Ideengeschichte des Privacy by Design – Teil 7: Herausforderungen erkennen und gestalten
23.11.2016
[IITR – 23.11.16] Die Herausforderungen der Gegenwart sind kaum ansatzweise bewältigt. Künftige Herausforderungen durch die IT werden gerade erst formuliert – und ihre Implikationen sind mit dem klassischen Datenschutzverständnis nur noch schwer zu greifen. Autonome Fahrzeuge werden Nutzern mit datengespeistem Rundum-Komfort versorgen und die Verkehrsinfrastrukturen revolutionieren. Vor kurzem wurde eine Internet-der-Dinge-Botnet-Attacke gesichtet, bei der es sogar erfahrenen Security-Experten etwas schwummrig wurde. Die Juristin und Big-Data-Praktikerin Yvonne Hofstetter warnt nimmermüde vor den Gefahren von Big Data und entfesselter Künstlicher Intelligenz. Ihr letztes Buch über „Das Ende der Demokratie“ müsste nach der Präsidentschaftswahl in den USA in aller Ohren klingen. Erste zivilgesellschaftliche Ansätze wie „Algorithm Watch“ versuchen das Problem der Algorithmen-Steuerung zu adressieren.
Keine praktische Handhabe bei Scoring
Der Hamburgische Datenschutzbeauftragte Johannes Caspar zeigt sich gegenüber diesen Fragen zumindest aufgeschlossen, aber er räumt auch unumwunden ein, dass ihm in vielerlei Hinsicht die Hände gebunden sind: Rechtlich werden die Implikationen algorithmengesteuerter Maschinen bisher nur minimal adressiert.
Außerdem greifen die rechtlichen Mittel nicht richtig: So gibt es zwar seit 2009 den als fortschrittlich gepriesenen Scoringparagrafen §28b im BDSG, der den Datenschutzaufsichtsbehörden das Recht einräumt zu prüfen, ob der Berechnung ein „wissenschaftlich anerkannten mathematisch-statistischen Verfahren“ zu Grunde liegt. Doch in den letzten sieben Jahren hat keine einzige Aufsichtsbehörde ein eigenes oder unabhängiges Gutachten erstellen lassen. Allein Caspar erwog zumindest, das Scoring-Verfahren der Auskunftei Bürgel zu prüfen, doch mangels finanzieller Ressourcen wurde der Plan wieder ad acta gelegt. Der angefragte Gutachter hätte mehrere zehntausend Euro in Rechnung stellen wollen. Überdies hätte das Ergebnis des Gutachtens auch kaum etwas über die Tiefe des Grundeingriffs aussagen können. Wissenschaftlichkeit allein bewahrt nämlich nicht vor Grundrechtsverletzungen.
Die Aufsichtsbehörden befinden sich aber nicht nur in Sachen Scoring derzeit in einer Art Blindflug. Um das Bild noch etwas zu konkretisieren: Sie verfügen auch nicht über ein modernes Flugzeug incl. Autopilot, sondern über eine Art Gleitsegler, mit dem sie hier und da den Kurs mit einem Propellerchen geringfügig korrigieren können. Der Pilot hat zwar eine Nachtsichtbrille, aber deren Brenn- und Reichweite kann er nicht ordentlich fokussieren, weil wichtige Schräubchen vom Hersteller vergessen wurden.
Navigationshilfe Datenschutz-Folgenabschätzung
Eine Art Navigationshilfe soll ab 2018 die Datenschutz-Folgenabschätzung leisten, die Unternehmen und Behörden nach Artikel 35 der Datenschutz-Grundverordnung bei voraussichtlich hohen Grundrechtsrisiken durchführen müssen. Die Aufsichtsbehörden definieren über eine Liste von Verarbeitungsvorgängen, was geprüft werden muss. Das setzt allerdings voraus, dass sie diese konzeptuell bereits erfasst haben. Abseits vom Grundrechte-Risiko ist eine Folgenabschätzung notwendig, wenn etwa wie beim Scoring persönliche Aspekte systematisch und umfassend bewertet werden. Auch wenn sensible Daten bzw. strafrechtliche Verurteilungen umfangreich verarbeitet werden. Oder wenn – Stichwort Videoüberwachung und RFID – öffentlich zugängliche Bereiche systematisch und umfangreich überwacht werden.
Die Folgenabschätzung muss am Ende eine systematische Beschreibung aller Verarbeitungsvorgänge enthalten. Sie muss deren Datenschutzaspekte benennen, die Verhältnismäßigkeit und das Risiko bewerten und angemessene Abhilfemaßnahmen benennen, zu denen auch Privacy-by-Design-Techniken nach Stand der Technik gehören werden.
Dieses Instrument probierte als Erster John Borking in den 90er Jahren für den Datenschutz aus, als er von Xerox zur niederländischen Datenschutzaufsicht, der Registratiekamer, wechselte. „Wir wollten mit einer Technikfolgenabschätzung von Software-Agenten Anreize finden, um Gefährdungen der Privatsphäre in den Umgebungen zu verhindern, in denen kryptografische Mittel nicht möglich oder gesetzlich nicht erlaubt waren“, erzählt Borking. Ein Ergebnis dieser Technikfolgenabschätzung war die Entwicklung regelbasierter Privacy-Management-Systeme auf Basis von Privacy-Ontologien.
Wie aber war Borking überhaupt auf die Idee gekommen, eine Technikfolgenabschätzung durchzuführen? Prägend für diesen neuen Ansatz war wiederum Borkings Management-Erfahrung bei Xerox: „Unser grundlegender strategischer Rahmen basierte auf unserer Vision und Mission“, erzählt er: „Um diese zu erfüllen, mussten wir eine weltweite Strategie entwickeln. Wir schrieben Szenarios, die auf gesellschaftlichen und technologischen Entwicklungen basierten und wandten die Ergebnisse in unserer Forschung und unseren Technikfolgenabschätzungen an.“
Als Borking zur Registratiekamer kam, formulierte er mit seinen Mitarbeitern als erstes eine Vision und Mission und diskutierte, mit welcher Strategie sie am besten erfüllt werden könnte. Im Rahmen einer SWOT-Analyse zeigte sich 1994, „dass unsere rechtswissenschaftliche Kompetenz stark war, dass wir aber so gut wie nichts über Informations- und Kommunikationstechnologien wussten, geschweige denn über technologische Anreize.“ Außerdem stellte sich heraus, „dass wir nicht proaktiv handelten und dass wir eine Haltung einnahmen, die man mit ‚Abwarten und dann mal weitersehen‘ beschreiben könnte.“
Um das zu ändern, entwickelte Borking mit seinen Mitarbeitern mehrere Management-Pläne. Ein Plan bestand darin, jedes Jahr eine Technikfolgenabschätzung für kommende Technologien durchzuführen. Die PETs waren das Ergebnis der ersten Technikfolgenabschätzung im Jahr 1995. Später folgten Datamining, Biometrie, Software-Agenten, Public-Key-Infrastrukturen und Kryptografie.
„Zunächst schien die Sache mit den Technikfolgenabschätzungen zu groß für unsere kleine Behörde zu sein“, erinnert sich Borking. „Wir hatten nur einen Techniker und nur rund 35.000 Euro für Forschung. Aber ich kannte von Xerox noch einen der Leiter des TNO-Labors, wo man sich mit Technikfolgenabschätzung befasste. Zu der damaligen Zeit arbeitete TNO nur für die Armee und die Marine, doch da der Geldgeber, das niederländische Wirtschaftsministerium, nach dem Fall der Berliner Mauer eine stärkere Öffnung hin Richtung Zivilgesellschaft forderte, kam ich im richtigen Moment.“ So wurde die niederländische Datenschutzaufsicht zum ersten zivilen Kunden von TNO.
Die Zusammenarbeit mit TNO ging bis in das Jahr 2002, als Borking die Datenschutzaufsicht verließ. Borking war damals der einzige in der Behörde gewesen, der SWOT-Analysen, Szenarios und Technikfolgenabschätzung als wichtige Management-Werkzeuge ansah. Entsprechend verlor die Behörde nach seinem Weggang diesen proaktiven Ansatz. Der Jurist Peter Hustinx, der damalige Behördenleiter und spätere Europäische Datenschutzbeauftragte, war nicht weiter daran interessiert.
Erste Ansätze für eine Methodik
Die Datenschutz-Aufsichtsbehörden müssen sich nun mit Inkrafttreten der Datenschutzgrundverordnung erneut mit Technikfolgenabschätzungen beschäftigen. Im Moment haben sie aber keinen Maßstab mit dem sie bewerten könnten, ob die, die ihnen von Unternehmen und Behörden vorgelegt werden, überhaupt akzeptabel sind. Denn nach welcher Methodik die Folgenabschätzung erstellt werden muss, ist im Moment nicht geklärt.
Die Datenschutzbeauftragten oder der künftige Europäische Datenschutzausschuss müssten entsprechende Leitlinien erstellen. Auch die Bundesregierung könnte die Vorgaben für eine Datenschutz-Folgenabschätzung in ein Gesetz fassen und dabei die Regelungen der Datenschutz-Grundverordnung präzisieren. Aktivitäten in diese Richtung sind im Moment aber bei diesen Akteuren noch nicht zu erkennen. In den deutschen Aufsichtsbehörden findet, wenn überhaupt, eine eher unstrukturierte Risikofolgenabschätzung im Rahmen von Expertengesprächen statt.
Das Bundesinnenministerium hat sich in der Vergangenheit eher als Impulsgeber in eine entgegen gesetzte Stoßrichtung profiliert. Anders das Bundesforschungsministerium: In dessen Wirkkreis gibt es bereits erste Vorarbeiten im Rahmen des „Forums Privatheit“: So wurde ein Whitepaper veröffentlicht, das sich methodisch am Standard-Datenschutzmodell orientiert. Der Kassler Juraprofessor Alexander Roßnagel hofft, dass das Forum vom Bundesforschungsministerium weitergeführt wird und dass dann am Thema weitergearbeitet werden kann.
Ein entsprechender Antrag für eine Fortsetzung wurde bereits gestellt. Die Wissenschaftler wollen sich dabei unter anderem mit folgenden, ungeklärten Fragen befassen: Welche Methodik soll angewandt werden? Wie konkretisiert man den Bedarf für eine Folgenabschätzung? Muss man unterschiedlich vorgehen, je nachdem, ob man es mit einer Technik, einem System oder einem Dienst zu tun hat? Darf eine Folgenabschätzung für ein Produkt unabhängig vom Betriebssystem, auf dem es läuft, vorgenommen werden? Wie definiert man die Anforderung an eine Folgenabschätzung, wie prognostiziert man die Folgen? Und wie soll das mit Privacy by Design zusammenspielen, ohne das die Folgenabschätzung kaum Sinn machen würde?
Grundsätzlich stellt sich das Problem, dass die Datenschutzgrundverordnung die Hersteller nur in Ausnahmenfällen direkt verpflichtet: Nämlich dann, wenn die Nutzer direkt das Produkt nutzen. Wenn jedoch eine Behörde oder ein Unternehmen die Produkte einsetzt, sind sie als Datenverarbeiter der Adressat und nicht der Hersteller. Dann greift die Wirkung nur mittelbar über den Markt oder über die Aufsichtsbehörden.
„Wir haben also eine Regelung, die nur auf manche passt, obwohl sie für alle gilt“, seufzt Alexander Roßnagel. Und er sagt auch: „Es kann eine Situation eintreten, in der es ein echtes Problem gibt, Privacy by Design verpflichtend zu machen. Das müssen wir intensiv untersuchen.“ Die Mitgliedstaaten könnten aber im öffentlichen Bereich präzisere Regeln finden, ebenso im Bereich der Beschäftigungsverhältnisse. Diese könnte Brüssel bei der nächsten Novelle dann für alle übernehmen.
Entwicklung der juristischen Folgenabschätzung
Die Frage nach der Methodik ist keineswegs trivial. Die Technik-Folgenabschätzung hat zwar in Deutschland seit den 70er Jahren Tradition, doch eine einheitliche Methode gibt es bis heute nicht. Es haben sich allerdings verschiedene Herangehensweisen etabliert. Alexander Roßnagel prägte maßgeblich die Entwicklung der juristischen Folgenabschätzung. Dass er den Lehrstuhl für „Öffentliches Recht mit Schwerpunkt Recht der Technik und des Umweltschutzes“ hält, ist kein Zufall. Immer wieder übernahm er konzeptuelle Anleihen aus dem Umweltschutz in den Datenschutz. Beispielsweise übernahmen er für die Entwicklung des Datenschutz-Audits im Jahr 2000 im Auftrag des ehemaligen Bundesforschungsministers Jürgen Rüttgers mehrere Ideen aus dem Umwelt-Audit:
Roßnagel unterschied zwischen dem Audit für Prozesse und der Zertifizierung für Produkte. Überdies ging es ihm nicht darum, mit einem Audit den einmaligen Stand einer Organisation zu dokumentieren, sondern festzustellen, ob eine Organisation ein Verbesserungs-Lernsystem installiert hat. Ziel des Audits ist nämlich nach Roßnagels Überzeugung nicht die Prämierung der Erfüllung der gesetzlichen Minimalanforderungen – „Gesetze muss man befolgen, da muss man nicht einen Orden bekommen“ -, sondern die Prämierung dafür, dass man immer besser wird. Die Idee des Audits folgt damit der Idee des kybernetischen Regelkreises.
In der anschließenden intensiven Diskussion unterstützten Leute wie Alfred Büllesbach, damals Datenschutzbeauftragter von Daimler, und Thomas Königshofen, damals Datenschutzbeauftragter der Deutschen Telekom, diesen Ansatz. Widerstand kam aber vor allem von Seiten der Gesellschaft für Datenschutz und Datensicherheit (GDD), in der sich die Datenschutzbeauftragten kleiner und mittlerer Unternehmen organisieren. Sie sahen darin eine Überforderung und plädierten dafür, dass es genüge, die Gesetzeskonformität festzustellen. In dem Entwurf, den das Bundesministerium 2007 schließlich vorlegte, setzten sie sich durch. Roßnagel: „Die Betroffenen haben den potenziellen Aufwand abgewehrt. Sie wollten den Orden zwar, aber für lau. Das ist nachvollziehbar.“ 2009 wurde der Entwurf des Datenschutzauditgesetzes nicht verabschiedet und scheiterte.
Die EU-Kommission zog ihre Lehren aus dem deutschen Debakel und begnügte sich in ihrem Entwurf für die Datenschutz-Grundverordnung nicht mit Audits, sondern verlangte eben auch noch die Folgenabschätzung. Auch hier hatte Roßnagel bereits vorgearbeitet: So hatte er in Niedersachsen um das Jahr 2000 einen Mustertext für eine Technikfolgenabschätzung für IT-Großprojekte der öffentlichen Hand erstellt. Anhand des Musters wurde dann für ein X400-System in der Landesverwaltung eine 60-seitige Technikfolgenabschätzung erstellt.
Zur gängigen Praxis wurde Roßnagels Vorschlag nicht, denn schon 2002 wurde die entsprechende Formulierung im Landesdatenschutzgesetz wieder geändert. Paragraph 7, Abs. 3 aus dem Jahr 1993 hatte eine umfassende Prüfung der Auswirkungen auf die Rechte der Betroffenen und Wirkmöglichkeiten der Verfassungsorgane vorgeschrieben. Nun wurde die Folgenabschätzung gestrichen und durch ein Vorabkontrolle ersetzt. Die Prüfung wurde gleichzeitig auf mögliche Gefahren für Rechte der Betroffenen reduziert. „Die Auswirkungen auf Verfassungsorgane und damit zusammenhängende gesamtgesellschaftliche Gefahren, etwa für die demokratische Willensbildung, blieben nunmehr außer Betracht“, kritisiert das „Whitepaper Datenschutz-Folgenabschätzung“ des „Forums Privatheit“. Aus heutiger Sicht der niedersächsischen Staatskanzlei wurde aber „die Vorschrift nicht gestrichen, sondern nur durch eine Folgeregelung ersetzt“. Gründe dafür konnte sie „aus Kapazitätsgründen“ nicht in den Altaktenbeständen recherchieren. Möglicherweise hatte die Verwaltung einfach ihren Arbeitsaufwand reduzieren wollen.
Von größerem Einfluss auf die EU-Kommission wird die Diskussion um „Privacy Impact Assessments“ (PIA) gewesen sein, die sich am Thema RFID konkretisiert hatte. Vor allem Frankreich und Großbritannien stehen hinter dieser Entwicklung. Methodisch sind die PIAs jedoch im Moment bei weitem nicht so konsistent wie das erst später entwickelte Standard-Datenschutzmodell (SDM), da es sich primär an den klassischen IT-Sicherheitsschutzzielen orientiert. Insbesondere das Schutzziel der Nicht-Verkettbarkeit leidet darunter.
Vorsorge im Datenschutz
Aber auch das SDM könnte noch zu kurz greifen angesichts der Herausforderungen durch Big Data. Alexander Roßnagel: „Es gibt viele Situationen, in denen Daten gesammelt werden, die nicht personenbezogen sind. Man kann also alles damit machen. Gleichwohl können sie nachträglich personenbezogen werden. Dann sind alle Vorkehrungen zum Schutz des Betroffenen weg. Für diese Daten ist der Datenschutz also ausgehebelt.“ Die nächste Stufe des Datenschutzrechts müsste daher den aus dem Umweltschutz bekannten Gedanken der Vorsorge in den Datenschutz bringen. Ob konzeptuelle Anleihen aus dem Bundes-Immissionsschutzgesetz bei Big Data helfen könnten, lässt Roßnagel derzeit überprüfen.
Die Datenschutz-Aufsichtsbehörden müssten insofern auch die Fähigkeit entwickeln eine vorausschauende Datenschutz-Folgenabschätzung zu betreiben, wenn sie ihre politikberatende Rolle erfüllen wollen. Dabei könnten sie sich auch einiges bei der vom BMBF etablierten Innovations- und Technikanalyse abgucken, die klassische Technikfolgenabschätzung mit Innovationsforschung verbindet. Bei ihr geht es nicht nur um die Analyse neuer technischer Entwicklungen in ihrem sozio-ökonomischen Kontext, sondern auch um die Vorwegnahme sich abzeichnenden Entwicklungen. Dann wären sie auch in der Lage, die Entwicklung von Privacy-by-Design-Techniken nach dem Vorsorge-Vorbild von John Borking nachhaltig und konstruktiv zu begleiten.
Danksagung
Am Anfang dieses Texts stand 2015 tatsächlich nur die Neugier zu erfahren, was hinter der Fußnote „Borking 1995“ steckt. Nach und nach zeigte sich, wie viel tatsächlich sich dahinter verbarg – und dass vieles bislang nur Oral History gewesen war. Deutlich wurde im Zuge vieler Gespräche, dass die Entwicklung einer Idee, eines Konzepts immer vom Engagement, der Hartnäckigkeit und dem Optimismus einzelner Menschen abhängt.
Alle nicht weiter belegten Zitate in diesem Text gehen auf Gespräche zurück, für die sich viele Menschen Zeit genommen haben. Ohne ihre Geduld und Unterstützung hätte diese Serie nicht geschrieben werden können. Alle Unzulänglichkeiten und Auslassungen gehen allein auf mich zurück. Dafür möchte ich mich entschuldigen – und auch dafür, wenn ich jemanden in dieser Danksagung versehentlich übersehen habe.
Mein erster Dank gilt John Borking in den Niederlanden, der sich Zeit für ein langes Hintergrundgespräch nahm und über die Monate hinweg immer wieder meine Nachfragen beantwortete und den zwischenzeitlichen Textstand hellsichtig kommentierte. Auch Helmut Bäumler in Italien stand immer wieder für erkenntnisreiche Gespräche bereit. Danken möchte ich auch Marit Hansen, die mein erster Kontakt in die Welt des „Privacy by Design“ war. Sie war es, die mich auf einer Sommerakademie des ULD Ende der 90er Jahre erstmals für das Thema begeisterte – und in ihren Arbeiten fand ich auch die besagte Fußnote immer wieder. Sie hat sich wie alle Gesprächspartner ohne Zögern trotz ihres eng gestrickten Terminkalenders Zeit genommen, um meine mitunter etwas kleinkarierten Fragen zu beantworten.
An dieser Stelle möchte ich mich auch bei meinem Journalistenkollegen Georg Dahm bedanken, der mich für sein zwischenzeitlich leider auf Eis gelegtes Wissenschaftsmagazin „Substanz“ ermunterte, die Idee hinter Privacy by Design nicht entlang der technischen Entwicklung, sondern mit Blick auf die Menschen dahinter zu schreiben. Aufgrund dieser für mich etwas ungewohnten personenbezogenen Perspektive konnte ich auf einmal auch die spannenden Interviews verwenden, die ich ursprünglich Anfang der Nuller Jahre für eine Privacy-Köpfe-Serie für Telepolis geführt hatte, die aber nach 9/11 keinen Platz mehr fanden. Dazu gehörten etwa die Gespräche mit Lorrie Cranor, Hannes Federrath und Ross Anderson.
Im Zuge der Gespräche wurde mir erneut bewusst, wie viele Schätze der Privacy-Forschung bis heute noch nicht an die Öffentlichkeit gebracht wurden – und dass dies leider auch an den hochgetakteten Newszyklen des IT-Journalismus liegt. Ein schweres Versäumnis besteht zum Beispiel darin, dass die zentrale Rolle von Andreas Pfitzmann als theoretischer Informatiker bis heute von uns Journalisten nicht herausgearbeitet wurde. Seine Ausarbeitungen führten unter anderem dazu, dass das Bundesverfassungsgericht das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme 2008 formulieren konnte. Mir ist bewusst, dass ich seine unersetzliche Rolle auch in diesem Text leider nur andeuten konnte.
Auch wurde mir klar, dass ich viele Personen nur erwähnt oder noch nicht einmal genannt hatte, obwohl sie auch Teil dieser langen Entwicklung waren und mir ihre knappe Zeit geopfert hatten. Deshalb hoffe ich einiges noch an anderer Stelle nachtragen zu können. Achim Klabunde etwa konnte mir bei der Einschätzung es Entscheidungsprozesses innerhalb der EU-Kommission wesentlich weiterhelfen und damit mit einigen Mythen aufräumen. Auch Spiros Simitis, Michael Waidner, Gerrit Hornung, Jan Philipp Albrecht, Ralph Bendrath und Nils Leopold habe ich zu danken, die sich trotz konstant hoher Arbeitslast für meine Fragen Zeit genommen haben.
Beim Schreiben für „Substanz“ wurde bereits der erste Entwurf so lang, dass er erst einmal wieder überarbeitet werden musste. Weil ich jedoch keinen richtigen Weg in die Überarbeitung fand, verpasste ich leider den richtigen Zeitpunkt und Dahm stellte „Substanz“ ein. Mir war bewusst, dass ein Kürzen des Texts auf keinen Fall in Frage kommen konnte. Lange konnte ich aber keinen passenden Publikationsort finden. Deshalb gebührt Sebastian Kraska großen Dank, der nicht nur die Publikation des ursprünglichen Textes zusagte, sondern auch die weitere Ausarbeitung daran förderte.
Dank Sebastian Kraska konnte ich noch die Konflikte innerhalb des W3C dank Rigo Wenning, der seinen persönlichen Lernprozess erfrischend offen schilderte, aufgreifen. Neu hinzu kommen konnte auch die sehr aktuelle Geschichte des Standard-Datenschutzmodells, die ich ohne die Hinweise und Erklärungen von Martin Rost nicht schreiben hätte können. Alexander Roßnagel bin ich ebenfalls sehr dankbar, dass er sich Zeit nahm, mir einen Einblick in seine Entwicklung der Datenschutzfolgeabschätzung zu gewähren. All diese Instrumente werden bei der praktischen Durchsetzung von „Privacy by Design“ eine entscheidende Rolle spielen. Was nun unter anderem fehlt, ist eine gegenüberstellende transatlantische Perspektive des “Privacy by Design“, die aber dank Ann Cavoukians Publikationen wesentlich besser dokumentiert ist als die europäische Entwicklungsgeschichte. Und nicht zuletzt danken möchte ich den Lesern dieser Geschichte, die mit ihrem Feedback zu ihrer Weiterentwicklung beigetragen haben.
- Teil 1: Die Hand im Bienenstock
- Teil 2: Brückenbauer zwischen Informatik und Recht
- Teil 3: Entwicklungswege
- Teil 4: Wege in die Gestaltung
- Teil 5: Die Zurückeroberung der Nutzersouveränität
- Teil 6: Die Operationalisierung des Datenschutzrechts
Autorin:
Christiane Schulzki-Haddouti
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.