welle des Aufkommens von IT im Rahmen der Kybernetik formierte, bestünde darin, eine Theorie des Datenschutzes der modernen Weltgesellschaft mit ihren großtechnischen Systemen zu entwickeln. Eine sozialphilosophisch oder auch politologisch wichtige Forschungsfrage könnte lauten, ob eine Anerkennung der elementaren Schutzziele, die die „Geltungsanforderungen einer vernünftigen Rede“ (Jürgen Habermas) operativ ergänzen, durch Organisationen unerlässlich für eine gelingende Sozialität ist, weil anders technische Systeme, kategorial genauer: die Organisationen, nicht beherrschbar sind. Von Theorie getriebene Forschungsfragen zu verfolgen ist allerdings schwierig in einem Forschungskontext, in dem sich vielfach die Vorstellung verfestigt, Korrelationen mit Kausalitäten verwechseln zu dürfen, wenn die Ergebnisse nur hinreichend nützlich sind. Kausalität zu behaupten und dabei sogar kausalitätsprengende Wechselwirkungen oder selbstgenerativ-kreative Systeme denken zu können, erfordert jedoch einen theoretischen, das heisst: auch freiheitlich-spekulativen und selbstreflexiven, Bezug zum Forschungsobjekt.

Wir sind weiter als selbst der gute Popdiskurs über Datenschutz vermutet…

Untertitel 1: Immerhin ist Schluss mit lustig.
Untertitel 2: Sind Datenschützer unsexy?

(Version 1.1, 2014-0606)

Die Debatte darüber, dass es im Datenschutz in Bezug zum Internet nicht um Technik, sondern um gesellschaftliche Strukturen geht, ist inzwischen im Mainstream angelangt. Es geht um Politik, Grundrechte, Demokratie, Märkte und beliebig führbare künstlerische, wissenschaftliche, metaphysische Diskurse. Auf die Phase der Empörung folgt, gut ein Jahr nach dem ersten Snowden Leak, auch im Mainstream eine Phase, in der das Niveau der Analysen anzieht und Antworten nach Möglichkeiten für praktische Änderungen gegeben werden.

Zunächst sei auf zwei Beiträge aus dem aktuellen, gesellschaftlichen Diskurs zum Datenschutz hingewiesen, die die These vom Anziehen des Diskursniveaus zum Thema Datenschutz belegen:

Mainstream 1: Diskussion bei Beckmann am 18.04.2014 in ARD
Bei Beckmann liess sich am 18.04.2014 eine hervorragende Diskussion verfolgen – besetzt mit Schirrmacher, Gabriel, Zeh und Heilemann, die allesamt, mit Ausnahme von Herrn Beckmann, der leider, vermeintlich den doofen Zuschauer vertretend, zu oft dazwischen quatschte, insbesondere bei Juli Zeh, wenn die dort für bestimmte Logiksphären stehenden Experten konsequent ihre Pointen dann auch zuende bringen wollten – einen richtig guten Tag hatten.
Beckmann-Talk vom 18.04.2014

Mainstream 2: Rede von Sascha Lobo auf der re:publica 2014
Sascha Lobo beschimpft die Nerdszene der digital natives, die seit fünfzehn Jahren im Habitus der Internetbesserwisser den Rest der Gesellschaft meinen aufklären zu können, politisch dabei aber brotdumm agieren; und die sich letztlich ebensowenig wie der breite Mann auf der Strasse wirklich für das interessieren und gegenangehen, was da machtpolitisch und gesellschaftstrukturell im Internet abgeht.
Sascha Lobo: Über die Lage der Nation

Durch das Ansehen dieser Beiträge könnte jedem, anhand seiner bevorzugten Identifikationsfigur, vielleicht klar werden:

  1. Snowden und Geheimdienste sind nicht mehr unmittelbar das Thema, sondern sie bilden den Anlass, die Themen, die jede und jeden in seinem Alltagshandeln gegenüber Verwaltungen und Unternehmen betreffen, dahinter ernsthaft anzugehen.
  2. Selbstdatenschutz durch ein Nichtnutzen all der tollen Dienste ist keine adäquate Antwort zur Lösung des Problems.
  3. Ohne Regulation des Agierens von Organisationen gibt es keine Lösung.

Fast durchweg – mit Ausnahme der Juristin, Demokratin und intellektuellen Visionärin Juli Zeh – tut diese Pop-Diskurselite allerdings wie auch die Gegner des Datenschutzes stellenweise so, als ob nicht klar sei, was angesichts der Übermacht von NSA, google und Co in einer sich ändernden Welt inhaltlich zu tun sei… “Wir müssen darüber sprechen…” Ja, wenn diese Message nicht unterschwellig den Gedanken nahelegt, dass darüber noch nicht gesprochen worden sei. Überraschung: Es wird seit 40 Jahren im Datenschutz über Datenschutz gesprochen. Die Message, wir wissen (noch) nicht genau genug was eigentlich zu regulieren und zu tun ist, ist deshalb falsch. Man darf behaupten, dass es kristallin klar ist, wie Organisationen ihre Aktivitäten zu formen haben, damit diese als grundrechtskonform gelten können (Blogbeitrag von 2012). Die Frage kann deshalb vollständig das Problem fokussieren, wie dies nun durchzusetzen ist. Ob dies noch durchgesetzt werden kann oder der Hobbesche-Deal zwischen Bürger und Staat überhaupt noch gilt, weil der Staat im gegenwärtigen Zuschnitt für die Sicherheit seiner Bürger im Internet gar nicht mehr sorgen kann, ist eine weitere sehr dringend zu behandelnde Frage.

Der Datenschutz hat sich seit Beginn der 70er Jahre mit den aktuellen Fragen, was zu tun ist, sehr breit befasst. Die automatisierten Angriffe von Organisationen auf Grundrechte von Bürgern sind nicht neu. Datenschutz hat operationalisierbare Antworten dazu parat. Und die gilt es zunächst einmal überhaupt zu kennen, dann zu prüfen, dann zu bewerten, um vielleicht zu einem Urteil zu kommen, ob die Herangehensweise verändert werden muss. Datenschutzrecht ist der Versuch, das Grundgesetz zu operationalisieren. Wenn man Datenschutzrecht infragestellt, dann stellt man das Grundgesetz infrage, und zwar gerade mit dessen “edelsten” Teilen. Das kann man ja machen, es muss einem nur klar sein. Es ist nicht so, dass wir in Bezug zur Umsetzung von Datenschutz bei Null anfangen müssen, nur weil NSA, google und Co kriminell und imperialistisch handeln und die Politik sich bislang als unfähig erwiesen hat, dagegen zu regulieren und das wohlfeile Deregulationsbrainwashing der vergangenen 30 Jahre durch interessierte Kreise fortgesetzt wird. (Man darf von einer aktuell im Amt befindlichen politischen Exekutive allerdings auch nicht erwarten, dass diese zu einer angemessenen Regulation bereit ist. Die aktuell im Amt befindliche Exekutive ist, das muss einem klar sein, letztlich Nutznießer der alten Überwachungsstrukturen. Man muss Mandat, Macht und eine Vision davon haben, wie man den Verwaltungsapparat unterhalb der politischen Exekutive entsprechend ändert. An vielen Stellen agieren die Böcke als Gärtner, insbesondere die unsagbar aggressiv agierenden und sogleich so sexy daherkommenden Google und Apple.)

Natürlich diskreditieren sich Datenschutzinstitutionen, wenn sie sich wirklich länger als 5 Minuten an der Frage aufreiben, ob im Wald Videokameras zur Beobachtung von Tieren aufgehängt werden dürfen. Und dann nicht einmal der Kontext gebildet wird, dass Wildbeobachtungskameras zur Vollerfassung der Welt beitragen, sondern, mit dem imaginierten Bild von (prominenten) Liebespaaren vor Augen, primär darauf abgestellt wird, dass die Forstwege doch bitte aussenvor zu lassen seien und, dies ist so typisches Agieren von Datenschutzinstitutionen: dass Hinweisschilder auf die Kameras aufzuhängen sind. Die staatlich etablierten Datenschutzinstitutionen versagen, sowohl bei den Kontrollen als auch in der analytischen Durchdringung der veränderten Konfliktlagen, seit Jahren in ganz vielen ungleich wichtigeren Themenfeldern aufs Entsetzlichste. Und zwar auch deshalb, weil wesentliche Akteure in den Institutionen keine klare Auffassung mehr davon haben, welche gesellschaftliche Funktion Datenschutz hat und welche Aufgaben als Beauftragte der Bürger ihnen deshalb zukommen. Es ist möglich geworden, die Posten von Datenschutzbeauftragte mit Menschen zu besetzen, die nachweislich keine Bürgerrechtler sind; mit der Folge, dass Datenschutz vornehmlich verwaltet wird. Dass die Datenschutzinstitutionen auch für den aktuellen Diskurs, mit ganz wenigen Ausnahmen, unsichtbar geworden sind, liegt insofern nicht vornehmlich daran, dass die Datenschutzaufsichtsbehörden, angesichts ihrer Aufgaben, so schreiend offensichtlich unterfinanziert sind.

ABER: Was zu tun ist, und wie man man konzeptionell den Grundrechteschutz von Menschen normativ und praktisch operationalisiert umsetzen kann, da haben Datenschutzinstitutionen, Bundesverfassungsgericht, Technikfolgenabschätzer und dann insbesondere der Datenschutzexpertendiskurs der vergangenen gut 20 Jahre viel zu bieten. Das wird nicht wahrgenommen, es besteht offenbar kein Bedarf das wahrzunehmen. Wo sind die institutionalisierten Datenschützer in der aktuellen Debatte? Wer präsentiert die vorhandenen Lösungsansätze? Dass es Lösungen gibt, weiss diese Popdiskurselite nicht, das kann sie nicht wissen. Der Popdiskurs hat Interesse am Diskurs, an der Reproduktion von Problemen, zu denen sich etwas sagen lässt; die Diskurspopstars des Datenschutzes wissen nichts von Umsetzung. Sie kennen nicht einmal das normativ scharfe Schwert des Verbots mit Erlaubnisvorbehalt aus §4 des BDSG. Warum fragt man nicht mal die Datenschützer, welche Antworten es gibt? Zu privacy by design, zu Identitätenmanagement, zu Anonymisierungsinfrastrukturen, zu Schutzzielen? Hat der institutionalisierte Datenschutz tatsächlich so dermaßen versagt, dass man nicht mal mehr Vertreter zu den Debatten einlädt zu Konfliktthemen, die zu bearbeiten seit mehr als 40 Jahren deren passabel bezahlte Aufgabe ist? Wieso meint man im öffentlichen Diskurs, auf ausgerechnet die ausgewiesenen Datenschutzexperten verzichten zu können?

Ich habe Videointerviews durchgeführt, bei denen Datenschutzexperten zu Wort kommen. Und von denen rund die Hälfte mit Statements aufwartet, deren Horizont nicht erst durch Snowdens Berichte aufgespannt werden musste, um bereits über diesen Horizont verfügend nach operativen Umsetzungen für eine moderne, durchdigitalisiert kommunizierende Gesellschaft zu suchen. An einem verregneten und für die Jahreszeit zu kühlen Sonntagnachmittag kann man sich auch noch mal zumindest die 16min46sec für den Zusammenschnitt aus dem Gesamtmaterial oder die 3min33sec für den Trailer antun:
Interviews von Datenschutzexperten

Fazit: Wir sind im Bereich der Operationalisierung von Grundrechten um vieles weiter, als selbst die Datenschutz-Popdiskurselite vermutet.

Ein bißchen Nachhilfe für Sascha Lobo

Version 2.1, 2014-0425

Auch an Sascha Lobo ist das Deregulierungs-Brainwashing der vergangenen 40 Jahre nicht spurlos vorüber gegangen. Der Aufklärer Sascha Lobo hat in den vergangenen drei vier Jahren enorm dazugelernt, der bei einigen Fragestellungen auch mal ein bißchen Nachhilfe gebrauchen kann, angesichts der anstehenden großen Konferenz zur globalen Vernetzung und der Frage: Was ist zu tun?
(Das Netz braucht eine Internet-Uno)

A) Zur Einstimmung eine Paradoxie: Wenn der liebe Gott alles kann…. kann er eine Mauer bauen, die so hoch ist, dass er selber nicht drüber springen kann? Moderne Kalküle “gründen” auf Paradoxien wie diesen, nicht auf letzten, Zweifel entzogenen, nun aber mal ganz echten Gründen. Moderne Kalküle verstecken seit Gödel ihre Paradoxien nicht länger, weil es erkenntnistheoretisch albern geworden ist, vielmehr nutzen sie deren beunruhigendes Potential. Das gilt auch fürs moderne Staatsverständnis. Der Datenschutz ist ein Indikator dafür.

B) Der moderne Staat ist so verfasst, dass er seinen eigenen Aktivitäten nicht über den Weg traut. Das genau ist der strukturell wesentliche Unterschied zum Absolutismus, der Vertrauen schlicht beanspruchen muss. So hat die Institutionalisierung des Datenschutzes in den 70er Jahren als ein staatlich organisierter Zweifel des Staates gegen sich selber begonnen. (Bitte den vorigen Satz erneut und den nachfolgenden Satz zwei Mal langsam lesen, und versuchen zu verstehen). Grundrechte sind Abwehrrechte des Bürgers gegen den Staat; dabei wirken Grundrechte auch auf Rechtsverhältnisse zwischen Privaten (“Drittwirkung der Grundrechte”). Was folgt daraus? Unter anderem das folgende:

Ein Staat muss stark sein, um Grundrechte normativ setzen und deren Beanspruchung durch den einzelnen Bürger auch gegen sich selber gewährleisten zu können. Der moderne Staat ist insofern beides zugleich: Der einzige Quell und Garant und zugleich der größte Feind der Grundrechte. (Ja, diese Paradoxie gilt es als moderne Denkanforderung auszuhalten.) Sascha Lobo zeigt in seiner Kolumne kein in dieser Hinsicht hinreichend konturiertes Verständnis vom modernen Staat in einer “funktional differenzierten Gesellschaft” (Luhmann). Weshalb Sascha Lobo als Rettungsanker für eine Legitimationsquelle zur Verlegenheitsfloskel “Zivilgesellschaft” greift – was ihn ja immerhin verlegen macht, wie er aufrichtigerweise bemerkt. Die wie auch immer ausgebildete Exekutive einer Zivilgesellschaft muss erst einmal dieses Niveau erreichen, doch sie würde sich vermutlich schlicht an der Position der Guten sehen. Weil…. ähmm…. nee… ist ja klar.

Insofern: Ein moderner starker Staat ist gefragt! Was für eine Zumutung… für die Mental-Kinder von Margret Thatcher. Und das heisst: Ein Staat mit einem tatsächlich bestehenden Gewaltmonopol, mit Gewaltenteilung, Rechtstaatlichkeit und Demokratie. Einen solchen Staat gibt es bislang allerdings nur auf dem Reissbrett der Aufklärung:
- Der Deal zwischen Bürger und Staat bzgl. des Gewaltmonopols ist derzeit mit Bezug auf Internet hinfällig. Der Staat tut nichts gegen die informatorische Gewalt, die derzeit eine Gewalt der Stärkeren ist. Selbst die wenigen über Zweifel erhabene Datenschützer geben länger schon die Losung aus: Die Bürger sollen sich informatorisch selber bewaffnen (“Selbstdatenschutz”) – dabei haben die Bürger, Kunden, Patienten… Menschen, Individuen, Subjekte überhaupt keine reelle Chancen gegenüber den Organisationen, nicht den Sicherheitsbehörden, nicht den globalen Technikunternehmen, nicht den googles und facebooks, aber auch nicht den Banken und Versicherungen.
- Gewaltenteilung findet nicht statt. Die Exekutive ist in Form der Geheimdienste, auf die die anderen Sicherheitsdienste zugreifen können, vollends aus dem Ruder gelaufen. Die unteren Instanzen der Gerichtsbarkeiten haben Angst vor den globalen Konsequenzen ihrer als lokal verstanden Entscheidungen.
- Es wird offensichtlichst gegen Datenschutz als “Recht auf informationelle Selbstbestimmung” fortgesetzt und ungeahndet verstoßen. Die einzigen Organisationen, die sich leidlich um die Erfüllung von Datenschutzanforderungen auf einem relativ reifen Niveau kümmern, sind deutsche Kommunen.
- Demokratische Entscheidungsverfahren sind eine Farce, wenn die Behörden der Exekutive die Legislative und Jurisdiktion dominieren.

Was darf man in dieser Perspektive nun von der Netmundial tatsächlich erwarten? Ich vermute und prognostiziere: Gar nix. So wie alle anderen Veranstaltungen dieser Art in den letzten Jahren auch für die Katz waren. Sie wurden nur immer pompöser, alle mit dem Anspruch, nun aber verfahrenstechnisch wirklich alles richtig gemacht und jeden beteiligt zu haben. Nur: Die Inhalte fehlen. Diese stellen sich nicht von selbst ein.

Wir brauchen außerdem keinen zentralen Weltstaat, auf den muss man nicht als letzten legitimen Normenspender warten, wenn die Staatenverbünde es irgendwie nicht hinkriegen. Den will man doch auch politisch gar nicht, nur weil er verspricht, dass Normen und Logik dann aus einem Guss sein könnten. Rein gar nichts spricht dagegen, dass Deutschland, oder besser: die EU einfach mal anfangen, mit der feinen Blaupause der Komponenten an den Spiegelstrichen im vorigen Abschnitt Ernst zu machen. Diese Komponenten sind ja bedrückend langweilig und sattsam bekannt. Aber sie sind eben noch keine Realität.

Stellt sich die Frage: Womit denn nun inhaltlich anfangen? Was gilt es denn zu regeln? Darauf zu setzen, dass allein die Möglichkeit zu einem fair besetzten, zivilgesellschaftlichen Diskurs in einem offenbar hinreichend souveränen Land wie Brasilien – im Unterschied zu Deutschland – schon zu einem verallgemeinerungsfähigen Ergebnis führe, wenn man nun aber wirklich mal alle Stakeholder aufeinanderknallen lässt oder wirklich alle alle irgendwie guten NGOs zusammenruft, verfiele allerdings einer schlechten, romantisch verklärten Diskursbesoffenheit. Was genau ist inhaltlich vernünftigerweise zu fordern… und zwar so, dass es auch praktisch umsetzbar ist?

C) Die operationalisierbaren Kernforderungen sind aufgrund der theoretisch anreflektierten Erfahrungen mit Datenschutz – also dem erfahrenen, operativen Arm des Grundrechteschutz des Bürgers und Kundens vor Staat und Unternehmen – aus den vergangenen 40 Jahren die folgenden:

1. Kommuniktionssysteme sind so zu betreiben, dass sie für jeden in gleicher Weise verfügbar sind. (Netzneutralität als Verfügbarkeitsaspekt)
2. Kommunikationssysteme sind so zu konstruieren und zu betreiben, dass sie genau das und nur das machen, für was sie als Zweck ausgewiesen sind. (Integritätsanforderung)
3. Kommunikationssysteme sind so zu konstruieren und zu betreiben, dass nur diejenigen Kenntnis von Kommunikatonen nehmen können, die Sender und Empfänger intendieren (Vertraulichkeitsanforderung)
4. Kommunikationssysteme sind so zu konstruieren und zu betreiben, dass sie prüfbar sind. Und zwar prüfbar für die Betreiber der Systeme, die Nutzer der Systeme und für die Kontrolleure der Systeme, die stellvertretend für das verallgemeinerungsfähige gesellschaftliche Interesse die Systeme im Expertenmodus prüfen. (Transparenzanforderung)
5. Kommunikationssysteme sind so zu konstruieren und zu betreiben, dass sie jederzeit verändert und grundsätzlich gestoppt werden können. (Interventionsanforderung)
6. Kommunikationssysteme sind so zu konstruieren und zu betreiben, dass Teile von ihnen voreinander isoliert werden können. (Nichtverkettbarkeitsanforderung)

Das war es im Wesentlichen. Weitere Anforderungen lassen sich aus diesen sechs ableiten. Und wieder gilt: Diese Anforderungen stehen in einem Spannungsverhältnis zueinander, drei davon privilegiert in einer Achse, man kann nicht alle Anforderungen gleichzeitig in hohem Maße umsetzen. Wieder gilt es die Differenzen der Moderne auszuhalten. Jede dieser Anforderungen ist aber durch konkrete Maßnahmen umsetzbar. Wo die angemessenen Arbeitspunkte dieser Kompromisse liegen, gilt es politisch auszuhandeln und dann modernstaatlich rechtlich abzusichern und operativ für Datenbestände, IT-Systeme und Prozesse umzusetzen.

Und woher kommt die Sicherheit, dass es nun genau diese sechs Anforderungen sind?

D) Diese sechs elementaren Anforderungen an Kommunikationssysteme komplementieren die “Geltungsanforderungen an eine verünftige Rede”, wie sie Habermas Ende der 70er Jahre für die “Sinnebene” formuliert hat, auf der operativen Ebene. Die Umsetzung der Habermaschen Geltungsanforderungen an die Vernünftigkeit von Kommunikationen sind angewiesen auf die praktische Umsetzung der sechs Elementaranforderungen für technische Kommunikationssysteme. Man kann bspw. keine Wahrheit seiner Aussage beanspruchen, wenn die das Kommunikationsmedium beherrschenden Organisationen Mitteilungen beliebig ändern können. Das stiftet einen plausiblen Zusammenhang, soll aber keine Begründung liefern, die nicht auch der Aporien der Vernunft gedenkt. Mit Habermas kann man immerhin lernen, dass wenn man an Vernunft appelliert, man jedenfalls anzugeben gehalten ist, welche man denn meine.

Ohne ein vernünftig funktionierendes Kommunikationssystem kann es jedenfalls keine Zivilgesellschaft und keinen modernen Staat geben. So rum ist die Logik. Kann das jemand mal dem Sascha Lobo sagen! Ich möchte, dass er sich auch weiterhin gut entwickelt und seinen wirklich guten Job fortsetzt.

Warum Datenschutz?

Damit Organisationen einzelne Personen nicht fremdbestimmen, nicht knechten.

So einfach ist das.

Fremdbestimmung ist dann der Fall, wenn Organisationen etwas über Personen wissen und dieses Wissen, das eigentlich nicht zum Aufgabenbereich einer Organisation zählt, zu ihrem Vorteil nutzen. Deshalb achtet man im Datenschutz darauf, dass Organisationen keine Daten erheben und keine Daten verabeiten, ohne dass der Zweck genau ausgewiesen ist. Ohne Ausweis des Zwecks und ohne Zweckbindung keine Daten über Personen. So einfach ist auch das.

Jede Organisation agiert jedoch grundsätzlich an der Grenze zur Fremdbestimmung von Personen. Wie unerzogene Kinder reizt jede Organisation notorisch ihre Grenzen aus. Unternehmen, Staaten und Verwaltungen, Wissenschaftsinstitute – die im riskanten Kontext von Märkten, politischem Wettstreit und Gewaltenteilung sowie freien Diskursen agieren – müssen deshalb jeder einzelnen Personen nachweisen, dass sie nicht gegen die Person agieren. Organisationen dürfen nicht einmal versuchen, die Risiken des Marktes, der Demokratie und Gewaltenteilung sowie der freien Diskurse, auf “ihre” Kunden, Bürger und Individuen abzuwälzen. Sie müssen als maßgebliche Leitlinie ihres Handelns die Würde einer jeden einzelnen Person achten.

Der Nachweis der Vertrauenswürdigkeit gelingt Organisationen dadurch, in dem diese zumindest den folgenden Anforderungen genügen:

  • Sie verarbeiten Daten von Personen ausschließlich zweckbestimmt.
  • Sie verarbeiten Daten von Personen vertraulich.
  • Sie schützen die Verarbeitung von Personen vor falschen Änderungen.
  • Und dass sie das machen, ist für Betroffene und externe Prüfer überprüffähig.
  • Sie reagieren schnell und korrekt auf Widerspruch durch Personen und Aufsichtsinstanzen.
  • Sie agieren fair und halten sich an Gesetze, ohne diese in ihrem Sinne zu überdehnen.

Das alles zu beachten und umzusetzen ist nicht einfach. Aber machbar. Dass diese Anforderungen umgesetzt werden, ist die allgemeine Arbeitsgrundlage einer jeden Handlung und Kommunikation zwischen Organisationen und Personen in einem modernen Staat. Wenn diese Arbeitsgrundlage infrage gestellt wird, droht ein moderner Staat zu einer Bananenrepublik zu verkommen und Personen verlieren ihr Vertrauen in die Institutionen. Massenhafter Vertrauensverlust in die Institutionen reduziert wiederum die Leistungsfähigkeit einer Gesellschaft drastisch. Wie real diese Bedrohung seit Jahren schon ist, zeigt dieser SPON-Artikel: EU-Bericht warnt vor Überwachung durch USA.

Datenschutz muss Organisationen prüfen, gegebenenfalls beanstanden oder ein Gerichtsverfahren starten. Datenschutz muss darüber hinaus darlegen, wie Organisationen diese Anforderungen praktisch umsetzen können und der Nachweis darüber gelingt.

Auch das passt…

Ein offenbar in den Diensten des Tagesspiegels stehender
Journalist weist darauf hin, dass mein Geschreibsel hier über Facebook verwirrt und ich beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein beschäftigt sei, das bekanntlich von Dr. Weichert geleitet werde, dessen Lieblingsfeinde ja facebook und google seien. Beide würden wir uns vor allem unserem Antiamerikanismus hingeben, und Weichert obendrein nicht seinen eigentlich Job machen.

Ich möchte dazu nicht mehr sagen als dass in Bezug zu mir jede/jeder selber meine Argumente im Blog prüfen und ggfs. mit einer kritischen Gegenrede entkräften kann. Wenn aber anstatt zu argumentieren nur der Autor als verwirrter, emotionaler Spinner diskreditiert wird, dann passt auch das, was mich natürlich wenig erstaunt, rhetorisch gut in den von mir begrifflich abgesteckten Analyserahmen.

Es ist klar, was zu tun ist!

Original-Veröffentlichung: 2012-0522

Ich möchte auf einen ausgezeichneten Artikel von Christoph Kappes aufmerksam machen, der die Rolle des Internet bzw. die Subrolle von Facebook für die arabischen Revolutionen analysiert. Leider bin ich erst jetzt auf diesen aufmerksam geworden. Er schreibt: Wir müssen also diskutieren, was morgen werden soll. Es ist denkbar, dass das Internet für freie Meinungsäußerung überall auf der Welt eines Tages unbenutzbar wird, wenn wir Technokraten nicht gesellschaftlich in ihre Schranken weisen und von Sicherheitsfanatikern nicht immer wieder eine Rechtfertigung für ihre Eingriffe in Freiheitsrechte verlangen – was hierzulande wohl ungeheuer revolutionär klingt, aber schon immer unbestrittene Meinung in der Grundrechtsdogmatik ist, die „Verhältnismäßigkeit“ lässt grüßen. Hier geht es nicht um einen gesellschaftlichen Nebenschauplatz. Es geht zum ersten um das Primat des Sollens gegenüber dem Können, zum zweiten um Freiheit versus Sicherheit (Sicherheit ist kein gleichrangiges Rechtsgut!) und drittens um eine Betrachtung der ganzen Problematik aus einer historischen Perspektive (bedenkt man die Dauer möglichen Datenmissbrauchs: ein Menschenleben, von heute an). Was sollen wir in 80 Jahren dürfen, wenn jeder seine Videodrohnen hat? Steigt die Mißbrauchsgefahr des Internets, weil es weiter in die Wirklichkeit dringt, mit seinen Sensoren und Aktoren? Man muss kein „Matrix“-Fan mehr sein, um die Dystopie des digitalisierten Totalitarismus für möglich zu halten.
(Der Artikel von Christoph Kappes)

Das ist klug und korrekt. Dann steigen wir doch nach über einem Jahr erneut in die Diskussion ein, was wir bereits heute dafür tun können, so dass die Wahrscheinlichkeit, dass diese Dystopie morgen eintritt, verringert wird.

Es gibt ja vernünftige Maßstäbe für Anforderungen, die Organisationen in einem demokratischen Rechtsstaat erfüllen müssen. So fordert das Datenschutzrecht Transparenz, Zweckbindung und Betroffenenrechte ein. Im Kontext der Datenschutzforschung wurden 2009 systematisch Datenschutzziele destilliert, die diese Anforderungen in operationalisierbarer Form formulieren, die Organisationen(! Nicht: irgendwie DAS Internet, sondern z.B. facebook, google+, twitter…, Verwaltungen, Versicherungen, Nachrichtendienste, Forschungsinstitute, Provider, Arbeitgeber…) zu erfüllen haben. Und zwar auch und gerade dann, wenn diese Internet nutzen wollen. Diese Schutzziele bilden die operative Ergänzung der “Anforderungen an eine vernünftige Rede”, wie sie in der “Theorie des Kommunikativen Handelns” (Habermas 1982) formuliert wurden. Die Geltung dieser Anforderungen lassen sich vernünftigerweise nicht negieren. Theoretisch schärfer gefasst lässt sich mit der Theorie “Sozialer Systeme” (Luhmann 1982) formulieren: Der abgestimmte Kanon der sechs elementaren Schutzziele bildet Anforderungen, die durch die funktionale Differenzierung moderner Gesellschaften entstehen und in Organisationen die Form von Steuerungsgrößen für Prozesse, Daten und IT-Systeme annehmen. Die Schutzziele erzeugen Entscheidbarkeiten im Hinblick auf Beherrschbarkeit der Prozesse und Fairness im Betrieb.
(Artikel zum “Konzept der Schutzziele”)

Was ist nun zu regeln? Eine Organisation, die nicht in der Lage ist, anhand der sechs elementaren Schutzziele – Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit und Nicht-Verkettbarkeit – nachzuweisen, dass sie ihre Dienstleistung mit Personenbezug zu sichern versteht, darf ihre Dienstleistungen nicht über das Internet anbieten. (Eine solche Organisation ist so ungeeignet wie ein Gaserzeuger, der weder sichere Gasleitungen zu legen noch einen gesicherten Gasgebrauch zu implementieren weiss. Das war die inakzeptable Situation in London zur Mitte des 19. Jahrhunderts, als Gasexplosionen zum Alltag gehörten. (Paraphrase auf Schröders Statement zu facebook: “Gasexplosionen sind Realität! Es gilt, verantwortungsvoll damit umzugehen.”)) Eine Organisation darf das Internet nur dann nutzen, wenn sie den Betroffenen und Aufsichtsbehörden gegenüber nachweist, dass sie in diesem Medium ihre Prozesse entsprechend den sechs Mindestanforderungen beherrscht und fair agiert. Letzteres verlangt nur, dass eine Organisation sich an das Recht hält und bei Konflikten einen Prozess zu führen auch für arme Betroffene möglich ist. Insofern reichte bereits die Feststellung, dass facebooks Datenverarbeitung für Betroffene und Aufsichtsbehörden nicht transparent ist, um rechtlich begründet durchzusetzen, facebook aus dem DNS auszutragen. Und facebook wäre nicht mehr erreichbar. “Es ist ganz leicht”, möchte man Frau Merkel zurufen, “wenn Sie es denn Ernst meinten”. Und Herr Voßkuhle hat vor nunmehr einem halben Jahr in Aussicht gestellt, dass sich das Bundesverfassungsgericht mit facebook beschäftigen wird. Das Problembewusstsein ist natürlich voll entfaltet, aber: Ist seitdem etwas passiert?
(Voßkuhle über facebook in DER ZEIT)

Und damit das Ganze auch tatsächlich mit technisch-organisatorischen Maßnahmen umsetzbar ist, wurde auf der Grundlage der Schutzziele ein standardisiertes Datenschutzmodell entwickelt, dessen Grundrisse in diesem Aufsatz formuliert sind: Rost, Martin, 2012: Standardisierte Datenschutzmodellierung; in: DuD – Datenschutz und Datensicherheit, 36. Jahrgang, Heft 6: 433-438.

Es ist klar, was zu tun ist.

Eine Ministerin lässt sich vor Karren spannen

Original-Veröffentlichung: 2012-0522

Laut Heise-Meldung macht sich Familienministerin Schröder zusammen mit facebook für die Nutzung von facebook durch Jugendliche stark. “Gerade Jugendliche müssten deshalb fit gemacht werden, selbstbestimmt und verantwortungsbewusst damit umzugehen. Hier sind neben Eltern und Pädagogen auch die Plattformbetreiber in der Pflicht.” (Heise-Meldung vom 22.5.2012) Ob die Ministerin erklären könnte, wie ein fitter Umgang mit facebook aussehen könnte? Und was sollen Plattform-Betreiber tun? Man kann facebook (und google+) jedenfalls weder selbstbestimmt noch verantwortungsbewusst nutzen.

Frau Schröders Pflicht wäre es insofern gewesen, erst einmal selber verantwortungsvoll zu agieren und zuallererst auf die kriminellen Machenschaften von facebook hinzuweisen und von der Nutzung dieses Dienstes abzuraten, anstatt facebook mit der Reputation einer Ministerin zu rechtfertigen (“Soziale Netzwerke sind Realität.”). Dass facebook den Bogen nassforsch (immer noch weiter) zu spannen versucht, ist die eine Seite. Die andere Seite ist das Fehlen offenbar jeglicher Sensibilität und Urteilsfähigkeit ausgerechnet einer Ministerin für Aktivitäten einer Organisation, die unvereinbar sind mit Rechtsstaatlichkeit, Demokratie, Gewaltenteilung, Markt und freien Diskursen. Dass eine Ministerin sich gemein macht mit facebook-Kriminellen ist ein Skandal, der unter normalen politischen Umständen zu sofortigen Rücktrittsforderungen führen müsste. Ob solche Forderungen nun zustandekommen, ist ein Indikator für die Wachsamkeit der Opposition. Immerhin: Die technik-affine und bürgerrechtlich wachsame Fraktion der Piraten in Schleswig-Holstein nutzt facebook inzwischen nicht mehr.

Oder steckt doch noch etwas ganz anderes dahinter und die einfältig erscheinende Frau Schröder lässt sich stattdessen kalkuliert auch noch ganz anders instrumentalisieren? Wenn Frau Schröder diese Kampagne, facebook endlich salonfähig zu machen überleben sollte, würde dann eine Pressemitteilung wie die nachfolgende, die sagen wir ganz gut im Herbst 2012 erscheinen könnte, überhaupt noch Verwunderung oder gar Entsetzen und Proteste auslösen?

“Die Bundesregierung erwägt eine Vereinbarung zu treffen, wonach facebook verpflichtet wird, die Profilinformationen der bei facebook angemeldeten Deutschen Staatsbürger an die Deutschen Sicherheitsbehörden zu spiegeln.”
In den USA ist die entsprechende Kampagne bereits durchgelaufen, mit den backdoors fürs FBI. Und ganz eigentlich spielt das aber fast keine Rolle mehr, wenn es stimmt, was Golem titelt: Deutsche Geheimdienste können PGP entschlüsseln. Die Befassung mit facebook lenkt so gesehen nur ab.

Was verbleibt noch als nur hoffen zu können, dass die wenigen verbliebenen, ausgewiesen rechtsstaatlich sensiblen, intelligenten und inzwischen wohl auch als mutig zu bezeichnenden Politiker wie Aigner und Leutheusser-Schnarrenberger nicht untergepflügt werden und zumindest rechtzeitig anschlügen?

Facebooks Börsengang, V0.3a

Original-Veröffentlichung: 2011-1204

Wie passt der Börsengang von facebook zur These, dass facebook den neuen Faschismus bringt?

Beide passen perfekt zusammen.

Seit gut einem Jahr heisst es: Facebook will an die Börse gehen. Wenn 1% der inzwischen 800 Millionen Facebook-Nutzer zeichnen, sind das 8 Millionen Anteilseigner. Wenn jeder einen Anteil für 1000 Euro zeichnet, ist das eine Einnahme von 8 Milliarden, von 10 Milliarden ist in den Berichten die Rede. Das ist viel Geld, um weitere verführerische Bespitzelungstechniken für die davon sich wenig irritiert zeigenden facebookerianer zu entwickeln. (Manager-Magazin zum Börsengang / Spiegel-Online zum Börsengang)

Aber etwas anderes ist aus meiner Sicht an diesem Börsengang mindestens genau so wichtig zu bedenken: Es gäbe dann 8 Millionen Menschen, die nicht mehr nur Nutzerkunden, sondern Miteigner von facebook wären, die damit ein massives Interesse haben, dass es Facebook gut geht. Vergleicht man diese Konstruktion zum historischen Faschismus, dann braucht es keinen Überverführervater mehr, es braucht auch keine Imagination eines Volkskörpers, auf die die Kollektivmitglieder einzuschwören sind. Eine Aktiengesellschaft mit einer derartig breit gestreuten Massenbasis ist eine geradezu fantastische Konstruktion, um sowohl in ökonomischer als auch politischer und kultureller Hinsicht weiterhin noch erfolgreicher als bislang durch brainwashing Gefolgschaft einfordern zu können. (Das brainwashing funktioniert deshalb, weil facebook seinen Nutzern zu halten verspricht, was jeden interessiert: Kontrolle über die eigene Reputation zu haben und andere besser beobachten zu können als selber beobachtbar zu sein. facebook ist die Inkarnation von Macht über andere. Und das bedeutet, mit Foucault gewendet: Die Motivlage ist Sex, die Methode ist das Panopticum.)

Die Facebook-Ideologie wird in Deutschland durch eine lautstarke Spackeria verbreitet, die sich selber als Kommunikations- und Politikavantgarde inszeniert. Flankiert wird das naive, analytisch und visionär talentbefreite Treiben weniger Datenschutzkritiker durch Medienanwälte, die die Interessen der großen Industrie durchzusetzen bereit sind und ohnehin jeder staatlichen Deregulierung das Wort reden, um mit Verträgen ungleich leichter ihre einseitigen Risikoabwälzungen durchzusetzen. Die Staatskanzlei Schleswig-Holstein kämpft ebenso wie viele Webseitenbetreiber mit “Like-It-Button” dafür, facebook weiterhin Daten anliefern zu dürfen, wenn sie doch dafür nur ihre insights bekommen. Facebook ist der Führer, und fast alle folgen. Und alle facebookerianer sind dann auch unmittelbar zum Führer. Facebook ist das organisierte Gleichschalten aller gesellschaftlich bislang voneinander unabhängig agierenden Organisationen und Funktionen, im polit-ökonomischen Interesse von facebook. Mit der dann absolut schlüssigen Ideologie, dass privacy, als Schutz des Bürgers vor überstarken Organisationen wie facebook, old school sei. Herr Zuckerberg ist reich, und die CIA agiert als Welt-Gestapo und -Stasi zugleich, lenkt zentral die Staaten und Organisationen dieser Welt und hält die Ich-schwachen facebookerianer (“Salatköpp”, danke SPIEGEL) durch weitere schöne Spiele bei guter Laune.

Kulturell geht dies einher mit einer Umwertung aller Werte (Nietzsche): So schleicht es sich als akzeptabel und normal ein, dass der facebook/CIA alles belauschen kann und vermutlich auch belauscht und auswertet. Die Opfer liefern selber ein, das ist sozialtechnologisch so genial wie die Quasi-Selbstorganisation der KZ, deren tödlicher Betrieb von relativ wenigen Wachleuten aufrecht erhalten wurde. Es stellt sich kein Schrecken darüber mehr ein. Denn es wird nur die individuelle Betroffenheit gesehen. Weist man in Gesprächen darauf hin, dass facebook in seinen AGBen das Briefgeheimnis nicht achtet, wobei diese Transparenz allein schon als datenschutz-compliant herhalten soll, erfährt man lapidar: Man selber sei ja viel zu uninteressant und liefere außerdem kaum Daten an, man wolle doch nur bequem mitbekommen, wo die nächste Party sei. Der bislang erschreckende Umstand des Universalbelauschtseins verliert seinen Schrecken, weil das Schreckenswürdige nicht mehr strukturell gewendet werden kann, “Ich und mein Magnum”. Es wird eine Abgeklärtheit demonstriert, dass man ohnehin davon ausgehe, dass Geheimdienste alles mitläsen und sowieso nur das passiere, was letztlich die Globalplayer wollen. Die facebookerianer richten sich so in den faschistoiden Verhältnissen ein. Das ist ein Einrichten, wie es unter den Nazis und den Primitivstaatsozialisten ein notwendig alltägliches Verhalten von Menschen war. Es gibt weder einen Aufschrei, wenn darüber berichtet wird, dass seitens amerikanischer Unternehmen im Modus der Selbstverständlichkeit, schlicht unter Hinweis auf den patriot act, auf Dateien in Cloudspeichern zugegriffen wird oder millionenfach bei Smartphones mitgelesen wird oder zumindest gelesen werden könnte. Es gibt nur ein müdes journalistisches Abhandeln, etwa im Heise-Verlag, der inzwischen auch lieber das facebook-Lied singt und Datenschutz als veraltet jagd. (Carrier-IQ). Da agiert DER SPIEGEL schon bissiger, wenn er schreibt (DER SPIEGEL, Nr.49/5.12.2011): “Facebook ist keine Internetfirma, sondern ein Quasi-Staat im Internet.” (S. 80) Der sogar eine eigene Währung ausgibt. “Wer bei Facebook ist, soll alles, was er im Internet tut, bei Facebook tun. Das ist der Plan.” (S. 75) Das ist die Simulation der Gesellschaft in den Grenzen einer Organisation. Und das ist Faschismus.

Es gibt aus meiner Sicht unter keinen Umständen eine Rechtfertigung für Zugriffe von SocialWeb-Betreibern, von Geräteherstellern, Netzwerkprovidern oder Staaten auf die Daten von Personen, zumal auf Geräten, die Eigentum der Personen sind. Die Verantwortlichen solcher Spitzel-Organisationen agieren kriminell und sind schlicht entsprechend zu behandeln. Das sind keine Kavaliersdelikte, nur weil sie massenhaft und inzwischen als eingeschliffene Routinen passieren. Es werden Bürgerrechte außer Kraft gesetzt. Damit brechen soziale Schutzdämme, politisch, kulturell, rechtlich, weltweit in den modernsten Gesellschaften. Es ist so, als ob wir uns daran gewöhnen sollen, dass moderne Gesellschaften, die sich vollkommen von Kommunikationstechniken abhängig machen, nur um den Preis der Vollüberwachung zu haben seien. Anonymität ist Grundfunktionalität im Markt, bei politischen Wahlen, im freien Diskurs. Wer diese bislang gesellschaftlich bestehende Anonymität solcher Strukturen unterläuft, indem er sich bspw. durch automatisiertes Verschaffen von Passworten Zutritt zu persönlichen Kommunikationen verschafft, so wie es facebook bei der Anmeldung eines neuen Accounts macht, unterläuft die Quellen der Freiheit und Selbstbestimmtheit von Personen. Das ist kriminelle, strukturelle Gewalt.

Im weltweiten Vergleich scheint es dabei noch so, als ob in Deutschland der Widerstand gegen facebook und google noch am ausgeprägtesten ist. Was in England offenbar auf Verwunderung trifft. Dort wird in einem Bericht über Deutschlands Krieg mit facebook und google auf den Umstand hingewiesen, dass Deutschland historisch über besondere Erfahrungen in Bezug auf Faschismus verfügt. Aufallend sei, dass andere Staaten nicht wie Deutschland zumindest ein bischen auf Distanz zu den Aktivitäten von facebook und google gehen, stattdessen suchen sie deren Nähe. Nicht nur China sondern offenbar auch Frankreich haben ein Agreement, dass Sicherheitsbehörden jederzeit und ungehindert an gewünschte Daten herankommen. Unter Letztentscheid und Aufsicht von facebook, logisch. Der Autor beginnt darüber zu spekulieren, dass andere Länder dem deutschen Beispiel folgen könnten. Und zwar beschämt, weil so spät aufgewacht. (Deutschlands Krieg mit facebook und google)

Inzwischen wurde ich darauf hingewiesen, dass sich die Autoren des Spiegel-Artikels vermutlich bei einem ebenso lesenswerten Artikel der fastcompany bedient haben dürften (The Great Tech War Of 2012).

Der Facebook-Faschismus, V0.3a

Original-Veröffentlichung: 2011-1125

Ein befreundeter Datenschützer, Jurist von Profession, fragte mich:
“Könntest Du eigentlich einen Forderungskatalog an einen sozialen Netzwerkbetreiber formulieren damit sein Angebot datenschutz-konform wäre?”

Lieber X,

nein, denn ein solcher Katalog lässt sich gar nicht formulieren, weil schon der Ansatz, der bislang immer gut und konstruktiv war, in diesem Falle falsch ist. Die Anforderungskataloge die ich zu Social Networks kenne – zuletzt der noch relativ gute Beschluss des Düsseldorfer Kreises vom 22. November 2011 (Beschluss Düsseldorfer Kreis) – sind keine, die funktionieren können, weil der Betrieb eines sozialen Netzwerkes bereits strukturell unvereinbar ist mit dem Grundgesetz. Woran liegt das?

Das materielle Ziel des Datenschutzes besteht darin, den Betreiber dazu zu zwingen(?), dass er nachweisbar den Nutzer vor sich selber als Betreiber schützt. Die Organisation müsste gegen ihre eigenen Verwertungsinteressen agieren… wie wahrscheinlich ist allein das? Ich weiss anhand der eigenen ANON/JAP-Aktivitäten etwa zwischen 2000 und 2005, wie aufwändig Anonymisierung – als Entkopplungsinfrastruktur für gelingenden Markt, Politikteilnahme bzw. Gewaltenteilung und wirklich freien Diskurs – allein unter gesellschaftlichen Bedingungen herzustellen ist (Über die Funktionalität von Anonymität für die bürgerliche Gesellschaft (2003)). Hiernach müssen die Proxy-Server von verschiedenen, möglichst unabhängigen Organisationen betrieben werden, damit keine Rückverfolgbarkeit möglich ist. Innerhalb der Grenzen einer Organisation hieße Anonymität herzustellen, Gesellschaft zu simulieren. Und das ist aus Organisationssicht, die sich anhand von kalkulierten Entscheidungen reproduziert, geradezu perfekt unsinnig. Das kann man auch als Aufsichtsbehörde nicht fordern, weil das eine Organisation operativ zerstörte. Hardcore mit Luhmann formuliert: Datenschutz IST die Beobachtung der Differenz von funktionaler Differenzierung und Organisation im Medium der Person. Die Funktion des Sozialnetzwerkbetreibers ist: Alles mit allem zu verknüpfen und addressabel zu machen, knapp formuliert: Gesellschaft zu organisieren, also das Gegenteil in Perfektion. Mit der Folge, die vielen Identitäten einer Person – als politischer und als Verwaltungs-Bürger (citoyen/ bourgeois), als Kunde unterschiedlichster Unternehmen, als Teilnehmer unterschiedlichster Diskurse – zu einer Identität zu verschmelzen, wenn vielleicht auch nicht für andere, so doch für die Betreiberorganisation, und für andere Organisationen, die dem Betreiber Geld geben oder ihn staatlicherseits zur Herausgabe von Daten schlicht zwingen oder die Sozialforschung betreiben wollen, ohne diese in Wissenschaft zu wenden. Alle Ansätze und Versuche, ein Sozialnetzwerk wie facebook irgendwie kompatibel zum bisher gültigen Recht machen zu wollen, unterlaufen den materiellen Gehalt des Datenschutzrechts und die soziale Schutzfunktion des Datenschutzes, nämlich strukturell schwache Personen vor strukturell bevorteilten Organisationen zu schützen. Es ist eben nicht das vordringlichste Regelungsziel, auf was viele Anforderungskataloge fokussieren, nämlich die Nutzer voreinander zu schützen. Das wäre geradezu trivial und des Aufhebens nicht Wert, entsprechend legen sich Facebook und google neuerdings auch ins Zeug, für “Sicherheit” in ihren Netzwerken zu sorgen (mit Tipps in Berliner U-Bahn zur Bildung von Passworten! Wow!). So langweilig es ist, das ewig zu wiederholen: facebook ist das Problem. Facebook ist feinste Vorratsdatenspeicherung, letztlich auch und gerade für staatliche Sichereitsbehörden. Man könnte vermuten, dass auch das einer der Gründe dafür ist, warum man Facebook staatlicherseits gewähren lässt, obwohl Facebook sich offensichtlich nicht an deutsches Recht hält und kriminell agiert. Nicht nur China, sondern offenbar auch Frankreich hat inzwischen Agreements mit facebook und google auf die Herausgabe von Daten, für die sich deren Sicherheitsbehörden interessieren (Germany’s War with Facebook and Googe over privacy). Rechtsdogmatisch maßgeblich: Grundrechte lassen nicht durch Verträge/Einwilligungen ausser Kraft setzen, zumal auch die Einwilligung bei facebook den rechtlichen Voraussetzungen zu deren Erteilbarkeit, nämlich Bestimmtheit und Informiertheit, nicht genügt.

Und noch etwas höchst Beunruhigendes möchte ich anmerken: Die sozialen Netzwerke sind die maximal mögliche Provokation des Rechts, der Politik, der Wirtschaft moderner Gesellschaften. Weil es genau EINEN herausgehobenen Beobachtungspunkt für das Ganze der Gesellschaft gibt. Und diesen gibt es seit geschätzt 100 Jahren in den modernsten westlichen Gesellschaften eigentlich nicht mehr. Mit allerdings zwei katastrophalen Unterbrechungen: Faschismus und Primitivstaatssozialismus. Und nun gibt es ihn wieder, den EINEN herausgehobenen Punkt, in einer noch einmal gesteigerten, globalen und atemverschlagenden Perfektion, nicht mehr mit Rückgriff auf den Volksempfänger, sondern auf das Internet. Sicherheitsbehörden, die in facebook ermitteln, müssen sich dabei auf Regeln einlassen, die ein Privatunternehmen eines anderen Landes formuliert. Wenn der Staat dieses Weghauen seiner legislativen, exekutiven und judikativen Souveränität wirklich merkt, könnte er mit einer um so gewaltigeren Gegenwucht reagieren, die wiederum symmetrisch katastrophal zu facebook wäre (oder dem schon so oft prognostizierten Nachfolger, der dann alles noch “besser” für den gedankenlosen, inkompetenten, naiven, an seinen Bürger- und Kundenrechten desinteressierten, grundverführten Netznutzer ohne Subjektqualität machte). Die Verfügung über den virtuellen Raum kollidiert mit der Verfügung über den materiellen Raum – und der Konflikt über die Hoheit des Raums bedeutet klassisch: Krieg. Es ist eben nicht mehr so, dass der konventionelle Staat davon ausgehen kann, dass die Verfügbarkeit über den materiellen Raum letztlich doch alles toppt. Facebook wird nach wie vor massiv unterschätzt. Spätestens im Falle des Kriegs zwischen den Domänen sind die Freiheitsversprechen, die im Konzept des Bürgers, Kundens und Subjekts bislang imaginiert enthalten sind, ganz offensichtlich nicht mehr haltbar. Diese müssten dann ihre Freiheiten unter für mich nicht mehr vorstellbaren Bedingungen zurückerobern. (Aber die Losung “Entnetzt Euch!”, die dann nicht nur von wenigen Sicherheitsspezialisten, die der Tux-Wurm kirre machte, sondern von der neuen Analog-Avantgarde, die als Biedermeier-Analogon entstehen wird, formuliert wird, ist wiederum keine, der ich als Jemand folgen wollte, der nach wie vor die Netzrevolution (1996) abfeiert.)

Es sollte zumindest professionellen Datenschützern klar sein, worin die Funktion des Datenschutzes besteht, auf die das Datenschutzrecht eine Reaktion ist. Es ist nicht erst das Datenschutzrecht, welches das Datenschutzproblem konstruiert. Ich habe die Funktion des Datenschutzes 2008 durchdiskutiert, nicht am Beispiel von facebook sondern u.a. an den unique users von google (Datenschutz als Wächter funktionaler Differenzierung).

Herzlich und mit besten Grüßen
Martin