Das Datenschutzrecht befindet sich im Umbruch: Im Frühjahr 2016 hat die EU eine Datenschutzgrundverordnung (DSGVO) beschlossen, ab Mai 2018 muss sie angewendet werden. Erst vor wenigen Wochen haben Bundestag und Bundesrat ein neues Datenschutzgesetz beschlossen, das das deutsche Recht an EU-Vorgaben anpassen soll. Wir sprachen mit dem Datenschutzrechtler Alexander Roßnagel über notwendige Klarstellungen und verpasste Chancen. Er lehrt an der Universität Kassel und ist unter anderem Sprecher des „Forum Privatheit“, ein mit Mitteln des Bundesforschungsministeriums gefördertes Forschungsprojekt zu selbstbestimmtem Leben in der digitalen Welt. Roßnagel war unter anderem als Sachverständiger für das Bundesverfassungsgericht, den Bundestag und die Bundesregierung tätig.
Die Datenschutzgrundverordnung allein reicht nicht aus
netzpolitik.org: Vor wenigen Wochen wurde das Datenschutzanpassungs- und Umsetzungsgesetz verabschiedet. Es gab daran drastische Kritik von Daten- und Verbraucherschützern, mehrfach wurde der Text nachgebessert. Auch das Forum Privatheit hat sich zu Wort gemeldet und auf das Potenzial verwiesen, mit dem Gesetz einen progressiveren Datenschutz voranzubringen. Können wir am Ende zufrieden sein?
Roßnagel: Nein, leider nicht. Der Gesetzgeber ist zwar in ein paar Punkten auf die Kritik eingegangen und hat etwa bei den Betroffenenrechten nachgebessert. An vielen anderen Stellen hat er das nicht getan. Das wirklich Interessante ist aber das, was nicht im Gesetz steht. Man hat hier viele Chancen nicht ergriffen.
netzpolitik.org: Was fehlt Ihnen?
Roßnagel: Um das zu erläutern, muss ich ein wenig ausholen. Die Kritik hat hier viel mit den Mängeln der DSGVO zu tun, an die das deutsche Recht angepasst werden sollte. Das Hauptproblem der DSGVO liegt meiner Meinung nach darin, dass sie die eigentlich schwierigen Herausforderungen der Digitalisierung nicht thematisiert hat. Wir finden da kein Wort zu Big Data, Künstlicher Intelligenz, Ubiquitous Computing, Smart Cars, Smart Health, Industrie 4.0 und so weiter. Also alles das, was neue technische Entwicklungen an neuen Herausforderungen für den Datenschutz mit sich bringen. Diese Themen waren die letzten vier Jahre auch schon bekannt, wurden meines Erachtens nach jedoch wegen eines falschen Verständnisses von „Technikneutralität“ in der Grundverordnung nicht adressiert.
netzpolitik.org: Bei der Technikneutralität geht es darum, möglichst beständige Regulierungen zu schaffen, die nicht nur für eine ganz bestimmte technische Ausprägung funktionieren und nach kurzer Zeit aufgrund der technologischen Entwicklungen überholt sind. Wo ist das Problem?
Roßnagel: Es stimmt, an einzelnen Merkmalen bestimmter Techniken sollte man nicht anknüpfen, denn die verändern sich leicht. Das heißt aber nicht, dass man die Risiken ignorieren darf, die von unterschiedlichen Anwendungstypen ausgehen. Die Datenschutzprobleme von Cloud Computing sind beispielsweise vollständig andere als die von Big Data und diese unterscheiden sich wieder von denen des Ubiquitous Computing. Man müsste deshalb meines Erachtens zu den Grundfunktionen, die diese Techniken in besonderer Weise mit sich bringen, Regelungen treffen. Die ändern sich nämlich nicht dynamisch mit der technischen Fortentwicklung, sondern sind mit der jeweiligen Form der Techniknutzung grundsätzlich verbunden. So könnte man den Risiken, die damit verbunden sind, gerecht werden. Die Datenschutzverordnung macht das in keiner Weise. Die Betroffenenrechte gelten in gleicher Weise – oder besser gesagt: sie gelten in gleicher Weise nicht richtig – für den Bäcker um die Ecke, der die Daten händisch verarbeitet, wie für Amazon, das Big Data-Anwendungen einsetzt.
netzpolitik.org: Wo gäbe es Konkretisierungsbedarf?
Roßnagel: Nehmen wir als Beispiel mal das Thema Informationsrechte. Es ist grundsätzlich ganz gut ausgearbeitet, dass Betroffene sich Informationen darüber einholen können, welche Daten über sie verarbeitet werden. Das setzt aber immer ein Ausgabemedium voraus. Wie soll das beispielsweise konkret beim Internet der Dinge aussehen, wo es ja genau darum geht, dass die Technik im Hintergrund läuft und mich gerade nicht belästigt? Die Sensoren, die mich umgeben, haben oft ja gar keine Ausgabemedien und selbst wenn es beispielsweise einen Lautsprecher gibt, ist das vielleicht nicht der richtige Weg.
netzpolitik.org: Nun könnte man sagen, dass es dann jetzt eben Zusatzgesetzgebungen braucht, die solche spezifischen Bereiche regeln. Kommt das nicht vielleicht noch?
Roßnagel: Wenn das so wäre, wäre das ja ein gangbarer Weg. Die EU-Kommission meint aber, dass sie mit der DSGVO alles geregelt hat. Für den Bereich der elektronischen Kommunikation kommt noch die ePrivacy-Verordnung, da geht es jedoch primär um Signalübertragung, nicht um die Inhalte. Und das mit dem Ausgabemedium war jetzt nur ein Beispiel. Bei Big Data habe ich ganz andere Probleme, bei Cloud Computing wieder andere Probleme. Und so müssten eigentlich, ausgehend von den Grundregelungen in der Verordnung, für jede Herausforderung die Spezifika geregelt werden.
Die Bundesregierung hätte viele Fragen endlich klären können
netzpolitik.org: Und hier hätte jetzt das deutsche Datenschutzanpassungs- und Umsetzungsgesetz ins Spiel kommen können?
Roßnagel: Genau. Die DSGVO enthält siebzig Öffnungsklauseln, kleine und große. Zwei ganz große hat man beispielsweise für den Bereich des Beschäftigtendatenschutzes und für den öffentlichen Bereich, also für die Datenverarbeitung durch staatliche Stellen und auch durch alle Privaten, die öffentliche Interessen verfolgen. Da hat man einen weiten Öffnungsbereich, der fast die Hälfte der gesamten Datenverarbeitung ausmacht. Und da hätte Deutschland jetzt, ohne über den Rahmen der DSGVO hinauszugehen, bereichsspezifische oder technikspezifische Regelungen treffen können. So könnte man zunächst mal für die Bereiche Beschäftigung und Datenschutz im öffentlichen Bereich Problemlösungen finden, die für den privaten Bereich eine Vorbildwirkung haben. Bei der nächsten Novelle der DSGVO hätte die Kommission dann einen Anhaltspunkt und man könnte bereits sehen, was in Deutschland besser funktioniert und was weniger gut. Wenn wir an dieser Stelle nichts ausprobieren, nehmen wir hier eine große Rechtsunsicherheit in Hinblick auf diese neuen Herausforderungen in Kauf.
netzpolitik.org: Wie könnten solche Vorbildregelungen dann konkret aussehen, beispielsweise für den Beschäftigtendatenschutz?
Roßnagel: Die aktuelle Situation mit dem neuen Bundesdatenschutzgesetz ist jetzt, dass man einfach den bisherigen Paragraphen aus dem alten Bundesdatenschutzgesetz übernommen und noch zwei, drei Kleinigkeiten hinzugefügt hat. Man hätte die Chance jetzt auch nutzen können, um gleich in zwei oder drei eigenen Paragraphen Fragen zu regeln, die bereits heute einen großen Problemstau verursachen. Nehmen wir zum Beispiel den Einsatz von Videoüberwachung an Arbeitsplätzen: Wann ist das zulässig, wann ist das nicht zulässig? Oder die Verfolgung von Ortsdaten von Mitarbeitern: Welcher Arbeitnehmer hält sich wo auf? Gerade in der Logistik ist das besonders interessant. Man hätte eine ganze Reihe solcher bestehender Fragen aufgreifen und endlich klären können.
Das neue Datenschutzgesetz schafft neue Rechtsunsicherheiten
netzpolitik.org: Ein anderes Thema ist Privacy-by-Design, das von der Grundverordnung erstmalig als Grundsatz jeder Datenverarbeitung vorgeschrieben wird.
Roßnagel: Genau. Hier fängt es schon bei der Frage an, was eigentlich Datenschutz-by-Design heißt. Das ist grundsätzlich eine sehr gute Idee, aber es wird nur etwas werden, wenn das konkretisiert wird. Wir haben in der DSGVO hierzu nur eine höchst abstrakte Generalklausel. Es liegt nun also an der freiwilligen Auslegung dieses Grundsatzes durch den Datenverarbeiter. Wenn man jetzt für die Verarbeitung von Beschäftigtendaten zeigen würde, was die Anforderungen bei Privacy-by-Design konkret sind, würde man für diese gute Vorgabe ein hohes Maß an Rechtssicherheit schaffen. Und man könnte das dann wiederum auf andere Bereiche übertragen. Eine wichtige Rolle spielen hier auch die Hersteller von Datenverarbeitungsprogrammen. Denn Datenverarbeiter können sich natürlich nur in dem Rahmen bewegen, den ihnen die verwendete Software ermöglicht. Privacy-by-Design ohne Herstellerpflichten ist eigentlich kaum möglich. Deswegen müssten die Hersteller eigentlich auch notwendige Adressaten der DSGVO sein, doch sie kommen hier gar nicht vor.
netzpolitik.org: Kritiker weisen darauf hin, dass man es außerdem versäumt habe, eine klare Ausnahme für die Nutzung personenbezogener Daten im Rahmen von Presseberichterstattung einzubauen und möglichen Versuchen vorzubeugen, den Datenschutz zur Einschränkung der Meinungsfreiheit zu instrumentalisieren. Auf der diesjährigen re:publica-Konferenz legte Bundesinnenminister Thomas de Maizière sogar selbst nahe [Youtube], dass Tweets über ihn, die auch seinen Namen enthalten, sein Recht auf Datenschutz beeinträchtigen könnten.
Roßnagel: Diese schwierige Frage wird von der Datenschutzgrundverordnung in der Tat explizit nicht beantwortet. Sie fordert die Mitgliedstaaten jedoch auf, genau dies zu tun. Und diesen Regelungsauftrag, eine Abwägung zwischen dem Grundrecht auf Meinungs- und Pressefreiheit einerseits und dem auf informationelle Selbstbestimmung andererseits, zu treffen, hat der deutsche Gesetzgeber nicht erfüllt. Das hätte er mit dem Anpassungsgesetz tun müssen. Bislang gab es im alten Bundesdatenschutzgesetz hierfür einen Paragraphen. Der fällt aber ersatzlos weg, weil das neue Datenschutzgesetz kein Äquivalent enthält. Natürlich kann man als Gesetzgeber sagen, dass man es darauf ankommen lässt, wie die Gerichte mit der schwierigen Abwägung zwischen Datenschutz und Meinungsfreiheit umgehen. Aber dann schafft man eben eine neue Rechtsunsicherheit, die man hätte vermeiden können.
Potenzial der Datenschutz-Zertifizierung nicht genutzt
netzpolitik.org: Ein weiteres Thema mit positivem Potenzial ist die Datenschutz-Zertifizierung. Sie könnte im Idealfall dazu führen, dass bestimmte Datenschutzprozesse zum Beispiel in Unternehmen standardisiert und zuverlässig geprüft ablaufen. So könnte unter anderem auch das Vertrauen von Nutzern gestärkt werden; besonders datenschutzfreundliche Unternehmen könnten damit werben. Auch hier sind Sie und das Forum Privatheit unzufrieden. Wieso?
Roßnagel: Die DSGVO hat, wenn man es genau nimmt, nur einen einzigen Artikel, der die Zertifizierung regelt. Es ist zum Beispiel überhaupt nichts zu den Anforderungen an die Durchführung eines Zertifizierungsprozesses geregelt. Also: Muss es Untersuchungen vor Ort geben oder sind das Untersuchungen auf Papier? Da gibt es derzeit keine Vorgaben, was hieße, dass man es dem Markt überlässt. In meinen Augen wird die Konsequenz davon sein, dass es einen Wettbewerb zwischen Zertifizierungsstellen um die Unternehmenskunden geben wird – und die gucken nun mal als erstes auf den Preis. Wenn man so eine Datenschutzzertifizierung aber möglichst billig machen muss, dann spart man bei der tatsächlichen Überprüfung des Datenschutzsystems an allen Ecken und Enden. Dann reicht es am Ende vielleicht schon, einfach ein Konzept vorzulegen und eine Papierprüfung vorzunehmen, um ein Datenschutz-Siegel zu erhalten. All das ist ungeregelt und wieder hätte es die Möglichkeit gegeben, für Deutschland die Rechtssicherheit zu erhöhen, indem man hier zumindest für den Beschäftigtenbereich und den öffentlichen Bereich Vorgaben macht.
netzpolitik.org: Was hätten Sie sich konkret gewünscht?
Roßnagel: In dieses Anpassungsgesetz hätten problemlos ein oder zwei eigene Paragraphen gepasst, mit denen man die DSGVO an dieser Stelle hätte präzisieren können, ohne gegen sie zu verstoßen. Ein anderes Thema ist hier auch die Dynamik der Datenverarbeitung. Zertifiziert werden Datenverarbeitungsvorgänge für drei Jahre. Am Tag nach der Prüfung kann der Vorgang jedoch schon anders aussehen als am Vortag. Ein halbes Jahr später kann es dann vollkommen anders sein. Aber der Betreiber oder der Anbieter hat das Zertifikat dann für drei Jahre. Man könnte ja einfach regeln, dass mindestens jährliche Wiederholungsprüfungen stattfinden müssen. Hier keine Vorgaben zu machen, heißt in Kauf zu nehmen, dass die Zertifizierung mit den niedrigsten Standards sich durchsetzt. Wenn man nur ein bisschen genauer hinschaut, sieht man, dass es eine Fülle von Fragen gibt, mit denen sich die Bundesregierung einfach nicht befasst hat. Das gilt eigentlich für alle 20 Artikel der DSGVO, die Pflichten für die verantwortlichen Stellen mit sich bringen.
Ob Grundrechte zu wahren sind, ist keine Frage der Politik
netzpolitik.org: Woran liegt das Ihrer Meinung nach?
Roßnagel: Ich führe das zum einen auf einen falsch verstandenen Anwendungsvorrang der DSGVO zurück. Die Kompetenzen zwischen der Europäischen Union und den Mitgliedstaaten sind so geregelt, dass die EU nur dort tätig werden darf, wo sie eine ganz konkrete Ermächtigungsgrundlage hat. Alles andere liegt bei den Mitgliedstaaten. Das heißt: Soweit die EU in einem Bereich etwas geregelt hat, gibt es einen Vorrang vor dem Recht der Mitgliedstaaten. Wo sie dies nicht getan hat, ist der Mitgliedstaat frei. Das gilt auch für Fragen der Konkretisierung und Präzisierung. Also: Wenn die EU nur eine sehr allgemeine Regelung trifft, heißt dies eben nicht, dass der Mitgliedstaat in dem ganzen Bereich dieser abstrakten Vorgaben selber nichts mehr regeln darf, sondern nur, dass im Konfliktfall die EU-Regel vorgehen würde. Das hieße für den Datenschutz, dass Deutschland sehr wohl auch weitergehende Konkretisierungen vornehmen dürfte, so lange sie nicht gegen die DSGVO verstoßen. Wenn diese aber keine konkreten Vorgaben beispielsweise für die Zertifizierung enthält, dürfte Deutschland diese selbst erlassen. Und an sowas hat sich der Gesetzgeber jetzt nicht rangetraut.
netzpolitik.org: Beziehungsweise nur in bestimmten Bereichen; Bei der Ausweitung der Videoüberwachung geht die Große Koalition ja sehr wohl das Risiko ein, sogar explizit gegen die EU-Vorgaben zu verstoßen, wie es etwa Sachverständige in der Bundestagsanhörung kritisiert haben.
Roßnagel: Das ist der andere Punkt, denn in der Tat wird da mit zweierlei Maß gemessen. Wir hatten vom Forum Privatheit im Frühjahr eine Tagung zum Anpassungsgesetz, zu der auch ein Vertreter des Innenministeriums eingeladen war. Wir haben dort intensiv die Frage diskutiert, wie risikofreudig die Regierung gegenüber Vertragsverletzungsverfahren von der EU-Kommission ist. Und es war doch sehr auffällig, dass überall da, wo der Datenschutz eingeschränkt wird, die Regierung ein hohes Risiko eingeht, also zum Beispiel bei der Videoüberwachung. Überall da, wo man doch noch etwas für die Betroffenenrechte oder für Privacy-by-Design hätte machen können, hieß es, das sei zu gefährlich.
netzpolitik.org: Also eine Frage des politischen Willens? Wir erleben durch Angela Merkel und andere Vertreter der Bundesregierung ja seit Monaten einen beispiellosen rhetorischen Angriff auf das Grundprinzip des Datenschutzes an sich, mit dem Ziel, Datenschutz als veraltet darzustellen, weil er einem ominösen Datenreichtum im Weg stehe.
Roßnagel: Ja, das neue Datenschutzgesetz trägt diese von Ihnen angedeutete Handschrift. Man muss aber immer wieder betonen, dass es keine Frage der Politik ist, ob Grundrechte zu wahren sind. Sowohl die Europäische Grundrechtecharta als auch das Recht auf informationelle Selbstbestimmung basieren auf dem Verhältnismäßigkeitsprinzip. Also: Der Grundrechtseingriff muss so gering wie möglich gehalten werden. Und es ist eine Verdrehung des eigentlichen Problems, Datenreichtum gegen Datenarmut auszuspielen. Das Datenschutzrecht sagt zu der Menge der Daten überhaupt gar nichts. Man kann so viele Daten verarbeiten wie man möchte, und bei Big Data braucht man eben viele Daten. Das ist datenschutzrechtlich nur dann ein Problem, wenn die Daten personenbezogen sind. Anonymisierte Daten beispielsweise kann man so viel verarbeiten, wie man möchte.
netzpolitik.org glaubt doch nicht im Ernst, dass Zertifizierungen ein sinnvoller Beitrag zum Datenschutz sind, oder? Ein Zertifikat ist bedrucktes Papier, nicht mehr und nicht weniger. Mit solchen Scheinlösungen wird eine Sicherheit vorgegaukelt, die es einfach nicht gibt.
Genau darauf geht mein Interviewpartner dann doch ein: Ohne entsprechend konkrete Vorgaben nützt die Zertifizierung nichts.
Auch mit konkreten Vorgaben nützt sie fast nichts bis gar nichts. Eine Zertifizierung ist und bleibt bedrucktes Papier. Immerhin hat der Gesetzgeber damit ein wunderbares Geschäftsfeld für Zertifizierer geschaffen.
Ich befürchte, echten Datenschutz kann man nur selbst in Eigeninitiative leisten, sofern das Ganze „lenkbar“ und praktikabel ist. Die Poltik ist kein verlässlicher Partner in diesen Fragen. Die Politik ist im Rahmen der Digitalisierung eher darin bemüht, die wirtschaftlichen Aspekte zu sichern, nicht die bürgerlichen Interessen zu berücksichtigen. Die meisten Nutzer sind vollkommen schutzlos den Unbilden ausgeliefert, die sich mit einem globalen Netzwerk ergeben.
Im Grunde ist Datenschutz generell ein „Scherz“ im Internet, da es ihn eigentlich nie gegeben hat und nie geben wird. Es ist eher die Frage zu stellen, wie & wohin der Nutzer seine Daten fließen lässt, auf welche Systeme er sie legt und ob er diesen vertraut. Und letztendlich ist es quasi unmöglich für einen normalen Nutzer ein sicher verschlüsseltes und gehärtetes System einzurichten und zu nutzen. Das ist militärischen Einrichtungen, Nachrichtendiensten, Polizeibehörden und Regierungseinrichtungen vorbehalten. Klar geht das theoretisch alles mit entsprechend sehr hohen Sicherheitsstandards, aber eben nicht für „normale“ Bürger, sonst wären Überwachungsmaßnahmen und Datenhehlerei nicht möglich. Bürgerlich besteht kein relevantes Schutzinteresse und Sicherheitsmaßnahmen hervorgerufen durch Bürger rufen eher paranoide Persönlichkeiten auf die Bühne, insbesondere wenn Bürger sich der Überwachung entziehen oder drüber stolpern.
Das Netz teilt sich schlicht auf in die Lenkenden und die Folgenden, über die man natürlich alles weiß, was durchaus praktisch für die Lenkenden ist. Datenschutz? Kannst vergessen….
Die Gesetze standen immer schon auf dem riesigen Stapel Papier, mehr sind & waren sie nie außer hübsches Papier. Technische Realität wird nicht im Entferntesten abgebildet.
resU:
Es gibt auch IT-gebildete Bürger, die sehr sichere Systeme einrichten können. Die allereinfachste ist, bestimmte Errungenschaften der IT erst gar nicht zu benutzen. Wer freiwillig „Ortungswanzen“ – gemeinhin Handy oder Smartfone genannt – nutzt und den Geräten, Clouds oder ähnlichem sein ganzes Leben anvertraut, macht es denen, die einen nicht als freien Menschen, sondern als auszupressendes Wirtschaftsgut oder Straftatverdächtigen betrachten, sehr leicht. Leider sind die meisten zu bequem, zu ignorant („ich hab nix zu verbergen“…man frage diese Leute mal, was sie sagen würden, wenn man ihre physische Post aus dem Kasten stehlen oder lesen würde…!!). Ich selbst mache nichts, aber auch gar nichts ausser normalem Schreiben und Lesen im Netz, grundsätzlich NIE mit richtigem Namen, ich bespreche wichtige persönliche oder berufliche Dinge immer persönlich und nicht am Telefon. Und da bin ich nicht der einzige! Es gibt mittlerweile eine ganze Reihe Unternehmen, die Wichtiges und neue Ideen oder Geschäftsgeheimnisse nicht mehr per IT bearbeiten, sondern die klassische Schreibmaschine und den Post- oder Kurierweg nutzen. Sehr weise! Und ein Zeichen dafür, dass die „Schöne neue (Digital-)Welt“ (frei nach Aldous Huxley) uns durch Manipulation (Wirtschaft, Geheimdienste), Abhängigkeiten (USA, Silicon Valley), und Überwachung immer mehr Probleme bereitet und nur rein technisch und oberflächlich betrachtet ein Fortschritt ist, der vom unkritischen, tumben Bürger zwar begrüsst wird, ihn genau durch dies aber immer abhängiger, undemokratischer und passiver werden lässt.