Zum Verhältnis von Technik und Recht, oder: Zum falschen Traum von

„code is law“

Die Debatte zum Verhältnis von Technik und Recht imprivacy- und Datenschutzbereich und da-zu, ob, inwieweit und in welcher Art und Weise rechtliche Anforderungen in informationstechni-schen Systemen und Informationsverarbeitungsprozessen und mit Hilfe welcher Regelungsregime umgesetzt werden können, oszilliert zwischen zwei Polen: einerseits dem Verhältnis von Technik und Recht im Allgemeinen oder Abtrakten – unter anderem mit dem falschen, aber vielzitier-ten „code is law“ (Larry Lessig) – und andererseits dem Verhältnis von konkrevielzitier-ten privacy- und datenschutzrechtlichen Regelungen zur Technik.¹⁵³¹ Von dieser stark juristisch dominierten De-batte getrennt werden in einem vorwiegend informatisch geprägten Umfeld konkrete technische Ansätze sowie Analyse- und Entwicklungsmethoden diskutiert – von „Privacy Impact

Assess-daraus folgende Möglichkeit eines rechtlichen und rechtspraktischen Zugriffs verstehen – und zugleich darauf verweisen, dass die Anbieterinnen rechtlich greifbar sind –, gehört Dix (2000, S. 93).

1527Siehe etwa Hughes (1993) und Lutterbeck (2000). Besonders extrem in dieser Richtung und ohne irgendeine Begründung Federrath und Pfitzmann (2001, S. 1): „Der Betroffene kann und darf sich nicht mehr allein darauf verlassen, dass der Staat oder die speichernde und verarbeitende Stelle genügend unternehmen werden, um den Betroffenen zu schützen.“

1528Einer der Gründe dafür liegt wohl in der damals weitverbreiteten Annahme, dass das Internet als großer Gleichmacher wirke und sich zu einem Global Village entwickle. Es ist nicht übertrieben, diese „Visionen“

als „typische Phantasmen der 90iger Jahre“ (Hellige (2015)) zu bezeichnen, vielleicht sogar alsdietypischen Phantasmen.

1529Siehe etwa Simitis (1998, S. 2476 f., 2477) oder Weichert (2000).

1530Eine wichtige Ausnahme ist humdog (1994).

1531Siehe zur Übersicht mit einer extremen Beschränkung auf die englischsprachige Debatte Bennett und Raab (2003, S. 159 ff.).

ment“ über „Privacy by Design“ bis hin zu „Sticky Policies“ –, deren Verhältnis zum Recht oft unbestimmt bleibt und die dennoch nicht selten als „silver bullets“ verkauft werden.

Dabei fällt schon zu Beginn auf, dass die Beteiligten dieser Debatte in den 1990ern ihre Erkenntnis, dass Technik das Verhalten ihrer Anwenderinnen regeln würde, für eine neue Er-kenntnis halten.¹⁵³² Weitverbreitet ist auch ein sehr beschränktes Verständnis der jeweiligen gesellschaftlichen Probleme, etwa des privacy-Problems,¹⁵³³ in der Art, dass sie durch die je-weils ziemlich banalen technischen Mechanismen, die als Beispiele angeführt werden, gelöst werden können.¹⁵³⁴ Hinzu kommt ein sehr oberflächliches Verständnis von Technik, indem et-wa behauptet wird, das Netzwerk könne Eigenschaften garantieren, die in der Realität jedoch technisch ausschließlich in den Endgeräten umgesetzt werden,¹⁵³⁵ oder es werden der Technik Eigenschaften unterstellt, die sie nicht hat.¹⁵³⁶ Damit zerfällt jedoch auch das zentrale Argu-ment, nach dem „Lex Informatica“ „automated and self-executing rule enforcement“ erlaube¹⁵³⁷ – was immer Technikdurchsetzen könne, sie kann sich nicht selbst einsetzenund in den meisten

1532Siehe Reidenberg (1998, S. 554, Fn. 5). Eine der zentralen Konsequenzen, die daraus gezogen wird – „code is law“ – ist dabei allerdings Humbug, insbesondere in der Form, die sie bei Lessig annimmt: „Architecture is a kind of law: it determines what people can and cannot do“ Lessig (1999, S. 59). Erstens ist es Humbug, weil Recht nicht festlegt, was Menschen – eigentlich: soziale Akteurinnen – tun oder nicht tunkönnen, sondern nur, was siedürfen. Zweitens ist auf der „code“-Seite nicht „code“ das Äquivalent zu „law“, sondern Anforderungen, Standards und Normen. Auch sie sind klassisch normativ und besitzen gleiche – oder zumindest sehr ähnliche – Eigenschaften wie Recht: Sie können unklar sein oder in sich widersprüchlich, Regelungslücken enthalten – siehe das Problem des „dangling else“ in C – oder miteinander in Regelungskonkurrenz stehen. Im Gegensatz zum gesellschaftlichen Bereich des Rechts gibt es jedoch im Technikbereich keine als allgemein legitim anerkannten Auslegungs- und Letztentscheidungsinstanzen. Die berühmte Normativität des Faktischen, die für die Technik unzweifelhaft gilt, stellt damit allerdings Technik zugleich auf eine Ebene mit „Organisation“ in dem Sinne, als Organisationen Recht – oder allgemeiner: Normen – implementieren oder gerade nicht implementieren, und anschließend die Organisation selbst zum begrenzenden Faktor der implementierten Norm wird, oder: Die Norm gilt nur noch insoweit, als sie von der Organisation umgesetzt wird, bzw. das, was die Organisation umsetzt, wird zur Norm. Siehe dazu auch Rotenberg (2001, Rn. 89). Und zumindest insofern hat Lessig dann wieder recht, wenn er schreibt: „control of code is power“ (S. 60), auch wenn er damit nicht über das hinausgeht, was zu diesem Zeitpunkt in der Debatte schon allgemein bekannt ist oder zumindest hätte sein sollen. In diese Richtung geht auch die Kritik Rotenbergs, siehe Rotenberg (2001, Rn. 17), der Lessig und seine Freundinnen der

„kalifornischen Ideologie“ (Evgeny Morozov) als zu Recht „cyber pundits“ bezeichnet (Rn. 36). Und „code“ ist zugleich auch nicht, wie Lessig behaupt, direkt vergleichbar zu „physical architecture“ – oder wie Grimmelmann (2005, S. 1722) bemerkt: „You can hack a computer program into destroying itself; you will have no such luck hacking a highway.“

1533Siehe ganz grundlegend etwa Lessig (1999, S. 153 ff.), wonach Diskriminierung durch den Markt grundsätzlich gut sei.

1534Siehe etwa Reidenberg (1998, S. 560 ff., 569). Noch deutlicher wird dies bei Lessig: „a world where problems can be programmed away“, Lessig (1999, S. 13). Das zeigt sich auch daran, dass Lessig eine der zentralen sozialen Entitäten moderner Gesellschaften mit Missachtung straft: Organisationen. Siehe dazu seine Darstellung der Einflusskräfte Normen, Markt, Architektur und Recht, Lessig (1999, S. 88): Normen wirken „through thestigma that acommunityimposes“, Märkte durch Preise, Architekturen „throught thephysicalburdens they impose“

und Recht durch die Drohung mit Bestrafung – Organisationen kommen nicht vor, und die Gesellschaft ist eine Gemeinschaft!

1535Siehe etwa das HTTP-Beispiel bei Reidenberg (1998, S. 560).

1536Siehe die Ausführungen bei Lessig (1999, S. 27 ff.), wo die Eigenschaften alsabsolute technischeEigenschaften des Netzes beschrieben werden – „Net95 has no way to verify who someone is“ –, diese jedoch weder technisch ist, sondern sozial – die Technik ist da, aber wird nicht (oder nicht umfassend) eingesetzt –, und nicht absolut, sondern relativ zu einem Zweck, der von der Verarbeiterin gesetzt wird. Und wenn Lessig behauptet, dass

„[u]nlike real space, cyberspace reveals no self-authenticating facts about identity“ wie Geschlecht, Alter oder Aussehen, sondern „only an address“ (S. 33), dann ist die Aussage falsch: In beiden Fällen wird alles aufge-deckt, was innerhalb der Transaktion liegt, und im Netz heißt das eben im Zweifelsfall auch: Web-Browser, Betriebssystem oder Herkunftsland. Siehe auch die Ausführungen zu TCP/IP bei Lessig (1999, S. 102).

1537Siehe Reidenberg (1998, S. 568).

Fällen ihren Einsatz gerade auch nicht erzwingen.¹⁵³⁸ Das komplette Fehlen einer Auseinander-setzung mit Organisationen und ihrem Technikgebrauch lässt darum auch sowohl Reidenberg wie Lessig übersehen, dass Recht Technikgebrauch steuern kann, ohne dies notwendig in Form einer Technikregulierung tun zu müssen.¹⁵³⁹ Noch schwerwiegender jedoch ist der Mangel an einer Auseinandersetzung mit den offensichtlichen Problemen, etwa wenn zur Norm wird, was in Technik umgesetzt wird, indem es in Technik umgesetzt wird, jedoch dabei die Rechte der Betroffenen beschnitten werden.¹⁵⁴⁰

Auch die stark juristisch geprägte Diskussion zum Einfluss des Datenschutzrechts auf die Tech-nik wie auch auf ihre Gestaltung nimmt immer wieder Bezug auf konkrete technische Systeme, ohne dass darüber reflektiert wird, in welchem Verhältnis das von der Technik „gelöste“ Pro-blem zu dem ProPro-blem steht, das das Recht zu lösen versucht.¹⁵⁴¹ So überrascht es kaum, dass Konflikte zwischen den Interessen der Datenverarbeiterinnen und denen der Betroffenen in einer Form als ausbalancierbar betrachtet werden, die die Grundentscheidung des Datenschutzrechts, den Schutz der Betroffenen in den Vordergrund zu stellen, strukturell unterminiert,¹⁵⁴² ohne dass die Rechtswissenschaft darauf reagiert.

Einer der Pfeiler dieses neuen Verhältnisses zwischen Datenschutzrecht und Technik ist die Forderung nach einem „technischen Selbstschutz“, der – zusammen mit einer Selbstregulierung der Datenverarbeiterinnen – an die Stelle einer rechtlichen Regulierung der Datenverarbeitung durch verantwortliche Stellen treten soll.¹⁵⁴³Dieser technische Selbstschutz, der auch als „Selbst-datenschutz“ bezeichnet wird, legt die Verantwortung für den Grundrechtsschutz in die Hand der

1538Daher bleibt es am Ende dann doch wieder dem Recht zugewiesen, für Entwicklung und Einsatz solcher tech-nischer Systeme zu sorgen, siehe Reidenberg (2001, S. 9 f.), wenn auch ziemlich sicher ohne Kenntnis über vergangene Versuche in dieser Richtung. Siehe dazu auch die Kritik Rotenbergs an Lessig, in der er unter anderem darauf hinweist, „[t]he history of privacy protection is the history of the effort to regulate the design of technology (»code«) by means of public institutions“, Rotenberg (2001, Rn. 15).

1539Siehe Rotenbergs sarkastische Bemerkung „[t]here are no references in the Privacy Act to »PDP 11/70s«, »VAX 350s« or »Winchester (3030)« disk drives“, Rotenberg (2001, Rn. 42).

1540Siehe Podlech (1982, S. 460 f.) zum Gebot der Sicherung der Rechtsposition der Betroffenen als Teil des Sys-temdatenschutzes.

1541Ein geradezu klassisches Beispiel dafür ist der Beitrag von Cranor (2000b), in dem die Autorin sehr deutlich aus-führt, gegen welche Gefährdungen die von ihr vorgestellten Werkzeuge schützen sollen, und der Umgang – oder besser: Nicht-Umgang – damit in allen anderen Beiträgen in diesem Band, vor allem denen von Juristinnen:

Das Verhältnis zwischen den von Cranor adressierten Gefährdungen und sowohl dem Datenschutzproblem wie dem Datenschutzrechtsproblem wird einfach nicht bestimmt. Es wundert darum auch nicht, dass es keinerlei Auseinandersetzung zum Umgang mit der Differenz gibt, also der Menge an Problemen, die von der Theorie und vom Recht adressiert, von der Technik jedoch nicht gelöst wird.

1542Siehe etwa Rannenberg (1998, S. 193), wonach die Betroffenenrechte ebenso wie die Anforderungen aller anderen Parteien „Berücksichtigung“ finden müssten.

1543So etwa einer der Beschlüsse des 62. Deutschen Juristentages in Bremen 1998, siehe Deutscher Bundestag, Drucksache 14/850 vom 04.05.1999, Anlage 5. Siehe zur Diskussion auf dem DJT auch die etwas zugespitzte Darstellung bei Duttge (1998, S. 38 ff.). Auf die Untauglichkeit der Selbstregulierung als Regelungsinstru-ment wiesen schon damals Studien hin, siehe etwa Culnan (2000) mit einer Übersicht. Daran hat sich bis heute nichts geändert, siehe dazu Swire (2012). Das Grundproblem liegt dabei schon in der grundlegenden Problemdefinition, wie etwa Kloepfer (1998, S. 23) zeigt: Die Risiken werden als „Risiken der Informations-technologien“ beschrieben. Siehe dazu auch die Ausführungen auf S. 66 ff., in denen die Verarbeitung perso-nenbezogener Informationen als geradezu zwingend beschrieben wird, in denen von der extremen Ausdehnung organisierter Informationsverarbeitung gesprochen und gleichzeitig suggeriert wird, die Bedrohung gehe jetzt von „[N]achbar[n]“ aus, und in denen es nur um den Schutz von Daten und den Schutz vor „Einblicke[n] in die Privatsphäre“ geht – kein Wort zur Gefahr einer der Erhaltung und Ausdehnung der Handlungsspielräu-me entgegengesetzten Vorstrukturierung Handlungsspielräu-menschlichen Handelns durch übermächtige Organisationen, deren Machterhalt und Machtposition durch den Technikeinsatz sichergestellt und erweitert zu werden droht. Siehe dazu etwa Lenk (1982).

Betroffenen¹⁵⁴⁴ und entspricht damit durchaus dem neoliberalen Gesellschaftsverständnis.¹⁵⁴⁵ Damit einher geht eine mindestens teilweise Neudefinition der Rolle der Datenschutzaufsichts-behörden: Zwar sollen sie noch immer Aufsicht über Datenverarbeiterinnen ausüben, wenn auch durchaus eher als Mitgestalterinnen von Technik und nicht nur zu deren nachträglicher Kontrol-le,¹⁵⁴⁶zugleich aber solle sich der Schwerpunkt ihrer Arbeit auf die Überzeugung der Betroffenen von der Notwendigkeit eines Selbstschutzes verschieben.¹⁵⁴⁷ Diese Reorientierung der Daten-schutzaufsicht erinnert fatal an eine Krankenhausaufsicht, als deren Aufgabe definiert wird, den Patientinnen zu kommunizieren „Werdet nicht krank!“¹⁵⁴⁸

Zur Frage, wie das Recht gestaltet werden müsse, um erfolgreich auf die Gestaltung der Technik Einfluss nehmen zu können, wird von der juristischen Debatte wenig Neues vorge-legt. Stattdessen wird vor allem auf bereits bestehende Gestaltungsansätze rekurriert, etwa den von provet vorgestellten, während sich beim Recht auf die allgemeinen Gestaltungsvorgaben verlassen wird.¹⁵⁴⁹ Und während große Einigkeit darüber besteht, dass Datenschutzbeauftragte Einfluss auf die Technikgestaltung nehmen sollen, bleibt die Debatte um die Frage desWie aus-gesprochen wolkig: Datenschutzbeauftragte sollen Entwicklerinnen „unterstützen“, etwa durch

„Vorschläge für Standardkonfigurationen“,¹⁵⁵⁰ indem Entwicklerinnen „ihre Konzepte und Vor-stellungen über Detaillösungen“ den Datenschutzbeauftragten zur Diskussion stellen und von diesen „Hinweise und Empfehlungen zur datenschutzgerechten Gestaltung“ bekommen¹⁵⁵¹ oder durch „»projektbezogene Dreiecke« zwischen Herstellern und Anbietern aus der Wirtschaft ei-nerseits, dem institutionalisierten Datenschutz andererseits sowie drittens der Wissenschaft“.¹⁵⁵²

1544Siehe etwa Schrader (1998), Federrath und Berthold (2000), Roessler (2000).

1545Aus Informatiksicht liegt die zentrale Schwäche der Auseinandersetzung mit Selbstdatenschutzsystemen im Fehlen einer sauberen Trennung zwischen solchen technischen Systemen, die von Datenverarbeiterinnen kon-trolliert werden und damit ausschließlich zu deren Bedingungen eingesetzt werden können, und solchen, die auch gegen den Willen der Datenverarbeiterinnen eingesetzt werden können. Während das grundsätzliche Problem in anderen Disziplinen zumindest angesprochen wird, siehe etwa schon Marcuse (1970) und Winner (1980), führt die Ignoranz der Informatik gegenüber diesem Problem zur strukturellen Unfähigkeit, die in die jeweiligen Informatiksysteme hineinkonstruierten Eigenschaften zum Gegenstand machen zu können. In einer etwas beschränkten Form findet sich eine diesbezügliche Regelung in § 26 des bündnisgrünen Entwurfes eines Bundesdatenschutzgesetzes von 1997, siehe Such und Fraktion Bündnis 90/Die Grünen (1997, S. 10).

1546Siehe etwa Federrath und Pfitzmann (1998) und Kessel (1998) zum Mitgestaltungsansatz, Roßnagel (1998) und Roßnagel (1999) zur Auseinandersetzung zum Datenschutzaudit sowie Klug (2001) zur Vorabkontrolle durch interne Datenschutzbeauftragte.

1547Siehe etwa Weichert (1998).

1548Siehe insofern die Ablehnung eines Einsatzes von Datenschutzbeauftragten als „vertrauenswürdige Dritte“ mit der Begründung, eine solche Dienstleistung würde mit ihrer Unabhängigkeit kollidieren, Fox (1998, S. 91). Das gilt sicher für die Unabhängigkeit der Datenschutzbeauftragten von den Datenverarbeiterinnen – gegenüber den Betroffenen würde es hingegen die Frage aufwerfen, ob die Datenschutzbeauftragten noch auf deren Seite stünden. Hingegen sehen Federrath und Pfitzmann (1998, S. 171 f.) gerade kein Problem in einer solchen Aufgabenzuweisung.

1549Siehe etwa Bizer (1998, S. 54 ff.), der diese Vorgaben als „relativ konkrete Vorgaben für die Gestaltung von [. . . ]Techniken“ (S. 62) bezeichnet, obwohl sie weder konkret sind – „[d]ie Gestaltung und Auswahl techni-scher Einrichtungen [. . . ] hat sich an dem Ziel, keine oder so wenige personenbezogene Daten wie möglich, zu verarbeiten und zu nutzen, auszurichten“ (§ 3 Abs. 4 Teledienstedatenschutzgesetz) – noch verpflichtend.

Während Bizer (1999, S. 49 ff.) von einer Verpflichtung ausgeht – auch wenn er etwa in Bezug auf die EG-Datenschutzrichtlinie in diesem Zusammenhang nur auf Erwägungsgründe verweist (S. 53) –, hat sich die Regelung letztendlich als eben nicht verpflichtend erwiesen, siehe Pohle (2015a).

1550Siehe Federrath und Pfitzmann (1998, S. 170).

1551Siehe Kessel (1998, S. 182).

1552Siehe Bizer (1999, S. 59). Ein solches Modell wurde umfassend bislang ausschließlich beim Unabhängigen Lan-deszentrum für Datenschutz (ULD) Schleswig-Holstein institutionalisiert.