Unsere vernetzte Welt verstehen
Veranstaltungsbericht: „Die Datenschutzrichtlinie ist tot – lang lebe die Datenschutzgrundverordnung“ am 11. 02. 2016 in Berlin
Am elften Februar 2016 trafen sich Datenschutzexpertinnen und -experten sowie -interessierte in der Walter Hallstein-Bibliothek der Humboldt-Universität zu Berlin zu einer Diskussion über die neue EU-Datenschutzgrundverordnung. Damit wurde der Auftakt zu einer Veranstaltungsreihe gegeben, die in den nächsten Monaten verschiedene Aspekte der Datenschutzgrundverordnung (DS-GVO) adressieren wird und vom Alexander von Humboldt Institut für Internet und Gesellschaft (HIIG) zusammen mit dem Walter Hallstein-Institut für Europäisches Verfassungsrecht (WHI) ausgerichtet wird. Dr. Peter Schantz aus dem Bundesministerium der Justiz und für Verbraucherschutz (BMJV) war als Referent am europäischen Aushandlungsprozess beteiligt und stellte die zentralen Regelungen und die wichtigsten Neuerungen der DS-GVO vor.
Die Grundidee, eine Art “Grundgesetz des Datenschutzes” zu kreieren, erwies sich als komplexes Gesetzgebungsvorhaben, da es galt, sowohl die Anliegen aller 28 Mitgliedstaaten in die Verordnung einzubeziehen als auch verbindliche Erweiterungen der zuvor geltenden Datenschutzrichtlinie 95/46/EG zu schaffen. Die Grundverordnung wird mit ihrem Inkrafttreten die Richtlinie ablösen. Das Gesetzgebungsverfahren befindet sich aktuell in seiner letzten Phase und die abschließende Verordnung wird im Amtsblatt des Juni 2016 veröffentlicht. Anschließend erfolgt eine zweijährige Übergangsperiode, in der sie – wo erforderlich – in das nationale Recht der Mitgliedsstaaten umgesetzt wird, das zugleich von widersprechenden Datenschutznormen bereinigt werden muss. Dabei steht die konkrete Mechanismenfindung zur praktischen Umsetzung der Verordnung im Vordergrund. Hierbei ist beispielsweise noch zu klären, wer die Nationalstaaten bezüglich dieser Belange auf der europäischen Ebene vertritt oder wie die nationale Aushandlung stattfinden solle.
Insgesamt wurde der grundlegende Aufbau der Richtlinie für die Verordnung beibehalten. So muss jede Form der Datenverarbeitung durch Rechtmäßigkeit gekennzeichnet und an den Prinzipien von Fairness sowie Transparenz orientiert sein. Einen besonderen Schwerpunkt legt die Verordnung dabei auf die Zweckbindung: der Verwendungszweck muss mit dem Erhebungszweck kompatibel sein. Insofern darf keine unnötige Erhebung oder Auswertung vorgenommen werden und jede Veränderung des Zwecks bedarf einer entsprechenden rechtlichen Basis. Eine zentrale Neuerung der Verordnung stellt der sogenannte risikobasierte Ansatz dar. Danach sollen schärfere Regeln für die Datenverarbeitung gelten, sofern der Verarbeitungsvorgang als besonders gefährlich einzustufen sei. Dabei sei die Schwere der Risiken sowie die Wahrscheinlichkeit, dass sie Realität würden, entscheidend für die Beurteilung. Bisher wurden jedoch nur Kriterien formuliert – die konkrete Gestaltung der Umsetzung ist noch zu klären. Ferner sollen Verträge, welche Dienstleistungen der Informationsgesellschaft betreffen, in einer möglichst einfachen, klaren Form dargestellt werden. Laut Schantz solle damit Globaleinwilligungen vorgebeugt werden, sodass die Nutzung bestimmter Dienste weder einen Einwilligungszwang noch eine unnötige Datenerhebung bedingt. Werden von entsprechenden Dienstleistungen dennoch ohne weitere Voraussetzungen oder Einwilligungen Daten erhoben und zu Werbezwecken verwandt, räumt die Verordnung Betroffenen ein Widerspruchsrecht ein. Dieses wird lediglich dann eingeschränkt, wenn die Daten für Statistiken oder polizeiliche, justizielle oder geschichtswissenschaftliche Zwecke genutzt werden. Einen weiteren, vertiefenden Schutz der Betroffenenrechte strebt die Verordnung durch eine Erhöhung von Transparenz an: Für Stellen, die Daten erheben, wird eine allgemeine Informationspflicht eingeführt. Das bedeutet etwa, dass die Nutzerinnen und Nutzer im Falle einer Zweckänderung über diese informiert werden müssen. Ferner soll mit der Verordnung die Portabilität von Daten verbessert werden, sodass beispielsweise beim Wechsel des Mail-Anbieters die Daten problemlos zum neuen Anbieter übertragen werden können.
Die Problematik der Datenübermittlung in Drittstaaten erhielt durch die Ungültigkeitserklärung des Safe-Harbor-Abkommens in der Rechtssache “Schrems” (Rs. C-362/14) durch den EuGH zusätzliches Gewicht. Das Grundsystem soll dabei unverändert bleiben. Welche Anpassungen hingegen vorgenommen werden, jedoch ist noch unklar und Teil künftiger Aushandlungen. Durch die Anti-FISA-Klausel ist allerdings bereits jetzt festgelegt, dass Mitgliedstaaten die Übermittlung bestimmter Daten in unsichere Drittstaaten zum Schutz des öffentlichen Interesses oder der Grundrechte einzelner Betroffener untersagen dürfen.
Die Beaufsichtigung und Durchsetzung der Vorgaben nehmen die Datenschutzaufsichtsbehörden wahr. Diese sollen sich künftig durch eine größere Bürgernähe auszeichnen, indem sie eine zentrale Anlaufstelle (“one-stop shop”) bei Problemen bilden und lokal für die Datenverarbeitung zuständig sind, unabhängig davon, wo der Datenverarbeiter seinen Sitz hat. Andererseits gibt es für Konzerne, die in verschiedenen EU-Staaten vertreten sind, “lead supervisory authorities” am Sitz der Konzernmutter oder der Hauptniederlassung, die eine ähnliche Rolle für die Datenverarbeiter einnehmen. Für den Fall von Auseinandersetzungen zwischen den Aufsichtsbehörden, etwa zwischen der am Wohnort der Betroffenen und der am Sitz des Konzerns, wurde darüber hinaus ein Kooperationsverfahren geschaffen, in dem die Aufsichtsbehörden EU-weit verbindliche Entscheidungen treffen sollen. Für die Durchsetzung der Vorgaben gilt künftig das “Marktortprinzip”: Wer Waren oder Dienstleistungen in der Europäischen Union anbietet, unterliegt dabei dem europäischen Datenschutzrecht. Das schließt auch den Vertrieb von Daten im europäischen Rechtsraum ein. Ebenfalls unter die Bestimmungen des EU-Rechts fallen dabei das Überwachen des Verhaltens von EU-Bürgerinnen und Bürgern durch so genanntes Webtracking oder Cookies.
Zu den neuen Möglichkeiten des Enforcements zählt zum einen, dass allgemeine Geschäftsbedingungen für ungültig erklärt werden können. Zum anderen können Verbandsklagen eingereicht werden, die entweder in Form kollektiver Klagen durch Organisationen oder in Vertretung für Betroffene eingereicht werden. Zudem ermöglicht es die Verordnung, im Falle von Verstößen Sanktionen in der Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes einer datenverarbeitenden Stelle zu verhängen, sodass Datenschutzbruch zum Zwecke eines größeren Marktvorteile an Attraktivität einbüßt.
Verbesserungspotentiale sah Peter Schantz im Bereich des Profilings. Die Verordnung beinhalte noch keine Regelung zur Profilbildung; diese sei lediglich symbolisch genannt, wobei auf eine Definition verzichtet wurde. Positiv sei hingegen, dass Privacy by Design and Privacy by Default das erste Mal im europäischen Recht verankert worden seien. Es bestünde jedoch noch Bedarf, die Praxis dementsprechend zu gestalten. Generell seien die Hersteller bisher nur sehr schwach verpflichtet. Gedanken zur Anonymisierung, beziehungsweise Pseudonymisierung fanden hingegen kaum Resonanz, gleichwohl erste punktuelle Ansätze auszumachen gewesen seien.
Die anschließende Diskussion ermöglichte es den Anwesenden, ihre eigenen Standpunkte einzubringen und den Vortrag zu reflektieren. So wurde beispielsweise Bezug auf das rechtliche Zwitterwesen der DS-GVO genommen: Mit 30 verschiedenen Öffnungsklauseln und bis zu 60 Ausnahmeregelungen – je nach Zählung – stellt sich die Frage, ob die in der Verordnung formulierten Grundsätze auch tatsächlich durchgesetzt werden könnten. Die nationale Spezialisierung sei immerhin ein Charakteristikum von Richtlinien. Dabei betonte Schantz allerdings, dass eine Verordnung klare Vorgaben definiere, deren Umsetzung sodann qua Rechtsform nicht zu löchrig sein dürfe. Den Primärschutz gewähren dabei die europäischen Institutionen. Insgesamt führe die Verordnung zu einer Vollharmonisierung des europäischen Datenschutzrechts – zwar war bereits die Richtlinie 95/ 46/ EG vollharmonisiert, jedoch entfällt nun der Großteil der spezifisch nationalstaatlichen Umsetzungen oder Formen des nationalen Datenschutzrechts. Des Weiteren kam die Frage auf, inwieweit es sich bei Daten maschineller Verarbeitung, wie zum Beispiel Cookies oder IP-Adressen, um personenbezogene Daten handele. Dazu müsse zunächst einmal zwischen Daten mit absolutem und relativem Personenbezug differenziert werden, erläuterte Schantz. Bei ersteren könne irgendjemand den Bezug zu einer bestimmten Person herstellen, bei letzteren einzig die Stelle, die dafür relevant ist. So weiß beispielsweise im Falle der IP-Adressen lediglich der Provider, zu wem das zugewiesene Datenpaket gehört. Sofern dabei keine weiteren Erkennungsdaten involviert sind, wie eine E-Mail-Adresse, welche den Namen beinhaltet, könnten daraus keine Rückschlüsse auf die Person gezogen werden. Allerdings sei an diesem Punkt zu bedenken, dass sämtliche Daten, sofern sie entsprechend kombiniert würden, personenbezogen sein können. Weiterhin regte die Überlegung, ob Datensparsamkeit und Zweckbindung einander nicht widersprächen, die Diskussion an. Bestünde nicht die Gefahr einer stetig steigenden Zahl von Datenbanken, wenn Daten für sehr vielfältige Zwecke erhoben würden? Schantz wandte hiergegen ein, dass es nach dem Wortlaut der Verordnung festgesetzt sei, dass lediglich Daten erhoben würden, welche dezidierten Zwecken entsprächen und dies an Sparsamkeit gekoppelt sei – die Erhebung unnötig vieler Daten wäre damit ausgeschlossen. Spannungssituationen könnten auftreten, wenn die Daten nicht korrekt gehandhabt würden, allerdings beträfe das unterschiedliche Dimensionen dieses Einwands. Davon auszugehen, dass verschiedene Zwecke, zu denen Daten erhoben würden, auch zu einer größeren Anzahl von Datenbanken führe, sei hingegen nicht zwingend, da unterschiedliche Zwecke auch auf der Grundlage einer Datenbank bedient werden könnten.
Die Diskussion ermöglichte es, eine große Vielfalt an Perspektiven auf die neue Verordnung zu reflektieren, wobei das Spektrum von juristischen über philosophische bis zu technischen Fragen reichte. Die interdisziplinäre Atmosphäre schuf neue Anregungen, welche hoffentlich auch die weiteren Diskussionen der Vortragsreihe prägen werden. Am 28. April 2016 bietet sich dazu im Rahmen des Vortrags von Jan-Phillip Albrecht zum Gegenstand des Lobby-Einflusses auf die Verhandlungen die Gelegenheit.
Dieser Beitrag spiegelt die Meinung der Autorinnen und Autoren und weder notwendigerweise noch ausschließlich die Meinung des Institutes wider. Für mehr Informationen zu den Inhalten dieser Beiträge und den assoziierten Forschungsprojekten kontaktieren Sie bitte info@hiig.de
Jetzt anmelden und die neuesten Blogartikel einmal im Monat per Newsletter erhalten.
Plattform Governance
Zwischen Zeitersparnis und Zusatzaufwand: Generative KI in der Arbeitswelt
Generative KI am Arbeitsplatz steigert die Produktivität, doch die Erfahrungen sind gemischt. Dieser Beitrag beleuchtet die paradoxen Effekte von Chatbots.
Widerstände gegen Veränderung: Herausforderungen und Chancen in der digitalen Hochschullehre
Widerstände gegen Veränderung an Hochschulen sind unvermeidlich. Doch richtig verstanden, können sie helfen, den digitalen Wandel konstruktiv zu gestalten.
Von der Theorie zur Praxis und zurück: Eine Reise durch Public Interest AI
In diesem Blogbeitrag reflektieren wir unsere anfänglichen Überlegungen zur Public Interest AI anhand der Erfahrungen bei der Entwicklung von Simba.