Interviewzusammenfassung Andreas Krisch
Interviewzusammenfassung Andreas Krisch
Mit dem Projekt 360°-Sicht Datenschutz-Grundverordnung trägt die Ohu Digitale Privatheit und Öffentlichkeit dazu bei, dass die möglichen Auswirkungen dieses sehr komplexen Gesetzentwurfes vereinfacht dargestellt und somit besser verstanden werden können. Dafür wurden Interviews mit Experten aus allen Stakeholder-Gruppen durchgeführt und die Ergebnisse auf einer gesonderten Projektwebseite aufbereitet. Zur Vorstellung der Ergebnisse wurde außerdem Abendveranstaltung durchgeführt und eine Podcast-Reihe veröffentlicht.
Inhaltsverzeichnis |
Einwilligung der Nutzer
Welche Bedeutung sollte die Einwilligung der Nutzer zukünftig haben? In welchen Bereichen sollte sie wie angewendet werden?
Datenverarbeitung auf Basis der Einwilligung durch Betroffene wird zukünftig immer schwieriger werden. So fehlen z. B. Userinterface zum Einholen der Einwilligung beim “Internet der Dinge”. Vor diesem Hintergrund sollen andere Instrumente gestärkt werden. Das sind einerseits eine starke Zweckbindung erhobener Daten, festgehalten in dem Vertrag den Betroffene mit dem Vertragspartner schließen. Andererseits müssen die Möglichkeiten zur Anonymisierung von Daten weiterentwickelt und in der DSGV geregelt werden. Das Instrument des “berechtigten Interesses” ist in diesem Zusammenhang nicht anwendbar. Die Datenverarbeitung kann ausreichend über vertragliche Vereinbarungen, die Einwilligung der Betroffenen oder gesetzliche Vorgaben geregelt werden.
Rolle der Aufsichtsbehörden
Welche Rolle sollten die Aufsichtsbehörden zukünftig spielen?
Datenschutzbehörden müssen eu-weit und national mit ausreichend Ressourcen ausgestattet sein, um das dann geltende Recht durchsetzen zu können. Aktuell sind die Behörden i.d.R. nicht ausreichend ausgestattet und bereits bestehendes Recht wird nicht durchgesetzt. Die Datenschutzbehörden müssen im öffentlichen UND nicht-öffentlichen Bereich zusätzlich unabhängig arbeiten können. Die Umsetzung der Datenschutzgesetze in den Ländern sollte zukünftig durch nationale Datenschutzbehörden gewährleistet werden. Bei eu-weiten Themen und Dienstleistungsangeboten müssen Mechanismen zur Abstimmung und Verabschiedung gemeinsamer Vorgehensweisen genutzt werden, damit nicht wieder wie derzeit ein Flickenteppich entsteht.
Recht auf Vergessenwerden
Wie kann ein Recht auf Vergessenwerden ausgestaltet sein? Auf welche Bereiche sollte es angewendet werden?
Das Recht auf Vergessenwerden ist bereits heute durch bestehende Vorgaben zur Zweckbindung von Daten und das Recht auf Löschung umgesetzt. Der Focus sollte darauf gelegt werden, diese Rechte für den Betroffenen leicht umsetzbar zu machen und ihm bei Verstößen Sanktionsmöglichkeiten an die Hand zu geben. Das Recht auf Vergessen konkurriert in Teilbereichen mit dem Recht auf Informationsfreiheit. Beispielsweise wird ein Meinungsbildungsprozess über Dialoge nicht mehr transparent und nachvollziehbar, wenn ein Teil de Dialoge gelöscht werden müsste.
Übermittlung in Drittländer
Was sollte bei der Übermittlung von Daten in Drittländer geregelt werden?
Datenübermittlung in Drittländer sollte dann möglich sein, wenn dort ein umfassendes ausreichendes Schutzniveau vorhanden ist. Dazu gehören wirksame Kontroll- und Sanktionsmechanismen, zu denen auch Vertreter der Länder, aus denen die Daten stammen, Zugang haben. Der Einsatz von in der DSGV vorgeschlagenen Binding Corporate Rules ist in diesem Zusammenhang nicht geeignet. Dort fehlen die Kontroll- und Sanktionsmöglichkeiten durch die Datenschutzbehören und sie sind so nur begrenzt verbindlich. Sofern Anbieter aus Drittländern in der EU tätig werden wollen, müssen Sie sich entsprechend der DSGV auf die Einhaltung der hiesigen Datenschutzvorgaben verpflichten. Andernfalls gibt es keinen Marktzugang.
Öffentliche-/ nich-öffentliche Stellen
Worin sehen Sie die Unterschiede zwischen Datenschutz in öffentlichen und nicht-öffentlichen Stellen?
Grundrecht auf Schutz persönlicher Daten gilt für beide Sektoren gleichermaßen. Eine getrennte Regelung ist deshalb nicht sinnvoll. Besonderheiten im öffentlichen Sektor können über Ausnahmeregelungen berücksichtigt werden. Im Speziellen müssen die Befugnisse und Sanktionsmöglichkeiten der Datenschutzbehörden im nicht öffentlichen Sektor genauso umfangreich sein, wie im öffentlichen Bereich. Die aktuellen Vorschläge schränken die Befugnisse der Datenschutzbehörden im öffentlichen Bereich zu weit ein.
Datenportabilität
Welche Bedeutung messen Sie dem Recht auf Datenportabilität bei?
Das Thema ist wichtig und stärkt den Konsumenten, der Wettbewerb von Anbietern wird gefördert. Es ist jedoch kein Thema, welches im der DSGV gesondert geregelt werden sollte. Die Regelungen sind eher im Wettbewerbsrecht oder anderen Rechtsgebieten anzusiedeln.
Profiling
Wie und wofür sollte Profiling reguliert werden? Wenn es nicht reguliert werden sollte, warum nicht?
Im Bereich Profiling ist eine starke Regulierung nötig. Die Aussagekraft der Daten wird immer größer, besonders die Kombination mehrerer Datenbestände erzeugt immer mehr Wissen über den Einzelnen. Bei der Zusammenführung von Daten über den eigentlichen Zweck der Datenerfassung hinaus muß es eine informierte Einwilligung des Betroffenen geben. Wichtig in diesem Themenbereich ist die Verpflichtung zur Offenlegung der zum Einsatz kommenden Algorithmen. Besonders im Bereich der Strafverfolgung und Vorratsdatenspeicherung muß das Profiling und die Arbeit mit Wahrscheinlichkeiten genau geregelt sein. Unschuldige dürfen deshalb nicht als Verdächtige gelten. Profiling birgt besonders im nicht öffentlichen Bereich, wie Versicherungen, die Gefahr, das damit das dem gesellschaftlichen Zusammenleben zurgrundeliegende Solidarprinzip abgeschafft wird.
Informations- und Meinungsbildung
Welches Auswirkungen hat aus Ihrer Sicht die zukünftige Datenschutzgrundverordnung auf die Informations- und Meinungsbildungsprozesse?
Wichtig ist hier, dass Betroffene selbst entscheiden, wann sie die Grenze zwischen privater Kommunikation und Veröffentlichung überschreiten. Diese Grenze müssen Betroffene mit vertretbaren Aufwand erkenne können und Werkzeuge zur Steuerung der Kommunikation angeboten bekommen. Facebook ist hier Negativbeispiel, da die Grenze nicht eindeutig ist und immer wieder durch Änderungen in den Datenschutzeinstellungen willkürlich verschoben wird.
Weitere Punkte
Welche oben nicht angesprochenen Themenbereiche sind Ihnen bezüglich der zukünftigen Datenschutzgrundverordnung noch wichtig mitzuteilen?
Der Fokus im Thema Umsetzung von Datenschutzvorgaben sollte im “Privacy by desgin” bzw. “Privacy by Default” liegen. Ausgestaltung technischer Lösungen in Verbindung mit wirksamen Sanktionen gegen Verstöße sind die Erfolgsfaktoren. Ergänzt werden sie durch standardisierte Datenschutz Impact Assesment Center, die risikoreiche von risikoarmen Datenverarbeitungen unterscheiden helfen. Organisatorische Maßnahmen zum Datenschutz wie z.B. die Einwilligung verlieren aufgrund des technischen Fortschritts an Bedeutung.
Das deutsche System der Datenschutzbeauftragten sollte europaweit umgesetzt werden. Das Vorhandensein eines Datenschutzbeauftragten sollte zusätzlich oder alternativ an der Kundenzahl des Unternehmens festgemacht werden.
Außerdem von Andreas Krisch: Das Internet: Werkzeug der Demokratie, Abbild der realen Welt in MIND 5 - Internet und Demokratie
