{"id":25894,"date":"2015-12-21T09:00:05","date_gmt":"2015-12-21T08:00:05","guid":{"rendered":"https:\/\/www.hiig.de\/en\/?p=25894"},"modified":"2023-03-28T17:26:05","modified_gmt":"2023-03-28T15:26:05","slug":"report-of-the-interdisciplinary-workshop-privacy-datenschutz-surveillance","status":"publish","type":"post","link":"https:\/\/www.hiig.de\/en\/report-of-the-interdisciplinary-workshop-privacy-datenschutz-surveillance\/","title":{"rendered":"Report of the interdisciplinary workshop “Privacy, Datenschutz & Surveillance”"},"content":{"rendered":"

This report of the interdisciplinary workshop “Privacy, Datenschutz & Surveillance”<\/a> was co-authored by Dr. Johannes Eichenhofer<\/a>\u00a0and J\u00f6rg Pohle<\/a>.<\/em><\/p>\n

Ziel des interdisziplin\u00e4ren Workshops “Privacy, Datenschutz & Surveillance”, der am 4.12.2015 auf Einladung von J\u00f6rg Pohle (Humboldt Institut f\u00fcr Internet und Gesellschaft \u2013 HIIG) und Dr. Johannes Eichenhofer (Universit\u00e4t Bielefeld \/ Strukturwandel des Privaten) im Berliner HIIG stattfand, war es, Wissenschaftlerinnen und Wissenschaftler unterschiedlichster Disziplinen zusammenzuf\u00fchren und aktuelle Probleme ihrer Forschung in trans- und interdisziplin\u00e4rer Weise zu diskutieren. In Abgrenzung zu anderen Tagungen und Konferenzen wurden dabei keine fertigen Vortr\u00e4ge erwartet. Es sollte vielmehr ausdr\u00fccklich “work in progress” diskutiert und dabei die Pr\u00e4missen der eigenen Forschung kritisch reflektiert werden. Hiervon erhoffen sich die Initiatoren des Workshops, der k\u00fcnftig etwa alle sechs Monate stattfinden soll, einen Mehrwert an Erkenntnis \u00fcber die eigene und \u00fcber andere Disziplinen. Es referierten der Soziologe Martin Rost vom Unabh\u00e4ngigen Landeszentrum f\u00fcr Datenschutz (ULD) in Kiel, der Philosoph und Medienwissenschaftler Dr. Thilo Hagendorff (Universit\u00e4t T\u00fcbingen), sowie die Rechtswissenschaftler Emma Peters (HIIG) und Hannfried Leisterer (ebenfalls HIIG).<\/p>\n

Den Auftaktvortrag hielt jedoch Dr. Peter Schantz vom Bundesministerium f\u00fcr Justiz und Verbraucherschutz (BMJV). Er berichtete \u00fcber den aktuellen Stand der Verhandlungen zur EU-Datenschutzgrundverordnung (DSGVO), an denen er selbst beteiligt ist. Nach einem 47 Monate andauernden Verhandlungsmarathon stehe ihre Verabschiedung nun kurz bevor. F\u00fcr den 15.12. sei nun ein letzter Trilog vorgesehen, bis der endg\u00fcltige Entwurf etwa eine Woche sp\u00e4ter dem Europ\u00e4ischen Parlament und dem Rat zugeleitet werden k\u00f6nnte. Sollte der Entwurf dort angenommen werden, k\u00f6nne die DSGVO voraussichtlich im Fr\u00fchjahr 2016 in Kraft treten. Da die DSGVO jedoch eine zweij\u00e4hrige \u00dcbergangsfrist vorsehe, werde sie erst fr\u00fchestens ab Fr\u00fchjahr 2018 unmittelbar anwendbar. Peter Schantz ging deshalb davon aus, dass zahlreiche Regelungen des BDSG (etwa \u00a7\u00a04a zur Einwilligung oder \u00a7\u00a028\u00a0ff. zur Datenverarbeitung nicht-\u00f6ffentlicher Stellen) ab diesem Zeitpunkt vollst\u00e4ndig an Bedeutung verlieren werden. Sodann hob Schantz die aus seiner Sicht wichtigsten inhaltlichen Neuerungen der DSGVO gegen\u00fcber der Datenschutz-RL 95\/46\/EG hervor. Hierzu z\u00e4hlte neben dem Marktortprinzip ein versch\u00e4rftes Sanktionsregime (so k\u00f6nnten Datenschutzverst\u00f6\u00dfe k\u00fcnftig mit einem Bu\u00dfgeld sanktioniert werden, das bis zu 2\u00a0% des globalen Jahresumsatzes der betroffenen datenverarbeitenden Stelle ausmache), das sog. “One-Stop-Shop”-Prinzip, wonach k\u00fcnftig nur noch eine Aufsichtsbeh\u00f6rde f\u00fcr in mehreren EU-Staaten ans\u00e4ssige datenverarbeitende Stellen zust\u00e4ndig sein soll und eine St\u00e4rkung der Betroffenenrechte (z.\u00a0B. durch ein Recht auf Datenportabilit\u00e4t und verst\u00e4rkte Informationspflichten). Die wichtigste institutionelle Neuerung sah Schantz darin, dass aus der Art. 29 Working Group ein Europ\u00e4ischer Datenschutzausschuss werden solle. Ob die DSGVO dagegen auch eine Regelung zu betrieblichen Datenschutzbeauftragten enthalten werde, sei noch offen. Als gr\u00f6\u00dfte Schw\u00e4chen des aktuellen Entwurfes der DSGVO machte Schantz den aus seiner Sicht nur schwach ausgestalteten Schutz vor Profiling und die noch ausbauf\u00e4higen Regelungen \u00fcber Privacy by Design & by Default, sowie \u00fcber Pseudonymisierung und Anonymisierung aus. Auch bei der Frage nach der Zul\u00e4ssigkeit der Daten\u00fcbermittlung in Drittstaaten, die nach dem “Schrems”-Urteil des EuGH (Rs. C-362\/14) erheblich an Brisanz gewonnen hat, mache die DSGVO keine klaren Vorgaben.<\/p>\n

In seinem Vortrag “Datenschutz als Projekt der Moderne” behandelte Martin Rost (ULD) zun\u00e4chst die Frage, was Datenschutz eigentlich meint. Empirischer Ausgangspunkt des Datenschutzes seien nach Rost soziale (Macht-)Beziehungen zwischen Individuen und Organisationen. Damit reagiere der Datenschutz auf ein Ph\u00e4nomen, das \u00fcberhaupt erst in der Moderne auftrete. Datenschutz sei zu unterscheiden vom Datenschutzrecht, das auf einen Konflikt reagiere. Demgegen\u00fcber versteht Rost unter Privatheit bzw. “Privacy” lediglich Formen des Selbstschutzes (z.\u00a0B. Kryptographie, Firewalls, etc.), mit denen das Individuum auf Druck von au\u00dfen reagiere. Datenschutz meine dagegen den grundrechtlich verankerten Schutz von Betroffenen vor Aktivit\u00e4ten durch (auch ordnungsgem\u00e4\u00df) agierende Organisationen mit Schutzvorkehrungen f\u00fcr Betroffene auf Seiten der Organisationen. Sodann fragte Rost, wie eine Gesellschaftstheorie Datenschutz konzipieren k\u00f6nne und nahm Bezug auf die Systemtheorie Luhmanns, die zwischen Interaktions-, Organisations- und gesellschaftlichen Funktionssystemen (z.\u00a0B. Politik, Wirtschaft, Recht etc.) unterscheide. Dabei stellte Rost die These auf, dass Privatheit eine objektiv bestehende Struktur allein in einer modernen Gesellschaft sei, w\u00e4hrend Datenschutz sich entlang der Kommunikation der Differenz gesellschaftliches Funktionssystem \/ Organisation reproduziere. Rost identifizierte daran anschlie\u00dfend sechs Schutzziele des Datenschutzes, von denen jeweils zwei f\u00fcr ihn in einem Spannungsverh\u00e4ltnis st\u00fcnden bzw. nicht gleichzeitig zu haben seien (Vertraulichkeit vs. Verf\u00fcgbarkeit, Transparenz vs. Verkettbarkeit, Integrit\u00e4t vs. Intervenierbarkeit). Diese Schutzziele k\u00f6nnten im Sinne der Habermas\u2019schen Diskurstheorie begr\u00fcndet werden, da die Anforderungen des Datenschutzes eine sinnvolle Erg\u00e4nzung zu den von Habermas identifizierten vier Geltungsanspr\u00fcchen von Kommunikationen (Verst\u00e4ndlichkeit, Wahrheit, Richtigkeit, Wahrhaftigkeit) darstellten. Insgesamt sprach sich Rost energisch gegen eine individualzentrierte und f\u00fcr eine systembezogene Sichtweise des Datenschutzes aus.<\/p>\n

Im Anschluss referierte Dr. Thilo Hagendorff \u00fcber “Mediennutzungsstrategien f\u00fcr den informationellen Kontrollverlust”. Dabei begann Hagendorff \u2013 mit Blick auf stagefright<\/em>-Sicherheitsl\u00fccken \u2013 mit einer Beobachtung eines informationellen Kontrollverlustes, den er an Ph\u00e4nomenen wie Hacking, der Telekommunikations\u00fcberwachung, der Intransparenz von Algorithmen, dem Profiling und dem Handel mit Daten sowie der sog. “M\u00f6glichkeitsblindheit” (P\u00f6rksen & Detel 2012) festmachte. Dieser Kontrollverlust werde zwar durch individuelles Informationsmanagement (z.\u00a0B. Kryptographie, Firewalls, Filter\u2026) zu kompensieren versucht, diese Versuche seien aber allesamt fehleranf\u00e4llig und deshalb untauglich. Hagendorff stellte deshalb neue Mediennutzungsstrategien vor, die den informationellen Kontrollverlust geradezu erwarteten. Hierzu geh\u00f6rten f\u00fcr Hagendorff neben einer erh\u00f6hten Resilienz gegen\u00fcber dem Kollabieren von Informationskontexten und der Antizipation von unbestimmtem Fremdhandeln vor allem der von P\u00f6rksen & Debel formulierte Kategorische Imperativ f\u00fcr das digitale Zeitalter: “Handle stets so, dass Dir die \u00f6ffentlichen Effekte Deines Handelns langfristig vertretbar erscheinen.” Internet-Kommunikationen m\u00fcssten also nicht mehr als “One-to-one”-, sondern als “One-to-many”-Kommunikation gedacht werden. Schlie\u00dflich stellte Hagendorff noch die Ans\u00e4tze eines “empowering exhibitionism” (Koskela 2002) und des “participating surveillance” (Albrechtslund 2008) vor.<\/p>\n

Ausgangspunkt des Vortrags von Emma Peters “Der Zugriff von Strafverfolgungsbeh\u00f6rden auf elektronisch gespeicherte personenbezogene Daten bei privaten Dritten” war die Beobachtung zweier Ph\u00e4nomene: (1) die Ubiquit\u00e4t der Datenerhebung und (2) die Verlagerung der Datenherrschaft auf Unternehmen (private Dritte). Der Schwerpunkt der folgenden Betrachtung lag auf dem zweiten Ph\u00e4nomen. Peters illustrierte dies am Beispiel von personenbezogenen Daten von Kunden einer Privatbank. Hier ergebe sich ein tripolares Verh\u00e4ltnis zwischen dem Datenbetroffenen, der Strafverfolgungsbeh\u00f6rde und einem Privatunternehmen (vorliegend: der Bank). \u00a7\u00a7\u00a094\u00a0ff. der Strafprozessordnung (StPO), welche die Beschlagnahme (auch von Daten) regeln, ber\u00fccksichtigten diese Besonderheiten nicht derart, dass sie der Komplexit\u00e4t der heutigen Datenverarbeitung gerecht w\u00fcrden. Dar\u00fcber hinaus lie\u00dfen die praktisch bedeutsamen Ma\u00dfnahmen der “freiwilligen” Datenherausgabe- nach \u00a7\u00a095 StPO oder Auskunftsersuchen gest\u00fctzt auf \u00a7\u00a0161 StPO (Generalermittlungsklausel) sogar die Verfahrenssicherungen der Beschlagnahmevorschriften vermissen, obwohl die Beh\u00f6rden mit ihnen das gleiche Ziel verfolge. Peters fragte sodann nach der Grundrechtskonformit\u00e4t der StPO und der auf ihrer Grundlage ergehenden Ma\u00dfnahmen der Strafverfolgungsbeh\u00f6rden. Dabei ging sie eingehend auf die grundrechtsdogmatischen Schwierigkeiten ein, die sich bei dem Versuch erg\u00e4ben, einen hinreichenden Schutz des Pers\u00f6nlichkeitsrechts des Betroffenen bei der staatlichen Erhebung seiner pers\u00f6nlichen Daten beim privaten Unternehmen abzubilden.<\/p>\n

Den Abschluss des Workshops bildete der Vortrag von Hannfried Leisterer “Zum staatlichen Umgang mit IT-Sicherheitsl\u00fccken”. Unter dem “Staat” verstand Leisterer zun\u00e4chst alle zivilen Beh\u00f6rden der IT-Sicherheit (Bundesamt f\u00fcr Informationssicherheit, Bundesnetzagentur). Zum Begriff der “Sicherheitsl\u00fccke” f\u00fchrte Leisterer an, dass es in der Informatik zwar bereits eine Vielzahl unterschiedlich weiter Definitionen g\u00e4be, w\u00e4hrend es gleichzeitig im Recht noch an einer handhabbaren Definition fehle. Leisterer f\u00fchrte dies darauf zur\u00fcck, dass es bislang noch kein digitales Produktsicherheitsrecht gebe. Lediglich \u00a7\u00a03 Abs. 1 Nr. 7 des Gesetzes \u00fcber das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSIG) enthalte erste Ans\u00e4tze, die f\u00fcr eine Begriffsbestimmung taugten. Kern von Leisterers Vortrag war die Frage, ob der Staat IT-Sicherheitsl\u00fccken ver\u00f6ffentlichen darf, soll oder sogar muss. Die zentrale Rechtsgrundlage hierf\u00fcr sei bislang \u00a7\u00a07 BSIG, die die Warnkompetenz des Bundesamtes betrifft. Es werde jedoch bislang keine grunds\u00e4tzliche Diskussion zu dieser Frage gef\u00fchrt. Ausgangspunkt seien drei Szenarien: “full disclosure”, “non-disclosure” und “responsible disclosure”. Leisterer pl\u00e4dierte dabei f\u00fcr die dritte Ansicht, die er sodann in den Kontext eines staatlichen Informationsverwaltungsrechts stellte. Zu ber\u00fccksichtigen sei auf der einen Seite, dass der Staat aufgrund von Meldepflichten, Versch\u00e4rfungen im G10-Gesetz, neuer Software und nicht zuletzt dem Ankauf von Sicherheitsl\u00fccken seinen Datenpool erheblich erweitert habe. Andererseits habe der Staat eine Gew\u00e4hrleistungsverpflichtung zur Informationsvorsorge.<\/p>\n

Neben diesen \u00e4u\u00dferst anregenden und interdisziplin\u00e4r anschlussf\u00e4higen Vortr\u00e4gen war der Workshop von intensiven und disziplinen\u00fcbergreifenden Diskussionen gekennzeichnet. Gerade der Werkstattcharakter der Veranstaltung sorgte f\u00fcr eine ebenso entspannte wie angeregte Diskussionsatmosph\u00e4re und bot den Teilnehmerinnen und Teilnehmern viele neue Perspektiven und Einblicke auf ihr Forschungsfeld. Es bleibt zu hoffen, dass sich dieses Format w\u00e4hrend der n\u00e4chsten Workshop-Runden bew\u00e4hrt.<\/p>\n