Trust in me, just in me! Trusted Third Parties in data protection law

High time for a reform of European data protection legislation: The last corresponding directive dates from 1995 and is no longer up to the technical developments of Big Data, Smart City and Co. The new General Data Protection Regulation (GDPR), which goes into effect on 25 May, will keep numerous companies busy creating compliance with the new regulations on the processing of personal data. For the first time, there is a threat of substantial fines for data processors who fail to comply with the new requirements. This can reach up to EUR 10,000,000 or, in the case of a company, up to 2% of the total worldwide annual sales achieved in the previous fiscal year. In this article, Kevin Klug presents the model of a Trusted Third Party (TTP) in data protection law.

Höchste Zeit für eine Reformierung des europäischen Datenschutzes: Die letzte entsprechende Richtlinie stammt aus dem Jahr 1995 und ist den technischen Entwicklungen von Big Data, Smart City und Co. nicht mehr gewachsen. Die neue Datenschutz-Grundverordnung (DSGVO) gilt ab dem 25. Mai 2018 und hält zahlreiche Unternehmen damit beschäftigt, Compliance mit den neuen Regelungen zur Verarbeitung personenbezogener Daten zu schaffen. Grund gibt es allemal, denn es drohen erstmals erhebliche Bußgelder für Datenverarbeiter bei Nichteinhaltung dieser Vorgaben. Dies können bis zu 10.000.000 Euro oder im Fall eines Unternehmens bis zu 2% des gesamten weltweiten erzielten Jahresumsatzes im vorangegangen Geschäftsjahr erreichen.

Bio-Siegel goes Datenschutz?

Zwar setzt dies die Datenverarbeiter unter Druck, aber wie können Einzelne nachvollziehen, was mit den eigenen personenbezogenen Daten passiert? Wie können sich VerbraucherInnen darüber informieren, was ein Produkt oder ein Dienst mit den eigenen Daten anstellt? Die Idee: Produkte oder Dienste unterwerfen sich branchenüblicher Verhaltensregeln und erhalten bestimmte Zertifizierungen unabhängiger Kontrollinstanzen, die den EndverbraucherInnen dabei helfen, das jeweilige Datenschutzrisiko einzuschätzen. Bio-Siegel goes Datenschutz sozusagen. Eigentlich ganz praktisch. Wäre da nicht, wie schon aus dem Umweltbereich bekannt, die große Frage nach der Legitimität solcher Einrichtungen und ihrer Zertifikate. Aber eins nach dem anderen.

Die inhaltlichen Vorgaben der DSGVO

Mit der DSGVO soll unmittelbar geltend der Schutz personenbezogener Daten innerhalb der Mitgliedstaaten der Europäischen Union sichergestellt und der freie Datenverkehr innerhalb des Binnenmarktes gewährleistet werden. Damit wird das europäische Datenschutzrecht vollharmonisiert. Hierfür sieht die Verordnung mehrere Rechtsprinzipien vor – die sogenannten Grundsätze der Datenverarbeitung – die den Verarbeiter inhaltlich binden. Diese umfassen unter anderem:

• Rechtmäßigkeit und Transparenz
• Zweckbindung
• Datenminimierung
• sachliche Richtigkeit oder Integrität
• und Vertraulichkeit der Verarbeitung.

Dass diese Grundsätze hochgehalten und auch tatsächlich von Datenverarbeitern eingehalten werden, kann der Einzelne oft nur schwer nachvollziehen. Derzeit fehlen (auch) von Datenschutz-Aufsichtsbehörden anerkannte Standards bei der Verarbeitung personenbezogener Daten, die diese Prinzipien weiter spezifizieren. Die allgemein geltenden Datenschutzgrundsätze werden derzeit nur über die Anforderungen des Art. 25 DS-GVO konkretisiert. Wie also können sich MarktteilnehmerInnen sicher sein, dass sich Datenverarbeiter nach dem datenschutzrechtlichen State-of-the-Art richten – demnach also die erforderlichen technischen und organisatorischen Maßnahmen zur Sicherung der gesammelten Daten implementieren?

Das Modell einer Trusted Third Party im Datenschutzrecht

Der Schlüssel hierzu liegt in den Art. 40 ff. DS-GVO, denen gemäß die Möglichkeit besteht, neben staatlichen Aufsichtsbehörden auch privat akkreditierte Überwachungsstellen zu schaffen, die mit der Überprüfung der Einhaltung sektorspezifischer Verhaltensregeln (Codes of Conduct) und der Vergabe datenschutzrechtlicher Zertifizierungen betraut sind. Verhaltensregeln und Zertifizierungen sind dabei wichtige Instrumente, die nicht nur die Sammlung von Daten, sondern auch deren spätere Verwendung im Blick haben. Diese sogenannten Trusted Third Parties (TTP) sind branchenspezifische Stellen, die über das geeignete Fachwissen hinsichtlich des Gegenstands der Codes of Conduct bzw. der Zertifizierungen verfügen. Damit können sie einschätzen, ob sich ein Unternehmen an die branchenüblichen Verhaltensregeln bzw. an die Vorgaben der DSGVO im Rahmen des Zertifizierungsverfahrens der Datenschutz-Prüfzeichen hält. Sie sind aber vor allem auch eines: eine unabhängige Drittinstanz, der beide Seiten – sowohl VerbraucherIn als auch Datenverarbeiter – vertrauen, und die durch ein bestimmtes Prozedere die Interessen der Verhandlungsteilnehmer wahrt.

Das datenschutzrechtliche Potenzial von Trusted Third Parties

Bei dieser Methode datenschutzrechtlicher Regulierung werden einige Vorteile deutlich, die insbesondere auf einem Feld steten technischen Fortschritts nötig sind. Die DSGVO stellt hierfür einen innovationsoffenen Regulierungsansatz bereit, der einerseits Rechtssicherheit bei fortwährender technischer Entwicklung gewährt, und andererseits vor Über- bzw. Unterregulierung gefeit ist. Weiterhin führen TTPs aus dem Kooperationsdilemma der Marktteilnehmer: dieses liegt vor, sobald auf Eigennutz bedachte Akteure auf die Kooperationsbereitschaft ihrer Mitakteure für das Erreichen kollektiver Ergebnisse angewiesen sind. Damit senken sie Transaktionskosten. Zudem werden hierdurch nur die staatlichen Aufsichtsbehörden entlastet, auch die Verbraucher können endlich durch die komplexitätsreduzierenden Effekte solcher Überwachungs- und Zertifizierungsstellen das datenschutzrechtliche Wirrwarr durchdringen und Dienste danach bemessen, wie sie mit persönlichen Daten umgehen. So bieten die Einhaltung von Verhaltensregeln und das Erlangen von Zertifikaten auch einen Wettbewerbsvorteil gegenüber anderen Unternehmen, da sich Verbraucher unter Umständen für das datenschutzfreundlichere Produkt entscheiden.

Herausforderungen von Trusted Third Parties

Soviel zur Theorie. In der Realität schließen sich hieran jedoch auch zahlreiche unbeantwortete Fragen an. So sind Verfahren erst im Ansatz entwickelt worden, um bestimmen zu können, welche spezifischen Anforderungen an TTPs zu stellen sind, um die weiten Rechtsbegriffe der DSGVO ausfüllen zu können. Zwar werden von verschiedenen Seiten beispielsweise der Nachweis der Unabhängigkeit, ein Mindestmaß an Fachwissen oder die Ausarbeitung konkreter Compliance- und Sanktionsverfahren gefordert.

Die nötige wissenschaftliche Fundierung – also die Betrachtung aus interdisziplinärer, legitimitätstheoretischer Perspektive – lässt aber in diesem Bereich noch zu wünschen übrig. Gerade diese könnte genutzt werden, um Regelungslücken und noch offene Fragen besser beantworten zu können. Aber gerade die Rechtswissenschaft mit ihrem Auslegungskanon, insbesondere die Fokussierung auf den Aspekt der Legalität – also die Konkordanz von Verfahrensregeln mit dem übrigen Rechtssystem – kommt hier sehr schnell an ihre Grenzen. So können strukturelle, legitimitätsstiftende Aspekte in solchen Self-Governance-Environments gar nicht erklärt werden.

Bei diesem Erfordernis an Fachwissen schließt sich die Frage an, ob Spezialisierung und Wissensakkumulation überhaupt Legitimität erzeugen können. Ganz ähnlich wie bei Ärztekammern und Ethikräten wird sich mit zunehmender Professionalisierung und Expertise wohl so etwas wie eine „Institution von Sachverständigen“ herausbilden, die den Anspruch erhebt, branchenspezifische Empfehlungen abzugeben. Dennoch bleibt dies diskussionswürdig: Wissen ist zwar Macht, aber ist Wissen auch Legitimität?

Weiterhin wird danach gefragt werden, wie Neutralität bei der Schaffung von Entscheidungsregeln der TTPs erzeugt, gewahrt und durchgesetzt werden kann. Denn eine effiziente Produktion von Output (in diesem Fall: die effektive Kontrolle und Zertifizierung) führt nicht zwangsläufig zur Output-Legitimität. Die dahinterliegende Frage, warum gerade diese Trusted Third Party über „gute“ oder „schlechte“ Datenverarbeitung zu entscheiden hat, ist damit noch gar nicht geklärt. Dies würde voraussetzen, dass sich die getroffenen Entscheidungen an allgemein anerkannten Herrschaftszwecken orientieren. Zwar lässt die DSGVO diese bereits erahnen, doch im Feld der Ko-Regulierung ist die Ausgestaltung dieser Zwecke unter Umständen noch im Formungsprozess.

Weiterhin schließen sich heran einige andere Fragen an: Wie kann eine diskriminierungsfreie Beteiligung sämtlicher MarktteilnehmerInnen an Trusted Third Parties gewährt werden kann? Welche Anreize müssen geschaffen werden, damit Datenverarbeiter eine Aufsicht selbst organisieren und sich dieser unterwerfen? Wie kann „trust building“ bei sämtlichen MarktteilnehmerInnen erreicht werden und inwieweit wäre dies Voraussetzung für die Legitimität von TTPs?

Bei einer interdisziplinären Betrachtung des Themas sollte es nicht um die Legitimierung der TTPs an sich gehen. Vielmehr wären geeignete Prüfverfahren zu erarbeiten, anhand derer bemessen werden kann, ob sich die Ausgestaltung und Entscheidungsfindung einer solchen Instanz als legitim erweist oder nicht. Oder, um es vereinfacht mit Karl-Ullrich Hellmann zu sagen: „If an institution loses its legitimacy, it loses everything, for it can no longer continue to function as a constant organizer“.