Ideengeschichte des Privacy by Design – Teil 4: Wege in die Gestaltung

23.09.2016

IITR Information [IITR – 23.9.16] Helmut Bäumler zielte auf einen „neuen Datenschutz“, der den “Datenschutz als Technik“ als einzigen Lösungsweg sah. Wegbegleiter können es sich nur mit seinem Charisma erklären, warum er in so kurzer Zeit alle Parteien im schleswig-holsteinischen Landtag nicht nur davon überzeugen konnte, mehr Personalstellen zu bewilligen, sondern auch ein revolutionäres Landesdatenschutzgesetz zu verabschieden. Dieses verband unter anderem die Forderung nach Datensparsamkeit mit einer Sanktionierungsmöglichkeit und führte Audits und Gütesiegel ein. Damit etablierte er erstmals „Datenschutz durch Technik“ in der Gesetzgebung.

„Der neue Datenschutz“ hieß der Sammelband, in dem Bäumler seine Ideen skizzierte und verschiedene Wegbegleiter dazu brachte, aus ihrer Perspektive den Datenschutz weiterzudenken. Viele Beiträge beruhen auf Vorträgen, die 1998 auf der von Bäumler gegründeten Datenschutz-Akademie Schleswig-Holstein gehalten wurden.

Wege in die Gestaltung

Helmut Bäumler wollte Unternehmen und Behörden den Einsatz von „Privacy Enhancing Technologies“ (PETs) schmackhaft machen, indem Audits und Gütesiegel Wettbewerbsinformationen generierten und darüber Anreize setzten. Juristisch ausgearbeitet wurde diese Strategie von dem Kasseler Juraprofessor Alexander Roßnagel.

Roßnagel hatte sich bereits Ende der 70er mit den rechtlichen Vorgaben für Sicherheitssysteme in Atomkraftwerken befasst und seit den frühen 90ern auch mit der rechtmäßigen Gestaltung von Telekommunikation und IT. Er gehört zu den frühen und prominenten Gestaltern des Konzepts der Technikfolgeabschätzung in Deutschland.

Nebenbei sei erwähnt, dass die Grünen lange Zeit nicht nur den „Ausstieg aus der Kernenergie“ betrieben, sondern dieselbe Stoßrichtung auch für „den Computer“ mit dem IuK-Beschluss nach dem Motto „Boykott und Ausstieg“ verfolgten. Eine Wende kam erst 1996 mit dem IuK-Programm, das – unter anderem inspiriert durch Roßnagels Arbeiten – erstmals einen Schwerpunkt auf Technikgestaltung legte.

Roßnagel arbeitete zunächst rechtliche Gestaltungsanforderungen an Atomkraftwerke aus, bevor er sich mit demselben Impetus der Digitalisierung unseres Alltags widmete.

Eigentlich hätte das „Modell Schleswig-Holstein“ rasch in ganz Deutschland Fuß fassen können. Ein vom Bundesinnenministerium in Auftrag gegebenes Gutachten zur „Modernisierung des Datenschutzrechts“, das Roßnagel gemeinsam mit dem inzwischen verstorbenen Dresdner Informatikprofessor Andreas Pfitzmann und dem damaligen Berliner Datenschutzbeauftragten Hansjürgen Garstka verfasst hatte, sollte die politische Umsetzung vorbereiten.

Doch es kam anders: Die Übergabe des Gutachtens war für den 20. September 2001 geplant und fest in den Terminkalender von Innenminister Otto Schily eingetragen. Aber just am 12. September wurde die Übergabe abgeblasen. Sie fand erst Ende November im Innenministerium „mit wenigen Pressevertretern und ohne große Resonanz statt“, erinnert sich Roßnagel. Die Bedeutung des Gutachtens war jäh herabgestuft worden. „Als es praktisch nur noch als akademische Arbeit gesehen wurde, waren wir durchaus enttäuscht,“ sagt er. „Aber das Thema war nicht komplett weg, lediglich die unmittelbare Umsetzungsperspektive.“

Die damalige rot-grüne Bundesregierung hatte sich damit von der Modernisierung des Datenschutzrechts verabschiedet. Später packte auch Schwarz-Gelb das Thema nicht mehr an. Roßnagel und seine Kollegen arbeiteten aber dennoch an den nach wie vor akuten Fragestellungen weiter. Aufgegriffen wurden die Konzepte seitens der Legislative erst wieder 2012 – nämlich von der Europäischen Kommission in ihrem Entwurf für die Datenschutz-Grundverordnung. Sie kennt nicht in Artikel 42 nur die Zertifizierungen, sondern auch ganz neu die Datenschutz-Folgeabschätzung in Artikel 35.

Neuer Aufschlag in Brüssel, dank Toronto

Als die damalige Justiz-Kommissarin Viviane Reding 2012 ihren Entwurf für die Datenschutz-Grundverordnung präsentierte, war es gleichermaßen erleichternd wie überraschend, wie scharf sie durch die Kombination verschiedenster Instrumente tatsächlich geworden war. Brüssel hatte alle wichtigen Essentials der Datenschutz-Diskussion aufgesaugt und adaptiert.

Wie aber kam es, dass ein kleines Landesdatenschutzgesetz in Schleswig-Holstein Vorbild für eine verbindliche europäische Gesetzgebung wurde? Hier kommt Ann Cavoukian mit ins Spiel, die gemeinsam mit Borking 1995 den Aufschlag in Kopenhagen gemacht hatte. Als sie 1997 kanadische Datenschützerin wurde, setzte sie sich wie Bäumler für eine Modernisierung des Datenschutzrechts ein. Und sie tut das noch heute, auch wenn sie längst nicht mehr dieses Amt bekleidet.

Ungleich offensiver als ihre europäischen Kollegen trommelte Cavoukian ab 2007 auf allen Kanälen für „Privacy by Design“ und ließ die von ihr entwickelten „7 Grundprinzipien“ in 37 Sprachen übersetzen. Ihre Aktivitäten lassen sich daher nicht nur über dürre Fußnoten rekonstruieren. Bis 2014, als sie ihren Posten als kanadische Datenschützerin aufgab, durfte sie daher als die weltweit profilierteste Akteurin gelten. Cavoukian war es auch, die den Begriff „Privacy by Design“ offensiv in die europäische Diskussion einbrachte.

Der Begriff wurde übrigens nicht von ihr, sondern von der kanadischen Firma Zero-Knowledge Systems in Montreal geprägt, die ihn erstmals 2000 für PET-Architekturen und –Produkte während des Seminars „Privacy by Design: The Future of Privacy Compliance and Business“ im kanadischen Montebello verwendete, das von IBM gesponsert wurde. Die Firma war Ende der 90er eine der ersten Firmen, die mächtige Kryptoprodukte für Nutzer entwickelte und vermarktete – heute nennt sie sich Radialpoint.

Konkretisieren, aber wie?

Der von Cavoukian verwendete „Privacy by Design“-Begriff wird aber von vielen Praktikern als zu schwammig und unverbindlich kritisiert. Ein früher transatlantischer Versuch, im Projekt PETTEP (“Privacy Enhancing Technologies Testing and Evaluation Project”) einen Konsens über Verfahren und Kriterien für die Bewertung nach dem „Stand der Technik“ zu erzielen, scheiterte.

„Das Kick-off-Treffen fand am 11. September 2001 im ULD in Kiel statt, als die Flugzeuge in die Hochhäuser flogen“, erinnert sich Marit Hansen. „Wir hatten Teilnehmer aus Kanada, Mike Gursky von Ann Cavoukians Dienststelle, Großbritannien und anderen Ländern. Alle waren perplex. Wir mussten unsere Sitzung abbrechen und Fernsehübertragungen organisieren. An den Folgetagen waren die Teilnehmenden noch bei der Konferenz über verlässliche IT-Systeme (VIS) in Kiel, die ich organisiert hatte. Sie wussten nicht, wann überhaupt wieder Flugzeuge fliegen würden. PETTEP hatte also einen schlechten Start. Nach ein paar Mailinglist-Nachrichten versackte die Initiative, es gab ja auch kein Funding.“

In Europa entwickelte sich dank zahlreicher Forschungsprojekte mit der Industrie über Jahre eine verbindlichere, konkretere Interpretation. Auch wurde deutlich, dass an vielen Stellschrauben gleichzeitig gedreht werden mussten, nämlich an technischen, rechtlichen und prüftheoretischen.

Die für PETTEP aufgeworfenen Fragen wurden beispielsweise wieder im europäischen PRIME-Projekt aufgegriffen. Hansen: „Das heißt, irgendwie ging es weiter, nur nicht unter dem Namen PETTEP.“ Die schleswig-holsteinischen und europäischen Datenschutz-Gütesiegel wurden etabliert. Die Artikel-29-Gruppe unter der Leitung des deutschen Bundesdatenschutzbeauftragten Peter Schaar brachte immer wieder das Konzept des Datenschutzes durch Technik in verschiedene Arbeitspapiere ein. Parallel arbeitete Kai Rannenberg bei der ISO-Standardisierung und Rigo Wenning kümmerte sich beim World Wide Web Consortium (W3C) ebenfalls um Privacy.

Autorin:
Christiane Schulzki-Haddouti

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Kontakt: