"Lobbyschlacht um den Datenschutz"

Der Startschuss für den Trilog in der Datenschutzgrundverordnung ist gefallen. „Die letzte Lobbyschlacht um den Datenschutz“ hat begonnen, so zumindest der Tagesspiegel. Dabei scheint es grundsätzlich nur zwei Seiten zu geben, die Rollen sind klar verteilt. Man arbeitet entweder für oder gegen den Datenschutz: auf Parlaments- oder Rats-, Verbraucher- oder Industrieseite. Es ist ein Schwarz-Weiß- bzw. wie auf der Internetseite Lobbyplag dargestellt, ein Rot-Grün-Kontrast, bei dem Politiker und Mitgliedstaaten in Gut und Böse eingeteilt werden. So scheinen sich nur Länder wie Griechenland und die Schweiz für einen starken EU-Datenschutz auszusprechen, Deutschland dagegen „bohrt Löcher“, „sägt an den Pfeilern“ und „untergräbt“ das Datenschutzrecht laut Presse.

Dabei wird die gesamte Industrie unter den Begriff „Google, Facebook & Co.“ subsumiert. Man empört sich über Vorschriften, die Unternehmen durch „ein berechtigtes Interesse“ scheinbar alles erlauben und hat kein Verständnis dafür, wie man sich gegen Datensparsamkeit oder gar Zweckbindung aussprechen kann. Das Datenschutzniveau der Richtlinie von 1995 dürfe auf keinen Fall abgesenkt werden, sondern muss gleichbleibend aus dem letzten Jahrhundert übernommen und gegen eine vermeintlich datenschutzfeindliche Google & Co.-Lobbyindustrie in Brüssel verteidigt werden.

Abgrenzung zwischen Pseudonymisierung und Anonymisierung

Wenn deutsche Datenschutzbeauftragte, die seit Jahren in einem klein- oder mittelständischen Unternehmen arbeiten, von gesamtschuldnerischer Haftung in der Auftragsdatenverarbeitungen sprechen, klingt das dagegen weniger spannend. Ebenso wenig wie sog. relative Theorien für die Definition des personenbezogenen Datums oder die Abgrenzung zwischen Anonymisierung und Pseudonymisierung.

Auch wird gerne nur der erste Teil einer Rechtsgrundlage, nämlich die „berechtigten Interessen der Unternehmen“ zitiert, die z.B. in der Diskussion zur Zweckbindung unter Beschuss stand. Dabei geht es aber im zweiten Satz vor allem um eine Interessenabwägung, bei der die Daten nur verarbeitet werden dürfen, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person entgegenstehen. Dies muss im jeweiligen Einzelfall geprüft und abgewogen werden. Dadurch schafft die Vorschrift nicht nur einen Interessenausgleich, sondern die Möglichkeit, verschiedene Fälle zu beurteilen, für die der Gesetzgeber keine spezifische Regelung vorgesehen hat. Gerade in der digitalen Welt, in der laufend neue Anwendungen und Geschäftsmodelle entstehen, sind entsprechende Regelungen dringend erforderlich.

Die Regelung der Einwilligung wird gerne als Indikator genommen, um festzustellen, ob jemand für oder gegen den Datenschutz ist. Dass die Einwilligung in vielen Fällen nach wie vor ein wichtiges Datenschutzinstrument bleibt, sollte schon vor dem Hintergrund des Datenschutzgrundrechts klar sein. Dass sie sich aber für einige Datenverarbeitungsvorgänge in der Internetwirtschaft nicht immer eignet, wird ungern zugegeben. So dürfte die Einwilligung z.B. als Grundlage für „Big-Data-Anwendungen“ aufgrund der Anforderungen des Bestimmtheitsgrundsatzes in der Regel ausscheiden. Auch ist eine „explizite“ Einwilligung, für die sich das Europäische Parlament immer einsetzt, in einer vernetzten Welt des Internets der Dinge nicht praktikabel. So kommentierten Yann Padova, ehemaliger Generalsekretär der französischen Aufsichtsbehörde, und Axel Voss (CDU), MEP, in einem gemeinsamen Artikel: „Do we genuinely protect people’s privacy when we overwhelm them with privacy notices they no longer read?“

Big Data statt Small Data

Auch die Pseudonymisierung, für die Unternehmen eine gesetzliche Grundlage fordern, wird als Freifahrtschein verstanden. Dass es vor dem Hintergrund der rasanten Digitalisierung und neuer Entwicklungen wie Big Data, Internet of Things, Industrie 4.0, Smart Grids, Smart Meter, Smart Home, Smart Car, Smart City, etc. neue Ansätze braucht, um den Datenschutz 4.0-fähig zu machen, wird dabei oft übersehen. Wer neue Ansätze fordert, spricht sich gegen die 1995er Richtlinie und damit für die Senkung des Datenschutzniveaus aus. Man muss aber kein Internetprophet sein, um vorauszusagen, dass Daten in Zukunft nicht minimiert, sondern maximiert werden. Big und nicht Small Data ist längst Realität. Gerade deswegen sollten Anreize für datenschutzfreundliche Verarbeitung, wie Pseudonymisierung gesetzt werden. Pseudonymisierte Daten von z.B. an Herzinsuffizienz leidenden Personen können in eine Big Data Anwendung einfließen. Lässt die Big Data Auswertung erkennen, wann typischerweise eine Verschlechterung des Zustands zu erwarten ist, würde eine Repersonalisierung eine individuelle Ansprache ermöglichen, um medizinische Hilfe zu leisten. Mit einer echten, nicht rückbeziehbaren Anonymisierung ist die Ansprache dieser Person nicht möglich. Ähnliche Szenarien können sich ergeben, wenn Big Data Anwendungen für einzelne Kunden von Interesse ist. Erleichterungen der Datenverarbeitung für Fälle, in denen die Daten einem höheren Schutz z.B. durch eine starke Verschlüsselung unterliegen, sind bislang aber nur für Anonymisierung, nicht aber für Pseudonymisierung vorgesehen. Gerade der Rat konnte sich dort trotz Bemühungen der deutschen Regierung nicht dazu durchringen, entsprechende Vorschriften im Text zu verankern.

In der Welt des „Smart Anything“ wird es nicht reichen, auf 120 Seiten den ausgefeiltesten Datenschutz zu konzipieren, wenn er in der Praxis nicht anwendbar ist. Was wir brauchen, sind flexible Regelungen, die Persönlichkeitsrechte schützen und gleichzeitig innovative Methoden der Verarbeitung und Analyse von Daten ermöglichen. Fordern Unternehmen Flexibilität, wird dies leider oft mit Missbrauch gleichgesetzt. Nur: Wie sollen datenschutzrechtliche Vorschriften für ganz Europa, alle Wirtschaftsbereiche und auf viele Jahre angelegt aussehen, wenn sie nicht flexibel und anpassungsfähig sind. Als Alternative könnte man jede Lebenssituation wie im Preußischen Landesrecht mit 19.000 Vorschriften regeln. Dieser Ansatz wäre allerdings nicht effektiv, da das Internet immer wieder neue Geschäftsmodelle hervorbringt, die wir zum Zeitpunkt der aktuellen Verhandlungen noch nicht kennen.

Es muss daher während des Trilogs ein zukunftsfähiger Datenschutz diskutiert werden, der den einzelnen Bürger schützt, sich aber an der Realität der digitalisierten Wirtschaft und Gesellschaft orientiert.

Datenschutz EU & Europapolitik
Foto Susanne Dehmel
Susanne Dehmel
Mitglied der Geschäftsleitung KI & Daten
Bitkom e.V.
Mehr zum Thema Datenschutz
Eine Lupe, die über eine Laptop-Tastatur gehalten wird.
Stellungnahme
Referentenentwurf zur Umsetzung E-Evidence-VO
Eine Vielzahl kleiner, runder Kekse ist gleichmäßig auf einer hellbeigen Oberfläche verteilt. Die Kekse sind in verschiedenen Farben gebacken: dunkles Braun, mittleres Braun und helles Beige. Einige helle Kekse enthalten kleine, dunkle Schokoladenstückchen. Die Oberfläche der Kekse wirkt krümelig und strukturiert. Die Anordnung ist in Reihen und Spalten, mit gleichmäßigem Abstand zwischen den Keksen.
Datenschutz
Bundesrat zu Cookie-Bannern
Lichtstreifen - digitale Infrastruktur - Telekommunikation - Daten - Kommunikation
Publikation
Datenpolitik & Open Data Ideen für die nächste Legislatur
zwei Bergsteiger erklimmen eingschneiten Berg
Künstliche Intelligenz
In Europa drohen neue Datenschutz-Hürden
künstlerisch wertvolle Glühbirne
Positionspapier
Datenschutzrechtliche Fragen bei Entwicklung und Einsatz von KI
Datenpolitik - Open Data - Meer - Grenze - blau
Stellungnahme
Leitlinien des EDPB zu Art. 6 Abs. 1 lit. f DSGVO
Schloss für grüner Tür
Bundestagswahl 2025
Datenschutz
Nahaufnahme von einem grünen Blatt
Leitfaden
Chancen im Data Act