{"id":52235,"date":"2018-08-30T13:24:23","date_gmt":"2018-08-30T11:24:23","guid":{"rendered":"https:\/\/www.hiig.de\/?p=52235"},"modified":"2019-04-15T18:04:53","modified_gmt":"2019-04-15T16:04:53","slug":"data-protection-law-upheaval","status":"publish","type":"post","link":"https:\/\/www.hiig.de\/en\/data-protection-law-upheaval\/","title":{"rendered":"Data protection law in upheaval?"},"content":{"rendered":"

Less than two months had passed since the General Data Protection Regulation<\/a> entered into force on 25 May 2018, and yet its impact could already be seen everywhere. In addition to a flood of emails asking for our (renewed) consent, countless new or re-formulated data protection policies \u201cemerged\u201d, while the public debate hailed a “new awareness” in companies regarding data protection. It\u2019s hardly surprising, therefore, that both developments were in the focus of attention at the VII. Interdisciplinary Workshop “Privacy, Data Protection & Surveillance”<\/a> in July at the Humboldt Institute for Internet and Society (HIIG).\u00a0Johannes Eichenhofer<\/strong>\u00a0and J\u00f6rg Pohle<\/strong> take a look back at the results.<\/em><\/p>\n

Mit der Workshopreihe \u201ePrivacy, Datenschutz & Surveillance\u201c m\u00f6chten die Organisatoren Dr. J\u00f6rg Pohle <\/a>(HIIG) und Dr. Johannes Eichenhofer<\/a> (Universit\u00e4t Bielefeld\/Strukturwandel des Privaten<\/a>) vor allem NachwuchswissenschaftlerInnen die Gelegenheit geben, in ungezwungener Atmosph\u00e4re ihr \u201ework in progress\u201c einem interdisziplin\u00e4ren Publikum vorzustellen und \u00fcber Fachgrenzen hinweg zu diskutieren. Nachdem der letzte Workshop im April diesen Jahres dank der Organisation von Stephan Kolo\u00dfa (Ruhr Universit\u00e4t Bochum) erstmals als \u201eGastspiel\u201c in Bochum stattfinden konnte, wurde das siebte Treffen nur drei Monate sp\u00e4ter wieder an gewohnter Stelle in den R\u00e4umen des HIIG ausgerichtet.<\/p>\n

Trotz des vergleichsweise kurzen zeitlichen Abstands der sonst halbj\u00e4hrlich stattfindenden Workshops gab es wieder jede Menge Diskussionsstoff. Dies war vor allem dadurch bedingt, dass das Datenschutzrecht in Folge der unmittelbaren Anwendbarkeit der Datenschutzgrundverordnung (DSGVO) seit dem 25. Mai 2018 seine vielleicht gr\u00f6\u00dfte Umbruchphase durchl\u00e4uft. Nicht von ungef\u00e4hr besch\u00e4ftigten sich daher auch zwei der vier Vortr\u00e4ge mit der praktischen Anwendung der DSGVO. Die anderen beiden Referate widmeten sich dagegen Grundlagenfragen, einerseits der Regulierung von Algorithmen, andererseits dem Verh\u00e4ltnis von Datenschutz und gesellschaftlicher Macht.<\/p>\n

Regulierung von Algorithmen<\/h3>\n

In seinem Vortrag \u201eFrom Code is Law to Law on Code\u201c ging der Bochumer Rechtswissenschaftler Stephan Kolo\u00dfa<\/strong> der Frage nach, wie sich der Einsatz von Algorithmen am besten regulieren l\u00e4sst. Ausgehend von Lawrence Lessigs Unterscheidung zwischen \u201ecode\u201c und \u201elaw\u201c [1]<\/a> differenzierte Kolo\u00dfa vier Regulierungsans\u00e4tzen (Architektur, Markt, soziale Normen und Recht), wobei er klar stellte, sich auf die rechtliche Regulierung (\u201elaw\u201c) konzentrieren zu wollen. So ging Kolo\u00dfa zun\u00e4chst auf das Verbot automatisierter Entscheidungen ein, das die DSGVO in Art. 22 statuiert. Hiernach hat eine betroffene Person grunds\u00e4tzlich \u201edas Recht, nicht einer ausschlie\u00dflich auf einer automatisierten Verarbeitung \u2013 einschlie\u00dflich Profiling \u2013 beruhenden Entscheidung unterworfen zu werden.\u201c Dieser in Abs. 1 aufgestellte Grundsatz wird jedoch in Abs. 2 durch verschiedene Ausnahmetatbest\u00e4nde ausgeh\u00f6hlt.<\/p>\n

Diese Form der Regulierung h\u00e4lt Kolo\u00dfa f\u00fcr unzureichend, als sie seiner Ansicht nach nicht zu Gewissheit dar\u00fcber f\u00fchrt, wie der automatisierte Entscheidungsprozess konkret funktioniert. Zwar sieht die DSGVO in Art. 12 ein Transparenzgebot und in Art. 15 Auskunftsanspr\u00fcche vor, diese seien jedoch als individuelles Entscheidungsrecht und damit unzureichend ausgestaltet. Auch das nach Art. 25 DSGVO vorgeschriebene Gebot datenschutzfreundlicher Technikgestaltung (\u201adata protection by design\u2018) und die gem\u00e4\u00df Art. 35 Abs. 7 DSGVO durchzuf\u00fchrende Datenschutzfolgenabsch\u00e4tzung (\u201adata protection impact assessment\u2018) k\u00f6nnen hier nur schwer Abhilfe schaffen, da sie nur in geringem Ausma\u00df zur Transparenz der Entscheidungsfindung beitragen, so Kolo\u00dfa. Er h\u00e4lt stattdessen einen tauglichen \u00dcberwachungsmechanismus und eine entsprechende Zertifizierung f\u00fcr erforderlich.<\/p>\n

\u201eProgrammierte Entscheidungsverfahren\u201c statt \u201eAlgorithmen\u201c<\/h3>\n

In der anschlie\u00dfenden Diskussion wurde die mangelnde Transparenz automatisierter Entscheidungsfindung zwar einerseits angeprangert und auf m\u00f6gliche Gefahren f\u00fcr die Einzelnen und die demokratische Gesellschaft hingewiesen. Zugleich wurden aber auch Vorteile ausgemacht, etwa, dass der Einsatz von Algorithmen auch Zug\u00e4nge zum Recht er\u00f6ffnen k\u00f6nne. Bei der Frage nach weiteren Regulierungsm\u00f6glichkeiten wurden auch (finanzielle) Anreize oder Haftungsprivilegien diskutiert. Immer wieder wurde in der Diskussion um mehr begriffliche Pr\u00e4zision gerungen; so sollte statt von \u201eAlgorithmen\u201c besser von \u201eprogrammierten Entscheidungsverfahren\u201c gesprochen werden. Auch seien die meisten Diskussionen viel zu weit angelegt, als dass sich die einzelnen Str\u00e4nge zu einem pr\u00e4zisen Konzept \u2013 in der Debatte wurde das anhand des Begriffs der \u201ek\u00fcnstlichen Intelligenz\u201c diskutiert \u2013 zusammenfassen lie\u00dfen. Der Diskussion l\u00e4gen oftmals falsche Perzeptionen, falsche Begriffe und falsche Ans\u00e4tze zugrunde. So seien etwa das Wettbewerbs-, das Verbraucherschutz- oder das Urheberrecht f\u00fcr die Regulierung viel bedeutender als das Datenschutzrecht, da sie gro\u00dfen Internetdienstanbietern beim Einsatz von Algorithmen strengere Vorgaben machten als das Datenschutzrecht.<\/p>\n

Die Anwendung der DSGVO in der Umbruchphase \u2013 zwei Beispiele aus der Praxis<\/h3>\n

Mit der DSGVO und ihrer Anwendung besch\u00e4ftigte sich zun\u00e4chst der \u2013 ebenfalls an der Ruhr Universit\u00e4t Bochum t\u00e4tige \u2013 Informatiker Dr. Martin Degeling<\/strong> in seinem Vortrag \u201eEin einheitliches Datenschutzniveau? Untersuchung von Datenschutzerkl\u00e4rungen auf europ\u00e4ischen Webseiten im Vergleich.\u201c Seit Dezember 2017 untersucht er im Rahmen eines Forschungsprojekts die jeweiligen nationalen Top-500-Domains in allen Mitgliedsstaaten der EU und verfolgt dabei die Frage, ob die DSGVO bei der Verwendung von Datenschutzerkl\u00e4rungen ein einheitliches bzw. ein einheitlich hohes Datenschutzniveau in allen Mitgliedstaaten schafft. Die bisherigen Ergebnisse zeigen, dass es mehr sichere HTTPS-Webseiten gibt und vermehrt Cookie-Banner zum Einsatz kommen. Dabei dominiere jedoch die Variante \u201eConfirmation only\u201c deutlich, gefolgt von Checkboxen, w\u00e4hrend die Optionen \u201eJa\/Nein\u201c oder sog. hierarchische Slider, aber auch die datenschutzrechtlich nicht unproblematische \u201eCookie Wall\u201c, die es NutzerInnen nicht mehr erlaubt, direkt auf die betroffene Website zuzugreifen, ohne die auf der \u201eWand\u201c genannten Einwilligungsk\u00e4stchen anzuklicken, die Ausnahme bleiben.<\/p>\n

Insgesamt sei also bislang nur eine vergleichsweise geringe \u00c4nderung zu verzeichnen, das gelte auch f\u00fcr einen Vergleich der einzelnen Mitgliedstaaten. In der anschlie\u00dfenden Diskussion wurde angemerkt, dass der Einsatz von Cookie-Bannern rechtlich schwer zu beurteilen sei, da nicht klar sei, ob sie schon zur Wahrung eines \u201eberechtigten Interesses\u201c im Sinne von Art. 6 Abs. 1 lit. f) DSGVO dienten oder ob ihr Einsatz nur auf einer vertraglichen Grundlage m\u00f6glich sei. F\u00fcr die erstere Variante k\u00f6nne sprechen, dass bestimmte Cookies technisch notwendig sind, wobei die WebseitenbetreiberInnen sich hinter dieser Behauptung auch verstecken k\u00f6nnten. Bislang sei zun\u00e4chst einmal festzustellen, dass WebseitenbetreiberInnen in Folge der unmittelbaren Anwendbarkeit der DSGVO eine gro\u00dfe Compliance-\u00dcbung vorgenommen haben. Ob das aber wirklich auf mehr Rechtsbewusstsein schlie\u00dfen l\u00e4sst, wurde von den Teilnehmenden angezweifelt.<\/p>\n

Weiterlesen: Dossier zur DSGVO<\/a><\/p>\n

Ebenfalls der konkreten Anwendung der DSGVO widmete sich der in Karlsruhe t\u00e4tige Politikwissenschaftler Dr. Nicholas Martin<\/strong> (Fraunhofer ISI \/ Forum Privatheit) am Beispiel der neuen Bu\u00dfgelder und ihren Auswirkungen auf den Datenschutz in Unternehmen. Diese stellen einen der wichtigsten Beitr\u00e4ge zur Effektivierung der DSGVO dar. W\u00e4hrend n\u00e4mlich das Bundesdatenschutzgesetz 1990 zun\u00e4chst noch einen H\u00f6chstrahmen von 50.000 DM vorsah, wurde der H\u00f6chstbetrag in der DSGVO auf bis zu 4 Prozent des Jahresumsatzes angehoben. In seiner Forschung untersucht Martin, welchen Einfluss diese massive Erh\u00f6hung auf den unternehmensinternen Umgang mit Datenschutz und die Praxis der Aufsichtsbeh\u00f6rden hat. Er verwies auf empirische Untersuchungen, nach denen v.a. strukturelle Bedingungen wie mangelnde finanzielle und personelle Ressourcen, hohe Prozesskosten und ein hohes Aufkommen an Eingaben die Aufsichtsbeh\u00f6rden dazu n\u00f6tigten, sich auf wenige F\u00e4lle zu beschr\u00e4nken. Zugleich herrschten innerhalb der Bundesl\u00e4nder unterschiedliche Strategien vor. Ein \u201eNord-S\u00fcd-Gef\u00e4lle\u201c \u2013 zwischen einem strengen Vorgehen im Norden und einem wirtschaftsfreundlich-liberalen im S\u00fcden \u2013 lasse sich dabei empirisch nicht nachweisen.<\/p>\n

Martin h\u00e4lt es jedoch f\u00fcr denkbar, dass sich mittelfristig eine Tendenz zu verst\u00e4rkten Sanktionierungen von Datenschutzverst\u00f6\u00dfen ausmachen l\u00e4sst. Schon jetzt sei der Stellenwert der betrieblichen Datenschutzbeauftragten sp\u00fcrbar gestiegen, was Martin etwa an h\u00f6heren Budgets oder Personalzahlen festmacht. Zugleich sei die Abschreckungswirkung von Sanktionen wegen der Sanktionsh\u00f6he gestiegen, w\u00e4hrend die Entdeckungswahrscheinlichkeit als zweites Element der Abschreckungswirkung unver\u00e4ndert gering geblieben sei. Indem die Unternehmen die gestiegene Bu\u00dfgeldh\u00f6he in ihr Risikomanagement integriert h\u00e4tten, sei das Risiko der Entdeckung \u201esimulierbar\u201c geworden. Im Anschluss an den Vortrag wurde dar\u00fcber diskutiert, welche Bedeutung neben dem quantifizierbaren Risiko dem mangelnden Wissen der Unternehmen \u00fcber das Datenschutzrecht und die T\u00e4tigkeit der sogenannten Abmahnindustrie zukomme.<\/p>\n

Datenschutz und gesellschaftliche Macht<\/h3>\n

Seinen Vortrag zur gesellschaftstheoretischen Perspektive der Datenschutzforschung in den 1970er Jahren, und was wir daraus lernen k\u00f6nnen, begann J\u00f6rg Pohle<\/strong> mit der Darstellung der beiden fundamental verschiedenen analytischen Perspektiven in der heutigen Debatte um Privacy, Surveillance und Datenschutz: Die eine Seite betrachtet das Problemfeld durch die Linse des Schutzgutes, die andere durch die Linse der Praxis der Informationsverarbeitung. Dabei zeigte Pohle auf, wo die drei zentralen, auch im Titel der Workshopreihe auftauchenden Begriffe \u201ePrivacy\u201c, \u201eSurveillance\u201c und \u201eDatenschutz\u201c von der Debatte im Forschungsfeld verortet werden: Mit \u201ePrivacy\u201c werde in erster Linie der normative Wert, der ideale Zustand bzw. das zu sch\u00fctzende Gut bezeichnet, mit \u201eSurveillance\u201c die konkret zu beobachtende Praxis von Informationsverarbeitung und mit \u201eDatenschutz\u201c die L\u00f6sung bzw. der L\u00f6sungsansatz f\u00fcr das Problem, das gerade in der Differenz zwischen dem als zu sch\u00fctzen angesehenen Wert und der zu beobachtenden Praxis bestehe.<\/p>\n

Als Besonderheit vieler aktueller Auseinandersetzungen identifizierte Pohle die weitgehend unhinterfragte Fixierung auf personenbezogene Daten und kritisierte sie f\u00fcr ihre strukturelle Blindheit gegen\u00fcber der Tatsache, dass die Verarbeitung nicht-personenbezogener Daten die gleichen Folgen f\u00fcr Grund- und Freiheitsrechte haben k\u00f6nnen wie die Verarbeitung personenbezogener Daten. [2]<\/a> Als Alternative verwies er auf ein Konzept, das zuerst von Wilhelm Steinm\u00fcller Ende der 1970er Jahre in die Debatte eingebracht wurde: die Modellifizierung. [3]<\/a> Damit w\u00fcrde das Problem, dass, wie und mit welchen Folgen f\u00fcr Mitglieder und Publikum Organisationen die Welt in informationstechnische Systeme abbilden (modellieren) und auf diesen Modellen dann rechnen, entscheiden und steuern, analytisch adressierbar. In der anschlie\u00dfenden Diskussion wurden dann einerseits er\u00f6rtert, welche Gemeinsamkeiten und Unterschiede es zwischen Modellifizierungspraxen von Organisationen vor und nach der Computerisierung gebe, andererseits wurde diskutiert, welche Regulierungsperspektiven ein solchen Ansatz er\u00f6ffne.<\/p>\n

Ausblick<\/h3>\n

Auch der VII. Workshop bot wieder Gelegenheit, in einer sehr interdisziplin\u00e4ren Runde nicht nur \u00fcber ein Rechtsgebiet, sondern ein Forschungsfeld im Umbruch zu diskutieren. Erste Untersuchungen der Auswirkungen des Inkrafttretens der Datenschutzgrundverordnung in der Praxis zeigen jedenfalls noch nicht, dass sie jenseits von Verbesserungen im Hinblick auf die Compliance auch zu einer Verbesserung des materiellen Schutzes der Grundrechte und Grundfreiheiten der Betroffenen gef\u00fchrt hat. Zugleich wird immer deutlicher, dass jenseits der Grenzen des Datenschutzrechts viele weitere Herausforderungen f\u00fcr den gesellschaftlichen Umgang mit den Auswirkungen der zunehmenden Informatisierung der Gesellschaft liegen. Diskussionsstoff f\u00fcr viele weitere Workshops wird uns also sicher nicht ausgehen.<\/p>\n

\n

[1] Lawrence Lessig (2006), Code: And Other Laws of Cyberspace, Version 2.0. 2nd revised edition, New York: Basic Books.<\/p>\n

[2] J\u00f6rg Pohle (2018), Datenschutz und Technikgestaltung: Geschichte und Theorie des Datenschutzes aus informatischer Sicht und Folgerungen f\u00fcr die Technikgestaltung<\/a>. Dissertation, Mathematisch-Naturwissenschaftliche Fakult\u00e4t, Humboldt-Universit\u00e4t zu Berlin. S. 170\u2013174.<\/p>\n

[3] Wilhelm Steinm\u00fcller (1980), Rationalisation and Modellification: Two Complementary Implications of Information Technologies. In: S. H. Lavington (Hrsg.), Information Processing 80, Amsterdam: North-Holland, S. 853\u2013861.<\/p>\n

 <\/p>\n

Workshops in dieser Reihe<\/strong><\/h3>\n