1 Einführung

Die DSGVO stellt das weltweit ambitionierteste Gesetz zum Schutz personenbezogener Daten dar und führte zahlreiche Innovationen in das EU-Datenschutzrecht ein. Zu diesen zählen beispielsweise das Marktortprinzip, das Recht auf Datenübertragbarkeit, die Anforderungen an den Datenschutz durch Systemgestaltung (data protection by design) und durch Voreinstellungen (data protection by default) sowie die Datenschutz-Folgenabschätzung (DSFA). Auf der Ebene der Governance-Strukturen fand das Prinzip der sog. Rechenschaftspflicht Eingang in das EU-Datenschutzrecht. An die Seite gestärkter Betroffenenrechte und Aufsichtsbehörden trat die sogenannte Rechenschaftspflicht, mit der das Ziel verfolgt wurde, den Datenverarbeitern einerseits mehr Verantwortung hinsichtlich der Befolgung der datenschutzrechtlichen Vorgaben zu übertragen und die Intensität dieser Verantwortung andererseits gemäß dem sog. risikobasierten Ansatz vom Risiko der jeweiligen Verarbeitung abhängig zu machen. Als Element dieser Rechenschaftspflicht wurde das maximal mögliche Sanktionsmaß auf eine Bußgeldhöhe von 20 Mio. EUR oder im Falle eines Unternehmens auf bis zu 4 % seines weltweiten Jahresumsatzes festgelegt. Somit sieht die DSGVO ein komplexes Schutzsystem vor: Es behält die allgemein verbindlichen Datenschutz-Prinzipien vorausgegangener Datenschutz-Gesetze, sieht eine Stärkung der Betroffenenrechte und zugleich die relative Intensivierung der Pflichten der Verarbeiter vor. Indem Aufsichtsbehörden gestärkt werden und ernstzunehmende Sanktionen verhängen können, soll gewährleistet sein, dass die Vorgaben eingehalten werden.

Die DSGVO war aber auch vielfach Kritik ausgesetzt. Von bürgerrechtlicher Seite werden vor allem die unzureichende Harmonisierung und die falsch verstandene Technikneutralität der Verordnung bemängelt. So beinhaltet die DSGVO trotz der anfänglichen Bestrebung zur Vereinheitlichung des europäischen Datenschutzrechts 70 Öffnungsklauseln. Diese ermöglichen es den Mitgliedstaaten von den Vorgaben der Verordnung abzuweichen oder diese zu konkretisieren. Daher müsse eher von einer Ko-Regulierung des Datenschutzes durch die Gesetzgeber der Union und der Mitgliedstaaten gesprochen werden. Die Harmonisierung des EU-Datenschutzes werde auf diese Weise verfehlt. Technikneutrale gesetzliche Regelungen sind hingegen relevant, damit gesetzliche Vorgaben den technischen Fortschritt nicht verhindern oder aufgrund des Fortschritts nicht mehr im intendierten Sinne anwendbar sind. Bei den DSGVO-Regelungen zur Technikneutralität wird allerdings kritisiert, dass diese nicht neutral gegenüber den Techniken, sondern gegenüber den Risiken verstanden werden. Es bleibe unberücksichtigt, dass die Risiken, die aus der Datenverarbeitung eines mittelständischen Handwerksbetriebs entstehen, üblicherweise in Umfang und Schwere anders sind als diejenigen, die aus der umfassenden und weltweiten Datenverarbeitung von Konzernen wie Google oder Facebook entstehen. Es könne deshalb resümiert werden, dass die Datenschutz-Grundverordnung sich hinsichtlich des Schutzes der Betroffenen risikoneutral verhält.

Von Seiten der datenverarbeitenden Wirtschaft wird an der DSGVO insbesondere kritisiert, dass sie eine Innovationsbremse darstelle. Die European Data Coalition, unter deren Dach beispielsweise Nokia, SAP und Ericsson versammelt sind, prognostizierte Ende 2015, als sich die EU-Organe auf einen Kompromisstext geeinigt hatten, dass das Aufschließen der europäischen Digitalwirtschaft an die internationale Konkurrenz aufgrund der neuen Sanktionsregelungen sowie der Rechtsunsicherheit in weite Ferne rücken werde. Die datenschutzkritische Industry Coalition for Data Protection prognostizierte neben innovationshemmenden und wirtschaftsschädigenden Effekten, dass insbesondere KMU unter der administrativen Mehrbelastung in Folge der neuen Regelungen leiden und datengetriebene Dienste gar nicht oder nur mit Verspätung auf den europäischen Markt gelangen würden. In einer Bitkom-Umfrage aus dem Jahr 2019 gaben drei von vier Unternehmen an, dass Datenschutzanforderungen die größte Hürde beim Einsatz neuer Technologien darstellten.

Vor dem Hintergrund der geschilderten ambivalenten Einschätzungen des Inhalts und der Wirkung der DSGVO adressiert der Beitrag zwei Fragen:

• Weshalb wurde die Einführung datenschutzrechtlicher Innovationen durch eine unzureichende Harmonisierung und eine falsch verstandene Technikneutralität begleitet?
• Welche Effekte hat die DSGVO auf die Innovationsfähigkeit von Unternehmen – wirkt sie eher innovationsfördernd oder innovationshemmend, und wie wirkt das neue Sanktionsregime?

Die erste Forschungsfrage wird mittels einer polit-historischen Analyse der Genealogie der Themen Harmonisierung und Technikneutralität beantwortet. Im Vordergrund steht dabei, mittels einer dokumentenanalytischen Vorgehensweise aufzuzeigen, welche ausschlaggebenden Diskurspositionen die Formierung der jeweiligen Politiken bewirkt haben. Im letzten Schritt wird entlang der Analyse der am politischen Aushandlungsprozess der DSGVO beteiligten Akteure gezeigt, welche Handlungsalternativen bestanden und weshalb sich die o. g. Politik-Ergebnisse durchsetzen konnten.

Die Beantwortung der zweiten Forschungsfrage erfolgt mittels einer Betrachtung der soweit verfügbaren empirischen Daten und Literatur.

2 Der politische Diskurs zur Modernisierung des europäischen Datenschutzrechts

Fragen der Harmonisierung wie der technologiespezifischen Regulierung lassen sich bis in die Anfänge der europäischen Datenschutzpolitik in den 1970er-Jahren zurückverfolgen. Später sollte die Frage der Harmonisierung Ende der 1980er-Jahre zu einer der ausschlaggebenden Gründe für die Erarbeitung der Datenschutz-Richtlinie von 1995 werden, die erst mit dem Inkrafttreten der DSGVO abgelöst wurde. Allerdings scheiterte der Versuch der Harmonisierung bereits in dieser Zeit (vgl. Abschn. 2.1).

Die regulatorische Adressierung der Datenschutz-Risiken bestimmter Technologien wurde zur selben Zeit zum Thema. Technische Entwicklungen auf dem Gebiet der Telekommunikation waren nicht nur Anlass für die Erarbeitung der Datenschutz-Richtlinie, sondern auch der ISDN-Richtlinie, die im Jahr 2003 von der ePrivacy-Richtlinie abgelöst und im Rahmen einer weiteren Novelle im Jahr 2009 zur Cookie-Richtlinie weiterentwickelt wurde und deren erneute Reform, diesmal hin zur ePrivacy-Verordnung, seit Anfang 2017 auf EU-Ebene verhandelt wird. Im Laufe der 2000er-Jahre forcierte die EU-Kommission vor dem Eindruck neuer Technologien zudem eine weitere bereichsspezifische Regulierung zur RFID-Technologie. Letztlich führte der Widerstand auf Seiten der Datenverarbeiter und der Mitgliedstaaten dazu, dass in den verabschiedeten Regulierungsinstrumenten vergleichsweise schwache Vorgaben zur Adressierung der technologiespezifischen Datenschutz-Risiken verankert wurden (vgl. Abschn. 2.2).

In der Datenschutzreform, die im Jahr 2009 angestoßen wurde und an deren Ende die Verabschiedung der DSGVO stand, wurde von der Kommission ein weiteres Mal die Forcierung von Harmonisierung und der Adressierung technologiespezifischer Datenschutz-Risiken angestrebt. Obwohl die Harmonisierung seitens der datenverarbeitenden Wirtschaft besonders stark eingefordert wurde, wurden die Vorschläge der Kommission zur Harmonisierung im Aushandlungsprozess der DSGVO sowohl von der Wirtschaft als auch von den Mitgliedstaaten abgelehnt. Das Europäische Parlament, die Datenschutzaufsichtsbehörden und zivilgesellschaftliche Datenschützer zeigten hingegen ein vergleichsweise geringes Interesse an der Harmonisierung. Im Ergebnis wurde im Verordnungstext eine Ko-Regulierung zwischen Unionsgesetzgeber und den Mitgliedstaaten verankert, wodurch das Ziel der Harmonisierung nicht in zufriedenstellendem Maße erreicht wurde. Die Adressierung technologiespezifischer Datenschutz-Risiken scheiterte aus ähnlichen Gründen: So hatte die Kommission in ihrem Verordnungsentwurf angekündigt, technologiespezifische Regelungen mittels delegierter und Durchführungsrechtsakte zu erlassen. Dieser Vorstoß wurde allerdings seitens der datenverarbeitenden Wirtschaft vehement abgelehnt, während die Befürworter strengerer Datenschutzregelungen kein nennenswertes Interesse an Regelungen zeigten, die technologiespezifische Datenschutz-Risiken adressieren (vgl. Abschn. 2.3).

2.1 Harmonisierung des Datenschutzrechts in der EU

Der Diskurs um die Harmonisierung von Datenschutz-Regulierungen wurde entfacht, nachdem im Laufe der 1970er-Jahre angesichts der zunehmenden Globalisierung der europäischen und der weltweiten Wirtschaft klar wurde, dass auch der Verkehr personenbezogener Daten die Grenzen der Nationalstaaten überschreiten würde. Den ersten Versuch einer internationalen Harmonisierung stellen die 1980 bzw. 1981 verabschiedeten Datenschutzrichtlinien der OECD und die Datenschutz-Konvention des Europarats dar. Nachdem mehrere europäische Staaten während der 1970er-Jahre unabhängig voneinander Datenschutz-Gesetze erlassen hatten, befürchtete die OECD die Gefahr der Erschwerung grenzüberschreitender Datenflüsse und daraus resultierender volkswirtschaftlicher Wachstumseinbußen. Die Wirkung der daraufhin ausgearbeiteten und am 23. September 1980 angenommenen OECD-Datenschutzrichtlinien blieb allerdings gering. Der Grund dafür lag zum einen im unverbindlichen Charakter der Richtlinien – keiner der OECD-Mitgliedstaaten war verpflichtet, den Vorgaben zu folgen. Zum anderen lag der Grund darin, dass im Hinblick auf die Umsetzung der Vorgaben in nationales Recht Selbstregulierung und gesetzliche Bestimmungen gleichgesetzt wurden, weil die nicht-europäischen OECD-Staaten kein Interesse am Erlass gesetzlicher Bestimmungen zeigten. Im Laufe der 1980er-Jahre stellte sich zunehmend heraus, dass die OECD-Richtlinien eher national divergierenden und inhaltlich unzureichenden Selbstregulierungspraktiken zuträglich waren, statt zur internationalen Harmonisierung eines effektiven Schutzniveaus bzw. -regimes beizutragen.

Die am 28. Januar 1981 unterzeichnete Datenschutz-Konvention 108 des Europarats war im Vergleich zu den OECD-Richtlinien stärker grundrechtlich und weniger wirtschaftspolitisch motiviert. Zudem befürwortete die Konvention staatliche Regulierung anstelle von Selbstregulierung und entfaltete für die Unterzeichnerstaaten bindende Wirkung. Mehrere der in den Folgejahren überarbeiteten nationalen Datenschutzgesetze wie das Bundesdatenschutzgesetz von 1990 und die EG-Datenschutz-Richtlinie von 1995 wurden von der Konvention beeinflusst. Unklare inhaltliche Vorgaben und eine abweichende Implementierung führten allerdings dazu, dass auch die Konvention die angestrebte Harmonisierungswirkung letztlich verfehlte.

Ende der 1980er-Jahre wurde zwar zunehmend klar, dass die Versuche der Harmonisierung der Datenschutz-Gesetze mittels dieser Instrumente scheiterten, doch dies allein reichte nicht dafür aus, die EU-Politik zur Aktivität zu bewegen. Erst als ein aus nationalen Datenschutzaufsichtsbehörden bestehendes Akteursnetzwerk die Blockade grenzüberschreitender Datentransfers in Staaten mit unzureichenden Datenschutzgesetzen androhte und vertragsrechtliche Änderungen hin zu einer verstärkten europäischen Integration auch auf politischen Themenfeldern als ermöglichender Faktor wirkten, legte die Europäische Kommission am 18. Juli 1990 ein Bündel an Vorschlägen zum Schutz personenbezogener Daten vor. Das Hauptelement dieser Vorschläge bildete die spätere EG-Datenschutz-Richtlinie, mit der das Datenschutzrecht EG-weit harmonisiert werden sollte.

Bei der Ausarbeitung ihrer Regelungsvorschläge stand die Kommission vor der Herausforderung, Elemente der zwischenzeitlich zunehmend stärker divergierenden nationalen Datenschutzgesetze so zu übernehmen, dass eine möglichst große Unterstützung für ihren Richtlinienvorschlag sichergestellt würde. Den Mitgliedstaaten war generell wenig an der Erarbeitung harmonisierter Datenschutz-Regelungen gelegen. Stattdessen bezweckten sie mittels Ausübung politischen Drucks die Inkorporation ihrer nationalen Regelungen auf europäischer Ebene. Zudem bedeutete die im politischen Prozess der EU angelegte, inhärente Notwendigkeit zur Kompromissfindung, dass die Kommission auch die Positionen jener Staaten – wie etwa Großbritannien – berücksichtigen musste, die beim Datenschutz weitgehend auf Selbstregulierung setzten. Da ein einheitliches Schutzniveau bei Selbstregulierungsmaßnahmen noch schwieriger zu gewährleisten ist, kollidierte dieser Ansatz mit der intendierten Harmonisierungswirkung.

Wie später in ihrem Legislativvorschlag zur DSGVO sah die Kommission auch in ihrem Richtlinienvorschlag für sich selbst weitgehende Rechtsetzungsbefugnisse im Hinblick auf die „für die Anwendung dieser Richtlinie auf die Besonderheiten bestimmter Bereiche erforderlichen Maßnahmen“ vor (Art. 29 DS-RL-E). Dabei sollte die Kommission von einem beratenden Ausschuss bestehend aus Vertretern der Mitgliedstaaten unterstützt werden (Art. 30 DS-RL-E). Die Empfehlungen des Ausschusses sollten jedoch nicht bindend sein, sondern von der Kommission lediglich „soweit wie möglich“ (ebd.) berücksichtigt werden. Wäre dieser Kommissionsvorschlag erfolgreich gewesen, hätte die Kommission die Befugnis gehabt, zahlreiche Details der Richtlinie unter Verweis auf ihre Anwendungsrelevanz, also etwa die Harmonisierung der Informations- und Meldepflichten usw. – unter weitgehender Übergehung nationaler Standpunkte – im Alleingang zu regulieren. Entsprechend massiv wurde der Kommissionsvorschlag kritisiert: Weder die Mitgliedstaaten noch die Wirtschaft oder das Europäische Parlament begrüßten den Richtlinienentwurf. In den Folgejahren erfuhr der Kommissionsvorschlag große Veränderungen, sodass die finale Datenschutz-Richtlinie kaum mehr dem Entwurf glich.

Gemessen an den damals in Kraft befindlichen internationalen Datenschutz-Instrumenten war die DS-RL sicherlich sowohl inhaltlich als auch im Hinblick auf ihre Harmonisierungswirkung innovativ. Denn trotz der im Aushandlungsprozess vorgenommenen zahlreichen Modifikationen des Schutzniveaus stellte sie zum Zeitpunkt ihrer Verabschiedung das strengste überstaatliche Datenschutzinstrument der Welt dar. Schließlich sollte die Richtlinie im Laufe der Jahre auch die Rolle der Datenschutz-Konvention ablösen und zum weltweit einflussreichsten Datenschutzinstrument aufsteigen.

Gemessen am Inhalt der damaligen europäischen Datenschutzgesetze stellten sie dagegen eher eine diffuse Konservierung bestehender Gesetze denn eine ernsthafte Weiterentwicklung und Harmonisierung dar. Dies hatte zwei Gründe. Zum einen war die Kommission darum bemüht, für ihren Richtlinienvorschlag die Zustimmung möglichst vieler Mitgliedstaaten zu gewinnen. Folglich war der bestimmende Faktor der Richtliniengestaltung die Erhöhung der Wahrscheinlichkeit seiner Verabschiedung durch die bereits erwähnte eklektizistische Inkorporation möglichst vieler mitgliedstaatlicher Rechtselemente und nicht die Erarbeitung eines konsistenten und innovativen Datenschutzgesetzes. Zum anderen führte aber auch die im politischen Prozess der EG angelegte Notwendigkeit der Erzielung von Kompromissen dazu, dass Möglichkeiten zur Weiterentwicklung und Harmonisierung der Richtlinie verspielt wurden. Letztlich versuchte die Kommission, jeden Konflikt zu vermeiden, der aus ihrer Sicht die Verabschiedung der Richtlinie gefährdet hätte. Entsprechend musste die Kommission selbst in kritischen Fällen den mitgliedstaatlichen Forderung nach nationalen Abweichungen von den Richtlinien-Vorgaben nachgeben, um das Projekt der Richtlinie nicht als Ganzes zu gefährden. Die Unklarheit der Regelungen spiegelte somit den schwierigen Gesetzgebungsprozess aufgrund der unterschiedlichen Positionen der mitentscheidenden Instanzen, insbesondere im Rahmen des Ministerrats, wider. Simitis attestierte daher: „Das mühsam zustandegekommene einheitliche Regelwerk droht wieder in seine nationalen Bestandteile zu zerfallen, die angestrebte „Harmonisierung“ riskiert vollends zur Fiktion zu geraten.“ Angesichts der sich anbahnenden Probleme hinsichtlich der Erreichung der angestrebten Harmonisierung legte die Kommission ihre Hoffnung schließlich in die Implementierung der Richtlinie.

In den Folgejahren bestätigten sich die Vermutungen, dass die Datenschutz-Richtlinie weder im Hinblick auf die erhoffte Harmonisierung noch hinsichtlich der Festlegung eines hohen und effektiven Datenschutzniveaus die erhoffte Wirkung erzielen würde. So resümierte die Kommission in ihrem ersten Bericht über die Durchführung der Richtlinie 2003, dass diese zwar ihren Hauptzweck in Gestalt der Gewährleistung des freien Datenverkehrs erfülle und auch der weitere Zweck der Gewährleistung eines hohen Datenschutzniveaus als erfüllt anzusehen sei, dass jedoch eine abweichende Umsetzung der Richtlinienvorgaben in nationales Recht festzustellen sei. Als besonders problematisch galt, dass inakzeptable Divergenzen selbst solche Bereiche betrafen, für die eine weitgehende Harmonisierung vorgesehen war. Dennoch vertrat die Kommission – entgegen den Forderungen der datenverarbeitenden Wirtschaft – die Position, dass eine Änderung der Richtlinie in nächster Zukunft aufgrund mehrerer Faktoren nicht sinnvoll wäre. Zunächst sei aufgrund der verspäteten Umsetzung der Richtlinie in den Mitgliedstaaten keine ausreichende Erfahrungsgrundlage gegeben, eine Änderung zu dem Zeitpunkt also noch verfrüht. Daneben konstatierte die Kommission, dass viele der im Konsultationsprozess benannten Schwierigkeiten ohne eine Änderung der Richtlinie behoben werden könnten: Nicht die Richtlinie, sondern die divergierende Umsetzung in mitgliedstaatliches Recht stellten demnach das zu adressierende Problem dar. Schließlich dürfte sich die Kommission auch deshalb gegen die Änderung der Richtlinie ausgesprochen haben, da viele Akteure für den Fall einer Änderung für die Senkung des Datenschutzniveaus eintraten und die Kommission dies zu verhindern versuchte. Daher setzte die Kommission insbesondere auf freiwillige Harmonisierungsmaßnahmen der Mitgliedstaaten sowie auf die engere Zusammenarbeit zwischen den Aufsichtsbehörden unter der Anleitung der Kommission bzw. der Art.-29-Datenschutzgruppe und in einzelnen Fällen auch unter Beteiligung der Datenverarbeiter selbst.

In ihrem 2007 veröffentlichten Folgebericht musste die Kommission schließlich eingestehen, dass die Divergenzen fortbestanden. Weil die Potentiale bei der Umsetzung der Richtlinie aber noch immer nicht ausgeschöpft seien und weil die fehlende Harmonisierung keine Gefahr für das Funktionieren des Binnenmarktes oder für die Gewährleistung eines hohen Schutzniveaus darstelle, formulierte die Kommission allerdings immer noch keine Notwendigkeit für eine Änderung der Richtlinie.

2.2 Technologie-spezifische Datenschutz-Risiken

Die Adressierung von Datenschutz-Risiken von Technologien ist der Ausgangspunkt des Datenschutzrechts bzw. der Datenschutz-Debatten der späten 1960er- und 1970er-Jahre. Bereits die ersten Datenschutzgesetze und -debatten stellten eine Reaktion auf staatliche Kontrollvorstellungen der 1960er-Jahre dar, die eine Zusammenführung und Auswertung von (Verwaltungs-)Datenbeständen mit Hilfe von Computern anstrebten. Sowohl das hessische Landesdatenschutzgesetz aus dem Jahr 1970 als auch die weiteren Datenschutzgesetze und -instrumente, wie insb. die Europaratskonvention, stellten Versuche dar, die problematischen Aspekte der Datenverarbeitung mittels staatlicher Regulierung gesellschaftsverträglich einzuhegen. Technikneutralität wurde in diesem Kontext so verstanden, dass die verabschiedeten rechtlichen Vorschriften auch bei technologischen Weiterentwicklungen grundsätzlich anwendbar bleiben und sich nicht lediglich auf bestimmte Technologien beziehen sollten.

Fernab von dieser allgemeinen Technologie-Rückkopplung der Datenschutz-Gesetze setzte sich Ende der 1980er-Jahre bei einigen Vertretern der EG-Mitgliedstaaten und Europaparlamentariern sowie bei den nationalen Datenschutzaufsichtsbehörden außerdem der Gedanke durch, dass spezifische Technologien besondere Gefahren nach sich ziehen würden, die es mittels Sektor- bzw. technologie-spezifischerer Regulierung zu adressieren gelte. Im Ergebnis dieser Debatten veröffentlichte die Kommission neben ihrem Vorschlag für die Datenschutz-Richtlinie auch einen Vorschlag für eine Richtlinie, mit der die Datenschutz-Gefahren neuer Telekommunikationsnetze in Gestalt von ISDN adressiert werden sollten. Die ISDN-Richtlinie 97/66/EG wurde schließlich am 15. Dezember 1997 angenommen. Mit deren Überarbeitung zur sog. ePrivacy-Richtlinie 2002/58/EG wurde die Anpassung der Regelungsinhalte an den Stand der Technik bezweckt – insbesondere indem die Fokussierung auf ISDN aufgegeben und jegliche mobile, satelliten- oder kabelbasierte Kommunikationstechnologie in den Anwendungsbereich der Richtlinie aufgenommen werden sollte. Von Wirtschaftsvertretern wurde der ePrivacy-Richtlinienvorschlag abgelehnt, da diese der Ansicht waren, dass die allgemeinen Rechtsvorschriften der Datenschutz-Richtlinie 95/46/EG ausreichten. Notwendige Anpassungen wären fallweise mit einem flexiblen Selbstregulierungsinstrument wie Verhaltensregeln besser zu erreichen als mit staatlicher Regulierung. Nach einem konfrontativen Aushandlungsprozess, in deren Verlauf das von der Kommission vorgesehene Schutzniveau und ihre Harmonisierungsvorschläge deutliche Änderungen erfuhren, wurde die ePrivacy-Richtlinie (2002/58/EG) schließlich am 12. Juli 2002 angenommen.

In den Folgejahren arbeitete die Europäische Kommission an weiteren Maßnahmen zur Eindämmung technologiespezifischer Datenschutz-Risiken. Etwa zeitgleich starteten die Initiativen der Kommission zur Regulierung von datenschutzrechtlichen Auswirkungen der Radiofrequenz-Identifikation (RFID) sowie zur erneuten Überarbeitung der ePrivacy-Richtlinie. Nachdem seit 2003 zunächst auf der Ebene der Mitgliedstaaten und auf der internationalen Konferenz der Datenschutzaufsichtsbehörden über die datenschutzrechtlichen Auswirkungen der RFID-Technologie diskutiert wurde, initiierte die Europäische Kommission Anfang 2006 einen öffentlichen Diskursprozess zum Thema. Ende 2005 wurde auch die Novellierung der ePrivacy-Richtlinie initiiert, mit der die Inhalte der Richtlinie an die Herausforderungen der neuen Informationssysteme und insbesondere des Internets angepasst werden sollten. Angesichts der Komplexität und Allgegenwart der neuen Informationssysteme setzte die Kommission in dieser Phase in verstärktem Maße auf die Zusammenarbeit mit den Interessenvertretern. Dazu wurden zu beiden Themensträngen umfangreiche öffentliche Konsultationen durchgeführt, in deren Rahmen insgesamt mehr als 2000 Stellungnahmen bei der Kommission eingingen. Schließlich veröffentlichte die Kommission im Mai 2009 eine Empfehlung zur Umsetzung der Grundsätze der Wahrung der Privatsphäre und des Datenschutzes in RFID-gestützten Anwendungen und im November desselben Jahres wurde auch die Novelle der ePrivacy-Richtlinie in Gestalt der sog. Cookie-Richtlinie (2009/136/EG) verabschiedet.

Die Ergebnisse beider Politikprozesse stellten eine wichtige Weiche für die künftige Kommissionspolitik im Hinblick auf die Adressierung technologie-spezifischer Risiken. Denn die RFID-Empfehlungen der Kommission fielen aufgrund des Drucks der beteiligten Akteure aus der Wirtschaft weitestgehend industriefreundlich aus: Die Kommission setzte nicht nur auf das weiche Regulierungsinstrument einer Empfehlung, sondern befürwortete darin anstelle verbindlicher Maßnahmen überwiegend Selbstregulierungsmaßnahmen, allen voran die Vorlage einer Datenschutzfolgenabschätzung seitens der Wirtschaftsvertreter zur Prüfung durch die Artikel-29-Datenschutzgruppe. Durch den Verzicht auf ein unionsweit verbindliches Instrument war die Umsetzung der Kommissionsempfehlungen somit auf die Mitarbeit sowohl der Mitgliedstaaten als auch der datenverarbeitenden Wirtschaft angewiesen. Allerdings schaffte es die RFID-Technologie nie vollständig aus der Nische. Selbst im Jahr 2014 setzten nur etwa 10 % der in der EU ansässigen Unternehmen RFID ein.

Die Cookie-Richtlinie enthielt dagegen zwar (bspw. in Art. 5 Abs. 3 und Art. 13) verbindliche Bestimmungen, die auf RFID-Systeme anwendbar waren, allerdings war deren Anwendungsbereich auf elektronische Kommunikationsdienste beschränkt. Der Vorschlag der Artikel-29-Datenschutzgruppe, des Europäischen Datenschutzbeauftragten (EDSB) und des Europäischen Parlaments, den Anwendungsbereich auf jedwede Dienste der Informationsgesellschaft auszuweiten, hatte sich im Aushandlungsprozess gegenüber den Forderungen der Kommission und der Mitgliedstaaten nicht durchsetzen können. Stattdessen verwiesen Kommission und Ministerrat auf die bevorstehende Reform der Datenschutzrichtlinie.

2.3 Das Ziel der Harmonisierung und die Adressierung technologie-spezifischer Datenschutz-Risiken im Aushandlungsprozess der DSGVO

Der Veröffentlichung des Kommissionsentwurfs der DSGVO am 25. Januar 2012 ging eine mehrjährige Konsultationsphase voraus. Nachdem der Reformprozess im Jahr 2008 angestoßen wurde, initiierte die Kommission in den Jahren 2009 bis 2011 zwei umfassende Konsultationsrunden, in deren Rahmen der Input hunderter Stakeholder eingeholt wurde. Einen wichtigen Eckpfeiler des Reformprozesses bildete im November 2010 die Veröffentlichung des sog. Gesamtkonzepts für den Datenschutz in der EU, das die Kommissionsschlussfolgerungen aus dem ersten Konsultationsprozess enthielt. Darin stellte die Kommission erstmals fest, dass die divergierende Umsetzung der Datenschutz-Richtlinie als Risiko für den freien Verkehr personenbezogener Daten im Binnenmarkt zu bewerten sei. Daneben beanstandete auch eine große Mehrheit der am Konsultationsprozess beteiligten Interessenvertreter die mangelnde Harmonisierung und forderte Nachbesserungen. Die Befürworter eines hohen Datenschutzniveaus versprachen sich von der Harmonisierung eine effektivere Durchsetzung der Datenschutzgesetze sowie ein Ende der Umgehung strenger Datenschutzregeln, indem Datenverarbeiter ihre Hauptniederlassung in jenem Mitgliedstaat mit dem niedrigsten Datenschutzniveau gründen. Vertreter der datenverarbeitenden Wirtschaft hingegen verknüpften mit dem Wunsch nach mehr Harmonisierung die Forderung nach Abbau bürokratischer Hemmnisse beim grenzüberschreitenden Datenaustausch (so insb. im Zusammenhang mit der uneinheitlich umgesetzten Meldepflicht) und den Übergang zu einer auf Selbstregulierung fußenden Datenschutzgesetzgebung. Bestehende Probleme beim Schutz personenbezogener Daten wurden stets auf die mangelnde Harmonisierung der als zu restriktiv wahrgenommenen Regeln zurückgeführt und argumentiert, dass diese sich durch mehr Harmonisierung und Selbstregulierung statt strengerer Datenschutzregeln und neuer Rechtselemente (z. B. das Recht auf Datenportabilität oder Datenschutzfolgenabschätzungen) beheben ließen. Zunächst unterstützten sowohl der Ministerrat als auch das Parlament die Initiative der Kommission für eine stärkere Harmonisierung.

Die durch neue Technologien und die fortschreitende Globalisierung verursachten Herausforderungen für den effektiven Schutz personenbezogener Daten waren für die Kommission sowohl Anlass für die Initiierung der Datenschutzreform als auch ein maßgebliches Kriterium bei der Gestaltung des DSGVO-Kommissionsentwurfs. Im Rahmen der Konsultationsprozesse standen vorwiegend die von sozialen Online-Netzwerken und Cloud-Computing ausgehenden Datenschutz-Gefährdungen im Vordergrund. Andere, sich entwickelnde oder absehbare, technologische Trends wie das Internet der Dinge bzw. Ubiquitous Computing, Big Data oder Künstliche Intelligenz wurden in den maßgeblichen Policy-Dokumenten hingegen an keiner Stelle erwähnt.

Die Ankündigung der Kommission, die Folgen moderner Datenverarbeitungstechnologien eindämmen zu wollen, führte während des Konsultationsprozesses auf Seiten der privatwirtschaftlichen Akteure zu der Befürchtung, dass das Prinzip der Technologie-Neutralität aufgegeben werden könnte. Entsprechend vehement wurde seitens dieser Akteure argumentiert, dass die Datenschutz-Prinzipien der Richtlinie ausreichend flexibel seien, um auch auf neuere Technologien Anwendung finden zu können und dass die Einführung jedweder technologiespezifischer Regelungen unbedingt zu vermeiden sei.

Die Inkorporation einer Vielzahl an delegierten und Durchführungsrechtsakten im Kommissionsentwurf zur Konkretisierung der DSGVO im Hinblick auf technologiespezifische Maßnahmen ist insbesondere als direkte Reaktion auf den Widerstand der Stakeholder zu interpretieren. Dadurch konnte es die Kommission einerseits vermeiden, unmittelbare technologiespezifische Maßnahmen zu formulieren während sie andererseits die Möglichkeit der künftigen Spezifizierung offen zu halten beabsichtigte. Auf diese Weise sollten beispielsweise die abstrakten Vorgaben der Kommission im Hinblick auf den Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen in Art. 23 Abs. 3 und 4, zur Sicherheit der Verarbeitung in Art. 30 Abs. 3 und 4 genauer geregelt werden können. Ebenso wurde zwar die Durchführung einer Datenschutzfolgenabschätzung bei besonders riskanten Verarbeitungen in Art. 33 Abs. 1 und 2 zur Verpflichtung gemacht, eine Spezifizierung der Risiken sollte gem. Abs. 6 allerdings erst mittels delegierter Rechtsakte erfolgen.

Diese Vorgehensweise der Kommission lässt sich darüber hinaus aber auch als das Ergebnis einer notwendigen Lehre aus vergangenen Fehlschlägen in der EU-Datenschutzregulierung interpretieren: Einerseits hinkt staatliche Regulierung der Technikentwicklung stets hinterher und andererseits hat sich technikneutrale Regulierung zu einem politischen Paradigma entwickelt, das in der Praxis nicht immer die intendierten Resultate mit sich gebracht hat. Denn jede Regulierung bleibt, trotz des Versuchs mittels technikneutraler Regulierung Weiterentwicklungen nicht auszuschließen, stets an die realen technologischen Gegebenheiten gekoppelt, die den Ausgangspunkt eines politischen Entscheidungsprozesses bilden. Dadurch, dass Gesetzgebungsprozesse mehrere Jahre in Anspruch nehmen können, kann nicht wirksam ausgeschlossen werden, dass die verabschiedeten Regelungen selbst dann veraltet sind, wenn zum Entwurfszeitpunkt bestimmte Risiken unter Einhaltung der Technikneutralität explizit adressiert wurden. Der Blick auf die Dauer der Entscheidungsprozesse der EU-Datenschutzpolitiken zeigt, dass deren offizielle Verhandlungsphase durchschnittlich 42 Monate, also etwas mehr als drei Jahre dauerte. Noch deutlicher wird das Bild, wenn beachtet wird, dass zentrale Gestaltungsentscheidungen (das Agenda-Setting) häufig bereits in der Vorbereitungsphase eines Gesetzesvorschlags getroffen werden und nach Beginn des formellen Gesetzgebungsprozesses nur schwer modifiziert werden können. Wenn auch die Vorbereitungsphasen der datenschutzpolitischen Gesetzgebungsprozesse miteinberechnet werden, ergibt sich ein noch höherer Wert von 83 Monaten bzw. sechseinhalb Jahren (vgl. Tab. 1). In dieser Zeit kann sich technologisch viel verändern und fundamentale Änderungen sind nach Abschluss der Agenda-Setting-Phase nur schwer möglich. Im Falle der DSGVO bauten die vorgeschlagenen Bestimmungen wie beispielsweise das Recht auf Vergessenwerden oder das Recht auf Datenportabilität auf den spezifischen Debatten über die Einhegung der Folgen sozialer Online-Netzwerke. Die Themen Big Data und das Internet der Dinge rückten ab 2013 und insb. 2014 und somit erst nach Abschluss der Agenda-Setting-Phase in den Mittelpunkt der datenschutzpolitischen Debatte. Mit ihren Vorschlägen beabsichtigte die Kommission, künftig schneller auf technologische Veränderungen reagieren zu können.

Tab. 1 Überblick über die Dauer datenschutzpolitischer Gesetzgebungsprozesse auf EU-Ebene (eigene Zusammenstellung)

Alternativ hätte die Kommission auf die Spezifizierung im Rahmen von delegierten und Durchführungsrechtsakten verzichten und stattdessen die Möglichkeit von Gesetzesänderungen bzw. des Erlasses neuer Gesetze vorziehen können. Angesichts der Historie der Datenschutzpolitik konnte jedoch auch diese Option nicht infrage kommen. Denn obwohl aufgrund fortschreitender technologisch induzierter Datenschutzgefährdungen immer neuere Datenschutzgesetze erforderlich wurden, fiel es den Befürwortern datenschutzrechtlicher Regelungen in vergangenen datenschutzpolitischen Aushandlungsprozessen stets schwer, sich gegenüber den Gegnern verbindlicher Regelungen durchzusetzen. Die verabschiedeten Datenschutzgesetze stellten häufig einen Kompromiss auf dem kleinsten gemeinsamen Nenner dar, statt echte datenschutzpolitische Innovationen mit sich zu bringen. Insofern die Kommission ein Interesse an strengeren bzw. innovativen Datenschutzregelungen hatte – davon kann angesichts des Policy-Entrepreneurship der zuständigen Justizkommissare Jacques Barrot und insbesondere Viviane Reding ausgegangen werden – kam die Möglichkeit von Gesetzesänderungen oder des Erlasses neuer Regelungen nicht infrage, da hierbei stets die Gefahr bestand, dass die auf diesem Wege verabschiedeten Regelungen nur unbefriedigende Resultate bringen würden. Zudem hätte die o. g. lange Dauer von Entscheidungsprozessen stets die Gefahr impliziert, dass auch die neuen Regelungen bereits im Moment ihres Inkrafttretens veraltet sein könnten.

Schließlich war im Laufe der 2000er-Jahre zunehmend klargeworden, dass eine Praxis der Selbstregulierung im Hinblick auf den effektiven Schutz personenbezogener Daten im Kontext neuer Technologierisiken nicht die gewünschten Ergebnisse mit sich bringen würde. Weder die Erfahrungen mit Selbstregulierung im Rahmen der RFID-Empfehlungen noch im Rahmen der Umsetzung der DSRL konnten als zufriedenstellend bezeichnet werden. Die datenverarbeitende Wirtschaft zeigte wenig Interesse am Instrument der Datenschutz-Folgenabschätzung, das mit den RFID-Empfehlungen eingeführt worden war: Nachdem ein erster Industrie-Vorschlag für ein DSFA-Konzept seitens der Datenschutzgruppe für unzureichend befunden und abgelehnt wurde, wurde der überarbeitete Vorschlag 2011 angenommen – allerdings unter Auflagen, da immer noch Mängel festgestellt wurden. Und auch die einzige nennenswerte Selbstregulierungsinitiative im Rahmen der Umsetzung der DSRL, die von der European Advertising Standards Alliance (EASA) Ende der 2000er-Jahre forciert wurde, war seitens der Art. 29-Datenschutzgruppe für nicht-konform mit den Vorgaben der ePrivacy-Richtlinie befunden worden.

Im Kontext der Harmonisierungsthematik bezweckte die Kommission mit ihren neuen Befugnissen zudem in verstärkter Weise Einfluss auf die harmonisierte Umsetzung der Verordnung nehmen zu können, um die Entstehung neuer Divergenzen in den Mitgliedstaaten zu vermeiden. Teilweise sah der Kommissionsentwurf auch vor, dass der Europäische Datenschutzausschuss für die Gewährleistung der kohärenten Anwendung der Verordnung mitverantwortlich sein sollte. Dadurch, dass die Kommission für sich selbst auch im Hinblick auf den Ausschuss die letztverantwortliche und damit maßgebliche Steuerungskompetenz vorsah, stand im Zentrum des Kommissionsentwurfs zur Gewährleistung der Kohärenz dennoch die Kommission selbst. Auch dieses Agieren der Kommission war ein Ergebnis des Widerstands der Mitgliedstaaten hinsichtlich der Harmonisierung ihrer Datenschutzregelungen. Diese Ablehnung gemeinsamer Standards seitens der Mitgliedstaaten hat Tradition und reicht über die Ablehnung wirksamer und harmonisierter Anti-Spam-Regelungen im Kontext der Cookie- und ePrivacy-Richtlinie, der Verabschiedung eines angemessenen Datenschutz-Standards für den Bereich der ehemaligen dritten Säule im Kontext des JI-Rahmenbeschlusses bis hin zur Aufweichung der Regelungen der Datenschutz-Richtlinie zurück. In allen genannten Politikprozessen führte der Druck der Mitgliedstaaten zu einer Reduktion des Harmonisierungsniveaus. Dabei wurde einerseits argumentiert, dass eine gewisse Regelungsdivergenz bereichernd wirke und andererseits, dass während der Implementierung die Entstehung von zu starken Divergenzen vermieden würde. Während einige Beobachter bereits früh Kritik an dieser Form der politisch vom Ministerrat intendierten Divergenz übten, zeigte sich auch in den Gesetzesbegründungen der späteren Gesetzesreformen (s. insb. die DSGVO und JI-Richtlinie), dass die entstandenen Divergenzen als untragbar eingestuft und zum Anlass für die Reformen herangezogen wurden.

Seit der Veröffentlichung der Kommissionsvorschläge stand sowohl im politischen Aushandlungsprozess als auch in der Fachliteratur insbesondere das Handeln der Europäischen Kommission, also der Vorschlag auf eine Vielzahl von delegierten und Durchführungsrechtsakten zu setzen, in mehrfacher Hinsicht im Zentrum der Kritik. Zum einen wurde angesichts der enormen Anzahl an delegierten und Durchführungsrechtsakten die offensichtlich beabsichtigte Machtkonzentration bei der Kommission bemängelt, die dem komplexen Regelungsbedarf auf nationaler Ebene nicht gerecht werde. Zum anderen wurde kritisiert, dass die vorgeschlagenen Rechtsakte sich entgegen des EU-Primärrechts auch auf wesentliche Vorschriften der Verordnung erstreckten und damit rechtswidrig seien. Roßnagel u. a. begrüßten stattdessen, dass die Kompetenzen, welche die Kommission für sich selbst vorgesehen hatte, den Mitgliedstaaten übertragen werden sollten. Hornung trat dagegen einerseits dafür ein, Spezifizierungen möglichst im Verordnungstext selbst vorzunehmen und andererseits dafür, einen Teil der Verantwortung an den EDSA zu delegieren. Auch die privatwirtschaftlichen Akteure reagierten durchweg ablehnend auf die Kommissionsvorschläge und traten für die Löschung der Kommissionskompetenzen und die Regelung von Kernaspekten in der Verordnung selbst ein. Dabei fokussierte ein Teil der Kritik eher auf die im Rahmen der Festlegung technischer Details befürchtete Gefährdung der Technikneutralität, während ein anderer Teil die absehbare Machtkonzentration bei der Kommission kritisierte.

Lediglich die Artikel-29-Datenschutzgruppe und der EDSB begrüßten das Instrument der delegierten und Durchführungsrechtsakte, missbilligten allerdings deren große Zahl insb. im Hinblick auf ihre Zulässigkeit und Notwendigkeit. Beispielsweise lehnte die Artikel-29-Datenschutzgruppe den Kommissionsvorschlag zur Festlegung der Kriterien und Anforderungen im Hinblick auf den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen oder zur Spezifizierung des Stands der Technik im Kontext von Art. 30 (Sicherheit der Verarbeitung) ab. Der Vorschlag, die Spezifizierung der Risiken, wann eine DSFA durchgeführt werden sollte, mittels eines delegierten Rechtsaktes durchzuführen, wurde hingegen unterstützt.

Nachdem sich auch Parlament und Ministerrat ablehnend gegenüber den Kommissionsvorschlägen äußerten, legte die Kommission in den interinstitutionellen Verhandlungen Alternativvorschläge vor, insbesondere in Form 1) der Aufnahme von Verfahrensvorschriften in die Befugnis, 2) der Festlegung inhaltlicher Bedingungen für die Befugnis oder 3) der Einschränkung des Umfangs der Befugnis. Das Europäische Parlament sah in seinen Änderungsvorschlägen schließlich die Reduzierung der Zahl der delegierten Rechtsakte von 26 auf 10, der Zahl der Durchführungsrechtsakte von 23 auf 1 und die Regelung vieler der entsprechenden Sachverhalte in der Verordnung selbst vor. Da das Parlament seine Position bereits im Laufe der Jahre 2012 und 2013 festgezurrt hatte, fanden zudem die Debatten zum Internet der Dinge und zu Big Data praktisch keinen Widerhall in seiner Position. Kommission und Parlament hätten also gar nicht auf die Gefährdungslage durch Big Data, das Internet der Dinge oder gar KI eingehen können, weil die Entscheidungsprozesse in beiden Organen vor der Hochphase dieser Debatten weitestgehend abgeschlossen waren. Der Parlamentsvorschlag, einen Teil der Kommissionsvollmachten in der Verordnung selbst zu regeln, wurde jedoch vom Ministerrat mehrheitlich abgelehnt. Stattdessen sah der Ratsentwurf vor, die Mitgliedstaaten selbst in die Rolle zu versetzen, etwaige Präzisierungen und Änderungen vornehmen zu können bzw. zu müssen. Zudem wäre der Ministerrat zwar in der Lage gewesen, auf die Diskurse zum Internet der Dinge und Big Data zu reagieren, da er seine Position erst Mitte 2015 verabschiedete. Der Rat war jedoch weniger daran interessiert, risikoadäquate Schutzregelungen zu treffen, als in die Verordnung Freiräume für Big Data-Anwendungen zu integrieren.

Im Trilog konnte sich schließlich der Ministerrat mit der Streichung der meisten delegierten und Durchführungsrechtsakte durchsetzen, sodass nur noch zwei Ermächtigungen für delegierte Rechtsakte und sieben für Durchführungsrechtsakte übrigblieben. Die von der Kommission für sich selbst vorgesehene Rolle der Konkretisierung der Vorgaben der DSGVO im Hinblick auf neue Technologien wurde somit teilweise an die Mitgliedstaaten delegiert. Die von der Kommission für sich selbst vorgesehene Rolle zur Gewährleistung der kohärenten Anwendung wurde hingegen teilweise an den Europäischen Datenschutzausschuss (EDSA) übertragen. Dieser wurde dahingehend ermächtigt, Leitlinien, Empfehlungen und bewährte Verfahren zu datenschutzspezifischen Fragestellungen zu erarbeiten und im Falle von Meinungsverschiedenheiten zwischen den nationalen Aufsichtsbehörden unter Rückgriff auf das sog. Kohärenzverfahren rechtsverbindliche Beschlüsse fassen zu dürfen.

Insofern ist der Vorwurf gegen Kommission und Parlament unberechtigt. Da er seine Position erst Mitte 2015 verabschiedete und selbst wichtige zwischenstaatliche Einigungen erst im Laufe des Jahres 2015 erfolgten, ist der angemessene Adressat der Kritik also vielmehr der Ministerrat.

CC BY

Karaboga, M., Martin, N., Friedewald, M. (2022). Governance der EU-Datenschutzpolitik. In: Roßnagel, A., Friedewald, M. (eds) Die Zukunft von Privatheit und Selbstbestimmung. DuD-Fachbeiträge. Springer Vieweg, Wiesbaden.

https://doi.org/10.1007/978-3-658-35263-9_2

Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.

1 Einführung

Durch die immer stärkere Durchdringung von Wirtschaft und Gesellschaft mit digitalen Technologien werden in bislang ungekanntem Maß Daten (teil-) automatisch erhoben, gespeichert und verarbeitet. Exemplarisch sind Technologien wie künstliche Intelligenz, Web-Tracking oder Blockchain zu nennen. Der Zugang zu großen Datenbeständen kann wiederum das Entscheidungsverhalten von Unternehmen und Verbrauchern verändern, mitunter sogar auch über die Grenzen von physischer und digitaler Welt hinweg. Heutzutage ist es einfacher möglich, Daten aus unterschiedlichen Quellen miteinander zu verknüpfen und auszuwerten. Ebenso stehen leistungsfähige, IT-gestützte Verfahren zur Auswertung dieser Daten zur Verfügung, die darauf aufbauend Prognosen zukünftiger Entwicklungen ableiten können.

In einer derartigen „Datenökonomie“ entstehen zahlreiche Möglichkeiten für Unternehmen, wie etwa bessere Einblicke in das Konsumentenverhalten oder die Identifikation von Interessen und Verhaltensmustern. Verfügt ein Anbieter über mehr Informationen über (potentielle) Kunden, so kann er generell ein zielgruppengerechteres Angebot erstellen und komplementäre Güter anbieten. Auch ist die Nutzung von Kundendaten teils essentiell für das Erbringen bestimmter datengetriebener Dienstleistungen und kritisch für die Innovationstätigkeit zahlreicher Unternehmen, insbesondere für Startups. So erproben Unternehmen aktuell Erlösmodelle, die auf der verstärkten Verwertung „personenbezogener Daten“ beruhen. Ebenfalls bieten Daten auch direktes Monetarisierungspotenzial; sie werden zu einem ökonomisch handelbaren Gut, welches durch spezialisierte Anbieter auf sogenannten Datenmärkten angeboten wird.

Auch für Konsumenten hat diese Entwicklung durchaus Vorteile, wie etwa eine bessere Anpassung von Dienstleistungen anhand von deren Präferenzen sowie schnellere und zielgerichtetere Suchmöglichkeiten. Ebenso haben Konsumenten verstärkt die Möglichkeit, personenbezogene Daten als eine Art Zahlungsmittel einzusetzen, um hierdurch bspw. Apps kostenfrei nutzen zu können. Im ersten Schritt ist hierfür jedoch die Preisgabe von Daten durch den Konsumenten erforderlich und diese wird im Kontext der zunehmenden Digitalisierung häufig kritisch diskutiert. Auch hier ist das Zusammenspiel von Anbieter und Nachfrager eine geeignete Sichtweise zur Illustration des Basiskontexts. Ein (potentieller) Kunde wird generell abwägen, ob er der Verwendung von Daten zustimmt. Die Preisgabe von Daten wird vom Konsumenten häufig per se zunächst als tendenziell risikoreich eingeschätzt. Demgegenüber muss ein positiver Nutzen stehen, der die möglichen Risiken aufwiegt. Das Individuum berücksichtigt bei dieser Entscheidung ein ökonomisches Kalkül, am Ende dessen die Entscheidung für oder gegen die Nutzung eines Dienstes steht. Je mehr Daten ein Anbieter erfragt, umso höher muss der daraus resultierende Nutzen für den Konsumenten sein, um diesen zur Preisgabe seiner Daten zu bewegen. „Pokert“ ein Anbieter zu hoch und verlangt sehr viele Daten, kann dies zwar durchaus legal sein, aber möglicherweise den Konsumenten von der Nutzung des Dienstes abhalten.

Im Rahmen dieser grundlegenden Austauschbeziehung stellen sich zentrale ökonomische Fragen der Gestaltung und Regulierung in der digitalisierten Welt, welche jeweils im Hinblick auf aktuelle technologische Entwicklungen zu betrachten sind. So hat etwa die zuvor genannte zentrale Abwägung einer Datenpreisgabe in sozialen Netzwerken heutzutage oftmals nicht nur Auswirkungen auf den Teilenden, sondern auch auf andere Personen, etwa wenn diese auf geteilten Bildern ebenfalls zu erkennen sind. Folglich gestaltet sich diese zentrale Entscheidungssituation für Individuen zunehmend komplexer und erfordert einen gewissen kognitiven Aufwand – nicht selten entscheiden hier nicht ausschließlich rationale Faktoren. Gleichzeitig versuchen Anbieter oftmals mittels sogenannter Nudging-Techniken Verbraucher zur Preisgabe von personenbezogenen Daten zu bewegen, was gerade im Kontext von sehr sensitiven – und somit für den Anbieter häufig auch besonders wertvollen – Daten (etwa Gesundheitsdaten) oftmals schwierig ist.

Die personenbezogenen Daten haben somit sowohl für die Konsumenten als auch für die anfragenden Unternehmen einen Wert und einen damit verbundenen Preis. Es zeigt sich somit ein facettenreiches Bild hinsichtlich der zugrundeliegenden Austauschbeziehung zwischen Unternehmen und Konsumenten. Dieser Beitrag verfolgt das Ziel, anhand einzelner exemplarischer Kontexte, das ökonomische Verständnis von Privatheit als Wechselspiel zwischen Anbieter und Nachfrager aufzuzeigen und insbesondere mittels aktueller Erkenntnisse zu erweitern. Der Beitrag ist wie folgt strukturiert: In Abschn. 2 präsentieren wir ein wirtschaftswissenschaftliches Verständnis von Privatheit und stellen die vier relevantesten Forschungsstränge aus Sicht von Unternehmen dar. In Abschn. 3 beschreiben wir zwei unserer Untersuchungen, die sich aus der originären Sicht von Unternehmen mit der Nutzung personenbezogener Daten beschäftigen. Abschn. 4 widmet sich drei von uns durchgeführten Studien, die sich dem Thema aus Sicht der Konsumenten nähern. Wir schließen den Beitrag mit einer Zusammenfassung und dem Ausblick in Abschn. 5 ab.

2 Privatheit aus der Sicht der Wirtschaftswissenschaften

2.1 Grundlegendes Verständnis von Privatheit

Das Konzept der Privatheit wird von unterschiedlichen Disziplinen behandelt, was zu einer Vielzahl von verschiedenen Konzeptualisierungen und Definitionen des Begriffs führt. In Morlok et al. beschreiben wir den zeitlichen Wandel und die disziplinspezifischen Unterschiede des Privatheitskonzepts. Charakteristisch für die Privatheitsforschung ist das hohe Maß an unterschiedlichen Zugängen zum Thema. Anfänglich wurde Privatheit explizit als physische Privatheit verstanden. Diese physische Privatheit bezieht sich auf den körperlichen Zugang zu einem Individuum und dessen räumlicher Umgebung. Im juristischen Kontext wird Privatheit, resultierend aus der physischen Privatheit, definiert als das „Recht, alleine gelassen zu werden“. Weiterhin wird die Privatheit in der Philosophie und der Psychologie beschrieben als der „Zustand des begrenzten Zugangs oder der Isolation“. Dagegen wird die Privatheit in den Sozialwissenschaften als ein soziales Problem oder als ein Verhaltenskonzept begriffen.

Im Kontext des vorliegenden Beitrags steht das Konzept der informationellen Privatheit im Fokus, welches den Zugang zu Informationen, die explizit einer Person zuordenbar sind, beschreibt. Im Zentrum der allgemeinen ökonomischen Definition des Begriffs Privatheit steht die Definition von Privatheit als Kontrolle und als Fähigkeit zur Kontrolle. Angewandt auf informationelle Privatheit umfasst dies die Kontrolle über die Preisgabe und die Verwendung von Informationen. Die Wirtschaftswissenschaften adressieren dabei häufig Fragen der Verwendung von personenbezogen Daten durch Unternehmen. Unter dem Begriff personenbezogen fallen nicht nur explizit preisgegebene Daten, sondern auch unbewusst geteilte Daten, etwa über das Nutzungsverhalten im Internet.

Nach Morlok et al. ist es ebenfalls wichtig, beim Umgang mit dem Thema Privatheit auf die unterschiedlichen Akteure und Betrachtungsebenen einzugehen. Wesentliche Akteure sind Unternehmen und Konsumenten und deren Wechselspiel. Auf diese Akteure konzentrieren wir uns nachfolgend. Bei den Unternehmen ist neben der Betrachtung des Unternehmens als Ganzes auch die Betrachtung der in einem Unternehmen agierenden Individuen (Mitarbeiter, Manager) möglich. Konsumenten betrachten wir – etwas vereinfachend – auf Individualebene.

Aus wirtschaftswissenschaftlicher Sicht ebenfalls wichtig sind die Rahmenbedingungen des Zusammenwirkens von Unternehmen und Verbrauchern, sei es in konkreten Marktkonstellationen oder durch Regulationen vorgegeben. Dieses sehr umfassende Themenfeld klammern wir nachfolgend aus.

2.2 Relevante Forschungsstränge

In Morlok et al. geben wir einen Überblick über die wesentlichen Forschungsstränge der Literatur im Bereich der Wirtschaftswissenschaften. Bezüglich des Zusammenspiels von Unternehmen und Verbrauchern findet sich eine beachtliche Zahl von Studien zu den Themen Personalisierung und Preisdifferenzierung.

Unternehmen können ihre Angebote personalisieren, indem sie auf Basis der gesammelten Konsumentendaten die Verhaltensweisen und Präferenzen ihrer Kunden verstehen und sich dementsprechend ausrichten. Forschung über die personalisierte Ansprache durch die Verwendung von personenbezogenen Daten beschäftigt sich mit einer Vielzahl von Themengebieten. Kern der Forschung in diesem Bereich ist, dass Unternehmen möglichst viele personenbezogene Daten auswerten möchten, um ihre Kunden bestmöglich ansprechen zu können. Auf der einen Seite schätzen Kunden die Vorteile der Personalisierung, auf der anderen Seite haben sie häufig Privatheitsbedenken, wenn Angebote durch die Analyse ihrer personenbezogenen Daten entstehen. Dieses Phänomen wird als „Personalization Privacy Paradox“ bezeichnet. Forschung in Bezug auf die individualisierte Kundenansprache fokussiert sich darauf, unter welchen Bedingungen und zu welchem Grad Unternehmen Systeme zur Personalisierung einsetzen können, ohne dass Konsumenten sich durch die Personalisierung bedroht fühlen. Beispielsweise untersuchen Karwatzki et al., wie digitale Services gestaltet werden sollten, um den Kunden trotz Privatheitsbedenken zum Teilen von personenbezogenen Daten zu bewegen.

Auch zur Preisdifferenzierung finden sich eine Reihe interessanter Studien. Unternehmen können die gesammelten Daten verwenden, um die Zahlungsbereitschaft ihrer Konsumenten präziser als bisher zu bestimmen. Die Vorhersage der Zahlungsbereitschaft von Kunden ermöglicht den Unternehmen die Preisdiskriminierung zumindest bestimmter Kundengruppen, im Einzelfall sogar einzelner Kunden. Im Gegensatz zur Personalisierung geht die Preisdiskriminierung zumeist mit monetären Nachteilen für den Kunden einher.

Personenbezogene Daten können von Unternehmen zudem genutzt werden, um das Verhalten ihrer Mitarbeiter zu steuern. Dies wird in einem dritten, relativ neuen Themenfeld, aufgegriffen. Beispielsweise kann Software zur Überwachung in Unternehmen die Produktivität, das Arbeitsverhalten oder die Bewegungsmuster von Mitarbeitern verfolgen. Unabhängig von der rechtlichen Betrachtungsweise von Überwachung am Arbeitsplatz ergeben sich ökonomische Fragestellungen bezüglich der Privatheit der Mitarbeiter. Literatur in dem unternehmensinternen Kontext beschäftigt sich mit den Auswirkungen von Überwachung auf das Unternehmen und auf dessen Mitarbeiter. So untersuchen Connolly und McParland welchen Einfluss digitale Technologien am Arbeitsplatz auf die Privatheitsbedenken von Arbeitnehmern haben. Des Weiteren beschäftigt sich Literatur zur Privatheit von Jobbewerbern insbesondere mit der Diskriminierung von Bewerbern. In diesem Teilaspekt geht es darum, dass Arbeitgeber auf unterschiedlichen Wegen Zugang zu Informationen von Bewerbern haben, da diese ihre Daten in sozialen Netzwerken teilen. Demnach können im Rahmen der Bewerberauswahl künftige Arbeitgeber gezielt nach Informationen von Bewerbern suchen und diese auswerten. Der öffentliche Zugang zu privaten Informationen wie täglichen Aktivitäten oder privaten Interessen wird durch soziale Netzwerke gefördert.

Jenseits von der unternehmensinternen Nutzung von Daten können Unternehmen von personenbezogenen Daten profitieren, wenn sie diese an Dritte weiterverkaufen. Der vierte ebenfalls noch recht kleine Literaturstrang beschäftigt sich daher mit der ökonomischen Verwertung von Konsumentendaten, die auf internetbasierten Plattformen gesammelt werden. Plattformen können die von ihnen gesammelten Daten an Werbetreibende oder an Datenintermediäre verkaufen, die die Daten anschließend weiterverwerten. Literatur in diesem Bereich beschäftigt sich häufig mit der sekundären Nutzung von personenbezogenen Daten, wenn Informationen von Unternehmen an Drittanbieter oder Datenhändler weitergegeben werden. Hartmann et al. untersuchen Geschäftsmodelle von Startups, die sich auf personenbezogene Daten als Schlüsselressource spezialisieren. Die Hauptaktivität dieser Unternehmen besteht in der Aggregation, Analyse oder Generierung von Daten aus unterschiedlichen Quellen. Welchen Herausforderungen Unternehmen beim Datenhandel gegenüberstehen und welche unternehmensinternen Voraussetzungen sie treffen sollten, wird von Wixom und Ross beschrieben.

CC BY

Hess, T., Matt, C., Thürmel, V., Teebken, M. (2022). Zum Zusammenspiel zwischen Unternehmen und Verbrauchern in der Datenökonomie. In: Roßnagel, A., Friedewald, M. (eds) Die Zukunft von Privatheit und Selbstbestimmung. DuD-Fachbeiträge. Springer Vieweg, Wiesbaden.

https://doi.org/10.1007/978-3-658-35263-9_3

Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.