Bilanz nach drei Jahren Datenschutz-Grundverordnung

Die DSGVO hat in Sachen Grundrechtsschutz eine Vorreiter-Rolle gespielt, viele Staaten sind mittlerweile ihrem Beispiel gefolgt. Ihre Grundsätze sind Bedingungen für eine lebenswerte, digitale Gesellschaft. Doch bisherige Rechtslücken werfen viele Fragen auf – und werden vor allem von mächtigen Datenverarbeitern, wie globalen Konzernen, ausgenutzt.

"Der größte Erfolg der Datenschutz-Grundverordnung ist, dass sie die Werte zum Ausdruck bringt, auf die sich die Mitgliedstaaten der Europäischen Union für ihren Weg in die digitale Gesellschaft geeinigt haben. Ihre Grundsätze, um die Grundrechte auf Datenschutz und Selbstbestimmung auszugestalten, sind Bedingungen für eine lebenswerte Gesellschaft", so Alexander Roßnagel, Sprecher des Forschungsverbunds "Forum Privatheit" und Professor für Öffentliches Recht an der Universität Kassel.

Denn die DSGVO fordere eine ausreichende Transparenz der Datenverarbeitung für die betroffenen Personen, die Bindung der Datenverarbeitung auf die Zwecke einer legitimen Datenerhebung, die Minimierung des Personenbezugs der Daten auf das zur Zweckerreichung Notwendige und die Gewährleistung von Datenschutz durch die technisch-organisatorische Gestaltung der Verarbeitungssysteme. "Damit zeigt die Verordnung einen dritten Weg der weltweiten Digitalisierung auf – zwischen der Kontrolle des Alltagslebens in China und der Datenausbeutung des kalifornischen Digitalkapitalismus", konstatiert Roßnagel. Diesen Weg wollten mittlerweile viele Staaten der Welt mitgehen und gäben sich Datenschutzgesetze, die an der Datenschutz-Grundverordnung orientiert sind. 

Einheitlich verbindliche Regelungen für den Datenschutz in der gesamten Europäischen Union

Für den zunehmenden Umgang mit personenbezogenen Daten bietet die Datenschutz-Grundverordnung erstmals einheitliche unmittelbar verbindliche Regelungen für den Datenschutz in der gesamten Europäischen Union. Sie hat damit die Diskussion über Notwendigkeit und Inhalt des Datenschutzes gefördert und den Respekt vor den Grundrechten der betroffenen Personen gestärkt. Insbesondere mit ihren am Wettbewerbsrecht orientierten Sanktionsdrohungen, aber auch mit ihrer Etablierung unabhängiger, starker Aufsichtsbehörden hat sie viel Aufmerksamkeit für den Datenschutz bewirkt.

Trotz dieser Stärkung des Datenschutzes waren die Befürchtungen vor einer unangemessenen Datenschutzbürokratie übertrieben. Die Praxis hat gezeigt, dass die Umstellung auf die neue Datenschutzordnung am Ende gar nicht so aufwändig war, wie ihre Gegner vorausgesagt hatten. Die Datenschutz-Grundverordnung führt weit überwiegend die Regelungen der in Deutschland geltenden vorherigen Datenschutz-Richtlinie fort. Wer sich vor der Geltung der Datenschutz-Grundverordnung bereits an die Datenschutzregeln gehalten hatte, musste nur wenig in seiner praktischen Arbeit umstellen. Gesetzgeberische Innovationen der Verordnung wie der Erlass von Verhaltensregeln oder die Zertifizierung von Verarbeitungsvorgängen sind in der Praxis noch kaum angenommen worden. Sie könnten zu weiteren Erleichterungen führen.

Die Intention war gut – doch bisher bleibt Manches hinter den Erwartungen zurück

Drei Jahre Datenschutzpraxis lassen aber auch Schwachstellen der Datenschutz-Grundverordnung immer deutlicher werden. Sie hat zum einen nicht zu einer einheitlichen Datenschutzpraxis in der Europäischen Union geführt: Die Abstraktheit vieler Regelungen lässt Raum für unterschiedliche Interpretationen und die vielen Öffnungsklauseln eröffnen Spielräume für divergierende Gesetze in den Mitgliedstaaten. Hinsichtlich der Abstimmung der unabhängigen Aufsichtsbehörden hat sie komplizierte Verfahren vorgesehen, die eine einheitliche Zielsetzung und einen Kulturwandel voraussetzen, der (noch) fehlt. Zum anderen hat sie die notwendige Modernisierung des Datenschutzes angesichts der Herausforderungen von modernsten Informationstechniken wie Big Data, Internet der Dinge oder Künstlicher Intelligenz verfehlt: Sie enthält überwiegend abstrakte, technik- und risikoneutrale Regelungen, die in der Praxis nur schwer und hochumstritten zu konkretisieren sind. Beispiele hierfür sind etwa die notwendige Abwägung bei datengetriebenen Geschäftsmodellen zwischen berechtigten Interessen des Verantwortlichen und schutzwürdigen Interessen der betroffenen Person, ohne dass die Verordnung hierfür geeignete Kriterien vorgibt. Ein anderes Beispiel sind die unzähligen Streitverfahren über den Umfang des Auskunftsanspruchs. Die mangelnde Bestimmtheit vieler Regelungen der Verordnung bindet täglich Millionen von Arbeitsstunden und behindert Innovationen und Investitionen.

Rechtslücken werden vor allem von mächtigen Datenverarbeitern ausgenutzt

In Lücken, die das Recht lässt, dringt immer gesellschaftliche Macht ein. Solche Lücken werden vor allem von globalen Konzernen und anderen mächtigen Datenverarbeitern genutzt, um ihre Interessen – oft zu Lasten der betroffenen Personen – durchzusetzen. Defizite in der Gesetzgebung nachträglich auszugleichen, verursacht sehr viel Arbeit für die Aufsichtsbehörden. Fortschritte in der Datenschutzpraxis zeigen sich vor allem dort, wo der Europäische Datenschutzausschuss, die Konferenz der unabhängigen Aufsichtsbehörden des Bundes und der Länder oder einzelne Aufsichtsbehörden für Rechtsklarheit gesorgt haben – aber immer unter dem Risiko, dass diejenigen, die damit nicht einverstanden sind, die Gerichte anrufen. Dies hätte oft durch wenige risikoorientierte Festlegungen des Unionsgesetzgebers vermieden werden können.

"Die europäische und die deutsche Gesetzgebung sollte für künftige Digitalisierungsprojekte aus den Erfahrungen mit der Datenschutz-Grundverordnung lernen", meint Forum Privatheit-Sprecher Alexander Roßnagel.

Dieser Wunsch scheint zumindest bei der Europäischen Kommission angekommen zu sein. In ihrem Entwurf für eine Verordnung zur Regulierung künstlicher Intelligenz hat sie die strikte Technik- und Risikoneutralität in der Regulierung aufgegeben und regelt bereichs- und anwendungsspezifisch, wie Risiken für Grundrechte durch Künstliche Intelligenz abgewehrt werden können.

Im Forum Privatheit setzen sich Expertinnen und Experten aus sieben wissenschaftlichen Institutionen interdisziplinär, kritisch und unabhängig mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert. Weitere Partner sind das Fraunhofer SIT, die Universität Duisburg-Essen, das Wissenschaftliche Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel, die Eberhard Karls Universität Tübingen, die Ludwig-Maximilians-Universität München sowie das Unabhängige Landes­zentrum für Datenschutz Schleswig-Holstein. Das Bundesministerium für Bildung und Forschung fördert das Forum Privatheit, um den öffentlichen Diskurs zu den Themen Privatheit und Datenschutz anzuregen.

Firmenkontakt und Herausgeber der Meldung:

Fraunhofer-Institut für System-und Innovationsforschung (ISI)
Breslauer Straße 48
76139 Karlsruhe
Telefon: +49 (721) 6809-0
Telefax: +49 (721) 689152
http://www.isi.fraunhofer.de

Ansprechpartner:
Barbara Ferrarese
Forum Privatheit
Telefon: +49 (721) 6809-678
E-Mail: presse@forum-privatheit.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel