Datenschutz in Bearbeitung: Das HIIG und die General Data Protection Regulation
von Rüdiger Schwarz
Als im Januar diesen Jahres die EU Kommission ihren Verordnungsvorschlag für eine einheitliche Regelung des Datenschutzes vorstellte, konnte sie sich zumindest nicht über mangelnde Aufmerksamkeit beklagen.
Viele Einzelaspekte der Schaffung eines unmittelbar anwendbaren einheitlichen Rechtsrahmens auf EU Ebene, das Recht auf Vergessen, Datenportabilität, striktere Regelungen zur Verantwortlichkeit und zur Rechenschaftspflicht datenverarbeitender Unternehmen, ein erleichterter Zugang zu eigenen, personenbezogenen Daten und zahlreiche weitere Punkte werden seither sowohl in der Internetgemeinde als auch in den einzelnen öffentlichen Institutionen der EU-Mitgliedsstaaten intensiv diskutiert.
Die Erwartungshaltungen an einen modernen Datenschutz im 21. Jahrhundert sind dabei äußerst vielschichtig: Datenschutz muss auf die sich wandelnden Vorstellungen von Privatsphäre und Identitätsbildung eingehen und dabei gleichzeitig der Herausforderung gerecht werden, das Persönlichkeitsrecht mit den Freiheitsrechten in ein tragfähiges Verhältnis zu einander zu bringen.
Bei allen unterschiedlichen Ideen und Anknüpfungspunkten gibt es doch eine Grundannahme die -weitgehend- unumstritten ist, nämlich die der weiterbestehenden Relevanz von Datenschutz.
Verknüpft ist der Datenschutz oftmals mit einer -implizit oder explizit artikulierten- Schutzerwartung an öffentliche Stellen, dafür zu sorgen, dass eigene, persönliche Daten nicht in falsche Hände geraten (Datensicherheit) und dass darüber hinaus die Verarbeitung von personenbezogenen Daten nach Spielregeln abläuft, die sicherstellen, dass unsere Persönlichkeitsrechte gewahrt bleiben (Datenschutz).
Diese Schutzerwartung an den Staat besteht ungeachtet einer parallel existierenden Skepsis gegenüber den bestehenden politischen Strukturen und den Formen ihrer Entscheidungsfindung. Das Beispiel von ACTA hat dies erst jüngst wieder verdeutlicht.
So werden auch Ansprüche an den Staat gestellt, gegen Vorgänge wie z.B. im Fall der Firma Sony vorzugehen, die 2011 nicht in der Lage war, den illegalen Zugriff auf die personenbezogenen Daten von 37.000 Kunden zu verhindern. Und auch bei der Festlegung legitimer „Spielregeln“ für den Bereich der Datenverarbeitung, wird der Ruf nach öffentlichen Institutionen vor allem dann hörbar, wenn die betroffenen Akteure untereinander zu keiner einvernehmlichen Lösung gelangen können.
Nicht mehr umstritten ist, dass solche (Schutz-)Erwartungen in einem rein nationalen Kontext kaum mehr umgesetzt werden können. In unserem europäischen Kontext folgt daraus, dass zumindest europäische “Spielregeln” für Datensicherheit und Datenschutz aufzustellen und durchzusetzen sind. Die europäische Antwort darauf ist der Vorschlag der EU Kommission vom Januar diesen Jahres zu verstehen, der den etwas sperrigen Titel General Data Protection Regulation trägt. Diese Grundverordnung soll die bisherige Datenschutzrichtlinie aus dem Jahr 1995 ersetzen, aus einer Zeit also, in der weniger als 1% der europäischen Bevölkerung das Internet nutzten, während heute über 500 Million Europäer online sind. Die Zahl der Internetnutzer in Europa hat dabei allein in den letzten fünf Jahren um 56% zugenommen.
Eine zentrale Neuerung, mit der auf diese grundlegenden Veränderungen reagiert werden soll, besteht darin, dass nicht mehr das Instrument einer Richtlinie sondern das einer Verordnung gewählt wurde. Der Unterschied zwischen diesen Arten von Rechtsakten liegt darin, dass eine Richtlinie nur hinsichtlich der geregelten Ziele, verbindlich ist und innerstaatlich umgesetzt werden muss (Art. 288 Abs. 3 AEUV), während Verordnungen unmittelbar gelten (Art. 288 Abs. 2 AEUV), wie ein Gesetz. Durch sie kann eine einheitliche Beurteilung von Datenschutzproblemen EU-weit sichergestellt werden.
Wann und ob die Datenschutz-Grundverordnung in der aktuellen Form in Kraft tritt, ist aber noch offen. Anzunehmen ist, dass die Diskussionsprozesse zwischen den Mitgliedstaaten und der EU Kommission weitere 1-2 Jahre dauern werden.
Das Alexander von Humboldt Institut für Internet und Gesellschaft will den Prozess der Diskussion und Verabschiedung der Verordnung, der auch verknüpft ist mit grundsätzlichen Debatten über Datenschutz, Privatsphäre und Identitätsbildung, wissenschaftlich in zwei Schritten begleiten.
In einem ersten Schritt haben wir dazu zusammen mit dem Innenministerium im August drei Workshops zu einzelnen Themenaspekten aus dem Verordnungsentwurf veranstaltet, deren Ergebnisse im Oktober auf einer Datenschutzkonferenz mit Beteiligung des Bundesinnenministers präsentiert und weiter diskutiert wurden.
In den Workshops, an denen Vertreter aus Wissenschaft, Politik und der Wirtschaft beteiligt waren, wurden dabei folgende Themengebiete intensiv diskutiert:
- Besonderen Gefährdungen für das Persönlichkeitsrecht und Möglichkeiten der Umsetzung eines effektiven Datenschutzes in diesem Bereich, verknüpft mit der Frage nach welchen Kriterien solche (potentiellen) Gefährdungen definiert sein sollten.
- Formen privater und alltäglicher Datenverarbeitung. Diskutiert wurde dabei, wie sich der Terminus Alltägliche Datenverarbeitung sinnvoll definieren lässt und wie vermieden werden kann, dass eher “triviale” Formen der Nutzung personenbezogener Daten (z.B. das Anlegen einer Kundenliste in einem Handwerksbetrieb) unter eine übertrieben komplexe oder zu weitreichende Datenschutzregelung fallen.
- Formen regulierter Selbstregulierung. In diesem Zusammenhang ging es um die Frage, ob bei der Konkretisierung von generellen/abstrakten -nationalen wie europäischen- Regelungen den betroffenen Akteuren (stakeholdern) eine Möglichkeit gegeben werden sollte, Detailregelungen eigenständig untereinander auszuhandeln, und wie -und von wem- solche Verhandlungsergebnisse garantiert und durchgesetzt werden können.
Eine Zusammenfassung und Analyse der Workshopergebnisse und der dort geführten Debatten wurden im Oktober auf der Datenschutzkonferenz präsentiert und der Öffentlichkeit zugänglich gemachen.
Die Ergebnisse der Tagung selbst werden im zweiten Schritt den Ausgangspunkt eines längerfristig angelegten Forschungsprojekts zum Datenschutz des 21. Jahrhunderts bilden, dessen Konturen und Ziele noch festzulegen sind. Anregungen sind jederzeit willkommen!
Jetzt anmelden und die neuesten Blogartikel einmal im Monat per Newsletter erhalten.
Forschungsthemen im Fokus
Plattformdaten und Forschung: Zugangsrechte als Gefahr für die Wissenschaftsfreiheit?
Neue Digitalgesetze gewähren Forschenden Zugangsrechte zu Plattformdaten, doch strikte Vorgaben werfen Fragen zur Wissenschaftsfreiheit auf.
Beschäftigte durch Daten stärken
Arbeitsplätze werden zunehmend datafiziert. Doch wie können Beschäftigte und Gewerkschaften diese Daten nutzen, um ihre Rechte zu vertreten?
Zwei Jahre nach der Übernahme: Vier zentrale Änderungen im Regelwerk von X unter Musk
Der Artikel beschreibt vier zentrale Änderungen im Regelwerk der Plattform X seit Musks Übernahme 2022 und deren Einfluss auf die Moderation von Inhalten.