4 Die Umsetzung der Anforderung einer datenschutzkonformen Systemgestaltung

Die Vorgaben für „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“, die der Verantwortliche erfüllen muss, sind in Art. 25 DSGVO geregelt. Dieser Abschnitt beschreibt einerseits die Anforderungen an die Gestaltung (Art. 25 Abs. 1 DSGVO) – Datenschutz „by Design“ –, anderseits die Anforderung, dass datenfreundliche Voreinstellung – Datenschutz „by Default“ – zu verwenden sind (Art. 25 Abs. 2 DSGVO). Schließlich nimmt Art. 25 auch Bezug zu den Zertifizierungsmöglichkeiten nach der DSGVO (Art. 25 Abs. 3 DSGVO). Im Folgenden werden Datenschutz durch Technikgestaltung und Datenschutz durch datenschutzfreundliche Voreinstellungen erläutert.

4.1 Datenschutz durch (Technik-)Gestaltung

Der Verantwortliche muss nach Art. 25 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen treffen, die dafür ausgelegt sind, die Datenschutzgrundsätze wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen der DSGVO zu genügen und die Rechte der betroffenen Personen zu schützen. Dabei zu berücksichtigen sind der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken. Diese Faktoren sind einerseits beschränkende Bedingung, denn es ist nicht in jedem Fall das Höchstmaß des Möglichen zu implementieren; andererseits stellen die Faktoren aber auch eine Minimalanforderung dar, hinter der der Verantwortliche nicht zurückbleiben darf. Auf keinen Fall darf man beispielsweise angesichts eines festgestellten hohen Risikos auf geeignete Maßnahmen verzichten, weil sie Geld kosten; stattdessen wäre ohne geeignete Maßnahmen zur ausreichenden Eindämmung eines hohen Risikos eine derartige Verarbeitung nicht zulässig.

Vielfach diskutiert wird der Faktor „Stand der Technik“, der bereits im Vorläufer der DSGVO – der Datenschutz-Richtlinie 95/46/EG – Erwähnung fand (Art. 17 der Richtlinie zur Sicherheit der Verarbeitung). Dieser Faktor ist sowohl für „Datenschutz durch Technikgestaltung“ (Art. 25 DSGVO) also auch für die „Sicherheit“ (Art. 32 DSGVO) anzulegen. Für den Bereich der Sicherheit der Verarbeitung personenbezogener Daten gibt es seit vielen Jahren umfangreiche Maßnahmenkataloge, die regelmäßig überarbeitet und an den Entwicklungsstand angepasst werden. Für technische und organisatorische Maßnahmen oder insgesamt für datenschutzfreundliche und –fördernde Konzepte liegen noch keine vergleichbaren Ausarbeitungen vor, auch wenn erste Ansätze für Bewertungsmaßstäbe des Reifegrads unter Einbeziehung der Wirksamkeit und etwaiger Interdependenzen entwickelt worden sind.

Die Maßnahmen müssen sowohl im Vorfeld, nämlich zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung, als auch während der Verarbeitung getroffen werden. Als Beispiel für eine Maßnahme wird die Pseudonymisierung genannt, als Beispiel eines der Datenschutzgrundsätze wird die Datenminimierung aufgeführt.

Allerdings bleibt es bei recht abstrakten Aussagen, sodass man in der DSGVO keine konkreten Hilfen dazu findet, was genau für die eigene Verarbeitung personenbezogener Daten zu tun ist. Unterstützung leistet eine Veröffentlichung des Europäischen Datenschutzausschusses, die zwei Jahre nach Wirksamwerden der DSGVO erschienen ist. Förderlich für den Entwicklungsprozess sind weitgehend unabhängig von der europäischen Gesetzgebung erarbeitete Ausführungen zu „Privacy Design Strategies“ und „Privacy Design Patterns“. Für den nach Art. 25 DSGVO verpflichteten Verantwortlichen sind die folgenden zwei miteinander verwandten Ansätze von Nutzen, um für ihre konkreten Verarbeitungen die datenschutzrechtlichen Anforderungen umsetzen.

4.1.1 Operationalisierung der Datenschutzgrundsätze

Da die Essenz der DSGVO in den Datenschutzgrundsätzen widergespiegelt wird und diese auch explizit in Art. 25 Abs. 1 DSGVO genannt werden, besteht eine Möglichkeit der Umsetzung, sich für jeden Datenschutzgrundsatz zu überlegen, welche technischen und organisatorischen Maßnahmen zum Einsatz kommen sollen, um die Umsetzung in der Verarbeitung zu gewährleisten oder zumindest zu unterstützen.

Im Datenschutzgrundsatz „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“ (Art. 5 Abs. 1 Buchst. a) versammeln sich verschiedene allgemeine Anforderungen an die Verarbeitung. Bezüglich der Rechtmäßigkeit der Verarbeitung muss dem Verantwortlichen klar sein, dass technische und organisatorische Maßnahmen eine Verarbeitung, die einer Rechtsgrundlage entbehrt, nicht in eine rechtmäßige Verarbeitung verwandeln kann. Solche Maßnahmen können aber notwendig für die Rechtmäßigkeit sein und eine solche auch dadurch unterstützen, indem der Verantwortliche Vorgaben an die Einführung einer Verarbeitung erstellt und durchsetzt, dass z. B. zunächst eine Rechtsgrundlage festzustellen und zu dokumentieren ist und ein geordneter Freigabeprozess durchgeführt werden muss. Im Falle einer Einwilligung kämen beispielsweise technische und organisatorische Maßnahmen zu einem Einwilligungsmanagement, einschließlich praxistauglicher Funktionen zum Widerruf der Einwilligung, infrage.

Die Verarbeitung nach Treu und Glauben, in der englischen Fassung der DSGVO „Fairness“, beinhaltet die faire Gestaltung der Verarbeitung. Dies kann so verstanden werden, dass die Perspektive der betroffenen Personen bei der Entwicklung und im Betrieb der Verarbeitung Berücksichtigung findet (siehe vorne: ähnlich der „mehrseitigen Sicherheit“) und ihnen das Wahrnehmen der Betroffenenrechte möglichst einfach möglich ist. Auch eine Unterstützung der Verwendung von Selbstdatenschutz-Tools der betroffenen Personen lässt sich aus diesem Datenschutzgrundsatz ableiten.

Der Datenschutzgrundsatz der Transparenz, der durch Artt. 12 ff. DSGVO konkretisiert wird, bedeutet insbesondere, dass „alle Informationen und Mitteilungen zur Verarbeitung“ der personenbezogenen Daten „leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind“ (ErwGr. 39 S. 3). Ein situations- und zielgruppengerechtes Informieren der betroffenen Personen muss angesichts der verschiedenen Einsatzszenarien zu den zur Verfügung stehenden Benutzungsoberflächen passen. Bewährt haben sich Mehr-Ebenen-Formate (Multi-Layer), die gestuft die jeweils nötigen oder von der betroffenen Person gewünschten Informationen darstellen. Auch Bildsymbole (siehe Art. 12 Abs. 7 DSGVO) oder andere nichttextliche Aufbereitungen können für den Einzelfall hilfreich sein. Auch sog. Datenschutz-Dashboards, Datenschutz-Cockpits oder andere Transparency-Enhancing Technologies (TETs, als Ergänzung zu PETs) sollen die Transparenz verbessern.

Bei der Umsetzung des Datenschutzgrundsatzes der Zweckbindung (Art. 5 Abs. 1 Buchst. b) ist auf das sorgfältige Festlegen des Zwecks zu achten. Zweckbindung bedeutet, dass es für die personenbezogenen Daten keine Verarbeitung geben darf, die nicht mit den festgelegten Zwecken vereinbar ist. Unterstützende technische und organisatorische Maßnahmen sind beispielsweise ein Verzicht auf zentrale Datensammlungen und zweckübergreifend nutzbare Identifikatoren, physische oder logische Trennung oder Isolation der Daten, Verschlüsselung der Daten, Kennzeichnung der Zwecke und Verknüpfen mit den Daten (z. B. über sog. „Sticky Policies“).

Art. 25 DSGVO hebt die Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) als wichtigen Datenschutzgrundsatz bezüglich der Gestaltung hervor. Auch ErwGr. 78 S. 3 nennt als erste beispielhafte Maßnahme die Minimierung der Verarbeitung personenbezogener Daten. Das bedeutet zum einen, den Personenbezug von Daten einzuschränken, z. B. durch Trennung von Daten und Verzicht auf zweckübergreifende Identifikatoren, durch Löschung, Anonymisierung oder Pseudonymisierung zum frühestmöglichen Zeitpunkt. Zum anderen ist die Verarbeitung an sich zu minimieren, beispielsweise durch Beschränkung der Erhebung und Erfassung von Daten sowie bereits der Erhebungs- und Erfassungsmöglichkeit, indem beispielsweise nicht erforderliche Video-, Audio- und Sensorfunktionalität nicht Bestandteil der verwendeten Hardware sind. Auch auf zusätzliche Verarbeitungen ist zu verzichten, und die Zahl der betroffenen Personen ist zu minimieren.

Technische und organisatorische Maßnahmen des Integritätsschutzes für die Daten und die Verarbeitung unterstützen den Datenschutzgrundsatz der Richtigkeit (Art. 5 Abs. 1 Buchst. d DSGVO). Auch das Aufsetzen eines Verfahrens zur Berichtigung oder Vervollständigung der personenbezogenen Daten kann hier helfen.

Der mit der Datenminimierung verwandte Datenschutzgrundsatz der Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e DSGVO) lässt sich mit ähnlichen Maßnahmen umsetzen. Die Pseudonymisierung als eine Maßnahme wird bereits in Art. 25 Abs. 1 DSGVO genannt. Ebenfalls können Anonymisierung oder Löschen zur Speicherbegrenzung beitragen. All diese Maßnahmen sind so früh wie möglich durchzuführen. Dies kann vielfach automatisch geschehen, z. B. durch eincodierte Löschfristen oder zumindest durch definierte Prüffristen, damit dann über eine weitere etwa erforderliche Aufbewahrung entschieden wird und andernfalls die Löschfreigabe erfolgt.

Der Datenschutzgrundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 Buchst. f DSGVO) zielt auf sämtliche technische und organisatorische Maßnahmen der Informationssicherheit in Bezug auf personenbezogener Daten, um eine unbefugte oder unrechtmäßige Verarbeitung zu verhindern. Hier liegt eine Parallelität zu den Anforderungen des Art. 32 DSGVO vor. Dies umfasst laut ErwGr. 78 S. 3 Maßnahmen, die den Verantwortlichen in die Lage versetzen, Sicherheitsfunktionen zu schaffen und zu verbessern. Dazu ist es notwendig, die Anforderungen gemäß dem vorliegenden Schutzbedarf zu erfüllen und die getroffenen Maßnahmen regelmäßig zu überprüfen und ggf. zu aktualisieren.

Auch der Datenschutzgrundsatz der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) erfordert ein regelmäßiges Prüfen, inwieweit die datenschutzrechtlichen Anforderungen erfüllt sind, verbunden mit einem Nachsteuern und Anpassen an möglicherweise veränderte Bedingungen. Hier können technische und organisatorische Maßnahmen ein umfassendes Datenschutzmanagementsystem unterstützen. Dazu gehören z. B. die Erstellung und Anpassung der Dokumentation von Prozessen und informationstechnischen Systemen sowie das Protokollieren von Änderungen oder anderen nachzuweisenden Ereignissen, um dauerhaft die Erfüllung der Anforderungen der Verordnung zu gewährleisten.

4.1.2 Das Standard-Datenschutzmodell mit sieben Gewährleistungszielen

In der Informationssicherheit ist man seit Jahrzehnten gewohnt, mit Schutzzielen (protection goals) zu arbeiten. Zwar gibt es vielfältige Ansätze für mehr oder weniger komplexe Schutzzielkanons, aber als fundamental für Informationssicherheit werden die Schutzziele Vertraulichkeit (confidentiality), Integrität (integrity) und Verfügbarkeit (availability) angesehen. Weil diese nicht ausreichen, um sämtliche Datenschutzanforderungen zu beschreiben, für die technische und organisatorische Maßnahmen getroffen werden sollten, gleichzeitig aber eine Kommunikation mit den Zuständigen für die Gestaltung von Technik und Prozessen anschlussfähig an die klassischen Schutzziele der Informationssicherheit sein sollte, wurden im Jahr 2009 weitere Schutzziele vorgeschlagen. Die von der deutschen Datenschutz-Diskussion ausgehenden, teilweise auch international weitergeführten Debatten mit Beteiligung von Wissenschaft und Datenschutzaufsicht haben schließlich das Standard-Datenschutzmodell mit sieben Gewährleistungszielen hervorgebracht: Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit, Nicht-Verkettung von personenbezogenen Verfahren sowie die übergreifende Anforderung der Datenminimierung. Diese Gewährleistungsziele ähneln den Schutzzielen der Informationssicherheit; wichtig ist dabei stets die Anwendung aus der Perspektive der betroffenen Personen, wie dies auch bei der Bestimmung des Risikos für die Rechte und Freiheiten (siehe vorne) notwendig ist.

Beim „Standard-Datenschutzmodell“ (SDM) handelt es sich um eine Methode für die Beratungs- und Prüfpraxis im operativen Datenschutz. Das SDM wird von den deutschen Datenschutzaufsichtsbehörden zur Anwendung empfohlen. Dieses Werkzeug unterstützt die risikoadäquate Auswahl und Bewertung technischer und organisatorischer Maßnahmen und ist hilfreich bei der Erfüllung der Rechenschaftspflichten der Datenschutz-Grundverordnung.

Die ersten Versionen des SDM sind lange vor Geltung der DSGVO entstanden und konnten daher auch noch nicht auf die Datenschutzgrundsätze eingehen. Mit der Version 2.0 wurde das SDM überarbeitet, um sich besser in die Terminologie und die Konzepte der DSGVO einzufügen und damit die Verwendung für die Verantwortlichen und Auftragsverarbeiter zu erleichtern. Auch eine englische Fassung steht zur Verfügung.

Maßnahmenkataloge mit generischen Bausteinen zu Referenz-Schutzmaßnahmen befinden sich in der Entwicklung oder sind bereits verfügbar. Beispielsweise gehören dazu die Bausteine „Aufbewahren“, „Dokumentieren“, „Protokollieren“, „Trennen“, „Löschen und Vernichten“, „Berichtigen“ und „Einschränken der Verarbeitung“. Weitere Bausteine sind in Bearbeitung. Bei der Überarbeitung werten die Datenschutzaufsichtsbehörden das Feedback der Verantwortlichen und Auftragsverarbeiter beim Einsatz des SDM aus, um das Werkzeug zu verbessern und die Praxistauglichkeit zu erhöhen.

Zunächst setzt das SDM bei der Umsetzung der Anforderungen nach Art. 32 DSGVO an; es geht aber durch die deutliche Datenschutzausrichtung über die bestehenden technischen Regelwerke hinaus und umfasst generell technische und organisatorische Maßnahmen zum Einbauen der Anforderungen der DSGVO (und damit auch Art. 25 DSGVO). Das SDM orientiert sich in seiner Methodik an den Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI), die Grundlage für einen IT-Grundschutz sind und deren Maßnahmenbeschreibungen ständig aktualisiert werden. Dagegen etwas weniger konkret sind die internationalen ISO/IEC 27001-Normen, die sich z. B. um den Maßnahmenkatalog der ISO/IEC 27002 ergänzen lassen, oder die Common Criteria, ISO/IEC 15408, mit denen man Sicherheitseigenschaften von IT-Produkten prüfen und bewerten kann.

Mit dem SDM und den Gewährleistungszielen lassen sich insgesamt die Datenschutzgrundsätze und die weiteren Anforderungen der DSGVO abbilden. Bezüglich der Betroffenenrechte legt das SDM mit dem Gewährleistungsziel der Intervenierbarkeit sogar einen deutlicheren Fokus, als dies beim (zumindest flüchtigen) Lesen der Datenschutzgrundsätze in Art. 5 DSGVO vermittelt wird. Auch im Rahmen der Datenschutz-Folgenabschätzung kann das SDM eingesetzt werden, wie in verschiedenen Muster- und realen Beispielen erprobt.

4.2 Datenschutz durch datenschutzfreundliche Voreinstellungen

Auch bei der Anforderung des Datenschutzes durch datenschutzfreundliche Voreinstellungen trifft die Pflicht den Verantwortlichen (Art. 25 Abs. 2 DSGVO). Im Gegensatz zum ersten Absatz des Art. 25 sieht die DSGVO keine (möglicherweise relativierenden) Faktoren vor, die bei der Auswahl der zu treffenden Maßnahmen zu berücksichtigen sind. Vielmehr müssen die geeigneten technischen und organisatorischen Maßnahmen getroffen werden, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Damit wird der Maßstab der Erforderlichkeit, der sich auch in den Datenschutzgrundsätzen der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e DSGVO) findet, betont und im Folgenden spezifiziert: „Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.“ (Art. 25 Abs. 2 S. 2 DSGVO). Die Voreinstellung muss also gewährleisten, dass keine überschießenden Daten verarbeitet werden, dass die Verarbeitung sich auf das notwendige Maß beschränkt, dass die Speicherdauer möglichst gering ist und dass die Daten keinen zu weitgehenden Zugriffsmöglichkeiten ausgesetzt sind. Besonders der letzte Punkt verdeutlicht, dass damit auch Gestaltungsoptionen verschränkt sein können, beispielsweise bezüglich des Orts einer Speicherung (lokal oder in der Cloud, sodass die Daten einem Betreiber oder den dortigen Behörden zugänglich werden könnten), der Zugriffsrechte oder einer Verschlüsselung, die den Klartext dem Zugang entzöge.

Nicht immer sind die datenschutzfreundlichsten Voreinstellungen für jede Nutzerin und jeden Nutzer gleich oder eindeutig im Vorfeld erkennbar. Beispielsweise wäre es in Bezug auf Bezahlverfahren in einem E-Commerce-Dienst verbraucherfreundlich und sinnvoll, eine Reihe von unterstützten Verfahren zur freien Auswahl für die Nutzenden anzubieten und keines davon vorauszuwählen, selbst wenn darunter eines als objektiv am datenschutzfreundlichsten zu identifizieren wäre. Dies ergibt sich schon aus der Tatsache, dass üblicherweise die Nutzenden eigene Benutzerkonten bei den Bezahldienstleistern eingerichtet haben müssen und ein vorkonfiguriertes Verfahren nicht in jedem Fall den Nutzenden auch zur Verfügung steht. Besser wäre es, wenn bei einem Kauf die Nutzenden eine bewusste Entscheidung darüber treffen müssten, welches Verfahren sie für diesen Fall präferieren. Dies kann sich auch je nach Produkt oder Anbieter unterscheiden.

Die Anforderung des Datenschutzes durch datenschutzfreundliche Voreinstellungen – Datenschutz „by Default“ – erscheint durch die Formulierung als sehr mächtig: Stets sollte also eine Verarbeitung (und ebenso eine Kundenbeziehung) auf Basis personenbezogener Daten maximal datenschutzfreundlich beginnen; wenn später die betroffene Person bereit ist, zu weiteren Zwecken zusätzliche personenbezogene Daten zu offenbaren oder in weitere Verarbeitungen einzuwilligen, kann dies geschehen. Allerdings deckt sich dies nicht mit der Praxis, in der zumindest einige der großen Anbieter ein datengieriges Verhalten an den Tag legen und demnach eher nach dem Motto „Datenabgreifen by Default“ verfahren wird.

5 Ganzheitliche Betrachtungsweise: Bewusstsein über Spannungsfelder

So wie für spezifische datenschutzrechtliche Sachverhalte unterschiedliche grundrechtliche Interessen miteinander abgewogen werden, geschieht dies auch im Verhältnis des Datenschutzes zu anderen geschützten Interessen. Datenschutzrechtliche Erwägungen können hier dazu führen, dass andere rechtlich geschützte Ansprüche reduziert oder abgelehnt werden, genauso wie sie dazu führen können, dass die Konsequenzen in benachbarte Rechtsgebiete ausstrahlen. Auch Anforderungen, die nicht rechtlich im selben Maße festgeschrieben sind, können eine Rolle spielen, wenn es um eine faire und verträgliche Gestaltung von Systemen geht. Dazu sollten sich sowohl die Verantwortlichen als auch die Hersteller oder Entwickler der Systeme die verschiedenen Anforderungen samt möglicher Interdependenzen und Auswirkungen bewusst machen, selbst wenn sie in der Praxis oft nicht expliziert werden. Eine datenschutzkonforme Verfahrensgestaltung muss nicht in einem unauflösbaren Widerspruch zu anderen wichtigen Erwägungen stehen, sondern häufig können Lösungen gefunden werden, die nicht nur sämtliche rechtlichen Bedingungen, sondern auch die verschiedenen zusätzlichen Anforderungen in ausreichendem Maße berücksichtigen.

Neben den bekannten und immer wieder genannten vermeintlichen Gegensätzen „Datenschutz und Sicherheit“, „Datenschutz und Freiheit“ und „Datenschutz und Nutzbarkeit“ bestehen beispielsweise Spannungsfelder in Bezug auf Informationsfreiheit, Umweltschutz, Datenzugang, Wirtschaftlichkeit und Kartellrecht. Auf diese Spannungsfelder soll im Folgenden das Augenmerk gelenkt werden.

5.1 Informationsfreiheit

Ein Bereich der häufig im Zusammenhang mit dem Datenschutzrecht genannt wird und in der behördlichen Zuständigkeit mit ihm zusammenfällt, ist das Informationsfreiheitsrecht. Nur im ersten Moment stehen beide Rechtsgebiete in einem Konkurrenzverhältnis, denn im Kern geht es um Ansprüche gegenüber Organisationen, Datenschutz auf der einen Seite und Informationszugang zu behördlichen Informationen auf der anderen Seite. Am Beispiel der Informationsfreiheit lässt sich aber auch zeigen, dass durch eine optimierte Verfahrensplanung und -gestaltung ein sinnvoller Ausgleich zwischen kollidierenden Interessen stattfinden kann. Denn gerade dort, wo aus datenschutzrechtlicher Sicht eine umfassende Betrachtung der Risiken stattfindet, kann auch der Aspekt der Informationsfreiheit bereits im Stadium der Verfahrensplanung Berücksichtigung finden. Das schließt einerseits ein, dass entsprechende Voraussetzungen und der Ablauf etwaiger Anfragen zur besseren Auffindbarkeit bereits dann eingeplant werden, wenn behördliche Informationen angelegt werden und andererseits eine Einbeziehung der betroffenen Personen stattfindet. Konkret bedeutet das, dass bei der Planung der Verarbeitungsverfahren hinsichtlich der erhobenen Daten eine Relevanzprüfung für Sachverhalte im Bereich der Informationsfreiheit stattzufinden hat. Hier ist zu bestimmen, ob Daten abstrakt Gegenstand einer Anfrage nach Informationsfreiheitsgesetz fallen können, ob einer Herausgabe dieser Daten etwaige Rechte Dritter entgegenstehen (also im Falle personenbezogener Daten, die Rechte der betroffenen Personen) und wie das Ergebnis einer Interessenabwägung aussehen könnte. Das kann im nächsten Schritt dazu führen, dass für komplexere Informationen bereits im Zeitpunkt der Erhebung Metadaten angelegt werden, um im Falle einer Anfrage nach Informationsfreiheitsgesetz eine zügige Schwärzung der Unterlagen vornehmen zu können. Hierbei kann also eine Schwärzung bereits vorab stattfinden, wenn es wahrscheinlich erscheint, dass später entsprechende Herausgabebegehren eintreffen werden. Das beinhaltet allerdings auch, dass betroffene Personen bereits im Zeitpunkt der Erhebung in die Entscheidung über das Maß der Schwärzung einbezogen werden und dies nicht erst im Zeitpunkt der Anfrage über die Herausgabe dieser Informationen geschehen muss. Das bietet sich insbesondere dann an, wenn andernfalls eine Verzögerung der Bearbeitung zu erwarten wäre, also etwa, weil die betroffenen Personen nicht mehr ohne Weiteres kontaktiert werden können oder sich der Sachbearbeiter der Anfrage erst wieder umfassender mit der Materie beschäftigen müsste.

5.2 Umweltschutz

Datenverarbeitung per Computer verbraucht Energie. Eine Reduktion des Energieverbrauchs ist häufig nicht nur aus Umweltschutzgründen angestrebt, sondern wird auch untersucht, damit Akkus weniger häufig aufgeladen und mobile Systeme nicht mit großen oder schweren Akkus ausgestattet werden müssen. Datenschutzfunktionalität wie Verschlüsselung erhöht den Energieverbrauch. Auch datenschutzfreundliche Konzepte, die weitere technische Komponenten oder zusätzliche elektronische Kommunikation erfordern, um auf diese Weise als Treuhänder oder im Sinne einer Abschottung eine Vertraulichkeit oder Nichtverkettung von personenbezogenen Daten gewährleisten können, führen zu einem Mehr an Energieverbrauch.

Es gibt aber auch Effekte der Verringerung des Energieverbrauchs. Das Umsetzen der Datenschutzgrundsätze wie Datenminimierung und Speicherbegrenzung kann ebenso wie das Prinzip des Datenschutzes „by Default“ im Vergleich zur heutigen Praxis eine Reduzierung des Energieverbrauchs erzielen. Auch die nutzerseitige – und damit potenziell besser kontrollierbare – Datenverarbeitung im Endgerät spart Energie im Vergleich zu Cloud-Lösungen, die mit einer dauerhaften elektronischen Kommunikation einhergehen. Virtualisierung und Lastverteilung können zu einer ressourcenschonenden Technikinfrastruktur beitragen. Hier kann eine sorgfältige Konzeption und Planung der Datenverarbeitung, die ohnehin aus Datenschutzsicht notwendig ist, auch zu mehr Ressourcenbewusstsein führen.

Dieser adaptive Ansatz kann selbst beim Vernichten von mehr oder weniger vertraulichen Papierunterlagen eine Rolle spielen. Denn die Recyclingfähigkeit des Schredderguts ist eingeschränkt, wenn die Papierfasern zu klein gehäckselt werden. Dies spricht dafür, dass man den Hochsicherheitsschredder nicht für jeglichen Papiermüll verwendet, sondern risikoadäquat prüft, welche Art der Vernichtung gewählt werden soll.

5.3 Datenzugang

In zahlreichen Anwendungen fallen Daten an, für die sich die Frage stellt, inwieweit sie von wem zu weiteren Zwecken ausgewertet werden dürfen. Beispielsweise könnte man sich in einer datenbasierten Smart City oder für Internet-of-Things (IoT)-Anwendungen vorstellen, dass die entstehenden Daten verwendet würden, um Verfahren zum Nutzen des Gemeinwohls zu optimieren, die Planung der Infrastruktur zu verbessern, die Wissenschaft teilhaben zu lassen oder Start-ups die Daten für neue Geschäftsmodelle anzubieten. Nicht jede datenschutzgerechte Lösung ist aber gleichermaßen für die Bereitstellung der Daten für andere geeignet. Dies sieht man beispielsweise in Szenarien, in denen große Anbieter Daten ihrer Kundinnen und Kunden – Privatpersonen oder auch andere Unternehmen, personenbezogene oder nicht-personenbezogene Daten – sammeln und auf Basis der bestehenden Rechtsgrundlagen im Einklang mit den Anforderungen der Datenschutz-Grundverordnung an den Verantwortlichen weiterverwenden. Es gibt hier jedoch Bedenken von unerwünschten Monopolisierungen und Innovationshindernissen, wenn kein fairer Zugang zu solchen „Datenschätzen“ gewährt wird.

So problematisiert die Bundesfachgruppe Freie Werkstätten des Deutschen Kfz-Gewerbes, dass die bisherigen Konzepte der Autohersteller, die aus den zunehmend vernetzten Fahrzeugen Daten erhalten, den Werkstätten keinen fairen Zugang zu den Daten bieten. Ähnliches kritisieren die Versicherungen, die ihre Angebote auf Autofahrerinnen und –fahrer erstrecken. Die Datenethikkommission hat sich dieses Problems angenommen und Vorschläge für einen Interessenausgleich unterbreitet, der die Interessen aller – selbstverständlich auch der betroffenen Personen – berücksichtigen muss. Dies kann bedeuten, nicht auf eine abgesicherte Zentralspeicherung bei einem einzigen Verantwortlichen zu setzen, sondern mit rechtlichen, technischen und organisatorischen Maßnahmen ein ebenfalls datenschutzkonformes föderiertes System zu entwickeln, in dem beispielsweise mit der Hilfe von Treuhändern die definierten Regeln implementiert und durchgesetzt werden können.

5.4 Wirtschaftlichkeit

Datenschutzgerechte Gestaltung verringert nicht nur das Risiko, dass die Rechte und Freiheiten natürlicher Personen verletzt werden, sondern hat auch den Effekt, dass der Verantwortliche seine Datenschutzpflichten leichter erfüllen kann. Finanzielle Schäden können dem Unternehmen durch Bußgelder der Datenschutzaufsichtsbehörde, Schadensersatzforderungen von betroffenen Personen oder Abmahnungen von datenschutzwidrigem Verhalten drohen. Für die meisten noch wichtiger ist aber, dass das Vertrauen der Kunden oder Kooperationspartner nicht durch Datenpannen, negative Schlagzeilen oder Shitstorms in den sozialen Medien gestört wird und mühsam wiederaufgebaut werden muss. Der Schutz der personenbezogenen Daten ist laut einer Umfrage in sämtlichen Märkten das zweitwichtigste Auswahlkriterium nach der Qualität von Produkten und Dienstleistungen.

5.5 Kartellrecht

Ein weiterer Aspekt sind die kartellrechtlichen Auswirkungen datenschutzrechtlicher Sachverhalte. Dass das für kartellrechtliche Maßnahmen gegen missbräuchliches Verhalten marktbeherrschender Unternehmen gilt, hat der BGH jüngst in seiner Facebook-Entscheidung dargelegt, womit vermutlich auch der Streit zur Anwendbarkeit lauterkeitsrechtlicher Normen neben datenschutzrechtlichen Regelungen entschieden wurde.

Die möglichen Probleme erschöpfen sich im Zusammenhang mit dem Kartellrecht aber nicht nur in missbräuchlichem Verhalten, sondern stellen sich schon im Stadium der Technikgestaltung, so ist für den Bereich der Missbrauchskontrolle denkbar, dass etwa marktbeherrschende Stellungen von Anbietern dadurch entstehen, dass Zugangshindernisse gerade durch Technikgestaltung geschaffen werden. Der Umstand ist besonders relevant, wenn die öffentliche Hand Kooperationen eingeht oder auf Produkte und/oder Leistungen setzt und dadurch den Wettbewerb im konkreten Bereich faktisch entscheidet. Hier kann, gerade in einem Bereich, in dem es um hoheitliche Aufgabenerfüllung auf Grundlage dieser Kooperationen, Produkte und Leistungen angeht, der Wettbewerb auf dem relevanten Markt oder angrenzenden Märkten praktisch ausgeschaltet werden. Daher müssen auch diese Auswirkungen von vornherein berücksichtigt werden und es muss sichergestellt werden, dass nicht nur der Wettbewerb nicht unzulässigerweise beschränkt, sondern auch die (zukünftige) Entwicklung datenschutzfreundlicherer Produkte und Leistungen auf dem relevanten Markt nicht verhindert wird.

5.6 Allgemeines Zivilrecht, Gewährleistung

Ein weiterer Bereich, in dem Risikoerwägungen in Zukunft eine größere Rolle spielen könnten, ist das Zivilrecht bzw. spezieller das Kaufrecht. Hier stellt sich in der Praxis oft die Frage, ob ein Kaufgegenstand frei von Sachmängeln ist. Wenn die Parteien keine Individualvereinbarung über die Beschaffenheit des Kaufgegenstandes getroffen haben, dann ist diese Frage am Gesetz zu beantworten. In § 434 S. 2 2 BGB wird dafür entweder auf die Geeignetheit für die nach dem Vertrag vorausgesetzte Verwendung (Nr. 1) oder auf die Eignung für die gewöhnliche Verwendung und einer Beschaffenheit, die bei Sachen gleicher Art üblich ist und die der Käufer nach der Art der Sache erwarten kann (Nr. 2) abgestellt. Im Falle von neuen Technologien dürfte in diesem Zusammenhang auch die Situation auftreten, dass neue Technologien nicht nur mit gewünschten Effekten einhergehen, sondern womöglich auch Angreifern neue Angriffsszenarien öffnen. Hier würde sich z. B. die Frage stellen, ob bauartbedingte Angriffsvektoren bereits einen Sachmangel implizieren, oder dies nur bei besonders gefahrengeneigter Nutzung und insoweit besonders hoher Schutzbedürftigkeit des Käufers (die dem Verkäufer auch bekannt sein muss) angenommen werden kann. Jedenfalls ohne entsprechende individuelle Vereinbarungen, wird man aktuell wohl zu dem Ergebnis kommen müssen, dass, sofern der Verkäufer oder der Hersteller (in dem Verkäufer zurechenbarer Weise) nicht gerade mit datenschutzfreundlicher Technikgestaltung werben, eine Kundenerwartung im Sinne einer Eignung zur gewöhnlichen Verwendung beim Käufer nicht geweckt werden kann, wenn es sich nicht schon aus den Besonderheiten des Kaufgegenstandes ergibt. Aber auch diese Frage lässt sich aus Herstellersicht bereits im Stadium der Konzeption der Datenverarbeitung von hergestellten Produkten berücksichtigen. Damit können spezifische Angriffsszenarien jedenfalls beim Verkauf von Produkten beachtet werden, wenn der Käufer im konkreten Fall aus Hersteller- oder Verkäufersicht erkennbar aufgrund seiner individuellen Umstände gefährdet erscheint.

Eine andere Frage stellt sich im Falle von IoT-Geräten, also Hardware die jedenfalls mittelbar an das Internet angeschlossen ist. In diesen Geräten ist häufig ein kleiner aber vollständiger Computer integriert, auf dem ein Betriebssystem läuft. Die Software kann dabei im Laufe der Zeit Sicherheitslücken aufweisen, die meist nur durch entsprechende Updates des Hardware-Herstellers geschlossen werden können. Die Hersteller wiederum haben im Anschluss an den Verkauf häufig allerdings ein geringes Interesse, die Software der verwendeten Hardware noch über Jahre aktuell zu halten. Hier würde sich ebenfalls die Frage stellen, ob eine entsprechende Einstellung der Software-Updates durch den Hersteller Auswirkungen auf die Mangelhaftigkeit der Hardware haben könnten und dies zu Ersatzansprüchen des Kunden führen könnte und inwieweit entsprechende Risiken der Kunden, die aus dem Betrieb ungeschützter Hardware resultieren, durch den Hersteller zu berücksichtigen sind.

5.7 Berücksichtigung von Risiken bei Gesetzesvorhaben

Eine ganzheitliche Berücksichtigung wird auch bei dem Ansatz der Überwachungs-Gesamtrechnung gefordert. Dabei sollen Risiken staatlicher Überwachung über die individuellen Auswirkungen einer konkreten Maßnahmen hinaus Berücksichtigung finden und so die Auswirkungen der Gesamtheit staatlicher Maßnahmen auf die individuelle Freiheitsausübung untersucht werden. Dieser Ansatz wird mit dem zulässigen Maße an Gesamtüberwachung und der Verfassungsidentität begründet, die eine gesamte Erfassung der individuellen Freiheitsausübung verbiete.

Als eine mögliche Operationalisierung der Überwachungs-Gesamtrechnung wird eine Gesetzes-Datenschutz-Folgenabschätzung vorgeschlagen. Dabei könnten die möglichen Risiken für die Grundrechtsausübung nicht nur im Rahmen eines formalisierten Prozesses berücksichtigt werden, sondern der iterative Prozess der Datenschutz-Folgenabschätzung könnte auch im Rahmen von späteren Gesetzes-Evaluationen Anwendung finden.

6 Fazit und Schlussfolgerungen

Systemgestaltung hat einen erheblichen Einfluss darauf, wie die Verarbeitung von Daten geschieht und ob die in der EU-Grundrechte-Charta festgelegten Rechte und Freiheiten auch in unserer zunehmend digitalisierten Gesellschaft gewährleistet werden. Hier gibt es keinen Universalansatz, der die Grundrechte technisch garantieren kann, und es wäre auch verfehlt, anzunehmen, dass „One size fits all“ erfolgversprechend wäre. Maßstab für einen angemessenen Datenschutz und Privatheitsschutz ist das Risiko für die Rechte und Freiheiten.

Oft wurde nach Inkrafttreten der DSGVO durch Verantwortliche Kritik am risikobasierten Ansatz geäußert: Die Risikoerkennung sei für sie nicht handhabbar und eine umfassende Bewertung, wie die DSGVO sie vorsieht, sei ihnen nicht zuzumuten. Verantwortliche werden die Risikoidentifikation und Risikobewertung nur dann durchführen können, wenn sie die sonstigen Anforderungen der DSGVO an die Ausgestaltung und Dokumentation von Verarbeitungsverfahren einhalten. Das bedeutet nicht nur, dass neu zu implementierte Verfahren diesen Maßstäben gerecht werden müssen, auch alte Verarbeitungsverfahren müssen durch die Verantwortlichen auf die neue Rechtslage angepasst werden, wenn sie auch heute noch – mit Geltung der DSGVO – weiter betrieben werden sollen.

Probleme im Umgang mit den neuen Anforderungen der DSGVO hängen nach Erfahrung des Autorenteams häufig damit zusammen, dass Verantwortliche nicht das Wissen über die eigene Datenverarbeitung haben, das für eine richtige Einschätzung notwendig wäre. Problematisch ist dies besonders dann, wenn in der Datenverarbeitung Software- oder Hardware-Komponenten, über die dem Verantwortlichen keine ausreichenden Kenntnisse vorliegen, zum Einsatz kommen. In solchen Fällen kann der Verantwortliche oft eine (unbefugte) Offenbarung der personenbezogenen Daten an Dritte nicht ausschließen, z. B. wenn derartige Komponenten Mängel in ihrer Funktionsweise aufweisen oder sogar über undokumentierte Funktionen verfügen, die zu einem Datenabfluss führen können.

Die datenschutzrechtlichen Anforderungen treffen jeden Verantwortlichen, sodass eine übergreifende und lückenlose Compliance für jede Verarbeitung personenbezogener Daten einzufordern ist, auch bei der Auswahl von Produkten oder Dienstleistern. Wirksame Informationssicherheitsmaßnahmen sind zudem auch aufgrund der eigenen Organisationsinteressen – z. B. zum Schutz von Betriebs- und Geschäftsgeheimnissen – nötig. Es zeigt sich jedoch, dass die Verantwortlichen Schwierigkeiten haben können, wenn Hersteller von Produkten, Diensten und Anwendungen sie nicht in ihrer Rechenschaftspflicht unterstützen, z. B. durch Bereitstellung der notwendigen Dokumentation, oder – noch schlimmer – eine Konformität mit den in Europa geltenden datenschutzrechtlichen Anforderungen womöglich gar nicht erst anstreben geschweige denn erfüllen. Faktisch besteht in vielen Fällen eine Abhängigkeit von den Herstellern: Selbst wenn ein Wechsel der Anbieter durch ein Herauslösen der personenbezogenen Daten und das Bereitstellen alternativer Angebote technisch möglich ist, verursacht dies in den meisten Fällen einen erheblichen Aufwand, zumal die Alternativen meist nicht identisch in Funktionalität und Bedienbarkeit sind.

Dies zeigte sich im Jahr 2020 in Bezug auf die Entscheidung des Europäischen Gerichtshofs (EuGH) zum „Privacy Shield“, auf den vielfach der grenzüberschreitende Transfer personenbezogener Daten in die USA gestützt wurde. Nachdem der EuGH mit Urteil vom 16. Juli 2020 (Rechtssache C-311/18) den „Privacy Shield“ (Beschluss 2016/1250) der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA für unwirksam erklärt hatte, erhob sich ein massives Drängen der Industrieverbände in Europa auf neue Verhandlungen der Europäischen Kommission mit den USA und auf ein Moratorium der Datenschutzaufsicht. Dies ist deswegen erstaunlich, weil zumindest den kundigen Juristinnen und Juristen der Industrieverbände schon viele Monate oder sogar Jahre vor dem Urteil klar war (oder hätte klar sein müssen), dass der „Privacy Shield“ als Rechtslage infrage stand und nicht als stabiles Fundament taugte. Zeit für Anpassungen hätte es gegeben, aber die Verantwortlichen scheuten die fristgerechten Änderungen, die bei ihnen zu Aufwänden, Kosten oder anderen Unbequemlichkeiten geführt hätten.

Trotz einiger Hemmnisse in der Umsetzung ist das Prinzip, durch Systemgestaltung für eine Verbesserung von Datenschutz und Privatheitsschutz zu sorgen, richtig und erfolgversprechend. Die Datenschutz-Grundverordnung hat dies nun stärker ins Bewusstsein von Verantwortlichen und Dienstleistern gerückt, sodass nach vielen Jahren und Jahrzehnten Fortschritte zu erwarten sind. Eng damit verbunden ist der Umgang mit dem Risikobegriff, insbesondere bei neuen Technologien mit personenbezogener Datenverarbeitung, bei deren Einführung die Notwendigkeit einer Datenschutz-Folgenabschätzung zu prüfen ist. Wünschenswert – oder sogar notwendig angesichts des Hypes um Algorithmen bis hin zu „Künstlicher Intelligenz“ – ist die Betrachtung der Risiken für Rechte und Freiheiten von Individuen ebenso wie für unsere demokratische Gesellschaft auch für solche technischen Systeme, in denen der Personenbezug keine Rolle spielt. Generell sind Folgenabschätzungen angeraten, die zu adäquaten Maßnahmen einer Risikoeindämmung und zu einer fairen und am Gemeinwohl orientierten Gestaltung der Digitalisierung führen, die eine zukunftsfähige und nachhaltige Entwicklung unserer Gesellschaft unterstützt.

CC BY

Hansen, M., Bieker, F., Bremert, B. (2022). Datenschutz und Privatheitsschutz durch Gestaltung der Systeme. In: Roßnagel, A., Friedewald, M. (eds) Die Zukunft von Privatheit und Selbstbestimmung. DuD-Fachbeiträge. Springer Vieweg, Wiesbaden.

https://doi.org/10.1007/978-3-658-35263-9_8

Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.

1 Herausforderungen für die Grundrechte auf Datenschutz und Selbstbestimmung 

Seit der Erkenntnis der Grundrechtsrelevanz von Datenverarbeitung und der Verabschiedung der ersten Datenschutzgesetze in den 70er Jahren haben sich die Grundrechtsrisiken radikal verändert und ausgeweitet. Dennoch ist das grundlegende Konzept zur Gewährleistung von Datenschutz weitgehend unverändert.

1.1 Datenschutz und Selbstbestimmung

1983 konkretisierte das Bundesverfassungsgericht die Grundrechte auf Persönlichkeitsschutz nach Art. 2 Abs. 1 GG und auf Menschenwürde nach Art. 1 Abs. 1 GG angesichts der elektronischen Datenverarbeitung zum Grundrecht auf informationelle Selbstbestimmung. Dieses gewährt jeder Person die Befugnis, selbst darüber zu bestimmen, wer welche sie betreffenden Daten zu welchem Zweck verarbeiten darf. In dieses Grundrecht darf ein Datenverarbeiter nur mit informierter Einwilligung der betroffenen Person oder aufgrund einer gesetzlichen Regelung eingreifen, die die Datenverarbeitung eindeutig, bereichsspezifisch und mit ausreichenden Schutzvorkehrungen erlaubt.

Dieses Grundrechtsverständnis wurde von der 2009 in Kraft getretenen Grundrechtecharta der Europäischen Union übernommen und präziser ausgestaltet. Art. 7 GRCh enthält vier Gewährleistungen, nämlich des Privatlebens, des Familienlebens, der Wohnung und der Kommunikation. Die Gewährleistungen des Privatlebens und der Kommunikation schützen wesentlichen Aspekte der Selbstbestimmung über das eigene Verhalten und dessen Beobachtung durch Dritte.

Art. 8 GRCh schützt speziell die Entscheidungsbefugnis des Betroffenen über seine personenbezogenen Daten. Nach Abs. 1 hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Soweit private Daten verarbeitet werden, erstreckt sich auch die Achtung des Privatlebens nach Art. 7 GRCh auf diesen Schutz. Da der Datenschutz allerdings weiter reicht als die Achtung des Privatlebens, wurde dafür ein eigenständiges Grundrecht begründet. Abs. 2 Satz 2 fordert die Zweckbindung der Datenverarbeitung und gewährt einen Auskunfts- und Berichtigungsanspruch. Abs. 3 bestimmt, dass eine unabhängige Stelle den Datenschutz zu überwachen hat.

Der grundrechtliche Datenschutz in Art. 7 und 8 GRCh und der grundrechtliche Datenschutz nach Art. 2 Abs. 1 und Art.1 Abs. 1 GG haben im Wesentlichen den gleichen Schutzgehalt, nämlich die freie Selbstbestimmung der jeweils betroffenen Person über den Umgang mit den sie betreffenden Daten zu schützen. Jede Datenverarbeitung, die diese Selbstbestimmung ignoriert, greift in die genannten Grundrechte ein. Für die Bestimmung des Eingriffs kommt es nicht auf die Person an, die den Eingriff vornimmt – auch nicht auf deren Charakterisierung als privat oder staatlich.

Um diese Grundrechte umzusetzen, verfolgt das Datenschutzrecht seit Beginn ein Schutzprogramm, das im Wesentlichen auf folgenden Grundsätzen beruht: Die Datenverarbeitung muss der betroffenen Person transparent sein, weil sie nur dann überprüfen kann, ob die Datenverarbeitung rechtmäßig ist, und ihre Rechte wahrnehmen kann. Die Verarbeitung personenbezogener Daten darf nur zu einem bestimmten Zweck erfolgen und ist auf diesen Zweck begrenzt. Sie muss erforderlich sein, um diesen Zweck zu erreichen, und die Verwendung personenbezogener Daten möglichst vermeiden. Informationelle Selbstbestimmung ist nur möglich, wenn die betroffene Person Mitwirkungsmöglichkeiten hat und Einfluss auf die Datenverarbeitung nehmen kann. Daher stehen ihr Rechte auf Auskunft, Korrektur und Widerspruch zu. Außerdem erfordert sie die flankierende Aufsicht unabhängiger Datenschutzkontrolleinrichtungen. Dieses grundlegende Konzept zur Gewährleistung der Grundrechte wurde seit seiner Einführung kaum verändert. Jedoch hat sich die Datenverarbeitung, gegen deren Risiken es schützen soll, radikal gewandelt und ausgeweitet.

1.2 Neue Herausforderungen durch die Digitalisierung

Als solche Herausforderungen stellen sich vor allem die Zunahme personenbezogener Daten durch vielfältige neue Datenquellen, das Entstehen neuer Infrastrukturen, die diese Datenquellen vernetzen und die personenbezogenen Daten zusammenführen, und schließlich neue Verfahren, die diese riesigen Datenmengen aus unterschiedlichsten Quellen auswerten können.

Neue Datenquellen führen zu einer explosionsartigen Zunahme personenbezogener Daten. Viele Alltagsumgebungen und Alltagsgegenstände werden mit „intelligenter“ und vernetzter Informationstechnik ausgestattet. Ubiquitous Computing mit seinen Ausprägungen wie z. B. Smart Cars, Smart Health, Smart Home, Smarten Assistenten, vernetzten Robotern, Smart TV und sonstigen Techniken des Internet der Dinge erfasst die Umgebung der Dinge und der Menschen durch vielfältige Sensoren. Auf der Grundlage dieser Daten und daraus erstellter Profile sowie der Lernfähigkeit der Systeme durch Künstliche Intelligenz passen sich diese Techniksysteme ihren Nutzerinnen und Nutzern an und erleichtern ihnen das Alltags- oder das Berufsleben. Diese Techniken erheben personenbezogene Daten, ohne dass das Individuum sie eingibt – einfach aufgrund schlichten Verhaltens in einer technikgeprägten Umgebung. Auf diese Weise werden unbemerkt viele Lebensregungen in der körperlichen Welt dem digitalen Zugriff zugänglich. Die allgegenwärtige Verarbeitung personenbezogener Daten erfasst potenziell alle Lebensbereiche nahezu vollständig. Die damit verbundenen Risiken gehen die Nutzenden in der Regel freiwillig ein. In der individuellen Abwägung überwiegt meist der erhoffte unmittelbare Vorteil die zeitlich fernliegenden abstrakten Risiken eines Missbrauchs.

In der digitalen Welt ist die Nutzung von virtuellen Infrastrukturen wie Such-, Speicher- und Nachrichtendienste, Cloud Computing sowie Social Media und andere Austauschplattformen lebensnotwendig. Da sie für ihr Funktionieren personenbezogene Daten verarbeiten müssen, können sie diese Datenverarbeitung nicht von unterschiedlichen individuellen Einwilligungen abhängig machen. Die individuelle Selbstbestimmung ist letztlich reduziert auf das grundsätzliche „Ja“ oder „Nein“ zum digitalen Leben. Diese Infrastrukturen erzeugen einen eigenen virtuellen Sozialraum, in den nahezu alle Aktivitäten aus der körperlichen Welt übertragen wurden. In diesem hinterlässt jede Handlung Datenspuren, deren Erhebung und – letztlich weltweite – Verbreitung und Verwendung die betroffene Person nicht kontrollieren kann. Den damit verbundenen Risiken zu entgehen, würde voraussetzen, den virtuellen Sozialraum zu meiden – für viele keine realistische Alternative. Es besteht ein virtueller „Anschluss- und Benutzungszwang“. Gegenüber diesem Zwang gibt es kaum Protest. Denn viele Infrastrukturleistungen werden „umsonst“ angeboten. Wer sie nutzt, zahlt zwar kein Geld, dafür aber werden die personenbezogenen Daten zu umfassenden Profilen verarbeitet, die für personalisierte Werbung und Dienstleistungen genutzt werden. Die personalisierten Dienstleistungen der Infrastrukturen werden über den gesamten Tagesablauf hinweg in die individuellen Handlungsabläufe integriert und unmerklich Teil des Verhaltens und Handelns.

Die dritte relevante Entwicklungslinie sind neue Auswertungsmöglichkeiten für die riesigen Datenmengen, die u. a. durch die allgegenwärtige Datenverarbeitung und virtuelle Infrastrukturen entstehen: Big Data und Künstliche Intelligenz durch lernfähige Systeme. Beide Auswertungsformen führen auf unterschiedliche Weise entweder zu sehr präzisen Persönlichkeitsprofilen oder zu Mustern individueller und kollektiver Eigenschaften, die ermöglichen, das Verhalten von Menschen und Gruppen zu prognostizieren und zu steuern. Personenbezogene Auswertungen sind die Grundlage einer gezielten Verhaltensbeeinflussung durch Microtargeting. Abstrakte Muster können dazu dienen, Lagen und Situationen besser zu beurteilen oder deren Entwicklung zu prognostizieren. Auch wer keine Daten preisgegeben hat, ist im Algorithmus der Statistik gefangen. Sie führt zu einer anonymen Vergemeinschaftung, der niemand entgehen kann. Diese Muster wirken durch die Normativität der Normalität, die sie beschreiben, verhaltensbestimmend, selbst wenn sie keine personenbezogenen Daten enthalten, und beschränken damit die individuelle und kollektive Selbstbestimmung.

1.3 Aushöhlung des Schutzkonzepts

Die beschriebenen Entwicklungen höhlen das Schutzkonzept des Datenschutzes und der Selbstbestimmung aus, weil sie nur dann umsetzbar sind, wenn sie dessen Vorgaben ignorieren.

Soweit die betroffene Person digitale Infrastrukturen nutzen muss, um am gesellschaftlichen oder wirtschaftlichen Leben teilzunehmen, sieht sie sich durch die Techniknutzung einem faktischen Zwang zur Datenpreisgabe ausgesetzt. Soweit keine wirklichen Alternativen bestehen, ist die individuelle Einwilligung ein inhaltsleerer Formalismus. Auch die Fülle und Vielfalt der Verarbeitungsvorgänge mit zahllosen impliziten (Mini-)Interaktionen und die Vielzahl von Verantwortlichen, die Daten unter sich austauschen, schließen gehaltvolle Entscheidungen der betroffenen Person aus. Für Big Data-Analysen und das Trainieren lernfähiger Systeme ist es ausgeschlossen, dass die vielen – oft Millionen – betroffenen Personen vorher um ihre Einwilligung gebeten werden.

Der Gewährleistung von Transparenz stößt in der digitalen Welt aufgrund der Vielfalt und Komplexität allgegenwärtiger Datenverarbeitung an subjektive und objektive Grenzen. Zudem soll „smarte“ Informationstechnik gerade im Hintergrund und damit unmerklich den Menschen bei vielen Alltagshandlungen unterstützen. Die betroffenen Personen wissen daher nie, ob und wenn ja welche Handlungen von ihnen beobachtet und registriert und welche Datensammlungen zusammengeführt werden, müssen damit aber ständig rechnen.

Der Grundsatz der Zweckbindung widerspricht sowohl der Idee einer unbemerkten, komplexen und spontanen technischen Unterstützung der betroffenen Person als auch dem Ziel, durch das Zusammenführen und Auswerten möglichst vieler Daten aus vielfältigen Quellen neue Erkenntnisse zu gewinnen. Je vielfältiger und umfassender die zu erfassenden Alltagshandlungen und je unterschiedlicher die Datenquellen sind, umso schwieriger wird es, den Zweck einzelner Datenverarbeitungen vorab festzulegen und die Datenverarbeitung auf diesen zu begrenzen. Sollen „smarte“ Informationstechniken die Nutzenden in allen Situationen unterstützen, können sie nicht auf einen bestimmten Zweck begrenzt werden. Sollen durch Big Data-Auswertungen neue Korrelationen erkannt und aus diesen neue Erkenntnisse gewonnen werden, widerspricht dies diametral jeder Zweckbindung.

Die Grundsätze der Datenminimierung, der Speicherbegrenzung und der Datensparsamkeit sind an den jeweils begrenzten Zweck gebunden. Ebenso wie der Grundsatz der Zweckbindung werden auch diese Grundsätze ihre Steuerungskraft verlieren. Wenn der Zweck der Datenverarbeitung ohne wirkliche Grenzen ist, führt auch die Frage, welche Datenverarbeitung für diesen Zweck erforderlich ist oder wie der Zweck mit möglichst wenig personenbezogenen Daten erreicht werden kann, nicht mehr zu einer überschaubaren Eingrenzung erlaubter Datenverarbeitung. Alle Systeme, die kontextsensitiv die betroffene Person entlasten oder unterstützen sollen, die Präferenzen der Nutzenden erkennen und ihnen gerecht werden sollen oder allgemein alle Assistenzsysteme, die sich selbstlernend verbessern und an ihre Nutzenden und ihre Umgebung anpassen sollen, können ihre Funktionen nur richtig erfüllen, wenn sie diese Grundsätze ignorieren.

Die betroffene Person hat zwar eine Reihe von Auskunfts- und Mitwirkungsrechten. Ihr wird es jedoch aufgrund der umfangreichen, vielfältigen, unmerklichen, komplexen und zersplitterten Verarbeitung ihrer Daten faktisch kaum möglich sein, diese Rechte als Individuum gezielt und effektiv zu nutzen. Vielfach wird sie nicht einmal in der Lage sein, die vielen Verantwortlichen zu identifizieren.

Im Ergebnis werden die Grundrechte auf Datenschutz und informationelle Selbstbestimmung aufgrund zunehmender Machtasymmetrien aufgrund gesteigerter Wissensmacht immer wichtiger, zugleich verliert das überkommene Konzept des Datenschutzes aber an Umsetzungspotenzial. Es bietet kaum noch ausreichende und wirksame Schutzmechanismen gegen die spezifischen Herausforderungen der neuen Technikentwicklungen. Dieser Prozess führt nicht nur zu einem weiteren Datenschutzproblem, sondern zur Infragestellung des gesamten Konzepts des bisherigen Datenschutzes.

2 Neue Governance-Strukturen: Ko-Regulierung in der Europäischen Union

Neben den Herausforderungen für Datenschutz und Selbstbestimmung hat sich auch der normative Rahmen für das Konzept zum Schutz dieser Grundrechte durch die Einführung der Datenschutz-Grundverordnung geändert. Um erkennen zu können, ob die neuen Unionsregelungen diesen Herausforderungen gerecht werden, untersucht dieser Abschnitt die Zielsetzungen, die inhaltlichen Regelungen und die Governance-Struktur dieser Verordnung.

2.1 Datenschutz-Grundverordnung

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (EU) 2016/679 (DSGVO) unmittelbar in der gesamten Europäischen Union und im Europäischen Wirtschaftsraum. Sie ist in allen Mitgliedstaaten anwendbar und Teil ihrer jeweiligen Rechtsordnung. Gegenüber dem nationalen Datenschutzrecht genießt sie Anwendungsvorrang.

Die Datenschutz-Grundverordnung löst die Datenschutz-Richtlinie 95/46/EG aus dem Jahr 1995 ab, deren Datenschutzkonzept auf das deutsche Datenschutzrecht der 1980er Jahre zurückgeht Als Richtlinie galt sie nicht unmittelbar, sondern forderte von den Mitgliedstaaten, nationale Datenschutzgesetze im Einklang mit ihren Zielen zu erlassen. Diese Datenschutzgesetze enthielten viele unterschiedliche Detailregelungen und führten zu uneinheitlichen Datenschutzniveaus in den Mitgliedstaaten. Nach langen Vorbereitungen wurde die Datenschutz-Grundverordnung nach einem mehr als vierjährigen kontroversen Gesetzgebungsprozess am 27. April 2016 erlassen. Sie ist das Ergebnis vielfältiger Kompromisse zwischen den Gesetzgebungsorganen der Europäischen Union, der Kommission, dem Parlament und dem Rat, und einem bis dahin nicht bekannten Lobbyeinfluss.

Die Datenschutz-Grundverordnung orientiert sich in weiten Teilen an den alten Zielen und Grundsätzen der Datenschutz-Richtlinie. Sie übernimmt unter anderem in Art. 2 und 3 DSGVO die Regelungen zum sachlichen und räumlichen Anwendungsbereich, in Art. 5 DSGVO die Grundsätze der Datenverarbeitung, in Art. 6 Abs. 1 DSGVO die Voraussetzungen für die Zulässigkeit der Datenverarbeitung und in Art. 9 DSGVO die Regelungen zu besonderen Kategorien personenbezogener Daten. Hinsichtlich der Rechte der betroffenen Person orientiert sie sich in den Art. 12 bis 23 DSGVO ebenfalls stark an der Richtlinie. In Art. 28 und 29 DSGVO greift die Datenschutz-Grundverordnung grundsätzlich auf die Vorgaben der Richtlinie zur Auftragsverarbeitung zurück. In Art. 32 DSGVO übernimmt sie die Anforderungen an die Datensicherheit, in Art. 44 bis 50 DSGVO die Grundsätze zur Datenübermittlung in Drittländer und in Art. 51 bis 59 DSGVO die Konzeption der Stellung und Aufgaben der Aufsichtsbehörden. In allen Fällen sind die Regelungen der Verordnung nahezu oder wortwörtlich an den Konzeptionen der Datenschutz-Richtlinie ausgerichtet. Die Regelungen werden in der Verordnung zwar teils präzisiert, neugestaltet oder erweitert, aber konzeptionell nicht weiterentwickelt.

2.2 Harmonisierung

Mit den Regelungen der Verordnung verfolgt der Unionsgesetzgeber gemäß der Erwägungsgründe 7 und 13 DSGVO das Ziel, einen „kohärenten und klar durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes in der Union“ herzustellen, „ein gleichmäßiges Datenschutzniveau“ zu gewährleisten und „Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten“, zu beseitigen. Für diese Harmonisierung verfolgte die Kommission mit ihrem Entwurf ein sehr ehrgeiziges Regelungskonzept. Durch die Wahl einer Verordnung statt einer Richtlinie wollte sie den Mitgliedstaaten die für alle Bereiche der digitalen Gesellschaft höchst relevante Regelungsmaterie des Datenschutzes nehmen. An die Stelle der unterschiedlichen nationalen Gesetze sollte ein unionsweit einheitliches Datenschutzgesetz treten. Trotz der hohen Komplexität des Datenschutzes in allen Lebensbereichen in den damals 28 Mitgliedstaaten sah sie nur ca. 50 Artikel mit materiellen Vorschriften vor. Im Gegensatz dazu versuchte z. B. das Datenschutzrecht in Deutschland bis dahin den Regelungsanforderungen des Datenschutzes in Verwaltung, Wirtschaft, Kultur, Wissenschaft und vielen weiteren Gesellschaftsbereichen dadurch gerecht zu werden, dass es tausende bereichsspezifische Regelungen enthielt, die risikogerecht Datenschutz gewährleisten sollten. Dementsprechend sind die Regelungen der Datenschutz-Grundverordnung hochabstrakt und unterkomplex.

Diesem Mangel wollte die Kommission dadurch abhelfen, dass sie sich selbst die Kompetenz vorbehielt, die vielen unbestimmten Regelungen auszufüllen und fortzuentwickeln. Zu diesem Zweck sah ihr Entwurf 26 Ermächtigungen vor, die Verordnung durch delegierte Rechtsakte nachträglich zu konkretisieren, und 23 Ermächtigungen, sie durch Durchführungsrechtsakte auszugestalten. Dem widersprach jedoch der Rat und setzte durch, dass fast alle Ermächtigungen in Öffnungsklauseln für die Mitgliedstaaten umgewandelt wurden. Im Ergebnis ermöglichen 70 Öffnungsklauseln den Mitgliedstaaten, an vielen Stellen von den Regelungen der Verordnung abzuweichen oder sie zu konkretisieren. Öffnungsklauseln können Regelungsaufträge enthalten, die die Mitgliedstaaten verpflichten, bestimmte Regelungen zu erlassen. Sie können aber auch Regelungsoptionen bieten, die den Mitgliedstaaten die Möglichkeit eröffnen, eigene Regelungen zu schaffen oder bereits bestehende Regelungen beizubehalten, sofern diese den abstrakten Vorgaben der Verordnung nicht widersprechen. Eine vollständige Ersetzung des nationalen Datenschutzrechts ist in der Verordnung also nicht nur nicht angelegt, sondern im Gegenteil durch die lückenhaften und ausfüllungsbedürftigen Regelungen auch gar nicht möglich. Den Mitgliedstaaten bleibt ein vergleichsweise breiter Handlungsspielraum, unbestimmte Begriffe der Verordnung zu präzisieren, ausfüllungsbedürftige Vorgaben zu konkretisieren, unvollständige Regelungen zu ergänzen oder Regelungslücken zu schließen, solange dabei das Regelungsziel der Verordnung nicht verletzt wird. Bestehende nationale Regelungen können damit durchaus anwendbar bleiben und neue Regelungen erlassen werden.

Die Datenschutz-Grundverordnung bewirkt nicht nur vielfältige unterschiedliche Abweichungen der Mitgliedstaaten, sondern überlässt ihnen im Ergebnis auch große Regelungsbereiche vollständig. Der wichtigste Bereich ist der komplette öffentliche Sektor mit allen Verwaltungsbereichen, aber auch sonstigen öffentlichen Einrichtungen wie Hochschulen und Kulturstätten. Weitere Bereiche sind alle Arbeitsverhältnisse, die Medien und die Forschung. In Deutschland wurden zwar aufgrund der Datenschutz-Grundverordnung das Bundesdatenschutzgesetz novelliert und allein im Bund Anpassungen in ca. 200 Gesetzen mit Datenschutzregelungen durch drei umfangreiche Artikelgesetze vorgenommen. Doch wurden dadurch kein einziges Datenschutzgesetz und kein einziger Abschnitt zum Datenschutzrecht gestrichen. Sie gelten trotz Datenschutz-Grundverordnung weiter.

Die Datenschutz-Grundverordnung hat daher das Datenschutzrecht in Europa nicht vereinheitlicht, sondern in vielen wichtigen Bereichen die Vielfalt an unterschiedlichen Regelungen beibehalten. Aufgrund ihrer eigenen Regelungen hat sie das Ziel der Harmonisierung von Anfang an weitgehend verfehlt. In der Europäischen Union besteht kein einheitliches Datenschutzrecht, sondern eine Ko-Regulierung des Datenschutzes durch die Gesetzgeber der Union und der Mitgliedstaaten.

Die Verordnung regelt Zielsetzungen und Grundsätze, grundlegende Rechte und Pflichten und fundamentale Strukturen der Durchsetzung von Datenschutzrecht. Die Präzisierung und Ausfüllung ihrer abstrakten Regelungen und den Datenschutz in wichtigen Gesellschaftsbereichen aber bestimmen vielfach die Mitgliedstaaten. Durch diese Ko-Regulierung entsteht für den Rechtsanwender eine nur schwer zu durchschauende Gemengelage, die nicht nur zu einer erheblichen Rechtsunsicherheit führt, sondern auch eine effektive Umsetzung des Datenschutzrechts erschwert.

2.3 Modernisierung

Das zweite zentrale Ziel der Verordnung ist es, das Datenschutzrecht zu modernisieren und den Schutz der Grundrechte zu verbessern. „Rasche technologische Entwicklungen und die Globalisierung haben“ laut Erwägungsgrund 6 „den Datenschutz vor neue Herausforderungen gestellt. Das Ausmaß der Erhebung und des Austauschs personenbezogener Daten hat eindrucksvoll zugenommen. Die Technik macht es möglich, dass private Unternehmen und Behörden im Rahmen ihrer Tätigkeiten in einem noch nie dagewesenen Umfang auf personenbezogene Daten zurückgreifen. … Die Technik hat das wirtschaftliche und gesellschaftliche Leben verändert.“ Diese Entwicklungen erfordern nach Erwägungsgrund 7 einen „soliden, kohärenteren und durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes in der Union, um eine Vertrauensbasis zu schaffen, die die digitale Wirtschaft dringend benötigt, um im Binnenmarkt weiter wachsen zu können. Jede Person sollte die Kontrolle über ihre eigenen Daten besitzen, und private Nutzer, Wirtschaft und Staat sollten in rechtlicher und praktischer Hinsicht über mehr Sicherheit verfügen.“

Überwiegend will die Datenschutz-Grundverordnung diesen neuen Herausforderungen mit den alten, schon in der Datenschutz-Richtlinie bekannten Grundsätzen und Konzepten begegnen, die bereits vor über 20 Jahren teilweise als überholt oder unzureichend galten. Sie enthält aber auch einige normative Innovationen. Neu ist beispielsweise die Bestimmung des räumlichen Anwendungsbereichs der Verordnung nach dem Betroffenenprinzip in Art. 3 Abs. 2 DSGVO. Sie ist anwendbar, wenn ein Datenverarbeiter personenbezogene Daten von Personen verarbeitet, die sich in der Union aufhalten, nämlich wenn er entweder der betroffenen Person Waren oder Dienstleistungen anbietet (Marktort) oder die Datenverarbeitung der Beobachtung ihres Verhaltens dient (Beobachtungsort). Dadurch will die Datenschutz-Grundverordnung auf dem europäischen Markt für Wettbewerbsgleichheit zwischen Anbietern in der Union und Anbietern außerhalb der Union sorgen und die Wahrnehmung von Betroffenenrechten erleichtern. Neu ist auch die grundsätzliche Altersgrenze von Kindern in Art. 8 DSGVO, um in die Verarbeitung ihrer Daten für Dienste der Informationsgesellschaft einzuwilligen. Auch das Recht auf Datenübertragbarkeit in Art. 20 DSGVO zählt zu den Innovationen. Es gibt betroffenen Personen das Recht, ihre Daten, die sie einem Verantwortlichen bereitgestellt haben, auf einen anderen Datenverarbeiter zu übertragen. Neu sind auch die expliziten Anforderungen an den Datenschutz durch Systemgestaltung und Voreinstellungen in Art. 5 Abs. 1 lit. f und 25 DSGVO, die Möglichkeit einer Datenschutzzertifizierung in Art. 42 und 43 DSGVO sowie die Datenschutz-Folgenabschätzung in Art. 35 DSGVO. Verbesserungen hat die Verordnung schließlich im Bereich der Aufsichtsbehörden erfahren: Ihre Befugnisse wurden in Art. 58 DSGVO gestärkt und die Zusammenarbeit der Aufsichtsbehörden in der Union in Art. 60 bis 76 DSGVO geregelt. Die medienwirksamste Neuerung brachte wohl Art. 83 Abs. 5 DSGVO, nach dem bei den dort aufgelisteten Verstößen Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können.

Diese Neuerungen unterstützen die Durchsetzung des Datenschutzrechts und stärken das Bewusstsein für Datenschutz. Sie führen aber nicht dazu, dass die grundlegenden Vorgaben zu den Grundsätzen des Datenschutzes, zur Zulässigkeit der Datenverarbeitung und zu den Rechten der betroffenen Personen den neuen Herausforderungen entsprechen. Sie sind zwar in ihrer Abstraktheit auch auf neue Sachverhalte anwendbar, enthalten aber keine spezifischen Anforderungen. Im ersten Zugriff hat immer der Verantwortliche die Möglichkeit, die abstrakten Regelungen in seiner Datenverarbeitung zur Anwendung zu bringen. Dies führt zur Verstärkung von Machtungleichgewichten, weil überall da, wo das Recht normative Spielräume eröffnet, letztlich soziale, politische und wirtschaftliche Macht eindringt und einseitige Ergebnisse durchsetzt.

Außerdem berücksichtigt die Verordnung nicht das veränderte Systemdesign moderner Technologien, in dem nicht mehr nur linear der Verantwortliche auf der einen Seite die personenbezogenen Daten der betroffenen Person auf der anderen Seite verarbeitet, sondern in denen Privatpersonen arbeitsteilig Verarbeitungsvorgänge als Teil einer Infrastruktur vornehmen können (z. B. Blockchain, Mix-Netze, Crowd-Sensing, Peer-to-Peer-Kommunikation, Social Networks). Die Grenzen der individuellen Verantwortlichkeit verschwimmen zunehmend, werden aber von den Regelungen der Verordnung nicht ausreichend berücksichtigt und können damit natürliche Personen unangemessen benachteiligen und Machtasymmetrien verstärken. Damit wird die Verordnung den künftigen Herausforderungen technisch-ökonomischer Entwicklungen nicht gerecht. Das Festhalten an überholten und unzureichenden Lösungen wirkt jedoch besonders schwer, da die Mitgliedstaaten von diesen grundlegenden Richtungsentscheidungen der Verordnung nicht abweichen dürfen.

Schließlich versäumt es die Verordnung, Maßnahmen zu ergreifen, die nicht nur Verantwortliche, sondern auch Hersteller in die Pflicht nehmen würden, um Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen in technologische Anwendungen zu implementieren. Bisher trifft diese Pflicht den Verantwortlichen allein und es obliegt ihm, die Umsetzung bei Herstellern einzufordern. Deutlich bessere Effekte ließen sich mit der Verpflichtung der Hersteller erzielen. Dies muss nicht allein durch Ge- und Verbote erfolgen. In Kombination mit einem System von Anreizen und alternativen Regelungsformen könnte ein weitaus besserer Datenschutz durch Systemgestaltung und damit der Schutz der betroffenen Personen erreicht werden.

2.4 Risikoneutralität

Dem Modernisierungsziel entgegen steht letztlich auch das spezifische Verständnis der Verordnung von Technikneutralität. Richtig verstandene Technikneutralität soll verhindern, dass rechtliche Vorschriften aufgrund ihrer Formulierung technische Weiterentwicklungen ausschließen oder umgekehrt nicht mehr anwendbar sind. Dies schließt aus, Regelungen für einzelne Ausprägungen einer spezifischen IT-Anwendung zu treffen. Dies darf aber nicht verhindern, Vorgaben für bestimmte technische Funktionen vorzusehen – insbesondere, wenn sie besondere Risiken für Grundrechte verursachen. Denn in einer technikgeprägten Welt kann Grundrechtsschutz nicht erfolgen, wenn nicht auch Risiken durch Technik aufgegriffen und durch die Regulierung technischer Funktionen gesteuert werden.

Die Verordnung regelt jedoch überhaupt keine technischen Risiken. In keiner ihrer Regelungen geht die Verordnung die spezifischen grundrechtlichen Risiken moderner Informationstechnik an, wie sie in Abschn. 1.1 dargestellt wurden. Auch wo die Technik unterschiedliche Grundrechtsrisiken verursacht, finden die gleichen „technikneutralen“ Regelungen Anwendung. Zum Beispiel gelten die gleichen Zulässigkeitsregeln, Zweckbegrenzungen, Schutzvorkehrungen oder Rechte der betroffenen Person für alle Datenverarbeiter gleichermaßen, von der wenig riskanten Kundenliste eines Kleinstunternehmens bis hin zu globalen Konzernen wie Google oder Facebook, die mit risikoreichen Techniksystemen massenhaft personenbezogene Daten verarbeiten. Soweit es den Schutz der betroffenen Personen angeht, ist die Datenschutz-Grundverordnung risikoneutral.

Dagegen berücksichtigt sie die (geringeren) Risiken der Datenverarbeitung, wenn es um die Belastungen der Verantwortlichen geht. Diese werden „entsprechend der Risiken von Datenverarbeitungsprozessen“ reduziert oder beschränkt. Dies bewirkt, dass nur ein Bruchteil der Verantwortlichen und Auftragsverarbeiter die in der Verordnung vorgesehenen Pflichten erfüllen muss.

Datenverarbeitungen zu verhindern, die unzumutbare Risiken verursachen, ist nicht das Ziel der Verordnung. Sie knüpft an keiner Stelle die Zulässigkeit besonders riskanter Funktionen der Datenverarbeitung an das Fehlen bestimmter Grundrechtsrisiken oder macht sie von der Bewältigung dieser Risiken abhängig. Doch nur durch die Berücksichtigung typischer Risiken bestimmter Datenverarbeitungsformen im Verordnungstext hätte die notwendige Rechtssicherheit und Interessengerechtigkeit erreicht werden können.

Zusammenfassend ist festzuhalten, dass die Datenschutz-Grundverordnung ihr Ziel der notwendigen Modernisierung des Datenschutzrechts weitgehend verfehlt.

CC BY

Roßnagel, A., Bile, T., Geminn, C.L., Nebel, M. (2022). Neue Konzepte für den Grundrechtsschutz in der digitalen Welt. In: Roßnagel, A., Friedewald, M. (eds) Die Zukunft von Privatheit und Selbstbestimmung. DuD-Fachbeiträge. Springer Vieweg, Wiesbaden

https://doi.org/10.1007/978-3-658-35263-9_1

Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.