Interviewzusammenfassung Hans Peter Bull

Mit dem Projekt 360°-Sicht Datenschutz-Grundverordnung trägt die Ohu Digitale Privatheit und Öffentlichkeit dazu bei, dass die möglichen Auswirkungen dieses sehr komplexen Gesetzentwurfes vereinfacht dargestellt und somit besser verstanden werden können. Dafür wurden Interviews mit Experten aus allen Stakeholder-Gruppen durchgeführt und die Ergebnisse auf einer gesonderten Projektwebseite aufbereitet. Zur Vorstellung der Ergebnisse wurde außerdem Abendveranstaltung durchgeführt und eine Podcast-Reihe veröffentlicht.

Inhaltsverzeichnis 1 Einwilligung der Nutzer 2 Rolle der Aufsichtsbehörden 3 Recht auf Vergessenwerden 4 Übermittlung in Drittländer 5 Öffentliche-/ nich-öffentliche Stellen 6 Datenportabilität 7 Profiling 8 Informations- und Meinungsbildung 9 Weitere Punkte

Einwilligung der Nutzer

Welche Bedeutung sollte die Einwilligung der Nutzer zukünftig haben? In welchen Bereichen sollte sie wie angewendet werden?

Die Einwilligung von Betroffenen als Grundlage für die Datenverarbeitung ist für die Fälle sinnvoll, bei denen es ein ausgewogenes Machtgefüge zwischen den Vertragsparteien gibt und wirkliche Freiwilligkeit besteht. Dies kommt relativ selten vor. Weil das so ist, sollten die wesentlichen Fragen gesetzlich geregelt werden. Nur durch Rechtsnormen können die Interessen der Betroffenen wirksam durchgesetzt werden. Gesetzliche Regelungen wie auch Einwilligungslösungen sollen das konkrete Risiko der Datenverarbeitung für den Betroffenen berücksichtigen und adäquat zum Risiko abgestufte Bestimmungen und Regelungen vorgeben.

Rolle der Aufsichtsbehörden

Welche Rolle sollten die Aufsichtsbehörden zukünftig spielen?

Der Schwerpunkt der Arbeit sollte auf der Kontrolle und Beratung von Unternehmen und Institutionen sowie der Sanktionierung von Verstößen gegen Datenschutzvorschriften liegen. Die nationalen Aufsichtsbehörden sollen die Umsetzung der Datenschutzvorschriften vorantreiben. Eine zentrale europäische Aufsichtsbehörde wäre problematisch, weil sie vermutlich nicht hinreichend demokratisch legitimiert wäre und weil sie voraussichtlich nicht das deutsche Datenschutzniveau gewährleisten könnte. Es ist wünschenswert, dass die deutschen Regelungen über betriebliche Datenschutzverantwortliche in die europäische DSGV übernommen werden.

Recht auf Vergessenwerden

Wie kann ein Recht auf Vergessenwerden ausgestaltet sein? Auf welche Bereiche sollte es angewendet werden?

Das Recht auf Vergessen ist grundsätzlich zu begrüßen. Es ist im Kern bereits durch die bestehenden Löschungspflichten garantiert. Ob die in der DSGV geforderte Rückabwicklung früherer Informationsvorgänge durchführbar ist, bezweifle ich. Die geplanten Vorschriften sind auch wegen der vielen Ausnahmen, Abwägungen und Alternativen unpraktikabel.

Übermittlung in Drittländer

Was sollte bei der Übermittlung von Daten in Drittländer geregelt werden?

Die DSGV sieht hier mit der allgemeinen Zuverlässigkeitsprüfung eine angemessene Regelung vor. Bei Datenverarbeitungen, die mit einem hohen Risiko für Betroffene verbunden sind, sind jedoch entsprechend strengere Zuverlässigkeitsprüfungen durchzuführen. Die technische Globalisierung zwingt dazu, den Austausch von Daten auch mit Drittländern in Kauf zu nehmen, aber die vorgesehenen Regelungen werden zu vielfachem Streit über die richtige Auslegung und Anwendung führen.

Öffentliche-/ nich-öffentliche Stellen

Worin sehen Sie die Unterschiede zwischen Datenschutz in öffentlichen und nicht-öffentlichen Stellen?

Unterschiedliche Datenschutzregelungen für den öffentlichen und den nicht-öffentlichen Bereich sind notwendig. Öffentliche Stellen haben die Macht, unmittelbar in die Persönlichkeitsrechte oder andere Rechte des Einzelnen einzugreifen, ohne dass er sich entziehen kann. Diese Befugnisse und die Rechte und Einspruchsmöglichkeiten der Betroffenen müssen möglichst „normenklar“ gesetzlich geregelt sein. Der nicht-öffentliche Bereich hat solche Befugnisse nicht. Die Beteiligten sind im Allgemeinen auf vertragliche Regelungen angewiesen. Sofern ein Machtgefälle zwischen den Beteiligten besteht, sind aber auch gesetzliche Regelungen erforderlich, um den Ausgleich der Interessen herbeizuführen (Beispiel: verbraucherschützende Normen bei Kreditgeschäften).

Datenportabilität

Welche Bedeutung messen Sie dem Recht auf Datenportabilität bei?

Portabilität ist ein relativ neues Bedürfnis. Der Anspruch ist berechtigt, die praktische Relevanz jedoch eher fraglich. Es sollte geregelt werden, dass die personenbezogenen Daten bei Vertragsende in einem verarbeitbaren Standardformat an Betroffene herausgegeben werden. Das gilt nicht nur für die selbst eingegebenen, sondern auch für die daraus abgeleiteten Daten.

Profiling

Wie und wofür sollte Profiling reguliert werden? Wenn es nicht reguliert werden sollte, warum nicht?

Das grundsätzliche Verbot der rein automatisierten Persönlichkeitsbeurteilung ist bereits seit langem geltendes Recht und sollte mehr beachtet werden, d.h. es muss stets eine Beurteilung durch eine natürliche Person hinzukommen. Profilbildung als solche kann nicht generell verboten werden, und ihre Einschränkung durch Rechtsnormen gelingt – wenn man den Entwurf der EU-DSGV betrachtet – nicht in überzeugender Weise. Grund ist auch hier – wie in vielen Teilen des Entwurfs – die allzu große Abstraktheit der Normen, die Vermeidung klarer Entscheidungen für konkrete Sachprobleme. Erforderlich wären bereichsspezifische Regelungen. So muss z.B. im Bereich der Versicherungen das Solidarprinzip beachtet werden, wie es im geltenden Versicherungsrecht ausgeformt ist.

Informations- und Meinungsbildung

Welches Auswirkungen hat aus Ihrer Sicht die zukünftige Datenschutzgrundverordnung auf die Informations- und Meinungsbildungsprozesse?

Das Datenschutzrecht muss selbstverständlich so ausgestaltet werden, dass transparente Meinungsbildungsprozesse und umfassender Informationsaustausch gewährleistet sind. Informationspflichten, Einwilligungslösungen und Verzeichnispflichten können bei sehr restriktiver Anwendung wie eine Zensur wirken. Der Kommissionsentwurf bietet keine Lösung für diesen Interessenkonflikt, sondern verlangt in einer Generalklausel (Art. 80) entsprechende Regelungen von den Mitgliedstaaten. Damit verfehlt der europäische Gesetzgeber seine Aufgabe.

Weitere Punkte

Welche oben nicht angesprochenen Themenbereiche sind Ihnen bezüglich der zukünftigen Datenschutzgrundverordnung noch wichtig mitzuteilen?

Der Entwurf für die DSGV verfolgt – fast wie ein Lehrbuch des Datenschutzrechts – die richtigen Ziele und bekräftigt einige der in Deutschland seit langem geltenden Regeln, ist jedoch beim genaueren Hinschauen praktisch kaum brauchbar. Die Generalklauseln sind schwammig und lassen trotz entgegengesetzter Absicht fast jede Form von Informationsverarbeitung zu. Wichtige Themen wie Adresshandel, Scoring und die Arbeit von Auskunfteien sind gar nicht oder nur abstrakt und praxisfremd geregelt. Der Gesetzgeber hat sich vorgenommen, so gut wie alle Lebensbereiche unter dem Aspekt der Informationsverarbeitung zu regeln. Er kann die Verschiedenheit der Lebensbereiche aber nicht ausreichend berücksichtigen. Die absehbare Folge: eine erhebliche Bürokratisierung und zahllose Gerichtsprozesse. Fazit: Guter Wille macht noch kein gutes Gesetz, und im Verhältnis zum deutschen Datenschutzrecht ist die EU-Verordnung kein Fortschritt. Allerdings bedarf auch das deutsche Recht einer gründlichen Überarbeitung.