Tag Archives: Zweckbindung“

Schicksalswoche für den Datenschutz

In dieser Woche beschäftigt sich der Deutsche Bundestag mit einer Reihe von Vorhaben, die große Bedeutung für den Schutz der Privatsphäre und die Gewährleistung des Rechts auf informationelle Selbstbestimmung haben. Gleich fünf gravierende Gesetzesänderungen stehen am 27 April 2017 zur Entscheidung an:

  • Das Datenschutz-Anpassungs- und -Umsetzungsgesetz (Drucksachen 18/11325, 18/11655, 18/11822) soll das deutsche Recht an die Vorgaben der europäischen Datenschutzgrundverordnung anpassen, deren Regelungen am 20. Mai 2018 wirksam werden. Neben einigen notwendigen Rechtsanpassungen enthält der Gesetzentwurf jedoch schwerwiegende Mängel, insbesondere im Hinblick auf die Aufweichung der strikten Zweckbindungsregelungen für öffentliche Stellen, hinsichtlich der Rechte der Betroffenen auf Auskunft und Löschung ihrer Daten und bezüglich der Kontrolle der Datenschutzbehörden bei Daten, die einem besonderen Berufsgeheimnis unterliegen.
  • Durch die Änderung des Bundeskriminalamtsgesetzes (Drucksache 18/11163) soll die polizeiliche Informationsverarbeitung grundlegend umgebaut werden. Formaler Ausgangspunkt ist dabei ein Urteil des Bundesverfassungsgerichts, das von der großen Koalition beschlossene Befugniserweiterungen für das BKA für verfassungswidrig erklärt hatte. Der Gesetzentwurf trägt diesen Bedenken zwar formell Rechnung, weitet die Datenerfassung und den Zugriff der Polizeibehörden allerdings erheblich aus. Im Mittelpunkt steht ein zentrales Datenbanksystem, bei dem bisherige strikte Zweckbindungsregelungen wegfallen oder abgesenkt werden.
  • Das neue Fluggastdatengesetz (Drucksache 18/11501) verpflichtet die Fluggesellschaften und Reiseveranstalter dazu, eine Vielzahl von Informationen (u.a. email-Adressen und Zahlungsinformationen) über ihre Kunden an eine staatliche „Fluggastdatenzentrale“ zu übermitteln, wo sie fünf Jahre lang gespeichert bleiben. Anders als das bisherige System zur obligatorischen Fluggastdatenübermittlung (Advanced Passenger Information System – APIS) beschränkt sich die Datensammlung nicht auf bestimmte Reiserouten oder Zielländer. Die Daten dienen zur Profilbildung, um mögliche Gefährder oder Straftäter zu erkennen. Im Grunde handelt es sich um eine permanente Rasterfahndung sämtlicher Flugpassagiere.
  • Mit dem Gesetz zur Ausweitung des Maßregelrechts bei extremistischen Straftätern (Drucksachen 18/11162 und 18/11584) soll die elektronische Fußfessel erstmals nicht als Alternative zu einer Inhaftierung eingesetzt werden, sondern als Maßnahme zur zur Aufenthaltskontrolle von „extremistischen Gefährdern“ nach einer Verurteilung wegen eines Vergehens im Zusammenhang mit extremistischen bzw. terroristischen Aktivitäten und deren Unterstützung.
  • Mit dem Gesetzes zur Förderung des elektronischen Identitätsnachweises (Drucksache 18/11279 ) sollen die entsprechenden (eID-)Funktionen bei der Ausstellung eines neuen Personalausweises nicht erst dann aktiviert werden, wenn der Ausweisinhaber dies wünscht, sondern grundsätzlich freigeschaltet sein, soweit der Ausweisinhaber nicht widerspricht. Damit soll darauf reagiert werden, dass bei zwei Dritteln der bisher rund 51 Millionen ausgegebenen Ausweise die eID-Funktion deaktiviert blieb.

Speziell die vorgesehenen Neuregelungen im Datenschutzanpassungsgesetz, die im BKA-Gesetz vorgesehene zentrale Datenbank mit umfassenden Nutzungsmöglichkeiten und die fünfjährige Vorratsdatenspeicherung von Daten über Flugpassagiere begegnen erheblichen verfassungsrechtlichen und datenschutzrechtlichen Bedenken. Sie sind sind Ausdruck einer Einstellung, dass Grund- und Freiheitsrechte weniger Wert haben als vermeintliche Sicherheitsgewinne. Es ist abzusehen, dass das Bundesverfassungsgericht und der Europäische Gerichtshof den Gesetzgeber erneut korrigieren müssen.

Mit freundlichen Grüßen, Peter Schaar

Update (27.4.2017) Der Bundestag hat die Abstimmung des Gesetzes zur Förderung des elektronischen Identitätsnachweises (Drucksache 18/11279 ) von der Tagesordnung der heutigen Plenarsitzung genommen. Offenbar waren Abgeordnete der Regierungsfraktionen von kritischen Kommentaren überrascht worden.

 

Presseerklärung: EAID wendet sich gegen die Aufweichung des Europäischen Datenschutzes durch deutsche Gesetze

Berlin, den  1. Dezember 2016

Presseerklärung: EAID wendet sich gegen die Aufweichung des Europäischen Datenschutzes durch deutsche Gesetze

 – Stellungnahme zum Referentenentwurf des BMI für ein neues Bundesdatenschutzgesetz –

Die Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) befürchtet eine deutliche Verschlechterung des Datenschutzes, wenn die Pläne des Bundesministeriums des Innern (BMI) für ein „Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU“ realisiert werden.

In ihrer Stellungnahme kritisiert die EAID, dass viele der im Gesetz vorgesehenen Vorschriften hinsichtlich ihres Schutzniveaus nicht nur hinter dem durch das EU-Datenschutzrecht vorgegebenen Schutzniveau zurückbleiben, sondern sogar unterhalb des bisherigen deutschen Datenschutzniveaus liegen. Auf besondere Kritik stößt dabei das Vorhaben, staatlichen Stellen und Unternehmen weitergehende Befugnisse zur Verarbeitung personenbezogener Daten einzuräumen als im EU-Recht vorgesehen:
„Die für einen bestimmten Zweck erhobenen Daten dürften nahezu uferlos für andere Zwecke verwendet werden, und zwar auch dann, wenn schützenswerte Interessen der Betroffenen entgegenstehen. Das ist nicht nur europarechtswidrig, sondern es senkt auch das jetzige deutsche Datenschutzniveau ab“, kritisiert Peter Schaar, Vorsitzender der EAID.
Nicht akzeptabel ist auch die Aushöhlung der Rechte der Betroffenen auf Information über die Datenverarbeitung, über Auskunft über die zu ihrer Person gespeicherten Daten und auf Widerspruch gegen eine Datenverarbeitung. „Damit würden die in Deutschland lebenden Menschen datenschutzrechtlich schlechter gestellt als die Bürgerinnen und Bürger in anderen Ländern der EU“, führt Dr. Alexander Dix aus, stellvertretender EAID-Vorsitzender.
Die vorgesehenen Regelungen schaden auch den europäischen Unternehmen, die auf Basis des EU-Rechts gleichmäßige Bedingungen für grenzüberschreitende europaweite Geschäftsmodelle brauchen, um so auf Augenhöhe mit der internationalen Konkurrenz agieren zu können. Die vom Entwurf vorgesehenen zahlreichen Abweichungen konterkarieren das vom europäischen Gesetzgeber beabsichtigte Ziel, für alle Bürgerinnen und Bürgern der EU und für die im Europäischen Wirtschaftsraum tätigen Unternehmen einen gleichmäßig wirksamen Datenschutz zu garantieren.
Der Wortlaut der EAID-Stellungnahme ist abrufbar unter www.eaid-berlin.de
Kontakt: Peter Schaar, Tel. 030-754 49 550, psch(a)eaid-berlin.de

Datenreichtum statt Datensparsamkeit?

Beim diesjährigen „Nationalen IT-Gipfel“, der am 16. und 17. November 2016 in Saarbrücken stattfindet, geht es auch um die Zukunft des Datenschutzes. Zeitgleich mit der Europäischen Datenschutzreform, die den Schutz der Privatsphäre und der personenbezogenen Daten verbessern soll, wird von Politikern und Unternehmensverbänden das im deutschen und europäischen Datenschutzrecht verankerte Prinzip der „Datensparsamkeit“ unter Beschuss genommen.

Schon in den zum IT-Gipfel 2015 vom Bundesministerium für Wirtschaft und Energie zum IT-Gipfel 2015 veröffentlichten „Leitplanken Digitaler Souveränität“ warnte das Bundeswirtschaftsministerium davor, datenbasierte digitale Geschäftsmodelle würden „durch ein unzeitgemäßes Datensparsamkeitsdiktat verhindert … Bisherige Grundprinzipien des Datenschutzes wie Datensparsamkeit und Zweckbindung müssen überprüft und durch Prinzipien der Datenvielfalt und des Datenreichtums ergänzt und ersetzt werden.“

Im Vorfeld des diesjährigen IT-Gipfels sehen manche PolitikerInnen gar den Wohlstand  unserer Gesellschaft gefährdet, sollten wir an dem Konzept der „Datensparsamkeit“ festhalten:. „Wer Datensparsamkeit predigt, riskiert nicht nur wirtschaftlichen Stillstand und gefährdet damit unseren Wohlstand, sondern er verhindert auch neue Entwicklungen zum Wohle der Menschen“, zitiert etwa das Handelsblatt die stellvertretende Vorsitzende der CDU/CSU-Bundestagsfraktion, Nadine Schön.

Nun ist der Begriff „Datensparsamkeit“ – genauso wie sein Pendant „Datenreichtum“ – durchaus ambivalent. Zum einen handelt es sich dabei nicht wirklich um Gegensätze, denn die Negationen von Sparsamkeit sind – positiv – Großzügigkeit oder – negativ – Verschwendung. Und das Gegenteil von Reichtum ist Armut. Ob Sparsamkeit eine Tugend ist, wie sie der schwäbischen Hausfrau zugeschrieben wird, oder aber in ihrer übersteigerten Form im Sinne von Geiz  eine der sieben Todsünden, mag dahingestellt bleiben.

Bei genauerer Betrachtung zeigt sich, dass hier ein Popanz aufgebaut wird, um den ohnehin löcherigen Schutz personenbezogener Daten weiter abzusenken. § 3a Bundesdatenschutzgesetz verpflichtet die für die Datenverarbeitung verantwortlichen Stellen dazu, die Ausrichtung der Auswahl, der Gestaltung und des Betriebs von Datenverarbeitungssystemen an der Maxime auszurichten, „so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen“. Insbesondere sind die Daten zu anonymisieren oder zu pseudonymisieren, „soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.“

Datenüberfluss

Das empirisch belegte „Moore’sche Gesetz“, wonach sich die Leistungsfähigkeit der IT-Komponenten alle 18 bis 24 Monate verdoppelt, legt nahe, dass die technologische Realität von immer größeren Datenmengen geprägt ist. Den nächsten Quantensprung bringt das Internet of Things, das unsere Lebensumwelt auch in Bereichen digitalisiert, die bisher durch analoge Techniken geprägt waren. Die Datenverarbeitungsprozesse sind dabei funktional in die Gegenstände, Prozesse und Interaktionen integriert. Daten sind nicht mehr allein „Werkstoff“, sondern sowohl Voraussetzung als auch Ergebnis des Verarbeitungsprozesses, und sie fallen in bislang unbekanntem Umfang an. Insofern stimmt es schon, dass unsere hochtechnisierten Gesellschaften zunehmend „Datenreichtum“ produzieren.

Damit ist allerdings nicht gesagt, dass das Konzept der Datensparsamkeit auf den Müllhaufen der IT-Geschichte gehört. Um im Bild zu bleiben: Es gibt es auch in reichen Gesellschaften durchaus Gründe, sparsam zu handeln, sei es beim Umgang mit natürlichen Ressourcen oder auch als Vorsorge für Notsituationen. Dass materieller Reichtum bisweilen auch zu Lasten wichtiger anderer Güter – etwa der Umwelt – geht oder dass die ihm zu Grunde liegenden Prozesse vielfach Ungleichheit und Ausbeutung voraussetzen oder erzeugen, kann heute niemand mehr bestreiten. Auch bei dem Umfang gespeicherter Daten und der Verfügung über sie muss die Frage erlaubt sein, ob es hier zu vergleichbaren negativen externen Effekten kommt. Sofern man nicht der maßlosen Datenerzeugung das Wort redet, was ich nicht einmal den Befürwortern des „Datenreichtums“ unterstellen würde, stellt sich die Frage des rechten Maßes, und zwar nicht nur in Bezug auf Datenvolumina, sondern auch im Hinblick auf die Rahmenbedingungen ihrer Verarbeitung, der Transparenz der Prozesse und Strukturen und der Verwendung der einzelnen Daten oder der aus großen Datenmengen gewonnenen Erkenntnisse.

Es geht um die sehr bedeutsame Frage, inwieweit es überhaupt wünschenswert ist, Informationstechnik datenschutzgerecht zu gestalten, denn die kritisierten Begriffe stehen im Zusammenhang des übergreifenden Konzepts „Privacy by Design“ (PbD), das heute zu den unbestrittenen Werkzeugen im globalen Datenschutz-Instrumentenkasten gehört und auch die im Jahr 2018 in Kraft tretende EU-Datenschutzgrundverordnung prägt. Wer diese Frage verneint, stellt nicht nur Privacy by Design infrage, sondern den Datenschutz überhaupt. Denn das PbD-Konzept ist letztlich nichts anderes als die Operationalisierung der verfassungsrechtlich begründeten Prinzipien der Erforderlichkeit und der Zweckbindung. Erforderlichkeit und Zweckbindung ergeben nur zusammen einen Sinn, denn ohne Zweckfestlegung lässt sich die Erforderlichkeit der Daten nicht beurteilen. Die Speicherung von Daten ohne vorgegebenen Zweck stellt eine Vorratsspeicherung dar, die nur in besonderen Verarbeitungskontexten überhaupt zulässig sein kann (Statistik, Wissenschaft). Insofern würde mit dem Abgehen von der Zweckbindung zwangsläufig auch der Erforderlichkeitsgrundsatz entsorgt.

Grundrecht auf informationelle Selbstbestimmung

Zweckbindung und Erforderlichkeit sind – ebenso wie der Schutz der Privatsphäre – nicht deshalb überholt, weil sich die Technologie rasant weiterentwickelt. Das Bundesverfassungsgerihct hatte 1983 in seinem Volkszählungsurteil das Konzept eines Grundrechts auf informationelle Selbstbestimmung entwickelt, wonach unter den „Bedingungen der modernen Datenverarbeitung … der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG umfaßt“ werde (BVerfGE 65, 1, S.1). Das Grundrecht gewährleiste insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Gerade die potentielle Unbegrenztheit der elektronischen Datenverarbeitung mache den Schutz des Einzelnen erforderlich und verpflichte den Staat zur Gewährleistung der entsprechenden Rahmenbedingungen.
Das Bundesverfassungsgericht folgt einem risikobasierten Ansatz: Je stärker die Gefährdungen, desto höher sind die Anforderungen an den Schutz. Das Gericht hatte dabei im Blick, dass sich die Informationstechnologie weiterentwickelt und immer leistungsfähiger wird. Die Befugnis zur Datenverarbeitung bedürfe „unter den heutigen und künftigen Bedingungen der automatischen Datenverarbeitung in besonderem Maße des Schutzes.“ Personenbezogene Daten seien technisch gesehen unbegrenzt speicherbar und könnten jederzeit ohne Rücksicht auf Entfernungen in Sekundenschnelle abgerufen werden und sie „können darüber hinaus – vor allem beim Aufbau integrierter Informationssysteme – mit anderen Datensammlungen zu einem teilweise oder weitgehend vollständigen Persönlichkeitsbild zusammengefügt werden, ohne daß der Betroffene dessen Richtigkeit und Verwendung zureichend kontrollieren kann.“ (BVerfG, a.a.O. S. 42)

Big Data

„Big Data“ steht wie kein anderer Begriff für den Übergang zu einem neuen Modell des Umgangs mit Informationen. Der Begriff umschreibt den Umgang mit riesigen Datenmengen, und zwar im wesentlichen im Rahmen einer Zweitverwertung zu anderen als den ursprünglichen Erhebungszwecken. „Big Data“-Ansätze“ folgen dem Paradigma, immer größere Datenberge anzuhäufen in der Hoffnung, durch den Einsatz immer leistungsfähigerer Hard- und Software neue Erkenntnisse zu gewinnen. Gemäß diesem Paradigma handeln auch die erfolgreichen globalen Internetunternehmen, allen voran Google und Facebook. Je umfangreicher die aus dem Nutzungsverhalten gewonnenen Erkenntnisse sind, desto zielgenauer lassen sich Werbebotschaften adressieren und desto genauer passen sich die den Nutzern dargebotenen Informationen deren vermeintlichen oder tatsächlichen individuellen Interessen an. Bezogen auf das jeweilige Nutzerprofil für weniger relevant gehaltene Informationen werden ihnen nicht präsentiert oder nur nachrangig verfügbar gemacht. Je zielgenauer die entsprechende Werbebotschaft platziert wird, desto geringer ist der Streuverlust und desto höher ist der Preis, den der jeweilige Werbetreibende zu bezahlen hat.

Das einzelne Datum, das nach klassischem Datenschutzverständnis danach bewertet wird, ob es für die eigentliche Aufgabenerfüllung erforderlich ist oder eben nicht, verliert aus Sicht der Plattformbetreiber an Bedeutung. Gefragt sind immer größere, möglichst aus unterschiedlichen Quellen und Verarbeitungskontexten stammende Daten, die miteinander korreliert werden und dadurch Hinweise auf Zusammenhänge liefern können.

Die nicht unbedeutenden Kosten der – nur vordergründig kostenlosen – Suchmaschinen, sozialen Netzwerke, und anderer Internetdienste werden zum größten Teil  mit  einer Art Umwegfinanzierung über die werbende Wirtschaft aufgebracht, die ihre Aufwendungen den Kundinnen und Kunden natürlich über den Preis in Rechnung stellt. Auch Vermittlungsplattformen wie Uber oder Airbnb sind für den Nutzer nicht wirklich kostenlos. Letztlich bezahlen sie sogar doppelt: Durch ihre persönlichen Daten, die sie dem Anbieter der Vermittlungsplattform zur Verfügung stellen und durch die in den Kaufpreis eines Produkts oder in die Nutzungsgebühr für kostenpflichtige Dienstleistungen einkalkulierte Vermittlungsprovision. Die genaue Höhe oder auch nur die Größenordnung des durch die Datennutzung erzielten Mehrwerts bleibt dem Verbraucher bzw. Nutzer verborgen. Deshalb ist e auch konsequent, dass Verbraucherschützer hier mehr Transparenz fordern.

 

Anonymisierung und Pseudonymisierung
Datenschützer würden sich  bei dem Versuch überheben, Big Data oder das Internet of Things zu verhindern. Auch um dem falschen Eindruck zu begegnen, sie kämpften als moderne Don Quijotes gegen die informationstechnischen „Windmühlen“ des 21. Jahrhunderts, müssen sie sich auf die Gestaltungsmöglichkeiten von Big Data, Cloud-Diensten und des IoT konzentrieren. Die Herausforderung besteht also darin, die Möglichkeiten einer rechts- und sozialverträglichen Technikgestaltung und -verwendung zu erkennen und zu aktivieren. Bereits jetzt lassen sich eine Reihe von Stellschrauben erkennen, mit denen sich Datenschutzanforderungen auch angesichts neuer Paradigmen der Informationsgewinnung und sich schnell entwickelnder Technologien durchsetzen lassen. Die Sammlung, Aufbereitung und Auswertung der Daten sollte so gestaltet werden, dass sie grundsätzlich ohne Personenbezug erfolgen. Bei einem solchen zeitgemäßen Datenschutzansatz geht also nicht darum, das Datenaufkommen insgesamt zu minimieren, sondern die Menge der auf einzelne natürliche Personen beziehbaren Daten. Dabei  sollte der Charakter der personenbezogenen Daten und ihr Verwendungskontext beachtet werden.

Sowohl die Aussagekraft von Daten als auch die mit ihrer Verwendung verbundenen Risiken hängen vielfach mit der Speicherungsdauer zusammen. Von zentraler Bedeutung bleibt deshalb die Festlegung der entsprechenden Fristen, bei deren Erreichen Daten gelöscht bzw. anonymisiert werden.

Zunächst sollte die Verarbeitung großer Datenmengen so kanalisiert werden, dass der Umfang und die Menge direkt auf einzelne Personen bezogener Daten von Beginn an  so gering wie möglich bleibt. Schon bei der Erhebung sollte stets geprüft werden, ob tatsächlich eine Vollerhebung aller in Frage kommenden personenbezogenen Daten erforderlich ist und für welchen Zeitraum. Dies gilt speziell für die Prozessdaten (Meta Data), die zur Ausführung einer spezifischen Transaktion (Informationsabfrage im Internet, Steuerung eines technischen Geräts, Positionsbestimmung usw.) benötigt werden. Diese Daten weisen zwar im Regelfall bei isolierter Betrachtung eine geringe Sensitivität auf, ermöglichen aber – wenn sie massenhaft gespeichert werden – datenschutzrechlich problematische -detaillierte Persönlichkeitsprofile.

Bei der Speicherung sollten die Identifikationsangaben (Name, Anschrift usw.) von den Nutz- (bzw. Inhalts-)daten getrennt werden. In vielen Anwendungsfeldern lässt sich durch die Absonderung und ggf. Löschung der Identifikationsdaten eine hinreichende Anonymisierung erreichen.

Sofern Daten einer Person, die aus verschiedenen Bereichen oder aus unterschiedlichen Zeitpunkten stammen, für rechtmäßige Zwecke zusammengeführt werden sollen, ist darauf zu achten, dass die Zusammenführung nicht mittels der persönlichen Identifikationsdaten, sondern unter Pseudonym erfolgt. Die Pseudonymisierung führt zwar vielfach nicht zur Aufhebung des Personenbezugs, vermindert aber die Eingriffstiefe in das Recht auf informationelle Selbstbestimmung und das Risiko des Datenmissbrauchs bei unrechtmäßigem Zugriff. Mit der Verwendung kryptographischer Verfahren kann den Risiken für die Vertraulichkeit und Integrität der Daten entgegenwirken.

 

Datenschutz-Empowerment
Schließlich geht es darum, den Einzelnen wieder verstärkt zu befähigen, die Kontrolle über die ihn betreffenden Daten auszuüben. Inwieweit dies gelingt, ist ebenfalls eine Frage der Technikgestaltung. Digitale Systeme, deren Funktionsweise durch Hard- und Software determiniert ist, bestimmen mindestens in demselben Ausmaß wie rechtliche Vorgaben darüber, welche Einflussmöglichkeiten der Einzelne hat, wenn er sie selbst nutzt oder ob er Objekt der Verarbeitung seiner Daten durch Dritte ist.

Dabei kommt Ansätzen, die Nutzerpräferenzen bzw. rechtliche Vorgaben technisch abbilden, besondere Bedeutung zu. Angesichts der Komplexität der technischen Systeme und der tendenziell unbegrenzten Nutzungsmöglichkeiten der Daten läuft das informationelle Selbstbestimmungsrecht leer, wenn letztlich der komplette Datenverarbeitungsprozess allein auf pro forma-Einwilligungen beruht, die den für die Verarbeitung verantwortlichen Stellen de facto freie Hand lassen. Vor diesem Hintergrund sind technische Ansätze wie P3P (Platform for Privacy Preferences) heute notwendiger denn je.

Bei Beachtung dieser Maximen steht der Datenschutz nicht in unauflösbarem Widerspruch zu Geschäftsmodellen, die auf der Auswertung großer Datenmengen beruhen.

Zugleich muss deutlich mehr Augenmerk auf die Verwendung der Daten gelegt werden: Weil Big und Smart Data-Ansätze  – auch bei Verwendung anonymisierter Daten – mächtige Werkzeuge zur Auswertung, Bewertung und Prognose menschlichen Verhaltens zur Verfügung stellen, bedarf es auch hierfür klarer Regeln und Grenzen, die technisch operationalisiert werden müssen. Ansonsten droht eine an vermeintlich objektiven Kriterien orientierte systematische Diskriminierung einzelner Personen und von Gruppen, die allein aufgrund ihres Datenprofils als besonders risikoträchtig angesehen werden. Dies zu verhindern ist eine Aufgabe, die weit über den am Schutz der informationellen  Selbstbestimmung orientierten Datenschutz hinausgeht, die aber ohne zeitgemäße Datenschutztechniken nicht zu bewältigen sein wird.

EU-Datenschutz: Nach der Reform beginnt die Arbeit

(Anm. d. Verf.: Die Ergebnisse des Trilogs und Synopse der Positionen der EU-Gremien  sind abrufbar unter  http://www.emeeting.europarl.europa.eu/committees/agenda/201512/LIBE/LIBE%282015%291217_1/sitt-1739884)

Das von den Vertretern der EU-Institutionen (Europäisches Parlament, Kommission und Rat) am 15. Dezember 2015 erzielte Verhandlungsergebnis zum Datenschutz-Reformpaket ist ein wichtiger Meilenstein auf dem Weg in die globale Informationsgesellschaft: Statt 28 unterschiedlicher Datenschutzgesetze der Mitgliedstaaten gibt es zukünftig ein gemeinsames Datenschutzgesetz, die „Datenschutzgrundverordnung“ (DSGVO). Beachten müssen es nicht nur die hier ansässigen Unternehmen, sondern auch Konzerne, die ihre Hauptniederlassung außerhalb der EU haben, aber hier geschäftlich tätig sind („Marktortprinzip“ – Art. 3 Abs. 2)). Die Einhaltung der Regeln wird von unabhängigen Datenschutzbehörden überwacht, die sämtlich über dieselben, wirksamen Sanktionsmöglichkeiten verfügen. Bei schweren Verstößen können Sie Bußgelder in Höhe von bis zu 4% des Jahresumsatzes verhängen (Art. 79) – das lässt sich nicht mehr aus der Portokasse bezahlen. Schließlich sind eine Reihe von Versuchen gescheitert, die Datenschutzvorgaben praktisch in letzter Minute in zentralen Punkten abzuschwächen, etwa beim Anwendungsbereich (im Hinblick auf die Definition personenbezogener Daten) oder bei der Zweckbindung. Hier bleibt es bei strengen Regelungen, die Zweckänderungen an sehr enge Bedingungen knüpfen.

Trotzdem gibt es auch Bereiche, in denen das Ergebnis weniger positiv ausfällt als erhofft. So hat sich das EP nicht mit seiner Forderung durchsetzen können, dass die Einwilligung in die Verarbeitung personenbezogener Daten generell explizit erklärt werden muss – lediglich bei den „besonderen Kategorien personenbezogener Daten“ (Art. 9) – etwa über die Gesundheit – wird eine ausdrückliche Einwilligung gefordert, und nicht bloß eine „zweifelsfreie“: (Definition in Art. 2: „’the data subject’s consent‘ means any freely given, specific, informed and unambiguous indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agreement to personal data relating to them being processed;“).

Auch die Regelungen zum Profiling bleiben hinter den Forderungen der Datenschützer zurück, denn die entsprechenden Vorgaben beschränken sich auf solche Profilbildungen, die zu verbindlichen automatisierten Entscheidungen zuungunsten der Betroffenen führen.

Grundsätzliche Kritik richtete sich in den letzten Monaten dagegen, dass durch die Datenschutzgrundverordnung das deutsche Datenschutzniveau abgesenkt werde. Diese Befürchtung trifft nur zum Teil zu, etwa im Hinblick auf die strengeren Datenschutzbestimmungen im Telemediengesetz. Andererseits ist das deutsche Datenschutzniveau gerade hier nur in der Theorie hoch, aber de facto nicht. Das zeigte sich etwa am Beispiel Facebook: Deutsche Datenschutzbehörden sind mit Klagen dagegen gescheitert, Facebook – dessen Europazentrale in Dublin liegt – zur Einhaltung der deutschen Datenschutzbestimmungen zu verpflichten. Das häufig beschworene „hohe deutsche Datenschutzniveau“ blieb hier also reine Theorie. In Zukunft gilt aber: Jedes Unternehmen, das in Europa Geschäfte macht, muss sich an die einheitlichen europäischen Datenschutzregeln halten. Das ist ein echter Fortschritt, auch wenn die gemeinsamen europäischen Regeln in bestimmten Bereichen hinter dem nationalen Recht zurückbleiben. Zudem gibt es andere Bereiche – etwa das Melderecht – in denen die neue EU-Regelung strenger ist als der deutsche Gesetzgeber. Die voraussetzungslose Datenweitergabe der zwangsweise erhobenen Melderegisterdaten an jedermann ist mit der Datenschutzgrundverordnung nicht vereinbar und muss beendet werden.

Licht und Schatten gibt es schließlich auch bei der Bestimmung über die betrieblichen bzw. behördlichen Datenschutzbeauftragten. Einerseits verpflichtet Art. 35 staatliche Stellen und solche Unternehmen, deren Kerngeschäft in der Überwachung oder der Bewertung personenbezogener Daten besteht – etwa Auskunfteien – oder in der Verarbeitung von sensiblen Daten (etwa Gesundheitsdaten oder genetischen Informationen), zu Bestellung eines internen Datenschutzbeauftragten. Allerdings wurden die deutlich strengeren Vorgaben des deutschen BDSG nicht in die DSGVO übernommen. Der beschlossene Text enthält aber eine Öffnungsklausel, die es dem deutschen Gesetzgeber ermöglicht, an der weitergehenden Bestellungspflicht betrieblicher Datenschutzbeauftragter festzuhalten. (Art. 35 (4): „In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. …“

Auch wenn, wie zu erwarten, die nun beschlossenen Bestimmungen – neben der Datenschutzgrundverordnung auch die Datenschutzrichtlinie für Polizei und Justiz (JI-Richtlinie) – demnächst das formelle EU-Gesetzgebungverfahren passieren, bleibt auf europäischer und auf nationaler Ebene bis zu deren Inkrafttreten 2018 viel zu tun: In der EU muss die Kompatibilität anderer europarechtlicher Vorschriften mit der Grundverordnung überprüft werden. Dies gilt insbesondere für die Datenschutzrichtlinie zur elektronischen Kommunikation („ePrivacy-Richtlinie“). Die Regierungen und Parlamente der Mitgliedstaaten sind gehalten, das nationale Recht zu durchforsten. Dies gilt insbesondere für Deutschland mit seinen vielen bereichsspezifischen Datenschutzbestimmungen. Viele müssen überarbeitet werden, manche müssen wegfallen. Eine besondere Aufgabe kommt auf den Bundestag in Sachen Beschäftigtendatenschutz zu. Art. 82 DSGVO enthält die Möglichkeit, den Umgang mit Beschäftigtendaten detailliert zu regeln. („Member States may, by law or by collective agreements, provide for more specific rules to ensure the protection of the rights and freedoms in respect of the processing of employees‘ personal data in the employment context, …“). Bund und Länder müssen sich zudem mit der Frage auseinandersetzen, inwieweit die gesetzlichen Bestimmungen für Polizei und Justiz den Vorgaben der JI-Richtlinie angepasst werden müssen. Schließlich müssen Unternehmen und öffentliche Stellen ihre Praxis an die neuen Bestimmungen anpassen. Neue Prozesse müssen initiiert, bestehende Verfahren müssen geändert werden …

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) wird sich in den kommenden Jahren schwerpunktmäßig mit den Auswirkungen der neuen EU-Datenschutzregelungen beschäftigen. Für 2016 planen wir Workshops für Entscheider in Wirtschaft, Politik und Verwaltung zur Umsetzung der EU-Bestimmungen und zur Identifizierung des Reformbedarfs im nationalen Recht.

Mit freundlichen Grüßen, Peter Schaar

Europäischer Datenschutz: Bitte nicht aufweichen!

Die von der Europäischen Kommission vor mehr als drei Jahren auf den Weg gebrachte Datenschutzreform ist zwar noch nicht in „trockenen Tüchern“, aber immerhin ist absehbar, dass zumindest die Datenschutz-Grundverordnung in absehbarer Zeit von den EU-Gremien beschlossen wird. Bei allen Unsicherheiten im Detail bietet sich damit die einmalige Chance, Herausforderungen an das Datenschutzrecht in Angriff zu nehmen und diese mit einer stärkeren europäischen Harmonisierung zu verbinden. Gerade die Kombination dieser beiden Aspekte macht den möglichen Charme der Reform aus. Dies gilt freilich nur, wenn die Harmonisierung auch zu einem möglichst hohen Datenschutzstandard führt und nicht bloß einen kleinsten gemeinsamen Nenner definiert.

Positiv anzumerken ist, dass wesentliche Grundelemente der Datenschutzreform zwischen den EU-Gremien unstreitig sind: Die Einbeziehung von Unternehmen aus Drittstaaten, die in Europa aktiv sind (Marktortprinzip), den Abbau des Datenschutzgefälles zwischen den Mitgliedstaaten und – last but not least – die Stärkung der Datenschutzaufsicht.

Trotzdem gibt es keinen Anlass, sich beruhigt zurückzulehnen und den Ausgang des Trilogs zwischen Kommission, Parlament und Rat abzuwarten. Zum einen haben die Bemühungen von Interessenvertretungen erneut zugenommen, denen die ganze Richtung nicht passt. Bedauerlich ist insbesondere, dass auch manche europäischen Industrievertreter noch nicht verstanden haben, dass ein wirksamer, europaweit harmonisierter Datenschutz in ihrem wohlverstandenen wirtschaftlichen Interesse liegt. Zum anderen gibt es durchaus auch in den EU-Gremien Neigungen, dem Druck solcher Unternehmen – vor allem aus Drittstaaten – nachzugeben, deren Geschäftsmodelle kaum mit einem hohen europäischen Datenschutzniveau kompatibel sind. Zwar ist das Europäische Parlament in seiner Positionsbestimmung überwiegend zu Gunsten des Datenschutzes über den Kommissionsentwurf hinaus gegangen. Dagegen enthält die Richtungsentscheidung des Rats gefährliche Aufweichungen und bleibt sogar an verschiedenen Punkten hinter dem derzeitigen Recht zurück.

Für den Trilog sind insbesondere die folgenden Felder wichtig, in denen – teils erhebliche – Meinungsdivergenzen zwischen den Gremien bestehen. Im Sinne eines wirksamen Datenschutzes müssen hier klare Weichenstellungen getroffen werden:

  • Keine Aufweichung der Zweckbindung. Eine generelle Erlaubnis für Unternehmen oder Behörden, bei „überwiegendem Interesse“ Daten auch für Zwecke zu verwenden, die mit dem Erhebungszweck nicht vereinbar sind, wäre mit der Gewährleistung des Grundrechts auf Datenschutz nicht vereinbar.
  • Die Bürgerinnen und Bürger müssen wirksam vor der Zusammenführung ihrer Daten zu Persönlichkeitsprofilen geschützt werden. Profiling sollte grundsätzlich nur unter Pseudonym zulässig sein, wobei die Pseudonyme möglichst robust und rücknahmefest zu konstruieren sind. Auch bei der Verwendung von Pseudonymen muss der Betroffene umfassend über die Tatsache und die Zwecke des Profiling informiert werden und ihm ggf. widersprechen können. Sensible Daten sollten generell vom Profiling ausgenommen werden. Für den Betroffenen nachteilige, auf automatisierten bzw. überwiegend auf automatisierten Verfahren beruhende Einzelentscheidungen sollten unzulässig sein.
  • Der Datentransfers in Drittstaaten sollte generell nur zulässig sein, wenn ein angemessenes Datenschutzniveau vorliegt, das den Anforderungen der EU-Grundrechtecharta genügt. Gerade die im wesentlichen auf Edward Snowden zurückgehenden Veröffentlichungen über umfassende geheimdienstliche Überwachungsmaßnahmen haben gezeigt, dass die bisherigen Instrumente defizitär sind. Die vom Rat vorgeschlagenen Ausnahmeregelungen für bestehende Adäquanzentscheidungen, etwa für Safe Harbor, im Rahmen von bilateralen Abkommen oder für Verwaltungsvereinbarungen zwischen öffentlichen Stellen wären inakzeptabel.
  • Sektorspezifische nationale Regelungen – etwa zum Gesundheitswesen und zum Beschäftigtendatenschutz – dürfen das durch die GVO festgelegte Mindestniveau des Datenschutzes nicht unterschreiten. Dagegen sollte es den Mitgliedstaaten weiterhin möglich sein, in begründeten Fällen, insb. bei der Verarbeitung sensibler Daten, aber auch bei der behördlichen Datenverarbeitung, weitergehende Schutzvorschriften vorzusehen, damit das durch nationales Verfassungsrecht (z.B. durch die Rechtsprechung des Bundesverfassungsgerichts) garantierte Standards auch weiterhin gewährleistet werden können.
  • Die Verarbeitung personenbezogener Daten auf Basis einer Einwilligung sollte nur zulässig sein, wenn die faktische Freiwilligkeit gewährleistet ist. Im Falle gravierender Machtunterschiede zwischen der verantwortlichen Stelle und dem Betroffenen kann im Regelfall nicht hiervon ausgegangen werden. Die Einwilligung sollte generell ausdrücklich erfolgen und nicht implizit.
  • Die für die Verarbeitung von Daten für statistische und für Forschungszwecke vorgesehenen weit reichenden Sonderregelungen müssen durch besondere Schutzvorkehrungen, insbesondere durch ein wirksames Forschungsgeheimnis, abgesichert werden.
  • Der technologische Datenschutz sollte gestärkt werden. Dazu ist es erforderlich, die Vorgaben zu Privacy by Design, Privacy by Default und zur Datenschutzfolgenabschätzung konkreter und verbindlicher zu fassen. Die Vorgaben zur Vergabe und Verwendung qualifizierter Datenschutz-Gütesiegel sollten verbindlicher formuliert werden.
  • Die unabhängigen Datenschutzaufsichtsbehörden brauchen wirksame Sanktionsmöglichkeiten bei Verstößen, die sich an der wirtschaftlichen Leistungsfähigkeit der Unternehmen orientieren. Angesichts der erheblichen, mit der GVO verbundenen Ausweitung ihrer Aufgaben benötigen sie eine angemessene personelle und sachliche Ausstattung nach einem europaweit verbindlichen Standard. Der aus den Aufsichtsbehörden gebildete Datenschutzausschuss sollte über Streitfragen über die Auslegung der GVO verbindlich entscheiden. Eine Letztentscheidungsbefugnis der Kommission wäre damit unvereinbar.
  • Die Bestellung interner (betrieblicher/behördlicher) Datenschutzbeauftragter sollte in der gesamte EU obligatorisch sein. Ihre unabhängige Stellung sollte rechtlich effektiv abgesichert sein, etwa durch entsprechenden Kündigungsschutz.

(Dieser Bog-Post entspricht einem Beitrag, den ich für die Zeitschrift DANA der Deutschen Vereinigung für Datenschutz e.V. erstelt habe)

Hansjürgen Garstka – Big Data: Auf dem Weg in die Datendiktatur?

Tagungsbericht zum Steinmüller Workshop 2015

Zum dritten Mal trafen sich am 27. Mai Freunde und Kollegen des vor zwei Jahren verstorbenen Datenschutzapologeten Wilhelm Steinmüller in der Europäischen Akademie Berlin, um Fragen der Beziehung von Informatik und Gesellschaft zu diskutieren. Das Thema des diesjährigen Workshops „Big Data: Auf dem Weg in die Datendiktatur“ knüpft an einen Begriff an, den Steinmüller in seinem Lebenswerk „Informationstechnologie und Gesellschaft“ als Synonym für die Gefahren der Informatisierung der Gesellschaft geprägt hatte.

Vollständiger Tagungsbericht (pdf)