Interviewzusammenfassung Gerrit Hornung
Interviewzusammenfassung Gerrit Hornung
Mit dem Projekt 360°-Sicht Datenschutz-Grundverordnung trägt die Ohu Digitale Privatheit und Öffentlichkeit dazu bei, dass die möglichen Auswirkungen dieses sehr komplexen Gesetzentwurfes vereinfacht dargestellt und somit besser verstanden werden können. Dafür wurden Interviews mit Experten aus allen Stakeholder-Gruppen durchgeführt und die Ergebnisse auf einer gesonderten Projektwebseite aufbereitet. Zur Vorstellung der Ergebnisse wurde außerdem Abendveranstaltung durchgeführt und eine Podcast-Reihe veröffentlicht.
Inhaltsverzeichnis |
Einwilligung der Nutzer
Welche Bedeutung sollte die Einwilligung der Nutzer zukünftig haben? In welchen Bereichen sollte sie wie angewendet werden?
Die Einwilligung hat sehr große Bedeutung und ist das wichtigste Instrument zur Umsetzung der informationellen Selbstbestimmung durch Betroffene. In einigen Lebensbereichen wie in der Zusammenarbeit mit Behörden oder in einem Arbeitsverhältnis besteht allerdings das Risiko, dass sie dem Betroffenen abgenötigt wird. In diesen Bereichen sollten die Datenschutzrechte und Pflichten der beteiligten Parteien durch eine Kombination von gesetzlichen, vertraglichen und Einwilligungsregelungen geregelt werden. Der komplette Ausschluss von Einwilligungen ist auch für diese Bereiche nicht anstrebenswert, es können aber typisierte Drucksituationen geregelt werden. Sofern vertragliche Vereinbarungen als Alternative zur Einwilligung zum Tragen kommen, bleiben die Rechte der Betroffenen solange gewahrt, wie Vertragszweck, Leistung und Gegenleistung genau spezifiziert sind und nicht auf eine Generalvollmacht zur Datenverarbeitung hinauslaufen. Das berechtigte Interesse als Grundlage für die Datenverarbeitung ist dagegen sehr kritisch zu sehen. Hier besteht das Risiko, dass die Schutzmechanismen der Datenschutzverordnung dadurch ausgehebelt werden, dass sich für nahezu alle Arten der Datenverarbeitung ein berechtigtes Interesse herleiten lässt.
Rolle der Aufsichtsbehörden
Welche Rolle sollten die Aufsichtsbehörden zukünftig spielen?
Die Rolle der Aufsichtsbehörden darf in der Datenschutzgrundverordnung nicht hinter die bestehenden Regelungen zurückfallen. Ein größeres Augenmerk sollte auf Funktionserweiterungen hin zur Beratung und proaktiven Tätigkeiten gelegt werden. Es muss sichergestellt sein, dass die Behörden über ausreichende Ressourcen verfügen. Für den Fall, dass große Unternehmen ihren Sitz in kleinen Ländern wählen, müssen dort überproportional viele Ressourcen aufgebaut werden. Nur dann ist das Konzept des One-Stop-Shopping umsetzbar und zu rechtfertigen. Die Zuständigkeiten der Behörden für Unternehmen und Betroffene müssen eindeutig geregelt werden. Der durch die Kommission vorgeschlagene Kohärenzmechanismus ist nicht akzeptabel. Die EU-Kommission als letzte Instanz zum Thema Datenschutz ist einerseits keine unabhängige Behörde und andererseits demokratisch nicht ausreichend legitimiert. Ein unabhängiges europäisches Aufsichtsgremium etwa in Fortentwicklung der Art. 29-Gruppe ist hier denkbar. Beim sogenannten One-Stop-Shop sollte es eine federführende Behörde geben, die andere Behörden im Rahmen von Anhörungen einbezieht, jedoch die alleinige Entscheidungsbefugnis hat. Zukünftig ist ein europäisches Aufsichtsgremium denkbar, welches die Funktion bei europaweit tätigen Unternehmen ausfüllt.
Recht auf Vergessenwerden
Wie kann ein Recht auf Vergessenwerden ausgestaltet sein? Auf welche Bereiche sollte es angewendet werden?
Der Verordnungsentwurf wird aus normativer Sicht dem Begriff „Recht auf Vergessen“ nicht gerecht und birgt deshalb die Gefahr von Missverständnissen. Die Praxistauglichkeit wird zusätzlich noch durch die „Zumutbarkeitsregel“ eingeschränkt. Darüber hinaus regeln die bereits vorhandenen Rechte auf Löschung und die Pflicht zur Weiterleitung des Löschbegehrens an die Stellen, an die Daten übermittelt worden sind, diesen Themenbereich ausreichend.
Übermittlung in Drittländer
Was sollte bei der Übermittlung von Daten in Drittländer geregelt werden?
Bei der Klärung der Bedingungen für die Datenübermittlung in Drittstaaten ist es besonders wichtig, dass Europa mit einer Stimme spricht und so seine Verhandlungsposition stärkt. Neben der unstrittigen Pflicht zur Einhaltung von Mindeststandards bei der Datenübermittlung in ein Drittland ist auch darauf zu achten, dass die EU mit der Datenschutzgrundverordnung keinen „Rechtsimperialismus“ betreibt. Bei der Feststellung und Einforderung von Mindeststandards, wie Transparenzregeln und technisch-organisatorische Maßnahmen ist die Durchsetzung der Betroffenenrechte für die Personen aus dem Herkunftsland der Daten im Drittland sehr schwierig. Auch die Verpflichtung und Kontrolle der gerichtlichen Durchsetzung von Datenschutzbestimmungen ist problematisch und lässt sich nicht allein über die Datenschutzgrundverordnung regeln. Ein Notnagel für die Anerkennung des Datenschutzniveaus in Drittländern kann die Selbstverpflichtung von Unternehmen sein. Das Safe Harbor Abkommen zeigt die dabei entstehenden Probleme auf. Corporate Binding Rules sind nur dann wirksam durchsetzbar, wenn der Konzern einen Sitz in der EU hat hat.
Öffentliche-/ nich-öffentliche Stellen
Worin sehen Sie die Unterschiede zwischen Datenschutz in öffentlichen und nicht-öffentlichen Stellen?
Die Bereiche unterscheiden sich darin, dass nicht öffentliche Stellen Träger von Grundrechten sind, öffentliche Einrichtungen hingegen nicht. Dies führt aber nicht dazu, dass nicht-öffentliche Stellen gegenüber heute erweiterte Verarbeitungsbefugnisse erhalten müssen. Beide Bereiche sollten in einer gemeinsamen Datenschutzgrundverordnung geregelt werden. Dadurch wird verhindert, dass unterschiedliche datenschutzrechtliche Schutzniveaus entstehen. Zusätzlich zeichnet sich ab, dass die Datenverarbeitung beider Bereiche wie bei der Vorratsdatenspeicherung immer mehr verschmilzt. Staatliche und unternehmerische Datenverarbeitung haben inzwischen ein ähnliches Risikoniveau. Die Privilegierung einer der beiden Seiten ist nicht erstrebenswert. Auch aus der Sicht der Betroffenen ist nicht ersichtlich, warum es unterschiedliche Regelungen geben soll. Für den nicht-öffentlichen Bereich sollte es jedoch Raum für nationale Spezialregeln, wie den Sozialdatenschutz geben. Richtig ist, dass die rein private und familiäre „Datenverarbeitung“ weiterhin komplett ausgenommen werden soll; die Problematik besteht allerdings in der Frage, wann dieser Bereich überschritten wird.
Datenportabilität
Welche Bedeutung messen Sie dem Recht auf Datenportabilität bei?
Hier formuliert die Datenschutzgrundverordnung ein neues Recht, das besonders auf soziale Netzwerke bezogen scheint. Es steht im Zusammenhang mit dem Recht auf Vergessen und sein Vorläufer ist im Auskunftsrecht zu sehen. Ob es damit gelingt, den aus den Kontaktnetzwerken resultierenden Lock In-Effekt in sozialen Netzwerken zu überwinden ist fraglich. Es bestehen starke Wechselbeziehungen zum Wettbewerbsrecht und deshalb ist die Frage nur bedingt aus der Sicht des Datenschutzrechtes zu lösen. Verpflichtungen zur Schaffung der Möglichkeit von z.B. anbieterübergreifender Kontaktnetzwerke sind hier als Zusatzverpflichtung denkbar.
Profiling
Wie und wofür sollte Profiling reguliert werden? Wenn es nicht reguliert werden sollte, warum nicht?
Verhaltens- und Persönlichkeitsprofile werden zukünftig eine der größten Baustellen des Datenschutzrechtes sein. Profilbildung kann zugunsten der Betroffenen stattfinden oder diskriminierende Auswirkungen haben. Profilbildung zugunsten der Betroffenen sollte an die Einwilligung gekoppelt sein, wobei auf Freiwilligkeit und Informiertheit besonders zu achten ist. Profilbildung mit dem Risiko der Diskriminierung muss gesetzlich reguliert sein. Hinter die Regelungen zu automatisierten Einzelentscheidungen darf die Datenschutzgrundverordnung nicht zurückfallen. Zusätzlich sind Regelungen zur Transparenzpflicht über die verwendeten Algorithmen notwendig. Diese Pflicht muss gegen das Interessen der Unternehmen zur Wahrung von Geschäftsgeheimnissen abgewogen werden.
Informations- und Meinungsbildung
Welches Auswirkungen hat aus Ihrer Sicht die zukünftige Datenschutzgrundverordnung auf die Informations- und Meinungsbildungsprozesse?
Datenschutz und Informations- und Meinungsbildungsprozesse stehen in einem permanenten Grundkonflikt zueinander. Dieser kann auch durch die Datenschutzgrundverordnung nicht aufgelöst werden. Die Gesellschaft ist einerseits darauf angewiesen, dass sich Personen unbeobachtet bewegen und entfalten können und anderseits funktionierende und transparente Informations- und Meinungsbildungsprozesse stattfinden. Am Fall „Spickmich“ ist deutlich geworden, dass beide Rechtsbereiche noch nicht ausreichend aufeinander abgestimmt sind. Erschwerend kommt aus europäischer Sicht dazu, dass die Datenschutzgrundverordnung eine europäisch einheitliche Regelung zum Datenschutz ist, das Thema Informations- und Meinungsbildungsprozesse jedoch vorwiegend über Öffnungsklauseln den Mitgliedstaaten überantwortet wird. Die Datenschutzgrundverordnung muss beide Interessen möglichst ausgeglichen berücksichtigen.
Weitere Punkte
Welche oben nicht angesprochenen Themenbereiche sind Ihnen bezüglich der zukünftigen Datenschutzgrundverordnung noch wichtig mitzuteilen?
Die Datenschutzgrundverordnung enttäuscht bei den Regelungen zum Thema „Datenschutz durch Technik“. Etablierte Grundbegriffe wie Anonymisierung und Pseudonymisierung werden nicht erwähnt. Im Bereich Dataprotection by Design fehlen verbindliche Aussagen; dieser bleibt hinter dem Stand der Technik zurück. Die Festlegungen zum Thema Zertifizierung und Gütesiegel sind nur schwammig und unzureichend. Die „Meldungen von Schutzverletzungen“ sind genauso wie die Datenschutzfolgeabschätzungen und das Verbandsklagerecht in der Datenschutzgrundverordnung gut geregelt. Das Verhältnis von Wettbewerbs- und Datenschutzrecht sollte klarer dahingehend geregelt werden, dass Datenschutz ein wettbewerbsrelevanter Themenbereich wird. Die Rolle, die sich die EU-Kommission in Sachen Datenschutz zuschreibt, ist nicht akzeptabel. Sie widerspricht dem im Entwurf festgelegten Leitbild einer unabhängigen Datenschutzbehörde und provoziert Konflikte mit den nationalen Einrichtungen.
