Die Zukunft von Privatheit und Selbstbestimmung

Die globale Digitalisierung nahezu aller Lebensbereiche gefährdet zunehmend die individuelle und demokratische Selbstbestimmung und erfordert umso stärker ihren normativen Schutz. Doch die Bedingungen für diesen Schutz haben sich radikal geändert. Konzepte, Institutionen und Instrumente, die für diesen Schutz in den 1970er Jahren für die Gefährdung durch kommunale Gebietsrechenzentren entworfen wurden, genügen nicht mehr für den Schutz gegenüber globalen digitalen Infrastrukturen, die das alltägliche Leben bestimmen. Der Beitrag analysiert die Herausforderungen für das Grundrecht auf Datenschutz und informationelle Selbstbestimmung, untersucht das aktuelle Schutzkonzept der Datenschutz-Grundverordnung und seine Governance-Struktur, diskutiert Schutzverbesserungen in dem neugeschaffenen Regelungsumfeld und erörtert mögliche neue Konzepte und Instrumente zum Grundrechtsschutz in der globalen digitalen Transformation.

Als besondere Herausforderungen der relevanten Grundrechte werden technische und gesellschaftliche Entwicklungen in Form von neuen Datenquellen, virtuellen Infrastrukturen, Big Data und Künstlicher Intelligenz identifiziert. Das aus den relevanten Grundrechten abgeleitete Schutzkonzept des Datenschutzrechts wird auf Ebene von Einwilligung, Transparenz, Zweckbindung, Datenminimierung und auf Ebene der Betroffenenrechten durch diese Entwicklungen ausgehöhlt. Die Datenschutz-Grundverordnung hat zwar Verbesserungen bewirkt, jedoch bleiben die bestehenden Probleme in ihrem Kern vielfach ungelöst. Es ist deshalb auch nach dem Geltungsbeginn der Datenschutz-Grundverordnung eine Weiterentwicklung des Governance-Rahmens erforderlich. Hier sind neben der Europäischen Kommission auch nationale Gesetzgeber, Behörden und Gerichte gefragt. Notwendig ist sowohl eine Fortentwicklung der Datenschutz-Grundverordnung als auch eine strukturelle Modernisierung des Datenschutzrechts. Als Konzepte und Instrumente zur Bewältigung der beschriebenen Herausforderungen bieten sich die rechtliche Gestaltung grundrechtsriskanter Techniksysteme, eine Objektivierung des Grundrechtsschutzes, die Etablierung von Infrastrukturverantwortung sowie eine Globalisierung des Grundrechtsschutzes an.

Trotz einiger Kritikpunkte stellt die EU-Datenschutz-Grundverordnung (DSGVO) das weltweit ambitionierteste Gesetz zum Schutz personenbezogener Daten dar. Die DSGVO führte mehrere Innovationen in das Datenschutzrecht ein. Dazu zählen beispielsweise das Marktortprinzip, das Recht auf Datenübertragbarkeit, die Anforderungen an den Datenschutz durch Systemgestaltung und durch Voreinstellungen sowie die Datenschutz-Folgenabschätzung. Auf der Ebene der Governance-Strukturen fand das Prinzip der sog. Rechenschaftspflicht Eingang in das EU-Datenschutzrecht. An die Seite gestärkter Betroffenenrechte und gestärkter Aufsichtsbehörden trat die Pflicht der Datenverarbeiter, selbständig und – in Abhängigkeit vom Risiko der jeweiligen Verarbeitung – unter geringerem organisatorischen Aufwand für die Einhaltung der Datenschutzregeln zu sorgen. Als Element dieser Rechenschaftspflicht wurde das mögliche Sanktionsmaß auf eine Bußgeldhöhe von 20 Mio. EUR oder im Falle eines Unternehmens auf bis zu 4 Die DSGVO war aber auch Kritik ausgesetzt. Aus bürgerrechtlicher Seite stechen die unzureichende Harmonisierung und die falsch verstandene Technikneutralität der DSGVO hervor. So beinhaltet die DSGVO trotz der anfänglichen Intention der EU-Kommission, das EU-Datenschutzrecht zu vereinheitlichen, 70 Öffnungsklauseln. Diese ermöglichen es den Mitgliedstaaten von den Vorgaben der Verordnung abzuweichen oder diese zu konkretisieren. Zudem wird die DSGVO dahingehend kritisiert, dass die Datenschutz-Risiken moderner Technologien unberücksichtigt blieben. Aus der Perspektive der datenverarbeitenden Wirtschaft wird die DSGVO dagegen im Hinblick auf die mit der neuen Regelung verbundene administrative Mehrbelastung kritisiert. Dieser Beitrag widmet sich der Auseinandersetzung mit beiden Strängen der Kritik und beantwortet zwei Fragen: Zum einen interessiert uns, weshalb die Einführung datenschutzrechtlicher Innovationen durch eine unzureichende Harmonisierung und eine falsch verstandene Technikneutralität begleitet wurden. Zum anderen widmen wir uns der Frage zu, wie die Innovationen der DSGVO, insbesondere das Sanktionsregime, wirken und welche Effekte die DSGVO auf die Innovationsfähigkeit von Unternehmen hat – wirkt sie eher innovationsfördernd oder innovationshemmend?

Die immer stärkere Durchdringung von Wirtschaft und Gesellschaft mit digitalen Technologien führt dazu, dass Daten in bislang ungekanntem Maß (teil-) automatisch erhoben, gespeichert und verarbeitet werden. Gleichzeitig ist es einfacher möglich, Daten aus unterschiedlichen Quellen miteinander zu verknüpfen und auszuwerten. Der so geschaffene Zugang zu großen Datenbeständen kann das Entscheidungsverhalten von Unternehmen und Verbrauchern verändern, mitunter sogar auch über die Grenzen von physischer und digitaler Welt hinweg.

In einer derartigen „Datenökonomie“ entstehen zahlreiche Möglichkeiten für Unternehmen und Konsumenten. So etwa können Unternehmen durch personenbezogene Daten mehr über bestehende und potentielle Konsumenten erfahren oder mit personenbezogenen Daten als ökonomisch handelbares Gut auf Datenmärkten partizipieren. Konsumenten können durch die Preisgabe ihrer Daten profitierten, etwa indem sie von verbesserten Angeboten profitieren oder Daten als Zahlungsmittel nutzen. Die personenbezogenen Daten haben somit sowohl für die Konsumenten als auch für die anfragenden Unternehmen einen Wert und gleichzeitig einen damit verbundenen Preis. Es zeigt sich somit ein facettenreiches Bild hinsichtlich der zugrunde liegenden Austauschbeziehung zwischen Unternehmen und Konsumenten.

Dieser Beitrag verfolgt das Ziel, anhand einzelner exemplarischer Kontexte, das ökonomische Verständnis von Privatheit als Wechselspiel zwischen Anbieter und Nachfrager aufzuzeigen und insbesondere mittels aktueller Erkenntnisse zu erweitern. Aus unternehmenszentrierter Perspektive wird der Datenhandel mit personenbezogenen Daten sowie die unternehmensinterne Verwendung von Daten zwecks Auswertung dargestellt. Aus verbraucherorientierter Perspektive wird die Zahlungsbereitschaft für den Verzicht auf die Weitergabe von Daten sowie die Bereitschaft zur Offenlegung von Daten betrachtet.

Der Beitrag wendet sich dem ambivalenten Zusammenspiel von Privatheit und Digitalität zu, indem er deren Relevanz für Diskurse und Praktiken der Selbstbestimmung ausleuchtet und auf die soziotechnischen Transformationen dieses Zusammenspiels bezieht. Privatheit und Digitalität werden dabei als gesellschaftlich mitkonstituierte Sozialformen, Assemblagen oder Kommunikationsverhältnisse perspektiviert, die von historisch sich wandelnden soziokulturellen Einflussgrößen durchzogen sind. Um die skizzierte Perspektive einzunehmen werden wir zunächst die einschlägigen soziologischen Wissensbestände zu einer kursorischen Darstellung gesellschaftstheoretischer Perspektiven auf Privatheit verdichten. Daraufhin wenden wir uns den soziologischen Digitalisierungsforschungen zu, die die Konzeptualisierung von Privatheit nicht unberührt lassen. Hierbei wird v. a. herausgearbeitet, dass das soziologische und gesellschaftstheoretische Bild von Privatheit um Aspekte des Technischen und Materiellen erweitert werden muss. Theoretisch entsprechend eingestellt werden wir sodann eine Analyse von Selbstbestimmung unter soziodigitalen Verhältnissen präsentieren, die sich an vier zentralen Problemfeldern von Privatheit und Digitalität entfaltet: Die soziale Prämierung von Sichtbarkeit; soziale Konsequenzen digitaler Verhaltensformung; die soziale Dynamik datenökonomischer Erlösmodelle; sowie die Auswirkungen, die sich aus alldem für die Entscheidungsfreiheiten von Nutzenden ergeben. Im Fazit des Beitrags werden Konsequenzen für eine demokratische und an Selbstbestimmung orientierte Gestaltung von Privatheit benannt. Hierbei zeigt sich ein erheblicher Bedarf an einer Politik der Gestaltung und Regulierung von soziodigitalen Infrastrukturen, die eine Datenökonomie befördert, welche sich der demokratischen Kontrolle, Mitbestimmung und v. a. der Kritik öffnet. Zentrale Kompetenz individueller, wie kollektiver Selbstbestimmung wird damit die Fähigkeit zur Kritik der normierenden Gehalte und Effekte soziodigitaler Infrastrukturen. Diese muss aus den soziodigitalen Verhältnissen und praktischen Situationen selbst erwachsen und die Pluralität von Rechtfertigungsordnungen moderner Gesellschaften einbeziehen, um so die Kontingenz bestehender normativer Ordnungen erfahrbar und alternative Infrastrukturgestaltungspfade begehbar zu machen: Nur wenn die Infrastrukturen gewährleisten, dass der Faden zur kritischen Praxis nicht reißt, kann Privatheit unter soziodigitalen Bedingungen Ort der Selbstbestimmung bleiben.

Der Beitrag diskutiert aus ethisch-philosophischer Perspektive die Bedeutung des Konzepts Privatheit für individuelle Freiheit, Selbstverwirklichung und demokratische Teilhabe. Es wird dargestellt, dass in einer datafizierten Gesellschaft das private, individuelle Handeln durch umfassende Datenerhebungen abgebildet und für das politische Handeln fruchtbar gemacht werden kann. Auf diesem Wege können individuelle und private Handlungen durch ihre technische Verdichtung und Auswertung zu überindividuellen und öffentlichen Strukturbedingungen werden. Der Beitrag verdeutlicht, dass – trotz der Schutzwürdigkeit einer privaten Sphäre – private, individuelle Handlungen nicht zum bestimmenden Maßstab politischen Handelns werden dürfen. Dabei werden Argumente aus Demokratietheorie, Technokratiedebatte sowie Probleme der Widersprüche von Wertüberzeugungen und individueller Handlungspraxis (value-action gap) diskutiert. Vor diesem Hintergrund wird der Forschungsstand moderner Privatheitstheorien anhand einer Unterscheidung zwischen ihren individuellen und überindividuellen Dimensionen systematisiert. Die Beispiele Clouddienste und Medienmündigkeit vertiefen und veranschaulichen die Bedeutung von Privatheit und informationeller Selbstbestimmung für den Schutz der Demokratie.

Die Nutzung des Internets führt auf der einen Seite zu unzähligen Erleichterungen des täglichen Lebens, kann auf der anderen Seite allerdings auch zu Verletzungen der persönlichen Privatsphäre führen, da viele Firmen private Daten der Nutzenden sammeln. Noch sind Nutzende allerdings primär selbst in der Verantwortung, diese Privatheitsrisiken zu minimieren, da selbst strenge Datenschutzverordnungen wie die europäische DSGVO die Verantwortung für zahlreiche Entscheidungen bei den Nutzenden sehen. Daher ist es von großer Wichtigkeit, die persönlichen Motive für das Anwenden oder nicht Anwenden von Schutzmaßnahmen zu verstehen, um Nutzende gegebenenfalls unterstützen zu können. Vor diesem Hintergrund analysiert dieser Beitrag sieben empirische Untersuchungen und ordnet deren Hauptergebnisse in den empirischen Kontext bezüglich des Selbstdatenschutzes ein. Generell scheinen Nutzende motiviert zu sein, die eigene Privatsphäre online zu schützen, wobei einfach anzuwendende Schutzmaßnahmen häufiger verwendet werden als komplexere Strategien. Des Weiteren deuten die Studien darauf hin, dass das generelle Schutzverhalten bzw. die Schutzmotivation von einer Vielzahl unterschiedlicher psychologischer Faktoren beeinflusst werden. Einen besonders wichtigen Einfluss hat dabei die Wahrnehmung von Privatheitsrisiken, wobei auch weitere Variablen einen positiven Einfluss auf den Selbstdatenschutz haben, wie zum Beispiel die empfundene Effizienz des Schutzverhaltens, ein Bedürfnis nach höherem Privatheitsschutz oder eine ausgeprägtere Privatheitskompetenz. Allerdings gibt es auch Faktoren, die sich negativ auf das Schutzverhalten auswirken können, wie zum Beispiel Resignation, also der Glaube, dass Datenschutz nicht zu mehr tatsächlicher Privatheit führe. Schließlich deuten einige Ergebnisse der Untersuchungen darauf hin, dass ein probates Mittel für ein umsichtigeres Privatheitsverhalten im Netz die Schaffung von Transparenz sein kann. Dabei hat sich als wichtig herausgestellt, dass relevante Informationen möglichst kurz gehalten werden, damit Nutzende nicht überfordert sind. Besonders förderlich für Schutzverhalten sind außerdem Informationen darüber, welche Privatheitsrisiken bestehen und wie man diese effizient vermeiden kann. Vor dem Hintergrund der zusammengetragenen Ergebnisse scheint es besonders sinnvoll, Nutzende mit Wissen auszustatten, welche negativen Konsequenzen verschiedene Verhaltensweisen im Netz haben können und wie man sich effizient vor diesen Konsequenzen schützen kann.

Dieses Kapitel fokussiert den digitalen Fußabdruck einer Person, der typischerweise größer wird und der immer elaborierteren Auswertungsmöglichkeiten zugeführt wird. Die Autor:innen begründen die Vergrößerung des Fußabdrucks mit drei miteinander verschränkten technischen Trends: Hyperkonvergenz der Informationstechnologie, Hyperkonnektivität sowie mehr und mehr entstehende dynamische Informations-Ökosysteme. Um gezielt Gestaltungsvorschläge für privatheitsfreundliche Systeme entwickeln zu können, so die weitere Argumentation, müssen zunächst Angriffs- und Bedrohungspotenziale, die aus diesen Trends entstehen, betrachtet werden. Diese werden an Hand von vier Beispielen erläutert: Datenschutz im Domain Name System, bei mobilen Diensten wie Dating-Apps und Lern-Apps, bei vernetzten und smarten Objekten wie Smart-TVs oder Smart Cars sowie in öffentlichen, freien WLANs. Die Autor:innen zeigen mittels Generalisierung der gegebenen Beispiele das mögliche Spannungsverhältnis zwischen dem Innovationspotential von Digitalisierung und den wirtschaftlichen Interessen von Unternehmen auf der einen Seite sowie den Privatheitsinteressen der Nutzenden auf der anderen Seite auf. Dieses Spannungsverhältnis spiegelt auch der bestehende rechtliche Rahmen wieder. Die Autor:innen zeigen aber auch, dass Innovation und Privatheit durchaus vereinbar sind, beispielsweise wenn gerade mit und durch technische Innovationen geeignete „Privacy-enhancing Technologies“ (PETs) entwickelt und genutzt werden. Wie dies aussehen kann, wird an Hand von drei konkreten technischen Umsetzungsbeispielen (Me&MyFriends; WallGuard und Metaminer) illustriert. Me&MyFriends ist ein Selbstbewertungstool für Nutzer:innen, welches es ermöglicht, auf Basis von transparent gemachten Beziehungsgraphen detailliertes Wissen über hinterlassene digitale Spuren bei der Nutzung von Online Social Media zu erlangen. WallGuard dient der präventiven Erkennung von Social-Media-Beiträgen, die möglicherweise ein späteres Bereuen nach sich ziehen könnten. MetaMiner ist ein nutzerzentriertes Framework, das eine Verbesserung der Transparenz über die Netzwerkinteraktionen des mobilen Geräts ermöglicht. Gemeinsam ist den drei Gestaltungsvorschlägen, dass sie aufzeigen, wie wirkungsvoll Transparenz über den persönlichen digitalen Fußabdruck für den Schutz der informationellen Selbstbestimmung sein kann.

Der Beitrag erläutert die Aspekte des Daten- und Privatheitsschutzes durch Systemgestaltung. Auf eine einleitende Erläuterung der Systemgestaltung folgt eine Darstellung des Risikobegriffs der DSGVO. Der Risikobegriff als zentraler Bestandteil und wesentliche Neuerung im harmonisierten Datenschutzrecht stellt zugleich den Maßstab für die Anforderungen an die Systemgestaltung dar. Der sog. risikobasierte Ansatz ist dabei nicht nur für eine Betrachtung der Datenschutzrisiken der betroffenen Personen maßgeblich, sondern erfordert eine umfassende Berücksichtigung sämtlicher aus Datenverarbeitungsvorgängen resultierenden Risiken für die Rechte und Freiheiten natürlicher Personen. Eine solche Beurteilung setzt voraus, dass die Verantwortlichen die spezifischen Grundrechtsrisiken ihrer Datenverarbeitungsvorgänge identifizieren können. Daher stellt der Beitrag einen Ansatz der Risikoerkennung vor, der auf einer systematischen Darstellung der jeweiligen Datenverarbeitung aufbaut und diese mit einer zeitlichen Systematisierung möglicher Grundrechtsausübung verknüpft, die eine solche Risikoerkennung für die Verantwortlichen erleichtern kann. Sodann werden die maßgeblichen Kriterien für die Bewertung der Risiken vorgestellt. Hierbei kommt es auf die Art, den Umfang, die Umstände und die Zwecke der jeweiligen Verarbeitung personenbezogener Daten an. Auf der Grundlage der so erkannten und bewerteten Risiken können Verantwortliche im Vorfeld einer Datenverarbeitung eine datenschutzkonforme Systemgestaltung sicherstellen. Dies umfasst sowohl die Umsetzung der Anforderungen an Datenschutz durch Technikgestaltung, d. h. die Implementierung technischer und organisatorischer Maßnahmen auf Grundlage der erkannten Risiken und Datenschutzgrundsätze, als auch die Berücksichtigung datenschutzfreundlicher Voreinstellungen. Zuletzt werden Spannungsfelder datenschutzrechtlicher Sachverhalte angesprochen. Die Querverbindungen und Auswirkungen datenschutzfreundlicher Verarbeitungsverfahren auf etwa Aspekte der Informationsfreiheit (im Kontext öffentlicher Stellen), des Umweltschutzes, des Datenzugangs und des Kartellrechts werden beleuchtet. Mit einer Folgenabschätzung sowie einer frühzeitigen und systematischen datenschutzfreundlichen Systemgestaltung lassen sich in der Regel Lösungen finden, die sämtliche Anforderungen in ausreichendem Maße berücksichtigen.