My near philosophical musings about the world in general its problems and possible ways out.

2015-12-09

Knowledge is power

Knowledge is power. This is known since Sir Francis Bacon coined the phrase back in 1597.

Hence, knowledge about people is power over people.

Since we humans used to live in societies rather than alone and in isolation, we have to cede parts of our decision-sovereignty to the community. When living in a representative democracy, citizens delegate this part to elected representatives, who in turn form the governmental bodies.

This insight is neither new nor innovative. The right balance between a sufficiently empowered state and an inappropriate loss of sovereignty however is difficult to achieve. Traditionally a shift in one direction or the other direction is common and inevitable.

Although this task turns out to be challenging enough, not always resulting in the optimal solution to this conflict, the currently available information and communications technology adds yet another component to it. And here we even cannot draw from tradition.

Although innovative minority groups, such as European pirate parties, regarding themselves as the vanguard of an emerging political movement, addressed this issue several years ago and thus for a short period gained some public attention. Only recently the realization has become mainstream that our informational self-determination is at risk if not even already compromised. In the end it was triggered by the far-reaching revelations of secret practices by the US whistleblower and ex-NSA employee Ed Snowden.

The shock struck us hard. It raised the attention of a major part of many nations' societies and caused a lot of indignation. A lasting learning effect however, which would result in consequences to our political philosophy, could not be observed. Apparently, it is not an easy task to complement our basic understanding of self-determined life in the light of the new technical opportunities.

It is common understanding that the basic conditions for a civilised human life include the concept of privacy. We all need some room we call privacy, in which we are "amongst ourselves" where we can freely operate without having to ask someone's permission. By default the outside world should not have any insight here. At least we want to retain control to decide for ourselves who should know what.

The medieval law that "breathing city air for a year and a day” made you a free man was the lure that made whole generations migrate into the cities. And not only were they fleeing the feudal structures in the countryside. The promises of anonymity too directly translated into personal freedom. In the villages everyone knew (almost) everything about (almost) everyone. A foreigner was immediately recognized and met with suspicion. In the cities however, by default, everyone was a stranger. To encounter a familiar face, rather was the exception.

This precious anonymity from the outset was in conflict with governmental obligations. Some compromise had be found, a deal to be closed. In former periods too this deal was not always respected by the parties. The sovereign sniffed on his citizens, the citizens cheated their sovereign. It is not much of a surprise therefore that nowadays secret services, as well as parliamentary supervised institutions succumbed to the temptation to harness the new possibilities of global communication by grabbing all available information. Most puzzling however is that long after its unveiling the public already stands scared stiff.

The need for privacy varies greatly from individual to individual; even more so than the desire for physical freedom or the freedom of speech. On the one hand there are people who hide from the public, almost paranoid of any publicity. Others enjoy living their life publicly – thereby spreading all of their personal information.

As mentioned before, the issue is about setting minimum standards. Even if that should ever be achieved, it will not suit everyone.

Imagine we would, e.g. represented by the United Nations, like to let the world know about our demand for privacy, how then would this look?

As the most fundamental principle we would request that each person owns all personal information. Only he or she can authorize the use of this information by third parties.

Many services in a modern society however cannot be provided to anonymous customers. They require knowledge of some attributes of this person.

Again, we should say that in principle only the person may authorise the use of this data - bound and restricted to this particular service. Here, for the purpose of feasibility and efficiency this consent may well be given implicitly by using the service.

As a rule, the minimum principle applies here too: Only that information may be collected, used and stored, which is necessary for the provision of the specific service. And it may be kept only as long as this necessity lasts.

Any disclosure or sale to and use of by third parties – whether it be commercially or not - for purposes other than those authorized, is hereby excluded.

According to this philosophy these principles apply universally, thus to operators of search engines, social networks or other collaboration platforms as well.

Also these principles should apply to information that has been previously published by the person, however they may be spread across places and times.

The collection and collation of their data allows the generation of information, and in turn knowledge about a particular person. These aggregations and the resulting analysis of any subsequent analysis thus are also subject to the personal data sovereignty.

In order to exercise the right of ownership on information about oneself, another rule is required: a right to information. Contractors, who keep information about a person, in order to provide services, on request must be able to provide this particular information at any time.

On request this information then has to be deleted. Of course, such demand, issued prematurely, may lead to the termination of a business relationship and ultimately also to claims for damages. These secondary legal consequences, however, are seen as subordinate to the "fundamental right" to personal data sovereignty.

In principle this relationship towards third parties applies to states as well. In this sense they are regarded as ordinary contractors. As such, however, they may claim their freedom of contract and, where appropriate, refuse services (for example, to grant a visa or crossing a border), in case that the person is unwilling to provide sufficient information about themselves.

The relationship towards our own state however has to be viewed differently. To this authority we have collectively transferred the monopoly of power. In order to fulfil its associated obligations, it occasionally needs information about the person concerned that goes beyond the "usual level" even without that persons explicit consent. This may be the case in the course of a judicial investigation or a police action. In order to largely rule out abuse in these cases, this extended access to information requires a judicial authorization in each individual case.

This requirement appears so natural, that it is already fundamental to many legal systems. Here rather, it is imperative to find ways to ensure its practical implementation and to keep all parties' operations transparent.

Concluding, we demand legal systems of all countries of this planet to implement the following principles...

  1. Ownership - The individual is the owner of her personal data

  2. Control & Consent - Being the owner, he has control over his personal data. Any use by third parties requires his consent.

  3. Minimal Disclosure & Constrained Use - In this case only those data may be used, which are necessary to fulfil the intended purpose. The data must be kept only during the designated period.

  4. Justifiable Parties - Personal data, which has been released to a third party for a specific purpose, may be made available to the necessarily involved parties only.

  5. Transparency - If personal data about an individual are held by a third party, this individual has the right to request information about the type of information and its use at any time. The means enabling him to do so, and it must be provided to him in a reasonable manner.

  6. Revocation - The individual may withdraw his consent to keep selected personal data once given to third parties at any time.

  7. Judicial warrant - If authorities equipped with sovereign rights feel an increased need for personal data, while they are pursuing their obligations with respect to the individual, a court order to allow this access should be required.

We deem it necessary to adopt these principles in respective national laws in order to ensure the civil rights, necessary for a free and enlightened civil society, in the digital space as well.

This seems necessary, as information can be derived from the combination of various personal data which in turn may result in knowledge about a person.

Knowledge however is power.

Hence knowledge about people equals power over people.

Consequently the control of their own personal information belongs into the hands of these very people.

2015-12-03

Wissen ist Macht


Wissen über Menschen ist Macht über Menschen.

Da wir Menschen in Gesellschaft leben und nicht isoliert und allein, müssen wir einen Teil unserer Entscheidungssouveränität an die Gemeinschaft abgeben. In einer repräsentativen Demokratie delegieren die Bürger einen Teil dieser Macht an gewählte Volksvertreter, die ihrerseits staatliche Stellen besetzen.

Das ist weder neu noch originell. Die Balance zwischen einem ausreichend handlungsfähigen Staat und einem zu großen Souveränitätsverlust aber ist schwierig und gibt traditionell Anlass zu permanenten Verschiebungen in die eine oder andere Richtung.

Wenn das bereits schwierig genug ist und keineswegs immer das Optimum dieses Konfliktes gefunden wird, so fügt die aktuell verfügbare Informations- und Kommunikationstechnik diesem Konflikt noch eine weitere Komponente hinzu. Und in dieser haben wir noch keine Tradition.

Zwar haben innovative Randgruppen, wie die europaweit aufgetretenen Piratenparteien, sich als Avantgarde einer kommenden Erkenntniswelle verstehend, dieses Thema bereits vor einigen Jahren adressiert und damit kurzzeitig eine gewisse öffentliche Aufmerksamkeit gewinnen können. Mainstream geworden ist die Erkenntnis, dass unsere informationelle Selbstbestimmung gefährdet, wenn nicht gar schon kompromittiert ist, erst durch die weitreichenden Enthüllungen geheimer Praktiken durch den US-Amerikanischen Whistleblower und ex-NSA Mitarbeiter Ed Snowden.

Der Schock saß tief, hatte weite Bevölkerungskreise erreicht und für viel Empörung gesorgt. Ein erkennbarer Lerneffekt, der zu Konsequenzen in unserer politischen Philosophie hätte führen müssen, ist aber nicht zu beobachten. Offenbar ist es nicht leicht, unser Grundverständnis von selbstbestimmten Leben im Lichte der neuen Möglichkeiten zu ergänzen.

Klar ist, dass zu unserem Verständnis vom Menschsein auch der Begriff der Privatheit gehört. Wir alle brauchen einen Bereich, den wir Privatsphäre nennen, in dem wir „unter uns“ sind. In diesem Kreis wollen Dinge tun, ohne jemand anderes um Erlaubnis fragen zu müssen. Im Zweifel soll die Außenwelt davon nichts erfahren. Zumindestwollen wir selber kontrollieren, was sie erfahren soll – und was nicht.

„Stadtluft macht frei“ war der Lockruf, der neben materiellen Verheißungen, ganze Generationen in die Städte ziehen ließ. Und keineswegs war nur die Flucht vor der feudalen Herrschaftsstruktur auf dem Lande der Antrieb. Auch die Verheißungen der Anonymität wurden unmittelbar mit Freiheit übersetzt. Auf dem Lande wusste jeder (fast) alles über (fast) jeden. Den Fremden erkannte man sofort und begegnete ihm mit Misstrauen. In der Stadt waren, per Default, erst einmal alle Menschen Fremde. Auf ein bekanntes Gesicht zu treffen, war die Ausnahme.

Diese kostbare Anonymität stand von Beginn an im Konflikt mit staatlichen Aufgaben. Es musste ein Kompromiss gefunden, ein Deal geschlossen werden. Auch früher schon wurde dieser Deal nicht immer eingehalten, wurde von hoheitlicher Seite geschnüffelt, vom Bürger geschummelt. So ist auch nicht verwunderlich, dass Geheimdienste, aber auch parlamentarisch überwachte Institutionen, heute im Rausch der neuen Möglichkeiten der globalen Kommunikation reihenweise der Versuchung erlegen sind, nach allen Informationen zu greifen, die verfügbar sind. Die Dauer der Schreckstarre der öffentlichkeit nach dessen Enthüllung verwundert allerdings mittlerweile schon.

Stärker noch als der Drang nach physischer und Redefreiheit variiert der Bedarf an Privatsphäre stark von Individuum zu Individuum. Auf der einen Seite verstecken sich Personen vor der öffentlichkeit mit geradezu paranoider öffentlichkeitsscheu. Andere wiederum gefallen sich darin, ein öffentlich einsehbares Leben zu führen – mit all den Informationen, die sie damit über sich verbreiten.

Auch hier kann es also nur um die Festlegung von Mindeststandards gehen. Auch wenn das einmal erreicht werden sollte, werden sie nicht jedem reichen.

Stellen wir uns einmal vor, wir wollten unsere Forderungen an die Welt, etwa in Form der Vereinten Nationen, stellen – wie müssten diese dann aussehen?

Grundsätzlich sollte gelten, so unsere Forderung, dass die Informationen über eine Person eben dieser Person gehören. Nur sie kann den Gebrauch dieser Informationen durch Dritte autorisieren.

Viele Dienstleistungen in einer modernen Gesellschaft können nicht gegenüber anonymen Abnehmern erbracht werden. Sie erfordern Kenntnis einiger Attribute dieser Person.

Auch hier sollte gelten, dass grundsätzlich die Person, den Gebrauch dieser Daten - gebunden an diese Dienstleistung - frei gibt. Dabei kann diese Einwilligung aus Gründen der Machbarkeit und Effizienz durchaus implizit durch Inanspruchnahme der Dienstleistung geschehen.

Grundsätzlich ist hier die Einhaltung eines Minimalprinzips zu fordern: Nur die Informationen dürfen erhoben, verwendet und gespeichert werden, die für die Erbringung der konkreten Dienstleistung erforderlich sind. Und sie dürfen auch nur so lange vorgehalten werden, wie es notwendig ist.

Damit ist auch eine Weitergabe an Dritte, ein Verkauf und eine Nutzung – ob kommerziell oder nicht – für andere Zwecke, als den autorisierten, ausgeschlossen.

Diese Prinzipien gelten nach dieser Vorstellung universell, also auch für Betreiber von Suchmaschinen, sogenannten sozialen Netzwerken oder anderen Kollaborationsplattformen.

Und diese Prinzipien gelten auch gegenüber Informationen, die gestreut über Orte und Zeiten bereits einmal von der Person selber publiziert worden sind. Deren Sammlung und Verdichtung, erzeugt aus Daten, Informationen und daraus, wiederum Wissen über die betreffende Person. Diese Aggregationen und Analyseergebnisse fallen mithin ebenfalls unter die persönliche Datenhoheit.

Um das Eigentumsrecht an Informationen über die eigene Person ausüben zu können, ist ein weiteres Recht erforderlich: Ein Auskunftsrecht. Vertragspartner, die, um Leistungen zu erbringen, Informationen über eine Person halten, müssen auf Anfrage jederzeit Auskunft über ebendiese Informationen geben können.

Auf Wunsch sind diese dann gegebenenfalls zu löschen. Natürlich kann eine solche Forderung, vorzeitig ausgesprochen, zum Abbruch einer Geschäftsbeziehung und schließlich auch zu Schadensersatzforderungen führen. Diese sekundären Rechtsfolgen sind jedoch als nachrangig gegenüber dem „Grundrecht“ auf persönliche Datenhoheit zu sehen.

Prinzipiell hat dieses Verhältnis gegenüber Dritten auch gegenüber Staaten zu gelten. Dieser wird in diesem Sinne als gewöhnlicher Vertragspartner eingestuft. Als dieser kann er allerdings das Recht auf Vertragsfreiheit geltend machen und gegebenenfalls Dienstleistungen (beispielsweise eine Visa-Erteilung oder ein Grenzübertritt) ablehnen, falls die Person nicht bereit ist, ausreichend Informationen über sich selber bereit zu stellen.

Anders stellt sich das Verhältnis nur gegenüber dem eigenen Staat dar, dem wir kollektiv das Gewaltmonopol übertragen haben. Um seine damit verbundenen Aufgaben wahrnehmen zu können, benötigt er gelegentlich, etwa im Zuge gerichtlicher Ermittlungen oder bei polizeilichen Maßnahmen, auch ohne die Einwilligung der betroffenen Person über das „übliche Maß“ hinausgehende Informationen. Damit hierbei Missbrauch weitgehend ausgeschlossen werden kann, muss dieser erweitere Informationszugriff einer richterlichen Genehmigung im Einzelfall bedürfen.

Diese Forderung erscheint derart natürlich, dass sie in vielen Rechtssystemen bereits verankert ist. Hier sind eher Wege zu finden, die praktische Umsetzung sicherzustellen und die Vorgänge für die Beteiligten transparent zu halten.

Zusammenfassend stellen wir folgende Forderungen an die Rechtssysteme aller Staaten dieses Planeten …

  1. Ownership - Das Individuum ist der Eigentümer seiner persönlichen Daten

  2. Control & Consent - Als Eigentümer hat er die Kontrolle über seine persönlichen Daten. Eine Verwendung durch Dritte bedarf seiner Zustimmung.

  3. Minimal Disclosure & Constrained Use - Dabei dürfen nur die für die Erfüllung des beabsichtigten Zwecks erforderlichen Daten verwendet werden und das auch nur während des vorgesehenen Zeitraumes.

  4. Justifiable Parties - Einem Dritten für einen Zweck freigegebene persönliche Daten dürfen nur den damit notwendigerweise befassten Parteien verfügbar gemacht werden.

  5. Transparancy - Werden Daten über ein Individuum von einem Dritten gehalten, so hat dieses Individuum das Recht auf jederzeitige Auskunft über die Art der Informationen und deren Verwendung. Die dazu erforderlichen Mittel müssen ihm in zumutbarer Weise zur Verfügung gestellt werden.

  6. Revocation - Das Individuum kann Dritten jederzeit eine einmal erteilte Zustimmung zur Haltung ausgewählter persönlicher Daten wieder entziehen.

  7. Judicial warrant – Wenn Stellen mit hoheitlichen Rechten in der Wahrnehmung ihrer Aufgaben gegenüber dem Individuum einen erhöhten Bedarf an persönlichen Daten haben, bedarf es einer richterlichen Anordnung, um diesen Zugriff zu gewähren.

Wir halten es für erforderlich, diese Grundsätze in entsprechenden nationalen Gesetzen zu verankern, um damit die für eine freie und aufgeklärte Bürgergesellschaft erforderlichen Bürgerrechte auch im digitalen Raum sicher zu stellen.

Denn aus der Zusammenschau verschiedener personenbezogener Daten lassen sich Informationen gewinnen und daraus wiederum Wissen über eine Person.

Wissen aber ist Macht.

Und Wissen über Personen ist Macht über Personen.

Die Verfügungsgewalt über die eigenen Informationen gehört also in die Hände ebendieser Personen.