Beiträge aus meinem Blog blog.maroki.de und blog2.maroki.de zwischen 2011 und 2019

• Das Facebook-Projekt (war: Die Facebook-Bewegung) (2011-0924)
• Der Facebook-Faschismus, V0.3a (2011-1125)
• Moderne Faschismus-Indikatoren, V0.2a (2011-1204)
• Facebooks Börsengang (2011-1204)
• Es ist klar, was zu tun ist. (2012-0522)
• Eine Ministerin lässt sich vor Karren spannen (2012-0522)
• Auch das passt... (2013-0131
• Ein bißchen Nachhilfe für Sascha Lobo (2014-0425)
• Wir sind weiter als selbst der gute Popdiskurs über Datenschutz vermutet... (2014-0606)
• Es geht nicht um Privatheit... Zur anhaltenden Armseligkeit des wissenschaftlichen und politischen Privacy-Diskurses (2015-0511
• Weiterhin kein Datenschutz bei der Telekom (2015-0817)
• Lässt sich Datenschutz durch Ethik ersetzen? (2016-0601)
• Prof. Sandel empfiehlt Scheisse (2016-0616)
• Kommentar zur digitalen Grundrechte-Charta (2016-1203)
• AnFIfF (2017-1031)
• Rezension des Buches: "Aleksandra Sowa: Digital Politics" (2017-1215)
• Sprungstöckchen (2019-0207)

Das Facebook-Projekt (war: Die Facebook-Bewegung)

(Original-Veröffentlichung am 24.09.2011)

Die RA Nina Diercks hat eine verdienstvolle Analyse zu den aktuellen Datenschutz-Einstellungen bei facebook unter dem Titel "Facebook bewegt sich doch" vorgelegt (Nina Diercks Webpage). Ich denke nicht, dass die Bewegungen der letzten Tage von facebook relevant sind und möchte das nachfolgend begründen.

Die Funktion des Datenschutzes besteht darin, die Macht von Organisationen über einzelne Personen zu beschränken, weil Organisationen (Verwaltung, Unternehmen, Wissenschaftsinstitute) strukturell immer im Vorteil sind. Der wesentliche Mechanismus zur Beschränkung dieser Macht ist die Zweckbindung bei der Erhebung und Verarbeitung personenbezogener Daten. Diese vorzunehmen wird Organisationen durch das Datenschutzrecht auferlegt. Eine Zweckbindung bei personenbezogenen Daten verträgt sich dabei, schon rein logisch betrachtet, nicht mit Vorratsdatenspeicherung, wie sie besonders aggressiv von facebook praktiziert wird. Keine Organisation - weder die staatliche Exekutive noch Unternehmen noch Forschungsinstitute - haben ein unmittelbares Interesse an Datenschutz. Im Gegenteil. So wie sie auch kein unmittelbares Interesse daran haben, Steuern zu zahlen oder die Umwelt zu schützen. Deshalb ist hier von etwaigen Selbstregulationsansätzen wenig zu erwarten.

Das Auferlegen und die Sanktionierung des Einhaltens der Zweckbindung ist zweifellos eine ordnungspolitische Einmischung des Staates in staatliche, private und wissenschaftlich ausgerichtete Organisationen und deren Umgang mit ihrem externen Klientel. Eine Zweckbindung lässt sich nicht privatrechtlich durch „Transparenz und Einwilligung“ ersetzen – was eine typisch amerikanische Lösung wäre. Entscheidend: Die Regelung der Zweckbindung - also die überprüfbare Festlegung der Daten, die verallgemeinerungsfähig begründbar erhoben, gespeichert und verarbeitet werden sowie die Abgrenzung zu benachbarten Zwecken - geht der Einwilligungsfähigkeit voraus. Auch das ist schon rein logisch begründbar: Die Vertragspartner müssen wissen, auf was sie sich einigen. Für "echte Informiertheit" eines jeden Bürgers, Kunden oder Patienten kann keine Organisation dabei aber wirklich sorgen. Transparenz ist eine Fiktion, die allerdings unerlässlich ist. Materiell ist somit überhaupt nichts an Datenschutz gewonnen, wenn nur einige Aspekte bzgl. Transparenz irgendwie besser erfüllt werden, die ohnehin nur bis zu einer gewissen Ebene des Sichtbarmachens erfolgen können.

Gleichwohl kann man in Bezug zur Steigerung der Transparenz viel tun. Eine materiell relevante Transparenz wiese zumindest das Interesse und den Zugriff verschiedener Organisationen an den Nutzerdaten aus. Bei facebook wäre das bspw. der Hinweis auf die CIA, die gemäß Adamnek (2010: Die facebook-Falle) vermutlich nicht aus rein ökonomischem Interesse zu den Risikokapitalgebern von facebook zählt. (Und was da alles im Hintergrund an staatlicher Überwachung allein in den USA abgeht, das weist dieser Artikel nach: Folge den Netzwerken. Auch die Computerbild macht das zum Angst erzeugenden Thema: Computerbild über SocialWebnutzung der Geheimdienste) Neben Sicherheitsbehörden interessieren sich aber gewiss nicht nur noch Marketingabteilungen für diese Daten. Es müssen sich ebenso Versicherungen dafür interessieren, die vom Marktdruck getrieben ihre Risiken mit Daten nicht nur von statistischen Kohorten, sondern sogar von den ganz konkret bei ihnen versichterten Personen kalkulieren können. Ein versicherungsmathematischer Traum!

Die Feststellung, dass facebook sich bewege, ist somit sogar dann, wenn man allein den Aspekt der Transparenz betrachtet, schlicht falsch. Eine kontrafaktische Verbesserung der Transparenz bei facebook zu behaupten, macht facebook akzeptabler, nutzt facebook politisch. Transparenz (a la "wir achten kein Briefgeheimnis" in den AGBen) ist nur eine Voraussetzung für das Ergreifen von Datenschutz-Maßnahmen, aber allein ohne Relevanz. facebook macht nach wie vor Pseudo-Datenschutz und spielt Datenschutzschmierentheater. (Hinweis: "Datenschutztheater bezeichnet eine Massnahme oder eine Sammlung von Massnahmen, die den gefühlten Schutz von Daten verbessern ohne dabei die Daten funktional vor Ge- oder Missbrauch zu schützen." (siehe: Diskussion), facebook ist Anti-Datenschutz, facebook will keinen Datenschutz, facebook will alle Daten aller Menschen. Das ist kein Spaß. Das ist das kristallin klar zu beobachtende facebook-Projekt (SPON über f8). Und es ist nicht das einzige dieser Art.

Rausgezoomt: facebook liefert die Daten zur Vermessung der Menschheit, ohne auch nur den Lendenschurz eines rechtstaatlichen Korrektivs anzulegen. Methodisch-statistisch betrachtet dürfte der Datenpool unterdessen repräsentativ für die Menschheit sein. Die Personenmodelle, die die Organisationen (Sicherheitsbehörden, Versicherungen und Banken, Energieversorger, Contentprovider, die Thinktanks der Großlobbies) an diesen Daten nun entwickeln, schlagen auf jede einzelne Person durch, ganz gleich, wie intensiv oder zurückhaltend sie das Internet nutzt. Die Daten sind da, sie sind bereits ausgewertet und werden absehbar semantisch immer intelligenter ausgewertet. Die Grenzen, die durch Gewaltenteilung, Demokratie, Markt und freier Diskurs gezogen sind und die die Freiheit der Individuen konstituieren, werden dadurch strukturell und operativ unterlaufen. Mit Folgen für das Individuum. Es ist wenig geholfen, wenn nun ein staatlich betriebens facebook mit den gleichen Verkettungsmechanismen aufgebaut werden sollte, um einer vermeintlich nationalen Souveränität willen. Die verführerisch sexy Funktionen sind auch gar nicht staatlich-rechtskonform umsetzbar. Es entsteht absehbar ein ubiquitärer Rechtfertigungsdruck für alle Menschen, der unvereinbar ist mit Freiheit und persönlicher Souveränität - noch literarisch tastend, aber moralfern und mit kalter Logik plausibel dargestellt in Juli Zehs (Corpus Delicti).

Die verführten facebook-Mitläufer haben sich fortan dafür zu rechtfertigen, dass sie bei facebook mitgemacht haben. Es kann keiner mehr sagen, er hätte es nicht gewusst.

Der Facebook-Faschismus, V0.3a

(Original-Veröffentlichung um 25.11.2011)

Ein befreundeter Datenschützer, Jurist von Profession, fragte mich:
"Könntest Du eigentlich einen Forderungskatalog an einen sozialen Netzwerkbetreiber formulieren damit sein Angebot datenschutz-konform wäre?"

Lieber X,
nein, denn ein solcher Katalog lässt sich gar nicht formulieren, weil schon der Ansatz, der bislang immer gut und konstruktiv war, in diesem Falle falsch ist. Die Anforderungskataloge die ich zu Social Networks kenne - zuletzt der noch relativ gute Beschluss des Düsseldorfer Kreises vom 22. November 2011 (Beschluss Düsseldorfer Kreis) - sind keine, die funktionieren können, weil der Betrieb eines sozialen Netzwerkes bereits strukturell unvereinbar ist mit dem Grundgesetz. Woran liegt das?

Das materielle Ziel des Datenschutzes besteht darin, den Betreiber dazu zu zwingen(?), dass er nachweisbar den Nutzer vor sich selber als Betreiber schützt. Die Organisation müsste gegen ihre eigenen Verwertungsinteressen agieren... wie wahrscheinlich ist allein das? Ich weiss anhand der eigenen ANON/JAP-Aktivitäten etwa zwischen 2000 und 2005, wie aufwändig Anonymisierung - als Entkopplungsinfrastruktur für gelingenden Markt, Politikteilnahme bzw. Gewaltenteilung und wirklich freien Diskurs - allein unter gesellschaftlichen Bedingungen herzustellen ist (Über die Funktionalität von Anonymität für die bürgerliche Gesellschaft (2003)). Hiernach müssen die Proxy-Server von verschiedenen, möglichst unabhängigen Organisationen betrieben werden, damit keine Rückverfolgbarkeit möglich ist. Innerhalb der Grenzen einer Organisation hieße Anonymität herzustellen, Gesellschaft zu simulieren. Und das ist aus Organisationssicht, die sich anhand von kalkulierten Entscheidungen reproduziert, geradezu perfekt unsinnig. Das kann man auch als Aufsichtsbehörde nicht fordern, weil das eine Organisation operativ zerstörte. Hardcore mit Luhmann formuliert: Datenschutz IST die Beobachtung der Differenz von funktionaler Differenzierung und Organisation im Medium der Person. Die Funktion des Sozialnetzwerkbetreibers ist: Alles mit allem zu verknüpfen und addressabel zu machen, knapp formuliert: Gesellschaft zu organisieren, also das Gegenteil in Perfektion. Mit der Folge, die vielen Identitäten einer Person - als politischer und als Verwaltungs-Bürger (citoyen/ bourgeois), als Kunde unterschiedlichster Unternehmen, als Teilnehmer unterschiedlichster Diskurse - zu einer Identität zu verschmelzen, wenn vielleicht auch nicht für andere, so doch für die Betreiberorganisation, und für andere Organisationen, die dem Betreiber Geld geben oder ihn staatlicherseits zur Herausgabe von Daten schlicht zwingen oder die Sozialforschung betreiben wollen, ohne diese in Wissenschaft zu wenden. Alle Ansätze und Versuche, ein Sozialnetzwerk wie facebook irgendwie kompatibel zum bisher gültigen Recht machen zu wollen, unterlaufen den materiellen Gehalt des Datenschutzrechts und die soziale Schutzfunktion des Datenschutzes, nämlich strukturell schwache Personen vor strukturell bevorteilten Organisationen zu schützen. Es ist eben nicht das vordringlichste Regelungsziel, auf was viele Anforderungskataloge fokussieren, nämlich die Nutzer voreinander zu schützen. Das wäre geradezu trivial und des Aufhebens nicht Wert, entsprechend legen sich Facebook und google neuerdings auch ins Zeug, für "Sicherheit" in ihren Netzwerken zu sorgen (mit Tipps in Berliner U-Bahn zur Bildung von Passworten! Wow!). So langweilig es ist, das ewig zu wiederholen: facebook ist das Problem. Facebook ist feinste Vorratsdatenspeicherung, letztlich auch und gerade für staatliche Sichereitsbehörden. Man könnte vermuten, dass auch das einer der Gründe dafür ist, warum man Facebook staatlicherseits gewähren lässt, obwohl Facebook sich offensichtlich nicht an deutsches Recht hält und kriminell agiert. Nicht nur China, sondern offenbar auch Frankreich hat inzwischen Agreements mit facebook und google auf die Herausgabe von Daten, für die sich deren Sicherheitsbehörden interessieren (Germany\'s War with Facebook and Googe over privacy). Rechtsdogmatisch maßgeblich: Grundrechte lassen nicht durch Verträge/Einwilligungen ausser Kraft setzen, zumal auch die Einwilligung bei facebook den rechtlichen Voraussetzungen zu deren Erteilbarkeit, nämlich Bestimmtheit und Informiertheit, nicht genügt.

Und noch etwas höchst Beunruhigendes möchte ich anmerken: Die sozialen Netzwerke sind die maximal mögliche Provokation des Rechts, der Politik, der Wirtschaft moderner Gesellschaften. Weil es genau EINEN herausgehobenen Beobachtungspunkt für das Ganze der Gesellschaft gibt. Und diesen gibt es seit geschätzt 100 Jahren in den modernsten westlichen Gesellschaften eigentlich nicht mehr. Mit allerdings zwei katastrophalen Unterbrechungen: Faschismus und Primitivstaatssozialismus. Und nun gibt es ihn wieder, den EINEN herausgehobenen Punkt, in einer noch einmal gesteigerten, globalen und atemverschlagenden Perfektion, nicht mehr mit Rückgriff auf den Volksempfänger, sondern auf das Internet. Sicherheitsbehörden, die in facebook ermitteln, müssen sich dabei auf Regeln einlassen, die ein Privatunternehmen eines anderen Landes formuliert. Wenn der Staat dieses Weghauen seiner legislativen, exekutiven und judikativen Souveränität wirklich merkt, könnte er mit einer um so gewaltigeren Gegenwucht reagieren, die wiederum symmetrisch katastrophal zu facebook wäre (oder dem schon so oft prognostizierten Nachfolger, der dann alles noch "besser" für den gedankenlosen, inkompetenten, naiven, an seinen Bürger- und Kundenrechten desinteressierten, grundverführten Netznutzer ohne Subjektqualität machte). Die Verfügung über den virtuellen Raum kollidiert mit der Verfügung über den materiellen Raum - und der Konflikt über die Hoheit des Raums bedeutet klassisch: Krieg. Es ist eben nicht mehr so, dass der konventionelle Staat davon ausgehen kann, dass die Verfügbarkeit über den materiellen Raum letztlich doch alles toppt. Facebook wird nach wie vor massiv unterschätzt. Spätestens im Falle des Kriegs zwischen den Domänen sind die Freiheitsversprechen, die im Konzept des Bürgers, Kundens und Subjekts bislang imaginiert enthalten sind, ganz offensichtlich nicht mehr haltbar. Diese müssten dann ihre Freiheiten unter für mich nicht mehr vorstellbaren Bedingungen zurückerobern. (Aber die Losung "Entnetzt Euch!", die dann nicht nur von wenigen Sicherheitsspezialisten, die der Tux-Wurm kirre machte, sondern von der neuen Analog-Avantgarde, die als Biedermeier-Analogon entstehen wird, formuliert wird, ist wiederum keine, der ich als Jemand folgen wollte, der nach wie vor die Netzrevolution (1996) abfeiert.)

Es sollte zumindest professionellen Datenschützern klar sein, worin die Funktion des Datenschutzes besteht, auf die das Datenschutzrecht eine Reaktion ist. Es ist nicht erst das Datenschutzrecht, welches das Datenschutzproblem konstruiert. Ich habe die Funktion des Datenschutzes 2008 durchdiskutiert, nicht am Beispiel von facebook sondern u.a. an den unique users von google (Datenschutz als Wächter funktionaler Differenzierung).

Herzlich und mit besten Grüßen
Martin

Moderne Faschismus-Indikatoren, V0.2a

(Original-Veröffentlichung am 12.04.2011)

Handelt es sich wirklich um Faschismus, was da mit den globalen SocialWeb-Platforms facebook und google aufzieht?

Ja.

Man wird einen neuen heraufziehenden Faschismus nicht bequemerweise daran erkennen, dass er sich erst einmal anhand von industriell verfertigten Massenmorden an einer Bevölkerungsminderheit von 6 Mio Menschen und bis zu 70 Millionen Kriegstoten ausweist. Und der vielleicht noch bequemer anhand eines "Führers" erkennbar auftritt, der sich zweifelhaft benimmt und vielleicht sogar einen Schnauzbart trägt, damit man so gar keinen Zweifel mehr haben muss, dass es sich um einen wirklich ganz bösen Despoten handelt. Man muss realistischerweise damit rechnen, dass ein neuer Faschismus ganz anders als bisher und doch so wie der alte den Zeitumständen entsprechend verführerisch daherkommt.

Zentrale Indikatoren eines "neuen" Faschismus, an dem man ihn erkennen könnte, könnten die folgenden sein:

• Eine totale Ideologie, z.B. der nach der totalen Transparenz der Menschen gegenüber Organisationen,
• keine Gewaltenteilung dort, wo die Regeln des sozialen Zusammenseins erdacht, entschieden und ausgeführt werden. Die Exekutive dominiert, qua effektiver Technik und Automatismen. Die Kontrolle der Exekutive ist undurchsichtig.
• keinen Marktmechanismus, denn Angebot und Nachfrage sind möglicherweise qua Überwachung durchkalkuliert oder da technisch zugänglich durchkalkulierbar,
li>keinen freien politischen Diskurs, weil eine zentrale Distanz entscheiden könnte, war zugelassen ist und was nicht. Foren werden im Zweifel vom Provider ansatzlos geschlossen.
• keinen freien Diskurs in Wissenschaft und Kunst, weil immer Unsicherheit darüber bestehen muss, ob tatsächlich nur der stumme Zwang des besseren Arguments oder der schöneren Anmutung den Ausschlag gibt und nicht der Provider, über dessen Infrastruktur kommuniziert wird,
\
• keine Achtung der Bürgerrechte, und z.B. kein Briefgeheimnis mehr gilt und keine Unverletzlichkeit der eigenen Domäne,
• keine Medienfreiheit, weil die Zulassung eines jeden neuen "Senders" und "Empfängers" vom zentralen Provider zugelassen werden muss oder eben nicht
• Spitzeltum, wenn Plattformbetreiber sowie die vom Plattformbetreiber abhängigen Sicherheits- und Geheimdienste, Marketingsabteilungen, Sozialversicherungen, Energie- und Ökoregulatoren, Psycho- und Sozialforschung sämtliche Kommunikationen, Inhalte und verbindungen, im Grundsatz von einem Punkt aus beobachten können, über die Preisgabe von Informationen, über die Qualität preisgegebener Informationen, deren Integrität, Validität und Reliabilität, entscheiden.

Entscheidend: Eine zentrale Organisations-Instanz bestimmt allein sämtliche Regeln der gesellschaftlichen Kommunikation, der Kommunikation zwischen Organisationen und Personen sowie bei Interaktionen von Personen. Sie bestimmt was zu zusehen ist und was nicht.

Man halte das Ausweisen dieser Eigenschaften eines Neuen Faschismuses gegen das Licht der Wikipedia-Einträge zu Totalitarismus und Faschismus. Wikipdia zu Faschismus

Dabei könnten die folgenden Prüf-Überlegungen angestellt werden:

• Sind die obigen Bestimmung, in Bezug auf die Wikipedia-Ausführungen, auf eine angemessene Weise abstrahiert und konzentriert?
• Sind die verbliebenen Differenzen zwischen obiger Bestimmung und den historisch-empirischen Bestimmungen (Wikipedia nennt Arendt, Kielmansegg, Friedrich/Brzezinski) dem Umstand geschuldet, dass es sich um eine neue Form des Faschismuses handelt, aber der alteingeführte Begriff kann trotzdem genutzt werden?
• Sind die Differenzen des historischen und des neuen Faschismuses doch so stark ausgeprägt, dass ein neuer Begriff zu rechtfertigen ist bzw. eingeführt werden sollte? Zum Beispiel der des Global-Fundamentalismus?

Im Moment scheint mir der Begriff "Faschismus" angemessen zu sein, weil er inhaltlich schon mal Vieles auf einen bekannten und reflektierten Begriff bringt und somit zunächst für eine Wiedererkennbarkeit sorgt. Natürlich hat er auch eine noch immer funktionierende Alarmierungsfunktion und sorgt (bislang noch) für Aufmerksamkeit.

Um es scharf soziologisch in Bezug zu facebook zu formulieren: Es handelt sich hierbei um eine Simulation von Gesellschaft ("alles scheint möglich zu sein") in Organisation ("facebook" und wer immer dahinter steckt) mit den Mitteln der Interaktion ("Quatschen in der Welt der Freunde"). Oder wie der Spiegel formuliert (DER SPIEGEL, Nr.49/5.12.2011, S. 75): "Wer bei Facebook ist, soll alles, was er im Internet tut, bei Facebook tun. Das ist der Plan." (Der Spiegel-Artikel ist unbedingt lesenswert.) Das "alles" sollte man Ernst nehmen.

Facebooks Börsengang, V0.3a

(Original-Veröffentlichung am 12.04.2011)

Wie passt der Börsengang von facebook zur These, dass facebook den neuen Faschismus bringt?

Beide passen perfekt zusammen.

Seit gut einem Jahr heisst es: Facebook will an die Börse gehen. Wenn 1% der inzwischen 800 Millionen Facebook-Nutzer zeichnen, sind das 8 Millionen Anteilseigner. Wenn jeder einen Anteil für 1000 Euro zeichnet, ist das eine Einnahme von 8 Milliarden, von 10 Milliarden ist in den Berichten die Rede. Das ist viel Geld, um weitere verführerische Bespitzelungstechniken für die davon sich wenig irritiert zeigenden facebookerianer zu entwickeln. (Manager-Magazin zum Börsengang / Spiegel-Online zum Börsengang)

Aber etwas anderes ist aus meiner Sicht an diesem Börsengang mindestens genau so wichtig zu bedenken: Es gäbe dann 8 Millionen Menschen, die nicht mehr nur Nutzerkunden, sondern Miteigner von facebook wären, die damit ein massives Interesse haben, dass es Facebook gut geht. Vergleicht man diese Konstruktion zum historischen Faschismus, dann braucht es keinen Überverführervater mehr, es braucht auch keine Imagination eines Volkskörpers, auf die die Kollektivmitglieder einzuschwören sind. Eine Aktiengesellschaft mit einer derartig breit gestreuten Massenbasis ist eine geradezu fantastische Konstruktion, um sowohl in ökonomischer als auch politischer und kultureller Hinsicht weiterhin noch erfolgreicher als bislang durch brainwashing Gefolgschaft einfordern zu können. (Das brainwashing funktioniert deshalb, weil facebook seinen Nutzern zu halten verspricht, was jeden interessiert: Kontrolle über die eigene Reputation zu haben und andere besser beobachten zu können als selber beobachtbar zu sein. facebook ist die Inkarnation von Macht über andere. Und das bedeutet, mit Foucault gewendet: Die Motivlage ist Sex, die Methode ist das Panopticum.)

Die Facebook-Ideologie wird in Deutschland durch eine lautstarke Spackeria verbreitet, die sich selber als Kommunikations- und Politikavantgarde inszeniert. Flankiert wird das naive, analytisch und visionär talentbefreite Treiben weniger Datenschutzkritiker durch Medienanwälte, die die Interessen der großen Industrie durchzusetzen bereit sind und ohnehin jeder staatlichen Deregulierung das Wort reden, um mit Verträgen ungleich leichter ihre einseitigen Risikoabwälzungen durchzusetzen. Die Staatskanzlei Schleswig-Holstein kämpft ebenso wie viele Webseitenbetreiber mit "Like-It-Button" dafür, facebook weiterhin Daten anliefern zu dürfen, wenn sie doch dafür nur ihre insights bekommen. Facebook ist der Führer, und fast alle folgen. Und alle facebookerianer sind dann auch unmittelbar zum Führer. Facebook ist das organisierte Gleichschalten aller gesellschaftlich bislang voneinander unabhängig agierenden Organisationen und Funktionen, im polit-ökonomischen Interesse von facebook. Mit der dann absolut schlüssigen Ideologie, dass privacy, als Schutz des Bürgers vor überstarken Organisationen wie facebook, old school sei. Herr Zuckerberg ist reich, und die CIA agiert als Welt-Gestapo und -Stasi zugleich, lenkt zentral die Staaten und Organisationen dieser Welt und hält die Ich-schwachen facebookerianer ("Salatköpp", danke SPIEGEL) durch weitere schöne Spiele bei guter Laune.

Kulturell geht dies einher mit einer Umwertung aller Werte (Nietzsche): So schleicht es sich als akzeptabel und normal ein, dass der facebook/CIA alles belauschen kann und vermutlich auch belauscht und auswertet. Die Opfer liefern selber ein, das ist sozialtechnologisch so genial wie die Quasi-Selbstorganisation der KZ, deren tödlicher Betrieb von relativ wenigen Wachleuten aufrecht erhalten wurde. Es stellt sich kein Schrecken darüber mehr ein. Denn es wird nur die individuelle Betroffenheit gesehen. Weist man in Gesprächen darauf hin, dass facebook in seinen AGBen das Briefgeheimnis nicht achtet, wobei diese Transparenz allein schon als datenschutz-compliant herhalten soll, erfährt man lapidar: Man selber sei ja viel zu uninteressant und liefere außerdem kaum Daten an, man wolle doch nur bequem mitbekommen, wo die nächste Party sei. Der bislang erschreckende Umstand des Universalbelauschtseins verliert seinen Schrecken, weil das Schreckenswürdige nicht mehr strukturell gewendet werden kann, "Ich und mein Magnum". Es wird eine Abgeklärtheit demonstriert, dass man ohnehin davon ausgehe, dass Geheimdienste alles mitläsen und sowieso nur das passiere, was letztlich die Globalplayer wollen. Die facebookerianer richten sich so in den faschistoiden Verhältnissen ein. Das ist ein Einrichten, wie es unter den Nazis und den Primitivstaatsozialisten ein notwendig alltägliches Verhalten von Menschen war. Es gibt weder einen Aufschrei, wenn darüber berichtet wird, dass seitens amerikanischer Unternehmen im Modus der Selbstverständlichkeit, schlicht unter Hinweis auf den patriot act, auf Dateien in Cloudspeichern zugegriffen wird oder millionenfach bei Smartphones mitgelesen wird oder zumindest gelesen werden könnte. Es gibt nur ein müdes journalistisches Abhandeln, etwa im Heise-Verlag, der inzwischen auch lieber das facebook-Lied singt und Datenschutz als veraltet jagd. (Carrier-IQ). Da agiert DER SPIEGEL schon bissiger, wenn er schreibt (DER SPIEGEL, Nr.49/5.12.2011): "Facebook ist keine Internetfirma, sondern ein Quasi-Staat im Internet." (S. 80) Der sogar eine eigene Währung ausgibt. "Wer bei Facebook ist, soll alles, was er im Internet tut, bei Facebook tun. Das ist der Plan." (S. 75) Das ist die Simulation der Gesellschaft in den Grenzen einer Organisation. Und das ist Faschismus.

Es gibt aus meiner Sicht unter keinen Umständen eine Rechtfertigung für Zugriffe von SocialWeb-Betreibern, von Geräteherstellern, Netzwerkprovidern oder Staaten auf die Daten von Personen, zumal auf Geräten, die Eigentum der Personen sind. Die Verantwortlichen solcher Spitzel-Organisationen agieren kriminell und sind schlicht entsprechend zu behandeln. Das sind keine Kavaliersdelikte, nur weil sie massenhaft und inzwischen als eingeschliffene Routinen passieren. Es werden Bürgerrechte außer Kraft gesetzt. Damit brechen soziale Schutzdämme, politisch, kulturell, rechtlich, weltweit in den modernsten Gesellschaften. Es ist so, als ob wir uns daran gewöhnen sollen, dass moderne Gesellschaften, die sich vollkommen von Kommunikationstechniken abhängig machen, nur um den Preis der Vollüberwachung zu haben seien. Anonymität ist Grundfunktionalität im Markt, bei politischen Wahlen, im freien Diskurs. Wer diese bislang gesellschaftlich bestehende Anonymität solcher Strukturen unterläuft, indem er sich bspw. durch automatisiertes Verschaffen von Passworten Zutritt zu persönlichen Kommunikationen verschafft, so wie es facebook bei der Anmeldung eines neuen Accounts macht, unterläuft die Quellen der Freiheit und Selbstbestimmtheit von Personen. Das ist kriminelle, strukturelle Gewalt.

Im weltweiten Vergleich scheint es dabei noch so, als ob in Deutschland der Widerstand gegen facebook und google noch am ausgeprägtesten ist. Was in England offenbar auf Verwunderung trifft. Dort wird in einem Bericht über Deutschlands Krieg mit facebook und google auf den Umstand hingewiesen, dass Deutschland historisch über besondere Erfahrungen in Bezug auf Faschismus verfügt. Aufallend sei, dass andere Staaten nicht wie Deutschland zumindest ein bischen auf Distanz zu den Aktivitäten von facebook und google gehen, stattdessen suchen sie deren Nähe. Nicht nur China sondern offenbar auch Frankreich haben ein Agreement, dass Sicherheitsbehörden jederzeit und ungehindert an gewünschte Daten herankommen. Unter Letztentscheid und Aufsicht von facebook, logisch. Der Autor beginnt darüber zu spekulieren, dass andere Länder dem deutschen Beispiel folgen könnten. Und zwar beschämt, weil so spät aufgewacht. (Deutschlands Krieg mit facebook und google)

Inzwischen wurde ich darauf hingewiesen, dass sich die Autoren des Spiegel-Artikels vermutlich bei einem ebenso lesenswerten Artikel der fastcompany bedient haben dürften (The Great Tech War Of 2012).

Es ist klar, was zu tun ist.

(Original-Veröffentlichung am 22.05.2012)

Ich möchte auf einen ausgezeichneten Artikel von Christoph Kappes aufmerksam machen, der die Rolle des Internet bzw. die Subrolle von Facebook für die arabischen Revolutionen analysiert. Leider bin ich erst jetzt auf diesen aufmerksam geworden. Er schreibt: Wir müssen also diskutieren, was morgen werden soll. Es ist denkbar, dass das Internet für freie Meinungsäußerung überall auf der Welt eines Tages unbenutzbar wird, wenn wir Technokraten nicht gesellschaftlich in ihre Schranken weisen und von Sicherheitsfanatikern nicht immer wieder eine Rechtfertigung für ihre Eingriffe in Freiheitsrechte verlangen – was hierzulande wohl ungeheuer revolutionär klingt, aber schon immer unbestrittene Meinung in der Grundrechtsdogmatik ist, die „Verhältnismäßigkeit“ lässt grüßen. Hier geht es nicht um einen gesellschaftlichen Nebenschauplatz. Es geht zum ersten um das Primat des Sollens gegenüber dem Können, zum zweiten um Freiheit versus Sicherheit (Sicherheit ist kein gleichrangiges Rechtsgut!) und drittens um eine Betrachtung der ganzen Problematik aus einer historischen Perspektive (bedenkt man die Dauer möglichen Datenmissbrauchs: ein Menschenleben, von heute an). Was sollen wir in 80 Jahren dürfen, wenn jeder seine Videodrohnen hat? Steigt die Mißbrauchsgefahr des Internets, weil es weiter in die Wirklichkeit dringt, mit seinen Sensoren und Aktoren? Man muss kein „Matrix“-Fan mehr sein, um die Dystopie des digitalisierten Totalitarismus für möglich zu halten.

(Der Artikel von Christoph Kappes)

Das ist klug und korrekt. Dann steigen wir doch nach über einem Jahr erneut in die Diskussion ein, was wir bereits heute dafür tun können, so dass die Wahrscheinlichkeit, dass diese Dystopie morgen eintritt, verringert wird.

Es gibt ja vernünftige Maßstäbe für Anforderungen, die Organisationen in einem demokratischen Rechtsstaat erfüllen müssen. So fordert das Datenschutzrecht Transparenz, Zweckbindung und Betroffenenrechte ein. Im Kontext der Datenschutzforschung wurden 2009 systematisch Datenschutzziele destilliert, die diese Anforderungen in operationalisierbarer Form formulieren, die Organisationen(! Nicht: irgendwie DAS Internet, sondern z.B. facebook, google+, twitter..., Verwaltungen, Versicherungen, Nachrichtendienste, Forschungsinstitute, Provider, Arbeitgeber...) zu erfüllen haben. Und zwar auch und gerade dann, wenn diese Internet nutzen wollen. Diese Schutzziele bilden die operative Ergänzung der "Anforderungen an eine vernünftige Rede", wie sie in der "Theorie des Kommunikativen Handelns" (Habermas 1982) formuliert wurden. Die Geltung dieser Anforderungen lassen sich vernünftigerweise nicht negieren. Theoretisch schärfer gefasst lässt sich mit der Theorie "Sozialer Systeme" (Luhmann 1982) formulieren: Der abgestimmte Kanon der sechs elementaren Schutzziele bildet Anforderungen, die durch die funktionale Differenzierung moderner Gesellschaften entstehen und in Organisationen die Form von Steuerungsgrößen für Prozesse, Daten und IT-Systeme annehmen. Die Schutzziele erzeugen Entscheidbarkeiten im Hinblick auf Beherrschbarkeit der Prozesse und Fairness im Betrieb. (Artikel zum "Konzept der Schutzziele")

Was ist nun zu regeln? Eine Organisation, die nicht in der Lage ist, anhand der sechs elementaren Schutzziele - Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit und Nicht-Verkettbarkeit - nachzuweisen, dass sie ihre Dienstleistung mit Personenbezug zu sichern versteht, darf ihre Dienstleistungen nicht über das Internet anbieten. (Eine solche Organisation ist so ungeeignet wie ein Gaserzeuger, der weder sichere Gasleitungen zu legen noch einen gesicherten Gasgebrauch zu implementieren weiss. Das war die inakzeptable Situation in London zur Mitte des 19. Jahrhunderts, als Gasexplosionen zum Alltag gehörten. (Paraphrase auf Schröders Statement zu facebook: "Gasexplosionen sind Realität! Es gilt, verantwortungsvoll damit umzugehen.")) Eine Organisation darf das Internet nur dann nutzen, wenn sie den Betroffenen und Aufsichtsbehörden gegenüber nachweist, dass sie in diesem Medium ihre Prozesse entsprechend den sechs Mindestanforderungen beherrscht und fair agiert. Letzteres verlangt nur, dass eine Organisation sich an das Recht hält und bei Konflikten einen Prozess zu führen auch für arme Betroffene möglich ist. Insofern reichte bereits die Feststellung, dass facebooks Datenverarbeitung für Betroffene und Aufsichtsbehörden nicht transparent ist, um rechtlich begründet durchzusetzen, facebook aus dem DNS auszutragen. Und facebook wäre nicht mehr erreichbar. "Es ist ganz leicht", möchte man Frau Merkel zurufen, "wenn Sie es denn Ernst meinten". Und Herr Voßkuhle hat vor nunmehr einem halben Jahr in Aussicht gestellt, dass sich das Bundesverfassungsgericht mit facebook beschäftigen wird. Das Problembewusstsein ist natürlich voll entfaltet, aber: Ist seitdem etwas passiert? (Voßkuhle über facebook in DER ZEIT)

Und damit das Ganze auch tatsächlich mit technisch-organisatorischen Maßnahmen umsetzbar ist, wurde auf der Grundlage der Schutzziele ein standardisiertes Datenschutzmodell entwickelt, dessen Grundrisse in diesem Aufsatz formuliert sind: Rost, Martin, 2012: Standardisierte Datenschutzmodellierung; in: DuD - Datenschutz und Datensicherheit, 36. Jahrgang, Heft 6: 433-438.

Es ist klar, was zu tun ist.

Eine Ministerin lässt sich vor Karren spannen

(Original-Veröffentlichung am 22.05.2012)

Laut Heise-Meldung macht sich Familienministerin Schröder zusammen mit facebook für die Nutzung von facebook durch Jugendliche stark. "Gerade Jugendliche müssten deshalb fit gemacht werden, selbstbestimmt und verantwortungsbewusst damit umzugehen. Hier sind neben Eltern und Pädagogen auch die Plattformbetreiber in der Pflicht." (Heise-Meldung vom 22.5.2012) Ob die Ministerin erklären könnte, wie ein fitter Umgang mit facebook aussehen könnte? Und was sollen Plattform-Betreiber tun? Man kann facebook (und google+) jedenfalls weder selbstbestimmt noch verantwortungsbewusst nutzen.

Frau Schröders Pflicht wäre es insofern gewesen, erst einmal selber verantwortungsvoll zu agieren und zuallererst auf die kriminellen Machenschaften von facebook hinzuweisen und von der Nutzung dieses Dienstes abzuraten, anstatt facebook mit der Reputation einer Ministerin zu rechtfertigen ("Soziale Netzwerke sind Realität."). Dass facebook den Bogen nassforsch (immer noch weiter) zu spannen versucht, ist die eine Seite. Die andere Seite ist das Fehlen offenbar jeglicher Sensibilität und Urteilsfähigkeit ausgerechnet einer Ministerin für Aktivitäten einer Organisation, die unvereinbar sind mit Rechtsstaatlichkeit, Demokratie, Gewaltenteilung, Markt und freien Diskursen. Dass eine Ministerin sich gemein macht mit facebook-Kriminellen ist ein Skandal, der unter normalen politischen Umständen zu sofortigen Rücktrittsforderungen führen müsste. Ob solche Forderungen nun zustandekommen, ist ein Indikator für die Wachsamkeit der Opposition. Immerhin: Die technik-affine und bürgerrechtlich wachsame Fraktion der Piraten in Schleswig-Holstein nutzt facebook inzwischen nicht mehr.

Oder steckt doch noch etwas ganz anderes dahinter und die einfältig erscheinende Frau Schröder lässt sich stattdessen kalkuliert auch noch ganz anders instrumentalisieren? Wenn Frau Schröder diese Kampagne, facebook endlich salonfähig zu machen überleben sollte, würde dann eine Pressemitteilung wie die nachfolgende, die sagen wir ganz gut im Herbst 2012 erscheinen könnte, überhaupt noch Verwunderung oder gar Entsetzen und Proteste auslösen?

"Die Bundesregierung erwägt eine Vereinbarung zu treffen, wonach facebook verpflichtet wird, die Profilinformationen der bei facebook angemeldeten Deutschen Staatsbürger an die Deutschen Sicherheitsbehörden zu spiegeln."

In den USA ist die entsprechende Kampagne bereits durchgelaufen, mit den backdoors fürs FBI. Und ganz eigentlich spielt das aber fast keine Rolle mehr, wenn es stimmt, was Golem titelt: Deutsche Geheimdienste können PGP entschlüsseln. Die Befassung mit facebook lenkt so gesehen nur ab.

Was verbleibt noch als nur hoffen zu können, dass die wenigen verbliebenen, ausgewiesen rechtsstaatlich sensiblen, intelligenten und inzwischen wohl auch als mutig zu bezeichnenden Politiker wie Aigner und Leutheusser-Schnarrenberger nicht untergepflügt werden und zumindest rechtzeitig anschlügen?

Auch das passt...

(Original-Veröffentlichung am 31.01.2013)

Ein offenbar in den Diensten des Tagesspiegels stehender Journalist weist darauf hin, dass mein Geschreibsel hier über Facebook verwirrt und ich beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein beschäftigt sei, das bekanntlich von Dr. Weichert geleitet werde, dessen Lieblingsfeinde ja facebook und google seien. Beide würden wir uns vor allem unserem Antiamerikanismus hingeben, und Weichert obendrein nicht seinen eigentlich Job machen.

Ich möchte dazu nicht mehr sagen als dass in Bezug zu mir jede/jeder selber meine Argumente im Blog prüfen und ggfs. mit einer kritischen Gegenrede entkräften kann. Wenn aber anstatt zu argumentieren nur der Autor als verwirrter, emotionaler Spinner diskreditiert wird, dann passt auch das, was mich natürlich wenig erstaunt, rhetorisch gut in den von mir begrifflich abgesteckten Analyserahmen.

Ein bißchen Nachhilfe für Sascha Lobo

(Original-Veröffentlichung am 25.04.2014, Version 2.1)

Auch an Sascha Lobo ist das Deregulierungs-Brainwashing der vergangenen 40 Jahre nicht spurlos vorüber gegangen. Der Aufklärer Sascha Lobo hat in den vergangenen drei vier Jahren enorm dazugelernt, der bei einigen Fragestellungen auch mal ein bißchen Nachhilfe gebrauchen kann. Vielleicht ist das jetzt der richtige Zeitpunkt, wenn Sascha Lobo anfängt, nicht nur zu skandalisieren, sondern sich angesichts der anstehenden großen Konferenz zur globalen Vernetzung der Frage stellt: Was ist zu tun? (Das Netz braucht eine Internet-Uno)

A) Zur Einstimmung eine Paradoxie: Wenn der liebe Gott alles kann.... kann er eine Mauer bauen, die so hoch ist, dass er selber nicht drüber springen kann? Moderne Kalküle "gründen" auf Paradoxien wie diesen, nicht auf letzten, Zweifel entzogenen, nun aber mal ganz echten Gründen. Moderne Kalküle verstecken seit Gödel ihre Paradoxien nicht länger, weil es erkenntnistheoretisch albern geworden ist, vielmehr nutzen sie deren beunruhigendes Potential. Das gilt auch fürs moderne Staatsverständnis. Der Datenschutz ist ein Indikator dafür.

B) Der moderne Staat ist so verfasst, dass er seinen eigenen Aktivitäten nicht über den Weg traut. Das genau ist der strukturell wesentliche Unterschied zum Absolutismus, der Vertrauen schlicht beanspruchen muss. So hat die Institutionalisierung des Datenschutzes in den 70er Jahren als ein staatlich organisierter Zweifel des Staates gegen sich selber begonnen. (Bitte den vorigen Satz erneut und den nachfolgenden Satz zwei Mal langsam lesen, und versuchen zu verstehen). Grundrechte sind Abwehrrechte des Bürgers gegen den Staat; dabei wirken Grundrechte auch auf Rechtsverhältnisse zwischen Privaten ("Drittwirkung der Grundrechte"). Was folgt daraus? Unter anderem das folgende:

Ein Staat muss stark sein, um Grundrechte normativ setzen und deren Beanspruchung durch den einzelnen Bürger auch gegen sich selber gewährleisten zu können. Der moderne Staat ist insofern beides zugleich: Der einzige Quell und Garant und zugleich der größte Feind der Grundrechte. (Ja, diese Paradoxie gilt es als moderne Denkanforderung auszuhalten.) Sascha Lobo zeigt in seiner Kolumne kein in dieser Hinsicht hinreichend konturiertes Verständnis vom modernen Staat in einer "funktional differenzierten Gesellschaft" (Luhmann). Weshalb Sascha Lobo als Rettungsanker für eine Legitimationsquelle zur Verlegenheitsfloskel "Zivilgesellschaft" greift - was ihn ja immerhin verlegen macht, wie er aufrichtigerweise bemerkt. Die wie auch immer ausgebildete Exekutive einer Zivilgesellschaft muss erst einmal dieses Niveau erreichen, doch sie würde sich vermutlich schlicht an der Position der Guten sehen. Weil.... ähmm.... nee... ist ja klar.

Insofern: Ein moderner starker Staat ist gefragt! Was für eine Zumutung... für die Mental-Kinder von Margret Thatcher. Und das heisst: Ein Staat mit einem tatsächlich bestehenden Gewaltmonopol, mit Gewaltenteilung, Rechtstaatlichkeit und Demokratie. Einen solchen Staat gibt es bislang allerdings nur auf dem Reissbrett der Aufklärung:

• Der Deal zwischen Bürger und Staat bzgl. des Gewaltmonopols ist derzeit mit Bezug auf Internet hinfällig. Der Staat tut nichts gegen die informatorische Gewalt, die derzeit eine Gewalt der Stärkeren ist. Selbst die wenigen über Zweifel erhabene Datenschützer geben länger schon die Losung aus: Die Bürger sollen sich informatorisch selber bewaffnen ("Selbstdatenschutz") - dabei haben die Bürger, Kunden, Patienten... Menschen, Individuen, Subjekte überhaupt keine reelle Chancen gegenüber den Organisationen, nicht den Sicherheitsbehörden, nicht den globalen Technikunternehmen, nicht den googles und facebooks, aber auch nicht den Banken und Versicherungen.
• Gewaltenteilung findet nicht statt. Die Exekutive ist in Form der Geheimdienste, auf die die anderen Sicherheitsdienste zugreifen können, vollends aus dem Ruder gelaufen. Die unteren Instanzen der Gerichtsbarkeiten haben Angst vor den globalen Konsequenzen ihrer als lokal verstanden Entscheidungen.
• Es wird offensichtlichst gegen Datenschutz als "Recht auf informationelle Selbstbestimmung" fortgesetzt und ungeahndet verstoßen. Die einzigen Organisationen, die sich leidlich um die Erfüllung von Datenschutzanforderungen auf einem relativ reifen Niveau kümmern, sind deutsche Kommunen.
• Demokratische Entscheidungsverfahren sind eine Farce, wenn die Behörden der Exekutive die Legislative und Jurisdiktion dominieren.

Was darf man in dieser Perspektive nun von der Netmundial tatsächlich erwarten? Ich vermute und prognostiziere: Gar nix. So wie alle anderen Veranstaltungen dieser Art in den letzten Jahren auch für die Katz waren. Sie wurden nur immer pompöser, alle mit dem Anspruch, nun aber verfahrenstechnisch wirklich alles richtig gemacht und jeden beteiligt zu haben. Nur: Die Inhalte fehlen. Diese stellen sich nicht von selbst ein.

Wir brauchen außerdem keinen zentralen Weltstaat, auf den muss man nicht als letzten legitimen Normenspender warten, wenn die Staatenverbünde es irgendwie nicht hinkriegen. Den will man doch auch politisch gar nicht, nur weil er verspricht, dass Normen und Logik dann aus einem Guss sein könnten. Rein gar nichts spricht dagegen, dass Deutschland, oder besser: die EU einfach mal anfangen, mit der feinen Blaupause der Komponenten an den Spiegelstrichen im vorigen Abschnitt Ernst zu machen. Diese Komponenten sind ja bedrückend langweilig und sattsam bekannt. Aber sie sind eben noch keine Realität.

Stellt sich die Frage: Womit denn nun inhaltlich anfangen? Was gilt es denn zu regeln? Darauf zu setzen, dass allein die Möglichkeit zu einem fair besetzten, zivilgesellschaftlichen Diskurs in einem offenbar hinreichend souveränen Land wie Brasilien - im Unterschied zu Deutschland - schon zu einem verallgemeinerungsfähigen Ergebnis führe, wenn man nun aber wirklich mal alle Stakeholder aufeinanderknallen lässt oder wirklich alle alle irgendwie guten NGOs zusammenruft, verfiele allerdings einer schlechten, romantisch verklärten Diskursbesoffenheit. Was genau ist inhaltlich vernünftigerweise zu fordern... und zwar so, dass es auch praktisch umsetzbar ist?

C) Die operationalisierbaren Kernforderungen sind aufgrund der theoretisch anreflektierten Erfahrungen mit Datenschutz - also dem erfahrenen, operativen Arm des Grundrechteschutz des Bürgers und Kundens vor Staat und Unternehmen - aus den vergangenen 40 Jahren die folgenden:

1. Kommuniktionssysteme sind so zu betreiben, dass sie für jeden in gleicher Weise verfügbar sind. (Netzneutralität als Verfügbarkeitsaspekt)
2. Kommunikationssysteme sind so zu konstruieren und zu betreiben, dass sie genau das und nur das machen, für was sie als Zweck ausgewiesen sind. (Integritätsanforderung)
3. Kommunikationssysteme sind so zu konstruieren und zu betreiben, dass nur diejenigen Kenntnis von Kommunikatonen nehmen können, die Sender und Empfänger intendieren (Vertraulichkeitsanforderung)
4. Kommunikationssysteme sind so zu konstruieren und zu betreiben, dass sie prüfbar sind. Und zwar prüfbar für die Betreiber der Systeme, die Nutzer der Systeme und für die Kontrolleure der Systeme, die stellvertretend für das verallgemeinerungsfähige gesellschaftliche Interesse die Systeme im Expertenmodus prüfen. (Transparenzanforderung)
5. Kommunikationssysteme sind so zu konstruieren und zu betreiben, dass sie jederzeit verändert und grundsätzlich gestoppt werden können. (Interventionsanforderung)
6. Kommunikationssysteme sind so zu konstruieren und zu betreiben, dass Teile von ihnen voreinander isoliert werden können. (Nichtverkettbarkeitsanforderung)

Das war es im Wesentlichen. Weitere Anforderungen lassen sich aus diesen sechs ableiten. Und wieder gilt: Diese Anforderungen stehen in einem Spannungsverhältnis zueinander, drei davon privilegiert in einer Achse, man kann nicht alle Anforderungen gleichzeitig in hohem Maße umsetzen. Wieder gilt es die Differenzen der Moderne auszuhalten. Jede dieser Anforderungen ist aber durch konkrete Maßnahmen umsetzbar. Wo die angemessenen Arbeitspunkte dieser Kompromisse liegen, gilt es politisch auszuhandeln und dann modernstaatlich rechtlich abzusichern und operativ für Datenbestände, IT-Systeme und Prozesse umzusetzen.

Und woher kommt die Sicherheit, dass es nun genau diese sechs Anforderungen sind?

D) Diese sechs elementaren Anforderungen an Kommunikationssysteme komplementieren die "Geltungsanforderungen an eine verünftige Rede", wie sie Habermas Ende der 70er Jahre für die "Sinnebene" formuliert hat, auf der operativen Ebene. Die Umsetzung der Habermaschen Geltungsanforderungen an die Vernünftigkeit von Kommunikationen sind angewiesen auf die praktische Umsetzung der sechs Elementaranforderungen für technische Kommunikationssysteme. Man kann bspw. keine Wahrheit seiner Aussage beanspruchen, wenn die das Kommunikationsmedium beherrschenden Organisationen Mitteilungen beliebig ändern können. Das stiftet einen plausiblen Zusammenhang, soll aber keine Begründung liefern, die nicht auch der Aporien der Vernunft gedenkt. Mit Habermas kann man immerhin lernen, dass wenn man an Vernunft appelliert, man jedenfalls anzugeben gehalten ist, welche man denn meine.

Ohne ein vernünftig funktionierendes Kommunikationssystem kann es jedenfalls keine Zivilgesellschaft und keinen modernen Staat geben. So rum ist die Logik. Kann das jemand mal dem Sascha Lobo sagen! Ich möchte, dass er sich auch weiterhin gut entwickelt und seinen wirklich guten Job fortsetzt.

Wir sind weiter als selbst der gute Popdiskurs über Datenschutz vermutet...

Veröffentlcht am 2014-06-06 um 12:49 Uhr, Version 1.1)
Untertitel 1: Immerhin ist Schluss mit lustig.
Untertitel 2: Sind Datenschützer unsexy?

Die Debatte darüber, dass es im Datenschutz in Bezug zum Internet nicht um Technik, sondern um gesellschaftliche Strukturen geht, ist inzwischen im Mainstream angelangt. Es geht um Politik, Grundrechte, Demokratie, Märkte und beliebig führbare künstlerische, wissenschaftliche, metaphysische Diskurse. Auf die Phase der Empörung folgt, gut ein Jahr nach dem ersten Snowden Leak, auch im Mainstream eine Phase, in der das Niveau der Analysen anzieht und Antworten nach Möglichkeiten für praktische Änderungen gegeben werden.

Zunächst sei auf zwei Beiträge aus dem aktuellen, gesellschaftlichen Diskurs zum Datenschutz hingewiesen, die die These vom Anziehen des Diskursniveaus zum Thema Datenschutz belegen:

Mainstream 1: Diskussion bei Beckmann am 18.04.2014 in ARD

Bei Beckmann liess sich am 18.04.2014 eine hervorragende Diskussion verfolgen - besetzt mit Schirrmacher, Gabriel, Zeh und Heilemann, die allesamt, mit Ausnahme von Herrn Beckmann, der leider, vermeintlich den doofen Zuschauer vertretend, zu oft dazwischen quatschte, insbesondere bei Juli Zeh, wenn die dort für bestimmte Logiksphären stehenden Experten konsequent ihre Pointen dann auch zuende bringen wollten - einen richtig guten Tag hatten.
Beckmann-Talk vom 18.04.2014

Mainstream 2: Rede von Sascha Lobo auf der re:publica 2014

Sascha Lobo beschimpft die Nerdszene der digital natives, die seit fünfzehn Jahren im Habitus der Internetbesserwisser den Rest der Gesellschaft meinen aufklären zu können, politisch dabei aber brotdumm agieren; und die sich letztlich ebensowenig wie der breite Mann auf der Strasse wirklich für das interessieren und gegenangehen, was da machtpolitisch und gesellschaftstrukturell im Internet abgeht.
Sascha Lobo: Über die Lage der Nation

Durch das Ansehen dieser Beiträge könnte jedem, anhand seiner bevorzugten Identifikationsfigur, vielleicht klar werden:

1. Snowden und Geheimdienste sind nicht mehr unmittelbar das Thema, sondern sie bilden den Anlass, die Themen, die jede und jeden in seinem Alltagshandeln gegenüber Verwaltungen und Unternehmen betreffen, dahinter ernsthaft anzugehen.
2. Selbstdatenschutz durch ein Nichtnutzen all der tollen Dienste ist keine adäquate Antwort zur Lösung des Problems.
3. Ohne Regulation des Agierens von Organisationen gibt es keine Lösung.

Fast durchweg - mit Ausnahme der Juristin, Demokratin und intellektuellen Visionärin Juli Zeh - tut diese Pop-Diskurselite allerdings wie auch die Gegner des Datenschutzes stellenweise so, als ob nicht klar sei, was angesichts der Übermacht von NSA, google und Co in einer sich ändernden Welt inhaltlich zu tun sei... "Wir müssen darüber sprechen..." Ja, wenn diese Message nicht unterschwellig den Gedanken nahelegt, dass darüber noch nicht gesprochen worden sei. Überraschung: Es wird seit 40 Jahren im Datenschutz über Datenschutz gesprochen. Die Message, wir wissen (noch) nicht genau genug was eigentlich zu regulieren und zu tun ist, ist deshalb falsch. Man darf behaupten, dass es kristallin klar ist, wie Organisationen ihre Aktivitäten zu formen haben, damit diese als grundrechtskonform gelten können (Blogbeitrag von 2012). Die Frage kann deshalb vollständig das Problem fokussieren, wie dies nun durchzusetzen ist. Ob dies noch durchgesetzt werden kann oder der Hobbesche-Deal zwischen Bürger und Staat überhaupt noch gilt, weil der Staat im gegenwärtigen Zuschnitt für die Sicherheit seiner Bürger im Internet gar nicht mehr sorgen kann, ist eine weitere sehr dringend zu behandelnde Frage.

Der Datenschutz hat sich seit Beginn der 70er Jahre mit den aktuellen Fragen, was zu tun ist, sehr breit befasst. Die automatisierten Angriffe von Organisationen auf Grundrechte von Bürgern sind nicht neu. Datenschutz hat operationalisierbare Antworten dazu parat. Und die gilt es zunächst einmal überhaupt zu kennen, dann zu prüfen, dann zu bewerten, um vielleicht zu einem Urteil zu kommen, ob die Herangehensweise verändert werden muss. Datenschutzrecht ist der Versuch, das Grundgesetz zu operationalisieren. Wenn man Datenschutzrecht infragestellt, dann stellt man das Grundgesetz infrage, und zwar gerade mit dessen "edelsten" Teilen. Das kann man ja machen, es muss einem nur klar sein. Es ist nicht so, dass wir in Bezug zur Umsetzung von Datenschutz bei Null anfangen müssen, nur weil NSA, google und Co kriminell und imperialistisch handeln und die Politik sich bislang als unfähig erwiesen hat, dagegen zu regulieren und das wohlfeile Deregulationsbrainwashing der vergangenen 30 Jahre durch interessierte Kreise fortgesetzt wird. (Man darf von einer aktuell im Amt befindlichen politischen Exekutive allerdings auch nicht erwarten, dass diese zu einer angemessenen Regulation bereit ist. Die aktuell im Amt befindliche Exekutive ist, das muss einem klar sein, letztlich Nutznießer der alten Überwachungsstrukturen. Man muss Mandat, Macht und eine Vision davon haben, wie man den Verwaltungsapparat unterhalb der politischen Exekutive entsprechend ändert. An vielen Stellen agieren die Böcke als Gärtner, insbesondere die unsagbar aggressiv agierenden und sogleich so sexy daherkommenden Google und Apple.)

Natürlich diskreditieren sich Datenschutzinstitutionen, wenn sie sich wirklich länger als 5 Minuten an der Frage aufreiben, ob im Wald Videokameras zur Beobachtung von Tieren aufgehängt werden dürfen. Und dann nicht einmal der Kontext gebildet wird, dass Wildbeobachtungskameras zur Vollerfassung der Welt beitragen, sondern, mit dem imaginierten Bild von (prominenten) Liebespaaren vor Augen, primär darauf abgestellt wird, dass die Forstwege doch bitte aussenvor zu lassen seien und, dies ist so typisches Agieren von Datenschutzinstitutionen: dass Hinweisschilder auf die Kameras aufzuhängen sind. Die staatlich etablierten Datenschutzinstitutionen versagen, sowohl bei den Kontrollen als auch in der analytischen Durchdringung der veränderten Konfliktlagen, seit Jahren in ganz vielen ungleich wichtigeren Themenfeldern aufs Entsetzlichste. Und zwar auch deshalb, weil wesentliche Akteure in den Institutionen keine klare Auffassung mehr davon haben, welche gesellschaftliche Funktion Datenschutz hat und welche Aufgaben als Beauftragte der Bürger ihnen deshalb zukommen. Es ist möglich geworden, die Posten von Datenschutzbeauftragte mit Menschen zu besetzen, die nachweislich keine Bürgerrechtler sind; mit der Folge, dass Datenschutz vornehmlich verwaltet wird. Dass die Datenschutzinstitutionen auch für den aktuellen Diskurs, mit ganz wenigen Ausnahmen, unsichtbar geworden sind, liegt insofern nicht vornehmlich daran, dass die Datenschutzaufsichtsbehörden, angesichts ihrer Aufgaben, so schreiend offensichtlich unterfinanziert sind.

ABER: Was zu tun ist, und wie man man konzeptionell den Grundrechteschutz von Menschen normativ und praktisch operationalisiert umsetzen kann, da haben Datenschutzinstitutionen, Bundesverfassungsgericht, Technikfolgenabschätzer und dann insbesondere der Datenschutzexpertendiskurs der vergangenen gut 20 Jahre viel zu bieten. Das wird nicht wahrgenommen, es besteht offenbar kein Bedarf das wahrzunehmen. Wo sind die institutionalisierten Datenschützer in der aktuellen Debatte? Wer präsentiert die vorhandenen Lösungsansätze? Dass es Lösungen gibt, weiss diese Popdiskurselite nicht, das kann sie nicht wissen. Der Popdiskurs hat Interesse am Diskurs, an der Reproduktion von Problemen, zu denen sich etwas sagen lässt; die Diskurspopstars des Datenschutzes wissen nichts von Umsetzung. Sie kennen nicht einmal das normativ scharfe Schwert des Verbots mit Erlaubnisvorbehalt aus §4 des BDSG. Warum fragt man nicht mal die Datenschützer, welche Antworten es gibt? Zu privacy by design, zu Identitätenmanagement, zu Anonymisierungsinfrastrukturen, zu Schutzzielen? Hat der institutionalisierte Datenschutz tatsächlich so dermaßen versagt, dass man nicht mal mehr Vertreter zu den Debatten einlädt zu Konfliktthemen, die zu bearbeiten seit mehr als 40 Jahren deren passabel bezahlte Aufgabe ist? Wieso meint man im öffentlichen Diskurs, auf ausgerechnet die ausgewiesenen Datenschutzexperten verzichten zu können?

Ich habe Videointerviews durchgeführt, bei denen Datenschutzexperten zu Wort kommen. Und von denen rund die Hälfte mit Statements aufwartet, deren Horizont nicht erst durch Snowdens Berichte aufgespannt werden musste, um bereits über diesen Horizont verfügend nach operativen Umsetzungen für eine moderne, durchdigitalisiert kommunizierende Gesellschaft zu suchen. An einem verregneten und für die Jahreszeit zu kühlen Sonntagnachmittag kann man sich auch noch mal zumindest die 16min46sec für den Zusammenschnitt aus dem Gesamtmaterial oder die 3min33sec für den Trailer antun:
Interviews von Datenschutzexperten

Fazit: Wir sind im Bereich der Operationalisierung von Grundrechten um vieles weiter, als selbst die Datenschutz-Popdiskurselite vermutet.

Es geht nicht um Privatheit... Zur anhaltenden Armseligkeit des wissenschaftlichen und politischen Privacy-Diskurses

(Original-Veröffentlichung am 11.05.2015)

Die deutschen Datenschutzaufsichtsbehörden entwickeln derzeit ein Standard-Datenschutzmodell (SDM) zur Prüfung und Beratung von Verfahren mit Personenbezug. Das SDM kommt ohne Definitionen zu „Privatheit“, „informationelle Selbstbestimmung“ oder „Freiheit einer Person“ aus. Das Modell erhebt den Anspruch, zwischen normativen Anforderungen und Wirkungen, zwischen Sollen und Sein, zu vermitteln. Es bietet zudem Anlass, auch theoretische Aspekte des Datenschutzes systematisch in den Blick zu nehmen.

Das SDM umfasst drei Bestandteile: a) Sechs als „elementar“ bezeichnete Schutzziele (Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettbarkeit, Intervenierbarkeit) gestatten eine vollständige Operationalisierung datenschutzrechtlicher Anforderungen an personenbezogene Verfahren, sobald eine Ermächtigungsregelung für ein Verfahren, das politisch, wirtschaftlich oder wissenschaftlich motiviert ist, rechtlich als gültig festgestellt wurde. b) Der Schutzbedarf eines Verfahrens wird, in Anlehnung an den erfolgreichen IT-Grundschutz des BSI, in drei Stufen festgelegt (normal, hoch, sehr hoch); allerdings mit der Fokussierung auf den Schutzbedarf betroffener Personen anstatt Geschäftsprozessen. Diese Fokussierung auf Personen ermöglicht eine bislang wenig beachtete grundrechtskonforme Gestaltung auch von IT-Schutzmaßnahmen für Geschäftsprozesse. Die drei Abstufungen dienen zudem der Operationalisierung der Beurteilung der Angemessenheit und Erforderlichkeit datenschutzspezifischer Schutzmaßnahmen. c) Ein Verfahren wird anhand von drei Komponentengruppen betrachtet (Daten, IT-Systeme, Prozesse). Diese drei Bestandteile erlauben die Entwicklung eines Referenzkatalogs mit Schutzmaßnahmen, mit denen die einzelnen Schutzziele in der vom Schutzbedarf definierten Wirksamkeit umsetzbar und betriebswirtschaftlich kalkulierbar sind. Dieser Katalog lässt sich als Soll-Vorlage zur Prüfung des Ist-Zustandes eines personenbezogenen Verfahrens heranziehen.

Das Konzept der sechs elementaren Schutzziele wurde im Herbst 2010 von der deutschen Datenschutzbeauftragtenkonferenz akzeptiert. Die Operationalisierung der Schutzziele mittels des Standard-Datenschutzmodells wurde in der Herbstsitzung 2014 angenommen mit dem Auftrag, bis zur Herbstsitzung 2015 den projektierten Referenzmaßnahmenkatalog zu entwickeln.

Das SDM kommt ohne eine Definition von Privatheit und einer Vorstellung von einer allgemeinen Kommunikationsordnung aus. Es setzt stattdessen an den entsprechenden grundrechtlichen Implikationen des Grundgesetzes sowie an deren Spezifikationen durch das Datenschutzrecht und die Rechtsprechung insbesondere des Bundesverfassungsgerichts an. Es kommt insofern ohne technisch und ökonomisch hinreichend operationalisierte Vorstellungen darüber aus, was „eigentlich“ personenbeziehbare Daten „sind“ oder wem solche Daten letztlich gehören: ob den Organisationen, die diese Daten im Rahmen eigener Personenmodelle generieren und mittels IT normalisieren, anreichern, typisieren, bewerten oder ob sie den Personen gehören, die sie im Rahmen von Kommunikationen und Interaktionen nutzen. Stattdessen richtet das SDM seine Aufmerksamkeit auf die Aktivitäten von Organisationen, die empirisch zweifelsfrei feststellbar ungleich mächtiger als Personen die Strukturen und Abläufe von Kommunikationsbeziehungen festlegen. Dieses asymmetrische Machtverhältnis bliebe auch dann bestehen, wenn Personen tendentiell fairer als bislang mit ihren persönlichen Daten handeln könnten („Meine Daten gehören mir!“). Organisationen werden strukturell permanent verführt, die gesellschaftlich induzierten Risiken (des Marktes, der Gewaltenteilung und Demokratie, der Diskurse) auf Personen als schwächere Risikonehmer abzuwälzen. Dabei kommt dem Internet die Funktion zu, diese Gestaltungsübermacht der Organisationen bis in die kognitiven Prozesse und Körper einer jeden einzelnen Person hineinzutragen. Was einst die vom Transmissionsriemen zusammengehaltene Maschinerie einer Fabrik war, ist nunmehr ein vom Netzprotokoll vermitteltes, über die Welt gezogenes großtechnisches System. Organisationen wirken mittels großtechnischer Systeme unmittelbar. Die Folge ist, dass organisationsexterne Nutzer von IT und Netzdiensten nicht nur zu organisationsinternen Quasimitgliedern sondern zu unbezahlt agierenden Mitarbeiterinnen und Mitarbeiter dieser Netzdienste werden, wie sich besonders deutlich im Fall google zeigt. Organisationen simulieren die strukturbildenden Risikoquellen der Gesellschaft in ihren eigenen Verfügungsgrenzen. Sie bilden in einem gewissen Ausmaß Märkte, Gewaltenteilung und Demokratie sowie freie Diskurse aus, beanspruchen in diesen jedoch willkürliche Letztentscheide, ohne die rechtsstaatlich gebotene rechtliche oder politische Rückkopplung einzuräumen. Diese Situation entspricht strukturell vormodernen Gesellschaften, in denen wenige Organisationen, die weder demokratisch legitimiert noch rechtlich eingefangen waren, die Regeln des Zusammenlebens von Menschen – und damit über die Menschen selber – bestimmten.

Eine am SDM orientierte, strukturell agierende Datenschutzaufsicht nimmt nicht unmittelbar eine einzelne zu schützende Person in den Blick, sondern orientiert sich am Erhalt gesellschaftlicher Strukturen, die die sozialen Generatoren für Privatheit, Individualität, Selbstbestimmung und Freiheit, mit ihrer logisch inhärenten Nicht-Feststellbarkeit bilden. Soziologisch gewendet: In der Moderne muss man individuell sein und Freiheit und Privatheit beanspruchen. Die Datenschutzaufsicht beobachtet, gelenkt vom Referenzrahmen der Grundrechte bzw. des Datenschutzrechts, an der maschinell gestützten Standardisierung der Handlungsfreiheit von Personen durch Organisationen gesellschaftliche Verwerfungen, die zu einer Regression der „funktionalen Differenzierung“ der Moderne zu einer „stratifizierten Gesellschaft“ (Niklas Luhmann) der Vormoderne führen. In der postmodernen Vormoderne wird „Selbstbestimmung“ vorstellbar nur noch in den festgelegt-standardisierten Formen, die wenige Unternehmen zu ihrem Vorteil definieren und auf die sich staatliche Sicherheitsbehörden jederzeit Vollzugriff verschaffen (können). Die Frage ist, was unter „Selbstbestimmung“ in totalitär verödeten Verhältnissen verstanden werden kann, wenn von Personen permanent in durchindustrialisierter Form Rechtfertigungen für riskante Handlungen abverlangt werden. Der Umsetzung der Grundrechte kommt, wie auch der Umsetzung des Umweltschutzrechts oder dem Kartellrecht insofern eine existentielle Bedeutung zum Erhalt einer modernen Gesellschaft mit modernen Formen der Individualität und Freiheit einzelner Personen zu.

In einer Privacy-Debatte, die als wissenschaftlich ausgeflaggt vornehmlich an der empirischen Erhebung und Typisierung notwendig beliebiger Vorstellungen von Personen zu Privatheit ansetzt, darüber jedoch die gesellschaftlich relevante Machtasymmetrie zwischen Organisationen und Personen, als den eigentlich für den Privatheitsschutz zu bearbeitenden Konflikt, gar nicht erst wahrnimmt oder aus dem Auge verliert, ist insofern aus einer professionellen Datenschutzsicht im besten Falle irrelevant. Allerdings tragen derartige wissenschaftliche Beiträge zur Privatisierung des Datenschutzkonflikts kulturell und politisch zur Invisibilisierung der Machtasymmetrie bei und spielen insofern staatlichen Sicherheitsbehörden und global agierenden Monopolunternehmen legitimierend in die Karten. Das kann professionelle DatenschützerInnen nicht kalt lassen.

Ein erster Schritt, die aktuelle Debatte um Privacy zumindest auf das bereits in den 1970er Jahre erreichte Diskursniveau zu heben, als sich Datenschutz an der ersten Welle des Aufkommens von IT im Rahmen der Kybernetik formierte, bestünde darin, eine Theorie des Datenschutzes der modernen Weltgesellschaft mit ihren großtechnischen Systemen zu entwickeln. Eine sozialphilosophisch oder auch politologisch wichtige Forschungsfrage könnte lauten, ob eine Anerkennung der elementaren Schutzziele, die die „Geltungsanforderungen einer vernünftigen Rede“ (Jürgen Habermas) operativ ergänzen, durch Organisationen unerlässlich für eine gelingende Sozialität ist, weil anders technische Systeme, kategorial genauer: die Organisationen, nicht beherrschbar sind. Von Theorie getriebene Forschungsfragen zu verfolgen ist allerdings schwierig in einem Forschungskontext, in dem sich vielfach die Vorstellung verfestigt, Korrelationen mit Kausalitäten verwechseln zu dürfen, wenn die Ergebnisse nur hinreichend nützlich sind. Kausalität zu behaupten und dabei sogar kausalitätsprengende Wechselwirkungen oder selbstgenerativ-kreative Systeme denken zu können, erfordert jedoch einen theoretischen, das heisst: auch freiheitlich-spekulativen und selbstreflexiven, Bezug zum Forschungsobjekt.

Weiterhin kein Datenschutz bei der Telekom

(Original-Veröffentlichung am 17.08.2015, V0.2)

In einer Meldung bei Heise-News vom 14.08.2015 heisst es, dass die Telekom für "strengen europäischen Datenschutz" wirbt. (Heise-News vom 14.08.2015)

Mein erster Gedanke zu dieser Headline war: Wer Sätze wie "Einhaltung des strengen Datenschutzes" formuliert, macht in der Praxis nach meinen Erfahrungen immer und in Perfektion das Gegenteil.

Ein Hinweis auf "strengen Datenschutz" ist eine Beschwörungsformel, die erfahrungsgemaß rechtliche und operative Unkenntnis kompensiert. Und wieso meint die Telekom sich in die Position des "Werbens für Datenschutz" setzen zu können? Die Telekom kann niemals eine Lösung für das Problem sein, sondern sie ist notwendig immer ein Teil eines Datenschutzproblems. Allein die Verwendung dieses Verbs zeigt an, dass es sich um einen Propagandatext handeln muss. Aber warum jetzt dieser Artikel? Es stieg in mir die Erinnerung auf, dass da doch letztens noch ein Link Telekom-BND-NSA bestand. Ich fand dann in den Kommentaren zum Artikel bequemerweise den Hinweis auf eine weitere Heise-Meldung vom 19.05.2015, wonach die Telekom den Transitverkehr an den BND weiterleite. Okay, die Telekom hat also Bedarf an Imagekorrekturen, ganz aufs Vergessen mag man dort nicht setzen. Doch zum hochrelevanten Thema "Umgang mit Anfragen von Nachrichtendiensten" findet man im Artikel kein Wort.

Mein zweiter Gedanke lautete: Was versteht man bei der Telekom unter Datenschutz? Welche Datenschutz-Komponenten werden im Artikel wohl abgesprochen werden? Ob sie dort allein zwischen IT-Sicherheit und Datenschutz unterscheiden können? Sind die sechs Schutzziele des Datenschutzes vielleicht inzwischen angekommen? Ist hoch unwahrscheinlich aber nicht unmöglich.

Irritierenderweise scheint sogar die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bei der Telekom für den Datenschutz einstehen zu wollen. Warum riskiert die BfDI das, die ansonsten politisch doch eher vorsichtig agiert? Die BfDI ist für die Aufsicht der Telekom zuständig. Was macht sie offenbar Glauben, dass es dort zum Besten bestellt ist? Sind es Varianten der Klassiker "too big to fail" oder "Stockholm-Syndrom"? Man sollte die Bildunterschrift genau lesen: "Die Telekom hat einheitliche Datenschutzrichtlinien für alle Tochtergesellschaften. Der Datenschutzbeauftrage Ulmer und Vorstand Kremer bekommen das von der Bundesdatenschutzbeauftragten Andrea Voßhoff bestätigt." Es wird also allein die Einheitlichkeit der Richtlinien des Konzerns bestätigt. Muss man die folgende Banalität tatsächlich formulieren? Einheitlichkeit bedeutet unter dem Aspekt der Entfaltung von Schutzwirkungen für Betroffene genau gar nichts.

Um so gespannter war ich, was im Artikel ausgeführt wird.

Tatsächlich problematisiert der Artikel zu einem Textanteil von etwa 40% die Einheitlichkeit der Datenschutzanforderungen in Europa. "Das [die Uneinheitlichkeit, MR] schadet den Unternehmen, weil sie dann mit ungleichen Wettbewerbsbedingungen zu kämpfen haben", betonte der Datenschutzbeauftragte der Telekom, Claus Dieter Ulmer." Aus einer Datenschutzsicht der Grundrechte eines Bürgers, Kunden, Patienten gegenüber staatlichen Verwaltungen und privaten Unternehmen besagt Einheitlichkeit des Datenschutzrechts, wie schon gesagt, nichts.

Die weiteren, dann doch noch auf Inhalte des Datenschutzes zielenden Ausführungen des Artikels zeigen in nahezu jedem Detail auf, wie datenschutzfeindlich die Telekom tatsächlich agiert und weiterhin zu agieren beabsichtigt. Ich frage mich, wer diesen Text geschrieben hat? Ein kritischer Journalist war das jedenfalls nicht, da es sich aus meiner Sicht um einen durchgestylten Propagandatext eines marktdominanten Telekommunikationsunternehmens handelt, das vorgibt, gegen die eigenen kommerziellen Interessen handeln zu wollen. Ich vermute, der Artikel basiert auf einer Pressemitteilung seitens der Telekom.

Herr Ulmer führt aus: "Es dürfe für den Verbraucher keinen Unterschied zwischen Anbietern aus der EU und Übersee geben. Sie müssten sich auf den Schutz der Daten verlassen können „egal, wo der Anbieter sitzt und welchen Dienst sie nutzen wollen“." Der Schutz der Daten ist nicht das Problem des Datenschutzes bzw. des Verbrauchers, es geht nicht dessen um IT-Sicherheit. Der Verbraucher muss sich darauf verlassen können, dass Anbieter seine Grundrechte achten und operativ umsetzen, egal wo der Anbieter sitzt. Der Schutz personenbezogener Daten gegenüber den Anbietern selber ist das eigentlich zu lösende Datenschutzproblem. Nur grob überfliegend gelesen könnte es allerdings selbst professionellen Datenschützern passieren, dieser Passage zuzustimmen. Ja ja, sichere Daten sind wichtig.

Ulmer kritisiert insbesondere, dass die Regierungen im EU-Rat eigene Regelungen für personenbezogene Daten im öffentlichen Bereich zulassen wollen. Was soll diese Bemerkung Ulmers? Die Unterscheidung von öffentlichem und privatem Recht ist für Datenschutz hoch relevant. Datenschutz allein im Fahrwasser des Privatrechts würde die Einwilligung als Regelungsinstrument bevorzugen. Das ist genau das, woran amerikanische Sozietäten in Brüssel arbeiten, indem sie die Risikokalküle für personenbezogene Verfahren individualisieren. Von Einwilligungen gehen keinerlei Schutzwirkung für Betroffene aus. Sie erzeugen primär eine relative Rechtssicherheit für Organisationen, solange jedenfalls niemand vor einem Verfassungsgericht klagt. Ein Verfassungsgericht würde dann allerdings feststellen, dass bspw. die Anforderungen, die das Bundesdatenschutzgesetz an Einwilligungen stellt - Freiwilligkeit, Bestimmtheit, Informiertheit, vollständige Auflistung der Empfänger -, nicht erfüllt werden, und realistisch gar nicht erfüllt werden können. Ein öffentlich-rechtlicher Datenschutz stellte jede Datenverarbeitung dagegen ausschließlich unter einen Gesetzesvorbehalt. Ist es das, was Ulmer fordert? Doch ganz sicher nicht.

Ulmer verweist auf die Anforderung der Datensparsamkeit und wiederholt die platte, inzwischen mindestens 20 Jahre alte "Idee" des "Privacy By Design" (PbD). Datensparsamkeit und PbD sind weiche Regulatoren, ähnlich wie auch der Vorbehalt, der durch die "Erforderlichkeitsanforderung" an eine Datenverarbeitung besteht. Diese Aspekte entfalten, aus Sicht eines Datenschützers kann man das inzwischen wissen, keine tatsächlich relevanten Schutzwirkungen für Betroffene, es werden bestenfalls ein paar unzweckmäßige Nebenwirkungen eingedämmt. Der BND bekommt bzw. nimmt sich die Daten, die er für erforderlich hält, wie auch die Telekom, wie Versicherungen und Banken und überhaupt alle anderen Großunternehmen insbesondere der USA. Wenn es im nationalen Rahmen mal zwackt, werden entsprechende Gesetze auf den Weg gebracht. Dabei wäre natürlich der gute Ansatz des "Privacy-By-Design" durch das "Standard-Datenschutzmodell" (SDM) oder durch ein "Dataprotection-Impact-Assessment" (DPIA), das sich in seinem materiellrechtlichen Anteil am SDM orientierte, im Sinne des Betroffenenschutzes durchaus operationalisierbar. Aber davon ist hier keine Rede. Es kann einem mit dem Blick aufs SDM insofern durchaus klar sein, was und wie es zu tun wäre, wenn man Datenschutz (konzern)politisch für Kommunikationsinfrastrukturen tatsächlich wollte. Immerhin wurden die sechs Datenschutzziele, die den Regelungskern des SDM ausmachen, bereits 2010 von der Konferenz der Datenschutzbeauftragten verabschiedet. Ein deutsches Großunternehmen, das ernsthaft an Datenschutz interessiert ist, könnte das ebenso wissen wie ein kritischer Journalist, der einen Artikel zu Datenschutz in einem wichtigen Großunternehmen schreibt, anstatt nur abstrakte Formeln zu wiederholen.

Immerhin: Das Safe-Harbor-Abkommen, mit dem die Europäische Kommission es europäischen Unternehmen seit 2000 ermöglicht, personenbezogene Daten legal in die USA zu übermitteln, wird als obsolet bezeichnet. Doch mutig ist diese These natürlich nicht. Es geht auch gar nicht um Mut. Ein Unternehmen wie die Telekom mit logischerweise eigenen globalen Ambitionen kann nicht mehr bereit sein, allzu billig alle interessanten Datenverarbeitungen allein den Amerikanern zu überlassen, während man zuhause, anders als die Amerikaner, punktuell dann doch Gefahr läuft, mit den windigen eigenen BigData-Aktivitäten aufzufliegen.

Zuletzt heisst es: "So sollte die Verarbeitung von pseudonymen Daten nur dann möglich sein, wenn sie transparent ist und der Nutzer dem nicht widerspricht. Bei vollständig anonymen Daten hält Kremer keine Einschränkungen für erforderlich, weil keine Rückschlüsse auf ein einzelnes Individuum möglich sind." Nein, es sind keinerlei Daten, auch keine pseudonymisierten, nicht einmal anonymisierte, Daten ohne vorherige Zustimmung von Bürgern, Kunden oder Patienten oder gesetzliche Erlaubnis zu verarbeiten. So besagt es der Regelungskern - das Verbot mit Erlaubnisvorbehalt - sowohl des deutschen Datenschutzrechts als auch des Entwurfs der EU-Grundverordnung. Die Betroffenen müssen zumindest vorher befragt werden (Opt-In), und dürfen nicht nur gnädigerweise hinterher widersprechen (Opt-Out). Und wieder geht es darum, dass sich keinerlei ernsthafte widerständige Schutzwirkung für Betroffene, nicht einmal den in der Praxis ebenso wirkungslosen Pseudoschutz des Opt-In, entfalten kann. Anonymisierte Daten bieten keinen ernsthaften Schutz: Organisationen können ihren strukturellen Machtvorteil gegenüber Personen auch dann nutzen, wenn Nutzerdaten aufgrund anonymisierter Daten nur grob typisiert verarbeitet werden. Mal ganz abgesehen davon, dass Anonymität im Internet herzustellen nicht mehr möglich ist. Einen positivistischen Juristen kann dieser Umstand der Schutzlosigkeit trotz Anonymität kalt lassen, einen Datenschützer nicht. Und eine Organisation, die vorgibt, für Datenschutz, strengen sogar, zu werben, auch nicht.

Fazit: Es zeigt sich bei einer genauen Analyse des Textes, dass die Telekom in Bezug auf Datenschutz nach wie vor beabsichtigt, nicht ernsthaft datenschutzrechtliche Anforderungen umzusetzen, sondern weiterhin Datenschutz nur zu simulieren.

Was besonders bestürzend ist und mich bedrückt: Ich vermute, dass nicht einmal den Telekom-Vertretern selber in allen argumentativen Verästelungen klar ist, wie fern ab von jedem wirkungsvollen Datenschutz sie tatsächlich agieren. Dass sie in Wahrheit kein Interesse an Datenschutz haben, propagandistisch aber versuchen, sich im Gegenteil als an Datenschutz interessierte Instanz ins Spiel zu bringen, ist ebenso logisch wie durchsichtige Propaganda, und die Machart ist peinlich. Aber auch die Online-Heise-Redaktion ist Teil des Problems, wenn Heise wie in diesem Falle hilft, schiere Propagandatexte, die das Gegenteil von dem enthalten, was sie vorgeben zu enthalten, verbreitet. Heise beansprucht als journalistische Instanz ein erhöhtes Maß an Vertrauen, verfestigt aber durch unendliche Wiederholungen der immer gleichen Buzzwords problematische Narrative. In diesem Artikel findet keine Verdichtung, keine Kommentierung, keine Kontrastierung, keine Kontextierung statt. Natürlich gibt es auch andere, gute Heise-News, die das Vertrauen in die Redaktion wieder stärken. Nur: Man kann sich auf die Redaktion eben nicht verlassen. Die distanzlose Beteiligung der BfDI an diesem Artikel zeigt auf, wie insgesamt verworrenen die gesamte Datenschutzsituation und deren Beurteilung geworden ist. Man muss lernen, sich seines eigenen Datenschutzverstandes zu bedienen. Vertrauen kann man niemandem, eigenbestimmte Kontrollen sind unmöglich.

Lässt sich Datenschutz durch Ethik ersetzen?

(Original-Veröffentlichung am 01.06.2016)

Der europäische Datenschutzbeauftragte Giovanni Buttarelli (Wikipedia) veröffentlichte am 31 Mai 2016 einen knappen Essay mit dem Titel "Big Brother, Big Data and Ethics", in dem er empfiehlt, die von ihm ausgemachte Steuerungslücke zwischen moderner Technik und Menschen durch Ethik zu schließen. Ich möchte diesen kurzen, aus meiner Sicht rhetorisch elegant geschriebenen, aber inhaltlich hoch problematischen Text nachfolgend kommentieren.

Der Text ist in vier knappe Abschnitte untergliedert, dessen Struktur ich übernehme. Ich empfehle, diesen Text von Herrn Buttarelli, der dem Umfang dieses Kommentars entspricht, parallel oder vorgängig zu lesen.

"1) What is digital ethics?" Darauf gibt Herr Buttarelli keine Antwort. Es folgt jedoch eine Bekräftigung, dass es einer Antwort darauf bedarf.

Ich bestreite, dass es einer Antwort darauf bedarf und dass die Frage überhaupt relevant ist. a) Ethische Reflexion sind per Füller auf Papier lesbar die exakt gleichen, die am Bildschirm angezeigt werden. Es gibt in diesem Sinne keine analoge/digitale Ethik, übrigens ebenso wenig ein digitales Recht. b) Wenn man gutwillig ist, liegt eine Bedeutungsverschiebung nahe, indem man von einer Ethik des Digitalen sprechen könnte. Aus meiner Sicht gibt es auch keine spezifische Ethik des Digitalen im Unterschied zur Ethik des Analogen. Ethik ist eine Reflexion der moralischen Unterscheidung von gut und böse; sie bewegt entweder die Frage, ob diese Unterscheidung selber eine ist, die im Rahmen von gut und böse behandelt werden kann; oder sie behandelt als weitere die dialektische Variation, wie Böse das Gute ist und umgekehrt.

Der Subtext lautet: Das Recht reicht nicht mehr, "wir" brauchen eine Ethik! Insofern fehlt mir eine Begründung dafür, dass rechtlich institutionalisierte Anforderungen nicht mehr hinreichen und durch Ethik zu ersetzen sind. Machte man diese These mit, wäre bspw. konkret zu fragen: Welche Instanz dürfte die Kriterien für ethische Entscheidungen sowie die Verfahren zu deren Generierung und Diskussion ganz konkret und legitimierbar festlegen? Eine solche Instanz gibt es nicht, es bliebe das Ungefähre des Nichtadressablen und damit Nichtverantwortbaren eines Ethik-Diskurses. Was es jedoch gibt, um dieses Problem zu lösen, sind etablierte politische Prozesse für Kriteriendefinitionen und positives Recht.

Wer Ethik an die Stelle von Demokratie und Recht setzt, schwächt das Recht! Nicht das bestehende Datenschutzrecht ist das zu lösende Problem, wenn man Datenschutz Ernst nimmt, sondern es ist die mangelnde politische Entschiedenheit - und es sind gegenläufige politische Interessen politischer Machtinhaber - bei der Durchsetzung der Grundrechte von Menschen.

Für einen institutionalisierten Datenschützer ist Ethik zu empfehlen anstatt Rechtsanwendung einzufordern und mehr noch, durchzusetzen, ein geradezu katastrophales Statement, ein Offenbarungseid.

"2) Human dignity in the digital age" - Es folgt leider keine nähere Bestimmung zur menschlichen Würde im Kontext des Vollzugs der Durchindustrialisierung der Weltgesellschaft, sondern nur eine Bekräftigung der Bedeutung von Würde mit der Formel: "Human dignity is the cornerstone of fundamental rights." Ja, das ist richtig, zumal wenn man im Zuschnitt des Grundgesetzes argumentiert. Aber was soll das nun heissen, wenn im Folgenden weder von Würde noch von Grundrechten die Rede ist? Etwa: Wer noch in den Kategorien der konventionellen Menschenrechte anstatt in Ethik denkt, kann ja nur(?) die menschliche Würde zu Gesicht bekommen?

Dann fragt Herr Buttarelli weiter: "Can we introduce moral responsibility in the vacuum created between people and automated processes such as surveillance or data collection?" Welches Vakuum soll zwischen Personen und automatisierten Prozessen bestehen? Die Formulierung spitzt den Konflikt falsch zu. Diese Formulierung verschleiert, dass letztlich jeder automatisierte Prozess durch Organisationen entwickelt, hergestellt und betrieben wird. Es besteht genau kein Vakuum zwischen Organisationen mit ihren Verfahren und Techniken und den davon betroffenen Personen. Der Adressat des Datenschutzrechts sind exakt diese Organisationen, juristische Personen, weil diese es sind, die die Würde der betroffenen Personen antasten, es sind nicht Techniken an-sich. Es gibt das behauptete Regelungsvakuum nicht.

"3) Technology as a driver and an actor" - Anstatt nun die gewohnte Karte "Privacy-Enhancing-Technology" auszuspielen, werden wieder problematische Engführungen und Fragen gestellt, etwa der Art: "But should ethical considerations determine the direction of innovation? Should human values play a part in the development of new technologies?" Ja, wäre irgendwie nicht schlecht, wenn menschliche Werte bei der Technikentwicklung eine Rolle spielen sollten. Die Frage lautet doch, wie Organisationen dazu gebracht werden können, exakt das menschlich Gewünschte zu tun! Wenn es jedoch nicht einmal gelingt, mit rechtlichen Anforderungen (Menschen- und Bürgerrechten, aktuell: DS-GVO), die bestmöglich legitimiert sind, und deshalb Bindewirkungen beanspruchen dürfen(!) und die die einzigen sind, die von Aufsichtsinstanzen festgestellt und eingeklagt und sanktioniert werden können, Innovation in eine menschenwürdige Richtung gelenkt werden können, wie soll es denn mit ethischen .... Ja was? Grundsätzen? Prinzipien? Überzeugungen? Diskursen gelingen? Man predigt in theologischen Kategorien, und gibt dafür die rechtlich bestens verankerten Anforderungen auf, weil man diese für zu schwach hält?

Die im Datenschutzrecht auskristallisierten Grundrechte sind, bei allen Unzulänglichkeiten im Detail, der politisch und rechtlich aussichtsreichste Versuch, dass menschliche Werte, wie sie von Menschenrechten eingefordert und von Verfassungen gewährt werden, tatsächlich eine Rolle bei der Entwicklung neuer Techniken, so wie sie Organisationen zu ihrem Vorteil nutzen, spielen können.

Wer Ethik predigt, schwächte jeden ernsthaften, d.h. demokratisch erzeugten und rechtlich institutionalisierten Regulationsanspruch gegenüber Organisationen.

"4) Ethics and the law" - Dieser Abschnitt enthält immerhin eine interessante Frage: "But is it enough that a practice affecting our privacy, our personal data or both is legal? What if the law was to be the minimum standard?" Reicht das Recht, insbesondere dann, wenn es nur einen minimalen Standard an Anforderungen formuliert?

Ich sehe überhaupt nicht, dass bspw. die nun gültige DS-GVO einen geringen Standard formuliert, ganz im Gegenteil. Wesentliche Regelungskomponenten sind enthalten: Das Verbot mit Erlaubnisvorbehalt, Einwilligungen müssen zusätzlich zur Freiwilligkeit, Bestimmtheit und Vollständigkeit die Erforderlichkeit der Datenerhebung ausweisen; und es ist das vollständige Set der elementaren Schutzzielen enthalten, was gesellschaftlich und individuell wirkungsvolle Schutzmaßnahmen einzufordern erlaubt. Natürlich: Die DS-GVO wird in einer ersten Flut von Artikeln zermahlen; man kann beobachten, wie sich inbesondere Rechtsanwälte mächtig ins Zeug legen, um möglichst frühzeitig die für Organisationen vorteilhaften Interpretationen nahezulegen. Genau in dieser Weichmach-Tradition steht nun leider auch der Essay von Herrn Buttarelli. Wenn die DS-GVO als schwacher Standard erscheint, dann letztlich deshalb, weil die Aufsichtsbehörden, Staatsanwaltschaften und Gerichte bei der Durchsetzung des Datenschutzrechts versagen.

Und dann kann man auf Twitter zu diesem Statement von Herrn Buttarelli zustimmend lesen: "@EU_EDPS @Buttarelli_G #Ethics is definitely the new frontier for #DataProtection. We should all get involved!"

Diesen Tweet möchte ich zum Schluss zum Anlass nehmen, dass dieses wohlfeile "We should" ohne genaue Adressierung, wer mit dem "WIR" gemeint sein könnte, eine weitere problematische Facette hineinbringt, die auch Buttarelli rhetorisch durchgängig nutzt: Nein, bitte, WIR sollten uns nicht alle von Ethik in einen vermeintlichen Konsens einlullen lassen, wenn es zum einen klare rechtliche Anforderungen gibt und zum zweiten mit Schutzzielen und deren Operationalisierung mittels des SDM inzwischen sogar eine Methode zur Verfügung steht, um diese Anforderungen transparent und integer in technische Maßnahmen zu übersetzen.

Fazit

Rhetorisch sind die Statements von Herrn Buttarelli geschickt formuliert: Die Problembeschreibungen treffen zu, die zur Analyse empfohlenen Begriffe führen ins Voodoo, die empfohlene Medizin - es mit Ethikdiskursen anstatt Durchsetzung des vorhandenen Rechts zu versuchen - ist pures Gift.

Selbstverständlich müssen aufgeklärte politische Diskurse und reflektierte Abwägungen zum Verhältnis von modernen Informationstechniken und Menschen stattfinden. Datenschutz muss weiterentwickelt werden, selbstverständlich. Aber diese Diskurse und Reflexionen müssen dann über politische Entscheidungen und Programme in Gesetze münden, deren Umsetzung von Organisationen einzufordern und bei mangelnder Umsetzung zu sanktionieren sind. Letzteres passt politisch allerdings so gar nicht in die gegenwärtig neoliberale Landschaft, ganz im Unterschied zu bloßen ethisch begründeten Empfehlungen.

Wo nur Ethik ist, muss Recht erst werden. Ethik allein ist regulativ eine Luftnummer ohne kalkulierbare Wirkung, insofern wenig mehr als gar nichts.

Prof. Sandel empfiehlt Scheisse

(Original-Veröffentlichung am 16.06.2016, V1.2)

Ich bin soetwas von genervt, wenn man in führenden deutschen Publikationskanälen amerikanische Pop-Philosophen für ihre, wohlwollend formuliert, trivialen Äußerungen feiert; diese gehören aufs Schärfste kritisiert.

Konkret denke ich an die jüngsten Äußerungen von Prof. Sandel, wie sie in der Süddeutschen Zeitung und bei Heise wiedergegeben werden (Sandel in der SZ / Sandel bei Heise).

Herr Sandel offenbart zum unendlich xten Male: Amerikaner kennen konzeptionell keinen Datenschutz. Datenschutz bezeichnet die grundrechtlich legitimierte, technisch-organisatorische Konditionierung einer strukturellen Machtasymmetrie zwischen übermächtigen Organisationen und den davon betroffenen Personen.

Die von Herrn Sandel aufgeworfenen Fragen, die er unfassbar unoriginell für noch nicht gestellt ausgibt und die er von Ethik und Diskurs behandelt wissen möchte, sind in Kontinentaleuropa bereits rechtlich beantwortet. Kontinentaleuropa steht nicht nur zur Beantwortung von Fragen, sondern zur Lösung der unkenntlich gemachten Konflikte keine für moderne Gesellschaften unterkomplexe bloße Moral, keine folgenlose ethische Reflexion, sondern sanktionierbares, demokratisch erzeugtes Recht zur Verfügung (das allerdings nicht durchgesetzt wird, allein darin besteht das vordringliche Problem Herr Sandel)! Nicht die Automaten sind das Problem, sondern die Organisationen, die die Automaten ingang halten. Herr Sandel müsste dieses rechtliche Niveau der Durchdringung erst einmal erreichen, um überhaupt aussichtsreich fruchtbar und anregend in den möglichen europäischen Diskurs zu dessen möglicherweise anstehenden Änderung einsteigen zu können. Stattdessen ziehen die Reflexionen und Empfehlungen bspw. über autonomes Fahren, wie sie den Berichten zu Herrn Sandel zu entnehmen sind, dieses zumindest konzeptionell hohe europäische Niveau herunter. Damit spielt der vermeintlich kritisch auftretende, aber am Ende nur folgerichtig moralisierende Herr Sandel, den global agierenden Organisationen aufs Feinste in die Karten.

Nachklang

Ich wurde von geneigten LeserInnen inzwischen mehrfach darum gebeten, den vulgären Titel zu ändern. Dieser Titel ist mir nicht im Modus eines "huch" passiert. Ich finde es großartig, wenn Worte offenbar noch immer magische Aufladungen enthalten. Diesen Effekt des (negativ) Berührtseins mitzunehmen ist mir wichtiger als jeder Retweet. Als Sammler von in der Geschichte der Menschheit bislang nur selten verlautbarter Sätze bin ich zudem geneigt, mich an eigenen, zumindest rhythmisch und prosodisch gelungenen Beiträgen zu versuchen.

Kommentar zur digitalen Grundrechte-Charta

(Original-Veröffentlichung am 03.12.2016, V1.1b)

Mich erreichte der Link auf den Entwurf einer "digitalen Grundrechte-Charta" für die EU über einen Tweet von Sascha Lobo. (Hinweis auf SPIEGEL-Online). Ich ordnete diesen Entwurf deshalb spontan zunächst ihm zu, plus sicher noch einigen MitstreiterInnen im Hintergrund.

Ich lese Lobos Kolumnen in Spiegel Online gern, ich mag den Sound, ich mag die Inhalte, ich kann oft genug etwas daraus lernen. Da hat sich jemand - aus Begeisterung über die vielen von Vielen unverstandenen Möglichkeiten des Internet - vom Erzählonkel, der das immerhin so gut macht, dass er dafür Geld gezahlt bekommt, zu jemandem entwickelt, der reflexiv geworden ist. Und der nach Jahren der Befassung recht konventionell, aber absolut konsequent und folgerichtig, bei dem Regulierunginstrument "Grundrechte" landet. Und nun legt ein talentierter Bassist ein Arrangement für klassisches Streichorchester vor. Was für ein wunderbarer politischer Stunt der Selbstermächtigung, that\'s Punk, eine Punk-Charta, eine Provokation als Diskurspumpe. Aber dann las ich kurze Zeit später die Liste der namhaften Coautoren (oder zumindest bekennenden Unterzeichner, geschätzte Symphoniker, darunter viele bislang spezialisierte Vertrauensanker auch für mich). Damit hatte ich nicht gerechnet. Mein (natürlich immer noch anhaltendes) Wohlwollen gegenüber Sascha Lobo wandelte sich in Entsetzen über diese Charta, hinter der die Mitzeichner offenbar mit allem gebotenen, ganz unironischen Ernst stehen. Dann erinnerte ich mich an das Projekt hinter dieser Charta, von dem ich vor langer Zeit gehört hatte.

Dieser Entwurf einer Charta führt gnadenlos deutlich vor Augen, wie klein die Anzahl derjenigen an Grundrechten Interessierter in dieser Republik tatsächlich ist, die einen auch theoretischen Zugriff auf Datenschutz haben. An dieser Charta ist ersichtlich alles Pfusch. Und dies ist so erschreckend typisch und weitverbreitet für den aktuellen Zustand im Datenschutz.

Ich möchte 3 meiner bislang 33 Anmerkungen herausgreifen und mich auf einen theoretischen, einen handwerklich-strategischen und einen praktischen Aspekt an diesem Entwurf konzentrieren.

1. Der Würde-Anker

In der Präambel wird etwas in "den Menschen" hineingesteckt, was man aus ihm herausholen möchte: Würde, sie wird bequem als "angeboren" ausgewiesen. Boah... eine Biologisierungsstrategie, das verweist auf ein Analyseniveau des beginnenden 17. Jahrhunderts. Man kann sich der Quelle von Würde auch anders nähern, bspw. wissenschaftlich.

Was auch immer beim Menschen vorausgesetzt ist, was sich dann als Würde bezeichnen lässt und erst mit der Bezeichnung entsteht oder thematisierbar wird, entsteht in Kommunikationsverhältnissen, in denen Menschen leben; erst leben sie in Gemeinschaften, dann auch noch in Organisationen, dann auch noch in Gesellschaften, dann der Weltgesellschaft; drei unterschiedliche Typen an Sozialverhältnissen erzeugen drei unterschiedliche Konzepte an Würde. Neuere Kommentarliteratur zum Artikel 1 des Grundgesetzes listet deshalb Kommunikation als Quelle der Würde als ein empirisches und damit wissenschaftlich zugängliches Konstrukt auf.

Wenn Würde sich durch Kommunikation unter Menschen erst konstituiert, dann ist es von unüberschätzbarer Bedeutung, dass die Aktivitäten von solchen Organisationen, die Techniken zur Vermittlung von Kommunikation bereitstellen, diese nutzen und überwachen - die also ein Höchstmaß an Macht ausüben -, eng an Grundrechte gebunden sind. (Wenn man dieser These folgt, wäre man logisch zum Urteil genötigt, dass Facebook für einen Diskurs über eine die Integrität von Personen und deren Kommunikationen stärkende Grundrechte-Charta zu nutzen ein performativer Selbstwiderspruch ist.)

Genau an diesem Punkt trifft diese Charta immerhin, mit Artikel 2, einen wesentlichen Punkt, nämlich: "Der Mensch hat ein Recht auf unversehrte Kommunikation". Als generisches Prinzip ließe sich dieser Artikel berechtigt sogar an die 1. Position setzen.

2. Das Verbot mit Erlaubnisvorbehalt

Das regelungstechnisch zentrale "Verbot mit Erlaubnisvorbehalt" ist nicht enthalten.

Weil dieses Verbot selbst den ausgewiesenen Datenschutzexperten unter den Initiatoren ganz offenkundig nicht wirklich geläufig ist - sie haben vergessen es reinzuschreiben, das kann eigentlich nur bei schlechter Gruppendynamik passieren - wiederhole ich dieses Verbot sicherheitshalber, man kann es offenbar gar nicht oft genug wiederholen: Organisationen dürfen keine personenbezogenen Daten verarbeiten PUNKT

Ja, genau so wie es da steht ist es auch gemeint. In aller Klarheit und Entschiedenheit.

So steht es in der EU-Grundrechte-Charta, so wiederholt es die Datenschutz-Grundverordnung, so hat es Bestand seit mind. 30 Jahren im BDSG und den LDSGen. Und wenn die Datenschutzaufsichtsbehörden und die Gerichte dieses Verbot nur Ernst nähmen und durchsetzten, ließen sich damit Google, Facebook usw. an die Leine legen. Es bedarf dazu keiner neuen Regelungen, sie liegen vor; sie werden nicht durchgesetzt.

Diese zentrale Regelung ist jedem Firewalladmin geläufig: "DENY ALL" alle Ports aus dem Internet oder in das Internet sind nicht erreichbar. Und dann werden nach und nach, gut begründet, Ports geöffnet, weil Kommunikation sein soll, sein muss. Diese zentrale Firewall-Regel ist regelungstechnisch alternativlos. Die kontinentaleuropäischen Datenschutzgesetze regeln perfekt analog: Es müssen Gesetze und Verträge her, die portanalog das Verbot mit Erlaubsnivorbehalt punktuell aufheben. Kommunikation muss möglich sein, wenn sie die Würde von Personen nicht antastet. Wer die Würde antastet, muss mit Sanktionen rechnen.

Dieser Entwurf einer digitalen Charta schleift etwas, was selbst den übelsten Rechtsanwälten das letzte Mal auf dem Deutschen Juristentag 2012 nicht gelang, sie wurden das Verbot mit Erlaubnisvorbehalt nicht los. Ich ahne, wie die von Google und Facebook usw. bezahlten Sozietäten und Propagandisten in Berlin und Brüssel ihr Glück über so ein Weihnachtsgeschenk gerade nicht fassen können. Da liefern die Popgrößen des Privacy-Diskurses inklusive reputierlichster Grundrechtler und Datenschützer für umsonst und frei Haus den Organisationen die Schürfrechte für das Datengold. Ich prognostiziere: Sie werden, gewieft wie sie sind, auf diese Charta anspringen, sie stark machen. Viele der Initiatoren und Unterzeichner würden sie, inzwischen sicher beschämt, gern schnell beerdigen wollen, die Bedroher einer modernen, d.h. funktional differenzierten, Weltgesellschaft insbesondere aus den USA werden vieles dransetzen, das zu verhindern.

3. Operationalisierung von Grundrechten über Gewährleistungsziele

Im modernen Datenschutzdiskurs haben sich, als Zentrum zur Operationalisierung der Grundrechte, Gewährleistungsziele herausgeschält, sechs plus eines. Diese Ziele entkoppeln und vermitteln die Sphären des Sollens und des Seins, von denen man seit David Hume und spätestens Immanuel Kant weiß, dass sie nicht auseinander folgen. Gleiche Ziele bieten eine Fokussierung, die man mit jeweils eigenen Bordmitteln - Normen hier, CPU-Instruktionen dort - anstreben und umsetzen kann. Gekoppelt, aber nicht trivialisiert. Auch das kann man inzwischen wissen.

Die konfusen Bestimmungen der Art. 12 und 13, unter "informationelle Selbstbestimmung" und "Datensicherheit" eingefügt, zeigen insofern eine beängstigend ungenügende Ernsthaftigkeit bei der Befassung mit aktuellen Fragen und Antworten(!) zur Umsetzung von Grundrechten.

Fazit

Dieser Entwurf ist insgesamt unfassbar schlecht geraten. Nicht auszudenken, wenn sowas tatsächlich in der EU installiert würde, womöglich als Ersatz für die bestehende Grundrechte-Charta.

Anmerkung

Der Pfusch dieses Entwurfs entspricht allerdings dem analytischen Pfusch des gesamten Ansatzes, von "digitalen Grundrechten" auszugehen. Etwas dem Digitalen anzulasten, was allein Organisationen adressierbar anzulasten ist führt dazu, die konkrete Adressierung der Konfliktquellen zu vermeiden: eben Organisationen. Und die zu regulierenden Konflikttypen sind durch die Digitalisierung gar nicht neu, nur die Mittel auf Seiten der Organisationen sind ungleich mächtiger geworden. Dabei ist auch nicht primär der Staat der Angreifer, sondern es sind: Organisationen, zu denen neben Behörden und Unternehmen insbesondere Wissenschaftsinstitute, Kirchen und Kulturorganisationen zu zählen sind. Der Staat ist sehr gefährlich einerseits (Gewaltmonopol), aber andererseits die einzige heilbringende Quelle, weil nur er überhaupt Grundrechte gewähren kann. Diese logische Beunruhigung nennt man "Dialektik", die gilt es analytisch auszuhalten. Den Staat flach zu beargwöhnen ist jedenfalls ein Frame, um die offensichtlich aggressiv agierenden Unternehmen und Forschungsinstitute zu camouflieren.

Es gilt, das Versprechen der Durchsetzung der vorhandenen Grundrechte-Charta, die um das Recht auf unversehrte Kommunikation ergänzt werden müsste, einzulösen.

AnFIfF

(Original-Veröffentlichung am 31.10.2017, V1.1a)

Die FIfF-Kommunikation 2017/02 ist schon vor einigen Wochen erschienen (FIfF-Webseite, FK-2017/02). Ich schleppe sie seit fast so vielen Wochen auch schon mit mir. Ein erster Scan der Artikel hatte in mir Ärger aufsteigen lassen.

Ich möchte vorweg schicken, ich bin Mental-FIfFler. Ich fühle mich der Szene, die Informatik und Gesellschaft (fällt das nur mir auf... es müsste doch heissen: "Informatik und Soziologie" oder "Technik und Gesellschaft") zusammen denken möchte, ganz eng verbunden. Und deshalb ist es nicht hinnehmbar, wenn diese mir so mental und politisch nahestehende Szene, die gern im auch von mir geschätzen Modus des gepflegten Besserwissens agiert, Artikel abliefert, die an den theoretisch entscheidenden Stellen noch schlechter argumentieren als die miesesten Lobbyisten-Artikel. Während man Lobbyisten Respekt zollen kann für gutes Handwerk, wenn es ihnen nämlich gelingt, dass Verantwortung verschleiert wird und Analyseframeworks mit kritischem Anspruch verschmieren, wird es bei Autoren des eigenen Lagers schwierig, den gebotenen Respekt entgegenzubringen, wenn sie zwar im kritischen Duktus daherkommen aber nicht einmal das Analyse- und Darstellungsniveau von intelligenten Lobbyisten erreichen. Schlechte FIfF-Artikel sind insofern schlimmer, gerade weil man bei ihnen meinen darf, Artikel vertrauensvoll-naiver lesen zu dürfen. Nee, das sollte man genau nicht.

Ich fange mal mit dem Artikel von Britta Schinzel an. Die habilitierte Informatikerin stellt fest, "Algorithmen sind nicht schuld (...)" und fragt weiter "(...), aber wer oder was ist es dann?" (S. 5ff). Ich war wirklich dankbar für das Aufgreifen dieses Themas. Schließlich muss dringend mal wieder etwas her angesichts dieses überbordend grauenhaften Räsonnierens über "Algorithmen-Ethik" der letzten Monate allenthalben. Die Fragestellung ist aus meiner Sicht also top gewählt, ihre Erläuterungen zu Algorithmen sind konventionell aber lesenswert. Das Zwischenfazit, dass Algorithmen nicht verantwortlich gemacht werden können, ist erwartungsgemäß. Gut, das muss alles mal wieder gesagt werden; ihr Durchdeklinieren von Algorithmen-Schichten bis zu sozialen Netzwerken finde ich sogar ganz spannend. Alles klug, richtig und lesenswert ... aber: Sie gibt am Ende keine Antwort auf ihre selbst gestellte Frage, wer denn schuld sei! Die Frage nach der Schuld - sie denkt bei Schuld weder theologisch noch ökonomisch, sondern irgendwie, das will ich selbstverständlich nicht so eng sehen, wenn jemand zwar für den richtigen Gebrauch von Begriffen plädiert, dem Anspruch aber selber offensichtlich nicht gerecht wird, aber wer wird das schon? - wird wenig konturiert. Es scheint in kritischer Absicht ja klar zu sein, es geht irgendwie um Computerdominanz, problematische Entscheidungen über Menschen, die technisch generiert werden, irgendwie also auch um Datenschutzprobleme. Man weiss schließlich ohnehin, es läuft gerade sehr viel sehr schief im Gebrauch von Computertechnik, für den sie zu Recht Expertise beansprucht. Sie gerät an den Stellen, an denen man nun zum Ende hin Antworten erwarten darf, in das konventionell klassisch, vermeintlich kritische Fahrwasser der Feststellung, dass ja Menschen am Ende Programme schrüben oder neuronale Netze trainieren, es ist nicht die Technik an sich. Diese Antwort reicht aber nicht bei einem analytisch-kritischen Anspruch. Sie ist in dieser Form irreleitend und trägt genau nicht zur Transparenz bzgl. Verantwortung bei, zu der sie ja beitragen wollen.

Dass Prof. Schinzel den Fokus nicht schärfer stellen und entsprechend keine gehaltvolle Anwort anbieten kann, liegt ersichtlich zum einen an Mangel an gesellschaftstheoretischer als auch grundrechtsjuristischer Bildung. In der FIfF verzeiht man beide Kognitionsdellen traditionell schnell und gern. Dabei gehört nicht viel dazu, die doch ganz gut angefangene Erzählung zu vervollständigen: Algorithmen bzw. deren Inkarnationen werden von Organisationen genutzt. Es sind, einen Schritt konkreter formuliert, Unternehmen, Behörden, Krankenhäuser, Forschungsinstitute gemeint, die allesamt Technikgebrauch motivational aufladen. Dabei ist "motivational" nicht psychologisierend zu verstehen, sondern es sind, wenn man schon irgendwie "den Menschen" thematisiert, Rollen gemeint, also Hülsen, die Organisationen erzeugen und bereitstellen, mit denen Personen dann die Organisationsmotive übernehmen. Diese Feststellung bzgl. Organisationen und Rollen kann man trivial finden, sie ist trivial; sie ist Prof. Schinzel aber offenbar gar nicht in den Sinn gekommen. Weil es zu trivial ist? Das glaube ich gar nicht. Wenn sie Organisationen in ihre Analyse mit aufnähme, ließen sich tatsächlich politische Forderungen formulieren und adressieren. Genau das macht bspw. das Datenschutzrecht in Bezug auf die Anwendung von IT in Organisationen. Es werden an alle Organisationen dieser Welt ganz spezifische Anforderungen gestellt, die im Prozess der Zivilisation entwickelt wurden und als Datenschutzrecht - in der aktuellen Inkarnation der Datenschutzgrundverordnung der EU (DSGVO), und dort in den "Grundsätzes" des Artikels 5 - auskristallisierten, mehr als die DSGVO ist gegenwärtig politisch offenbar nicht drin, aber immerhin. Denn Datenschutz operationalisiert Grundrechte. Was sind Grundrechte? Grundrechte sind Abwehrrechte von Personen (also Risikonehmer) gegenüber Organisationen (als asymmetrisch ungleich stärkere Risikogeber). Wobei es noch gar nicht um die notorisch unsichere Informationstechnik geht, die Organisationen benutzen, wenn sie Menschen als Objekte behandeln, sondern es geht darum, dass Organisationen in das Handeln und Denken von Personen eingreifen. Jedenfalls: In diesem Kontext nicht von Organisationen zu sprechen verschleiert die durch Technik ungeheuer angewachsene Macht der Organisationen. Prof. Schinzel wirft am Ende wieder einen Schleier über das, was zuvor dankenswert professionell ins Licht gestellt wurde.

Leider ist der mäßig geratene Artikel von Prof. Schinzel in dieser FIfF keine Ausnahme. So befasst sich Frau Tornow mit der "Beurteilung des Datenschutzes anhand ausgewählter Kriterien" (S. 30ff). Sie stellt heraus, dass die Mühen der Einarbeitung in gesetzliche Grundlagen abschreckend hoch sei; zu komplex sei das Ganze für den normalen Menschen. Sie stellt dann ein kriterienbezogenes System vor, das für alle Nutzer einen umfassenden Überblick zum Schutz der eigenen personenbezogenen Daten ermöglichen soll. Es geht ihr, entgegen der Zusage im Titel, dann aber doch nicht um Kriterien für Datenschutz, sondern nur um Kriterien für Datenschutzerklärungen. Kriterien... na da wollen wir doch mal sehen, ob Frau Tronow die Schutzziele nacherfindet, flüstert mir mein interner Coleser an meine inneren Anklangnerven. Oder ob sie zumindest in die semantische Nähe von diesen gerät. Frau Tornow diskutiert und verwirft sehr kurz das ohnehin obsolete BDSG, die ebenso obsolete EU-Richtlinie 95/46/EG und das demnächst gleichfalls obsolete Privacy Shield. Okay, ist alles abgestandenes Zeugs, sie hatte offenbar keine Lust, noch mal Arbeit in die Lektüre der DSGVO reinzustecken, ein bißchen Pfusch, den verstehe ich, der sei ihr verziehen, ihr Modellierungsansatz kann trotz des obsoleten Regelbezugs frisch sein.

Und dann listet sie ihre Kriterien auf und mir verschlägt es den Atem: Sie hat ihr Regelwerk und ihren Kriterienkatalog nicht durch eine Abstraktion der bestehenden Regelwerke des Datenschutzes gewonnen, gar an den Grundrechten, sondern durch Analyse der Datenschutzrichtlinien von Facebook, Amazon, Valve und DropBox. Sie versteht offenbar nicht, dass man von ihr, bei ernsthaftem Interesse an Datenschutz, verlangen darf oder auch muss, nämlich für einen Moment das Humesche Problem zu ignorieren und zu versuchen, aus einem verpflichtend bestehenden Normenwerk (Datenschutzrecht) ein dazu passendes funktionales System zu generieren. Erdiger formuliert: Sie versteht den normativ-regulatorischen Stellenwert der Grundrechte nicht. Stattdessen nimmt sie irgendwelche Kriterien höchst verdächtiger Quellen, weil diese ihr offenbar nützlich und funktionaler erscheinen. Es geht ihr dann, und das ist typisch für fehlendes Grundrechteverständnis von TechnikerInnen, wesentlich nur noch um Transparenz, Transparenz wird zum Selbstzweck. Typisch für einen durchökonomisierten Blick auf Grundrechte, wonach Selbstbestimmung durch eine möglichst große Auswahl an Angeboten umsetzbar ist, die man nur überblicken können muss.

Ich kann sehr gut verstehen, dass man Datenschutzrecht für kompliziert hält. Ich verstehe sogar noch viel besser, dass man auch so gar nichts mehr von Datenschutzaufsichtsbehörden erwartet und man sich dort nicht einmal mehr umsieht, was diese vielleicht zur Lösung von Datenschutzkonflikten verlautbart haben. Aber die überbordende Fachliteratur der letzten 30 Jahre zu Themen wie "Kriterien für einen wirksamen Datenschutz" schlicht vollständig zu ignorieren? Das ist für einen FIfF-Artikel inakzeptabel schlecht. Gerade seit 2010 hat eine sehr wichtige Konsolidierung von Datenschutzkriterien ("Gewährleistungsziele") im Kontext des Standard-Datenschutzmodells stattgefunden, die einen reflektierten Versuch der Abstraktion, Generalisierung und Operationalisierung von Datenschutz-Anforderungen zum Zwecke der technisch-organisatorischen Umsetzung darstellt. Wenn also nicht einmal die kritische Technikintelligenz um den Status des Datenschutzrechts und um die Aktivitäten des operativen Datenschutzes weiss, dann ist das im Kontext des Verflüchtigens von Datenschutz eine weitere analytische und politische Katastrophe. Immerhin: Das Beurteilungssystem für Datenschutz-Maßnahmen, das Frau Tornow dann im Anschluss entwickelt hat, ist es durchaus wert, sich näher damit zu befassen.

Ich könnte weitere der Beiträge aus der FIfF diskutieren. Bspw. verschwimmt bei der Frage nach der Konditionierung von Robotern (Schott/ Sichtung) ganz typisch, wie schon bei Frau Schinzel, die klare Adressierbarkeit der Verantwortung für Entwicklung und Einsatz von Techniken. Auch der Artikel, der die Frage nach dem nun aber mal ganz echten Wert personenbezogender Daten (Krüger) bewegt, ist von bedrückender Trivialität; allein angesichts der seit mindestens 60 Jahren währenden Diskussion zur Ökonomisierung von Grundrechten. Dabei ist die Diskussion entschieden: Eine Ökonomisierung des Rechts entspräche dem Auflösen des Rechts, zugunsten wirtschaftlicher Entscheidungen. Es ist gerade das Kennzeichen der Moderne, dass mit ihr Recht, Wirtschaft und Wissenschaft funktional differenziert und eigensinnig sich selbst begründend stabilsiert wurden.

An diesen thematisch wichtigen und im Grundsatz gehaltvollen Beiträgen wird deutlich, was leider auf viele FIfF-Artikel zutrifft: Viele Autoren haben kein hinreichend entwickeltes Verständnis von Grundrechten oder von deren Operationalisierung durch Datenschutz; und sie haben ebenso wenig einen Begriff von Gesellschaft. Sich in beiden Semantiken auszukennen bekommt man allerdings auch nicht geschenkt. Und wenn man begrifflich rumpfuscht - unter Datenschutz irgendwie nur IT-Sicherheit für personenbezogene Daten und unter Gesellschaft wenig mehr als eine Ansammlung vieler Menschen versteht -, dann passiert eben genau das, was Prof. Schinzel beim unkritisch analogisierenden Gebrauch des Algorithmen-Begriffs zu Recht beklagt, nämlich dass die Semantiken verwässern. Mit der Folge, dass man keine ernsthafte Kritik mehr formulieren kann, allenfalls noch zu skandalisieren und zu moralisieren übrig bleibt; und es immer schwieriger bis unmöglich erscheint, überhaupt noch klare politische Anforderungen an verantwortliche Adressaten zu formulieren. Der Adressat für Anforderungen ist nicht "die Technik" unmittelbar, und die Anforderungen sind auch nicht irgendwelche und zu kompliziert, sondern es sind Technik verwendende Organisationen, die Grundrechte einzuhalten haben.

Rezension des Buches: "Aleksandra Sowa: Digital Politics"

(Original-Veröffentlichung am 15.12.2017, V1.1b)

> Aleksandra Sowa, 2017: Digital Politics - So verändert das Netz die Demokratie - 10 Wege aus der digitalen Unmündigkeit, Dietz-Verlag, 184 Seiten, 14.90 (Gliederung und Leseprobe / Interview mit Autorin)

Ich nahm vor wenigen Tagen an einem Stelldichein insbesondere hochschulnaher Startups in Kiel teil. Gut 40 Personen waren im Raum, es waren vier Vorträge a 12min30 angekündigt, wir saßen auf spontan aus den verschiedenen Büros zusammengetragenen Stühlen. Im Gespräch mit meinem linken Sitznachbar erfuhr ich, dass er aktuell eine App entwickle "mit KI". Und auch mein rechter Sitznachbar war ein Softwareentwickler, das Projekt war ungleich größer, und er endete ebenfalls mit dem Hinweis auf "KI". In beiden Fällen guckten mich meine Gesprächspartner zum Schluss ihrer Kurzvorstellungen fest an und erwarteten wohl, dass ich mich beeindruckt zeigte, wegen "der KI". Stattdessen musste ich mir beim zweiten Mal das Lachen verbeißen... So so, was mit "KI". Das erinnerte mich an die vollmundigen Ankündigungen von Marvin Minski Ende der 60er Jahre zur automatisierten Sprach-Übersetzung.

Wie man heute cool und nicht-geschichtsvergessen KI-Themen thematisiert, zeigt die Autorin Aleksandra Sowa in ihrem neuen Buch "Digital Politics", das ich in zwei Leseportionen verschlang. Die Autorin hat mich thematisch bestens mit einem perfekten Sound abgeholt.

Das Buch lässt sich leicht lesen und quillt trotzdem vor neuen und wirklich interessanten Thesen und überzeugenden Urteilen nur so über. Wie bekommt man soetwas hin? Sowa setzt beim Leser einige Kenntnisse voraus, die man inzwischen auch voraussetzen darf. Mir war bspw. nicht klar, dass man Weizenbaums Eliza nicht nur nicht mehr vorstellen muss, man DARF Eliza nicht mehr vorstellen, wenn man nicht langweilen will. Dass man derartig anspruchsvoll und trotzdem nicht anstrengend schreiben kann, habe ich aus diesem Buch gelernt. Sowa setzt bspw. voraus, dass ein* Leser*in weiss, was ein Turing-Test ist, auch den muss man nicht mehr erklären. Sie setzt darauf, dass man den Witz schlicht kapiert, wenn einem intelligent erscheinenden Irgendwas ein Apfel in die Hand(?) gedrückt wird, um beobachten zu können, wie dieses Irgendwas diesen Apfel ißt(?). Ihre These: Selbst ein solch anspruchsvolles Test-Setup würde heutzutage nicht dazu führen zu klären, um was es sich bei diesem Irgendwas handelt, um einen Menschen oder eine Maschine. Wow, ist die Robotik derart anspruchsvoll geworden? Allein diese Apfel-These war mir Anregung genug, das Setup eines weiteren anspruchsvollen Turing-Tests leichtsinnig spontan auszuweiten (so geschehen bei Twitter unter @Martin_Rost).

Anderes Beispiel: Im Kontext von Big Data hält sich die Autorin nicht lange dabei auf, die Unterscheidung von Korrelation und Kausalität zu erklären. Und wieder, Sie hat Recht, man darf von Menschen, die sich für das Thema der gesellschaftlichen Änderungen durch die Durchdigitalisierung interessieren, vollkommen zu Recht erwarten, dass ihnen diese Unterscheidung für die Bildung bspw. von Prognosen geläufig ist. Insofern reicht der Autorin ein Satz zu dieser Unterscheidung, um gleich zur These vorzustoßen, dass aufgrund positiver Korrelationen bessere Effekte erzielbar seien als aufgrund eines europäisch kultiviert theoriegestützten Zugangs zur Welt. Was dann aber genau nicht heißen muss, dass die Autorin deshalb auch das Einschlagen des robusten amerikanischen Wegs empfiehlt.

Ich weiss an einigen Stellen nicht, welche Großthese Sowa unter der Hand verfolgt oder welchem politischen Framing sie selber unterliegt. Das Buch ist schlicht intellektuell reizvoll und auf eine gute Art unterhaltsam. Vielleicht aber doch bemerkenswert: Das Buch ist im Dietz-Verlag erschienen, was politisch ein Statement sein dürfte.

Noch ein Beispiel für den den Thesenreichtum dieses Buches. Ich bin mir allerdings nicht sicher, ob das Nachfolgende genau so im Buch stand oder es inzwischen mein fortgesponnener Reim darauf ist. Es kommt aber auch gar nicht darauf an, die Urheberschaft zu klären, zumal das Buch zu einem außergewöhnlich großen Anteil aus Zitaten anderer Autor*innen besteht. Kann man einer Autorin ein größeres Kompliment machen als das, dass man die Thesen eines Textes dem eigenen Repertoire zuschlägt und sofort variiert? Sowa stellt die Idee vor, dass sich das Maß an Repräsentativität eines Parlaments durch Auswürfeln der Parlamentarierer verbessern ließe. Ja, was für eine schlagend überzeugende Idee! Sowa erwartet wieder von ihren Leser*innen zu wissen, dass ein besonders hohes Maß an Repräsentativität einer Untermenge durch ein besonders gutes Maß an Zufall beim Ziehen aus der Grundmenge generiert werden kann. Ein solches Szenario zur Bildung von Repräsentativität wird im Kontext der Digitalisierung sämtlicher Kommunikationen zu Entscheidungen denkbar. Dass die Filter der politischen Parteien zum Erreichen von Repräsentativität im Parlament schlecht sind, ist klar. Klar ist auch, dass die praktische Umsetzung des Vorschlags kompliziert wäre. Aber dass Digitalisierung nicht nur trivialerweise eine direkte Demokratie denkbar werden lässt, sondern auch zur Steigerung der Qualität von Repräsentativität führen könnte, dieser Gedanke war mir bislang nicht gekommen.

Dass ich viele Thesen des Buches originell finde, liegt natürlich an meinem kleinen Horizont. Aber es sind so viele Thesen enthalten, dass es einfach wahrscheinlich ist, dass für jede* Leser*in einige interessante dabei sein müssen. Ich könnte hier auch noch jede Menge weiterer Thesen vorstellen und ausführen... aber wozu? Mensch lese dieses Buch.

Zuletzt noch ein kritischer Punkt: Es ist klar ersichtlich, dass die Autorin sich bevorzugt im Kontext spannender Asimovscher Regeln und Einsichten bewegt. Damit hat sie einen ganz offensichtlich relevanten und anregenden Kontext aufgespannt. Ich wünschte mir jedoch für eine hoffentlich bald erfolgende überarbeitete Neuauflage, dass die Frage, wie zukünftige IT-Systeme für eine moderne (also: funktional-differenzierte) (Welt-)Gesellschaft zu gestalten wären, in einem weiteren Kapitel bearbeitet wird. Das Kapitel müsste "Grundrechte" und deren Operationalisierung durch Datenschutz behandeln. Denn die gut abgehangenen Grundrechte bspw. der EU-Grundrechtecharta bilden ein Prinzipienset, dessen ideenleitende Bedeutung für eine vernünftige Gestaltung von IT-Systemen bislang kaum hinreichend erfasst wurde.

Ich habe jedenfalls schon mal grob die Weihnachtsgeschenksituation überschlagen und gleich 5 Exemplare bestellt. Man muss schon was dafür tun, um mit Freunden über die wirklich interessanten Themen diskutieren zu können.

Sprungstöckchen

(Original-Veröffentlichung am 07.02.2019, V1.1)

Dr. Veil lässt nicht locker in seinem Bestreben, seine vermeintliche Entdeckung anzupreisen, Datenschutz sei ein Projekt verwirrter Verfechter und die DSGVO ein Regelungsmoloch mit vollkommen überzogenen Anforderungen
( https://www.cr-online.de/blog/2019/02/06/die-schutzgutmisere-des-datenschutzrechts-teil-i/ )

Präsentiert wird eine vermeintlich absurde Liste mit divers "gefühlten" Thesen zum Schutzgut des Datenschutzes. Tenor des Kommentars zur Auflistung: Die Datenschützer wissen ja nicht mal, was sie da regeln wollen, so diffus wie der Ausweis der Schutzgüter ausfällt (wobei auch Personen als Datenschützer aufgeführt werden, denen allenfalls an einer Simulation von Datenschutz-Compliance gelegen ist). Dabei ist es einfach, eine schlüssige Ordnung in diese durchaus verdienstvolle Auflistung der verschiedenen Aspekte bzgl. des Schutzgutes zu bringen. Herr Veil ist fleissig.

Eine Ordnung in diese Liste hineinzubringen gelingt dann, wenn man die Operationalisierung von Grundrechten durch Datenschutz eben nicht für ein absurdes Ansinnen hält und das ordnungstiftende Kriterium ausweist und zumindest vorläufig als Prüfgröße akzeptiert. Dass Ordnung einer Konstruktion bedarf bzw. eine Konstruktion "ist", und sich nicht einfach in der Sache liegend offenbart, kann man seit Bentham und Kant wissen. Zum Thema "absurde Auflistung"… muss ich noch, wie vermutlich alle Leser*innen von Foucaults "Ordnung der Dinge" (Foucault 1994: Ordnung der Dinge, Suhrkamp) sofort verstehen, eine Anmerkung dazwischenschieben. Denn wenn jemandem in propagandistischer, Nebelkerzen werfender Absicht an einer absurden Auflistung gelegen ist, dann sollte dieser zumindest die Referenz für absurde Listen kennen und diese Qualität dann auch bitteschön anstreben:

„a) Tiere, die dem Kaiser gehören, b) einbalsamierte Tiere, c) gezähmte, d) Milchschweine, e) Sirenen, f) Fabeltiere, g) herrenlose Hunde, h) in diese Gruppierung gehörende, i) die sich wie Tolle gebärden, j) die mit einem ganz feinen Pinsel aus Kamelhaar gezeichnet sind, k) und so weiter, l) die den Wasserkrug zerbrochen haben, m) die von Weitem wie Fliegen aussehen.“ (https://tierphilosophie.wordpress.com/2013/08/09/1-tiere-die-dem-kaiser-gehoren-die-ordnung-der-alten-chinesischen-enzyklopadie-michel-foucault/)

Datenschutz ist die Operationalisierung des kategorischen Imperativs - nicht im Verhältnis Mensch-Mensch, sondern Organisation-Mensch - im Kontext der modernen, und das heisst: funktional-differenzierten, Gesellschaft. Wer das bestreitet sieht sich aufgefordert, einen anderen konzeptionellen Anker auszuweisen. Datenschutz beobachtet, kommentiert und gestaltet die Konfliktstruktur/Beziehung Organisation-Mensch. Und wer das bestreitet sieht sich aufgefordert, eine andere soziologische, also theoretisch und empirisch zugängliche, Verankerung von Datenschutz auszuweisen. Das Datenschutzrecht reagiert auf diese Konstellation, insofern pflege ich einen überpositiven Rechtsgutsbegriff. Der Konflikt liegt voraus und ist objektiv, die Formung der Bearbeitung ist dann eine Funktion des Rechts. Deswegen kann Datenschutzrecht Datenschutz nicht begründen, und Datenschutzrecht bietet auch keine hinreichende Ausdrucksform für Datenschutz als gesellschaftlichem Gesamtphänomen. Die Asymmetrie zugunsten von Organisationen, insbesondere des Staates, gegenüber Personen, normativ zu konditionieren ist dann wiederum der Ausgangspunkt des Datenschutzrechts.

Wenn man das akzeptiert, lässt sich ausnahmslos jeder Eintrag der Liste der vorgeschlagenen Schutzgüter zumindest als Ableitung (etwa die "contextual integrity" von Helen Nissenbaum) zwangslos und leichter Hand einordnen. Es mag sein, dass den verschiedenen Autoren diese Verankerungsmöglichkeit ihrer Thesen in der Konditionierung der Machtasymmetrie gar nicht ganz klar ist. Selbst wer dieser Definition der Funktion des Datenschutzrechts nicht zustimmt, kann kaum umhin, die Ordnungsleistung der These anzuerkennen. Vielleicht kann man eine andere bessere These formulieren? … Bitteschön! Organisationen in modernen Gesellschaften sollen grundrechtlich das Handeln und Sprechen von Personen, denen gesellschaftlich in der Moderne unabweisbar Freiheit zugemutet und diese zu gestalten abgefordert wird, nicht allzuständig wie in vormodernen Gesellschaften (oder zeitloser formuliert: in generell totalitären Staatsformen) sondern allenfalls arbeitsteilig und nur in spezifischen zweckförmigen Ausschnitten präformieren dürfen. Das setzt insbesondere die Beherrschbarkeit der von den Organisationen verwendeten Techniken, insbesondere der Informations- und Kommunikationstechniken, voraus (vgl. Steinmüller 1973/1993). Das ist die normative Anforderung, die sich unabweisbar in den 1970er Jahren in Zentraleuropa unter dem Stichwort " Datenschutz" erstmals herausgebildet hatte, die als erste Ahnung mit Warren/Brandeis, bei denen die schnelle Bildentwicklung von Kodak den Trigger ihrer Emporung ausbildete, schon so um 1860 aufschien. Das kann man alles wissen (endlich zusammengeführt und theoretisch gut aufgerauht bei Pohle 2018 nachlesbar).

Die meisten aufgeführten Thesen der Auflistung sind Ausprägungen des Zugriffs übergriffiger Organisationen auf Personen oder Schutzmaßnahmen gegen diese. Organisationen sind allerdings nicht in Form moralischer Verfehlungen ihres Personals übergriffig, sondern als strukturell induzierte Imperative der Risikominderung in ihren jeweiligen Domänen (vulgo: "Funktionssystemen" (Luhmann)). Unternehmen versuchen zwangsläufig und immer das gesamte Wasser in ihre Tränken und auf ihre Mühle zu geben und Märkte trockenzulegen; die Exekutive unter Druck ist bereit, jede Gewaltenteilung und Mandantentrennung auszutricken und byzupassen; Institute pflegen nicht Diskurse, Theorien und Methodenvielfalt, sondern entmutigen diese usw. usw. Risiken werden immer auf Schwächere - Betroffene - externalisiert. Dieser strukturell durch Organisationen bestehende Druck verlangt vom operativen Datenschutz fortwährend, noch in jedem betroffenen Einzelfall sowohl das allgemein Gesellschaftliche als auch das besondere Persönliche wahrzunehmen und zu bearbeiten.

Das abstrakte, gesellschaftliche Schutzobjekt des Datenschutzes ist insofern die normative und operative Konditionierbarkeit der asymmetrischen Machtbeziehung zwischen Organisationen und Personen im Kontext einer funktional-differenzierten Gesellschaft, während das Schutzgut des Datenschutzrechts die parteiisch-entschiedene zumindest normative und wirksame Resymmetrisierbarkeit des Verhältnisses von Organisationen und Rollen im Kontext einer funktional-differenzierten Gesellschaft ist. Datenschutzrecht muss parteiisch sein und Datenschutzaufsicht entsprechend parteiisch agieren, weil ein neutrales Berücksichtigen aller Interessen allein die vorausliegende Asymmetrie nur bestätigte. Gesellschaftstheoretisch unaufgeklärte Jurist*innen können den Legitimationsanker für ihre Aktivitäten nur verkürzt unmittelbar in der Persönlichkeit von Menschen liegend sehen, wenn sie über keine Theorie des Zustandekommens von Persönlichkeit verfügen (persona… Schauspielermaske -> Wikipedia). Das alles ist der Gegenstand einer jeden Grundrechtedebatte und insbesondere rechtsphilosophischer Seminare oder Publikationen von abwägenden Verfassungsgerichten etwa in Karlsruhe oder Strassburg.

Das Datenschutzrecht und die mit der Kontrolle beauftragten Organisationen nehmen dabei nicht nur Partei für unmittelbar konkret betroffene Personen, sondern formen moderne Rollenkonzepte mit, die die Organisationen in der Moderne ihrem Personal bereitstellen, nämlich die Rollen Bürger, Kunde, Patient, Petent, User, Mitglied, Mitarbeiter usw. Weil Rollen immer einen Bezug zu konkreten Personen, die diese Rollen aktiv ausfüllen, als auch zu gesellschaftlichen Strukturen (Gewaltenteilung, Markt, Diskurse verschiedener Paradigmen) innehaben, müssen Datenschutz-Aufsichtsbehörden immer auch den strukturell-gesellschaftlichen Aspekt ihrer Aktivitäten ins Auge fassen. Datenschutz-Aufsichtsbehörden sind keine Beschwerde-Annahmestellen mehr - so sind sie mal Mitte der 70er Jahre gestartet -, deshalb muss ihr Personal heute tatsächlich Kompetenz bei der aktiven Gestaltung von Verarbeitungstätigkeiten aufweisen. Und deshalb ist das Schutzobjekt der Datenschutz-Aufsichtsbehörden - nur um die Trinität Datenschutz, Datenschutzrecht, Datenschutzaufsicht zu vervollständigen - Rollen, die von Organisationen sozial erzeugt werden, vom Recht geleitet im Kontext der modernen Gesellschaft zu gestalten.

Ich bin mir ziemlich sicher, dass Herr Veil das alles mehr oder weniger längst weiss, vielleicht nicht in dieser Auflösung, und sicher nicht mit diesen Worten und Kategorien. Aber es war immer schon spaßiger, den Mephisto zu mimen.