High time for a reform of European data protection legislation: The last corresponding directive dates from 1995 and is no longer up to the technical developments of Big Data, Smart City and Co. The new General Data Protection Regulation (GDPR), which goes into effect on 25 May, will keep numerous companies busy creating compliance with the new regulations on the processing of personal data. For the first time, there is a threat of substantial fines for data processors who fail to comply with the new requirements. This can reach up to EUR 10,000,000 or, in the case of a company, up to 2% of the total worldwide annual sales achieved in the previous fiscal year. In this article, Kevin Klug presents the model of a Trusted Third Party (TTP) in data protection law.<\/p>\n
H\u00f6chste Zeit f\u00fcr eine Reformierung des europ\u00e4ischen Datenschutzes: Die letzte entsprechende Richtlinie stammt aus dem Jahr 1995 und ist den technischen Entwicklungen von Big Data, Smart City und Co. nicht mehr gewachsen. Die neue Datenschutz-Grundverordnung (DSGVO) gilt ab dem 25. Mai 2018 und h\u00e4lt zahlreiche Unternehmen damit besch\u00e4ftigt, Compliance mit den neuen Regelungen zur Verarbeitung personenbezogener Daten zu schaffen. Grund gibt es allemal, denn es drohen erstmals erhebliche Bu\u00dfgelder f\u00fcr Datenverarbeiter bei Nichteinhaltung dieser Vorgaben. Dies k\u00f6nnen bis zu 10.000.000 Euro oder im Fall eines Unternehmens bis zu 2% des gesamten weltweiten erzielten Jahresumsatzes im vorangegangen Gesch\u00e4ftsjahr erreichen.<\/p>\n
Zwar setzt dies die Datenverarbeiter unter Druck, aber wie k\u00f6nnen Einzelne nachvollziehen, was mit den eigenen personenbezogenen Daten passiert? Wie k\u00f6nnen sich VerbraucherInnen dar\u00fcber informieren, was ein Produkt oder ein Dienst mit den eigenen Daten anstellt? Die Idee: Produkte oder Dienste unterwerfen sich branchen\u00fcblicher Verhaltensregeln und erhalten bestimmte Zertifizierungen unabh\u00e4ngiger Kontrollinstanzen, die den EndverbraucherInnen dabei helfen, das jeweilige Datenschutzrisiko einzusch\u00e4tzen. Bio-Siegel goes Datenschutz sozusagen. Eigentlich ganz praktisch. W\u00e4re da nicht, wie schon aus dem Umweltbereich bekannt, die gro\u00dfe Frage nach der Legitimit\u00e4t solcher Einrichtungen und ihrer Zertifikate. Aber eins nach dem anderen.<\/p>\n
Mit der DSGVO soll unmittelbar geltend der Schutz personenbezogener Daten innerhalb der Mitgliedstaaten der Europ\u00e4ischen Union sichergestellt und der freie Datenverkehr innerhalb des Binnenmarktes gew\u00e4hrleistet werden. Damit wird das europ\u00e4ische Datenschutzrecht vollharmonisiert. Hierf\u00fcr sieht die Verordnung mehrere Rechtsprinzipien vor – die sogenannten Grunds\u00e4tze der Datenverarbeitung – die den Verarbeiter inhaltlich binden. Diese umfassen unter anderem:<\/p>\n
Dass diese Grunds\u00e4tze hochgehalten und auch tats\u00e4chlich von Datenverarbeitern eingehalten werden, kann der Einzelne oft nur schwer nachvollziehen. Derzeit fehlen (auch) von Datenschutz-Aufsichtsbeh\u00f6rden anerkannte Standards bei der Verarbeitung personenbezogener Daten, die diese Prinzipien weiter spezifizieren. Die allgemein geltenden Datenschutzgrunds\u00e4tze werden derzeit nur \u00fcber die Anforderungen des Art. 25 DS-GVO konkretisiert. Wie also k\u00f6nnen sich MarktteilnehmerInnen sicher sein, dass sich Datenverarbeiter nach dem datenschutzrechtlichen State-of-the-Art richten \u2013 demnach also die erforderlichen technischen und organisatorischen Ma\u00dfnahmen zur Sicherung der gesammelten Daten implementieren?<\/p>\n
Der Schl\u00fcssel hierzu liegt in den Art. 40 ff. DS-GVO, denen gem\u00e4\u00df die M\u00f6glichkeit besteht, neben staatlichen Aufsichtsbeh\u00f6rden auch privat akkreditierte \u00dcberwachungsstellen zu schaffen, die mit der \u00dcberpr\u00fcfung der Einhaltung sektorspezifischer Verhaltensregeln (Codes of Conduct) und der Vergabe datenschutzrechtlicher Zertifizierungen betraut sind. Verhaltensregeln und Zertifizierungen sind dabei wichtige Instrumente, die nicht nur die Sammlung von Daten, sondern auch deren sp\u00e4tere Verwendung im Blick haben. Diese sogenannten Trusted Third Parties (TTP) sind branchenspezifische Stellen, die \u00fcber das geeignete Fachwissen hinsichtlich des Gegenstands der Codes of Conduct bzw. der Zertifizierungen verf\u00fcgen. Damit k\u00f6nnen sie einsch\u00e4tzen, ob sich ein Unternehmen an die branchen\u00fcblichen Verhaltensregeln bzw. an die Vorgaben der DSGVO im Rahmen des Zertifizierungsverfahrens der Datenschutz-Pr\u00fcfzeichen h\u00e4lt. Sie sind aber vor allem auch eines: eine unabh\u00e4ngige Drittinstanz, der beide Seiten \u2013 sowohl VerbraucherIn als auch Datenverarbeiter \u2013 vertrauen, und die durch ein bestimmtes Prozedere die Interessen der Verhandlungsteilnehmer wahrt.<\/p>\n
Bei dieser Methode datenschutzrechtlicher Regulierung werden einige Vorteile deutlich, die insbesondere auf einem Feld steten technischen Fortschritts n\u00f6tig sind. Die DSGVO stellt hierf\u00fcr einen innovationsoffenen Regulierungsansatz bereit, der einerseits Rechtssicherheit bei fortw\u00e4hrender technischer Entwicklung gew\u00e4hrt, und andererseits vor \u00dcber- bzw. Unterregulierung gefeit ist. Weiterhin f\u00fchren TTPs aus dem Kooperationsdilemma der Marktteilnehmer: dieses liegt vor, sobald auf Eigennutz bedachte Akteure auf die Kooperationsbereitschaft ihrer Mitakteure f\u00fcr das Erreichen kollektiver Ergebnisse angewiesen sind. Damit senken sie Transaktionskosten. Zudem werden hierdurch nur die staatlichen Aufsichtsbeh\u00f6rden entlastet, auch die Verbraucher k\u00f6nnen endlich durch die komplexit\u00e4tsreduzierenden Effekte solcher \u00dcberwachungs- und Zertifizierungsstellen das datenschutzrechtliche Wirrwarr durchdringen und Dienste danach bemessen, wie sie mit pers\u00f6nlichen Daten umgehen. So bieten die Einhaltung von Verhaltensregeln und das Erlangen von Zertifikaten auch einen Wettbewerbsvorteil gegen\u00fcber anderen Unternehmen, da sich Verbraucher unter Umst\u00e4nden f\u00fcr das datenschutzfreundlichere Produkt entscheiden.<\/p>\n
Soviel zur Theorie. In der Realit\u00e4t schlie\u00dfen sich hieran jedoch auch zahlreiche unbeantwortete Fragen an. So sind Verfahren erst im Ansatz entwickelt worden, um bestimmen zu k\u00f6nnen, welche spezifischen Anforderungen an TTPs zu stellen sind, um die weiten Rechtsbegriffe der DSGVO ausf\u00fcllen zu k\u00f6nnen. Zwar werden von verschiedenen Seiten beispielsweise der Nachweis der Unabh\u00e4ngigkeit, ein Mindestma\u00df an Fachwissen oder die Ausarbeitung konkreter Compliance- und Sanktionsverfahren gefordert.<\/p>\n
Die n\u00f6tige wissenschaftliche Fundierung \u2013 also die Betrachtung aus interdisziplin\u00e4rer, legitimit\u00e4tstheoretischer Perspektive \u2013 l\u00e4sst aber in diesem Bereich noch zu w\u00fcnschen \u00fcbrig. Gerade diese k\u00f6nnte genutzt werden, um Regelungsl\u00fccken und noch offene Fragen besser beantworten zu k\u00f6nnen. Aber gerade die Rechtswissenschaft mit ihrem Auslegungskanon, insbesondere die Fokussierung auf den Aspekt der Legalit\u00e4t – also die Konkordanz von Verfahrensregeln mit dem \u00fcbrigen Rechtssystem – kommt hier sehr schnell an ihre Grenzen. So k\u00f6nnen strukturelle, legitimit\u00e4tsstiftende Aspekte in solchen Self-Governance-Environments gar nicht erkl\u00e4rt werden.<\/p>\n
Bei diesem Erfordernis an Fachwissen schlie\u00dft sich die Frage an, ob Spezialisierung und Wissensakkumulation \u00fcberhaupt Legitimit\u00e4t erzeugen k\u00f6nnen. Ganz \u00e4hnlich wie bei \u00c4rztekammern und Ethikr\u00e4ten wird sich mit zunehmender Professionalisierung und Expertise wohl so etwas wie eine \u201eInstitution von Sachverst\u00e4ndigen\u201c herausbilden, die den Anspruch erhebt, branchenspezifische Empfehlungen abzugeben. Dennoch bleibt dies diskussionsw\u00fcrdig: Wissen ist zwar Macht, aber ist Wissen auch Legitimit\u00e4t?<\/p>\n
Weiterhin wird danach gefragt werden, wie Neutralit\u00e4t bei der Schaffung von Entscheidungsregeln der TTPs erzeugt, gewahrt und durchgesetzt werden kann. Denn eine effiziente Produktion von Output (in diesem Fall: die effektive Kontrolle und Zertifizierung) f\u00fchrt nicht zwangsl\u00e4ufig zur Output-Legitimit\u00e4t. Die dahinterliegende Frage, warum gerade diese Trusted Third Party \u00fcber \u201egute\u201c oder \u201eschlechte\u201c Datenverarbeitung zu entscheiden hat, ist damit noch gar nicht gekl\u00e4rt. Dies w\u00fcrde voraussetzen, dass sich die getroffenen Entscheidungen an allgemein anerkannten Herrschaftszwecken orientieren. Zwar l\u00e4sst die DSGVO diese bereits erahnen, doch im Feld der Ko-Regulierung ist die Ausgestaltung dieser Zwecke unter Umst\u00e4nden noch im Formungsprozess.<\/p>\n
Weiterhin schlie\u00dfen sich heran einige andere Fragen an: Wie kann eine diskriminierungsfreie Beteiligung s\u00e4mtlicher MarktteilnehmerInnen an Trusted Third Parties gew\u00e4hrt werden kann? Welche Anreize m\u00fcssen geschaffen werden, damit Datenverarbeiter eine Aufsicht selbst organisieren und sich dieser unterwerfen? Wie kann \u201etrust building\u201c bei s\u00e4mtlichen MarktteilnehmerInnen erreicht werden und inwieweit w\u00e4re dies Voraussetzung f\u00fcr die Legitimit\u00e4t von TTPs?<\/p>\n
Bei einer interdisziplin\u00e4ren Betrachtung des Themas sollte es nicht um die Legitimierung der TTPs an sich gehen. Vielmehr w\u00e4ren geeignete Pr\u00fcfverfahren zu erarbeiten, anhand derer bemessen werden kann, ob sich die Ausgestaltung und Entscheidungsfindung einer solchen Instanz als legitim erweist oder nicht. Oder, um es vereinfacht mit Karl-Ullrich Hellmann zu sagen: \u201eIf an institution loses its legitimacy, it loses everything, for it can no longer continue to function as a constant organizer\u201c.<\/p>\n