Wie Heise Online heute berichtet scheinen mehrere Rechenzentren illegal Rezeptdaten an Pharmafirmen verkauft zu haben. Auch der schleswig-holsteinische Landesdatenschutzbeauftragte Thilo Weichert traut der Glaubwürdigkeit der vorliegenden Dokumente und Aussagen.
Der vorliegende Fall wird von einigen sicherlich als „das ist doch das, was die Spackeria will“ abgeheftet werden. Diese Annahme ist Unfug.
Was hier vorliegt ist nur eine Illustration der mangelnden Wirksamkeit der bestehenden Datenschutzregelungen: Die Daten lagen herum und irgendwann fand sich eben jemand, der das Risiko der Strafe für signifikanten Profit in Kauf nahm. Wenn man nicht will, dass etwas öffentlich bzw. verbreitet wird, dann muss es geheim bleiben. Datengeheimhaltung ist eine Kette aus Menschen und Systemen, das schwächste Glied bestimmt ihre Stärke.
Als Vertreter von Postprivacy würde man zwar Menschen durchaus ermutigen ihre Medikamenteneinnahme zu publizieren um sich mit anderen, die dieselben Krankheiten oder Symptome haben, auszutauschen und gegebenenfalls verträglichere Medikamente oder einen besseren Umgang mit den Nebenwirkungen zu finden. Menschen zu so etwas zu zwingen ist allerdings nicht der Ansatz, den Postprivacy verfolgt.
Die datenschutzkritische Spackeria 
Im Grunde ließe sich auch sagen, dass Post-Privacy als gesellschaftliche Entwicklung sich durch solche Geschehnisse alleine seinen Weg bahnt, ohne dass man sich vorher auf die Konsequenzen (die evtl. weniger dramatisch sind, als man befürchtet) vorbereitet hat.
Das ist absolut richtig und sehr treffend zusammengefasst.
Und genau dadurch wirken Advokaten für Post-Privacy manchmal ideologisch und verblüffenderweise systemtreu: Weil sie einen Prozeß zugleich für unausweichlich und für nützlich erklären.
Ich kann nur für mich sprechen: Ich halte ihn (ohne noch weniger wünschenswerte staatliche Repression) für unvermeidlich, und möchte daher aufzeigen, dass es neben den bekannten Nachteilen (die jede Veränderung mit sich bringt) auch eine ganze Stange von Vorteilen gibt, auf die man sich konzentrieren sollte.
In den USA gibt es das Portal http://www.patientslikeme.com/ dort tauschen sich Patienten offen über ihre Krankheiten aus, deren Behandlungen und die Wirksamkeit der Behandlung. Freiwillig auch viele mit Klarnamen.
In Deutschland dagegen wurden an Universitäten schon 1992 Newsgruppen geschlossen, die das Wort sex im Titel hatten (nach dem die „Zeitschrift“ „Emma“ wissenschaftlich ermittelt hatte, dass das Internet nur dafür da sein, ProfessorInnen kostenlos Masturbationsvorlagen zu besorgen. Die Gruppen wurden von Barbara Burr auch dann geschlossen, wenn sich dort Frauen über die dämpfende Nebenwirkung auf die Libido von zu hochdosierten Östrogenen der alten Antibabypillen sich austauschten.
Klar zeigt aber der Fall auch, dass das System des Bundesdatenschutzgesetzes mit betrieblichen und amtlichen Datenschützern einfach unwirksam ist. Hier werden personenbezogene Daten geklaut und verschachert und in Schleswig-Holstein wird die Bevölkerung verarscht, dass DigiTask für 20.000 € dem Innenministerium neue Software individuell entwickelt (statt nur den selben Mist wie bei den anderen parametrisiert) und für das wenige Geld auch noch die Hardware beistellt. Und der ULD schweigt brutalst möglich seit Monaten zu dieser Verhöhnung des gesunden Menschenverstandes. Er ist ja auch mit seinen ganzen Fernsehshows zu Facebook zu sehr belastet. In brandeins nennt man ihn neuerdings „Datenkrakeeler“.
http://www.brandeins.de/magazin/nein-sagen/jaeger-und-sammler-1.html
So wie Herr Weichert sein Amt für den Wirtschaftskrieg gegen die USA missbraucht, ist im Ergebnis kein Unterschied zu den Maximalforderungen der Spackeria zu erkennen. Konvergenztheorie 🙂 Oder wie Shakespeare sagt: „Viel Lärm um nichts“. (Much Ado about Nothing) Alaaf und Helau: de Datenkrakeeler küt!
„Menschen zu so etwas zu zwingen ist allerdings nicht der Ansatz, den Postprivacy verfolgt.“
Das nicht. Falls Postprivacy aber bedeutet, Datenschutz abzuschaffen oder zu einzuschränken, ist genau das die Folge. Datenschutz ist nämlich die Summe der Maßnahmen, die ermöglicht zu wählen, ob man etwas über sich öffentlich macht oder nicht.
Gerade Rezeptdaten sind ein schönes Beispiel, weil man da als Patient keine Wahl hat, ob diese Daten angelegt werden oder nicht. Ein „speichere nichts, von dem Du nicht willst, dass es öffentlich werden könnte“ hilft da nicht. Ich speichere meine Rezepdaten nämlich garnicht selbst. Das machen Arzt und Krankenkasse. Ich kann auch schlecht unter Pseudonym zum Arzt. Zumindest dann nicht, wenn ich will, dass meine Krankenkasse die Kosten erstattet.
Ergo: Ohne Datenschutz keine informationelle Selbstbestimmung.
Das ist in dem Moment hinfällig, wo deine Daten leaken. Das ist auch unter der Prämisse das Datenschutz erhaltenswert ist, kaum vermeidbar. Skandale dieser Art nehmen drastisch zu. Eine Offenlegung aller medizinischen Daten würde die Brisanz dieser für das Individuum deutlich senken, z.B. wenn derjenige der dieses Wissen ausnützen könnten selbst betroffen ist. Diese ist IMHO der einzige Weg um zukünftig die durch Leaken entstehenden Ungleichheiten bezüglich Informationeller Selbstbestimmung zu vermeiden.
Wir sollten Datenschutz nicht mit IT-Sicherheit verwechseln, wenngleich es sich um verwandte Themen geht und IT-Sicherheit eine Voraussetzung für effektiven Datenschutz sein kann. Im Datenschutz geht es um das Verhältnis zwischen grundsätzlich kooperationsbereiten Playern mit unterschiedlichen Interessen. Der Datenschutz soll das Kräfteverhältnis zwischen ihnen so gestalten, dass das Individuum als als Träger des Rechts auf informationelle Selbstbestimmung dieses Recht auch tatsächlich ausüben kann und nicht Unternehmen oder Behörden hilflos ausgeliefert ist. In der IT-Sicherheit geht es dagegen um den Schutz vor böswilligen Akteuren, die auf alle Regeln pfeifen. Rechtlich lassen sich solche Akteure nur mit den Mitteln des Strafrechts behandeln sowie — das ist die Schnittstelle zum Datenschutz — in gewissen Grenzen mit Sorgfaltspflichten für Datenverarbeiter.
Interessant an dem Rezeptadenfall finde ich übrigens die Verschiebung des Bedrohungsmodells auf dem Weg von der Theorie zur Praxis. Wir sehen Gesundheitsdaten häufig vor allem als Patientendaten. Im vorliegenden Fall ging es aber anscheinend gar nicht so sehr um die Patienten, sondern ganz andere Beteiligte. Hat sich über deren Interessn und Rechte überhaupt mal jemand Gedanken gemacht?
Öhm, egal ob auf der einen Seite oder der anderen, die Daten wurden Illegal weitergegeben. Ungeachtet meiner Ansicht zum Thema ‚privacy‘ ist diese weitergabe per Definition nicht OK. Warum sich jetzt aus diesem Fall ein Argument für ‚postprivacy‘ ergeben soll, erschließt sich mir nicht.