Björn Steinrötter

Datenaltruismus


Professor Dr. Björn Steinrötter ist Juniorprofessor für IT-Recht und Medienrecht an der Universität Potsdam und Mitglied des Wissenschaftsbeirats der ZD.

 ZD 2021, 61    Nahezu unermüdlich arbeitet sich der EU-Gesetzgeber in jüngerer Zeit im Bereich der Querschnittsmaterie, die sich IT-Recht nennt, ab. So hat Brüssel zuletzt z.B. die Digitale Güter-RL (RL 2019/770/EU), die Warenkauf-RL (RL 2019/771/EU) und die DSM-RL (RL 2019/790/EU) verabschiedet sowie Entwürfe für einen Digital Services Act (COM(2020) 825 final) und Digital Markets Act (COM(2020) 842 final) auf den Weg gebracht -- womit nur besonders prominente Legislativprojekte genannt seien. Auch diejenigen, die sich innerhalb des IT-Rechts auf dessen Teilgebiet des Datenrechts (als Oberbegriff für das traditionelle Datenschutzrecht einerseits und ein im Werden befindliches Datenwirtschaftsrecht andererseits, dazu jüngst Steinrötter, in: FS für Jürgen Taeger, 2020, S. 491) konzentrieren, können sich den permanenten unionalen Legislativimpulsen gegenwärtig kaum entziehen.

In Zeiten, in denen die Probleme der DS-GVO noch immer nicht in Gänze identifiziert sind, die Existenz von Rechtsakten wie der Free Flow of non-personal Data-VO (VO 2018/1807/EU) oder der PSI-RL (RL 2019/1024/EU) bisweilen gerade erst realisiert werden und beim Legislativprojekt einer ePrivacy-VO (COM(2017) 10 final) der eine oder die andere inzwischen gar resigniert hat, legt der EU-Normgeber erneut einen Vorschlagstext für einen Daten-Sekundärrechtsakt vor.

 

Er nennt ihn Data Governance Act (COM(2020) 767 final; nachfolgend: DGA-E) - in der deutschen Sprachfassung für eine EU-Verordnung etwas befremdlich als „Daten-Governance-Gesetz“ übersetzt. Die Mühen der Lektüre dieses neuen, auf den 25.11.2020 datierten Texts lohnen sich für Datenrechtler*innen aber durchaus. Der Vorschlag beinhaltet nämlich einige doch recht innovative Regelungsansätze.

 

Ausweislich seiner Entwurfsbegründung zielt das Instrument darauf ab, „die Verfügbarkeit von Daten zur Nutzung zu fördern, indem das Vertrauen in die Datenmittler erhöht wird und die Mechanismen für die gemeinsame Datennutzung in der gesamten EU gestärkt werden“ (DGA-E, S. 1). Damit darf der Regelungstext hauptsächlich als Datenwirtschaftsrecht gelten, also als ein Regime, das Daten als Wirtschaftsgut anerkennt und sich deren besserer Nutzbarkeit und Handelbarkeit zu Gunsten der auf sie dringend angewiesenen neuen Technologien verschrieben hat (vgl. zum Ganzen Steinrötter, in: Ebers/Navas (Eds.), Algorithms and Law, 2020, S. 269 (272 ff.)). Gegenstand der Materie sind z.B. Fragen nach Ausschließlichkeitsrechten an Daten, Zugangsrechten zu Datensilos, Portabilitätsrechten, Interoperabilitätsvorgaben oder Überlegungen zu einem Recht auf datenerhebungsfreie Produkte (zum Letzteren grundlegend M. Becker, JZ 2017, 170) – alles mit dem Ziel eines (Binnen-)Markts für Daten.

 

Art. 2 Nr. 1 DGA-E definiert Daten als „jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material“. Soll hier also - zumindest auch - ein Datum „als solches“ Regelungsgegenstand, mithin die syntaktische Ebene adressiert sein? Im Textvergleich etwa zu Art. 4 Nr. 1 DS-GVO, der Daten lapidar (und zweifelhaft) mit Informationen gleichsetzt (und nur Letzteres auch wirklich meint), der sonach die semantische Ebene anspricht, fällt die Formulierung der „Darstellung“ von Informationen zu Beginn der Definition in der Tat ins Auge. Ob hier aber die „Informationssyntax“ als bloßer Träger von Bedeutungsinhalten gemeint ist, erscheint gleichwohl zweifelhaft. Schließlich bezieht sich die DGA-Initiative – von dem verbleibenden Teil der Definition einmal abgesehen – ausdrücklich auf Datenmittler, „die sowohl personenbezogene als auch nicht personenbezogene Daten verarbeiten“ (DGA-E, S. 1). Losgelöst von der praktischen Schwierigkeit der Abgrenzung dieser beiden Kategorien ist jene Differenzierung zweifellos eine semantische. Es geht den EU-Normgebern demnach einmal mehr – allein – um „Informationen“, wenn auch um solche, die regelmäßig digital strukturiert daherkommen und daher insbesondere maschineller Verarbeitung zugänglich sind.

 

Datenschutzrechtliche Implikationen weist der Entwurf ebenfalls zur Genüge auf. Beide Teilrechtsgebiete – Datenschutz- und Datenwirtschaftsrecht – stehen ohnehin keinesfalls kontaktlos nebeneinander, sondern erzeugen Wechselwirkungen. Sie führen aber auch zu nicht unerheblichen Friktionen (evident kollidiert etwa das datenschutzrechtliche Prinzip der Datensparsamkeit mit Zielen der Datenfungibilität), die oftmals in Forderungen nach einem moderneren Datenschutzrecht bzw. in dessen Fortentwicklung münden (vgl. statt vieler Schwartmann/Hentsch, RDV 2015, 221). Dass Datenschutzrecht neu gedacht, namentlich von der potenziellen „Innovationsbremse“ zum „Innovationskatalysator“ (Prinzip der – regulierten – Datenoffenheit) werden muss, sehen auch Personen so, die als Mitbegründer des Rechtsgebiets gelten (unlängst: Seidel/Seidel, ZD 2020, 609).

Einen wichtigen Aspekt hat bei alledem auch Jochen Schneider im Editorial des Januar-Hefts der ZD (ZD 2021, 1) angesprochen: Die DS-GVO, namentlich die Einwilligung, solle „wesentlich stärker für das Vertragsrecht fit“ gemacht werden. Dem ist zuzustimmen. Ganz allgemein gilt: Eine technologisch bzw. technisch von vornherein stets mitgedachte, noch konturierungsbedürftige Datensouveränität könnte die Brücke zwischen Datenschutz- und Datenwirtschaftsrecht dabei besonders sinnvoll schlagen. Schickt sich der DGA-Entwurf nunmehr an, seinen Beitrag zu diesem Ziel zu leisten? A prima vista scheint eine Art von „Datenspende“ tatsächlich recht gut zum Wunsch nach Datensouveränität zu passen.

 

Konkret geht der DGA-Vorschlag u.a. die „gemeinsame Datennutzung durch Unternehmen gegen Entgelt in jedweder Form“ an sowie die „Ermöglichung der Nutzung personenbezogener Daten mithilfe eines ,Mittlers für die gemeinsame Nutzung personenbezogener Daten`, der Einzelpersonen bei der Ausübung ihrer Rechte gemäß [DS-GVO] unterstützen soll“ und schließlich – besonders hübsch etikettiert – die „Ermöglichung der Nutzung von Daten aus altruistischen Gründen“ (DGA-E, S. 1). Dem entspricht ein ganzes, mit „Datenaltruismus“ überschriebenes Kapitel (Art. 15-22 DGA-E). Gem. Art. 2 Nr. 10 DGA-E beschreibt dieser Begriff „die Einwilligung betroffener Personen zur Verarbeitung der sie betreffenden personenbezogenen Daten oder die Erlaubnis anderer Dateninhaber zur unentgeltlichen Nutzung ihrer nicht personenbezogenen Daten für Zwecke von allgemeinem Interesse wie die wissenschaftliche Forschung oder die Verbesserung öffentlicher Dienstleistungen“. Einen Anwendungsfall dafür bildete die Datenspende-App des Robert Koch-Instituts, über die Personen ihre Daten aus Fitness-Trackern und Smart-Watches freiwillig mit den Wissenschaftlern zur Pandemiebekämpfung teilen. Die Idee einer Art von Datenspende ist gewiss nicht neu (etwa Sackmann, PinG 2019, 277); nun soll sie indessen eine positivrechtliche Verankerung finden.

 

Schon das Wort „Altruismus“ weckt bei manchen Menschen freilich ein gewisses Misstrauen. Ist der Altruist nicht eigentlich doch ein verkappter, womöglich besonders unehrlicher Egoist? "Keiner schenkt sein Kleid dem andern, um dann selber nackt zu wandern", unkte schon Don Juan Manuel (1282 – 1348). Oder, etwas weniger schwarzmalerisch, dafür umso ökonomischer gedacht: Stört der Altruist nicht zumindest empfindlich das marktliche Aufeinandertreffen von Angebot und Nachfrage, also die Preisgestaltung? Auch Daten, gerade personenbezogene, haben ihren Wert. Dass man mit ihnen gewissermaßen „zahlen“ kann, hat der EU-Gesetzgeber – allen verbliebenen dogmatischen Unsicherheiten hinsichtlich der Frage, ob es für eine synallagmatische Verbindung reicht, zum Trotz – mit Art. 3 Abs. 1 Digitale Güter-RL nun auch gesetzlich festgeschrieben.

 

Ein genauerer Blick in die betreffenden Regelungsvorschläge des Data Governance Act erweist sodann, dass es vornehmlich um die Etablierung „datenaltruistischer Personen“ geht, verstanden als „[j]uristische Personen, die bestrebt sind, Zwecke von allgemeinem Interesse zu unterstützen, indem sie einschlägige Daten ... in größerem Maßstab zur Verfügung stellen“ (Erwägungsgrund 36 S. 1 DGA-E). Beim Überfliegen der damit einhergehenden Register-, Transparenz-, Informations- und Daten-Compliance-Pflichten sowie der diesbezüglich angedachten Behördenaufsichtsstruktur deutet sich bereits an, was auf das Wohlgefühl der ästhetisch anmutenden Wortschöpfung „Datenaltruismus“ sowie den positiv zu bewertenden Grundgedanken folgt: eine gewisse Ernüchterung ob des allzu kleinteiligen, bürokratischen Rechtsrahmens. Zu Recht geht etwa Winfried Veil davon aus, dass vor diesem Hintergrund „den meisten die Lust auf Altruismus vergehen“ dürfte (Veil, Blogbeitrag v. 1.12.2020).

 

Datenaltruistische Organisationen, welche selbst keinen Erwerbszweck verfolgen dürfen, müssen demnach neben den Vorgaben der DS-GVO zusätzlich diejenigen des DGA einhalten und zudem die doppelte Aufsichtsarchitektur beachten. Veil ist darin zuzustimmen, dass der Versuch einer datenschutzkonformen Datenspende allzu komplex gerät, vielmehr eine neu zu kreierende „Altruismusausnahme“ in Art. 2 Abs. 2 DS-GVO der bessere Weg wäre. Ein deutlich abgespeckter Mindeststandard für die Verarbeitung personenbezogener Daten könnte sodann Eingang in einen DGA finden. Denkbar erschiene alternativ eine entsprechende Ergänzung bzw. Konkretisierung der Öffnungsklausel des Art. 85 DS-GVO.

 

Aus verschiedenen Gründen bleibt schließlich noch Art. 22 DGA-E, der das „Europäische Einwilligungsformular für Datenaltruismus“ zum Gegenstand hat, bemerkenswert. Dies allein schon deshalb, weil die Idee, hier ein einheitliches, modular strukturiertes Format vorzusehen, zweifellos zielführend ist. Ferner verdient Erwägungsgrund 36 S. 4 DGA-E Beachtung, der offenbar für die datenaltruistische Einwilligung die Aufweichung der differenzierten Anforderungen an die datenschutzrechtliche Einwilligung eingedenk des diesbezüglichen Zweckbindungsgrundsatzes anzudeuten scheint (vgl. freilich bereits jetzt: Art. 89 Abs. 1 DS-GVO). Bemerkenswert ist Art. 22 DGA-E schließlich noch, weil zumindest insofern der Gipfel der Unübersichtlichkeit erreicht wird, als die Voraussetzungen für eine Einwilligung durch einen noch zu erlassenden Durchführungsrechtsakt festgelegt werden sollen. Dies ist ein Beleg dafür, dass für Datenrechtler*innen auch mittelfristig das gelten wird, was eingangs konstatiert wurde: Das Arbeitsgebiet bleibt hoch dynamisch, denn die unionsrechtlichen Legislativimpulse kommen unweigerlich weiter in kurzen Abständen. Für Datenzugangs- und Datennutzungsrechte steht 2021 übrigens ein weiterer „EU-Rechtsakt über Daten“ auf der Agenda (DGA-E, S. 2). Das Datenwirtschaftsrecht nimmt Gestalt an.

 

Einstweilen greift für Verarbeitungen personenbezogener Daten aus altruistischen Gründen das geltende Datenschutzrecht, mithin insbesondere die DS-GVO.

 

Auch hier gilt: Ein Anreizsystem sieht freilich anders aus.