Manchmal ist die Themenfindung für diese Kolumne nicht ganz einfach. Viele mögliche Themen, aber kein so wirklicher roter Faden. Erst mal recherchieren, was da so relevant zu sein scheint in den letzten Tagen und vergangenen Wochen:
- Aktionismus gegen Deepfakes – „die aktuellste in einer Reihe hauptsächlich symbolischer, aktionistischer Regelungsbestrebungen“
- Online-Alterskontrollen – Fachleute kritisieren die Pläne als kurzsichtig
- Registermodernisierung: Bundesrat macht Weg frei für Datenschutzcockpit – eine „verfassungsrechtliche Kompensation“ für die einheitliche Steuer-ID als Bürgernummer
Das ist alles irgendwie … vom Vorgehen her ziemlich am vollumfänglichen Problemfeld vorbei, und zwar übergreifend. Aus diesem diffusen Feld von Halb- bis Nichtlösungen von Problemen mittels digitaler Vorhaben kommen wir deshalb ganz präzise zu dieser Degitalisierung an diesem Sonntag. Thema: systemisch achtloses Vorgehen.
In dieser Kolumne soll es um einen etwas weiteren Blick auf drei vermeintliche Lösungen für digitale Probleme gehen, bei denen das Gesamtsystem um das Problem herum weit stärker mit betrachtet werden sollte. Eine systemische Sichtweise also, um die Probleme dieser Detaillösungen aufzuzeigen. Oftmals würde eine solche Sichtweise bei vielen digitalen Vorhaben durchaus helfen – um nachher nicht wieder auf die Nase zu fallen.
Beginnen wir beim ersten Beispiel, der juristischen Keule: dem Verbot.
Technik einfach verbieten
Der technologische Wandel im digitalen Zeitalter geht oftmals rasant vor sich und bringt Entwicklungen hervor, die in ihrer Dynamik eher schwer einzudämmen sind. Augenscheinlich fällt das im Kontext von sogenannten Deepfakes auf. Spätestens seit dem Olaf-Scholz-Fake des Zentrums für Politische Schönheit (ZPS) zum vermeintlichen AfD-Verbot und dessen Verbot ist das Thema auch in der deutschen Politik angekommen. Es wird nach Lösungen gesucht – zumindest in juristischer Form.
Die juristische Keule des Vorschlags eines „Gesetzes zum strafrechtlichen Schutz von Persönlichkeitsrechten vor Deepfakes“ haut da erst einmal drauf und versucht – in vermeintlich gutem Willen – die Verbreitung von Deepfakes ganz einzudämmen. Erstverbreitung unter Strafe, okay, aber dann auch erstmal jede weitere Verbreitung ebenso unter Strafe stellen. Nicht ganz zu Ende gedacht im System. Weil dann schon das bloße Hinweisen auf Deepfakes zum Problem werden kann. Systemisch achtlos.
Gesetzvorschläge wie der Deepfake-Vorstoß werden darüber hinaus wohl eher Einzelne treffen. Professionelle Desinformationskrieger wie russische Desinformationstruppen mit ihren durchautomatisierten digitalen Kommandostrukturen mit Botfarmen werden sich davon sicher nicht abhalten lassen. Systemisch betrachtet also eher ein kleiner Tropfen auf den heißen Stein.
Historisch betrachtet sind Fakes ohnehin oftmals ein Instrument der Mächtigen. Pharao Ramses II. etwa schönte den Ausgang der Schlacht um Kadesch 1274 vor Christus, der erste große bekannte Fake der Geschichte. Otto von Bismarck fakte 1870 den Inhalt der Emser Depesche und begünstigte damit einen Krieg gegen Frankreich.
Generell werden durch ein Verbot Fakes wie auch die Verbreitung von Deepfakes sicher nicht verschwinden – auch durch spezielle Gesetze für Deepfakes nicht. Sie werden aber wohl schwerer zu melden werden. Das ändert nichts daran, dass Deepfakes ein Problem sein können – nur gibt es systemisch gesellschaftlich lohnenswertere Ansatzpunkte abseits von technischen Maßnahmen, an denen sich die massenhafte Verbreitung von Deepfakes wahrscheinlich besser eindämmen ließe. Digitalkompetenz und Medienkompetenz sowie eine gesunde skeptische Grundhaltung etwa – never trust, always verify. Aber das ist kein einfacher Aktionismus im Sinne eines Gesetzesvorschlags.
One-Time-Anonymitätsnachweis
Digitalvorhaben in dieser Zeit haben immerhin an manchen Stellen erkannt, dass Privacy in der Umsetzung von digitalpolitischen Vorhaben dazu führen kann, dass bestimmte eher leidige Pflichten im digitalen Raum eher akzeptiert werden. Spätestens seit der Diskussion um die Corona-Warn-App zu ihrem Beginn 2020 ist ein gewisses Bemühen um Privacy in vielen digitalpolitischen Vorhaben zumindest stärker erkennbar.
Aktuelles Beispiel: Online-Alterskontrollen zum Jugendschutz. Privatsphäre-schonend soll die geforderte Lösung sein, mit der Jugendliche bei Online-Diensten wie TikTok ihr Alter nachweisen müssen. Der Fokus der Anwendung liege auf „Datensparsamkeit und Anonymität der Nutzenden“.
Folglich wurde eine grundsätzlich vielversprechende Lösung präsentiert, die sogar mit einer Art Zero-Knowledge-Proof zu arbeiten verspricht. Über eine zufällige Nummer für eine Alterskohorte wird bei einer dritten Stelle wie etwa einer Bank das dort vorliegende Alter der Person nachgewiesen. Nur über die Nummer wird dann rückgemeldet, ob eine bestimmte Altersgruppe erreicht ist, um einen Dienst zu nutzen. Es wird im Sinne von „Zero Knowledge“ nur eine bestimmte Eigenschaft bestätigt. Das genaue Geburtsdatum oder andere Daten der Person werden nicht bekannt.
Das klingt erst mal ganz schick und toll. Allerdings ist eine Lösung zum Altersnachweis im Internet entweder technisch lückenhaft, weil sie einfach umgangen werden kann, wenn sie beispielsweise über Browser-Add-ons integriert würde. Auf der Seite einer besonders robusten Lösung würde ein starker Altersnachweis, tief in den Untiefen des Betriebssystems, beginnen, Anonymität im Internet aufzubrechen. Es ist also systemisch relativ egal, ob der eine Altersnachweis anonym erfolgt. Das ganze System ist so nicht zu retten – entweder weil es leicht zu umgehen wäre oder weil es nicht mehr anonym wäre.
Systemisch also auch wieder daneben, trotz guter Ansätze in den Details der Umsetzung.
Kompensation für systemische Risiken
Kommen wir zum dritten Beispiel, bei dem das Kind schon etwas in den Brunnen gefallen ist: die Registermodernisierung. Nach jahrelanger Diskussion um die Steuer-ID als eindeutige lebenslange Nummer für alle Bürger*innen wurde nun vom Bundesrat das Datenschutzcockpit verabschiedet.
Eindeutige Nummern oder Merkmale für Menschen scheinen so bequem, einfach und sicher zu sein. So sicher wie Biometrie als Zugangscode. Bequem zwar, aber wenn Merkmale dieser Art massenhaft bekannt werden, dann führt das zu massiven Problemen im Gesamtsystem. Wer bestimmte tiefgreifende Merkmale so tief in IT-Systeme einbaut, dass sie kaum mehr entfernt werden können, steht im Falle eines Falles ziemlich doof da. Einmal bitte alle eindeutigen Nummern oder Merkmale in allen Systemen auf einmal austauschen, bitte!
Transparenz über das, was möglicherweise abgeflossen ist oder auf was unrechtmäßig zugegriffen wurde, hilft dann auch nicht mehr viel.
Nichtsdestotrotz forderte erst diese Woche der Verband der Privaten Krankenversicherungen eine automatische Einführung der lebenslangen Krankenversicherungsnummer auch für Privatpatient*innen – also mehr lebenslange, eindeutige Nummern.
Auch hier fehlt der systemische Blick auf das Gesamtsystem und das, was so eine ID-Nummer eigentlich alles gleichzeitig tun soll – oder eben vielleicht besser nicht.
In der vereinfachten Sichtweise sind ID-Nummern furchtbar praktisch, um bestimmte Personen eindeutig schnell zu finden. Um Hans Müller aus Frankfurt am Main von Hans Müller aus Frankfurt an der Oder zu unterscheiden etwa, wenn beide im Jahr 1975 Geburtstag haben. Soweit, so eindeutig.
Kettet man noch die Verknüpfung von verschiedenen Datensätzen zu einer Person an diese eine Nummer, klingt es erstmal logisch und einfach, das mit der einen Nummer zu tun. Es führt systemisch aber genau zu den Problemen mit einem System, bei dem es keine technische Kontrolle mehr gegen Profilierung gibt, wenn es jemand drauf anlegt. Ein neues systemisches Risiko, das eine solche vereinfachte Anwendung einer technischen Lösung erst neu schafft. Und nein, ein „Verknüpfen rechtlich verboten“ interessiert Cyber-Angreifer*innen in dem Fall auch nicht.
Privatsphäre-schonende Gesamtansätze wie etwa in Österreich wären auch hier möglich gewesen, um systemische Risiken zu minimieren. Nur ist diese Diskussion bei einem System, das sich schon um eine „verfassungsrechtliche Kompensation“ seiner eigenen systemischen Fehler Gedanken macht, eher schon zu spät.
Shifting Baselines
Flankiert wird die Einführung dieser technischen Maßnahmen und Halblösungen wie in den drei Beispielen oftmals mit einer medialen Darstellung, dass diese Lösungen ja mehr Transparenz, „Empowerment“ und Sicherheit bringen würden.
Oftmals wird aber auch still und leise unsere Baseline verschoben, wie Bruce Schneier und Barath Raghavan die Entwicklung von der Einstellung zur Privatsphäre in den letzten Jahren treffend beschreiben.
Auch wenn es mühsam in der Diskussion erscheint und es vielleicht nicht unbedingt schneller zum Ergebnis führt, würde ein differenzierter, systemischer Blick helfen: auf das, was wir da eigentlich neu an digitalen Problemen schaffen. Und was wir an Möglichkeiten und individuellen Rechten verlieren. Denn am Ende lässt sich der gesamtgesellschaftliche Impact nicht achtlos übergehen. Auch wenn der Impuls für eine halbgare Lösung vielleicht gar nicht falsch war.
Danke schön, dass endlich mal jemand : „eine „verfassungsrechtliche Kompensation“ für die einheitliche Steuer-ID als Bürgernummer“ ? auf den Tisch bringt !
Müssten wir nicht alle auf der Straße bei einer gemeinsamen Demo sein, um zurückzuholen, was das Bundesverfassungsgericht schon mal klargestellt hatte, – was eben nicht geht ?
—
Aber inzwischen haben alle aufgegeben, dass Demos etwas bewirken können?
Kennst Du das Gefühl, als Teilnehmer:in einer eher kleinen Demo „gegen Rassismus“, wenn du an glotzenden und feixenden jungen Leuten vorbei läufst, und du dich fragst, warum gerade die, für deren Rechte du demonstrierst, nicht mitlaufen? Und warum diese Menschen dich bestenfalls als Kuriosum ansehen, oder dich freundlich vom Straßen-Café am Rande mit dem Wolfsgruß grüssen?
Soviel zu „müssten wir nicht alle …“ und „haben alle aufgegeben“.
Ich versteh ehrlich gesagt immer noch die, die Ablehnung zur BürgerID:
Eine eindeutige Bürgernummer sorgt für eine deutliche Vereinfachung der Verwaltungsdigitalisierung. Schon jetzt werden in den Register die Basisdaten wie Name, Geburstdatum, etc. gesammelt. Mit der ID sorgt man nur dafür, dass eine einzige Variable zum Zuordnen und Abruf der Daten reicht. Die Daten werden nämlich Dezentral bei den zig Registern der Behörden gespeichert. Es erfolgt keine zentrale Speicherung.
Das natürlich kein System sicher vor Cyberhacks ist, sollte uns nicht davor abhalten, die Digitalisierung aufzuhalten. Das Thema gabs ja auch beim eCall System: Sollen wir ernsthaft wegen angeblicher Datenschutzbedenken, das Lebensrettende Notrufsystem für Autos stoppen und damit das Leben vieler Menschen weiter riskieren? Das nennt sich Abwägung. Und in diesem Fall ist das eCall System wichtiger als minimale Datenschutzbedenken.
Datenschutz ja, jedoch bitte realistisch und immer in Abwägung der Vor- und Nachteile. Nicht umsonst wird auch der jetzige BfDI ausgetauscht. Er war ganz und garnicht für Kompromisse und Abwägungen bereit. Und immer mehr verliert auch die Bevölkerung die Lust am Datenschutz, wenn dieser so restriktiv ist (z.B. Warum darf die Behörde mir keine Mail schreiben?)…
Das ist bzgl. IT schon länger so. 2012 +-. Nur Mist… Warum sollte es besser werden? Haben die öffentlich-rechtlichen Sender Kompetenz aufgebaut und ihren Bildungsauftrag diesbezüglich ernstgenommen? Oder mehr so Strohfeuer auf dem Leuchtturm?
Ich frage mich, warum die Registermodernisierug hier so verquer dargestellt wird. Das Registermodernisierungsgesetz kam 2020 in den Bundestag und trägt seitdem alle diese Probleme bei sich. Der Drops um die Steuer-ID als IDNr. ist gelutscht. Die Zivilgesellschaft hat gepennt. Trotz dem mehr als ausreichenden Fundament, dass der wissenschaftliche Dienst oder der BfDI schon damals angelegt hatten, bewegt sich ja offenbar auch niemand in Richtung einer Verfassungsbeschwerde, die jetzt 2024 ohnehin das einzige Mittel wäre, noch etwas an der Steuer-ID an sich zu ändern. Vielmehr sollte die Zivilgesellschaft darauf Acht geben, ob Gesetze in die Pipieline kommen, die die Steuer-ID pur für diese Zwecke benutzen möchten. Da gelten die ganzen schönen Ausgleichsmaßnahmen nach Ansicht der Regierung nämlich nicht.
Auf der anderen Seite trägt das Registermodernisierungsgesetz schon von Anfang die Ausgleichsmittel in sich. Mitnichten wurde JETZT das Datenschutzcockpit verabschiedet. Dies ist ebenfalls bereits seit 2020 Teil des Gesetzes und tatsächlich ein sehr bedeutender Meilenstein, was Verwaltungstransparenz angeht. Was nur über die Jahre hinzugekommen ist, durch hartknäckige Arbeit der institutionalisierten Datenschützer, sind stete Ausweitungen, was den Umfang der Datentransparenz angeht. Mit dem OZG-Änderungsgesetz als aktuelle Spitze, weil nun zukünftig sogar ALLE Datenübermittlungen zwischen Behörden sichtbar gemacht werden sollen. Wenn die Regierung nicht Wege findet, davon zurückzurudern (was sie ob des Aufwands evtl. versuchen wird, aber hoffentlich scheitert), wäre das ein Quantensprung an Bürgeroffenheit sondersgleichen. Da verblasst bald selbst der Art. 15 DSGVO, ob seiner oft hakeligen Wahrnehmungsmöglichkeiten.