4 Die Technik des Datenschutzes
Ausgehend von den im zweiten Kapitel dargestellten Ergebnissen der jahrzehntelangen wissenschaftlichen Auseinandersetzungen um privacy, Datenschutz und surveillance und auf der Basis des im dritten Kapitel rekonzeptionalisierten Datenschutzes werden nun Folgerungen für die Gestaltung datenschutzfreundlicher – und dabei nicht notwendig nur datenschutzrechtskonformer – informationstechnischer Systeme als Teilkomponenten von soziotechnischen Systemen gezogen.
4.1 Vorbemerkungen
Erstens: Nachdem die Arbeit gezeigt hat, dass fast alle in der Vergangenheit vorgeschlagenen komplexitätsreduzierenden Entscheidungshilfen – die Trennung von „privat“ und „öffentlich“, die Sphärentheorie, die „Sensitivität“ von Informationen, ja sogar die personenbezogenen Informationen – strukturell untauglich sind, bleibt eigentlich nur, mit Winston Churchill zu sagen „I have nothing to offer but blood, toil, tears and sweat“, und bis zur Entwicklung neuer – und dann hoffentlich geeigneter – Komplexitätsreduktionsmechanismen den langen und beschwerlichen Weg zu gehen und im Rahmen jeder Systementwicklung ein umfassendes wissenschaftliches Impact Assessment durchzuführen, wie es für den Datenschutz im vorherigen Kapitel in Form eines prozeduralen Operationalisierungsansatzes vorgelegt wurde.
Zweitens: Das Modellieren ist keine formale Tätigkeit, gerade auch dort nicht, wo gesellschaftliche Realitäten mit ihren sozial ausgehandelten Normen, ihren Kompromissen, aber auch ihren offenen und verdeckten Konflikten und den sie prägenden Machtstrukturen modelliert werden sollen. Es ist nicht unwahrscheinlich, dass dies nirgends mehr gilt als im Bereich von privacy, Datenschutz und surveillance. Nicht nur beschreibt so gut wie jede der in diesem Bereich operierenden Theorien das Feld als konfliktgeladen und geprägt von Interessengegensätzen, in dem erbitterte Auseinandersetzungen zwischen Datenverarbeiterinnen, Betroffenen und all den anderen streitbaren Geistern geführt werden, auch viele Vertreterinnen der unterschiedlichen Theorien tragen nicht unbedingt dazu bei, die Diskussion zwischen den Theorien zu einem Vorbild für eine Habermas’sche herrschaftsfreie Kommunikation zu machen.
Drittens: Aufgabe der Informatik in Bezug auf den Datenschutz ist keineswegs nur die Gestaltung technischer (oder die Mitgestaltung soziotechnischer) Systeme zur Verbesserung der Durchsetzung des Datenschutzes, sondern vor allem, die Grenzen von technischen Lösungen und der Lösbarkeit durch Technik im Allgemeinen gegenüber den Datenverarbeiterinnen, den Betroffenen und der Gesellschaft insgesamt transparent zu machen – und damit grundsätzlich verhandelbar. Insoweit es sich beim Datenschutzproblem in erster Linie um ein Gesellschaftsproblem und nicht um ein Technikproblem handelt, ist der in der Informatik weitverbreitete „solutionism“ (Evgeny Morozov) mehr als nur unpassend – er ist gefährlich, denn er suggeriert eine Lösung, wo es prinzipiell keine geben kann.
Viertens: Technikentwicklung muss als Rückmeldung liefern, welche Auswirkungen die Technik auf die Machtstruktur hat. Wenn das zu entwickelnde System zu komplex ist, um die Folgen für die Machtstruktur zu analysieren, dann ist es zu komplex, um es zu entwickeln.
Fünftens: Die Gestaltung von Informationssystemen soll sich, Heinz von Foerster folgend, an dem Ziel ausrichten, neue Möglichkeiten – und damit mehr Freiheit – zu erzeugen. Ein zentraler Schutzmechanismus für Freiheit ist Kontingenz, die auf der technischen Ebene etwa dadurch erreicht werden kann, dass zwar die Datenverarbeiterinnen die Technik gestalten, die „Konfigurationsmacht“ jedoch auf Seiten der Betroffenen liegt. Freiheitsbeschränkungen hingegen ergeben sich oft schon als Folge von beschränkenden Prozessen, die selbst historische Produkte konkreter – und damit je spezifisch beschränkter – Techniken sind (Akten, Ausweise mit Geburtsdaten). Ein wesentlicher Lösungsansatz besteht in der Übertragung der Funktion im Gegensatz zu einer Übertragung der überkommenen Prozesse (Geschirrspüler gegen Handspülroboter).
Sechstens: Dieses Ziel muss selbstreflexiv auf die Technik selbst bezogen werden. Die Technik ist so zu gestalten, dass sie in Zukunft wieder umgestaltet werden kann. Ein Beispiel für eine solche „Technik“ ist der Rechtsstaat: Er stellt die Mittel bereit, um ihn selbst infrage stellen zu können. Informationstechnische Systeme müssen das auch können: ein „Not-Aus“-Schalter für Machtmaschinen, wie es sie in den meisten Kraftmaschinen schon gibt.
Siebtens: Als konzeptionelles Gegenstück zur Kontingenz zugunsten der Betroffenen sind informationstechnische Systeme, die unter der Kontrolle der Organisationen stehen, mit technischen Vertrauensankern zu versehen, um einerseits selbst- und Fremdkontrolle sicherzustellen, andererseits aber auch Intervenierbarkeit durch die Betroffenen schon auf der technischen Ebene zu ermöglichen und ihnen damit Interventionsmöglichkeiten zu bieten, ohne auf die Kooperation der Organisationen angewiesen zu sein.
4.2 Technikgestaltung und Datenschutz
Datenschutzkonformität und Datenschutzrechtskonformität sind Eigenschaften von Informationsverarbeitungspraxen, nicht von Technik. Technik soll datenschutzfeindlich heißen, wenn sie nicht datenschutzkonform eingesetzt werden kann, wenn sie also Datenschutz verhindert. Sie heiße datenschutzunfreundlich, wenn sie einen datenschutzkonformen Einsatz behindert oder erschwert. Technik heiße datenschutzneutral, wenn die Datenschutzkonformität nur von der Art und Weise des konkreten Einsatzes abhängt. Sie heiße datenschutzfördernd, wenn sie einen datenschutzkonformen Einsatz unterstützt und einen nicht datenschutzkonformen erschwert. Und Technik heiße datenschutzgarantierend, wenn sie unabhängig von der Intention der Datenverarbeiterin ausschließlich datenschutzkonform eingesetzt werden kann.
In dem Feld zwischen datenschutzfördernd und datenschutzgarantierend und vor dem Hintergrund von – gerade auch rechtlichen – Verantwortungszuschreibungen ließe sich darüber hinaus unterscheiden zwischen (1) einfachen Unterstützungssystemen, die etwa Entscheidungshilfe bieten, (2) Systemen, die nicht unbewusst umgangen werden können, (3) Systemen, die weder unbewusst noch fahrlässig umgangen werden können, und (4) Systemen, die gar nicht – auch nicht vorsätzlich – umgangen werden können.
Eine solche Klassifikation ermöglicht interdisziplinäre Anschlussfähigkeit nicht nur in der Wissenschaft, sondern auch in der Praxis, etwa zwischen Informatik und Recht. Ein Beispiel: Derzeit besteht ein extremes Vollzugsdefizit im Datenschutzbereich. Die Datenschutzbehörden haben Schwierigkeiten, vorsätzlich begangene Datenschutzverstöße angemessen zu ahnden, denn die Täterinnen können damit rechnen, dass sie sich erfolgreich herausreden können, weil den Behörden die Ressourcen fehlen, um den Vorsatz nachweisen zu können. Im Ergebnis sehen sich die Behörden gezwungen, die Ausreden akzeptieren zu müssen, um wenigstens die oft sehr viel geringeren Strafen oder Bußgelder für fahrlässig begangene Datenschutzverstöße verhängen zu können. Weil in der Folge die Profite die Strafen um Größenordnungen übersteigen, ist das für vorsätzlich agierende Täterinnen ein Anreiz, den Datenschutz einfach komplett zu ignorieren, vor allem weil darüber hinaus die Entdeckungswahrscheinlichkeiten marginal sind. Die Informatik kann das ändern. Wenn Informatikerinnen für konkrete Systeme nachweisen können, dass sie in die vorgenannte Klasse 3 fallen, dann kann das Recht darauf durch die Umkehr der Beweislast reagieren. In der Folge muss nicht mehr denjenigen, denen ein Datenschutzverstoß nachgewiesen wird, auch Vorsatz nachgewiesen werden, sondern der Vorsatz wird unterstellt. Jetzt müssen die Beschuldigten nachweisen, dass es kein Vorsatz war. Und wenn ihnen das nicht gelingt, dann können die Aufsichtsbehörden signifikant höhere Strafen verhängen. Technik kann insofern die Rolle eines „Ausreden-Terminators“ spielen.
Nun kann eingewandt werden, dass die Technik ihren eigenen Einsatz nicht erzwingen kann. Das ist korrekt, und das ist einer der Gründe, warum viele Versuche, datenschutzgarantierende Technik zu gestalten, im Grunde nichts weiter als akademische Spielereien sind. Aber auch dieses Problem kann das Recht lösen. Während nämlich Technik nur berechenbare Probleme lösen kann, kann Recht sogar unlösbare lösen: Wenn es genügend Klasse-3-Systeme gibt, dann kann Recht die Beweislast auch umkehren, wenn die Beschuldigten ein solches System nicht einsetzen.
In dem Fall müssen dann die Beschuldigten nachweisen, dass es auch zu einem Verstoß gekommen wäre, wenn sie ein solches System eingesetzt hätten.
Hier zeigt sich, dass Probleme im Bereich des Datenschutzes, die sich in keiner einzelnen der beteiligten Disziplinen lösen lassen, lösbar sind, wenn die Disziplinen kooperieren. Und da es – wahrscheinlich um Größenordnungen – leichter ist, Klasse-3-Systeme zu entwickeln als Klasse-4-Systeme, wird darüber hinaus das Leben für die Entwicklerinnen auch einfacher.
4.2.1 Dokumentation
Dokumentation ist zweifellos eines der Lieblingsthemen der Informatik. Die Forderung nach Verbesserung der Dokumentation wird wahrscheinlich sogar öfter erhoben als die Forderung nach mehr Speicher, und dabei steigt der Bedarf nach Dokumentation sicher nicht in gleichem Maße wie der Bedarf nach Speicher. Die Wahrheit ist: Dokumentation ist unbeliebt, wird vernachlässigt und ist, selbst wenn sie existiert, allzu oft schlicht dysfunktional. Dennoch sprechen einige Gründe für eine umfassende Dokumentation, gerade bei der Entwicklung von IT-Systemen als Teil von soziotechnischen Systemen, die mindestens datenschutzfördernd sein sollen, vor allem wegen des dezidiert interdisziplinären Hintergrunds des Datenschutzes.
Der erste wichtige Grund ist, dass Dokumentation unabdingbar ist, um sicherzustellen, dass die Kommunikation zwischen den Disziplinen erfolgreich verläuft. Dokumentation ist schriftliche Kommunikation, die es erleichtert, frühere Festlegungen neu aufgreifen zu können, wenn sich – was in interdisziplinärer Kommunikation der Standardfall ist – herausstellt, dass der vermeintliche Konsens schlicht das Produkt eines inhaltlichen Missverständnisses auf der einen, der anderen oder auf allen Seiten war.
Der zwingendste Grund für eine Dokumentation ist nicht der Datenschutz, sondern das Datenschutzrecht. Das Datenschutzrecht ist in weiten Teilen genauso bürokratisch wie die rationale Organisation, die es versucht, unter Kontrolle zu bringen. Und der zentrale Anknüpfungspunkt für die rechtlichen Kontrollmechanismen ist die Dokumentation über das, was kontrolliert werden soll. Das Problem, das daraus entstehen kann, ist offensichtlich: Die Dokumentation ersetzt das, was dokumentiert wird oder werden soll, und das Ausfüllen von Checklisten ersetzt die inhaltliche Auseinandersetzung mit dem, worauf die Checkliste eigentlich nur verweisen soll. Andererseits ist genauso offensichtlich, dass sich nicht prüfen lässt, ob und wie sich eine Entwicklerin mit inhaltlichen Fragen auseinandergesetzt sowie Wertungen und Abwägungen vorgenommen hat, denn im Ergebnis – der Technik – sind der Prozess der inhaltlichen Auseinandersetzung, die Maßstäbe der Bewertungen und die Reflexionen der Abwägungen gerade unsichtbar und unsichtbar gemacht worden.
Eine Dokumentation ist gerade auch dann unabdingbar, wenn sich im Zuge eines Entwicklungsprozesses herausstellt, dass die aus Informatiksicht und vor dem Hintergrund, dass das Ziel darin besteht, Individuen, Gruppen, Organisationen, das staatliche Institutionengefüge und die Gesellschaft insgesamt vor informationsmächtigen Organisationen zu schützen, getroffenen Entscheidungen für oder gegen konkrete zu implementierende Technikeigenschaften gerade mit dem Recht kollidiert. Recht ist dynamisch; es ändert sich mit der Gesellschaft, in der es wirkt. Und einer der zentralen Auslöser solcher Veränderungen ist Dissidenz – begründete Dissidenz.
Während die vorgenannten Punkte auf eher nicht aus der Informatik selbst stammende Be-gründungen für eine umfassende und – auch für Dritte – nutzbare Dokumentation verweisen, erzeugt die Informatik gerade im Zuge jeder Verfahrens- und Technikgestaltung einer der zentralen Probleme: das Modellierungsproblem. Und damit fällt der Informatik eben auch die Verantwortung zu, dieses Problem der expliziten oder impliziten, der offenen oder versteckten Modellannahmen zu einem sozial aushandelbaren zu machen, indem sie das Problem transparent macht.
4.2.2 Stakeholder-Einbindung
Eine der Funktionen des Datenschutzes ist die der Produktion von gesellschaftlicher Akzeptanz von organisierter Informationsverarbeitung und deren Industrialisierung, der Schaffung von Systemvertrauen und mithin der Gewährleistung der Akzeptabilität der Informationsgesellschaft.
Die Frage ist, ob dafür die Partizipation der Betroffenen an der Systementwicklung ein geeignetes oder gar erforderliches Mittel ist. Die Antwort hängt davon ab, welchem Akzeptabilitätsbegriff mensch folgt, einem subjektiven oder einem objektiven. Der subjektive Akzeptabilitätsbegriff ist dabei verwandt mit dem demokratischen Prinzip: Akzeptabel ist, was von den Beteiligten akzeptiert wird – la volonté des tous. Der objektive Akzeptabilitätsbegriff folgt hingegen dem republikanischen Prinzip mit seiner volonté générale.
Wird dem ersten Prinzip gefolgt, dann ist eine Einbindung der Betroffenen unumgänglich, etwa durch partizipative Systemgestaltung. Wird hingegen dem zweiten Prinzip der Vorzug eingeräumt, dann bedarf es einer entsprechenden Rollenzuweisung an ein kompetentes Mitglied des Entwicklerinnenteams.
Beide Ansätze sind nicht unproblematisch. Im ersten Fall kann der Beitrag der Betroffenen nicht von „falschem Bewusstsein“ unterschieden werden, im zweiten Fall kann die Verselbständigung der Stellvertretung nicht verhindert werden.
Wie immer die Entscheidung lautet, sie muss getroffen und begründet werden.
4.2.3 Auswahl des Referenzrahmens
Der wichtigste – oder zumindest der folgenschwerste – Schritt bei der Auswahl zu verwendender und der Gestaltung neuer Technik ist die Entscheidung über den benutzten Referenzrahmen: Welche privacy-, surveillance– oder Datenschutztheorie oder welches Recht soll als Bezugspunkt gelten? Wegen seines Geltungs- und Befolgungsanspruchs ist Recht grundsätzlich begründungsfrei – in einer bürgerlichen Rechtsordnung wird nur Rechtstreue verlangt –, aber die Frage, welches Recht – und vielleicht sogar: welche Rechtsordnung – einschlägig ist und deshalb angewendet werden muss, ist gerade nicht immer leicht zu beantworten. Hinsichtlich der Theorien ist das einfacher: Jede kann genommen werden, denn keine erzwingt ihre Verwendung. Aber welche auch immer gewählt wird, die Entscheidung muss transparent gemacht und begründet werden. Das folgt schon aus dem aus Systemtheorie und Kybernetik folgenden Verständnis von System, Systemanalyse und Systemgestaltung: Alle drei basieren darauf, dass – ob vom System selbst, von einer Analystin oder, wie hier, von einer Gestalterin – eine Grenze zwischen System und Umwelt gezogen wird. Es gibt keine „natürliche“ Grenze; Grenzziehung ist Entscheidung und Entscheidung ist – vor allem in der Wissenschaft – begründungsbedürftig. Und die Begründungpflicht trifft die Gestalterin. Und eine sinnvolle Begründung kann sich nur auf die Angemessenheit der gewählten Theorie für den Bereich der sozialen Welt, für den die Technik ausgesucht oder entwickelt oder in dem sie wahrscheinlich eingesetzt wird, stützen. Das heißt, dass das Recht oder die Theorie ausgewählt werden muss, deren Geltungsbereich am ehesten dem zukünftigen Anwendungsbereich der Technik entspricht.
Neben dem Geltungsbereich gehört auch der Schutzbereich, also die Menge der Schutzgüter, zum Referenzrahmen, über den zu entscheiden ist. Während die Theorien tendenziell je einen konsentierten Schutzbereich mitbringen, kann ein konkretes Gesetz, etwa das Bundesdatenschutzgesetz oder die EU-Datenschutzgrundverordnung, unterschiedlich ausgelegt werden. Die unterschiedlichen Auslegungen können dabei – und hier schließt sich der Kreis zwischen Theorien und Recht – gerade wieder den Theorien entsprechen, die es in diesem Feld gibt. Während die Theorien einander grundsätzlich auf Augenhöhe gegenüberstehen und keine der Theorien jeweils ein Primat gegenüber allen anderen geltend machen kann, es sei denn, sie versammelt eine Mehrheit von Wissenschaftlerinnen eines Feldes hinter sich, gibt es im Bereich des Rechts durchaus jeweils „gewichtigere“ oder „weniger gewichtige“ Auslegungen. So sind etwa – jedenfalls in ihren jeweiligen Rechtsräumen – Höchst- oder Verfassungsgerichte legitime Letztauslegungsinstanzen, sie kreieren die „herrschende Meinung“, können sie aber auch wieder ändern – und sie ist immer politisch. Die Entscheidung für eine Theorie oder eine Rechtsauslegung, ja schon für einen Rechtsraum, ist im Hinblick auf den Schutzbereich daher immer eine immanent politische, keine rein wissenschaftliche. Und auch diese Entscheidung muss begründet werden.
Aus dem gewählten Referenzrahmen folgt in weiten Teilen das weitere Vorgehen bei der Analyse der Bedrohungen sowie der Gestaltung und der Auswahl informationstechnischer Systeme, sowohl hinsichtlich des Prozesses, etwa weil Theorien ihre eigenen Vorgehensmodelle mitbringen oder das Recht eine bestimmte Prüfreihenfolge verlangt, wie auch im Hinblick auf die inhaltliche Ausgestaltung der einzelnen Prozessschritte.
4.2.4 Privacy-Enhancing Technologies
Alle bestehenden PETs sind auf der Basis von Annahmen über die Akteurskonstellation, die Schutzgüter und die Bedrohungen für diese Schutzgüter entwickelt worden. Das gleiche gilt für die Vorschläge für noch zu entwickelnde PETs. Nicht immer wurden und werden diese Annahmen dabei expliziert. Bevor für ein Entwicklungsprojekt ein bestehendes oder zu entwickelndes informationstechnisches System als Bauteil ausgewählt wird, ist daher immer zu bestimmen, welche Annahmen der betreffenden Systemgestaltung zugrunde gelegt wurden. Für die nicht mit den Annahmen des für das eigene Entwicklungsprojekt gewählten Referenzrahmens übereinstimmenden Annahmen ist dann insbesondere zu prüfen, welche Nebenwirkungen bei einem Einbau oder Einsatz dieses Bauteils auftreten können und wie mit diesen umgegangen werden soll, also wie sie etwa entschärft werden sollen oder ob sie ignoriert werden können. In jedem Fall ist die Entscheidung zu begründen und transparent zu machen. Die Aufdeckung der zugrunde gelegten Annahmen für bestehende PETs bietet zugleich eine Möglichkeit, den Lösungsraum insgesamt transparent zu machen und strukturelle Lücken zu identifizieren. Damit werden zugleich die strukturellen Lücken in der Schutzabdeckung gesellschaftlich diskutierbar.
Für einige Anwendungsbereiche sind wenigstens große Teile der Annahmen bereits expliziert und transparent gemacht – jedenfalls in der betreffenden Fach-Community, teilweise auch darüber hinaus. So ist etwa, wie im zweiten Kapitel gezeigt, für die Anonymitätsdiskussion im Datenbankenbereich in der informatischen privacy-, Datenschutz- und surveillance-Forschung allgemein bekannt, dass die Betreiberin der Datenbank in dieser Diskussion nicht als Angreiferin verstanden wird. Auch für Kommunikationssysteme werden fast ausschließlich externe Lauscherinnen oder die Betreiberinnen der Kommunikationsnetze als Angreiferinnen betrachtet. Und für die als PETs im engeren Sinne verstandenen Systeme wird als Ziel formuliert, „unnecessary or unwanted processing of personal data“ zu verhindern, „all without losing the functionality of the information system.“ Da es aber nur wenige Arbeiten gibt, in denen die unterschiedlichen Annahmen verschiedener Theorien, die sich mit diesen Anwendungsbereichen beschäftigen, zusammengetragen und zueinander in Bezug gesetzt werden, und es darüber hinaus einen besonderen Mangel an bereichsübergreifenden Arbeiten gibt, wird es beim derzeitigen Stand der Forschung einem Entwicklungsprojekt schwerfallen, auf der Basis des gewählten Referenzrahmens passende technische Lösungen zu finden. Noch defizitärer ist die Situation bei Arbeiten, die disziplinübergreifend anschlussfähig sind und damit sowohl die nichtinformatischen Vertreterinnen der einzelnen Theorien als auch die Juristinnen in ihrer Arbeit am Recht über den Stand der technischen Umsetzungen informieren können.
4.2.5 Datenschutzfördernde Technikgestaltung
Wenn als Referenzrahmen der im vorherigen Kapitel rekonzeptionalisierte Datenschutz dient, kann dem Vorgehen bei der Technikgestaltung der dort vorgelegte Operationalisierungsansatz zugrunde gelegt werden. Dabei kann an dieser Stelle davon ausgegangen werden, dass für die Entscheidung über den Referenzrahmen der der Anwendungsbereich des zu gestaltenden informationstechnischen Systems bereits festgelegt wurde.
Soweit als Grundlage dieser Entscheidung noch keine umfassende Akteursanalyse erstellt wurde, sind alle beteiligten oder zu beteiligenden Akteurinnen zu identifizieren und zu beschreiben, vor allem hinsichtlich ihrer Rollen sowie der individuellen, kollektiven und der gesellschaftlich geprägten oder konsentierten Erwartungen und Interessen. Anschließend sind die Zwecke zu identifizieren, die die Akteurinnen jeweils verfolgen.
Im Rahmen der Interessen-, Zweck- und Machtanalyse sind dann die Interessen und Zwecke vor dem Hintergrund, in welchem (Macht-)Verhältnis die Akteurinnen zueinander stehen und inwieweit sie voneinander abhängig sind, zueinander in Beziehung zu setzen und zu analysieren. Anschließend sind diese Interessen und Zwecke zu gewichten und zu bewerten, um darauf basierend zwischen den widerstreitenden Interessen und Zwecken abzuwägen. Abschließend sind die Zwecke, die das Informationssystem verfolgen soll, festzulegen.
Anschließend ist die anwendungsbereichsspezifische Bedrohungsanalyse durchzuführen und das Bedrohungsmodell zu generieren, das die Auswirkungen des Einsatzes des konkreten zu gestaltenden informationstechnischen Systems auf die Betroffenen und die Gesellschaft insgesamt darstellt. Dazu gehören die entstehenden Machtverschiebungen zwischen des Akteurinnen sowie die Folgen von zugrunde gelegten Modellannahmen und vorgesehenen Entscheidungsprogrammen, die dabei zugleich zu explizieren sind, aber auch die sich aus den einzelnen Verfahrenskomponenten in den einzelnen Verarbeitungsphasen ergebenden genauso wie die komponenten- und phasenübergreifenden besonderen Gefährdungen.
Für die identifizierten Bedrohungen sind dann angemessene Lösungen auszuwählen oder zu gestalten. Gestaltungsziele sind dabei die im vorherigen Kapitel ausführlich dargestellten Freiheits- und Partizipationsversprechen der modernen bürgerlichen Gesellschaft sowie die gesellschaftlichen Strukturschutzprinzipien und -mechanismen wie Gewaltenteilung, Machtbeschränkung, Transparenz oder Verfahrensgerechtigkeit.
Dabei wird grundsätzlich davon ausgegangen, dass es im Laufe dieses Prozesses erforderlich sein kann, zu einzelnen vorherigen Prozessschritten zurückzukehren, etwa um auf der Basis der Bedrohungsanalyse Ergänzungen oder Anpassungen an der Akteursdarstellung vorzunehmen oder um vor einer Übernahme von existierenden Lösungen in das eigene Entwicklungsprojekt dafür eine Bedrohungsanalyse zu erstellen. Auch erfordern Systemänderungen oder die Setzungen neuer Zwecke, aber auch wesentliche Änderungen im Anwendungsbereich, etwa durch das Auftreten neuer Akteurinnen in diesem Bereich, eine Wiederholung des Analyseprozesses.
Die zentralen Zwischenprodukte – die Anwendungsbereichsbestimmung, die Akteursanalyse sowie die Interessen-, Zweck- und Machtanalyse – sind für die Herstellung der Überprüfbarkeit des Bedrohungsmodells sowie der gewählten oder entwickelten Lösungen, etwa durch Aufsichtsorgane, Prüfinstitutionen oder Datenschutzvereinigungen, sowie als Grundlage für eine informierte Einwilligung von Betroffenen transparent zu machen. Die Veröffentlichung der Zwischenprodukte erzeugt zugleich eine starke Bindungswirkung, die mit einem an das Zweckbindungsprinzip angelehnten Modellbindungsprinzip noch verstärkt werden könnte.
Jörg Pohle; Humboldt-Universität zu Berlin; 2019
Open-Access-Erklärung: https://edoc-info.hu-berlin.de/de/nutzung/oa_hu
https://edoc.hu-berlin.de/handle/18452/19886
Zur leichteren Lesbarkeit wurden die Quellenverweise entfernt. Bei Interesse finden Sie sie im obigen Link.