Interviewzusammenfassung Peter Schaar

Mit dem Projekt 360°-Sicht Datenschutz-Grundverordnung trägt die Ohu Digitale Privatheit und Öffentlichkeit dazu bei, dass die möglichen Auswirkungen dieses sehr komplexen Gesetzentwurfes vereinfacht dargestellt und somit besser verstanden werden können. Dafür wurden Interviews mit Experten aus allen Stakeholder-Gruppen durchgeführt und die Ergebnisse auf einer gesonderten Projektwebseite aufbereitet. Zur Vorstellung der Ergebnisse wurde außerdem Abendveranstaltung durchgeführt und eine Podcast-Reihe veröffentlicht.

Inhaltsverzeichnis 1 Einwilligung der Nutzer 2 Rolle der Aufsichtsbehörden 3 Recht auf Vergessenwerden 4 Übermittlung in Drittländer 5 Öffentliche-/ nich-öffentliche Stellen 6 Datenportabilität 7 Profiling 8 Informations- und Meinungsbildung 9 Weitere Punkte

Einwilligung der Nutzer

Welche Bedeutung sollte die Einwilligung der Nutzer zukünftig haben? In welchen Bereichen sollte sie wie angewendet werden?

Die Einwilligung ist insbesondere im Bereich der Wirtschaft ein wichtiger Baustein, um die Verarbeitung personenbezogener Daten zu legitimieren. Jeder, der auf der Basis transparenter Informationen aus freiem Willen seine ausdrückliche Zustimmung zur Verarbeitung seiner Daten erteilt, übt damit sein Recht auf informationelle Selbstbestimmung aus. Von Bedeutung ist dabei, dass die Einwilligung aktiv, also explizit erteilt wird, und nicht beiläufig. Für Internetdienste bedeutet dies, dass ein Opt-In erforderlich ist, etwa durch das Anklicken einer entsprechenden Checkbox. Wie in Artikel 5 Absatz 3 der E-Privacy-Richtlinie vorgesehen, ist auch für das Setzen von Tracking-Cookies die Einwilligung des Betroffenen erforderlich. Die Einwilligung hat dann ihre Grenze, wenn – beispielsweise aufgrund einer Monopol- oder Drucksituation – eine freie Willensbekundung nicht möglich ist. In solchen Fällen ist die Datenverarbeitung entweder illegitim oder es muss für notwendige Datenverarbeitung klare gesetzliche Erlaubnisse geben. Das im Telemediengesetz enthaltene Kopplungsverbot sollte auch in Zukunft Bestand haben.

Rolle der Aufsichtsbehörden

Welche Rolle sollten die Aufsichtsbehörden zukünftig spielen?

Angesichts der weiter zunehmenden technischen und rechtlichen Komplexität bei der Verarbeitung personenbezogener Daten und des häufig bestehenden Ungleichgewichts zwischen Datenverarbeitern und dem Einzelnen bedarf es auch in Zukunft Aufsichtsbehörden, um die Freiheitsrechte des Einzelnen wirksam zu schützen. Die Aufsichtsbehörden müssen unabhängig agieren können und benötigen im Vergleich zur gegenwärtigen deutschen Rechtslage stärkere Durchsetzungs- und Sanktionsbefugnisse. Zudem müssen die Aufsichtsbehörden bei der Wahrnehmung ihrer Aufgaben stärker auf technische Mittel setzen, etwa zur Analyse komplexer WebAngebote oder Applikationen auf Geräten.

Recht auf Vergessenwerden

Wie kann ein Recht auf Vergessenwerden ausgestaltet sein? Auf welche Bereiche sollte es angewendet werden?

Der Begriff „Recht auf Vergessenwerden“ wird in der derzeitigen Debatte teilweise überinterpretiert. Zunächst ist festzuhalten, dass es bereits heute einen Anspruch auf Löschung personenbezogener Daten gibt, etwa wenn die Daten nicht gespeichert werden dürfen oder der Verarbeitungszweck erledigt ist. Dieser Anspruch sollte erhalten und gestärkt werden. Vor allem im Zusammenhang mit Internetveröffentlichungen sollte eine maßvolle Erweiterung dieser Löschungsansprüche erfolgen. Berechtigte Löschungsansprüche sollten auf solche Stellen erweitert werden, die personenbezogene Daten von einer ursprünglich verantwortlichen Stelle bekommen haben. Dabei geht es nicht um einen radikalen „digitalen Radiergummi“, sondern um die Verpflichtung, Löschungsansprüche so weit wie möglich bei allen Datenempfängern umzusetzen. Dies sollte jedenfalls für die Veröffentlichung personenbezogener Daten im Internet gelten. Zudem sollte Betroffenen, die Informationen im Internet veröffentlichen, die Möglichkeit gegeben werden, den Daten ein „Verfallsdatum“ beizufügen. Dieses Verfallsdatum sollte bei entsprechenden Diensten die Löschung der Daten bewirken und von Dritten als Aufforderung verstanden werden, die Daten nach der Ablauffrist ebenfalls zu löschen, sie mindestens aber nicht mehr zu verwenden.

Übermittlung in Drittländer

Was sollte bei der Übermittlung von Daten in Drittländer geregelt werden?

Das europäische Datenschutzniveau muss auch dann gewährleistet werden, wenn personenbezogene Daten die Europäische Union verlassen, weil sie etwa auf Servern in einer außereuropäischen Cloud gespeichert werden. Um dies zu erreichen, sind verschiedene Instrumente denkbar, die auch in der DatenschutzGrundverordnung angelegt sind. Diese sollten durch technologische Instrumente ergänzt werden, die – etwa beim Cloud Computing – schon auf technischer Ebene eine Kenntnisnahme der Daten in Staaten ohne angemessenes Datenschutzniveau weitgehend verhindern.

Öffentliche-/ nich-öffentliche Stellen

Worin sehen Sie die Unterschiede zwischen Datenschutz in öffentlichen und nicht-öffentlichen Stellen?

Der bedeutsamste verfassungsrechtliche Unterschied zwischen beiden Bereichen, besteht darin, dass das Recht auf informationelle Selbstbestimmung im öffentlichen Bereich den Charakter eines Grundrechts, das als Abwehrrecht gegen staatliche Datenverarbeitung ausgestaltet ist. Der Staat darf nur in gesetzlich festgelegten Grenzen in das Grundrecht eingreifen. Im nicht-öffentlichen Bereich stehen sich Datenverarbeiter und Betroffene – jedenfalls rechtstheoretisch – auf gleicher Ebene gegenüber. Im ersten Falle dienen die Gesetze daher als notwendige Eingriffsvoraussetzung (eine Einwilligung des Betroffenen als alleinige Legitimation staatlicher Verarbeitung personenbezogener Daten scheidet hier grundsätzlich aus); im zweiten Falle als gesetzlich normierter Ausgleich verschiedener einander gegenüber stehender Grundrechtsträger. Aus Sicht des Betroffenen sind die Risiken für ihre Datenschutzrechte für beide Bereiche aber durchaus ähnlich. Vor allem gegenüber großen Unternehmen kann von tatsächlich gleicher Augenhöhe der Nutzer keine Rede sein. Bei Unternehmen, die auf Grund ihrer Marktstellung und/oder der Art ihrer Dienstleistung den Betroffenen keine gleichwertigen Alternativen zur Verfügung stehen, ist das Machtgefälle zwischen Unternehmen und Nutzern vergleichbar mit dem Ungleichgewicht zwischen dem Staat und den Bürgerinnen und Bürgern. Auch hinsichtlich der technologischen Risiken ähneln sich der öffentliche und der nicht- öffentliche Bereich. Beide Bereiche können daher grundsätzlich auch mit vergleichbaren Regelungen und Instrumenten geschützt werden.

Datenportabilität

Welche Bedeutung messen Sie dem Recht auf Datenportabilität bei?

Das Recht auf Datenportabilität ist eine sinnvolle und notwendige Erweiterung des Selbstbestimmungsrechts des Betroffenen. Es kann auch zur Förderung des Wettbewerbs beitragen, da ein Wechsel zwischen verschiedenen Anbietern einer Dienstleistung vereinfacht wird und damit monopolartigen Strukturen – wie es sie etwa bei den sozialen Netzwerken bestehen – entgegenwirken kann. Bedeutsam ist die Datenportabilität auch im Hinblick darauf, dass die Betroffenen auf diese Weise mehr über sich selbst erfahren können und besser einschätzen lernen, was Dritte über sie in Erfahrung bringen könnten.

Profiling

Wie und wofür sollte Profiling reguliert werden? Wenn es nicht reguliert werden sollte, warum nicht?

Die Zusammenführung und Verwendung personenbezogener Daten, die in verschiedenen Kontexten für unterschiedliche Zwecke erhoben wurden, birgt besondere Risiken für das Recht auf informationelle Selbstbestimmung. Profile können für vielfältige Zwecke (Marketing, Scoring oder etwa zur Planung von Einbrüchen anhand bekannter Verhaltenmuster) verwendet werden. Zudem ist solchen ProfilingSystemen das Risiko der Diskriminierung bestimmter Personenkreise immanent. Die Entstehung und Nutzung von Profilen sollte deshalb im Datenschutzrecht reguliert werden. Schon die Verknüpfung personenbezogener Daten zu Persönlichkeitsprofilen bedarf klarer rechtlicher Grenzen. Dies muss durch technologische Ansätze (Anonymisierung, Verschlüsselung) unterstützt werden.

Informations- und Meinungsbildung

Welches Auswirkungen hat aus Ihrer Sicht die zukünftige Datenschutzgrundverordnung auf die Informations- und Meinungsbildungsprozesse?

Meinungsfreiheit und die Freiheit, sich jederzeit aus allgemein zugänglichen Quellen informieren zu dürfen, sind hohe Rechtsgüter, die von der Verfassung besonders geschützt sind. Datenschutz dient nicht bloß dem Schutz der Privatsphäre im engeren Sinne, sondern schützt auch die individuelle Informations- und Meinungsfreiheit. Wer befürchten muss, dass seine Informations- und Kommunikationsfreiheit über die Registrierung des eigenen Surfverhaltens beeinträchtigt wird, kann in der Wahrnehmung dieser Grundrechtsausübung gehemmt sein. Der Datenschutz schützt auch unbeobachtete Diskussions- und Meinungsbildungsprozesse. Das in bestimmten Bereichen nicht zu leugnende Spannungsverhältnis zwischen Informations- und Meinungsfreiheit muss in einem modernen Datenschutzrecht zu einem angemessenen Ausgleich gebracht werden, etwa durch die Verankerung bestimmter Ausnahmeregelungen für konventionelle und neue Medien. Ich hoffe, dass der Ausgleich in der Datenschutz-Grundverordnung verankert wird und der Stellenwert von Meinungs- und Informationsfreiheit gestärkt und nicht geschwächt wird. Auch im Hinblick auf die Richtlinie für Polizei und Justiz müssen gesonderte Vorgaben zum Schutz der Medien vorgesehen werden, insbesondere zum Zeugnisverweigerungsrecht und zum Quellenschutz.

Weitere Punkte

Welche oben nicht angesprochenen Themenbereiche sind Ihnen bezüglich der zukünftigen Datenschutzgrundverordnung noch wichtig mitzuteilen?

Es gibt noch eine Reihe weiterer wichtiger Aspekte etwa:

• Stärkere Verankerung des technologischen Datenschutzes (Privacy by Design, Privacy by Default, Datenschutz-Folgenabschätzung u.a.)
• Möglichst breite europaweite Einführung betrieblicher und behördlicher Datenschutzbeauftragter
• Verankerung des Marktortprinzips für nicht-europäische Unternehmen