6 Moderne Herausforderungen an die Verantwortung
6.1 Vorbemerkung
6.2 Das Prinzip Verantwortung
6.3 Kumulative Effekte und unvorhersehbare Folgen
6.4 Systemverantwortung
6.5 Unbedingte Verantwortung und praktische Vorsichtigkeit
6.6 Referenzen und Literatur
Das Kapitel in Stichpunkten
- Wir leben in einer hochgradig vernetzten und technisierten Welt, in der Menschen kollaborativ zusammenwirken und dadurch Ereignisse verursachen und verantworten müssen, von denen man nicht wissen kann, ob und wie sie überhaupt künftig eintreten werden und wer genau sie verursacht haben könnte.
- Das Prinzip Verantwortung von Hans Jonas thematisiert die menschliche Existenz in Gänze und überhaupt. Durch die technischen Möglichkeiten, die die Menschen entwickelt haben, verfügen sie über die Macht, sich selbst und die Erde zu zerstören.
- Das Leben, das Lebendige selbst ist es, das in den Fokus der Verantwortung gerückt ist. Es ist nicht mehr nur der Mensch mit seinen Interessen. Es ist nicht mehr nur der Mensch, der ein Zweck an sich ist; auch die Natur wird im Prinzip Verantwortung nun als Zweck an sich anerkannt.
- Wenn die IT-Sicherheit die Aufgabe hat, die Datensicherheit in beispielsweise Klima-, Umwelt- und Ressourcenschutz zu gewährleisten, dann ist sie mit ihrer Expertise zumindest mittelbar verantwortlich für die Natur und trägt zu deren Existenz bei.
- Die fernen und zukünftigen Folgen unseres Handelns können nicht mehr nur auf einzelne Personen zurückgeführt werden, sondern sich als das Ergebnis des unkoordinierten Handelns zahlloser Menschen ergeben. Mit Blick auf den Einsatz von Algorithmen bei Entscheidungsprozessen steigt die Verwobenheit ursächlicher Ereignisse von späteren Folgen ins Unermessliche.
- Die komplexe Systemverantwortung ist der Versuch, auf die Komplexität moderner Gesellschaften mit ihren ebenfalls komplexen sozialen und technologischen Subsystemen eine Antwort zu geben.
- Die Macht, auf die ethische Qualität eines Systems hinzuwirken, muss nicht ausschließlich an höchsten Führungsstellen angesiedelt sein. Auch jede einzelne Expertin und Experte der IT-Sicherheit kann unter Umständen eine hohe Wirkmacht im System entfalten; zumal wenn sie Zugriff auf sensible Daten oder Schnittstellen hat.
- Bei der Frage nach der Verantwortlichkeit sollte immer auch das mit in den Blick genommen werden, was nicht verantwortet werden kann und somit im Bereich unserer Unverantwortlichkeit liegt.
- Es kann klug sein auf ein vorschnelles Handeln zu verzichten und eine wohl abwägende und reflektierte praktische Vorsichtigkeit in unseren Entscheidungen und Handlungen walten zu lassen.
- Die IT-Sicherheit ist gewissermaßen zugleich Voraussetzung und Garant für eine praktische Vorsichtigkeit im Umgang mit unseren Technologien und deren Weiterentwicklungen.
6.1 Vorbemerkung
Mit der Kenntnis der Grundstruktur und einigen bedeutsamen Arten der Verantwortung ist man schon recht gut in der Lage zu analysieren, wem das Eintreten von Ereignissen oder Situationen zuzurechnen ist. Es dürfte unstrittig sein, dass ein Hackerangriff, der die Software einer Organisation zerstört hat, negativ bewertet wird. Den zuständigen Personen der IT-Sicherheit könnte man entsprechend den Schaden zurechnen und sie zur Verantwortung ziehen. Es gibt relativ klare Zuordnungen der Zuständigkeiten und der Verantwortung. Auch die Frage, ob man die ganze Gruppe oder eine oder mehrere Einzelne in besonderer Weise zur Verantwortung zieht, kann man mit den Grundlagen des Verantwortungsbegriffs weitgehend beleuchten und untersuchen.
Herausfordernder wird die Frage nach der Verantwortung, wenn man sie in die Zukunft richtet und moderne, komplexe Zusammenhänge in den Blick nimmt. Wir leben in einer hochgradig vernetzten und technisierten Welt in der Menschen kollaborativ zusammenwirken und dadurch Ereignisse verursachen, die mit einem klassischen Verständnis von Verantwortung nicht mehr zu fassen sind. Im Zuge der Digitalisierung wird die Komplexität der Verhältnisse weiter gesteigert. Dadurch steigen auch die Anforderungen an ein Verständnis von Verantwortung, mit dem man in der Lage ist die Zurechnung von Ereignissen an bestimmte Verursachungen zu binden. Das gilt insbesondere dann, wenn man in die Zukunft blickt und gewissermaßen heute schon Sachverhalte verantworten muss, von denen man nicht wissen kann ob und wie sie überhaupt morgen eintreten werden und wer genau sie verursacht haben könnte.
6.2 Das Prinzip Verantwortung
Das weithin bekannte Werk „Das Prinzip Verantwortung“(1) des deutsch-amerikanischen Philosophen Hans Jonas (1903 – 1993) hat die Diskussion um die Verantwortung entscheidend erweitert. Publiziert im Jahr 1979 reflektiert es in seiner Auseinandersetzung mit der Verantwortung auf die im 20. Jahrhundert entstandenen technischen und atomaren Möglichkeiten der Menschheitsvernichtung. Das Prinzip Verantwortung thematisiert in Erweiterung der bis dahin gängigen Verantwortungsbegriffe nichts weniger als die menschliche Existenz in Gänze und überhaupt. Durch die technischen Möglichkeiten die die Menschen entwickelt haben verfügen sie über die Macht sich selbst und die Erde zu zerstören. Mit anderen Worten: Der Mensch ist in der Lage, das Leben auf Erden auszulöschen. Damit entsteht eine Verantwortlichkeit, die über die grundlegende Fragestruktur „Wer (Subjekt) ist verantwortlich wofür (Objekt) und gegenüber wem (Instanz)?“ weit hinausgeht. Die Verantwortung, die in diesem Zusammenhang entsteht, hat eine andere Qualität als die Rollenverantwortung, die beispielsweise eine IT-Expertin gegenüber ihrem Arbeitgeber hat. Sie hat auch eine andere Qualität als die moralische Verantwortung des IT-Experten, der sich mit Verweis auf die Menschenwürde der Anweisung seiner Vorgesetzten widersetzt und sich weigert Kundendateien auf zusätzlich verwertbare Informationen zu durchforsten. Zur Klärung dieser neuen Qualität sind ein paar theoretische Überlegungen erforderlich.
Das Prinzip Verantwortung setzt an der menschlichen Existenz und damit auch an den Bedingungen für Verantwortung überhaupt an.(2) Damit man sinnvoll von Verantwortung sprechen kann, muss die menschliche Existenz vorausgesetzt werden. Ohne Existenz, so könnte man sagen, keine Verantwortung. Umgekehrt aber könnte man aber auch sagen: Ohne Verantwortung (im Sinne von: ohne verantwortliches Handeln) keine Existenz. Denn aufgrund seiner immensen technologischen Möglichkeiten hat der Mensch die Macht, die Existenz menschlichen Lebens auszulöschen. Und es ist klar: „Die Anforderungen an die Verantwortlichkeit wachsen proportional zu den Taten der Macht“.(3)
Mit dieser Konzeption von Verantwortung fallen das Objekt (wofür?) und die Instanz (ggü. wem?) der Verantwortung in eins.(4) Das bedeutet, dass wir als Subjekte unseres Handelns verantwortlich sind sowohl für die menschliche Existenz (Objekt) als auch gegenüber der menschlichen Existenz (Instanz). Zudem wird das bisherige „anthropozentrische Monopol der meisten früheren ethischen Systeme“(5) durchbrochen. Denn in den früheren ethischen Systemen waren es die Interessen und Rechte von Menschen, die im ethischen Handeln respektiert werden sollten. Grundsätzlich behalten diese ethischen Pflichten gegenüber den Menschen durchaus ihre Gültigkeit. „Aber jetzt beansprucht die gesamte Biosphäre des Planeten mit all ihrer Fülle von Arten, in ihrer neu enthüllten Verletzlichkeit gegenüber den exzessiven Eingriffen des Menschen ihren Anteil an der Achtung, die allem gebührt, das seinen Zweck in sich selbst trägt – d.h. allem Lebendigen.“(6)
Das Leben, das Lebendige selbst ist es, das in den Fokus der Verantwortung gerückt ist. Es ist nicht mehr nur der Mensch mit seinen Interessen. Es ist nicht mehr nur der Mensch, der ein Zweck an sich ist; auch die Natur wird im Prinzip Verantwortung nun als Zweck an sich anerkannt. So verstanden ist die Natur keine reine Verfügungsmasse für den Menschen mehr, in die er nach seinen Interessen eingreifen kann. Die Natur ist ein Selbstzweck. Sie ist nachgerade kein bloßes Mittel zum Zweck des Menschen. „Als eine planetarische Macht ersten Ranges darf er [der Mensch, Anm. d. Verf.] nicht mehr nur an sich selbst denken.“(7) Im Prinzip Verantwortung ist der Mensch gegenüber der Natur verantwortlich, er ist ihr (theoretisch) Rechenschaft schuldig. Im grundlegendsten Sinne ist der Mensch somit dafür verantwortlich, dass Verantwortlichkeit weiterhin möglich ist. Das Prinzip Verantwortung stellt die Verantwortung in den Mittelpunkt unseres Handelns und es ist zugleich die Voraussetzung für Verantwortlichkeit überhaupt. Ohne Natur, ohne Existenz, ohne Menschheit macht die Rede von Verantwortung keinen Sinn. Wo nichts ist, kann und braucht nichts verantwortet werden. Kurz: Wir sind verantwortlich für die Bedingungen der Existenz, also für die Natur.
Es mag auf den ersten Blick sehr weit gegriffen sein, wenn man bei ethischen Überlegungen in der IT-Sicherheit zu dem Schluss käme, dass die Cybersecurity verantwortlich für die Existenz (der Natur und des Menschen) wäre. Wie wir aber in vorangegangen Kapiteln schon gesehen haben, ist das Schutzgut der IT-Sicherheit nichts geringeres als die Menschenwürde.(8) Schließlich geht es beim Datenschutz im Kern um die informationelle Selbstbestimmung des Menschen. Mit den Argumenten von Hans Jonas und dem bis heute wirkmächtigen Prinzip Verantwortung ist es nur ein kleiner (argumentativer) Schritt dahin, auch für Natur eine Würde zu denken. Gerade in Verbindung mit Kants Erkenntnissen, die in die Konzeption der Menschenwürde einfließen gilt: „Was einen Preis hat, an dessen Stelle kann auch etwas anderes, als Äquivalent, gesetzt werden; was dagegen über allen Preis erhaben ist, mithin kein Äquivalent verstattet, das hat eine Würde.“(9) Folgt man dem Prinzip Verantwortung, nach dem die Natur ihren Zweck in sich selbst trägt, dann müsste man folgerichtig der Natur als Ganzes, deren Teil die Menschen sind, zumindest einen Eigenwert zuschreiben.(10) Im Falle der Vernichtung der Natur und allen Lebens, gäbe es auch kein Äquivalent mehr, das man an deren Stelle setzen könnte. Es gäbe keinen Preis, den man zahlen könnte, außer den der Vernichtung selbst. Die zumindest begriffliche Nähe zur Würde in Sinne eines Zweckes an sich scheint damit gegeben. Nicht von ungefähr titelt die Neue Züricher Zeitung in einem lesenswerten Beitrag aus dem Jahr 2019: „Der Mensch muss der Natur ihre Würde zurückgeben, um seine eigene Würde zu bewahren: Warum es sich lohnt, Hans Jonas wieder zu lesen.“(11)
Wenn wir Menschen über die von uns vorangetriebene datenbasierte Digitalisierung unserer Welt in die Natur eingreifen, sie zum bloßen Mittel für unsere Zwecke machen und womöglich irreversibel verändern können, dann liegt die Verletzlichkeit(12) und mithin Schutzbedürftigkeit der Natur auf der Hand. Bei der Hardware, etwa bei Smartphones, zu deren Herstellung seltene Erden und zahlreiche Ressourcen benötigt werden, mag die Umweltbelastung noch vorstellbar und vielleicht sogar näherungsweise berechenbar sein. Bei der Software indes, die zur Digitalisierung von Großtechnologien und Steuerungsprozessen in globalen Ausmaßen herangezogen wird und die sich durch intelligente Algorithmen sogar potenzieren kann, dürften die potenziellen Eingriffe in die Natur und die verursachten Veränderungen nur noch für die wenigsten Menschen vorstellbar sein.
Das Bundesministerium für Umwelt, Naturschutz und nukleare Sicherheit (BMU) hat die Problematik erkannt und schreibt in seinem Eckpunktepapier vom Mai 2019: „Dass auch die Digitalisierung erhebliche Auswirkungen auf Umwelt und Natur hat, wurde lange unterschätzt. Unverändert fortgesetzt wird sie zum Brandbeschleuniger für die ökologischen und sozialen Krisen unseres Planeten, weil sie die Überschreitung der planetaren Grenzen weiter beschleunigt: Mehr Energie- und Rohstoffverbrauch, mehr Konsum und mehr Verkehr.“(13)
Wenn die IT-Sicherheit die Aufgabe hat, die Datensicherheit in beispielsweise Klima-, Umwelt- und Ressourcenschutz zu gewährleisten, dann ist sie mit ihrer Expertise zumindest mittelbar verantwortlich für die Natur und trägt zu deren Existenz bei. Im Umkehrschluss: Bei einer Schädigung der Umwelt aufgrund einer mangelhaften IT-Sicherheit, würden sich die zuständigen Experten im Sinne des Prinzips Verantwortung nicht nur gegenüber ihren Mitmenschen, sondern sogar gegenüber der Natur als Ganzem „schuldig“ machen. Dies gilt umso mehr bei Folgen die in die Zukunft weisen. Auch wenn diese Folgerung sehr weit gegriffen und praktisch kaum haltbar ist, so verweist sie darauf, dass die prinzipielle Verantwortlichkeit auch der Akteur*innen im Bereich der IT-Sicherheit je nach Situation sehr weit gefasst sein kann und keineswegs an den Werktoren der Institutionen in den Feierabend geht, bei denen sie tätig sind.
6.3 Kumulative Effekte und unvorhersehbare Folgen
Das Prinzip Verantwortung von Hans Jonas ist ein viel beachtetes und zentrales Werk und wie der Untertitel des gleichnamigen Buches besagt, ein „Versuch einer Ethik für die technische Zivilisation“.(14) Grundsätzlich konstatiert er mit seiner prospektiven Sorge um die Menschheit eine eher düstere Zukunft, zumindest eine sehr gefährdete Zukunft, für die wir alle in unserem Handeln verantwortlich sind. Gleichwohl ist der Ansatz nicht frei von Kritik.(15) Das Subjekt (Wer? Wir alle) der Verantwortung diffus bleibt. Wie wir bereits im Zusammenhang mit der kollektiven Verantwortung gesehen haben, ist die Verteilung der Verantwortung auf „alle“ ein schwieriges Unterfangen. Am Ende bleibt nach mancher Kritik der Ansatz von Jonas – zumindest praktisch gesehen – ein „Apell ohne Adressat“. (16) Aber es ist ein scharfer und berechtigter Apell, ein Apell der unser Verantwortungsbewusstsein deutlich wachrüttelt.
Bis hierher können wir aller Kritik zum Trotze festhalten, dass erstens unsere Verantwortlichkeit nicht nur auf die Vergangenheit und Gegenwart beschränkt ist, sondern auch weit in die Zukunft geht, in die die Wirkungen unserer Handlungen hineinreichen. Und zweitens können wir festhalten, dass unsere Verantwortlichkeit weit über den Nahbereich unseres Handelns hinausgeht, bis hinein in globale Dimensionen, in denen die Folgen unserer Entscheidungen und Handlungen wirksam werden.
Dazu kommt, drittens, dass die fernen und zukünftigen Folgen unseres Handelns nicht mehr nur auf einzelne Personen zurückgeführt werden können, sondern sich als das Ergebnis des unkoordinierten Handelns zahlloser Menschen ergeben. Wir haben es mit kumulativen Effekten zu tun. Mit Blick auf den Einsatz von Algorithmen bei Entscheidungsprozessen steigt die Verwobenheit ursächlicher Ereignisse von späteren Folgen ins Unermessliche.
Die Frage, die sich an eine moderne Ethik stellt ist die, wie man mit kumulativen Effekten umgeht. Damit sind Synergien in den Wirkungen gemeint, die sich durch das Handeln vieler Menschen einstellen, ohne dass man diese aufsummierten (kumulierten) gemeinschaftlichen Handlungsfolgen einzelnen Verursachern ursächlich zuschreiben könnte.(17) Als anschauliches Beispiel sei der Klimawandel genannt. Die beständige Erwärmung der Erde ist das Ergebnis des Handelns der Menschen insgesamt. Jede bzw. jeder Einzelne ist daran beteiligt und selbst wenn eine singuläre Person sich etwas mehr oder weniger klimaschonend oder -schädigend verhält ist dieses singuläre Handeln für sich betrachtet für die globale Entwicklung des Klimas unerheblich. Erst im Zusammenwirken des individuellen Verhaltens aller Menschen entstehen in kumulativer Folge die Auswirkungen auf das Klima, die sowohl überregional als auch zukünftig relevant sind. Bisweilen scheint es, dass sogar erst durch das sich aufschaukelnde Zusammenwirken ansonsten unterschwelliger Belastungen im globalem Maßstab erhebliche Schädigungen entstehen.(18) Die digitalen Technologien und in deren unmittelbarem Zusammenhang auch die IT-Sicherheit haben ebenfalls einen Einfluss auf den Klimawandel, etwa durch den immensen kumulativen Stromverbrauch, der beim Betreiben eines einzelnen Geräts kaum zu Buche schlägt, oder auch durch die relativ kurzen Lebenszyklen digitaler Technologien mit den in ihnen verbauten und verwendeten natürlichen Ressourcen, deren Abbau und Verbrauch natur- und klimaschädigend sein kann.(19)
Weiterhin, viertens, sind auch die bisweilen sehr komplexen Nebenfolgen von Handlungen im Zusammenhang mit einem modernen Verständnis von Verantwortung zu thematisieren. Gerade bei technologischen Großprojekten, zumal wenn sie aus einer Kollaboration vieler Beteiligter entstehen sollen, kann es zu vorhersehbaren, aber auch zu unvorhersehbaren Nebenfolgen kommen.(20) Eine einzelne Person oder Gruppe auszumachen, die letztlich verantwortlich für unvorhersehbare Nebenfolgen sein soll, grenzt an Unmöglichkeit.
Als aktuelles Beispiel sei an die Entwicklung der Corona-Impfstoffe und schließlich der nationalen und internationalen Durchführung der Impfung erinnert. Mit Hochdruck arbeiteten eine Vielzahl von Menschen an verschiedenen Orten der Erde an der Entwicklung von wirksamen Impfstoffen. Es ist ein kollaboratives Vorhaben unter dem Druck der grassierenden Pandemie mit dem Ziel die Menschen zu schützen, die Ausbreitung des Virus in den Griff zu kriegen und letztlich auch ein „normales“ gesellschaftliches und soziales Leben wieder zu ermöglichen. Als solches ist die Impfstoffentwicklung nicht nur Sache der Forschungslabore, sondern der Politik, der Wirtschaft, der Medizin usw., mithin der Gesellschaft in umfassender Hinsicht. (Fast) alle wollen den Impfstoff, und zwar schnell und wirksam – durchaus auch im höchsteigenen Interesse. Doch wer ist verantwortlich dafür? Zum einen für Herstellung und Verteilung; zum anderen aber auch für unvorhersehbare Nebenfolgen? Die Hersteller, die Politik, die Nutzerinnen und Nutzer, wir alle? Wer die Situation der Gegenwart und jüngsten Vergangenheit verfolgt hat, kann sich womöglich an die Streitereien und Verhandlungen erinnern, die genau diese angerissene Problematik betreffen. Mit der sehr konkreten Schlagzeile: „Corona-Impfung: Wer zahlt für mögliche Schäden?“ und dem direkt folgenden Teaser: „Die Pharmaindustrie will keine Haftung für mögliche unerwünschte Folgen der Corona-Impfung übernehmen. Bezahlen sollen die europäischen Steuerzahler.“(21) bringt es die Berliner Zeitung auf den Punkt. Selbst wenn am Ende wir alle für faktischen Haftungsschäden gemeinschaftlich aufkommen sollten, ist damit die komplexe Frage nach der grundsätzlichen Verantwortung für das, was geschehen ist, lange nicht geklärt. Dazu wird wohl ein langwieriger nachbereitender politischer und gesellschaftlicher Diskurs in Deutschland, Europa und darüber hinaus nötig sein. Angenommen es käme so, dass die europäischen Steuerzahlenden haftbar gemacht würden und zahlen müssten, dann würde das im Umkehrschluss bedeuten, dass sie alle (rechtlich) verantwortlich sind – wenngleich über staatliche Institutionen vertreten.
Geldwerte Schäden kann man gegebenenfalls noch über Steuern verteilen und kompensieren und somit eine Haftungsverantwortung konstruieren. Bei der grundsätzlichen Verantwortlichkeit jedoch funktioniert dieses Verfahren nicht. Es wäre absurd zu sagen, dass bei rund 450 Millionen EU-Bürgerinnen und -Bürger jede/r Einzelne davon ein schlappes Vierhundertfünfzigmillionstel verantwortlich ist, für das, was bei der Corona-Impfung eventuell an unvorhersehbaren Nebenfolgen entstanden sein wird. So etwas wäre zynisch und würde dem menschlichen Leid, das durch den unvorhersehbaren Schaden entstanden sein würde, nicht gerecht werden können. Das gilt analog übrigens auch für ein breitflächiges Unterlassen der Impfung.
Mit Blick auf unvorhersehbare Nebenfolgen von gemeinschaftlichen Handlungen und auf womöglich mit ihnen verwobene unvorhersehbare kumulative Effekte zeigt sich – wie am Beispiel der Corona-Impfung illustriert – dass die Menschheit durch ihre technologischen und zunehmend auch digitalen Möglichkeiten Ereignisse herbeiführen kann, die sie selbst nicht mehr überschauen kann. Insofern scheint in bestimmten Bereichen unsere gemeinschaftliche Handlungs- und Verhaltensmacht weit mehr gewachsen zu sein, als unsere mögliche Voraussicht. Dies gilt sowohl in digitaler und technologischer, als auch in räumlicher und zeitlicher Hinsicht. Daraus entsteht ein Paradox für die Verantwortung. Denn was man nicht wissen kann, kann man auch (moralisch) nicht sinnvoll verantworten.(22) Wenn aber die Verantwortung keinen einzelnen Personen mehr zugerechnet werden kann, dann hätte sich die Verantwortung entweder selbst ins Nichts verloren. Oder man müsste dem gesamten System eine Verantwortung zuschreiben.
6.4 Systemverantwortung
Systemverantwortung ist ein sehr junger Begriff in der Verantwortungsdiskussion. Er hat sich aufgrund der geschilderten Probleme mit der Zurechenbarkeit komplexer Sachverhalte auf konkrete Personen oder Personengruppen entwickelt. Denn die bereits beispielhaft beschriebenen modernen technologischen Prozesse und die ihnen zugrundeliegenden modernen gesellschaftlichen Prozesse vollziehen sich systemhaft. Sie sind komplex und vielfach reflexiv miteinander verwoben; und sie können nicht mehr personal verantwortet werden. Um nun überhaupt noch sinnvoll von Verantwortung sprechen zu können, versucht man Systemen eine Verantwortung zuschreiben.(23)
Systeme als solche sind nun nicht mehr der Gegenstand (das Wofür?) der Verantwortung, etwa in dem Sinne, wie die IT-Security eines Unternehmens für dessen IT-System verantwortlich ist. Eher ist es so zu verstehen, dass beispielsweise die IT-Security eines Unternehmens im Falle von z. B. unvorhersehbaren und unverschuldeten Datenverlusten, ihre Verantwortlichkeit an das prinzipiell übergeordnete System, etwa das technologische System einer Branche oder gar der Gesellschaft samt ihrer Good Practice und Governancestrukturen, abgegeben könnte. Kurz: Die Systemverantwortung macht das System selbst zum Träger (dem „Wer?“) von Verantwortung.
Als System ist in einem systemtheoretischen Sinn ein Gefüge zu verstehen, dass aus Strukturen und Prozessen besteht, die miteinander verwoben sind und einander bedingen. Dabei sind Systeme strukturell an ihrer Umwelt orientiert und sie können ohne ihre Umwelt nicht existieren.(24) Doch in ihrer inneren Organisation sind sie autonom und autopoietisch.(25) Das bedeutet, dass sie über eine Eigengesetzlichkeit verfügen, die sie gewissermaßen von ihrer Umwelt abgrenzt und die sie im Laufe der Zeit verfestigen und aus sich heraus fortschreiben. So kann man beispielsweise unsere Gesellschaft als System mit ihr eigenen Prozessen und Strukturen verstehen. Zugleich kann eine Gesellschaft auch Subsysteme haben, wie beispielsweise die Wirtschaft, die Wissenschaft oder auch bestimmte Technologien. Die jeweiligen Systeme haben ihre Eigengesetzlichkeit und sind funktional voneinander unterschieden. Die Wirtschaft hat eine andere Funktion und andere Funktionsweisen als die Wissenschaft. Man könnte beispielsweise auch die IT-Sicherheit als Subsystem der Informations- und Kommunikationstechnologie bezeichnen, das selbst eine Eigenlogik und Eigengesetzlichkeit innerhalb einer Gesellschaft hat.
Wie aber kann man ein System verantwortlich machen? Der IT Wie kann man sinnvoll von einem System als Träger von Verantwortung sprechen, wenn es doch ein unpersönliches Gebilde ist und erst aus dem Zusammenspiel der ihm zugehörigen internen Prozesse entsteht? Denn „Man könnte auch sagen: Verantwortung ist mit zunehmender Komplexitätssteigerung zu einer Atopie geworden, zu einem Nicht-Ort, sie lässt sich nicht mehr verorten, eingrenzen, dingfest machen. Sie vagabundiert innerhalb der subjektlosen Prozessabläufe, entzieht sich unserem kognitiven Zugriff und widersetzt sich den Versuchen der normativen Festlegung.“(26) Das bedeutet, dass in einem System Verantwortung zwar gegeben ist, sich aber nicht greifen lässt. Wenn es also – wovon zumindest in Grundzügen auszugehen ist – ein System der IT-Sicherheit gibt, das man interpretieren kann als ein funktionales Subsystem der IT insgesamt, mit einer eigenen Logik, mit eigenen eingeübten Prozessen und einem sich selbstfortschreibenden Regelwerk, dann trägt die IT-Sicherheit Verantwortung. Bleibt die Frage: wie kann das gehen?
Vereinfacht lautet die Antwort: Durch Design- und/oder Kontextsteuerung.(27) Damit wird der Tatsache Rechnung getragen, dass ein System in eine Umwelt eingebettet ist, in der es sich gewissermaßen selbst erhalten muss. So könnte man zu einen versuchen, ethische Aspekte in die Prozesse eines Systems einzuspeisen und dadurch eine Art moralische Qualität des Systemgeschehens zu erhalten (Design).(28) Oder man könnte versuchen, über die Gesetzgebung oder monetäre Anreize oder ähnliches, die Systemdynamiken in eine gewünschte Richtung zu lenken (Kontext). Damit würde man sozusagen die Rahmenbedingungen ändern, innerhalb derer sich ein System bewegt. Man schafft Umstände, die auf den Möglichkeitsbereich des Systems einwirken.(29) So wird ein Spielraum eröffnet, in dem sich die selbstorganisatorischen Dynamiken des betrachteten Systems entfalten können.(30)
Staatliche Fördermaßnahmen für digitale Technologien beispielsweise könnten einen Impuls hin zu mehr Digitalisierung von Unternehmen und mithin im Wirtschaftssystem insgesamt geben und so die innere Dynamik des Wirtschaftssystems beeinflussen. Entsprechendes könnte man für die IT-Sicherheit sehen, etwa, wenn bestimmte Infrastrukturen der IT-Sicherheitstechnik besonders gefördert würden, weil man sie für umwelt- oder klimafreundlicher hält. Das wäre der Versuch, indirekt Umwelt- bzw Klimaverantwortung in das System der IT-Sicherheit einzuspeisen. Dadurch wäre nicht mehr per se die einzelne IT-Expertin für die Umweltbelastung verantwortlich, die aus der Verwendung einer bestimmten technologischen Basis entsteht, sondern das System, dem sie angehört. Die IT-Expertin kann ihrerseits dadurch ethisch handeln, dass sie im Rahmen ihrer Möglichkeiten Einfluss auf die ethische Qualität der systemischen Prozesse nimmt, an die ihre Verantwortung delegiert wurde.
Im Verständnis der Systemverantwortung handeln individuelle Personen verantwortlich, indem sie Verantwortung an Systeme delegieren.(31) Zugleich qualifiziert sich das als ethisch positiv bewertete Handeln eines Einzelnen dadurch, dass er auf ethische Qualität der Gesamtordnung und ihre Prozesse Einfluss nimmt. Im reflexiven Gegenzug bestimmt aber auch die Gesamtordnung die Handlungsmöglichkeiten des Einzelnen und nimmt somit ihrerseits Einfluss auf die positive Qualität des Handelns des Einzelnen.(32) Auf diese Weise können Prozesse auch personalisiert werden, etwa wenn sie einer bestimmten Stelle und dadurch einem Mitarbeiter zuordnet werden, der für ebendiesen Prozess verantwortlich ist.
Wie schon oben gesagt, vagabundiert durch das reflexive und komplexe Wirkgefüge eines sozialen Systems die Verantwortung im System herum. Sie kann nicht an einem bestimmten systematischen Ort festgemacht werden. Deshalb aber zu glauben, dass damit Verantwortung verschwinden würde und ein System eine Art ethisch neutraler Raum wären, ist weit gefehlt. Vielmehr dürfte die Verantwortung sogar gestiegen zu sein, allerdings in einer anderen Qualität.
Die komplexe Systemverantwortung ist der Versuch, auf die Komplexität moderner Gesellschaften mit ihren ebenfalls komplexen sozialen und technologischen Subsystemen eine Antwort zu geben. Nicht zuletzt schützt sie den einzelnen Menschen vor Überforderung ohne ihn aber daraus zu entlassen. Denn um den Selbstlauf von in sich operativ geschlossenen Systemen zu unterbrechen und deren Eigenlogik zu kanalisieren, ist es notwendig, dass die Menschen das Regelwerk herausfordern und auf seine ethische Qualität einwirken.(33) Im Extremfalle wäre dies sogar die Verweigerung der Ausführung bestimmter Prozessabläufe im System. Wenn sich Funktionsträger in einem System weigern, ihre Funktion ordnungsgemäß und routiniert auszuüben, dann kommen Prozesse ins Stocken und das System wird irritiert und herausgefordert.(34) Und das ethische Gewissen eines menschlichen Subjekts, das zu solcher Verweigerung führen kann, kann gerade nicht an das subjektlose System delegiert werden. Die Irritation wird dabei umso größer sein, je zentraler und wirkmächtiger die Funktionsträger sind. Gleichwohl liegt die Macht in einem System nie ausschließlich bei einer Person: „Kein Teil des Systems kann andere kontrollieren ohne selbst der Kontrolle zu unterliegen“.(35)
Die Macht, auf die ethische Qualität eines Systems hinzuwirken, muss nicht ausschließlich an höchsten Führungsstellen angesiedelt sein. Auch jede einzelne Expertin und jeder einzelne Experte der IT-Sicherheit kann unter Umständen eine hohe Wirkmacht im System entfalten; zumal wenn sie Zugriff auf sensible Daten oder Schnittstellen haben. Das sollte den Profis der IT-Security sehr bewusst sein. Schließlich geht es um den Datenschutz und damit um nichts weniger als um die informationelle Selbstbestimmung und Würde der Menschen, denen diese Daten gehören.
6.5 Unbedingte Verantwortung und praktische Vorsichtigkeit
Die Systemverantwortung hat den Blick darauf gelenkt, dass unsere Fähigkeit als Individuen und Akteur*innen in komplexen gesellschaftlichen und technologischen Systemen Verantwortung zu übernehmen an Grenzen stößt. Auch wenn wir als Einzelne oder Gruppen über die Einflussnahme auf das Regelwerk oder die Verweigerung, eingeübte Prozesse weiterhin mitzumachen, durch aus verantwortlich in Systemzusammenhängen agieren können, stoßen wir unweigerlich an die Ränder dessen, was uns individuell an Verantwortung zugemutet werden kann. Dennoch kann es in systemischen Zusammenhängen passieren und aus verantwortungstheoretischer Sicht akzeptabel erscheinen, dass wir für ein Scheitern unserer Bemühungen verantwortlich sind und uns dieses Misslingen zurechnen lassen müssen, ohne daran eine ursächliche Schuld zu haben.(36) Man denke etwa an einen Datenschutzbeauftragten, der wegen eines Datenlecks aufgrund eines Fehlverhalten der IT-Abteilung in seiner Behörde zurücktreten muss, obwohl er sich selbst faktisch nichts hat zuschulden kommen lassen.
Bei der Frage nach der Verantwortlichkeit sollte immer auch das mit den Blick genommen werden, was nicht verantwortet werden kann und somit im Bereich unserer Unverantwortlichkeit liegt. Aber das soll keine Ausrede oder pauschale Entschuldigung sein. Bei ambivalenten und komplexen Verantwortungslagen geht es vor allem darum, wie man mit der Verantwortung umgeht; nicht wie man der Verantwortungslast am besten entkommt.(37) Die Grenzen der Verantwortung sind fließend, flüchtig und begründungsbedürftig. Sowohl hinsichtlich des Systems als auch hinsichtlich des individuellen Menschen im System.
Verantwortung kann nicht umgangen werden. Das gilt für Menschen wie für Systeme. Spannt man den systemischen Bogen weiter auf, kommt man zu einem ganzheitlichen Denken, bei dem die Natur bzw. die Welt als Ganzes das große System ist. In dieses große Ganze sind wir alle als Teile miteinander verwoben. Aus dieser Verwobenheit kann man eine unbedingte Verantwortung ableiten, in der jede/r Einzelne von uns steht. Denn einer systemischen Logik zufolge, verändere ich als ein Teil des Systems durch mein Verhalten prinzipiell die Möglichkeiten aller anderen Teile dieses Systems. Ich verändere den Möglichkeitsraum aller im System.(38) Damit verändere ich konkret deren Handlungsspielraum, ohne aber zu wissen, ob dies in positiver oder negativer Hinsicht geschieht.
Die Erkenntnis und Anerkennung einer unbedingten Verantwortung bedeutet, dass wir uns zunächst einmal an einer Art regulativem Nicht-Dürfen orientieren sollten, da wir mit unseren Aktivitäten in die Möglichkeitsbereiche anderer eindringen. Damit ist gemeint, auf ein vorschnelles Handeln zu verzichten und eine wohl abwägende und reflektierte praktische Vorsichtigkeit in unseren Entscheidungen und Handlungen walten zu lassen.(39) Schließlich wissen wir nicht ohne Weiteres, ob diese Eingriffe in das Gefüge positiv oder negativ zu sehen sind. Diese praktische Vorsichtigkeit in unserem Entscheiden und Handeln versteht sich nicht als Fuß auf der Bremse unseres Lebens, sondern eher als eine Haltung, die aus dem Wissen um systemische Zusammenhänge und komplexe Wirkweisen entspringt, deren Verselbständigung, einmal angestoßen, sich kaum mehr einfangen lassen. Eine solche Haltung ähnelt der sogenannten „Heuristik der Furcht“(40), die aus dem weiter oben diskutierten Prinzip Verantwortung abgeleitet ist und die auf einen defensiven – vorsichtigen – Umgang mit antizipierten und unvorhersehbaren Fernwirkungen unseres Handelns und unserer technologischen Möglichkeiten ausgerichtet ist.
Für die IT-Sicherheit leitet sich aus dieser Haltung zweierlei ab: Erstens schärft das Wissen um die Komplexität, Unvorhersehbarkeit und Eigendynamik von digital-technologischen Entwicklungen die Bedeutsamkeit der IT-Sicherheit für Institutionen und die Gesellschaft überhaupt. Die IT-Sicherheit ist gewissermaßen zugleich Voraussetzung und Garant für eine praktische Vorsichtigkeit im Umgang mit unseren Technologien und deren Weiterentwicklungen. Zweitens ist diese praktische Vorsichtigkeit als grundsätzliche ethische Haltung eine Handreichung für die Gestaltung, Entwicklung und Pflege von digital-technologischen Systemen, deren Parameter und Algorithmen eben dieser Haltung entsprechen sollten. Last but not least, kann diese Haltung, drittes, der einzelnen IT-Sicherheitsexpertin bzw. dem einzelnen IT-Sicherheitsexperten als Orientierung bei ihren spezifischen fachlichen Aufgaben und Pflichten im beruflichen Alltag dienen.
6.6 Referenzen und Literatur
- Jonas (1979).
- Vgl. Werner (2002: 524).
- Vgl. Jonas (1993: 85).
- Vgl. Werner ebd.
- Vgl. Jonas (ebd.: 84).
- Ebd.:85
- Ebd.
- Grimm et al (2019: 51f.) bzw. Kapitel 1 „Was ist das Schutzgut?“
- Kant (1993: 68).
- Vgl. Jonas (1979: 29).
- Löhr (2019).
- Vgl. Jonas (1979: 26f).
- BMU (2019).
- Jonas (1979).
- Vgl. Banzaf (2017: 151).
- Bayertz (1995: 76).
- Vgl. Jonas (1979: 27f).
- Vgl. ausführlich zu kumulativen Effekten Lenk (1993: 129).
- Vgl. Noack (2020).
- Vgl. Lenk (1993: 130).
- Maier (2020).
- Vgl. Lenk (1993: 130).
- Vgl. Wilhelms (2017: 515).
- Vgl. Luhmann (1994: 35).
- Vgl. Maturana/ Varela (1987: 55ff); Luhmann (1994: 60f).
- Heidbrink (2007: 115).
- Vgl. Heidbrink (2017: 21).
- Vgl. sinngemäß Wilhelms (2017: 510).
- Vgl. Schmidt (2016: 79ff).
- Vgl. Willke (2016: 104f.).
- Vgl. Heidbrink (2017: 22).
- Vgl. Wilhelms (2017: 512).
- Vgl. Ulrich (2008: 167 ff.)
- Vgl. Ulrich (2008: 167 ff.)
- Luhmann (1994: 63).
- Vgl. Heidbrink (2007: 171).
- Vgl. ebd.: 194.
- Vgl. Schmidt (2017: 93).
- Vgl. Schmidt (2016: 70f.).
- Jonas (1979: 63ff).
Banzaf, Günter (2017): Der Begriff der Verantwortung in der Gegenwart: 20.-21. Jahrhundert, in: Heidbrink, Ludger/ Langbehn, Claus/ Loh, Janina (Hrsg.): Handbuch Verantwortung. Springer VS Wiesbaden, 149-167.
Bayertz, Kurt/ Beck, Birgit (2017): Der Begriff der Verantwortung in der Moderne: 19.-20. Jahrhundert, in: Heidbrink, Ludger/ Langbehn, Claus/ Loh, Janina (Hrsg.): Handbuch Verantwortung. Springer VS Wiesbaden, 133-147.
BMU – Bundesministerium für Umwelt, Naturschutz und nukleare Sicherheit (2019): Eckpunkte für eine umweltpolitische Digitalagenda des BMU, 06.05.2019, https://www.bmu.de/download/eckpunkte-fuer-eine-umweltpolitische-digitalagenda-des-bmu/, letzter Abruf am 7.1.2020.
Noack, Alexander (2019): Der Einfluss der Digitalisierung auf den Klimawandel, in: digital magazin, zuletzt bearbeitet am 5.10.2020, https://digital-magazin.de/einfluss-der-digitalisierung-auf-klimawandel, letzter Abruf am 13.1.2021.
Grimm, Petra/ Kleber, Tobias O./ Zöllner, Oliver (2019): Digitale Ethik. Leben in vernetzen Welten, Reclam Verlag Ditzingen.
Heidbrink, Ludger (2007): Handeln in der Ungewissheit. Paradoxien der Verantwortung, Kulturverlag Kados Berlin.
Heidbrink, Ludger (2017) Definitionen und Voraussetzungen der Verantwortung, in: Heidbrink, Ludger/ Langbehn, Claus/ Loh, Janina (Hrsg.): Handbuch Verantwortung. Springer VS Wiesbaden, 3-33.
Jonas, Hans (1979): Das Prinzip Verantwortung. Insel Verlag Frankfurt am Main 1979, Lizenzausgabe im Suhrkamp Taschenbuch Verlag 1984.
Jonas, Hans (1993): Warum die Technik ein Gegenstand für die Ethik ist. Fünf Gründe, in: Lenk, Hans/ Ropohl, Günter (Hrsg.): Technik und Ethik, 2. rev. Auflage. Philipp Reclam jun. Verlag Stuttgart, 81-91.
Kant, Immanuel (1993): Kritik der praktischen Vernunft. Grundlegung zur Metaphysik der Sitten. Herausgegeben von Wilhelm Weischedel, 12. Aufl., suhrkamp taschenbuch wissenschaft Frankfurt am Main.
Lenk, Hans (1993): Über Verantwortungsbegriffe und das Verantwortungsproblem in der Technik, in: Lenk, Hans/ Ropohl, Günter (Hrsg.): Technik und Ethik, 2. rev. Auflage. Philipp Reclam jun. Verlag Stuttgart, 112-148.
Lenk, Hans (2017): Verantwortlichkeit und Verantwortungstypen: Arten und Polaritäten, in: Heidbrink, Ludger/ Langbehn, Claus/ Loh, Janina (Hrsg.): Handbuch Verantwortung. Springer VS Wiesbaden, 57-84.
Löhr, Eckhardt (2019): Der Mensch muss der Natur ihre Würde zurückgeben, um seine eigene Würde zu bewahren: Warum es sich lohnt, Hans Jonas wieder zu lesen, in: Neue Züricher Zeitung vom 12.05.2019, https://www.nzz.ch/feuilleton/hans-jonas-der-mensch-muss-der-natur-ihre-wuerde-zurueckgeben-ld.1479968, letzter Abruf am 7.1.2021.
Luhmann, Niklas (1994): Soziale Systeme. Grundriß einer allgemeinen Theorie, 5. Aufl., Suhrkamp Verlag Frankfurt am Main.
Maier, Michael (2020): Corona-Impfung: Wer zahlt für mögliche Schäden?, in: Berliner Zeitung vom 26.8.2020, https://www.berliner-zeitung.de/wirtschaft-verantwortung/corona-impfung-wer-zahlt-fuer-moegliche-schaeden-li.101215, letzter Abruf am 15.01.2020.
Maturana, Humberto R./ Varela, Franciso J. (1987): der Baum der Erkenntnis. Die biologischen Wurzeln des menschlichen Erkennens. Goldmann Verlag Bern und München.
Schmidt, Matthias (2016): Reichweite und Grenzen unternehmerischer Verantwortung. Perspektiven für eine werteorientierte Organisationsentwicklung und Führung. SpringerGabler Verlag Wiesbaden.
Schmidt, Matthias (2017): Selbstorganisation – System – Ethik. Eine Operationalisierung der Methode der Selbstorganisation und Implikationen für eine Ethik. Rainer Hampp Verlag München und Mering.
Ulrich, Peter (2008): Integrative Wirtschaftsethik. Grundlagen einer lebensdienlichen Ökonomie, 4. Aufl. Haupt Verlag Bern/Stuttgart/Wien.
Werner, Micha W. (2002): Verantwortung, in: Düwell, Marcus/ Hübenthal, Christoph/ Werner, Micha (Hrsg.): Handbuch Ethik. J. B. Metzler Verlag Stuttgart/ Weimar, 521-527.
Wilhelms, Günter (2017): Systemverantwortung, in: Heidbrink, Ludger/ Langbehn, Claus/ Loh, Janina (Hrsg.): Handbuch Verantwortung. Springer VS Wiesbaden, 501-524.
Willke, Helmut (2016): Dystopia. Studien zur Krisis des Wissens in der modernen Gesellschaft, 2. Aufl. Suhrkamp Verlag Frankfurt am Main.