Im Frühjahr erreichte mich – mehrere Monate nach meinem Ausscheiden aus dem Amt des Bundesbeauftragten – eine Einladung nach Mauritius zur 36. Internationalen Konferenz der Datenschutzbeauftragten vom 13.-16. Oktober 2014. Ob ich denn bereit sei, eine Diskussionsrunde zur UN-Resolution vom Dezember 2013 zu moderieren. Leider sei man aber nicht in der Lage, die Reise- und Übernachtungskosten zu übernehmen – Mauritius ist ein armes Land. Ich sagte zu: Dieses weltweit wichtigste Treffen der Datenschutz-Community war es mir Wert.
Dort angekommen, stellte ich allerdings fest, dass nicht alle diese Einschätzung teilten, vor allem nicht meine ehemaligen deutschen Kolleginnen und Kollegen. Keine einzige deutsche Datenschutzbehörde war auf Chefebene vertreten – wohl das erste Mal in der 36-jährigen Geschichte der Internationalen Datenschutzkonferenz, die 1979 in Bonn gegründet worden war. Immerhin hatte die Bundesbeauftragte für den Datenschutz zwei Vertreter auf Fachebene geschickt. Bereits kurz nach meiner Ankunft wurde ich von vielen Konferenzteilnehmern gefragt, warum denn Deutschland so schwach vertreten sei – schließlich würden doch die deutschen Datenschützer immer sehr lautstark darauf pochen, den Datenschutz auch international zu gewährleisten. Außer einem verlegenen Achselzucken fiel mir dazu keine plausible Antwort ein.
Datenschutzvertreter aus anderen europäischen Staaten und anderen Weltteilen hatten den langen Weg aber nicht gescheut. Die Datenschutzbeauftragten nahezu aller größeren (und vieler kleinerer) Staaten waren persönlich vertreten, etwa die Präsidentin der französichen CNIL, der britische Information Commissioner, der Leiter der spanischen Datenschutzbehörde und die Vorsitzende der amerikanischen Federal Trade Commission, die Datenschutzbeauftragten Kanadas, Australiens und Neuseelands und etlicher Staaten Afrikas und Asiens.
Und sie waren produktiv. Auf ihrer internen Sitzung verabschiedeten sie verschiedene Entschließungen (bisher nur in englisch – ob eine deutsche Übersetzung geplant ist, ist mir nicht bekannt). Sie behandeln das Internet of Things, Big Data, eine verbesserte Zusammenarbeit der Datenschutzbehörden und die Zukunft des Datenschutzes angesichts zunehmender staatlicher Überwachungsaktivitäten.
Sehr klar äußert sich die Konferenz zu Big Data: Das Prinzip der Zweckbindung müsse auch in Zeiten massenhafter Datenverarbeitung respektiert werden. Die Speicherung von Daten außerhalb gesetzlicher Grenzen sei weiterhin unzulässig. Zur Datenanalyse und zur Profilbildung dürften personenbezogene Daten grundsätzlich nur mit Einwilligung der Betroffenen verwendet werden. Von entscheidender Bedeutung sei es, dass die Betroffenen soweit wie möglcih die Kontrolle über ihre Daten behalten und dass ihnen die dafür erforderlichen Instrumente zur Verfügung stehen. Wichtig seien dabei Ansätze von Privacy by Design, also des technologischen Datenschutzes. Die Verwendung anonymer oder pseudonymisierter Daten könne dazu beitragen, die mit Big Data verbundenen Datenschutzrisiken zu minimieren. Allerdings müsse dabei beachtet werden, dass auch pseudonymisierte Daten zumindest indirekt personalisiert werden könnten. Deshalb bedürfe es hier besonderer Schutzmaßnahmen. Schließlich müssten die Verantwortlichen nachvollziebar gewährleisten, dass ihre Verfahen den Datenschutzvorgaben entsprechen. Dazu gehöre auch die Transparenz und Kontrolle von Algorithmen. Big Data dürfe nicht dazu führen, dass automatisierte Entscheidungen zuungunsten des Betroffenen stattfinden. Jedenfalls müsse es jederzeit möglich sein, die Ergebnisse von datenanalysen und darauf basierende Entscheidungen durch Menschne zu überprüfen.
In ihrer Entschließung “The right to privacy in the digital age” betonen die Datenschutzbeauftragten die Notwendigkeit, Schlussfolgerungen aus der gleichnahmigen Entschließung der Vollversammlung der Vereinten Nationen vom Dezember 2013 und dem von der UN-Hochkommissarin für Menschenrechte Navanethem Pillay im Juli 2014 vorgelegten Bericht zur globalen Überwachung zu ziehen. Nur wenn technologische und rechtliche Konsequenzen aus den Erkenntnissen und Empfehlungen gezogen werden, lasse sich Datenschutz im Kontext moderner Kommunikationstechnologien gewährleisten. Die in der Konferenz vertretenen Datenschutzbehörden wollen aktiv für die Beachtung der Datenschutzprinzipen auch bei elektronischen Überwachungsmaßnahmen einzutreten un d sie fordern verstärkte Möglichkeiten, den mit der elektronischen Überwachung verbundenen Herausforderungen zu begegnen. Schließlich wollen die Datenschutzbehörden den gegenseitigen Informationsaustausch zu Überwachungsprogrammen und den Praktiken der datenschutzkontrolle über solche Programme verstärken.
Beachtlich ist diese Entschließung vor allem deshalb, weil sich hier die Datenschutzbehörden dazu bekennen, das Menschenrecht auf Privatsphäre auch außerhalb ihres nationalen Rahmens und auch gegenüber Sicherheitsbehörden durchzusetzen, obwohl insbesondere die Geheimdienste in vielen Ländern nicht der Aufsicht durch unabhängige Datenschutzbeauftragte unterliegen. Es macht aber wenig Sinn, die Erhebung von imm er mehr persönlichen Daten durch Unternehmen und die massenhafte Überwachung durch staatliche Stellen isoliert zu betrachten. Spätestens seit den Enthüllungen Edward Snowdens kann nicht mehr übersehen werden, dass beide Bereiche zusammenhängen und dass es einen deutlichen Zusammenhang zwischen staatlicher Massenüberwachung und privatwirtschaftlichem Datenhunger gibt.
Auf der anließenden öffentlichen Konferenz wurden die Diskussionen zu den unterschiedlichsten Datenschutzthemen fortgesetzt. Neben den Datenschutzbehörden kamen dabei auch Unternehmen, Politiker und (einige wenige) Vertreter/innen der Zivilgesellschaft zu Wort. Wie ein roter Faden zog sich die Frage durch (fast) alle Reden und Diskussionsrunden, wie der Datenschutz in der globalisierten IT-Welt gewährleistet werden kann. Datenschutz dürfe nicht an nationalen Grenzen halt machen – so eine von allen geteilte Einschätzung. Unternehmensvertreter beschrieben die Schwierigkeiten, mit unterschiedlichen, teils gegensächlichen Rechtsordnungen umzugehen. Offenbar wächst selbst bei US-Companies die Erkenntnis, in welchem Maße die Massenüberwachung ihre Geschäftsmodelle beeinträchtigt hat. Immer wieder wurde auch deutlich, wie wichtig die Bemühungen zur einer Reform des EU-Datenschutzrechts sind. Ein Scheitern dieses Reformprozesses würde den Datenschutz nicht nur in Europa zurückwerfen, es wäre ein schwerer Schlag gegen die die weltweiten Bemühungen, die Privatsphäre im digitalen Zeitalter zu schützen. Nicht nur das Recht, auch die Technik muss den Gefahren für das Recht auf informationelle Selbstbestimmung und auf Privatsphäre entgegenwirken – so eine immer wieder zu hörende Forderung. Die vom Europäischen Datenschutzbeauftragten Peter Hustinx initiierte Vernetzung von technischen Datenschutzexperten (Internet Privacy Engeneering Network – IPEN) ist dabei von zentraler Bedeutung.
Und Mauritius? Über diese wundervolle Insel könnte ich manches erzählen. Aber dies ist meinen persönlichen Freunden und Verwandten vorbehalten – sorry!
Mit freundlichen Grüßen
Peter Schaar