Dr. Jörg Pohle über Informatiker, Juristen und die künftige Entwicklung der DSGVO

Dr. Jörg Pohle


ist PostDoc am HIIG und leitet das Forschungsprogramm „Daten, Akteure, Infrastrukturen: Governance datengetriebener Innovation und Cybersicherheit“. Daneben leitet er das Projekt „Global Privacy Governance“, dass sich mit gesellschaftlichen Aushandlungen im Bereich Privacy, Surveillance, IT-Sicherheit und Datenschutz beschäftigt. Seine Forschungsinteressen umfassen den Schnittbereich von Informatik und Recht, das Feld Informatik und Gesellschaft, Modellifizierung und ihre gesellschaftlichen Auswirkungen sowie Datenschutz durch Technikgestaltung.

Jörg Pohle studierte Rechtswissenschaft, Politikwissenschaft und Informatik in Berlin. Seine Diplomarbeit beschäftigte sich mit der Sicherheit von und dem Sicherheitsdiskurs zu Wahlcomputern. Er promovierte an der Humboldt-Universität zu Berlin über Geschichte und Theorie des Datenschutzes aus informatischer Sicht und Folgerungen für die Technikgestaltung.

IT und Rechtsblog: Wie kommt man dazu, Jura und gleichzeitig Informatik zu studieren? Gewinnt diese Schnittstelle immer weiter an Bedeutung?

Dr. Jörg Pohle: Schlicht aus Interesse. Ich hatte mich seit den frühen Neunzigern mit Computern beschäftigt, ein bisschen mit Programmiersprachen herumexperimentiert und mich für die Möglichkeiten des Internets interessiert. Und Jura schien mir das Studienfach zu sein, mit dem man sich die Zukunft am besten offenhalten konnte. Und die Verbindung zwischen beiden schien mir als ein offenes Feld, in dem es noch viel zu entdecken gab.

Aus Sicht des Rechts sind eigentlich alle Schnittstellen zu anderen Disziplinen bedeutungsvoll, denn immerhin regelt Recht fast ausschließlich Sachverhalte, zu denen die anderen Disziplinen inhaltlich sehr viel mehr sagen können, und das auch sehr viel fundierter. Dass die Jurist*innen immer noch glauben, dass sie als Regelungsexpert*innen auch zugleich Expert*innen für die zu regelnden Bereiche seien, überrascht mich nicht, aber ich finde es vermessen. Und da es sich bei Informatiksystemen nicht nur um eine Basistechnologie handelt, sondern um eine, die hochgradig formbar ist, nämlich mit Software frei programmierbar, setzt die rechtliche Regelung dieser Technik, von ihrer Entwicklung bis zu ihrer Anwendung in verschiedenen Anwendungsdomänen, ein hohes Maß an Verständnis sowohl der informatischen Basis wie konkreten Anwendungszusammenhänge voraus. Und das haben die meisten Jurist*innen, selbst wenn sie im IT-Bereich arbeiten, einfach nicht.

IT und Rechtsblog: Wie sind sie zu dieser Thematik gekommen? Was bedeutet Datenschutz für Sie eigentlich? Ist der Datenschutzbegriff ein Privacy-Programm oder mehr als das?

Dr. Jörg Pohle: Mit Datenschutzfragen habe ich mich schon im Studium auseinandergesetzt. Und schon da ist mir aufgefallen, dass die mir damals bekannten juristischen Arbeiten erstaunlich frei von technischem Verständnis sind, während es zugleich den informatischen Arbeiten ganz oft selbst an einem Grundverständnis von Recht mangelte – und trotzdem beide Seiten in den jeweils anderen Bereichen „wilderten“. Und da erschien es mir naheliegend, dass ich das besser machen könne. Mit meiner Dissertation hatte ich ursprünglich geplant, eine rechtlich fundierte „Übersetzung“ der datenschutzrechtlichen Anforderungen für eine informierte Technikentwicklung vorzulegen. Das war rückblickend etwas naiv – aus drei Gründen: Erstens hatte ich übersehen, dass schon die datenschutzrechtlichen Anforderungen selbst ein Produkt juristischen Un- und Missverständnisses der Informationszusammenhänge waren. Zweitens kann es keine direkte Übersetzung von Recht in Technik geben, denn die beiden Bereiche sind inkommensurabel, und es bedarf daher einer gemeinsamen Abstraktionsebene, auf der sie miteinander in Kommunikation gebracht werden können. Und drittens musste ich relativ schnell feststellen, dass es insbesondere in den ersten beiden Jahrzehnten der Datenschutzdebatte sehr viel fundiertere und zugleich sehr viel breitere Diskussionen dazu gab, was Datenschutz eigentlich sei, welche Probleme Datenschutz eigentlich zu adressieren versucht, welche Anknüpfungspunkte das Recht dafür bieten könnte und welche Voraussetzungen dafür erfüllt sein müssten – und dieser Teil war wissenschaftlich überhaupt nicht aufgearbeitet, sondern fast komplett in Vergessenheit geraten und mit Ignoranz gestraft.

Datenschutz ist, wie Wilhelm Steinmüller und seine Mitarbeiter*innen im bahnbrechenden Gutachten „Grundfragen des Datenschutzes“ (BT-Drs. VI/3826) ausführten, „die Kehrseite der Datenverarbeitung“ (S. 34), nämlich die „Menge der Vorkehrungen zur Verhinderung unerwünschter Folgen von Informationsverarbeitung“ (S. 44).[1] Ziel des Datenschutzes ist es, so Adalbert Podlech, wie Steinmüller einer Begründer des Datenschutzes in Deutschland und zugleich mit ihm einer der Kläger im Verfahren vor dem Bundesverfassungsgericht gegen das Volkszählungsgesetz 1983, in seinem 1982 erschienenen Beitrag „Individualdatenschutz – Systemdatenschutz“, Prozesse der Informationsverarbeitung so zu ordnen und zu gestalten, dass sie „keine sozialschädlichen Folgen herbeiführen“ (S. 452). Grundlage für ein Verständnis des Datenschutzes ist demnach eine fundierte Analyse gesellschaftlicher Informationsverarbeitung, insbesondere durch Organisationen, der zunehmenden „Verdatung“ der Welt (Dammann 1974), der „Informatisierung“ der Gesellschaft (Nora, Minc 1978) und der Industrialisierung der gesellschaftlichen Informationsverarbeitung (Steinmüller 1979). Der Kern des Datenschutzproblems – also das, was der Datenschutz zu adressieren versucht – sind die strukturellen Machtimbalancen, die durch die Rationalisierung, Maschinisierung und Automation gesellschaftlicher Informationsverarbeitungsprozesse erzeugt, verstärkt oder verfestigt werden, und deren Folgen für Individuen, Gruppen, Organisationen und die Gesellschaft insgesamt. Datenschutzrecht ist dann „nur“ die rechtliche Umsetzung des Datenschutzes, nicht aber Datenschutz selbst – Datenschutz selbst ist ein dezidiert interdisziplinärer Untersuchungsgegenstand.

Datenschutz und Privacy (oder Privatsphäre oder Privatheit) haben zwar an bestimmten Stellen Überschneidungen, aber zugleich auch sehr fundamentale Unterschiede: Datenschutz problematisiert Informationsverarbeitung in vermachteten Verhältnissen, etwa zwischen Staat und Bürger*innen, Organisation und Mitgliedern, Organisation und Klientel, großen und kleinen Organisation, zwischen Politik und Öffentlichkeit, zwischen Legislative und Exekutive oder zwischen zentralen und dezentralen Organisationseinheiten des Staates. Und an den letzten Beispielen sieht man dann schon, dass Datenschutz weit über Privacy hinausgeht. Dass es sich dabei keineswegs um völlig aus der Luft gegriffene oder nur in Fringe-Kreisen diskutierte Teile von dem handelt, was unter Datenschutz zu verstehen ist, zeigt sich etwa daran, dass zwischen 1978 und 2018 das Hessische Landesdatenschutzgesetz als Zweck des Gesetzes in § 1 Abs. 1 Nr. 2 statuierte, „das auf dem Grundsatz der Gewaltenteilung beruhende verfassungsmäßige Gefüge des Staates, insbesondere der Verfassungsorgane des Landes und der Organe der kommunalen Selbstverwaltung untereinander und zueinander, vor einer Gefährdung infolge der automatisierten Datenverarbeitung zu bewahren.“

Wenn man Artikel 1 der DSGVO ernst nimmt, dann verfolgt die Verordnung unter anderem das Ziel, „die Grundrechte und Grundfreiheiten natürlicher Personen“ zu schützen. Das ist immer noch sehr viel umfassender als die meisten Privacy-Verständnisse.

IT und Rechtsblog: Konnte die Datenschutzgrundverordnung ihre Vorstellung vom Datenschutz ausreichend adressieren? Wo sehen Sie Stärken und Schwächen der Datenschutzgrundverordnung?

Dr. Jörg Pohle: Nein, das wollte sie aber auch gar nicht. Wenn man Artikel 1 der DSGVO ernst nimmt, dann verfolgt die Verordnung unter anderem das Ziel, „die Grundrechte und Grundfreiheiten natürlicher Personen“ zu schützen. Das ist immer noch sehr viel umfassender als die meisten Privacy-Verständnisse, aber zugleich dennoch arg beschränkt, noch dazu ungerechtfertigt beschränkt: Warum sind nur die Grundrechte und Grundfreiheiten natürlicher Personen beschränkt, nicht aber auch juristischer Personen, die doch auch Grundrechtsträger sind? Es gibt nicht eine Begründung dafür in der Literatur.

Die Hauptstärke der DSGVO liegt darin, dass zu den vielen Dingen, die sie von der 1995er Datenschutzrichtlinie – und die wiederum aus den verschiedenen nationalen Regelungen der Mitgliedstaaten – übernimmt, der stark prozedurale Ansatz ist, der darauf aufbaut, dass die Verantwortlichen gezwungen sind, sich mit ihrer Informationsverarbeitung und den dabei für Betroffene entstehende Grundrechtsrisiken auseinanderzusetzen, um auf dieser Analyse aufbauend die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um den Schutz der Grundrechte der Betroffenen sicherzustellen. Leider entstehen gerade erst die ersten Versuche, das ordentlich zu operationalisieren, etwa das im November 2019 veröffentliche Standard-Datenschutzmodell (SDM) der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (siehe https://www.datenschutzzentrum.de/sdm/).

Die erste Hauptschwäche ist die Detailverliebtheit großer Teile der Regelungen, die die praktische Anwendung der DSGVO vor allem deshalb behindert, weil sie oft in einer im Hinblick auf den Anwendungsgegenstand und die Anwendungsdomäne falschen Konkretheit der Regelungen besteht. Die zweite Hauptschwäche ist, dass die DSGVO immer noch am dysfunktionalen und überkommenden Konzept der personenbezogenen Daten als Anknüpfungspunkt festhält.

IT und Rechtsblog: Hat die Datenschutzgrundverordnung auch die richtigen Antworten für die künftigen Entwicklungen, Stichwort „KI“, Data Mining/Data Science, und IoT, parat? Müssten wir eigentlich nicht von nun an vom Maschinenbezug, statt vom Personenbezug sprechen (vgl. Dr. Jan Bohnstedt, Vom Personenbezug zum Maschinenbezug)? Denn einige schlagen ja für Geräte wie Alexa und Co. eine eigene Rechtspersönlichkeit vor. 

Sie sprechen in diesem Kontext auch von der „methodologischen Schwäche“ der Juristen, insbesondere im Bereich des Datenschutzes. Die Frage, die sie aufwerfen, ist doch auch, ob der Personenbezug der „richtige“ rechtliche Anknüpfungspunkt ist. Mit welchen rechtlichen Anknüpfungspunkten müssen wir künftig operieren?

Dr. Jörg Pohle: In keinem der genannten Bereiche gibt es fundamental Neues, dass den konzeptionellen Rahmen der DSGVO sprengen würde. Allenfalls aufgrund der oft falsche Konkretheit bestimmter Regelungen in der DSGVO kann und wird sie in der Zukunft an einzelnen Entwicklungen scheitern, nur um dann vom Gesetzgeber noch kleinteiliger ergänzt zu werden.

Die rechtliche Konstruktion „Personenbezug“ dient zentral der Operationalisierung von Betroffenheit, weil weder der Gesetzgeber noch die überwiegende Mehrheit der Jurist*innen die Interventionsrechte als Jedermannrechte ausgestalten wollen. Der Vorschlag zur Ersetzung von Personenbezug durch Maschinenbezug basiert demnach auf terminologischer Koinzidenz, nicht auf einer konzeptionellen Verbindung zwischen beiden.

Die vorgeschlagene Vergabe von Rechtspersönlichkeit an Maschinen ist einerseits schlicht Teil einer langen Kette der Ausdehnung dieses Konstituts, angefangen bei der juristischen Person. Andererseits sehe ich aber nicht, welches Problem im Bereich des Datenschutzes damit adressiert werden soll. Und drittens scheinen mir viele der vorgelegten Begründungen für eine Ausdehnung eher rechtsesoterisch, denn rechtswissenschaftlich fundiert, und in den meisten Fällen frei von technischem Sachverstand, etwa wenn darauf verwiesen wird, dass die Maschinen „Entscheidungen“ treffen würden.

Meine Kritik am Konstrukt des Personenbezugs im Datenschutzrecht richtet sich nicht auf den Personenbezug selbst, sondern auf den Personenbezug von Daten. Wenn es darum geht, die Auswirkungen von Informationsverarbeitung auf Betroffene zu adressieren, dann ist es eben dysfunktional, eine bestimmte Form von Input, nämlich gerade die personenbezogenen Daten, als Anknüpfungspunkt zu wählen. Erstens geht weder mit jeder Verarbeitung personenbezogener Daten ein Risiko für Grundrechte einher – der Anknüpfungspunkt ist also exzessiv. Zugleich ist er aber auch zu kurz gegriffen, denn Informationsverarbeitung kann auch Risiken für Grundrechte und Grundfreiheiten erzeugen, wenn keine personenbezogenen Daten verarbeitet werden. Und die Auseinandersetzung um „dark patterns“ zeigt, dass es sogar die Gestaltung informationstechnischer Systeme selbst sein kann, die Risiken für Grundrechte erzeugt, verstärkt oder verstetigt.

Selbst wenn es dabei bleiben sollte, dass Interventionsrechte auch zukünftig auf konkret Betroffene beschränkt bleiben sollen, dann kann ein sinnvoller Anknüpfungspunkt nur in der Folgendimension gefunden werden, also entweder bei der Verfahrensbetroffenheit (vgl. Moritz Kargs Konzept des personenbezogenen Verfahrens, in ZD 2012, 255) oder der Entscheidungsbetroffenheit (vgl. mein Vorschlag zu personenbezogenen Entscheidungen, in DANA 2016, 14). Aber selbst wenn man die Interventionsrechte so beschränkt, folgt daraus nicht notwendig auch, dass es einer Beschränkung des Anwendungsbereichs des Datenschutzrechts bedarf, insbesondere weil das Datenschutzrecht ja eh schon weitgehend objektivrechtlich ausgestaltet ist.

IT und Rechtsblog: Nun sind wir, wie Sie wissen, ein IT und Rechtsblog. Wir plädieren, besonders im Bereich des Datenschutzes, für mehr Kooperation zwischen Juristen und Informatikern. Was können Informatiker von Juristen lernen und Juristen von Informatikern? 

Dr. Jörg Pohle: Also erst einmal könnten und müssten beide Seite voneinander etwas über die Grundlagen der jeweils anderen Seite lernen, also etwa: Was sind die Vorannahmen oder Setzungen, auf denen die jeweiligen Disziplinen aufbauen? Was sind die zentralen übergreifenden Ziele, die jeweils verfolgt werden? Unter welchen Bedingungen operieren sowohl die Disziplinen als auch deren Produkte, also Recht und informationstechnische Systeme, etwa ? Was sind die charakteristischen Tätigkeiten von Jurist*innen bzw. Informatiker*innen, also Subsumieren, Auslegen, Werten, Abwägen, aber auch Dogmatisieren einerseits, Systemanalyse, Modellierung, Algorithmisierung andererseits? Im Grunde braucht es also eine echte und ziemlich umfassende Einführungslektion in das jeweils andere Fach.

Jurist*innen können von Informatiker*innen viel über Systeme lernen, Systeme in einem allgemeinen Sinne, also etwa im Sinne der allgemeinen Systemtheorie, und damit mehr über das Rechtssystem als System lernen. Vor allem aber können sie etwas über Anforderungsanalyse, Modellierung und Architekturgestaltung lernen. Auf der Ebene der informatischen Grundkonzepte denke ich etwa an Berechenbarkeit, Algorithmen und Heuristiken (und deren Unterscheidung), aber auch konkret an die Unterscheidung zwischen zentralen, dezentralen und verteilten Systemen – etwas, das zum Beispiel bei der Beschreibung von Blockchains von Jurist*innen bis heute nicht begriffen wird. Darüber hinaus müssten Jurist*innen verstehen, warum es keinen kategorialen Unterschied zwischen verschiedenen Materialisierungsformen wie Hardware, Microcode, Firmware, Software und Konfiguration gibt, und welche Folgen die nicht-kategorialen, aber stark praktischen Unterschiede zwischen verschiedenen Materialisierungen haben. Und nicht zuletzt müssten Jurist*innen die jeweiligen Grenzen informatischer Systeme verstehen: dass es nicht effizient berechenbare, per se nicht berechenbare, nicht algorithmisierbare, nicht einmal formalisierbare Probleme gibt.

Die Informatiker können von Jurist*innen viel darüber lernen, wie man mit den Anteilen von Problemen umgeht, die nicht berechenbar, nicht algorithmisierbar oder gar nicht formalisierbar sind, wie man überhaupt feststellt, dass das vor einem liegende Problem informatisch nicht lösbar ist, und wie man es dann unter Zuhilfenahme nichtinformatischer Ansätze, ob organisatorischer oder rechtlicher, möglicherweise doch für alle Beteiligten akzeptabel „lösen“ kann (da sind etwa die Wirtschaftsinformatik*innen sehr viel weiter als die Kerninformatik*innen). Ganz grundsätzlich müssen die Informatiker*innen lernen, dass die Tätigkeiten des Subsumierens, Auslegens, Wertens, Abwägens oder Dogmatisierens schon nicht formalisierbar, geschweige denn algorithmisierbar oder gar berechenbar sind. Und vor dem Hintergrund, dass es ein relatives Primat des Rechts gibt – es ist nämlich die Sprache des Rechts, in der die Bedingungen, Prozesse und Erfolgskriterien für einen gesellschaftlichen Interessensausgleich verbindlich normiert sind –, müssen die Informatik*innen in der konkreten Rechtsanwendung lernen, welche Vorstellungen, Annahmen und Ziele die jeweilige Normsetzung und -auslegung angeleitet haben. Es ist – und damit möchte ich schließen – mir in der Auseinandersetzung mit Informatik*innen, die sich mit Rechtsfragen beschäftigen, auch in der universitären Lehre, immer wieder aufgefallen, wie weit verbreitet der Glaube ist, dass es ausreiche, den Gesetzestext zu lesen, und wie selbst nach wiederholtem Insistieren auf der Notwendigkeit, in Gesetzeskommentare zu schauen, Informatiker*innen sich schlicht weigern, dort einen Blick hineinzuwerfen.

Vielen Dank für das Gespräch.

[1]     Die Literatur, auf die hier und im Folgenden verwiesen wird, findet sich in Pohle, J. (2019). Zu den gesellschaftlichen Auswirkungen zunehmender Verdatung und Automation – Erkenntnisse aus der Frühzeit und Hochphase der Datenschutzdebatte. In N. Burzan (Hrsg.), Komplexe Dynamiken globaler und lokaler Entwicklungen. Verhandlungen des 39. Kongresses der Deutschen Gesellschaft für Soziologie in Göttingen 2018. URL: https://publikationen.soziologie.de/index.php/kongressband_2018/article/view/1157.