Das Jahr 2019 war für mich – wie für viele Andere in meiner Filterblase – eines, das sich durch eine Menge an Aufregung über die Unvollkommenheit deutscher und europäischer Gesetzgebung im Zusammenhang mit Digitalisierung, IT und Datenschutz in mein Gedächtnis gegraben hat. Wenn ich ehrlich bin, habe ich mich prächtig über bürokratischen und legislativen Stumpfsinn aufgeregt und den aus meiner Sicht dafür verantwortlichen Politikern gerne auch mal jegliche Kompetenz abgesprochen. Gründe dafür gab und gibt es ja ausreichend: DSGVO, e-Privacy, Netzwerkdurchsetzungsgesetz, Urheberrechtsrichtlinie, Uploadfilter, Digitalsteuer usw. Aber war das immer angebracht?
Umso überraschender war für mich Ende 2019 ein gedanklicher Impuls, der mich meine Haltung nachhaltig überdenken ließ. Was, wenn ich die Sache bislang einfach nur von der falschen Seite aus betrachtet habe? Was, wenn gar nicht die Gesetze das Problem sind, oder sagen wir, nur zum Teil? Machen wir doch ein kleines Gedankenexperiment. Stellen Sie sich einmal folgende hypothetische Situation vor:
Als Unternehmer kaufe ich eine Menge von elektrischen Geräten für mein Unternehmen. Da sind Bürogeräte, Lampen, Computer und alle möglichen anderen Sachen dabei. Für die Beschaffenheit dieser Geräte gibt es allerdings wenige gesetzliche Regelungen. Alles darf, nichts muß! Teilweise fehlen an den Kabeln notwendige Isolierungen, Gehäuseverkleidungen wurden eingespart, um die Produkte billiger anbieten zu können. Netzteile sind nur manchmal abgesichert, Gehäusekanten sind scharf und bewegliche Gehäuseteile meist auch nicht so konstruiert, dass sie Quetschungen von Körperteilen verhindern würden.
Weil es aber schon zu diversen teils tödlichen Unfällen mit den Geräten gekommen ist, wurden die Unternehmen unlängst vom Gesetzgeber in die Pflicht genommen. Bevor ein elektrisches Gerät in Betrieb genommen werden kann, muss eine Elektrotechnik-Risikoabwägung durchgeführt werden, um festzustellen, ob von diesem Gerät eine Lebensgefahr für einen Menschen ausgehen kann. Hierfür hat der Unternehmer einen Elektrotechnik-Beauftragten zu bestellen, der bei der Prüfung beratend zur Seite steht. Gleichzeitig müssen bei Androhung erheblicher Bussgelder alle Komponenten der elektrischen Geräte durch die Unternehmen überprüft, in ein Verzeichnis aufgenommen und ggf. auch technisch durch das Unternehmen verändert werden, damit das Gerät sicher in Betrieb gehen darf. Anstatt die stromführenden Leitungen der Geräte zu isolieren, reicht es, die Benutzer der Geräte regelmäßig durch Awareness-Schulungen auf die Gefahren hinzuweisen. Bei manchen Geräten, die nur vom Hersteller geliehen werden können, dürfen die notwendigen Änderungen zur Erhöhung der Sicherheit gar nicht vom Unternehmen durchgeführt werden. Daher muss entweder auf die Nutzung verzichtet werden oder man läuft eben Gefahr, dass sich ein Mitarbeiter erheblich daran verletzt. Ich glaube, man nennt das, etwas billigend in Kauf nehmen.
Klingt irre? Ist es auch. Kein Mensch würde es akzeptieren, wenn Hersteller unsichere Geräte verkaufen dürften und die Käufer unter Androhung erheblicher Bußgelder gesetzlich dazu verpflichtet wären, für die Sicherheit der Geräte zu sorgen. Aber bei Datenschutz und IT-Sicherheit passiert genau das. Die DSGVO ist nichts anderes, als der Versuch, die Anwender beim Einsatz inhärent unsicherer und datenschutzfeindlicher Technologie zu reglementieren.
Unsere Gesetze sind so mangelhaft, weil sie am falschen Ende ansetzen.
Wir haben den Tech-Giganten mehrere Jahrzehnte Zeit gelassen, ihre Technologien praktisch regelungsfrei perfektionieren zu können und erst jetzt kommen wir allmählich auf den Trichter, diesem digitalen Wildwuchs auch als Gesellschaft mit Regeln und Rechenschaftspflichten Schranken zu setzen. Dabei erheben wir alle – voran natürlich die Digitalwirtschaft – den Anspruch, dass jedes neue Gesetz, jede Richtlinie, jede Leitplanke sofort optimal und perfekt alle Ansprüche jedweder Farbe erfüllen soll. Eigentlich ein Irrsinn, wenn man sich überlegt, dass wir ja auch als Gesellschaft noch immer auf der Suche sind, was denn der sinnvolle Ausgleich zwischen den verschiedenen Interessen sein kann. Wie sollten wir also perfekte Gesetze erlassen?
Sehen wir die DSGVO nicht nur als eine Sammlung von mehr oder weniger vernünftigen Regelungen sondern als das, was sie zuvorderst sein sollte: Eine Leitplanke, die von allen, die beruflich personenbezogene Daten verarbeiten, Rechenschaft verlangt, woher die Daten kommen, was mit den Daten passiert, wo sie hingehen und wann sie wieder gelöscht werden. Dass diese Forderung sich in der Praxis teilweise schwer umsetzen lässt, ist nicht die Schuld der DSGVO. Ich möchte dieser allgemein verbreiteten Auffassung vehement entgegentreten. Nicht das Gesetz ist an dieser Stelle verkehrt. Es ist die Technik. Wir haben Jahrzehnte damit zugebracht, zuzusehen, wie Konzerne Technologien entwickeln, die für uns zwar bequem sind und auf die wir größtenteils auch nicht verzichten wollen, die aber vornehmlich mal an den Bedürfnissen der Datenwirtschaft ausgerichtet sind. Wäre es anders, dann hätten wir schon vor Jahrzehnten die technologische Entwicklung in eine Richtung lenken müssen, die auch die gesellschaftlichen Anforderungen an Freiheit, Selbstbestimmung, Rechenschaft, Sicherheit und Vertrauen verwirklicht. Aber zu diesem Zeitpunkt, also in der Vor-Smartphone-Ära, hatten die meisten noch keine wirkliche Vorstellung von dem, was technologisch auf uns zurollen würde.
Ich verstehe den Frust und die Verzweiflung vieler Unternehmen, die nicht wissen, wie sie die vielfältigen Anforderungen der DSGVO umsetzen sollen. Die Urheber der DSGVO sind aber im Grunde der falsche Adressat. Vielmehr müsste sich der Unmut gegen die vielen Hersteller von Software und Hardware richten, die nur sehr zögerlich in jener Hinsicht gesellschaftlich adäquate Produkte und Dienstleistungen bereitstellen. Ich halte es für selbstverständlich, dass neue IT-Services und -Produkte als Teil der Anforderungsdefinition nicht immer nur dem Höher, Weiter und Schneller verpflichtet sein sollten sondern eben auch den gesellschaftlichen Anforderungen, die sich in einem Rechtsstaat eben durch entsprechende Gesetze und Verordnungen ergeben.
Natürlich ist diese Verordnung alles andere als perfekt. Viele Dinge sind umständlich, andere vielleicht gar nicht, wieder andere nicht klar geregelt. Es bleiben Interpretationsspielräume und Grauzonen. Aber was erwarten wir denn eigentlich? Dass ein Gesetzgeber den zeitlichen Vorsprung der Digitalunternehmen mit Links aufholt, die gesellschaftlichen, politischen und wirtschaftlichen Auswirkungen in der Theorie vollständig und korrekt vorhersieht und dann ein perfektes Gesetz erlässt?
Die Digitalisierung hätte mit Windows 3.11 enden müssen.
Ich wende mich gegen diejenigen, die den Geist eines Gesetzes damit zu bekämpfen suchen, dass sie sich die notwendigerweise enthaltenen Schwächen herauspicken und damit das gesamte Werk in Misskredit bringen. Wenn wir die Digitalisierung selbst so beurteilt hätten, hätten wir das Vorhaben spätestens bei Erscheinen von Windows 3.11 begraben müssen.
Die DSGVO ist derzeit das Beste, was wir haben, um der Digitalwirtschaft Leitplanken aufzuzeigen. Und dennoch gibt es hier diesen gravierenden Schwachpunkt: Grundsätzlich richtet sich die DSGVO an die Anwender der IT-Produkte und überlässt es deren Verantwortung, auch mit größtenteils datenschutzrechtlich ungeeigneten Produkten, die gesetzlichen Anforderungen irgendwie umzusetzen. Aus meiner Sicht wäre es immens wichtig, die Hersteller von IT-Produkten zur Einhaltung von Privacy by Design und Privacy by Default zu verpflichten.
IoT und kein Ende
Wir werden von Tonnen von IoT-Geräten überrollt. Jedes ist ein Computer mit Rechenkern, Programm, Speicher und Schnittstellen. Jedes einzelne Gerät kann grundsätzlich beliebigen Code ausführen, auch schadhaften. Während wir früher nur maximal einen oder zwei PCs im Hause hatten, die wir regelmäßig mit Updates versorgt und gegen Viren geschützt haben, sind es heute bereits unübersehbar viele Geräte: Kühlschrank, Fernseher, Waschmaschine, Beleuchtung, Kameras, Türöffner, Sprachassistenten, Smartphones, PC, Laptop, Babyphone. Staubsaugerroboter, Autos, Drucker, Router, …
Bei den meisten Geräten wissen wir nicht, was diese tun und welche Funktionen im Einzelnen darin stecken. Als Verbraucher werden wir in vielen Fällen im Dunkeln gelassen. Ich erinnere nur an die Autoindustrie, die jedes moderne Fahrzeug in eine fahrende Datenschleuder verwandelt hat oder Drucker, die regelmäßig “nach Hause telefonieren”, um dem Hersteller zu verraten, wie das Druckverhalten der Benutzer aussieht. Sicherheitsforscher haben gezeigt, wie man die Firmware von WLAN-fähigen Lampen kapert und mit einem Bündel solcher Lampen DDoS-Angriffe auf andere Unternehmen ausführt. Dieser Zoo von Geräten ist durch den normalen Verbraucher ohne Digitalstudium überhaupt nicht mehr zu bewältigen und selbst als Experte verzweifelt man immer wieder an der Ignoranz der Hersteller, ihre Geräte sicher zu machen.
Freiheit, Rechenschaft und Vertrauen
Wir werden scheitern, wenn wir versuchen, die Digitalisierung durch immer kleinteiligere und spezialisiertere Gesetze zu regeln. Vielmehr müssen wir zurück zu den Grundlagen einer funktionierenden pluralistischen Gesellschaft: Freiheit, Rechenschaft, Vertrauen. Technologische Entwicklungen müssen sich daran orientieren.
