Lässt sich Datenschutz durch Ethik ersetzen?

Der europäische Datenschutzbeauftragte Giovanni Buttarelli
(Wikipedia) veröffentlichte am 31 Mai 2016 einen knappen Essay mit dem Titel “Big Brother, Big Data and Ethics”, in dem er empfiehlt, die von ihm ausgemachte Steuerungslücke zwischen moderner Technik und Menschen durch Ethik zu schließen. Ich möchte diesen kurzen, aus meiner Sicht rhetorisch elegant geschriebenen, aber inhaltlich hoch problematischen Text nachfolgend kommentieren.

Der Text ist in vier knappe Abschnitte untergliedert, dessen Struktur ich übernehme. Ich empfehle, diesen Text von Herrn Buttarelli, der dem Umfang dieses Kommentars entspricht, parallel oder vorgängig zu lesen.

1) What is digital ethics?” Darauf gibt Herr Buttarelli keine Antwort. Es folgt jedoch eine Bekräftigung, dass es einer Antwort darauf bedarf.

Ich bestreite, dass es einer Antwort darauf bedarf und dass die Frage überhaupt relevant ist. a) Ethische Reflexion sind per Füller auf Papier lesbar die exakt gleichen, die am Bildschirm angezeigt werden. Es gibt in diesem Sinne keine analoge/digitale Ethik, übrigens ebenso wenig ein digitales Recht. b) Wenn man gutwillig ist, liegt eine Bedeutungsverschiebung nahe, indem man von einer Ethik des Digitalen sprechen könnte. Aus meiner Sicht gibt es auch keine spezifische Ethik des Digitalen im Unterschied zur Ethik des Analogen. Ethik ist eine Reflexion der moralischen Unterscheidung von gut und böse; sie bewegt entweder die Frage, ob diese Unterscheidung selber eine ist, die im Rahmen von gut und böse behandelt werden kann; oder sie behandelt als weitere die dialektische Variation, wie Böse das Gute ist und umgekehrt.

Der Subtext lautet: Das Recht reicht nicht mehr, “wir” brauchen eine Ethik! Insofern fehlt mir eine Begründung dafür, dass rechtlich institutionalisierte Anforderungen nicht mehr hinreichen und durch Ethik zu ersetzen sind. Machte man diese These mit, wäre bspw. konkret zu fragen: Welche Instanz dürfte die Kriterien für ethische Entscheidungen sowie die Verfahren zu deren Generierung und Diskussion ganz konkret und legitimierbar festlegen? Eine solche Instanz gibt es nicht, es bliebe das Ungefähre des Nichtadressablen und damit Nichtverantwortbaren eines Ethik-Diskurses. Was es jedoch gibt, um dieses Problem zu lösen, sind etablierte politische Prozesse für Kriteriendefinitionen und positives Recht.

Wer Ethik an die Stelle von Demokratie und Recht setzt, schwächt das Recht! Nicht das bestehende Datenschutzrecht ist das zu lösende Problem, wenn man Datenschutz Ernst nimmt, sondern es ist die mangelnde politische Entschiedenheit – und es sind gegenläufige politische Interessen politischer Machtinhaber – bei der Durchsetzung der Grundrechte von Menschen.

Für einen institutionalisierten Datenschützer ist Ethik zu empfehlen anstatt Rechtsanwendung einzufordern und mehr noch, durchzusetzen, ein geradezu katastrophales Statement, ein Offenbarungseid.

2) Human dignity in the digital age” – Es folgt leider keine nähere Bestimmung zur menschlichen Würde im Kontext des Vollzugs der Durchindustrialisierung der Weltgesellschaft, sondern nur eine Bekräftigung der Bedeutung von Würde mit der Formel: “Human dignity is the cornerstone of fundamental rights.” Ja, das ist richtig, zumal wenn man im Zuschnitt des Grundgesetzes argumentiert. Aber was soll das nun heissen, wenn im Folgenden weder von Würde noch von Grundrechten die Rede ist? Etwa: Wer noch in den Kategorien der konventionellen Menschenrechte anstatt in Ethik denkt, kann ja nur(?) die menschliche Würde zu Gesicht bekommen?

Dann fragt Herr Buttarelli weiter: “Can we introduce moral responsibility in the vacuum created between people and automated processes such as surveillance or data collection?” Welches Vakuum soll zwischen Personen und automatisierten Prozessen bestehen? Die Formulierung spitzt den Konflikt falsch zu. Diese Formulierung verschleiert, dass letztlich jeder automatisierte Prozess durch Organisationen entwickelt, hergestellt und betrieben wird. Es besteht genau kein Vakuum zwischen Organisationen mit ihren Verfahren und Techniken und den davon betroffenen Personen. Der Adressat des Datenschutzrechts sind exakt diese Organisationen, juristische Personen, weil diese es sind, die die Würde der betroffenen Personen antasten, es sind nicht Techniken an-sich. Es gibt das behauptete Regelungsvakuum nicht.

3) Technology as a driver and an actor” – Anstatt nun die gewohnte Karte “Privacy-Enhancing-Technology” auszuspielen, werden wieder problematische Engführungen und Fragen gestellt, etwa der Art: “But should ethical considerations determine the direction of innovation? Should human values play a part in the development of new technologies?” Ja, wäre irgendwie nicht schlecht, wenn menschliche Werte bei der Technikentwicklung eine Rolle spielen sollten. Die Frage lautet doch, wie Organisationen dazu gebracht werden können, exakt das menschlich Gewünschte zu tun! Wenn es jedoch nicht einmal gelingt, mit rechtlichen Anforderungen (Menschen- und Bürgerrechten, aktuell: DS-GVO), die bestmöglich legitimiert sind, und deshalb Bindewirkungen beanspruchen dürfen(!) und die die einzigen sind, die von Aufsichtsinstanzen festgestellt und eingeklagt und sanktioniert werden können, Innovation in eine menschenwürdige Richtung gelenkt werden können, wie soll es denn mit ethischen …. Ja was? Grundsätzen? Prinzipien? Überzeugungen? Diskursen gelingen? Man predigt in theologischen Kategorien, und gibt dafür die rechtlich bestens verankerten Anforderungen auf, weil man diese für zu schwach hält?

Die im Datenschutzrecht auskristallisierten Grundrechte sind, bei allen Unzulänglichkeiten im Detail, der politisch und rechtlich aussichtsreichste Versuch, dass menschliche Werte, wie sie von Menschenrechten eingefordert und von Verfassungen gewährt werden, tatsächlich eine Rolle bei der Entwicklung neuer Techniken, so wie sie Organisationen zu ihrem Vorteil nutzen, spielen können.

Wer Ethik predigt, schwächte jeden ernsthaften, d.h. demokratisch erzeugten und rechtlich institutionalisierten Regulationsanspruch gegenüber Organisationen.

4) Ethics and the law” – Dieser Abschnitt enthält immerhin eine interessante Frage: “But is it enough that a practice affecting our privacy, our personal data or both is legal? What if the law was to be the minimum standard?” Reicht das Recht, insbesondere dann, wenn es nur einen minimalen Standard an Anforderungen formuliert?

Ich sehe überhaupt nicht, dass bspw. die nun gültige DS-GVO einen geringen Standard formuliert, ganz im Gegenteil. Wesentliche Regelungskomponenten sind enthalten: Das Verbot mit Erlaubnisvorbehalt, Einwilligungen müssen zusätzlich zur Freiwilligkeit, Bestimmtheit und Vollständigkeit die Erforderlichkeit der Datenerhebung ausweisen; und es ist das vollständige Set der elementaren Schutzzielen enthalten, was gesellschaftlich und individuell wirkungsvolle Schutzmaßnahmen einzufordern erlaubt. Natürlich: Die DS-GVO wird in einer ersten Flut von Artikeln zermahlen; man kann beobachten, wie sich inbesondere Rechtsanwälte mächtig ins Zeug legen, um möglichst frühzeitig die für Organisationen vorteilhaften Interpretationen nahezulegen. Genau in dieser Weichmach-Tradition steht nun leider auch der Essay von Herrn Buttarelli. Wenn die DS-GVO als schwacher Standard erscheint, dann letztlich deshalb, weil die Aufsichtsbehörden, Staatsanwaltschaften und Gerichte bei der Durchsetzung des Datenschutzrechts versagen.

Und dann kann man auf Twitter zu diesem Statement von Herrn Buttarelli zustimmend lesen: “@EU_EDPS @Buttarelli_G #Ethics is definitely the new frontier for #DataProtection. We should all get involved!”

Diesen Tweet möchte ich zum Schluss zum Anlass nehmen, dass dieses wohlfeile “We should” ohne genaue Adressierung, wer mit dem “WIR” gemeint sein könnte, eine weitere problematische Facette hineinbringt, die auch Buttarelli rhetorisch durchgängig nutzt: Nein, bitte, WIR sollten uns nicht alle von Ethik in einen vermeintlichen Konsens einlullen lassen, wenn es zum einen klare rechtliche Anforderungen gibt und zum zweiten mit Schutzzielen und deren Operationalisierung mittels des SDM inzwischen sogar eine Methode zur Verfügung steht, um diese Anforderungen transparent und integer in technische Maßnahmen zu übersetzen.

Fazit

Rhetorisch sind die Statements von Herrn Buttarelli geschickt formuliert: Die Problembeschreibungen treffen zu, die zur Analyse empfohlenen Begriffe führen ins Voodoo, die empfohlene Medizin – es mit Ethikdiskursen anstatt Durchsetzung des vorhandenen Rechts zu versuchen – ist pures Gift.

Selbstverständlich müssen aufgeklärte politische Diskurse und reflektierte Abwägungen zum Verhältnis von modernen Informationstechniken und Menschen stattfinden. Datenschutz muss weiterentwickelt werden, selbstverständlich. Aber diese Diskurse und Reflexionen müssen dann über politische Entscheidungen und Programme in Gesetze münden, deren Umsetzung von Organisationen einzufordern und bei mangelnder Umsetzung zu sanktionieren sind. Letzteres passt politisch allerdings so gar nicht in die gegenwärtig neoliberale Landschaft, ganz im Unterschied zu bloßen ethisch begründeten Empfehlungen.

Wo nur Ethik ist, muss Recht erst werden. Ethik allein ist regulativ eine Luftnummer ohne kalkulierbare Wirkung, insofern wenig mehr als gar nichts.