Datenschutzrecht im Umbruch?

Seit dem Inkrafttreten der Datenschutzgrundverordnung am 25. Mai 2018 waren noch keine zwei Monate vergangen, und doch ließen sich an vielen Stellen die Auswirkungen beobachten. Neben einer Flut an Einwilligungs-E-Mails, die uns alle erreichte, waren das vor allem viele neue oder neu formulierte Datenschutzerklärungen sowie die öffentliche Diskussion über ein „neues Bewusstsein“ für Datenschutz in Unternehmen. Kein Wunder, dass beide Entwicklungen im VII. Interdisziplinären Workshop „Privacy, Datenschutz & Surveillance“ Anfang Juli am Alexander von Humboldt Institut für Internet und Gesellschaft (HIIG) kritisch beleuchtet wurden. Johannes Eichenhofer und Jörg Pohle fassen hier die wichtigsten Ergebnisse zusammen.

Mit der Workshopreihe „Privacy, Datenschutz & Surveillance“ möchten die Organisatoren Dr. Jörg Pohle (HIIG) und Dr. Johannes Eichenhofer (Universität Bielefeld/Strukturwandel des Privaten) vor allem NachwuchswissenschaftlerInnen die Gelegenheit geben, in ungezwungener Atmosphäre ihr „work in progress“ einem interdisziplinären Publikum vorzustellen und über Fachgrenzen hinweg zu diskutieren. Nachdem der letzte Workshop im April diesen Jahres dank der Organisation von Stephan Koloßa (Ruhr Universität Bochum) erstmals als „Gastspiel“ in Bochum stattfinden konnte, wurde das siebte Treffen nur drei Monate später wieder an gewohnter Stelle in den Räumen des HIIG ausgerichtet.

Trotz des vergleichsweise kurzen zeitlichen Abstands der sonst halbjährlich stattfindenden Workshops gab es wieder jede Menge Diskussionsstoff. Dies war vor allem dadurch bedingt, dass das Datenschutzrecht in Folge der unmittelbaren Anwendbarkeit der Datenschutzgrundverordnung (DSGVO) seit dem 25. Mai 2018 seine vielleicht größte Umbruchphase durchläuft. Nicht von ungefähr beschäftigten sich daher auch zwei der vier Vorträge mit der praktischen Anwendung der DSGVO. Die anderen beiden Referate widmeten sich dagegen Grundlagenfragen, einerseits der Regulierung von Algorithmen, andererseits dem Verhältnis von Datenschutz und gesellschaftlicher Macht.

Regulierung von Algorithmen

In seinem Vortrag „From Code is Law to Law on Code“ ging der Bochumer Rechtswissenschaftler Stephan Koloßa der Frage nach, wie sich der Einsatz von Algorithmen am besten regulieren lässt. Ausgehend von Lawrence Lessigs Unterscheidung zwischen „code“ und „law“ [1] differenzierte Koloßa vier Regulierungsansätzen (Architektur, Markt, soziale Normen und Recht), wobei er klar stellte, sich auf die rechtliche Regulierung („law“) konzentrieren zu wollen. So ging Koloßa zunächst auf das Verbot automatisierter Entscheidungen ein, das die DSGVO in Art. 22 statuiert. Hiernach hat eine betroffene Person grundsätzlich „das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden.“ Dieser in Abs. 1 aufgestellte Grundsatz wird jedoch in Abs. 2 durch verschiedene Ausnahmetatbestände ausgehöhlt.

Diese Form der Regulierung hält Koloßa für unzureichend, als sie seiner Ansicht nach nicht zu Gewissheit darüber führt, wie der automatisierte Entscheidungsprozess konkret funktioniert. Zwar sieht die DSGVO in Art. 12 ein Transparenzgebot und in Art. 15 Auskunftsansprüche vor, diese seien jedoch als individuelles Entscheidungsrecht und damit unzureichend ausgestaltet. Auch das nach Art. 25 DSGVO vorgeschriebene Gebot datenschutzfreundlicher Technikgestaltung (‚data protection by design‘) und die gemäß Art. 35 Abs. 7 DSGVO durchzuführende Datenschutzfolgenabschätzung (‚data protection impact assessment‘) können hier nur schwer Abhilfe schaffen, da sie nur in geringem Ausmaß zur Transparenz der Entscheidungsfindung beitragen, so Koloßa. Er hält stattdessen einen tauglichen Überwachungsmechanismus und eine entsprechende Zertifizierung für erforderlich.

„Programmierte Entscheidungsverfahren“ statt „Algorithmen“

In der anschließenden Diskussion wurde die mangelnde Transparenz automatisierter Entscheidungsfindung zwar einerseits angeprangert und auf mögliche Gefahren für die Einzelnen und die demokratische Gesellschaft hingewiesen. Zugleich wurden aber auch Vorteile ausgemacht, etwa, dass der Einsatz von Algorithmen auch Zugänge zum Recht eröffnen könne. Bei der Frage nach weiteren Regulierungsmöglichkeiten wurden auch (finanzielle) Anreize oder Haftungsprivilegien diskutiert. Immer wieder wurde in der Diskussion um mehr begriffliche Präzision gerungen; so sollte statt von „Algorithmen“ besser von „programmierten Entscheidungsverfahren“ gesprochen werden. Auch seien die meisten Diskussionen viel zu weit angelegt, als dass sich die einzelnen Stränge zu einem präzisen Konzept – in der Debatte wurde das anhand des Begriffs der „künstlichen Intelligenz“ diskutiert – zusammenfassen ließen. Der Diskussion lägen oftmals falsche Perzeptionen, falsche Begriffe und falsche Ansätze zugrunde. So seien etwa das Wettbewerbs-, das Verbraucherschutz- oder das Urheberrecht für die Regulierung viel bedeutender als das Datenschutzrecht, da sie großen Internetdienstanbietern beim Einsatz von Algorithmen strengere Vorgaben machten als das Datenschutzrecht.

Die Anwendung der DSGVO in der Umbruchphase – zwei Beispiele aus der Praxis

Mit der DSGVO und ihrer Anwendung beschäftigte sich zunächst der – ebenfalls an der Ruhr Universität Bochum tätige – Informatiker Dr. Martin Degeling in seinem Vortrag „Ein einheitliches Datenschutzniveau? Untersuchung von Datenschutzerklärungen auf europäischen Webseiten im Vergleich.“ Seit Dezember 2017 untersucht er im Rahmen eines Forschungsprojekts die jeweiligen nationalen Top-500-Domains in allen Mitgliedsstaaten der EU und verfolgt dabei die Frage, ob die DSGVO bei der Verwendung von Datenschutzerklärungen ein einheitliches bzw. ein einheitlich hohes Datenschutzniveau in allen Mitgliedstaaten schafft. Die bisherigen Ergebnisse zeigen, dass es mehr sichere HTTPS-Webseiten gibt und vermehrt Cookie-Banner zum Einsatz kommen. Dabei dominiere jedoch die Variante „Confirmation only“ deutlich, gefolgt von Checkboxen, während die Optionen „Ja/Nein“ oder sog. hierarchische Slider, aber auch die datenschutzrechtlich nicht unproblematische „Cookie Wall“, die es NutzerInnen nicht mehr erlaubt, direkt auf die betroffene Website zuzugreifen, ohne die auf der „Wand“ genannten Einwilligungskästchen anzuklicken, die Ausnahme bleiben.

Insgesamt sei also bislang nur eine vergleichsweise geringe Änderung zu verzeichnen, das gelte auch für einen Vergleich der einzelnen Mitgliedstaaten. In der anschließenden Diskussion wurde angemerkt, dass der Einsatz von Cookie-Bannern rechtlich schwer zu beurteilen sei, da nicht klar sei, ob sie schon zur Wahrung eines „berechtigten Interesses“ im Sinne von Art. 6 Abs. 1 lit. f) DSGVO dienten oder ob ihr Einsatz nur auf einer vertraglichen Grundlage möglich sei. Für die erstere Variante könne sprechen, dass bestimmte Cookies technisch notwendig sind, wobei die WebseitenbetreiberInnen sich hinter dieser Behauptung auch verstecken könnten. Bislang sei zunächst einmal festzustellen, dass WebseitenbetreiberInnen in Folge der unmittelbaren Anwendbarkeit der DSGVO eine große Compliance-Übung vorgenommen haben. Ob das aber wirklich auf mehr Rechtsbewusstsein schließen lässt, wurde von den Teilnehmenden angezweifelt.

Weiterlesen: Dossier zur DSGVO

Ebenfalls der konkreten Anwendung der DSGVO widmete sich der in Karlsruhe tätige Politikwissenschaftler Dr. Nicholas Martin (Fraunhofer ISI / Forum Privatheit) am Beispiel der neuen Bußgelder und ihren Auswirkungen auf den Datenschutz in Unternehmen. Diese stellen einen der wichtigsten Beiträge zur Effektivierung der DSGVO dar. Während nämlich das Bundesdatenschutzgesetz 1990 zunächst noch einen Höchstrahmen von 50.000 DM vorsah, wurde der Höchstbetrag in der DSGVO auf bis zu 4 Prozent des Jahresumsatzes angehoben. In seiner Forschung untersucht Martin, welchen Einfluss diese massive Erhöhung auf den unternehmensinternen Umgang mit Datenschutz und die Praxis der Aufsichtsbehörden hat. Er verwies auf empirische Untersuchungen, nach denen v.a. strukturelle Bedingungen wie mangelnde finanzielle und personelle Ressourcen, hohe Prozesskosten und ein hohes Aufkommen an Eingaben die Aufsichtsbehörden dazu nötigten, sich auf wenige Fälle zu beschränken. Zugleich herrschten innerhalb der Bundesländer unterschiedliche Strategien vor. Ein „Nord-Süd-Gefälle“ – zwischen einem strengen Vorgehen im Norden und einem wirtschaftsfreundlich-liberalen im Süden – lasse sich dabei empirisch nicht nachweisen.

Martin hält es jedoch für denkbar, dass sich mittelfristig eine Tendenz zu verstärkten Sanktionierungen von Datenschutzverstößen ausmachen lässt. Schon jetzt sei der Stellenwert der betrieblichen Datenschutzbeauftragten spürbar gestiegen, was Martin etwa an höheren Budgets oder Personalzahlen festmacht. Zugleich sei die Abschreckungswirkung von Sanktionen wegen der Sanktionshöhe gestiegen, während die Entdeckungswahrscheinlichkeit als zweites Element der Abschreckungswirkung unverändert gering geblieben sei. Indem die Unternehmen die gestiegene Bußgeldhöhe in ihr Risikomanagement integriert hätten, sei das Risiko der Entdeckung „simulierbar“ geworden. Im Anschluss an den Vortrag wurde darüber diskutiert, welche Bedeutung neben dem quantifizierbaren Risiko dem mangelnden Wissen der Unternehmen über das Datenschutzrecht und die Tätigkeit der sogenannten Abmahnindustrie zukomme.

Datenschutz und gesellschaftliche Macht

Seinen Vortrag zur gesellschaftstheoretischen Perspektive der Datenschutzforschung in den 1970er Jahren, und was wir daraus lernen können, begann Jörg Pohle mit der Darstellung der beiden fundamental verschiedenen analytischen Perspektiven in der heutigen Debatte um Privacy, Surveillance und Datenschutz: Die eine Seite betrachtet das Problemfeld durch die Linse des Schutzgutes, die andere durch die Linse der Praxis der Informationsverarbeitung. Dabei zeigte Pohle auf, wo die drei zentralen, auch im Titel der Workshopreihe auftauchenden Begriffe „Privacy“, „Surveillance“ und „Datenschutz“ von der Debatte im Forschungsfeld verortet werden: Mit „Privacy“ werde in erster Linie der normative Wert, der ideale Zustand bzw. das zu schützende Gut bezeichnet, mit „Surveillance“ die konkret zu beobachtende Praxis von Informationsverarbeitung und mit „Datenschutz“ die Lösung bzw. der Lösungsansatz für das Problem, das gerade in der Differenz zwischen dem als zu schützen angesehenen Wert und der zu beobachtenden Praxis bestehe.

Als Besonderheit vieler aktueller Auseinandersetzungen identifizierte Pohle die weitgehend unhinterfragte Fixierung auf personenbezogene Daten und kritisierte sie für ihre strukturelle Blindheit gegenüber der Tatsache, dass die Verarbeitung nicht-personenbezogener Daten die gleichen Folgen für Grund- und Freiheitsrechte haben können wie die Verarbeitung personenbezogener Daten. [2] Als Alternative verwies er auf ein Konzept, das zuerst von Wilhelm Steinmüller Ende der 1970er Jahre in die Debatte eingebracht wurde: die Modellifizierung. [3] Damit würde das Problem, dass, wie und mit welchen Folgen für Mitglieder und Publikum Organisationen die Welt in informationstechnische Systeme abbilden (modellieren) und auf diesen Modellen dann rechnen, entscheiden und steuern, analytisch adressierbar. In der anschließenden Diskussion wurden dann einerseits erörtert, welche Gemeinsamkeiten und Unterschiede es zwischen Modellifizierungspraxen von Organisationen vor und nach der Computerisierung gebe, andererseits wurde diskutiert, welche Regulierungsperspektiven ein solchen Ansatz eröffne.

Ausblick

Auch der VII. Workshop bot wieder Gelegenheit, in einer sehr interdisziplinären Runde nicht nur über ein Rechtsgebiet, sondern ein Forschungsfeld im Umbruch zu diskutieren. Erste Untersuchungen der Auswirkungen des Inkrafttretens der Datenschutzgrundverordnung in der Praxis zeigen jedenfalls noch nicht, dass sie jenseits von Verbesserungen im Hinblick auf die Compliance auch zu einer Verbesserung des materiellen Schutzes der Grundrechte und Grundfreiheiten der Betroffenen geführt hat. Zugleich wird immer deutlicher, dass jenseits der Grenzen des Datenschutzrechts viele weitere Herausforderungen für den gesellschaftlichen Umgang mit den Auswirkungen der zunehmenden Informatisierung der Gesellschaft liegen. Diskussionsstoff für viele weitere Workshops wird uns also sicher nicht ausgehen.

[1] Lawrence Lessig (2006), Code: And Other Laws of Cyberspace, Version 2.0. 2nd revised edition, New York: Basic Books.

[2] Jörg Pohle (2018), Datenschutz und Technikgestaltung: Geschichte und Theorie des Datenschutzes aus informatischer Sicht und Folgerungen für die Technikgestaltung. Dissertation, Mathematisch-Naturwissenschaftliche Fakultät, Humboldt-Universität zu Berlin. S. 170–174.

[3] Wilhelm Steinmüller (1980), Rationalisation and Modellification: Two Complementary Implications of Information Technologies. In: S. H. Lavington (Hrsg.), Information Processing 80, Amsterdam: North-Holland, S. 853–861.

Workshops in dieser Reihe

• Bericht vom interdisziplinären Workshop: Privacy, Datenschutz & Surveillance am 04.12.2015
• Bericht vom II. Interdisziplinären Workshop: Privacy, Datenschutz & Surveillance am 30.06.2016
• Bericht vom III. Interdisziplinären Workshop: Privacy, Datenschutz & Surveillance am 09.12.2016
• Privacy, Datenschutz & Surveillance – Die umstrittene Einwilligung. Bericht vom IV. Interdisziplinären Workshop am 29.06.2017
• Bewährungsproben für das Datenschutzrecht. Bericht vom V. Interdisziplinären Workshop am 05.12.2017