Interviewzusammenfassung Stephan Noller

Mit dem Projekt 360°-Sicht Datenschutz-Grundverordnung trägt die Ohu Digitale Privatheit und Öffentlichkeit dazu bei, dass die möglichen Auswirkungen dieses sehr komplexen Gesetzentwurfes vereinfacht dargestellt und somit besser verstanden werden können. Dafür wurden Interviews mit Experten aus allen Stakeholder-Gruppen durchgeführt und die Ergebnisse auf einer gesonderten Projektwebseite aufbereitet. Zur Vorstellung der Ergebnisse wurde außerdem Abendveranstaltung durchgeführt und eine Podcast-Reihe veröffentlicht.

Inhaltsverzeichnis 1 Einwilligung der Nutzer 2 Rolle der Aufsichtsbehörden 3 Recht auf Vergessenwerden 4 Übermittlung in Drittländer 5 Öffentliche-/ nich-öffentliche Stellen 6 Datenportabilität 7 Profiling 8 Informations- und Meinungsbildung 9 Weitere Punkte

Einwilligung der Nutzer

Welche Bedeutung sollte die Einwilligung der Nutzer zukünftig haben? In welchen Bereichen sollte sie wie angewendet werden?

Die Datenschutzgrundverordnung ist so konzipiert, dass das Prinzip der Einwilligung als Grundlage zur Datenverarbeitung deutlich ausgedehnt wird. Kritisch ist die Ausweitung auch auf pseudonymisierte Daten zu sehen, die besonders im Werbeumfeld zum Einsatz kommen. Pseudonymisierung funktioniert durch das vollständige Entfernen der Merkmale eines Datensatzes, der eine einzelne Person – per IP-Adresse oder Cookie-Identifier – erkennbar machen würde, und ersetzt diese mit einer Maschinen-generierten Kennung. Die Einwilligung sollte grundsätzlich nur bei der Verarbeitung nicht pseudonymisierter Daten zur Anwendung kommen. Bei der Erfassung und Verarbeitung pseudonymisierter Daten sollte der Nutzer wie bisher das Recht zum Widerspruch haben Sofern pseudonymisierte Daten nachträglich mit nicht pseudonymisierten Daten verarbeitet werden, ist dafür eine Einwilligung der Betroffenen nötig.

Rolle der Aufsichtsbehörden

Welche Rolle sollten die Aufsichtsbehörden zukünftig spielen?

Auch zukünftig sollten die nationalen Aufsichtsbehörden die Umsetzung der Vorgaben der Datenschutzgrundverordnung kontrollieren und, wenn notwendig, sanktionieren. Kritisch ist die Schwächung der betrieblichen Datenschutzbeauftragten, wie sie aktuell für Deutschland geregelt ist. Zusätzlich ist die demokratische Legitimation und Kontrolle der zu delegierten Rechtsakten ermächtigten EU-Kommission fraglich. Im Zusammenhang mit den Regelungen für die Aufsichtsbehörden sollte ein Situation herbeigeführt werden, bei der europäische Unternehmen gegenüber Unternehmen aus Drittstaaten nicht benachteiligt werden. Dies ist gegenwärtig im Zusammenhang mit dem Safe Harbor Abkommen der Fall. Beim Thema One-Stop-Shopping sollen die Entscheidungsfristen für Unternehmen planbar sein, die nicht an Kompetenzstreitigkeiten der Aufsichtsbehörden scheitern dürfen.

Recht auf Vergessenwerden

Wie kann ein Recht auf Vergessenwerden ausgestaltet sein? Auf welche Bereiche sollte es angewendet werden?

Das Recht auch Vergessenwerden hat meiner Meinung nach zu unrecht sehr viel Spott erfahren. Auf jeden Fall gibt es eine gewisse Berechtigung darüber zumindest einmal nachzudenken. Allerdings ist mir auch klar, dass es an vielen Stellen nicht möglich ist das technisch umzusetzen. In einigen Fällen wären die technischen Voraussetzungen für die Gewährleistung eines Rechts auf Vergessen so hoch, dass sie zu hohen Barrieren für kleine Unternehmer werden. Eine Lösung wäre hier das Pseudonymisieren der Daten - idealerweise direkt bei der Datenerhebung.

Je persönlicher die Daten sind, die ich irgendwo hinterlasse, desto sinnvoller ist es, wenn solche Tools vorhanden sind. Was wohl niemand will ist beispielsweise ein Recht auf Vergessen für jede Ad Impression einer Werbe Kampagne von vor zwei Jahren.

Übermittlung in Drittländer

Was sollte bei der Übermittlung von Daten in Drittländer geregelt werden?

Mich interessiert hier insbesondere die Diskussion um Save Habour vs. EU Grundverordnung. Grundsätzlich würde der derzeitige Entwurf der Verordnung vorsehen, dass sich alle in der EU anbietenden Unternehmen diesen Regeln unterwerfen. Das wäre eine gute Entwicklung für die europäische Industrie, weil es momentan durch das Safe Habour-Abkommen einen riesigen Ausnahmenraum für Unternehmen aus den USA gibt, die auch zu den größten Wettbewerbern europäischer Unternehmen zählen. Etwas besorgt wäre ich, wenn die europäischen Unternehmen durch die Grundverordnung stärkere Auflagen bekommen, aber diese Ausnahmen nicht gleichzeitig abgeschafft werden.

Öffentliche-/ nich-öffentliche Stellen

Worin sehen Sie die Unterschiede zwischen Datenschutz in öffentlichen und nicht-öffentlichen Stellen?

Aus Sicht der Zivilgesellschaft ist eine gemeinsame Regelung des Datenschutzes für die beiden Bereiche in der Datenschutzgrundverordnung sinnvoll. Datenverarbeitung durch die Wirtschaft und den Staat sind immer mehr miteinander verbunden und sollen deshalb auch den gleichen Regelungen unterliegen. Bedenklich ist die sich abzeichnende Entwicklung, dass öffentliche Stellen mit dem Argument der Terrorabwehr umfangreiche Daten über die Bevölkerung sammeln. Auch deshalb ist eine starke gesetzliche Regulierung nötig.

Datenportabilität

Welche Bedeutung messen Sie dem Recht auf Datenportabilität bei?

Ich finde, dass der Begriff auf einen bestimmten Anwendungsfall abzielt. Beispielsweise wenn ich als User persönliche Daten speichere und zu einem anderen Dienst wechsel. Das kann Effekte haben, die beispielsweise im Sinne von Wettbewerbserleichterung zu begrüßen wären. Auch hier stellt sich wieder das Problem mit dem umfassenden Wirkungsbereich der Grundverordnung. Daraus könnte dann folgen, dass Sie bei jedem Direkt Marketing und jedem Werbeunternehmen Datenportabilität sicherstellen müssten, die dann wiederum zu erheblichen technischen Herausforderungen führen würden. Meines Erachtens nach leidet das Recht auf Datenportabilität daran, dass es nicht eingeschränkt ist auf eine Datenart bei der es nachvollziehbarer Weise Sinn macht.

Profiling

Wie und wofür sollte Profiling reguliert werden? Wenn es nicht reguliert werden sollte, warum nicht?

Ich bin ein Vertreter der sog. Algorithmen-Ethik. Das bedeutet, dass wenn wir zunehmend Algorithmen nutzen können, um Informationsprozesse zu beeinflussen, dann sollten wir als Zivilgesellschaft sehr genau hinschauen was genau passiert und welche Kontroll- und Informationsmöglichkeiten es gibt. Hier stellt der sehr breite definitorische Ansatz der Verordnung wieder ein Problem dar. Den derzeitigen Entwurf könnte man beispielsweise so auslegen, dass Werbung generell als Profiling verstanden wird. Auch hier sollte mit Augenmaß bestimmt werden welche Art von Daten unter einen Profiling Paragraphen fallen müssen. Bei Werbung mit pseudonymen Daten ist das Beeinflussungsvorhaben beispielsweise nicht besonders signifikant und die Auswirkungen der Beeinflussung auf die einzelnen Personen ist vergleichsweise überschaubar. In diesem Fall würde ich argumentieren, dass der Profiling Paragraph nicht angewendet werden müsste. Davon abgesehen würde ich es für sinnvoll halten eine generelle Kennzeichnungspflicht für Profiling-Verfahren einzuführen die im aktuellen Entwurf so nicht vorgesehen ist.

Informations- und Meinungsbildung

Welches Auswirkungen hat aus Ihrer Sicht die zukünftige Datenschutzgrundverordnung auf die Informations- und Meinungsbildungsprozesse?

Hier gibt es zwei besonders wichtige Phänomene. Zum einen hat sich die Informationsbeschaffung rasant ins Internet verlagert und zum anderen werden die Internetangebote zunehmend algorithmisch ausgesteuert ausgeliefert. Das führt dazu, dass niemand die gleiche Webseite sieht wie sein Nachbar. Das wirft Problemfelder auf, die einen erheblichen Einfluss auf die Informations- und Meinungsbildungsprozesse haben können. In den nächsten zehn Jahren wird die Digitalisierung aller Lebensbereiche nochmals verstärkt zunehmen und wir müssen schon jetzt Maßnahmen ergreifen, um als Nutzer die Kontrolle zu behalten und nicht die Informationsbeschaffung vollkommen durch Algorithmen zu gestalten. Um diese Probleme zu vermeiden, ohne auf die offensichtlichen Vorteile dieser Algorithmen zu verzichten, müssten die Nutzer im Einzelfall die automatische Vorauswahl, beispielsweis von Suchergebnissen, ausschalten können und die Funktionsweise der Algorithmen sollte offengelegt werden. In der Datenschutz-Grundverordnung könnte diesbezüglich eine interessante Weichenstellung vorgenommen werden und deshalb halte ich es für durchaus wichtig, dass dieser Entwurf nicht versandet.

Weitere Punkte

Welche oben nicht angesprochenen Themenbereiche sind Ihnen bezüglich der zukünftigen Datenschutzgrundverordnung noch wichtig mitzuteilen?

Hier fällt mir eher eine Frage als ein weiterer Standpunkt ein. Nämlich die Frage, ob der europäische Rechtsraum reif ist für so ein harsches Instrument. Es geht hier um eine Verordnung in einem Rechtsraum, in dem bisher nicht mal die Grundrechte synchronisiert sind. Ob jetzt also der richtige Zeitpunkt ist, eine solche Verordnung einzusetzen, halte ich für eine ausgesprochen spannende Frage, auch wenn ich selbst das schlecht beurteilen kann. Hier muss man Beachten wie schon auf nationaler Ebene um jede kleine Formulierung bei der Erneuerung des Bundesdatenschutzgesetzes gerungen wurde. In diesem Kontext ist eine europäische Datenschutz-Grundverordnung schon ein unglaublicher Akt.