15.06.2021 | Campus-Meldung

Bi­lanz nach drei Jah­ren Da­ten­schutz-Grund­ver­ord­nung

Die Datenschutz-Grundverordnung (DSGVO) spielte in Sachen Grundrechtsschutz eine Vorreiter-Rolle, viele Staaten sind mittlerweile ihrem Beispiel gefolgt. Ihre Grundsätze sind Bedingungen für eine lebenswerte, digitale Gesellschaft. Doch bisherige Rechtslücken werfen viele Fragen auf - und werden vor allem von mächtigen Datenverarbeitern, wie globalen Konzernen, ausgenutzt.

Bild: luis gomes

Für den zunehmenden Umgang mit personenbezogenen Daten bietet die DSGVO erstmals einheitliche unmittelbar verbindliche Regelungen für den Datenschutz in der gesamten Europäischen Union. Sie hat damit die Diskussion über Notwendigkeit und Inhalt des Datenschutzes gefördert und den Respekt vor den Grundrechten der betroffenen Personen gestärkt. Insbesondere mit ihren am Wettbewerbsrecht orientierten Sanktionsdrohungen, aber auch mit ihrer Etablierung unabhängiger, starker Aufsichtsbehörden hat sie viel Aufmerksamkeit für den Datenschutz bewirkt.

Trotz dieser Stärkung des Datenschutzes waren die Befürchtungen vor einer unangemessenen Datenschutzbürokratie übertrieben. Die Praxis zeigte, dass die Umstellung auf die neue Datenschutzordnung gar nicht so aufwändig war, wie von Gegnern vorausgesagt. Die DSGVO führt weit überwiegend die Regelungen der in Deutschland geltenden vorherigen Datenschutz-Richtlinie fort. Wer sich bereits an diese gehalten hatte, musste nur wenig in seiner praktischen Arbeit umstellen. Innovationen der Verordnung, wie der Erlass von Verhaltensregeln oder die Zertifizierung von Verarbeitungsvorgängen sind in der Praxis noch kaum angenommen worden. Sie könnten zu weiteren Erleichterungen führen.

Die Intention war gut - doch bisher bleibt Manches hinter den Erwartungen zurück

Drei Jahre Datenschutzpraxis lassen aber auch Schwachstellen der DSGVO immer deutlicher werden. Einerseits führte sie nicht zu einer einheitlichen Datenschutzpraxis in der Europäischen Union: Die Abstraktheit vieler Regelungen lässt Raum für unterschiedliche Interpretationen und die vielen Öffnungsklauseln eröffnen Spielräume für divergierende Gesetze in den Mitgliedstaaten. Hinsichtlich der Abstimmung der unabhängigen Aufsichtsbehörden hat sie komplizierte Verfahren vorgesehen, die eine einheitliche Zielsetzung und einen Kulturwandel voraussetzen, der (noch) fehlt. Anderseits verfehlte sie die notwendige Modernisierung des Datenschutzes angesichts der Herausforderungen von modernsten Informationstechniken wie Big Data, Internet der Dinge oder Künstlicher Intelligenz: Sie enthält überwiegend abstrakte, technik- und risikoneutrale Regelungen, die in der Praxis nur schwer und hochumstritten zu konkretisieren sind. Beispiele hierfür sind etwa die notwendige Abwägung bei datengetriebenen Geschäftsmodellen zwischen berechtigten Interessen des Verantwortlichen und schutzwürdigen Interessen der betroffenen Person, ohne dass die Verordnung hierfür geeignete Kriterien vorgibt. Die mangelnde Bestimmtheit vieler Regelungen der Verordnung bindet täglich Millionen von Arbeitsstunden und behindert Innovationen und Investitionen.

Rechtslücken werden vor allem von mächtigen Datenverarbeitern ausgenutzt

In Lücken, die das Recht lässt, dringt immer gesellschaftliche Macht ein. Solche Lücken werden vor allem von globalen Konzernen und anderen mächtigen Datenverarbeitern genutzt, um ihre Interessen – oft zu Lasten der betroffenen Personen – durchzusetzen. Defizite in der Gesetzgebung nachträglich auszugleichen, verursacht sehr viel Arbeit für die Aufsichtsbehörden. Fortschritte in der Datenschutzpraxis zeigen sich vor allem dort, wo der Europäische Datenschutzausschuss, die Konferenz der unabhängigen Aufsichtsbehörden des Bundes und der Länder oder einzelne Aufsichtsbehörden für Rechtsklarheit gesorgt haben – aber immer unter dem Risiko, dass diejenigen, die damit nicht einverstanden sind, die Gerichte anrufen. Dies hätte oft durch wenige risikoorientierte Festlegungen des Unionsgesetzgebers vermieden werden können.

"Die europäische und die deutsche Gesetzgebung sollte für künftige Digitalisierungsprojekte aus den Erfahrungen mit der DSGVO lernen", meint Forum Privatheit-Sprecher Alexander Roßnagel.

Dieser Wunsch scheint zumindest bei der Europäischen Kommission angekommen zu sein. In ihrem Entwurf für eine Verordnung zur Regulierung künstlicher Intelligenz hat sie die strikte Technik- und Risikoneutralität in der Regulierung aufgegeben und regelt bereichs- und anwendungsspezifisch, wie Risiken für Grundrechte durch Künstliche Intelligenz abgewehrt werden können.

Im Forum Privatheit setzen sich Expertinnen und Experten aus sieben wissenschaftlichen Institutionen interdisziplinär, kritisch und unabhängig mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert. Weitere Partner sind das Fraunhofer SIT, die Universität Duisburg-Essen, das Wissenschaftliche Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel, die Eberhard Karls Universität Tübingen, die Ludwig-Maximilians-Universität München sowie das Unabhängige Landes­zentrum für Datenschutz Schleswig-Holstein. Das Bundesministerium für Bildung und Forschung fördert das Forum Privatheit, um den öffentlichen Diskurs zu den Themen Privatheit und Datenschutz anzuregen.

Sprecher „Forum Privatheit“:
Prof. Dr. Alexander Roßnagel
Fachgebiet Öffentliches Recht
Universität Kassel
a.roßnagel[at]uni-kassel[dot]de
Pressefoto Alexander Roßnagel

Projektkoordination „Forum Privatheit“:
Dr. Michael Friedewald
Fraunhofer-Institut für System- und Innovationsforschung ISI
Competence Center Neue Technologien
michael.friedewald[at]isi-fraunhofer[dot]de

Presse und Kommunikation „Forum Privatheit“:
Barbara Ferrarese, M.A.
Fraunhofer-Institut für System- und Innovationsforschung ISI
Competence Center Neue Technologien
+49 (0) 721 / 6809-678
barbara.ferrarese[at]isi.fraunhofer[dot]de

„Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt“
https://www.forum-privatheit.de/
Twitter: @ForumPrivatheit