LOAD e.V.

Zeit für Optimismus – ein Gedankenanstoß von Caroline Krohn

Die Digitalisierung ist einer der großen Megatrends unserer Zeit. Unternehmen befinden sich in unterschiedlichen Stadien ihrer Transformationsprozesse, die neben lukrativem Neugeschäft, innovativen Gründungen und glitzernden digitalen Opportunitäten auch erhebliche Effizienzsteigerungen versprechen. Letztere wirken sich in großen Teilen äußerst befriedigend auf Renditeerwartungen der Eigner*innen aus. Digitalisierung ist darum inzwischen recht beliebt. Die mit den unterschiedlichen Aspekten der Digitalisierung befasste Zivilgesellschaft organisiert sich derweil – ebenfalls schon seit Jahren – und klopft mit (Forschungs-)erkenntnissen und Expertisen an jede Tür der Medienbranche und der Politik und bittet – je nach Thema mal erwartungsvoll, mal verzweifelt – um Einlass. Die Politik hechelt an jeder denkbaren Stelle wie so oft hinterher, in der Erkenntnis, dass sie viele Jahre die Weichenstellungen sogar international verschlafen hat und nun die Regulation nachjustieren muss, um gesellschaftliche Entwicklungen in Digitalfragen irgendwann wieder proaktiv gestalten zu können. Soweit die in Zuspitzung skizzierte Landschaft.

Woher aber die Aufregung?

Digitalisierung ist ein Begriff, der – stark vereinfacht – im Wesentlichen dreierlei umschreibt: zum einen die weiter fortschreitende Automatisierung und vor allem die Virtualisierung von Infrastruktur, dem technischen Rahmenwerk eines Geschäfts-, Forschungs- oder anderweitigen Handlungs- und Erkenntniszwecks. [hierzu gäbe es schon viel zu sagen.]

Zum zweiten: Daten. Das, was innerhalb der digitalen Infrastruktur inhaltlich verarbeitet wird. – Allerorten ist zu hören, Daten seien “das neue Öl”. Daten liefern Erkenntnisse. Daten liefern Wissensvorsprünge. Daten bieten Geschäftsopportunitäten.

Geschäftsgeheimnisse kennen wir lange schon. Analysierbare Datenlagen sind Informationen. Informationen gewinnen einen Wert durch die Bemühungen, mittels Entwicklung, Aggregation, Analyse und vielen Prozesskomponenten zu eben diesen Geschäftsgeheimnissen zu gelangen; durch ihre Exklusivität und auch durch den Zeitpunkt ihrer Gewinnung und Verwendung. Dies zu sichern war immer schon die Aufgabe der Sicherheit, sprich: einer Sicherheitserwägung, einer Sicherheitspolitik, einer Sicherheitsunternehmung, einer Sicherheitsinfrastruktur.

In Zeiten der Digitalisierung verlagern sich die Bedrohungen – wie auch die Art, wie ihnen zu begegnen ist – in die virtuelle Welt. Die Möglichkeiten, die Vertraulichkeit, die Integrität und die Authentizität von Informationen zu bedrohen, sind digital ungleich höher als physisch. Die Schutzmechanismen sind komplex. Im Versuch, Sicherheit zu zertifizieren, kann man nur konstatieren, dass nicht der Zustand des Sicher-seins zertifiziert werden kann, sondern bestenfalls die Bemühung darum, Risiken zu reduzieren. Digitale Angriffsvektoren obliegen einer Kreativität, der jede Verteidigung nur hinterherlaufen kann. Prävention bieten Standards, die in Grundschutzgesetze gegossen werden. Hier wird ein Mindestmaß an Risikobewusstsein und Sensibilität, an Prozessen und Rahmensetzungen eingefordert.

Die sogenannte “Compliance”, also die Rechtskonformität aller digitalen Initiativen, wird – wie so oft – von Unternehmen und der Verwaltung als Pflichtübung angesehen und nur selten wird der Geist der Gesetze, die Unternehmen zähneknirschend in Kauf nehmen, in die Erfüllungsbemühungen integriert. Auf diese Art verkommt der Versuch, Sicherheit herzustellen, um vertrauliche Informationen zu schützen, zu einer Bürokratisierung unternehmerischer Vorgänge. Und entsprechend ist auch der Ruf von Compliance. Und das Ergebnis.

Wer profitiert davon?

In der eingangs geschilderten Gemengelage allgemeiner Frustration gibt es einen Aspekt, der hier noch nicht zur Sprache kam: Wenn wir Unternehmens- oder Forschungsinformation schützen möchten, dann geht es vor allem um eins: um Geld. Jeder informationelle Vorsprung einer Organisation ist ein Handlungsvorteil. Schlicht: Macht.

Es gibt aber eine ganz besondere Kategorie von Daten, die mit einem Extragesetz einen noch höheren Schutzstandard zugebilligt bekommt: Die Kategorie personenbezogener Daten. Die zu schützen ist natürlich auch Teil der Daten- und Informationssicherheit, die um Unversehrtheit bemüht ist. Aber der Begriff des “Datenschutzes” ist hier fehlgeleitet, denn es geht eben nicht explizit um den Schutz der Daten, den der eigentliche Gegenstand der deutlich allgemeineren Datensicherheit bereits abdeckt, sondern es geht dezidiert um den Schutz von Menschen. Daten, die menschliche Eigenschaften, Präferenzen, Handlungs- und Entscheidungsvariablen, Verbindungen, Konstitutionen, etc. beschreiben, sind nämlich dadurch besonders schützenswert, weil das (aggregierte) Wissen um eben diese Informationen Macht über Menschen gewährt. Und Macht über Menschen gehört immer beschränkt.

Die Regulation durch die EU-DSGVO und das BDSG wird jedoch auch hier als Bürokratie betrachtet, ohne zu erkennen, dass wir einer freiheitlichen Gesellschaft, in der Selbstbestimmung aus guten Gründen ein grundrechtsgeschütztes Gut ist, Limitierungen vornehmen müssen, um Persönlichkeitsrechte erhalten zu können.

Es gibt kein Recht auf Geschäftstätigkeit. Es gibt ein Recht, Geschäftstätigkeit vor äußeren Angriffen zu schützen. Aber das Recht auf informationelle Selbstbestimmung wiegt im Konfliktfall höher. Das Recht auf persönliche Autonomie ist ein Recht, das uns in der Abgrenzung zu staatlichen und zu wirtschaftlichen Zugriffen schützt.

Beide Schutzgüter sollte man aber nicht gegeneinander ausspielen: anders als noch vor wenigen Jahren, wo die größten wirtschaftlichen Opportunitäten und auch wo die größten staatlichen Interventionsinitiativen noch außerhalb der informationellen Selbstbestimmung von Bürger*innen bzw. Konsument*innen gedacht wurden, besteht ein starkes Qualitätsmerkmal wirtschaftlicher und politischer Arbeit heute darin, Geschäftstätigkeit UND Menschen zu schützen. Privacy-by-design und Security-by-design – zwei Grundforderungen des Berliner Think Tanks LOAD e.V. – zeigen ermutigende Tendenzen hochwertiger und damit nachhaltiger Digitalinitiativen.

An dieser Stelle wäre zu prüfen, ob dem/der geneigten Leser*in dieses Blogbeitrags aufgefallen ist, dass ich eingangs über DREI Indikatoren einer sich digitalisierenden Welt schrieb: Den dritten Indikator bin ich bis hierhin schuldig geblieben. Dieser ist allerdings besonders wichtig: Dieser ergänzende Indikator ist nämlich der Kulturwandel, der sich mit einer Digitalisierung unserer Politik, unserer Wirtschaft, unserer wissenschaftlichen und unserer zivilgesellschaftlichen Forschung ereignet. Wir könnten es einen ermutigenden Trend in zunehmender “Digital Literacy” nennen, also einen Reifeschritt in der gesellschaftlichen Kompetenzentwicklung, die durch Digitalisierung der Gesellschaft und der Sicherheit ihrer schützenswerten immateriellen Güter entsteht. Unter schützenswerte immaterielle Güter ist auch und vor allem das autonome und darum freie “Mensch-sein” in der Summe der persönlichen Rechte, der Würde und der Freiheit zu betrachten. Wir Nutzer*innen digitaler Medien und digitaler Infrastruktur; wir Produzierende personenbezogener Daten und Treuhänder*innen personenbezogener Daten anderer – scheinen eine immer stärkere Sensibilität dafür zu entwickeln, schon auf individueller Ebene Zu- und damit auch Übergriffe limitieren zu wollen. Dies zeigt sich unter anderem darin, dass immer mehr Unternehmen mit Privatsphärevoreinstellungen argumentieren, um ihr Alleinstellungsmerkmal zu untermauern und genau damit um Kunden zu werben. Vertrauen ist explizit Dreh- und Angelpunkt heutigen Marketings in der Digitalwirtschaft wie auch in der sich digitalisierenden Verwaltung. Immer mehr Unternehmen schreiben ihre Datenschutzerklärung verständlich. Das ist eine vollkommen unterschätzte Sensation! Bei Inkrafttreten der DSGVO war zu beobachten, dass Datenschutzerklärungen noch möglichst kompliziert verfasst wurden, um Menschen, die sich vor einer Zustimmung informieren wollten, zu entmutigen und von der Auseinandersetzung mit dem Thema abzuschrecken. Der Hinweis auf Compliance mutete zynisch an. Heute lesen sich die Datenschutzerklärungen zum Teil gar durchaus unterhaltsam und informieren als vertrauensbildende Maßnahme über die Art der Datenverwendung, nach der der/die Konsument*in eine mehr oder weniger informierte Entscheidung treffen kann – und zunehmend auch möchte. Auch schreckt die Auseinandersetzung mit dem Thema nicht mehr ab, wenn die Texte kurzweilig geschrieben sind. Das ist dezidiert ein Kulturwandel. Warum machen Unternehmen das? Weil die Notwendigkeit, Vertrauen wiederherzustellen, immer offenkundiger wird.

Der öffentliche Druck schlägt sich auch in der Politik nieder: so ist eine neue Regierung gewählt worden, die sich eine durchaus ambitionierte Digitalgesetzgebung in ihr Pflichtenheft geschrieben hat. Auf das Recht auf Verschlüsselung ist LOAD beispielsweise besonders stolz, denn auch dies ist seit vielen Jahren eine intensive Kernforderung, auf die wir auch in Zukunft bestehen werden. IT-Sicherheit ist nicht nur, aber nun auch explizit auch staatliche Pflicht – und so auch der Schutz der Grundrechte der Bürger*innen, und zwar nicht nur der eigenen. Das ist eine erfreuliche Tendenz, die uns alle ermutigen sollte, weiter und beständig für eine bessere digitale Welt zu kämpfen.

Manchmal ist es für uns, die sich tagtäglich mit den komplexen Themenfeldern Datenschutz und Datensicherheit auseinandersetzen, sinnvoll, einen kleinen Schritt zurückzugehen und eine kleine Gesamtbetrachtung der Lage zu machen. Wie hängen nochmal die unterschiedlichen Dinge zusammen, deren Detailtiefe unser aller täglich Brot ist? Und sich dabei auch die eine oder andere Überspitzung zu erlauben, sollte in einem Blogpost erlaubt sein. In diesem vorliegenden Beitrag lässt sich über jeden Satz einzeln streiten – und das passiert auch. Die Expertise dieser Leser*innenschaft ist zweifelsohne so hoch wie vielfältig. Am Datenschutztag erschien es mir also angemessen, viele Diskussionsebenen in einen großen Topf zu werfen und einmal kräftig zu rühren. Ich freue mich auf ausführliche Protestnoten, damit uns immer klar bleibt, was unser Antrieb ist, für unsere schützenswerten Güter zu kämpfen und wie wir Abwägungen vornehmen. Ich danke für die Gelegenheit!


Dieser Artikel unseres Mitglieds Caroline Krohn erschien zuerst am 28.Januar 2022 als Gastbeitrag unter https://cyber-security-cluster.eu/2022/01/28/zeit-fuer-optimismus-ein-gastbeitrag-von-caroline-krohn/