Klimaauswirkungen des Datenschutzes

Nachdem am 21.12.2023 festgestellt wurde, dass ich die Graduierungsvoraussetzungen für den B.Sc. IT-Systems-Engineering erfülle, freue ich mich, hier meine Bachelorarbeit für Interessierte zu veröffentlichen.

Sie wurde nach der Mitteilung des Studienreferats mit der Note 1,3 bewertet.

TL;DR

Datenschutz führt manchmal dazu, dass Computer mehr rechnen müssen, und somit zu mehr klimaschädlichen Emissionen. Insgesamt dienen Daten- und Klimaschutz jedoch ähnlichen Zwecken und werden beide durch ähnliche Probleme bzw. Technologien herausgefordert, sodass weder dem einen noch dem anderen prinzipieller Vorrang eingeräumt werden kann. Außerdem gilt, dass den spannendsten Inhalt verpasst, wer nicht weiterliest. :)

Zusammenfassung

Im Folgenden möchte ich Thema, Methode und Ergebnisse meiner Bachelorarbeit knapp darstellen. Nachweise und Quellen sind der Urfassung der Arbeit zu entnehmen.

Thema

Klimaschutz und Datenschutz sind in einer modernen Gesellschaft beide notwendig, um Menschen vor latent rücksichtslos handelnden Organisationen zu schützen. Dabei tritt zwischen diesen beiden Bereichen eine Schnittmenge auf, soweit Computer, die personenbezogene Daten verarbeiten, über ihren Lifecycle und während ihrer Benutzung klimaschädliche Auswirkungen haben. Im Bereich dieser Schnittmenge kann es möglicherweise zu Konflikten zwischen beiden Bereichen kommen, insoweit durch die Umsetzung von Datenschutzmaßnahmen ein Mehr an klimaschädlichen Auswirkungen erzeugt wird.

In meiner Bachelorarbeit untersuche ich, ob ein solcher Konflikt überhaupt auftritt, wie signifikant er ist und wie er aufgelöst werden kann, ohne auf eine der beiden Schutzarten zu verzichten.

Methode

Während Datenschutz vorrangig in Form abstrakt-genereller, d. h. normativer Anforderungen aus der DSGVO sowie aus anderem Datenschutzrecht auf Verarbeitungsvorgänge einwirkt, entstehen klimaschädliche Auswirkungen durch konkret ausgestaltete bzw. bestimmte Handlungen, Berechnungen oder Entscheidungen. Die wegen der rechtlichen Vorgaben erforderlichen Maßnahmen unterscheiden sich in erheblichem Maße in Abhängigkeit von Umfang und Art des grundlegenden Verarbeitungssystems. Insofern kann die Frage, welche Auswirkungen "der Datenschutz" auf "das Klima" hat, nicht generell beantwortet werden.

Meine Bachelorarbeit löst das Problem dadurch auf, dass ein beispielhaftes, plausibles und zweckmäßiges, "eher dem Wunschtraum einer Unternehmens- leitung als der Datenschutzbeauftragten [entsprechendes]" Szenario konstruiert wird, das dann mittels einer Datenschutz-Folgenabschätzung (beruhend auf dem Standard-Datenschutzmodell) analysiert wird. Hieraus ergeben sich bestimmte Kategorien von technisch-organisatorischen Maßnahmen und anderen Maßgaben, die dann unter Bezug auf das Szenario auf ihre Klimafolgen untersucht werden.

Ein weiteres methodisches Problem ist, inwieweit die Auswirkungen einer Maßnahme überhaupt dem Datenschutz zugerechnet werden kann. So mag das Gewährleistungsziel der Verfügbarkeit verlangen, dass über dem Rechenzentrum ein Dach errichtet wird, damit der Verarbeitungsvorgang auch nach dem ersten Regenfall weiter besteht. Jedoch würde jede vernünftige Person (und ich auch) sagen, dass die Errichtung eines Daches ganz offensichtlich auch ohne Datenschutzrecht notwendig ist, wenn man ein Rechenzentrum betreiben möchte, da der Schutz vor Regen im Interesse der Verantwortlichen liegen dürfte. Abseits von solchen offensichtlich trivialen Fällen, erweist sich die Bestimmung des Ausmaßes der Zurechnung in vielen Fällen als deutlich schwerer.

Hierfür habe ich in meiner Bachelorarbeit die Kategorien 0/3, 1/3, 2/3 und 3/3 eröffnet und jeder Kategorie anhand einer festgelegten Formel über der Notwendigkeit und der Offensichtlichkeit bzw. der Interessengemäßheit für die Verantwortlichen sodann die einzelnen Maßnahmen zugewiesen. Die Emissionen einer jeweiligen Kategorie wurden dann nur zu dem benannten Bruchteil dem Datenschutz angerechnet.

Ergebnisse

Aufgrund der Ergebnisse der Datenschutz-Folgenabschätzung, der Bestimmung des Ausmaßes der Zurechnung und durch eine Pauschalisierung bzw. Typisierung der Klimafolgen bestimmter Rechentätigkeiten kann durch eine sog. Vorher-Nachher-Analyse eine konkrete Zahl bestimmt werden, wie sich Datenschutz auf das Klima (in Gestalt der Emission von CO2-Äquivalent auswirkt).

Nach meinen Berechnungen

• erspart Datenschutz in dem konkreten Szenario einmalig die Emission von ca. 100t CO2-Äquivalent,

• bewirkt jedoch zusätzliche jährliche Emissionen von 10,2t CO2-Äquivalent.

Hierzu gibt es jedoch eine gute und eine schlechte Nachricht.

Zunächst die schlechte Nachricht: die große Einsparung liegt daran, dass einzelne besonders rechenintensive Verarbeitungstätigkeiten (Training eines "KI"-Modells) wegen des Fehlens eines Ausnahmegrunds verboten wurden.

Die gute Nachricht ist aber, dass ein Großteil der zusätzlichen Emissionen aus dem gleichen, rechenintensiven Umfeld (Anfragen an einen stochastic parrot-Chatbot) stammen.

Datenschutz heißt nicht Datenverbot. Erreicht eine Verarbeitung gerade so die Anforderungen für ihre prinzipielle rechtliche Zulässigkeit, so wird sie vom Datenschutz bei der Risikobewertung und -bekämpfung formal gleich betrachtet, wie eine Verarbeitung, gegen deren Zulässigkeit wenig Einwände bestehen. Gerade das Gewährleistungsziel der Verfügbarkeit verlangt dann nämlich, dass eine solche Verarbeitung (im Interesse der Betroffenen) auch stets verfügbar ist, sodass Maßnahmen wie z. B. die Herstellung von Redundanz ergriffen werden müssen.

In solchen Fällen, wenn ein Verarbeitungsvorgang sowohl in Bezug auf Datenschutz als auch in Bezug auf Klimaschutz höchstkritisch sind, entsteht, was mithin bei wertender Betrachtung nur als datenschutzfremder Übertrag bezeichnet werden kann.

Ein solcher datenschutzfremder Übertrag ist interessanterweise insbesondere bei besonders datenschutzfeindlichem #BingoTechBullshit festzustellen, wie "KI", "Blockchain", "Crypto" (im Sinne von Betrugsmasche, nicht im Sinne von Verschlüsselung) oder "Big Data".

Insofern ist lohnenswert, auf die Beobachtung vom Anfang zurückzuverweisen, dass Datenschutz und Klimaschutz beide ähnliche Ursachen in Gestalt latent rücksichtslos handelnder Organisationen aufweisen. Dies wird an kaum einem Punkt so deutlich, wie diesem.

Abschließend resümiere ich dazu in meiner Arbeit drei Punkte, die ich gerne in Gänze wiedergeben möchte:

Erstens hat diese Arbeit gezeigt, dass Datenschutz an vielen Stellen weniger durch konkrete technische Änderungen, sondern eher durch organisatorische Vor- und Maßgaben umgesetzt wird. Dies gilt nicht nur für (offensichtlich) ausschließlich organisatorische Maßnahmen, sondern auch bei einer Vielzahl von anderen Maßnahmen, die nur auf den ersten Blick technisch sind und vorrangig die richtige Benutzung oder Konfiguration der verwendeten Software zwecks Umsetzung organisatorischer Konzepte betreffen. Ein Beispiel wäre die Maßnahme 5.I. aus dem Bereich der Trennung oder die Maßnahme 8.B. aus dem Bereich der regelmäßigen Abfragen.

Zweitens ist zu beachten, dass zwischen Datenschutz und Klimaschutz kein Zielkonflikt im eigentlichen Sinne vorliegt. Beide beruhen auf dem gleichen Grundproblem, nämlich Organisationen und Strukturen, die (latent) rücksichtslos handeln (für Datenschutz vgl. Rost [28]). Beide sollen den Erhalt einer modernen, freiheitlich-demokratischen Gesellschaft gewährleisten. Und, um auf das Zitat von Thomas Hobbes im Vorwort zurückzukehren, beide dienen dem gleichen Schutzsubjekt – den Menschen.

Vor diesem Hintergrund kann weder dem Klima- noch dem Datenschutz unbedingter Vorrang vor dem jeweils anderen gewährt werden. Erstrebenswert wäre weder ein weiteres Fortschreiten der Klimakrise noch eine Gesellschaft, in der Menschen schutzlos ihren Daten und den Algorithmen ausgeliefert sind.

Drittens wird bei dem Versuch, zwischen Daten- und Klimaschutz einen zweckmäßigen Ausgleich herzustellen, zu berücksichtigen sein, dass Maßnahmen zum Klimaschutz nicht notwendigerweise eine Verschlechterung des Datenschutzniveaus bedingen müssen. Kann zum Beispiel schon der Betrieb eines Rechenzentrums an sich „klimaneutral“ erfolgen, so dürfte das gleiche für Datenschutzmaßnahmen gelten, die auf in diesem Rechenzentrum laufende Vorgänge angewendet werden. In ähnlicher Weise können auch Datenschutzmaßnahmen dem Klimaschutz dienen, wenn bspw. der Einsatz rechenintensiver Technologien (bspw. „KI“, Big Data oder „Blockchain“-Technologien) strengeren Regeln unterworfen wird.

Und, um mit der Arbeit zu schließen:

Zu hoffen verbleibt, dass sich die Menschheit erfolgreich gegen beide Probleme behaupten kann.

Langfassung

Die Arbeit kann in ihrer Langfassung heruntergeladen werden.