4 Die Umsetzung der Anforderung einer datenschutzkonformen Systemgestaltung
Die Vorgaben für „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“, die der Verantwortliche erfüllen muss, sind in Art. 25 DSGVO geregelt. Dieser Abschnitt beschreibt einerseits die Anforderungen an die Gestaltung (Art. 25 Abs. 1 DSGVO) – Datenschutz „by Design“ –, anderseits die Anforderung, dass datenfreundliche Voreinstellung – Datenschutz „by Default“ – zu verwenden sind (Art. 25 Abs. 2 DSGVO). Schließlich nimmt Art. 25 auch Bezug zu den Zertifizierungsmöglichkeiten nach der DSGVO (Art. 25 Abs. 3 DSGVO). Im Folgenden werden Datenschutz durch Technikgestaltung und Datenschutz durch datenschutzfreundliche Voreinstellungen erläutert.
4.1 Datenschutz durch (Technik-)Gestaltung
Der Verantwortliche muss nach Art. 25 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen treffen, die dafür ausgelegt sind, die Datenschutzgrundsätze wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen der DSGVO zu genügen und die Rechte der betroffenen Personen zu schützen. Dabei zu berücksichtigen sind der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken. Diese Faktoren sind einerseits beschränkende Bedingung, denn es ist nicht in jedem Fall das Höchstmaß des Möglichen zu implementieren; andererseits stellen die Faktoren aber auch eine Minimalanforderung dar, hinter der der Verantwortliche nicht zurückbleiben darf. Auf keinen Fall darf man beispielsweise angesichts eines festgestellten hohen Risikos auf geeignete Maßnahmen verzichten, weil sie Geld kosten; stattdessen wäre ohne geeignete Maßnahmen zur ausreichenden Eindämmung eines hohen Risikos eine derartige Verarbeitung nicht zulässig.
Vielfach diskutiert wird der Faktor „Stand der Technik“, der bereits im Vorläufer der DSGVO – der Datenschutz-Richtlinie 95/46/EG – Erwähnung fand (Art. 17 der Richtlinie zur Sicherheit der Verarbeitung). Dieser Faktor ist sowohl für „Datenschutz durch Technikgestaltung“ (Art. 25 DSGVO) also auch für die „Sicherheit“ (Art. 32 DSGVO) anzulegen. Für den Bereich der Sicherheit der Verarbeitung personenbezogener Daten gibt es seit vielen Jahren umfangreiche Maßnahmenkataloge, die regelmäßig überarbeitet und an den Entwicklungsstand angepasst werden. Für technische und organisatorische Maßnahmen oder insgesamt für datenschutzfreundliche und –fördernde Konzepte liegen noch keine vergleichbaren Ausarbeitungen vor, auch wenn erste Ansätze für Bewertungsmaßstäbe des Reifegrads unter Einbeziehung der Wirksamkeit und etwaiger Interdependenzen entwickelt worden sind.
Die Maßnahmen müssen sowohl im Vorfeld, nämlich zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung, als auch während der Verarbeitung getroffen werden. Als Beispiel für eine Maßnahme wird die Pseudonymisierung genannt, als Beispiel eines der Datenschutzgrundsätze wird die Datenminimierung aufgeführt.
Allerdings bleibt es bei recht abstrakten Aussagen, sodass man in der DSGVO keine konkreten Hilfen dazu findet, was genau für die eigene Verarbeitung personenbezogener Daten zu tun ist. Unterstützung leistet eine Veröffentlichung des Europäischen Datenschutzausschusses, die zwei Jahre nach Wirksamwerden der DSGVO erschienen ist. Förderlich für den Entwicklungsprozess sind weitgehend unabhängig von der europäischen Gesetzgebung erarbeitete Ausführungen zu „Privacy Design Strategies“ und „Privacy Design Patterns“. Für den nach Art. 25 DSGVO verpflichteten Verantwortlichen sind die folgenden zwei miteinander verwandten Ansätze von Nutzen, um für ihre konkreten Verarbeitungen die datenschutzrechtlichen Anforderungen umsetzen.
4.1.1 Operationalisierung der Datenschutzgrundsätze
Da die Essenz der DSGVO in den Datenschutzgrundsätzen widergespiegelt wird und diese auch explizit in Art. 25 Abs. 1 DSGVO genannt werden, besteht eine Möglichkeit der Umsetzung, sich für jeden Datenschutzgrundsatz zu überlegen, welche technischen und organisatorischen Maßnahmen zum Einsatz kommen sollen, um die Umsetzung in der Verarbeitung zu gewährleisten oder zumindest zu unterstützen.
Im Datenschutzgrundsatz „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“ (Art. 5 Abs. 1 Buchst. a) versammeln sich verschiedene allgemeine Anforderungen an die Verarbeitung. Bezüglich der Rechtmäßigkeit der Verarbeitung muss dem Verantwortlichen klar sein, dass technische und organisatorische Maßnahmen eine Verarbeitung, die einer Rechtsgrundlage entbehrt, nicht in eine rechtmäßige Verarbeitung verwandeln kann. Solche Maßnahmen können aber notwendig für die Rechtmäßigkeit sein und eine solche auch dadurch unterstützen, indem der Verantwortliche Vorgaben an die Einführung einer Verarbeitung erstellt und durchsetzt, dass z. B. zunächst eine Rechtsgrundlage festzustellen und zu dokumentieren ist und ein geordneter Freigabeprozess durchgeführt werden muss. Im Falle einer Einwilligung kämen beispielsweise technische und organisatorische Maßnahmen zu einem Einwilligungsmanagement, einschließlich praxistauglicher Funktionen zum Widerruf der Einwilligung, infrage.
Die Verarbeitung nach Treu und Glauben, in der englischen Fassung der DSGVO „Fairness“, beinhaltet die faire Gestaltung der Verarbeitung. Dies kann so verstanden werden, dass die Perspektive der betroffenen Personen bei der Entwicklung und im Betrieb der Verarbeitung Berücksichtigung findet (siehe vorne: ähnlich der „mehrseitigen Sicherheit“) und ihnen das Wahrnehmen der Betroffenenrechte möglichst einfach möglich ist. Auch eine Unterstützung der Verwendung von Selbstdatenschutz-Tools der betroffenen Personen lässt sich aus diesem Datenschutzgrundsatz ableiten.
Der Datenschutzgrundsatz der Transparenz, der durch Artt. 12 ff. DSGVO konkretisiert wird, bedeutet insbesondere, dass „alle Informationen und Mitteilungen zur Verarbeitung“ der personenbezogenen Daten „leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind“ (ErwGr. 39 S. 3). Ein situations- und zielgruppengerechtes Informieren der betroffenen Personen muss angesichts der verschiedenen Einsatzszenarien zu den zur Verfügung stehenden Benutzungsoberflächen passen. Bewährt haben sich Mehr-Ebenen-Formate (Multi-Layer), die gestuft die jeweils nötigen oder von der betroffenen Person gewünschten Informationen darstellen. Auch Bildsymbole (siehe Art. 12 Abs. 7 DSGVO) oder andere nichttextliche Aufbereitungen können für den Einzelfall hilfreich sein. Auch sog. Datenschutz-Dashboards, Datenschutz-Cockpits oder andere Transparency-Enhancing Technologies (TETs, als Ergänzung zu PETs) sollen die Transparenz verbessern.
Bei der Umsetzung des Datenschutzgrundsatzes der Zweckbindung (Art. 5 Abs. 1 Buchst. b) ist auf das sorgfältige Festlegen des Zwecks zu achten. Zweckbindung bedeutet, dass es für die personenbezogenen Daten keine Verarbeitung geben darf, die nicht mit den festgelegten Zwecken vereinbar ist. Unterstützende technische und organisatorische Maßnahmen sind beispielsweise ein Verzicht auf zentrale Datensammlungen und zweckübergreifend nutzbare Identifikatoren, physische oder logische Trennung oder Isolation der Daten, Verschlüsselung der Daten, Kennzeichnung der Zwecke und Verknüpfen mit den Daten (z. B. über sog. „Sticky Policies“).
Art. 25 DSGVO hebt die Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) als wichtigen Datenschutzgrundsatz bezüglich der Gestaltung hervor. Auch ErwGr. 78 S. 3 nennt als erste beispielhafte Maßnahme die Minimierung der Verarbeitung personenbezogener Daten. Das bedeutet zum einen, den Personenbezug von Daten einzuschränken, z. B. durch Trennung von Daten und Verzicht auf zweckübergreifende Identifikatoren, durch Löschung, Anonymisierung oder Pseudonymisierung zum frühestmöglichen Zeitpunkt. Zum anderen ist die Verarbeitung an sich zu minimieren, beispielsweise durch Beschränkung der Erhebung und Erfassung von Daten sowie bereits der Erhebungs- und Erfassungsmöglichkeit, indem beispielsweise nicht erforderliche Video-, Audio- und Sensorfunktionalität nicht Bestandteil der verwendeten Hardware sind. Auch auf zusätzliche Verarbeitungen ist zu verzichten, und die Zahl der betroffenen Personen ist zu minimieren.
Technische und organisatorische Maßnahmen des Integritätsschutzes für die Daten und die Verarbeitung unterstützen den Datenschutzgrundsatz der Richtigkeit (Art. 5 Abs. 1 Buchst. d DSGVO). Auch das Aufsetzen eines Verfahrens zur Berichtigung oder Vervollständigung der personenbezogenen Daten kann hier helfen.
Der mit der Datenminimierung verwandte Datenschutzgrundsatz der Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e DSGVO) lässt sich mit ähnlichen Maßnahmen umsetzen. Die Pseudonymisierung als eine Maßnahme wird bereits in Art. 25 Abs. 1 DSGVO genannt. Ebenfalls können Anonymisierung oder Löschen zur Speicherbegrenzung beitragen. All diese Maßnahmen sind so früh wie möglich durchzuführen. Dies kann vielfach automatisch geschehen, z. B. durch eincodierte Löschfristen oder zumindest durch definierte Prüffristen, damit dann über eine weitere etwa erforderliche Aufbewahrung entschieden wird und andernfalls die Löschfreigabe erfolgt.
Der Datenschutzgrundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 Buchst. f DSGVO) zielt auf sämtliche technische und organisatorische Maßnahmen der Informationssicherheit in Bezug auf personenbezogener Daten, um eine unbefugte oder unrechtmäßige Verarbeitung zu verhindern. Hier liegt eine Parallelität zu den Anforderungen des Art. 32 DSGVO vor. Dies umfasst laut ErwGr. 78 S. 3 Maßnahmen, die den Verantwortlichen in die Lage versetzen, Sicherheitsfunktionen zu schaffen und zu verbessern. Dazu ist es notwendig, die Anforderungen gemäß dem vorliegenden Schutzbedarf zu erfüllen und die getroffenen Maßnahmen regelmäßig zu überprüfen und ggf. zu aktualisieren.
Auch der Datenschutzgrundsatz der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) erfordert ein regelmäßiges Prüfen, inwieweit die datenschutzrechtlichen Anforderungen erfüllt sind, verbunden mit einem Nachsteuern und Anpassen an möglicherweise veränderte Bedingungen. Hier können technische und organisatorische Maßnahmen ein umfassendes Datenschutzmanagementsystem unterstützen. Dazu gehören z. B. die Erstellung und Anpassung der Dokumentation von Prozessen und informationstechnischen Systemen sowie das Protokollieren von Änderungen oder anderen nachzuweisenden Ereignissen, um dauerhaft die Erfüllung der Anforderungen der Verordnung zu gewährleisten.
4.1.2 Das Standard-Datenschutzmodell mit sieben Gewährleistungszielen
In der Informationssicherheit ist man seit Jahrzehnten gewohnt, mit Schutzzielen (protection goals) zu arbeiten. Zwar gibt es vielfältige Ansätze für mehr oder weniger komplexe Schutzzielkanons, aber als fundamental für Informationssicherheit werden die Schutzziele Vertraulichkeit (confidentiality), Integrität (integrity) und Verfügbarkeit (availability) angesehen. Weil diese nicht ausreichen, um sämtliche Datenschutzanforderungen zu beschreiben, für die technische und organisatorische Maßnahmen getroffen werden sollten, gleichzeitig aber eine Kommunikation mit den Zuständigen für die Gestaltung von Technik und Prozessen anschlussfähig an die klassischen Schutzziele der Informationssicherheit sein sollte, wurden im Jahr 2009 weitere Schutzziele vorgeschlagen. Die von der deutschen Datenschutz-Diskussion ausgehenden, teilweise auch international weitergeführten Debatten mit Beteiligung von Wissenschaft und Datenschutzaufsicht haben schließlich das Standard-Datenschutzmodell mit sieben Gewährleistungszielen hervorgebracht: Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit, Nicht-Verkettung von personenbezogenen Verfahren sowie die übergreifende Anforderung der Datenminimierung. Diese Gewährleistungsziele ähneln den Schutzzielen der Informationssicherheit; wichtig ist dabei stets die Anwendung aus der Perspektive der betroffenen Personen, wie dies auch bei der Bestimmung des Risikos für die Rechte und Freiheiten (siehe vorne) notwendig ist.
Beim „Standard-Datenschutzmodell“ (SDM) handelt es sich um eine Methode für die Beratungs- und Prüfpraxis im operativen Datenschutz. Das SDM wird von den deutschen Datenschutzaufsichtsbehörden zur Anwendung empfohlen. Dieses Werkzeug unterstützt die risikoadäquate Auswahl und Bewertung technischer und organisatorischer Maßnahmen und ist hilfreich bei der Erfüllung der Rechenschaftspflichten der Datenschutz-Grundverordnung.
Die ersten Versionen des SDM sind lange vor Geltung der DSGVO entstanden und konnten daher auch noch nicht auf die Datenschutzgrundsätze eingehen. Mit der Version 2.0 wurde das SDM überarbeitet, um sich besser in die Terminologie und die Konzepte der DSGVO einzufügen und damit die Verwendung für die Verantwortlichen und Auftragsverarbeiter zu erleichtern. Auch eine englische Fassung steht zur Verfügung.
Maßnahmenkataloge mit generischen Bausteinen zu Referenz-Schutzmaßnahmen befinden sich in der Entwicklung oder sind bereits verfügbar. Beispielsweise gehören dazu die Bausteine „Aufbewahren“, „Dokumentieren“, „Protokollieren“, „Trennen“, „Löschen und Vernichten“, „Berichtigen“ und „Einschränken der Verarbeitung“. Weitere Bausteine sind in Bearbeitung. Bei der Überarbeitung werten die Datenschutzaufsichtsbehörden das Feedback der Verantwortlichen und Auftragsverarbeiter beim Einsatz des SDM aus, um das Werkzeug zu verbessern und die Praxistauglichkeit zu erhöhen.
Zunächst setzt das SDM bei der Umsetzung der Anforderungen nach Art. 32 DSGVO an; es geht aber durch die deutliche Datenschutzausrichtung über die bestehenden technischen Regelwerke hinaus und umfasst generell technische und organisatorische Maßnahmen zum Einbauen der Anforderungen der DSGVO (und damit auch Art. 25 DSGVO). Das SDM orientiert sich in seiner Methodik an den Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI), die Grundlage für einen IT-Grundschutz sind und deren Maßnahmenbeschreibungen ständig aktualisiert werden. Dagegen etwas weniger konkret sind die internationalen ISO/IEC 27001-Normen, die sich z. B. um den Maßnahmenkatalog der ISO/IEC 27002 ergänzen lassen, oder die Common Criteria, ISO/IEC 15408, mit denen man Sicherheitseigenschaften von IT-Produkten prüfen und bewerten kann.
Mit dem SDM und den Gewährleistungszielen lassen sich insgesamt die Datenschutzgrundsätze und die weiteren Anforderungen der DSGVO abbilden. Bezüglich der Betroffenenrechte legt das SDM mit dem Gewährleistungsziel der Intervenierbarkeit sogar einen deutlicheren Fokus, als dies beim (zumindest flüchtigen) Lesen der Datenschutzgrundsätze in Art. 5 DSGVO vermittelt wird. Auch im Rahmen der Datenschutz-Folgenabschätzung kann das SDM eingesetzt werden, wie in verschiedenen Muster- und realen Beispielen erprobt.
4.2 Datenschutz durch datenschutzfreundliche Voreinstellungen
Auch bei der Anforderung des Datenschutzes durch datenschutzfreundliche Voreinstellungen trifft die Pflicht den Verantwortlichen (Art. 25 Abs. 2 DSGVO). Im Gegensatz zum ersten Absatz des Art. 25 sieht die DSGVO keine (möglicherweise relativierenden) Faktoren vor, die bei der Auswahl der zu treffenden Maßnahmen zu berücksichtigen sind. Vielmehr müssen die geeigneten technischen und organisatorischen Maßnahmen getroffen werden, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Damit wird der Maßstab der Erforderlichkeit, der sich auch in den Datenschutzgrundsätzen der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e DSGVO) findet, betont und im Folgenden spezifiziert: „Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.“ (Art. 25 Abs. 2 S. 2 DSGVO). Die Voreinstellung muss also gewährleisten, dass keine überschießenden Daten verarbeitet werden, dass die Verarbeitung sich auf das notwendige Maß beschränkt, dass die Speicherdauer möglichst gering ist und dass die Daten keinen zu weitgehenden Zugriffsmöglichkeiten ausgesetzt sind. Besonders der letzte Punkt verdeutlicht, dass damit auch Gestaltungsoptionen verschränkt sein können, beispielsweise bezüglich des Orts einer Speicherung (lokal oder in der Cloud, sodass die Daten einem Betreiber oder den dortigen Behörden zugänglich werden könnten), der Zugriffsrechte oder einer Verschlüsselung, die den Klartext dem Zugang entzöge.
Nicht immer sind die datenschutzfreundlichsten Voreinstellungen für jede Nutzerin und jeden Nutzer gleich oder eindeutig im Vorfeld erkennbar. Beispielsweise wäre es in Bezug auf Bezahlverfahren in einem E-Commerce-Dienst verbraucherfreundlich und sinnvoll, eine Reihe von unterstützten Verfahren zur freien Auswahl für die Nutzenden anzubieten und keines davon vorauszuwählen, selbst wenn darunter eines als objektiv am datenschutzfreundlichsten zu identifizieren wäre. Dies ergibt sich schon aus der Tatsache, dass üblicherweise die Nutzenden eigene Benutzerkonten bei den Bezahldienstleistern eingerichtet haben müssen und ein vorkonfiguriertes Verfahren nicht in jedem Fall den Nutzenden auch zur Verfügung steht. Besser wäre es, wenn bei einem Kauf die Nutzenden eine bewusste Entscheidung darüber treffen müssten, welches Verfahren sie für diesen Fall präferieren. Dies kann sich auch je nach Produkt oder Anbieter unterscheiden.
Die Anforderung des Datenschutzes durch datenschutzfreundliche Voreinstellungen – Datenschutz „by Default“ – erscheint durch die Formulierung als sehr mächtig: Stets sollte also eine Verarbeitung (und ebenso eine Kundenbeziehung) auf Basis personenbezogener Daten maximal datenschutzfreundlich beginnen; wenn später die betroffene Person bereit ist, zu weiteren Zwecken zusätzliche personenbezogene Daten zu offenbaren oder in weitere Verarbeitungen einzuwilligen, kann dies geschehen. Allerdings deckt sich dies nicht mit der Praxis, in der zumindest einige der großen Anbieter ein datengieriges Verhalten an den Tag legen und demnach eher nach dem Motto „Datenabgreifen by Default“ verfahren wird.
5 Ganzheitliche Betrachtungsweise: Bewusstsein über Spannungsfelder
So wie für spezifische datenschutzrechtliche Sachverhalte unterschiedliche grundrechtliche Interessen miteinander abgewogen werden, geschieht dies auch im Verhältnis des Datenschutzes zu anderen geschützten Interessen. Datenschutzrechtliche Erwägungen können hier dazu führen, dass andere rechtlich geschützte Ansprüche reduziert oder abgelehnt werden, genauso wie sie dazu führen können, dass die Konsequenzen in benachbarte Rechtsgebiete ausstrahlen. Auch Anforderungen, die nicht rechtlich im selben Maße festgeschrieben sind, können eine Rolle spielen, wenn es um eine faire und verträgliche Gestaltung von Systemen geht. Dazu sollten sich sowohl die Verantwortlichen als auch die Hersteller oder Entwickler der Systeme die verschiedenen Anforderungen samt möglicher Interdependenzen und Auswirkungen bewusst machen, selbst wenn sie in der Praxis oft nicht expliziert werden. Eine datenschutzkonforme Verfahrensgestaltung muss nicht in einem unauflösbaren Widerspruch zu anderen wichtigen Erwägungen stehen, sondern häufig können Lösungen gefunden werden, die nicht nur sämtliche rechtlichen Bedingungen, sondern auch die verschiedenen zusätzlichen Anforderungen in ausreichendem Maße berücksichtigen.
Neben den bekannten und immer wieder genannten vermeintlichen Gegensätzen „Datenschutz und Sicherheit“, „Datenschutz und Freiheit“ und „Datenschutz und Nutzbarkeit“ bestehen beispielsweise Spannungsfelder in Bezug auf Informationsfreiheit, Umweltschutz, Datenzugang, Wirtschaftlichkeit und Kartellrecht. Auf diese Spannungsfelder soll im Folgenden das Augenmerk gelenkt werden.
5.1 Informationsfreiheit
Ein Bereich der häufig im Zusammenhang mit dem Datenschutzrecht genannt wird und in der behördlichen Zuständigkeit mit ihm zusammenfällt, ist das Informationsfreiheitsrecht. Nur im ersten Moment stehen beide Rechtsgebiete in einem Konkurrenzverhältnis, denn im Kern geht es um Ansprüche gegenüber Organisationen, Datenschutz auf der einen Seite und Informationszugang zu behördlichen Informationen auf der anderen Seite. Am Beispiel der Informationsfreiheit lässt sich aber auch zeigen, dass durch eine optimierte Verfahrensplanung und -gestaltung ein sinnvoller Ausgleich zwischen kollidierenden Interessen stattfinden kann. Denn gerade dort, wo aus datenschutzrechtlicher Sicht eine umfassende Betrachtung der Risiken stattfindet, kann auch der Aspekt der Informationsfreiheit bereits im Stadium der Verfahrensplanung Berücksichtigung finden. Das schließt einerseits ein, dass entsprechende Voraussetzungen und der Ablauf etwaiger Anfragen zur besseren Auffindbarkeit bereits dann eingeplant werden, wenn behördliche Informationen angelegt werden und andererseits eine Einbeziehung der betroffenen Personen stattfindet. Konkret bedeutet das, dass bei der Planung der Verarbeitungsverfahren hinsichtlich der erhobenen Daten eine Relevanzprüfung für Sachverhalte im Bereich der Informationsfreiheit stattzufinden hat. Hier ist zu bestimmen, ob Daten abstrakt Gegenstand einer Anfrage nach Informationsfreiheitsgesetz fallen können, ob einer Herausgabe dieser Daten etwaige Rechte Dritter entgegenstehen (also im Falle personenbezogener Daten, die Rechte der betroffenen Personen) und wie das Ergebnis einer Interessenabwägung aussehen könnte. Das kann im nächsten Schritt dazu führen, dass für komplexere Informationen bereits im Zeitpunkt der Erhebung Metadaten angelegt werden, um im Falle einer Anfrage nach Informationsfreiheitsgesetz eine zügige Schwärzung der Unterlagen vornehmen zu können. Hierbei kann also eine Schwärzung bereits vorab stattfinden, wenn es wahrscheinlich erscheint, dass später entsprechende Herausgabebegehren eintreffen werden. Das beinhaltet allerdings auch, dass betroffene Personen bereits im Zeitpunkt der Erhebung in die Entscheidung über das Maß der Schwärzung einbezogen werden und dies nicht erst im Zeitpunkt der Anfrage über die Herausgabe dieser Informationen geschehen muss. Das bietet sich insbesondere dann an, wenn andernfalls eine Verzögerung der Bearbeitung zu erwarten wäre, also etwa, weil die betroffenen Personen nicht mehr ohne Weiteres kontaktiert werden können oder sich der Sachbearbeiter der Anfrage erst wieder umfassender mit der Materie beschäftigen müsste.
5.2 Umweltschutz
Datenverarbeitung per Computer verbraucht Energie. Eine Reduktion des Energieverbrauchs ist häufig nicht nur aus Umweltschutzgründen angestrebt, sondern wird auch untersucht, damit Akkus weniger häufig aufgeladen und mobile Systeme nicht mit großen oder schweren Akkus ausgestattet werden müssen. Datenschutzfunktionalität wie Verschlüsselung erhöht den Energieverbrauch. Auch datenschutzfreundliche Konzepte, die weitere technische Komponenten oder zusätzliche elektronische Kommunikation erfordern, um auf diese Weise als Treuhänder oder im Sinne einer Abschottung eine Vertraulichkeit oder Nichtverkettung von personenbezogenen Daten gewährleisten können, führen zu einem Mehr an Energieverbrauch.
Es gibt aber auch Effekte der Verringerung des Energieverbrauchs. Das Umsetzen der Datenschutzgrundsätze wie Datenminimierung und Speicherbegrenzung kann ebenso wie das Prinzip des Datenschutzes „by Default“ im Vergleich zur heutigen Praxis eine Reduzierung des Energieverbrauchs erzielen. Auch die nutzerseitige – und damit potenziell besser kontrollierbare – Datenverarbeitung im Endgerät spart Energie im Vergleich zu Cloud-Lösungen, die mit einer dauerhaften elektronischen Kommunikation einhergehen. Virtualisierung und Lastverteilung können zu einer ressourcenschonenden Technikinfrastruktur beitragen. Hier kann eine sorgfältige Konzeption und Planung der Datenverarbeitung, die ohnehin aus Datenschutzsicht notwendig ist, auch zu mehr Ressourcenbewusstsein führen.
Dieser adaptive Ansatz kann selbst beim Vernichten von mehr oder weniger vertraulichen Papierunterlagen eine Rolle spielen. Denn die Recyclingfähigkeit des Schredderguts ist eingeschränkt, wenn die Papierfasern zu klein gehäckselt werden. Dies spricht dafür, dass man den Hochsicherheitsschredder nicht für jeglichen Papiermüll verwendet, sondern risikoadäquat prüft, welche Art der Vernichtung gewählt werden soll.
5.3 Datenzugang
In zahlreichen Anwendungen fallen Daten an, für die sich die Frage stellt, inwieweit sie von wem zu weiteren Zwecken ausgewertet werden dürfen. Beispielsweise könnte man sich in einer datenbasierten Smart City oder für Internet-of-Things (IoT)-Anwendungen vorstellen, dass die entstehenden Daten verwendet würden, um Verfahren zum Nutzen des Gemeinwohls zu optimieren, die Planung der Infrastruktur zu verbessern, die Wissenschaft teilhaben zu lassen oder Start-ups die Daten für neue Geschäftsmodelle anzubieten. Nicht jede datenschutzgerechte Lösung ist aber gleichermaßen für die Bereitstellung der Daten für andere geeignet. Dies sieht man beispielsweise in Szenarien, in denen große Anbieter Daten ihrer Kundinnen und Kunden – Privatpersonen oder auch andere Unternehmen, personenbezogene oder nicht-personenbezogene Daten – sammeln und auf Basis der bestehenden Rechtsgrundlagen im Einklang mit den Anforderungen der Datenschutz-Grundverordnung an den Verantwortlichen weiterverwenden. Es gibt hier jedoch Bedenken von unerwünschten Monopolisierungen und Innovationshindernissen, wenn kein fairer Zugang zu solchen „Datenschätzen“ gewährt wird.
So problematisiert die Bundesfachgruppe Freie Werkstätten des Deutschen Kfz-Gewerbes, dass die bisherigen Konzepte der Autohersteller, die aus den zunehmend vernetzten Fahrzeugen Daten erhalten, den Werkstätten keinen fairen Zugang zu den Daten bieten. Ähnliches kritisieren die Versicherungen, die ihre Angebote auf Autofahrerinnen und –fahrer erstrecken. Die Datenethikkommission hat sich dieses Problems angenommen und Vorschläge für einen Interessenausgleich unterbreitet, der die Interessen aller – selbstverständlich auch der betroffenen Personen – berücksichtigen muss. Dies kann bedeuten, nicht auf eine abgesicherte Zentralspeicherung bei einem einzigen Verantwortlichen zu setzen, sondern mit rechtlichen, technischen und organisatorischen Maßnahmen ein ebenfalls datenschutzkonformes föderiertes System zu entwickeln, in dem beispielsweise mit der Hilfe von Treuhändern die definierten Regeln implementiert und durchgesetzt werden können.
5.4 Wirtschaftlichkeit
Datenschutzgerechte Gestaltung verringert nicht nur das Risiko, dass die Rechte und Freiheiten natürlicher Personen verletzt werden, sondern hat auch den Effekt, dass der Verantwortliche seine Datenschutzpflichten leichter erfüllen kann. Finanzielle Schäden können dem Unternehmen durch Bußgelder der Datenschutzaufsichtsbehörde, Schadensersatzforderungen von betroffenen Personen oder Abmahnungen von datenschutzwidrigem Verhalten drohen. Für die meisten noch wichtiger ist aber, dass das Vertrauen der Kunden oder Kooperationspartner nicht durch Datenpannen, negative Schlagzeilen oder Shitstorms in den sozialen Medien gestört wird und mühsam wiederaufgebaut werden muss. Der Schutz der personenbezogenen Daten ist laut einer Umfrage in sämtlichen Märkten das zweitwichtigste Auswahlkriterium nach der Qualität von Produkten und Dienstleistungen.
5.5 Kartellrecht
Ein weiterer Aspekt sind die kartellrechtlichen Auswirkungen datenschutzrechtlicher Sachverhalte. Dass das für kartellrechtliche Maßnahmen gegen missbräuchliches Verhalten marktbeherrschender Unternehmen gilt, hat der BGH jüngst in seiner Facebook-Entscheidung dargelegt, womit vermutlich auch der Streit zur Anwendbarkeit lauterkeitsrechtlicher Normen neben datenschutzrechtlichen Regelungen entschieden wurde.
Die möglichen Probleme erschöpfen sich im Zusammenhang mit dem Kartellrecht aber nicht nur in missbräuchlichem Verhalten, sondern stellen sich schon im Stadium der Technikgestaltung, so ist für den Bereich der Missbrauchskontrolle denkbar, dass etwa marktbeherrschende Stellungen von Anbietern dadurch entstehen, dass Zugangshindernisse gerade durch Technikgestaltung geschaffen werden. Der Umstand ist besonders relevant, wenn die öffentliche Hand Kooperationen eingeht oder auf Produkte und/oder Leistungen setzt und dadurch den Wettbewerb im konkreten Bereich faktisch entscheidet. Hier kann, gerade in einem Bereich, in dem es um hoheitliche Aufgabenerfüllung auf Grundlage dieser Kooperationen, Produkte und Leistungen angeht, der Wettbewerb auf dem relevanten Markt oder angrenzenden Märkten praktisch ausgeschaltet werden. Daher müssen auch diese Auswirkungen von vornherein berücksichtigt werden und es muss sichergestellt werden, dass nicht nur der Wettbewerb nicht unzulässigerweise beschränkt, sondern auch die (zukünftige) Entwicklung datenschutzfreundlicherer Produkte und Leistungen auf dem relevanten Markt nicht verhindert wird.
5.6 Allgemeines Zivilrecht, Gewährleistung
Ein weiterer Bereich, in dem Risikoerwägungen in Zukunft eine größere Rolle spielen könnten, ist das Zivilrecht bzw. spezieller das Kaufrecht. Hier stellt sich in der Praxis oft die Frage, ob ein Kaufgegenstand frei von Sachmängeln ist. Wenn die Parteien keine Individualvereinbarung über die Beschaffenheit des Kaufgegenstandes getroffen haben, dann ist diese Frage am Gesetz zu beantworten. In § 434 S. 2 2 BGB wird dafür entweder auf die Geeignetheit für die nach dem Vertrag vorausgesetzte Verwendung (Nr. 1) oder auf die Eignung für die gewöhnliche Verwendung und einer Beschaffenheit, die bei Sachen gleicher Art üblich ist und die der Käufer nach der Art der Sache erwarten kann (Nr. 2) abgestellt. Im Falle von neuen Technologien dürfte in diesem Zusammenhang auch die Situation auftreten, dass neue Technologien nicht nur mit gewünschten Effekten einhergehen, sondern womöglich auch Angreifern neue Angriffsszenarien öffnen. Hier würde sich z. B. die Frage stellen, ob bauartbedingte Angriffsvektoren bereits einen Sachmangel implizieren, oder dies nur bei besonders gefahrengeneigter Nutzung und insoweit besonders hoher Schutzbedürftigkeit des Käufers (die dem Verkäufer auch bekannt sein muss) angenommen werden kann. Jedenfalls ohne entsprechende individuelle Vereinbarungen, wird man aktuell wohl zu dem Ergebnis kommen müssen, dass, sofern der Verkäufer oder der Hersteller (in dem Verkäufer zurechenbarer Weise) nicht gerade mit datenschutzfreundlicher Technikgestaltung werben, eine Kundenerwartung im Sinne einer Eignung zur gewöhnlichen Verwendung beim Käufer nicht geweckt werden kann, wenn es sich nicht schon aus den Besonderheiten des Kaufgegenstandes ergibt. Aber auch diese Frage lässt sich aus Herstellersicht bereits im Stadium der Konzeption der Datenverarbeitung von hergestellten Produkten berücksichtigen. Damit können spezifische Angriffsszenarien jedenfalls beim Verkauf von Produkten beachtet werden, wenn der Käufer im konkreten Fall aus Hersteller- oder Verkäufersicht erkennbar aufgrund seiner individuellen Umstände gefährdet erscheint.
Eine andere Frage stellt sich im Falle von IoT-Geräten, also Hardware die jedenfalls mittelbar an das Internet angeschlossen ist. In diesen Geräten ist häufig ein kleiner aber vollständiger Computer integriert, auf dem ein Betriebssystem läuft. Die Software kann dabei im Laufe der Zeit Sicherheitslücken aufweisen, die meist nur durch entsprechende Updates des Hardware-Herstellers geschlossen werden können. Die Hersteller wiederum haben im Anschluss an den Verkauf häufig allerdings ein geringes Interesse, die Software der verwendeten Hardware noch über Jahre aktuell zu halten. Hier würde sich ebenfalls die Frage stellen, ob eine entsprechende Einstellung der Software-Updates durch den Hersteller Auswirkungen auf die Mangelhaftigkeit der Hardware haben könnten und dies zu Ersatzansprüchen des Kunden führen könnte und inwieweit entsprechende Risiken der Kunden, die aus dem Betrieb ungeschützter Hardware resultieren, durch den Hersteller zu berücksichtigen sind.
5.7 Berücksichtigung von Risiken bei Gesetzesvorhaben
Eine ganzheitliche Berücksichtigung wird auch bei dem Ansatz der Überwachungs-Gesamtrechnung gefordert. Dabei sollen Risiken staatlicher Überwachung über die individuellen Auswirkungen einer konkreten Maßnahmen hinaus Berücksichtigung finden und so die Auswirkungen der Gesamtheit staatlicher Maßnahmen auf die individuelle Freiheitsausübung untersucht werden. Dieser Ansatz wird mit dem zulässigen Maße an Gesamtüberwachung und der Verfassungsidentität begründet, die eine gesamte Erfassung der individuellen Freiheitsausübung verbiete.
Als eine mögliche Operationalisierung der Überwachungs-Gesamtrechnung wird eine Gesetzes-Datenschutz-Folgenabschätzung vorgeschlagen. Dabei könnten die möglichen Risiken für die Grundrechtsausübung nicht nur im Rahmen eines formalisierten Prozesses berücksichtigt werden, sondern der iterative Prozess der Datenschutz-Folgenabschätzung könnte auch im Rahmen von späteren Gesetzes-Evaluationen Anwendung finden.
6 Fazit und Schlussfolgerungen
Systemgestaltung hat einen erheblichen Einfluss darauf, wie die Verarbeitung von Daten geschieht und ob die in der EU-Grundrechte-Charta festgelegten Rechte und Freiheiten auch in unserer zunehmend digitalisierten Gesellschaft gewährleistet werden. Hier gibt es keinen Universalansatz, der die Grundrechte technisch garantieren kann, und es wäre auch verfehlt, anzunehmen, dass „One size fits all“ erfolgversprechend wäre. Maßstab für einen angemessenen Datenschutz und Privatheitsschutz ist das Risiko für die Rechte und Freiheiten.
Oft wurde nach Inkrafttreten der DSGVO durch Verantwortliche Kritik am risikobasierten Ansatz geäußert: Die Risikoerkennung sei für sie nicht handhabbar und eine umfassende Bewertung, wie die DSGVO sie vorsieht, sei ihnen nicht zuzumuten. Verantwortliche werden die Risikoidentifikation und Risikobewertung nur dann durchführen können, wenn sie die sonstigen Anforderungen der DSGVO an die Ausgestaltung und Dokumentation von Verarbeitungsverfahren einhalten. Das bedeutet nicht nur, dass neu zu implementierte Verfahren diesen Maßstäben gerecht werden müssen, auch alte Verarbeitungsverfahren müssen durch die Verantwortlichen auf die neue Rechtslage angepasst werden, wenn sie auch heute noch – mit Geltung der DSGVO – weiter betrieben werden sollen.
Probleme im Umgang mit den neuen Anforderungen der DSGVO hängen nach Erfahrung des Autorenteams häufig damit zusammen, dass Verantwortliche nicht das Wissen über die eigene Datenverarbeitung haben, das für eine richtige Einschätzung notwendig wäre. Problematisch ist dies besonders dann, wenn in der Datenverarbeitung Software- oder Hardware-Komponenten, über die dem Verantwortlichen keine ausreichenden Kenntnisse vorliegen, zum Einsatz kommen. In solchen Fällen kann der Verantwortliche oft eine (unbefugte) Offenbarung der personenbezogenen Daten an Dritte nicht ausschließen, z. B. wenn derartige Komponenten Mängel in ihrer Funktionsweise aufweisen oder sogar über undokumentierte Funktionen verfügen, die zu einem Datenabfluss führen können.
Die datenschutzrechtlichen Anforderungen treffen jeden Verantwortlichen, sodass eine übergreifende und lückenlose Compliance für jede Verarbeitung personenbezogener Daten einzufordern ist, auch bei der Auswahl von Produkten oder Dienstleistern. Wirksame Informationssicherheitsmaßnahmen sind zudem auch aufgrund der eigenen Organisationsinteressen – z. B. zum Schutz von Betriebs- und Geschäftsgeheimnissen – nötig. Es zeigt sich jedoch, dass die Verantwortlichen Schwierigkeiten haben können, wenn Hersteller von Produkten, Diensten und Anwendungen sie nicht in ihrer Rechenschaftspflicht unterstützen, z. B. durch Bereitstellung der notwendigen Dokumentation, oder – noch schlimmer – eine Konformität mit den in Europa geltenden datenschutzrechtlichen Anforderungen womöglich gar nicht erst anstreben geschweige denn erfüllen. Faktisch besteht in vielen Fällen eine Abhängigkeit von den Herstellern: Selbst wenn ein Wechsel der Anbieter durch ein Herauslösen der personenbezogenen Daten und das Bereitstellen alternativer Angebote technisch möglich ist, verursacht dies in den meisten Fällen einen erheblichen Aufwand, zumal die Alternativen meist nicht identisch in Funktionalität und Bedienbarkeit sind.
Dies zeigte sich im Jahr 2020 in Bezug auf die Entscheidung des Europäischen Gerichtshofs (EuGH) zum „Privacy Shield“, auf den vielfach der grenzüberschreitende Transfer personenbezogener Daten in die USA gestützt wurde. Nachdem der EuGH mit Urteil vom 16. Juli 2020 (Rechtssache C-311/18) den „Privacy Shield“ (Beschluss 2016/1250) der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA für unwirksam erklärt hatte, erhob sich ein massives Drängen der Industrieverbände in Europa auf neue Verhandlungen der Europäischen Kommission mit den USA und auf ein Moratorium der Datenschutzaufsicht. Dies ist deswegen erstaunlich, weil zumindest den kundigen Juristinnen und Juristen der Industrieverbände schon viele Monate oder sogar Jahre vor dem Urteil klar war (oder hätte klar sein müssen), dass der „Privacy Shield“ als Rechtslage infrage stand und nicht als stabiles Fundament taugte. Zeit für Anpassungen hätte es gegeben, aber die Verantwortlichen scheuten die fristgerechten Änderungen, die bei ihnen zu Aufwänden, Kosten oder anderen Unbequemlichkeiten geführt hätten.
Trotz einiger Hemmnisse in der Umsetzung ist das Prinzip, durch Systemgestaltung für eine Verbesserung von Datenschutz und Privatheitsschutz zu sorgen, richtig und erfolgversprechend. Die Datenschutz-Grundverordnung hat dies nun stärker ins Bewusstsein von Verantwortlichen und Dienstleistern gerückt, sodass nach vielen Jahren und Jahrzehnten Fortschritte zu erwarten sind. Eng damit verbunden ist der Umgang mit dem Risikobegriff, insbesondere bei neuen Technologien mit personenbezogener Datenverarbeitung, bei deren Einführung die Notwendigkeit einer Datenschutz-Folgenabschätzung zu prüfen ist. Wünschenswert – oder sogar notwendig angesichts des Hypes um Algorithmen bis hin zu „Künstlicher Intelligenz“ – ist die Betrachtung der Risiken für Rechte und Freiheiten von Individuen ebenso wie für unsere demokratische Gesellschaft auch für solche technischen Systeme, in denen der Personenbezug keine Rolle spielt. Generell sind Folgenabschätzungen angeraten, die zu adäquaten Maßnahmen einer Risikoeindämmung und zu einer fairen und am Gemeinwohl orientierten Gestaltung der Digitalisierung führen, die eine zukunftsfähige und nachhaltige Entwicklung unserer Gesellschaft unterstützt.
CC BY
Hansen, M., Bieker, F., Bremert, B. (2022). Datenschutz und Privatheitsschutz durch Gestaltung der Systeme. In: Roßnagel, A., Friedewald, M. (eds) Die Zukunft von Privatheit und Selbstbestimmung. DuD-Fachbeiträge. Springer Vieweg, Wiesbaden.
https://doi.org/10.1007/978-3-658-35263-9_8
Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.