{"id":38667,"date":"2018-01-23T06:44:31","date_gmt":"2018-01-23T05:44:31","guid":{"rendered":"https:\/\/hiig.de\/?p=38667\/"},"modified":"2018-06-26T17:53:20","modified_gmt":"2018-06-26T15:53:20","slug":"practical-tests-privacy-law","status":"publish","type":"post","link":"https:\/\/www.hiig.de\/en\/practical-tests-privacy-law\/","title":{"rendered":"Practical tests for privacy law"},"content":{"rendered":"

With the fifth event taking place, the biannual workshop series \u201cPrivacy, Data Protection & Surveillance<\/a>\u201d \u2013 organized by Dr. Johannes Eichenhofer<\/strong> and J\u00f6rg Pohle<\/strong> \u2013 has established itself as an important event for interdisciplinary exchange in this broad field of research. By now, many of the 30 participants have taken part repeatedly. Once again, the focus of this highly discussion-oriented workshop has been “work in progress” \u2013 aimed at shedding light on recent developments in theory and practice, law and technology, questioning underlying premises of one’s own research, and gaining new insights into each others’ disciplines.<\/em><\/p>\n

Algorithmen<\/h3>\n

Amadeus Peters (Doktorand an der Justus-Liebig-Universit\u00e4t Gie\u00dfen) umriss in seinem Vortrag einige Problemschwerpunkte seines Promotionsvorhabens zu algorithmischer Diskriminierung durch den Staat und ihre verfassungsrechtlichen Grenzen. Ausgangspunkt seiner Analyse war der allgemeine Gleichheitssatz des Art. 3 Grundgesetz, der verlangt, dass grunds\u00e4tzlich gleiches gleich und ungleiches ungleich zu behandeln sei, dass Anforderungen an die Rechtfertigung von Ausnahmen von diesem Grundsatz desto h\u00f6her seien, je weniger Individuen die betreffenden Merkmale \u00e4ndern k\u00f6nnten, und zugleich auf bestimmte Merkmale verweise, die nicht als Basis f\u00fcr Entscheidungen dienen d\u00fcrfen (Diskriminierungsverbot). Peters identifizierte drei zentrale Diskriminierungsquellen bei automatischen Entscheidungen: die Verwendung \u201everzerrter\u201c Daten, die ungleichm\u00e4\u00dfige Erhebung von Daten sowie die Architektur der verwendeten Entscheidungsprogramme, um auf dieser Basis dann darzulegen, wie sich juristisch die Frage nach der Rechtfertigung konkreter diskriminierender Entscheidungen beantworten lie\u00dfe. Dazu unterschied Peters zwischen der Intensit\u00e4t der Diskriminierung, der Frage, ob bestehende Unterschiede verst\u00e4rkt oder gar neue geschaffen werden, dem Zweck der Diskriminierung sowie dem Problem von Proxys, d.h. stellvertretenden Merkmalen, die eventuell nur mit dem eigentlichen Merkmal korrelieren. Seine abschlie\u00dfende These, dass bekannt sei, dass staatliche Entscheidungen oftmals eine diskriminierende Wirkung h\u00e4tten, durch den Einsatz von Algorithmen w\u00fcrde dies nur deutlich sichtbarer, bildete dann zugleich den Auftakt f\u00fcr die Diskussion. Dabei zeigte sich einerseits deutlich, welche unterschiedlichen Verst\u00e4ndnisse in den einzelnen Disziplinen vom Algorithmenbegriff herrschen, andererseits blieb umstritten, an welchem Punkt Problemanalyse und -l\u00f6sung ansetzen m\u00fcsse: an den Daten, an den (mathematischen) Algorithmen, an ihrer Umsetzung in Computerprogrammen oder an der Einbettung solcher Systeme in Organisationen? Klar wurde jedenfalls die Janusk\u00f6pfigkeit solcher Algorithmen \u2013 ihr Einsatz kann blinde Flecken des Rechtsstaates sichtbar machen, zugleich aber Gruppen konstituieren und diese diskriminieren, die es vorher nicht gab.<\/p>\n

Am Beispiel von \u201eNo-Fly List\u201c-Regimes, wie sie etwa auf der Basis der Resolutionen 1267 ff. des UN-Sicherheitsrats oder als Teil der \u201eTerrorist Screening Database\u201c des U.S. Department of Homeland Security eingef\u00fchrt wurden, diskutierte Natalie Pompe (Doktorandin an der Universit\u00e4t Z\u00fcrich) die juristischen Auseinandersetzungen um die Verst\u00e4ndnisse von Privacy und Datenschutz. Bei diesen Regimes handele es sich um vorverlagerte Sanktionen, die vor allem dadurch gekennzeichnet seien, dass die Aufnahme von Personen und Organisationen in die Listen hochgradig intransparent vonstatten gehe und es oft selbst an grundlegenden Rechtsschutzm\u00f6glichkeiten f\u00fcr die Betroffenen mangele \u2013 oder solche M\u00f6glichkeiten erst nach langwierigen Rechtsstreits geschaffen wurden. In den politischen und juristischen Auseinderandersetzungen um die Abw\u00e4gung zwischen konfligierenden Interessen und kollidierenden Verfassungsg\u00fctern, etwa zwischen Sicherheit und Freiheit, zeige sich, so Pompe, dass nicht nur die Verst\u00e4ndnisse von Privacy, informationeller Selbstbestimmung und Datenschutz, sondern auch die ihnen je zugemessenen Werte fundamental umstritten sind. Diese \u00dcberlegungen Pompes wurden in der sich anschlie\u00dfenden Diskussion aufgegriffen, die sich um m\u00f6gliche Unterscheidungen von Privatheit, informationeller Selbstbestimmung und Datenschutz drehte.<\/p>\n

Apps<\/h3>\n

Sara Elisa Kettner (Quadriga Hochschule Berlin und ConPolicy \u2013 Institut f\u00fcr Verbraucherpolitik) und Frank Ingenrieth (Selbstregulierung Informationswirtschaft e.V.), pr\u00e4sentierten eine Bestandsaufnahme zu den Datenschutzerkl\u00e4rungen von Apps, die sie im Rahmen des BMBF-gef\u00f6rderten Forschungsprojekts \u201ePrivacy Guard\u201c erhoben haben. Ziel des Projektes ist es, eine Software zu entwickeln, mit der sich Eigenschaften von Apps, wie sie in den Datenschutzerkl\u00e4rungen beschrieben werden, klar und verst\u00e4ndlich darstellen und bewerten lassen. Auf der Basis von Expertenkonsultationen und einer repr\u00e4sentativen Onlinebefragung wurden im ersten Schritt insgesamt 30 relevante Datenverarbeitungsarten wie die Weitergabe von Daten an Dritte, Profilbildung oder individualisierte Werbung identifiziert, worauf basierend im zweiten Schritt ein App-Store-Crawler entwickelt wurde, der die verlinkten Datenschutzerkl\u00e4rungen im App-Store ausliest und zur weiteren Pr\u00fcfung bereitstellt. Schon dabei zeigte sich, dass derzeit weniger als jede dritte App eine solche Erkl\u00e4rung verlinkt. Das fertige System solle die Datenschutzerkl\u00e4rungen automatisiert im Hinblick auf diese 30 Datenverarbeitungsarten \u00fcberpr\u00fcfen, werde derzeit aber noch durch manuelle juristische Pr\u00fcfung komplementiert. Kettner und Ingenrieth verwiesen auf erste Ergebnisse f\u00fcr 130 zuf\u00e4llig ausgew\u00e4hlte Apps, wonach etwa jede f\u00fcnfte App einen \u00c4nderungsvorbehalt ohne Information der NutzeriInnen beinhalte und fast 40% keine Kontaktm\u00f6glichkeit f\u00fcr datenschutzrechtliche Anliegen benannten. In der Diskussion standen zwei Spannungsfelder im Mittelpunkt. Zum einen wurde problematisiert, dass sich die individuellen und kollektiven Erwartungen von NutzerInnen durchaus signifikant von den im Datenschutzrecht formulierten Anforderungen unterscheiden k\u00f6nnen, sowohl hinsichtlich ihrer jeweiligen kategorialen Einordnung \u2013 so sei etwa die Weitergabe von Daten an Auftragsdatenverarbeiter datenschutzrechtlich keine \u00dcbermittlung an Dritte, w\u00e4hrend Betroffene dieser Sicht des Datenschutzrechts nicht folgen m\u00fcssen \u2013 wie auch bez\u00fcglich ihrer jeweiligen Bewertung. Daraus erw\u00fcchsen dann Folgeprobleme f\u00fcr eine tats\u00e4chlich aufkl\u00e4rende Darstellung der Datenschutzeigenschaften der Apps. Zum anderen fokussierte die Diskussion die Frage, ob und wie sich unter diesen Bedingungen sinnvoll positive und negative Eigenschaften gegen\u00fcberstellen lassen, damit die Betroffenen eine informierte Entscheidung zu treffen in der Lage sind.<\/p>\n

\u00dcber die Entwicklung einer \u201eAppPETS Developer Guideline\u201c sowie einer entsprechenden Privacy Library f\u00fcr EntwicklerInnen von mobilen Apps berichtete Daniel Guagnin (Doktorand an der TU Berlin und praemadantum GmbH). Eingebettet in die einzelnen Phasen etablierter Vorgehensmodelle zur Entwicklung von Informatiksystemen soll diese Guideline dabei helfen, rechtliche und technische Aspekte des Datenschutzes produktiv miteinander zu verbinden, w\u00e4hrend die Software-Bibliothek entsprechende Funktionen in einfacher Weise f\u00fcr die Nutzung zur Verf\u00fcgung stellen soll. Neben allgemeinen Fragen, etwa zum Verh\u00e4ltnis der ISO-Normen zu Privacy-by-Design und der EU-DSGVO oder zur Einbindung von Stakeholdern in Softwareentwicklungsprojekte, wurden in der Diskussion vor allem die konkreten Herausforderungen in den einzelnen Entwicklungsphasen zum Gegenstand gemacht.<\/p>\n

Online Social Network Sites<\/h3>\n

Markus Uhlmann (wissenschaftlicher Mitarbeiter am DFG-Graduiertenkolleg \u201ePrivatheit und Vertrauen f\u00fcr mobile Nutzer\u201c an der Universit\u00e4t Kassel) diskutierte in seinem Vortrag \u00fcber die Auswirkungen von Online Social Network Sites auf den Umgang von NutzerInnen mit Daten, die sich daraus ergebende Notwendigkeit, klassische Privatheitsvorstellungen infrage zu stellen, sowie die Herausforderungen, die sich in der Folge f\u00fcr etablierte Datenschutzkonzepte ergeben. Dabei hat sich Uhlmann vor allem f\u00fcr eine Bezugnahme auf das Konzept des Vertrauens stark gemacht, um das Problemfeld zu erschlie\u00dfen. Aus dieser Perspektive stellten sich Privatheitserwartungen als normative Vertrauenserwartungen dar, die nach sozialen Beziehungen \u2013 etwa zu anderen Nutzern, Intermedi\u00e4ren oder Technikentwicklern \u2013 differenziert w\u00fcrden, die sich aber nicht entwickeln k\u00f6nnten, wo Konzepte \u2013 dazu k\u00f6nnen auch abstrakte Datenschutzprinzipien geh\u00f6ren \u2013 unklar, Praktiken intransparent oder Verantwortlichkeiten ungekl\u00e4rt seien. An seinen Vorschlag, st\u00e4rker auf die Schaffung von Vertrauenintermedi\u00e4ren und Prozesse zur Aufdeckung von Vertrauensbr\u00fcchen abzuzielen, kn\u00fcpfte die Diskussion direkt an. Schwerpunkt war dabei das Verh\u00e4ltnis zwischen den vertrauenstheoretischen Ans\u00e4tzen Uhlmanns und dem geltenden Datenschutzrecht, wobei insbesondere aus juristischer Perspektive hinterfragt wurde, inwieweit es sich weitgehend um eine vertrauenstheoretische Reformulierung des geltenden Datenschutzrechts handele. Auch sei im Recht eher Misstrauen als Vertrauen die ma\u00dfgebliche Kategorie, mit der Folge eines starken Fokusses auf Verfahren und deren Gestaltung, deren Funktion es sei, mit Misstrauen produktiv umzugehen. Klar wurde dabei in der Debatte aber ebenso, dass sich mit der Vertrauensperspektive Beziehungen adressieren lie\u00dfen, die das Recht nicht abbilde, etwa weil die Grenzen von Rechtsregimen \u00fcberschritten w\u00fcrden oder es sich um nicht (oder noch nicht) verrechtlichte Aspekte, etwa ethische, handele.<\/p>\n

Abschluss, Ausblick und Expansion<\/h3>\n

Der V. Workshop bot wieder einmal Gelegenheit, das geltende Datenschutzrecht aus verschiedenen Disziplinen einer Bew\u00e4hrungsprobe zu unterziehen. Die Verwendung algorithmischer Datenverarbeitungsprogramme entzieht sich dabei schon dadurch dem Zugriff des Datenschutzrechts, dass es sich oftmals nicht um \u201epersonenbezogene\u201c Daten handelt, die verarbeitet werden. Dar\u00fcber nimmt das Datenschutzrecht prim\u00e4r die durch die Datenverarbeitung verursachten Beschr\u00e4nkungen der informationellen Selbstbestimmung in den Blick, w\u00e4hrend es f\u00fcr potentiell diskriminierende Auswirkungen von algorithmischer Datenverarbeitungen bislang kaum L\u00f6sungen bereith\u00e4lt. Hier stellt sich die alte Frage nach dem Schutzzweck des Datenschutzes neu.<\/p>\n

Dieselbe Frage stellt sich auch mit Blick auf die begrenzten M\u00f6glichkeiten von InternetnutzerInnen, den Fluss der sie betreffenden Daten zu kontrollieren. So machten die Vortr\u00e4ge zum Thema Apps deutlich, dass sich Selbstdatenschutz trotz aller technisch angeleiteten Hilfestellungen mit fortschreitender Komplexit\u00e4t der Informations- und Kommunikationstechnologie immer schwieriger durchsetzen l\u00e4sst. So bedarf es etwa datenschutzrechtlichen Fachwissens, um die Datenschutzkonformit\u00e4t von Apps beurteilen zu k\u00f6nnen. Als neuer Schutzzweck wurde im Rahmen des Workshops das Vertrauen der InternetnutzerInnen in die Einhaltungen bestimmter Privatheitserwartungen diskutiert, wobei noch unklar geblieben ist, ob dieses Konzept neben die klassischen Funktionen des Datenschutzes treten oder diese Funktionen ersetzen soll.<\/p>\n

Schon auf dem letzten Workshop haben wir festgestellt, dass es einen Bedarf an weiteren Workshops der Reihe \u201ePrivacy, Datenschutz & Surveillance\u201c neben den traditionellen Juni- und Dezember-Terminen im HIIG gibt. Wir freuen uns sehr, dass der VI. Interdisziplin\u00e4re Workshop im April 2018 von Stephan Kolo\u00dfa in Bochum ausgerichtet wird.<\/p>\n

\n

Autoren
\n<\/strong>Marie-Christine D\u00e4hn<\/a> ist studentische Mitarbeiterin am Alexander von Humboldt Institut f\u00fcr Internet und Gesellschaft (HIIG) im Bereich \u201eGlobaler Konstitutionalismus und das Internet\u201c.<\/em>
\n Dr. Johannes Eichenhofer<\/a> ist wissenschaftlicher Mitarbeiter am Lehrstuhl f\u00fcr \u00d6ffentliches Recht, Staatslehre und Verfassungsgeschichte an der Universit\u00e4t Bielefeld. Er beteiligt sich am interdisziplin\u00e4ren Forschungsprojekt \u201eStrukturwandel des Privaten\u201c<\/a>.<\/em>
\n J\u00f6rg Pohle<\/a> ist wissenschaftlicher Mitarbeiter am Alexander von Humboldt Institut f\u00fcr Internet und Gesellschaft (HIIG) und Mitglied des Forschungsteams \u201eGlobal Privacy Governance<\/a>\u201c.<\/em><\/p>\n

\n

This post represents the view of the author and does not necessarily represent the view of the institute itself. For more information about the topics of these articles and associated research projects, please contact info@hiig.de<\/a>.<\/em><\/p>\n