Es geht nicht um Privatheit… Zur anhaltenden Armseligkeit des wissenschaftlichen und politischen Privacy-Diskurses

Die deutschen Datenschutzaufsichtsbehörden entwickeln derzeit ein Standard-Datenschutzmodell (SDM) zur Prüfung und Beratung von Verfahren mit Personenbezug. Das SDM kommt ohne Definitionen zu „Privatheit“, „informationelle Selbstbestimmung“ oder „Freiheit einer Person“ aus. Das Modell erhebt den Anspruch, zwischen normativen Anforderungen und Wirkungen, zwischen Sollen und Sein, zu vermitteln. Es bietet zudem Anlass, auch theoretische Aspekte des Datenschutzes systematisch in den Blick zu nehmen.

Das SDM umfasst drei Bestandteile: a) Sechs als „elementar“ bezeichnete Schutzziele (Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettbarkeit, Intervenierbarkeit) gestatten eine vollständige Operationalisierung datenschutzrechtlicher Anforderungen an personenbezogene Verfahren, sobald eine Ermächtigungsregelung für ein Verfahren, das politisch, wirtschaftlich oder wissenschaftlich motiviert ist, rechtlich als gültig festgestellt wurde. b) Der Schutzbedarf eines Verfahrens wird, in Anlehnung an den erfolgreichen IT-Grundschutz des BSI, in drei Stufen festgelegt (normal, hoch, sehr hoch); allerdings mit der Fokussierung auf den Schutzbedarf betroffener Personen anstatt Geschäftsprozessen. Diese Fokussierung auf Personen ermöglicht eine bislang wenig beachtete grundrechtskonforme Gestaltung auch von IT-Schutzmaßnahmen für Geschäftsprozesse. Die drei Abstufungen dienen zudem der Operationalisierung der Beurteilung der Angemessenheit und Erforderlichkeit datenschutzspezifischer Schutzmaßnahmen. c) Ein Verfahren wird anhand von drei Komponentengruppen betrachtet (Daten, IT-Systeme, Prozesse). Diese drei Bestandteile erlauben die Entwicklung eines Referenzkatalogs mit Schutzmaßnahmen, mit denen die einzelnen Schutzziele in der vom Schutzbedarf definierten Wirksamkeit umsetzbar und betriebswirtschaftlich kalkulierbar sind. Dieser Katalog lässt sich als Soll-Vorlage zur Prüfung des Ist-Zustandes eines personenbezogenen Verfahrens heranziehen.

Das Konzept der sechs elementaren Schutzziele wurde im Herbst 2010 von der deutschen Datenschutzbeauftragtenkonferenz akzeptiert. Die Operationalisierung der Schutzziele mittels des Standard-Datenschutzmodells wurde in der Herbstsitzung 2014 angenommen mit dem Auftrag, bis zur Herbstsitzung 2015 den projektierten Referenzmaßnahmenkatalog zu entwickeln.

Das SDM kommt ohne eine Definition von Privatheit und einer Vorstellung von einer allgemeinen Kommunikationsordnung aus. Es setzt stattdessen an den entsprechenden grundrechtlichen Implikationen des Grundgesetzes sowie an deren Spezifikationen durch das Datenschutzrecht und die Rechtsprechung insbesondere des Bundesverfassungsgerichts an. Es kommt insofern ohne technisch und ökonomisch hinreichend operationalisierte Vorstellungen darüber aus, was „eigentlich“ personenbeziehbare Daten „sind“ oder wem solche Daten letztlich gehören: ob den Organisationen, die diese Daten im Rahmen eigener Personenmodelle generieren und mittels IT normalisieren, anreichern, typisieren, bewerten oder ob sie den Personen gehören, die sie im Rahmen von Kommunikationen und Interaktionen nutzen. Stattdessen richtet das SDM seine Aufmerksamkeit auf die Aktivitäten von Organisationen, die empirisch zweifelsfrei feststellbar ungleich mächtiger als Personen die Strukturen und Abläufe von Kommunikationsbeziehungen festlegen. Dieses asymmetrische Machtverhältnis bliebe auch dann bestehen, wenn Personen tendentiell fairer als bislang mit ihren persönlichen Daten handeln könnten („Meine Daten gehören mir!“). Organisationen werden strukturell permanent verführt, die gesellschaftlich induzierten Risiken (des Marktes, der Gewaltenteilung und Demokratie, der Diskurse) auf Personen als schwächere Risikonehmer abzuwälzen. Dabei kommt dem Internet die Funktion zu, diese Gestaltungsübermacht der Organisationen bis in die kognitiven Prozesse und Körper einer jeden einzelnen Person hineinzutragen. Was einst die vom Transmissionsriemen zusammengehaltene Maschinerie einer Fabrik war, ist nunmehr ein vom Netzprotokoll vermitteltes, über die Welt gezogenes großtechnisches System. Organisationen wirken mittels großtechnischer Systeme unmittelbar. Die Folge ist, dass organisationsexterne Nutzer von IT und Netzdiensten nicht nur zu organisationsinternen Quasimitgliedern sondern zu unbezahlt agierenden Mitarbeiterinnen und Mitarbeiter dieser Netzdienste werden, wie sich besonders deutlich im Fall google zeigt. Organisationen simulieren die strukturbildenden Risikoquellen der Gesellschaft in ihren eigenen Verfügungsgrenzen. Sie bilden in einem gewissen Ausmaß Märkte, Gewaltenteilung und Demokratie sowie freie Diskurse aus, beanspruchen in diesen jedoch willkürliche Letztentscheide, ohne die rechtsstaatlich gebotene rechtliche oder politische Rückkopplung einzuräumen. Diese Situation entspricht strukturell vormodernen Gesellschaften, in denen wenige Organisationen, die weder demokratisch legitimiert noch rechtlich eingefangen waren, die Regeln des Zusammenlebens von Menschen – und damit über die Menschen selber – bestimmten.

Eine am SDM orientierte, strukturell agierende Datenschutzaufsicht nimmt nicht unmittelbar eine einzelne zu schützende Person in den Blick, sondern orientiert sich am Erhalt gesellschaftlicher Strukturen, die die sozialen Generatoren für Privatheit, Individualität, Selbstbestimmung und Freiheit, mit ihrer logisch inhärenten Nicht-Feststellbarkeit bilden. Soziologisch gewendet: In der Moderne muss man individuell sein und Freiheit und Privatheit beanspruchen. Die Datenschutzaufsicht beobachtet, gelenkt vom Referenzrahmen der Grundrechte bzw. des Datenschutzrechts, an der maschinell gestützten Standardisierung der Handlungsfreiheit von Personen durch Organisationen gesellschaftliche Verwerfungen, die zu einer Regression der „funktionalen Differenzierung“ der Moderne zu einer „stratifizierten Gesellschaft“ (Niklas Luhmann) der Vormoderne führen. In der postmodernen Vormoderne wird „Selbstbestimmung“ vorstellbar nur noch in den festgelegt-standardisierten Formen, die wenige Unternehmen zu ihrem Vorteil definieren und auf die sich staatliche Sicherheitsbehörden jederzeit Vollzugriff verschaffen (können). Die Frage ist, was unter „Selbstbestimmung“ in totalitär verödeten Verhältnissen verstanden werden kann, wenn von Personen permanent in durchindustrialisierter Form Rechtfertigungen für riskante Handlungen abverlangt werden. Der Umsetzung der Grundrechte kommt, wie auch der Umsetzung des Umweltschutzrechts oder dem Kartellrecht insofern eine existentielle Bedeutung zum Erhalt einer modernen Gesellschaft mit modernen Formen der Individualität und Freiheit einzelner Personen zu.

In einer Privacy-Debatte, die als wissenschaftlich ausgeflaggt vornehmlich an der empirischen Erhebung und Typisierung notwendig beliebiger Vorstellungen von Personen zu Privatheit ansetzt, darüber jedoch die gesellschaftlich relevante Machtasymmetrie zwischen Organisationen und Personen, als den eigentlich für den Privatheitsschutz zu bearbeitenden Konflikt, gar nicht erst wahrnimmt oder aus dem Auge verliert, ist insofern aus einer professionellen Datenschutzsicht im besten Falle irrelevant. Allerdings tragen derartige wissenschaftliche Beiträge zur Privatisierung des Datenschutzkonflikts kulturell und politisch zur Invisibilisierung der Machtasymmetrie bei und spielen insofern staatlichen Sicherheitsbehörden und global agierenden Monopolunternehmen legitimierend in die Karten. Das kann professionelle DatenschützerInnen nicht kalt lassen.

Ein erster Schritt, die aktuelle Debatte um Privacy zumindest auf das bereits in den 1970er Jahre erreichte Diskursniveau zu heben, als sich Datenschutz an der ersten Welle des Aufkommens von IT im Rahmen der Kybernetik formierte, bestünde darin, eine Theorie des Datenschutzes der modernen Weltgesellschaft mit ihren großtechnischen Systemen zu entwickeln. Eine sozialphilosophisch oder auch politologisch wichtige Forschungsfrage könnte lauten, ob eine Anerkennung der elementaren Schutzziele, die die „Geltungsanforderungen einer vernünftigen Rede“ (Jürgen Habermas) operativ ergänzen, durch Organisationen unerlässlich für eine gelingende Sozialität ist, weil anders technische Systeme, kategorial genauer: die Organisationen, nicht beherrschbar sind. Von Theorie getriebene Forschungsfragen zu verfolgen ist allerdings schwierig in einem Forschungskontext, in dem sich vielfach die Vorstellung verfestigt, Korrelationen mit Kausalitäten verwechseln zu dürfen, wenn die Ergebnisse nur hinreichend nützlich sind. Kausalität zu behaupten und dabei sogar kausalitätsprengende Wechselwirkungen oder selbstgenerativ-kreative Systeme denken zu können, erfordert jedoch einen theoretischen, das heisst: auch freiheitlich-spekulativen und selbstreflexiven, Bezug zum Forschungsobjekt.