EU-DSGVO
In der Beziehungskrise mit Justitia
Die einheitliche Um- und Durchsetzung der Datenschutz-Grundverordnung (DSGVO) in Deutschland und Europa ist in vollem Gange. Allerdings herrscht noch jede Menge Optimierungsbedarf, um den kursierenden Wirren ein Ende zu bereiten.
Eine Kundin betritt eine Metzgerei und wird von der Fleischwarenverkäuferin freundlich mit ihrem Namen angesprochen. Daraufhin beklagt sich die besagte Kundin über die persönliche Ansprache und beruft sich dabei auf den Datenschutz der DSGVO. Diese skurrile Anekdote ist kein Witz, sondern bittere Realität – die Berliner Morgenpost berichtete Ende letzten Jahres über diesen Vorfall.
Diese befremdliche Beschwerde hatte natürlich keinen Halt, da das humane Gedächtnis kein Speichersystem im Sinne der DSGVO darstellt. Dieses Beispiel demonstriert aber vortrefflich die Fehlvorstellungen über den Anwendungsbereich der DSGVO, die auch ein Jahr nach ihrer Einführung noch vorherrschen. Durchschnittlich gingen 32.485 Anfragen und Beratungsersuche bei den jeweiligen europäischen Behörden ein. Die Homepage des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) verzeichnete im Jahr 2018 insgesamt 27,9 Millionen Seitenaufrufe und damit knapp zwölf Millionen mehr als im Vorjahr. Beinahe 15.000 Beschwerden und Meldungen zu Datenschutzverstößen landeten zwischen dem 25. Mai 2018 und dem 30. April 2019 auf dem Schreibtisch von Ulrich Kelber, dem aktuellen BfDI.
Die Schonfrist ist vorbei
Die DSGVO dient dem Schutz der „Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Rechts auf Schutz ihrer personenbezogenen Daten“ laut Artikel 1 Absatz 2 der DSGVO. Zu den wesentlichen Grundsätzen für den Umgang mit solchen Daten zählen gemäß Artikel 5 Absatz 1 unter anderem Datensparsamkeit, Transparenz, Integrität sowie Zweckbindung der Datenverarbeitung. Ebenso ist der Nachweis hierüber verpflichtend, wie es in Artikel 5 Absatz 2 der DSGVO steht.
Bei Verstößen drohen Bußgelder, deren Höhe sich jeweils an einem gesetzlichen Kriterienkatalog orientiert. Die Sanktionen für besonders gravierende Verstöße (Artikel 83 Absatz 5 DSGVO) betragen bis zu 20 Millionen Euro oder vier Prozent des gesamten global erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr. Die Bußgelder für weniger schwerwiegende Verstöße (Artikel 83 Absatz 4) werden auf bis zu zehn Millionen Euro oder zwei Prozent des gesamten global erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr beziffert.Bis jetzt gaben sich die Behörden in puncto Ahndung noch zurückhaltend. Im europäischen Vergleich erweist sich Deutschland noch am aktivsten: 54 Verwarnungen wurden ausgesprochen und 42 Fälle mit Geldstrafen geahndet, deren Höhe durchschnittlich 16.100 Euro betrug. Dies geht aus einer Analyse der Rechtsanwalts- und Steuerberatungsgesellschaft EY Law hervor. Peter Katko, Partner bei EY Law, warnt: „Die Schonfrist ist inzwischen vorbei. Wir erwarten, dass die europäischen Aufsichtsbehörden ihre Ankündigungen für das Jahr 2019 umsetzen und verstärkt zu höheren Bußgeldern greifen werden. So kündigte beispielweise das Bayerische Landesamt für Datenschutzaufsicht bereits an, die Umsetzung datenschutzkonformer Internettechnologien bezogen auf Tracking überprüfen zu wollen.“
Die Frage aller Fragen
Für ein gewisses Schutzniveau ist eine bestimmte datenschutzkonforme Technikgestaltung erforderlich. Deshalb sollte laut der DSGVO ein effektiver Datenschutz nach dem „Stand der Technik“ erfolgen. Die Klausel findet sich zwar an mehreren Stellen in der Datenschutz-Grundverordnung, aber eine genaue Definition fehlt jedoch. Definiert ist: Die Technik sollte laut DSGVO erprobt sein und sich an internationalen, europäischen und nationalen Normen sowie Standards orientieren.
2016 ließ Sigmar Gabriel, der damalige Bundeminister für Wirtschaft und Energie, auf dem Nationalen IT-Gipfel verlauten, dass der klassische Datenschutzbegriff nicht mehr zeitgemäß und in Hinblick auf die gegenwärtigen Anwendungen wie Big Data kontraproduktiv sei. Als sinnvoll erschien ihm hingegen die physische und rechtliche Souveränität im Umgang mit Daten vonseiten der Bürger. Bundeskanzlerin Merkel war mit diesem Ansatz ebenfalls einverstanden.
Aus dem „Grünbuch Digitale Plattformen“, das Teil der Digitalen Strategie 2025 ist, findet sich eine amtliche Umschreibung für den Begriff der Datensouveränität. Sie soll die Privatautonomie stärken und durch Transparenzvorschriften ein Informationsgleichgewicht zwischen Verbraucher und Unternehmen herstellen. Im selben Zug wird damit auf die umstrittene Kommerzialisierung von Daten abgezielt. Darüber hinaus wird für das in diesem Zusammenhang erwähnte ausdifferenzierte Identity Management die Realisierung einer zentralen Identifikationsdatenbank vorgeschlagen. Dort sollen Einstellungen zur Weitergabe von Daten an Unternehmen und Dritte vorgenommen werden können. Laut BfDI Kelber besteht zum einen die Gefahr der Manipulation der Daten eines Betroffenen oder gar aller in der Datenbank auftauchenden Personen. Zum anderen ist die zentralisierte Ansammlung von Daten verfassungsrechtlich bedenklich. Die Abschaffung der Datensparsamkeit war auch ein Jahr später in der Studie „Eigentumsverordnung spezifischer Mobilitätsdaten“ noch Thema. In dieser vom Bundesministerium für Verkehr und digitale Infrastruktur vorgestellten Untersuchung klang die Forderung nach der Optimierung des wirtschaftlichen Nutzens von personenbezogenen Daten durch. So wollte man Bürgern selbst die Entscheidung darüber überlassen, ob diese alternativ zu gängigen Zahlungsmethoden Daten zur Verfügung stellen, die dann anonymisiert und pseudonymisiert genutzt werden können. Das würde aber eine Eigentumsfähigkeit sowie eine Zuordenbarkeit personenbezogener Daten voraussetzen. Diese sind jedoch untrennbar von der Person, die durch sie identifizierbar ist und stellen kein Handelsgut dar. Kelber bemerkt hierzu außerdem: „Ein ausschließliches Verfügungsrecht als notwendiger Baustein des Dateneigentums könnte durch den Rahmen, den das Recht auf informationelle Selbstbestimmung setzt, aktuell auch gar nicht gesetzlich umgesetzt werden. Der Betroffene hat stets eigene Rechte bezüglich der ihn betreffenden Daten. […] Wer auch immer Dateneigentümer ist, könnte nicht unbeschränkt über diese Daten verfügen.“ In der „Göttinger Erklärung zum Wert des Datenschutzes in der digitalen Gesellschaft“ aus dem Jahr 2017 wird in Bezug auf Datensouveränität das gleiche Urteil gefällt.
Noch ist kein Ende in Sicht
Prinzipiell hat die DSGVO als europäische Verordnung Vorrang vor dem nationalen Datenschutzrecht. Insofern greifen die nationalen Vorschriften des deutschen Telekommunikationsgesetzes nur in Zusammenhang mit der Umsetzung der E-Privacy-Richtlinie (Richtlinie 2002/58/EG). Letztere dient der Regulierung des Umgangs mit Daten und Informationen im Rahmen der elektronischen Kommunikation. Entsprechend gelten bei der Verarbeitung von Kundendaten, die für die Regelung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden, überwiegend die Vorschriften der DSGVO (§ 3 Nr. 3 TKG). Allerdings ist nicht vollends geklärt, in welchen Fällen die DSGVO oder das Telekommunikationsgesetz greift. Dieser irreführende Umstand ist darin begründet, dass der siebte Teil des Telekommunikationsgesetzes bis zum heutigen Tag nicht an die mit der DSGVO einhergegangenen rechtlichen Veränderungen angepasst wurde. Was bleibt ist Verunsicherung.
Die E-Privacy-Verordnung zielt auf die bereichsspezifische Konkretisierung der DSGVO ab. Sie sollte ursprünglich zeitgleich mit der Datenschutzgrundverordnung eingeführt werden. Der Arbeitsgruppe Telekommunikation & Informationsgesellschaft des Europäischen Rates hatte die Diskussionen darüber bis dato aber noch nicht zu einem Ende gebracht. So wird beispielsweise an einer Stelle die Einführung eines Erlaubnistatbestandes zur Verarbeitung von Daten zu einem anderen Zweck als dem Erhebungszweck vorgeschlagen. Der Bundesdatenschutzbeauftragte Kelber bemängelt diesen Umstand in seinem Anfang Mai 2019 veröffentlichten 27. Tätigkeitbericht, da es dem sensiblen Charakter elektronischer Kommunikationsdaten nicht angemessen Rechnung trägt.
Die Entwicklung und Anwendung von Systemen mit Künstlicher Intelligenz (KI) ist nicht aufzuhalten und schreitet in rasendem Tempo voran. Damit steigt auch die Menge der für diesen Zweck verarbeiteten personenbezogenen Daten. In Folge nehmen auch die Risiken für die informationelle Selbstbestimmung der jeweils betroffenen Individuen zu. Aus diesem Grund engagierte sich Kelber stark für die Beachtung datenschutzrelevanter Aspekte in der „Strategie Künstliche Intelligenz (KI) der Bundesregierung“. Ob und in welchem Umfang diese letztendlich bei der Umsetzung der KI-Strategie angewendet werden, ist bisher ungewiss.
Frage des Dateneigentums nicht gerklärt
Die Datenflut bietet datenbasierten digitalen Diensten, den sogenannten Smart Services, zunehmend wachsende Chancen. Die intelligenten Dienstleistungen erleichtern den Alltag in verschiedensten Bereichen wie etwa im Zuhause oder in der Gesundheitspflege. Aber inn der Regel werden diese Plattformen auch für Rechtsverstöße Dritter zur Verantwortung gezogen. Entsprechend groß sind die sich daraus ergebenden rechtlichen Herausforderungen bezüglich der Verwertung von Daten. Und wieder stellt sich die Frage des Dateneigentums, die nicht vollends geklärt ist. Das Bundesministerium für Wirtschaft und Energie ist sich der rechtlichen Herausforderungen auf diesem Feld scheinbar bewusst, da es erst kürzlich einen Leitfaden für Entwickler und Anbieter von Smart Services als Orientierungshilfe herausgebracht hat. In dem 15-seitigen Papier werden jedoch lediglich Lösungsansätze geliefert. Eine universelle Strategie gibt es allerdings nicht, da jeder Smart Service von den Anbietern individuell betrachtet werden muss.
Ein Fass ohne Boden
Social Media ist Fluch und Segen zugleich. Die Plattformen haben neue Jobs geschaffen und geben den Menschen eine Stimme, die sonst stumm bleiben würde. Dennoch ist Verarbeitung sensibler personenbezogener Daten auf Facebook, Whatsapp & Co. nicht unkritisch. Man denke diesbezüglich beispielweise an den Facebook-Datenskandal um Cambridge Analytica oder an die eklatante Datenpanne beim Microblog-Dienst Twitter.
Jeden Tag tut sich eine Vielzahl neuer Fragen rund um den Datenschutz und damit auch um die europäische Datenschutzgrundverordnung auf. Es scheint, als wäre das Thema und seine Umsetzung in den Unternehmen ein Fass ohne Boden, das enorme Ressourcen bindet. Einige mögen das als katastrophale Entwicklung betrachten. Kelber hingegen sieht genau darin die Erfolgsgeschichte der letzten zwölf Monate der DSGVO, da dies zeige, dass eine Auseinandersetzung mit dem Thema Datenverarbeitung stattfindet und das Bewusstsein für den Umgang mit Daten mehr und mehr geschärft werde.
Lesen Sie mehr zum Thema
