3.3 „Digitale Souveränität“: Kontrolle für den Nutzer

Ein völlig anderes Feld im Aktivistendiskurs über ein neues digitales Menschenrecht bilden jene Sorte von Beiträgen, welche Konzepte der Kontrolle und der „informationellen Selbstbestimmung“ artikulieren. Alle diese Konzepte kreisen um die Einwilligung: Datenverarbeitung ja, aber man möchte bitte schön gefragt werden. Wenn der Mensch tatsächlich im Mittelpunkt der digitalen Gesellschaft stehen soll, so liegt es dem Paradigma der Kontrolle folgend nahe, die Datenverarbeitung radikal im Wollen und Entscheiden der Menschen zu verankern. Souverän ist, wer entscheiden kann, und digitale Souveränität bedeutet dann, selbst über die Verwendung der eigenen Daten entscheiden zu können.

Die Beiträge in diesem Diskursfeld knüpfen an keine existierenden Völkerrechtsnormen an, sondern fordern, dass die informationelle Selbstbestimmung in den Rang eines neuen digitalen Menschenrechts auf Privatsphäre erhoben wird. Gemeinsam ist ihnen auch, dass sie nicht, wie der klassische Liberalismus, auf den Staat als potenziellen Bedroher der individuellen Freiheit fokussiert sind, sondern auf private Wirtschaftsunternehmen.

Das Prinzip der Einwilligung

Das Forum d’Avignon gründet in der „Preliminary Declaration of the Digital Human Rights“ den Schutz der Privatsphäre auf die Zustimmung: „Any exploitation of the data or creative works of any individual requires his free, prior, informed, time-limited and reversible consent.“1 Auch die IRPC sieht die Essenz des Privatsphärenschutzes im Prinzip der Zustimmung: „Jede Person hat das Recht auf Datensouveränität. […] Wer auch immer persönliche Daten anderer Personen benötigt, muss die informierte Zustimmung der betroffenen Person Daten einholen“ (2014b: 19). Gleiches gilt für die Schriftsteller, die in ihrer Petition das Recht fordern, „for all people to determine, as democratic citizens, to what extent their personal data may be legally collected, stored and processed, and by whom; to obtain information on where their data is stored and how it is being used“.

Die vom Forum d‘Avignon angeführten Kriterien der Zustimmung sind am differenziertesten, werden aber leider nirgends interpretiert. Versuchen wir daher selbst eine Problematisierung: Die „freie“ Zustimmung ist natürlich das normative Fundament des Rechts auf informationelle Selbstbestimmung. Allerdings verbinden sich mit diesem Kriterium auch die größten Schwierigkeiten: Wenn Menschen immer schon in soziale, wirtschaftliche und politische Strukturen eingebunden sind, dann ist auch ihre Autonomie immer schon beschränkt – wie „frei“ ist etwa ein Jugendlicher, ein allseits beliebtes soziales Online-Netzwerk nicht zu nutzen? Analytisch betrachtet liegt das Problem darin, dass Rechte ein Gegenüber verpflichten, aber in diesem Fall, d.h. vor einer Registrierung, noch gar keine Beziehung zwischen Nutzer und Anbieter besteht. Es wäre absurd, dem Anbieter Freiheitseinschränkungen eines ihm noch unbekannten Kunden vorzuwerfen. Sofern hier tatsächlich Handlungsalternativen fehlen, liegt dies mehr an der Organisation des Marktes (Monopole) als an einzelnen Unternehmen, weshalb das Recht auf freie Zustimmung eher den Staat verpflichtet, entsprechende Rahmenbedingungen herzustellen.

Die anderen vier Kriterien formulieren dagegen Pflichten, die sich unmittelbar an den Diensteanbieter richten. „Vorausgehende Zustimmung“ bedeutet, dass eine Entscheidung getroffen wird, bevor potenzielle Kunden Zeit und Arbeit in eine Registrierung gesteckt haben. Die übliche Praxis, bei einer Online-Bestellung als letzten Schritt noch die AGB zu akzeptieren, erscheint vor diesem Hintergrund fragwürdig. Das Kriterium „informiert“ erfordert, dass das Datensubjekt Klarheit über die Verwendung seiner personenbezogenen Daten hat. Die IRPC spricht von Informationen bezüglich „des Inhalts, Zwecks und Speicherorts, der Dauer und Art des Zugangs, der Abfragemöglichkeiten und der Korrektur der persönlichen Daten“ (2014b: 19). Dieser Forderung entspricht eine komplementäre und u.a. auch vom Forum d‘Avignon angemahnte Transparenzpflicht der Anbieter.

Die beiden Kriterien einer „zeitlich begrenzten“ und „reversiblen“ Einwilligung gehören zu den innovativeren Vorschlägen im Datenschutzdiskurs. Sie liegen im Vorfeld eines Löschungsrechts, wie es die IRPC fordert (2014b: 19). Ethisch betrachtet kommen sie dem grundlegenden menschlichen Interesse entgegen, sich permanent selbst zu entwickeln. Soziale Realität ist immer im Fluss, entweder die Persönlichkeit ändert sich oder die gesellschaftliche Umwelt, und dann müssen auch die Datenregime so flexibel sein, dass die digitalen Fremdbilder nicht eingefroren und damit zu Karteileichen werden.

Außerdem trägt eine befristete und reversible Einwilligung einer völlig neuen Situation in der digitalen Welt Rechnung, die tendenziell nicht den Nutzer, sondern den Datenverarbeiter begünstigt. Heute reicht bereits der einmalige Kontakt, z.B. eine Online-Bestellung, um eine Beziehung mit einem Unternehmen herzustellen, die dann aber kein definiertes Ende hat, vergleichbar mit dem Verlassen eines Ladens nach Abschluss eines Kaufs. Eine befristete Einwilligung würde der Akkumulation von Daten Grenzen setzen und damit die Position der Nutzer stärken.

Kontrolle auch nach der Einwilligung

„Digitale Souveränität“ kann sich nicht allein in der autonomen Einwilligung erfüllen. In einem solchen „One Shot Game“ würde sich das Recht, Kontrolle über die eigenen Daten zu haben, darin erschöpfen, diese Kontrolle in einem Tausch freiwillig aufzugeben. Solange ein Unternehmen personenbezogene Daten eines Kunden speichert, hat es Einblicke in dessen Privatsphäre, und deshalb fordern die meisten Aktivisten unveräußerliche Kontrollrechte, die auch nach dem Zeitpunkt der Einwilligung noch gelten. Schon das eben genannte Prinzip der „Reversibilität“ ist im Grunde ein solches nachgelagertes Kontrollrecht.

Der Mehrwert eines solchen unveräußerlichen Kontrollrechts mag auf den ersten Blick nicht ersichtlich sein. Eine Analogie aus anderen, alltäglichen Zusammenhängen ist schwer zu finden: Wenn ich meinem Schneider die Telefonnummer freiwillig mitgeteilt habe, um bei Fertigstellung der Reparatur einen Rückruf zu erhalten, habe ich vermutlich keinen Anspruch, diese Information zu kontrollieren. Anders wäre die Situation aber, wenn der Schneider ein Spitzel ist, der Informationen an den Staat weitergibt, welcher damit zum eigentlichen Datenverarbeiter wird. In diesem Fall macht ein permanentes Kontrollrecht Sinn, wobei dieser Fall im digitalen Ökosystem wohl mehr die Regel als die Ausnahme ist. Kreditauskunfteien, Marketingfirmen etc. sind solche sekundären Datenverarbeiter, die enormen Einfluss auf Individuen haben, die bei ihnen überhaupt keine Kunden sind.

Forderungen nach einem Recht auf Kontrolle, das sich auf die Daten im „Maschinenraum“ bezieht, kommen vor allem wieder aus dem europäischen Raum. So lautet beim Forum d’Avignon das vierte Menschenrechtsprinzip „Right of Inspection: Everyone has the right to inspect and control his personal data, including that resulting from his behavior and objects connected to him.“ Was mit „kontrollieren” gemeint ist, wird nicht weiter erklärt. Aber wir wissen, dass schon ein bloßes Sich-Informieren eine Form des „zwingenden Blicks” ist, insofern Missstände aufgedeckt und eine Firma in Misskredit gebracht werden könnte. Ein darüber hinausgehendes Kontrollrecht bestünde darin, falsche Daten korrigieren zu können; es gibt viele drastische Beispiele, wie Menschen aufgrund fehlerhafter Daten, oder sogar einer Verwechslung von Identitäten, massive Nachteile erleiden (vgl. Garfinkel 2000: 25-29).

Die IRPC fordert, wie bereits angesprochen, nicht nur das Recht auf eine Abfrage von Daten, sondern auch ein Löschungsrecht (2014b: 19): Wer einen Gast in sein Haus lässt, der muss ihn auch wieder hinauswerfen können, sonst ist er nicht Herr im Haus. Der Aufruf der Schriftsteller verlangt, dass „ein Bürger seine Daten löschen lassen kann, falls sie illegal gesammelt und gespeichert wurden“ (meine Hervorhebung). Das kommt jenen Unternehmen entgegen, welche Datenschutz-Gesetze umsetzen; sie kämen in die Bredouille, wenn Kunden rechtmäßig geteilte Daten nach eigenem Belieben jederzeit zurückrufen könnten. Von einem „Recht auf Vergessenwerden“, wie es der Europäische Gerichtshof 2014 in seinem „Google-Urteil“ geschaffen hat, spricht keiner der untersuchten Texte.

Kritik der informationellen Selbstbestimmung

Das Paradigma der informationellen Selbstbestimmung steht durch den direkten Bezug zur individuellen Autonomie auf einem starken normativen Fundament. Gleichwohl wurden in den letzten Jahren immer lautere Zweifel angemeldet, ob es sich im Kontext von Big Data noch einlösen lasse. Die Zweifel kommen weniger von den Aktivisten selbst als von einzelnen Kommentatoren mit Nähe zur Wissenschaft. Einer davon ist Viktor Mayer-Schönberger, der Vordenker des „Rechts auf Vergessenwerden“. Er hält die informationelle Selbstbestimmung für „tot“. Bei den enormen Mengen an Daten, welche jeder Mensch heute freisetze, oft unbewusst, und der Komplexität von Big-Data-Märkten und -Technologien sei es illusorisch, noch anzunehmen, der Einzelne könne eine bedeutungsvolle Kontrolle über seine weitverstreuten Daten ausüben2 : „The naked truth is that informational self-determination has turned into a formality devoid of meaning and import. […] Protection for the consumer should not depend on the ability to comprehend what’s going on with her data and ability to take action.“3

Eine weitere kritische Stimme ist der Datenschutz-Experte, Rechtsanwalt und Blogger Eduardo Ustaran. Auch er hält es für eine Überforderung der Autonomie von Nutzern, wenn sie ihre Daten selbst kontrollieren müssten:

„Pretending that we can take a view in any meaningful way as to how information about us is gathered, shared, and used by others is wishful thinking. We cannot even attempt to recognize what personal information is being made available by us in our daily comings and goings, so how could we possibly decide whether to consent or not to every possible use of that information? […] Any legal regime that puts the onus on individuals (who are meant to be protected by that regime) is bound to be wrong. The onus should not be on us to decide whether a cookie may reside in our computer when hardly anyone in the real world knows what a cookie does. What the law should really do is put the onus on those who want to exploit our information by assigning different conditions to different degrees of usage, leaving consent to the very few situations where it can be truly meaningful.“4

Auch Ustaran vertritt damit die im theoretischen Teil bereits aufgegriffene Forderung (vgl. Schermer et al. 2014), dass Zustimmung auf jene Bereiche reduziert werden müsse, in denen sie relevant und realisierbar ist, während der Rest durch generelle Erlaubnisse und Verbote zu regeln wäre. Vielleicht liegt der grundsätzliche Fehler der informationellen Selbstbestimmung darin, dass Ziel und Methode verwechselt werden: Die individuelle Autonomie zu schützen, indem sie zugleich in Form von Wissens- und Entscheidungskompetenz in Anspruch genommen wird, erinnert ein wenig an das Abenteuer des Baron Münchhausen, der sich an den eigenen Haaren selbst aus dem Sumpf zieht.

  1. Einige Kommentatoren haben sich daran gestört, dass die Menschenrechtserklärung des Forum d‘Avignon personenbezogene Daten mit kreativer Arbeit gleichsetzt, denn damit werde unter der Hand das Copyright in den Rang eines Menschenrechts erhoben. Gut möglich, dass darin die Wirtschaftsnähe des Forum d‘Avignon zum Ausdruck kommt. Die Zustimmungsproblematik betrifft dies aber nicht. []
  2. https://privacyassociation.org/news/a/yes-consent-is-dead-further-continuing-to-give-it-a-central-role-is-danger/ (22.1.2015). []
  3. www.privacyassociation.org/news/a/keynote-forget-notice-and-choice-lets-regulate-use (22.1.2015). []
  4. www.linkedin.com/pulse/20140327085821-24251273-the-evolution-of-consent (20.1.2015). []