35C3 Intro Musik
Herald: Okay willkommen hier in
Eliza für den dritten Talk dieses Blocks
an diesem zweiten Tage hier. Uns wird
heute Rainer Rehak etwas über: "Was
schützt eigentlich der Datenschutz?"
erzählen. Und er wird uns eine kleine
Einführung mit einem strukturellen Blick
auf den Datenschutz gewähren, um uns ein
bisschen Debatten-Rüstzeug zu geben. Und
da würde ich euch bitten eine Runde
Applaus zu spendieren und Rainer
willkommen zu heißen.
Applaus
Rainer Rehak: Hallo.
Applaus
Rainer: Ja, Hallo, herzlich willkommen,
welcome und ni hao.
Ja, was schützt eigentlich der Datenschutz. Ich bin sehr
froh, hier sprechen zu dürfen, weil
vielleicht teilweise ein bisschen
pointiert als These, warum
Datenschützer*innen aufhören müssen von
individueller Privatheit zu sprechen.
Das ist ja immer so ein Thema was sich
durchzieht, wenn es um Datenschutz geht,
dann geht's gleich um die Privatsphäre und
das Innerste des Menschen. Das ist sicher
auch richtig. Aber meiner Ansicht nach ist
das ein bisschen zu klein und spielt
gerade den Personen in die Hände, die wir
eigentlich - ich sag jetzt mal wir - die wir
eigentlich mit der Argumentation
bekämpfen wollen, oder überzeugen wollen,
im besten Falle. Also erst mal zu mir: So ein
bisschen, dass man immer weiß, wer da
spricht, was für einen Hintergrund ich
habe, dass man das ein bisschen
einsortieren kann, inhaltlich. Ich bin
selber wissenschaftlicher Mitarbeiter am
Weizenbaum-Institut für die vernetzte
Gesellschaft. Meine Forschungsbereiche und
Forschungsinteressen so Technik-
Zuschreibungen also Funktions-
Zuschreibungen, IT-Sicherheit,
Datenschutz, Informatik und Gesellschaft.
Ich selber habe Informatik und
Philosophie studiert, an der Humboldt-
Universität zu Berlin, Freie Uni Berlin
und Chinese University of Hongkong.
Und habe auch meine Diplomarbeit geschrieben
über die heimliche Online-Durchsuchung,
und insbesondere um die gesellschaftlichen
Konsequenzen davon. Außerdem bin ich aktiv
im Forum InformatikerInnen für Frieden und
gesellschaftliche Verantwortung, bei
Amnesty International und bei der
Gesellschaft für Informatik.
Worum soll es heute gehen? Einen Fahrplan:
Erstmal will ich ein bisschen was über
Begriffe sagen, die dann fallen werden,
dann über das Problem, was es überhaupt zu
diskutieren gibt im Datenschutz. Dann gibt
es ein bisschen Theorie und
Operationalisierung. Operationalisierung
heißt: Wie man aus den ganzen
theoretischen Konstrukten dann tatsächlich
konkrete Handlungen ableiten kann. Dann
möchte ich was über die, auch in der
Beschreibung des Talks so ein bisschen
kritisierten Nicht-Lösungen sagen, konkret
darauf eingehen. Vielleicht, wenn sich da
Fragen anschließen werden wir auch eine
Q&A noch machen, dass wir das diskutieren
können zusammen. Dann werde ich ein Fazit
präsentieren und dann kommt noch eine
Literaturliste, Literaturhinweise. Die
Folien kommen dann auch ins frab, für
diejenigen unter euch die sich da noch
weiter einlesen wollen und das weiter
verfolgen wollen über diese Foundations-
Ebene hinweg. Also, erstmal die Begriffe.
Erst einmal, wenn man über Datenschutz
redet - im Englischen ist es ja noch
komplizierter, so mit Privacy und Data
Protection und so weiter - es gibt erstmal
so einen Begriffe-Mix, das wird dann auch
zusammen gehauen mit Überwachung und dann
ist das so eine Mischung. Deswegen will
ich das jetzt erstmal auseinanderziehen,
dass wir wissen worüber wir reden.
Erstens: Datenschutz selber ist ein
sozialwissenschaftlicher Begriff. Ich
werde die alle nachher so ein bisschen
mehr auffächern, insbesondere
Datenschutz. 'Datenschutzrecht' ist ein
juristischer Begriff und 'Datensicherheit'
ist ein informatischer Begriff.
Ich glaube, Datenschutzrecht, da haben wir
eine ganze Menge dazu jetzt schon gehört,
sowohl in den Medien, weil die, zum Beispiel
die Datenschutz-Grundverordnung ja wirksam
geworden ist 2018 jetzt im Mai. Und über
Datensicherheit haben wir hier mit
Sicherheit ja auch eine ganze Menge schon
gehört und gewusst. Der Witz daran ist,
dass das alles so ein bisschen
zusammengehört bei dem Thema, aber dennoch
diese Bereiche, oder diese Themen, jeweils
eigenen Diskurs-Regeln gehorchen. Und
wie bei allem ist es so, dass die Problem-
beschreibung selber auch die Lösung
so bisschen vordefiniert. Das heißt, der
Korridor, wo man hinschaut, was da irgendwie
als sinnvolle Lösung irgendwie in Betracht
kommt. Und welcher Informations-
oder welcher Daten-Begriff wird da
verwendet. Das ist auch eine
Schlüsselfrage, die ist gar nicht so schwer,
aber die muss gestellt werden. Und
die muss beantwortet werden. Jetzt mal
kurz als Überflug. Das Datenschutzrecht
schützt also Personen. Der
Anknüpfungspunkt dabei sind
personenbezogene Daten. Das kennt man ja
auch, weitläufig diskutiert. Und zum
Beispiel die Begründung, was schützt
eigentlich die Datenschutzgrundverordnung,
oder was setzt sie um, wäre im
juristischen, würde man sagen: Naja, die
setzt halt Artikel 8 der Charta der
Grundrechte der Europäischen Union um. In
der Informatik würde man sagen: Okay, das
leitet auf ein weiteres Terminal. 'Was ist
denn Artikel 8 der Charta der Grundrechte
der Europäischen Union?' Das ist so eine
Art, die Verfassung der EU. Zum Beispiel
als Vergleich mal mit dem deutschen
Grundgesetz. Auch da ist Artikel 1: Die
Würde des Menschen ist unantastbar. Sie
ist zu achten und zu schützen. Und Artikel
8, das der für die DSGVO besonders
relevante, ist 'Schutz personenbezogener
Daten'. Das steht da einfach genauso drin.
Und wenn der Schutz personenbezogener
Daten ein Grundrecht ist auf europäischer
Ebene, ist ja klar, dass jegliche
Datenverarbeitung dann auch eine
Verletzung von Grundrechten ist. Wobei die
Frage da bleibt: Ja, aber warum
eigentlich? Wenn man so ein bisschen vor-
rechtlich diskutieren will, wenn man sagt:
Wir schützen personenbezogene Daten.
Warum? Ja, weil wir ein Recht auf Schutz
personenbezogener Daten haben; ist es
richtig, aber unbefriedigend.
Aber zum Datenschutzrecht gibt es ja auf dem
Kongress auch eine ganze Menge anderer
Vorträge, es klang auch alle sehr
interessant. Deswegen würden wir jetzt
darüber nicht reden. Datensicherheit ist
eine Sache, wie ich bereits angemerkt
habe, die auch gerade im Chaos-Umfeld eine
große Rolle spielt. Das heißt, wenn man
sich anguckt was ist Datensicherheit:
üblicherweise Schutzziele zur
Vertraulichkeit, Integrität,
Verfügbarkeit. Wenn man so ein bisschen
Techie-mäßig drauf ist, würde man grob
verallgemeinern: Vertraulichkeit sind die
Leserechte, Integrität sind die
Schreibrechte, Verfügbarkeit sind die
Exekutiv-, die Ausführungsrechte. Ist
jetzt ein bisschen hingebogen, aber so
ungefähr kann man sich das vorstellen. Das
heißt Verfügbarkeit: ob so ein System für
mich funktioniert und den Service
abliefert, den ich haben möchte.
In der Datensicherheit geht es aber primär - also was
heißt 'aber' - geht es primär um die
Sicherheit von Geschäftsprozessen und von
vorhandenen Daten. Das heißt, die
Daten sind da, die müssen ordentlich
abgesichert werden, zugreifbar bleiben,
nicht verändert werden und so weiter. Seit
2008 haben Personen sogar ein Grundrecht
auf die Gewährleistung der Vertraulichkeit
und Integrität informationstechnischer
Systeme. Aber auch zur Datensicherheit
selber gibt es auf dem Kongress andere
Vorträge. Jetzt ist die Frage: Was ist denn
mit dem Datenschutz? Das heißt, wenn wir Rechte
haben, auf zum Beispiel den Schutz
personenbezogener Daten, guckt man in die
Richtung: Wie wird denn das motiviert? Und
dann kommt der Datenschutz selber ins
Spiel, als sozialwissenschaftliche
Diskussion, wer wird da warum eigentlich
wie geschützt? Und dazu kurz ein paar
Bemerkung zum gesellschaftlichen
Hintergrund. Also erstens: Wir leben in einer
arbeitsteiligen Gesellschaft. Das heißt,
verschiedene Menschen haben verschiedene
Aufgaben. Wir sind spezialisiert und ich
muss nicht Socken nähen können, um
mit Socken herumzulaufen, weil jemand
anders das kann. Ihr kennt das Spiel. Es
gibt eben Spezialisierung und niemand ist
sozusagen in allem spezialisiert. Diese
Arbeitsteilung hat auch Konsequenzen, wie
wir nachher sehen. Es gibt diverse Akteure,
die miteinander irgendwie funktional
interagieren. Vielleicht menschlich
interessiert es mich schon, wie es dem
Bäcker oder der Bäckerin gerade geht, aber
tatsächlich möchte ich da gerade Geld auf
den Tisch legen und mein Brötchen kriegen
morgens. Oder je nachdem, wann auch immer.
Das heißt, man tritt so funktional
irgendwie miteinander in Verbindung.
Und in dieser Gesellschaft gibt's dann eben
auch... da sind ja nicht alle Leute, die
da mitspielen nicht gleich mächtig
oder gleich fähig. Finanzielle
Unterschiede können das sein, das können
strukturelle Unterschiede sein. An dem
Fall jetzt zum Beispiel mit Individuum und
Organisation. Individuum ist eine
Person, die hat so Hände, und kann
irgendwie Dinge tun, und dann gibt es
Organisationen, die aus vielen Menschen
bestehen, aus Regeln, finanziellen Möglichkeiten,
rechtlichen Möglichkeiten und
so weiter. Und die sind natürlich
nicht gleich mächtig; haben verschiedene
Möglichkeiten, ihre Interessen
durchzusetzen. Das heißt, sie haben
verschiedene Möglichkeiten. Sie haben
verschieden große Macht, um in diesem
gesellschaftlichen Spiel
mitzumachen. Das sind Machtasymmetrien. Max
Weber sagt... kann man mit ihm sprechen:
"Macht ist die Chance, in einer sozialen
Beziehungen den eigenen Willen auch gegen
Widerstreben durchzusetzen, gleichviel worauf
diese Chance beruht." Kann man
unterscheidenden in Durchsetzungskraft:
also Dinge zu verursachen.
Verhinderungsmacht: Dinge nicht
stattfinden zu lassen, die dem eigenen
Interesse widersprechen, und
Definitionsmacht: Wie spricht man über
bestimmte Themen. Ein bisschen
Wahlcomputer, Wahlmaschinen und ihr kennt
die Geschichte. Jetzt ist die Frage: Ok,
das ist alles noch nicht technisch. Beim
Datenschutz, was uns für den Datenschutz
interessiert, ist an der Stelle, dass wir
in eine allgemeine allgegenwärtige
Computerisierung und Vernetzung haben.
Aka. Digitalisierung wird es seit ein paar
Jahren genannt, obwohl dieser Prozess seit
ungefähr 50 Jahren schon läuft. Und
wir haben automationsgestützte
Informationsverarbeitung, insbesondere von
Organisationen, also von staatlichen und
von wirtschaftlichen Organisationen.
Mittlerweile, oder seit einer Weile, ist es
schon so, dass da eben keine individuellen
Wahlmöglichkeiten mehr sind. Man kann sich
entscheiden kein Handy zu haben, aber wenn
man Steuern zahlt, muss man halt doch mit
dem ELSTER arbeiten. Egal ob es Rente,
Krankenkasse und so weiter... ihr kennt die
Geschichten. Man kommt da eben auch nicht
mehr raus. Es sei denn man zieht irgendwie
in den Wald und eine Höhle. Aber wenn man
sich dann verletzt, kann man vielleicht
einen Kräutertee trinken, aber wenn der
Arm ab ist, dann will man vielleicht doch
ein Krankenhaus.
Warum ist das relevant?
Naja, diese Informationsverarbeitung,
die Nutzung dieser Daten, die wird
verwendet, um Entscheidungen zu
produzieren. Entscheidungen produzieren
heißt: Wieviel Geld kann ich abheben. Was
ist die schnellste Route von A nach B. Was
sind irgendwie beste Freunde, die ich
vorgeschlagen bekomme. All diese Sachen,
das sind ja alles Entscheidungen, wo man
auch anders hätte agieren können, aber
Computer says... und so weiter. Kleine
Bemerkung natürlich: diese Entscheidungen werden
produziert, egal ob die Datenbasis korrekt
ist oder nicht. Die Ergebnisse sind da und
werden dann... wenn die Karte falsch
ist, landet man im Graben, zum Beispiel.
Okay, jetzt ist die Frage: Naja, wir reden
von Datenschutz und von
Informationsverarbeitung. Daten oder
Informationen, ganz kurz, wir sind noch in
der Begriffsphase. Also Daten im Datenschutz
meint Informationen, die Modelle eines
Sachverhaltes für einen Zweck sind. Das
ist jetzt erst mal ein bisschen viel auf
einmal. Aber wenn ich eine Glaserei betreibe,
dann interessiert mich natürlich bei einem
Haus was ich in meiner Datenbank eintrage:
Wie viele Fenster sind in dem Haus, wie
groß sind die Fenster, welche Art von
Format sind das und so weiter. Wenn ich
irgendwie eine Malerei betreibe dann
interessiert mich natürlich: Wie groß ist die
Fläche des Hauses und so weiter. Das heißt, ich
greife mir immer einen Ausschnitt aus der
Realität und modelliere den auf diesen
Zweck hin wofür ich es verwenden will,
dann bei der Datenverarbeitung. Das heißt,
es sind Modelle eines Realitäts-
Ausschnitts. Für einen bestimmten Zweck.
Und deswegen können wir nicht den
technischen Informationsbegriff von Shannon
nehmen. Also von wegen Abtastung und
welche Auflösung ist da und wie, ihr
kennt das so, mit 44 Kilohertz und CD und
nimm doch lieber die Goldstecker und so.
Das ist nicht der Punkt. Wir benutzen
einen der Semiotik, der sagt, Informationen
oder die Daten, aus Datenschutz,
bestehen aus Syntax, Semantik, Pragmatik
und Sigmatik. Syntax ist die zeichenmäßige
Repräsentation, also die Nullen und
Einsen. Semantik ist die Bedeutung.
Pragmatik ist der Zweck, für den diese
Daten erhoben worden sind. Wir erinnern
uns, die Glaserei oder die Malerei.
Und Sigmatik ist die betroffene Person.
Das heißt, wessen Haus das ist, oder so.
Als Beispiel könnte man sagen:
irgendwie so ein Tupel von
Nullen und Einsen, so ein
Zweiertupel. Die Semantik davon: Aha das
sind Geo-Koordinaten, das müsste im System
hinterlegt sein, eines Mobiltelefons.
Pragmatik: Der Zweck wäre die
Bereitstellung ortsabhängiger Services zum
Beispiel für eine Routenplanung, wo möchte
ich hin, wo gibt es eine Pizza oder so. Und
Sigmatik ist dann Maxi Musterfrau, weil das
die Person ist, deren Mobiltelefon das
ist, an der Stelle.
So ist die Situation. Das ist doch erstmal nett,
klingt irgendwie nützlich. Aber was ist
eigentlich das Problem jetzt? Die Technik,
die immer besser wird, und die Daten,
die gesammelt werden, Informationen,
die verarbeitet werden und
anhand derer Entscheidungen getroffen
werden, die wird immer besser, immer
effizienter nach bestimmten Kriterien,
aber sie hilft natürlich den
Organisationen, die sie verwenden, ihre
eigenen Interessen besser durchzusetzen.
Technik soll die Welt besser machen,
aber nicht für alle, sondern für die,
die sie einsetzen - und zwar für die, die
sie im besten Fall selber bauen
können und dann ihren eigenen
Vorstellungen gemäß formen.
Und das kann eben auch sein, dass bei
dieser Informationsverarbeitung
auch Grundrechte von Personen berührt
werden. Die klassische Diskussion ist
immer so Fragen von
Diskriminierungen oder Ungerechtigkeiten,
weil die Daten falsch sind oder sowas, so
Geschichten. Das heißt, wenn die Ergebnisse,
die da produziert werden - im
schlimmsten Falle auch vollautomatisch -,
dass sie Rechte von Menschen berühren und
die an der Stelle erst mal, weil sie ja
Gegenstand - der Automat sagt halt: "Du
kriegst kein Geld" oder "in diesem Monat
ist alles schon aufgebraucht", dagegen
kann man jetzt erst mal nichts tun.
Das heißt, da ist sozusagen eine direkte
Konsequenz dieser Datenverarbeitung auf
Menschen, auf Menschengruppen oder auf
ganze Gesellschaften. Allerdings muss man
auch sagen, diese Datenverarbeitung
ist wünschenswert, weil sie uns auch
was bringt. Also es ist nicht so, dass
DatenschützerInnen selber am liebsten
zurück in die besagte Höhle wollen, wo das
Feuer komplett verständlich ist.
Nein, wir wollen diese informations-
technischen Systeme, die uns
das Leben erleichtern, die wollen wir alle
haben, aber die Effekte, die negativen,
die es auf Menschen hat und auf
Gesellschaften, die wollen wir minimieren.
Und da hilft es natürlich, wenn man
mit Technikerinnen und Technikern redet.
Ja klar, man kann Systeme auf
verschiedene Arten bauen, man muss halt
nur vorher sagen, was man haben will.
Und jetzt, wenn man die Probleme mal so
konkretisiert, würde man sagen: 1.
Datenverarbeitung ist wünschenswert, aber
es gibt innerorganisatorische
Datenverarbeitung oder
Informationsverarbeitung, das heißt, ich
kann ja selber überlegen, was ich
vielleicht einer Organisation gebe an
Daten und was nicht, aber was die dann
intern damit machen, diese Frage, für
welchen Zweck sie sie verwenden, wem sie
sie weitergeben und so weiter, das kann
ich selber nicht mehr beeinflussen. In dem
Moment sind die Daten außerhalb
meiner Hand, sind nicht mehr in meiner
Kontrolle. Und 2. gibt es natürlich die
Macht-Asymmetrien. Das heißt, eine Firma,
die Unmengen von Daten über Individuen
hat, kann die natürlich analysieren und
daraus Erkenntnisse generieren, die ich
aus meinen eigenen Daten gar nicht ziehen
kann. Das heißt also, alleine die schiere
Macht, der schierer Datenunterschied,
erzeugt andere Möglichkeiten auf den
verschiedenen Seiten, das heißt, die
Player sind alle nicht gleich stark und
das hängt auch, insbesondere, wenn wir
über Datenschutz reden, von der Menge an
Daten ab, die vorhanden sind.
Das heißt, wie ich es eben beschrieben habe,
nun als Zitat nochmal von Adalbert
Podlech: "Informationsvorgänge dürfen
keine sozialschädlichen Folgen
herbeiführen." Das ist so die
Formulierung. Oder man kann es auch mit
Martin Rost sagen: "Die
Handlungsalternativen des, in diesen
Interaktionen Schwächeren, die sollen
aufrechterhalten werden." Es soll nicht
irgendwann so sein, dass die
Organisationen komplett sagen: "Das ist
das Richtige für dich und deswegen gehst
du diesen Weg lang. Und ihr kennt das ja,
wenn in irgendwelchen Softwaren das Menü
halt nicht sagt "exportieren", dann geht's
halt nicht. Das heißt also, wenn wir das
möchten, muss eben Datenverarbeitung unter
Bedingungen gestellt werden. Man muss
sagen, wenn die Gefahr für so eine
Einschränkung von Grundrechten und so
weiter besteht, dann müssen wir irgendwie
Bedingungen für die Datenverarbeitung
formulieren, dass das minimiert wird oder
dass den Risiken begegnet wird oder dass
sie nicht stattfinden, dass man dieses
Thema einfach anders baut, dass sie das
nicht tun. Innerhalb sozusagen,
man würde es jetzt als Fachtermini
nennen: eine Konditionierung der
Macht-Asymmetrie. Das heißt, Konditionen,
also die Bedingung oder Voraussetzung
stellen, unter denen dann diese
Datenverarbeitung stattfindet. Eben, warum
muss es jetzt irgendwie konditioniert
werden? Weil ich als Außenstehender
natürlich nicht die Computersysteme von
Amazon und wie sie alle heißen, ich kann
die ja nicht umprogrammieren, ich kann
halt die Knöpfe verwenden, die sie mir
geben. Nichts Anderes. Oder ich kann
sagen, ich benutze das alles nicht, aber
das ist ne, so auf dieser schwarz-weiß
Ebene sind wir ja nicht, von der
Diskussion.
Okay. Und die Frage ist immer so,
das Schutzgut dabei ist eben, also
Datenschutz schützt nicht Daten,
klar, sondern Individuen, also die
Grundrechte und Grundfreiheiten, wenn man
es so formulieren möchte, und die
Gesellschaft insgesamt, aber wenn man sich
das so anschaut, finden sich diese
Individuen, Grundrechte und
Grundfreiheiten, die finden sich wieder.
Aber diese gesamtgesellschaftlichen Fragen,
da muss man sehr stark danach suchen.
Man kann es konstruieren, aber so
explizit ist es da nicht drin zu finden,
das hat rechtsdogmatische Gründe. Aber das
ist nur wieder eine Erinnerung daran, dass
sich die Fragen des Datenschutzes oder die
Antworten des Datenschutzes und des
Datenschutzrechts nicht deckungsgleich
sind. Das eine ist immer ein Ergebnis aus
dem anderen, im besten Falle, aber manchmal
auch nicht. Man würde auch, um das zu
erklären, warum Datenschutz sagen, na ja,
wenn wir uns Märkte angucken, dann gibt's
eben Kartellämter, und die sagen, wenn
bestimmte Akteure zu stark werden dann
muss man die begrenzen und die anderen
ein bisschen stützen, damit der Markt als Ganzes
funktioniert und genauso kann
man sich es auch beim Datenschutz
vorstellen. Wir haben die
Informationsgesellschaft und da gibt es
Informationsmacht verschiedener Akteure.
Da brauchen wir irgendwas, in dem Fall
zum Beispiel Datenschutzrecht, die diesen
Ausgleich bringt. Nicht das einzelne
Datum zählt, sondern die Anhäufung selber
die dann ein Ergebnis produziert.
Ihr kennt bestimmt den Spruch: "Bei Wurst und
Gesetzen möchte man nicht dabei sein wenn
sie gemacht werden." Das ist natürlich
immer die Frage, was die Datenschutz-
Diskussion bereits seit den 60er, 70er
Jahren so produziert hat, ist natürlich,
wenn es dann zu Recht wird, immer
Gegenstand von Aushandlung, von politischen
Verhandlungen, "wir nehmen das mit rein
und das nicht mit rein" und so weiter.
Deswegen muss man immer aufpassen, dass man
die Datenschutz-Diskussion nicht oder
nicht primär als Datenschutzrechts-
Diskussion führt, weil man sich dann
sehr eingeengt auf das was einmal durch
die Politik gegangen ist. So jetzt kommen
wir mal ein bisschen zu einer Theorie, um
die Sachen zusammenzubinden, um sie nochmal
in einen größeren Kontext einzubauen. Wir
gucken uns jetzt mal den Informationsfluss an:
Am Anfang jetzt vielleicht ein
bisschen verwirrend, aber wir haben hier
links den Informationsfluss von starken
Akteuren zu schwachen Akteuren - wir haben
darunter von schwachen Akteuren zu starken
Akteuren und darüber die beiden Seiten
sind eben den Informationsfluss zu fördern
oder diesen Informationsfluss zu
blockieren. Das heißt, wenn wir uns die
erste Zeile anschauen: Wir wollen den
Informationsfluss vom starken zum
schwachen Akteur, zum Beispiel von der
Organisation zum Individuum. Das wollen
wir fördern, weil der Starke dadurch, dass
er Informationen preisgeben muss - über
sich, über seine Verarbeitung und so weiter,
in dieser Informationsasymmetrie, der
Machtasymmetrie schwächt. Und weil die
einzelne Person damit Informationen
erlangt, was damit passiert, wird die Person
gestärkt. Das nennen wir Transparenz, das
nennen wir Informationsfreiheit. Das zu
blockieren, das heißt, dass die großen
Organisationen nicht sagen müssen, was sie
gerade damit tun, welche Daten sie haben,
das nennt sich Arkanpraxis. Für die
RollenspielerInnen unter euch, Arkan - die Magie,
Arkan heißt einfach nur geheim. Es ist
unklar was da was da getan wird. Anders
herum ist der Informationsfluss von
schwachen Akteuren zu starken Akteuren.
Wenn wir den fördern, dann nennt man das
Verdatung. Ist jetzt nicht der Fachbegriff,
aber der, den man auch so kennt.
Also die Verdatung, überall
Sensoren, alle möglichen
Handlungen, die im Digitalen stattfinden
werden protokolliert und so weiter. Und
wenn man diesen Informationsfluss aber
blockiert und den unter Bedingungen stellt
dann sind wir beim Datenschutz. Das ist
die Struktur. Wie ihr jetzt erkennt
sozusagen von rechts oben nach links
unten. Also Arkanpraxis und Verdatung,
das ist das was wir in totalitären Staaten
und so weiter sehen. Und das ist auch das,
was wir sehen wenn wir Diskussionen mit
großen kommerziellen Organisationen
führen. Nein, wir wollen nicht erzählen was
wir machen, wir wollen aber alles über dich
wissen. Es ist immer die Richtung und die
andere Seite, das ist sozusagen die rote
Diagonale ist genau das, was den Starken
noch stärker macht und den Schwachen noch
weiter schwächt. Die andere Richtung, die
Grüne, ist genau das, was den Starken
schwächt und den Schwachen stärkt. Nämlich
Transparenz und Informationsfreiheit
bezüglich der Starken und den Datenschutz
bezüglich der Schwachen. An dieser Stelle
ein kleines Dankeschön zum Beispiel an OKF
und Frag den Staat und so weiter. Oder
beim Datenschutz andere Organisationen wo
ich zum Beispiel auch aktiv bin. Das heißt
man merkt das ist überhaupt gar kein
Widerspruch an der Stelle. Die Frage ist
nur wer muss transparent sein und wer soll
nichts von sich preisgeben oder so wenig
wie möglich von sich preisgeben. Deswegen
erklärt sich auch das Mysterium für manche
warum wir zum Beispiel einen
Bundesbeauftragten für den Datenschutz und
die Informationsfreiheit haben, warum das
zusammen gehört, genau deswegen gehört das
zusammen.
Warum gibt's aber auch Meinungen
für weniger Datenschutz. Na ja klar
Datenschutz kostet Ressourcen: finanziell,
personell, konzeptionell. Man muss das
Thema anders planen, anders umbauen und so
weiter. Aber auch verhindert der
Datenschutz Informationsnutzung, Das
ist der Zweck der Sache, trotzdem ist es
ein Argument. Das heißt, bestimmte
Geschäftsmodelle gehen nicht mehr und
so weiter. Für staatliche Aufgaben werden
Daten benötigt und wenn die Daten nicht
fließen können, dann werden bestimmte
staatlichen Aufgaben schwieriger oder
auch wirtschaftliche Tätigkeiten werden
erschwert. Das ist zwar richtig, aber es
ist kein neues Problem wenn man über
Gesellschaft nachdenkt. Gleiches gilt
natürlich für Hygieneregeln,
Sicherheitsvorschriften,
Kinderarbeitsverbot, Arbeitnehmerrechte,
Umweltstandards und so weiter und so fort.
Die kosten auch alle, aber wir haben uns
entschieden: Das sind alles Maßnahmen, wo
es darum geht die Schwächeren, die sich
schlechter wehren können, die vielleicht
auch nicht das Wissen haben, irgendwie
davor zu schützen, dass da jemand
durchagiert und die eigenen Interessen
schamlos durchsetzt.
Wem's aufgefallen ist,
ich hab jetzt noch nicht einmal den
Begriff Privatsphäre verwendet. Und das
ist ganz bewusst genau der Punkt. Weil
Privatsphäre ist immer so eine Idee: Ich
alleine in meinem Schlafzimmer. Der
Soziologe Paul Müller nennt das:
"Schneckenhaus-Privatsphäre". Seiner
Ansicht nach ist das nur in
vorindustriellen Lebensweisen möglich, wo
man tatsächlich sagte: Ich lebe auf dem
Gut hier, und die Leute ein paar
Kilometer weiter, die kennen mich noch
nicht einmal. Vielleicht ist das sozusagen
diese Art von Anonymität, vielleicht
könnte man da nennen. Aber jetzt
tatsächlich, was wir eigentlich wollen,
ist, wenn man sagt, wir brauchen irgendwie
Girokonten und so weiter all diese Sachen.
Es geht nicht darum, dass niemand Daten
hat, sondern dass die Begrenztheit des
Wissens über Individuen aufrechterhalten
wird. Dass es nirgendwo eine Komplett-
Ansicht gibt oder dass bestimmte Akteure
immer nur genau das wissen, was sie
eigentlich wissen sollten und man kann
natürlich diskutieren wie viel das denn
sein soll. Wilhelm Steinmüller, einer der
Ur-Ur-Urgestein Müller, könnte man sagen,
des Datenschutzdiskurses formulierte das
so: "Es geht nicht um Privatsphäre, es
geht darum, eine Technik sozial
beherrschbar zu machen." Und welche
Grundrechte werden berührt von dieser
Datenverarbeitung? Nicht nur Grundrechte
auf Privatleben, was zum Beispiel Artikel
7 der Europäischen Grundrechtecharta ist,
sondern eigentlich quasi alle. Wenn ihr
dran überlegt, so was wie Meinungsfreiheit
Informationsfreiheit, so Fragen
wie Demonstrationsfreiheit, Würde
des Menschen, das könnte man alles
durchbuchstabieren. Eigentlich könnte man
sagen: Der Datenschutz ist so
eine Art digitale Dimension aller
Grundrechte. Und das jetzt auf
Privatsphäre zu reduzieren, da
ist was Richtiges dran, aber es verengt
den Blick doch radikal, worum es
eigentlich geht.
So, wie gehen wir damit
jetzt irgendwie um?
Operationalisierung:
Wie können wir diese Ideen mit stark und
schwach, wie können wir da irgendwie
Anforderungen daraus bauen? Wie können wir
da Dimensionen daraus kristallisieren? Das
haben diverse Menschen getan und sind zu
einem Ergebnis gekommen, zu sagen, wenn es
um Datenschutz geht, dann müssen
informationsverarbeitende Systeme
bestimmte Schutzziele verfolgen. Und die
Schutzziele sind Nichtverkettbarkeit,
Vertraulichkeit, Intervenierbarkeit,
Transparenz, Verfügbarkeit und Integrität.
Das ist sozusagen: Diese Ziele, auf diese
Ziele hin kann man alle technischen Geräte
oder alle technischen Systeme oder
informationstechnischen Systeme hin
analysieren und kann sehen, inwiefern sie
diese Ziele umsetzen. Weil diese Ziele
genau die Werte, die wir eben besprochen
haben, realisieren, kann man die
analysieren. Nichtverkettbarkeit heißt,
bestimmte Informationen, die erhoben worden
sind für verschiedenste Zwecke, die eben
nicht zu verbinden, Informationen nicht
einfach so irgendwo kaufen zu können.
Wir reden jetzt über Datenschutz, nicht
Datenschutzrecht. Nicht einfach so kaufen
zu können und die zu verbinden,
zum Beispiel nicht Daten zu erheben, die für
den eigentlichen Geschäftszweck oder
eigentliche Handlungen gar nicht notwendig
sind, das zu beschränken an der Stelle.
Integrität, die Unversehrtheit der Daten,
das heißt, dass sie nicht verändert
werden, dass ich mich darauf verlassen
kann, die Daten, die ich übermittle oder
die erhoben werden, dass sie tatsächlich
so bleiben und an der Stelle zum Beispiel
korrekt bleiben. Verfügbarkeit heißt an
der Stelle, dass ich die Systeme eben
nutzen kann. Wenn ich mich darauf verlasse
dass ich diese Routenplanung habe und die
wollen von mir irgendwie Geld haben dafür,
dass ich das nutzen kann usw., dann will
ich natürlich auch, dass es funktioniert.
Weil ansonsten ist es ja ein schlechter
Handel. Transparenz bezieht sich darauf,
nicht nur welche Daten vorliegen, sondern
auch wie funktionieren eigentlich die
Prozesse? Was sind denn die Zwecke der
Verarbeitung? Wie funktioniert denn die
ganze Innerei? Was passiert da? Was sind
eigentlich die Nebenkonsequenzen? Es gibt
ja einmal die intendierten Resultate und
Konsequenzen und dann gibt es eben auch
die Unintendierten. Und genau das muss
irgendwie für mich einsehbar sein.
Intervenierbarkeit ist ein Schutzziel, das
sagt eben: Na ja, also wenn Daten eben
nicht korrekt sind und das System rechnet
weiter, egal ob es meine Kredite sind oder
ob ich jetzt irgendwie einen Tisch bekomme
oder ob ich ein Haus bekomme oder so. Es
muss natürlich auch möglich sein, dass
dieses System, wenn man Fehler in dem
System erkennt, zu sagen: Stopp, ich
möchte, dass sich das ändert. Ich möchte,
dass die Daten zum Beispiel berichtigt
werden oder aber ich möchte, wenn ich
feststelle, dass dieses System
diskriminierend ist. Ich möchte, dass das System
so gebaut ist, dass ich irgendwas tun kann als
Betroffener, dass das aufhört. Es reicht
ja nicht zu sagen: Ja, also, wir sind
total transparent. Aber dadurch, dass wir
die Stärkeren sind, kannst du einfach
nichts tun. Man muss ja irgendwo sozusagen
den Notausschalter ist jetzt übertrieben,
natürlich.
Und als letzten Punkt, die
Vertraulichkeit. Das heißt, die
Informationen, die ich denen, die da für
mich irgendwie Service anbieten, die ich
gebe, da möchte ich auch sichergehen, dass
sie nirgendwo anders hingehen, dass die
genau da bleiben und genau dafür verwendet
werden. Aber Vertraulichkeit ist, dass sie
genau da nur bleiben und niemand
Unbefugtes darauf Zugriff hat. Jetzt kann
man sagen: Na, interessant,
Nichtverkettbarkeit, Transparenz und
Intervenierbarkeit, da sagt man so, das
hat den Primat des Datenschutzes und die
Aufmerksamen unter euch merken: Ach,
interessant die anderen drei, das ist das
Primat der Datensicherheit. Das heißt,
wenn man aus dieser Sicht auf Datenschutz
blickt, erkennt man das, dass nicht
Datenschutz so ein Unterteil von
Datensicherheit ist, sondern aus dieser
Sicht genau andersrum. Wir erinnern uns,
am Anfang, Datensicherheit, da ging es
darum: Wie können denn die Daten, die da
sind ordentlich abgesichert werden und
gegen die Hacker und Angriffsszenarien und
so weiter. Ja klar, aber der Datenschutz
fragt: Ja, sollten diese Daten denn
überhaupt da sein? Man könnte sich so ein
Zwiegespräch vorstellen, wo die
Datenschützerin sagt: Na ja, aber das
Datum ist nicht korrekt, was da
gespeichert ist. Und die IT-
Sicherheitsabteilung: Ja ja aber das ist
richtig gut beschützt. Da merkt man, das
ist ein Konflikt, das ist nicht das
Gleiche. Genau, das sind so die
Schutzziele und die kann man tatsächlich
verwenden. Und es ist auch nicht parallel,
sondern diese Schutzziele kann man sehen,
das ist ein Beitrag von 2013 schon, dass
diese Schutzziele des Datenschutzes
tatsächlich auch mit dem Recht, was
gesprochen worden ist, vereinbar sind. Das
heißt, es ist nicht komplett alles
umgesetzt, aber es ist eben auch kein
Widerspruch. Wir erinnern uns hier wieder,
Datenschutz und Datenschutzrecht ist eben
nicht das Gleiche.
Okay, das war jetzt so der
Durchritt erstmal für die Grundlagen
an der Stelle und jetzt kommen wir zu den
Nicht-Lösungen. Das sind quasi so ein paar
Kommentare, die ich mir jetzt so noch erlaube.
Okay, also erstmals: Der
Selbstdatenschutz, ganz beliebt
insbesondere in Verbindung mit der
Blockchain. Okay, das spare ich mir jetzt.
Also wenn das Datenschutz-Konzept ernst
genommen werden soll: Wir überlegen uns,
schwache, starke Akteure, Möglichkeiten
transparent, und so weiter. Wie soll denn
Selbstdatenschutz da aussehen?
Wie kann mein Selbstdatenschutz aussehen,
wenn ich eine innerorganisationale
Datenverarbeitung habe? Wie kann ich denn
bei Facebook selbst Datenschutz machen?
Also außer, wenn ich da bewaffnet
reingehe, aber das ist jetzt nicht
wirklich eine skalierende Lösung, neben
den ganzen anderen Problemen.
Bin gegen Gewalt übrigens.
Oder die Erinnerung:
Warum haben wir Datenschutz? Datenschutz haben
wir eben nicht weil es eine Rechts-Vor-Links-Regel
ist im Straßenverkehr, wo die beiden
gleich stark sind. Nein, wir haben
Datenschutz genau deswegen, weil sie eben
nicht gleich stark sind. Da jetzt den
Schwachen zu sagen: Du kannst doch selbst
Datenschutz machen. Wenn man wirklich
verstanden hat, wie Datenschutz
funktioniert, ist es zynisch, das
vorzuschlagen. Das ist genau dem
Verprügelten zu sagen: Ja, du musst dich
ja nur wehren. Es gibt überhaupt keinen Sinn.
Da kann man sich ja vorstellen, in
den Situationen, wann braucht man oder
wann ist Datenschutz genau notwendig wenn
es um Kredit- oder Grenz- oder Einkaufs-
oder Durchsuchungssituationen geht?
Polizeiliche Identitätsfeststellung oder
an der Grenze: Geben sie Daten raus und so
weiter oder nicht. Das sind genau die
Fälle, da kann man sich überlegen, wie man
irgendwie Flüchtenden an der Grenze sagt:
Na ja, du kannst ja Selbstdatenschutz
machen, du musst dein Handy nicht
rausrücken. Das ist ein Riesenproblem.
Genau darum gehts. Starke und schwache
Akteure, das irgendwie anzugreifen und
eben nicht zu sagen: Ja, mach doch selber.
Und das heißt, da muss man dann auch
sagen, danke eben auch an Jörg Pohle für
diesen Hinweis, Facebook hat gar keine
Datenschutzeinstellungen. Facebook hat
Einstellungen. Facebook, ich sage jetzt
mal $SocialNetwork, da gibt's
Einstellungen, welche anderen User Daten
sehen, und welche anderen User da
irgendwie interagieren können. Es gibt
aber keine Einstellungen, was Facebook
damit macht. Man kann da manchmal so ein
bisschen dran rum regeln, aber die
Einstellung, wie lange Facebook
irgendwelche Sachen speichern soll oder
nicht, die gibt's eben nicht oder welche
Verknüpfungen es da geben soll.
Wenn man Datenschutz quasi ernst nimmt, ist
das so ein Punkt. Und natürlich, das ist ja auch
irgendwie bei Mobiltelefonen und so
weiter, da gibts dann immer
Datenschutzeinstellungen. Es fühlt sich
irgendwie so gut an, aber das ist gar
nicht Datenschutz, was es da ist. Wenn
irgendwie bei bestimmten Mobiltelefonen
von Google da steht, da halt Datenschutz:
Wollen Sie ein Backup machen? Ja, das ist
aber Datensicherheit, das ist nicht
Datenschutz. Also es ist was anderes.
Okay, dann gucken wir uns mal
Dateneigentum oder Datensouveränität an.
Naja, ein Eigentum, also erstmal
Begriffskritik: Eigentum selber, das
Konzept Eigentum ist ein Exklusivrecht auf
Sachen. Das heißt also, Eigentum: Entweder
ich habe eine bewegliche Sache, ein Auto,
ein Fahrrad oder sonst was oder
unbewegliche Sachen wie Immobilien. Dann
heißt das, ich kann darüber exklusiv
verfügen. Und genau darauf ist die gesamte
Rechtsordnung auch ausgelegt. Wenn ich
sage Daten sind Eigentum, dann merkt man
schon an dem Konzept: Okay, wenn es
Eigentum ist, dann kann es auch gestohlen
werden. Da kann man sich überlegen.
Datendiebstahl, sind die Daten jetzt weg?
Nee, sie sind ja noch da. Okay, was ist
denn jetzt das Problem? Das Problem bei
Diebstahl ist ja nicht, dass man danach
zwei Fahrräder hat, sondern,
dass man keins mehr hat.
Vereinzeltes Lachen
Also, es ist eine Frage wie groß
der eigene Keller ist. Aber ihr merkt an
der Stelle, das ist schon vom Konzept her
merkwürdig. Aber der nächste Punkt ist:
Okay, Dateneigentum, dann haben wir das
alles, und unser Dateneigentum und wir
können natürlich unsere Daten dann eben
verkaufen und kriegen auch davon was ab,
von dem schönen Kuchen. Jetzt kann man
natürlich gleich eine große
Diskussion anzureißen, ich will da
nicht einsteigen. Ist es tatsächlich die 3
Euro pro Monat an alle Facebook-Userinnen
und -User wert, dafür Wahlmanipulationen
ganzer Gesellschaften und Diskriminierung
an unserer Gesellschaft zu ermöglichen?
Was ist denn das für ein komischer Handel
an der Stelle? Man merkt da, da haut was
nicht hin und mehr ist es ja nicht. Dieses
Geld entsteht dadurch, dass es so viele
User gibt, weil es so super gut skaliert.
Das heißt, die einzelne Person hätte genau
von diesen 3 und meintewegen mögen es auch
30 Euro sein tatsächlich in diesem
Vergleich gar nichts. Also offensichtlich
haben wir hier ein größeres Problem.
Man könnte auch wieder sagen: "Ach
interessant, Dateneigentum, das
unterstützt wieder nur die starken
Akteure, die werden bevorzugt".
Tatsächlich ist es wieder ein Freikaufen,
wenn man sagt, ich hab nicht die
Notwendigkeit meine Daten zu verkaufen,
ich kann die bei mir behalten.
Dateneigentum ist doch schön, jeder ist
selbst irgendwie verantwortlich, die
Souveränität des Einzelnen oder der
einzelnen Person. Aber wie gesagt, das ist
freikaufen: Wenn ich das Geld habe dann
bin ich drauf nicht angewiesen, ansonsten
musste ich mich quasi ausliefern an der
Stelle. Klassisches Beispiel bei der
Autodatenübermittlung, wenn ich mich recht
erinnere, bei Mercedes ab irgendeiner
Klasse gehen dann keine Daten mehr raus,
weiter oben. Weil klar ist: Die
Käuferinnen und Käufer weiter oben, die
mögen es gerne wenn die Daten - was im
Auto passiert bleibt auch im Auto.
So, aber darunter halt nicht. Oder man kann
sich auch überlegen an der Stelle: Smart-
TV-Daten, inwiefern da so eine
Datensouveränität vorherrscht, wenn man
irgendwie einem alleinerziehenden
Elternteil sagt: "Ja, du bist total
datensouverän, du kaufst dir hier einen
Fernseher irgendwie für 500 Euro, oder
250, wenn du alle Daten rausleitest. Kann
man sich ja überlegen, wie datensouverän
dann eine Person agiert. Nächste Frage:
Wenn Daten Eigentum sind, wem gehören denn
Kommunikationsdaten oder Bilddaten, wo
mehrere Leute dran beteiligt sind, und so
weiter? Hinten und vorne Probleme,
Probleme. Das ist so ein bisschen unklar,
welches Problem da wie gelöst wird. Es ist
natürlich wieder die Abwälzung auf die
einzelne Person. Man könnte auch genauso
sagen, "Hygienesouveränität" könnte man ja
auch sagen. Man geht halt irgendwie in
eine Küche und wir haben halt keine
Hygieneregeln, du kennst dich doch
bestimmt aus, gehst dann erst einmal
irgendwie hinten rein, ob die Küche dir
sauber genug ist oder nicht. Du weißt gar
nicht, wonach du gucken sollst? Naja, Pech
gehabt. Das ist die Art von Souveränität,
die da proklamiert wird bei Dateneigentum
und Datensouveränität. Das ist genau
wieder die Souveränität des Stärkeren.
Okay, dann kommen wir noch, als Punkt,
verbunden mit der Datensouveränität: Ich
habe es dann mal Einwilligungsfetisch
genannt. Das ist immer so ein Rückgriff
auf das Grundrecht auf informationelle
Selbstbestimmung, was ich total großartig
finde, aber es reicht eben nicht aus.
Warum reicht das nicht aus? Naja,
Einwilligung heißt, alle mögliche
Datenverarbeitung, da werde ich vorher
gefragt, ob sozusagen meine Daten
verarbeitet werden dürfen für bestimmte
Zwecke, und jetzt ist die Frage: Was ist
denn das Problem an so einer
Einwilligungsfrage? Erstens, da gibt es
zwei Möglichkeiten: Entweder es gibt eine
Informationsasymmetrie oder eine
Machtasymmetrie, wo man das Problem sieht.
Informationsasymmetrie heißt: Ich habe da
eine Einwilligung, die ich geben muss, und
ich habe daneben 150 Seiten AGB, die ich
jetzt lesen muss, um dann irgendwie
ordentlich einzuwilligen. Da sagen
natürliche Organisationen, insbesondere
Konzerne: "Ja, ist doch super, und leider
auch in der DSGVO, dann machen wir
irgendwelche Symbole, die das anzeigen, wo
es dann einfacher ist für die Personen,
das irgendwie lesen zu können und das
verstehen zu können. Dann können wir
vielleicht einfache Sprache machen, und,
im Endeffekt, wir versuchen es ganz ganz
ganz ganz dolle, und wenn alle
Organisationen des Planeten es ganz dolle
versuchen und die Leute es immer noch
nicht verstehen, dann sind die Leute...
also jedenfalls, wir haben uns ganz doll
bemüht. Das heißt, dass der Druck, oder
der Handlungsdruck, wenn man das Problem
der Informationsasymmetrie sieht, liegt
wieder bei der einzelnen Person. Die trägt
wieder die Last des "Sich-Ordentlich-
Informieren-Müssens". Wenn man allerdings
sagt "Naja, das ist eine Machtasymmetrie",
was ich vorhin gesagt habe bei der
Datensouveränität, wann kann man
zustimmen, wie sind eigentlich die,
was ich gesagt habe
Netzwerkeffekte? Welche Probleme entstehen
denn da auch für andere Menschen, wenn ich
sage, ich habe die Google AGB für Google
Mail verstanden und ich habe den
zugestimmt, dann habe ich natürlich auch
für alle anderen, die mir jemals danach
eine Mail schreiben wollen auch noch mit
zugestimmt. Das heißt, es ist gar kein
Informationsproblem, das ich nicht
verstanden hätte, was irgendwie in den AGB
drin stand, sondern das liegt in der Natur
der Sache der Vernetzung, dass ich das für
alle anderen mit entschieden habe. Oder
aber wenn es halt beim Elternabend heißt
"Unsere Facebook-Gruppe hat sich das und
das gedacht", und dann hat eine Person
kein Facebook , oder so weiter. So ganz
viele Fragen, soziale Rahmenbedingungen,
genauso finanzielle Abhängigkeiten. Man
kann ja eben sagen, ja diesen Dienst, bei
der Souveränitätsfrage, ja, "du kannst ja
gerne diesen Service, du kannst ja
einwilligen oder aber es kostet was und
dann nehmen wir weniger Daten". Man merkt,
wenn man es auf diese Machtasymmetrie
stellt, auf einmal ist es nicht so einfach
nur unsere AGB besser schreiben, sondern
eigentlich brauchen wir harte obere
Schranken, das heißt, aka. Regulierung, das
heißt bestimmte Informationsnutzung darf
einfach nicht möglich sein. Wie gesagt,
wir haben es aktuell mit der Manipulation
ganzer Gesellschaften zu tun, auch
Gewaltverbrechen die aufgrund von, und so
weiter. Irgendwo muss man da fragen,
offensichtlich liegt's nicht daran, dass da
irgendwie die AGB nicht gut lesbar sind.
Ok, dann, Zielgerade, langsam die
Algorithmenethik, nur kurz angeschnitten.
Ich bin ja noch länger hier.
Algorithmenethik, ja, das ist so eine
Mischung, Algorithmen, die ethisch sein
können oder nicht ethisch sein können.
Also erstmals, Algorithmen sind selber ja
keine Akteure. Organisationen sind Akteure
und die wenden Algorithmen an. Das heißt
man kann natürlich genauso bei 'ner
Algorithmenethik fragen, was ist denn die
Zementethik? Wie verwendet man Zement? Die
Frage muss man dann überall stellen, weil
die Akteure natürlich genau wissen, welche
Algorithmen sie verwenden und welche
nicht. Sie haben nämlich Zwecke, wenn das,
was Ihre Interessen sind, davon unterstützt
wird, dann werden sie eingesetzt, und
deswegen macht man ein A/B-Testing, wenn
es die Zwecke nicht unterstützt, wird
etwas anderes verwendet. Und wenn man dann
sagt, na ja, das ist doch eine ethische
Frage, naja das ist nicht wirklich eine
ethische Frage, es ist eine
Verantwortungsfrage, na klar, aber Ethik
ist nicht das ganz Richtige. Wenn man
sagt, ja, aber so Algorithmen, die sind
alle so kompliziert, und wir verstehen es
vielleicht gar nicht mehr, bei irgendwie
künstlicher Intelligenz und so weiter,
kann man sich ja überlegen, wie es beim
Hundeverhalten ist. Die Hundehalterin oder
Hundehalter steht natürlich dafür gerade,
was der Hund tut, egal, ob der jetzt, aus
welchen Gründen das getan worden ist.
Irgendwer muss es ja, bei irgendwem muss
ja die Verantwortung sozusagen liegen. Und
die Algorithmen setzen also keine Zwecke,
sondern sie sind Mittel, um Zwecke
umzusetzen, das heißt wenn man überhaupt
über irgendwas spricht, dann muss man
irgendwie über Unternehmensethik reden,
und wie erfolgreich sowas ist, kennen wir,
glaube ich, seit Anbeginn des
Kapitalismus. Okay. Also die konkrete
Frage wäre, anstatt über Algorithmen-Ethik
zu sprechen, wäre zu sagen, wir haben doch
gerade etwas über Schutzziele gelernt.
Können wir denn nicht einfach diese
Schutzziele auf alle möglichen
Informationsverarbeitung-Systeme anwenden?
Ja, natürlich können wir das und es gibt
auch sehr viel, also nicht sehr viel, aber
es gibt eine Menge gute Forschung dazu,
z.B. Unabhängiges Landesdatenschutzzentrum
Schleswig-Holstein und so
weiter. Aber komischerweise sind da die
Ergebnisse ja, "das muss reguliert
werden", "das müssen wir einzäunen", und
so weiter. Aber das schlägt man immer so
ungern den Konzernen vor, das ist immer
so, das ist ein bisschen problematisch an
der Stelle. Das heißt, man kann da viel
drüber nachdenken über maschinen-lesbare
Policies irgendwie, sozusagen KI-KI-
Prüfsysteme, und so weiter. Aber das
Problem dabei ist, dass die Ethik so
folgenlos und so schön sanktionslos bleibt. Eine
Ethik ist das, was man so tut. Das wäre so
ein Thema "es wäre schön, wenn". Und
tatsächlich, wenn wir uns sozusagen unsere
Welt so angucken, die verdatete Welt ist
eigentlich, dieses "wäre schön, wenn" ist
schon lange darüber hinaus. Okay, das
heißt also, die Ethik ist schon in Ordnung
und der Ethik-Diskurs ja, aber die
Umsetzung des Rechts selber, die hängt
hinterher. Und das ist so ein Punkt. Also
die Situation ist, ich habe es mal ein
bisschen provokant geschrieben, die
Massen-Manipulation, -Überwachung und
-Unterdrückung ist sozusagen der Punkt.
Okay, das überspringen wir mal.
Also, wen es interessiert, z. B. auch Ben Wagner
hat dazu auch neulich geschrieben, ich pack es
einfach in die Folien an der Stelle, also
es bleibt da drin: Inwiefern Ethik die
neue Selbstregulierung ist. Unternehmen
sagen: "Ja, bitte keine Regulierung, wir
verhalten uns ethisch und wir haben Ethik-
Kodizes" und hinten und vorne und so
weiter. Und wenn man sich die letzten
Facebook-Veröffentlichungen z. B.
anschaut, wer sagt, mit ethischen
Diskursen sollen die Unternehmen nochmal
doller darüber nachdenken, was sie tun und
was die Konsequenzen sind, dann der Person
empfehle ich tatsächlich sehr stark, diese
Veröffentlichung der internen E-Mails
jetzt mal anzuschauen, die wissen ganz
genau, was sie tun, das ist, also das ist,
da kann man nicht drüber reden, da muss
man einfach sagen, das ist ein
Interessenskonflikt und unsere Werte sind
so und deswegen machen wir das halt.
Okay, dann kommen wir zum Fazit. Also 1.
Datenschutz zwingt Organisationen dazu,
bei der Gestaltung ihrer Datenverarbeitung
die Interessen der Betroffenen zu
beachten. Das heißt, durch Datenschutz
sollen sie Dinge tun, die sie von sich aus
nie tun würden, wir erinnern uns:
Hygieneregeln, Sicherheitsvorkehrungen und
so weiter, das würden sie von sich aus
jetzt erst einmal nicht wollen, weil die
Marktlogik eine andere ist und so weiter.
Aber mit Datenschutz bringt man eben dazu,
Löschfristen und so weiter, die DSGVO
könnt ihr euch angucken. Dann auch als
Betreiber solcher Systeme muss man sich
immer vor Augen halten, die Rechte der
Betroffenen, so nervig sie vielleicht sein
mögen, wenn man selber AnbieterIn ist,
sind immer die Pflichten der
Verantwortlichen. Das heißt, das ist ein
Interessenkonflikt, wenn man sagt, ich
möchte das alles nicht dokumentieren und
so weiter, dann heißt es, mir sind die
Interessen und die Rechte der Anderen
davon egal, und das sollte nicht so sein.
Dann, individuelle Privatsphäre, das habe
ich schon gesagt. Dann als letzten Punkt,
Fokus auf personenbezogene Daten ist
offensichtlich problematisch, man kann
Leute auch mit nicht-personenbezogenen
Daten diskriminieren und es gibt aber auch
Nutzungen von personenbezogenen Daten, die
unproblematisch sind. Was man bräuchte,
ist eine Analyse von Datenverarbeitung,
die einfach schaut, Datenverarbeitung,
egal welche Daten die verwenden, da
verwendet werden. Was sind die
Konsequenzen für die Betroffenen und die
Einwilligung ist weder hinreichend
für individuelle und noch für
gesellschaftliche Schutzfunktionen: da
müssen wir tatsächlich über diese harten
Grenzen nachdenken, ansonsten kommen wir
da nicht weiter. Und als allerletzten Punkt
kann man sagen, die Techis unter uns sagen
ja immer Alice und Bob, die reden
miteinander und dann gibt es Malary, die
greift an und beim Datenschutz muss man
immer sagen, Achtung, Angreifer! Angreifer
ist nicht Malary, Angreifer ist Bob,
nämlich die andere Seite, die die
Daten kriegt, was sie damit tut.
Okay, dankeschön.
Applaus
Herald: Ja, danke Rainer für deinen
interessanten Vortrag. Wir haben zwei
Mikrofone, eins auf der Seite in der Mitte
des Saals und eins im Mittelgang: Nr. 1 und
Nr. 2. Wenn ihr Fragen stellen möchtet,
dann könnt ihr euch an diesen Mikrofonen
aufstellen und eine Reihe bilden oder zwei
Reihen bilden. Wenn ihr jetzt gehen müsst,
tut das bitte leise und auf jeden Fall
nicht störend. Und ja, dann würde ich mal
sagen: Mikrofon 2.
Frage: Vielen Dank für
den interessanten Vortrag. Wie sieht es
aus, wenn wir plötzlich andere
Machtverhältnisse haben? Das heißt, wir
haben Peer-to-Peer-Systeme. Da haben wir
auf der einen Seite dann alle auf der
gleichen Ebene oder auch nicht, aber doch
prinzipiell ist es möglich. Und gerade
diese Peer-to-Peer-Systeme ermöglichen ja
gerade diese mächtigen Daten-Intermediäre
zu umgehen. Oder was ist jetzt bei Fällen,
wo wir sagen, wir haben jetzt gar nicht
den starken Datenverarbeiter, sondern wir
haben den kleinen Turnverein, wir haben
die Individuen, die plötzlich mit der
Datenschutzgrundverordnung konfrontiert
sind und eigentlich gar nicht die Starken
sind. Und da sagen wir, passt doch
eigentlich gar nicht.
Rainer: Wollen wir erst mal sammeln
oder soll ich gleich..?
Ja, gut, okay. Das ist ein sehr, sehr
guter Punkt, gerade diese Peer-to-Peer-
Geschichten, da sehe ich tatsächlich eine
ganz, ganz große Chance, wo gerade bei
Peer-to-Peer die Daten verteilt sind, da
keine Machtzentren dabei entstehen, da
muss man natürlich bei dem Design
aufpassen, dass man es eben nicht so macht
wie irgendwelche Bitcoin-Geschichten, dass
dann doch wieder alles zentralisiert wird,
sondern eher so wie GNUnet, wo in das System
eingebaut ist, dass es auch dezentral
bleibt. Ich sehe da ganz große Hoffnungen,
da muss allerdings sehr viel noch
geforscht und gearbeitet werden, dass
solche Sachen dann auch skalieren können.
Aber das kann möglich sein, auf alle Fälle.
Da sehe ich überhaupt kein Problem, wenn
man da mal ein bisschen Geld reinsteckt,
irgendwie so einen Bruchteil von dem, was
wir in Atomkraft gesteckt haben, mal in
Peer-to-Peer-Technologien, aber das
nebenbei. Nee, das sehe ich auch, das wäre
auf alle Fälle eine technische
Herangehensweise, wo man natürlich auch
wieder diese Analysen machen müsste, aber
das ist auf alle Fälle ein gangbarer Weg
und da gibt es auch ganz viele Ansätze
schon, gerade hier auf dem Congress, wenn
man mal herumläuft, GNU-Taler und so, da
sehe ich viel Fruchtbares. Bei dem zweiten
Punkt, das ist natürlich jetzt eine
rechtliche Frage. Ich gehe trotzdem darauf
ein, halte mich aber kurz, weil wie
gesagt, es gab auch rechtliche Talks. Die
DSGVO hat so einen überwiegend Risiko-
basierten Ansatz, das heißt, der Verein
muss diese Sachen insofern umsetzen, wie
Risiken für die Betroffenen entstehen. Das
heißt, wenn der Verein ein multi-
nationales, globales Social-Network
betreibt, dann sind die Pflichten sehr,
sehr groß, wenn allerdings da nur die
Mitgliederliste geführt wird, dann sind
die Anforderungen da auch sehr viel
geringer. Also man muss immer sehen, die
Anforderungen, z. B. diese technischen-
organisatorischen Maßnahmen, die müssen
immer angemessen sein. Das heißt, wenn da
eine Liste mit 20 Namen sind, dann muss
man jetzt nicht, da reicht jetzt
vielleicht nicht irgendwie Caesar-
Verschlüsselung, aber da muss jetzt kein
Hochsicherheitssystem da sein; das muss
sozusagen immer entsprechend der Risiken
für die Betroffenen. Also ich verstehe
auch die Kritik zu sagen, dass sozusagen
diese DSGVO guckt gar nicht, wie groß die
Organisation ist. Oder da ist meine
Antwort dabei zu sagen, ja, die DSGVO
schaut aber, wie groß ist das Risiko für
die Betroffenen. Und ich glaube, bei
vielen, die sich da sozusagen beschweren,
die beschweren sich auch erstens, weil sie
sich nicht vorher damit beschäftigt haben,
was sie hätten sollen und zweitens aber
auch, weil da leider sehr viel Angstmache
drin war, wie viel Aufwand da tatsächlich
auf Leute zukommt und wie groß die
Anforderungen sind. Die Regularien bei
der Datenschutz-Konferenz war ja auch
irgendwie erst mal warnen und helfen,
statt abmahnen und so weiter. Also das
sind so, genau das ist so meine Antwort.
Also wichtig ist, wie groß ist das Risiko
für die Betroffenen und das wird bei
Vereinen immer nicht so groß sein. Also
kommt auf den Verein an, also ich meine,
der TÜV ist auch ein Verein, also... Okay,
ich hoffe, das hat jetzt geholfen.
Herald: Mikrofon 1, bitte.
Frage: Sie haben jetzt für die Erklärung
'Was ist Datenschutz?' zurückgegriffen auf
die Erklärung des
Standarddatenschutzmodells. Gibt es in der
Wissenschaft eigentlich auch andere
Ansätze, die gewählt werden zur Erklärung
'Was ist Datenschutz' oder wie weit sind
die Diskussionen da oder gibt es
unterschiedlichen Fokus?
Rainer: Also das ist eine sehr sehr sehr
gute Frage tatsächlich. Ich finde
tatsächlich dieses
Standarddatenschutzmodell - ne
deswegen habe ich es da unten hingepackt -
sehr sehr gut und trifft das, was ich als
großes Problem auch ansehe. Es gibt eine
Dissertation von Jörg Pohle, der Vierte
von unten, 'Datenschutz und
Technikgestaltung', der diskutiert mal die
verschiedenen Ansätze. Es gibt da schon
verschiedene Vorstellungen, was ist
überhaupt das Schutzgut und wie kann man
dem begegnen und so weiter. Da gibt es
einen großen Dschungel, aber da ist sich
auch... also mein Eindruck ist, da setzt
sich zumindest in der deutschen Diskussion
oder europäischen Diskussionen da setzt
sich gerade so eine bestimmte Richtung
durch. Aber es gibt auch andere Ansätze,
die zum Beispiel, die rückwärts versuchen
entlang des Rechtes zu rekonstruieren, was
eigentlich mal das Datenschutzproblem war
und die dann immer individualisiert Fragen
stellen und sagen, wie können wir zum
Beispiel das Risiko so einfache Rechnung wie das
Risiko der einzelnen Person mal die Anzahl
der betroffenen Personen und so könnte man
eben auch an Datenschutz herangehen und
dann hat man nur rein individuell
natürlich immer das Problem, was man dann
lösen muss. Das funktioniert insofern
nicht, wie wir eben gesehen haben, es kann
natürlich eine ganze Menge Leute zu einer
Datenverarbeitung zustimmen, deren
Konsequenzen dann alle anderen auch noch
mit trifft. In dem Sinne funktioniert der
individualistische Ansatz dann nicht. Aber
da gibt es einen Zoo. Aber ich glaube,
Ich glaube das ist meiner Ansicht nach, das sehr gut
begründet ist.
Herald: Das Internet hat eine Frage.
Signal-Angel: Das Internet fragt: Gibt es
bzw. kennst du eine politikerverständliche
Übersicht von Chaos-nahen politischen
Forderungen bezüglich Datenschutz und
Datensicherheit mitsamt ihren
Begründungen?
Rainer: Moment eine was? Eine Politiker
kompatible?
Signal-Angel: ...Politikerverständliche
Übersicht von Chaos-nahen politischen
Förderungen. Forderungen, Entschuldige.
Rainer: Ja. Naja, ich meine, ich kann zum
Beispiel darauf verweisen jetzt vor 2
Monaten war die Bits und Bäume in Berlin.
Da gab's einen Forderungskatalog. Da
spielte auch Datenschutz und
Datensicherheit eine Rolle und auch in der
Begründung dabei. Da war zum Beispiel auch
der CCC auch dran beteiligt und das FIfF.
Aber andersrum auch
Nachhaltigkeitsorganisationen BUND und so
weiter. Das ist sehr kurz und knackig.
Ich glaube das könnte auch verstanden werden
und es wäre auch Chaos-Umfeld. Ich glaube
allerdings, also das denke ich jetzt
gerade, verschiedene Leute oder auch
verschiedene Politiker*innen haben
verschiedene Vorstellungen, was eigentlich
das Problem ist. Deswegen weiß ich noch
nicht so richtig, inwiefern so eine
Handreichung verständlicherweise da
wirklich helfen würde, die allgemein ist,
sondern eher zu fragen: Was daran ist
unklar, um das dann wirklich konkret zu
erklären. Aber mein Eindruck ehrlich
gesagt, ich verstehe die Motivation der
Frage, aber mein Eindruck ist so ein
bisschen, dieses Unverständnis das hat
eher was mit fehlendem Mut zu tun, mal zu
sagen, was weiß ich, wir müssen da jetzt
mal harte Grenzen ziehen. Es hat weniger
mit Verständnis zu tun, als mit nicht
verstehen wollen. Da hilft auch eine
Handreichung nicht.
Applaus
Rainer: Also die Antworten, was notwendig
wäre, die werden immer, immer klarer, aber
das ist glaube ich eine politische Frage.
Und das ist ja auch einer der Gründe,
warum wir hier sind, glaube ich.
Herald: Mirkofon zwei, bitte.
Frage: Ich wollte nochmal einhaken, du
hast ja gerade auch bei dem Thema
Algorithmenethik sozusagen gesagt, das ist
so eine Stellvertreterdebatte oder bzw.
eine Debatte, man will eigentlich nicht
über das Eigentliche reden, nämlich was
Regulierung sein soll. Ich würde Dir
insofern zustimmen, dass die Debatte
natürlich ablenken soll davon, dass man
nicht weiß, wie man mit Technik umgeht.
Ich glaube allerdings, jetzt mal die
Gegenthese, dass man in Deutschland
allgemein sehr regulierungswillig ist, in
der Politik was Technik angeht, aber ich
glaube, man weiß nicht, was man regulieren
soll. Also du hast mehrfach selber auch so
Begriffe wie Massenmanipulation,
Wahlmanipluation genannt, darüber wird
unglaublich viel gesprochen. Ich glaube
aber, es hat keiner gerade in der Politik
eine Idee, wie man damit umgehen soll und
wenn dann mal so ein Vorschlag wie
Botregulierung eingebracht wird, ist es
halt auch Quatsch. Deswegen jetzt meine
konkrete Frage: Wie würdest du damit
umgehen? Also ich arbeite selber im
politischen Betrieb und überlege mir also auch
immer, wie kann man eigentlich diese
Debatten in die richtige Richtung lenken.
Wie würdest du damit umgehen, dass man
eben nicht über Algorithmenethik als
Ablenkungsthema redet sondern, dass man
sich mit den tatsächlichen Fragen, nämlich
was sind sinnvolle Regulierungen
beschäftigt, gerade eben unter dem Aspekt,
dass technisches Unverständnis in großen
Teilen leider herrscht?
Rainer: Tatsächlich eine sehr, sehr
interessante Frage. Ich glaube, da steckt
noch ein bisschen Arbeit drin, diese, zum
Beispiel diese Schutzzielfragen auch mal
wirklich auszubuchstabieren und da gibt es
auch Ansätze, zum Beispiel Martin Rost
jetzt gerade für diese KI-Debatte. Wo man
konkret fragen kann: können denn bestimmte
Systeme Garantien aussprechen für
grundrechtliche Fragen. Ich habe mal so
ein Zitat da rein gepackt, irgendwie so
"Deep-Learning-Systeme sind also nicht
prüfbar, nicht evaluierbar, ändern ihre
Eigenschaften, liefern keinerlei
Begründung, sind leicht zu manipulieren,
willkürlich aufgebaut und immer ungenau."
Das klingt jetzt nach einem coolen System,
wenn man Bilder sortieren will, das klingt
nach einem nicht so guten System, wenn man
Straßenschilder erkennen möchte und ich
glaube die Aufgabe bestünde darin, diese
Fleißarbeit auszubuchstabieren, was zum
Beispiel diese Schutzziele für die
einzelnen Systeme und das macht teilweise
das Standarddatenschutzmodell auch schon,
diese Ergebnisse zu zirkulieren und da
gibt es tatsächlich gute Arbeiten und ich
glaube mittlerweile wäre es sogar möglich,
können wir uns danach nochmal verbinden,
dass da vielleicht die richtigen
Informationen an der richtigen Stelle mal
landen, weil ich glaube, die sind
mehrheitlich schon da. Es hat immer auch
etwas mit erklären zu tun. Aber wenn der
Wille da ist so zu agieren - also eine
Regulierwilligkeit sehe ich jetzt nicht so
richtig - aber gut, wenn das tatsächlich
so ist, dann müsste man da wahrscheinlich
genau diese Papers, die es dazu gibt und
so weiter ein bisschen aufbereiten und
dann an die richtigen Stellen bringen als
Hinweise. Wie gesagt, das heißt aber eben
auch, dass bestimmte Akteure dann eben
auch etwas abgeben müssen oder nicht mehr
zulässig sind oder bestimmte
Geschäftsmodelle nicht mehr möglich sind.
Also wenn Politiker*innen damit
einverstanden sind, dann kann man da auch
was machen.
Herald: Mikrofon 1 bitte.
Frage: Hi, ich habe auch eine Frage zu
Regulierung: Und zwar aus einer
soziologischen Perspektive ist es so, dass
bei Regulierungen immer auch die
Regulierten mitarbeiten. Das läuft im
politischen Betrieb ganz oft über Aufrufe
für Comment-Letters, also das
Bundesministerium für Verkehr und bla hat
was über Fahrzeugdaten veröffentlicht und
die haben sehr sehr dezidiert politische
ökonomische Benefits bei den Herstellern
gesehen und dann sind alle aufgerufen
worden innerhalb eines halben Jahres ihre
ihre Meinung dazu zu posten. Und bei sowas
haben natürlich starke Akteure die du auch
genannt hast, also Techgiants, immer einen
strukturellen Vorteil. Also wenn du dich für
eine starke Regulierung aussprichst, hast
du da schon irgendwie Vorstellungen wie
man diesen Bias an der Stelle ausschaltet;
also das die starken weiterhin auch
privilegiert bleiben selbst wenn es
Regulierungen gibt.
Rainer: Tja, das ist die Königinnenfrage
an der Stelle. Naja, es hat natürlich
immer was damit zu tun, wer wird da
befragt, wer hat die Möglichkeiten? Ich
kenne es ja selber auch irgendwie: Egal ob
es Sachverständigen Anhörungen sind oder
irgendwie Eingaben die gemacht werden
können. Die Firmen schicken ihre Leute in
der Arbeitszeit dahin, um das zu tun und
die NGOs gucken halt wo sie ihre
Ehrenamtlichen abziehen können, um
vielleicht jemanden... Tja, das ist ein
großes Problem. Ich glaube da ist
tatsächlich so eine grundsätzliche.. Da
wage ich mir jetzt auch ein bisschen aus
dem Fenster aber so eine grundsätzliche
Herangehensweise gefragt. Das betrifft ja
die Frage wie unsere Demokratie
funktioniert. Das ist nichts was
irgendwie... ich meine von Diesel bis
hin zu... fange ich gar nicht erst an. Das
ist keine Datenschutzfrage sondern eine
Demokratiefrage. Und ich weiß nicht.
Da gibts ja ganz viele Ideen: mit
Lobbyregister und was es da alles gibt.
Vermutlich müsste man da; wir alle die
Aktivitäten in diesen digitalen
Rechtsfragen tätigen. Vermutlich wäre es
sogar eine langfristige und nachhaltige,
Keyword, nachhaltige Lösung zu sagen,
bei all unseren Aktivitäten nehmen wir 10%
weg und packen die in LobbyControl und so
weiter, um diese Strukturen da irgendwie
zu stärken. Das wär mein Eindruck, weil
teilweise, wenn man sich anguckt wie so
Digitalrat und KI Enquete usw.
zusammengesetzt sind. Klar, wenn ich Leute
vor einem bestimten Hintergrund einlade,
ist mir klar, dass ich dann diese Antwort
kriege. Das ist jetzt ein bisschen so
Frage: Wie kriege ich mehr Leute aus der
Wissenschaft rein? Und mehr Betroffene,
usw.? Und deswegen tut es mir leid, dass
es vielleicht eine nicht so hilfreiche
Antwort ist, aber ich glaube das eine ist
eine Demokratie Frage und da gibts jede
Menge zu tun! Und auch deswegen sollte uns
das interessieren, weil ansonsten unsere
ganze Arbeit da auch teilweise ins Leere
läuft, weil dann eben das kaputte System
das alles wieder auffrisst. Das glaube ich
so ein Punkt.
Herald: Ich merke, die Diskussion, die
brennt. Leider läuft uns die Zeit ein
bisschen davon. Wo finden dich die Leute
hier auf dem Kongress?
Rainer: Ihr findet mich entweder unter
dieser E-Mail-Adresse oder aber z.B. am
FIfF-Stand, hier CCL, nullte Etage.
Hier drunter. Ich werde danach
einfach auf den Knopf drücken und
runterfahren, dann findet man mich da.
Gelächter
Dankeschön
Herald: Genau. Applaus.
Applaus
35C3 Outro Musik
Untertitel erstellt von c3subtitles.de
im Jahr 2020. Mach mit und hilf uns!