Gegenwärtige Unvollständigkeit, mögliche Lösungswege und nächste Schritte
1 Einführung
Es gibt mittlerweile kaum einen Bereich in der Lebenswelt, der noch nicht datafiziert ist. Die Verfügbarkeit großer Datenmengen sowie erheblich gesteigerte Rechenleistungen sind die Grundlage für wegbereitende Informationstechnologien, automatisierte Systeme und Künstliche Intelligenz (KI). In der Wirtschaft werden Daten als neues Rohmaterial für Innovation gesehen, das die Entwicklung von Märkten und Unternehmen grundlegend und fortwährend verändern wird. Daten sind ebenso die Grundlage für innovative Formen biomedizinischer Forschung, beispielsweise die Analyse elektronischer Patientenakten, und für das Versprechen maßgeschneiderter, patientenzentrierter Versorgung durch die Präzisionsmedizin. Datenverarbeitungsprozesse erreichen hohe und nicht immer für alle Betroffenen nachvollziehbare oder antizipierbare Komplexitätsgrade. Während Vernetzung den Weg für Synergien in Wirtschaft, Politik und persönlicher Sphäre bereitet, kann sie auch unerwünschte Informationsflüsse, erlebte Kontrollverluste, Verletzungen der Privatsphäre und neue Formen von Manipulation und Diskriminierung begünstigen. Verschiedene Stakeholder – ob Konsument/-innen, Patient/-innen, Forscher/-innen, Innovator/-innen, oder Regierungen – bringen jeweils eigene Rechte und Interessen in diese Gemengelage ein. Im vorliegenden Beitrag diskutieren wir mit dem Datenschutzrecht einen Bezugspunkt, um die Bandbreite an nicht immer spannungsfrei miteinander in Beziehung stehenden Ansprüchen zu berücksichtigen und auszutarieren. Unter Datenschutzrecht verstehen wir dabei den für Datenverarbeitung relevanten gesetzlichen Rahmen sowie dessen Anwendung, z. B. in der Rechtsprechung. Da sich Technologien und Praktiken der Datenverarbeitung beständig weiterentwickeln, kann Datenschutz nicht stillstehen. Wir werden zunächst die Position beschreiben, dass sich wandelnde Realitäten der Datenverarbeitung neue Generationen von Datenschutzrecht erfordern (2.). Im Laufe der Diskussion wird unser Augenmerk darauf liegen zu verstehen, was eine solche Generation auszeichnet und aus welchen Gründen eine neue Generation gefordert werden könnte. Dabei argumentieren wir, dass sich das Datenschutzrecht aktuell mit einer Reihe von offenen Grundsatzfragen konfrontiert sieht, welche sowohl den Weg in Richtung einer nächsten Generation weisen als auch suggerieren, dass Reflexionsbedarf im Status quo besteht. Diese Grundsatzfragen entfalten wir entlang drei konzeptioneller Knotenpunkte: der Gegenstandsbereich (3.1), der Schutzgegenstand (3.2) und das Paradigma (3.3) des Datenschutzrechts. Im Anschluss fokussieren wir die biomedizinische Forschung als einen Kontext, in dem sich weitere bereichsspezifische Fragen bei der Weiterentwicklung des Datenschutzes stellen (4). Schließlich werden wir auf Basis dieser Diskussion Hypothesen formulieren, wie der Übergang zu einer neuen Generation ermöglicht werden könnte.
2 Ist es notwendig, Datenschutz neu zu denken?
Die Auffassung, dass der datenschutzrechtliche Rahmen mangelhaft ist, ist nicht neu. Seit den ersten Datenschutz-Gesetzgebungen in den 1970er-Jahren haben technologische und gesellschaftliche Entwicklungen diesen Rahmen immer wieder herausgefordert, infrage gestellt, und die fortwährende Notwendigkeit seiner Weiterentwicklung unter-strichen. Mayer-Schönberger identifiziert aufeinanderfolgende Generationen des Datenschutzes, wobei sich der Übergang von einer zu der nächsten immer aus der Unzulänglichkeit der vorausgehenden ableitet. So sei das Ziel der ersten Generation des Datenschutzes in den 70er-Jahren gewesen, zunehmend expansive Formen der Datenverarbeitung zu bändigen, für die damals noch eine verhältnismäßig kleine Gruppe von Akteuren (vor allem Staaten oder große Unternehmen, die sich die ersten Computer leisten konnten) verantwortlich waren. Mit zunehmender Anzahl der Datenbanken und -verarbeiter sowie der steigenden Bedeutung von Datenverarbeitung in verschiedenen Lebensbereichen wurde die Herangehensweise der ersten Generation aufgegeben und eine neue Generation entwickelt. Diese konzentrierte sich laut Mayer-Schönberger mehr auf die Rechte des Individuums und seine Privatsphäre. Ziel war die Befähigung einzelner Personen, eigene Abwehrlinien gegen unerwünschte Datenverarbeitung und Verletzungen von Datensicherheit einziehen zu können. Aber auch diese Herangehensweise gelangte letztlich an ihre Grenzen angesichts eines kontinuierlichen Datenflusses, der für viele Aktivitäten (z. B. die Leistungserbringungen des Sozialstaats) zentral geworden war. Deshalb wurde eine dritte Generation des Datenschutzes kreiert, in der das Prinzip der informationellen Selbstbestimmung zentral wurde, damit Personen selbst (mit-)bestimmen können, unter welchen Bedingungen ihre Daten verarbeitet werden. Nach kurzer Zeit war jedoch offensichtlich, dass die praktische Umsetzung der informationellen Selbstbestimmung durch die schwache Verhandlungsposition der einzelnen Personen gegenüber großen datenverarbeitenden Institutionen verhindert wurde. Dies hatte das Entstehen einer vierten Generation des Datenschutzes durch Gesetzgebungsakte wie die Europäische Datenschutzrichtlinie (Richtlinie 95/46/EG) in den 90er-Jahren zur Folge. Wie wir sogleich erörtern werden, sehen manche auch die kürzlich eingeführte Datenschutz-Grundverordnung (DSGVO) in dieser Tradition.
Unabhängig davon, ob man den Hypothesen über die jeweiligen Ursachen der Übergänge zu neuen Generationen des Datenschutzes zustimmt, hat es zwei Vorteile, seine Entwicklung in generationeller Hinsicht zu interpretieren. Erstens hat der Begriff Generation ein gewisses evokatives Potenzial: Er hebt sowohl den provisorischen als auch den evolutiven, sich fortwährend entwickelnden Charakter des Datenschutzes hervor. Datenschutzregelungen und ihre Paradigmen sind nicht in Stein gemeißelt, sondern stellen einen (oft unvollkommenen) Versuch dar, zeitgemäße Vorschriften zu kodifizieren, um den Risiken und den problematischen Aspekten der Datenverarbeitung zu einem gegebenen Zeitpunkt Rechnung zu tragen. Im Laufe der Zeit können neue Herausforderungen entstehen, sodass die vorher adäquaten Regelungen immer wieder neu angepasst werden müssen. An einem gewissen Punkt in diesem Ablauf werden tiefgreifendere Modifikationen der früheren Ordnung unerlässlich, was einen umfassenden Modellwechsel erfordert. Zweitens hat eine generationelle Interpretation des Datenschutzes auch den Vorteil, dass sie uns daran erinnert, wie die Angemessenheit des datenschutzrechtlichen Rahmens in der Vergangenheit bereits infrage gestellt wurde. Dies hemmt die Neigung, die derzeitige Situation als außergewöhnlich zu betrachten. Die Herausforderungen unseres digitalen Zeitalters mögen präzedenzlos sein, aber das trifft nicht minder auf jedes andere Zeitalter zu, das von abrupten technologischen Innovationen geprägt wurde. Eine generationelle Interpretation der Entwicklung des Datenschutzes könnte dann der Tendenz entgegenwirken, die Neuheit und Komplexität der jetzigen Herausforderungen als Anlass für zögerliche oder überhastete Anpassungen des Datenschutzes auf veränderte Rahmenbedingungen in unserer digitalen Umwelt zu nehmen.
Obwohl Herausforderungen für die rechtliche Steuerung von Datenverarbeitung in vielen Sektoren entstanden sind, wirft der Bereich der biomedizinischen Forschung spezifische Fragen auf. In diesem Kontext war das Verwenden von Daten traditionell mit der Idee verbunden, dass sie für einen spezifischen und klar definierten Zweck, wie z. B. das Testen einer bestimmten Hypothese, gesammelt und verarbeitet werden. Hintergrund ist hier, dass forschungsrechtliche und -ethische Normen immer schon die Darstellung von Forschungszwecken verlangt haben, um Probanden hinreichend über das jeweilige Projekt aufzuklären und so eine gehaltvolle Einwilligung zu ermöglichen. Deshalb ist biomedizinische Forschung mit dem sogenannten „Zweckbindungsprinzip“ des Datenschutzrechts immer gut kombinierbar gewesen. Nach diesem Prinzip müssen Daten für einen spezifischen und vordefinierten Zweck, welcher wiederum den betroffenen Personen klar offengelegt und erklärt werden muss, gesammelt und verarbeitet werden.
Biomedizinische Forschung ist jedoch neuerdings immer weniger mit solchen Annahmen vereinbar. Auf der einen Seite ist die Anzahl der Big-Data- und KI-basierten Forschungsaktivitäten gestiegen, in denen das Definieren des spezifischen Zwecks der Datensammlung und -verarbeitung schwierig ist. Auf der anderen Seite stützen sich immer mehr Studien auf die Weiterverwendung von Daten, die zunächst nicht für Forschungszwecke gesammelt wurden (z. B. in der Gesundheitsversorgung oder für statistische Zwecke). Unter diesen Umständen gestaltet sich das alte Paradigma des Einholens der informierten Einwilligung von jeder Person, deren Daten verarbeitet werden, sehr aufwendig. Darüber hinaus hat die alte Annahme, dass Anonymisierung grundsätzlich eine valide Alternative zur Einwilligung sein kann, wenn diese nicht einfach einzuholen ist, an Glaubwürdigkeit verloren. Schließlich hat zunehmende Datafizierung in bestimmten Bereichen die partizipative Dimension der Forschung verstärkt und eine Reflexion auf Ziele der Wissenschaft motiviert. In diesem Zuge sind die Erwartungen bezüglich der Kontrolle über die in der Forschung verwendeten personenbezogenen Daten gestiegen. Gleichzeitig ist mit dem gestärkten Grad an Partizipation zumindest potenziell der Anspruch verbunden, Daten spenden zu können.
Nun könnte man argumentieren, dass bereits eine neue Generation des Datenschutzes eingeläutet wurde, die fähig ist mit den oben genannten Herausforderungen umzugehen. Im Jahr 2016 erließ die Europäische Union die DSGVO, welche das erste supranationale Rechtsinstrument mit direkter Anwendbarkeit in verschiedenen Staaten verkörperte und dadurch endlich die transnationale Natur der Datenverarbeitung widerspiegelte. Darüber hinaus gab die DSGVO den Datenschutzbehörden breitere Überwachungsbefugnisse und führte empfindliche Geldstrafen als Instrument ein, um Compliance zu gewährleisten. Nach einer anfänglichen Befangenheit aufgrund der ersten Entwürfe der Verordnung wurde die rechtskräftige Fassung gelobt, weil sie vorteilhafte Normen für die Forschung enthielt, wie die Freistellung „from storage limitation periods and the duty to notify data subjects about processing“ oder die Möglichkeit einer generellen Einwilligung (broad consent) für die Datenverarbeitung in der Forschung.
Kann man dann sagen, dass die DSGVO den definitiven Übergang zu einer neuen Generation des Datenschutzes markiert? Dies ist eine schwierige Frage, vor allem da nach dem Inkrafttreten der Verordnung (25. Mai 2018) einige Jahre abgewartet werden sollte, bevor man voreilige Schlüsse zieht. Aber einige vorläufige Beobachtungen lassen sich bereits formulieren. Auf der einen Seite könnte man argumentieren, dass bereits die bloße Aufmerksamkeit, welche die DSGVO auf die Erarbeitung von angemessenen und sicheren Datenverarbeitungsverfahren gelenkt hat, schon ein epochaler Erfolg ist. Auf der anderen Seite bleiben Unklarheiten. In Bezug auf Datenverarbeitung für die Forschung klärt die DSGVO z. B. nicht (vollständig), inwiefern und ggf. mit welcher Ausgestaltung alternative Formen der Einwilligung (wie eine Generaleinwilligung bzw. ein broad consent) legitim sind, oder ob in manchen Fällen der „Forschungszweck” als Legitimationsgrundlage der Daten(weiter)verarbeitung vom Erfordernis einer Einwilligung der betroffenen Person befreit. Darüber hinaus könnten die Stärkung des Rechts auf Löschung (auch bekannt als „Recht auf Vergessenwerden“, Art. 17 DSGVO) und die Anreize, Daten zu anonymisieren (als Voraussetzung für die Exemtion vom Anwendungsbereich der DSGVO) und zu pseudonymisieren (als vorgeschlagene Schutzmaßnahme, z. B. in der Verarbeitung von Daten für Forschungszwecke) mit dem Reproduzierbarkeitsbedarf der Wissenschaft (verhindert durch die Datenlöschung), ihrem Exaktheitsbedarf (potenziell gefährdet durch Datenverknüpfungsfehler, die durch Pseudonymisierung begünstigt werden können) und der Rückgabe klinisch relevanter Ergebnisse (durch die Datenanonymisierung kompromittiert) kollidieren.
Aus diesen Gründen wurde die DSGVO zurecht als „a bit of an unusual hybrid of old and new“ beschrieben. Diese Beobachtungen zur DSGVO – und ebenso die anderen Datenschutzgesetze, die seither beschlossen wurden – sind aber nicht der einzige Grund, warum es offen erscheint, ob bereits eine neue Generation des Datenschutzes entstanden ist. Während Mayer-Schönbergers Framing verschiedener Datenschutzgenerationen hauptsächlich die Gesetzgebung fokussiert, ist zu berücksichtigen, dass Datenschutz bzw. Generationen desselben nicht ausschließlich auf Rechtstexte reduziert werden können. Eine weitere entscheidende Variable ist „Tradition“, welche sich aus gerichtlichen Präzedenzfällen und etablierten Handels-bräuchen außerhalb der juristischen Sphäre im engen Sinn entwickelt hat, z. B. in der Industrie. Wie in der Rechtswissenschaft betont wurde, wird das Recht (im weiteren Sinne) nicht nur durch Gesetze und Gerichtsurteile geschaffen: Es ist ein komplexes Ergebnis aus unterschiedlichen Rechtsformanten, darunter feststehende Handelsbräuche, Interpretationen der Beamten, Verwaltung und Rechtslehre. Außerdem werden gesellschaftsfähige Normen auch durch de facto akzeptierte Praktiken beeinflusst, welche als „mute law“ bezeichnet werden. Während ein Gesetz in einer verhältnismäßig kurzen Zeit verändert werden kann, ist das Modifizieren der anderen Rechtsformanten, welche die juristische Ordnung mitbestimmen, langwieriger. Sie können dann dafür sorgen, dass Konzepte, welche sich in der Lehre, der Rechtsprechung und der Interpretation etabliert haben und womöglich breite gesellschaftliche Akzeptanz genießen, abrupte Gesetzesänderungen überdauern und die Umsetzung neuer Regeln dauerhaft prägen. Im Datenschutz haben sich beispielsweise Begriffe wie das Zweckbindungsprinzip in der Tradition des Datenschutzes so ‚fossilisiert‘, dass selbst mögliche Alternativen als vermeintliche Variationen von (oder Exemtionen zu) diesem Prinzip verstanden werden. Ähnliches gilt für den Begriff der Privacy, dessen Wurzeln zunächst tief in einer Konzeption verhaftet erscheinen, welche die betroffene Person als unabhängig und atomistisch versteht. Ein solches Bild legt nahe, dass Privatsphäre nur von Attacken auf ‚bestimmbare‘ Daten und auf das Individuum bezogene Daten geschützt werden muss. Konzepte wie „group privacy“ mögen dann auf den ersten Blick lediglich als bloße akademische Spekulationen erscheinen.
Es bleibt somit zunächst offen, wie die DSGVO in der Reihe von Mayer-Schönbergers Unterscheidung verschiedener Generationen des Datenschutzes zu betrachten ist. Im Folgenden entwickeln wir einen Vorschlag, wie der Begriff einer neuen Generation des Datenschutzes weiter konkretisiert werden könnte und welche Fragen zu klären sind, um den Übergang zu einer neuen Generation zu markieren.
3 Konzeptionelle Knotenpunkte einer neuen Generation des Datenschutzes
Um zu beleuchten, worin der Übergang zu einer neuen Generation des Datenschutzes bestehen könnte, stellt sich zunächst die Frage, worin genau die datenschutzrechtlichen Herausforderungen heutiger Formen von Datenverarbeitung bestehen. Wir argumentieren, dass diese Frage im Zusammenhang mit mindestens drei konzeptionellen Grundsatzfragen des Datenschutzes betrachtet werden muss: Was ist der Gegenstandsbereich des Datenschutzes, d. h. für die Regelungen welcher Vorgänge ist er zuständig? Was ist der relevante Schutzgegenstand, d. h. was wird geschützt? Und welches Paradigma leitet seine Formulierung, Präzisierung und Anwendung? Um Datenschutz für diese Herausforderungen zu rüsten und mit Mayer-Schönberger von einer neuen Generation sprechen zu können, erscheinen daher Anpassungen entlang dieser konzeptionellen Knotenpunkte nötig.
3.1 Ein erweiterter Gegenstandsbereich?
Angesichts neuer Realitäten der Datenverarbeitung, der Verknüpfung von Daten aus verschiedenen Lebensbereichen sowie der Allgegenwärtigkeit datengetriebener Entscheidungsfindung erscheint es denkbar, dass der Gegenstandsbereich des Datenschutzes, d. h. Aufgabe und Zuständigkeit, überdacht werden muss. Im Folgenden bezeichnen wir als die Unvollständigkeitsthese den Standpunkt, dass der Gegenstandsbereich des Datenschutzes aktuell zu eng gefasst ist und einer Erweiterung bedarf, um den Schutz von Datensubjekten zu gewährleisten.
Eine prominente, aktuelle Verteidigung der Unvollständigkeitsthese findet sich bei Wachter und Mittelstadt. Datenschutz, so Wachter und Mittelstadt, soll die Privatheit, Identität, Reputation und Autonomie der Individuen schützen, kann diesen Zweck angesichts neuer Risiken durch inferenzielle Datenanalyse jedoch nicht erfüllen. Um diese These eingehender darzustellen und zu fundieren, unterscheiden Wachter und Mittelstadt zwischen Daten und inferences, die auf Basis dieser Daten gezogen werden. Inferences sind definiert als „information relating to an identified or identifiable natural person created through deduction or reasoning rather than mere observation or collection from the data subject“. Die DSGVO schützt zwar Personendaten, also „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person“ (Art. 4 Nr. 1 DSGVO) beziehen. Ferner schützt sie die „Verarbeitung besonderer Kategorien personenbezogener Daten“ (Art. 9 DSGVO), z. B. Gesundheitsdaten. Wachter und Mittelstadt weisen jedoch darauf hin, dass Individuen nur wenig Kontrolle darüber zugesprochen bekommen, wie ihre Personendaten zur Ableitung von inferences verwendet werden. Sie unterscheiden in ihrer Diskussion zwischen Inputs in Datenverarbeitung und Outputs aus Datenverarbeitung, z. B. die Ableitung von Daten, Profiling, und datengetriebene Entscheidungsfindung. Wachter und Mittelstadt weisen darauf hin, dass gegenwärtiges Datenschutzrecht primär an den Inputs in Datenverarbeitung ansetzt. Die wenigen Mechanismen im europäischen Datenschutz, die sich auf Outputs beziehen, sind wesentlich schwächer. Während die DSGVO prinzipiell so verstanden werden könnte, dass sie wenigstens zu gewissem Grad auch inferences reguliert (z. B. Artikel 13–17, 21–22), bleibt deren rechtlicher Status insgesamt unscharf und lückenhaft. Als Beispiel diskutieren Wachter und Mittelstadt das Recht auf Anfechtung automatisierter Entscheidungen (Artikel 22). So suggeriert der EuGH, dass Resultate von Verarbeitungsprozessen nur insofern datenschutzrechtlich problematisierbar sind, als falsche und/oder unvollständige Daten eingegeben wurden (oder die Verarbeitung aus anderen Gründen unrechtmäßig ist). Davon abgesehen enthält das Datenschutzrecht alleine jedoch keine Richtgrößen zur Beurteilung einer Anfechtung datengetriebener Entscheidungsfindung. Anfechtung bleibt so ein „mere procedural right“ und bloße „empty shell“. Überhaupt setzt die Anwendung der DSGVO auf inferences voraus, diese als Personendaten oder sensitive Daten zu klassifizieren. Selbst dann, so resümieren Wachter und Mittelstadt, würden inferences lediglich als „economy class“ Personendaten behandelt, die weniger geschützt sind als durch Datensubjekte bereitgestellte Personendaten oder sensitive Daten.
Ein damit verbundenes Problem (auf das wir in Abschn. 3.2 ebenfalls eingehen) ist, dass die Unterscheidung zwischen Personendaten und nicht-Personendaten, oder zwischen sensitiven und nicht-sensitiven Daten, in Big-Data-Kontexten nicht tragfähig erscheint: Nicht-personenbezogene oder -sensitive Daten können personenbezogen oder sensitiv werden, sobald sie zur Ableitung personenbezogener oder sensitiver Attribute verwendet werden – ohne dass sich der Inhalt der Daten verändert. Ebenso können vermeintlich neutrale Daten zu Daten werden, welche Verletzungen der Privatsphäre von Datensubjekten und/oder Schädigungen sowie Diskriminierung Tür und Tor öffnen. Auf solche Kategorien fußende Regelungsmechanismen sind daher veraltet und ineffektiv, da sie nachgelagerte Verwendung und damit verbundene Änderungen in der Kategorisierung von Daten nicht ausreichend berücksichtigen. Schließlich illustrieren Wachter und Mittelstadt anhand einer Reihe von Fallbeispielen, dass die europäische Rechtsprechung, insbesondere der Europäische Gerichtshof, dazu tendiert, Daten beim Input in Datenverarbeitung wesentlich größeren Stellenwert als den Outputs von Datenverarbeitung beizumessen.
Um den herausgearbeiteten Unzulänglichkeiten im Datenschutz beizukommen, fordern Wachter und Mittelstadt ein neues Datenschutzrecht, das Lücken in der Zurechenbarkeit, Haftung und Verantwortung von datengetriebenen Vorgängen schließt: ein right to reasonable inferences. Dieses Recht soll inferences mit besonders hohem Risiko regulieren, d. h. solche inferences, die in die Privatsphäre eindringen, Reputationsrisiken bergen, oder schwer verifizierbar sind. Für solche inferences würde das right to reasonable inferences von Datenverarbeitern ex ante folgende Erklärungen verlangen, um eine Einschätzung der reasonableness zu ermöglichen: „(1) why certain data are a normatively acceptable basis to draw inferences; (2) why these inferences are normatively acceptable and relevant for the chosen processing purpose or type of automated decision; and (3) whether the data and methods used to draw the inferences are accurate and statistically reliable“. In Fällen, in denen inferences unreasonable erscheinen, sollen Individuen zu deren Anfechtung befähigt werden.
Diese Forderungen sind unter die Unvollständigkeitsthese zu fassen, da sie gegenwärtiges Datenschutzrecht als zu eng gefasst kritisieren und neue Regelungen fordern. Wie im etablierten Datenschutzrecht scheint Bedingung (1) zu regeln, welche Daten verarbeitet werden können, löst sich dabei jedoch von den fehlgehenden Klassifizierungsversuchen, die Grundlage momentaner Regulierung sind. Demgegenüber knüpfen der Fokus auf inferences sowie die geforderten Mechanismen zur Anfechtung primär an der Verwendung der Daten sowie deren Auswirkungen und nur sekundär an der Herkunft der Daten an. Bedingungen (2) und (3) sind schließlich dazu intendiert, den Gegenstands- und Aufgabenbereich des Datenschutzrechts auf inferences und deren Adäquatheit zu erweitern.
Als Herausforderungen für Wachter und Mittelstadt können folgende Punkte angesprochen werden. Auf der einen Seite kritisieren sie gegenwärtige Kategorisierungen im Datenschutzrecht, z. B. Personendaten versus Nicht-Personendaten, oder sensitive versus nicht-sensitive Daten. Auf der anderen Seite führen sie selbst eine ganze Reihe von Unterscheidungen in die Diskussion ein, z. B. Hochrisiko versus nicht-Hochrisiko, reasonable versus unreasonable, verifizierbare Daten versus unverifizierbare Vorhersagen und akzeptable versus inakzeptable Grundlagen für inferences. Man könnte befürchten, dass einige dieser Klassifizierungen ganz ähnliche Probleme aufwerfen. So könnte sich beispielsweise die Risikobewertung eines inference in verschiedenen Kontexten von niedrig zu hoch verändern. Ebenso könnten manche Daten in einem Kontext akzeptable Grundlage für inferences, in anderen Kontexten jedoch inakzeptabel sein. Ein Beispiel: Die Ableitung der Postleitzahl des Wohnsitzes einer Person mag zunächst als ein vergleichsweise harmloser inference erscheinen. In Big-Data-Kontexten kann sich dies jedoch schnell ändern. Paradigmatisch sei auf die Forschung von Latanya Sweeney verwiesen, die mehrfach gezeigt hat, wie bereits wenige solcher Datenpunkte zusammengenommen eine Person eindeutig identifizieren und Verknüpfungen mit anderen Datensätzen erlauben, z. B. mit öffentlich einsehbaren, prima facie anonymisierten Forschungs- und Gesundheitsdaten. Der initial harmlose inference der Postleitzahl erhält in einem solchen Szenario ein hohes Risikopotenzial.
Selbstverständlich muss bei diesen Bedenken berücksichtigt werden, dass Wachter und Mittelstadt selbst explizit machen, dass die genauen Bedeutungen dieser Unterscheidungen kontextsensitiv erörtert werden und sozial akzeptable Standards insbesondere im Hinblick auf reasonableness ausbuchstabiert werden müssen. Ein wesentlicher Teil ihrer Position weist somit über unvollständiges Datenschutzrecht hinaus und hebt die Bedeutung von Aushandlungsprozessen zwischen Datensubjekten, -verarbeitern und Gesellschaft hervor. Zentrale Grundbegrifflichkeiten werden in konkreten Anwendungsszenarien und -kontexten situativ spezifiziert, in denen Daten verarbeitet, inferences gezogen und Entscheidungsprozesse dadurch beeinflusst werden. Eine solche Offenheit und Kontextsensitivität wirft dabei mindestens zwei Fragen auf: Erstens wäre zu diskutieren, ob uns Prozesse der Ausbuchstabierung und diskursiven Erörterung des Umfangs von Datenschutz sowie der Bewertungsmaßstäbe nicht schon im Status quo, d. h. im aktuellen und vermeintlich unvollständigen Datenschutzrecht genauso offen stehen wie im Modell von Wachter und Mittelstadt. Zweitens stellt sich die Frage, ob die Bedeutsamkeit der sozial-diskursiven Ausbuchstabierung von Grundbegrifflichkeiten und Bewertungsmaßstäben nicht suggeriert, dass wir bei der Berücksichtigung und dem Schutz der Grundrechte und Interessen von Datensubjekten über wesentlich mehr nachdenken müssten als über Datenschutz. Diese Anfrage fördert eine Ambiguität in der Unvollständigkeitsthese zutage: Sie kann verstanden werden als die Behauptung, dass aktuelles Datenschutzrecht inadäquat ist und der Verbesserung bedarf. Aber sie kann ebenso als Hinweis darauf gelesen werden, dass Datenschutz nur ein Teil des Unterfangens sein kann. Datenschutz muss ergänzt werden, und zwar nicht nur durch andere gesetzliche Regelungen außerhalb des genuinen Datenschutzrechts, sondern durch gesellschaftliche Diskurse, die Maßstäbe – wie z. B. reasonableness – kontinuierlich erörtern sowie neu verhandeln. Insofern Wachter und Mittelstadt eine Erweiterung des Gegenstands- und Aufgabenbereichs des Datenschutzrechts fordern, scheinen sie die erste Lesart der Unvollständigkeitsthese zu vertreten. In diesem Fall kann debattiert werden, inwieweit sich ihre neu eingeführten datenschutzrechtlichen Kategorien besser schlagen als die bisherigen. Insofern sie nun die Signifikanz sozialer Aushandlungsprozesse betonen, scheinen sie vor allem die zweite Lesart der Unvollständigkeitsthese zu unterstreichen. Beide Lesarten sind miteinander konsistent und es ist keineswegs abwegig beide zu verfolgen. Dies und das konzeptionelle Verhältnis beider Lesarten explizit zu machen wäre jedoch hilfreich um nachvollziehen zu können, in welchem Sinne Datensubjekte zur Formulierung und Durchsetzung neuartiger Ansprüche berechtigt sind bzw. sein sollten und inwieweit es gerade das Datenschutzrecht ist, das als systematischer Ort zur Einführung und Garantie solcher Ansprüche fungieren sollte.
Der diskutierte Vorschlag der Verankerung eines right to reasonable inferences im Datenschutzrecht illustriert ganz unabhängig davon, ob man ihn letztlich verteidigt oder zurückweist, wie ein erweiterter Gegenstandsbereich ein entscheidender Schritt beim Übergang zu einer neuen Generation des Datenschutzes sein könnte.
3.2 Ein veränderter Schutzgegenstand?
Wie gerade erwähnt basiert Datenschutz traditionellerweise auf Abgrenzungen zwischen unterschiedlichen Kategorien von Daten. Die wichtigste davon ist die Unterscheidung zwischen personenbezogenen und nicht-personenbezogenen Daten (auch bekannt als Sachdaten). Es wird oft angenommen, nur personenbezogene Daten seien der relevante Schutzgegenstand des Datenschutzes, weil nur personenbezogene Daten Informationen enthalten, welche die individuelle Privatsphäre und die Selbstbestimmung der Personen betreffen. Informatiker/-innen und Rechtswissenschafter/innen sind lange davon ausgegangen, dass der Personenbezug von Daten durch Anonymisierung entfernt werden kann und diese somit nicht mehr geschützt werden müssen, da Bezug und Auswirkungen auf identifizierbare Personen ausgeschlossen werden können. Dazu kommt die Tatsache, dass eine Unterscheidung zwischen personenbezogenen und nicht-personenbezogenen Daten eine intuitive und semantische Anziehungskraft hat, vor allem in der heute geläufigsten Wissenschaftssprache, nämlich Englisch. Tatsächlich heißt „personal“11 sowohl ‚privat/intim’ – wie in „she resigned from this job for personal reasons“ – als auch ‚eigen/individuell’ – wie in „I’ve decided to hire a personal fitness trainer“. Dadurch mag auch die Semantik des Wortes „personal“ implizit die Annahme stützen, dass es einen selbstverständlichen Unterschied gibt zwischen den Daten, die ‚privat/intim’ oder ‚eigen/individuell’ sind und denen, die es nicht sind.
Dennoch werfen heutige Technologien der Datenverarbeitung die Frage auf, ob es zweckmäßig ist, dass nur personenbezogene Daten als Objekt des Datenschutzrechts verbleiben. Diesbezüglich stellen sich zwei unterschiedliche Fragen, die erste eher empirisch, die zweite eher normativ: (1) Ist es überhaupt noch möglich, personenbezogene von nicht-personenbezogenen Daten zu unterscheiden? (2) Wäre es wünschenswert zwischen personenbezogenen und nicht-personenbezogenen Daten zu unterscheiden und nur Erstere zum Schutzgegenstand des Datenschutzrechts zu zählen?
In Bezug auf die erste Frage ist festzustellen, dass es empirisch mehr und mehr zweifelhaft ist, ob man noch personenbezogene von nicht-personenbezogen Daten unterscheiden kann. Personenbezogene Daten werden traditionellerweise definiert als Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen. Dementsprechend gibt es zwei unterschiedliche Hauptkriterien, die Informationen erfüllen müssten, damit sie als personenbezogene Daten erachtet werden können: erstens, dass sie sich auf eine Person beziehen; zweitens, dass diese Person bestimmbar ist. Obwohl diese zwei Kriterien prima facie streng und spezifisch erscheinen, gibt es Hinweise, dass eine zunehmende Menge von Informationen beide Kriterien erfüllen kann, sodass Datenschutzrecht geradezu das „law of everything“ werden könnte. Die jüngste europäische Rechtsprechung hat zum Teil die Idee unterstützt, dass ein Personenbezug besteht, „wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist.“ Purtova suggeriert im Hinblick auf die Auswirkung dieses wichtigen Urteils provokanterweise, dass prinzipiell auch Wetterinformationen diese Kriterien erfüllen können und dann als personenbezogene Daten gelten müssten. Abgesehen von diesem hyperbolischen Beispiel besteht sicherlich ein konkretes Risiko einer Über-Erweiterung des Begriffes „personenbezogene Daten“, sodass jede Unterscheidung zu nicht-personenbezogenen Daten faktisch unmöglich wird. Manche argumentieren, dass eine Abhilfe zu dieser möglichen Über-Erweiterung in der bereits existierenden Rechtsprechung und Rechtslehre gefunden werden könne und neue Gesetzgebung deshalb nicht notwendig sei. In jedem Fall bleibt die Tatsache, dass eine neue Generation des Datenschutzes definieren muss, wie umfangreich sein Schutzgegenstand sein soll (oder sogar sein kann).
Aber selbst wenn eine Unterscheidung zwischen personenbezogenen und nicht-personenbezogenen Daten tragfähig und die Klasse von Personendaten enger zu fassen wäre als von Purtova befürchtet, gibt es in Bezug auf die zweite Frage Argumente, die eine Erweiterung des Datenschutzrechts auf mehr als nur personenbezogene Daten im klassischen Sinn nahelegen: Personen und ihre jeweilige Privatsphäre müssen auch von der Verarbeitung von Daten geschützt werden, die nicht-personenbezogen oder anonymisiert sind oder die sich auf andere Personen (und nicht die von der Verarbeitung betroffene Person) beziehen. Der Grund dafür ist, dass Erkenntnisse, welche durch nicht-personenbezogene Daten oder durch Daten gewonnen werden, die sich auf andere Personen beziehen, eine oft noch größere Gefahr für den Einzelnen darstellen können als die Bearbeitung seiner bzw. ihrer eigenen (d. h. auf sich selbst bezogenen) Daten. Ein Beispiel hierfür wäre eine hypothetische Marktforschung (basierend auf Daten von n anderen Personen), die zeigen würde, dass Kunden, die gewisse Dinge während einer gewissen Zeitspanne kaufen, bereit wären einen höheren Preis zu zahlen. Nach einer solchen hypothetischen Entdeckung wäre jede andere Person, die potenziell in dieser Zeitspanne einkauft, von der initialen Datenverarbeitung betroffen – und nicht nur die Personen, auf welche sich die in der Marktforschung verwendeten Daten beziehen. Das heißt, Personen könnten also von der Verarbeitung von Daten, die weder ‚privat/intim’ noch ‚eigen/individuell’ sind, beeinträchtigt werden. Aus diesem Grund sollte u.U. der „nominalist approach“ des derzeitigen Datenschutzrechts überdacht werden, der grundsätzlich individuelle Rechte zuspricht und Personen nur Schutz bietet, wenn ihre eigenen Daten bearbeitet werden.
3.3 Ein Paradigmenwechsel?
Neben dem Gegenstandsbereich und dem Schutzgegenstand wird eine zukünftige Datenschutzgeneration möglicherweise auch zentrale Paradigmen überdenken müssen. Traditionell orientiert sich Datenschutz (zumindest in Europa) an Privatheit, Grundrechten und informationeller Selbstbestimmung. So ist beispielsweise ein in der DSGVO formuliertes Ziel, „die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ (Art. 1 DSGVO) zu schützen. In diesem Zusammenhang stellt sich zunächst die Frage, durch welche Art von Rechten diese Ziele und Zwecke verfolgt werden. Eine kontrovers diskutierte Idee ist es, Datenschutz mit Kategorien des Eigentums zu verknüpfen. Zurück geht diese Idee auf US-amerikanische Diskurse, wobei sie sich in jüngerer Zeit auch in Europa verbreitet hat. Befürworter der Propertisierung personenbezogener Daten formulieren eine ganze Reihe verschiedener Forderungen. Unter anderem kritisieren sie, dass derzeitige Datenschutzrechte keine vollständige Kontrolle über Daten gewährleisten. Individuen können Daten beispielsweise nicht veräußern. Demgegenüber könnten Eigentumsrechte an Daten die Übertragung und Herausgabe von Daten sowie die Abwehr Dritter ermöglichen und durchsetzen. Daten als Eigentum zu behandeln, so die Befürworter, würde die Anwendung traditioneller und bewährter Regelungen des Eigentumsrechts erlauben und könnte Datenaustausch für diejenigen erleichtern, die dies wünschen, ohne Datenschutz für diejenigen aufzuweichen, die ihre Daten nicht teilen möchten.
Der Vorschlag eines Dateneigentums hat besonders im medizinischen Bereich Begeisterung ausgelöst. Auch wenn dies reizvoll erscheint, sind einige Fragen im Hinblick auf den Übergang zu einem Eigentums-Paradigma für personenbezogene Daten aufgeworfen worden, z. B. wie Eigentumsregeln auf Daten als neuen Gegenstandsbereich angepasst werden könnten oder ob ein Eigentum an personenbezogenen Daten den Schutz der Privatsphäre de facto stärken oder schwächen würde. So mag die Möglichkeit Daten veräußern zu können zunächst wie ein Zugewinn über Schutz und Gestaltung der Privatsphäre erscheinen; sind Daten jedoch einmal veräußert, ist nicht mehr klar, inwieweit der/die Ex-Eigentümer/-in noch Ansprüche an und um ihre Verarbeitung formulieren und durchsetzen kann.
Dateneigentum kann als revisionistischer Vorschlag in Bezug auf die Frage verstanden werden, durch welche Art von Recht Datenschutz praktisch werden sollte. Eine weitere Grundsatzfrage betrifft die Spezifizierung der Zielsetzungen, die durch Datenschutz verfolgt werden. In Debatten über durch Datafizierung tangierte Grundrechte und Interessen treten vermehrt Begriffe von Souveränität in Erscheinung. Historisch gesehen bezeichnet Souveränität den Anspruch auf absolute Macht in Bezug auf einen Gegenstandsbereich, z. B. die Macht eines souveränen Nationalstaates über sein Territorium. Datensouveränität, digitale Souveränität oder Cyber-Souveränität übertragen dieses Konzept mit ganz verschiedenen Schwerpunkten und Konnotationen auf den digitalen Raum. Beispielsweise wird Datensouveränität dann möglich, wenn die jeweilige Akteure in der Lage sind, Macht- und Kontrollansprüche rund um ihre Daten und deren Verarbeitung zu artikulieren und durchzusetzen. Derartige Ansprüche können von Einzelpersonen, Organisationen oder Staaten ausgehen. Dabei hält nicht jeder Kontrollanspruch einer genauen Überprüfung stand. Ansprüche können kritisiert werden, in Spannung zu anderen stehen und erfordern daher eine diskursive Aushandlung und Bewertung ihrer Autorität und Legitimität.
Der Deutsche Ethikrat versteht Datensouveränität als die Fähigkeit des Einzelnen zu informationeller Freiheitsgestaltung. Er weist die Bedeutung von Paradigmen wie Privatheit, Grundrechte und Selbstbestimmung nicht von der Hand. Aber im Unterschied zu primär negativen Rechten zum Ausschluss anderer von der eigenen, intimen informationellen Sphäre beinhaltet informationelle Freiheitsgestaltung den Anspruch selbst zu bestimmen und zu gestalten, wie man mit anderen in informationelle Beziehungen tritt. Die Idee informationeller Freiheitsgestaltung schließt daher positive Ansprüche auf die Befähigung zur Ausübung gehaltvoller Kontrolle über die eigenen Daten ein.
Eine spannende Frage, die hier nicht abschließend geklärt werden kann, betrifft das Verhältnis zwischen dem datenschutzrechtlichen Rahmen der DSGVO und dem Leitkonzept der Datensouveränität, z. B. ob Letzteres eine Erweiterung oder Verschärfung des Ersteren erfordern würde. Auf der einen Seite könnte man Datensouveränität als Entfaltung der in Art. 1 DSGVO angesprochenen Grundrechte und Grundfreiheiten verstehen. Auf der anderen Seite enthält die DSGVO Erlaubnistatbestände (beispielsweise Art. 9 Abs. 2lit. j DSGVO), durch die zumindest in bestimmten Datenverarbeitungskontexten individuelle Kontrollansprüche nicht an erster Stelle stehen.
4 Spezifische Herausforderungen im Hinblick auf biomedizinische Forschung
Während sich die oben genannten Grundsatzfragen auf Datenschutz im Allgemeinen beziehen, wenden wir uns jetzt zwei spezifischen Herausforderungen zu, welche die Bearbeitung von Daten in der biomedizinischen Forschung betreffen. Zunächst werden wir uns mit der Frage beschäftigen, ob es sinnvoll ist, Ausnahmenormen für die Forschung zu definieren. Danach diskutieren wir die informierte Einwilligung als Voraussetzung der Datenverarbeitung in biomedizinischer Forschung.
4.1 Ausnahmenormen für die Forschung?
Derzeit ist die Datenverarbeitung für biomedizinische Forschungszwecke durch spezielle datenschutzrechtliche Bedingungen reguliert. Die DSGVO sieht z. B. die Verarbeitung von Daten für Forschungszwecke als einen legitimen Grund vor, der die Verarbeitung sensibler Daten – wie Gesundheitsdaten oder genetische Daten – ermöglicht. Darüber hinaus enthält die DSGVO weitere spezielle Regeln für die Weiterverwendung von Daten für Forschungszwecke und kreiert dadurch eine sogenannte „research exemption“, d. h. Derogationen von den normalen Regeln für die Datenverarbeitung, wenn diese für Forschungszwecken erfolgt.
Spezielle Regeln für die Bearbeitung von Daten für Forschungszwecke können theoretisch von Vorteil sein. Auf den ersten Blick kann eine „research exemption“ ein Subset von Normen schaffen, das spezifisch für die Forschung modelliert ist und so eine vereinfachte Datenverarbeitung ermöglichen. Bei näherer Betrachtung entstehen jedoch Fragen, ob es sinnvoll ist, einen solchen Ausnahmestatus in der Gesetzgebung vorzusehen.
Als erste Schwierigkeit ist der Anwendungsbereich dieser Ausnahmenormen für die Forschung nicht immer scharf abzugrenzen. Wenn er als sehr umfassend interpretiert wird, sodass z. B. auch Marktforschung abgedeckt wird, könnten Ausnahmenormen gerade für kommerzielle Ziele ausgenutzt werden und – anstatt für Forschung vorbehalten zu bleiben – auch für Verarbeitungsprozesse gelten, bei denen primär individuelle und private Interessen des Datenverarbeiters im Vordergrund stehen. Doch auch bei demgegenüber rigoroser Interpretation des Geltungsbereichs (d. h. nur für biomedizinische oder mindestens gesundheitsbezogene Forschung) bleiben Herausforderungen.
Zunächst suggeriert bereits die Wahl der Worte und Konzepte einen ganz bestimmten Fokus. Wenn im Zusammenhang mit Datenschutzregeln und sektorspezifischen Normen für die Forschung von „research exemption“, „research exception“ oder wie wörtlich in der DSGVO von „derogations“ (englische Fassung) und „Ausnahmen“ (deutsche Fassung) die Rede ist, so suggeriert dies, dass die Voraussetzungen für Datenverarbeitung für (biomedizinische) Forschungszwecke im Vergleich zu anderen Verarbeitungszwecken und -bereichen als eher gelockert interpretiert werden können. Aus dieser Perspektive scheinen einerseits bestimmte prima facie bindende Anforderungen an Datenverarbeitung zu bestehen, die schließlich bei bestimmten Zwecken und Arten von Verarbeitungsprozessen suspendiert werden. Ruyter et al.kritisieren, dass dieses Verständnis bereits in der Konzeptualisierung der Ausgangslage eine Tendenz einführt: „[t]he language of ‘exemption’ denotes deviance from a common obligation (in this case the data protection principles) from which one needs to be excused. It follows that exemptions should be exceptional, and deviations are most commonly considered to be undesirable and regrettable“. Stattdessen fordern sie, für bestimmte Verarbeitungszwecke von einer alternativen, „equally acceptable route to achieve protection“ zu sprechen, die z. B. Einwilligung in Verarbeitung nicht notwendig erfordert.
Konzeptionelle Fragen wie diese können praktische Konsequenzen nach sich ziehen. Auch wenn dem Buchstaben des Gesetzes und der Rhetorik nach Erleichterungen formuliert sind, bleibt die Möglichkeit, dass operative Normen für die Datenbearbeitung in der biomedizinischen Forschung resultieren, die trotz oder womöglich wegen diesem Sonderstatus zum Teil rigorosere Anforderungen mit sich bringen. Weichert nennt z. B. eine Liste von mehr als zehn detaillierten Maßnahmen, denen ein Forschungsprojekt folgen müsste, um von den privilegierten Datenschutznormen zu profitieren. Ausnahmenormen für die Forschung – obwohl sie oft darauf gemünzt sind, dass die Verarbeitung von Daten für Forschungszwecke vereinfacht wird – können das gegenteilige Ziel erreichen, gerade dann, wenn sie zusätzliche Datenschutzmaßnahmen voraussetzen. Bei der Bewertung bereichsspezifischer Regulierung sind daher ihre konkreten Effekte zu berücksichtigen. Ist es durch sie einfacher, die jeweiligen datenschutzrechtlichen Anforderungen zu erfüllen? Wird der Zeitrahmen von der Planung von Verarbeitungsvorgängen bis zu deren Durchführung durch die bereichsspezifischen Regelungen verkürzt oder verlängert? Ist der bürokratische Aufwand verringert oder erhöht? Die Adressierung dieser empirischen Fragen liegt jenseits des Gegenstands-bereichs des vorliegenden Beitrags. Von Bedeutung für unsere Zwecke ist lediglich der Hinweis, dass bereichsspezifische Lockerungen Vereinfachung auf der operativen Ebene nicht garantieren.
In der Tat ist es offensichtlich, dass die Datenschutzbestimmungen einer biomedizinischen Studie von einer hohen Anzahl von verschieden Kontrollorganen – u. a. Ethikkommissionen, Förderinstitutionen und Datenschutzbeauftragten – überprüft werden, denen „normale“ Datenverarbeiter gar nicht oder nicht im selben Maße unterstehen. Eine Möglichkeit zur Verringerung der letztgenannten Asymmetrie könnte selbstverständlich in dem Ansatz bestehen, auch große datenverarbeitende Unternehmen – welche eine rigorosere oder restriktivere Interpretation der Ausnahmenormen von deren Geltungsbereich ausschließen würde – durch spezifische „Data Science“ Ethik-kommissionen und weitere Instrumente zu begleiten und ggf. zu regulieren.
Zweitens schaffen solche Ausnahmenormen eine zusätzliche Ebene von Regeln, die mit allgemeineren Datenschutzbedingungen kombiniert und koordiniert werden muss. Dies kann vor allem für Forscher/-innen ohne vertiefte juristische Kenntnisse herausfordernd sein, insbesondere solange sich die Rechtspraxis noch im Wandel befindet. Nur größere Studien haben normalerweise genügend finanzielle Ressourcen, um passende Rechtsberatung hinzuzuziehen, damit sie die Ausnahmenormen anwenden, sie auf die allgemeineren Datenschutzrichtlinien abstimmen und ein verlässlich regelkonformes Projekt verwirklichen können. Anwaltskanzleien wiederum profitieren von der Komplexität des Datenschutzrechts und erlangen in diesem Kontext Marktmacht und Deutungshoheit. Koops resümiert gar: „data protection lawyers can be suspected of having an interest in complexity as it provides them with work“.
Drittens ist die genaue Grenze zwischen Datenverarbeitung für die Forschung und für nicht-forschungsbezogene Zwecke in Big-Data-Kontexten immer schwieriger aufrechtzuerhalten. Dadurch wird zunehmend zweifelhafter, inwieweit die derzeit existierenden Ausnahmenormen für die Forschung auf Grenzfälle und innovative Projekte zutreffen. Ein aktuelles Beispiel sind die Contact-Tracing Apps, die entwickelt werden, um die COVID-19-Pandemie zu bekämpfen. Diese zielen sicherlich primär auf die öffentliche Gesundheit ab. Es ist aber ebenfalls absehbar, dass die dadurch erhobenen Daten auch für Forschungszwecke verwendet werden. Diesbezüglich können Ausnahmenormen für die (biomedizinische) Forschung zwar Chancen bieten, aber auch für Rechtsunsicherheit sorgen, ob (und ab wann) innovative Studien solchen Ausnahmenormen oder den allgemeineren und nicht bereichsspezifischen Datenschutzbestimmungen entsprechen müssen.
Operationales Resultat von exemptions, exceptions und derogations könnte also insgesamt sein, dass ein erhebliches Maß an Aufmerksamkeit auf deren Anwendungsbedingungen gelegt wird, gleichzeitig Unklarheiten im Hinblick auf verschiedene Ebenen des Datenschutzrechts aufgeworfen werden und schließlich gerade innovative Projekte an der Schnittstelle zwischen Forschung und anderen Sektoren von solchen Unsicherheiten betroffen sind. Gleichzeitig scheinen andere Formen und Legitimationsgrundlagen von Datenverarbeitung jenseits dieser Erlaubnistatbestände, z. B. Datenverarbeitung in Online-Kontexten auf Basis von „blinde[m] Akzeptieren“ von obskuren Terms & Conditions, auf keinem vergleichbaren Prüfstand zu stehen.
4.2 Informierte Einwilligung?
Aus ethischer Sicht ist die Notwendigkeit der Einholung informierter Einwilligung als Grundlage zur Einbindung in biomedizinische Forschung durch eine Bandbreite von Erwägungen motiviert. So sollen Einwilligungsmechanismen beispielsweise potenzielle Probanden vor Übergriffen schützen, Autonomie ermöglichen und Vertrauen in Forschungsprozesse aufrechterhalten. In Anlehnung an eines der oben dargestellten Paradigmen kann informierte Einwilligung auch als Ausübung persönlicher Souveränität gesehen werden: „consent and personal sovereignty go hand in hand: A zone of personal inviolability and control is manifested in respect for the ability to give and withhold consent“.
Während diese ethischen Erwägungen klar für informierte Einwilligung als essentielle Voraussetzung für biomedizinische Forschung sprechen, gibt es Debatten darüber, ob sie kategorisch und für jede Art von Forschungsprojekt stattfinden sollten. Populationsbezogene Beobachtungsstudien, die durch Auswertung von Befunden, Statistiken und Krankenakten beträchtlichen Nutzen für eine Gesellschaft generieren, beeinträchtigen die Privatsphäre von Individuen und deren Kontrollansprüche rund um ihre Daten wenn überhaupt nur minimal. Pragmatische und auch methodische Gründe können dem Einholen informierter Einwilligung in solchen Szenarien im Wege stehen. Miller argumentiert, dass in solchen Fällen Klarheit über den genauen Gegenstandsbereich persönlicher Souveränität verlangt ist. Er verteidigt die Position, dass informierte Einwilligung bei nichtinterventioneller Forschung, die z. B. ausschließlich auf der Analyse von Patientendaten basiert, unter bestimmten Bedingungen verzichtbar sein kann. Wenn solche Forschungsaktivitäten das Gemeinwohl befördern, ohne individuelle Rechte unverhältnismäßig zu beeinträchtigen, ist ein Verzicht auf Einwilligung insbesondere dann denkbar, wenn folgende Punkte zutreffen: „(1) the proposed research is socially valuable; (2) there are severe practical impediments to soliciting consent or requiring consent would be likely to compromise the scientific validity, and consequently the value, of research; and (3) adequate safeguards for access by researchers are implemented to minimize the intrusion on privacy“.
Big-Data-basierte biomedizinische Forschung wirft bestimmte Herausforderungen für das Konzept informierter Einwilligung auf. So wird beispielsweise ähnlich wie im Kontext des Biobankings darauf hingewiesen, dass Datensubjekte nicht immer hinreichend über Zwecke und Konsequenzen der Forschungsaktivitäten aufgeklärt werden können, da diese nicht notwendigerweise absehbar sind. Die gerade skizzierten Ziele von Mechanismen informierter Einwilligung sind daher in Big-Data-Forschung schwer zu erreichen, die gerade auf der De- und Rekontextualisierung, der Zusammenführung von Daten verschiedener Arten und Quellen, der Suche nach unvorhersehbaren Korrelationen, dem Ziehen von Rückschlüssen auf Individuen wie auch Populationen und der Nutzung von Anwendungen maschinellen Lernens basiert.
Angesichts dieser Herausforderungen scheinen mindestens zwei Ansätze möglich. Erstens können wir Millers Standpunkt zu bestimmten Formen nicht-interventioneller Forschung folgen und argumentieren, dass informierte Einwilligung in manchen Szenarien datenintensiver biomedizinischer Forschung nicht nötig ist. So können wir annehmen, dass Bedingung (2) – informierte Einwilligung im klassischen Sinne erscheint wenig praktikabel – zuweilen erfüllt sein wird, beispielsweise aufgrund der soeben erwähnten Offenheit von konkreten Verarbeitungszwecken und Konsequenzen. Die Euphorie um datengetriebene Medizin, personalisierte Versorgung und klinische KI suggeriert ferner, dass Bedingung (1) – beträchtlicher gesellschaftlicher Nutzen – zumindest prinzipiell erfüllbar ist. Zwar kippt diese Euphorie zuweilen in Hype und es ist keineswegs sicher, dass sich die Hoffnungen auch erfüllen. Aber angenommen dies gelingt und wir stellen ferner sicher, dass auch Bedingung (3) – Implementierung von Sicherungsmechanismen zur Minimierung von Verletzungen der Privatsphäre – erfüllt ist, hätten wir möglicherweise eine solide Grundlage, um Einwilligungserfordernisse in diesen Fällen zu lockern.
Eine zweite Strategie wäre es, das Bekenntnis zur informierten Einwilligung als essentielle Voraussetzung von jeder Form von biomedizinischer Forschung hochzuhalten, jedoch über neue Formen solcher Einwilligung nachzudenken, die der Realität von Big Data und KI angemessen sind. So sind zwischen klassischer informierter Einwilligung in jeden einzelnen Verarbeitungsvorgang und dem Verzicht auf Einwilligungserfordernisse Mittelwege denkbar. (2) könnte dann zum Anlass genommen werden, innovative Strukturen und Mechanismen zum Einholen, Erteilen, Verweigern und Wider-ruf informierter Einwilligung zu geben.
Dies ist nicht der Ort, um diese beiden Ansätze abschließend zu bewerten. Wir möchten lediglich auf eine Schwierigkeit in der Motivation des ersten Ansatzes, d. h. in den angesprochenen Kontexten keine informierte Einwilligung zu fordern, hinweisen. Dessen Rechtfertigung basiert im Wesentlichen auf einer Kombination von Impraktikabilität und Unsicherheit. So kann beispielsweise zum Zeitpunkt der möglichen Aufnahme von Individuen in bestimmte Forschungsprojekte offen sein, welche Zwecke durch die Datenverarbeitung genau verfolgt werden. Dadurch erscheint Bedingung (2) erfüllt, d. h. informierte Einwilligung im klassischen Sinne ist wenig praktikabel. Zu beachten ist jedoch, dass genau dieselben Erwägungen (1) und (3) unterlaufen oder zumindest Fragen aufwerfen: Wenn Verarbeitungszwecke und zukünftige Verwendung von Daten bzw. Ergebnissen unklar sind, warum sollte gerade unter solchen Umständen hinreichend hohe Sicherheit bezüglich des gesellschaftlichen Werts und der Effektivität von Sicherungsmechanismen gegen Verletzungen der Privatsphäre bestehen? Fragen wie diese mag man daher zum Anlass nehmen, statt der Beschränkung oder Auf-gabe von Einwilligungserfordernissen eher den zweiten Ansatz zu verfolgen und die Anpassung und Weiterentwicklung von Einwilligungsprozessen voranzutreiben, welche die Präferenzen der Subjekte kontinuierlich einholen, abbilden und bei Verarbeitungsanfragen umsetzen und dabei in der neuen Realität datenintensiver biomedizinischer Forschung sowohl anwendbar als auch gehaltvoll sind.
5 Fazit
Ausgangspunkt unserer Untersuchungen war die Beobachtung, dass sich Technologien und Praktiken der Datenverarbeitung beständig weiterentwickeln und dabei Herausforderungen für den Datenschutz aufwerfen. Wir sind der Hypothese nachgegangen, dass Datenschutz aus diesem Grund der Anpassung und Erneuerung bedarf. Insbesondere haben wir Mayer-Schönbergers Deutung der Evolution von Datenschutz als Sequenz aufeinanderfolgender Generationen beleuchtet. Seine Deutung hebt die Gestaltbarkeit, Unabgeschlossenheit sowie das Erfordernis fortwährender, zuweilen tiefgreifender Weiterentwicklung des Datenschutzes hervor. Wir haben daraufhin entfaltet, was es aus unserer Sicht konkret heißen würde, im Kontext der eingangs skizzierten Begebenheiten zu einer neuen Generation des Datenschutzes überzugehen.
Mit Wachter und Mittelstadt wäre erstens auf den Gegenstandsbereich des Datenschutzes zu reflektieren. Dabei sind wir in Bezug auf die Frage neutral geblieben, ob Datenschutz um ein right to reasonable inferences erweitert werden sollte. Stattdessen ist es eben jene Grundsatzfrage um den Gegenstandsbereich – in diesem Fall der Erweiterung auf inferences als einer der möglichen Outputs von Datenverarbeitung – die einer Klärung bedarf. Als offene Frage haben wir markiert, ob in diesem Zusammenhang wirklich eine Erweiterung des Datenschutzes gedacht werden muss, oder ob die Problemstellungen nicht unterstreichen, dass gerade mehr als Datenschutz nötig ist, um Datensubjekte zu schützen.
Zweitens erscheint Personenbezug zur Spezifikation des Schutzgegenstands problembehaftet: Zum einen erscheint der Begriff des Personenbezugs potenziell enorm weit, zum anderen können auch Verarbeitungsprozesse von Daten ohne Personenbezug im engeren Sinne zu Beeinträchtigungen der Rechte und Freiheitsvollzüge von Individuen führen. Es stellt sich daher neben den Erwägungen zum Gegenstandsbereich die Frage, ob auch andere Datensorten als personenbezogene Daten Schutzgegenstand des Datenschutzes sein sollten.
Drittens sind leitende Paradigmen des Datenschutzrechts wie Privatheit, die Wahrung von Grundrechten und informationelle Selbstbestimmung im Hinblick auf neue Realitäten der Datenverarbeitung und datengetriebener Entscheidungsfindung weiterzudenken und ggf. zu ergänzen. Dies betrifft u. a. die Art von Rechten, über die Ansprüche rund um den Schutz von Daten artikuliert werden, und die in den Augen mancher um Eigentumsrechte erweitert werden sollten. Ebenso sind neue Zielgrößen wie Datensouveränität zu bewerten und mit dem bestehenden Rahmen in Beziehung zu setzen.
Im Anschluss haben wir uns zwei Themenkomplexen zugewandt, die insbesondere bei der datenschutzrechtlichen Betrachtung biomedizinischer Forschung dringlich sind, bevor eine neue Generation des Datenschutzrechts erdacht und implementiert werden kann. Erstens wäre zu erörtern, ob die momentane Exzeptionalität von Forschung gegenüber anderen Arten der Datenverarbeitung sinnvoll ist. Zweitens stellt sich die Frage, ob und wie die Bedeutung informierter Einwilligung bei der Durchführung von Forschungsvorhaben neu zu bewerten ist.
Während wir notwendige Grundsatzfragen zur Neuausrichtung identifiziert haben, war unser Ziel nicht, diese zu klären. Manche Herausforderungen bei der Steuerung datenintensiver Anwendungen mögen durch minimalinvasive, gezielte Anpassungsschritte in der Rahmenordnung lösbar sein. Die aufgeworfenen Fragestellungen hingegen betreffen die konzeptionellen Grundpfeiler, auf denen eine solche Ordnung aufgebaut ist, und die angesichts extensiver Formen der Datenverarbeitung ihre Tragfähigkeit neu beweisen bzw. einer angepassten Architektur weichen müssen. Dies unterstreicht aus unserer Sicht die Relevanz von Mayer-Schönbergers Deutung der Evolution von Datenschutzgesetzgebung als Sequenz aufeinanderfolgender Generationen, welche die Schwächen vorhergehender Arrangements durch Neuausrichtung und Erweiterung zu überwinden versuchen. Angesichts gänzlich neuartiger, datenbasierter Entscheidungs-mechanismen und gesellschaftlicher Koordinationsprozesse scheint die Zeit für einen Generationenwechsel gekommen, der durch die DSGVO möglicherweise angestoßen, kaum jedoch vollendet wurde.
Der nächste Schritt besteht darin auszuhandeln, durch wen und in welcher Form solche Prozesse vorangetrieben und ausgestaltet werden sollen. Wir vertreten in dieser Hinsicht den Standpunkt, dass eine neue Generation des Datenschutzes nicht nur mittels neuer Gesetzgebung durch nationale oder supranationale Entitäten erfolgt. Die DSGVO ist nach wie vor zu neu und hat zu viel gesetzgeberischen Aufwand erfordert, als dass eine erneute Novelle des Datenschutzes oder gar eine radikal neue Gesetzgebung – gerade auf europäischer Ebene – mittelfristig realistisch ist. Ferner kann Gesetzgebung zwar Veränderungen initiieren, stellt jedoch nur einen Teil des Regelungsapparats dar. Andere sind Rechtsprechung, Rechtslehre, Interpretationen der Beamten sowie der öffentlichen und privaten Akteure, welche den bzw. einen spezifischen Rechtsbereich prägen (z. B. Datenschutzbeauftragte und große datenverarbeitende Unternehmen für den Datenschutzbereich). Veränderungen bzw. eine Evolution im Sinne eines Übergangs zu einer anderen Generation dieser Bandbreite an Komponenten beansprucht eine wesentlich längere Zeit, als für die Änderung eines Gesetzes gebraucht wird. Stefano Rodotà betont dies mit spezifischem Bezug zur Rechtsprechung, wenn er im Hinblick auf eine neue Konzeption (oder gar Generation) des Eigentums im Nachgang der Französischen Revolution erklärt, dass Gesetzesänderungen (bzw. das Inkrafttreten des Code Civil) alleine für den Übergang zu einer neuen Konzeption des Eigentums noch nicht ausreichen:
„Beginnen wir damit, dass sich in der Arbeit der Gerichte das Alte und das Neue ständig miteinander vermischen. Mindestens 20 Jahre lang beurteilten die Gerichte weiterhin Klagen, die vor dem Inkrafttreten des Code Civil entstanden. Wir müssen uns daher nicht nur mit der traditionell konservativen Denkweise der Juristen und mit der Tatsache befassen, dass die Richter ihr intellektuelles Gepäck nicht plötzlich aufgeben konnten: Ebenso muss man berücksichtigen, dass die Phase nach der Kodifizierung [der neuen Eigentumsordnung durch den Code Civil] eine Übergangsphase ist, die gerade durch die Verwendung von Normen und juristischen Kategorien gekennzeichnet ist, die sich in ihrer Inspiration stark unterscheiden.“
Übergänge von einer Generation zur anderen sind nicht abrupt, sondern entfalten sich im Rahmen eines kontinuierlichen Prozesses. In der Tat wird die bereichsspezifische Governance neben Gerichten, Staaten und Regierungen durch eine Reihe von weiteren Akteuren beeinflusst. So wird beispielsweise darauf hingewiesen, dass die praktische Anwendung, Ausgestaltung und Interpretation von Datenschutzmechanismen maßgeblich von großen Anwaltskanzleien mitgeprägt werden wird, welche strategische Beratungsleistungen, internationale Vernetzung und Diskurs sowie die Dokumentation von best practices katalysieren. Eine durch und durch neuartige Generation des Datenschutzes kann daher nur unter Einbindung der ganzen Bandbreite an Akteuren gelingen, die an der Entwicklung, Verfeinerung, Anwendung und operationalen Ausgestaltung des Datenschutzrahmens beteiligt sind – ein Diskurs, so glauben wir, in dem die in diesem Beitrag umrissenen konzeptionellen Knotenpunkte der Reflexion bedürfen.
Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.
Andrea Martani und Patrik Hummel in: Datenreiche Medizin und das Problem der Einwilligung; Springer, Berlin, Heidelberg; 2022