Prof. Sandel empfiehlt Scheisse

V1.2

Ich bin soetwas von genervt, wenn man in führenden deutschen Publikationskanälen amerikanische Pop-Philosophen für ihre, wohlwollend formuliert, trivialen Äußerungen feiert; diese gehören aufs Schärfste kritisiert.

Konkret denke ich an die jüngsten Äußerungen von Prof. Sandel, wie sie in der Süddeutschen Zeitung und bei Heise wiedergegeben werden (Sandel in der SZ / Sandel bei Heise).

Herr Sandel offenbart zum unendlich xten Male: Amerikaner kennen konzeptionell keinen Datenschutz. Datenschutz bezeichnet die grundrechtlich legitimierte, technisch-organisatorische Konditionierung einer strukturellen Machtasymmetrie zwischen übermächtigen Organisationen und den davon betroffenen Personen.

Die von Herrn Sandel aufgeworfenen Fragen, die er unfassbar unoriginell für noch nicht gestellt ausgibt und die er von Ethik und Diskurs behandelt wissen möchte, sind in Kontinentaleuropa bereits rechtlich beantwortet. Kontinentaleuropa steht nicht nur zur Beantwortung von Fragen, sondern zur Lösung der unkenntlich gemachten Konflikte keine für moderne Gesellschaften unterkomplexe bloße Moral, keine folgenlose ethische Reflexion, sondern sanktionierbares, demokratisch erzeugtes Recht zur Verfügung (das allerdings nicht durchgesetzt wird, allein darin besteht das vordringliche Problem Herr Sandel)! Nicht die Automaten sind das Problem, sondern die Organisationen, die die Automaten ingang halten. Herr Sandel müsste dieses rechtliche Niveau der Durchdringung erst einmal erreichen, um überhaupt aussichtsreich fruchtbar und anregend in den möglichen europäischen Diskurs zu dessen möglicherweise anstehenden Änderung einsteigen zu können. Stattdessen ziehen die Reflexionen und Empfehlungen bspw. über autonomes Fahren, wie sie den Berichten zu Herrn Sandel zu entnehmen sind, dieses zumindest konzeptionell hohe europäische Niveau herunter. Damit spielt der vermeintlich kritisch auftretende, aber am Ende nur folgerichtig moralisierende Herr Sandel, den global agierenden Organisationen aufs Feinste in die Karten.

Nachklang

Ich wurde von geneigten LeserInnen inzwischen mehrfach darum gebeten, den vulgären Titel zu ändern. Dieser Titel ist mir nicht im Modus eines “huch” passiert. Ich finde es großartig, wenn Worte offenbar noch immer magische Aufladungen enthalten. Diesen Effekt des (negativ) Berührtseins mitzunehmen ist mir wichtiger als jeder Retweet. Als Sammler von in der Geschichte der Menschheit bislang nur selten verlautbarter Sätze bin ich zudem geneigt, mich an eigenen, zumindest rhythmisch und prosodisch gelungenen Beiträgen zu versuchen.

Lässt sich Datenschutz durch Ethik ersetzen?

Der europäische Datenschutzbeauftragte Giovanni Buttarelli
(Wikipedia) veröffentlichte am 31 Mai 2016 einen knappen Essay mit dem Titel “Big Brother, Big Data and Ethics”, in dem er empfiehlt, die von ihm ausgemachte Steuerungslücke zwischen moderner Technik und Menschen durch Ethik zu schließen. Ich möchte diesen kurzen, aus meiner Sicht rhetorisch elegant geschriebenen, aber inhaltlich hoch problematischen Text nachfolgend kommentieren.

Der Text ist in vier knappe Abschnitte untergliedert, dessen Struktur ich übernehme. Ich empfehle, diesen Text von Herrn Buttarelli, der dem Umfang dieses Kommentars entspricht, parallel oder vorgängig zu lesen.

1) What is digital ethics?” Darauf gibt Herr Buttarelli keine Antwort. Es folgt jedoch eine Bekräftigung, dass es einer Antwort darauf bedarf.

Ich bestreite, dass es einer Antwort darauf bedarf und dass die Frage überhaupt relevant ist. a) Ethische Reflexion sind per Füller auf Papier lesbar die exakt gleichen, die am Bildschirm angezeigt werden. Es gibt in diesem Sinne keine analoge/digitale Ethik, übrigens ebenso wenig ein digitales Recht. b) Wenn man gutwillig ist, liegt eine Bedeutungsverschiebung nahe, indem man von einer Ethik des Digitalen sprechen könnte. Aus meiner Sicht gibt es auch keine spezifische Ethik des Digitalen im Unterschied zur Ethik des Analogen. Ethik ist eine Reflexion der moralischen Unterscheidung von gut und böse; sie bewegt entweder die Frage, ob diese Unterscheidung selber eine ist, die im Rahmen von gut und böse behandelt werden kann; oder sie behandelt als weitere die dialektische Variation, wie Böse das Gute ist und umgekehrt.

Der Subtext lautet: Das Recht reicht nicht mehr, “wir” brauchen eine Ethik! Insofern fehlt mir eine Begründung dafür, dass rechtlich institutionalisierte Anforderungen nicht mehr hinreichen und durch Ethik zu ersetzen sind. Machte man diese These mit, wäre bspw. konkret zu fragen: Welche Instanz dürfte die Kriterien für ethische Entscheidungen sowie die Verfahren zu deren Generierung und Diskussion ganz konkret und legitimierbar festlegen? Eine solche Instanz gibt es nicht, es bliebe das Ungefähre des Nichtadressablen und damit Nichtverantwortbaren eines Ethik-Diskurses. Was es jedoch gibt, um dieses Problem zu lösen, sind etablierte politische Prozesse für Kriteriendefinitionen und positives Recht.

Wer Ethik an die Stelle von Demokratie und Recht setzt, schwächt das Recht! Nicht das bestehende Datenschutzrecht ist das zu lösende Problem, wenn man Datenschutz Ernst nimmt, sondern es ist die mangelnde politische Entschiedenheit – und es sind gegenläufige politische Interessen politischer Machtinhaber – bei der Durchsetzung der Grundrechte von Menschen.

Für einen institutionalisierten Datenschützer ist Ethik zu empfehlen anstatt Rechtsanwendung einzufordern und mehr noch, durchzusetzen, ein geradezu katastrophales Statement, ein Offenbarungseid.

2) Human dignity in the digital age” – Es folgt leider keine nähere Bestimmung zur menschlichen Würde im Kontext des Vollzugs der Durchindustrialisierung der Weltgesellschaft, sondern nur eine Bekräftigung der Bedeutung von Würde mit der Formel: “Human dignity is the cornerstone of fundamental rights.” Ja, das ist richtig, zumal wenn man im Zuschnitt des Grundgesetzes argumentiert. Aber was soll das nun heissen, wenn im Folgenden weder von Würde noch von Grundrechten die Rede ist? Etwa: Wer noch in den Kategorien der konventionellen Menschenrechte anstatt in Ethik denkt, kann ja nur(?) die menschliche Würde zu Gesicht bekommen?

Dann fragt Herr Buttarelli weiter: “Can we introduce moral responsibility in the vacuum created between people and automated processes such as surveillance or data collection?” Welches Vakuum soll zwischen Personen und automatisierten Prozessen bestehen? Die Formulierung spitzt den Konflikt falsch zu. Diese Formulierung verschleiert, dass letztlich jeder automatisierte Prozess durch Organisationen entwickelt, hergestellt und betrieben wird. Es besteht genau kein Vakuum zwischen Organisationen mit ihren Verfahren und Techniken und den davon betroffenen Personen. Der Adressat des Datenschutzrechts sind exakt diese Organisationen, juristische Personen, weil diese es sind, die die Würde der betroffenen Personen antasten, es sind nicht Techniken an-sich. Es gibt das behauptete Regelungsvakuum nicht.

3) Technology as a driver and an actor” – Anstatt nun die gewohnte Karte “Privacy-Enhancing-Technology” auszuspielen, werden wieder problematische Engführungen und Fragen gestellt, etwa der Art: “But should ethical considerations determine the direction of innovation? Should human values play a part in the development of new technologies?” Ja, wäre irgendwie nicht schlecht, wenn menschliche Werte bei der Technikentwicklung eine Rolle spielen sollten. Die Frage lautet doch, wie Organisationen dazu gebracht werden können, exakt das menschlich Gewünschte zu tun! Wenn es jedoch nicht einmal gelingt, mit rechtlichen Anforderungen (Menschen- und Bürgerrechten, aktuell: DS-GVO), die bestmöglich legitimiert sind, und deshalb Bindewirkungen beanspruchen dürfen(!) und die die einzigen sind, die von Aufsichtsinstanzen festgestellt und eingeklagt und sanktioniert werden können, Innovation in eine menschenwürdige Richtung gelenkt werden können, wie soll es denn mit ethischen …. Ja was? Grundsätzen? Prinzipien? Überzeugungen? Diskursen gelingen? Man predigt in theologischen Kategorien, und gibt dafür die rechtlich bestens verankerten Anforderungen auf, weil man diese für zu schwach hält?

Die im Datenschutzrecht auskristallisierten Grundrechte sind, bei allen Unzulänglichkeiten im Detail, der politisch und rechtlich aussichtsreichste Versuch, dass menschliche Werte, wie sie von Menschenrechten eingefordert und von Verfassungen gewährt werden, tatsächlich eine Rolle bei der Entwicklung neuer Techniken, so wie sie Organisationen zu ihrem Vorteil nutzen, spielen können.

Wer Ethik predigt, schwächte jeden ernsthaften, d.h. demokratisch erzeugten und rechtlich institutionalisierten Regulationsanspruch gegenüber Organisationen.

4) Ethics and the law” – Dieser Abschnitt enthält immerhin eine interessante Frage: “But is it enough that a practice affecting our privacy, our personal data or both is legal? What if the law was to be the minimum standard?” Reicht das Recht, insbesondere dann, wenn es nur einen minimalen Standard an Anforderungen formuliert?

Ich sehe überhaupt nicht, dass bspw. die nun gültige DS-GVO einen geringen Standard formuliert, ganz im Gegenteil. Wesentliche Regelungskomponenten sind enthalten: Das Verbot mit Erlaubnisvorbehalt, Einwilligungen müssen zusätzlich zur Freiwilligkeit, Bestimmtheit und Vollständigkeit die Erforderlichkeit der Datenerhebung ausweisen; und es ist das vollständige Set der elementaren Schutzzielen enthalten, was gesellschaftlich und individuell wirkungsvolle Schutzmaßnahmen einzufordern erlaubt. Natürlich: Die DS-GVO wird in einer ersten Flut von Artikeln zermahlen; man kann beobachten, wie sich inbesondere Rechtsanwälte mächtig ins Zeug legen, um möglichst frühzeitig die für Organisationen vorteilhaften Interpretationen nahezulegen. Genau in dieser Weichmach-Tradition steht nun leider auch der Essay von Herrn Buttarelli. Wenn die DS-GVO als schwacher Standard erscheint, dann letztlich deshalb, weil die Aufsichtsbehörden, Staatsanwaltschaften und Gerichte bei der Durchsetzung des Datenschutzrechts versagen.

Und dann kann man auf Twitter zu diesem Statement von Herrn Buttarelli zustimmend lesen: “@EU_EDPS @Buttarelli_G #Ethics is definitely the new frontier for #DataProtection. We should all get involved!”

Diesen Tweet möchte ich zum Schluss zum Anlass nehmen, dass dieses wohlfeile “We should” ohne genaue Adressierung, wer mit dem “WIR” gemeint sein könnte, eine weitere problematische Facette hineinbringt, die auch Buttarelli rhetorisch durchgängig nutzt: Nein, bitte, WIR sollten uns nicht alle von Ethik in einen vermeintlichen Konsens einlullen lassen, wenn es zum einen klare rechtliche Anforderungen gibt und zum zweiten mit Schutzzielen und deren Operationalisierung mittels des SDM inzwischen sogar eine Methode zur Verfügung steht, um diese Anforderungen transparent und integer in technische Maßnahmen zu übersetzen.

Fazit

Rhetorisch sind die Statements von Herrn Buttarelli geschickt formuliert: Die Problembeschreibungen treffen zu, die zur Analyse empfohlenen Begriffe führen ins Voodoo, die empfohlene Medizin – es mit Ethikdiskursen anstatt Durchsetzung des vorhandenen Rechts zu versuchen – ist pures Gift.

Selbstverständlich müssen aufgeklärte politische Diskurse und reflektierte Abwägungen zum Verhältnis von modernen Informationstechniken und Menschen stattfinden. Datenschutz muss weiterentwickelt werden, selbstverständlich. Aber diese Diskurse und Reflexionen müssen dann über politische Entscheidungen und Programme in Gesetze münden, deren Umsetzung von Organisationen einzufordern und bei mangelnder Umsetzung zu sanktionieren sind. Letzteres passt politisch allerdings so gar nicht in die gegenwärtig neoliberale Landschaft, ganz im Unterschied zu bloßen ethisch begründeten Empfehlungen.

Wo nur Ethik ist, muss Recht erst werden. Ethik allein ist regulativ eine Luftnummer ohne kalkulierbare Wirkung, insofern wenig mehr als gar nichts.

Weiterhin kein Datenschutz bei der Telekom

V0.2-2015-0817

In einer Meldung bei Heise-News vom 14.08.2015 heisst es, dass die Telekom für “strengen europäischen Datenschutz” wirbt. (Heise-News vom 14.08.2015)

Mein erster Gedanke zu dieser Headline war: Wer Sätze wie “Einhaltung des strengen Datenschutzes” formuliert, macht in der Praxis nach meinen Erfahrungen immer und in Perfektion das Gegenteil.

Ein Hinweis auf “strengen Datenschutz” ist eine Beschwörungsformel, die erfahrungsgemaß rechtliche und operative Unkenntnis kompensiert. Und wieso meint die Telekom sich in die Position des “Werbens für Datenschutz” setzen zu können? Die Telekom kann niemals eine Lösung für das Problem sein, sondern sie ist notwendig immer ein Teil eines Datenschutzproblems. Allein die Verwendung dieses Verbs zeigt an, dass es sich um einen Propagandatext handeln muss. Aber warum jetzt dieser Artikel? Es stieg in mir die Erinnerung auf, dass da doch letztens noch ein Link Telekom-BND-NSA bestand. Ich fand dann in den Kommentaren zum Artikel bequemerweise den Hinweis auf eine weitere Heise-Meldung vom 19.05.2015, wonach die Telekom den Transitverkehr an den BND weiterleite. Okay, die Telekom hat also Bedarf an Imagekorrekturen, ganz aufs Vergessen mag man dort nicht setzen. Doch zum hochrelevanten Thema “Umgang mit Anfragen von Nachrichtendiensten” findet man im Artikel kein Wort.

Mein zweiter Gedanke lautete: Was versteht man bei der Telekom unter Datenschutz? Welche Datenschutz-Komponenten werden im Artikel wohl abgesprochen werden? Ob sie dort allein zwischen IT-Sicherheit und Datenschutz unterscheiden können? Sind die sechs Schutzziele des Datenschutzes vielleicht inzwischen angekommen? Ist hoch unwahrscheinlich aber nicht unmöglich.

Irritierenderweise scheint sogar die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bei der Telekom für den Datenschutz einstehen zu wollen. Warum riskiert die BfDI das, die ansonsten politisch doch eher vorsichtig agiert? Die BfDI ist für die Aufsicht der Telekom zuständig. Was macht sie offenbar Glauben, dass es dort zum Besten bestellt ist? Sind es Varianten der Klassiker “too big to fail” oder “Stockholm-Syndrom”? Man sollte die Bildunterschrift genau lesen: “Die Telekom hat einheitliche Datenschutzrichtlinien für alle Tochtergesellschaften. Der Datenschutzbeauftrage Ulmer und Vorstand Kremer bekommen das von der Bundesdatenschutzbeauftragten Andrea Voßhoff bestätigt.” Es wird also allein die Einheitlichkeit der Richtlinien des Konzerns bestätigt. Muss man die folgende Banalität tatsächlich formulieren? Einheitlichkeit bedeutet unter dem Aspekt der Entfaltung von Schutzwirkungen für Betroffene genau gar nichts.

Um so gespannter war ich, was im Artikel ausgeführt wird.

Tatsächlich problematisiert der Artikel zu einem Textanteil von etwa 40% die Einheitlichkeit der Datenschutzanforderungen in Europa. >>”Das [die Uneinheitlichkeit, MR] schadet den Unternehmen, weil sie dann mit ungleichen Wettbewerbsbedingungen zu kämpfen haben”, betonte der Datenschutzbeauftragte der Telekom, Claus Dieter Ulmer.”<< Aus einer Datenschutzsicht der Grundrechte eines Bürgers, Kunden, Patienten gegenüber staatlichen Verwaltungen und privaten Unternehmen besagt Einheitlichkeit des Datenschutzrechts, wie schon gesagt, nichts.

Die weiteren, dann doch noch auf Inhalte des Datenschutzes zielenden Ausführungen des Artikels zeigen in nahezu jedem Detail auf, wie datenschutzfeindlich die Telekom tatsächlich agiert und weiterhin zu agieren beabsichtigt. Ich frage mich, wer diesen Text geschrieben hat? Ein kritischer Journalist war das jedenfalls nicht, da es sich aus meiner Sicht um einen durchgestylten Propagandatext eines marktdominanten Telekommunikationsunternehmens handelt, das vorgibt, gegen die eigenen kommerziellen Interessen handeln zu wollen. Ich vermute, der Artikel basiert auf einer Pressemitteilung seitens der Telekom.

Herr Ulmer führt aus: >>Es dürfe für den Verbraucher keinen Unterschied zwischen Anbietern aus der EU und Übersee geben. Sie müssten sich auf den Schutz der Daten verlassen können „egal, wo der Anbieter sitzt und welchen Dienst sie nutzen wollen“.<< Der Schutz der Daten ist nicht das Problem des Datenschutzes bzw. des Verbrauchers, es geht nicht dessen um IT-Sicherheit. Der Verbraucher muss sich darauf verlassen können, dass Anbieter seine Grundrechte achten und operativ umsetzen, egal wo der Anbieter sitzt. Der Schutz personenbezogener Daten gegenüber den Anbietern selber ist das eigentlich zu lösende Datenschutzproblem. Nur grob überfliegend gelesen könnte es allerdings selbst professionellen Datenschützern passieren, dieser Passage zuzustimmen. Ja ja, sichere Daten sind wichtig.

>>Ulmer kritisiert insbesondere, dass die Regierungen im EU-Rat eigene Regelungen für personenbezogene Daten im öffentlichen Bereich zulassen wollen.<< Was soll diese Bemerkung Ulmers? Die Unterscheidung von öffentlichem und privatem Recht ist für Datenschutz hoch relevant. Datenschutz allein im Fahrwasser des Privatrechts würde die Einwilligung als Regelungsinstrument bevorzugen. Das ist genau das, woran amerikanische Sozietäten in Brüssel arbeiten, indem sie die Risikokalküle für personenbezogene Verfahren individualisieren. Von Einwilligungen gehen keinerlei Schutzwirkung für Betroffene aus. Sie erzeugen primär eine relative Rechtssicherheit für Organisationen, solange jedenfalls niemand vor einem Verfassungsgericht klagt. Ein Verfassungsgericht würde dann allerdings feststellen, dass bspw. die Anforderungen, die das Bundesdatenschutzgesetz an Einwilligungen stellt - Freiwilligkeit, Bestimmtheit, Informiertheit, vollständige Auflistung der Empfänger -, nicht erfüllt werden, und realistisch gar nicht erfüllt werden können. Ein öffentlich-rechtlicher Datenschutz stellte jede Datenverarbeitung dagegen ausschließlich unter einen Gesetzesvorbehalt. Ist es das, was Ulmer fordert? Doch ganz sicher nicht.

Ulmer verweist auf die Anforderung der Datensparsamkeit und wiederholt die platte, inzwischen mindestens 20 Jahre alte "Idee" des "Privacy By Design" (PbD). Datensparsamkeit und PbD sind weiche Regulatoren, ähnlich wie auch der Vorbehalt, der durch die "Erforderlichkeitsanforderung" an eine Datenverarbeitung besteht. Diese Aspekte entfalten, aus Sicht eines Datenschützers kann man das inzwischen wissen, keine tatsächlich relevanten Schutzwirkungen für Betroffene, es werden bestenfalls ein paar unzweckmäßige Nebenwirkungen eingedämmt. Der BND bekommt bzw. nimmt sich die Daten, die er für erforderlich hält, wie auch die Telekom, wie Versicherungen und Banken und überhaupt alle anderen Großunternehmen insbesondere der USA. Wenn es im nationalen Rahmen mal zwackt, werden entsprechende Gesetze auf den Weg gebracht. Dabei wäre natürlich der gute Ansatz des "Privacy-By-Design" durch das "Standard-Datenschutzmodell" (SDM) oder durch ein "Dataprotection-Impact-Assessment" (DPIA), das sich in seinem materiellrechtlichen Anteil am SDM orientierte, im Sinne des Betroffenenschutzes durchaus operationalisierbar. Aber davon ist hier keine Rede. Es kann einem mit dem Blick aufs SDM insofern durchaus klar sein, was und wie es zu tun wäre, wenn man Datenschutz (konzern)politisch für Kommunikationsinfrastrukturen tatsächlich wollte. Immerhin wurden die sechs Datenschutzziele, die den Regelungskern des SDM ausmachen, bereits 2010 von der Konferenz der Datenschutzbeauftragten verabschiedet. Ein deutsches Großunternehmen, das ernsthaft an Datenschutz interessiert ist, könnte das ebenso wissen wie ein kritischer Journalist, der einen Artikel zu Datenschutz in einem wichtigen Großunternehmen schreibt, anstatt nur abstrakte Formeln zu wiederholen.

Immerhin: Das Safe-Harbor-Abkommen, mit dem die Europäische Kommission es europäischen Unternehmen seit 2000 ermöglicht, personenbezogene Daten legal in die USA zu übermitteln, wird als obsolet bezeichnet. Doch mutig ist diese These natürlich nicht. Es geht auch gar nicht um Mut. Ein Unternehmen wie die Telekom mit logischerweise eigenen globalen Ambitionen kann nicht mehr bereit sein, allzu billig alle interessanten Datenverarbeitungen allein den Amerikanern zu überlassen, während man zuhause, anders als die Amerikaner, punktuell dann doch Gefahr läuft, mit den windigen eigenen BigData-Aktivitäten aufzufliegen.

Zuletzt heisst es: >>So sollte die Verarbeitung von pseudonymen Daten nur dann möglich sein, wenn sie transparent ist und der Nutzer dem nicht widerspricht. Bei vollständig anonymen Daten hält Kremer keine Einschränkungen für erforderlich, weil keine Rückschlüsse auf ein einzelnes Individuum möglich sind.<< Nein, es sind keinerlei Daten, auch keine pseudonymisierten, nicht einmal anonymisierte, Daten ohne vorherige Zustimmung von Bürgern, Kunden oder Patienten oder gesetzliche Erlaubnis zu verarbeiten. So besagt es der Regelungskern - das Verbot mit Erlaubnisvorbehalt - sowohl des deutschen Datenschutzrechts als auch des Entwurfs der EU-Grundverordnung. Die Betroffenen müssen zumindest vorher befragt werden (Opt-In), und dürfen nicht nur gnädigerweise hinterher widersprechen (Opt-Out). Und wieder geht es darum, dass sich keinerlei ernsthafte widerständige Schutzwirkung für Betroffene, nicht einmal den in der Praxis ebenso wirkungslosen Pseudoschutz des Opt-In, entfalten kann. Anonymisierte Daten bieten keinen ernsthaften Schutz: Organisationen können ihren strukturellen Machtvorteil gegenüber Personen auch dann nutzen, wenn Nutzerdaten aufgrund anonymisierter Daten nur grob typisiert verarbeitet werden. Mal ganz abgesehen davon, dass Anonymität im Internet herzustellen nicht mehr möglich ist. Einen positivistischen Juristen kann dieser Umstand der Schutzlosigkeit trotz Anonymität kalt lassen, einen Datenschützer nicht. Und eine Organisation, die vorgibt, für Datenschutz, strengen sogar, zu werben, auch nicht.

Fazit: Es zeigt sich bei einer genauen Analyse des Textes, dass die Telekom in Bezug auf Datenschutz nach wie vor beabsichtigt, nicht ernsthaft datenschutzrechtliche Anforderungen umzusetzen, sondern weiterhin Datenschutz nur zu simulieren.

Was besonders bestürzend ist und mich bedrückt: Ich vermute, dass nicht einmal den Telekom-Vertretern selber in allen argumentativen Verästelungen klar ist, wie fern ab von jedem wirkungsvollen Datenschutz sie tatsächlich agieren. Dass sie in Wahrheit kein Interesse an Datenschutz haben, propagandistisch aber versuchen, sich im Gegenteil als an Datenschutz interessierte Instanz ins Spiel zu bringen, ist ebenso logisch wie durchsichtige Propaganda, und die Machart ist peinlich. Aber auch die Online-Heise-Redaktion ist Teil des Problems, wenn Heise wie in diesem Falle hilft, schiere Propagandatexte, die das Gegenteil von dem enthalten, was sie vorgeben zu enthalten, verbreitet. Heise beansprucht als journalistische Instanz ein erhöhtes Maß an Vertrauen, verfestigt aber durch unendliche Wiederholungen der immer gleichen Buzzwords problematische Narrative. In diesem Artikel findet keine Verdichtung, keine Kommentierung, keine Kontrastierung, keine Kontextierung statt. Natürlich gibt es auch andere, gute Heise-News, die das Vertrauen in die Redaktion wieder stärken. Nur: Man kann sich auf die Redaktion eben nicht verlassen. Die distanzlose Beteiligung der BfDI an diesem Artikel zeigt auf, wie insgesamt verworrenen die gesamte Datenschutzsituation und deren Beurteilung geworden ist. Man muss lernen, sich seines eigenen Datenschutzverstandes zu bedienen. Vertrauen kann man niemandem, eigenbestimmte Kontrollen sind unmöglich.

Es geht nicht um Privatheit… Zur anhaltenden Armseligkeit des wissenschaftlichen und politischen Privacy-Diskurses

Die deutschen Datenschutzaufsichtsbehörden entwickeln derzeit ein Standard-Datenschutzmodell (SDM) zur Prüfung und Beratung von Verfahren mit Personenbezug. Das SDM kommt ohne Definitionen zu „Privatheit“, „informationelle Selbstbestimmung“ oder „Freiheit einer Person“ aus. Das Modell erhebt den Anspruch, zwischen normativen Anforderungen und Wirkungen, zwischen Sollen und Sein, zu vermitteln. Es bietet zudem Anlass, auch theoretische Aspekte des Datenschutzes systematisch in den Blick zu nehmen.

Das SDM umfasst drei Bestandteile: a) Sechs als „elementar“ bezeichnete Schutzziele (Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettbarkeit, Intervenierbarkeit) gestatten eine vollständige Operationalisierung datenschutzrechtlicher Anforderungen an personenbezogene Verfahren, sobald eine Ermächtigungsregelung für ein Verfahren, das politisch, wirtschaftlich oder wissenschaftlich motiviert ist, rechtlich als gültig festgestellt wurde. b) Der Schutzbedarf eines Verfahrens wird, in Anlehnung an den erfolgreichen IT-Grundschutz des BSI, in drei Stufen festgelegt (normal, hoch, sehr hoch); allerdings mit der Fokussierung auf den Schutzbedarf betroffener Personen anstatt Geschäftsprozessen. Diese Fokussierung auf Personen ermöglicht eine bislang wenig beachtete grundrechtskonforme Gestaltung auch von IT-Schutzmaßnahmen für Geschäftsprozesse. Die drei Abstufungen dienen zudem der Operationalisierung der Beurteilung der Angemessenheit und Erforderlichkeit datenschutzspezifischer Schutzmaßnahmen. c) Ein Verfahren wird anhand von drei Komponentengruppen betrachtet (Daten, IT-Systeme, Prozesse). Diese drei Bestandteile erlauben die Entwicklung eines Referenzkatalogs mit Schutzmaßnahmen, mit denen die einzelnen Schutzziele in der vom Schutzbedarf definierten Wirksamkeit umsetzbar und betriebswirtschaftlich kalkulierbar sind. Dieser Katalog lässt sich als Soll-Vorlage zur Prüfung des Ist-Zustandes eines personenbezogenen Verfahrens heranziehen.

Das Konzept der sechs elementaren Schutzziele wurde im Herbst 2010 von der deutschen Datenschutzbeauftragtenkonferenz akzeptiert. Die Operationalisierung der Schutzziele mittels des Standard-Datenschutzmodells wurde in der Herbstsitzung 2014 angenommen mit dem Auftrag, bis zur Herbstsitzung 2015 den projektierten Referenzmaßnahmenkatalog zu entwickeln.

Das SDM kommt ohne eine Definition von Privatheit und einer Vorstellung von einer allgemeinen Kommunikationsordnung aus. Es setzt stattdessen an den entsprechenden grundrechtlichen Implikationen des Grundgesetzes sowie an deren Spezifikationen durch das Datenschutzrecht und die Rechtsprechung insbesondere des Bundesverfassungsgerichts an. Es kommt insofern ohne technisch und ökonomisch hinreichend operationalisierte Vorstellungen darüber aus, was „eigentlich“ personenbeziehbare Daten „sind“ oder wem solche Daten letztlich gehören: ob den Organisationen, die diese Daten im Rahmen eigener Personenmodelle generieren und mittels IT normalisieren, anreichern, typisieren, bewerten oder ob sie den Personen gehören, die sie im Rahmen von Kommunikationen und Interaktionen nutzen. Stattdessen richtet das SDM seine Aufmerksamkeit auf die Aktivitäten von Organisationen, die empirisch zweifelsfrei feststellbar ungleich mächtiger als Personen die Strukturen und Abläufe von Kommunikationsbeziehungen festlegen. Dieses asymmetrische Machtverhältnis bliebe auch dann bestehen, wenn Personen tendentiell fairer als bislang mit ihren persönlichen Daten handeln könnten („Meine Daten gehören mir!“). Organisationen werden strukturell permanent verführt, die gesellschaftlich induzierten Risiken (des Marktes, der Gewaltenteilung und Demokratie, der Diskurse) auf Personen als schwächere Risikonehmer abzuwälzen. Dabei kommt dem Internet die Funktion zu, diese Gestaltungsübermacht der Organisationen bis in die kognitiven Prozesse und Körper einer jeden einzelnen Person hineinzutragen. Was einst die vom Transmissionsriemen zusammengehaltene Maschinerie einer Fabrik war, ist nunmehr ein vom Netzprotokoll vermitteltes, über die Welt gezogenes großtechnisches System. Organisationen wirken mittels großtechnischer Systeme unmittelbar. Die Folge ist, dass organisationsexterne Nutzer von IT und Netzdiensten nicht nur zu organisationsinternen Quasimitgliedern sondern zu unbezahlt agierenden Mitarbeiterinnen und Mitarbeiter dieser Netzdienste werden, wie sich besonders deutlich im Fall google zeigt. Organisationen simulieren die strukturbildenden Risikoquellen der Gesellschaft in ihren eigenen Verfügungsgrenzen. Sie bilden in einem gewissen Ausmaß Märkte, Gewaltenteilung und Demokratie sowie freie Diskurse aus, beanspruchen in diesen jedoch willkürliche Letztentscheide, ohne die rechtsstaatlich gebotene rechtliche oder politische Rückkopplung einzuräumen. Diese Situation entspricht strukturell vormodernen Gesellschaften, in denen wenige Organisationen, die weder demokratisch legitimiert noch rechtlich eingefangen waren, die Regeln des Zusammenlebens von Menschen – und damit über die Menschen selber – bestimmten.

Eine am SDM orientierte, strukturell agierende Datenschutzaufsicht nimmt nicht unmittelbar eine einzelne zu schützende Person in den Blick, sondern orientiert sich am Erhalt gesellschaftlicher Strukturen, die die sozialen Generatoren für Privatheit, Individualität, Selbstbestimmung und Freiheit, mit ihrer logisch inhärenten Nicht-Feststellbarkeit bilden. Soziologisch gewendet: In der Moderne muss man individuell sein und Freiheit und Privatheit beanspruchen. Die Datenschutzaufsicht beobachtet, gelenkt vom Referenzrahmen der Grundrechte bzw. des Datenschutzrechts, an der maschinell gestützten Standardisierung der Handlungsfreiheit von Personen durch Organisationen gesellschaftliche Verwerfungen, die zu einer Regression der „funktionalen Differenzierung“ der Moderne zu einer „stratifizierten Gesellschaft“ (Niklas Luhmann) der Vormoderne führen. In der postmodernen Vormoderne wird „Selbstbestimmung“ vorstellbar nur noch in den festgelegt-standardisierten Formen, die wenige Unternehmen zu ihrem Vorteil definieren und auf die sich staatliche Sicherheitsbehörden jederzeit Vollzugriff verschaffen (können). Die Frage ist, was unter „Selbstbestimmung“ in totalitär verödeten Verhältnissen verstanden werden kann, wenn von Personen permanent in durchindustrialisierter Form Rechtfertigungen für riskante Handlungen abverlangt werden. Der Umsetzung der Grundrechte kommt, wie auch der Umsetzung des Umweltschutzrechts oder dem Kartellrecht insofern eine existentielle Bedeutung zum Erhalt einer modernen Gesellschaft mit modernen Formen der Individualität und Freiheit einzelner Personen zu.

In einer Privacy-Debatte, die als wissenschaftlich ausgeflaggt vornehmlich an der empirischen Erhebung und Typisierung notwendig beliebiger Vorstellungen von Personen zu Privatheit ansetzt, darüber jedoch die gesellschaftlich relevante Machtasymmetrie zwischen Organisationen und Personen, als den eigentlich für den Privatheitsschutz zu bearbeitenden Konflikt, gar nicht erst wahrnimmt oder aus dem Auge verliert, ist insofern aus einer professionellen Datenschutzsicht im besten Falle irrelevant. Allerdings tragen derartige wissenschaftliche Beiträge zur Privatisierung des Datenschutzkonflikts kulturell und politisch zur Invisibilisierung der Machtasymmetrie bei und spielen insofern staatlichen Sicherheitsbehörden und global agierenden Monopolunternehmen legitimierend in die Karten. Das kann professionelle DatenschützerInnen nicht kalt lassen.

Ein erster Schritt, die aktuelle Debatte um Privacy zumindest auf das bereits in den 1970er Jahre erreichte Diskursniveau zu heben, als sich Datenschutz an der ersten Welle des Aufkommens von IT im Rahmen der Kybernetik formierte, bestünde darin, eine Theorie des Datenschutzes der modernen Weltgesellschaft mit ihren großtechnischen Systemen zu entwickeln. Eine sozialphilosophisch oder auch politologisch wichtige Forschungsfrage könnte lauten, ob eine Anerkennung der elementaren Schutzziele, die die „Geltungsanforderungen einer vernünftigen Rede“ (Jürgen Habermas) operativ ergänzen, durch Organisationen unerlässlich für eine gelingende Sozialität ist, weil anders technische Systeme, kategorial genauer: die Organisationen, nicht beherrschbar sind. Von Theorie getriebene Forschungsfragen zu verfolgen ist allerdings schwierig in einem Forschungskontext, in dem sich vielfach die Vorstellung verfestigt, Korrelationen mit Kausalitäten verwechseln zu dürfen, wenn die Ergebnisse nur hinreichend nützlich sind. Kausalität zu behaupten und dabei sogar kausalitätsprengende Wechselwirkungen oder selbstgenerativ-kreative Systeme denken zu können, erfordert jedoch einen theoretischen, das heisst: auch freiheitlich-spekulativen und selbstreflexiven, Bezug zum Forschungsobjekt.

Wir sind weiter als selbst der gute Popdiskurs über Datenschutz vermutet…

Untertitel 1: Immerhin ist Schluss mit lustig.
Untertitel 2: Sind Datenschützer unsexy?

(Version 1.1, 2014-0606)

Die Debatte darüber, dass es im Datenschutz in Bezug zum Internet nicht um Technik, sondern um gesellschaftliche Strukturen geht, ist inzwischen im Mainstream angelangt. Es geht um Politik, Grundrechte, Demokratie, Märkte und beliebig führbare künstlerische, wissenschaftliche, metaphysische Diskurse. Auf die Phase der Empörung folgt, gut ein Jahr nach dem ersten Snowden Leak, auch im Mainstream eine Phase, in der das Niveau der Analysen anzieht und Antworten nach Möglichkeiten für praktische Änderungen gegeben werden.

Zunächst sei auf zwei Beiträge aus dem aktuellen, gesellschaftlichen Diskurs zum Datenschutz hingewiesen, die die These vom Anziehen des Diskursniveaus zum Thema Datenschutz belegen:

Mainstream 1: Diskussion bei Beckmann am 18.04.2014 in ARD
Bei Beckmann liess sich am 18.04.2014 eine hervorragende Diskussion verfolgen – besetzt mit Schirrmacher, Gabriel, Zeh und Heilemann, die allesamt, mit Ausnahme von Herrn Beckmann, der leider, vermeintlich den doofen Zuschauer vertretend, zu oft dazwischen quatschte, insbesondere bei Juli Zeh, wenn die dort für bestimmte Logiksphären stehenden Experten konsequent ihre Pointen dann auch zuende bringen wollten – einen richtig guten Tag hatten.
Beckmann-Talk vom 18.04.2014

Mainstream 2: Rede von Sascha Lobo auf der re:publica 2014
Sascha Lobo beschimpft die Nerdszene der digital natives, die seit fünfzehn Jahren im Habitus der Internetbesserwisser den Rest der Gesellschaft meinen aufklären zu können, politisch dabei aber brotdumm agieren; und die sich letztlich ebensowenig wie der breite Mann auf der Strasse wirklich für das interessieren und gegenangehen, was da machtpolitisch und gesellschaftstrukturell im Internet abgeht.
Sascha Lobo: Über die Lage der Nation

Durch das Ansehen dieser Beiträge könnte jedem, anhand seiner bevorzugten Identifikationsfigur, vielleicht klar werden:

  1. Snowden und Geheimdienste sind nicht mehr unmittelbar das Thema, sondern sie bilden den Anlass, die Themen, die jede und jeden in seinem Alltagshandeln gegenüber Verwaltungen und Unternehmen betreffen, dahinter ernsthaft anzugehen.
  2. Selbstdatenschutz durch ein Nichtnutzen all der tollen Dienste ist keine adäquate Antwort zur Lösung des Problems.
  3. Ohne Regulation des Agierens von Organisationen gibt es keine Lösung.

Fast durchweg – mit Ausnahme der Juristin, Demokratin und intellektuellen Visionärin Juli Zeh – tut diese Pop-Diskurselite allerdings wie auch die Gegner des Datenschutzes stellenweise so, als ob nicht klar sei, was angesichts der Übermacht von NSA, google und Co in einer sich ändernden Welt inhaltlich zu tun sei… “Wir müssen darüber sprechen…” Ja, wenn diese Message nicht unterschwellig den Gedanken nahelegt, dass darüber noch nicht gesprochen worden sei. Überraschung: Es wird seit 40 Jahren im Datenschutz über Datenschutz gesprochen. Die Message, wir wissen (noch) nicht genau genug was eigentlich zu regulieren und zu tun ist, ist deshalb falsch. Man darf behaupten, dass es kristallin klar ist, wie Organisationen ihre Aktivitäten zu formen haben, damit diese als grundrechtskonform gelten können (Blogbeitrag von 2012). Die Frage kann deshalb vollständig das Problem fokussieren, wie dies nun durchzusetzen ist. Ob dies noch durchgesetzt werden kann oder der Hobbesche-Deal zwischen Bürger und Staat überhaupt noch gilt, weil der Staat im gegenwärtigen Zuschnitt für die Sicherheit seiner Bürger im Internet gar nicht mehr sorgen kann, ist eine weitere sehr dringend zu behandelnde Frage.

Der Datenschutz hat sich seit Beginn der 70er Jahre mit den aktuellen Fragen, was zu tun ist, sehr breit befasst. Die automatisierten Angriffe von Organisationen auf Grundrechte von Bürgern sind nicht neu. Datenschutz hat operationalisierbare Antworten dazu parat. Und die gilt es zunächst einmal überhaupt zu kennen, dann zu prüfen, dann zu bewerten, um vielleicht zu einem Urteil zu kommen, ob die Herangehensweise verändert werden muss. Datenschutzrecht ist der Versuch, das Grundgesetz zu operationalisieren. Wenn man Datenschutzrecht infragestellt, dann stellt man das Grundgesetz infrage, und zwar gerade mit dessen “edelsten” Teilen. Das kann man ja machen, es muss einem nur klar sein. Es ist nicht so, dass wir in Bezug zur Umsetzung von Datenschutz bei Null anfangen müssen, nur weil NSA, google und Co kriminell und imperialistisch handeln und die Politik sich bislang als unfähig erwiesen hat, dagegen zu regulieren und das wohlfeile Deregulationsbrainwashing der vergangenen 30 Jahre durch interessierte Kreise fortgesetzt wird. (Man darf von einer aktuell im Amt befindlichen politischen Exekutive allerdings auch nicht erwarten, dass diese zu einer angemessenen Regulation bereit ist. Die aktuell im Amt befindliche Exekutive ist, das muss einem klar sein, letztlich Nutznießer der alten Überwachungsstrukturen. Man muss Mandat, Macht und eine Vision davon haben, wie man den Verwaltungsapparat unterhalb der politischen Exekutive entsprechend ändert. An vielen Stellen agieren die Böcke als Gärtner, insbesondere die unsagbar aggressiv agierenden und sogleich so sexy daherkommenden Google und Apple.)

Natürlich diskreditieren sich Datenschutzinstitutionen, wenn sie sich wirklich länger als 5 Minuten an der Frage aufreiben, ob im Wald Videokameras zur Beobachtung von Tieren aufgehängt werden dürfen. Und dann nicht einmal der Kontext gebildet wird, dass Wildbeobachtungskameras zur Vollerfassung der Welt beitragen, sondern, mit dem imaginierten Bild von (prominenten) Liebespaaren vor Augen, primär darauf abgestellt wird, dass die Forstwege doch bitte aussenvor zu lassen seien und, dies ist so typisches Agieren von Datenschutzinstitutionen: dass Hinweisschilder auf die Kameras aufzuhängen sind. Die staatlich etablierten Datenschutzinstitutionen versagen, sowohl bei den Kontrollen als auch in der analytischen Durchdringung der veränderten Konfliktlagen, seit Jahren in ganz vielen ungleich wichtigeren Themenfeldern aufs Entsetzlichste. Und zwar auch deshalb, weil wesentliche Akteure in den Institutionen keine klare Auffassung mehr davon haben, welche gesellschaftliche Funktion Datenschutz hat und welche Aufgaben als Beauftragte der Bürger ihnen deshalb zukommen. Es ist möglich geworden, die Posten von Datenschutzbeauftragte mit Menschen zu besetzen, die nachweislich keine Bürgerrechtler sind; mit der Folge, dass Datenschutz vornehmlich verwaltet wird. Dass die Datenschutzinstitutionen auch für den aktuellen Diskurs, mit ganz wenigen Ausnahmen, unsichtbar geworden sind, liegt insofern nicht vornehmlich daran, dass die Datenschutzaufsichtsbehörden, angesichts ihrer Aufgaben, so schreiend offensichtlich unterfinanziert sind.

ABER: Was zu tun ist, und wie man man konzeptionell den Grundrechteschutz von Menschen normativ und praktisch operationalisiert umsetzen kann, da haben Datenschutzinstitutionen, Bundesverfassungsgericht, Technikfolgenabschätzer und dann insbesondere der Datenschutzexpertendiskurs der vergangenen gut 20 Jahre viel zu bieten. Das wird nicht wahrgenommen, es besteht offenbar kein Bedarf das wahrzunehmen. Wo sind die institutionalisierten Datenschützer in der aktuellen Debatte? Wer präsentiert die vorhandenen Lösungsansätze? Dass es Lösungen gibt, weiss diese Popdiskurselite nicht, das kann sie nicht wissen. Der Popdiskurs hat Interesse am Diskurs, an der Reproduktion von Problemen, zu denen sich etwas sagen lässt; die Diskurspopstars des Datenschutzes wissen nichts von Umsetzung. Sie kennen nicht einmal das normativ scharfe Schwert des Verbots mit Erlaubnisvorbehalt aus §4 des BDSG. Warum fragt man nicht mal die Datenschützer, welche Antworten es gibt? Zu privacy by design, zu Identitätenmanagement, zu Anonymisierungsinfrastrukturen, zu Schutzzielen? Hat der institutionalisierte Datenschutz tatsächlich so dermaßen versagt, dass man nicht mal mehr Vertreter zu den Debatten einlädt zu Konfliktthemen, die zu bearbeiten seit mehr als 40 Jahren deren passabel bezahlte Aufgabe ist? Wieso meint man im öffentlichen Diskurs, auf ausgerechnet die ausgewiesenen Datenschutzexperten verzichten zu können?

Ich habe Videointerviews durchgeführt, bei denen Datenschutzexperten zu Wort kommen. Und von denen rund die Hälfte mit Statements aufwartet, deren Horizont nicht erst durch Snowdens Berichte aufgespannt werden musste, um bereits über diesen Horizont verfügend nach operativen Umsetzungen für eine moderne, durchdigitalisiert kommunizierende Gesellschaft zu suchen. An einem verregneten und für die Jahreszeit zu kühlen Sonntagnachmittag kann man sich auch noch mal zumindest die 16min46sec für den Zusammenschnitt aus dem Gesamtmaterial oder die 3min33sec für den Trailer antun:
Interviews von Datenschutzexperten

Fazit: Wir sind im Bereich der Operationalisierung von Grundrechten um vieles weiter, als selbst die Datenschutz-Popdiskurselite vermutet.

Ein bißchen Nachhilfe für Sascha Lobo

Version 2.1, 2014-0425

Auch an Sascha Lobo ist das Deregulierungs-Brainwashing der vergangenen 40 Jahre nicht spurlos vorüber gegangen. Der Aufklärer Sascha Lobo hat in den vergangenen drei vier Jahren enorm dazugelernt, der bei einigen Fragestellungen auch mal ein bißchen Nachhilfe gebrauchen kann, angesichts der anstehenden großen Konferenz zur globalen Vernetzung und der Frage: Was ist zu tun?
(Das Netz braucht eine Internet-Uno)

A) Zur Einstimmung eine Paradoxie: Wenn der liebe Gott alles kann…. kann er eine Mauer bauen, die so hoch ist, dass er selber nicht drüber springen kann? Moderne Kalküle “gründen” auf Paradoxien wie diesen, nicht auf letzten, Zweifel entzogenen, nun aber mal ganz echten Gründen. Moderne Kalküle verstecken seit Gödel ihre Paradoxien nicht länger, weil es erkenntnistheoretisch albern geworden ist, vielmehr nutzen sie deren beunruhigendes Potential. Das gilt auch fürs moderne Staatsverständnis. Der Datenschutz ist ein Indikator dafür.

B) Der moderne Staat ist so verfasst, dass er seinen eigenen Aktivitäten nicht über den Weg traut. Das genau ist der strukturell wesentliche Unterschied zum Absolutismus, der Vertrauen schlicht beanspruchen muss. So hat die Institutionalisierung des Datenschutzes in den 70er Jahren als ein staatlich organisierter Zweifel des Staates gegen sich selber begonnen. (Bitte den vorigen Satz erneut und den nachfolgenden Satz zwei Mal langsam lesen, und versuchen zu verstehen). Grundrechte sind Abwehrrechte des Bürgers gegen den Staat; dabei wirken Grundrechte auch auf Rechtsverhältnisse zwischen Privaten (“Drittwirkung der Grundrechte”). Was folgt daraus? Unter anderem das folgende:

Ein Staat muss stark sein, um Grundrechte normativ setzen und deren Beanspruchung durch den einzelnen Bürger auch gegen sich selber gewährleisten zu können. Der moderne Staat ist insofern beides zugleich: Der einzige Quell und Garant und zugleich der größte Feind der Grundrechte. (Ja, diese Paradoxie gilt es als moderne Denkanforderung auszuhalten.) Sascha Lobo zeigt in seiner Kolumne kein in dieser Hinsicht hinreichend konturiertes Verständnis vom modernen Staat in einer “funktional differenzierten Gesellschaft” (Luhmann). Weshalb Sascha Lobo als Rettungsanker für eine Legitimationsquelle zur Verlegenheitsfloskel “Zivilgesellschaft” greift – was ihn ja immerhin verlegen macht, wie er aufrichtigerweise bemerkt. Die wie auch immer ausgebildete Exekutive einer Zivilgesellschaft muss erst einmal dieses Niveau erreichen, doch sie würde sich vermutlich schlicht an der Position der Guten sehen. Weil…. ähmm…. nee… ist ja klar.

Insofern: Ein moderner starker Staat ist gefragt! Was für eine Zumutung… für die Mental-Kinder von Margret Thatcher. Und das heisst: Ein Staat mit einem tatsächlich bestehenden Gewaltmonopol, mit Gewaltenteilung, Rechtstaatlichkeit und Demokratie. Einen solchen Staat gibt es bislang allerdings nur auf dem Reissbrett der Aufklärung:
- Der Deal zwischen Bürger und Staat bzgl. des Gewaltmonopols ist derzeit mit Bezug auf Internet hinfällig. Der Staat tut nichts gegen die informatorische Gewalt, die derzeit eine Gewalt der Stärkeren ist. Selbst die wenigen über Zweifel erhabene Datenschützer geben länger schon die Losung aus: Die Bürger sollen sich informatorisch selber bewaffnen (“Selbstdatenschutz”) – dabei haben die Bürger, Kunden, Patienten… Menschen, Individuen, Subjekte überhaupt keine reelle Chancen gegenüber den Organisationen, nicht den Sicherheitsbehörden, nicht den globalen Technikunternehmen, nicht den googles und facebooks, aber auch nicht den Banken und Versicherungen.
- Gewaltenteilung findet nicht statt. Die Exekutive ist in Form der Geheimdienste, auf die die anderen Sicherheitsdienste zugreifen können, vollends aus dem Ruder gelaufen. Die unteren Instanzen der Gerichtsbarkeiten haben Angst vor den globalen Konsequenzen ihrer als lokal verstanden Entscheidungen.
- Es wird offensichtlichst gegen Datenschutz als “Recht auf informationelle Selbstbestimmung” fortgesetzt und ungeahndet verstoßen. Die einzigen Organisationen, die sich leidlich um die Erfüllung von Datenschutzanforderungen auf einem relativ reifen Niveau kümmern, sind deutsche Kommunen.
- Demokratische Entscheidungsverfahren sind eine Farce, wenn die Behörden der Exekutive die Legislative und Jurisdiktion dominieren.

Was darf man in dieser Perspektive nun von der Netmundial tatsächlich erwarten? Ich vermute und prognostiziere: Gar nix. So wie alle anderen Veranstaltungen dieser Art in den letzten Jahren auch für die Katz waren. Sie wurden nur immer pompöser, alle mit dem Anspruch, nun aber verfahrenstechnisch wirklich alles richtig gemacht und jeden beteiligt zu haben. Nur: Die Inhalte fehlen. Diese stellen sich nicht von selbst ein.

Wir brauchen außerdem keinen zentralen Weltstaat, auf den muss man nicht als letzten legitimen Normenspender warten, wenn die Staatenverbünde es irgendwie nicht hinkriegen. Den will man doch auch politisch gar nicht, nur weil er verspricht, dass Normen und Logik dann aus einem Guss sein könnten. Rein gar nichts spricht dagegen, dass Deutschland, oder besser: die EU einfach mal anfangen, mit der feinen Blaupause der Komponenten an den Spiegelstrichen im vorigen Abschnitt Ernst zu machen. Diese Komponenten sind ja bedrückend langweilig und sattsam bekannt. Aber sie sind eben noch keine Realität.

Stellt sich die Frage: Womit denn nun inhaltlich anfangen? Was gilt es denn zu regeln? Darauf zu setzen, dass allein die Möglichkeit zu einem fair besetzten, zivilgesellschaftlichen Diskurs in einem offenbar hinreichend souveränen Land wie Brasilien – im Unterschied zu Deutschland – schon zu einem verallgemeinerungsfähigen Ergebnis führe, wenn man nun aber wirklich mal alle Stakeholder aufeinanderknallen lässt oder wirklich alle alle irgendwie guten NGOs zusammenruft, verfiele allerdings einer schlechten, romantisch verklärten Diskursbesoffenheit. Was genau ist inhaltlich vernünftigerweise zu fordern… und zwar so, dass es auch praktisch umsetzbar ist?

C) Die operationalisierbaren Kernforderungen sind aufgrund der theoretisch anreflektierten Erfahrungen mit Datenschutz – also dem erfahrenen, operativen Arm des Grundrechteschutz des Bürgers und Kundens vor Staat und Unternehmen – aus den vergangenen 40 Jahren die folgenden:

1. Kommuniktionssysteme sind so zu betreiben, dass sie für jeden in gleicher Weise verfügbar sind. (Netzneutralität als Verfügbarkeitsaspekt)
2. Kommunikationssysteme sind so zu konstruieren und zu betreiben, dass sie genau das und nur das machen, für was sie als Zweck ausgewiesen sind. (Integritätsanforderung)
3. Kommunikationssysteme sind so zu konstruieren und zu betreiben, dass nur diejenigen Kenntnis von Kommunikatonen nehmen können, die Sender und Empfänger intendieren (Vertraulichkeitsanforderung)
4. Kommunikationssysteme sind so zu konstruieren und zu betreiben, dass sie prüfbar sind. Und zwar prüfbar für die Betreiber der Systeme, die Nutzer der Systeme und für die Kontrolleure der Systeme, die stellvertretend für das verallgemeinerungsfähige gesellschaftliche Interesse die Systeme im Expertenmodus prüfen. (Transparenzanforderung)
5. Kommunikationssysteme sind so zu konstruieren und zu betreiben, dass sie jederzeit verändert und grundsätzlich gestoppt werden können. (Interventionsanforderung)
6. Kommunikationssysteme sind so zu konstruieren und zu betreiben, dass Teile von ihnen voreinander isoliert werden können. (Nichtverkettbarkeitsanforderung)

Das war es im Wesentlichen. Weitere Anforderungen lassen sich aus diesen sechs ableiten. Und wieder gilt: Diese Anforderungen stehen in einem Spannungsverhältnis zueinander, drei davon privilegiert in einer Achse, man kann nicht alle Anforderungen gleichzeitig in hohem Maße umsetzen. Wieder gilt es die Differenzen der Moderne auszuhalten. Jede dieser Anforderungen ist aber durch konkrete Maßnahmen umsetzbar. Wo die angemessenen Arbeitspunkte dieser Kompromisse liegen, gilt es politisch auszuhandeln und dann modernstaatlich rechtlich abzusichern und operativ für Datenbestände, IT-Systeme und Prozesse umzusetzen.

Und woher kommt die Sicherheit, dass es nun genau diese sechs Anforderungen sind?

D) Diese sechs elementaren Anforderungen an Kommunikationssysteme komplementieren die “Geltungsanforderungen an eine verünftige Rede”, wie sie Habermas Ende der 70er Jahre für die “Sinnebene” formuliert hat, auf der operativen Ebene. Die Umsetzung der Habermaschen Geltungsanforderungen an die Vernünftigkeit von Kommunikationen sind angewiesen auf die praktische Umsetzung der sechs Elementaranforderungen für technische Kommunikationssysteme. Man kann bspw. keine Wahrheit seiner Aussage beanspruchen, wenn die das Kommunikationsmedium beherrschenden Organisationen Mitteilungen beliebig ändern können. Das stiftet einen plausiblen Zusammenhang, soll aber keine Begründung liefern, die nicht auch der Aporien der Vernunft gedenkt. Mit Habermas kann man immerhin lernen, dass wenn man an Vernunft appelliert, man jedenfalls anzugeben gehalten ist, welche man denn meine.

Ohne ein vernünftig funktionierendes Kommunikationssystem kann es jedenfalls keine Zivilgesellschaft und keinen modernen Staat geben. So rum ist die Logik. Kann das jemand mal dem Sascha Lobo sagen! Ich möchte, dass er sich auch weiterhin gut entwickelt und seinen wirklich guten Job fortsetzt.

Warum Datenschutz?

Damit Organisationen einzelne Personen nicht fremdbestimmen, nicht knechten.

So einfach ist das.

Fremdbestimmung ist dann der Fall, wenn Organisationen etwas über Personen wissen und dieses Wissen, das eigentlich nicht zum Aufgabenbereich einer Organisation zählt, zu ihrem Vorteil nutzen. Deshalb achtet man im Datenschutz darauf, dass Organisationen keine Daten erheben und keine Daten verabeiten, ohne dass der Zweck genau ausgewiesen ist. Ohne Ausweis des Zwecks und ohne Zweckbindung keine Daten über Personen. So einfach ist auch das.

Jede Organisation agiert jedoch grundsätzlich an der Grenze zur Fremdbestimmung von Personen. Wie unerzogene Kinder reizt jede Organisation notorisch ihre Grenzen aus. Unternehmen, Staaten und Verwaltungen, Wissenschaftsinstitute – die im riskanten Kontext von Märkten, politischem Wettstreit und Gewaltenteilung sowie freien Diskursen agieren – müssen deshalb jeder einzelnen Personen nachweisen, dass sie nicht gegen die Person agieren. Organisationen dürfen nicht einmal versuchen, die Risiken des Marktes, der Demokratie und Gewaltenteilung sowie der freien Diskurse, auf “ihre” Kunden, Bürger und Individuen abzuwälzen. Sie müssen als maßgebliche Leitlinie ihres Handelns die Würde einer jeden einzelnen Person achten.

Der Nachweis der Vertrauenswürdigkeit gelingt Organisationen dadurch, in dem diese zumindest den folgenden Anforderungen genügen:

  • Sie verarbeiten Daten von Personen ausschließlich zweckbestimmt.
  • Sie verarbeiten Daten von Personen vertraulich.
  • Sie schützen die Verarbeitung von Personen vor falschen Änderungen.
  • Und dass sie das machen, ist für Betroffene und externe Prüfer überprüffähig.
  • Sie reagieren schnell und korrekt auf Widerspruch durch Personen und Aufsichtsinstanzen.
  • Sie agieren fair und halten sich an Gesetze, ohne diese in ihrem Sinne zu überdehnen.

Das alles zu beachten und umzusetzen ist nicht einfach. Aber machbar. Dass diese Anforderungen umgesetzt werden, ist die allgemeine Arbeitsgrundlage einer jeden Handlung und Kommunikation zwischen Organisationen und Personen in einem modernen Staat. Wenn diese Arbeitsgrundlage infrage gestellt wird, droht ein moderner Staat zu einer Bananenrepublik zu verkommen und Personen verlieren ihr Vertrauen in die Institutionen. Massenhafter Vertrauensverlust in die Institutionen reduziert wiederum die Leistungsfähigkeit einer Gesellschaft drastisch. Wie real diese Bedrohung seit Jahren schon ist, zeigt dieser SPON-Artikel: EU-Bericht warnt vor Überwachung durch USA.

Datenschutz muss Organisationen prüfen, gegebenenfalls beanstanden oder ein Gerichtsverfahren starten. Datenschutz muss darüber hinaus darlegen, wie Organisationen diese Anforderungen praktisch umsetzen können und der Nachweis darüber gelingt.

Auch das passt…

Ein offenbar in den Diensten des Tagesspiegels stehender
Journalist weist darauf hin, dass mein Geschreibsel hier über Facebook verwirrt und ich beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein beschäftigt sei, das bekanntlich von Dr. Weichert geleitet werde, dessen Lieblingsfeinde ja facebook und google seien. Beide würden wir uns vor allem unserem Antiamerikanismus hingeben, und Weichert obendrein nicht seinen eigentlich Job machen.

Ich möchte dazu nicht mehr sagen als dass in Bezug zu mir jede/jeder selber meine Argumente im Blog prüfen und ggfs. mit einer kritischen Gegenrede entkräften kann. Wenn aber anstatt zu argumentieren nur der Autor als verwirrter, emotionaler Spinner diskreditiert wird, dann passt auch das, was mich natürlich wenig erstaunt, rhetorisch gut in den von mir begrifflich abgesteckten Analyserahmen.

Es ist klar, was zu tun ist!

Original-Veröffentlichung: 2012-0522

Ich möchte auf einen ausgezeichneten Artikel von Christoph Kappes aufmerksam machen, der die Rolle des Internet bzw. die Subrolle von Facebook für die arabischen Revolutionen analysiert. Leider bin ich erst jetzt auf diesen aufmerksam geworden. Er schreibt: Wir müssen also diskutieren, was morgen werden soll. Es ist denkbar, dass das Internet für freie Meinungsäußerung überall auf der Welt eines Tages unbenutzbar wird, wenn wir Technokraten nicht gesellschaftlich in ihre Schranken weisen und von Sicherheitsfanatikern nicht immer wieder eine Rechtfertigung für ihre Eingriffe in Freiheitsrechte verlangen – was hierzulande wohl ungeheuer revolutionär klingt, aber schon immer unbestrittene Meinung in der Grundrechtsdogmatik ist, die „Verhältnismäßigkeit“ lässt grüßen. Hier geht es nicht um einen gesellschaftlichen Nebenschauplatz. Es geht zum ersten um das Primat des Sollens gegenüber dem Können, zum zweiten um Freiheit versus Sicherheit (Sicherheit ist kein gleichrangiges Rechtsgut!) und drittens um eine Betrachtung der ganzen Problematik aus einer historischen Perspektive (bedenkt man die Dauer möglichen Datenmissbrauchs: ein Menschenleben, von heute an). Was sollen wir in 80 Jahren dürfen, wenn jeder seine Videodrohnen hat? Steigt die Mißbrauchsgefahr des Internets, weil es weiter in die Wirklichkeit dringt, mit seinen Sensoren und Aktoren? Man muss kein „Matrix“-Fan mehr sein, um die Dystopie des digitalisierten Totalitarismus für möglich zu halten.
(Der Artikel von Christoph Kappes)

Das ist klug und korrekt. Dann steigen wir doch nach über einem Jahr erneut in die Diskussion ein, was wir bereits heute dafür tun können, so dass die Wahrscheinlichkeit, dass diese Dystopie morgen eintritt, verringert wird.

Es gibt ja vernünftige Maßstäbe für Anforderungen, die Organisationen in einem demokratischen Rechtsstaat erfüllen müssen. So fordert das Datenschutzrecht Transparenz, Zweckbindung und Betroffenenrechte ein. Im Kontext der Datenschutzforschung wurden 2009 systematisch Datenschutzziele destilliert, die diese Anforderungen in operationalisierbarer Form formulieren, die Organisationen(! Nicht: irgendwie DAS Internet, sondern z.B. facebook, google+, twitter…, Verwaltungen, Versicherungen, Nachrichtendienste, Forschungsinstitute, Provider, Arbeitgeber…) zu erfüllen haben. Und zwar auch und gerade dann, wenn diese Internet nutzen wollen. Diese Schutzziele bilden die operative Ergänzung der “Anforderungen an eine vernünftige Rede”, wie sie in der “Theorie des Kommunikativen Handelns” (Habermas 1982) formuliert wurden. Die Geltung dieser Anforderungen lassen sich vernünftigerweise nicht negieren. Theoretisch schärfer gefasst lässt sich mit der Theorie “Sozialer Systeme” (Luhmann 1982) formulieren: Der abgestimmte Kanon der sechs elementaren Schutzziele bildet Anforderungen, die durch die funktionale Differenzierung moderner Gesellschaften entstehen und in Organisationen die Form von Steuerungsgrößen für Prozesse, Daten und IT-Systeme annehmen. Die Schutzziele erzeugen Entscheidbarkeiten im Hinblick auf Beherrschbarkeit der Prozesse und Fairness im Betrieb.
(Artikel zum “Konzept der Schutzziele”)

Was ist nun zu regeln? Eine Organisation, die nicht in der Lage ist, anhand der sechs elementaren Schutzziele – Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit und Nicht-Verkettbarkeit – nachzuweisen, dass sie ihre Dienstleistung mit Personenbezug zu sichern versteht, darf ihre Dienstleistungen nicht über das Internet anbieten. (Eine solche Organisation ist so ungeeignet wie ein Gaserzeuger, der weder sichere Gasleitungen zu legen noch einen gesicherten Gasgebrauch zu implementieren weiss. Das war die inakzeptable Situation in London zur Mitte des 19. Jahrhunderts, als Gasexplosionen zum Alltag gehörten. (Paraphrase auf Schröders Statement zu facebook: “Gasexplosionen sind Realität! Es gilt, verantwortungsvoll damit umzugehen.”)) Eine Organisation darf das Internet nur dann nutzen, wenn sie den Betroffenen und Aufsichtsbehörden gegenüber nachweist, dass sie in diesem Medium ihre Prozesse entsprechend den sechs Mindestanforderungen beherrscht und fair agiert. Letzteres verlangt nur, dass eine Organisation sich an das Recht hält und bei Konflikten einen Prozess zu führen auch für arme Betroffene möglich ist. Insofern reichte bereits die Feststellung, dass facebooks Datenverarbeitung für Betroffene und Aufsichtsbehörden nicht transparent ist, um rechtlich begründet durchzusetzen, facebook aus dem DNS auszutragen. Und facebook wäre nicht mehr erreichbar. “Es ist ganz leicht”, möchte man Frau Merkel zurufen, “wenn Sie es denn Ernst meinten”. Und Herr Voßkuhle hat vor nunmehr einem halben Jahr in Aussicht gestellt, dass sich das Bundesverfassungsgericht mit facebook beschäftigen wird. Das Problembewusstsein ist natürlich voll entfaltet, aber: Ist seitdem etwas passiert?
(Voßkuhle über facebook in DER ZEIT)

Und damit das Ganze auch tatsächlich mit technisch-organisatorischen Maßnahmen umsetzbar ist, wurde auf der Grundlage der Schutzziele ein standardisiertes Datenschutzmodell entwickelt, dessen Grundrisse in diesem Aufsatz formuliert sind: Rost, Martin, 2012: Standardisierte Datenschutzmodellierung; in: DuD – Datenschutz und Datensicherheit, 36. Jahrgang, Heft 6: 433-438.

Es ist klar, was zu tun ist.

Eine Ministerin lässt sich vor Karren spannen

Original-Veröffentlichung: 2012-0522

Laut Heise-Meldung macht sich Familienministerin Schröder zusammen mit facebook für die Nutzung von facebook durch Jugendliche stark. “Gerade Jugendliche müssten deshalb fit gemacht werden, selbstbestimmt und verantwortungsbewusst damit umzugehen. Hier sind neben Eltern und Pädagogen auch die Plattformbetreiber in der Pflicht.” (Heise-Meldung vom 22.5.2012) Ob die Ministerin erklären könnte, wie ein fitter Umgang mit facebook aussehen könnte? Und was sollen Plattform-Betreiber tun? Man kann facebook (und google+) jedenfalls weder selbstbestimmt noch verantwortungsbewusst nutzen.

Frau Schröders Pflicht wäre es insofern gewesen, erst einmal selber verantwortungsvoll zu agieren und zuallererst auf die kriminellen Machenschaften von facebook hinzuweisen und von der Nutzung dieses Dienstes abzuraten, anstatt facebook mit der Reputation einer Ministerin zu rechtfertigen (“Soziale Netzwerke sind Realität.”). Dass facebook den Bogen nassforsch (immer noch weiter) zu spannen versucht, ist die eine Seite. Die andere Seite ist das Fehlen offenbar jeglicher Sensibilität und Urteilsfähigkeit ausgerechnet einer Ministerin für Aktivitäten einer Organisation, die unvereinbar sind mit Rechtsstaatlichkeit, Demokratie, Gewaltenteilung, Markt und freien Diskursen. Dass eine Ministerin sich gemein macht mit facebook-Kriminellen ist ein Skandal, der unter normalen politischen Umständen zu sofortigen Rücktrittsforderungen führen müsste. Ob solche Forderungen nun zustandekommen, ist ein Indikator für die Wachsamkeit der Opposition. Immerhin: Die technik-affine und bürgerrechtlich wachsame Fraktion der Piraten in Schleswig-Holstein nutzt facebook inzwischen nicht mehr.

Oder steckt doch noch etwas ganz anderes dahinter und die einfältig erscheinende Frau Schröder lässt sich stattdessen kalkuliert auch noch ganz anders instrumentalisieren? Wenn Frau Schröder diese Kampagne, facebook endlich salonfähig zu machen überleben sollte, würde dann eine Pressemitteilung wie die nachfolgende, die sagen wir ganz gut im Herbst 2012 erscheinen könnte, überhaupt noch Verwunderung oder gar Entsetzen und Proteste auslösen?

“Die Bundesregierung erwägt eine Vereinbarung zu treffen, wonach facebook verpflichtet wird, die Profilinformationen der bei facebook angemeldeten Deutschen Staatsbürger an die Deutschen Sicherheitsbehörden zu spiegeln.”
In den USA ist die entsprechende Kampagne bereits durchgelaufen, mit den backdoors fürs FBI. Und ganz eigentlich spielt das aber fast keine Rolle mehr, wenn es stimmt, was Golem titelt: Deutsche Geheimdienste können PGP entschlüsseln. Die Befassung mit facebook lenkt so gesehen nur ab.

Was verbleibt noch als nur hoffen zu können, dass die wenigen verbliebenen, ausgewiesen rechtsstaatlich sensiblen, intelligenten und inzwischen wohl auch als mutig zu bezeichnenden Politiker wie Aigner und Leutheusser-Schnarrenberger nicht untergepflügt werden und zumindest rechtzeitig anschlügen?