Datenschutzrecht - Turbo statt Bremse für die Datengesellschaft? • Table.Media

Abermals tritt eine neue Bundesregierung an, um das Ideal der Datengesellschaft umzusetzen. Das Narrativ, wir brauchen Wachstum, wir brauchen eine bessere Versorgung, bessere Bildung für unsere Kinder, eine digitale Verwaltung, verfängt. Zwei Legislaturperioden sind ins Land gegangen, in denen man sich jeweils in einer Datenstrategie vergewissert hat, was notwendig ist dafür. Messbar passiert ist wenig.

Die Zielrichtung muss klar sein: Auf die Aufnahme von Schulden müssen jetzt die entsprechenden Investitionen und die Reformen folgen. Denn das Zeitfenster, in dem wir die Weichen für die Datengesellschaft so stellen können, dass wir uns als europäische Gesellschaften noch im Spiegel wiedererkennen und unsere Werte in der digitalen Welt aufrechterhalten können, schließt sich. Das Grundrecht auf Datenschutz ist eine Errungenschaft, die wir unbedingt erhalten müssen.

Digitalpolitischer Aufholbedarf

Für die Datengesellschaft war das, was in den vergangenen Jahren digitalpolitisch passiert ist, nicht ausreichend, nicht zielführend genug.

Ein Beispiel: Wir stehen leider immer noch ohne ein Forschungsdatengesetz da. Für mich unfassbar, dass wir uns als Forschungsnation hier immer noch nicht klar bekannt haben zu den Spielräumen und den Grenzen, die die DSGVO uns gibt. Das ist aber nötig, um den Umgang mit Daten in der Forschung technisch, organisatorisch und verfahrensmäßig rechtssicher und datenschutzkonform aufzuhängen. Wie wollen wir ohne rechtssichere Forschung zu besserer Bildung und Versorgung kommen – oder die nächste Technologierevolution mitgestalten?

Es ist gut, dass wir jetzt das Digitalministerium bekommen und hoffentlich ein übergreifendes Controlling von Digitalprojekten und eine zentralisierte Umsetzung in einer Digitalagentur. Das liegt auf der Hand. Ich spreche mich aber für ein Digitalministerium mit weitreichenderen Kompetenzen aus, nämlich auch für die Digitalregulierung aus einer Hand in eben diesem neuen Ministerium.

Warum? Es gibt alarmierende neue Zahlen: Laut einer aktuellen Bitkom-Umfrage sehen 88 Prozent der Unternehmen im Datenschutz ein Digitalisierungshemmnis und diese Wahrnehmung hat sich verschärft. Dabei ist für mich evident, dass der Datenschutz nicht schuld sein kann an der Digitalisierungsmisere, in der wir gerade stecken. Aber ich bin bereit für einen ehrlichen Dialog darüber, was besser laufen könnte.

Ich nehme wahr, dass Gesellschaft und Wirtschaft verärgert sind über zu viel Rechtsunsicherheit und Regulierung, die nicht aufeinander abgestimmt ist. Die großen Player können sich Große Rechtsabteilungen leisten, die das Regulierungswirrwarr der verschiedenen Digitalrechtsakte entflechten aber Start-ups und Mittelständler haben keine Kapazitäten, um überhaupt zu identifizieren, welche Regelungen aus Data Act, Data Governance Act, KI-VO, den verschiedenen Regelungen zu Datenräumen, sektorspezifischer Regulierung, Bundes- und Landesrecht für sie gelten. In einem Digitalministerium muss diese Regulierung aus einer Hand kommen bzw. aus einer Hand mit Europa und den Ländern abgestimmt werden, damit sie zukünftig in sich widerspruchsfrei ist.

Datenschutz: Es gibt Verbesserungspotenzial

Ich bin aber auch bereit, sehr offen darüber zu sprechen, was wir im Datenschutzrecht besser machen können. Der hat in großen Teilen der öffentlichen Wahrnehmung ein massives Imageproblem, da kann man nicht drum herumreden. Von der einst so großartigen Idee der informationellen Selbstbestimmung ist in der öffentlichen Wahrnehmung nicht viel mehr übriggeblieben als Cookie-Banner (Die eigentlich aus der ePrivacy-Richtlinie stammen) und überlange Datenschutzerklärungen. Dabei ist die DSGVO niemals angetreten, um jegliche Datennutzbarkeit zu verhindern, sondern stellt die Spielregeln für die Nutzung von Daten auf.

Ich sehe auch, dass es uns Datenschutzaufsichtsbehörden nicht gelungen ist, hinreichend Guidance zu geben, wo Rat benötigt wird. Ich möchte das ändern. Mein Credo ist: Je mehr Beratung ich anbieten kann, desto weniger Datenschutzverstöße wird es geben. Und das ist doch das Ziel einer jeden Datenschutzaufsicht: Dafür zu sorgen, dass Datenschutzrecht eingehalten wird. Ich halte das Instrument der KI-Reallabore, wie sie auch in England und Frankreich schon realisiert werden, für ausgezeichnet, um in der Beratung voranzugehen. Ich möchte aber auch sehr klar sagen: Beratung bekommt von mir, wer sich an das Datenschutzrecht halten will - nicht, wer beständig seine Grenzen testet.

Mir ist bewusst: Nicht alles im Datenschutzrecht funktioniert so gut, wie es gedacht war. Wir wissen zB, dass die Einwilligung dort keine selbstbestimmte Entscheidung bieten kann, wo Netzwerkeffekte gewissermaßen zu einer Einwilligung zwingen. Wir wissen, dass mehr Information nicht zwingend zu mehr Informiertheit führt und trotzdem wird für eine Einwilligung nicht verlangt, dass eine Information verstanden wird. Vielleicht wird deshalb auch immer noch viel zu wenig über die Vorteile und Potentiale von Personal Information Management Systems und visueller Informationsvermittlung gesprochen. Auch das möchte ich ändern. Für eine sachliche Diskussion, was besser werden muss, bin ich zu haben.

Ich sehe den Vorschlag des CDU-Digitalpolitiker Axel Voss, der von Datenschutz-Mitstreiter Max Schrems unterstützt wird, trotzdem kritisch. Ein dreistufiges Modell mit einer „Mini-DSGVO“ für kleinere Organisationen, einer „normalen“ DSGVO für mittelgroße Unternehmen und einer strengeren „DSGVO Plus“ für Unternehmen, deren Geschäftsmodell wesentlich auf der Verarbeitung personenbezogener Daten beruht, hakt spätestens dort, wo kleine Unternehmen biometrische Gesichtserkennung – und damit Hochrisikodatenverarbeitungen vornehmen.

Ich würde daher mindestens ergänzen um eine risikobasierte Prüfung, eher aber schauen, wo man KMU konkret entlasten kann. Wo existieren beispielsweise Berichts-, Dokumentations- und Transparenzpflichten, die das Schutzziel des Datenschutzrechts nicht unmittelbar verwirklichen, wo man unmittelbar formale Entlastung schaffen kann?

Zustimmen würde ich aber, dass große Marktakteure, die Daten in einer Hand konzentrieren, risikobasiert und auch mit Blick auf das Zusammenspiel von Wettbewerbsrecht und Datenschutzrecht sehr viel weitreichender reguliert werden sollten als Einmannbetriebe, wenn diese weitgehend risikolose Datenverarbeitungen vornehmen. Datenkonzentration in der Hand weniger halte ich für eines der größten Probleme unseres digitalen Zusammenlebens, für potentiell demokratiegefährdend und für eine Gefahr für die digitale Souveränität. Der digitalpolitische Fokus auf diese Herausforderungen ist mindestens genauso wichtig wie die Realisierung von datenschutzkonformem digitalen Fortschritt auf der anderen Seite. Eine zukünftige Regierung wird sich digitalpolitisch daran messen lassen müssen, ob es ihr gelingt, eine digitale Zukunft zu gestalten, in der Fortschritt nicht abhängig ist von Technologieanbietern, die ihre Regeln diktieren. In der Souveränität und Selbstbestimmung nicht nur auf dem Papier existieren. In der wir nicht nur leben, sondern in der wir gut und gerne leben.

- - -

Autorin: Prof. Dr. Louisa Specht-Riemenschneider ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.

Das Table.Forum Datengesellschaft begleitet die entscheidenden Fragen an der Schnittstelle von Digitalisierung, Datenschutz und gesellschaftlichem Wandel. Wie kann eine zukunftsfähige Datengesellschaft gelingen? Renommierte Stimmen aus Wissenschaft, Politik und Praxis diskutieren, wie Deutschland und Europa die digitale Transformation gestalten können – souverän, fair und innovationsfreundlich.

‍Unser Partner: SCHUFA Holding AG