Freitag, 19. Januar 2007

Wo bleibt der professionelle Datenschutz?

Es braucht endlich einen wirklich professionellen Datenschutz in Deutschland. Es braucht eigenständige Forschungen an Universitäten zum Thema, wie man Datenschutz-Unfälle verhindern kann und mit den Folgen umgehen kann. Am besten als interdisziplinär (Jura, Informatik, Psychologie...?) angelegter eigenständiger Forschungs- und Lehrbereich.

Solche Pannen wie die des Polizeipräsidiums Südhessen (HR-Online.de: Polizeiskandal: Fahndungsdaten im Internet) sind nichts im Vergleich zu dem, was auf uns zukommt mit den nach den jüngsten Gesetzen auf Bundesebene (bald auf EU-Ebene) erweiterten Datenerfassungs- und Sammlungs- und Zusammenlegungsbefugnissen der Sicherheits- und Strafverfolgungsbehörden neu entstehenden riesigen Datenbergen. Bleibt der Datenschutz so infantil wie heute, reicht da vermutlich wie im Polizeipräsidium Südhessen der Klick auf einen falschen Knopf und statt einiger weniger Menschen könnten dann schnell europaweit Millionen von Menschen betroffen sein. Das ist nun mal der Fluch und Segen der digitalen Informationsverarbeitung. Und sind sensible Daten erst einmal in der Öffentlichkeit, dann werden professionelle Daten-Händler im Halbdunkel diese Daten sofort abgreifen und zu Geld machen. Das heißt: Betroffene, deren Daten dann "nach außen" gelangt sind, werden völlig machtlos sein. Vertrauliche Daten können nicht wieder "zurück geholt" werden. Auch falsche und veraltete Daten werden in den Händen dieser Daten-Händler verbleiben und in ihren Händen weiter ihr Unheil treiben.

Es geht also ums nichts weniger als die Zukunft der Informationsgesellschaft bei diesem Thema. Wird das Thema "Datenschutz" auf technischer, sozialer und juristischer Ebene vernachlässigt, haben wir bald enorme Massen von Bürgern und Verbrauchern, die unter den Folgen eines unzureichenden Datenschutzes leiden werden. Denn Unfälle und Missbrauch werden passieren, wenn nicht mit enormer Energie dagegen gesteuert wird. Die Akzeptanz der Informationstechnologie würde rapide abnehmen mit negativen wirtschaftlichen und sozialen Folgen. Und je länger die bei diesem Thema derzeitig absolut ignoranten Politiker auf Landes- und Bundesebene an der Macht sind mit ihrer katastrophalen Gesetzgebung in diesem Bereich, desto rapider wird auch die Akzeptanz der Demokratie in breiten Kreisen der Gesellschaft abnehmen.

Auf politischer Ebene bedeutet nämlich fehlender Datenschutz gegenüber dem Staat, ein Ausgeliefertsein des Bürgers gegenüber dem Staat. Ebenso gegenüber manchen Wirtschaftszweigen, wie zum Beispiel dem kleinen Wirtschaftszweig der Urheberrechteverwerter, die bei den derzeitig herrschenden Politikern offensichtlich einen absolut überproportionalen Einfluss genießen. Gerade erneut bewiesen durch neue Gesetzesinitiativen der Regierung, die es der Musikindustrie beispielsweise ermöglichen sollen, ohne klare rechtliche Regelungen einfach von Internetprovidern die Herausgabe von detaillierten Kundendaten verlangen zu können (Heise.de: Nutzerdaten sollen zur Gefahrenabwehr freigegeben werden).

Dieses Ausgeliefertsein gegenüber Staat, Behörden und einigen Wirtschaftszweigen ist für den einzelnen Bürger noch nicht in großem Umfang spürbar. Höchstens gesellschaftliche Randgruppen spüren, wie der Staat in seinem neuen Wahn der "präventiven" Verbrechensbekämpfung die Verhältnismäßigkeit der Mittel vergisst und seine neue Macht ausspielt. Vielleicht ist zum Beispiel das Vorgehen der bayerischen Polizei gegen vermeintliche Aufrufer zu Straftaten im Vorfeld der diesjährigen NATO-Sicherheitskonferenz so ein Beispiel. Das Weblog "Get Privacy" berichtet: Polizeistaat weitet sich aus - Demokratie nur noch Buzzword für Politiker.

In zehn Jahren könnte dies jedoch anders aussehen. Wenn die Gesetzgebung weiterhin so vorgeht gegen den Datenschutz wie derzeit, werden immer größere Teile der Gesellschaft von den neuen Machtbefugnissen der Behörden spürbar betroffen sein. Denn das Prinzip der "präventiven" Verbrechensbekämpfung hebelt vermutlich auf lange Sicht mit dem ihm innewohnenden Prinzip der Eskalation alle Bemühungen eines professionalisierten Datenschutzes aus.

Deshalb ein kurzer Einschub zum Phänomen des Präventionsstaates:

Der Staat in Form der Personen Schäuble, Beckstein und aller weiteren derzeitigen Länder-Innenminister hat sich in putschartiger Weise eine neue Aufgabe gestellt: Die Verbrechensprävention. "Putschartig" deswegen, weil diese Aufgabe und die damit einhergehende Umforung des Staates, soweit ich weiß, bislang nicht wirklich demokratisch legitimiert wurde. Und ich bezweifle, dass ein demokratischer Rechtsstaat überhaupt dazu in der Lage ist, diese Aufgabe zu erfüllen. Ähnlich wie Hugo Chavez in Venezuela die Rolle des Staates dort neu definiert, indem er Rohstoffe und Industriezweige wieder verstaatlicht, so definieren derzeit große Teile der SPD und der Union den deutschen Staat neu. Ein Staatswesen definiert sich nämlich über seine Aufgaben. Der neu entstehende "präventive" Staat wird in entscheidenden Teilen gänzlich anders aussehen als der uns allen noch vertraute demokratische Rechtsstaat. Darauf wies schon vor einiger Zeit zum Beispiel Dr. Heribert Prantl hin. Jüngst wieder in einem Kommentar zur Einführung der sogenannten "Anti-Terror-Datei": Der Präventionsstaat (Süddeutsche.de).

Neben der Untauglichkeit des demokratischen Rechtsstaats als "Präventionsstaat" ist an der selbst gewählten Aufgabe der "präventiven" Verbrechensbekämpfung problematisch, dass ihr das Prinzip der Eskalation innewohnt. Die Eskalation heißt, dass die Aufgabe der präventiven Verbrechensbekämpfung niemals zufriedenstellend gelöst sein wird, so lange es noch irgendein Verbrechen gibt. So lange es Verbrechen gibt, müssen demnach der Logik des Präventionsstaates zufolge Sicherheitsbehörden immer noch mehr Mittel und Befugnisse bekommen bis jedes Verbrechen ausgemerzt ist. Welchen Umfang die weiteren Mittel und Befugnisse haben müssen, um dem Ziel der Prävention gerecht zu werden, bleibt dabei jedoch allen Beteiligten unklar, weil es keine gesicherten Daten darüber gibt, wieviele potenzielle Verbrechen man schon verhindert hat oder durch die neuen Befugnisse noch wird verhindern können. Der einzige nachprüfbare und sichere Wert, die einzige Richtgröße für den Präventionsstaat ist die Null: Null Verbrechen. Daraus folgt, dass die Forderung nach weiteren Befugnissen und Mitteln für die Sicherheitsbehörden mit der Zeit ins absolut Maßlose ausufern werden, denn vor dem Erreichen der Null kann sich der Präventionsstaat nicht zufrieden geben.

Der Rechtsstaat bisheriger Prägung beschränkte sich dagegen in seinen Aufgaben und stellte als Ziel die Verbrechensaufklärung und nicht die Verbrechensprävention in den Vordergrund. Dieser Zielgebung wohnt keine automatische Eskalation inne, weil man den Stand der Verbrechensaufklärung genau beziffern kann als Prozentzahl der Verbrechen, die bei der Polizei gemeldet worden waren und die man zudem aufgekärt hatte. Die Wirkung neuer Befugnisse und Mittel konnte man genau beziffern. Man konnte zum Beispiel sagen, dass die Verbrechensaufklärung im Zeitraum XY sich verdoppelt hat. Ähnlich rationale Aussagen sind nicht möglich, will man beziffern, wieviele mögliche Verbrechen durch bestimmte Maßnahmen im Zeitraum XY verhindert wurden.

Soweit zum Phänomen des "Präventionsstaates", der der Einführung eines professionellen, interdisziplinären Forschungs-, Wirtschafts-, Technologie- und Rechtsfeldes namens "Datenschutz" in hohem Maße entgegen stehen würde.

Fazit also: Wir brauchen einen Datenschutz, der ähnlich professionell und umfassend aufgebaut ist, um Datenschutz-Unfälle zu verhindern wie zum Beispiel im Bereich des Flugverkehrs durch eine ganze Reihe von wissenschaftlichen Fachbereichen, Forschungsabteilungen in Firmen und extra staatlichen Behörden zu verhindern versucht wird, dass Flugunfälle passieren.

Update: Dass ein wirklich professionalisierter Datenschutz nötig ist, der sich nicht nur um die technische Implikation von technologischen Sicherheitssystemen kümmert (aber auch und noch erheblich intensiver als derzeit!), sondern auch um Arbeitsprozesse, Organisationsstrukturen, Mitarbeiterschulungen und so weiter, macht unter anderen auch dieser Erfahrungsbericht eines Slashdot.org-Lesers namens "The Mayor" mehr als deutlich: Data Security Center.

The Mayor erzählt, wie er als temporärer Mitarbeiter einmal Zugang zu einem Hauptdatenzentrum in den USA (MAE East) bekam und erfuhr, dass erstens die ganze Sicherheitstechnologie (ID-Karte, Handflächenscanner, Iris-Scanner und so weiter) nicht perfekt funktionierte und deshalb die Mitarbeiter die Technologie bald nicht mehr einsetzten. Und zweitens Software zwar am Anfang genau auf mögliche Sicherheitslecks untersucht wurde, anschließende Patches jedoch nicht mehr.

Datenschutz ist ein enorm komplexes Themenfeld. Ich vermute, dass es sich als wesentlich komplexer und schwieriger erweist, einen guten Datenschutz umzusetzen, als eine Boeing oder einen Airbus sicher in die Luft und wieder zurück auf die Landebahn zu bekommen. Dennoch gibt es bislang an Universitäten oder in der Wirtschaft oder in Behörden keinen Bereich, der sich auch nur annähernd diesem immensen Problem der Sicherstellung eines umfassenden Datenschutzes stellt. Auch das Bundesamt für Informationssicherheit oder die Expertise von Geheimdienstlern reicht hier längst nicht aus, da sie meines Wissens nach sich hauptsächlich mit den technologischen Aspekten des Datenschutzes beschäftigen und nicht auch mit Themen wie "Human Error" oder der Bedeutung von Arbeits- und Organisationsprozessen für die Einhaltung des Datenschutzes.

Technorati-Tags: ,

0 Kommentar(e):