<i>35C3 Intro Musik</i>

Herald: Okay willkommen hier in
Eliza für den dritten Talk dieses Blocks

an diesem zweiten Tage hier. Uns wird
heute Rainer Rehak etwas über: "Was

schützt eigentlich der Datenschutz?"
erzählen. Und er wird uns eine kleine

Einführung mit einem strukturellen Blick
auf den Datenschutz gewähren, um uns ein

bisschen Debatten-Rüstzeug zu geben. Und
da würde ich euch bitten eine Runde

Applaus zu spendieren und Rainer
willkommen zu heißen.

<i>Applaus</i>

Rainer Rehak: Hallo.

<i>Applaus</i>

Rainer: Ja, Hallo, herzlich willkommen,
welcome und ni hao.

Ja, was schützt eigentlich der Datenschutz. Ich bin sehr
froh, hier sprechen zu dürfen, weil

vielleicht teilweise ein bisschen
pointiert als These, warum

Datenschützer*innen aufhören müssen von
individueller Privatheit zu sprechen.

Das ist ja immer so ein Thema was sich
durchzieht, wenn es um Datenschutz geht,

dann geht's gleich um die Privatsphäre und
das Innerste des Menschen. Das ist sicher

auch richtig. Aber meiner Ansicht nach ist
das ein bisschen zu klein und spielt

gerade den Personen in die Hände, die wir
eigentlich - ich sag jetzt mal wir - die wir

eigentlich mit der Argumentation
bekämpfen wollen, oder überzeugen wollen,

im besten Falle. Also erst mal zu mir: So ein
bisschen, dass man immer weiß, wer da

spricht, was für einen Hintergrund ich
habe, dass man das ein bisschen

einsortieren kann, inhaltlich. Ich bin
selber wissenschaftlicher Mitarbeiter am

Weizenbaum-Institut für die vernetzte
Gesellschaft. Meine Forschungsbereiche und

Forschungsinteressen so Technik-
Zuschreibungen also Funktions-

Zuschreibungen, IT-Sicherheit,
Datenschutz, Informatik und Gesellschaft.

Ich selber habe Informatik und
Philosophie studiert, an der Humboldt-

Universität zu Berlin, Freie Uni Berlin
und Chinese University of Hongkong.

Und habe auch meine Diplomarbeit geschrieben
über die heimliche Online-Durchsuchung,

und insbesondere um die gesellschaftlichen
Konsequenzen davon. Außerdem bin ich aktiv

im Forum InformatikerInnen für Frieden und
gesellschaftliche Verantwortung, bei

Amnesty International und bei der
Gesellschaft für Informatik.

Worum soll es heute gehen? Einen Fahrplan:
Erstmal will ich ein bisschen was über

Begriffe sagen, die dann fallen werden,
dann über das Problem, was es überhaupt zu

diskutieren gibt im Datenschutz. Dann gibt
es ein bisschen Theorie und

Operationalisierung. Operationalisierung
heißt: Wie man aus den ganzen

theoretischen Konstrukten dann tatsächlich
konkrete Handlungen ableiten kann. Dann

möchte ich was über die, auch in der
Beschreibung des Talks so ein bisschen

kritisierten Nicht-Lösungen sagen, konkret
darauf eingehen. Vielleicht, wenn sich da

Fragen anschließen werden wir auch eine
Q&amp;A noch machen, dass wir das diskutieren

können zusammen. Dann werde ich ein Fazit
präsentieren und dann kommt noch eine

Literaturliste, Literaturhinweise. Die
Folien kommen dann auch ins frab, für

diejenigen unter euch die sich da noch
weiter einlesen wollen und das weiter

verfolgen wollen über diese Foundations-
Ebene hinweg. Also, erstmal die Begriffe.

Erst einmal, wenn man über Datenschutz
redet - im Englischen ist es ja noch

komplizierter, so mit Privacy und Data
Protection und so weiter - es gibt erstmal

so einen Begriffe-Mix, das wird dann auch
zusammen gehauen mit Überwachung und dann

ist das so eine Mischung. Deswegen will
ich das jetzt erstmal auseinanderziehen,

dass wir wissen worüber wir reden.
Erstens: Datenschutz selber ist ein

sozialwissenschaftlicher Begriff. Ich
werde die alle nachher so ein bisschen

mehr auffächern, insbesondere
Datenschutz. 'Datenschutzrecht' ist ein

juristischer Begriff und 'Datensicherheit'
ist ein informatischer Begriff.

Ich glaube, Datenschutzrecht, da haben wir
eine ganze Menge dazu jetzt schon gehört,

sowohl in den Medien, weil die, zum Beispiel
die Datenschutz-Grundverordnung ja wirksam

geworden ist 2018 jetzt im Mai. Und über
Datensicherheit haben wir hier mit

Sicherheit ja auch eine ganze Menge schon
gehört und gewusst. Der Witz daran ist,

dass das alles so ein bisschen
zusammengehört bei dem Thema, aber dennoch

diese Bereiche, oder diese Themen, jeweils
eigenen Diskurs-Regeln gehorchen. Und

wie bei allem ist es so, dass die Problem-
beschreibung selber auch die Lösung

so bisschen vordefiniert. Das heißt, der
Korridor, wo man hinschaut, was da irgendwie

als sinnvolle Lösung irgendwie in Betracht
kommt. Und welcher Informations-

oder welcher Daten-Begriff wird da
verwendet. Das ist auch eine

Schlüsselfrage, die ist gar nicht so schwer,
aber die muss gestellt werden. Und

die muss beantwortet werden. Jetzt mal
kurz als Überflug. Das Datenschutzrecht

schützt also Personen. Der
Anknüpfungspunkt dabei sind

personenbezogene Daten. Das kennt man ja
auch, weitläufig diskutiert. Und zum

Beispiel die Begründung, was schützt
eigentlich die Datenschutzgrundverordnung,

oder was setzt sie um, wäre im
juristischen, würde man sagen: Naja, die

setzt halt Artikel 8 der Charta der
Grundrechte der Europäischen Union um. In

der Informatik würde man sagen: Okay, das
leitet auf ein weiteres Terminal. 'Was ist

denn Artikel 8 der Charta der Grundrechte
der Europäischen Union?' Das ist so eine

Art, die Verfassung der EU. Zum Beispiel
als Vergleich mal mit dem deutschen

Grundgesetz. Auch da ist Artikel 1: Die
Würde des Menschen ist unantastbar. Sie

ist zu achten und zu schützen. Und Artikel
8, das der für die DSGVO besonders

relevante, ist 'Schutz personenbezogener
Daten'. Das steht da einfach genauso drin.

Und wenn der Schutz personenbezogener
Daten ein Grundrecht ist auf europäischer

Ebene, ist ja klar, dass jegliche
Datenverarbeitung dann auch eine

Verletzung von Grundrechten ist. Wobei die
Frage da bleibt: Ja, aber warum

eigentlich? Wenn man so ein bisschen vor-
rechtlich diskutieren will, wenn man sagt:

Wir schützen personenbezogene Daten.
Warum? Ja, weil wir ein Recht auf Schutz

personenbezogener Daten haben; ist es
richtig, aber unbefriedigend.

Aber zum Datenschutzrecht gibt es ja auf dem
Kongress auch eine ganze Menge anderer

Vorträge, es klang auch alle sehr
interessant. Deswegen würden wir jetzt

darüber nicht reden. Datensicherheit ist
eine Sache, wie ich bereits angemerkt

habe, die auch gerade im Chaos-Umfeld eine
große Rolle spielt. Das heißt, wenn man

sich anguckt was ist Datensicherheit:
üblicherweise Schutzziele zur

Vertraulichkeit, Integrität,
Verfügbarkeit. Wenn man so ein bisschen

Techie-mäßig drauf ist, würde man grob
verallgemeinern: Vertraulichkeit sind die

Leserechte, Integrität sind die
Schreibrechte, Verfügbarkeit sind die

Exekutiv-, die Ausführungsrechte. Ist
jetzt ein bisschen hingebogen, aber so

ungefähr kann man sich das vorstellen. Das
heißt Verfügbarkeit: ob so ein System für

mich funktioniert und den Service
abliefert, den ich haben möchte.

In der Datensicherheit geht es aber primär - also was
heißt 'aber' - geht es primär um die

Sicherheit von Geschäftsprozessen und von
vorhandenen Daten. Das heißt, die

Daten sind da, die müssen ordentlich
abgesichert werden, zugreifbar bleiben,

nicht verändert werden und so weiter. Seit
2008 haben Personen sogar ein Grundrecht

auf die Gewährleistung der Vertraulichkeit
und Integrität informationstechnischer

Systeme. Aber auch zur Datensicherheit
selber gibt es auf dem Kongress andere

Vorträge. Jetzt ist die Frage: Was ist denn 
mit dem Datenschutz? Das heißt, wenn wir Rechte

haben, auf zum Beispiel den Schutz
personenbezogener Daten, guckt man in die

Richtung: Wie wird denn das motiviert? Und
dann kommt der Datenschutz selber ins

Spiel, als sozialwissenschaftliche
Diskussion, wer wird da warum eigentlich

wie geschützt? Und dazu kurz ein paar
Bemerkung zum gesellschaftlichen

Hintergrund. Also erstens: Wir leben in einer
arbeitsteiligen Gesellschaft. Das heißt,

verschiedene Menschen haben verschiedene
Aufgaben. Wir sind spezialisiert und ich

muss nicht Socken nähen können, um
mit Socken herumzulaufen, weil jemand

anders das kann. Ihr kennt das Spiel. Es
gibt eben Spezialisierung und niemand ist

sozusagen in allem spezialisiert. Diese
Arbeitsteilung hat auch Konsequenzen, wie

wir nachher sehen. Es gibt diverse Akteure,
die miteinander irgendwie funktional

interagieren. Vielleicht menschlich
interessiert es mich schon, wie es dem

Bäcker oder der Bäckerin gerade geht, aber
tatsächlich möchte ich da gerade Geld auf

den Tisch legen und mein Brötchen kriegen
morgens. Oder je nachdem, wann auch immer.

Das heißt, man tritt so funktional
irgendwie miteinander in Verbindung.

Und in dieser Gesellschaft gibt's dann eben
auch... da sind ja nicht alle Leute, die

da mitspielen nicht gleich mächtig
oder gleich fähig. Finanzielle

Unterschiede können das sein, das können
strukturelle Unterschiede sein. An dem

Fall jetzt zum Beispiel mit Individuum und
Organisation. Individuum ist eine

Person, die hat so Hände, und kann
irgendwie Dinge tun, und dann gibt es

Organisationen, die aus vielen Menschen
bestehen, aus Regeln, finanziellen Möglichkeiten,

rechtlichen Möglichkeiten und
so weiter. Und die sind natürlich

nicht gleich mächtig; haben verschiedene
Möglichkeiten, ihre Interessen

durchzusetzen. Das heißt, sie haben
verschiedene Möglichkeiten. Sie haben

verschieden große Macht, um in diesem
gesellschaftlichen Spiel

mitzumachen. Das sind Machtasymmetrien. Max
Weber sagt... kann man mit ihm sprechen:

"Macht ist die Chance, in einer sozialen
Beziehungen den eigenen Willen auch gegen

Widerstreben durchzusetzen, gleichviel worauf 
diese Chance beruht." Kann man

unterscheidenden in Durchsetzungskraft:
also Dinge zu verursachen.

Verhinderungsmacht: Dinge nicht
stattfinden zu lassen, die dem eigenen

Interesse widersprechen, und
Definitionsmacht: Wie spricht man über

bestimmte Themen. Ein bisschen
Wahlcomputer, Wahlmaschinen und ihr kennt

die Geschichte. Jetzt ist die Frage: Ok,
das ist alles noch nicht technisch. Beim

Datenschutz, was uns für den Datenschutz
interessiert, ist an der Stelle, dass wir

in eine allgemeine allgegenwärtige
Computerisierung und Vernetzung haben.

Aka. Digitalisierung wird es seit ein paar
Jahren genannt, obwohl dieser Prozess seit

ungefähr 50 Jahren schon läuft. Und 
wir haben automationsgestützte

Informationsverarbeitung, insbesondere von
Organisationen, also von staatlichen und

von wirtschaftlichen Organisationen.
Mittlerweile, oder seit einer Weile, ist es

schon so, dass da eben keine individuellen
Wahlmöglichkeiten mehr sind. Man kann sich

entscheiden kein Handy zu haben, aber wenn
man Steuern zahlt, muss man halt doch mit

dem ELSTER arbeiten. Egal ob es Rente,
Krankenkasse und so weiter... ihr kennt die

Geschichten. Man kommt da eben auch nicht
mehr raus. Es sei denn man zieht irgendwie

in den Wald und eine Höhle. Aber wenn man
sich dann verletzt, kann man vielleicht

einen Kräutertee trinken, aber wenn der
Arm ab ist, dann will man vielleicht doch

ein Krankenhaus.

Warum ist das relevant?
Naja, diese Informationsverarbeitung,

die Nutzung dieser Daten, die wird
verwendet, um Entscheidungen zu

produzieren. Entscheidungen produzieren
heißt: Wieviel Geld kann ich abheben. Was

ist die schnellste Route von A nach B. Was
sind irgendwie beste Freunde, die ich

vorgeschlagen bekomme. All diese Sachen,
das sind ja alles Entscheidungen, wo man

auch anders hätte agieren können, aber
Computer says... und so weiter. Kleine

Bemerkung natürlich: diese Entscheidungen werden
produziert, egal ob die Datenbasis korrekt

ist oder nicht. Die Ergebnisse sind da und
werden dann... wenn die Karte falsch

ist, landet man im Graben, zum Beispiel.

Okay, jetzt ist die Frage: Naja, wir reden

von Datenschutz und von
Informationsverarbeitung. Daten oder

Informationen, ganz kurz, wir sind noch in
der Begriffsphase. Also Daten im Datenschutz

meint Informationen, die Modelle eines
Sachverhaltes für einen Zweck sind. Das

ist jetzt erst mal ein bisschen viel auf
einmal. Aber wenn ich eine Glaserei betreibe,

dann interessiert mich natürlich bei einem
Haus was ich in meiner Datenbank eintrage:

Wie viele Fenster sind in dem Haus, wie
groß sind die Fenster, welche Art von

Format sind das und so weiter. Wenn ich
irgendwie eine Malerei betreibe dann

interessiert mich natürlich: Wie groß ist die 
Fläche des Hauses und so weiter. Das heißt, ich

greife mir immer einen Ausschnitt aus der
Realität und modelliere den auf diesen

Zweck hin wofür ich es verwenden will,
dann bei der Datenverarbeitung. Das heißt,

es sind Modelle eines Realitäts-
Ausschnitts. Für einen bestimmten Zweck.

Und deswegen können wir nicht den
technischen Informationsbegriff von Shannon

nehmen. Also von wegen Abtastung und
welche Auflösung ist da und wie, ihr

kennt das so, mit 44 Kilohertz und CD und
nimm doch lieber die Goldstecker und so.

Das ist nicht der Punkt. Wir benutzen
einen der Semiotik, der sagt, Informationen

oder die Daten, aus Datenschutz,
bestehen aus Syntax, Semantik, Pragmatik

und Sigmatik. Syntax ist die zeichenmäßige
Repräsentation, also die Nullen und

Einsen. Semantik ist die Bedeutung.
Pragmatik ist der Zweck, für den diese

Daten erhoben worden sind. Wir erinnern
uns, die Glaserei oder die Malerei.

Und Sigmatik ist die betroffene Person.
Das heißt, wessen Haus das ist, oder so.

Als Beispiel könnte man sagen:

irgendwie so ein Tupel von 
Nullen und Einsen, so ein

Zweiertupel. Die Semantik davon: Aha das
sind Geo-Koordinaten, das müsste im System

hinterlegt sein, eines Mobiltelefons.
Pragmatik: Der Zweck wäre die

Bereitstellung ortsabhängiger Services zum
Beispiel für eine Routenplanung, wo möchte

ich hin, wo gibt es eine Pizza oder so. Und 
Sigmatik ist dann Maxi Musterfrau, weil das

die Person ist, deren Mobiltelefon das
ist, an der Stelle.

So ist die Situation. Das ist doch erstmal nett,
klingt irgendwie nützlich. Aber was ist

eigentlich das Problem jetzt? Die Technik,
die immer besser wird, und die Daten,

die gesammelt werden, Informationen, 
die verarbeitet werden und

anhand derer Entscheidungen getroffen
werden, die wird immer besser, immer

effizienter nach bestimmten Kriterien,
aber sie hilft natürlich den

Organisationen, die sie verwenden, ihre
eigenen Interessen besser durchzusetzen.

Technik soll die Welt besser machen,
aber nicht für alle, sondern für die,

die sie einsetzen - und zwar für die, die
sie im besten Fall selber bauen

können und dann ihren eigenen
Vorstellungen gemäß formen.

Und das kann eben auch sein, dass bei 
dieser Informationsverarbeitung

auch Grundrechte von Personen berührt
werden. Die klassische Diskussion ist

immer so Fragen von
Diskriminierungen oder Ungerechtigkeiten,

weil die Daten falsch sind oder sowas, so
Geschichten. Das heißt, wenn die Ergebnisse,

die da produziert werden - im
schlimmsten Falle auch vollautomatisch -,

dass sie Rechte von Menschen berühren und
die an der Stelle erst mal, weil sie ja

Gegenstand - der Automat sagt halt: "Du
kriegst kein Geld" oder "in diesem Monat

ist alles schon aufgebraucht", dagegen
kann man jetzt erst mal nichts tun.

Das heißt, da ist sozusagen eine direkte
Konsequenz dieser Datenverarbeitung auf

Menschen, auf Menschengruppen oder auf
ganze Gesellschaften. Allerdings muss man

auch sagen, diese Datenverarbeitung
ist wünschenswert, weil sie uns auch

was bringt. Also es ist nicht so, dass
DatenschützerInnen selber am liebsten

zurück in die besagte Höhle wollen, wo das
Feuer komplett verständlich ist.

Nein, wir wollen diese informations-
technischen Systeme, die uns

das Leben erleichtern, die wollen wir alle
haben, aber die Effekte, die negativen,

die es auf Menschen hat und auf
Gesellschaften, die wollen wir minimieren.

Und da hilft es natürlich, wenn man
mit Technikerinnen und Technikern redet.

Ja klar, man kann Systeme auf
verschiedene Arten bauen, man muss halt

nur vorher sagen, was man haben will.

Und jetzt, wenn man die Probleme mal so

konkretisiert, würde man sagen: 1.
Datenverarbeitung ist wünschenswert, aber

es gibt innerorganisatorische
Datenverarbeitung oder

Informationsverarbeitung, das heißt, ich
kann ja selber überlegen, was ich

vielleicht einer Organisation gebe an
Daten und was nicht, aber was die dann

intern damit machen, diese Frage, für
welchen Zweck sie sie verwenden, wem sie

sie weitergeben und so weiter, das kann
ich selber nicht mehr beeinflussen. In dem

Moment sind die Daten außerhalb
meiner Hand, sind nicht mehr in meiner

Kontrolle. Und 2. gibt es natürlich die
Macht-Asymmetrien. Das heißt, eine Firma,

die Unmengen von Daten über Individuen
hat, kann die natürlich analysieren und

daraus Erkenntnisse generieren, die ich
aus meinen eigenen Daten gar nicht ziehen

kann. Das heißt also, alleine die schiere
Macht, der schierer Datenunterschied,

erzeugt andere Möglichkeiten auf den
verschiedenen Seiten, das heißt, die

Player sind alle nicht gleich stark und
das hängt auch, insbesondere, wenn wir

über Datenschutz reden, von der Menge an
Daten ab, die vorhanden sind.

Das heißt, wie ich es eben beschrieben habe,
nun als Zitat nochmal von Adalbert

Podlech: "Informationsvorgänge dürfen
keine sozialschädlichen Folgen

herbeiführen." Das ist so die
Formulierung. Oder man kann es auch mit

Martin Rost sagen: "Die
Handlungsalternativen des, in diesen

Interaktionen Schwächeren, die sollen
aufrechterhalten werden." Es soll nicht

irgendwann so sein, dass die
Organisationen komplett sagen: "Das ist

das Richtige für dich und deswegen gehst
du diesen Weg lang. Und ihr kennt das ja,

wenn in irgendwelchen Softwaren das Menü
halt nicht sagt "exportieren", dann geht's

halt nicht. Das heißt also, wenn wir das
möchten, muss eben Datenverarbeitung unter

Bedingungen gestellt werden. Man muss
sagen, wenn die Gefahr für so eine

Einschränkung von Grundrechten und so
weiter besteht, dann müssen wir irgendwie

Bedingungen für die Datenverarbeitung
formulieren, dass das minimiert wird oder

dass den Risiken begegnet wird oder dass
sie nicht stattfinden, dass man dieses

Thema einfach anders baut, dass sie das
nicht tun. Innerhalb sozusagen,

man würde es jetzt als Fachtermini 
nennen: eine Konditionierung der

Macht-Asymmetrie. Das heißt, Konditionen,
also die Bedingung oder Voraussetzung

stellen, unter denen dann diese
Datenverarbeitung stattfindet. Eben, warum

muss es jetzt irgendwie konditioniert
werden? Weil ich als Außenstehender

natürlich nicht die Computersysteme von
Amazon und wie sie alle heißen, ich kann

die ja nicht umprogrammieren, ich kann
halt die Knöpfe verwenden, die sie mir

geben. Nichts Anderes. Oder ich kann
sagen, ich benutze das alles nicht, aber

das ist ne, so auf dieser schwarz-weiß
Ebene sind wir ja nicht, von der

Diskussion. 
Okay. Und die Frage ist immer so,

das Schutzgut dabei ist eben, also

Datenschutz schützt nicht Daten,
klar, sondern Individuen, also die

Grundrechte und Grundfreiheiten, wenn man
es so formulieren möchte, und die

Gesellschaft insgesamt, aber wenn man sich
das so anschaut, finden sich diese

Individuen, Grundrechte und
Grundfreiheiten, die finden sich wieder.

Aber diese gesamtgesellschaftlichen Fragen,
da muss man sehr stark danach suchen.

Man kann es konstruieren, aber so
explizit ist es da nicht drin zu finden,

das hat rechtsdogmatische Gründe. Aber das
ist nur wieder eine Erinnerung daran, dass

sich die Fragen des Datenschutzes oder die
Antworten des Datenschutzes und des

Datenschutzrechts nicht deckungsgleich
sind. Das eine ist immer ein Ergebnis aus

dem anderen, im besten Falle, aber manchmal
auch nicht. Man würde auch, um das zu

erklären, warum Datenschutz sagen, na ja,
wenn wir uns Märkte angucken, dann gibt's

eben Kartellämter, und die sagen, wenn
bestimmte Akteure zu stark werden dann

muss man die begrenzen und die anderen
ein bisschen stützen, damit der Markt als Ganzes

funktioniert und genauso kann
man sich es auch beim Datenschutz

vorstellen. Wir haben die
Informationsgesellschaft und da gibt es

Informationsmacht verschiedener Akteure.
Da brauchen wir irgendwas, in dem Fall

zum Beispiel Datenschutzrecht, die diesen
Ausgleich bringt. Nicht das einzelne

Datum zählt, sondern die Anhäufung selber
die dann ein Ergebnis produziert.

Ihr kennt bestimmt den Spruch: "Bei Wurst und
Gesetzen möchte man nicht dabei sein wenn

sie gemacht werden." Das ist natürlich
immer die Frage, was die Datenschutz-

Diskussion bereits seit den 60er, 70er
Jahren so produziert hat, ist natürlich,

wenn es dann zu Recht wird, immer
Gegenstand von Aushandlung, von politischen

Verhandlungen, "wir nehmen das mit rein
und das nicht mit rein" und so weiter.

Deswegen muss man immer aufpassen, dass man
die Datenschutz-Diskussion nicht oder

nicht primär als Datenschutzrechts-
Diskussion führt, weil man sich dann

sehr eingeengt auf das was einmal durch
die Politik gegangen ist. So jetzt kommen

wir mal ein bisschen zu einer Theorie, um
die Sachen zusammenzubinden, um sie nochmal

in einen größeren Kontext einzubauen. Wir
gucken uns jetzt mal den Informationsfluss an:

Am Anfang jetzt vielleicht ein
bisschen verwirrend, aber wir haben hier

links den Informationsfluss von starken
Akteuren zu schwachen Akteuren - wir haben

darunter von schwachen Akteuren zu starken
Akteuren und darüber die beiden Seiten

sind eben den Informationsfluss zu fördern
oder diesen Informationsfluss zu

blockieren. Das heißt, wenn wir uns die
erste Zeile anschauen: Wir wollen den

Informationsfluss vom starken zum
schwachen Akteur, zum Beispiel von der

Organisation zum Individuum. Das wollen
wir fördern, weil der Starke dadurch, dass

er Informationen preisgeben muss - über
sich, über seine Verarbeitung und so weiter,

in dieser Informationsasymmetrie, der
Machtasymmetrie schwächt. Und weil die

einzelne Person damit Informationen
erlangt, was damit passiert, wird die Person

gestärkt. Das nennen wir Transparenz, das
nennen wir Informationsfreiheit. Das zu

blockieren, das heißt, dass die großen
Organisationen nicht sagen müssen, was sie

gerade damit tun, welche Daten sie haben,
das nennt sich Arkanpraxis. Für die

RollenspielerInnen unter euch, Arkan - die Magie,
Arkan heißt einfach nur geheim. Es ist

unklar was da was da getan wird. Anders
herum ist der Informationsfluss von

schwachen Akteuren zu starken Akteuren.
Wenn wir den fördern, dann nennt man das

Verdatung. Ist jetzt nicht der Fachbegriff,
aber der, den man auch so kennt.

Also die Verdatung, überall
Sensoren, alle möglichen

Handlungen, die im Digitalen stattfinden
werden protokolliert und so weiter. Und

wenn man diesen Informationsfluss aber
blockiert und den unter Bedingungen stellt

dann sind wir beim Datenschutz. Das ist
die Struktur. Wie ihr jetzt erkennt

sozusagen von rechts oben nach links
unten. Also Arkanpraxis und Verdatung,

das ist das was wir in totalitären Staaten
und so weiter sehen. Und das ist auch das,

was wir sehen wenn wir Diskussionen mit
großen kommerziellen Organisationen

führen. Nein, wir wollen nicht erzählen was
wir machen, wir wollen aber alles über dich

wissen. Es ist immer die Richtung und die
andere Seite, das ist sozusagen die rote

Diagonale ist genau das, was den Starken
noch stärker macht und den Schwachen noch

weiter schwächt. Die andere Richtung, die
Grüne, ist genau das, was den Starken

schwächt und den Schwachen stärkt. Nämlich
Transparenz und Informationsfreiheit

bezüglich der Starken und den Datenschutz
bezüglich der Schwachen. An dieser Stelle

ein kleines Dankeschön zum Beispiel an OKF
und Frag den Staat und so weiter. Oder

beim Datenschutz andere Organisationen wo
ich zum Beispiel auch aktiv bin. Das heißt

man merkt das ist überhaupt gar kein
Widerspruch an der Stelle. Die Frage ist

nur wer muss transparent sein und wer soll
nichts von sich preisgeben oder so wenig

wie möglich von sich preisgeben. Deswegen
erklärt sich auch das Mysterium für manche

warum wir zum Beispiel einen
Bundesbeauftragten für den Datenschutz und

die Informationsfreiheit haben, warum das
zusammen gehört, genau deswegen gehört das

zusammen.

Warum gibt's aber auch Meinungen 
für weniger Datenschutz. Na ja klar

Datenschutz kostet Ressourcen: finanziell,
personell, konzeptionell. Man muss das

Thema anders planen, anders umbauen und so
weiter. Aber auch verhindert der

Datenschutz Informationsnutzung, Das
ist der Zweck der Sache, trotzdem ist es

ein Argument. Das heißt, bestimmte
Geschäftsmodelle gehen nicht mehr und

so weiter. Für staatliche Aufgaben werden
Daten benötigt und wenn die Daten nicht

fließen können, dann werden bestimmte
staatlichen Aufgaben schwieriger oder

auch wirtschaftliche Tätigkeiten werden
erschwert. Das ist zwar richtig, aber es

ist kein neues Problem wenn man über
Gesellschaft nachdenkt. Gleiches gilt

natürlich für Hygieneregeln,
Sicherheitsvorschriften,

Kinderarbeitsverbot, Arbeitnehmerrechte,
Umweltstandards und so weiter und so fort.

Die kosten auch alle, aber wir haben uns
entschieden: Das sind alles Maßnahmen, wo

es darum geht die Schwächeren, die sich
schlechter wehren können, die vielleicht

auch nicht das Wissen haben, irgendwie
davor zu schützen, dass da jemand

durchagiert und die eigenen Interessen
schamlos durchsetzt.

Wem's aufgefallen ist,

ich hab jetzt noch nicht einmal den
Begriff Privatsphäre verwendet. Und das

ist ganz bewusst genau der Punkt. Weil
Privatsphäre ist immer so eine Idee: Ich

alleine in meinem Schlafzimmer. Der
Soziologe Paul Müller nennt das:

"Schneckenhaus-Privatsphäre". Seiner
Ansicht nach ist das nur in

vorindustriellen Lebensweisen möglich, wo
man tatsächlich sagte: Ich lebe auf dem

Gut hier, und die Leute ein paar
Kilometer weiter, die kennen mich noch

nicht einmal. Vielleicht ist das sozusagen
diese Art von Anonymität, vielleicht

könnte man da nennen. Aber jetzt
tatsächlich, was wir eigentlich wollen,

ist, wenn man sagt, wir brauchen irgendwie
Girokonten und so weiter all diese Sachen.

Es geht nicht darum, dass niemand Daten
hat, sondern dass die Begrenztheit des

Wissens über Individuen aufrechterhalten
wird. Dass es nirgendwo eine Komplett-

Ansicht gibt oder dass bestimmte Akteure
immer nur genau das wissen, was sie

eigentlich wissen sollten und man kann
natürlich diskutieren wie viel das denn

sein soll. Wilhelm Steinmüller, einer der
Ur-Ur-Urgestein Müller, könnte man sagen,

des Datenschutzdiskurses formulierte das
so: "Es geht nicht um Privatsphäre, es

geht darum, eine Technik sozial
beherrschbar zu machen." Und welche

Grundrechte werden berührt von dieser
Datenverarbeitung? Nicht nur Grundrechte

auf Privatleben, was zum Beispiel Artikel
7 der Europäischen Grundrechtecharta ist,

sondern eigentlich quasi alle. Wenn ihr
dran überlegt, so was wie Meinungsfreiheit

Informationsfreiheit, so Fragen
wie Demonstrationsfreiheit, Würde

des Menschen, das könnte man alles
durchbuchstabieren. Eigentlich könnte man

sagen: Der Datenschutz ist so
eine Art digitale Dimension aller

Grundrechte. Und das jetzt auf
Privatsphäre zu reduzieren, da

ist was Richtiges dran, aber es verengt
den Blick doch radikal, worum es

eigentlich geht.

So, wie gehen wir damit
jetzt irgendwie um?

Operationalisierung:

Wie können wir diese Ideen mit stark und
schwach, wie können wir da irgendwie

Anforderungen daraus bauen? Wie können wir
da Dimensionen daraus kristallisieren? Das

haben diverse Menschen getan und sind zu
einem Ergebnis gekommen, zu sagen, wenn es

um Datenschutz geht, dann müssen
informationsverarbeitende Systeme

bestimmte Schutzziele verfolgen. Und die
Schutzziele sind Nichtverkettbarkeit,

Vertraulichkeit, Intervenierbarkeit,
Transparenz, Verfügbarkeit und Integrität.

Das ist sozusagen: Diese Ziele, auf diese
Ziele hin kann man alle technischen Geräte

oder alle technischen Systeme oder
informationstechnischen Systeme hin

analysieren und kann sehen, inwiefern sie
diese Ziele umsetzen. Weil diese Ziele

genau die Werte, die wir eben besprochen
haben, realisieren, kann man die

analysieren. Nichtverkettbarkeit heißt,
bestimmte Informationen, die erhoben worden

sind für verschiedenste Zwecke, die eben
nicht zu verbinden, Informationen nicht

einfach so irgendwo kaufen zu können.
Wir reden jetzt über Datenschutz, nicht

Datenschutzrecht. Nicht einfach so kaufen
zu können und die zu verbinden,

zum Beispiel nicht Daten zu erheben, die für
den eigentlichen Geschäftszweck oder

eigentliche Handlungen gar nicht notwendig
sind, das zu beschränken an der Stelle.

Integrität, die Unversehrtheit der Daten,
das heißt, dass sie nicht verändert

werden, dass ich mich darauf verlassen
kann, die Daten, die ich übermittle oder

die erhoben werden, dass sie tatsächlich
so bleiben und an der Stelle zum Beispiel

korrekt bleiben. Verfügbarkeit heißt an
der Stelle, dass ich die Systeme eben

nutzen kann. Wenn ich mich darauf verlasse
dass ich diese Routenplanung habe und die

wollen von mir irgendwie Geld haben dafür,
dass ich das nutzen kann usw., dann will

ich natürlich auch, dass es funktioniert.
Weil ansonsten ist es ja ein schlechter

Handel. Transparenz bezieht sich darauf,
nicht nur welche Daten vorliegen, sondern

auch wie funktionieren eigentlich die
Prozesse? Was sind denn die Zwecke der

Verarbeitung? Wie funktioniert denn die
ganze Innerei? Was passiert da? Was sind

eigentlich die Nebenkonsequenzen? Es gibt
ja einmal die intendierten Resultate und

Konsequenzen und dann gibt es eben auch
die Unintendierten. Und genau das muss

irgendwie für mich einsehbar sein.

Intervenierbarkeit ist ein Schutzziel, das

sagt eben: Na ja, also wenn Daten eben
nicht korrekt sind und das System rechnet

weiter, egal ob es meine Kredite sind oder
ob ich jetzt irgendwie einen Tisch bekomme

oder ob ich ein Haus bekomme oder so. Es
muss natürlich auch möglich sein, dass

dieses System, wenn man Fehler in dem
System erkennt, zu sagen: Stopp, ich

möchte, dass sich das ändert. Ich möchte,
dass die Daten zum Beispiel berichtigt

werden oder aber ich möchte, wenn ich
feststelle, dass dieses System

diskriminierend ist. Ich möchte, dass das System
so gebaut ist, dass ich irgendwas tun kann als

Betroffener, dass das aufhört. Es reicht
ja nicht zu sagen: Ja, also, wir sind

total transparent. Aber dadurch, dass wir
die Stärkeren sind, kannst du einfach

nichts tun. Man muss ja irgendwo sozusagen
den Notausschalter ist jetzt übertrieben,

natürlich.

Und als letzten Punkt, die
Vertraulichkeit. Das heißt, die

Informationen, die ich denen, die da für
mich irgendwie Service anbieten, die ich

gebe, da möchte ich auch sichergehen, dass
sie nirgendwo anders hingehen, dass die

genau da bleiben und genau dafür verwendet
werden. Aber Vertraulichkeit ist, dass sie

genau da nur bleiben und niemand
Unbefugtes darauf Zugriff hat. Jetzt kann

man sagen: Na, interessant,
Nichtverkettbarkeit, Transparenz und

Intervenierbarkeit, da sagt man so, das
hat den Primat des Datenschutzes und die

Aufmerksamen unter euch merken: Ach,
interessant die anderen drei, das ist das

Primat der Datensicherheit. Das heißt,
wenn man aus dieser Sicht auf Datenschutz

blickt, erkennt man das, dass nicht
Datenschutz so ein Unterteil von

Datensicherheit ist, sondern aus dieser
Sicht genau andersrum. Wir erinnern uns,

am Anfang, Datensicherheit, da ging es
darum: Wie können denn die Daten, die da

sind ordentlich abgesichert werden und
gegen die Hacker und Angriffsszenarien und

so weiter. Ja klar, aber der Datenschutz
fragt: Ja, sollten diese Daten denn

überhaupt da sein? Man könnte sich so ein
Zwiegespräch vorstellen, wo die

Datenschützerin sagt: Na ja, aber das
Datum ist nicht korrekt, was da

gespeichert ist. Und die IT-
Sicherheitsabteilung: Ja ja aber das ist

richtig gut beschützt. Da merkt man, das
ist ein Konflikt, das ist nicht das

Gleiche. Genau, das sind so die
Schutzziele und die kann man tatsächlich

verwenden. Und es ist auch nicht parallel,
sondern diese Schutzziele kann man sehen,

das ist ein Beitrag von 2013 schon, dass
diese Schutzziele des Datenschutzes

tatsächlich auch mit dem Recht, was
gesprochen worden ist, vereinbar sind. Das

heißt, es ist nicht komplett alles
umgesetzt, aber es ist eben auch kein

Widerspruch. Wir erinnern uns hier wieder,
Datenschutz und Datenschutzrecht ist eben

nicht das Gleiche.

Okay, das war jetzt so der 
Durchritt erstmal für die Grundlagen

an der Stelle und jetzt kommen wir zu den
Nicht-Lösungen. Das sind quasi so ein paar

Kommentare, die ich mir jetzt so noch erlaube.

Okay, also erstmals: Der

Selbstdatenschutz, ganz beliebt
insbesondere in Verbindung mit der

Blockchain. Okay, das spare ich mir jetzt.
Also wenn das Datenschutz-Konzept ernst

genommen werden soll: Wir überlegen uns,
schwache, starke Akteure, Möglichkeiten

transparent, und so weiter. Wie soll denn
Selbstdatenschutz da aussehen?

Wie kann mein Selbstdatenschutz aussehen, 
wenn ich eine innerorganisationale

Datenverarbeitung habe? Wie kann ich denn
bei Facebook selbst Datenschutz machen?

Also außer, wenn ich da bewaffnet
reingehe, aber das ist jetzt nicht

wirklich eine skalierende Lösung, neben
den ganzen anderen Problemen.

Bin gegen Gewalt übrigens.

Oder die Erinnerung:
Warum haben wir Datenschutz? Datenschutz haben

wir eben nicht weil es eine Rechts-Vor-Links-Regel
ist im Straßenverkehr, wo die beiden

gleich stark sind. Nein, wir haben
Datenschutz genau deswegen, weil sie eben

nicht gleich stark sind. Da jetzt den
Schwachen zu sagen: Du kannst doch selbst

Datenschutz machen. Wenn man wirklich
verstanden hat, wie Datenschutz

funktioniert, ist es zynisch, das
vorzuschlagen. Das ist genau dem

Verprügelten zu sagen: Ja, du musst dich
ja nur wehren. Es gibt überhaupt keinen Sinn.

Da kann man sich ja vorstellen, in
den Situationen, wann braucht man oder

wann ist Datenschutz genau notwendig wenn
es um Kredit- oder Grenz- oder Einkaufs-

oder Durchsuchungssituationen geht?
Polizeiliche Identitätsfeststellung oder

an der Grenze: Geben sie Daten raus und so
weiter oder nicht. Das sind genau die

Fälle, da kann man sich überlegen, wie man
irgendwie Flüchtenden an der Grenze sagt:

Na ja, du kannst ja Selbstdatenschutz
machen, du musst dein Handy nicht

rausrücken. Das ist ein Riesenproblem.
Genau darum gehts. Starke und schwache

Akteure, das irgendwie anzugreifen und
eben nicht zu sagen: Ja, mach doch selber.

Und das heißt, da muss man dann auch
sagen, danke eben auch an Jörg Pohle für

diesen Hinweis, Facebook hat gar keine
Datenschutzeinstellungen. Facebook hat

Einstellungen. Facebook, ich sage jetzt
mal $SocialNetwork, da gibt's

Einstellungen, welche anderen User Daten
sehen, und welche anderen User da

irgendwie interagieren können. Es gibt
aber keine Einstellungen, was Facebook

damit macht. Man kann da manchmal so ein
bisschen dran rum regeln, aber die

Einstellung, wie lange Facebook
irgendwelche Sachen speichern soll oder

nicht, die gibt's eben nicht oder welche
Verknüpfungen es da geben soll.

Wenn man Datenschutz quasi ernst nimmt, ist 
das so ein Punkt. Und natürlich, das ist ja auch

irgendwie bei Mobiltelefonen und so
weiter, da gibts dann immer

Datenschutzeinstellungen. Es fühlt sich
irgendwie so gut an, aber das ist gar

nicht Datenschutz, was es da ist. Wenn
irgendwie bei bestimmten Mobiltelefonen

von Google da steht, da halt Datenschutz:
Wollen Sie ein Backup machen? Ja, das ist

aber Datensicherheit, das ist nicht
Datenschutz. Also es ist was anderes.

Okay, dann gucken wir uns mal
Dateneigentum oder Datensouveränität an.

Naja, ein Eigentum, also erstmal
Begriffskritik: Eigentum selber, das

Konzept Eigentum ist ein Exklusivrecht auf
Sachen. Das heißt also, Eigentum: Entweder

ich habe eine bewegliche Sache, ein Auto,
ein Fahrrad oder sonst was oder

unbewegliche Sachen wie Immobilien. Dann
heißt das, ich kann darüber exklusiv

verfügen. Und genau darauf ist die gesamte
Rechtsordnung auch ausgelegt. Wenn ich

sage Daten sind Eigentum, dann merkt man
schon an dem Konzept: Okay, wenn es

Eigentum ist, dann kann es auch gestohlen
werden. Da kann man sich überlegen.

Datendiebstahl, sind die Daten jetzt weg?
Nee, sie sind ja noch da. Okay, was ist

denn jetzt das Problem? Das Problem bei
Diebstahl ist ja nicht, dass man danach

zwei Fahrräder hat, sondern, 
dass man keins mehr hat.

<i>Vereinzeltes Lachen</i>

Also, es ist eine Frage wie groß

der eigene Keller ist. Aber ihr merkt an
der Stelle, das ist schon vom Konzept her

merkwürdig. Aber der nächste Punkt ist:
Okay, Dateneigentum, dann haben wir das

alles, und unser Dateneigentum und wir
können natürlich unsere Daten dann eben

verkaufen und kriegen auch davon was ab,
von dem schönen Kuchen. Jetzt kann man

natürlich gleich eine große
Diskussion anzureißen, ich will da

nicht einsteigen. Ist es tatsächlich die 3
Euro pro Monat an alle Facebook-Userinnen

und -User wert, dafür Wahlmanipulationen
ganzer Gesellschaften und Diskriminierung

an unserer Gesellschaft zu ermöglichen?
Was ist denn das für ein komischer Handel

an der Stelle? Man merkt da, da haut was
nicht hin und mehr ist es ja nicht. Dieses

Geld entsteht dadurch, dass es so viele
User gibt, weil es so super gut skaliert.

Das heißt, die einzelne Person hätte genau
von diesen 3 und meintewegen mögen es auch

30 Euro sein tatsächlich in diesem
Vergleich gar nichts. Also offensichtlich

haben wir hier ein größeres Problem.

Man könnte auch wieder sagen: "Ach

interessant, Dateneigentum, das
unterstützt wieder nur die starken

Akteure, die werden bevorzugt".
Tatsächlich ist es wieder ein Freikaufen,

wenn man sagt, ich hab nicht die
Notwendigkeit meine Daten zu verkaufen,

ich kann die bei mir behalten.
Dateneigentum ist doch schön, jeder ist

selbst irgendwie verantwortlich, die
Souveränität des Einzelnen oder der

einzelnen Person. Aber wie gesagt, das ist
freikaufen: Wenn ich das Geld habe dann

bin ich drauf nicht angewiesen, ansonsten
musste ich mich quasi ausliefern an der

Stelle. Klassisches Beispiel bei der
Autodatenübermittlung, wenn ich mich recht

erinnere, bei Mercedes ab irgendeiner
Klasse gehen dann keine Daten mehr raus,

weiter oben. Weil klar ist: Die
Käuferinnen und Käufer weiter oben, die

mögen es gerne wenn die Daten - was im
Auto passiert bleibt auch im Auto.

So, aber darunter halt nicht. Oder man kann
sich auch überlegen an der Stelle: Smart-

TV-Daten, inwiefern da so eine
Datensouveränität vorherrscht, wenn man

irgendwie einem alleinerziehenden
Elternteil sagt: "Ja, du bist total

datensouverän, du kaufst dir hier einen
Fernseher irgendwie für 500 Euro, oder

250, wenn du alle Daten rausleitest. Kann
man sich ja überlegen, wie datensouverän

dann eine Person agiert. Nächste Frage:
Wenn Daten Eigentum sind, wem gehören denn

Kommunikationsdaten oder Bilddaten, wo
mehrere Leute dran beteiligt sind, und so

weiter? Hinten und vorne Probleme,
Probleme. Das ist so ein bisschen unklar,

welches Problem da wie gelöst wird. Es ist
natürlich wieder die Abwälzung auf die

einzelne Person. Man könnte auch genauso
sagen, "Hygienesouveränität" könnte man ja

auch sagen. Man geht halt irgendwie in
eine Küche und wir haben halt keine

Hygieneregeln, du kennst dich doch
bestimmt aus, gehst dann erst einmal

irgendwie hinten rein, ob die Küche dir
sauber genug ist oder nicht. Du weißt gar

nicht, wonach du gucken sollst? Naja, Pech
gehabt. Das ist die Art von Souveränität,

die da proklamiert wird bei Dateneigentum
und Datensouveränität. Das ist genau

wieder die Souveränität des Stärkeren.

Okay, dann kommen wir noch, als Punkt,

verbunden mit der Datensouveränität: Ich
habe es dann mal Einwilligungsfetisch

genannt. Das ist immer so ein Rückgriff
auf das Grundrecht auf informationelle

Selbstbestimmung, was ich total großartig
finde, aber es reicht eben nicht aus.

Warum reicht das nicht aus? Naja,
Einwilligung heißt, alle mögliche

Datenverarbeitung, da werde ich vorher
gefragt, ob sozusagen meine Daten

verarbeitet werden dürfen für bestimmte
Zwecke, und jetzt ist die Frage: Was ist

denn das Problem an so einer
Einwilligungsfrage? Erstens, da gibt es

zwei Möglichkeiten: Entweder es gibt eine
Informationsasymmetrie oder eine

Machtasymmetrie, wo man das Problem sieht.
Informationsasymmetrie heißt: Ich habe da

eine Einwilligung, die ich geben muss, und
ich habe daneben 150 Seiten AGB, die ich

jetzt lesen muss, um dann irgendwie
ordentlich einzuwilligen. Da sagen

natürliche Organisationen, insbesondere
Konzerne: "Ja, ist doch super, und leider

auch in der DSGVO, dann machen wir
irgendwelche Symbole, die das anzeigen, wo

es dann einfacher ist für die Personen,
das irgendwie lesen zu können und das

verstehen zu können. Dann können wir
vielleicht einfache Sprache machen, und,

im Endeffekt, wir versuchen es ganz ganz
ganz ganz dolle, und wenn alle

Organisationen des Planeten es ganz dolle
versuchen und die Leute es immer noch

nicht verstehen, dann sind die Leute...
also jedenfalls, wir haben uns ganz doll

bemüht. Das heißt, dass der Druck, oder
der Handlungsdruck, wenn man das Problem

der Informationsasymmetrie sieht, liegt
wieder bei der einzelnen Person. Die trägt

wieder die Last des "Sich-Ordentlich-
Informieren-Müssens". Wenn man allerdings

sagt "Naja, das ist eine Machtasymmetrie",
was ich vorhin gesagt habe bei der

Datensouveränität, wann kann man
zustimmen, wie sind eigentlich die,

was ich gesagt habe

Netzwerkeffekte? Welche Probleme entstehen
denn da auch für andere Menschen, wenn ich

sage, ich habe die Google AGB für Google
Mail verstanden und ich habe den

zugestimmt, dann habe ich natürlich auch
für alle anderen, die mir jemals danach

eine Mail schreiben wollen auch noch mit
zugestimmt. Das heißt, es ist gar kein

Informationsproblem, das ich nicht
verstanden hätte, was irgendwie in den AGB

drin stand, sondern das liegt in der Natur
der Sache der Vernetzung, dass ich das für

alle anderen mit entschieden habe. Oder
aber wenn es halt beim Elternabend heißt

"Unsere Facebook-Gruppe hat sich das und
das gedacht", und dann hat eine Person

kein Facebook , oder so weiter. So ganz
viele Fragen, soziale Rahmenbedingungen,

genauso finanzielle Abhängigkeiten. Man
kann ja eben sagen, ja diesen Dienst, bei

der Souveränitätsfrage, ja, "du kannst ja
gerne diesen Service, du kannst ja

einwilligen oder aber es kostet was und
dann nehmen wir weniger Daten". Man merkt,

wenn man es auf diese Machtasymmetrie
stellt, auf einmal ist es nicht so einfach

nur unsere AGB besser schreiben, sondern
eigentlich brauchen wir harte obere

Schranken, das heißt, aka. Regulierung, das
heißt bestimmte Informationsnutzung darf

einfach nicht möglich sein. Wie gesagt,
wir haben es aktuell mit der Manipulation

ganzer Gesellschaften zu tun, auch
Gewaltverbrechen die aufgrund von, und so

weiter. Irgendwo muss man da fragen,
offensichtlich liegt's nicht daran, dass da

irgendwie die AGB nicht gut lesbar sind.
Ok, dann, Zielgerade, langsam die

Algorithmenethik, nur kurz angeschnitten.
Ich bin ja noch länger hier.

Algorithmenethik, ja, das ist so eine
Mischung, Algorithmen, die ethisch sein

können oder nicht ethisch sein können.
Also erstmals, Algorithmen sind selber ja

keine Akteure. Organisationen sind Akteure
und die wenden Algorithmen an. Das heißt

man kann natürlich genauso bei 'ner
Algorithmenethik fragen, was ist denn die

Zementethik? Wie verwendet man Zement? Die
Frage muss man dann überall stellen, weil

die Akteure natürlich genau wissen, welche
Algorithmen sie verwenden und welche

nicht. Sie haben nämlich Zwecke, wenn das,
was Ihre Interessen sind, davon unterstützt

wird, dann werden sie eingesetzt, und
deswegen macht man ein A/B-Testing, wenn

es die Zwecke nicht unterstützt, wird
etwas anderes verwendet. Und wenn man dann

sagt, na ja, das ist doch eine ethische
Frage, naja das ist nicht wirklich eine

ethische Frage, es ist eine
Verantwortungsfrage, na klar, aber Ethik

ist nicht das ganz Richtige. Wenn man
sagt, ja, aber so Algorithmen, die sind

alle so kompliziert, und wir verstehen es
vielleicht gar nicht mehr, bei irgendwie

künstlicher Intelligenz und so weiter,
kann man sich ja überlegen, wie es beim

Hundeverhalten ist. Die Hundehalterin oder
Hundehalter steht natürlich dafür gerade,

was der Hund tut, egal, ob der jetzt, aus
welchen Gründen das getan worden ist.

Irgendwer muss es ja, bei irgendwem muss
ja die Verantwortung sozusagen liegen. Und

die Algorithmen setzen also keine Zwecke,
sondern sie sind Mittel, um Zwecke

umzusetzen, das heißt wenn man überhaupt
über irgendwas spricht, dann muss man

irgendwie über Unternehmensethik reden,
und wie erfolgreich sowas ist, kennen wir,

glaube ich, seit Anbeginn des
Kapitalismus. Okay. Also die konkrete

Frage wäre, anstatt über Algorithmen-Ethik
zu sprechen, wäre zu sagen, wir haben doch

gerade etwas über Schutzziele gelernt.
Können wir denn nicht einfach diese

Schutzziele auf alle möglichen
Informationsverarbeitung-Systeme anwenden?

Ja, natürlich können wir das und es gibt
auch sehr viel, also nicht sehr viel, aber

es gibt eine Menge gute Forschung dazu,
z.B. Unabhängiges Landesdatenschutzzentrum

Schleswig-Holstein und so
weiter. Aber komischerweise sind da die

Ergebnisse ja, "das muss reguliert
werden", "das müssen wir einzäunen", und

so weiter. Aber das schlägt man immer so
ungern den Konzernen vor, das ist immer

so, das ist ein bisschen problematisch an
der Stelle. Das heißt, man kann da viel

drüber nachdenken über maschinen-lesbare
Policies irgendwie, sozusagen KI-KI-

Prüfsysteme, und so weiter. Aber das
Problem dabei ist, dass die Ethik so

folgenlos und so schön sanktionslos bleibt. Eine
Ethik ist das, was man so tut. Das wäre so

ein Thema "es wäre schön, wenn". Und
tatsächlich, wenn wir uns sozusagen unsere

Welt so angucken, die verdatete Welt ist
eigentlich, dieses "wäre schön, wenn" ist

schon lange darüber hinaus. Okay, das
heißt also, die Ethik ist schon in Ordnung

und der Ethik-Diskurs ja, aber die
Umsetzung des Rechts selber, die hängt

hinterher. Und das ist so ein Punkt. Also
die Situation ist, ich habe es mal ein

bisschen provokant geschrieben, die
Massen-Manipulation, -Überwachung und

-Unterdrückung ist sozusagen der Punkt.
Okay, das überspringen wir mal.

Also, wen es interessiert, z. B. auch Ben Wagner
hat dazu auch neulich geschrieben, ich pack es

einfach in die Folien an der Stelle, also
es bleibt da drin: Inwiefern Ethik die

neue Selbstregulierung ist. Unternehmen
sagen: "Ja, bitte keine Regulierung, wir

verhalten uns ethisch und wir haben Ethik-
Kodizes" und hinten und vorne und so

weiter. Und wenn man sich die letzten
Facebook-Veröffentlichungen z. B.

anschaut, wer sagt, mit ethischen
Diskursen sollen die Unternehmen nochmal

doller darüber nachdenken, was sie tun und
was die Konsequenzen sind, dann der Person

empfehle ich tatsächlich sehr stark, diese
Veröffentlichung der internen E-Mails

jetzt mal anzuschauen, die wissen ganz
genau, was sie tun, das ist, also das ist,

da kann man nicht drüber reden, da muss
man einfach sagen, das ist ein

Interessenskonflikt und unsere Werte sind
so und deswegen machen wir das halt.

Okay, dann kommen wir zum Fazit. Also 1.
Datenschutz zwingt Organisationen dazu,

bei der Gestaltung ihrer Datenverarbeitung
die Interessen der Betroffenen zu

beachten. Das heißt, durch Datenschutz
sollen sie Dinge tun, die sie von sich aus

nie tun würden, wir erinnern uns:
Hygieneregeln, Sicherheitsvorkehrungen und

so weiter, das würden sie von sich aus
jetzt erst einmal nicht wollen, weil die

Marktlogik eine andere ist und so weiter.
Aber mit Datenschutz bringt man eben dazu,

Löschfristen und so weiter, die DSGVO
könnt ihr euch angucken. Dann auch als

Betreiber solcher Systeme muss man sich
immer vor Augen halten, die Rechte der

Betroffenen, so nervig sie vielleicht sein
mögen, wenn man selber AnbieterIn ist,

sind immer die Pflichten der
Verantwortlichen. Das heißt, das ist ein

Interessenkonflikt, wenn man sagt, ich
möchte das alles nicht dokumentieren und

so weiter, dann heißt es, mir sind die
Interessen und die Rechte der Anderen

davon egal, und das sollte nicht so sein.
Dann, individuelle Privatsphäre, das habe

ich schon gesagt. Dann als letzten Punkt,
Fokus auf personenbezogene Daten ist

offensichtlich problematisch, man kann
Leute auch mit nicht-personenbezogenen

Daten diskriminieren und es gibt aber auch
Nutzungen von personenbezogenen Daten, die

unproblematisch sind. Was man bräuchte,
ist eine Analyse von Datenverarbeitung,

die einfach schaut, Datenverarbeitung,
egal welche Daten die verwenden, da

verwendet werden. Was sind die
Konsequenzen für die Betroffenen und die

Einwilligung ist weder hinreichend
für individuelle und noch für

gesellschaftliche Schutzfunktionen: da
müssen wir tatsächlich über diese harten

Grenzen nachdenken, ansonsten kommen wir
da nicht weiter. Und als allerletzten Punkt

kann man sagen, die Techis unter uns sagen
ja immer Alice und Bob, die reden

miteinander und dann gibt es Malary, die
greift an und beim Datenschutz muss man

immer sagen, Achtung, Angreifer! Angreifer
ist nicht Malary, Angreifer ist Bob,

nämlich die andere Seite, die die 
Daten kriegt, was sie damit tut.

Okay, dankeschön.

<i>Applaus</i>

Herald: Ja, danke Rainer für deinen
interessanten Vortrag. Wir haben zwei

Mikrofone, eins auf der Seite in der Mitte
des Saals und eins im Mittelgang: Nr. 1 und

Nr. 2. Wenn ihr Fragen stellen möchtet,
dann könnt ihr euch an diesen Mikrofonen

aufstellen und eine Reihe bilden oder zwei
Reihen bilden. Wenn ihr jetzt gehen müsst,

tut das bitte leise und auf jeden Fall
nicht störend. Und ja, dann würde ich mal

sagen: Mikrofon 2.

Frage: Vielen Dank für
den interessanten Vortrag. Wie sieht es

aus, wenn wir plötzlich andere
Machtverhältnisse haben? Das heißt, wir

haben Peer-to-Peer-Systeme. Da haben wir
auf der einen Seite dann alle auf der

gleichen Ebene oder auch nicht, aber doch
prinzipiell ist es möglich. Und gerade

diese Peer-to-Peer-Systeme ermöglichen ja
gerade diese mächtigen Daten-Intermediäre

zu umgehen. Oder was ist jetzt bei Fällen,
wo wir sagen, wir haben jetzt gar nicht

den starken Datenverarbeiter, sondern wir
haben den kleinen Turnverein, wir haben

die Individuen, die plötzlich mit der
Datenschutzgrundverordnung konfrontiert

sind und eigentlich gar nicht die Starken
sind. Und da sagen wir, passt doch

eigentlich gar nicht.

Rainer: Wollen wir erst mal sammeln
oder soll ich gleich..?

Ja, gut, okay. Das ist ein sehr, sehr
guter Punkt, gerade diese Peer-to-Peer-

Geschichten, da sehe ich tatsächlich eine
ganz, ganz große Chance, wo gerade bei

Peer-to-Peer die Daten verteilt sind, da
keine Machtzentren dabei entstehen, da

muss man natürlich bei dem Design
aufpassen, dass man es eben nicht so macht

wie irgendwelche Bitcoin-Geschichten, dass
dann doch wieder alles zentralisiert wird,

sondern eher so wie GNUnet, wo in das System
eingebaut ist, dass es auch dezentral

bleibt. Ich sehe da ganz große Hoffnungen,
da muss allerdings sehr viel noch

geforscht und gearbeitet werden, dass
solche Sachen dann auch skalieren können.

Aber das kann möglich sein, auf alle Fälle.
Da sehe ich überhaupt kein Problem, wenn

man da mal ein bisschen Geld reinsteckt,
irgendwie so einen Bruchteil von dem, was

wir in Atomkraft gesteckt haben, mal in
Peer-to-Peer-Technologien, aber das

nebenbei. Nee, das sehe ich auch, das wäre
auf alle Fälle eine technische

Herangehensweise, wo man natürlich auch
wieder diese Analysen machen müsste, aber

das ist auf alle Fälle ein gangbarer Weg
und da gibt es auch ganz viele Ansätze

schon, gerade hier auf dem Congress, wenn
man mal herumläuft, GNU-Taler und so, da

sehe ich viel Fruchtbares. Bei dem zweiten
Punkt, das ist natürlich jetzt eine

rechtliche Frage. Ich gehe trotzdem darauf
ein, halte mich aber kurz, weil wie

gesagt, es gab auch rechtliche Talks. Die
DSGVO hat so einen überwiegend Risiko-

basierten Ansatz, das heißt, der Verein
muss diese Sachen insofern umsetzen, wie

Risiken für die Betroffenen entstehen. Das
heißt, wenn der Verein ein multi-

nationales, globales Social-Network
betreibt, dann sind die Pflichten sehr,

sehr groß, wenn allerdings da nur die
Mitgliederliste geführt wird, dann sind

die Anforderungen da auch sehr viel
geringer. Also man muss immer sehen, die

Anforderungen, z. B. diese technischen-
organisatorischen Maßnahmen, die müssen

immer angemessen sein. Das heißt, wenn da
eine Liste mit 20 Namen sind, dann muss

man jetzt nicht, da reicht jetzt
vielleicht nicht irgendwie Caesar-

Verschlüsselung, aber da muss jetzt kein
Hochsicherheitssystem da sein; das muss

sozusagen immer entsprechend der Risiken
für die Betroffenen. Also ich verstehe

auch die Kritik zu sagen, dass sozusagen
diese DSGVO guckt gar nicht, wie groß die

Organisation ist. Oder da ist meine
Antwort dabei zu sagen, ja, die DSGVO

schaut aber, wie groß ist das Risiko für
die Betroffenen. Und ich glaube, bei

vielen, die sich da sozusagen beschweren,
die beschweren sich auch erstens, weil sie

sich nicht vorher damit beschäftigt haben,
was sie hätten sollen und zweitens aber

auch, weil da leider sehr viel Angstmache
drin war, wie viel Aufwand da tatsächlich

auf Leute zukommt und wie groß die
Anforderungen sind. Die Regularien bei

der Datenschutz-Konferenz war ja auch
irgendwie erst mal warnen und helfen,

statt abmahnen und so weiter. Also das
sind so, genau das ist so meine Antwort.

Also wichtig ist, wie groß ist das Risiko
für die Betroffenen und das wird bei

Vereinen immer nicht so groß sein. Also
kommt auf den Verein an, also ich meine,

der TÜV ist auch ein Verein, also... Okay,
ich hoffe, das hat jetzt geholfen.

Herald: Mikrofon 1, bitte.

Frage: Sie haben jetzt für die Erklärung

'Was ist Datenschutz?' zurückgegriffen auf
die Erklärung des

Standarddatenschutzmodells. Gibt es in der
Wissenschaft eigentlich auch andere

Ansätze, die gewählt werden zur Erklärung
'Was ist Datenschutz' oder wie weit sind

die Diskussionen da oder gibt es
unterschiedlichen Fokus?

Rainer: Also das ist eine sehr sehr sehr
gute Frage tatsächlich. Ich finde

tatsächlich dieses
Standarddatenschutzmodell - ne

deswegen habe ich es da unten hingepackt -
sehr sehr gut und trifft das, was ich als

großes Problem auch ansehe. Es gibt eine
Dissertation von Jörg Pohle, der Vierte

von unten, 'Datenschutz und
Technikgestaltung', der diskutiert mal die

verschiedenen Ansätze. Es gibt da schon
verschiedene Vorstellungen, was ist

überhaupt das Schutzgut und wie kann man
dem begegnen und so weiter. Da gibt es

einen großen Dschungel, aber da ist sich
auch... also mein Eindruck ist, da setzt

sich zumindest in der deutschen Diskussion
oder europäischen Diskussionen da setzt

sich gerade so eine bestimmte Richtung
durch. Aber es gibt auch andere Ansätze,

die zum Beispiel, die rückwärts versuchen
entlang des Rechtes zu rekonstruieren, was

eigentlich mal das Datenschutzproblem war
und die dann immer individualisiert Fragen

stellen und sagen, wie können wir zum
Beispiel das Risiko so einfache Rechnung wie das

Risiko der einzelnen Person mal die Anzahl
der betroffenen Personen und so könnte man

eben auch an Datenschutz herangehen und
dann hat man nur rein individuell

natürlich immer das Problem, was man dann
lösen muss. Das funktioniert insofern

nicht, wie wir eben gesehen haben, es kann
natürlich eine ganze Menge Leute zu einer

Datenverarbeitung zustimmen, deren
Konsequenzen dann alle anderen auch noch

mit trifft. In dem Sinne funktioniert der
individualistische Ansatz dann nicht. Aber

da gibt es einen Zoo. Aber ich glaube,

Ich glaube das ist meiner Ansicht nach, das sehr gut
begründet ist.

Herald: Das Internet hat eine Frage.

Signal-Angel: Das Internet fragt: Gibt es
bzw. kennst du eine politikerverständliche

Übersicht von Chaos-nahen politischen
Forderungen bezüglich Datenschutz und

Datensicherheit mitsamt ihren
Begründungen?

Rainer: Moment eine was? Eine Politiker
kompatible?

Signal-Angel: ...Politikerverständliche
Übersicht von Chaos-nahen politischen

Förderungen. Forderungen, Entschuldige.

Rainer: Ja. Naja, ich meine, ich kann zum

Beispiel darauf verweisen jetzt vor 2
Monaten war die Bits und Bäume in Berlin.

Da gab's einen Forderungskatalog. Da
spielte auch Datenschutz und

Datensicherheit eine Rolle und auch in der
Begründung dabei. Da war zum Beispiel auch

der CCC auch dran beteiligt und das FIfF.
Aber andersrum auch

Nachhaltigkeitsorganisationen BUND und so
weiter. Das ist sehr kurz und knackig.

Ich glaube das könnte auch verstanden werden
und es wäre auch Chaos-Umfeld. Ich glaube

allerdings, also das denke ich jetzt
gerade, verschiedene Leute oder auch

verschiedene Politiker*innen haben
verschiedene Vorstellungen, was eigentlich

das Problem ist. Deswegen weiß ich noch
nicht so richtig, inwiefern so eine

Handreichung verständlicherweise da
wirklich helfen würde, die allgemein ist,

sondern eher zu fragen: Was daran ist
unklar, um das dann wirklich konkret zu

erklären. Aber mein Eindruck ehrlich
gesagt, ich verstehe die Motivation der

Frage, aber mein Eindruck ist so ein
bisschen, dieses Unverständnis das hat

eher was mit fehlendem Mut zu tun, mal zu
sagen, was weiß ich, wir müssen da jetzt

mal harte Grenzen ziehen. Es hat weniger
mit Verständnis zu tun, als mit nicht

verstehen wollen. Da hilft auch eine
Handreichung nicht.

<i>Applaus</i>

Rainer: Also die Antworten, was notwendig

wäre, die werden immer, immer klarer, aber
das ist glaube ich eine politische Frage.

Und das ist ja auch einer der Gründe,
warum wir hier sind, glaube ich.

Herald: Mirkofon zwei, bitte.

Frage: Ich wollte nochmal einhaken, du

hast ja gerade auch bei dem Thema
Algorithmenethik sozusagen gesagt, das ist

so eine Stellvertreterdebatte oder bzw.
eine Debatte, man will eigentlich nicht

über das Eigentliche reden, nämlich was
Regulierung sein soll. Ich würde Dir

insofern zustimmen, dass die Debatte
natürlich ablenken soll davon, dass man

nicht weiß, wie man mit Technik umgeht.
Ich glaube allerdings, jetzt mal die

Gegenthese, dass man in Deutschland
allgemein sehr regulierungswillig ist, in

der Politik was Technik angeht, aber ich
glaube, man weiß nicht, was man regulieren

soll. Also du hast mehrfach selber auch so
Begriffe wie Massenmanipulation,

Wahlmanipluation genannt, darüber wird
unglaublich viel gesprochen. Ich glaube

aber, es hat keiner gerade in der Politik
eine Idee, wie man damit umgehen soll und

wenn dann mal so ein Vorschlag wie
Botregulierung eingebracht wird, ist es

halt auch Quatsch. Deswegen jetzt meine
konkrete Frage: Wie würdest du damit

umgehen? Also ich arbeite selber im
politischen Betrieb und überlege mir also auch

immer, wie kann man eigentlich diese
Debatten in die richtige Richtung lenken.

Wie würdest du damit umgehen, dass man
eben nicht über Algorithmenethik als

Ablenkungsthema redet sondern, dass man
sich mit den tatsächlichen Fragen, nämlich

was sind sinnvolle Regulierungen
beschäftigt, gerade eben unter dem Aspekt,

dass technisches Unverständnis in großen
Teilen leider herrscht?

Rainer: Tatsächlich eine sehr, sehr
interessante Frage. Ich glaube, da steckt

noch ein bisschen Arbeit drin, diese, zum
Beispiel diese Schutzzielfragen auch mal

wirklich auszubuchstabieren und da gibt es
auch Ansätze, zum Beispiel Martin Rost

jetzt gerade für diese KI-Debatte. Wo man
konkret fragen kann: können denn bestimmte

Systeme Garantien aussprechen für
grundrechtliche Fragen. Ich habe mal so

ein Zitat da rein gepackt, irgendwie so
"Deep-Learning-Systeme sind also nicht

prüfbar, nicht evaluierbar, ändern ihre
Eigenschaften, liefern keinerlei

Begründung, sind leicht zu manipulieren,
willkürlich aufgebaut und immer ungenau."

Das klingt jetzt nach einem coolen System,
wenn man Bilder sortieren will, das klingt

nach einem nicht so guten System, wenn man
Straßenschilder erkennen möchte und ich

glaube die Aufgabe bestünde darin, diese
Fleißarbeit auszubuchstabieren, was zum

Beispiel diese Schutzziele für die
einzelnen Systeme und das macht teilweise

das Standarddatenschutzmodell auch schon,
diese Ergebnisse zu zirkulieren und da

gibt es tatsächlich gute Arbeiten und ich
glaube mittlerweile wäre es sogar möglich,

können wir uns danach nochmal verbinden,
dass da vielleicht die richtigen

Informationen an der richtigen Stelle mal
landen, weil ich glaube, die sind

mehrheitlich schon da. Es hat immer auch
etwas mit erklären zu tun. Aber wenn der

Wille da ist so zu agieren - also eine
Regulierwilligkeit sehe ich jetzt nicht so

richtig - aber gut, wenn das tatsächlich
so ist, dann müsste man da wahrscheinlich

genau diese Papers, die es dazu gibt und
so weiter ein bisschen aufbereiten und

dann an die richtigen Stellen bringen als
Hinweise. Wie gesagt, das heißt aber eben

auch, dass bestimmte Akteure dann eben
auch etwas abgeben müssen oder nicht mehr

zulässig sind oder bestimmte
Geschäftsmodelle nicht mehr möglich sind.

Also wenn Politiker*innen damit
einverstanden sind, dann kann man da auch

was machen.

Herald: Mikrofon 1 bitte.

Frage: Hi, ich habe auch eine Frage zu
Regulierung: Und zwar aus einer

soziologischen Perspektive ist es so, dass
bei Regulierungen immer auch die

Regulierten mitarbeiten. Das läuft im
politischen Betrieb ganz oft über Aufrufe

für Comment-Letters, also das
Bundesministerium für Verkehr und bla hat

was über Fahrzeugdaten veröffentlicht und
die haben sehr sehr dezidiert politische

ökonomische Benefits bei den Herstellern
gesehen und dann sind alle aufgerufen

worden innerhalb eines halben Jahres ihre
ihre Meinung dazu zu posten. Und bei sowas

haben natürlich starke Akteure die du auch
genannt hast, also Techgiants, immer einen

strukturellen Vorteil. Also wenn du dich für
eine starke Regulierung aussprichst, hast

du da schon irgendwie Vorstellungen wie
man diesen Bias an der Stelle ausschaltet;

also das die starken weiterhin auch
privilegiert bleiben selbst wenn es

Regulierungen gibt.

Rainer: Tja, das ist die Königinnenfrage

an der Stelle. Naja, es hat natürlich
immer was damit zu tun, wer wird da

befragt, wer hat die Möglichkeiten? Ich
kenne es ja selber auch irgendwie: Egal ob

es Sachverständigen Anhörungen sind oder
irgendwie Eingaben die gemacht werden

können. Die Firmen schicken ihre Leute in
der Arbeitszeit dahin, um das zu tun und

die NGOs gucken halt wo sie ihre
Ehrenamtlichen abziehen können, um

vielleicht jemanden... Tja, das ist ein
großes Problem. Ich glaube da ist

tatsächlich so eine grundsätzliche.. Da
wage ich mir jetzt auch ein bisschen aus

dem Fenster aber so eine grundsätzliche
Herangehensweise gefragt. Das betrifft ja

die Frage wie unsere Demokratie
funktioniert. Das ist nichts was

irgendwie... ich meine von Diesel bis
hin zu... fange ich gar nicht erst an. Das

ist keine Datenschutzfrage sondern eine
Demokratiefrage. Und ich weiß nicht.

Da gibts ja ganz viele Ideen: mit
Lobbyregister und was es da alles gibt.

Vermutlich müsste man da; wir alle die
Aktivitäten in diesen digitalen

Rechtsfragen tätigen. Vermutlich wäre es
sogar eine langfristige und nachhaltige,

Keyword, nachhaltige Lösung zu sagen,
bei all unseren Aktivitäten nehmen wir 10%

weg und packen die in LobbyControl und so
weiter, um diese Strukturen da irgendwie

zu stärken. Das wär mein Eindruck, weil
teilweise, wenn man sich anguckt wie so

Digitalrat und KI Enquete usw.
zusammengesetzt sind. Klar, wenn ich Leute

vor einem bestimten Hintergrund einlade,
ist mir klar, dass ich dann diese Antwort

kriege. Das ist jetzt ein bisschen so
Frage: Wie kriege ich mehr Leute aus der

Wissenschaft rein? Und mehr Betroffene,
usw.? Und deswegen tut es mir leid, dass

es vielleicht eine nicht so hilfreiche
Antwort ist, aber ich glaube das eine ist

eine Demokratie Frage und da gibts jede
Menge zu tun! Und auch deswegen sollte uns

das interessieren, weil ansonsten unsere
ganze Arbeit da auch teilweise ins Leere

läuft, weil dann eben das kaputte System
das alles wieder auffrisst. Das glaube ich

so ein Punkt.

Herald: Ich merke, die Diskussion, die

brennt. Leider läuft uns die Zeit ein
bisschen davon. Wo finden dich die Leute

hier auf dem Kongress?

Rainer: Ihr findet mich entweder unter

dieser E-Mail-Adresse oder aber z.B. am
FIfF-Stand, hier CCL, nullte Etage.

Hier drunter. Ich werde danach

einfach auf den Knopf drücken und
runterfahren, dann findet man mich da.

<i>Gelächter</i>

Dankeschön

Herald: Genau. Applaus.

<i>Applaus</i>

<i>35C3 Outro Musik</i>

Untertitel erstellt von c3subtitles.de
im Jahr 2020. Mach mit und hilf uns!