Warum die Verbreitung anonymer Daten die Privatheit verletzen kann
1. Einleitung
Über einen Bereich des Privaten zu verfügen, ist eine wesentliche Voraussetzung für menschliches Wohlergehen. Diese Annahme ist nicht nur der Ausgangspunkt vieler Theorien von Privatheit, sondern spiegelt auch die Überzeugung der meisten Menschen wider. Mit „Privatheit“ können dabei mehrere Dinge gemeint sein: die Möglichkeit, selbstbestimmt Entscheidungen zu fällen („dezisionale Privatheit“), über Räumlichkeiten zu verfügen, zu denen andere Menschen keinen Zugang haben („lokale Privatheit“), sowie die Kontrolle über persönliche Informationen („informationelle Privatheit“). Um diesen dritten Aspekt soll es im vorliegenden Aufsatz gehen. Wenn im Folgenden von „Privatheit“ die Rede ist, ist daher stets „informationelle Privatheit“ gemeint.
Auch wenn Privatheit Fragen aufwirft, die nicht auf einen konkreten Anwendungskontext beschränkt sind, ist es hilfreich, diese anhand von Bereichen zu verdeutlichen, in denen der Begriff eine hervorgehobene Rolle spielt. Ein solcher Bereich ist die Medizin.
Seit der Antike bis in die Gegenwart gehört der Schutz von Patientendaten zum ärztlichen Verhaltenskodex. Dafür sprechen mehrere Gründe. Informationen, welche unseren Gesundheitszustand betreffen, geben Auskunft über Aspekte unseres Lebens, die häufig intim und schambehaftet sind. Es würde einem vertrauensvollen und offenen Umgang zwischen Arzt und Patient im Wege stehen, könnten sich Patienten nicht auf die Verschwiegenheit ihres Arztes verlassen. Darüber hinaus kann es den Betroffenen schaden, sollten private Gesundheitsdaten an die Öffentlichkeit gelangen. Die Nachteile sind aber nicht nur instrumenteller Natur, wie noch zu diskutieren sein wird.
In den letzten Jahrzehnten sind die Risiken, welche mit der Sammlung und Nutzung von Gesundheitsinformationen verbunden sind, gestiegen. Grund hierfür ist die enorme Menge an Daten, die im Rahmen von Diagnose und Behandlung anfallen und in der Regel digital gespeichert werden, was sie leicht abruf- und teilbar macht. Die digitale Speicherung und Verarbeitung medizinischer Daten sind dabei keine unerwünschten Nebenprodukte, sondern macht den Kern digitaler Medizin aus. Auf ihrer Grundlage lassen sich nicht nur – sowohl für denjenigen, um dessen Daten es sich handelt als auch für andere Patienten – bessere Diagnosen treffen und Behandlungen durchführen, die Verfügbarkeit großer Mengen an Gesundheitsdaten ermöglicht auch eine effektivere Forschung, einen besseren Schutz der öffentlichen Gesundheit und eine akkuratere Bedarfsplanung. Neben diesen Vorteilen erhöht die digitale Verfügbarkeit von Gesundheitsdaten jedoch gleichzeitig die Gefahr der ungewollten Verbreitung und des Missbrauchs, sei es als Folge unvorsichtiger oder inkompetenter Handhabung oder aus krimineller Motivation. Dies ist gerade deshalb der Fall, weil sich künftig im Rahmen der Sammlung und Auswertung multimodaler Daten für z. B. diagnostische Zwecke der Gegenstandsbereich medizinisch relevanter Daten noch erheblich ausweiten wird.
Die mit einer unerwünschten Verbreitung verbundenen Nachteile treffen die Stakeholder – die unmittelbar betroffenen Patienten, die Öffentlichkeit, welche von verbesserten Forschungsbedingungen profitiert und die Forschenden – jedoch ungleich. Während die Öffentlichkeit zwar ein allgemeines Interesse an der Vertraulichkeit medizinischer Daten hat, steht diesem ein womöglich gewichtiger Nutzen entgegen, der sich aus einer möglichst uneingeschränkten Nutzung ebendieser Daten ergibt. Anders sieht die Abwägung aus Sicht der betroffenen Patienten aus, denn diese tragen die Hauptlast einer unerlaubten Verbreitung ihrer Daten. Entsprechend gilt ihr Interesse häufig einem restriktiven Umgang mit Informationen, welche sie betreffen.
Eine auf den ersten Blick naheliegende Möglichkeit, Konflikte dieser Art zu entschärfen, besteht darin, Patientendaten Dritten nur in anonymisierter Form zugänglich zu machen. Wenn eine Zuordnung von Daten nicht möglich ist, so der Gedanke, entfallen die genannten Gründe, diese vertraulich zu behandeln. Gleichzeitig mindert eine Anonymisierung – je nachdem, wie grobkörnig die Daten de-identifiziert werden – den Nutzen für Forschung und öffentliche Bedarfsplanung in den meisten Fällen nicht wesentlich.
Nicht immer lässt sich auf diese Weise der Konflikt zwischen den Interessen von Patienten, medizinische Daten vor dem Zugriff Dritter zu schützen und dem Wunsch nach Zugänglichkeit entschärfen. Zum einen besteht das Restrisiko einer nachträglichen Re-Identifikation durch das Kombinieren mehrerer anonymer Datensätze. Auch gibt es Fälle, in welchen die Patienten Einwände gegen die Forschung haben, welche die von ihnen erhobenen Daten ermöglichen. Dies illustriert eine häufig zitierte Studie der Arizona State University, bei welcher anonymisierte Blutproben von Mitgliedern des Havasupai-Stamms dazu genutzt wurden, die Häufigkeit von Schizophrenie und Inzest innerhalb des Stammes zu untersuchen, was von vielen Studienteilnehmern als verletzend empfunden wurde (die Teilnehmenden waren davon ausgegangen, die Blutproben würden ausschließlich für die Erforschung von Diabetes verwendet, auch wenn die Zustimmungsform die Möglichkeit weiterer Studien erwähnt hatte).
Fälle dieser Art stellen jedoch nicht die grundsätzliche Annahme in Frage, dass durch Anonymisierung der Daten eine Verletzung von Privatheit verhindert wird. Die Gefahr der Re-Identifizierung stellt vor allem eine praktische Herausforderung dar. Im Beispiel des Havasupai-Stamms besteht das Problem nicht in einer Offenlegung der Identität von Versuchspersonen. Stattdessen lautet der Vorwurf, diese seien über den eigentlichen Verwendungszweck der Blutproben nicht hinreichend aufgeklärt worden.
Es ist das Ziel des vorliegenden Aufsatzes, entgegen des im Recht und in der Ethik vorherrschenden Konsens für die Auffassung zu argumentieren, informationelle Privatheit umfasse auch anonyme Informationen. Anhand der Medizin soll gezeigt werden, welche Auswirkungen diese Einsicht auf die Praxis hat und in welchem Wechselverhältnis Ansätze, die den Umfang von Privatheit auch auf anonyme Informationen erstrecken, zu herkömmlichen Privatheitstheorien stehen. Die Medizin bildet also die begriffliche Klammer, anhand derer sich zum einen die Dringlichkeit der Fragestellung illustrieren lässt, an der sich dann aber auch die Praktikabilität eines Lösungsvorschlages messen lassen muss.
Das weitere Vorgehen ist in drei Schritte gegliedert. Zunächst geht es darum, für die Debatte zentrale Begriffe zu klären und die gegenwärtig dominante Auffassung von Privatheit in Recht und Philosophie, aber auch mit Blick auf das Alltagsverständnis vorzustellen (Abschn. 2). Vor diesem Hintergrund wird das eigentliche Anliegen behandelt, die Ausweitung von Privatheit auf anonyme Informationen. Dies geschieht in zwei Schritten: Zunächst wird gezeigt, inwieweit Betroffene die Urteile Fremder über anonym geschilderte Sachverhalte auf sich selbst beziehen müssen; darauf aufbauend wird ein in der menschlichen Sozialnatur verankertes Interesse formuliert, Kontrolle über Daten dieser Art zum Schutz der Privatheit zu besitzen (Abschn. 3). Abschließend werden anonyme und nicht-anonyme Privatheitsverletzungen ins Verhältnis zueinander gesetzt und die Auswirkungen eines erweiterten Privatheitsverständnisses für die medizinische Forschung und den Umgang mit Patientendaten untersucht (Abschn. 4).
2. Privatheit und Anonymität
Einer weit verbreiteten Annahme zufolge kann von einer Privatheitsverletzung nur dann die Rede sein, wenn eine Information nicht anonymisiert ist, diese also auf die Person, von der die Information stammt, zurückgeführt werden kann (mehr zum Begriff der Anonymität weiter unten). Allen Differenzen darüber zum Trotz, worin die Definition, der Wert und das Recht auf Privatheit bestehen, wird diese Überzeugung in Philosophie und Rechtsprechung weithin geteilt oder implizit vorausgesetzt.
Ziel dieses Abschnitts ist es, dies am Beispiel der Rechtsprechung in der EU und den USA sowie einer prominenten Position aus der philosophischen Debatte zu illustrieren und aufzuzeigen, dass im Gegensatz dazu der alltägliche Sprachgebrauch ein weiter gefasstes Verständnis nahelegt. Dies soll in vier Schritten erfolgen. Zuerst wird kurz auf den Begriff der Anonymität eingegangen, dann soll die Rechtslage in der EU und den USA sowie die Privatheitstheorie Andrei Marmors vorgestellt werden. Dies wird in einem letzten Schritt mit einer empirischen Untersuchung zu Alltagsintuitionen bezüglich der Reichweite des Privatheitsbegriffs kontrastiert. Das wirft die Frage auf, ob der Common Sense einem Fehler unterliegt, oder ob es einen Aspekt von Privatheit gibt, welcher von der gegenwärtigen Debatte nicht erfasst wird.
2.1 Das Begriffsverständnis von Anonymität
Zunächst gilt es, zwischen anonymen, pseudonymisierten und de-identifizierten Informationen zu unterscheiden. Während eine anonyme Information von vornherein keine Angabe hinsichtlich der betreffenden Individuen enthält, werden Informationen, die ursprünglich identifizierende Hinweise enthalten haben, welche aber irreversibel entfernt worden sind, „de-identifiziert“ genannt. Bei pseudonymisierten Informationen wird derjenige Teil der Information, welcher eine Identifikation erlaubt, durch einen Code ersetzt, durch welchen anhand eines Zuordnungsschlüssels, der aber nicht öffentlich zugänglich ist, eine nachträgliche Identifikation möglich ist. Auch wenn diese Unterscheidungen in bestimmten Kontexten von Nutzen sind, spielen sie für gegenwärtige Zwecke keine Rolle. Entsprechend wird im Folgenden nicht zwischen anonymen, pseudo-anonymen und de-identifizierten Informationen unterschieden, sondern alle drei unter dem Begriff der „anonymen Information“ subsumiert.
Während die gerade genannten Unterscheidungen die Frage betreffen, wie es dazu gekommen ist, dass eine anonyme Information keine Auskunft darüber enthält, um wen es sich bei der betreffenden Person handelt, lässt sich hinsichtlich des Begriffsverständnisses von Anonymität fragen, ob diese mit Nicht-Identifizierbarkeit gleichzusetzen ist. Es lassen sich diesbezüglich drei Positionen unterschieden. Die engste Definition von Anonymität stammt von Helen Nissenbaum. Ihr zufolge gilt eine Information so lange als anonym, wie ihr Urheber nicht „reachable“ ist, es also nicht möglich ist, zu diesem einen Kontakt herzustellen; es spielt für sie keine Rolle, ob dieser identifizierbar ist. Für ein weiteres Verständnis argumentiert Steve Matthews. Anonymität liegt für ihn dann vor, wenn eine Person über unterschiedliche soziale Kontexte hinweg nicht als ein- und dieselbe auszumachen ist („non-trackability“). Die weitreichendste Definition von Anonymität, welche sich mit der im letzten Abschnitt zugrunde gelegten deckt, verteidigt Kathleen Wallace. Sie ist der Ansicht, eine Information sei nur dann anonym, wenn durch sie keine Identifikation desjenigen Individuums erfolgen kann, auf welches sich die Information bezieht. Die meisten Teilnehmerinnen und Teilnehmer in der Debatte vertreten eine Ansicht, welche der von Wallace ähnelt. Auch das Recht – und dies ist für die Praxis der Medizin relevant – geht von einem solchen Verständnis von Anonymität aus. Es wird daher der weiteren Diskussion zugrunde gelegt.
2.2 Privatheit und Anonymität im Recht
Für die gegenwärtige Rechtsprechung ist im Raum der Europäischen Union die Datenschutz-Grundverordnung (DSGVO) von 2016 ausschlaggebend. Es handelt sich um eine Verordnung, mit der die Regeln zur Verarbeitung personenbezogener Daten europaweit vereinheitlicht werden. Dort heißt es zum Schutz privater Daten im Erwägungsgrund 26:
Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.(…) Die Grundsätze des Datenschutzes sollten nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.
Es wird also ausdrücklich verneint, dass sich der Schutz der Privatheit auf anonymisierte Daten erstrecken kann, wobei die dritte der oben aufgezählten Definitionen von Anonymität zugrunde gelegt wird. Aus rechtlicher Sicht ist es demzufolge zulässig, Informationen über Individuen zu teilen, solange die Verbindung zu ihrem Träger für den Leser nicht hergestellt werden kann.
In den USA reguliert der Healthcare Insurance Portability and Accountability Act (HIPAA) von 1996 den Umgang mit medizinischen Daten. Teil von HIPAA ist eine „Privacy Rule“, welche definiert, welche Daten als „Protected Health Information“ (PHI) gelten und daher als vertraulich zu schützen sind. Für gegenwärtige Zwecke relevant definiert Abschn. 45 CFR §160.103 PHI diese als „individually identifiable health information“ und befindet sich damit in Übereinstimmung mit der DSGVO: Wie dort wird hier davon ausgegangen, dass der Bereich privater Daten nur dann berührt ist, wenn eine Identifikation der betroffenen Individuen hergestellt werden kann.
Francis bringt die in den verschiedenen Jurisdiktionen vorherrschende Auffassung wie folgt auf den Punkt: „In general, approaches to protecting informational privacy in use today focus on personal information. Information that is anonymous or de-identified is not included in privacy protections, even if it originally came from individuals. Nor is general information such as demographic statistics, socioeconomic statistics, public health information, or environmental information.“
Insofern die Rechtsprechung der Europäischen Union und der Vereinigten Staaten repräsentativ ist, gibt es einen Konsens, was die Eingrenzung des Umfangs von Privatheit angeht. Dieser lässt sich mit dem Schlagwort „Ohne Identifizierbarkeit keine Privatheitsverletzung“ auf den Punkt bringen.
2.3 Die Privatheit anonymer Daten in der Philosophie
Dass Privatheit etwas Wertvolles ist und dass ein Recht darauf existiert, wird in der philosophischen Debatte weithin angenommen. Dissens herrscht jedoch bezüglich der Frage, worin dieses Recht besteht und welches Interesse oder welcher Wert dadurch gefördert wird. Der „Standardtheorie“ zufolge besteht das Recht auf Privatheit in der Kontrolle über die Verbreitung persönlicher Informationen. In der Literatur werden mehrere Interessen bzw. Werte unterschieden, welche eine solche Kontrolltheorie von Privatheitsrechten stützen. Neben Ansätzen, welche in der Kontrolle über persönliche Informationen die Ermöglichung persönlicher Autonomie sehen, betonen die meisten Theorien, dass Kontrolle über persönliche Informationen eine Voraussetzung dafür ist, soziale Beziehungen zu unterhalten. Der wohl bekannteste Vertreter eines solchen Ansatzes in der gegenwärtigen Debatte ist Andrei Marmor. Daher soll seine Theorie für die gegenwärtige Auseinandersetzung als Bezugspunkt dienen.
Wie Marmor argumentiert, ist die Fähigkeit, anderen selektiv Zugang zu Informationen über uns zu gewähren, konstitutiv für Sozialbeziehungen unterschiedlicher Art, und diese wiederum sind Teil des menschlichen Wohlergehens. So geben wir in Intimbeziehungen andere Informationen über uns preis als gegenüber Freunden, Arbeitskollegen oder Fremden. Ohne Kontrolle darüber, wie wir uns anderen gegenüber präsentieren, wäre eine Differenzierung zwischen solch unterschiedlichen Beziehungsprofilen nur schwer möglich. Darüber hinaus haben wir ein Interesse zu bestimmen, welche Aspekte unseres Lebens dem prüfenden Blick anderer ausgesetzt sind. Ein Mangel an Kontrolle über persönliche Informationen führt also zu unerwünschten „sozialen Kosten“. Häufig speist sich die Sorge um die unkontrollierte Verbreitung persönlicher Informationen jedoch aus instrumentellen Erwägungen, die nichts mit Privatheit per se zu tun haben. Ausdrücklich erwähnt Marmor in diesem Zusammenhang die Vertraulichkeit medizinischer Daten:
The stringent protection of medical privacy, for example, is clearly motivated by the fear of abuse: we fear that employers, insurance companies, credit agencies, and others may rely on such information to our detriment. If you know that I have cancer, you might not give me a job or, if I already work for you, you may be reluctant to promote me. Most of these concerns, however, are not directly about matters of privacy; the interest they protect is an additional concern that is specific to the kinds of abuse of information that particular entities are suspected of.
Um Privatheit geht es Marmor bei der Kontrolle von Informationen, die nicht unmittelbar mit dem von ihm präferierten Privatheitsinteresse zu tun haben, nur in einem abgeleiteten Sinn. Damit weicht er vom rechtlichen Verständnis von Privatheit ab, welches ausdrücklich auch medizinische Informationen unter den Schutz des Privaten stellt.
Konsequent wendet Marmor seine Theorie auf die Frage nach dem Status anonymer Informationen an. Ausdrücklich argumentiert er, Privatheit könne nicht verletzt werden, wenn Informationen öffentlich gemacht werden, die aufgrund von Anonymisierung keine Identifikation erlauben. Wenn ein Lehrer beispielsweise die psychischen Probleme seiner Schülerin auf Facebook diskutiert, so verletzt er Marmor zufolge nicht ihre Privatheit, solange er auf die Nennung identifizierender Merkmale verzichtet, denn die Entscheidung, wem gegenüber sie ihre Situation offenbart, bleibt weiterhin bei der Schülerin.
2.4 Eine empirische Perspektive auf den Umfang von Privatheit
Unser Verständnis davon, was Privatheit ausmacht und welche Informationen als privat gelten, ändert sich mit gesellschaftlichen und technologischen Entwicklungen. Während der Begriff bei Aristoteles den Bereich des Haushalts in Abgrenzung zur Öffentlichkeit markiert, ist der Schutz persönlicher Informationen vor dem Zugriff Dritter eine Entwicklung der jüngeren Zeit, deren Beginn im Recht mit einem Aufsatz von Samuel Warren und Louis Brandeis einsetzt, in welchem diese für ein „Recht, in Ruhe gelassen zu werden“ argumentieren. War der Anlass des Aufsatzes der Abdruck nicht genehmigter Fotos der Hochzeit von Warrens Tochter (Warren hatte als Verfassungsrichter der USA Berühmtheit erlangt), hat sich der Fokus der aktuellen Debatte auf die Bedeutung der Digitalisierung für den Umgang mit persönlichen Daten verschoben.
Mit den sich rasch ändernden Kontexten, in denen Privatheit eine Rolle spielt, passt sich auch das Empfinden darüber an, unter welchen Bedingungen der Privatheitsbegriff Anwendung findet. Um die sich verschiebenden Grenzen des Begriffes zu erfassen, bedarf es daher der Berücksichtigung des sprachlichen Alltagsempfindens. Theorien, welche im Einklang mit dem allgemeinen Sprachverständnis sind, sind in einer wichtigen Hinsicht plausibler als Ansätze, welche unseren sprachlichen Intuitionen zuwiderlaufen.
Eine aktuelle empirische Untersuchung, welche Auskunft über unsere sprachlichen Intuitionen zu der Frage gibt, ob Privatheit nur dann verletzt werden kann, wenn die veröffentlichte Information nicht-anonym ist, stammt von Cohen und Zultan. Obwohl die Autoren ein anderes Ziel verfolgen – es geht ihnen darum, ob eine Veröffentlichung anonymisierter genetischer Daten als Verletzung von Privatheit wahrgenommen wird – sind die Ergebnisse ihrer Studie auch für die gegenwärtige Untersuchung von Relevanz. Die Einschätzungen der Probandinnen und Probanden hinsichtlich zweier Szenarien sind für uns von besonderem Interesse. In einem ersten Szenario („Body“) geht es um die Veröffentlichung von Bildern, welche die Probanden anonymisiert, aber nackt zeigen. In einem zweiten Szenario („Narrative“) wird beschrieben, wie ein Psychotherapeut in seinem Tagebuch die Sitzungen mit seinen Patienten festhält. Wiederum sind die Beschreibungen anonymisiert. Das Tagebuch fällt in die Hände eines Verlages, welcher dieses publiziert. Mit Blick auf beide Szenarien bejaht eine signifikante Mehrheit der Probanden ungeachtet der Anonymität der Daten die Frage, ob eine Privatheitsverletzung vorliege. Das steht im Kontrast zu der im Recht und in der Philosophie vertretenen Auffassung und wirft die Frage auf, ob der Common Sense einer begrifflichen Verwirrung unterliegt, oder stattdessen der Konsens in Recht und Philosophie zu eng gefasst ist. Es ist letztere Option, für die im nächsten Abschnitt argumentiert werden soll.
3 Anonyme Privatheit
Die meisten Begründungsstrategien von Privatheit beruhen, wie in Abschn. 2.3. gesehen, auf der Prämisse, ein Recht auf Privatheit bedürfe zu seiner Rechtfertigung eines im individuellen Wohlergehen gegründeten Interesses, bei Marmor etwa das in der menschlichen Sozialnatur verwurzelte Interesse, verschiedene Arten von Beziehungen zu führen, deren Differenzierung eine Kontrolle über persönliche Informationen erfordert. Für das Weitere sind zwei Schlussfolgerungen relevant, die Marmor aus seiner Theorie ableitet: die Behauptung, medizinische Daten seien nicht als privat im eigentlichen Sinne anzusehen sowie die Beschränkung der informationellen Privatheit auf identifizierbare Informationen. Beide Annahmen sind, wie gezeigt werden soll, angreifbar.
Selbst wenn unbestritten ist, dass das Bekanntwerden medizinischer Informationen zu schwerwiegenden instrumentellen Nachteilen für die Betroffenen führen kann, ist damit nicht ausgeschlossen, dass diese unabhängig davon den Kern unseres Selbstverständnisses berühren und es uns auch aus diesem Grund wichtig ist, selbst zu bestimmen, wer davon erfährt. Die Diagnose einer einsetzenden Alzheimer-Erkrankung, eine fehlgeschlagene In-vitro-Fertilisation oder Überlegungen, einen assistierten Suizid vorzunehmen, sind Dinge, die wir häufig nur mit unserem Arzt, Partner oder engsten Familienkreis (oder niemandem) zu teilen bereit sind, und zwar unabhängig von instrumentellen Nachteilen, die aus deren unerwünschter Verbreitung resultieren. Anders als Marmor annimmt, gibt es also ein nicht-instrumentelles Interesse, Kontrolle über die Verbreitung persönlicher medizinischer Informationen zu besitzen, welches sich seiner Art nach nicht von dem Interesse an der Kontrolle über nicht-medizinische persönliche Informationen unterscheidet. Im Gegenteil: Angesichts der Bedeutung, die wir unserer Gesundheit sowie dem vertraulichen Umgang mit Informationen über diese beimessen, handelt es sich beim Schutz medizinischer Informationen geradezu um einen paradigmatischen Fall der Wahrung unserer Privatheit.
Voraussetzungsreicher ist die Widerlegung von Marmors zweiter Annahme, welche sich mit dem Privatheitsstatus anonymer Daten befasst, denn seine Auffassung, deren Verbreitung könne unsere Privatheit nicht berühren, scheint zunächst plausibel. Neben seinem schlüssigen Argument, die Fähigkeit zur Selbstoffenbarung werde nicht eingeschränkt, solange ursprünglich vertrauliche Informationen nur anonymisiert verbreitet werden, lässt sich anführen, dass selbst für den Fall, dass es darüber hinaus weitere privatheitsbezogene Interessen gibt, bestimmte Lebensbereiche nicht dem Blick anderer auszusetzen, es immer noch der Fall ist, dass kein Außenstehender weiß, um wen es sich bei der beschriebenen Person handelt. Auch jemand also, der neben dem von Marmor vorgebrachten Interesse an Privatheit weitere Interessen sieht, private Daten zu schützen, hätte womöglich keinen Grund, diese bei der Veröffentlichung anonymer Daten berührt zu sehen. Damit sind zwei Herausforderungen benannt, welcher sich eine Theorie anonymer Privatheit zu stellen hat: erstens muss ein weiteres Privatheitsinteresse ausgemacht und zweitens gezeigt werden, dass sich dieses auch auf anonyme Informationen erstreckt.
Zunächst zur Frage, ob sich Privatheitsinteressen ausmachen lassen, die über Marmors Ansatz hinausgehen. Dafür spricht, dass es Dimensionen von Privatheitsverletzungen gibt, die sich mit seiner Theorie nicht hinreichend erklären lassen. Eine geläufige Reaktion auf die nicht-autorisierte Verbreitung privater Daten liegt nämlich darin, Scham zu empfinden. Der Grund für eine solche Empfindung scheint jedoch nicht darin zu bestehen, dass das Opfer seiner Fähigkeit beraubt worden ist, zwischen unterschiedlichen Arten von Beziehungen zu differenzieren. Vielmehr hat die Schamempfindung unmittelbar die Tatsache zum Gegenstand, dass die Intimsphäre des Opfers verletzt worden ist, indem bestimmte Informationen an die Öffentlichkeit gelangt sind. Dieser Umstand weist darauf hin, dass es neben dem von Marmor postulierten noch eine andere Art von Interesse gibt, welches auf den Schutz unserer Privatheit abzielt.
Um der Verbindung von Schamempfinden und Privatheit nachzugehen, ist ein besseres Verständnisses von Scham erforderlich. Scham ist eine negative selbstbezogene Emotion, die entsteht, wenn wir von einer Norm oder einem Ideal abweichen. Darin ähnelt sie der Schuld, ist von dieser aber in zwei wesentlichen Hinsichten verschieden: Während Schuldgefühle eine Reaktion auf moralisch falsches Verhalten unsererseits anderen gegenüber darstellen, richtet sich Scham auf das Selbst und wird durch die Kritik oder das wertende Urteil anderer hinsichtlich nicht-moralischer Normen ausgelöst. Diese können sich beispielsweise auf unsere ästhetische Erscheinung, die Übereinstimmung unseres Verhaltens mit gesellschaftlichen Konventionen oder auf unseren Gesundheitszustand beziehen.
Anders als moralische Schuldgefühle ist Scham eine heteronome Emotion, denn wir empfinden sie unabhängig davon, ob wir den angelegten Maßstab teilen. Dies gilt allerdings nur, wenn die Urteilenden Teil einer Gruppe sind, derer wir uns zugehörig fühlen. Der Grund dafür liegt in der sozialen Natur des Menschen: Unser Selbstverständnis wird durch die Perspektive anderer auf uns mitkonstituiert und entzieht sich insofern unserer Kontrolle, als dass wir uns nicht völlig von den Normen und Werten, auf deren Grundlage andere ihr Urteil fällen, distanzieren können, ohne gleichzeitig unsere Gruppenzugehörigkeit in Frage zu stellen. Der wertende Blick anderer kann aus diesem Grund Anlass geben, Scham zu empfinden. Besonders wenn das Urteil anderer geringschätzig ausfällt, empfinden wir negative Emotionen in Form von Scham, da uns bewusst wird, dass wir hinter bestimmten sozialen Erwartungen, Idealen oder Anforderungen zurückbleiben. Dafür bedarf es nicht unbedingt der expliziten Äußerung jener Urteile (obwohl dieses in der Regel verstärkend wirkt), sondern allein deren Vorstellung kann bereits ausreichen, um Schamgefühle auslösen.
Dieser Zusammenhang legt ein Interesse am Schutz persönlicher Daten nahe, welches nicht auf die Fähigkeit reduzierbar ist, Beziehungen verschiedener Arten zu führen. Wir wollen stattdessen um unseres Selbstbildes und unserer Selbstachtung willen sicher gehen, dass bestimmte Bereiche unseres Lebens nicht öffentlich und so Gegenstand der Beurteilung Dritter werden.
In welchem Verhältnis steht dieses Interesse aber zu dem von Marmor identifizierten? Es würde für den Ansatz sprechen, wenn trotz der Tatsache, dass es sich um unterschiedliche Interessen handelt, eine Erklärung möglich wäre, welcher eine systematische Beziehung beider Interessen sichtbar werden lässt. Tatsächlich lassen sich beide Interessen als Manifestationen der menschlichen Sozialnatur interpretieren. Während das von Marmor diskutierte Interesse den auf Andere gerichteten Aspekt unserer sozialen Natur in den Mittelpunkt rückt, liegt dem gerade vorgestellten Interesse unser Selbstverhältnis zugrunde, das aber ebenso auf unsere Sozialnatur verweist, da unser Selbstverhältnis durch die Wahrnehmung anderer und davon abhängig unserer Stellung im sozialen Gefüge mitkonstituiert wird.
Welchen Beitrag leistet diese Einsicht nun für die Beantwortung der Ausgangsfrage nach der Möglichkeit von Privatheitsverletzungen aufgrund der Verbreitung anonymer Daten? Allein der Aufweis eines zusätzlichen Interesses am Schutz privater Daten reicht, wie weiter oben diskutiert, nicht aus, um für sich genommen die Ausgangshypothese, auch anonyme Daten könnten die Privatheit verletzen, zu rechtfertigen. Schließlich ist es eine offene Frage, ob nicht auch hinsichtlich Scham die Anonymität der Daten eine Verbindung zu unserer Privatheit gar nicht erst aufkommen lässt. Wenn nämlich sichergestellt ist, dass niemand weiß, dass es sich bei der beschriebenen Person beispielsweise um Sherlock Holmes handelt, dann kann anscheinend auch nicht die Rede davon sein, etwas über ihn sei öffentlich gemacht worden. Vielmehr erfahren Dritte lediglich eine Information über jemanden, denn durch die Anonymisierung ist die Referenz auf Sherlock Holmes eliminiert worden. Dies scheint es auf den ersten Blick nahezulegen, die Forderung nach einem Schutz anonymisierter Daten aufgrund von Privatheitsbedenken als fehlbegründet zurückzuweisen. Dagegen lässt sich jedoch einwenden, dass eine Aussage, welche eine Person nicht namentlich identifiziert, von Hörer zu Hörer unterschiedlich verstanden werden kann.
Nehmen wir als Referenzpunkt das bereits erwähnte Beispiel eines Therapeuten, dessen Tagebuch mit detaillierten, aber anonymisierten Fallschilderungen (darunter die von Sherlock Holmes, der im Buch aber als „Patient x“ bezeichnet wird) publiziert wird. Es handelt sich bei Sherlock Holmes’ anonym publizierter Krankengeschichte also nicht um eine fiktionale Darstellung, die eine zufällige Ähnlichkeit zu seiner eigenen Biographie aufweist. Das führt dazu, dass Sherlock Holmes sich in der publizierten Fassung seiner Krankengeschichte wiedererkennen und das Gesagte auf sich beziehen muss: „Patient x“ ist schließlich er selbst. Wenn Dritte Urteile über Patienten x fällen, so muss Sherlock Holmes diese so verstehen, dass sie ihn betreffen.
Dieser Unterschied lässt sich als ein Unterschied in Überzeugungszuschreibungen auffassen. Von einer de dicto Überzeugung hinsichtlich einer Aussage ist dann die Rede, wenn die folgenden beiden Aussagen wahr sein können: „Peter glaubt, Patient x sei im Verborgenen drogenabhängig“ und „Peter glaubt nicht, Sherlock Holmes sei im Verborgenen drogenabhängig“. Auf eine Person bezogen, die zwar mit der anonymisierten Krankengeschichte vertraut ist, vor der Sherlock Holmes seine Abhängigkeit jedoch erfolgreich geheim gehalten hat, können beide Aussagen zutreffen. Anders verhält es sich bei Sherlock Holmes selbst. Ihm lässt sich eine de re Überzeugung bezüglich der Aussage zuschreiben, denn „Patient x“ und „Sherlock Holmes“ sind für ihn Begriffe, die austauschbar sind, ohne den Wahrheitswert seiner damit verbundenen Überzeugungen zu ändern. Wenn Sherlock Holmes also eine Geschichte über „Patient x“ liest und sich darin erkennt, dann bezieht er das Gesagte auf sich selbst. Dasselbe gilt aus seiner Sicht auch für die Urteile Anderer über seine Fallgeschichte: deren womöglich abschätzige oder negative Urteile zielen für ihn auf seine Person, und zwar auch dann, wenn die urteilenden Personen selbst nicht wissen, über welches Individuum sie urteilen.
Im Ergebnis bedeutet dies, dass das auf Scham basierte Privatheitsinteresse auch dann berührt sein kann, wenn andere nicht im Klaren darüber sind, von wem die Rede ist. Das entscheidende Kriterium dafür, ob eine Verletzung von Privatheit vorliegt, liegt nämlich darin, ob die Verbreitung einer Information über Sherlock Holmes dazu angetan ist, in ihm Schamgefühle auszulösen.
Zwei Beispiele sollen den Unterschied zu der von Marmor verteidigten Theorie verdeutlichen. In einem ersten Fall möchte Marmor zeigen, warum die Verbreitung anonymer Daten keine Verletzung von Privatheit darstellt; ich werde jedoch argumentieren, dass auch der hier vorgestellte Ansatz in der Lage ist, das Beispiel zu erklären, ohne die Möglichkeit anonymer Privatheitsverletzungen in Frage zu stellen. Danach wird ein Beispiel eingeführt, welches sich nicht mit Marmors Ansatz, wohl aber mit der hier vorgestellten Theorie erklären lässt. Zunächst zu Marmors eigenen Fall: Bodyscanner an Flughäfen erzeugen Ganzkörperbilder, welche Körperkonturen zeigen, bei denen die Gesichter der Passagiere jedoch unkenntlich gemacht werden. Die Überprüfung der Aufnahmen erfolgt durch Beamte, welche die Passagiere nicht direkt sehen können. Diese sind also insofern anonym, als dass die Beamten nicht wissen, wessen Körperscan sie begutachten. In diesem Fall, so Marmor, wird, wie seine eigene Theorie es voraussagt, die Privatheit aufgrund der Anonymisierung nicht verletzt. Aus zwei Gründen handelt es sich jedoch nicht um ein Gegenbeispiel zu der hier vertretenen These, Privatheit lasse sich auch durch anonyme Informationen verletzen. Erstens sind die Röntgenbilder schematisch und zeigen die abgebildeten Personen stark verfremdet; ästhetische Kriterien finden hier also nur abgeleitet Anwendung. Zweitens werden die Bilder von professionellen Sicherheitsbeamten begutachtet, die täglich tausende ähnlicher Bilder sehen. So wie ein Arzt in der Regel kein wertendes Urteil über die Person fällt, sondern lediglich den Gesundheitszustand seines Patienten überprüft, zielt der Blick der Beamten lediglich darauf, ob die Person unerlaubte Gegenstände mit sich führt. Aus diesen Gründen handelt es sich nicht um eine Situation, in welcher das auf die Vermeidung von Scham gerichtete Privatheitsinteresse der Passagiere berührt ist.
Zu einer anderen Intuition gelangen wir, wenn wir uns eine Situation vorstellen, in der beide der gerade genannten Faktoren – also die Beschaffenheit der Aufnahmen und der Adressatenkreis – anders gelagert sind. Nehmen wir an, unser lokales Schwimmbad generiere zusätzliche Einnahmen, indem versteckte Kameras in den Umkleidekabinen installiert und die Bilder zahlenden Voyeuren im Internet angeboten werden. Da die Gesichter jedoch verpixelt sind und nicht mitgeteilt wird, an welchem Ort sich das Schwimmbad befindet, ist keine Identifikation der Badegäste möglich. Es scheint offensichtlich, dass in einem solchen Fall die Privatheit der Gäste des Schwimmbads verletzt wird. Während eine Privatheitstheorie, welche ein an Scham orientiertes Interesse zulässt, keine Schwierigkeit hat, ein solches Urteil zu rechtfertigen, scheint Marmors Theorie über keine Ressourcen zu verfügen, um zu demselben Ergebnis zu gelangen.
4 Was bedeutet anonyme Privatheit für die Praxis? Digitale Medizin als Anwendungsfall
Die Diskussion um Privatheit ist nicht nur von akademischem Interesse, sondern hat praktische Auswirkungen für den Umgang mit Daten in vielen Lebensbereichen. Das soll exemplarisch am Bereich der Medizin gezeigt werden, denn hier werden – wie eingangs argumentiert – wie in einem Brennglas die Probleme und Herausforderungen sichtbar, welche die Abwägung von Datenschutz und effektiver Nutzung computergestützter Arbeitsweisen mit sich bringen.
Um die Auswirkungen des erweiterten Privatheitsverständnisses auf die Praxis der Medizin zu verstehen, stellen sich zwei Fragen. Die erste betrifft die Schutzwürdigkeit anonymer Daten. Erstreckt diese sich auf alle Arten von Information, oder lässt sich eine Eingrenzung vornehmen, mit der sich schutzwürdige von nicht-schutzwürdigen anonymen Daten mit Blick auf ihren Privatheitsstatus unterscheiden lassen? Zweitens ist klärungsbedürftig, wie sich die beiden privatheitsorientierten Interessen zueinander verhalten. Lässt sich die Schwere einer Privatheitsverletzung daran ablesen, ob eines oder ob beide der diskutierten Interessen berührt sind?
Beginnen wir mit der Frage nach der Möglichkeit einer Reichweitenbegrenzung von anonymer Privatheit. Zunächst folgt aus der These, dass von einer Privatheitsverletzung auch bei der Verbreitung anonymer Informationen gesprochen werden kann, nicht automatisch, dass dies bei einer jeden Art von Information der Fall ist. Tatsächlich schiene es übertrieben zu behaupten, dass eine jede noch so triviale Information – etwa zu Körpergröße, Geburtsjahr oder Haarfarbe – geeignet sein soll, Schamgefühle auszulösen. Gerade für den Bereich der Medizin sollen drei Kriterien vorgeschlagen werden, von denen jedes für sich genommen notwendig und die alle drei zusammen hinreichend sind, damit eine privatheitsrelevante anonyme Information vorliegt. Erstens muss sich die Person, auf welche sich die Information bezieht, darin als Individuum wiedererkennen; nur dann ist es möglich, Scham zu empfinden. Das kann auch die Zuschreibung einer mit Makel behafteten Gruppenzugehörigkeit umfassen, insofern diese ein wesentliches Merkmal der Person ausmacht. In der Regel muss die Information aber ausreichend Komplexität und Spezifität aufweisen, etwa in Form einer detaillierten Krankengeschichte. Das schließt statistische oder aggregierte Informationen ebenso aus wie hinreichend grobkörnige Angaben. Ein zweites Merkmal ist inhaltlicher Natur: Die Informationen müssen so beschaffen sein, dass sie sich dazu eignen, unser Selbstbild negativ zu beeinflussen, wenn andere sich ein Urteil darüber bilden. Es geht also um Informationen, welche eine Person auf eine Eigenschaft reduzieren oder die negativ konnotiert sind. Dies trifft beispielsweise auf Zerfallsprozesse körperlicher und kognitiver Natur, auf Krankheiten mit schambehafteten Symptomen oder mit tödlichem Ausgang zu. Damit verbunden ist drittens eine Einschränkung des Rezipientenkreises der veröffentlichten Information. Diese lässt sich in Anlehnung an Peter Strawsons Unterscheidung zwischen einer teilhabenden und einer objektiven Einstellung hinsichtlich reaktiver Einstellungen vornehmen. Strawson zufolge legen wir bei ersterer Einstellung an unser Gegenüber moralische Maßstäbe an und loben und tadeln, während die objektive Einstellung eine Umgangsform meint, die wir z. B. Kindern gegenüber einnehmen und in der es lediglich darum geht, durch unseren Umgang ein Ergebnis zu bewirken, nicht aber, genuine moralische Einstellungen zu äußern. Im medizinischen Kontext können wir mit Blick auf soziale Standards Situationen unterscheiden, in welchen wir andere Menschen an sozialen Maßstäben messen und solche, in denen es um andere Gesichtspunkte – etwa solche, welche ausschließlich auf gesundheitliche Aspekte abstellen und die mit einer Diagnose oder Behandlung zu tun haben – und in denen soziale Erwartungen gar nicht erst im Horizont der Rezipienten einer Information stehen. In solchen Fällen scheint es nicht angemessen, Scham zu empfinden, da soziale Bewertungen keine Rolle spielen. Kontexte also, in denen es um eine rein medizinische Betrachtung einer Information geht (beispielsweise, wenn eine Ärztin oder ein Labormitarbeiter eine spezifische anonyme Patientenbeschreibung oder eine Probe auf ein bestimmtes Krankheitsbild hin analysieren), scheinen nicht geeignet, Scham auszulösen. Problematisch ist die Verbreitung einer Information nur dann, wenn diese außerdem einer Öffentlichkeit zugänglich gemacht wird, in welcher soziale Maßstäbe Anwendung finden. Das erfordert eine Berücksichtigung des Publikationskontextes medizinischer Informationen.
Solange diese drei Kriterien berücksichtigt werden, ist ein Umgang mit anonymen Patientendaten unproblematisch. Und selbst in Fällen, die gegen diese Kriterien verstoßen, ist es eine Frage der Abwägung, ob es „all things considered“ nicht moralisch erlaubt oder gar geboten ist, die Privatheit von Individuen zu verletzen, wenn nur so beispielsweise gewichtige Güter oder Rechte geschützt werden können. Eine Ausweitung von Privatheit auf anonyme Informationen führt also nicht notwendigerweise zu einer radikalen Revision unseres Umgangs mit medizinischen Daten. Gleichzeitig ist die Einsicht aber auch nicht folgenlos: Zu hinterfragen wäre die bisherige Handhabung anonymisierter Daten, die davon ausgeht, dass Patienten prinzipiell kein gerechtfertigtes Privatheitsinteresse haben können, deren Verbreitung einzuschränken. Das wirft die Frage nach einem angemessenen Umgang mit anonymisierten Daten auf, welche die drei oben aufgeführten Bedingungen erfüllen. Mindestens bedarf es der Aufklärung über deren zukünftige Nutzungsweisen, möglicherweise auch einer expliziten Einwilligung seitens der Patienten.
Zur zweiten Frage nach dem Verhältnis der beiden privatheitsorientierten Interessen zueinander: Auch wenn sich die Reichweite der beiden diskutierten Interessen (das beziehungsorientierte Interesse Marmors und das hier vertretene schamorientierte Interesse) häufig überlappen, können sie auseinanderfallen. Das zeigt die Möglichkeit anonymer Privatheitsverletzungen, bei welchen das beziehungsorientierte Privatheitsinteresse nicht berührt ist (siehe etwa der oben diskutierte Fall der aus der Umkleidekabine verbreiteten anonymen Aufnahmen). Im Gegensatz dazu kann es vorkommen, dass die unerlaubt verbreitete Information nicht derart ist, dass sie unser Selbstbild negativ beeinflussen könnte. Ein solcher Fall läge beispielsweise vor, wenn eine Krankenakte öffentlich gemacht wird, welche Informationen über die Blutgruppe von Patienten enthält. In anderen Fällen werden durch die Veröffentlichung persönlicher Informationen beide Privatheitsinteressen verletzt, etwa wenn Details über die sexuell übertragbare Krankheit eines Patienten an die Öffentlichkeit gelangen und dieser identifiziert wird.
Auch wenn sich unabhängig vom Kontext nicht angeben lässt, ob es für die Betroffenen schlimmer ist, wenn ausschließlich das erste oder das zweite Interesse verletzt ist, wiegt eine Verletzung beider Privatheitsinteressen in ein- und derselben Situation im Regelfall besonders schwer, denn beide Formen der Verletzung verstärken sich gegenseitig: Zum einen sind gerade schambehaftete Informationen häufig solche, die wir nur mit einem engen Kreis zu teilen bereit sind, bei denen das Kontrollinteresse also besonders ausgeprägt ist. Zweitens ist das öffentliche Interesse häufig besonders groß, wenn ein sozial geächtetes Verhalten einem Namen oder Gesicht zuordenbar ist und der Betroffene „an den Pranger“ gestellt werden kann. Daraus ergeben sich drittens in der Regel gewichtigere instrumentelle Nachteile, wenn beide Formen von Privatheitsverletzung zusammenfallen.
5 Konklusion
Viele Menschen in der westlichen Welt verfügen gegenwärtig über einen Grad an Privatheit, der zu früheren Zeiten undenkbar gewesen wäre – ermöglicht durch räumliche Abschottung, die Verfügbarkeit geschützter Kommunikationsmittel und durch gewandelte Ansprüche und Erwartungen, die sich in der Struktur der Gesellschaft und im Recht niedergeschlagen haben. Gleichzeitig ist dieses Gut durch technologische Entwicklungen bedroht, welche als Digitalisierung alle Lebensbereiche durchdringen und die ihrer Natur nach auf die Verbreitung von Informationen angelegt sind. Das erfordert ein beständiges Aushandeln des Verhältnisses von Schutz und Nutzen privater Daten. In diesem Kontext steht die gegenwärtige Untersuchung, welche die weithin geteilte Annahme in Frage stellt, nur Informationen über identifizierbare Individuen seien mit Blick auf Privatheit schutzwürdig.
Auch wenn diese These in der bisherigen Diskussion um Privatheit zu kurz gekommen ist, legt die eingangs zitierte Studie von Cohen und Zultan nahe, dass es Intuitionen gibt, denen zufolge die Unterscheidung privater vs. nicht-privater Daten nicht mit den Kategorien „identifizierbar“ und „nicht-identifizierbar“ zusammenfällt. Es war das Ziel dieses Aufsatzes, diesem unreflektierten Alltagsverständnis eine theoretische Fundierung zu geben. Dies ist geschehen, indem ein Interesse an einem vor den Urteilen anderer geschützten Raum identifiziert wurde, welches in unserer Sozialnatur gründet und dessen Verletzung zu Schamgefühlen führt.
Wie weitreichend aber sind die Folgen dieser Einsicht für den Umgang mit anonymen Daten? Wie am Beispiel der Medizin gezeigt worden ist, führt die Möglichkeit anonymer Privatheit nicht notwendigerweise zu einer grundlegenden Revision unseres Umgangs mit persönlichen Daten, sondern erlaubt eine differenzierte Betrachtung verschiedener Arten anonymer Daten und Handhabungsformen.
Die grundlegende Einsicht, auf welche das hier identifizierte Privatheitsinteresse zurückzuführen ist, nimmt seinen Ausgang von einer These Marmors: Eine Kontrolle über unsere Daten ist wichtig für ein gelungenes Leben. Dies zeigt sich in unserer sozialen Natur, die sich in den verschiedenen Beziehungen manifestiert, die wir zu anderen unterhalten. Diese Beziehungen sind konstitutiv für unser Selbstverständnis. Der Blick anderer auf uns, ihre Urteile, Meinungen und Einstellungen uns gegenüber machen unsere Stellung im sozialen Gefüge aus. Auch um unserer Selbst wegen bedürfen wir daher der Kontrolle darüber, was über uns bekannt wird. Es gibt Teile unseres Lebens, die wir nicht dem Urteil anderer aussetzen möchten, und das gilt selbst dann, wenn diese nicht in der Lage sind, die Person, die dahinter steht, zu identifizieren.
Zur einfacheren Lesbarkeit wurden die Literatur- und Quellverweise entfernt.
Schwind, P. Privatheit und Identifizierbarkeit. ZEMO (2024).