Hendrik Seidel/Ulrich Seidel

50 Jahre Datenschutz - wie geht es weiter?


Hendrik Seidel ist Syndikusanwalt für Datenschutz und Datensicherheit bei Capgemini in München.

 

 

  

 

Dr. Ulrich Seidel ist Rechtsanwalt und Träger des Bundesverdienstkreuzes für die wissenschaftliche Begründung des Datenschutzes.

ZD 2020, 609      Wenn in diesen Wochen der Datenschutz seinen 50. Geburtstag feiert, blicken wir auf eine wahre Erfolgsstory zurück. Das Hessische Datenschutzgesetz von Oktober 1970 war das erste Gesetz seiner Art weltweit - und basierte noch auf einem alten Begriffsverständnis: Datenschutz war bis dato im Wesentlichen Schutz der Daten selbst im Sinne einer Datensicherung. Bereits einen Monat zuvor legte Ulrich Seidel, Co-Autor dieses Editorials, den Grundstein für das noch heute gültige Begriffsverständnis und definierte Datenschutz als Persönlichkeitsschutz an personenbezogenen Daten insgesamt, u.a. ohne die Aufspaltung von nicht schutzwürdiger Sozial- und schutzwürdiger Privatsphäre (U. Seidel, NJW 1970, 1581; ders., LR 2020, 229 mwN).

50 Jahre später gilt die DS-GVO vielen weltweit als Goldstandard. Trotzdem mag nicht überall Partystimmung aufkommen, denn nicht wenige sehen darin eine bürokratische Innovationsbremse ohne entsprechenden Mehrwert für den Einzelnen. Anders ausgedrückt: Der Datenschutz hat strukturell seine Grenzen erreicht, denn Technologie, Gesellschaft und Selbstverständnis der Menschen haben sich radikal verändert. Datenschutz muss neu gedacht werden, um diesen Veränderungen nicht bloß zu folgen, sondern um ein Teil der gesellschaftlichen Realität zu werden und als Innovationskatalysator Menschen zu gleichberechtigten und vor allem zu souveränen Akteuren neben datenverarbeitenden Stellen zu machen. Im Folgenden sollen einige Entwicklungsfelder der nächsten Jahre andiskutiert werden.

Durch das exponentielle Datenwachstum mitsamt besonders datenintensiven Bereichen wie IoT und KI wurde bewiesen, dass der Grundsatz der Datensparsamkeit längst ausgehebelt ist. Dieser Grundsatz war bereits in OECD-Richtlinien von 1980 dokumentiert, als 1 Gigabyte Speicherplatz bis zu 1 Mio. USD kostete und weder der Personal Computer noch das Internet in seiner heutigen Form existierten. Im Jahr 2019 lag das monatliche Datenvolumen des deutschen Durchschnittsnutzers im Festnetzbereich laut BNetzA bereits bei 124 Gigabyte. Daten sind längst zum Sauerstoff geworden und halten den digitalisierten Alltag um soziale Netzwerke, E-Commerce, Unterhaltung, Smart Home, Connected Car, Mobile Work etc. am Leben. Die gesellschaftliche Forderung nach einer möglichst sparsamen Datenverarbeitung ist dem Rausch der digitalen Teilhabe gewichen. Braucht es insoweit nicht modernere Grundsätze, die das enorme Datenvolumen anerkennen und verstärkt auf Verwendungs- und Kontrollebene ansetzen sowie die Datenhygiene mit klaren Löschkonzepten adressieren?

Die Einwilligung gilt als Kernstück der Verarbeitungsgrundlagen. In der heutigen Taktung der Mediennutzung und Frequenz einwilligungsbedürftiger Datenverarbeitungen verkommt sie jedoch zur ungeliebten Pflichtübung und stellt den Einzelnen ohnehin nur vor eine „Alles-oder-nichts“-Entscheidung. Diese Kritik ist nicht neu. Dennoch wurde zuletzt im Gesetzgebungsverfahren zur DS-GVO die historische Chance verpasst, die Einwilligung grundlegend zu reformieren. Die (ins Stocken geratene) ePrivacy-VO würde dieses nicht mehr zeitgemäße Verständnis wohl auf Jahre zementieren.

Ein modernes Datenschutzrecht ohne die Möglichkeit des explizit geäußerten Willens des Einzelnen erscheint in der Tat undenkbar. Die Einwilligung soll also nicht geschwächt oder gar abgeschafft, sondern entsprechend den technologischen Möglichkeiten gestärkt werden und zu einer echten Datensouveränität führen. Dieser in Mode gekommene Diskursbegriff benötigt eine allgemein anerkannte Definition. Durch eine neue Begriffsorientierung von Datensouveränität könnte insbesondere das Freiwilligkeitsdefizit über einen „souveränen Einwilligungsprozesses“ (vgl. U. Seidel, LR 2020, 229) überwunden werden. Diese neue Begriffsorientierung geht von einer geteilten Datenmacht zwischen der verarbeitenden Stelle und der betroffenen Person (besser: Datengeber) aus. Dadurch werden die Kontroversen über Datenweiterverarbeitung, intransparente Big-Data-Verarbeitung und die überzogenen Vorstellungen eines (gescheiterten) Dateneigentums („Meine Daten gehören mir“) überwunden. In dieser geteilten Datenmacht bieten verarbeitende Stellen voreingestellte Datenverwendungsmöglichkeiten an, während die Einzelfallsverwendung durch die Datengeber erfolgt. Datensouveränität begründet demnach einen Rechtsanspruch auf selbstgestaltbare und somit selbstoptimierbare Datenverwendungen, den es bisher in der Rechtsordnung nicht gibt und der das informationelle Selbstbestimmungsrecht erweitert.

Im Rahmen der Verwaltungsdigitalisierung könnten Bürger über einen persönlichen Account nachvollziehen, welche Behörde welche Daten für welche Zwecke über sie verarbeitet. Nach dem Once-Only-Prinzip geben Bürger Standardinformationen nur einmal in diesem Account an und erlauben öffentlichen Stellen, einzelfallbasiert auf diese effizient und transparent zuzugreifen. Dieser Weg zu einer Verwaltungsdatensouveränität (im Gegensatz zur zuvor beschriebenen Wirtschaftsdatensouveränität) ist im E-Government-Gesetz bereits angelegt und sollte von der Bundesregierung mit Hochdruck am Beispiel von Estland weiter verfolgt werden. Datenschutzrechtliche Probleme könnten über Datentreuhänder überwunden und die Akzeptanz in der Bevölkerung für ein solches Modell so gestärkt werden.

Datenschutz ist nach wie vor „Paper Compliance“, bei der die Dokumentation des Rechenschaftspflichtigen von den dokumentierten Verarbeitungsvorgängen, Datenkategorien und TOMs in der Regel losgelöst erstellt, vorgehalten und überarbeitet wird. Die Komplexität und Dynamik der Verarbeitungen erfordert neue Ansätze, Dokumentation und Dokumentiertes in smarter Weise miteinander zu verbinden. Ein sich selbst aktualisierendes Verarbeitungsverzeichnis, das Informationen unmittelbar aus Systemen der verarbeitenden Stelle erhält und wiederum erforderlichen Input in relevante Datenschutzerklärungen überträgt, wird irgendwann hoffentlich zum Standard werden. Eine Echtzeit-Verknüpfung mit den Datenverarbeitungen vermindert den Dokumentationsaufwand bei gleichzeitiger Erhöhung von Transparenz sowie Kontrollmöglichkeiten, nicht nur des Einzelnen, sondern auch von Vertragspartnern und wohl auch von Behörden.

Die Schrems-II-Entscheidung des EuGH (ZD 2020, 511 m. Anm. Moos/Rothkegel) hat den Finger in die Wunde des Sonderproblems Datenschutz/Geheimdienste gelegt. Die in der Praxis für Datenexporteure wohl kaum umzusetzenden Prüfungen des Datenschutzniveaus im Empfängerland zeugen von einer gewissen Ratlosigkeit, internationale Datentransfers in Zeiten von Geheimdienst-Enthüllungen zu legitimieren. Vor diesem Hintergrund ist die europäische Cloud-Initiative GAIA-X ein willkommener Ansatz, die technische Datensouveränität in der EU zu stärken. Wenngleich hier kein abgeriegeltes Parallel-Ökosystem, insbesondere neben den USA, entstehen wird, könnte der Drittlandtransfer - ähnlich wie beim Edge Computing - verstärkt auf das Ergebnis bestimmter Verarbeitungsvorgänge beschränkt werden. GAIA-X sollte auch als technische Grundlage für eine europäische, materiellrechtliche Datensouveränität entwickelt werden, z.B. durch cloudbasierte Trustcenter-Konzepte, wodurch dieses digitale Ökosystem eine weltweite Vorreiterrolle einnehmen könnte.

Technologie wird zunehmend in Bereiche vordringen, bei denen sie mit menschlichem Verhalten konkurriert. Das sich in einer Dilemma-Situation entscheidende selbstfahrende Auto oder der einen Restauranttisch per Telefon reservierende Sprachassistent sind keine Zukunftsvisionen mehr. „Ethics by Design/Default“ wird ein zentraler Baustein bei der weiteren Eroberung dieses Bereichs werden müssen. Auf Grund der globalisierten Tech-Industrie wird man nicht nur mit unterschiedlichen Produktdesigns, sondern auch mit verschiedenen Ethikvorstellungen um die Gunst der Nutzer werben. Nach der Amerikanisierung im 20. Jahrhundert könnte der interkulturelle Transfer im 21. Jahrhundert auch über eine technologische Marktführerschaft erfolgen. Die EU muss eine Balance zwischen Technikethik-/Datenethikdebatten und einer innovationsfreundlichen Förderung finden, wenn sie hier nicht den Anschluss verlieren will.

Wir erleben eine Zeit, in der die Konzentration riesiger Datensilos auf wenige Tech-Riesen nicht länger zu tolerieren ist. An den Umstand, dass Daten ohne Qualitätsverlust beliebig kopierbar sind, knüpfen vermehrt gesellschaftliche Forderungen nach Datenoffenheit, was zu einer neuen Dimension von Transparenz und Zusammenarbeit führen soll - dies wird in neuen Regulierungsmodellen münden, wie etwa Open Data und dem Einsatz von Daten-Treuhändern.

Parallel zu der Forderung nach Datenoffenheit wird es wieder einen wachsenden „Datenhunger“ des Staates geben. Die Debatte um Vorratsdatenspeicherung könnte harmlos erscheinen, wenn omnipräsente Überwachungsmodelle aus anderen Teilen der Erde mit einem umfassenden Netz von Überwachungskameras, Gesichts- und Gestenerkennung, KI und Social Scoring auch Begehrlichkeiten in westlichen Hauptstädten wecken. Von der breiten Öffentlichkeit während der Corona-Krise nahezu unbemerkt, hat das Bundeskabinett im September 2020 einen Gesetzesentwurf beschlossen, wonach die individuelle Steuer-ID zu einem „registerübergreifenden Identitätsmanagement“ führen und den Einzelnen über alle Register der öffentlichen Verwaltung hinweg identifizierbar machen soll. In den 1970er Jahren wurde das sog. bundeseinheitliche Personenkennzeichen (PKZ) wegen datenschutzrechtlicher Bedenken aufgegeben. Eine entsprechende Diskussion über die möglichen Gefahren der aktuellen Gesetzesinitiative für den demokratischen Rechtsstaat wäre wünschenswert, insbesondere unter dem Aspekt der Verknüpfbarkeit mit Datenbanken des Privatsektors.

Der Datenschutz ist am Scheideweg: Im datengetriebenen Alltag mit weiterhin exponentiell wachsendem Datenvolumen muss er über das klassische Abwehr- und Gestaltungsrecht hinaus zu einem souveränen Teilhaberecht erweitert werden, damit der Einzelne nicht mehr nur als „betroffene Person“ in einer eher passiv geprägten Rolle geschützt ist, sondern zusätzlich in einem neuen Leitbild zu einem selbstgestaltenden Datensouverän befähigt wird.