Datenschutz Und Technikgestaltung
Total Page:16
File Type:pdf, Size:1020Kb
Datenschutz und Technikgestaltung Geschichte und Theorie des Datenschutzes aus informatischer Sicht und Folgerungen für die Technikgestaltung DISSERTATION zur Erlangung des akademischen Grades Dr. rer. nat. im Fach Informatik eingereicht an der Mathematisch-Naturwissenschaftlichen Fakultät der Humboldt-Universität zu Berlin von Diplom-Informatiker Jörg Pohle Präsidentin der Humboldt-Universität zu Berlin Prof. Dr.-Ing. Dr. Sabine Kunst Dekan der Mathematisch-Naturwissenschaftlichen Fakultät Prof. Dr. Elmar Kulke Gutachter: 1. Prof. Dr. rer. nat. Wolfgang Coy, HU Berlin 2. Prof. Dr. rer. nat. Ernst-Günter Giessmann, HU Berlin 3. Prof. Dr. jur. Kai von Lewinski, Universität Passau eingereicht am: 10. August 2016 Tag der mündlichen Prüfung: 08. November 2017 Abstract The aim of this thesis is to uncover the historical construction of the data protection prob- lem, of data protection as its (abstract) solution, as well as the architecture of its legal implementation, in order to critically assess this construction and to draw conclusions for the design of ICT systems. The thesis reveals which concepts of humankind and society, organizations, information technology and information processing, which informatics, infor- mation science, sociological and jurisprudential concepts, schools of thought and theories, and which scientific and pre-scientific assumptions and premises underlie the analysis ofthe data protection problem, and how they have influenced the specific solution of this problem. Based on a critical assessment of this construction the thesis concludes that data protection must be re-derived as a solution for the information power problem, which is generated by the industrialization of social information processing, and presents an abstract, state-of-the- art data protection attacker model, an analytical framework for a data protection impact assessment as well as a procedural operationalization approach illustrating the sequence as well as the substantive issues to be examined and addressed in this process. The thesis then draws conclusions for the design of data protection friendly—and not necessarily just legally compliant—ICT systems. Using the approach of a historical systems analysis, the thesis presents a comprehensive examination of the debates concerning the description, classification, and explanation of the problems relating to privacy, data protection, and surveillance, the solutions proposed, their implementation in law and in practice, as well as the debates around the appropriate design of ICT systems. Even though the participants of this debate are using the same set of terms, the thesis shows that the phenomena, practices, and problems addressed by different theories and schools of thought are fundamentally different and, at times, incompatible. These differences relate to the properties and interests ascribed to the actors involved, the purposes and goals they are deemed to pursue, their relationship with each other, but also by which normative standards the information practices of individuals, groups and organizations are to be measured. Consequently, these theories and schools of thought come to wildly different conclusions about what needs to be understood as a problem, how itistobe described and explained, and how it needs to be solved. The thesis also makes clear that there is a lack of consented or even consistently disclosed attacker and threat models in the data protection related systems engineering debate. Besides, many concepts referred to in the debate are either plain wrong, outdated or inadmissibly simplified. This includes the fixation on personally identifiable information, both in terms of the limitation ofthescope of application as well as as a reference point for lawmaking and ICT design, the patently false but widespread assertion that sensitivity is a property of information, the naïve public– private dichotomy, the concept of informed consent, especially in its current implementation on the books and on the ground, and the so-called »privacy paradox«. Zusammenfassung Ziel der vorliegenden Arbeit ist es, die historische Konstruktion des Datenschutzproblems, des Datenschutzes als seiner (abstrakten) Lösung sowie die Architektur seiner rechtlichen Implementation aufzudecken und einer kritischen Revision aus informatischer Sicht zu un- terziehen, um daraus Folgerungen für die Technikgestaltung zu ziehen. Die Arbeit legt offen, welches Verständnis vom Menschen und von der Gesellschaft, von Organisationen, von der Informationstechnik und von der Informationsverarbeitung, welche informatischen, informa- tionswissenschaftlichen, soziologischen und rechtswissenschaftlichen Konzepte, Denkschulen und Theoriegebäude und welche wissenschaftlichen und vorwissenschaftlichen Annahmen und Prämissen der Analyse des Datenschutzproblems zugrunde liegen und wie sie darüber hinaus die spezifische Lösung des Datenschutzproblems – den Datenschutz – gespeist haben. Auf der Basis einer informatisch fundierten Kritik zieht die Arbeit den Schluss, dass der Datenschutz als Lösung des durch die Industrialisierung der gesellschaftlichen Informations- verarbeitung erzeugten Datenmachtproblems neu abgeleitet werden muss, und legt dafür ein dem Stand der wissenschaftlichen Debatte entsprechendes, abstraktes – und damit jeweils noch anwendungsbereichsspezifisch zu konkretisierendes – Datenschutz-Angreifermodell, ein analytisches Raster für eine darauf aufbauende Bedrohungsanalyse sowie einen prozeduralen Operationalisierungsansatz, der die Vorgehensweise und die jeweils zu analysierenden oder zu prüfenden inhaltlichen Fragen deutlich werden lässt, vor. Abschließend zieht die Arbeit Folgerungen für die Gestaltung datenschutzfreundlicher – und dabei nicht notwendig nur datenschutzrechtskonformer – informationstechnischer Systeme. Die Arbeit legt dazu eine umfassende Untersuchung der politischen und wissenschaftlichen Auseinandersetzungen zur Beschreibung, Einordnung und Begründung der Probleme, die mit den Begriffen privacy, Datenschutz und surveillance markiert werden, der jeweils vorgeschla- genen Lösungen oder Lösungsansätze, der Umsetzungen dieser Lösungen im Recht und ihrer Anwendung in der Praxis sowie der parallel geführten Debatten um eine zur Lösung dieser Probleme geeignete und angemessene Technikgestaltung in Form einer historischen System- analyse vor. Sie legt dabei offen, dass die Unterschiede so groß und teilweise so grundlegend sind, dass die adressierten Phänomene, Praxen und Probleme als voneinander grundsätzlich verschieden verstanden werden müssen, auch wenn sie mit den gleichen Begriffen bezeichnet werden. Diese Unterschiede beziehen sich sowohl auf den betrachteten Gegenstandsbereich, die zugrunde gelegten Akteurskonstellationen, die Eigenschaften und Interessen der Akteu- rinnen und die von ihnen verfolgten Zwecke, aber auch auf die Zielvorstellungen, an denen sich das Informationsgebaren von Individuen, Gruppen und Organisationen messen lassen muss. Die einzelnen Theorien oder Theorieschulen kommen deshalb zu ganz unterschiedlichen Schlussfolgerungen darüber, was als Problem verstanden werden muss, wie es zu beschrei- ben und zu erklären ist und wie es gelöst werden muss. Die Arbeit macht zugleich deutlich, dass es im Bereich der Diskussion um die Technikgestaltung an konsentierten oder auch nur durchgängig offengelegten Angreifer- und Bedrohungsmodellen mangelt. Dabei sind vie- le Konzepte, mit denen in der Debatte operiert wird, aus informatischer Sicht schlicht falsch, überholt oder unzulässig verkürzt. Dazu gehören etwa die Fixierung auf personenbezoge- ne Informationen sowohl hinsichtlich der Beschränkung des Gegenstandsbereichs als auch als Anknüpfungspunkt für Rechtsetzung und Technikgestaltung, die offenkundig falsche und doch weitverbreitete Behauptung, Sensitivität sei eine Eigenschaft von Informationen, die naive Trennung von „öffentlich“ und „privat“, das Konstrukt der informierten Einwilligung, vor allem in seiner derzeitigen Umsetzung, oder das sogenannte „Privacy Paradox“. „Es geht nicht um Privatsphäre, sondern es geht darum, eine Technik sozial beherrschbar zu machen. Und das ist alles!“ in memoriam Wilhelm Steinmüller (1934–2013) Datenschutz ist die Lösung für das „technik-vermittelte gesellschaftliche“ Problem der „Feststellung und Durchsetzung der Bedingungen, unter denen das Informationsgebaren einer Gesellschaft für die Glieder der Gesellschaft akzeptabel sein kann.“ in memoriam Adalbert Podlech (1929–2017) Inhaltsverzeichnis 0 Vorwort und Danksagung1 1 Einleitung 3 2 Die Geschichte des Datenschutzes9 2.1 Vorgeschichte des Datenschutzes . 10 2.1.1 Geheimnisschutz . 10 2.1.2 Beschränkung von Datenmacht . 11 2.2 Frühgeschichte des Datenschutzes . 11 2.2.1 Persönlichkeitsrecht und right to privacy ................... 12 2.2.2 Durchbrüche . 14 2.2.3 Popularisierung . 16 2.3 Computer, Privacy, Datenschutz . 18 2.3.1 Die Anfänge der Debatte in den USA . 18 2.3.2 Die Anfänge der Debatte in der BRD . 31 2.3.3 Die Gutachten zum Datenschutz . 42 2.3.4 Die kurze Phase der Interdisziplinarität . 49 2.4 Zwischen Kontinuitäten und Umbrüchen . 123 2.4.1 Schwächephase nach den ersten Datenschutzgesetzen . 123 2.4.2 Das Volkszählungsurteil und seine Folgen . 144 2.4.3 Die englischsprachige Debatte zwischen Philosophie, Recht und Governance152 2.4.4 Recht als Technikgestalter und die relative Betriebsblindheit der Informatik161 2.5 Ubiquitär, mobil, multi-medial – das Internet und der „neue“ Datenschutz . 175 2.5.1 Die „neuen“ Gefahren . 176 2.5.2 Zum Verhältnis von Technik und Recht,