Stellungnahme der Europäischen Akademie für Informationsfreiheit und Datenschutz zum geplanten regulatorischen Rahmen für gemeinsame europäische Datenräume
15. Juli 2020
Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) begrüßt die Möglichkeit, zu dieser Initiative der Europäischen Kommission Stellung zu nehmen.
1. Die EAID unterstützt das Ergebnis des Beteiligung der Interessenvertreter, das in der Mitteilung der Kommission „Aufbau eines gemeinsamen europäischen Datenraums“ vom 25.4.2018 wiedergegeben wird, wonach kein Bedarf nach einem neuen Recht auf Dateneigentum besteht. Dies betrifft nicht nur die Weitergabe von Daten zwischen Unternehmen, sondern auch die Rechte von Bürgern und Verbrauchern gegenüber den verantwortlichen Stellen, die in der Datenschutz-Grundverordnung (DSGVO) festgelegt wird.
2. Die Einwilligung der betroffenen Person in die Weitergabe ihrer Daten an andere (auch wenn dies zum Wohl der Allgemeinheit als „Daten-Altruismus“ oder „Datenspende“ geschieht) muss freiwillig und auf der Basis von verständlichen Informationen erfolgen (Art. 7 und Erwägungsgrund 42 DSGVO). Die betroffene Person sollte insbesondere spezielle Forschungszwecke (z.B. im medizinischen Bereich) bestimmen können, für die sie bereits ist, ihre Daten zur Verfügung zu stellen. Eine Blankett-Einwilligung in die Nutzung personenbezogener Daten im Interesse des Allgemeinwohls kann nicht als ausreichend informiert angesehen werden. Andererseits kann eine breite Einwilligung für Forschungszwecke erteilt werden, wenn die betroffene Person sich über spezifische Forschungsprojekte informieren kann, für die ihre Daten genutzt werden (solange sie nicht anonymisiert sind).
3. Die betroffene Person kann ihre Einwilligung jederzeit widerrufen (Art. 7 Abs 3 DSGVO). Der Widerruf der Einwilligung für die Zukunft muss genauso einfach sein wie die Erteilung der Einwilligung selbst. Auch dies gilt, wo und solange die Daten in einem europäischen Datenraum nicht anonymisiert sind.
4. Generell wird die Schaffung gemeinsamer europäischer Datenräume durch die Nutzung anonymisierter Daten erleichtert werden. Auch Pseudonymisierung ist ein wichtiges Werkzeug für ein datenschutzgerechtes Design gerade bei medizinischen Forschungsprojekten. Während pseudonyme Daten personenbezogen sind und damit der DSGVO unterliegen, ist dies bei anonymisierten Daten nicht der Fall. Allerdings ist die Abgrenzung zwischen anonymen und personenbezogenen/pseudonymen Daten nicht statisch. Diese Unterscheidung muss hinsichtlich konkreter Datenmengen regelmäßig überprüft werden, denn aufgrund der technischen Entwicklung steigt das Risiko der Reidentifizierung (oder es entsteht neu). Deshalb sollte die Kommission Forschungsvorhaben unterstützen, die sich sowohl mit Anonymisierungstechniken als auch mit Methoden der Kontrolle von Reidentifizierungsrisiken in großen Datenbeständen befassen. Dies ist von wesentlicher Bedeutung in künftigen gemeinsamen europäischen Datenräumen, beispielsweise im Zusammenhang mit dem Internet der Dinge.
5. Zu Recht betont die Kommission das Ziel, dass die starre Bindung an einen Diensteanbieter oder Verantwortlichen (data lock-in effect) vermieden werden muss. Zu diesem Zweck sollte das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) gestärkt werden, indem Verantwortliche dazu verpflichtet werden, Daten in einem interoperablen Format vorzuhalten und Schnittstellen bereitzustellen, damit betroffene Personen effektiv von ihrem Recht auf Datenübertragbarkeit Gebrauch machen können.
6. Wenn – wie die Kommission es plant – die Bereitstellung und Nutzung von gemeinsamen europäischen Datenräumen nicht öffentlichen Stellen vorbehalten sein soll und private Unternehmen (Intermediaries) hier ein wichtige Rolle spielen werden, ist es von entscheidender Bedeutung, dass die betroffenen Personen ihre Recht hinsichtlich ihrer personenbezogenen Daten auch im Fall von Unternehmenskäufen oder Insolvenzen effektiv ausüben können. Zu diesem Zweck sollte eine Infrastruktur geschaffen werden, die Transparenz und Kontrolle sicherstellt. Meldepflichten gegenüber öffentlichen Stellen (z.B. den Aufsichtsbehörden nach der DSGVO) über die Aufgabe oder Übernahme eines Unternehmens oder dessen Insolvenz sollten eingeführt werden, die auch eine Mitteilung darüber umfassen, wer der neue Verantwortliche ist, an den die betroffene Person sich wenden kann. Derartige Meldepflichten enthält die Datenschutz-Grundverordnung nicht.
Peter Schaar Alexander Dix