Datenschutz und Technikgestaltung

In seiner Dissertation deckt Jörg Pohle die Ideengeschichte und die historische Konstruktion des Datenschutzproblems und des Datenschutzes als abstrakte Lösung auf – einschließlich der Architektur seiner rechtlichen Umsetzung. Ziel seiner Arbeit ist es, diese Konstruktion kritisch zu bewerten und Schlussfolgerungen für die Gestaltung von IKT-Systemen zu ziehen. Für unser Dossier zum Thema „DSGVO“ haben wir ihm einige Fragen gestellt:

Was hat dich zum Thema deiner Dissertation inspiriert?

Zu Beginn der Arbeit an meiner Dissertation habe ich geplant zu untersuchen, wie sich rechtliche Anforderungen – etwa aus dem Bundesdatenschutzgesetz – in technische Anforderungen übersetzen lassen. Eine Eins-zu-eins-Umsetzung ist natürlich schon grundsätzlich nicht möglich. Beim Forschen habe ich jedoch festgestellt: Für das Datenschutzrecht – aber viel allgemeiner auch für alle Privacy- und Surveillance-Theorien – ist gar nicht geklärt, was eigentlich das zu schützende (Rechts-)Gut ist. Es gibt keinen Konsens darüber, welche Annahmen über die Informationsverarbeitung und -nutzung getroffen werden, und wodurch genau das jeweilige das Problem entstehen soll, welches zu lösen ist. In der Folge habe ich meine Forschungsfrage geändert und untersucht, wie das Problem historisch im Diskurs konstruiert wurde; welche rechtlichen, organisatorischen und technischen Mittel oder Maßnahmen zu seiner Lösung vorgeschlagen wurden; und ob und inwieweit dies aus informatischer und informationswissenschaftlicher Sicht noch haltbar ist.

…und welche Antwort hast du beim Schreiben darauf gefunden?

Ergebnis meiner Arbeit ist, dass der Datenschutz – als Lösung des durch die Industrialisierung der gesellschaftlichen Informationsverarbeitung erzeugten Problems von Datenmacht – neu abgeleitet werden muss. Es ging darum zu erklären, warum und wie informationsverarbeitende Organisationen Grund- und Freiheitsrechte, aber auch gesellschaftliche Werte wie Rechtsstaatlichkeit und Demokratie bedrohen. Dazu habe ich ein dem Stand der soziologischen, rechtswissenschaftlichen und informatischen Debatte entsprechendes Datenschutz-Angreifermodell und ein analytisches Raster für eine darauf aufbauende Bedrohungsanalyse vorgelegt. Abschließend habe ich gezeigt, wie sich auf dieser Basis informationstechnische Systeme entwickeln lassen, mit denen sich diese Bedrohungen abwehren und individuelle und gesellschaftliche Freiheitsräume sichern lassen.

Für welche Zielgruppe sind die Outcomes besonders interessant?

Erstens für alle, die sich für die Ideengeschichte im Bereich Privacy, Surveillance und Datenschutz interessieren; zweitens für JuristInnen, die damit eine wissenschaftlich fundierte Begründung für einen Datenschutz bekommen, der sich nicht auf überkommene Privatsphärevorstellungen des 19. Jahrhunderts stützt; drittens für InformatikerInnen, die soziotechnische Systeme auf ihre individuellen und gesellschaftlichen Auswirkungen hin untersuchen oder informationstechnische Systeme gestalten wollen, welche bestehende Freiheitsräume schützen und zugleich neue Freiheiten schaffen.

Was war deine beste und schlimmste und schlimmste Erkenntnis während der Recherche?

Die spannendste Erkenntnis war, dass fast alle Diskussionen, die heute über die Informatisierung der Gesellschaft geführt werden – sowohl in der Wissenschaft als auch in der Gesellschaft – zwischen Ende der 1960er und dem Beginn der 1980er auch schon geführt wurden. Die „schlimmste“ ist, dass die Arbeiten damals um Größenordnungen besser waren als das, was heute so verzapft wird – von der „Digitalisierung“ über die „Algorithmen“ bis hin zur „KI“…

✨ des Internets: Jörg Pohle präsentiert seine Forschung zur Geschichte und Theorie des Datenschutzes aus informatischer Sicht. Wichtige Lektion: #datenschutzrecht ist nicht #Datenschutz pic.twitter.com/7M3BIX7mAt

— HIIG (@hiig_berlin) 15. Dezember 2017

Inwiefern hat deine Publikation mit der DSGVO zu tun?

Die Arbeit zeigt, an welchen Stellen die DSGVO schlicht am Problem vorbeigeht. Etwa weil sie Annahmen trifft, die nicht stimmen: wie etwa die Fixierung auf „personenbezogene Daten“, die unterstellt, dass sich Grund- und Freiheitsrechte nicht auch mit anonymen Daten verletzen lassen. Oder da sie unrealistische oder schlicht nebensächliche Gefährdungen an die Wand malt, dabei aber zugleich wesentliche Probleme gar nicht in den Blick nimmt. Auf der anderen Seite lässt sich meine Arbeit dazu nutzen, um die in der DSGVO festgeschriebenen Analyse- und Umsetzungsprozesse – von der Datenschutz-Folgenabschätzung über Datenschutz-by-Design bis hin zu Datenschutz-by-Default – so inhaltlich zu füllen, dass am Ende tatsächlich Individuen, Gruppen und die Gesellschaft insgesamt vor der Informationsmacht von Staaten und großen privaten Organisationen geschützt werden können.

Welche neuen Perspektiven ergeben sich daraus für dich auf das Thema Datenschutz?

Einerseits kann damit an frühere Diskussionen angeknüpft werden: etwa zu den Zielvorstellungen des Datenschutzes, wie sie von Adalbert Podlech formuliert wurden, wonach Datenschutz die Lösung für das „technik-vermittelte gesellschaftliche“ Problem der „Feststellung und Durchsetzung der Bedingungen, unter denen das Informationsgebaren einer Gesellschaft für die Glieder der Gesellschaft akzeptabel sein kann“ sei. Andererseits habe ich verschiedene, gerade auch technische Ansätze in der Literatur gefunden, deren Weiterverfolgung und Umsetzung in informationstechnische Systeme sich lohnt – und daran arbeite ich gerade.

Ist die DSGVO deiner Meinung nach ein effektives Instrument?

Ein effektives Instrument ist die DSGVO nicht, denn es gibt nur zwei Dinge, die die Grundverordnung effektiv ausgebaut hat: die Dokumentationsanforderungen und die Rechte der VerarbeiterInnen…

Was kann ich nun tun, um meine Daten effektiv zu schützen?

Verschlüsseln und an niemanden weitergeben! Die Frage ist falsch gestellt: Datenschutz dient genauso wenig dem Schutz von Daten, wie Sonnenschutz dem Schutz der Sonne dient oder Katastrophenschutz dem Schutz von Katastrophen…

Thundering applause, congratulations and salut! Last week, Jörg Pohle’s dissertation was awarded “magna cum laude” ?? pic.twitter.com/V1X9P331Lh

— HIIG (@hiig_berlin) 17. November 2017

Jörg Pohle’s Dissertation erschien unter dem Titel „Datenschutz und Technikgestaltung – Geschichte und Theorie des Datenschutzes aus informatischer Sicht und Folgerungen für die Technikgestaltung“. In dieser Arbeit zeigt er die vielfältigen Aspekte auf, die der Analyse des Datenschutzproblems zugrunde liegen – von Konzepten über Mensch und Gesellschaft, Organisationen, Informationstechnologie und Informationsverarbeitung über Konzepte, Denkschulen und Theorien der Informatik, Informationswissenschaft, Soziologie und Recht bis hin zu wissenschaftlichen und vorwissenschaftlichen Annahmen und Prämissen, und wie sie die spezifische Lösung dieses Problems beeinflusst haben.

Datenschutz und Technikgestaltung: Dissertation lesen (PDF)

Abstract: Geschichte und Theorie des Datenschutzes aus informatischer Sicht und Folgerungen für die Technikgestaltung

Basierend auf einer kritischen Bewertung dieser historischen Konstruktion, kommt die Dissertation zu dem Schluss dass der Datenschutz als Lösung für das Problem der Informationsmacht, das durch die Industrialisierung der sozialen Informationsverarbeitung entstanden ist, wiederhergestellt werden muss. Zu diesem Zweck stellt die Dissertation ein abstraktes, hochmodernes Angreifermodell, einen analytischen Rahmen für eine Datenschutzfolgenabschätzung und einen verfahrenstechnischen Operationalisierungsansatz vor, der sowohl die Abfolge als auch die inhaltlichen Fragestellungen, die in diesem Prozess untersucht und bearbeitet werden sollen, veranschaulicht.

Die Dissertation zieht dann Schlussfolgerungen für die Gestaltung datenschutzfreundlicher – und nicht nur rechtskonformer – IKT-Systeme. Darüber hinaus verdeutlicht die Dissertation, inwiefern viele der in der Debatte über Privatsphäre, Überwachung und Datenschutz genannten Konzepte ungültig, veraltet oder zu stark vereinfacht sind. Dazu gehören die Fixierung auf persönlich identifizierbare Informationen, sowohl im Hinblick auf die Einschränkung des Anwendungsbereichs als auch als Bezugspunkt für Gesetzgebung und IKT-Design, die offensichtlich falsche aber weit verbreitete Behauptung, dass Vertraulichkeit eine Eigenschaft von Informationen ist, die naive öffentlich-private Dichotomie und das sogenannte Datenschutz-Paradoxon.