Der Datenschutz und die Privatheit des Bürgers ist im digitalen Zeitalter immer wieder Angriffen ausgesetzt. An der TU Berlin wurde seit 2009 im Projekt „Privacy Awareness through Security Organisation Branding“ (PATS) zu einem Teilaspekt der Problematik geforscht: Da „Gesetze allein nicht genug“ seien, „um einen angemessenen Privatheits- und Datenschutz zu gewährleisten“, wurde untersucht, inwiefern ein Branding-Verfahren zu einer Verbesserung des Datenschutzes beitragen kann.
Ein Interview mit Daniel Guagnin, einem der Mitarbeiter des Projekts.
Worum geht es bei PATS?
PATS steht für Privacy Awareness through Security Organisation Branding und könnte zusammengefasst werden als Bewußtsein von Privatsphärebelangen durch Branding von Sicherheitsorganisationen. Das erklärte Ziel ist also die Erlangung von Problembewußtsein durch ‘Branding’. Das Akronym spielt auf PETS an, was eine gängige Abkürzung für Privacy Enhancing Technologies, also datenschutzfördernde Instrumente, ist. Wichtig ist hier also das ‘A’ für Awareness. Es ist eben nicht alles mit Technologien zu lösen, sondern es muss Problembewusstsein erzeugt werden. Branding verstehen wir in diesem Zusammenhang als Kommunikation zwischen Herstellern und Betreibern von Sicherheitssystemen und natürlich den Bürgerinnen, die sozusagen die Subjekte dieser Systeme sind. Die zentrale Idee ist, dass Hersteller und Betreiber von Sicherheitssystemen – wie zum Beispiel Videoüberwachungsanlagen oder Biometrische Zugangskontrollen – ‘Privacy’ als Wert erkennen, respektieren und damit Werbung machen.
Das ist letztlich Corporate Social Responsibility, oder?
CSR ist ein abgenutzter Begriff. Natürlich ist das schon sehr ähnlich. Allerdings ist Schutz persönlicher Daten und Privatsphäre eher nicht Teil dessen, was in der Regel als CSR gesehen wird. Datenschutz schreiben sich zwar schon manche Unternehmen auf die Fahne. Allerdings wird darunter viel zu oft lediglich Daten-Sicherheit verstanden. Dies ist ein tragisches Missverständnis, da es nur die letzte Maßnahme ist die Daten sicher zu übertragen und zu speichern. In erster Linie muss aber bedacht werden, ob Daten überhaupt erhoben oder gespeichert werden müssen, und ob diese nicht beispielsweise anonymisiert oder pseudonymisiert werden können.
Was sind auf diesem Gebiet häufig auftretende Probleme?
Bei CSR und verkaufsorientierter Kommunikation besteht natürlich immer die Gefahr des Greenwashings. Daher ist es wichtig, die Wirksamkeit datenschutzfördernder Maßnahmen – technische wie organisationale – auch sicherzustellen. Darüber wird ja auf EU Ebene unter dem Stichwort Accountability diskutiert.
Ein anderes Problem ist, dass die erste Priorität derer, die entsprechende Dienstleistungen und Produkte anbieten und nachfragen, bei der Überwachung liegt, und nicht beim Datenschutz.
Außerdem wird schnell die Verantwortung abgewiesen. Die Hersteller und Dienstleister schieben die Verantwortung auf ihre Kunden, und sehr gerne wird auch ganz abstrakt auf Datenschutzabteilung und das Bundesdatenschutzgesetz verwiesen: “Wir sind ganz gesetzeskonform, das hat unser Datenschutz im Griff.” Eine anderes Motiv ist auch der Post-Privacy-Bürger: “Die stellen ja alles auf Facebook, warum sollen wir uns da noch Gedanken machen”.
Aber glücklicherweise gibt es durchaus Abnehmer von Sicherheitstechnologien und -dienstleistungen, die ihre eigenen Kunden nicht erschrecken wollen. Zum Beispiel Museen, die ihre Besucherinnen nicht vergraulen wollen.
Diese doppelte Kundenstruktur ist eben schwierig, und der Endkunde, also der Verbraucher im Supermarkt oder in der Bahn, hat ein schwaches Mandat. Aber es gibt Leute, die sagen, sie hätten eins, und vielleicht nehmen einfach zu wenige ihrs in Anspruch. Allerdings ist ein realistisches Entkommen von der alltäglichen Überwachung wohl nur noch als Eremit im Wald möglich.
Aber unser Brandingkonzept soll gerade hier andocken, und die Kommunikation zwischen Produktanbieter, Kunde und Endkunde, also dem Überwachungssubjekt, zu stärken.
Wie kann das in der Praxis aussehen?
Das PATS-Modell schließt fünf verschiedene Stufen von Datenschutz-Kommunikation ein:
Als erste Stufe muss eine gewisse Sensibilität für Datenschutzprobleme und eine Reflexivität im Unternehmen vorhanden sein. Dies ist der Ausgangspunkt für eine gute Datenschutz-Praxis. Diese muss dann natürlich auch kommuniziert werden, und, drittens, auch Rückmeldung von Bürgerinnen zulassen. Der vierte Schritt ist dann, diese Rückmeldungen auch in die Tat umzusetzen oder sie noch stärker einzubinden, beispielsweise gibt es in einer Kleinstadt in England ein Bürgerkomitee, das die Videoüberwachungseinrichtung unangemeldet besuchen darf und sozusagen die Kontrolleure kontrolliert.
Als letzte Stufe gilt es eine Art Verifikation der Datenschutzpraxis zu etablieren. Beispielsweise kann durch externe Evaluation gezeigt werden, dass die kommunizierte Datenschutzpraxis kein Greenwashing ist, sondern tatsächlich eine reale Entsprechung hat. In diesem Zusammenhang können auch Datenschutz-Siegel eine Rolle spielen, wenn sie eben auf einer Prüfung der Praxis beruhen und nicht nur ein Zeichen des guten Willens sind.
Soll ein solches Branding-Verfahren eine konsequentere Gesetzgebung und -durchsetzung ersetzen?
Das Datenschutzrecht kann natürlich nicht ersetzt werden. Aber klar, der Branding Ansatz steht im Zusammenhang mit der Idee der Selbstregulierung: in Eigeninitiative (hier: der Hersteller von Sicherheitstechnik oder der Anbieter von Sicherheitsdienstleistungen) erstellte Regeln können leichter praxisnah, dynamisch und pro-aktiv gestaltet werden als schwerfällige Gesetze. Pro-aktiv meint, dass im Bezug auf Datenschutz, dass entsprechende Massnahmen ergriffen werden, bevor Gesetzesbrüche oder Datenpannen auftreten.
Einen Kompromiss stellt hierbei das Konzept der „regulierten Selbstregulierung“ dar, d.h. es gibt festgelegte Rahmenbedingungen um gewisse Standards festzuschreiben. In diesem Kontext ist auch die Debatte um Accountability zu sehen. Wie schon erwähnt ist gerade im Bereich der Sicherheitssysteme ein intrinsischer Anreiz der Branche kaum vorhanden, gesetzliche Rahmenbedingungen können hier unterstützen.
Was ist in diesem Zusammenhang von der neuen EU-Datenschutzverordnung zu halten?
Bei aller Kritik der Datenschutzverordnung sind in Bezug auf unser Branding-Modell einige interessante Vorschläge enthalten, die teilweise zu unserem Modell passen. Beispielsweise sollen Datenschutz-Beauftragte europaweit Pflicht werden. Wenn diese mit ausreichenden Kompetenzen ausgestattet sind, können sie durchaus eine reflexive oder gar kontrollierende Instanz im Unternehmen sein. Ein Schritt in Richtung Kommunikation sind die Forderungen nach Transparenz.
Weiter werden auch „Datenschutz Impact Assessments“ gefordert. Dies könnte ein wichtiger Schritt in Richtung Verifikation und Offenlegung von Datenschutz-Praxis darstellen. Diese Vorschläge sind auch stark im Zusammenhang der Vorausgegangenen Diskussion um Accountability zu sehen.
Es ist schön dass einiges davon in das neue Konzept eingeflossen ist, allerdings hängt die Tragweite dieser Regelungen stark von der genauen Umsetzung ab – hier muss man den weiteren Verlauf kritisch verfolgen. Es zeigt sich ja, dass in der vorab letztes Jahr geleakten Version noch stärkere Forderungen vorhanden waren als in der aktuellen Fassung.
In welche Richtung geht das Thema Datenschutz eurem Eindruck nach?
Viele Unternehmen fangen an den Wert von Datenschutz zu erkennen. Die Sensibilität gegenüber dem Thema nimmt also zu. Es wird auch viel von Privacy by Design gesprochen, also dem Grundsatz Datenschutz und datenschutzfördernde Instrumente von Beginn der Technikentwicklung an mitzudenken. Bei der Cebit wurde das Thema Vertrauen zentral gesetzt.
Jedoch muss man genau hinschauen was einem unter diesen Begriffen verkauft wird. Es gibt jedenfalls keine hinreichenden technischen oder organisationalen Lösungen – was Privatheit und Datenschutz bedeuten muss ständig verhandelt werden. Dabei spielt gerade auch das Bewußtsein der Bürgerinnen eine zentrale Rolle, die im Diskurs aktiv vertreten sein sollten.
pressespiegel