 Okay, willkommen hier in Eliza für den dritten Talk dieses Blocks an diesem zweiten Tage hier. Uns wird heute Rainer Rehak etwas über was schützt eigentlich der Datenschutz erzählen und er wird uns eine kleine Einführung mit einem strukturellen Blick auf den Datenschutz gewähren, um uns ein bisschen Debattenrüstzeug zu geben und da würde ich euch bitten, eine Runde Applaus zu spendieren und Rainer willkommen zu heißen. Hallo, herzlich willkommen, Welcome und Nihau. Ja, was schützt eigentlich der Datenschutz? Ich bin sehr froh hier sprechen zu dürfen, weil es vielleicht teilweise ein bisschen poentiert als These, warum Datenschützerinnen aufhören müssen von individueller Privatheit zu sprechen. Das ist ja immer so ein Thema, was sich durchzieht. Wenn es um Datenschutz geht, dann geht es gleich um die Privatsphäre und das Innerste des Menschen. Das ist sicher auch richtig, aber meiner Ansicht nach ist das ein bisschen zu klein und spielt gerade den Personen in die Hände, die wir eigentlich, ich sage jetzt mal wir, die wir eigentlich mit der Argumentation sozusagen bekämpfen wollen oder überzeugen wollen, im besten Falle. Also erst mal zu mir, so ein bisschen, dass man immer weiß, wer das spricht, was für ein Hintergrund ich habe, dass man so ein bisschen einsortieren kann, inhaltlich. Also ich bin selber wissenschaftlicher Mitarbeiter am Weizenbaum-Institut für die vernetzte Gesellschaft, meine Forschungsbereiche und Forschungsinteressen, so Technikzuschreibungen, also Funktionszuschreibungen, IT-Sicherheit, Datenschutz, Informatik und Gesellschaft. Also ich bin selber auch, habe Informatik und Philosophie studiert an der Humboldt-Universität zu Berlin, Freie Uni Berlin und Chinese University of Hong Kong und habe auch meine Diplomarbeit geschrieben über die heimliche Online-Durchsuchung und insbesondere um die gesellschaftlichen Konsequenzen davon. Außerdem bin ich aktiven Forum Informatiker für Frieden und gesellschaftliche Verantwortung bei MST International und bei der Gesellschaft für Informatik. So worum soll es heute gehen, ein Fahrplan? Also erst mal will ich ein bisschen was über Begriffe sagen, die dann fallen werden, dann über das Problem, was es überhaupt zu diskutieren gibt im Datenschutz, dann gibt es ein bisschen Theorie und Operationalisierung. Operationalisierung heißt, wie man aus den ganzen theoretischen Konstrukten dann tatsächlich konkrete Handlungen ableiten kann. Dann möchte ich was über die, auch in der Beschreibung des Talks, so ein bisschen kritisierten Nichtlösungen sagen, konkret darauf eingehen. Vielleicht, wenn sich da Fragen anschließen, werden wir auch eine Q&A machen, dass wir das diskutieren können zusammen. Dann werde ich ein Fazit präsentieren und dann kommt noch eine Literaturliste, Literaturhinweise, also die Folien kommen dann auch ins Frapp, für diejenigen unter euch, die sich dann noch weiter einlesen wollen und das weiter verfolgen wollen über diese Foundations-Ebene jetzt hinweg. Also erst mal die Begriffe. Erst mal, wenn man über Datenschutz redet, dem Englischen ist ja noch komplizierter, so mit Privacy und Data Protection und so weiter, es gibt erst mal so ein Begriffemix, das wird dann auch zusammengehauen mit Überwachung und dann, das ist so eine Mischung, deswegen will ich das erst mal auseinanderziehen, dass wir wissen, worüber wir reden. Erstens, Datenschutz selber ist ein sozialwissenschaftlicher Begriff. Ich werde die alle nachher so ein bisschen mehr auffechern, insbesondere Datenschutz. Datenschutzrecht ist ein juristischer Begriff und Datensicherheit ist ein informatischer Begriff. Ich glaube, Datenschutzrecht, da haben wir eine ganze Menge dazu jetzt schon gehört, auch sowohl in den Medien, weil die, zum Beispiel, die Datenschutz-Grundverordnung wirksam geworden ist 2018 jetzt, Mai und über Datensicherheit haben wir hier mit Sicherheit ja auch eine ganze Menge schon gehört und gewusst. Der Witz daran ist, dass das alles so ein bisschen zusammengehört bei dem Thema, aber dennoch diese Bereiche oder diese Themen jeweils eigene Diskursregeln gehorchen. Und naja, wie bei allem ist es so, dass die Problembeschreibung selber auch die Lösung so ein bisschen vordefiniert. Das heißt der Korridor, wo man hinschaut, was da irgendwie als sinnvolle Lösung irgendwie in Betracht kommt. Und naja, welcher Informations- oder welcher Datenbegriff wird da verwendet, das ist auch so eine Schlüsselfrage, die ist gar nicht so schwer, aber die muss gestellt werden und die muss beantwortet werden. Jetzt mal kurz als Überflug. Das Datenschutzrecht schützt also Personen. Der Anknüpfungspunkt dabei sind personenbezogene Daten, die das kann man ja auch sozusagen weitläufig diskutiert. Und zum Beispiel die Begründung, was schützt eigentlich die Datenschutzgrundverordnung oder was setzt sie um? Wäre im Juristischen würde man sagen, naja, die setzt Artikel 8 der Charter der Grundrechte der Europäischen Union um. In der Informatik würde man sagen, okay, das leitet auf ein weiteres Terminal, was ist denn Artikel 8 der Charter der Grundrechte der Europäischen Union? Das ist so eine Art die Verfassung der EU, zum Beispiel als Vergleich mal mit dem deutschen Grundgesetz. Auch da ist Artikel 1 die Würde des Menschen ist unantastbar, sie ist zu achten und zu schützen. Und Artikel 8, das ist ja für die DSKGVU besonders relevant, ist Schutzpersonenbezogene Daten. Das steht da einfach genauso drin. Und wenn der Schutzpersonenbezogene Daten ein Grundrecht ist auf europäischer Ebene, ist ja klar, dass jegliche Datenverarbeitung dann auch eine Verletzung von Grundrechten ist. Wobei die Frage da bleibt, ja aber warum eigentlich? Also wenn man so ein bisschen vorrechtlich diskutieren will, ist jetzt, wenn man sagt, na wir schützen personenbezogene Daten, warum? Naja, weil wir ein Recht auf Schutzpersonenbezogene Daten haben, ist es richtig, aber unbefriedigend. Okay, aber zum Datenschutzrecht gibt es ja auf dem Kongress jetzt auch eine ganze Menge anderer Vorträge. Es klang auch sehr interessant, also deswegen wollen wir jetzt darüber nicht reden. Datensicherheit ist eine Sache, wie ich bereits angemerkt habe, die ja auch gerade im Chaos-Umfeld eine große Rolle spielt. Das heißt, wenn man so sich anguckt, was ist Datensicherheit? Üblicherweise Schutzzüle, so Vertraulichkeit, Integrität, Verfügbarkeit. Wenn man so ein bisschen technimäßig drauf ist, würde man grob für allgemeiner, na ja, Vertraulichkeit sind so die Leserechte, Integrität sind so die Schreibrechte, Verfügbarkeit sind so die Ausführungsrechte. Ist jetzt so ein bisschen hingewogen, aber so ungefähr kann man sich das vorstellen. Das heißt, Verfügbarkeit, ob so ein System für mich funktioniert und den Service abliefert, den ich haben möchte. In der Datensicherheit geht es aber primär, also was heißt aber, geht es primär um die Sicherheit von Geschäftsprozessen und von vorhandenen Daten. Das heißt also, die Daten sind da, die müssen ordentlich abgesichert werden, zugreifbar bleiben, nicht verändert werden und so weiter. Seit 2008 haben Personen sogar ein Grundrecht auf die Gewährleistung der Vertraulichkeit und Integrität informatisch technischer Systeme, aber auch zum Daten-Sicherheit selber gibt es auf dem Kongress andere Vorträge. Jetzt ist die Frage, was ist denn mit dem Datenschutz? Das heißt, wenn wir Rechte haben auf zum Beispiel den Schutzpersonen bezogener Daten, guckt man in die Richtung, wie wird das motiviert und dann kommt der Datenschutz selber ins Spiel als sozialwissenschaftliche Diskussion, wer wird da warum eigentlich wie geschützt? Und dazu ein paar Bemerkungen zum gesellschaftlichen Hintergrund. Also erstens, wir leben in einer arbeitsteiligen Gesellschaft, das heißt, verschiedene Menschen haben verschiedene Aufgaben, wir sind spezialisiert und ich muss irgendwie nicht Socken nähen können, um mit Socken rumzulaufen, weil jemand anders das kann, erkennt das Spiel und so gibt es eben Spezialisierung und niemand ist sozusagen in allem spezialisiert und diese Arbeitsteilung hat auch Konsequenzen, wie wir nachher sehen. Und es gibt diverse Akteure, die miteinander irgendwie functional interagieren. Also mir ist jetzt vielleicht menschlich, interessiert es mich schon, wie es dem Bäcker oder der Bäckerin gerade geht, aber tatsächlich möchte ich da gerade Geld offentisch legen und mein Bullen kriegen morgens. Oder je nachdem, wann noch immer. Das heißt, man tritt so functional irgendwie miteinander in Verbindung. Und in dieser Gesellschaft gibt es dann eben auch, da sind ja nicht alle Leute, die da mitspielen, sind ja nicht gleich mächtig oder gleich fähig. Das kann finanzielle Unterschiede sein, das können strukturelle Unterschiede sein. An dem Fall jetzt zum Beispiel mit Individuum und Organisationen. Individuum ist halt eine Person, die hat so Hände und kann irgendwie Dinge tun. Und dann gibt es Organisationen, die aus vielen Menschen bestehen, aus Regeln, finanziellen Möglichkeiten, rechtlichen Möglichkeiten und so weiter. Und die sind natürlich eben nicht gleich mächtig. Sie haben verschiedene Möglichkeiten, ihre Interessen durchzusetzen. Das heißt, sie haben verschiedene Möglichkeiten, sie haben verschiedene große Macht, um in diesem gesellschaftlichen Spiel sozusagen mitzumachen. Das heißt, es sind Machtasymetrien. Max Weber kann man mit ihm sprechen, macht es die Chance, in einer sozialen Beziehung den eigenen Willen auch gegen Widerstreben durchzusetzen. Gleich wie viel, worauf diese Chance beruht. Kann man unterscheiden in Durchsetzungsmacht, also Dinge zu verursachen. Verhinderungsmacht, Dinge nicht stattfinden zu lassen, die dem eigenen Interesse widersprechen. Und Definitionsmacht, wie spricht man über bestimmte Themen, so ein bisschen Wahlcomputer, Wahlmaschinen, so, und er kennt der Geschichte. Jetzt ist die Frage, okay, das ist alles noch nicht technisch. Beim Datenschutz, was uns für den Datenschutz interessiert, ist an der Stelle, dass wir eine allgemeine, allgegenwärtige Computerisierung und Vernetzung haben, aka Digitalisierung, wird seit ein paar Jahren genannt, obwohl die selber dieser Prozess seit ungefähr 50 Jahren schon läuft. Und wir haben automationsgestützte Informationsverarbeitung, insbesondere von Organisationen, also von staatlichen und von wirtschaftlichen Organisationen. Und mittlerweile, oder seit einer Weile ist schon so, dass da eben keine individuellen Wahlmöglichkeiten mehr sind. Also man kann jetzt sich entscheiden, kein Handy zu haben. Aber wenn man irgendwie Steuerns halten muss, muss man halt doch mit einem Elstar arbeiten und egal, ob es Rente, Krankenkasse und so weiter, kennt die Geschichten. Also man kommt da eben auch nicht mehr raus, es sei denn man zieht irgendwie in den Wald und in eine Höhle. Aber wenn man sich dann verletzt, kann man vielleicht einen Kräuter-Tee trinken. Aber wenn der Arm ab ist, dann will man vielleicht doch in den Krankenhaus. Okay, warum ist das relevant? Naja, diese Informationsverarbeitung, also die Nutzung dieser Daten, die wird verwendet, um Entscheidungen zu produzieren. Entscheidungen produzieren heißt, wie viel Geld kann ich abheben? Welche, was ist die schnellste Route von A nach B? Was sind irgendwie meine beste Freunde, die ich vorgeschlagen bekomme? So all diese Sachen, das sind ja alles Entscheidungen, wo man auch anders hätte agieren können, aber Computer-Sets und so weiter. Und gleich eine kleine Bemerkung natürlich. Diese Entscheidungen werden produziert, egal ob die Datenbasis korrekt ist oder nicht. Also die Ergebnisse sind da und werden dann, wenn die Karte eben falsch ist, landet man eben im Graben zum Beispiel. Okay, jetzt ist die Frage, naja, wir reden von Datenschutz und von Informationsverarbeitung. Daten oder Informationen, ganz kurz, wir sind noch in der Begriffsphase. Also Daten im Datenschutz meint Information, die Modelle eines Sachverhaltes für einen Zweck sind. Ist jetzt erst mal ein bisschen viel auf einmal. Aber wenn ich eine Glaserei betreibe, dann interessiert mich natürlich bei einem Haus, was ich in meiner Datenbank eintrage. Wie viele Fenster sind in dem Haus? Wie groß sind die Fenster? Welche Art von Format sind das und so weiter? Wenn ich irgendwie eine Malerei betreibe, dann interessiert mich natürlich, wie groß ist die Fläche des Hauses und so weiter. Das heißt, ich greife mir immer einen Ausschnitt aus der Realität und modeliere den auf diesen Zwecken, wofür ich verwenden will, dann bei meiner Datenverarbeitung. Das heißt, es sind Modelle eines Realitätsausschnitts, also oder ja, für einen bestimmten Zweck. Und deswegen können wir eben nicht den technischen Informationsbegriff von Shannon nehmen, also von wegen Abtastung und welche Auflösung ist da und wie, ihr kennt das so mit 44 Kilo Hertz und CD, Menschen nehmen noch lieber die Goldstecker und so. Das ist nicht der Punkt, wie wir benutzen einen, der Semiotik, der eben sagt, na ja, Informationen oder die Daten aus Datenschutz bestehen aus Syntax, Semantik, Pragmatik und SigmaTik. Syntax ist eben die zeichenmäßige Repräsentation, also die Null und Einsen. Sematik ist die Bedeutung. Pragmatik ist der Zweck, für den diese Daten erhoben worden sind. Wir erinnern uns irgendwie die Glaserei oder Malerei. Und SigmaTik ist dann die betroffene Person. Das heißt, Wessenhaus, das ist oder so, ne? Als Beispiel könnte man sagen, irgendwie so eine Tupel von Null und Einsen, so eine Zweiertupel, diese Mantik davon. Aha, das sind Geo-Koordinaten, das müsste im System dann so hinterlegt sein. Eines Mobiltelefons. Pragmatik, also der Zweck wäre, Bereitstellung ortsabhängiger Services, zum Beispiel für eine Routenplanung, wo möchte ich hin, wo gibt es eine Pizza oder so. Und SigmaTik ist dann eben Maximus der Frau, weil die Person ist deren Mobiltelefon, das ist an der Stelle. Genau, okay, so ist die Situation. Das ist doch erst mal nett, klingt irgendwie nützlich, aber was ist eigentlich das Problem jetzt? Na ja, die Technik, die immer besser wird und die Daten, die gesammelt werden, Informationen, die verarbeitet werden und die anhand derer Entscheidungen getroffen werden, die wird immer besser, immer effizienter nach bestimmten Kriterien, aber sie hilft natürlich den Organisationen, die sie verwenden, ihre eigenen Interessen besser durchzusetzen. Technik soll ja die Welt besser machen, aber eben nicht für alle, sondern für die, die sie einsetzen, und zwar für die, die sie im besten Fall sogar selber bauen können und dann ihren eigenen Vorstellungen gemäß Formen. Und es kann eben auch sein, dass bei dieser Informationsverarbeitung, dass da eben auch dann Grundrechte von Personen berührt werden. Die klassische Diskussion ist immer irgendwie so Fragen von Diskriminierung oder Ungerechtigkeiten, weil die Daten falsch sind oder so Geschichten. Das heißt also, wenn die Ergebnisse, die da produziert werden, im schlimmsten Fall auch vollautomatisch, dass die Rechte von Menschen berühren und die an der Stelle erst mal, weil sie ja gegenstand, der Automat sagt, halt du kriegst kein Geld oder in diesem Monat ist alles schon aufgebraucht, dagegen kann man jetzt erst mal nichts tun. Das heißt, da ist sozusagen eine direkte Konsequenz dieser Datenverarbeitung auf Menschen, auf Menschengruppen oder auf ganze Gesellschaften. Allerdings muss man eben auch sagen, diese Datenverarbeitung ist wünschenswert, weil sie uns ja auch was bringt. Also es ist ja nicht so, dass Datenschützerinnen selber am liebsten zurück in die besagte Höhle wollen, wo das Feuer komplett verständlich ist. Nein, wir wollen ja, wir wollen diese informationstechnische Systeme, die uns das Leben erleichtern, die wollen wir alle haben. Aber die Effekte, die Negativen, die es auf Menschen hat und auf Gesellschaften, die wollen wir minimieren. Also, und da hilft es natürlich, wenn man mit Technikerinnen und Technikern redet, ja klar, man kann ja Systeme auf verschiedene Arten bauen. Man muss halt nur vorhersagen, was man haben will. Und jetzt, wenn man die Probleme mal so konkretisiert, würde man sagen, erstens Datenverarbeitung ist wünschenswert, aber es gibt innerorganisatorische Datenverarbeitung oder Informationsverarbeitung. Das heißt, ich kann ja selber überlegen, was sich vielleicht in einer Organisation gebe an Daten und was nicht, aber was die dann intern damit machen, diese Frage, für welchen Zweck sie verwenden, wen sie weitergeben und so weiter, das kann ich selber nicht mehr beeinflussen. In dem Moment sind die Daten eben außerhalb meiner Hand, sie sind nicht mehr in meiner Kontrolle. Und zweitens gibt es natürlich die Machtasymetrien. Das heißt, eine Firma, die Unmengen von Daten über Individuen hat, kann die natürlich analysieren und daraus Erkenntnisse generieren, die ich aus meinen eigenen Daten gar nicht ziehen kann. Das heißt also, alleine die schiere Macht, die schiere Datenunterschied erzeugt, andere Möglichkeiten auf den verschiedenen Seiten. Das heißt, die Player sind alle nicht gleich stark und das hängt auch, insbesondere, wenn wir über Datenschutz reden, von der Menge an Daten ab, die vorhanden sind. Das heißt also, wie ich es eben beschrieben habe, nun mal als Zitat noch mal von Adelbert Potlech, Informationsvorgänge dürfen keine sozial schädlichen Folgen herbeiführen. Das ist so die Formulierung. Oder man kann es auch mit Martin Ross sagen, die Handlungsalternativen in diesen Interaktionen schwächeren, die sollen aufrechterhalten werden. Es soll nicht irgendwann so sein, dass Organisationen komplett sagen, das ist das Richtige für dich und deswegen gehst du diesen Weg lang. Und ihr kennt das ja, wenn in irgendwelchen Softwaren das Menü nicht sagt, exportieren, dann geht es halt nicht. Das heißt also, wenn wir das möchten, muss eben Datenverarbeitung unter Bedingungen gestellt werden. Man muss eben sagen, wenn die Gefahr für so eine Einschränkung von Grundrechen und so weiter besteht, dann müssen wir irgendwie Bedingungen für die Datenverarbeitung formulieren, dass das minimiert wird oder dass den Risiken begegnet wird oder dass sie nicht stattfinden, dass man dieses System einfach anders baut, dass sie das nicht tun. Innerhalb sozusagen, man würde es jetzt eine Fachterminie, würde man jetzt nennen, eine Konditionierung der Machtasometrie. Das heißt, Konditionen, also eine Bedingung oder Voraussetzungen stellen, unter denen dann diese Datenverarbeitung stattfindet. Eben, warum muss das irgendwie konditioniert werden? Weil ich eben als Außenstehender natürlich nicht die Computersysteme von Amazon und wie sie alle heißen. Ich kann die ja nicht umprogrammieren. Ich kann halt die Knöpfe verwenden, die sie mir geben, nichts anderes. Oder ich kann sagen, ich benutze das alles nicht. Aber das ist so auf dieser schwarz-weißen Ebene sind wir ja nicht. Von der Diskussion. OK, na und die Frage ist immer so. Das Schutzgut dabei ist eben also Datenschutz schützt eben nicht Daten, klar, sondern Individuen, also die Grundrechte und Grundfreiheiten, wenn man so formulieren möchte und die Gesellschaft insgesamt. Aber wenn man sich das so anschaut, finden sich diese Individuen Grundrechte und Grundfreiheiten, die finden sich wieder. Aber so diese gesamtgesellschaftlichen Fragen, da muss man so ein bisschen, da muss man sehr stark danach suchen. Man kann es konstruieren, aber so explizit ist es da nicht drin zu finden. Das hat rechtsdokumatische Gründe. Aber das ist nur wieder eine Erinnerung daran, dass sich die Fragen des Datenschutzes oder die Antworten des Datenschutzes und die des Datenschutzes rechts, dass die nicht deckungsgleich sind. Das eine ist immer ein Ergebnis vielleicht aus dem anderen, im besten Falle, aber manchmal auch nicht. Man würde auch um das ein bisschen zu erklären, warum Datenschutz sagen, na ja, wenn wir uns Märkte angucken, dann gibt es eben Kartellämter und die sagen, wenn bestimmte Akteure zu stark werden, da muss man die begrenzen und die anderen irgendwie ein bisschen stützen, damit der Markt als Ganzes funktioniert. Und genauso kann man sich es eben auch beim Datenschutz vorstellen. Wir haben eine Informationsgesellschaft und dann gibt es Informationsmacht verschiedene Akteure. Und dann brauchen wir eben irgendwas, in dem Falle nicht zum Beispiel Datenschutzrecht, die eben diesen Ausgleich bringt. Wenn man nicht das einzelne Datum zählt, sondern die Anhäufung selber, die dann ein Ergebnis produziert. Also ihr kennt bestimmt noch den Spruch bei Wurst und Gesetzen. Möchte man nicht dabei sein, wenn sie gemacht werden. Das ist natürlich immer die Frage, was die Datenschutzdiskussion bereits auch eben seit den 60er, 70er Jahren so produziert hat, ist natürlich, wenn es dann zurecht wird, immer Gegenstand von Aushandlungen, von politischen Verhandlungen. Wir nehmen das mit rein und das nicht mit rein und so weiter. Deswegen muss man immer aufpassen, dass man eine Datenschutzdiskussion nicht immer oder nicht primär als Datenschutzrechtsdiskussion führt. Weil man sich dann sehr, sehr einengt auf das, was einmal durch die Politik gegangen ist. So, jetzt kommen wir mal ein bisschen zu einer Theorie, um die Sachen so zusammenzubinden oder nochmal in einen größeren Kontext einzubauen. Wir gucken uns jetzt mal den Informationsfluss an. Am Anfang jetzt vielleicht ein bisschen verwirrend. Aber wir haben hier links den Informationsfluss von starken Akteuren zu schwachen Akteuren. Wir haben darunter von schwachen Akteuren zu starken Akteuren. Und darüber, die beiden Seiten, sind eben den Informationsfluss zu fördern oder diesen Informationsfluss zu blockieren. Das heißt also, wenn wir uns die erste Zeile anschauen, wir wollen den Informationsfluss vom starken zum schwachen Akteur, zum Beispiel von der Organisation zum Individuum, das wollen wir fördern, weil der Starke dadurch, dass er Informationen preisgeben muss über sich, über seine Verarbeitungsschritte und so weiter, sozusagen in dieser Informationsasymetrie oder in dieser Machtasymetrie erschwächt. Und weil die einzelne Person damit Informationen erlangt, was damit eigentlich passiert, wird die Person gestärkt. Das nennen wir Transparenz oder das nennen wir Informationsfreiheit. Das zu blockieren. Das heißt, dass die großen Organisation nicht sagen müssen, was sie gerade damit tun, welche Daten sie überhaupt haben. Das nennt sich Akkanpraxis. Für die Rollenspielerinnen unter euch so Akkan, so die Magie und so. Akkan heißt einfach nur geheim. Dass man, man ist es unklar, was da, was da getan wird. Andersrum der Informationsfluss von schwachen Akteuren zu starken Akteuren. Wenn wir den fördern, dann nennt man das Verdatung. Und ist jetzt nicht das der Fachbegriff, aber das ist so. Also ist der Fachbegriff, den man auch so kennt, die Verdatung. Das heißt, überall Sensoren, alle alle möglichen Handlungen, die im Digital stattfinden, werden eben protokolliert und so weiter. Und wenn man diesen Informationsfluss aber blockiert und den unter Bedingungen stellt, dann sind wir beim Datenschutz. Das ist so die Struktur. Wie jetzt erkennt, sozusagen von rechts oben nach links unten, also Akkanpraxis und Verdatung. Das ist das, was wir in totalitären Staaten usw. sehen. Und das ist auch das, was wir sehen, wenn wir Diskussionen mit großen kommerziellen Organisationen führen. Dann ist immer nein, wir wollen nicht erzählen, was wir machen. Wir wollen aber alles über dich wissen. Das ist immer die Richtung. Und die andere Seite, das ist sozusagen das rot-irote Diagonale, ist genau das, was den starken noch weiter stärker macht und den schwachen noch weiter schwächt. Die andere Richtung, die Grüne, ist genau das, was den starken schwächt und den schwachen stärkt. Nämlich Transparenz und Informationsfreiheit bezüglich der starken und den Datenschutz bezüglich der schwachen. An dieser Stelle, kleine Dankeschön zum Beispiel an OKLV oder fragt den Staat und so weiter. Oder beim Datenschutz andere Organisationen, wo ich z.B. auch aktiv bin. Das heißt, man merkt, das ist überhaupt gar kein Widerspruch an der Stelle. Die Frage ist nur, wer muss transparent sein und wer soll nichts von sich preisgeben oder so wenig wie möglich von sich preisgeben? Und deswegen jetzt erklärt sich auch das Mysterium für manche, warum wir eben z.B. eine Bundesbeauftragte für den Datenschutz und die Informationsfreiheit haben. Warum das zusammengehört? Genau deswegen gehört zusammen. OK, na ja, warum gibt es aber auch Meinungen für weniger Datenschutz? Na ja, klar, Datenschutz kostet Ressourcen, finanziell, personell, konzeptionell. Man muss das Thema anders planen, anders umbauen und so weiter. Aber auch natürlich verhindert Datenschutz auch Informationsnutzung. Ja, das ist der Zweck der Sache. Trotzdem ist es ein Argument. Das heißt, bestimmte Geschäftsmodelle gehen dann nicht mehr und so weiter. Für staatliche Aufgaben werden Daten benötigt. Und wenn die Daten nicht fließen können, dann werden bestimmte staatlichen Aufgaben eben schwieriger oder auch wirtschaftliche Tätigkeiten werden erschwert. Das ist zwar richtig, aber es ist jetzt kein neues Problem, wenn man über Gesellschaft nachdenkt. Gleiches gilt natürlich für Hygieneregeln, Sicherheitsvorschriften, Kinderarbeitsverbot, Arbeitnehmerrechte, Umweltstandards und so weiter und so fort. Die kosten auch alle, aber wir haben uns entschieden. Das sind alles, wenn ihr unten seht, das sind alles Maßnahmen, wo es darum geht. Die Schwächeren, die sich schlechter wehren können, die vielleicht auch nicht das Wissen haben, irgendwie davor zu schützen, dass da jemand, ich sag jetzt mal sozusagen, einfach durch agiert und die eigenen Interessen, Interessen schamlos durchsetzt. OK, wem es aufgefallen ist, ich habe jetzt noch nicht einmal den Begriff Privatsphäre verwendet. Und das ist ganz bewusst genau der Punkt, weil Privatsphäre ist immer so eine Idee, ich alleine in meinem Schlafzimmer. Das ist der Soziologe Paul Müller nennt das Schneckenhaus Privatsphäre. Seiner Ansicht nach ist das nur in vorindustriellen Lebensweisen möglich, wo man tatsächlich sagt, ich lebe auf dem Gut hier und die Leute ein paar Kilometer weit, die hier haben, die kennen mich noch nicht mal. Vielleicht ist das sozusagen diese Art von Anonymität, vielleicht könnte man da nennen. Aber jetzt tatsächlich, was wir eigentlich wollen, ist, wenn man irgendwie sagt, wir brauchen ja irgendwie Jirokonten und so weiter, all diese Sachen. Es geht nicht darum, dass niemand Daten hat, sondern dass die begrenzt hätte, das Wissens über Individuen, dass die aufrechterhalten wird, dass es nirgendwo sozusagen eine Komplettansicht gibt oder dass eben das bestimmte Akteure immer nur genau das Wissen, was sie eigentlich wissen sollten und man kann natürlich diskutieren, wie viel das dann sein soll. Steinmüller, einer der Urgesteinmüller, könnte man sagen, das Datenschutzdiskurses. Er formulierte das so, es geht nicht um Privatsphäre, es geht darum, eine Techniksozial beherrschbar zu machen. Und welche Grundrechte werden berührt von dieser Datenverarbeitung nicht nur Grundrechte auf Privatleben, was zum Beispiel Artikel 7, der europäischen Grundrechtekater ist, sondern eigentlich quasi alle. Wenn ihr daran überlegt, so was wie Meinungsfreiheit, Informationsfreiheit, so Fragen wie Demonstrationsfreiheit, Würde des Menschen, jetzt könnte man alles durchbuchstabieren. Eigentlich könnte man sagen, eigentlich ist der Datenschutz so eine Art digitale Dimension aller Grundrechte und das jetzt auf Privatsphäre sozusagen zu reduzieren, da ist was richtiges dran, aber es verengt den Blick doch radikal, worum es eigentlich geht. So, wie gehen wir damit jetzt irgendwie um? Operationalisierung, wie können wir jetzt diese Ideen mit stark und schwach, wie können wir da irgendwie Anforderungen draus bauen oder wie können wir da Dimensionen daraus kristallisieren? Das haben diverse Menschen getan und sind zu einem Ergebnis gekommen, zu sagen, wenn es um Datenschutz geht, dann müssen sozusagen Informationsverarbeitende Systeme müssen bestimmten Schutzziele verfolgen. Und die Schutzziele sind Nichtverkettbarkeit, Vertraulichkeit, Intervenierbarkeit, Transparenz, Verfügbarkeit und Integrität. Das ist sozusagen diese Ziele auf diese Ziele hin, kann man alle technischen Geräte hin oder alle technischen Systeme oder Informationstechnen Systeme analysieren und kann sehen, inwiefern sie diese Ziele umsetzen, weil diese Ziele genau die Werte, die wir eben besprochen haben, realisieren, kann man die analysieren. Nichtverkettbarkeit heißt, bestimmte Informationen, die erhoben worden sind für verschiedenste Zwecke, die eben nicht zu verbinden. Informationen nicht einfach so irgendwo kaufen zu können. Wir reden jetzt über Datenschutz, nicht Datenschutzrecht. Nicht einfach so kaufen zu können und die zu verbinden, und zum Beispiel nicht Daten zu erheben, die für eigentlich ein Geschäftszweck oder eigentliche Handlungen gar nicht notwendig sind. Also das zu beschränken an der Stelle. Integrität, die Unversehrtheit der Daten, das heißt, dass sie nicht verändert werden, dass ich mich darauf verlassen kann. Die Daten, die ich sozusagen übermittle oder die erhoben werden, dass sie tatsächlich so bleiben und an der Stelle zum Beispiel korrekt bleiben oder ja, Verfügbarkeit heißt an der Stelle, dass ich dieses Thema nutzen kann. Wenn ich mich darauf verlasse, dass ich diese Routenplanung habe und die wollen von mir irgendwie Geld haben, dafür, dass ich das nutzen kann und so weiter, dann will ich natürlich auch, dass es funktioniert, weil ansonsten ist es ja ein schlechter Handel. Transparenz bezieht darauf nicht nur, welche Daten vorliegen, sondern auch, wie funktionieren eigentlich die Prozesse? Was sind denn die Zwecke der Verarbeitung? Wie funktioniert denn die ganze Innerei? Was passiert da? Was sind eigentlich die Nebenkonsequenzen? Es gibt ja immer die intendierten Resultate und Konsequenzen und dann gibt es eben auch die ohneintendierten. Und genau das muss irgendwie für mich einsehbar sein. Intervenierbarkeit ist ein Schutzziel, das sagt eben, na ja, also wenn Daten nicht korrekt sind und das System rechnet weiter, egal ob es meine Kredite sind oder ob ich jetzt irgendwie den Tisch bekomme oder so, ob ich ein Haus bekomme oder so. Es muss natürlich auch Möglichkeit sein, dass dieses System, wenn man Fehler in dem System erkennt, zu sagen, stopp, ich möchte, dass sich das ändert. Ich möchte, dass die Daten zum Beispiel berichtigt werden. Oder ich möchte, wenn ich feststelle, dass dieses System diskriminiert ist, ich möchte, dass das System so gebaut ist, dass ich irgendetwas tun kann als Betroffener, dass das aufhört. Also es reicht ja nicht zu sagen, ja also wir sind total transparent, aber dadurch, dass wir die Stärkeren sind, kannst du einfach nichts tun. Man muss ja irgendwo sozusagen den Notausschalter übertrieben, natürlich. Und als letzten Punkt die Vertraulichkeit. Das heißt, die Informationen, die ich denen, die da für mich irgendwie Service anbieten, die ich denen gebe, da möchte ich auch sicher gehen, dass sie nirgendwo anders hingehen. Dass sie genau da bleiben und genau dafür verwendet werden. Aber die Vertraulichkeit ist nur, dass sie genau da nur bleiben und niemand unbefugt es darauf Zugriff hat. Jetzt kann man sagen, interessant. Nicht Verkettbarkeit, Transparenz und Intervenierbarkeit. Da sagt man so, das hat den Primat des Datenschutzes und die Aufmerksamen unter euch merken, ach, interessant, die anderen drei, das ist das Primat des der Datensicherheit. Das heißt, wenn man aus dieser Sicht auf Datenschutz blickt, erkennt man, dass nicht Datenschutz so eine Unterteil von Datensicherheit ist, sondern aus dieser Sicht genau anders rum. Wir erinnern uns am Anfang Datensicherheit, da ging es darum, ja, also wie können denn die Daten, die da sind, ordentlich abgesichert werden und gegen die Hacker und Angriffsszenarien und so weiter. Ja klar, aber der Datenschutz fragt, ja, sollten diese Daten denn überhaupt da sein? Man könnte sich so ein Zwiegespräch vorstellen, wo sozusagen die Datenschützerinnen sagt, na ja, aber das Datum ist nicht korrekt, was da gespeichert ist und die IT-Sicherheitsabteilung, ja, ja, aber das ist richtig gut beschützt. Also da merkt man, das ist ein Konflikt, das ist nicht das Gleiche. Genau, das sind so die Schutzziele und die kann man tatsächlich verwenden und das ist auch nicht parallel, sondern diese Schutzziele kann man sehen. Das ist im Beitrag von 2013 schon, dass diese Schutzziele des Datenschutzes tatsächlich auch mit dem Recht, was gesprochen worden ist, vereinbar sind. Es heißt, es ist nicht komplett alles umgesetzt, aber es ist eben auch kein Widerspruch. Wir erinnern uns hier wieder, Datenschutz und Datenschutzrecht ist eben nicht das Gleiche. Okay, das war jetzt so der Durchritt erst mal für die Grundlagen an der Stelle und jetzt kommen wir zu den Nichtlösungen. Das sind quasi so ein paar Kommentare, die ich mir jetzt so noch erlaube. Okay, also erstmals der Selbstdatenschutz. Ganz beliebt, insbesondere in Verbindung mit der Blockchain. Okay, das spare ich mir jetzt. Also, wenn das Datenschutzkonzept ernst genommen werden soll, wir überlegen uns, schwache, starke Akteure, Möglichkeiten transparent und so weiter. Wie soll denn Selbstdatenschutz da aussehen? Also wie kann mein Selbstdatenschutz aussehen, wenn ich innerorganisationale Datenverarbeitung habe? Wie kann ich denn bei Facebook Selbstdatenschutz machen? Also außer, wenn ich da bewaffnet reingehe, aber das ist jetzt nicht wirklich eine keine skalierende Lösung, also neben den ganzen anderen Problemen. Bin wegen Gegengewalt übrigens. Ja und oder zum Beispiel die Erinnerung, warum haben wir Datenschutz? Datenschutz haben wir eben nicht, weil es eine rechts vor links Regel ist im Straßenverkehr, wo die beiden gleich stark sind. Nein, wir haben Datenschutz genau deswegen, weil sie eben nicht gleich stark sind. Da jetzt den Schwachen zu sagen, ne, du kannst auch Selbstdatenschutz machen. Das ist ja, wenn man wirklich verstanden hat, wie Datenschutz funktioniert, ist es zynisch, das vorzuschlagen. Das ist genau dem Verprügelten zu sagen, ja, du musst dich ja nur wehren. Also das ist, es gibt überhaupt keinen Sinn. Und da kann man sich ja vorstellen, in den Situationen, wann braucht man oder wann ist Datenschutz genau und notwendig, wenn es um Kredit oder Grenz oder Einkaufs oder Durchsuchungssituationen gibt, polizeiliche Identitätsfeststellungen oder an der Grenze geben sie Daten raus und so weiter oder nicht. Das sind genau die Fälle und kann man ja sich überlegen, wie man irgendwie Flüchtlinge an der Grenze sagt, naja, also du kannst auch Selbstdatenschutz machen, du musst dein Händen nicht rausrücken. Das ist ein Riesenproblem. Genau darum geht es, starke und schwache Akteure, das irgendwie anzugreifen und eben nicht zu sagen, wer macht doch selber. Und das heißt, da muss man eben dann auch sagen, danke eben auch an Jörg Polo, zum Beispiel für diesen Hinweis. Facebook hat gar keine Datenschutzeinstellungen. Facebook hat Einstellungen, Facebook, also ich sage jetzt mal Dollars Social Network, da gibt es Einstellungen, welche anderen User Daten sehen und welche anderen User da irgendwie interagieren können. Es gibt aber keine Einstellung, was Facebook damit macht. Also es gibt, man kann da manchmal so ein paar ein bisschen dran rumregeln, aber die Einstellungen, wie lange Facebook irgendwelche Sachen speichern soll oder nicht, die gibt es eben nicht. Oder welche Verknüpfung es da geben soll. Ja, das ist, wenn man, wenn man Datenschutz quasi ernst nimmt, ist das, ist das so ein Punkt. Und natürlich, das ist ja auch bei irgendwie Mobiltelefonen und so weiter, gibt es dann immer Datenschutzeinstellungen, es fühlt sich irgendwie so gut an. Aber das ist gar nicht, das ist nicht Datenschutz, was es da ist. Wenn irgendwie bei bei bestimmten Mobiltelefonen von Google da steht, dann hat Datenschutz wollen sie ein Backup machen. Ja, das ist aber Datensicherheit, das ist nicht Datenschutz. Also das ist was anderes. Okay, dann gucken wir uns mal Dateneigentum oder Datensouveränität an. Naja, ein Eigentum, also erst mal Begriffskritik. Eigentum selber, das Konzept Eigentum, ist ein Exklusivrecht auf Sachen. Das heißt also Eigentum, ich habe eine bewegliche Sache, ein Auto, ein Fahrrad oder sonst was oder unbewegliche Sachen wie Immobilien. Dann heißt es, ich kann darüber exklusiv verfügen und genau darauf ist sozusagen die gesamte Rechtsordnung aufgelegt. Wenn ich sage, Daten sind Eigentum, dann merkt man schon an dem Konzept, okay, wenn das Eigentum ist, dann kann es auch gestohlen werden. Kann man sich überlegen, Datendiebstahl, so sind die Daten jetzt weg, nee, sie sind ja noch da. Okay, was ist denn jetzt das Problem? Das Problem bei Diebstahl ist ja nicht, dass man danach zwei Fahrräder hat, sondern dass man keins mehr hat. Also, es ist eine Frage, wie groß der eigene Keller ist, aber das ist nicht, ne, ihr merkt an der Stelle, das ist schon vom Konzept her merkwürdig. Aber der nächste Punkt ist, okay, Daten Eigentum, dann haben wir das alles und unser Daten Eigentum und wir können natürlich unsere Daten dann eben verkaufen und kriegen auch, kriegen davon was ab von dem schönen Kuchen. Jetzt kann man sich natürlich umgleichende große Diskussion sozusagen die anzureißen, ich will da nicht einsteigen. Ist es tatsächlich die drei Euro pro Monat an alle Facebook-Userinnen und User wert dafür, Wahlmanipulationen, ganzer Gesellschaften und Diskriminierung an unserer Gesellschaften zu ermöglichen? Was ist das für ein komischer Handel an der Stelle? Also, man merkt da haut was nicht hin und mehr ist es ja nicht, ne? Also, dieses Geld entsteht ja dadurch, dass es so viele User gibt, weil es so supergut skaliert. Das heißt, die einzelne Person hätte genau von diesen drei und meinetwegen mögen es auch 30 Euro sein. Tatsächlich in diesem Vergleich gar nichts. Also, offensichtlich haben wir hier noch größere Problemen. Und man könnte eben auch wieder sagen, ach, interessant, Daten Eigentum, das unterstützt wieder nur die starken Akteure, die werden bevorzugt. Tatsächlich ist es wieder ein Freikaufen. Wenn man sagt, na ja, ich muss, ich habe nicht die Notwendigkeit, meine Daten zu verkaufen. Ich kann die bei mir behalten. Dateneigentum ist doch schön. Jeder ist selbst da irgendwie verantwortlich. Die Souveränität des Einzelnen oder der einzelnen Person. Aber wie gesagt, es ist Freikaufen. Wenn ich das Geld habe, dann bin ich darauf nicht angewiesen. Ansonsten muss ich mich quasi dann, ja. Das hängt aus, liefern an der Stelle. Das heißt, klassisches Beispiel bei der Autodatenübermittlung, wenn ich mich recht erinnere, hast du auch so bei Mercedes ab der, ich glaube, ab irgendeiner Klasse, wer geht dann keine Daten mehr raus, weiter oben. Weil klar ist, die Käuferinnen und Käufer weiter oben, die mögen es gerne, wenn die Daten, was im Auto passiert, bleibt doch im Auto. Aber drunter halt nicht. Oder man kann sich auch überlegen an der Stelle, Smart TV-Daten, inwiefern da so eine Datensouveränität vorharscht, wenn man eine alleinerziehenden Elternteil eben sagt, ja, du bist total Datensouveräen, du kaufst dir hier ein Fernseher irgendwie für 500 Euro oder 250, wenn du alle Daten rausleitest. Kann man sich ja überlegen, wie Datensouveräen da eine Person agiert. Nächste Frage, wenn Daten Eigentum sind, wem gehören denn Kommunikationsdaten oder Bilddaten, wo mehrere Leute daran beteiligt sind und so weiter? Also hinten und vorne Probleme, Probleme. Also, dass es so ein bisschen unklar, welches Problem da wie gelöst wird. Es ist natürlich wieder die Absetzung auf die einzelne Personen. Man könnte auch genauso sagen, Hygienesouveränität könnte man ja auch sagen. Man geht halt irgendwie in die Küche und ja, wir haben halt keine Hygieneregeln. Du könntest dich doch bestimmt ausgehst, du erst mal irgendwie hinten rein, ob die Küche dir sauber genug ist oder nicht. Wie du weißt gar nicht, wonach du gucken sollst, naja, Pech gehabt. Also, das ist die Art von Souveränität, die da proklamiert wird bei so einer Dateneigentum und Datensouveränität. Das ist genau wieder die Souveränität des Stärkeren. Okay, dann kommen wir noch, also als Punkt so verbunden mit der Datensouveränität. Ich habe es ja mal einwilligungsfetisch genannt. Das ist immer so ein Rückgriff auf das Grundrecht, auf informationelle Selbstbestimmungen, was ich total großartig finde, aber es reicht eben nicht aus. Warum reicht das nicht aus? Na ja, Einwilligung heißt alle mögliche Datenverarbeitung. Da werde ich vorher gefragt, ob meine Daten verarbeitet werden dürfen für bestimmte Zwecke. Und jetzt ist die Frage, was ist denn das Problem an so einer Einwilligungsfrage? Ja, erstens, da gibt es zwei Möglichkeiten. Entweder es gibt eine Informationsasymetrie oder eine Machtasymetrie, wo man das Problem sieht. Informationsasymetrie heißt, ich habe da eine Einwilligung, die ich geben muss. Und ich habe daneben 150 Seiten AGB, die ich jetzt lesen muss, um dann irgendwie ordentlich einzubilligen. Und da sorgen natürlich Organisationen, insbesondere Konzerne. Ja, ist doch super. Und leider auch in der DSGVO. Ja, dann machen wir halt irgendwelche Symbole, die das anzeigen, wo es dann einfacher ist für die Personen, das irgendwie lesen zu können. Und das verstehen zu können, dann können wir vielleicht einfache Sprache machen. Und im Endeffekt, wir versuchen es ganz, ganz, ganz, ganz dolle. Und wenn alle Organisationen des Planeten es ganz dolle versuchen und die Leute es immer noch nicht verstehen, dann sind die Leute. Also jedenfalls, also wir haben uns ganz doll bemüht. Das heißt, dass der Druck oder die, sozusagen die Handlungsdruck liegt, wenn man das Problem bei der Informationsasymmetrie sieht, liegt wieder beim Wieder, wieder bei der einzelnen Person, die trägt wieder die, die Last, dass sich ordentlich informieren müssen. Wenn man allerdings sagt, na ja, das ist eine Machtasymmetrie, was ich vorhin gesagt habe, bei der Datensouveränität. Wann kann man zustimmen? Wie sind dann eigentlich so die, die, wie sind dann, was ich gesagt habe, so was wie Netzwerkeffekte oder so? Wie welche Probleme entstehen denn da auch für andere Menschen? Wenn ich, wenn ich sage, ich habe die Google-AGBs für Google Mail verstanden und ich habe die, ich habe den zugestimmt, dann habe ich natürlich auch für alle anderen, die mir jemals danach eine Mail schreiben wollen, auch noch mit zugestimmt. Das heißt also, es ist gar keine Informations, kein Informationsproblem, dass ich nicht verstanden hätte, was, was irgendwie in der AGB drinstand, sondern, dass es liegt in der Natur der Sache, der Vernetzung, dass ich das für alle anderen mitbeschrieben, mitentschieden habe. Oder aber wenn es halt irgendwie im Elternabend heißt, ja, unsere Facebook-Gruppe hat sich das und das gedacht und hat dann in der Person kein Facebook oder so weiter, ganz viele Fragen, soziale Rahmenbedingungen, genauso finanzielle Abhängigkeiten. Man kann ja eben sagen, ja, diesen Dienst, was genau das beim bei der Souveränitätsfrage. Ja, du kannst dir gerne diesen Service, du kannst dir einwilligen oder aber es kostet was und dann nehmen wir weniger Daten. Also man merkt, wenn man das auf diese Machtasymetrie stellt, auf einmal ist es nicht so und wir müssen einfach nur unsere AGBs besser schreiben, sondern eigentlich brauchen wir harte obere Schranken. Das heißt, Aka-Regulierung. Das heißt, bestimmte Informationsnutzung darf einfach nicht möglich sein. Wie gesagt, wir haben es aktuell mit der Manipulation ganze Gesellschaften zu tun, auch Gewaltverbrechen, die aufgrund von und so weiter. Also irgendwo muss man da fragen, offensichtlich liegt es nicht daran, dass da irgendwie die AGBs nicht gut lesbar sind. Okay, dann ziel gerade langsam die Algorithmenetik nur kurz angeschnitten. Ich bin ja noch länger hier auch noch Algorithmenetik. Ja, das ist so eine Mischung als Algorithmen, die ethisch sein können oder nicht ethisch sein können. Also erstmals Algorithmen sind selber ja keine Akteure. Organisationen sind Akteure und die wenden Algorithmen ein an. Das heißt, man kann natürlich genauso bei einer Algorithmenetik fragen, was ist denn die Zementetik? Wie verwendet man Zement? Also die Frage muss man dann überall stellen, weil die Akteure natürlich genau wissen, welche Algorithmen sie verwenden und welche nicht. Sie haben nämlich Zwecke. Wenn das, was ihre Interessen sind, davon unterstützt wird, dann werden die eingesetzt und deswegen macht man eine AB-Testung und so weiter. Und wenn es die Zwecke nicht unterstützt, dann wird es was anderes verwendet. Und wenn man dann sagt, na ja, aber das ist doch eine ethische Frage. Na ja, das ist nicht wirklich eine ethische Frage. Es ist eine Verantwortungsfrage. Na klar. Aber jetzt Ethik ist so nicht das ganz Richtige. Und wenn man natürlich sagt, ja, aber so Algorithmen, die sind alle so kompliziert und wir verstehen es vielleicht gar nicht mehr bei irgendwie künstlicher Intelligenz und so weiter, kann man sich überlegen, wie es beim Hundeverhalten ist. Also die Hundehalterinnen oder Hundehalter steht natürlich dafür gerade, was der Hund tut, egal ob der jetzt aus welchen Gründen das getan worden ist. Irgendwer muss es ja, bei irgendwem muss ja die Verantwortung sozusagen liegen. Genau. Und die Algorithmen setzen also keine, setzen keine Zwecke, sondern sie sind Mittel, um Zwecke umzusetzen. Das heißt, wenn man überhaupt über irgendwas spricht, dann muss man irgendwie über Unternehmensethik reden. Und wie erfolgreich sowas ist, kennen wir, glaube ich, seit Anbeginn des Kapitalismus. OK, also die konkrete Frage wäre, anstatt über Algorithmenethik zu sprechen, wäre zu sagen, ja, wir haben doch gerade was über Schutzziele gelernt. Können wir denn nicht einfach diese Schutzziele auf alle möglichen Informationsverarbeitungssysteme anwenden? Ja, natürlich können wir das. Und es gibt auch sehr viel, also nicht sehr viel, aber es gibt eine Menge gute Forschung dazu, zum Beispiel Unabhängiglades, Datenschutzzentrum, schließlich Holzständen und so weiter. Aber komischerweise sind da die Ergebnisse, ja, das muss reguliert werden, das müssen wir einzäunen und so weiter. Aber das schlägt man immer so ungern den Konzernen vor. Das ist immer so, das ist ein bisschen problematisch an der Stelle. Das heißt, man kann da viel drüber nachdenken über maschinenlesbare Policies, über irgendwie sozusagen KI, KI, Prüfsysteme und so weiter. Aber das Problem dabei ist, dass die Ethik so folgenlos und so schön sanktionslos bleibt. Eine Ethik ist das, was man so, was man so tut. Das ist so ein Thema, es wäre schön, wenn. Und tatsächlich, wenn wir uns unsere Welt so angucken, die verdatete Welt ist es eigentlich, dieses wäre schön, wenn ist, ist schon lange drüber hinaus. Okay, das heißt also, die Ethik ist schon in Ordnung der Ethik des Kurses, ja, aber die Umsetzung des Rechts selber, die erhängt hinterher und das ist so ein Punkt. Also die Situation ist, ich habe es mal ein bisschen provokant geschrieben, Massenmanipulation, Überwachung und Unterdrückungen, ist sozusagen der Punkt. Okay, das überspringen wir mal. Also wen es interessiert, zum Beispiel auch Ben Wagner hat dazu auch neulich geschrieben, also es ist einfach so, ich packe es in die Folien an der Stelle, also es bleibt da drin, inwiefern Ethik die neue Selbstregulierung ist. Also Unternehmen sagen, ja, bitte keine Regulierung, wir verhalten uns ethisch und wir haben Ethik-Colizees und hinten und vorne und so weiter. Und wenn man sich die letzten Facebook-Veröffentlichungen zum Beispiel anschaut, wer sagt, mit ethischen Diskursen sollen die Unternehmen noch mal Dollar drüber nachdenken, was sie tun und was die Konsequenzen sind, dann der Person empfehle ich tatsächlich sehr gut, sehr stark diese Veröffentlichung der internen Emails jetzt mal anzuschauen, die wissen ganz genau, was sie tun. Also da kann man nicht drüber reden, da muss man einfach sagen, es ist ein Interessenkonflikt und unsere Werte sind so und deswegen machen wir das halt. Okay, dann kommen wir zum Fazit. Also erstens, Datenschutz zwingt Organisationen dazu bei der Gestaltung ihrer Datenverarbeitung, die Interessen der Betroffenen zu beachten. Das heißt, durch Datenschutz sollen sie Dinge tun, die sie von sich aus nie tun würden. Wir erinnern uns Hygieneregeln, Sicherheitsvollen und so weiter. Das würden sie von sich aus jetzt erst mal nicht wollen, weil die mag Logik eine andere ist und so weiter. Aber mit Datenschutz bringt man eben dazu Löschfristen und so weiter, DSGVO könnt ihr euch angucken. Dann auch als Betreiber solcher Systeme muss man sich immer vor Augen halten, die Rechte der Betroffenen, so nervig sie vielleicht sein mögen, wenn man selber Anbieterinnen ist, sind immer die Pflichten der Verantwortlichen. Das heißt, es ist ein Interessenkonflikt. Wenn man sagt, ich möchte das aller nicht dokumentieren und so weiter, dann heißt es, mir sind die Interessen und die Rechte der anderen davon egal und das sollte nicht so sein. Dann, individuelle Privatsphäre, das war schon gesagt. Dann als letzten Punkt, Fokus auf personenbezogene Daten ist offensichtlich problematisch. Man kann Leute auch mit nicht personenbezogene Daten diskriminieren und es gibt aber auch Nutzung von personenbezogene Daten, die unproblematisch sind. Was man bräuchte, ist eine Analyse von Datenverarbeitung, die einfach schaut, Datenverarbeitung, egal welche Daten, die da verwendet werden, was sind die Konsequenzen für die Betroffenen. Und die Einwilligung ist weniger, weder hinreichend für individuelle und auch für gesellschaftliche Schutzfunktionen. Da müssen wir tatsächlich über diese harten Grenzen nachdenken. Ansonsten kommen wir da nicht weiter. Als letzten Punkt kann man sagen, die Techies unter uns sagen immer, Alice und Bob, die reden miteinander und dann gibt es Mallory, die greift an und beim Datenschutz muss man immer sagen, Achtung, Angreifer, Angreifer ist nicht Mallory, Angreifer ist Bob, nämlich die andere Seite, die Daten kriegt, was die damit tut. Okay, danke schön. Danke, Rainer, für deinen interessanten Vortrag. Wir haben zwei Mikrofone, eins auf der Seite in der Mitte des Saals und eins im Mittelgang, Nummer eins und Nummer zwei. Wenn ihr Fragen stellen möchtet, dann könnt ihr euch an diesen Mikrofon aufstellen und eine Reihe bilden oder zwei Reihen bilden. Wenn ihr jetzt gehen müsst, tut das bitte leise und auf jeden Fall nicht störend. Und ja, dann würde ich mal sagen, Mikrofon zwei. Vielen Dank für den interessanten Vortrag. Wie sieht das aus, wenn wir plötzlich andere Machtverhältnisse haben? Das heißt, wir haben Peer-to-peer-Systeme, da haben wir auf der einen Seite dann alle auf der gleichen Ebene oder auch nicht, aber doch prinzipiell ist das möglich. Und gerade diese Peer-to-peer-Systeme ermöglichen ja gerade diese mächtigen Datenintermediäre zum Gehen. Oder was ist jetzt bei Fällen, wo wir sagen, wir haben jetzt gar nicht den starken Datenverarbeiter, sondern wir haben den kleinen Turntverein, wir haben die Individuen, die plötzlich mit der Anschlussgrundverordnung konfrontiert sind und eigentlich gar nicht die starken sind. Und da sagen wir, passt doch eigentlich gar nicht. Wollen wir es mal sammeln oder soll ich gleich? Ja, gut, okay. Es ist ein sehr, sehr guter Punkt, gerade diese Peer-to-peer-Geschichten. Da sehe ich tatsächlich eine ganz, ganz große Chance, wo gerade bei Peer-to-peer die Daten verteilt sind, mal keine Machtzentren dabei stehen, da muss man natürlich bei dem Design aufpassen, dass man es eben nicht so macht wie irgendwelche Bitcoin-Geschichten, dass dann doch wieder alles zentralisiert wird, sondern eher so wie NuNet, wo in das System eingebaut ist, dass es auch dezentral bleibt. Ich sehe da ganz große Hoffnungen, da muss allerdings sehr viel noch geforscht und gearbeitet werden, dass solche Sachen dann auch skalieren können. Aber das kann möglich sein. Also ist auf alle Fälle da sich überhaupt kein Problem, wenn man da mal ein bisschen Geld reinsteckt, irgendwie so einen Bruchteil von dem, was wir in der Turmkraft gesteckt haben, mal in Peer-to-peer-Technologien. Aber das nebenbei, das wäre auf alle Fälle eine technisch herangehensweise, wo man natürlich auch wieder diese Analysen machen müsste, aber sich, das ist auf alle Fälle ein gangbarer Weg und da gibt es auch ganz viele Ansätze, schon gerade hier auf dem Kongress, wenn man rumläuft, Gnutahler und so, da sehe ich viel Fruchtbares. Bei dem zweiten Punkt, das ist natürlich jetzt eine rechtliche Frage. Ich gehe trotzdem darauf ein, halte mich aber kurz, weil wie gesagt, es gab auch rechtliche Talks. Die DSGVO hat so einen, sagen wir mal, überwiegend risikobasierten Ansatz. Das heißt, der Verein muss diese Sachen insofern umsetzen, wie Risiken für die Betroffenen entstehen. Das heißt, wenn der Verein so ein multinationales, globales Social Network betreibt, dann sind die Pflichten sehr, sehr groß, wenn allerdings da nur die Mitgliederliste geführt wird, dann sind die Anforderungen auch sehr viel geringer. Also man muss immer sehen, die Anforderungen, zum Beispiel diese technischen organisatorischen Maßnahmen, die müssen immer angemessen sein. Das heißt, wenn da eine Liste mit 20 Namen sind, dann muss man jetzt nicht, da reicht jetzt vielleicht nicht um die CESA-Verschlüsselung, aber da muss jetzt kein Hochsicherheitssystem da sein. Es muss sozusagen immer entsprechend der Risiken für die Betroffenen. Also ich verstehe auch die Kritik zu sagen, sozusagen diese DSGVO guckt gar nicht, wie groß die Organisation ist. Und da ist meine Antwort dabei zu sagen, ja, die DSGVO schaut aber, wie groß ist das Risiko der Betroffenen? Und ich glaube, bei vielen, die sich da sozusagen beschweren, die beschweren sich auch erstens, weil sie sich nicht vorher damit beschäftigt haben, was sie hätten sollen. Und zweitens aber auch, weil da leider sehr viel Angstmache drin war, wie viel Aufwand da tatsächlich auf Leute zukommt und wie groß die Anforderungen sind. Also die Regularien bei der Datenschutzkonferenz war ja auch irgendwie erst mal warnen und helfen, statt abmahnen und so weiter. Also das ist so meine Antwort. Also es wichtig ist, wie groß ist das Risiko für die Betroffenen? Und das wird bei Vereinen immer nicht so groß sein. Also kommt auf den Vereinen an. Ich meine, der Tüffel ist auch ein Vereinen. Also okay, ich hoffe, das hat... Mikrofon eins, bitte. Wir haben jetzt für die Erklärung, was ist Datenschutz? Rückgegriff, treffen wir jetzt auf die Erklärung des Standarddatenschutzmodells. Gibt es, sag ich, in der Wissenschaft auch andere Ansätze, die gewählt werden zur Erklärung, was ist Datenschutz? Oder wie weit sind die Diskussionen da? Oder gibt es unterschiedliche, unterschiedliche Fokus? Also das ist eine sehr, sehr, sehr gute Frage, tatsächlich. Ich finde tatsächlich dieses Standarddatenschutzmodell, deswegen habe ich es da unten hingepackt, sehr, sehr, sehr gut und trifft das, was ich als großes Problem auch ansehe. Es gibt eine Dissertation von Jörg Poledal, vierte von unten Datenschutz- und Technikgestaltung. Der diskutiert mal die verschiedenen Ansätze. Also es gibt da schon verschiedene Vorstellungen, was ist überhaupt das Schutzgut und wie kann man dem begegnen und so weiter. Da gibt es einen großen Dschungel. Aber, ja, da ist sich auch... Also mein Eindruck ist, da setzt sich zumindest in der deutschen Diskussion oder europäischen Diskussion, da setzt sich gerade so eine bestimmte Richtung durch. Aber es gibt auch andere Ansätze, die zum Beispiel, die rückwärts versuchen entlang des Rechtes zu rekonstruieren, was eigentlich mal das Datenschutzproblem war und die dann immer individualisiert Fragen stellen und sagen, wie können wir zum Beispiel das Risiko, so einfache Rechnung wie das Risiko der einzelnen Personen, mal die Anzahl der betroffenen Personen und so könnte man eben auch an Datenschutz rangehen und dann hat man nur rein individuell natürlich immer das Problem, was man dann lösen muss. Es funktioniert insofern nicht, wie wir eben gesehen haben, es können natürlich auch eine ganze Menge Leute zu einer Datenverarbeitung zustimmen, deren Konsequenzen dann alle anderen auch noch mit trifft. Und in dem Sinne funktioniert der individualistische Ansatz dann nicht. Aber, ja, da gibt es einen Zoo, aber ich glaube, ich glaube, das ist das, meiner Ansicht nach, das ein sehr gut begründetes. Das Internet hat eine Frage. Ja, geht. Das Internet fragt, gibt es beziehungsweise kennst du eine politikerverständliche Übersicht von kaosnahen politischen Forderungen bezüglich Datenschutz und Datensicherheit mit samt ihren Begründungen? Moment, war eine was eine Politikerkompatible? Politikerverständliche Übersicht von kaosnahen politischen Förderung. Erforderung, Entschuldigung. Forderung. Naja, ich meine, ich kann zum Beispiel darauf verweisen, jetzt vor zwei Monaten war die Bits und Bäume in Berlin. Da gab es ein Forderungskatalog. Da wurde das, da spielte auch Datenschutz und Datensicherheit eine Rolle und auch in der Begründung dabei. Da war zum Beispiel der CSC auch dann beteiligt und das FIF und aber andersherum auch Nachhaltigkeitsorganisationen, BUND und so weiter. Das ist sehr kurz und knackig. Ich glaube, das könnte auch verstanden werden und es wäre, es ist auch eben auch kaosumfeld. Ich glaube, so ein, ich glaube allerdings, also das denke ich jetzt gerade, verschiedene Leute oder auch verschiedene Politikerinnen haben verschiedene Vorstellungen, was eigentlich das Problem ist. Deswegen weiß ich noch nicht so richtig, inwiefern so eine Handreichung, so verständlicherweise da wirklich helfen würde, die allgemein ist, sondern eher zu fragen, was ist denn sozusagen, was daran ist unklar, um das dann wirklich, sozusagen, konkret zu erklären. Aber mein Eindruck, ehrlich gesagt, also ich verstehe die Motivation der Frage, aber mein Eindruck ist so ein bisschen, dass dieses Unverständnis, das hat eher was mit fehlenden Mut zu tun, mal zu sagen, was weiß ich, wir müssen da jetzt mal harte Grenzen ziehen. Also es hat weniger mit Verständnis zu tun, als mit Nicht-Verstehen-Wollen und da hilft auch eine Handreichung nicht. Und es ist so, also die Antworten, was notwendig wäre, die werden immer, immer klarer, aber ja, das ist, glaube ich, ein politisches, ist eine politische Frage so. Und da, da ist ja auch eine der Gründe, warum wir hier sind, glaube ich. Mikrofon 2, bitte. Ja, ich wollte nochmal einhaken, du hast ja gerade auch bei dem Thema Algorithmenetik sozusagen gesagt, das ist so eine Stellvertreterdebatte oder beziehungsweise eine Debatte, wo es eigentlich, man will eigentlich nicht über das eigentliche Reden, nämlich was Regulierung sein soll. Ich würde dir insofern zustimmen, dass es die Debatte natürlich ablenken soll, davon, dass man nicht weiß, wie man mit Technik umgeht. Ich glaube allerdings jetzt mal die Gegenteese, dass man in Deutschland allgemein sehr regulierungswillig ist in der Politik, was Technik angeht. Aber ich glaube, man weiß nicht, was man regulieren soll. Also du hast mehrfach selber auch so Begriffe wie Massenmanipulation, Wahlmanipulation genannt. Darüber wird unglaublich viel gesprochen. Ich glaube aber, es hat keiner gerade in der Politik eine Idee, wie man damit umgehen soll. Und wenn dann mal so eine Vorschlag wie BOT Regulierung eingebracht wird, ist es halt auch Quatsch. Deswegen jetzt meine konkrete Frage. Wie würdest du damit umgehen? Also ich arbeite selber im politischen Betrieb und überlege mir also auch immer, wie kann man eigentlich diese Debatten in die richtige Richtung lenken? Wie würdest du damit umgehen, dass man eben nicht über Algorithmenetik als irgendwie Ablenkungsthema redet, sondern dass man sich mit den tatsächlichen Fragen, nämlich was sind sinnvolle Regulierungen beschäftigt, gerade eben unter dem Aspekt, dass technisches Unverständnis in großen Teilen leider herrscht? Also es ist tatsächlich eine sehr, sehr interessante Frage. Ich glaube, da steckt noch ein bisschen Arbeit drin, diese zum Beispiel diese Schutzzielfragen auch mal wirklich auszubuchstabieren. Da gibt es auch Ansätze, zum Beispiel Martin Roszitz, gerade für diese KI-Debatte, wobei konkret fragen kann, können denn bestimmte Systeme Garantien aussprechen für grundrechtliche Fragen? Ich habe mal so ein Zitat da reingepackt. Irgendwie so Deep Learning-Systeme sind also nicht prüfbar, nicht evaluierbar, ändern ihre Eigenschaften, liefern keinerlei Begründung, sind leicht zu manipulieren, will kürlich aufgebaut und immer ungenau. Es klingt jetzt nach einem coolen System, wenn man Bilder sortieren will, das klingt nach einem nicht so guten System, wenn man einen Straßenschilder erkennen möchte. Und ich glaube, die Aufgabe bestünde darin, diese Fleißarbeit auszubuchstabieren, was zum Beispiel diese Schutzziele für die einzelnen Systeme und das macht teilweise das Standard-Darschenschutzmodell auch schon, diese Ergebnisse zu zirkulieren. Und da gibt es tatsächlich gute Arbeiten und ich glaube mittlerweile wäre es sogar möglich, können wir uns danach nochmal verbinden, dass da vielleicht die richtige Information an der richtigen Stelle mal landen, weil ich glaube, die sind mehrheitlich schon da. Es hat immer auch was mit Erklären zu tun, aber wenn der Wille da ist, so zu agieren, also in der regulären Willigkeit sehe ich jetzt nicht so richtig, aber gut, wenn das tatsächlich so ist, dann müsste man da wahrscheinlich einfach genau diese Papers, die es dazu gibt und so weiter, die ein bisschen aufbereiten und dann an die richtigen Stellen bringen als Hinweise. Wie gesagt, das heißt aber eben auch, das heißt aber eben auch, dass bestimmte Akteure dann eben auch was abgeben müssen oder nicht mehr zulässig sind oder bestimmte Geschäftsmodelle nicht mehr möglich sind. Also, wenn Politikerinnen damit einverstanden sind, dann kann man da auch was machen. Okay, Mikrofon 1, bitte. Hi, ich habe auch eine Frage zur Regulierung. Und zwar, also aus einer sociologischen Perspektive ist es so, dass bei Regulierungen immer auch die regulierten Mitarbeitern, also das läuft im politischen Betrieb ganz oft über Aufrufe für Comment Letters, also das Bundesministerium für Verkehr und BLAR, hat was über Fahrzeugdaten veröffentlicht und die haben sehr, sehr dezidiert politische, ökonomische Benefits bei den Herstellern gesehen und dann sollten alle aufgerufen worden, in den Ereignishalmjahres, ihre Meinung dazu zu posten und bei sowas haben natürlich starke Akteure, die du auch genannt hast, also Tech Giants, immer einen strukturellen Vorteil. Genau, also wenn du dich für eine starke Regulierung aussprichst, hast du da schon irgendwie Vorstellungen, wie man diesen Bias an der Stelle ausschaltet, also dass die starken weiterhin auch privilegiert bleiben, selbst wenn es Regulierungen gibt? Tja, das ist so die kündigenden Frage an der Stelle. Naja, es hat natürlich immer was damit zu tun, wer wird da befragt, wer hat die Möglichkeiten, ich kenne es ja selber auch von irgendwie, egal, ob es Sachverständigen-Anhörungen sind oder irgendwie Eingaben, die gemacht werden können, die Firmen schicken ihre Leute in der Arbeitszeit dahin, um das zu tun und die NGOs gucken halt, wo sie ihren Eramtlichen abziehen können, um da vielleicht jemanden, Tja, das ist ein großes Problem. Also ich glaube, da ist tatsächlich so eine grundsätzliche, da wag ich mich jetzt auch ein bisschen aus dem Fenster, aber so eine grundsätzliche Herangehensweise gefragt, das betrifft ja die Frage, wie unsere Demokratie funktioniert. Also das ist nichts, was irgendwie, als ich meine, von Diesel bis hin zu, fange gar nicht erst an. Also das ist keine Datenschutzfrage, sondern eigentlich eine Demokratiefrage. Und ich weiß nicht, also da gibt es ja ganz viele Ideen mit Lobbyregister und was es alles gibt. Ich vermutlich müsste man da sozusagen, wir alle, die Aktivitäten so in diesen digitalen Rechtsfragen tätigen, vermutlich wäre es sogar eine langfristige oder nachhaltige Keyword, nachhaltige Lösung zu sagen. Bei all unseren Aktivitäten nehmen wir 10 Prozent weg und packen die in, weiß ich nicht, Lobby-Control und so weiter, um diese Strukturen da irgendwie zu stärken. Das wäre mein Eindruck, weil teilweise, wenn man sich anguckt, wieso die Digitalrat, KI, Anket und so weiter, wie die zusammengesetzt sind, klar, wenn ich, wenn ich Leute von einem bestimmten Hintergrund einlade, ist mir klar, dass ich, dass ich dann diese Antwort kriege. Also das ist jetzt so ein bisschen so Frage, wie kriege ich mehr Leute aus der Wissenschaft rein und mehr Betroffene und so weiter. Und deswegen tut mir jetzt leid, dass es vielleicht eine nicht so hilfreiche Antwort ist, aber ich glaube, das ist eine Demokratiefrage. Und da gibt es jede Menge auch zu tun und auch deswegen sollte uns das interessieren, weil ansonsten unsere ganze Arbeit da auch teilweise ins Leere läuft, weil dann eben das kaputte System, das alles wieder auffrisst, das glaube ich so ein Punkt. Ich merke, die Diskussion ist die brennt. Leider läuft uns die Zeit ein bisschen davon. Wo finden die Leute hier auf dem Kongress? Ihr findet mich entweder unter dieser E-Mail-Adresse oder aber zum Beispiel am 5. Stand hier CCL Nullte Etage. Hier drunter. Ich werde danach einfach auf den Knopf drücken und runterfahren. Dann findet mir mich da. Danke schön. Applaus.