von Daniel Guagnin
Obwohl ich die praemandatum GmbH nun schon vor einer ganzen Weile kennengelernt habe und dessen Entwicklung wohlwollend verfolge, habe ich nun die Gelegenheit, mich als neuer Mitarbeiter aus einer neuen Perspektive mit dem Unternehmen auseinanderzusetzen und mich darin zu orientieren.
Es ist dabei sehr erfrischend zu sehen, wie umfangreich Datenschutz hier verstanden und angegangen wird. Neben Technik, Gesetz und Politik haben hier auch das Individuum und die gesellschaftliche Dimension ihren Platz. Nicht zuletzt geht es dabei immer auch um die Bedeutung digitaler Strukturen in unserer Gesellschaft.
Ausgezeichnet! Als Soziologe, der sich auf die gesellschaftlichen Auswirkungen von Technik spezialisiert hat, kann ich nicht oft genug anmerken, dass Datenschutz ein weitreichendes Thema ist: Datenschutz ist im Grunde ein Teilaspekt des alltäglichen Umgangs mit digitalen Infrastrukturen. Er hat nicht nur eine technische Problemstellung, sondern hängt immer zusammen mit den sozialen Strukturen von Unternehmen und Organisationen und schließlich mit den Alltagspraktiken der Nutzerinnen der Technologien.
Dabei gibt es in der Regel zwei Arten von Nutzern: Diejenigen, die eine Technik als Service konfigurieren und bereitstellen. Und dann diejenigen Nutzerinnen, die die Technik als Service nutzen oder auf die eine Technik angewendet wird: Deren Daten etwa im Rahmen einer Kundenbeziehung verarbeitet werden. Beispielsweise nutzen Betreiberinnen von Webseiten bestimmte Werbetechnologien, die Daten der Nutzerinnen der Website verarbeiten.
Die spezifische Verarbeitung der Daten hängt hier also beispielsweise ab von
- der Gestaltung der Werbetechnologien durch die Entwicklerinnen,
- die Einbettung, Konfiguration und Anwendung der Website-Betreiber und schließlich
- der Surfer, die die Website besuchen.
Technik und Mensch stehen also in einem vielseitigen Wechselverhältnis und die Wirkung der Technik hängt von der Art der Konstruktion der Technik und den Praktiken der Anwendung und Benutzung ab.
Dies spiegelt sich bei praemandatum wider in den Bereichen Akademie und Laboratorium. Die Akademie fokussiert einerseits auf die Bildung von datenschutzfreundlichen Organisationsstrukturen und die Weiterbildung von „Datensubjekten“ – die, deren Daten verarbeitet werden – und denjenigen die mit dem Umgang der Daten betraut sind. Die Weiterbildung zielt auf eine Art Bewusstseinserweiterung bezüglich der Probleme, die auftreten können und möglicher Lösungsansätze.
Datenschutz hat immer auch eine soziale Seite, und eine Menge Probleme der digitalen Welt lassen sich mit einem grundlegenden Verständnis der Zusammenhänge und mit Umsicht in der Benutzung der Technologien deutlich reduzieren.
Nichtsdestotrotz ist es sinnvoll und wegweisend, in die Entwicklung neuer Technologien am besten von Anfang an die potentiellen Wirkungen und Auswirkungen der darin verwendeten Daten mitzudenken und auch technisch zu berücksichtigen. Dementsprechend steht im Laboratorium die Gestaltung von Technik im Mittelpunkt. Die Risiken einer missbräuchlichen Verwendung der Daten sollen vor und während des Gestaltungsprozesses vorhergesehen und durch technische Abläufe und Mechanismen minimiert werden. Technik ist eben letztlich keine neutrale Angelegenheit, sondern enthält immer die impliziten Annahmen der Entwicklerinnen und Entwickler. Darum ist es zielführend, von Anfang an explizit darüber nachzudenken, welche Werte man in die Technik einbaut. Dabei ist es eben auch möglich Werte wie Respekt vor den Datensubjekten und dem Grundsatz der informationellen Selbstbestimmung zu berücksichtigen.
In den letzten Jahren habe ich mitunter zur praktischen Umsetzung von Datenschutz in Strukturen der Technik und Organisationen geforscht. Eine Selbstregulierung auf dem Sicherheitsmarkt ist unwahrscheinlich aufgrund des fehlenden Interesses der Kunden (also den Betreibern der Sicherheitsanlagen) bzw. der geringen Marktmacht der Endkunden (den „Überwachten“). Die von den Technologien Betroffenen haben in dieser Konstellation keine Marktmacht, und werden höchstens im Rahmen einer notwendigen Nutzerakzeptanz wahrgenommen. Aber auch auf dem Markt der Internetdienste scheint der Einfluss der Endkunden auf den Markt sehr limitiert.
Über längere Zeit wurde darüber diskutiert, wie Datenschutz vor dem Hintergrund geringer marktlicher Anreize stärker in die Praxis überführt werden kann (Einen Überblick dazu gibt das Buch Managing Privacy Through Accountability). Offensichtlich war das Potential einer Selbstregulierung im Datenschutz nicht hinreichend und nach langem Ringen und Diskutieren tritt nun bald eine rechtliche Neuerung in Kraft, die das Potential hat, für Europa Standards zu schaffen, die neue Datenschutz-Grundverordnung. Darin finden die genannten organisatorischen und technischen Strukturen über Prinzipien wie Accountability und Privacy by Design Berücksichtigung. Die praktische Umsetzung und Rechtsprechung steht noch aus, aber es entsteht zunächst ein neuer Möglichkeitsraum auf der Grundlage rechtlicher Anforderungen den Datenschutz ganz praktisch und wirksam weiterzuentwickeln.
Der zentrale Punkt dabei ist schließlich, dass für wirkliche Innovationen und nachhaltige Verantwortlichkeit nicht nur die minimalen Anforderungen erfüllt werden sollten. Vielmehr kann man durch einen ernst genommenen Datenschutz Verantwortlichkeit demonstrieren und Kunden und Mitarbeitern zeigen, dass man sie und ihre Bedürfnisse ernst nimmt.
Dazu gehören nicht nur effektive datenschutzfreundliche (technische und organisatorische) Strukturen, sondern die Kommunikation mit den Kunden über Sinn und Notwendigkeit der bereitgestellten Datenschutz-„Features“. Mit anderen Worten: „Tue Gutes und rede darüber“ und mit einer Thematisierung der Risiken und den Lösungsansätzen können Unternehmen auch durch Aufklärung und Vermittlung eines Problembewusstseins der Datenströme Verantwortung übernehmen.
So geht wiederum der Dialog über technische und praktische Zusammenhänge und die Kommunikation über einen sinnvollen Umgang mit Daten Hand in Hand mit angepassten Strukturen zur Risikobewältigung.
Ich freue mich diese Herausforderungen künftig zusammen mit praemandatum angehen zu können. Als Techniksoziologe liegt mir die Übersetzung von technischen und sozialen Zusammenhängen am Herzen. In meiner Doktorarbeit habe ich mich mit der besonderen gesellschaftlichen Rolle von Software beschäftigt und zeige, wie in Open Source Software Communities Vertrauen gestiftet werden kann durch eine transparente Technikgestaltung und die stufenweise Vermittlung und Vereinfachung von technischem Wissen über Dokumentationen und Informationsaustausch.
Auch die Verarbeitungsprozesse von Daten müssen transparent und verständlich gemacht werden, um das Vertrauen der Kunden zu erhalten. Dies kann nachhaltig schließlich nur über einen kontinuierlichen Dialog geschehen, der auf substantiellen datenschutzfördernden Strukturen beruht.
Ich fühle mich bei praemadatum also gut aufgehoben und freue mich zusammen mit innovativen Geschäftspartnern künftig einen ambitionierten Datenschutz zu verfolgen und den daraus erwachsenden gemeinsamen Ausbau datenschutzfördernder Strukturen.