Die Grundsätze der fairen Informationspraxis gehen auf einen Bericht eines US-amerikanischen Beratungsausschusses aus dem Jahr 1973 [1] zurück. Danach sind sie dort in die Bundes- (z.B. Privacy Act [2]) bzw. Bundesstaatengesetze eingeflossen. Aber auch über die Landesgrenzen hinaus wurden sie in die Gesetzgebung internationaler Regierungen und Organisationen (OECD-Leitlinien für den Schutz der Privatsphäre [3], Datenschutzgrundverordnung der EU [4]) auf der ganzen Welt integriert. Die FIPPs bilden den Kern für unser heutiges Verständnis von Daten- und Privatsphärenschutz [5].
Ursprünglich wurden sie formuliert um den Umgang von Regierung und staatlichen Organisationen mit Informationen von und über Bürger:innen zu regeln und damit das Vertrauen in sie zu fördern [5]. Da sie unabhängig von Datenarten und Technologie funktionieren [5], wurden die Grundsätze auf verschieden Kontexte (wie z. B. den Unternehmenskontext) übertragen.
Die FIPPs helfen Prozesse, Aktivitäten aber auch Informationssysteme und Programme zu beurteilen, die sich auf die Privatsphäre des Einzelnen auswirken [5]. Damit können sie auch von software- und technikentwickelnde Unternehmen genutzt werden, um die Verarbeitung von personenbezogenen Daten ihrer Produkte einzuschätzen.
Die neun Kernprinzipien (siehe Abbildung) sind keine Vorschriften, sondern Leitlinien [5], die wir im Folgenden kurz auflisten. Dabei sind die Definitionen aus dem Englischen übersetzt und Formulierungen gekürzt bzw. erweitert [1].
Abbildung 1. Fair Information Practice Principles, Screenshot aus dem Erklärvideo [5].
Behörden, Organisationen oder Unternehmen sollten laut FIPPS bei der Verarbeitung personenbezogener Daten:
Zugang und Änderungen ermöglichen
Rechenschaftspflichtig sein
Befugnis haben und vorweisen
Minimierung anstreben
Qualität und Integrität wahren
Beteiligung des Einzelnen zulassen
Zweckbestimmung und Nutzungsbeschränkung einhalten
Sicherheit gewährleisten
Transparenz umsetzen
Wie diese Leitlinien im Detail definiert sind, können Sie diesem Video des Federal Privacy Council (Sprache Englisch, Dauer 6:52 Minuten) und unserem weiterführenden Lernmaterial entnehmen. Hier haben wir für jedes Prinzip eine „Karte mit PFIV“ (Prinzip für Faire Informations-Verarbeitung) grafisch aufbereitet. Diese Karten können sie in Ihrer Behörde, Organisation oder Unternehmen nutzen um zu reflektieren, wie wichtig die Prinzipien für Ihre Aufgaben oder Produkte sind bzw. wie gut diese umgesetzt und nutzbar sind (siehe Aufgabenstellung auf der Instruktionskarte).
Nehmen Sie sich zunächst kurz Zeit, die Karten zu lesen und das Prinzip zu verstehen. Die zusätzlichen Beispiele am Rand helfen Ihnen dabei. Anschließend ordnen Sie allein oder gemeinsam im Team die „Karten mit PFIV“ in einem Koordinatensystem auf den Dimensionen Y: Nutzbarkeit (gar nicht bis einfach) und X: Wichtigkeit (gar nicht bis sehr) und ein. Dies kann online oder analog erfolgen. Über die Prinzipien, welche für ihre Organisation oder ihr Unternehmen sehr wichtig aber wenig bis gar nicht nutzbar sind (unterer rechter Quadrant des Koordinatensystems), sollten sie gemeinsam diskutieren um Lösungen zu entwickeln (siehe auch Aufgabenkarte).
Wenn sie Fragen oder Anmerkungen zu unseren Karten oder der vorgeschlagenen Nutzung haben, freuen wir uns über Rückmeldung.
Dieser Artikel und das zugehörige Lernmaterial sind Teil des E-Learning zum Thema „Fairness, Diversität und Transparenz“ der Professur für Allgemeine Psychologie und Human Factors an der TU Chemnitz. Weitere Lernangebote zu diesen und anderen Themen stellen wir hier fortlaufend auf der Webseite des Mittelstand-Digital Zentrums „Fokus Mensch“ vor bzw. zeitnah auf der LEA-Lernplattform des Mittelstand-Digital Zentrums Kaiserlautern zur Verfügung.
Referenzen:
(1) US Secretary's Advisory Committee on Automated Personal Data Systems, Records, Computers and the Rights of Citizens (1973).
(2) Electronic Communications Privacy Act (1986). (ECPA), 18 U.S.C. §§ 2510-2523. https://bja.ojp.gov/program/it/privacy-civil-liberties/authorities/statutes/1285
(3) OECD (2002), OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, OECD Publishing, Paris, https://doi.org/10.1787/9789264196391-en
(4) European Union Data Protection Directive, Directive 95/46/EC, http://docs.cpuc.ca.gov/published/proceedings/R0812009.html
(5) Federal Privacy Council (2022). Fair Information Practice Principles (FIPPs). https://www.fpc.gov/resources/fipps/
[1] Den Begriff „agencies“ haben wir mit „Behörden“ übersetzt und zusätzlich die Begriffe „Organisationen“ und „Unternehmen“ ergänzt, um die Breite der möglichen Anwendungsbereiche zu verdeutlichen. Zudem haben wir den Prinzipientitel als Aufforderung formuliert, um eine verkürzte Leseweise des Artikels zu ermöglichen.
22.10.24