Practical tests for privacy law
With the fifth event taking place, the biannual workshop series “Privacy, Data Protection & Surveillance” – organized by Dr. Johannes Eichenhofer and Jörg Pohle – has established itself as an important event for interdisciplinary exchange in this broad field of research. By now, many of the 30 participants have taken part repeatedly. Once again, the focus of this highly discussion-oriented workshop has been “work in progress” – aimed at shedding light on recent developments in theory and practice, law and technology, questioning underlying premises of one’s own research, and gaining new insights into each others’ disciplines.
Algorithmen
Amadeus Peters (Doktorand an der Justus-Liebig-Universität Gießen) umriss in seinem Vortrag einige Problemschwerpunkte seines Promotionsvorhabens zu algorithmischer Diskriminierung durch den Staat und ihre verfassungsrechtlichen Grenzen. Ausgangspunkt seiner Analyse war der allgemeine Gleichheitssatz des Art. 3 Grundgesetz, der verlangt, dass grundsätzlich gleiches gleich und ungleiches ungleich zu behandeln sei, dass Anforderungen an die Rechtfertigung von Ausnahmen von diesem Grundsatz desto höher seien, je weniger Individuen die betreffenden Merkmale ändern könnten, und zugleich auf bestimmte Merkmale verweise, die nicht als Basis für Entscheidungen dienen dürfen (Diskriminierungsverbot). Peters identifizierte drei zentrale Diskriminierungsquellen bei automatischen Entscheidungen: die Verwendung „verzerrter“ Daten, die ungleichmäßige Erhebung von Daten sowie die Architektur der verwendeten Entscheidungsprogramme, um auf dieser Basis dann darzulegen, wie sich juristisch die Frage nach der Rechtfertigung konkreter diskriminierender Entscheidungen beantworten ließe. Dazu unterschied Peters zwischen der Intensität der Diskriminierung, der Frage, ob bestehende Unterschiede verstärkt oder gar neue geschaffen werden, dem Zweck der Diskriminierung sowie dem Problem von Proxys, d.h. stellvertretenden Merkmalen, die eventuell nur mit dem eigentlichen Merkmal korrelieren. Seine abschließende These, dass bekannt sei, dass staatliche Entscheidungen oftmals eine diskriminierende Wirkung hätten, durch den Einsatz von Algorithmen würde dies nur deutlich sichtbarer, bildete dann zugleich den Auftakt für die Diskussion. Dabei zeigte sich einerseits deutlich, welche unterschiedlichen Verständnisse in den einzelnen Disziplinen vom Algorithmenbegriff herrschen, andererseits blieb umstritten, an welchem Punkt Problemanalyse und -lösung ansetzen müsse: an den Daten, an den (mathematischen) Algorithmen, an ihrer Umsetzung in Computerprogrammen oder an der Einbettung solcher Systeme in Organisationen? Klar wurde jedenfalls die Janusköpfigkeit solcher Algorithmen – ihr Einsatz kann blinde Flecken des Rechtsstaates sichtbar machen, zugleich aber Gruppen konstituieren und diese diskriminieren, die es vorher nicht gab.
Am Beispiel von „No-Fly List“-Regimes, wie sie etwa auf der Basis der Resolutionen 1267 ff. des UN-Sicherheitsrats oder als Teil der „Terrorist Screening Database“ des U.S. Department of Homeland Security eingeführt wurden, diskutierte Natalie Pompe (Doktorandin an der Universität Zürich) die juristischen Auseinandersetzungen um die Verständnisse von Privacy und Datenschutz. Bei diesen Regimes handele es sich um vorverlagerte Sanktionen, die vor allem dadurch gekennzeichnet seien, dass die Aufnahme von Personen und Organisationen in die Listen hochgradig intransparent vonstatten gehe und es oft selbst an grundlegenden Rechtsschutzmöglichkeiten für die Betroffenen mangele – oder solche Möglichkeiten erst nach langwierigen Rechtsstreits geschaffen wurden. In den politischen und juristischen Auseinderandersetzungen um die Abwägung zwischen konfligierenden Interessen und kollidierenden Verfassungsgütern, etwa zwischen Sicherheit und Freiheit, zeige sich, so Pompe, dass nicht nur die Verständnisse von Privacy, informationeller Selbstbestimmung und Datenschutz, sondern auch die ihnen je zugemessenen Werte fundamental umstritten sind. Diese Überlegungen Pompes wurden in der sich anschließenden Diskussion aufgegriffen, die sich um mögliche Unterscheidungen von Privatheit, informationeller Selbstbestimmung und Datenschutz drehte.
Apps
Sara Elisa Kettner (Quadriga Hochschule Berlin und ConPolicy – Institut für Verbraucherpolitik) und Frank Ingenrieth (Selbstregulierung Informationswirtschaft e.V.), präsentierten eine Bestandsaufnahme zu den Datenschutzerklärungen von Apps, die sie im Rahmen des BMBF-geförderten Forschungsprojekts „Privacy Guard“ erhoben haben. Ziel des Projektes ist es, eine Software zu entwickeln, mit der sich Eigenschaften von Apps, wie sie in den Datenschutzerklärungen beschrieben werden, klar und verständlich darstellen und bewerten lassen. Auf der Basis von Expertenkonsultationen und einer repräsentativen Onlinebefragung wurden im ersten Schritt insgesamt 30 relevante Datenverarbeitungsarten wie die Weitergabe von Daten an Dritte, Profilbildung oder individualisierte Werbung identifiziert, worauf basierend im zweiten Schritt ein App-Store-Crawler entwickelt wurde, der die verlinkten Datenschutzerklärungen im App-Store ausliest und zur weiteren Prüfung bereitstellt. Schon dabei zeigte sich, dass derzeit weniger als jede dritte App eine solche Erklärung verlinkt. Das fertige System solle die Datenschutzerklärungen automatisiert im Hinblick auf diese 30 Datenverarbeitungsarten überprüfen, werde derzeit aber noch durch manuelle juristische Prüfung komplementiert. Kettner und Ingenrieth verwiesen auf erste Ergebnisse für 130 zufällig ausgewählte Apps, wonach etwa jede fünfte App einen Änderungsvorbehalt ohne Information der NutzeriInnen beinhalte und fast 40% keine Kontaktmöglichkeit für datenschutzrechtliche Anliegen benannten. In der Diskussion standen zwei Spannungsfelder im Mittelpunkt. Zum einen wurde problematisiert, dass sich die individuellen und kollektiven Erwartungen von NutzerInnen durchaus signifikant von den im Datenschutzrecht formulierten Anforderungen unterscheiden können, sowohl hinsichtlich ihrer jeweiligen kategorialen Einordnung – so sei etwa die Weitergabe von Daten an Auftragsdatenverarbeiter datenschutzrechtlich keine Übermittlung an Dritte, während Betroffene dieser Sicht des Datenschutzrechts nicht folgen müssen – wie auch bezüglich ihrer jeweiligen Bewertung. Daraus erwüchsen dann Folgeprobleme für eine tatsächlich aufklärende Darstellung der Datenschutzeigenschaften der Apps. Zum anderen fokussierte die Diskussion die Frage, ob und wie sich unter diesen Bedingungen sinnvoll positive und negative Eigenschaften gegenüberstellen lassen, damit die Betroffenen eine informierte Entscheidung zu treffen in der Lage sind.
Über die Entwicklung einer „AppPETS Developer Guideline“ sowie einer entsprechenden Privacy Library für EntwicklerInnen von mobilen Apps berichtete Daniel Guagnin (Doktorand an der TU Berlin und praemadantum GmbH). Eingebettet in die einzelnen Phasen etablierter Vorgehensmodelle zur Entwicklung von Informatiksystemen soll diese Guideline dabei helfen, rechtliche und technische Aspekte des Datenschutzes produktiv miteinander zu verbinden, während die Software-Bibliothek entsprechende Funktionen in einfacher Weise für die Nutzung zur Verfügung stellen soll. Neben allgemeinen Fragen, etwa zum Verhältnis der ISO-Normen zu Privacy-by-Design und der EU-DSGVO oder zur Einbindung von Stakeholdern in Softwareentwicklungsprojekte, wurden in der Diskussion vor allem die konkreten Herausforderungen in den einzelnen Entwicklungsphasen zum Gegenstand gemacht.
Online Social Network Sites
Markus Uhlmann (wissenschaftlicher Mitarbeiter am DFG-Graduiertenkolleg „Privatheit und Vertrauen für mobile Nutzer“ an der Universität Kassel) diskutierte in seinem Vortrag über die Auswirkungen von Online Social Network Sites auf den Umgang von NutzerInnen mit Daten, die sich daraus ergebende Notwendigkeit, klassische Privatheitsvorstellungen infrage zu stellen, sowie die Herausforderungen, die sich in der Folge für etablierte Datenschutzkonzepte ergeben. Dabei hat sich Uhlmann vor allem für eine Bezugnahme auf das Konzept des Vertrauens stark gemacht, um das Problemfeld zu erschließen. Aus dieser Perspektive stellten sich Privatheitserwartungen als normative Vertrauenserwartungen dar, die nach sozialen Beziehungen – etwa zu anderen Nutzern, Intermediären oder Technikentwicklern – differenziert würden, die sich aber nicht entwickeln könnten, wo Konzepte – dazu können auch abstrakte Datenschutzprinzipien gehören – unklar, Praktiken intransparent oder Verantwortlichkeiten ungeklärt seien. An seinen Vorschlag, stärker auf die Schaffung von Vertrauenintermediären und Prozesse zur Aufdeckung von Vertrauensbrüchen abzuzielen, knüpfte die Diskussion direkt an. Schwerpunkt war dabei das Verhältnis zwischen den vertrauenstheoretischen Ansätzen Uhlmanns und dem geltenden Datenschutzrecht, wobei insbesondere aus juristischer Perspektive hinterfragt wurde, inwieweit es sich weitgehend um eine vertrauenstheoretische Reformulierung des geltenden Datenschutzrechts handele. Auch sei im Recht eher Misstrauen als Vertrauen die maßgebliche Kategorie, mit der Folge eines starken Fokusses auf Verfahren und deren Gestaltung, deren Funktion es sei, mit Misstrauen produktiv umzugehen. Klar wurde dabei in der Debatte aber ebenso, dass sich mit der Vertrauensperspektive Beziehungen adressieren ließen, die das Recht nicht abbilde, etwa weil die Grenzen von Rechtsregimen überschritten würden oder es sich um nicht (oder noch nicht) verrechtlichte Aspekte, etwa ethische, handele.
Abschluss, Ausblick und Expansion
Der V. Workshop bot wieder einmal Gelegenheit, das geltende Datenschutzrecht aus verschiedenen Disziplinen einer Bewährungsprobe zu unterziehen. Die Verwendung algorithmischer Datenverarbeitungsprogramme entzieht sich dabei schon dadurch dem Zugriff des Datenschutzrechts, dass es sich oftmals nicht um „personenbezogene“ Daten handelt, die verarbeitet werden. Darüber nimmt das Datenschutzrecht primär die durch die Datenverarbeitung verursachten Beschränkungen der informationellen Selbstbestimmung in den Blick, während es für potentiell diskriminierende Auswirkungen von algorithmischer Datenverarbeitungen bislang kaum Lösungen bereithält. Hier stellt sich die alte Frage nach dem Schutzzweck des Datenschutzes neu.
Dieselbe Frage stellt sich auch mit Blick auf die begrenzten Möglichkeiten von InternetnutzerInnen, den Fluss der sie betreffenden Daten zu kontrollieren. So machten die Vorträge zum Thema Apps deutlich, dass sich Selbstdatenschutz trotz aller technisch angeleiteten Hilfestellungen mit fortschreitender Komplexität der Informations- und Kommunikationstechnologie immer schwieriger durchsetzen lässt. So bedarf es etwa datenschutzrechtlichen Fachwissens, um die Datenschutzkonformität von Apps beurteilen zu können. Als neuer Schutzzweck wurde im Rahmen des Workshops das Vertrauen der InternetnutzerInnen in die Einhaltungen bestimmter Privatheitserwartungen diskutiert, wobei noch unklar geblieben ist, ob dieses Konzept neben die klassischen Funktionen des Datenschutzes treten oder diese Funktionen ersetzen soll.
Schon auf dem letzten Workshop haben wir festgestellt, dass es einen Bedarf an weiteren Workshops der Reihe „Privacy, Datenschutz & Surveillance“ neben den traditionellen Juni- und Dezember-Terminen im HIIG gibt. Wir freuen uns sehr, dass der VI. Interdisziplinäre Workshop im April 2018 von Stephan Koloßa in Bochum ausgerichtet wird.
Autoren
Marie-Christine Dähn ist studentische Mitarbeiterin am Alexander von Humboldt Institut für Internet und Gesellschaft (HIIG) im Bereich „Globaler Konstitutionalismus und das Internet“.
Dr. Johannes Eichenhofer ist wissenschaftlicher Mitarbeiter am Lehrstuhl für Öffentliches Recht, Staatslehre und Verfassungsgeschichte an der Universität Bielefeld. Er beteiligt sich am interdisziplinären Forschungsprojekt „Strukturwandel des Privaten“.
Jörg Pohle ist wissenschaftlicher Mitarbeiter am Alexander von Humboldt Institut für Internet und Gesellschaft (HIIG) und Mitglied des Forschungsteams „Global Privacy Governance“.
This post represents the view of the author and does not necessarily represent the view of the institute itself. For more information about the topics of these articles and associated research projects, please contact info@hiig.de.
You will receive our latest blog articles once a month in a newsletter.