Privacy – A fundamental right with expiry date?

International Conference

Vienna, 11th November 2002

 

Societies constantly change and so do individual and societal needs. Legal frameworks and basic rights guide and limit societal behaviour and at the same time adjust themselves in response to new and shifting needs. In times of permanent and rapid change we must ask whether the legal framework still meets societal needs and society's value basis. The widespread use of information- and communication technologies is one of the most important technological innovations influencing societies all over the world. Digitalisation, miniaturisation and networking are keywords of this development. Internet, e-commerce, mobile communication, smart card applications, biometrics, smart homes, and ubiquitous computing are generating huge amounts of data. The more activities in daily life are supported by electronic means the more data traces we leave behind. Virtual pictures of real persons may gain a life of themselves. Misuse of personal data, widespread surveillance and commercial interests increasingly give rise to new challenges for privacy. ICT constitute a permanent, more comprehensive and often unnoticeable threat to our privacy. On the other hand millions of people voluntarily create personal websites to present themselves to the whole community, many of them using webcams, and thousands try to participate in talk shows and reality TV broadcasts, where they often disclose intimacies to a broad audience.

These ambivalent societal developments, combined with technological progress, lead to the guiding question of this conference:

Is privacy a fundamental right with an expiry date?

In order to discuss recent developments in an interdisciplinary way the Institute of Technology Assessment (ITA) of the Austrian Academy of Sciences organises an international conference on this issue. High level experts will discuss topics like the philosophy of privacy, psychological and societal foundations, the history of basic rights, international right and policy, technical challenges and support for privacy as well as user requirements and attitudes.

 

PRESENTATIONS:


Privacy Protection in the Global Economy: A Race to the Top, or the Bottom?
Colin J. Bennett, Department of Political Science, University of Victoria

According to the traditional paradigm, privacy protection entails an exercise of rights by Citizen A of Country A against an organization that was geographically located within Country A. Those assumptions have obviously broken down, as personal information now knows fewer organizational and national attachments. Privacy regimes are no longer discrete, independent and bounded by a traditional conception about where the state begins and ends.

What does privacy protection mean now that personal information flows more freely and knows fewer national attachments? Broadly, the theoretical literature can be divided into three camps. First are those authors who contend that globalization will inevitably produce a race to the bottom, a downward spiral of jurisdictional standards as corporations search for competitive advantage and as jurisdictions cater to their needs. Second, there are those authors who would accept the logic of the race-to-the-bottom theory, but who would insist that this process could be obstructed by important domestic variables. Finally, there are those who contend that the principal dynamic is a fashioning of policy according to the highest possible standard, a trading-up or a 'race-to-the-top.'

There is no doubt that the level and range of privacy protection policies have increased over the last 30 years. Some thirty advanced industrial states have passed national data protection legislation, in response to both domestic and international pressures. Many businesses have developed codes of practice and appointed dedicated privacy officers. A small industry offers privacy-enhancing technology products, to be applied by individual consumers or by public and private organizations. Privacy protection has become a highly salient issue for the mass publics, and for business and political elites in most industrialized states. So evidence would point to a trading-up of privacy standards around the world. Yet, at the same time as this intense policy activity has reached new heights, so too has the levels of global surveillance in face of perceived threats from terrorism, organized crime, illegal immigration and other phenomena. A trading-up of standards seems to have been accompanied by an almost concomitant increase in the amount of personal information collected, processed and distributed in personal information systems. How, then, can it be argued that standards for personal privacy protection are being traded up in the face of such overwhelming evidence?

First, it is likely that personal data processing practices would be a lot worse were it not for data protection regulations and regulators. This position is obviously difficult to substantiate in the absence of counterfactual evidence. But for each of the surveillance practices currently debated, there are sincere attempts to inject a countervailing privacy argument and interest. Second, it is obvious that the trading-up dynamic does not operate with equal force in different sectors. The 'trading-up' logic can only apply to firms in the private sector, whose incentives will vary considerably. Public sector agencies cannot, of course, relocate – even though they might frequently outsource data processing to firms in foreign jurisdictions. Third, the trading-up of standards does not mean the trading-up of practices. There is a variable but palpable gap between the standards of an organization and the practices it pursues; we may have witnessed a ratcheting up of standards, but not of compliance. Finally, and in consequence, the contradiction is also explained by the fact that the abilities of democratic states to protect our personal information is perhaps as much dependent on decisions made in the laboratories of the Microsofts and Intels as in international negotiations and in national regulatory bodies.

The governance of privacy is exercised through a variety of institutional forms – public and private, domestic and transnational, with the result that in certain contexts the government regulators are not necessarily the most important actors, and the laws they enact not necessarily the most important instruments. The governance of privacy in the global economy through such multiple modes of regulation and co-ordination means that it is thoroughly misleading to try to observe a balance been privacy and surveillance on a global scale. Simply because privacy standards are being traded-up, does not mean that surveillance practices are being correspondingly reduced. There are multiple institutional arenas for the issue to advance sufficiently well in some, and at the same time to regress elsewhere. This is precisely why the language of 'balancing' is mistaken, and the effort at measuring levels of privacy protection misguided. The issue is simply too flexible, too dynamic, too pluralistic, too contradictory, and too fascinating to allow simplified conclusions about whether the issue is progressing or regressing at any one time. There is no one 'race-to-the-top', just as there is no one 'race-to-the-bottom'. There are many races, many tops, many bottoms as a host of actors, public and private, use or resist the expanding repertoire of privacy instruments to encourage or obstruct the more responsible use of personal information within modern organizations.

This presentation is based on material from the forthcoming book: Colin J. Bennett and Charles D. Raab, The Governance of Privacy: Policy Instruments in Global Perspective (Aldershot, UK: Ashgate Press, 2003).


Privacy Enhancing Technologies, a contribution towards the solution of informational privacy problems
John J. Borking, Dutch Data Protection Authority

ICT offers solutions in the shape of privacy protection for users, consumers and citizens. The law alone can't protect privacy. Structural ICT solutions are necessary. The application of ICT to protect privacy since 1995 has become widely known under the name Privacy-Enhancing Technologies (PET or PETs).

PET stands for a coherent system of ICT measures that protects privacy by eliminating or reducing personal data or by preventing unnecessary and/or undesired processing of personal data, all without losing the functionality of the data system. PETs incorporated systems use Identity Protectors and divide systems into identity, pseudo-identity and anonymity domains. A new development is the use of Privacy Knowledge Engineering (PYKE) where privacy principles are translated into code.

The choice of PETs techniques depends on the level of security needed to match the level of risks represented by the personal data. Risks are assessed in a Privacy Threat Analysis. PETs have already achieved an important place in the practical and theoretical repertoire of privacy-protection instruments online and offline in most, if not all, countries where data-protection laws and systems are already in place or are being created. The EU funded PISA project uses PET to protect all personal data with traditional PET components and translates privacy law into code(PYKE).

PETs have been at the center of attention in countries -especially USA- where the legislative provisions for data protection are patchy and deficient. This contribution examines the role that PET can play in the protection of privacy.


Persönlichkeitsrechte als Wirtschaftsgut: Die Vermarktung von Presseerzeugnissen im Konflikt mit der Vermarktung der Ich-AG
Andreas Heldrich, Department of Civil Law, International Civil Law and Law Comparison, Ludwig-Maximilians University Munich
 

Das Bild steht im Begriff, das Wort von seinem angestammten Platz als Informationsträger zu verdrängen. Bilder statt Inschriften weisen uns den Weg zu Flughäfen, Sehenswürdigkeiten und Notausgängen. Was das Fernsehen in seinen Nachrichtensendungen nicht mit Bildern dokumentieren kann, nehmen wir kaum zur Kenntnis. Auch der Verdrängungswettbewerb unter den Printmedien macht diese Entwicklung augenscheinlich. Selbst die seriösen Tageszeitungen sind dazu übergegangen, mit möglichst farbigen Fotos schon auf der Titelseite die Aufmerksamkeit ihrer Leser zu gewinnen. Das Betrachten dieser Bilder und allenfalls noch die Lektüre ihrer Unterschriften nimmt uns als erstes gefangen. Ein geschickt ausgewähltes Bild kann eine Karriere im öffentlichen Leben erfolgreicher fördern oder zerstören als ein anerkennender oder kritischer Text.

Kein Wunder, daß deshalb die Betroffenen argwöhnisch darüber wachen, daß nur die ihnen genehmen Bilder ans Licht der Öffentlichkeit gelangen. Auch die juristischen Auseinandersetzungen über die Grenzen einer zulässigen Berichterstattung, d.h. über die richtigen Kriterien bei der Auflösung des Interessenkonflikts zwischen Persönlichkeitsschutz und Pressefreiheit, haben sich daher in den letzten Jahren vom Streit um Worte zum Streit um Bilder verlagert.

Da es sich dabei um die Interpretation und Abgrenzung zweier kollidierender Grundrechte handelt, hat das letzte Wort darüber in Deutschland das Bundesverfassungsgericht. In zwei richtungsweisenden Entscheidungen hat es kürzlich die Grenzen einer zulässigen Bildberichterstattung aufgezeigt. Die Grundtendenz dieser Rechtsprechung ist pressefreundlich. Einer Ausuferung von Schadensersatz- und Unterlassungsansprüchen der abgebildeten Personen tritt das Bundesverfassungsgericht mit den Worten entgegen: "Das allgemeine Persönlichkeitsrecht ist nicht im Interesse einer Kommerzialisierung der eigenen Person gewährleistet."

Demgegenüber hat aber der Bundesgerichtshof bis in die jüngste Zeit betont, das allgemeine Persönlichkeitsrecht diene "dem Schutz nicht nur ideeller, sondern auch kommerzieller Interessen der Persönlichkeit". Die zivilgerichtliche Judikatur bietet daher Ansatzpunkte, den Schutz der eigenen Persönlichkeit zu einer Erwerbsquelle auszubauen.


Surveillance as Social Sorting: A Sociology of Personal Data Processing
David Lyon, Department of Sociology, Queens University

Watching others as a means of ensuring discipline and control is an ancient process, boosted first by modern management, and secondly by computerization. Networked communications and the use of searchable databases enable huge levels of remote personal data processing whose key characteristic is social sorting. Data are combined from different sources by means of algorithms and according to actuarial standards to classify, cluster, and filter groups and persons. However, rather than superseding earlier forms of state and corporate surveillance, these practices are superimposed upon them in complex ways. The state apparatus and the commercial assemblage now work together, a fact that is seen very clearly in the aftermath of September 11, 2001. These developments demand new approaches, centred not only on 'intrusion' (that yields 'privacy' remedies) but on 'exclusion' (that calls for democratic accountability). And it demands that we try to understand the 'subjects' of surveillance, whose activities trigger the gaze, but whose involvement in the process limits or mitigates compliance.


Privacy: An Ambivalent, but Indispensable Value
Herline Pauer-Studer, Department of Philosophy, University of Vienna

Since its beginnings political philosophy has been in the grip of the public/private distinction. The traditional separation between the public and the private sphere is meanwhile considered as problematic because of the tendency to exempt certain normative issues from public discussion and evaluation by declaring them to be part of the private sphere. The most prominent example of this line of criticism is the claim by feminist philosophers that the public/private distinction was the instrument used to withhold full political rights and citizen status from women and to subdue women to a division of labour that severly reduced their autonomy in choosing a form of life. Because of these consequences some philosophers and political theorists have argued to give up the public-private-distinction altogether. 

Meanwhile a more subtle approach to the concepts "political" and "private" is taken in political philosophy. Most feminist and non-feminist philosophers acknowledge the value of privacy. Privacy is interpreted as an expression of personal autonomy. From a liberal perspective privacy is determined as the realm where decisions are up to the persons themselves: Something is private if other persons or social institutions do not have a right to interfere. This definition rests on the basic postulate of liberal societies that individuals do have the freedom to lead the form of life they want to lead. Yet there are limits to privacy – individuals simply cannot do whatever they want. The limits are set by legal norms and standards of public morality (in the form of basic rules of justice). But in concrete cases it is often difficult to decide whether the right to privacy has been violated and where the standards of justice demand restrictions of the right to privacy. Reflections on the extent and the limits of privacy rights get moreover complicated by recent tendencies that individuals themselves tend to give up their rights to privacy. 

In my talk I will give a short outline of the most important philosophical definitions of the public-private distinction. I will then explore the question which criteria follow from an autonomy-based conception of political philosophy for protecting privacy and for setting limits to what persons can make public.


Privacy in Österreich – eine Bestandsaufnahme (Privacy in Austria – an inventory)
Walter Peissl, Institute of Technology Assessment of the Austrian Academy of Sciences

Im Spannungsfeld von technischer Entwicklung, politischen Rahmenbedingungen und gesellschaftlicher Relevanz analysiert die Technikfolgen-Abschätzung die interdependenten Beziehungen von Technik und Gesellschaft. Daraus werden Handlungsoptionen für Entscheidungsträger abgeleitet. Kaum ein Gebiet ist von so dynamischer Entwicklung geprägt, wie die Informations- und Kommunikationstechnologien. Sie durchdringen immer mehr Lebensbereiche und ermöglichen Arbeitserleichterung und erhöhte Bequemlichkeit ebenso wie zunehmende Überwachung und Kontrolle. Die Dynamik der technischen Entwicklung wurde allerdings in den vergangenen Monaten noch durch die Dynamik im rechtlich-politischen Bereich überholt. In Folge der Attentate des 11. September 2001 wurde eine Reihe von Initiativen ergriffen, die in Zukunft mehr Sicherheit gewährleisten sollen. Der Preis dafür sind aber allzu oft Einschränkungen individueller Freiheiten. Vor dem Hintergrund der legistischen Entwicklungen der letzten Monate wird zu klären versucht, ob ein mehr an Überwachung auch tatsächlich zu einem Mehr an Sicherheit führt.

Darüber hinaus können aber auch andere Bedrohungen der Privatsphäre in der Informationsgesellschaft ausgemacht werden. In einem ersten Schritt ist zu klären, in welchen wirtschaftlich-gesellschaftlichen Zusammenhängen die dichtesten Datenspuren anfallen, welche Akteure über die größten Datenbestände mit hoher Datentiefe verfügen und welche Anwendungen die Privatsphäre bedrohen. War in den Anfängen der Datenschutzdiskussion vor allem der alles wissen und speichern wollende Staat die Hauptbedrohung für den Einzelnen, so hat sich mittlerweile auch im privaten Bereich ein nicht zu unterschätzendes Interesse für personenbezogene Daten entwickelt. Neben den Finanzdienstleistern und Versicherungsunternehmen sind es vor allem die Unternehmen der Telekommunikationsbranche, die durch die Art der Dienstleistung umfangreiches Wissen über ihre KundInnen generieren. Die dadurch entstehenden Probleme werden anhand konkreter Beispiele dargestellt. Aus den unterschiedlichen Bedrohungsszenarien werden Vermeidungsstrategien abgeleitet und Handlungsempfehlungen gegeben. Eine hervorragende Rolle nimmt dabei die Datenvermeidung ein. Sie ist und bleibt ein wesentlicher Bestandteil modernen Datenschutzes. Zu prüfen bleibt, inwieweit der Einzelne überhaupt in der Lage ist, die Empfehlungen umzusetzen. Es zeigt sich, dass man auf individueller Ebene sehr schnell an Grenzen stößt und die Empfehlungen oft schwer umsetzbar sind. Weshalb auch in Zukunft neben der individuellen Verantwortung gesetzliche Rahmensetzung notwendig sein wird.


Datenschutz als Verbraucherschutz – Anforderungen und Haltungen der Nutzenden (Dataprotection as consumerprotection – user requirements and attitudes)
Thilo Weichert, Deputy Data Protection Official Schleswig Holstein and Head of German Data Protection Association

Seit dem Aufkommen des modernen Datenschutzes in Deutschland in den 70er Jahren bis hinein in die 90er Jahre war es für alle Beteiligten selbstverständlich, dass es sich beim Datenschutz um ein bürgerrechtliches Anliegen handelt, das nur mit Hilfe von staatlichen ordnungsrechtlichen Instrumenten durchgesetzt werden könne. Zaghafte wirtschaftliche Regelungsansätze, z.B. die Schadensersatzregelungen oder die Möglichkeit von Verbraucherverbandsklagen gegen allgemeine Geschäftsbedingungen spielten in der Realität kaum eine Rolle. Mit der Eroberung des Internet durch den "Normalbürger" und der Etablierung des E-Commerce beim Endverbraucher hat sich plötzlich eine völlig neue Sichtweise ergeben, die sich auch schon viel früher angeboten hätte: Datenschutz ist ein Wettbewerbsfaktor und die Konsumenten können über ihre Marktmacht die Beachtung ihrer Datenschutzrechte gegenüber die Wirtschaft, ja evtl. gar gegenüber der Verwaltung durchsetzen.

Tatsächlich gibt es hierfür eindeutige Indizien: So basieren die Verhandlungen der Europäischen Union mit der Vereinigten Staaten über den freien Datenaustausch und die Wahrung des Datenschutzes, die letztendlich zu den Safe-Harbour-Principles geführt haben, auf reinen Wettbewerbserwägungen. Mit der Verleihung des Big Brother Award werden auch Wirtschaftsunternehmen mit eklatanten Datenschutzmängeln gegenüber den Verbrauchern öffentlich gemacht. Und die Verbraucherzentrale Bundesverband (vzbv) hat in Deutschland den Datenschutz als Betätigungsfeld entdeckt und engagiert sich in diesem Bereich verstärkt.

Damit sind aber noch bei weitem nicht die Möglichkeiten des Verbraucherschutzes bei der Verteidigung des Datenschutzes in der Informationsgesellschaft ausgeschöpft. Im deutschen Bundesdatenschutzgesetz sind Auditverfahren vorgesehen. Im Land Schleswig-Holstein werden schon solche Verfahren durchgeführt, wobei ganze Stellen, einzelne Anwendungen oder IT-Produkte auf ihre Vereinbarkeit mit dem Datenschutz geprüft und dann zertifiziert werden. Auch die Interventionsmöglichkeiten der Betroffenen als Verbraucher sind noch lange nicht ausgeschöpft. Hierbei wird es von großer Bedeutung sein, dass im Bereich der Datennutzung für Marketingzwecke das bisherige Opt-Out durch ein Opt-In ersetzt wird. Letztendlich wird aber entscheidend sein, welche Erwartungen die Verbraucher an die Wirtschaft und an die IT-Technik haben. Dabei ist der Trend eindeutig: Immer mehr Menschen betrachten Transparenz und Wahlfreiheit als Grundbedingungen für ihre Teilnahme am elektronischen Handel. Es gibt daher keine Veranlassung zu der Befürchtung, bei dem Datenschutz handele es sich um ein Grundrecht mit Verfallsdatum.

 

Der grundrechtliche Schutz der Privatsphäre: Eine Entwicklungsgeschichte (Privacy protection and basic rights: historical developments)
Ewald Wiederin, Department of Constitutional and Administrative Law, University of Salzburg

Die Grundrechtskodifikationen des 19. Jahrhunderts kennen keine integrale Gewährleistung der Privatsphäre, sondern beschränken sich darauf, die Wohnung und das Briefgeheimnis zu garantieren. Diese beiden Grundrechte sind zwar für den Schutz der Privatsphäre von großer Bedeutung, gehen aber über ihn hinaus und haben ursprünglich eine andere Stoßrichtung: Religiöse, politische und teilweise auch wirtschaftliche Betätigungen waren ursprünglich für den Schutz weit bestimmender als jene Intimsphäre, die sich erst im Laufe des 19. Jahrhundert formt. Dementsprechend sind der Schutz abstrakt konzipiert; er greift aber nur, soweit physisch in das Schutzgut eingegriffen wird. Eingriffe müssen meist gesetzlich vorgesehen und - von Ausnahmen abgesehen - durch einen richterlichen Befehl gedeckt sein. Das führt in Summe zu einem engen, aber dichten Schutz von Hausrecht und Brief, der lediglich bestimmte territoriale und kommunikative Aspekte der Privatsphäre umfasst, ohne sich im hierin zu erschöpfen.

Die Stunde der Privatsphäre schlägt, nachdem sich einerseits die Vorstellung einer Intimsphäre als Wert etabliert hat und andererseits aus neuen technischen Errungenschaften wie der Photographie und später auch der Tonaufzeichnung spezifische Eingriffsmöglichkeiten erwachsen. Bezeichnenderweise geben insoweit ursprünglich weniger der Staat als vielmehr die Medien das Feindbild ab. Im 20. Jahrhundert verschieben sich dementsprechend die Gewichte: Neben dem Postgeheimnis, das da und dort zum Briefgeheimnis hinzutritt, finden im Gefolge der Allgemeinen Erklärung der Menschenrechte das Privatleben und das Familienleben vermehrt in die Grundrechtskataloge Eingang. Diese neuen Rechte sind einem funktionalen Schutzkonzept verpflichtet und unterschiedlichsten Eingriffshandlungen gegenüber offen. Auf der Schrankenebene ist auffällig, dass materielle Rechtfertigungsmuster wie der Grundsatz der Verhältnismäßigkeit an die Stelle formaler Sicherungen treten.

Die aktuelle Lage ist erstens dadurch gekennzeichnet, dass im Gefolge der Digitalisierung ein umfassendes Recht auf Informationskontrolle den Schutz der Privatsphäre abzulösen beginnt: Die prätorische Entwicklung eines Recht auf informationelle Selbstbestimmung mag hiefür ebenso als Beleg dienen wie die Konstitutionalisierung eines Rechtes auf Datenschutz. Zweitens ist bemerkenswert, dass die traditionelle Staatsrichtung der Grundrechte in diesem Punkt entweder völlig über Bord geworfen oder durch die Entwicklung von Drittwirkungen relativiert worden ist. Drittens schließlich verdient eine gewisse Renaissance formeller Rechtfertigungsanforderungen Beachtung: Die Verfassungsgerichte haben sich über weite Strecken nicht auf die inhaltliche Bewertung der Legitimität von Beschränkungen eingelassen, sondern den Ball an den Gesetzgeber zurückgespielt und ihn dazu verpflichtet, für präzise Konturen, für faire Modalitäten und für eine gewisse begleitende Kontrolle des Eingriffs Sorge zu tragen.