Ein Dateninstitut für Deutschland - Sicht einer Datenschutzaufsichtsbehörde

ZD 2023, 245   In Deutschland scheint Einigkeit darüber zu bestehen, dass die digitale Transformation nur dann zu einem Erfolgsmodell werden kann, wenn das Wertschöpfungspotenzial der Datenwirtschaft gehoben wird. Zwar wurden in den letzten Jahren, so die Digitalstrategie der Bundesregierung v. 31.8.2022, hinsichtlich der Datennutzung deutliche Fortschritte erzielt. Dennoch, und daran dürfte kein Zweifel bestehen, bleibt Deutschland bei der Digitalisierung hinter seinen Möglichkeiten zurück. Als ein Grund dafür wird immer wieder eine unzureichende Nutzung der Daten angeführt, und dies gilt gleichermaßen sowohl für private Daten als auch für Verwaltungsdaten.

Laut Koalitionsvertrag soll nun ein Dateninstitut Datenverfügbarkeit und Datenstandardisierung vorantreiben sowie Datentreuhändermodelle und Lizenzen etablieren. Von einem solchen Dateninstitut als Element einer politischen Digitalstrategie könnten tatsächlich wichtige und zugleich erfolgreiche Impulse für die digitale Transformation ausgehen. Seit Anfang Dezember 2022 liegen erste Empfehlungen vor. Dabei fällt auf, dass weder notwendige rechtliche Rahmenbedingungen thematisiert noch Struktur, Aufgaben und Arbeitsweise des künftigen Instituts konkretisiert werden. Vielmehr wird vorgeschlagen, über sog. „use cases“ die Fragestellungen, die gegenwärtig einer stärkeren Datennutzung entgegenstehen, zu identifizieren und sie alsdann einer Lösung zuzuführen. Das gibt Anlass zu Kritik. Über die Verwertung von persönlichen Daten sollte auch nicht ansatzweise im rechtsfreien Raum entschieden werden. Es braucht vielmehr eine klare staatliche Regulierung, die dem Einzelnen einerseits die Hoheit über seine Daten garantiert und andererseits für die Unternehmen internationale Chancengleichheit sicherstellt. Und dabei werden auch die Auswirkungen des europäischen Datenwirtschaftsrechts und hier vor allem der Data Governance Act und der Data Act zu berücksichtigen sein.

Schon seit Langem gibt es Überlegungen zur sog. Datenhoheit oder auch Datensouveränität. Unter diesen und weiteren Schlagwörtern wird regelmäßig diskutiert, wie der wirtschaftliche Wert personenbezogener Daten reguliert werden kann und sollte. Sie könnten in Zeiten des digitalen Wandels richtungweisend werden, sie könnten Orientierung geben, möglicherweise sogar einen digitalen Kodex begründen. Tatsächlich ist aber seit Jahren zu beobachten, dass der Begriff der Datenhoheit oder -souveränität bisweilen nur als Schlagwort verwendet wird, das die Aushöhlung des Datenschutzes zu Gunsten der wirtschaftlichen Datennutzung verschleiern soll. Daten dürfen aber nicht zu einer rein wirtschaftlichen Größe gemacht werden. Informationen über Personen dürfen keine Ware sein wie jede andere und nicht allein auf ihren ökonomischen Wert reduziert werden. Gerade in Zeiten von Big Data, Algorithmen und Profilbildung bieten die digitalen Informationen ein nahezu vollständiges Abbild der Persönlichkeit. Mehr denn je muss daher die Menschenwürde auch im digitalen Zeitalter der zentrale Maßstab staatlichen und wirtschaftlichen Handelns sein. Und zu einer menschenwürdigen und freien Entfaltung der Persönlichkeit gehört die freie Selbstbestimmung über das eigene Ich.

Ob und durch wen personenbezogene Daten wirtschaftlich genutzt werden, ist zunächst kein Anliegen des Datenschutzrechts. Dieses dient vielmehr dazu, die Grundrechte und Grundfreiheiten natürlicher Personen zu schützen. Deshalb ist das datenschutzrechtliche Regelungskonzept vom grundsätzlichen Verarbeitungsverbot geprägt, von Erlaubnisvorschriften, der Einwilligung des Betroffenen, Betroffenenrechten und von Pflichten des Verantwortlichen. Selbst wenn alle diese Vorgaben eingehalten werden, erhält der Einzelne als Gegenleistung für die Verwendung seiner personenbezogenen Daten zu kommerziellen Zwecken regelmäßig nur eine vermeintlich kostenlose Dienstleistung. Das entspricht keinesfalls der Wertschöpfung, die Unternehmen mit Daten erzielen können.

Vor diesem Hintergrund ist schon vor Jahren die Idee eines „Dateneigentums“ entstanden. Dieser Ansatz ist nicht unproblematisch. Zwar könnte das bestehende Eigentumsrecht - Eigentum kann nach geltender Rechtslage nur an körperlichen Gegenständen bestehen oder begründet werden - so angepasst werden, dass es auf Daten und Datensammlungen, die keine Sachen (also Gegenstände) sind, anwendbar wäre. Allerdings ist Basis des Eigentumsrechts eine eindeutige und ausschließliche Zuordnungsmöglichkeit der Sache zu einer Person, und selbst personenbezogene Daten lassen sich nicht eindeutig und ausschließlich einer Person zuordnen, wie dies zB die Debatte um Fahrzeugdaten eindrucksvoll belegt. Bezogen auf Gegenstände ist dieses Ausschließlichkeitsrecht sinnvoll und praktikabel, bezogen auf Daten nicht. Ein Datum - eine gespeicherte Information - kann von beliebig vielen Personen gleichzeitig und zu ganz unterschiedlichen Zwecken verwendet werden, ohne dass eine gegenseitige Beeinträchtigung entsteht. Sobald ein Datum bekannt ist, kann die Verwendung auch nicht mehr verhindert werden. Wie sollte dann ein Recht an einem Datum nachgewiesen werden können? Einige der Kritikpunkte könnten möglicherweise durch den Ansatz der Datenhoheit oder Datensouveränität gelöst werden. Eine echte Datenhoheit kann ein Betroffener aber nur ausüben, wenn er Informationen darüber hat, welche Daten für welche Zwecke erhoben und eventuell an wen weitergeleitet werden. Dies gilt es in jedem Falle sicherzustellen.

Um die Datenhoheit oder Datensouveränität der betroffenen Personen im Umgang mit ihren Daten zu stärken und zugleich deren damit verbundene kommerzielle Interessen besser zu schützen, wird seit geraumer Zeit das Konzept des Datentreuhänders diskutiert. Dem folgend, soll es nun auch Aufgabe des künftigen Dateninstituts sein, Datentreuhändermodelle zu etablieren. Bislang gibt es keine einheitliche Definition von Datentreuhändern. Unstreitig dürfte sein, dass sie, wie es die zu diesem Thema im Auftrag des Bundesministeriums für Wirtschaft und Klimaschutz erstellte Kurzstudie vom Februar 2023 zum Ausdruck bringt, „als Vertrauensinstanz zwischen den Akteuren vermitteln, für einen fairen Ausgleich der widerstreitenden Interessen sorgen und damit Impulse für die Datenwirtschaft insgesamt geben sollen.“ Damit dieser ambitionierte Anspruch gelingen kann, wird es auch hier darauf ankommen, einen funktionsfähigen Rechtsrahmen auch in datenschutzrechtlicher Hinsicht zu setzen. Es kann an dieser Stelle dahinstehen, welche einzelnen Problemkreise dabei in den Blick genommen werden müssen. Ganz grundsätzlich wird zunächst zu klären sein, ob angesichts des Inhalts der DS-GVO einerseits und mit Blick auf die beabsichtigten Regelungen im Data Governance Act andererseits überhaupt Raum für diesbezügliche nationale Vorschriften gegeben ist.

Wenn es um Kompetenzen geht, ist damit zugleich ein Aspekt angesprochen, den die Gründungskommission dankenswerterweise nicht nur gesehen, sondern auch im Sinne bestehender Institutionen aufgegriffen hat. Ziel ist es demnach, Doppelstrukturen zu vermeiden, und das hat zwangsläufig zur Folge, dass der Datenschutz nicht als Handlungsfeld des Dateninstituts betrachtet werden darf. Datenschutz ist und bleibt die Aufgabe der Datenschutzaufsichtsbehörden auf Bundes- und auf Länderebene, und es gilt einen Weg zu finden, über den die Anliegen des Dateninstituts einerseits und die Forderungen des Datenschutzes andererseits in Einklang gebracht werden können. Die geradezu stereotyp geäußerte These, Datenschutz hemme die Digitalisierung, ist falsch und dient häufig nur dazu, von anderen Fehlern und Versäumnissen abzulenken. Bereits 2017 hat deshalb die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in ihrer Göttinger Erklärung „Vom Wert des Datenschutzes in der digitalen Gesellschaft“ v. 30.3.2017 sehr deutlich mit diesem Vorurteil aufgeräumt. Und dennoch werden die handelnden Akteure vor allem in Politik und Wirtschaft nicht müde, dieses vorgeschobene Argument immer dann zu äußern, wenn aus anderen rechtlichen oder technischen Gründen ein Projekt zu scheitern droht.

Ich will nicht falsch verstanden werden: Das Datenschutzrecht kann und muss fortentwickelt werden. Gerade für die Fragestellungen, denen ein Dateninstitut nachgehen soll, hält die DS-GVO keine Antworten bereit. Umso wichtiger wird es sein, auf die Expertise der Datenschutzaufsichtsbehörden zurückzugreifen. Momentan ist dies gerade bei Digitalisierungsprojekten leider noch viel zu selten der Fall. Die Expertise der Aufsichtsbehörden beschränkt sich eben nicht allein darauf, Recht anzuwenden und durchzusetzen. Vor allem seit Geltung der DS-GVO haben die Aufsichtsbehörden gezeigt, dass sie willens und in der Lage sind, das Datenschutzrecht innovationsfreundlich auszulegen und weiterzuentwickeln. Und deshalb ist es nur folgerichtig, dass in dem von der Gründungskommission geforderten „Akteursmapping“ die Aufsichtsbehörden bereits als wichtige Projektpartner identifiziert worden sind und die erforderliche Abstimmung mit ihnen als besonders wichtig eingestuft worden ist. Die Erfahrung hat gezeigt, dass Projekte immer dann gut und störungsfrei funktionieren, wenn der Datenschutz von Anfang an miteinbezogen wird.

Eine besondere Herausforderung dürfte allerdings die Art der Zusammenarbeit mit den Datenschutzaufsichtsbehörden darstellen. Nach dem Willen der Gründungskommission soll das Dateninstitut einen privilegierten Zugang zu den Aufsichtsbehörden erhalten und feste Ansprechpartner haben, die befugt sind, gemeinsam mit dem Dateninstitut eine bindende Lösung für die jeweiligen „use cases“ zu entwickeln. Dies entspricht vor dem Hintergrund der völligen Unabhängigkeit der Datenschutzaufsichtsbehörden weder den rechtlichen Gegebenheiten noch der gegenwärtigen Praxis. Mit der DSK besteht zwar ein Gremium, das sich in seiner Geschäftsordnung ausdrücklich dazu bekannt hat, Beschlüsse mit bindender Wirkung für alle Mitglieder der DSK zu fassen. Handelt es sich dabei aber um Mehrheitsentscheidungen, die als solche gegenwärtig nach der Geschäftsordnung ausdrücklich zulässig sind, kann jedes Mitglied der DSK, das der Mehrheitsentscheidung nicht zustimmt, zusätzlich zu seiner Stimmabgabe erklären, dass es sich dieser Bindung nicht unterwirft. Wie also soll in solchen Fällen sichergestellt werden, dass für die datenschutzrechtlichen Fragestellungen der jeweiligen „use cases“ gleichwohl die notwendige Bindung erzielt wird?

Dass einer Aufsichtsbehörde quasi Prokura erteilt und diese damit in die Lage versetzt wird, für alle anderen verbindlich zu entscheiden, ist bislang nicht das Mittel der Wahl innerhalb der Konferenz. Hier gilt es also, eine Lösung zu entwickeln, die allen Interessen gerecht wird. Ob dies in der Schnelligkeit gelingen wird, mit der die Bildung des Dateninstituts vorangetrieben werden soll, bleibt abzuwarten und dürfte auch die DSK vor neue Herausforderungen stellen. Letzten Endes wird es darauf ankommen, dass auch insoweit rechtliche Rahmenbedingungen geschaffen werden, die die gewollten und zugleich sinnvollen neuen Entscheidungsprozesse möglich machen. Der jetzige Zeitpunkt ist günstig. Mit der aktuell anstehenden Überarbeitung des BDSG hat der Gesetzgeber die Möglichkeit, die Weichen in die richtige Richtung zu stellen. Bleibt zu hoffen, dass diese Chance nicht vertan wird.