Report of the interdisciplinary workshop “Privacy, Datenschutz & Surveillance”

This report of the interdisciplinary workshop “Privacy, Datenschutz & Surveillance” was co-authored by Dr. Johannes Eichenhofer and Jörg Pohle.

Ziel des interdisziplinären Workshops “Privacy, Datenschutz & Surveillance”, der am 4.12.2015 auf Einladung von Jörg Pohle (Humboldt Institut für Internet und Gesellschaft – HIIG) und Dr. Johannes Eichenhofer (Universität Bielefeld / Strukturwandel des Privaten) im Berliner HIIG stattfand, war es, Wissenschaftlerinnen und Wissenschaftler unterschiedlichster Disziplinen zusammenzuführen und aktuelle Probleme ihrer Forschung in trans- und interdisziplinärer Weise zu diskutieren. In Abgrenzung zu anderen Tagungen und Konferenzen wurden dabei keine fertigen Vorträge erwartet. Es sollte vielmehr ausdrücklich “work in progress” diskutiert und dabei die Prämissen der eigenen Forschung kritisch reflektiert werden. Hiervon erhoffen sich die Initiatoren des Workshops, der künftig etwa alle sechs Monate stattfinden soll, einen Mehrwert an Erkenntnis über die eigene und über andere Disziplinen. Es referierten der Soziologe Martin Rost vom Unabhängigen Landeszentrum für Datenschutz (ULD) in Kiel, der Philosoph und Medienwissenschaftler Dr. Thilo Hagendorff (Universität Tübingen), sowie die Rechtswissenschaftler Emma Peters (HIIG) und Hannfried Leisterer (ebenfalls HIIG).

Den Auftaktvortrag hielt jedoch Dr. Peter Schantz vom Bundesministerium für Justiz und Verbraucherschutz (BMJV). Er berichtete über den aktuellen Stand der Verhandlungen zur EU-Datenschutzgrundverordnung (DSGVO), an denen er selbst beteiligt ist. Nach einem 47 Monate andauernden Verhandlungsmarathon stehe ihre Verabschiedung nun kurz bevor. Für den 15.12. sei nun ein letzter Trilog vorgesehen, bis der endgültige Entwurf etwa eine Woche später dem Europäischen Parlament und dem Rat zugeleitet werden könnte. Sollte der Entwurf dort angenommen werden, könne die DSGVO voraussichtlich im Frühjahr 2016 in Kraft treten. Da die DSGVO jedoch eine zweijährige Übergangsfrist vorsehe, werde sie erst frühestens ab Frühjahr 2018 unmittelbar anwendbar. Peter Schantz ging deshalb davon aus, dass zahlreiche Regelungen des BDSG (etwa § 4a zur Einwilligung oder § 28 ff. zur Datenverarbeitung nicht-öffentlicher Stellen) ab diesem Zeitpunkt vollständig an Bedeutung verlieren werden. Sodann hob Schantz die aus seiner Sicht wichtigsten inhaltlichen Neuerungen der DSGVO gegenüber der Datenschutz-RL 95/46/EG hervor. Hierzu zählte neben dem Marktortprinzip ein verschärftes Sanktionsregime (so könnten Datenschutzverstöße künftig mit einem Bußgeld sanktioniert werden, das bis zu 2 % des globalen Jahresumsatzes der betroffenen datenverarbeitenden Stelle ausmache), das sog. “One-Stop-Shop”-Prinzip, wonach künftig nur noch eine Aufsichtsbehörde für in mehreren EU-Staaten ansässige datenverarbeitende Stellen zuständig sein soll und eine Stärkung der Betroffenenrechte (z. B. durch ein Recht auf Datenportabilität und verstärkte Informationspflichten). Die wichtigste institutionelle Neuerung sah Schantz darin, dass aus der Art. 29 Working Group ein Europäischer Datenschutzausschuss werden solle. Ob die DSGVO dagegen auch eine Regelung zu betrieblichen Datenschutzbeauftragten enthalten werde, sei noch offen. Als größte Schwächen des aktuellen Entwurfes der DSGVO machte Schantz den aus seiner Sicht nur schwach ausgestalteten Schutz vor Profiling und die noch ausbaufähigen Regelungen über Privacy by Design & by Default, sowie über Pseudonymisierung und Anonymisierung aus. Auch bei der Frage nach der Zulässigkeit der Datenübermittlung in Drittstaaten, die nach dem “Schrems”-Urteil des EuGH (Rs. C-362/14) erheblich an Brisanz gewonnen hat, mache die DSGVO keine klaren Vorgaben.

In seinem Vortrag “Datenschutz als Projekt der Moderne” behandelte Martin Rost (ULD) zunächst die Frage, was Datenschutz eigentlich meint. Empirischer Ausgangspunkt des Datenschutzes seien nach Rost soziale (Macht-)Beziehungen zwischen Individuen und Organisationen. Damit reagiere der Datenschutz auf ein Phänomen, das überhaupt erst in der Moderne auftrete. Datenschutz sei zu unterscheiden vom Datenschutzrecht, das auf einen Konflikt reagiere. Demgegenüber versteht Rost unter Privatheit bzw. “Privacy” lediglich Formen des Selbstschutzes (z. B. Kryptographie, Firewalls, etc.), mit denen das Individuum auf Druck von außen reagiere. Datenschutz meine dagegen den grundrechtlich verankerten Schutz von Betroffenen vor Aktivitäten durch (auch ordnungsgemäß) agierende Organisationen mit Schutzvorkehrungen für Betroffene auf Seiten der Organisationen. Sodann fragte Rost, wie eine Gesellschaftstheorie Datenschutz konzipieren könne und nahm Bezug auf die Systemtheorie Luhmanns, die zwischen Interaktions-, Organisations- und gesellschaftlichen Funktionssystemen (z. B. Politik, Wirtschaft, Recht etc.) unterscheide. Dabei stellte Rost die These auf, dass Privatheit eine objektiv bestehende Struktur allein in einer modernen Gesellschaft sei, während Datenschutz sich entlang der Kommunikation der Differenz gesellschaftliches Funktionssystem / Organisation reproduziere. Rost identifizierte daran anschließend sechs Schutzziele des Datenschutzes, von denen jeweils zwei für ihn in einem Spannungsverhältnis stünden bzw. nicht gleichzeitig zu haben seien (Vertraulichkeit vs. Verfügbarkeit, Transparenz vs. Verkettbarkeit, Integrität vs. Intervenierbarkeit). Diese Schutzziele könnten im Sinne der Habermas’schen Diskurstheorie begründet werden, da die Anforderungen des Datenschutzes eine sinnvolle Ergänzung zu den von Habermas identifizierten vier Geltungsansprüchen von Kommunikationen (Verständlichkeit, Wahrheit, Richtigkeit, Wahrhaftigkeit) darstellten. Insgesamt sprach sich Rost energisch gegen eine individualzentrierte und für eine systembezogene Sichtweise des Datenschutzes aus.

Im Anschluss referierte Dr. Thilo Hagendorff über “Mediennutzungsstrategien für den informationellen Kontrollverlust”. Dabei begann Hagendorff – mit Blick auf stagefright-Sicherheitslücken – mit einer Beobachtung eines informationellen Kontrollverlustes, den er an Phänomenen wie Hacking, der Telekommunikationsüberwachung, der Intransparenz von Algorithmen, dem Profiling und dem Handel mit Daten sowie der sog. “Möglichkeitsblindheit” (Pörksen & Detel 2012) festmachte. Dieser Kontrollverlust werde zwar durch individuelles Informationsmanagement (z. B. Kryptographie, Firewalls, Filter…) zu kompensieren versucht, diese Versuche seien aber allesamt fehleranfällig und deshalb untauglich. Hagendorff stellte deshalb neue Mediennutzungsstrategien vor, die den informationellen Kontrollverlust geradezu erwarteten. Hierzu gehörten für Hagendorff neben einer erhöhten Resilienz gegenüber dem Kollabieren von Informationskontexten und der Antizipation von unbestimmtem Fremdhandeln vor allem der von Pörksen & Debel formulierte Kategorische Imperativ für das digitale Zeitalter: “Handle stets so, dass Dir die öffentlichen Effekte Deines Handelns langfristig vertretbar erscheinen.” Internet-Kommunikationen müssten also nicht mehr als “One-to-one”-, sondern als “One-to-many”-Kommunikation gedacht werden. Schließlich stellte Hagendorff noch die Ansätze eines “empowering exhibitionism” (Koskela 2002) und des “participating surveillance” (Albrechtslund 2008) vor.

Ausgangspunkt des Vortrags von Emma Peters “Der Zugriff von Strafverfolgungsbehörden auf elektronisch gespeicherte personenbezogene Daten bei privaten Dritten” war die Beobachtung zweier Phänomene: (1) die Ubiquität der Datenerhebung und (2) die Verlagerung der Datenherrschaft auf Unternehmen (private Dritte). Der Schwerpunkt der folgenden Betrachtung lag auf dem zweiten Phänomen. Peters illustrierte dies am Beispiel von personenbezogenen Daten von Kunden einer Privatbank. Hier ergebe sich ein tripolares Verhältnis zwischen dem Datenbetroffenen, der Strafverfolgungsbehörde und einem Privatunternehmen (vorliegend: der Bank). §§ 94 ff. der Strafprozessordnung (StPO), welche die Beschlagnahme (auch von Daten) regeln, berücksichtigten diese Besonderheiten nicht derart, dass sie der Komplexität der heutigen Datenverarbeitung gerecht würden. Darüber hinaus ließen die praktisch bedeutsamen Maßnahmen der “freiwilligen” Datenherausgabe- nach § 95 StPO oder Auskunftsersuchen gestützt auf § 161 StPO (Generalermittlungsklausel) sogar die Verfahrenssicherungen der Beschlagnahmevorschriften vermissen, obwohl die Behörden mit ihnen das gleiche Ziel verfolge. Peters fragte sodann nach der Grundrechtskonformität der StPO und der auf ihrer Grundlage ergehenden Maßnahmen der Strafverfolgungsbehörden. Dabei ging sie eingehend auf die grundrechtsdogmatischen Schwierigkeiten ein, die sich bei dem Versuch ergäben, einen hinreichenden Schutz des Persönlichkeitsrechts des Betroffenen bei der staatlichen Erhebung seiner persönlichen Daten beim privaten Unternehmen abzubilden.

Den Abschluss des Workshops bildete der Vortrag von Hannfried Leisterer “Zum staatlichen Umgang mit IT-Sicherheitslücken”. Unter dem “Staat” verstand Leisterer zunächst alle zivilen Behörden der IT-Sicherheit (Bundesamt für Informationssicherheit, Bundesnetzagentur). Zum Begriff der “Sicherheitslücke” führte Leisterer an, dass es in der Informatik zwar bereits eine Vielzahl unterschiedlich weiter Definitionen gäbe, während es gleichzeitig im Recht noch an einer handhabbaren Definition fehle. Leisterer führte dies darauf zurück, dass es bislang noch kein digitales Produktsicherheitsrecht gebe. Lediglich § 3 Abs. 1 Nr. 7 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) enthalte erste Ansätze, die für eine Begriffsbestimmung taugten. Kern von Leisterers Vortrag war die Frage, ob der Staat IT-Sicherheitslücken veröffentlichen darf, soll oder sogar muss. Die zentrale Rechtsgrundlage hierfür sei bislang § 7 BSIG, die die Warnkompetenz des Bundesamtes betrifft. Es werde jedoch bislang keine grundsätzliche Diskussion zu dieser Frage geführt. Ausgangspunkt seien drei Szenarien: “full disclosure”, “non-disclosure” und “responsible disclosure”. Leisterer plädierte dabei für die dritte Ansicht, die er sodann in den Kontext eines staatlichen Informationsverwaltungsrechts stellte. Zu berücksichtigen sei auf der einen Seite, dass der Staat aufgrund von Meldepflichten, Verschärfungen im G10-Gesetz, neuer Software und nicht zuletzt dem Ankauf von Sicherheitslücken seinen Datenpool erheblich erweitert habe. Andererseits habe der Staat eine Gewährleistungsverpflichtung zur Informationsvorsorge.

Neben diesen äußerst anregenden und interdisziplinär anschlussfähigen Vorträgen war der Workshop von intensiven und disziplinenübergreifenden Diskussionen gekennzeichnet. Gerade der Werkstattcharakter der Veranstaltung sorgte für eine ebenso entspannte wie angeregte Diskussionsatmosphäre und bot den Teilnehmerinnen und Teilnehmern viele neue Perspektiven und Einblicke auf ihr Forschungsfeld. Es bleibt zu hoffen, dass sich dieses Format während der nächsten Workshop-Runden bewährt.