4 Die Weiterentwicklung des Datenschutzes
Recht bietet stets hochselektive, notwendig unvollkommene Antworten auf komplexe gesellschaftliche Problemlagen. Aber es ist ein wichtiger Teil einer Immunantwort rechtsstaatlich gefasster Gesellschaften auf die Folgen des digitalen Wandels.
Der Datenschutz und das bestehende Datenschutzrecht werden in den kommenden Jahren im Wesentlichen fortbestehen. Dafür hat schon die umfassende Aufnahme des Konzepts in die DSGVO gesorgt. Um den Erfolg der DSGVO zu bewahren, bedarf es in den kommenden Jahren großer Anstrengungen der EU-Kommission, der Aufsichtsbehörden der Mitgliedstaaten, des Europäischen Datenschutzausschusses als ihr Koordinierungsgremium und der Regierungen der EU-Mitgliedstaaten. Der Nachweis der Vollziehbarkeit dieses Rechts steht im Mittelpunkt. Wo irgend möglich, muss die Aufsicht effizienter konstruiert und auf die wirklich wesentlichen Aufgaben der Rechtsdurchsetzung gegenüber besonders risikoreichen Verfahren und Anwendungen ausgerichtet werden.
Doch daneben zeichnen sich notwendige gesetzliche und konzeptionelle Weiterentwicklungen ab.
Zum einen gilt dies für die DSGVO selbst. Viele ihrer Bestimmungen sind notwendig abstrakt und unpräzise. Oft wird die Konkretisierung der Bestimmungen insoweit durch den Europäischen Datenschutzausschuss der Aufsichtsbehörden und die Gerichte erfolgen müssen. Doch teilweise wird das nicht ausreichen. Ein Beispiel bietet die Regelung von automatisierten Entscheidungen beziehungsweise des Profilings. Die entsprechende Norm des Artikels 22 DSGVO regelt ausgerechnet die vielfältigen Risiken, die mit Profilbildungen einhergehen, äußerst unzureichend. Für zahlreiche andere Bestimmungen erscheinen Präzisierungen der Normen im Sinne der Rechte der Verbraucher*innen diskussionswürdig.
Von grundlegenderer Bedeutung ist die durchgängige bessere Differenzierung von Datenverarbeitungen nach ihren tatsächlichen Risiken. Während wegen des Grundsatzes der Technikneutralität bestimmte Formen der Datenverarbeitung wie Big Data, Cloud Computing oder KI in ihren Funktionen nicht gezielt geregelt werden, gelten viele der Grundsätze des Datenschutzes in praktisch gleichem Umfang auch für kleine Unternehmen, die im Schwerpunkt gar nicht mit der Verarbeitung von Daten befasst sind. Hier muss letztlich, auch im Sinne der Fokussierung und der Akzeptanz des Datenschutzes, zukünftig besser abgeschichtet werden.
Besonders hervorzuheben sind notwendige Verbesserungen zum Schutz von unbeteiligten Dritten. Big-Data-Analysen und selbstlernende algorithmenbasierte Entscheidungsverfahren liefern umfassende statistische Prognosegrundlagen. So werden auch Personen und Personengruppen bewertet und womöglich diskriminierend schlechter gestellt, die selbst gar nicht notwendigerweise durch ihre Daten an der Herstellung der Bewertungsgrundlagen mitgewirkt haben. Ehepartner*innen und Familienangehörige etwa erhalten aufgrund ihrer Nähe zur betroffenen Person vergleichbare Kreditbewertungen. Ähnliches geschieht beim Geoscoring, bei dem alle Bewohner*innen einer Straße oder eines Stadtviertels aufgrund der statistisch errechneten Dichte von Kreditrisiken einsortiert werden. Bei der Verarbeitung genetischer Daten einer Person sind automatisch alle näher Verwandten mit betroffen. Diese womöglich auch gänzlich anonymen Verfahren bewirken eine kollektive Vergemeinschaftung bestimmter Merkmalsträger und können das Handeln Betroffener weitreichend bestimmen, wenn sie sich entsprechend anpassen, um bestimmten Mustern statistischer Normalität zu entsprechen. Die damit verbundenen Fragen weisen über das Datenschutzrecht teilweise deutlich hinaus und adäquate Schutzvorkehrungen müssen gefunden werden. Ein grundlegendes, bislang nicht gelöstes Problem stellt schließlich auch die Reproduktion von Diskriminierungen in den Algorithmen dar. So kam es vor, dass biometrische Gesichtserkennung Menschen mit dunkler Hautfarbe überhaupt nicht erkannte.
Grundsätzlich bietet der Datenschutz zwar ein überaus breites Anwendungsfeld mit je nach Kontext seines Einsatzes ganz unterschiedlichen Schutzgegenständen. So können beispielsweise Maßnahmen zum Schutz vor Diskriminierungen bereits im Rahmen von bestehenden gesetzlichen Vorgaben für soziale Netzwerke zur Anwendung kommen. Sogenannte Dark Patterns von Plattformangeboten, also Designs von Oberflächen mit dem Ziel, zu bestimmten Handlungen zu verleiten, können die Freiwilligkeit von Einwilligungen berühren und verdienen nähere Beachtung. Gerade für den Bereich von Big Data und KI bedarf es aber der Weiterentwicklung und problemgerechten Erweiterung der Normen. Eine nach Risiken der Anwendungen abgestufte Regelung, wie etwa von der Datenethikkommission der Bundesregierung vorgeschlagen, sichert eine differenzierte gesetzliche Bewertung.
Auf einer grundlegenden konzeptionellen Ebene wird der Datenschutz nicht um die Klärung einiger Grundlagen herumkommen: Die für seine Anwendbarkeit maßgebliche Grenze des Personenbezuges wirkt einerseits zu eng, andererseits zu unspezifisch. So basiert Big Data häufig auf mixed data sets, es werden also personenbezogene und nicht-personenbezogene Daten miteinander vermengt. Wie oben beschrieben, werden so vormals nicht-personenbezogene Daten personenbeziehbar und müssen daher – je nach geplanter Verarbeitung – womöglich schon vor einem feststellbaren Personenbezug gewissen Schutzregelungen unterworfen werden.
Zentrale Herausforderungen für den künftigen Datenschutz zeichnen sich ebenso in einzelnen Regelungsfeldern ab, etwa die im Gesundheitsdatenschutz augenfällige überkomplexe Regelungsvielfalt, die Reform der Datenschutzaufsicht mit dem Ziel größerer Einheitlichkeit und Augenhöhe gegenüber großen Unternehmen sowie die effektivere Durchsetzung des Datenschutzes bei der Abstimmung der Behörden im Mehrebenensystem der EU.
Das Gesetzgebungsverfahren zur DSGVO selbst hat die Idee von bereichsspezifischen Datenschutzregelungen aufgegriffen. So sollte neben der Datenschutz-Grundverordnung eine E-Privacy-Verordnung der EU unter anderem für einen ausgeprägten Schutz der besonders gefährdeten Online-Kommunikation sorgen. Dies erscheint angesichts der Schutzvorgaben des Grundgesetzes etwa für das Telekommunikationsgeheimnis auch dringend geboten.
Den Mitgliedstaaten werden in der DSGVO zudem eigene gesetzliche Regelungen nahegelegt, etwa für den Bereich des Beschäftigtendatenschutzes oder zum Ausgleich von Pressefreiheit und Datenschutz. In beiden Bereichen gibt es vielfältige offene und komplexe Regelungsfragen, deren Lösung auf gesetzlicher Ebene für alle Seiten mehr Rechtssicherheit bieten könnte.
1. Verbraucher(-daten-)schutzrecht
Die nun seit über zwanzig Jahren diskutierte Kommerzialisierung personenbezogener Daten und das stetig wachsende Feld des Verbraucherdatenschutzrechts legen eine aktive gesetzgeberische Weiterentwicklung nahe. Einen Anfang hat die EU mit der Digitale-Güter- und Dienstleistungen-Richtlinie gemacht. Auch der Datenschutzdiskurs darf sich dieser Diskussion nicht verschließen. Zu sehr sind Daten in ihrem kommerziellen Wert längst Gegenstand und Ziel der Geschäftsmodelle der Wirtschaft.
Verbessert werden muss die Stärkung der Stellung der Verbraucher*innen im Verhältnis zu übermächtigen Anbietern. Verbraucher*innen verdienen Unterstützung etwa durch gezielte Qualitätsprüfungen von riskanten Verfahren wie etwa KI-Anwendungen durch unabhängige Prüfstellen. Verbraucherschutzverbände könnten mit eigenständigen Beschwerderechten ausgestattet werden. Und Verfahren der treuhänderischen Wahrnehmung von Datenschutzrechten durch spezialisierte Anbieter verdienen zur Entlastung der Verbraucher*innen eine nähere Prüfung. Im Umgang mit Big Data, aber auch zur Unterstützung der Bürger*innen bei der Nutzung der vielen privaten digitalen Angebote können zukünftig sogenannte PIM-Software (Product Information Management) und Datentreuhandangebote womöglich entscheidend zum Schutz der Bürger*innen beitragen.
Der Überforderung der Verbraucher*innen mit der Art und Weise, wie Transparenzpflichten wahrgenommen und Entscheidungsverfahren ausgestaltet werden, muss mit weiteren Vorgaben vorgebeugt werden. Das Ziel der Verständlichkeit und der Verdaubarkeit von Informationen kann mit abgestuften Verfahren, den sogenannten layered notices, verbessert werden. Auch für Lösungen durch bildhafte Darstellungen liegen längst zahlreiche Vorschläge auf dem Tisch.
Naheliegend wären etwa gezielt den IT-Bereich aufgreifende zivilrechtliche Regelungen zur Kontrolle von Allgemeinen Geschäftsbedingungen (AGB). Die den Verbraucher*innen aufgezwungenen, skandalös intransparenten AGB der Internetunternehmen bieten hier genug Anhaltspunkte. Vorgeschlagen werden etwa inhaltliche Restriktionen des zulässig zu Vereinbarenden und Zertifizierungspflichten für besonders bedeutsame AGB.
2. Informationelle Selbstbestimmung für das digitale Zeitalter verankern
Gerade die jüngsten Reformvorschläge der EU zur Plattformregulierung zeigen eine gesteigerte Bereitschaft, auch Allgemeininteressen und weitere gesetzgeberische Ziele auf die Digitalwirtschaft auszudehnen. Dazu zählt etwa der Schutz vor Monopolbildung. Im Kern basiert das sich erweiternde Eingriffs-Instrumentarium der Kartellbehörden allerdings auf dem besonderen Schutzbedarf der von Plattformen monopolisierend und zweckwidrig verarbeiteten personenbezogenen Daten. Deutlich wird, dass daten- und informationsbezogene Regelungskomponenten in bislang davon unberührte Rechtsmaterien integriert werden.
Auch die Regelungen zur Bekämpfung von Hassbotschaften, Hassrede und Verhetzungen könnten in diesem Zusammenhang genannt werden, soweit diese Pflichten zur Herausgabe und Übermittlung personenbezogener Daten von Kund*innen an Sicherheitsbehörden betreffen, aber auch die hoch problematische Filterung der persönlichen, zur Veröffentlichung bestimmten Inhalte von Kund*innen. Deutlich wird jedenfalls, dass der Datenschutz hier nur noch einen beschränkten Teil der informationellen Konflikte bearbeitet, zunehmend von weiteren Schutzzielen begleitet wird und Einbettung in übergreifendere Informationszusammenhänge erfährt.
3. Rote Linien gegen ausufernde Datenerfassung
Viele Elemente des Datenschutzes zielen auf wohlabgewogene Anwendungen im Einzelfall und lassen den Betroffenen Handlungsspielräume im Sinne ihrer Selbstbestimmung. Damit wird einer vielfältigen Lebenswirklichkeit Rechnung getragen. Doch es muss auch klare und eindeutige rote Linien geben. Wo gravierende und multiple Risiken nicht nur für einzelne Betroffene und deren Rechte, sondern auch für die Kommunikation und die Privatheit der Gesellschaft insgesamt drohen, braucht es klare, absolute Grenzen. Hierzu zählen beispielsweise die unterschiedslos alle Bürger*innen betreffende anlasslose Vorratsdatenspeicherung von Kommunikationsverkehrsdaten, die biometrische Gesichtserkennung in öffentlichen Räumen sowie das umfassende Verhaltenstracking von sozialen Netzwerken zur Erstellung von Persönlichkeitsprofilen oder die verdeckte gezielte Beeinflussung von politischen Wahlen im Wege des sog. Microtargeting. Diese Beispiele belegen je für sich die enorme Dimension der Bedrohung für die Grundrechte, die die Digitalisierung angenommen hat.
Anpassung und Durchsetzung von Privatheit als Daueraufgabe
Die Zukunft der Privatheit hängt wesentlich vom politischen Willen ab. Letztlich zählt sie zwar dank der vielfältigen grundrechtlichen Verankerung zum Recht, dass notfalls dem Staat auch Schutzpflichten zu dessen Erhalt auferlegt. Deutlich sollte aber geworden sein, dass die Durchsetzung des bestehenden Rechts als auch dessen notwendige Weiterentwicklung eine anspruchs-volle Daueraufgabe darstellen. Angesichts der raschen Veränderungen durch die Digitalisierung muss das Datenschutzrecht selbst vielfältige und auch innovative Wege einschlagen, um weiter mithalten zu können. Abgesänge kommen, das zeigen gerade die intensiven Auseinandersetzungen um Privatheit in der jüngsten Zeit, jedenfalls zu früh. Die Selbstbehauptung menschlicher Freiheit und Privatheit in der sich beschleunigenden Digitalisierung erscheint vielmehr lebendiger denn je.
Nils Leopold in: Der Wert der Digitalisierung, Gemeinwohl in der digitalen Welt; transcript Verlag, Bielefeld; 2021
Creative Commons https://creativecommons.org/licenses/by/4.0/
Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt