Schlagwort-Archive: bürgerrechte

Über die Frage wie datenschutzfreundlich dieses Blog wohl ist

Aus Gründen des Datenschutzes ist in diesem Blog die Kommentarfunktion seit 2012 abgestellt und ebenfalls seit 2012 ist dieses Blog werbefrei. Eine Datenschutzerklärung ist schon immer vorhanden. Gerade in ihr mag das ein oder andere noch deutlich zu verbessern sein aber dies soll in einfacher Sprache geschehen und nur mit soviel Informationen, daß es den durchschnittlichen Nutzer informiert aber nicht überfordert. Und vor allen Dingen soll hier keine Datenschutzerklärung von Juristen für Juristen vorhanden sein. Das ist unsinnig denn es würde zeigen wie wenig Gedanken sich der Blogbetreiber wirklich gemacht hat.

Eine technische Möglichkeit auch unter die Haube des Blogs zu schauen bietet die schwedische Webseite https://webbkoll.dataskydd.net/.

Das Resultat: Die Verbindung zum Blog ist sicher, strikte Transportsicherheit ist gewährleistet. Beim Besuch des Blogs werden keine Cookies gesetzt, allerdings gibt aktuell 26 Third-Party-Requests an 12 Drittparteien. Diese Drittparteien sind allerdings WordPress.com selber beziehungsweise Automattic und Gravatar aus dem „Konzern“. Zwei weitere Dritte sind Creative Commons und Twitter.

Für ein kleines privates Blog, im „unsicheren Drittland“ Amerika auf einer Plattform gehostet, ist das Ergebnis gut und ja – es ist datenschutzfreundlich.

Über den Datenschutzlayer auf Wordpress.com für kostenlose Blogs

Allen kostenlosen Blogs auf WordPress.com ist ein Datenschutz- und Cookielayer von Automattic vorgeschaltet. Das zeugt von Verantwortung, die Automattic für die Blogger übernimmt. Allerdings ist es zur Zeit so, daß Blogger, die selber schon ein Datenschutzlayer schalteten auch das von Automattic vorgesetzt bekommen und so zwei Layer übereinander liegen. Dies ist nicht hilfreich. Kritisch anzumerken ist ebenfalls, daß sich viele Blogger sich in ihrem Rechtsraum besser auskennen und einen angemesseneneren Layer geschaltet haben, der den Anforderungen der DSGVO wesentlich näher kommt als der von Automattic. Zumal Blogger diese Hinweise auch eher in einfacher Sprache gestalten als ein Unternehmen. Die jetztige Situation ist schade. Hoffentlich ist die Situation nur temporär und Automattic wird in Zukunft selbstgestaltete Layer zulassen.

Über Datenschutzerklärungen und einfache Sprache

Die DSGVO, die seit letztem Freitag angewendet wird, verlangt, dass die Informationen die die Organisation der Person bereitstellen soll, in einfacher Sprache sind. Diese Informationen sind das Aushängeschild der Organisation. Sie haben eine tragische Form, Unverständlichkeit und erhabene Sprache. Sie könnten, in einfacher Sprache, zwar den Ansprüchen der Person genügen, den Ansprüchen der Aufsichtsbehörden und anderer Organisationen nie. Denn die Informationsbereitstellung ist eine Optimierungsaufgabe. Zwar wird der zusätzliche Nutzen der Information immer geringer aber genau diese fehlende Information kann von der Aufsichtsbehörde und anderen Organisationen als diejenige deklariert werden, die die „Informationelle Selbstbestimmung“ der Person am stärksten gefährdet. Die betroffene Organisation ist dabei natürlich düpiert. Es ist also aus Sicht der Organisation vernünftig diese Informationen in der juristischen Sprache von Juristen für Juristen bereit zu stellen und die Person zu ignorieren. So kann sich die Organisation mit der Aufsichtsbehörde oder einer anderen Organisation unter Gleichen in juristischer Sprache austauschen und verständigen. Die Tragik ist aufgelöst, die Person bleibt auf der Strecke. Wer könnte eigentlich ein Interesse daran haben, dass sich das ändert?

Über die Person im Visier der Aufsichtsbehörde

Zu Beginn eine Ergänzung zum Blogpost „Über die Stunde der Aufsichtsbehörden„. Die systemtheoretische Fundierung des Bildes von der „strukturellen Überlegenheit“ der Organisation über die Person in der Datenschutztheorie transzendiert dieses Bild in den Zustand ewiger Wahrheit bis ans Ende aller Zeiten. In dem Blogpost wird dieses Bild der „strukturellen Überlegenheit“ zwar benutzt ist aber der systemtheoretischen Fundierung enthoben damit sich überhaupt neue Sichtweisen erschließen lassen und ein Weiterdenken möglich wird. So wird der Blick frei für die Möglichkeit der Datenschutzaufsicht als Angreifer auf die Organisation. (Selbst empirisch faßbar denn einige Aufsichtsbehörden, z.B. die spanische Datenschutzaufsicht finanzieren sich durch die Bußgelder, sind also profitorientiert.)

Das macht nun keinesfalls Halt vor der Person. Blogger, die nicht gewerblich bloggen sind vor Angriffen nicht gefeit. Die Bürokratie feiert fröhliche Urstände und auch die kleinen privaten Blogger müssen datenschutzrechtliche Verträge mit ihrem Webhostinganbieter abschließen und die Verantwortung für deren Datenverarbeitung übernehmen. In Wirklichkeit haben sie keine Kontrolle oder Möglichkeit der Kontrolle über die Datenverarbeitung des Webhostinganbieters. Die Aufsicht meint die Organisation, nimmt aber die Person ins Visier. Ist das eigentlich gesellschaftlich so gewollt? Wohin wird dieses Ins-Visier-Nehmen führen? Und nimmt die Aufsichtsbehörde auch dieses kleine Blog ins Visier?

Über die Stunde der Aufsichtsbehörden

Auf der re:publica 2018 sprach der Hamburgische Datenschutzbeauftragte Johannes Caspar auf einem Panel sinngemäß davon, dass jetzt die Stunde der Aufsichtsbehörden gekommen sei. Die Stunde werde eingeläutet durch die Anwendung der DSGVO am Ende des Monats. Da sei ihm unbenommen zuzustimmen. Aber welche Veränderung wird durch die Anwendung der DSGVO im Geflecht zwischen Organisation, Person und Aufsichtsbehörde theoretisch möglich?

Der Ausgangspunkt ist folgender: Die strukturelle Überlegenheit der Organisation über die Person, diese Machtasymmetrie ruft Widerspruch hervor. Organisationen können Risiken auf Personen abwälzen und so die Heteronomie, den Druck, auf die Person verstärken. Durch die DSGVO hindurch wird diese Asymmetrie theoretisch zugunsten der Person behoben. Gleichzeitig aber können Gegenreaktionen auf Seiten der Organisation erfolgen. Die Person ändert sich in der Wahrnehmung der Organisation und wird vom Objekt zum Angreifer. Zugleich wird auch die Datenschutzaufsicht zum Angreifer umgedeutet. Datenschutz wird zur Complianceaufgabe um die Risiken der Organisation durch die Angriffe von Person und Aufsichtsbehörde zu minimieren. Das wirft zumindest zwei Fragen auf. Welche Auswirkungen hat es auf die Person wenn sie von der Organisation als Angreifer gedacht wird? Was mögen die Gegenbewegungen der Aufsichtsbehörden und der Person sein?

Über innerparteiliche Bildung

Die Suchmaschinen des Vertrauens sind ratlos. Entweder das Rauschen ist gewaltig oder es gibt Online dazu kaum Information. Gemeint ist die Wortkombination „innerparteiliche Bildung“. Links finden sich sporadisch und wie ein Schatten aus dem Zwischenreich zur Piratenpartei aber auch zu der Die Linke. Ansonsten gähnende Leere. Eine Suche auf der Seite der CDU bleibt höchst unbefriedigend, ein großes Nichts. Auf der Seite der SPD finden wir auf 43 Seiten 428 Links. Das ist ebenfalls Rauschen allerorten, denn die Wortkombination wird sowohl in den Einzelwörtern gesucht als auch in Similaritäten. Der erste Hinweis ist auf Seite 2 mit dem Link zum „Protokoll des ordentlichen Bundesparteitags 2005, Karlsruhe“. Nun drängt sich die Vermutung auf, daß dieses Thema auf dieser Ebene seit 13 Jahren keine Rolle mehr spielt. Dabei hat die SPD auf allen Ebenen bis hinunter zum Ortsverein „Beauftragte für die innerparteiliche Bildung“. Ist das ein Thema, das irrelevant ist, das nicht gelebt wird? Was Themen der innerparteilichen Bildung sein könnten scheint im Dunklen zu liegen, wie wir auf Nachfrage hörten. Dies ist höchst verwirrend – und wir weisen darauf hin, das gilt nicht nur für die SPD – steht doch bei vielen Parteien Bildung ganz oben auf der Tagesordnung.  Aber das scheint weder für die „Politische Bildung“ im Allgemeinen als auch für die innerparteiliche Bildung im Besonderen zu gelten.

Über betrunkene Algorithmen

Wir machen es uns einfach und vermeiden den Begriff Künstliche Intelligenz sowie Smarte Maschinen. Wir nennen das Ergebnis eines ausgeführten Algorithmus „Entscheidung“ wohl wissend, daß eigentlich nur Menschen entscheiden können. Algorithmus steht in unserem Falle einfachhalber auch für ein ganzes Bündel von Algorithmen, für Millionen Zeilen Maschinenschrift. Entscheidend ist, daß dieser Algorithmus eine Entscheidung über Menschen trifft ohne daß das Ergebnis von einem anderen Menschen geprüft wurde und somit als alleinige Entscheidung im Raum steht.
Um doch etwas Komplexität in den Gedanken zu bringen nehmen wir an, der Algorithmus besäße Emotionen. Dazu sei jetzt nicht notwendigerweise Bewußtsein notwendig. Auf einem Panel wird der Algorithmus, der negative Emotionen zeigt und Entscheidungen trifft „betrunkener Algorithmus“ genannt. Nicht nur ein betrunkener Algorithmus sondern ganz grundsätzlich ein Algorithmus mit Emotionen ist etwas, das viele Menschen erschreckt.

Über Datenschutzmaßnahmen und Verdinglichung sowie Medialisierung

Für die Datenverarbeitung wird der Mensch in seiner Gänze auf einzelne Aspekte seines Lebens in Datenpunkte zerlegt. Er wird verdinglicht. Die Perspektive, dass Daten eine neue Währung seien, bringt die vollständige Verdinglichung sehr gut zum Ausdruck. Werden die Daten als Geld gesehen so sind sie ein Medium. Medien funktionieren einwandfrei wenn sie vollständig unsichtbar sind. Ist der Mensch im Datum zu Geld transformiert ist er vollständig unsichtbar.

Diese mediale Sichtweise nehmen vor allem die Datenverarbeiter an. Andere Perspektiven sind selbstverständlich:
Die Asymmetrie zwischen Organisation und Individuum erzwingt eine Norm oder einen ganzen Kranz an Normen um diese Asymmetrie auszugleichen und beide auf Augenhöhe zu bringen. Dies ist der Kern des Datenschutzes. Dazu erfanden Steinmüller, Lutterbeck und Mahlmann sowie das Bundesverfassungsgericht eine juristische Norm das „Recht auf informationelle Selbstbestimmung“. Daraus leiten sich ein Bündel weiterer gesetzgeberische Einhegungen sowie technische als auch organisatorische Maßnahmen ab.
Den vorher skizzierten systemtheoretischen Ansatz können wir ablösen indem wir den Begriff „Adiaphorisierung“ von Zygmunt Bauman adaptieren. Bauman erkennt, dass durch organisatorische Erfindungen wie Arbeitszerlegung/teilung sowie technischen Erfindungen die Verantwortlichkeitsreichweite des Individuums, die wir als moralischen Sinn bezeichnen wollen reduziert bzw. ganz aufgehoben werden kann. In den langen Ketten der Arbeitsteilung und der technischen Systeme verliert der verantwortliche Verarbeiter die Übersicht über die Folgen seines Tuns. Dazu kommt noch die Gefahr, durch Medialisierung der Daten und damit der Unsichtbarkeit für den Verarbeiter den moralischen Sinn zu verlieren.

Technische und organisatorische Maßnahmen des Datenschutzes wie z.B. Pseudonymisierung und Anonymisierung weiten die Datafizierung aus. Können wir also mutmaßen, dass Datenschutzmaßnahmen die Verdinglichung und Medialisierung ebenfalls ausweiten?

Wunderliche Schnellschüsse

Ich bin auf der Konferenz „Digitales Leben – Vernetzt. Vermessen. Verkauft?“ auf der Heiko Maas seine Ideen zu soetwas wie einer „Algorithmenregulierung“ vorstellt. Das was ich höre ist aber nicht das, was ein Onlinemedium vor der Konferenz veröffentlicht hat und auch weitere literale Medien nach der Konferenz veröffentlichen werden. Der Minister hat nur etwas mehr Transparenz zu Algorithmen angesprochen, wie diese ausgestaltet werden kann soll aber dem politischen Prozeß überlassen werden. Es gibt von ihm keinerlei Vorgaben. Nicht gefordert hat er die Vorstellung jedes komplexen Algorithmus bei einer Aufsicht. Genehmigungsverfahren soll es nicht geben. Also bürokratische Monster sollen nicht geschaffen werden. Daß der Minister seine Ideen noch kurzfristig öffentlich vorgestellt hat mag man ihm nachsehen, er möchte halt Aufmerksamkeit haben. Daß nun einige Medien so wunderliche Schnellschüsse über seine Rede absondern mag auch mit Aufmerksamkeitsdefiziten erklärt werden. Über Letzteres kann ich aber nur den Kopf schütteln.

Poken

Gut – dies ist ein Füll-Post aber ich bin sehr begestert davon, daß katti heute mit einem Tweet die Erinnerung an die Pokens auf der re:publica 2009 wachgerufen hat. Hier mein Überbleibsel:

Poken

Poken