Auch nach einem Jahr Datenschutzgrundverordnung (DSGVO) zählt Privatsphäre zu den stark bedrohten Arten der digitalisierten Gesellschaft. Doch wie kam es eigentlich dazu? Welche Entwicklungen tragen maßgeblich zu dieser Bedrohungslage bei? Leiden Privatsphäre und damit Demokratie an einer unheilbaren, digitalen Krankheit, deren Verlauf wir nur besorgt beobachten, aber nicht mehr behandeln können? Oder ist wirksamer Datenschutz trotz Digitalisierung noch möglich, und was ist dazu notwendig?

Das kürzlich bei Routledge erschienene Buch „Privacy and Identity in a Networked Society: Refining Privacy Impact Assessment“ befasst sich intensiv mit diesen Fragen. Der Vorstellung einer Post-Privacy oder einer Transparent Society ohne Datenschutz wird dabei ebenso eine klare Abfuhr erteilt wie es vermieden wird, altbekannte Warnungen vom Ende der Privatsphäre aufgrund von Überwachung, Digitalisierung und steigender Informationsmengen zu wiederholen. Denn obwohl die Problematik an sich hinlänglich bekannt ist, fehlt es nach wie vor an Wissen über die genauen Umstände sowie mögliche Lösungsansätze. Diskussionen über Privatsphäre und Digitalisierung leiden stark am Wildwuchs digital vernetzter Technologien. Lange galten etwa soziale Medien oder smarte Technologien als Hauptproblemkinder; derzeit sind es vor allem Anwendungen rund um Big Data, Maschinelles Lernen und Künstliche Intelligenz. All das stimmt zwar, doch am Ende bleibt oft nur die alte Erkenntnis einer technologisch verursachten Bedrohungslage und zunehmender Überwachung. Es mangelt an neuem Wissen darüber, wie und warum der Einsatz digitaler Technologien die soziotechnische Landschaft zulasten der Privatsphäre derart umgestaltet. Dadurch bleibt die Suche nach wirksamen Datenschutzkonzepten bei fortschreitender Digitalisierung enorm schwierig. Daran konnten auch neue Instrumente wie die DSGVO nicht viel ändern.

Das Buch setzt hier an, ohne in die oben genannte Wildwuchsfalle zu tappen. Es untersucht, wie Privacy Impacts ursächlich entstehen und welche Faktoren Technologie-übergreifend gelten. Aus einer systemischen Perspektive, die sozialwissenschaftliche Forschung und Expertise aus der Informatik kombiniert, wird zunächst die enge Verbindung zwischen Identität und Privatsphäre analysiert und aufgezeigt, wie und warum Technologie diese Verbindung substantiell verändert hat. Es wird herausgearbeitet, dass es trotz der Komplexität und Vielfalt digitaler Technologien einen universalen Mechanismus gibt, der quasi technologieneutral in allen soziotechnischen Systemen vorherrscht: Identifikation, also die Verarbeitung von Identitätsinformation. Was zunächst als trivial anmutet, eröffnet in der detaillierten Analyse die wichtige weiterführende Erkenntnis, dass der Schutz der Privatsphäre allem voran ein zentrales Problem hat, und zwar unabhängig von konkreten Technologien oder Anwendungen: Wachsende soziotechnische Identifizierbarkeit und ein daraus resultierendes Kontroll-Dilemma. Technologien befinden sich in der Regel im Modus Identifiability-by-Default und Versuche, diesen Modus besser zu kontrollieren scheitern sowohl an sozioökonomischen, als auch politischen und technischen Faktoren. Zum einen mangelt es an wirksamer Governance und digitale Identitäten werden immer stärker ökonomisiert sowie zu Sicherheitszwecken instrumentalisiert. Zum anderen verhindert die Dynamik digitaler Information im Allgemeinen und die von Identitätsinformation im Speziellen technisch wirksamen Schutz. Die Folge sind wachsende Informationsasymmetrien, die Datenschutz, informationelle Selbstbestimmung und auch Sicherheit individuell wie institutionell noch schwieriger gestalten.

Um das Problem einzudämmen sind neue Ansätze eines Privacy Impact Assessment (PIA) unumgänglich. Das Buch schlägt daher ein Rahmenkonzept vor, das im Kern auf einer allgemeinen Typologie von Identitätsinformation basiert. Vier Grundtypen von Information ermöglichen es, sowohl personenbezogene, als auch technologisch-bedingte Identitätsinformation systematisch zu fassen. Das Rahmenkonzept ist theoretisch wie praktisch relevant: Es erlaubt, Datenschutzfolgen und Privacy-by-Design besser zu verstehen und ermöglicht die Entwicklung wirksamerer Schutzkonzepte.