Möglichkeitskorridore

ZD 2024, 601   Datenschutz hat ein Akzeptanzdefizit, jedenfalls in Teilen der Gesellschaft. Nach einer neuen Bitkom-Umfrage sehen 63% der Unternehmen in Deutschland innovative Projekte als am Datenschutz gescheitert oder gar nicht erst aufgenommen (Bitkom v. 1.10.2024, Dehmel, Wo steht die deutsche Wirtschaft beim Datenschutz?, S. 14, abrufbar unter: https://www.bitkom.org/sites/main/files/2024-09/241001-Bitkom-Charts-Datenschutz-final.pdf). In einer Vorjahresumfrage beklagen 82% der Unternehmen eine Rechtsunsicherheit bei den Vorgaben und der Umsetzung der DS-GVO (Bitkom v. 5.10.2023, Dehmel, Wo steht die deutsche Wirtschaft beim Datenschutz?, S. 8, abrufbar unter: https://www.bitkom.org/Presse/Presseinformation/5-Jahre-DS-GVO-nur-Note-ausreichend#). In politischen Papieren findet sich zunehmend die Forderung nach weniger Datenschutz (Grundsatzprogramm der CDU 2024, S. 53, abrufbar unter: https://www.grundsatzprogramm-cdu.de/grundsatzprogramm) oder gar nur einer einzigen Datenschutzaufsichtsbehörde in Europa (BMWK, Aktionsplan E-Commerce v. 6.9.2024, S. 3, abrufbar unter: https://www.bmwk.de/Redaktion/DE/Downloads/A/aktionsplan-e-commerce.html). Von der KI-Aufsicht ist für die Datenschutzaufsichtsbehörden nichts übriggeblieben und meiner Behörde droht die Aufsicht über die Nachrichtendienste entzogen und auf den unabhängigen Kontrollrat verlagert zu werden. Ob ggf. etwas von der Parlamentsaufsicht, die nach einem Urteil des EuGH aus 2024 (EuGH ZD 2024, 269 mAnm Schild) in jedem Mitgliedstaat erforderlich ist, für die Datenschutzaufsichtsbehörden übrigbleibt, steht derzeit noch in den Sternen. Keine guten Zeiten für den Datenschutz. Woher kommt diese Unzufriedenheit mit dem Schutzinstrument für das einst so hart erkämpfte Recht auf informationelle Selbstbestimmung? Das liegt meines Erachtens an drei Dingen:

# Erstens liegt es daran, dass die DS-GVO noch sehr jung ist und dass sie viele unbestimmte Rechtsbegriffe beinhaltet, die auslegungsbedürftig sind, sowie eine Vielzahl von Abwägungsklauseln. Und auch wenn es zunehmend höchstrichterliche Rechtsprechung gibt, so hinterlassen manche Entscheidungen des EuGH doch letztlich mehr Rechtsunsicherheit als sie Rechtssicherheit herbeigeführt haben. Exemplarisch dafür lässt sich etwa das SCHUFA-Urteil aus dem vergangenen Jahr (EuGH ZD 2024, 157 mAnm Söbbing/Schwarz und mAnm Schild) heranziehen, das die Bildung eines Scorewerts als vollständig automatisierte Einzelfallentscheidung einordnete, wenn der Scorewert einer Kreditentscheidung „maßgeblich zugrunde gelegt wird“. Wann aber von einer solchen maßgeblichen Zugrundelegung auszugehen ist, dazu schweigt der EuGH. Auslegungshilfen, wie Leitlinien der nationalen und europäischen Datenschutzaufsichtsbehörden, werden ebenfalls zahlreicher. Am 8.10.2024 wurden zB die Leitlinien zum berechtigten Interesse nach Art. 6 Abs. 1 lit. f DS-GVO vom Europäischen Datenschutzausschuss (EDSA) verabschiedet. Aber auch die Datenschutzaufsichtsbehörden können nicht zaubern: Auslegung und Abstimmung von Ansichten zwischen Bundesländern und Mitgliedstaaten braucht Zeit. Zeit, die Wirtschaft, Forschung und Gesetzgeber kaum haben, um den Anschluss in der Digitalwirtschaft nicht zu verpassen.

Die Auslegungs- und Ausfüllungsbedürftigkeit der DS-GVO soll einzelfallgerechte Entscheidungen ermöglichen, verursacht zugleich aber Rechtsunsicherheit, die häufig als Risiko für Digitalisierungsprojekte wahrgenommen wird. Diese Rechtsunsicherheit wird noch verstärkt durch die Digitalrechtsakte, denen jede Abstimmung mit der DS-GVO fehlt (Specht-Riemenschneider ZEUP 2023, 638 (670); Steinrötter GRUR 2023, 216). Auf europäischer Ebene wird derzeit mit Nachdruck an einer neuen Verfahrensordnung zur Abstimmung der europäischen Datenschutzaufsichtsbehörden untereinander gearbeitet, aber auch eine noch so gute Verfahrensordnung wird das Grundproblem der Abwägungsoffenheit und Auslegungsbedürftigkeit einer „Grundverordnung“ nicht beseitigen, sondern allenfalls einhegen.

Ich wünsche mir einen Gesetzgeber, der hier Verantwortung übernimmt und klarer definiert, welche Datenverarbeitungen wann zulässig sein sollen und welche eben nicht.

# Das Akzeptanzdefizit des Datenschutzrechts ist zweitens darauf zurückzuführen, dass die Einwilligung häufig auch dort für die beste Datenverarbeitungsgrundlage gehalten wird, wo Einwilligungslösungen an ihre Grenzen stoßen, zB weil die erforderliche Informationsgrundlage nicht vorliegt oder Netzwerkeffekte dazu führen, dass sich Betroffene gezwungen fühlen, einen Dienst zu nutzen. Aus dem Verbraucherschutzrecht der 60er- und 70er-Jahre wissen wir, dass die für die Einwilligung erforderliche Informationsgrundlage schlicht nicht vorliegt, wenn zu viele Informationen gegeben werden. Wenn Sie alle Datenschutzerklärungen aller Webseiten lesen würden, auf denen Sie surfen, dann würde Sie das nach einer Untersuchung aus dem Jahr 2023 (NordVPN, Studie v. 23.10.2023, abrufbar unter: https://nordvpn.com/de/blog/nordvpn-studie-datenschutzrichtlinien-lesen/) mehr als 70 Stunden im Monat und damit mehr als eine ganze Arbeitswoche kosten. Das kann nicht funktionieren (Stiftung Datenschutz, Neue Wege bei der Einwilligung im Datenschutz - technische, rechtliche und ökonomische Herausforderungen, abrufbar unter: https://stiftungdatenschutz.org/fileadmin/Redaktion/Video/Fremdveranstaltungen/PIMS-Abschluss-Studie-30032017/stiftungdatenschutz_broschuere_20170611_01.pdf, S. 7). Rationalitätsdefizite bei der Nutzung häufig rechtswidrig agierender Plattformen, die sich darin zeigen, dass wir Kurzfristnutzen regelmäßig überschätzen und Langfristrisiken regelmäßig unterschätzen, tun ihr Übriges (Buchner/Petri, Informationelle Menschenrechte und digitale Gesellschaft/Specht-Riemenschneider, 2023, S. 77).

# Drittens ist das Akzeptanzdefizit des Datenschutzrechts aber auch nicht unwesentlich darauf zurückzuführen, dass Datenschutz falsch kommuniziert wird. Die DS-GVO ist nie angetreten, um Datenverarbeitungen gänzlich zu verhindern. Ganz im Gegenteil: Sie sucht den Grundrechtsausgleich und stellt dabei Anforderungen an Datenverarbeitungen. Es ist mir ein Anliegen, Datenschutz wieder positiver zu denken. Zu zeigen, dass Digitalisierung und Datenschutz zusammengedacht werden können und müssen. Dass effektiver Grundrechtsschutz und lösungsorientierter Datenschutz einander nicht ausschließen.

Datenschutzpolitisch müssen wir uns meines Erachtens vor allem darauf fokussieren, Datenkonzentration in der Hand weniger zu verhindern und aufzulösen. Das gilt für private und staatliche Akteure gleichermaßen. Denn Datenkonzentration in der Hand weniger erlaubt Überwachung. Überwachung oder auch nur die Gefahr von Überwachung führt zu angepasstem Verhalten, das einer Demokratie nicht zuträglich ist. Ich möchte daher so weit gehen zu sagen, dass richtig gedachter Datenschutz unabdingbare Voraussetzung für eine Demokratie und einen Rechtsstaat ist.

Jetzt bin ich aber keine Politikerin, sondern leite eine Aufsichtsbehörde.

In dieser Funktion habe ich mir für meine Amtszeit ein strategisches und drei inhaltliche Ziele gesetzt:

# Strategisch will ich noch früher und noch intensiver in den Dialog mit Gesellschaft und Gesetzgeber, Forschung und Wirtschaft gehen, um eine grundrechtssensible Digitalisierung zu ermöglichen. Ich möchte zuhören, erklären und mitnehmen. Ich möchte Lösungen anbieten.

Dabei ist klar, dass es rote Linien im Datenschutzrecht gibt. Hier werden wir weiterhin sehr deutlich und konsequent die Einhaltung des informationellen Selbstbestimmungsrechts einfordern. Aber unterhalb dieser roten Linien gibt es vielfältige Lösungsmöglichkeiten, die eine Digitalisierung im Einklang mit den rechtlichen Vorgaben zulassen. Es ist die gemeinsame Verantwortung von Politik und Aufsicht, regulatorische Lösungen für Forschung und Entwicklung, Innovation und Wertschöpfung anzubieten, die mit den europäischen Grundrechten im Einklang stehen. Drei Themenfelder werde ich in meiner Amtszeit besonders in den Fokus nehmen: Gesundheit, Künstliche Intelligenz (KI) und Sicherheit.

# Im Gesundheitsbereich wird es darum gehen, eine sichere und barrierefreie elektronische Patientenakte zu begleiten und einen effektiven und zugleich vertrauensvollen Forschungsdatenzugang zu gewährleisten. Das Forschungsdatenzentrum am BfArM wird eine elementare Rolle bei der zukünftigen Gewährleistung von Forschungsdatenzugang für die Praxis spielen. Ich möchte dieses Vorhaben zusammen mit meiner Behörde konstruktiv-kritisch begleiten. Datenschutz und Digitalisierung werden gerade im Gesundheitsbereich noch immer viel zu sehr gegeneinander gedacht. Ich möchte dazu beitragen, dass sich das ändert. Patientinnen und Patienten, Ärztinnen und Ärzte werden wir dabei nur mitnehmen können, wenn Datenschutz, IT-Sicherheit und Nutzerfreundlichkeit gleichermaßen gewährleistet werden.

KI bietet große Chancen, etwa durch die Analyse großer Datenmengen zur Verbesserung von Diagnosen und Therapien. Allerdings bergen die zugrunde liegende Technologie und ihre Anwendung auch erhebliche Datenschutzrisiken. Ich werde alles tun, was uns als Aufsichtsbehörde möglich ist, um eine vertrauenswürdige und grundrechtsorientierte KI-Landschaft zu ermöglichen. Zur Innovationsförderung würde ich sehr gern KI-Reallabore einrichten, in denen KI-Systeme unter unserer aktiven Begleitung und ständigen Aufsicht erprobt und anschließend datenschutzkonform in die reale Welt entlassen werden.

# Nicht zuletzt will ich auch im Sicherheitsbereich mehr Dialog, Austausch und Beratung. Der Preis für unsere Sicherheit darf nie unsere Freiheit sein. Datenschutz ist bei Nachrichtendiensten und Polizeien von besonderer Bedeutung, da hier oft hochsensible Daten verarbeitet werden und das Risikopotenzial eines falschen Verdachts unschuldiger Bürgerinnen und Bürger mit jedem erhobenen Datum und erst recht mit jeder automatisierten Analyse steigt.

Gleichzeitig ist völlig klar, dass die Sicherheit der Bevölkerung und des Staates unbedingt gewährleistet werden müssen. ZB indem Sicherheitsbehörden die erforderlichen Datenerhebungen und -verarbeitungen vornehmen können, um terroristische Anschläge zu verhindern. Wir brauchen ein Gleichgewicht zwischen Überwachungsmaßnahmen zur Gewährleistung der inneren und äußeren Sicherheit und dem Schutz der Bürgerinnen und Bürger im Hinblick auf ihre Freiheitsrechte.

Auf den Punkt gebracht: Mein strategisches Ziel ist es, die Dialog- und Beratungskompetenz meiner Behörde stärker in den Mittelpunkt zu stellen als bislang - und zwar mit dem Fokus auf die Themen Gesundheit, KI und Sicherheit. Ich werbe noch stärker als bisher für einen Datenschutz, der rote Linien klar aufzeigt, aber unterhalb dieser roten Linien konstruktive Lösungen, einen Korridor des Möglichen, anbietet. Ich wünsche mir deshalb auch sprachlich einen „lösungsorientierten Datenschutz“, der die Funktionsfähigkeit unserer freiheitlichen, demokratischen Gesellschaft gewährleistet und der daher für grundrechtsorientierte und gleichzeitig praktikable digitale Lösungen zur Verfügung steht.