[datensicherheit.de, 02.10.2020] Als Ergebnis einer eigenen Evaluation der Datenschutz-Grundverordnung (DSGVO) schlägt der Sprecher des „Forum Privatheit“, Prof. Dr. Alexander Roßnagel, 33 konkrete Verbesserungen des Verordnungstextes vor.

Foto: Forum Privatheit

Prof. Dr. Alexander Roßnagel: Kleingärtner- oder Sportvereine haben dieselben Datenschutzanforderungen wie globale Großkonzerne

DSGVO sieht selbst ihre eigene regelmäßige Evaluation vor

Die DSGVO sehe selbst ihre eigene regelmäßige Evaluation vor. Vier Jahre nach Inkrafttreten und zwei Jahre nach Geltungsbeginn habe die EU-Kommission im Juni 2020 ihren ersten Evaluationsbericht vorgelegt. In diesem gehe sie aber nicht auf Schwachstellen und Verbesserungsvorschläge ein, sondern befasse sich allein mit der Umsetzung der DSGVO in der Praxis. Damit ignoriere sie die vielen Vorschläge zur Verbesserung von Mitgliedstaaten, Unionsorganen und aus der Zivilgesellschaft.
Rechtswissenschaftler des Forschungsverbunds „Forum Privatheit“ haben nach eigenen Angaben ebenfalls die Defizite der Verordnung evaluiert und machen in ihrem Buch „Datenschutz-Grundverordnung verbessern“ demnach 33 leicht umsetzbare Vorschläge, wie die DSGVO – vor allem für die Bürger – mit kleinen Änderungen nachhaltig verbessert werden kann. Das Buch könne als „Open Access E-Book“ kostenlos heruntergeladen werden.

DSGVO: Seit Inkrafttreten hat Digitalisierung in der Verarbeitung personenbezogener Daten viel verändert

Obwohl die DSGVO erst seit gut zwei Jahren angewendet werde, seien bereits zehn Jahre seit ihrem Entwurf vergangen. Seitdem habe sich durch die Digitalisierung in der Verarbeitung personenbezogener Daten viel verändert. „Die Nutzung digitaler Plattformen im Internet sowie das Eindringen der Datenverarbeitung in alle Lebensbereiche durch Smartphones und durch das Internet der Dinge haben den Umfang der Verarbeitung personenbezogener Daten stark wachsen lassen“, erläutert Professor Roßnagel, Sprecher des Forschungsverbunds und Professor für Technikrecht an der Universität Kassel.
Technologien wie „Big Data“ und Künstliche Intelligenz (KI) führten zu einer zunehmenden „Machtasymmetrie zwischen großen datenverarbeitenden Unternehmen und den Menschen, deren Daten verarbeitet werden“. Hierauf habe die DSGVO leider bisher noch keine angemessene Antwort. Denn die DSGVO sei bezogen auf Datenschutzgrundsätze, die Zulässigkeit von Datenverarbeitung und die Rechte von betroffenen Personen risikoneutral. Neutralität möge an anderer Stelle sinnvoll sein. Professor Roßnagel: „Hier aber führt es dazu, dass Kleingärtner- oder Sportvereine denselben Datenschutzanforderungen unterliegen wie globale Großkonzerne, die über eine weitaus höhere Datenverarbeitungsmacht verfügen und damit natürlich auch für die Grundrechte der einzelnen Menschen ein höheres Risiko darstellen.“

Grundrechte und Freiheiten könnten durch DSGVO-Verbesserungen gestärkt werden

Aber nicht nur dieses konzeptionelle Manko der DSGVO falle bei ihrer Evaluation auf. Es seien auch viele kleine Regelungslücken, Unklarheiten, Wertungswidersprüche, handwerkliche Fehler und Überregulierungen, die dringend behoben werden müssten. „Das Regelwerk enthält viele Kompromisse und ist oft zu abstrakt. Beides führt zu Rechtsunsicherheit, Akzeptanzproblemen, Vollzugshemmnissen, Handlungsbarrieren und Investitionshindernissen“, kritisiert Professor Roßnagel.
Laut Dr. Christian Geminn, Mag. iur., Rechtswissenschaftler an der Universität Kassel und Ko-Autor des Buches, seien Verbesserungen „zum Teil mit wenigen Änderungen im Wortlaut des Gesetzestextes möglich. Dadurch können sowohl die Effizienz und die Effektivität des Grundrechtsschutzes gesteigert wie auch die Akzeptanz des Datenschutzes erhöht werden“. Auch die innovativen Elemente der DSGVO wie Datenschutz durch Technikgestaltung, datenschutzfreundliche Voreinstellungen, Zertifizierung oder Datenschutz-Folgenabschätzung würden durch die vorgeschlagenen Konkretisierungen gewinnen. Bei anderen Elementen der Verordnung wie dem Recht auf Datenübertragung, das ursprünglich als Maßnahme zur Machtbegrenzung der großen Datenkonzerne gedacht gewesen sei, seien ebenfalls Verbesserungen sinnvoll.

Buch analysiert DSGVO vor dem Hintergrund der mehr als zweijährigen Anwendung in der Praxis

Das Buch analysiere die DSGVO vor dem Hintergrund der mehr als zweijährigen Anwendung in der Praxis, bewerte sie – vor allem aus Bürger- und Verbrauchersicht – und leite daraus 33 konkrete Verbesserungsvorschläge ab, die ermöglichten, die Ziele der Verordnung besser zu erreichen und ihre Akzeptanz zu stärken.
Ein Beispiel: „Um bei jeder Erhebung von Daten, die auch für Profiling genutzt werden sollen, die betroffene Person ausreichend über dieses zusätzliche Risiko der Datenverarbeitung zu informieren, sollten die Artikel 13 und 14 entsprechend ergänzt werden.“

Notwendige Diskussion zur Fortentwicklung der DSGVO

Die in diesem Buch präsentierten Analysen, Bewertungen und Vorschläge sollten dazu beitragen, Argumente für die notwendige Diskussion zur Fortentwicklung des Datenschutzrechts in der Europäischen Union zu liefern. Ferner solle das Buch aufzeigen, wie Grundrechte und Freiheiten in der digitalen Welt besser gefördert und geschützt werden könnten:

Roßnagel, Alexander und Christian Geminn
„Datenschutz-Grundverordnung verbessern: Änderungsvorschläge aus Verbrauchersicht“
Nomos, Baden-Baden, 2020
ISBN print: 978-3-8487-7706-8, ISBN online: 978-3-7489-2099-1

Weitere Informationen zum Thema:

Nomos eLibrary
Alexander Roßnagel, Christian Geminn: Datenschutz-Grundverordnung verbessern / Änderungsvorschläge aus Verbrauchersicht

datensicherheit.de, 23.03.2018
forum <privatheit>: Demokratie nicht einzelnen Internet-Unternehmen überlassen

[datensicherheit.de, 06.12.2019] Der Forschungsverbund „Forum Privatheit“ warnt davor, dass neue Technologien zunehmend Daten auch jüngerer Kinder sammeln – ohne dass die Kinder dem zugestimmt haben. Denn zum einen seien sie gar nicht in der Lage, dies zu tun – „da die Einwilligungstexte meist so geschrieben sind, dass die wenigsten Erwachsenen sie verstehen“. Zum anderen seien die Kinder meist zu jung, um die Folgen ihres digitalen Handelns abschätzen zu können. Dennoch nutzten sie die neuen Technologien – und seien so der „Datafizierung ihres Lebens“ – meist unwissentlich – ausgesetzt. Hierzu seien auf der Jahreskonferenz des Forschungsverbunds „Forum Privatheit“ Ende November 2019 konkrete Lösungsvorschläge diskutiert worden.

Aufwachsen in überwachten Umgebungen in der Diskussion

„Ein Geheimnis würde ich eher meinen Eltern oder meinen Freunden anvertrauen als ,Siri‘. Auf die Freunde kann man sich verlassen, auf ,Siri‘ nicht.“ – mit diesem Satz eines Zehnjährigen hat der Forschungsverbund „Forum Privatheit“ nach eigenen Angaben seine Jahreskonferenz „Aufwachsen in überwachten Umgebungen – Wie lässt sich Datenschutz in Schule und Kinderzimmer umsetzen?“ eröffnet.
Diese Äußerung verdeutliche, dass Kinder sich zwar mancher Risiken bestimmter Technologien bewusst seien – sie könnten jedoch gegenwärtig nicht mehr tun, als sich selbst von deren Nutzung auszuschließen, wenn sie sich schützen wollen.

Kinderdatenschutz: Konkrete Vorschläge zur verbesserten DSGVO-Umsetzung

Auch der Einsatz von Bildungssoftware an Schulen sollte mit Augenmaß betrieben werden: „Individuelles Lernen mittels Software ermöglicht zwar einerseits gute Fortschritte, aber durch deren Nutzung werden auch viele Daten über die Schülerinnen und Schüler erhoben, über Intelligenz, soziales Umfeld – und Daten können missbraucht werden“, warnt Dr. Herbert Zeisel vom Bundesministerium für Bildung und Forschung (BMBF). Deutschland wolle eine technische Umgebung, „die uns einen souveränen Umgang mit unseren Daten garantiert“, so Dr. Zeisel.
Um dies zu erreichen und die rechtlichen Rahmenbedingungen zu verbessern, stellte Prof. Alexander Roßnagel, Sprecher des „Forum Privatheit“, nach eigenen Angaben acht Vorschläge vor, um die EU-Datenschutzgrundverordnung (DSGVO) im Geiste der UN-Kinderrechtskonvention weiterzuentwickeln. So forderte er demnach unter anderem eine verbindliche Vorschrift, dass Daten von Kindern nicht für Persönlichkeitsprofile genutzt werden dürfen, sowie dass bei Technologien, die von Kindern genutzt werden, eine datenschutzfreundliche Voreinstellung vorzusehen ist. Wenn Daten von Kindern verarbeitet werden sollen, sollte dies bereits bei Umsetzung der Vorgabe „Privacy by design“ besonders berücksichtigt werden. Weiterhin sollte es für Kinder nicht mehr möglich sein, in die Verarbeitung von besonders schützenswerten Daten einzuwilligen, da sich Kindern über die Folgen dieser Einwilligung kaum bewusst seien. Diese Punkte sollten bei der Evaluierung der DSGVO bis Mai 2020 berücksichtigt und diese in diesem Sinne weiterentwickelt werden.

Für ein Verbot nutzungsbasierten Trackings von Minderjährigen

Vor einer „normalisierten Gesellschaft“, in welcher Individuen durch Algorithmen vereinheitlicht würden, warnte der Jurist Dr. Stephan Dreyer vom Leibniz-Institut für Medienforschung. Viele rechtliche Regelungen zum Kinderschutz sehe er durch die Entwicklung und Verbreitung neuer Technologien faktisch in Frage gestellt und fordere eine Neuinterpretation des Freiheitsbegriffs im Sinne eines Konzepts informationeller Unversehrtheit:
„Wir brauchen einen digitalen Schutzraum für Kinder“, sagt Dr. Dreyer. Hierfür sehe er vor allem den Gesetzgeber in der Pflicht, bestimmte Technologien zu verbieten, so z.B. nutzungsbasiertes Tracking von Minderjährigen sowie die Nutzung prädiktiver Verfahren – also das Sammeln von Daten, um daraus Vorhersagen abzuleiten – bei Kindern und Jugendlichen. Schließlich seien auch Angebote zu schaffen bzw. auszuweiten, die Kinder und Jugendliche bei der Durchsetzung ihrer Privatheit unterstützen.

Regulatorisch Bedingungen dafür schaffen, dass trotz Nutzung neuer Technologien Privatsphäre gewahrt bleibt

Die Vorträge zum Stand der empirisch-sozialwissenschaftlichen Forschung habe die Medienpsychologin Prof. Nicole Krämer von der Universität Duisburg-Essen zusammengefasst: „Bislang haben wir nur erste Hinweise darauf, wie gut Kinder verschiedener Altersstufen die Gefahren verstehen können, die mit der Sammlung und Speicherung ihrer Daten einhergehen.“
Auch die britische Sozialpsychologin Sonia Livingstone von der London School of Economics and Political Science, habe festgestellt, dass es bislang eine ungenügende Datengrundlage gebe, um zu entscheiden, ab welchem Alter Kinder wirklich „informiert“ und „selbstbestimmt“ Social-Media-Plattformen und Messenger-Dienste nutzen könnten. Ihre Forschungsergebnisse zeigten auch, dass Kinder zwar oft noch keine genaue Vorstellung davon hätten, dass und warum ihre Daten zu kommerziellen Zwecken gesammelt würden, dass sie aber den Wunsch hätten, besser aufgeklärt und auch geschützt zu werden. Vor allem habe sie darauf hingewiesen, dass die Gesellschaft nicht erst Technologien in die Welt bringen und dann den Kindern und Jugendlichen deren Nutzung verbieten könne, um sie vor den Gefahren zu schützen. Vielmehr müssten regulatorisch die Bedingungen dafür geschaffen werden, dass trotz der Nutzung von Technologien die Privatsphäre gewahrt bliebe.

Minderjährige gar nicht erst an überwachten Alltag gewöhnen

Die Tagung habe deutlich gemacht, dass das gesellschaftliche Interesse an kritischen Fragen zur Überwachung von Kindern und Jugendlichen groß sei, vor allem aber auch, wie hoch die gesellschaftliche Relevanz des Themas sei. Kinder und Jugendliche sollten und wollten sich nicht an einen überwachten (Schul-)Alltag gewöhnen. Die Institution Schule als Lernort für Demokratie und freie Meinungsbildung müsse nach geeigneten Wegen suchen, innerschulischen Datenschutz durch innovative Lösungen und eine umfassende Strategie umzusetzen.
Lehrer und Eltern müssten besser geschult werden, um zu einer Erhöhung der Medienkompetenz der Kinder und Jugendlichen beitragen zu können. Die Medienethikerin PD Dr. Jessica Heesen vom Internationalen Zentrum für Ethik in den Wissenschaften habe die Ergebnisse der Konferenz wir folgt resümiert: „Eine digitale Gesellschaft, die ein Kinderrecht auf Privatheit umsetzt, ist eine Gesellschaft, die für alle sicherer, demokratischer und freier ist.“

Weitere Informationen zum Thema:

forum <privatheit>
Jahreskonferenz 2019: „Aufwachsen in überwachten Umgebungen – Wie lässt sich Datenschutz in Schule und Kinderzimmer umsetzen?“

datensicherheit.de, 23.03.2018
forum <privatheit>: Demokratie nicht einzelnen Internet-Unternehmen überlassen

datensicherheit.de, 08.03.2018
forum <privatheit>: Datenschutz als Basis der Innovationsförderung

[datensicherheit.de, 11.02.2019] Laut einer Meldung des „Forum Privatheit“ hat das Bundesverfassungsgericht (BverfG) am 5. Februar 2019 mitgeteilt, dass das Bayerische Polizeiaufgabengesetz insoweit verfassungswidrig ist, als es ohne weitere Einschränkung der Polizei erlaubt, das Kennzeichen aller vorbeifahrenden Kraftfahrzeuge verdeckt von einem Kennzeichenlesesystem automatisiert zu erfassen, kurzzeitig gemeinsam mit Angaben zu Ort, Datum, Uhrzeit und Fahrtrichtung zu speichern und mit Kennzeichen aus dem Fahndungsbestand abzugleichen. Nach Analyse durch Experten des Forschungsverbunds nimmt das „Forum Privatheit“ Stellung zu den Auswirkungen.

Bayern, Baden-Württemberg und Hessen: Kontrollen ohne Einschränkungen

Obwohl das BVerfG bereits 2008 festgestellt habe, dass das Überwachungsinstrument des Kfz-Kennzeichen-Scanning nur zum Schutz wichtiger Rechtsgüter und bei einem konkreten Anlass an beschränkten Orten und begrenzten Zeiten eingesetzt werden dürfe, hätten die Bundesländer Bayern, Baden-Württemberg und Hessen diese Kontrollen ohne diese Einschränkungen in den Katalog der normalen polizeilichen Handlungsinstrumente aufgenommen und davon ausführlich Gebrauch gemacht.
Dagegen habe ein Bürger mit Wohnsitz in Bayern und in Österreich geklagt, der befürchtet habe, auf den Reisen zwischen den beiden Wohnsitzen immer wieder überwacht zu werden und aufgrund der hohen Falscherkennungsrate der Kennzeichenlesesysteme als zur Fahndung Ausgeschriebener erfasst zu werden sowie Nachteile zu erleiden. Das Verwaltungsgericht München, der Verwaltungsgerichtshof Bayern und das Bundesverwaltungsgericht hätten die Klage abgewiesen, u.a. weil die bloße Erfassung des Kennzeichens keinen Grundrechtseingriff darstelle. Das BVerfG hat laut „Forum Privatheit“ diese Urteile in seinem Beschluss vom 18. Dezember 2018 aufgehoben und die entsprechende Regelung im Bayerischen Polizeiaufgabengesetz für teilweise verfassungswidrig erklärt.

Stärkung des Grundrechts auf informationelle Selbstbestimmung

„Der Beschluss des BVerfG stellt mit großer Klarheit fest, dass der Einsatz des Überwachungsinstruments der automatisierten Kennzeichenkontrollen auf bestimmte Anlässe und zur Abwehr einer konkreten Gefahr für Rechtsgüter von erheblichem Gewicht beschränkt ist und stärkt damit das Grundrecht auf informationelle Selbstbestimmung und Datenschutz nachdrücklich“, kommentiert Prof. Dr. Alexander Roßnagel, Sprecher des Forschungsverbunds „Forum Privatheit“ und Professor für Umwelt- und Technikrecht an der Universität Kassel. „Die breite Überwachung des Straßenverkehrs durch automatisierte Kennzeichenkontrollen ist unzulässig.“
Das Gericht habe eindeutig festgestellt, „dass bereits die Erfassung der Kennzeichen in das Grundrecht auf informationelle Selbstbestimmung eingreift, unabhängig davon, ob ein Treffer festgestellt werden kann“.

BverfG hat Bewertung geändert

Das habe das BVerfG in seiner Entscheidung zum Kfz-Kennzeichen-Scanning vom 8. März 2008 noch anders gesehen: Damals habe es entschieden, dass die bloße Erfassung und unmittelbare Löschung der Daten, sobald festgestellt worden ist, dass im Abgleich mit einer Fahndungsdatei kein Treffer vorliegt, keinen Grundrechtseingriff darstelle.
Diese Feststellung hätten sich viele Regelungen im Recht der Polizei und der Nachrichtendienste zunutze gemacht. Jetzt sei das BVerfG von dieser Feststellung abgerückt und sehe bereits in der Erhebung von Daten einen unerlaubten Grundrechtseingriff.

Fortbewegung ohne staatliche Kontrolle als Freiheitsrecht

Erfasst ein Überwachungssystem Menschen, so sei es nicht erst hinsichtlich der damit verbundenen Folgen, sondern bereits durch die Erfassung freiheitsbeeinträchtigend:
„Zur Freiheitlichkeit des Gemeinwesens gehört es, dass sich die Bürgerinnen und Bürger grundsätzlich fortbewegen können, ohne dabei beliebig staatlich registriert zu werden, hinsichtlich ihrer Rechtschaffenheit Rechenschaft ablegen zu müssen und dem Gefühl eines ständigen Überwachtwerdens ausgesetzt zu sein“, so das BVerfG.

Beliebige Kontrollen mit Rechtsstaatsprinzip grundsätzlich unvereinbar

Zulässig seien solche Kontrollen nur unter zwei Voraussetzungen: Zum einen müss dafür ein objektiv bestimmter und begrenzter Anlass bestehen. „Die Durchführung von Kontrollen zu beliebiger Zeit und an beliebigem Ort ins Blaue hinein ist mit dem Rechtsstaatsprinzip grundsätzlich unvereinbar“, so das BVerfG.
Zum anderen müssten sie dem Schutz von wichtigen Rechtsgütern oder öffentlichen Interessen dienen – hierzu zählten z.B. Leib, Leben und Freiheit der Person und der Bestand und die Sicherheit des Bundes und der Länder. Da das Bayerische Polizeiaufgabengesetz beide Voraussetzungen nicht beachte, habe das BVerfG die zu weitgehenden Regelungen für verfassungswidrig erklärt.

Rechtliche Anpassungen zur Überwachung notwendig

Diese Bewertung gelte nicht nur für das Bayerische Polizeiaufgabengesetz, sondern auch für vergleichbare Regelungen in Baden-Württemberg und Hessen. Die Feststellung, dass ein Grundrechtseingriff bereits durch die bloße Erfassung von Überwachungsdaten besteht, habe Auswirkungen für viele polizeiliche und nachrichtendienstliche Überwachungsmethoden, weil diese bisher davon ausgegangen seien, dass ein Grundrechtseingriff erst mit der Speicherung als Treffer beginne.
Diese Erkenntnis zwinge ebenfalls zur Anpassung vieler Erlaubnisse zur Überwachung. „Damit stellt Deutschland – im Gegensatz zu anderen europäischen Ländern – den Datenschutz über den noch unklaren Nutzen einer sehr umfassenden Kennzeichenerkennung“, unterstreicht „Forum Privatheit“-Experte Dr. Michael Friedewald vom Fraunhofer ISI.

Erfassung von Diesel-Fahrzeugen in keiner Weise verhältnismäßig

So habe das Urteil des BVerfG auch Auswirkungen auf die Absicht, Fahrverbote für ältere Diesel-Fahrzeuge durch automatisierte Kennzeichenerfassung und Abgleich mit dem Bundeskraftfahrzeugregister durchzusetzen:
„Solche automatisierten Kennzeichenkontrollen finden zwar nur an der Einfahrt zu Umweltzonen oder für Dieselfahrzeuge gesperrte Straßen statt, dienen aber nicht der Abwehr einer Gefahr für Rechtsgüter wie Leib, Leben und Freiheit der Person und den Bestand und die Sicherheit des Bundes und der Länder, sondern der Verhinderung oder Verfolgung von Ordnungswidrigkeiten – sind also in keiner Weise verhältnismäßig“, resümiert Roßnagel.

Weitere Informationen zum Thema:

forum <privatheit>
selbstbestimmtes_leben_in_der_digitalen_welt

datensicherheit.de, 23.03.2018
forum <privatheit>: Demokratie nicht einzelnen Internet-Unternehmen überlassen

datensicherheit.de, 08.03.2018
forum <privatheit>: Datenschutz als Basis der Innovationsförderung

[datensicherheit.de, 02.07.2018] Rechtsexperten des Forschungsverbunds „Forum Privatheit“ beleuchten die langfristigen Auswirkungen des EuGH-Urteils zu facebook-Fanpages – neben Sozialen Netzwerken gehörten auch Suchmaschinen, Messenger- und Kurznachrichten-Dienste auf den Prüfstand. Der Europäische Gerichtshof (EuGH) hatte am 5. Juni 2018 sein Urteil im Rechtsstreit zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und der Wirtschaftsakademie Schleswig-Holstein GmbH verkündet. Gegenstand dieses Rechtsstreits war eine Anordnung des ULD an die Wirtschaftsakademie, ihre facebook-Fanpage zu deaktivieren, weil facebook personenbezogene Daten von Besuchern dieser Fanpage unzulässig erhoben und zu Besucherstatistiken verarbeitet habe.

Verantwortlich für die Datenverarbeitung im Sinne des Datenschutzrechts

Fraglich gewesen sei, ob neben facebook auch die Wirtschaftsakademie als Betreiber der Fanpage als Verantwortliche für die Datenverarbeitung im Sinne des Datenschutzrechts zu werten ist.
Dies habe das Gericht am 5. Juni 2018 bejaht – die Inanspruchnahme von fcebook als Plattform zur Bereitstellung der Fanpage befreie den Betreiber nicht von datenschutzrechtlichen Pflichten.
Ob ein Zugang des Fanpage-Betreibers zu den gesammelten personenbezogenen Daten des Sozialen Netzwerks besteht, sei dabei unerheblich.

Mitverantwortlich für alle im Zusammenhang stehenden Datenverarbeitungspraktiken von facebook

„Das Urteil des EuGH hat große Auswirkungen auf Unternehmen, Behörden und sonstige Organisationen, die facebook-Angebote für ihre Zwecke nutzen. Sie werden damit mitverantwortlich, für alle damit in Zusammenhang stehenden Datenverarbeitungspraktiken von facebook. Da sie diese nicht beeinflussen können, aber für sie verantwortlich sind, können sie facebook nicht mehr ohne Risiko nutzen“, sagt Prof. Dr. Alexander Roßnagel, Sprecher des „Forum Privatheit“ und Rechtswissenschaftler der Universität Kassel.
Der EuGH vertrete in seinem Urteil eine weite Auslegung des Begriffs des datenschutzrechtlich Verantwortlichen. Dessen Verantwortung solle einen größtmöglichen Schutz Betroffener bei der Verarbeitung ihrer personenbezogenen Daten gewährleisten. Daher sei für die Datenverarbeitung nicht nur das Soziale Netzwerk, sondern auch die Organisation verantwortlich, welche facebook für ihre Zwecke nutzt (wie in dem entschiedenen Fall für eine Fanpage).
Dies gelte in besonderem Maße, wenn Dritte, die selbst nicht Mitglieder bei facebook sind, veranlasst werden, facebook zu nutzen. Die Organisation und facebook seien beide gemeinsam verantwortlich, da sie jeweils über die Zwecke und Mittel der Verarbeitung personenbezogener Daten der Betroffenen entschieden. Der Betreiber der Fanpage könne sich gegenüber den Betroffenen nicht auf den Standpunkt zurückziehen, selbst lediglich Nutzer der von facebook angebotenen Dienstleistung zu sein.

Stellung der betroffenen Nutzer verbessert

Eine Organisation, die facebook-Angebote für ihre Zwecke nutzt, träfen damit alle Pflichten, die ein datenschutzrechtlich Verantwortlicher zu erfüllen hat. Nach der Datenschutz-Grundverordnung müssten gemeinsam Verantwortliche in transparenter Form vertraglich festlegen, welche Funktionen sie jeweils übernehmen und wie sie ihre Datenschutzpflichten erfüllen. Insbesondere könnten auch der Organisation gegenüber Betroffenenrechte geltend gemacht werden.
„Damit wird die Stellung der betroffenen Nutzenden verbessert. Außerdem hat der EuGH mit dem Urteil unmissverständlich klargestellt, dass es auch in diesen Fällen keine Lücke in der Verantwortlichkeit für die Verarbeitung personenbezogener Daten gibt“, betobt Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein.
Diese gemeinsame Verantwortlichkeit wirke sich auch auf die Haftung aus. So hafte nach der Datenschutz-Grundverordnung jeder an einer Datenverarbeitung beteiligte Verantwortliche für den Schaden, der durch eine rechtswidrige Verarbeitung verursacht wurde. Eine Haftungsbefreiung sei nur möglich, wenn aktiv nachgewiesen wird, dass eine Verantwortlichkeit für den Umstand, der den Schaden zur Folge hatte, in keinerlei Hinsicht gegeben ist. Damit bestehe eine Verschuldensvermutung bezogen auf alle gemeinsam Verantwortlichen – die Beweislast liege bei ihnen.

Auch Suchmaschinen, Messenger- und Kurznachrichten-Dienste auf den Prüfstand!

Anordnungen einer Datenschutzaufsichtsbehörde könnten sich dabei sowohl gegen die Organisation, die facebook für ihre Zwecke nutzt, als auch gegen den Betreiber des Sozialen Netzwerks richten. Das gelte letztlich auch für die unter Umständen drastischen Sanktionen, die Aufsichtsbehörden nach der Datenschutz-Grundverordnung verhängen könnten.
„Die Klarstellung durch den EuGH ist im Sinn eines effektiven Datenschutzes zu begrüßen. Wer Angebote Sozialer Netzwerke in seine Organisationskommunikation einbindet, trägt in jedem Fall die Mitverantwortung für jede durch ihn veranlasste Datenverarbeitung. Wer kein Risiko eingehen will, muss sich entweder sicher sein, dass das Soziale Netzwerk mit diesen Datenverarbeitungspraktiken keine Verstöße gegen die Datenschutz-Grundverordnung begeht oder diese Angebote meiden“, resümiert Professor Roßnagel. Ebenso wie Soziale Netzwerke gehörten auch Angebote wie Suchmaschinen, Messenger- und Kurznachrichten-Dienste auf den Prüfstand.

Weitere Informationen zum Thema:

forum <privatheit>
selbstbestimmtes_leben_in_der_digitalen_welt

datensicherheit.de, 08.03.2018
forum <privatheit>: Datenschutz als Basis der Innovationsförderung

[datensicherheit.de, 23.03.2018] Wie kürzlich bekannt wurde, hat die Datenanalysefirma Cambridge Analytica 50 Millionen Facebook-Profile illegal ausgespäht. Das Unternehmen war für einen Großteil des Wahlkampfs des US-amerikanischen Präsidenten Donald Trump verantwortlich. „Die illegitime Auswertung von 50 Millionen Facebook-Profilen durch Cambridge Analytica und die dadurch möglich gewordenen Verzerrungseffekte im US-amerikanischen Präsidentschaftswahlkampf zeigen, wie groß mittlerweile die Beeinflussungspotentiale sind, die die Internet-Giganten und die mit ihnen verbundene Datenindustrie aufgebaut haben“, so Dr. Carsten Ochs, Soziologe an der Universität Kassel und Mitglied des Forschungsverbunds „Forum Privatheit“. Dabei ist bisher nicht klar, inwieweit die Ausspähung der Profile tatsächlich den Wahlkampf beeinflusst hat. „Es existieren allerdings Studien, die nahelegen, dass das Micro-Targeting, welches durch die Datenanalysen möglich wird, erfolgreich und in massenhaftem Ausmaß zur Beeinflussung und Verhaltenssteuerung eingesetzt werden kann“, so „Forum Privatheit“-Mitglied Dr. Thilo Hagendorff vom Internationalen Zentrum für Ethik in den Wissenschaften in Tübingen. „Der Nachweis eines kausalen Einflusses der Manipulationsversuche Cambridge Analyticas auf die Präsidentschaftswahlen dürfte aber kaum möglich sein, und die von dem Datenanalysten zugrunde gelegten psychologischen Persönlichkeitsmodelle sind – soweit überhaupt bekannt – nicht für ihre hohe Vorhersagekraft bekannt“, ergänzt Prof. Dr. Nicole Krämer, Medienpsychologin an der Universität Duisburg-Essen, ebenfalls Mitglied im Forschungsverbund „Forum Privatheit“.

Plattform-Betreiber haben große gesellschaftliche Machtfülle

Dennoch gebe der Einblick in unser Alltagsleben den Plattform-Betreibern eine äußerst große gesellschaftliche Machtfülle an die Hand. „Für regulatorische und Verbraucherschutz-Organe ist bislang kaum nachvollziehbar, wie diese datenbasierte Machtfülle genutzt wird“, so der Soziologe Ochs. Dass noch nicht einmal bekannt sei, wie groß der Einfluss von Facebook, Cambridge Analytica, aber auch von vielen anderen Internet-Firmen auf einen so fundamentalen demokratischen Vorgang wie eine Wahl exakt gewesen sei, zeige überdeutlich den massiven Gestaltungsbedarf in diesem Bereich an: Das Beeinflussungspotenzial der Internet-Unternehmen ist möglicherweise immens, doch hätten sie keinerlei demokratische Legitimation, und handelten immer wieder in einer Weise, die mit demokratischen Grundprinzipien schwerlich in Übereinstimmung zu bringen sei. So werde das Vertrauen der Verbraucherinnen und Verbraucher zerstört und nachhaltiges Wirtschaften verhindert.

Neue Form des Verbraucherschutzes ist gefordert

Die Regulierung der Unternehmen war bislang auch deshalb schwierig, weil diese global agieren, die politischen und rechtlichen Institutionen und Behörden aber in nationalem Rahmen tätig sind. Für „Forum Privatheit“ ist klar, dass es hier um eine neuartige Regelung von Verantwortung gehen muss. Zum einen dürfe auf keinen Fall der Datenschutz im Entwurf der E-Privacy-Verordnung geschwächt werden, der wenigstens einige Grenzen des Tracking und der Datensammelei im Internet aufstellt. Zum anderen werde durch solche Fälle deutlich, dass der Verbraucherschutz im Internet dringend auf neue Grundlagen gestellt werden muss. Dabei könne es nicht nur um einzelne Verbraucherinnen und Verbraucher gehen, sondern um neue, kollektiv verbindliche Spielregeln, und die Rolle von Institutionen, die die Einhaltung dieser Regeln auch überwachen und durchsetzen, und das nicht nur auf nationaler Ebene.

„Wie soll sich der einzelne Verbraucher gegenüber der Übermacht der Konzerne zur Wehr setzen, insbesondere wenn zwei Unternehmen verdeckt zusammenarbeiten? Wenn eine illegitime Wahlbeeinflussung dadurch auch nur in den Bereich des heute oder zukünftig Denkbaren rückt, dann ist schon das ein Problem der demokratischen Gesellschaft insgesamt, denn es zerstört nachhaltig Vertrauen – völlig unabhängig davon, ob eine Einzelperson bestimmte soziale Medien individuell nutzt, oder nicht. Wenn wir die Verantwortung den Einzelnen zuschieben, werden wir der Größenordnung des Problems nicht gerecht“, mahnt Ochs.

Einerseits sei zu lange auf die einzelnen Nutzerinnen und Nutzer geschaut worden, während nun immer deutlicher werde, dass die Probleme auf regulatorischer, politischer und institutioneller Ebene anzupacken seien. Andererseits zeige der Vorgang aber auch den großen Bedarf an besserer Aufklärung der Bürgerinnen und Bürger: „Es ist und bleibt eine zentrale Aufgabe, die Bevölkerung über das Missbrauchspotenzial von massenhaft verfügbaren Daten – und seien sie so unscheinbar wie ein Like auf Facebook – zu informieren“, ergänzt Krämer.

Plattformen sind keine neutrale Infrastruktur

Die Mitglieder des Forschungsverbunds „Forum Privatheit“ legen Wert auf die Feststellung, dass der Facebook-Datenskandal nicht das Problem eines einzelnen Anbieters oder Landes ist, sondern die sozialen Medien und das Internet insgesamt betrifft. „Das Wissen, dass diese Unternehmen generieren, birgt Steuerungspotentiale und damit gesellschaftliche und politische Macht. Wir müssen diese Machtfülle regulieren, so wie viele Länder ja auch über die Machtfülle von einzelnen Medienunternehmen wachen“, so der Rechtswissenschaftler und „Forum Privatheit“-Sprecher Prof. Dr. Alexander Roßnagel. Die „Forum Privatheit“-Mitglieder sind sich einig: Das Wohl und Wehe der Demokratie darf nicht der Internet-Industrie und Institutionen überlassen werden, die die geschaffene Infrastruktur digitaler sozialer Netzwerke für illegitime Beeinflussung missbrauchen. „Allen, die politische Verantwortung tragen, muss klar sein: Wenn sie die Manipulationsmöglichkeiten der Internet-Industrie weiterhin unreguliert anwachsen lassen, droht der Existenzgrundlage der Demokratien früher oder später selbst Gefahr“, fügt „Forum Privatheit“-Experte Prof. Dr. Thomas Hess, Wirtschaftsinformatiker der LMU München, hinzu. Dabei gelte es zu beachten, dass nicht nur Unternehmen wie Cambridge Analytica problematische Praktiken der Datenverarbeitung pflegten, sondern auch Social-Media-Plattformen oder Anbieter von Suchmaschinen selbst in die Verantwortung genommen werden müssen. „Facebook, YouTube oder Twitter können sich nicht mehr auf den Standpunkt zurückziehen, lediglich neutrale Infrastrukturen anzubieten ohne dafür verantwortlich zu sein, für welche Zwecke sie genutzt werden“, stellt der Verbraucherforscher und Soziologe Prof. Dr. Jörn Lamla vom „Forum Privatheit“ fest: „Sie müssten vielmehr selbst ein nachhaltiges Interesse daran haben, dass die ihnen überlassenen Daten unter demokratischer Kontrolle bleiben – sonst ist das Vertrauen und damit die Basis ihres Geschäfts weg.“

 Weitere Informationen zum Thema:

datensicherheit.de, 22.03.2018
Datenverarbeitung durch Cambridge Analytica: Facebook in der Verantwortung

datensicherheit.de, 08.03.2018
forum <privatheit>: Datenschutz als Basis der Innovationsförderung

datensicherheit.de, 03.03.2018
OVG Hamburg bestätigt Verbot des Datenaustauschs zwischen WhatsApp und facebook

[datensicherheit.de, 08.03.2018] Das forum <privatheit>, ein wissenschaftliches Expertengremium, hat nach eigenen Angaben die Aussagen des Koalitionsvertrags zur geplanten Gestaltung der Digitalisierung untersucht und seine Analyse unter dem Titel „Datenschutz stärken, Innovationen ermöglichen – Wie man den Koalitionsvertrag ausgestalten sollte“ zusammengefasst. Erläutert wird demnach, welche Maßnahmen nun folgen müssten, um die Ziele der Innovationsförderung und des Datenschutzes zu verbinden.

Der neue Koalitionsvertrag – ein Kompromiss…

Der Koalitionsvertrag zwischen CDU, CSU und SPD verspreche einen „neuen Aufbruch für Europa“, eine „neue Dynamik für Deutschland“ und einen „neuen Zusammenhalt für unser Land“…

Dazu wollten die Koalitionäre umfangreiche Modernisierungen anstoßen. Als politische Grundlage der „Großen Koalition“ sei der Koalitionsvertrag jedoch ein Kompromiss, der nur das konkret benenne, worauf sich die Koalitionäre inhaltlich einigen konnten. Vieles werde nur angedeutet, bleibe im Ungefähren und Abstrakten, kritisiert das forum <privatheit>.

Zweifel an Zukunftsfähigkeit und Effektivität der DSGVO

Die Koalition wolle laut Vertrag Innovationen und neue Dienste „ermöglichen und gleichzeitig den hohen und weltweit angesehenen Datenschutzstandard Europas und Deutschlands halten“. Hierzu möchte sie die 2020 anstehende Evaluierung der Datenschutz-Grundverordnung (DSGVO)durch die EU-Kommission intensiv begleiten und dabei alle Regelungen auf ihre „Zukunftsfähigkeit und Effektivität“ hin überprüfen.

„Dies ist auch dringend notwendig, weil es der Datenschutz-Grundverordnung gerade an Zukunftsfähigkeit und Effektivität mangelt“, erläutert Prof. Dr. Alexander Roßnagel, Sprecher des forum <privatheit> und Rechtswissenschaftler der Universität Kassel.

„Zukunftsfähigkeit fehlt ihr insofern, als sie keine der absehbaren Herausforderungen – wie etwa ,Big Data‘, Künstliche Intelligenz, selbstlernende Systeme, Suchmaschinen, Netzwerkplattformen, Kontexterfassung, Internet der Dinge – risikoadäquat regelt. Will sie zukunftsfähig sein, muss sie gerade die enormen Risiken, die von der Digitalisierung aller Lebensbereiche ausgehen, spezifisch regeln“, so Roßnagel.

Nur wenn sie gegenüber diesen Risiken Rechtssicherheit bietet, könne sie auch effektiv sein. Daher sollte die Bundesregierung auf risikogerechte Regelungen im europäischen Datenschutzrecht drängen und selbst im Rahmen der deutschen Regelungskompetenzen solche erlassen. Für den Schutz von Kommunikationsdaten im Rahmen der laufenden Verhandlungen zur Reform der „ePrivacy“-Gesetzgebung sollte die Bundesregierung die risikospezifischen und nutzerfreundlichen Vorschläge der EU-Kommission und des EU-Parlaments im Rat unterstützen.

Nutzervertrauen in Innovationen basiert auf Datenschutz

Das notwendige Nutzervertrauen in Innovationen setzt laut Roßnagel Datenschutz voraus:
Durch Systemgestaltung und Voreinstellungen, bessere Möglichkeiten, den Datenfluss zu kontrollieren, die Möglichkeit, eigene Daten auf andere Anbieter zu übertragen und den Schutz der Vertraulichkeit durch Verschlüsselung.

Diese Rechte seien auch gegenüber wirtschaftlich mächtigen Anbietern durchzusetzen, betont der Sprecher des Forums. „Datenportabilität und Interoperabilität von digitalen Plattformen sowie die Modernisierung des Wettbewerbsrechts können auch helfen, die Wettbewerbsfähigkeit deutscher und europäischer Plattformunternehmen zu stärken. Auch in diesem Zusammenhang sind Datenschutz und Nutzerrechte wettbewerbs- und innovationsfördernde Mittel.“

Persönlichkeitsrechte der Beschäftigten sicherstellen!

Die Koalition erkenne, „dass die Digitalisierung zahlreiche Vorteile für Unternehmen und Beschäftigte bietet, zugleich aber auch Überwachungsgefahren birgt“.

Um die Persönlichkeitsrechte der Beschäftigten sicherzustellen, sollte die Bundesregierung risikoadäquate Datenschutzregelungen für das Beschäftigungsverhältnis treffen. Hierzu gehörten u.a. Regelungen, die heimliche Kontrollen ebenso explizit ausschließen wie eine Dauerüberwachung und die Erstellung umfassender Bewegungsprofile. Bei der Nutzung mobiler Geräte sollten so viele Daten wie möglich unter Kontrolle der Beschäftigten bleiben.

Entscheidungsfreiheit der Betroffenen wahren!

Der Koalitionsvertrag sehe einen Rechtsrahmen für Autonomes Fahren („Smart Cars“) vor, der Datenschutz und Datensicherheit ebenso gewährleistet soll wie ein Höchstmaß an Verkehrs- und Datensicherheit. Dieser Rechtsrahmen müsse auch gewährleisten, dass die Betroffenen immer situationsadäquat darüber informiert sind, welche Daten überhaupt von wem verarbeitet werden. Ihnen sollten einfache Möglichkeiten zur Verfügung stehen, solchen Datenverarbeitungen zuzustimmen oder nicht. Dabei dürfe eine Nicht-Zustimmung nicht zu gravierenden Nachteilen führen.
„Wie bei ,Smart Cars‘ müssen im Rahmen von ,Smart Health‘ und ,Smart Cities‘ spezifische, risikoadäquate Regelungen für den Technikeinsatz vorgesehen werden“, unterstreicht Dr. Michael Friedewald, Wissenschaftler am Fraunhofer-Institut für System- und Innovationsforschung ISI und Koordinator des forum <privatheit>. Die Entscheidungsfreiheit der Betroffenen zu wahren sei der richtige Ansatz.

Einer risikospezifischen Regelung, die vor Missbrauch schützt, bedürften aber ebenso die vielen Gesundheitsdaten, die im Rahmen von freiwilligen Messverfahren für Körperfunktionen erhoben, (oft ins außereuropäische Ausland) übertragen und verarbeitet werden. Auch die Regelungen zur Energie- und Verkehrssteuerung in „Smart Cities“ müssten sicherstellen, dass dadurch keine neuen und vertieften Risiken für die Privatheit und Selbstbestimmung der Betroffenen, insbesondere durch Verhaltens- und Bewegungsprofile, entstehen.
„Besondere Aufmerksamkeit sollte auf die datenschutzgerechte Systemgestaltung durch angemessene Datenverarbeitungsarchitekturen und durch Maßnahmen zur Datensparsamkeit gelegt werden“, so Friedewalds Forderung.

Regelungsbedarf für Vermessung und Katalogisierung des Menschen

Zu begrüßen sei, dass der Koalitionsvertrag den Diskriminierungsverboten der „analogen Welt“ auch in der digitalen Welt zu Gültigkeit verhelfen wolle. Dies dürfe aber nicht auf den Verbraucherschutz allein beschränkt bleiben.
Vielmehr werde für die Verwendung von Algorithmen, Künstlicher Intelligenz und „Big Data“ sowie für die Vermessung und Katalogisierung des Menschen in allen Gesellschafts- und Wirtschaftsbereichen zu regeln sein, welche Bemessungskriterien und -verfahren zulässig und welche, wegen der Gefahr von Diskriminierung, unzulässig sind.

Fragen zur Machtkonzentration von Daten-Ethikkommission zu klären

Mögliche Abhilfe sehe der Koalitionsvertrag in einer Daten-Ethikkommission. Diese solle „innerhalb eines Jahres einen Entwicklungsrahmen für Datenpolitik, den Umgang mit Algorithmen, künstlicher Intelligenz und digitalen Innovationen“ vorschlagen.

Eine interdisziplinär besetzte, sachverständige und nicht nur Umsetzungsinteressen verpflichtete Kommission könnte einen Anstoß bieten für eine breite gesellschaftliche Debatte über eine verfassungs- und wertekonforme Gestaltung der Digitalisierung.

Allerdings sei zu berücksichtigen, dass die Frage nach dem adäquaten Umgang mit Algorithmen und Künstlicher Intelligenz untrennbar mit Fragen nach der Konzentration technologischer und wirtschaftlicher Macht durch wenige Digitalkonzerne verbunden sei – auch das sollte gesellschaftlich diskutiert werden.

Weitere Informationen zum Thema:

forum <privatheit>, März 2018
Policy Paper: DATENSCHUTZ STÄRKEN, INNOVATIONEN ERMÖGLICHEN / Wie man den Koalitionsvertrag ausgestalten sollte

datensicherheit.de, 12.02.2018
Themenkomplex IT-Sicherheit im Koalitionsvertragsentwurf

datensicherheit.de, 31.01.2018
Koalitionsvertrag: Digitalisierung und Informationssicherheit müssen politische Zielsetzungen sein

[datensicherheit.de, 03.04.2017] Sowohl Bundestag und als auch Bundesrat beraten derzeit über ein neues Bundesdatenschutzgesetz, das an die EU-Datenschutz-Grundverordnung angepasst und Anfang April 2017 verabschiedet werden soll. Um den Gesetzgeber zu unterstützen, haben Experten vom „Forum Privatheit“ konkrete Vorschläge zur Verbesserung des Gesetzentwurfs erarbeitet, die bei der Umsetzung der europäischen Datenschutz-Grundverordnung in Deutschland helfen sollen. Diese Vorschläge sollen in der Mai-Ausgabe 2017 der Fachzeitschrift „Datenschutz und Datensicherheit“ (DuD) erscheinen.

Unterstützende nationalstaatliche Regelungen erforderlich!

„Damit die europäische Datenschutzreform gelingt und die Datenschutz-Grundverordnung erfolgreich in Wirtschaft und Verwaltung umgesetzt werden kann, sind unterstützende nationalstaatliche Regelungen erforderlich. Dem wird der Entwurf des neuen Bundesdatenschutzgesetzes nicht gerecht“, so Prof. Alexander Roßnagel von der Universität Kassel, zugleich Sprecher des Forschungsverbundes „Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt“.

Vertragsverletzungsverfahren drohen

Die Regelungen zur erweiterten Videoüberwachung durch private Unternehmen und die Einschränkungen der Rechte der Betroffenen zugunsten privater Datenverarbeiter sollten aus dem Gesetzesentwurf gestrichen werden, fordert das „Forum Privatheit“. Diese verstießen gegen die Datenschutz-Grundverordnung und riskierten Vertragsverletzungsverfahren vor dem Europäischen Gerichtshof.
Ferner sollte wie bisher im Gesetz geregelt sein, wie der Verantwortliche seine Datenverarbeitungsprozesse zu organisieren hat, um Betroffenenrechten entsprechen zu können. Der vorgelegte Regierungsentwurf hingegen stelle die Rechte der Betroffenen (z.B. auf Auskunft oder auf Datenlöschung) unter den Vorbehalt, dass sie keinen „unverhältnismäßigen Aufwand“ verursachen und die „Geschäftszwecke nicht erheblich gefährden“. Damit läge es in der Hand des Datenverarbeiters, durch die Wahl seiner Geschäftszwecke und die Organisation seiner Datenverarbeitung Betroffenenrechte auszuschließen.

Software datenschutzgerecht gestalten!

Im Datenschutzrecht sollten Regelungen für Hersteller von IT-Anwendungen aufgenommen werden. „Nur wenn die Software es zulässt, kann der Datenverarbeiter seine datenschutzrechtlichen Pflichten erfüllen. Daher sind Anforderungen an Hersteller notwendig, ihre Software datenschutzgerecht zu gestalten“, erläutert Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein und Mitglied im Forum Privatheit.
Weiterhin schlägt das Forum Privatheit auch Konkretisierungen der neuen Verarbeiterpflichten zur datenschutzfreundlichen Gestaltung der Verarbeitungsprozesse und datensparsamer Voreinstellungen vor: Der „vielversprechende Ansatz der europäischen Datenschutz-Grundverordnung“ könne ohne diese Konkretisierungen nie Wirklichkeit werden, betont Hansen.

Ergänzende Anforderungen der Nichtverkettbarkeit und Intervenierbarkeit

Die Anforderungen an die Datensicherheit und an den technischen Datenschutz seien um die Anforderungen der Nichtverkettbarkeit und der Intervenierbarkeit zu ergänzen:

• Nichtverkettbarkeit solle sicherstellen, dass die von Internetnutzern hinterlassenen Datenspuren nicht zu einem Profil verknüpft werden können.
• Intervenierbarkeit solle gewährleisten, dass der Datenverarbeiter jederzeit in der Lage ist, die Rechte des Betroffenen auf Auskunft, Korrektur und Löschung seiner Daten umzusetzen.

Außerdem wären Schnittstellen zu Selbstdatenschutz-Tools zu schaffen.

Auch sollte das Gesetz die neuen, in der Verordnung nur unzureichend geregelten Vorgaben zur Datenschutz-Folgenabschätzung, zu Verhaltensregeln und zur Zertifizierung von Verarbeitungsvorgängen so präzisieren, dass sie in Deutschland rechtssicher umgesetzt werden können. So fehlten z.B. Regelungen, die die Rechtsfolgen dieser neuen Datenschutzinstrumente beschreiben.

Auf nicht gerechtfertigte Sonderregelungen verzichten!

Auf die nicht gerechtfertigten Sonderregelungen für die vollautomatisierte Bearbeitung von Vorgängen durch private Krankenversicherungen und für Big-Data-Anwendungen zur Markt- und Meinungsforschung in Form privater Statistiken sollte verzichtet werden, um die Akzeptanz des Gesetzes nicht zu gefährden.
Die bisherige Aufsicht der Datenschutzbehörden, die zu besonderer Verschwiegenheit verpflichtet seien, sollte beibehalten werden. Keinesfalls sollten aufsichtsfreie Datenverarbeitungen möglich sein, die es Arztpraxen, Krankenhäusern, Anwaltskanzleien, Steuerberatungsbüros und ähnlichen Berufsgeheimnisträgern erlauben würden, sich vollständig der Aufsicht durch die Datenschutzbehörden zu entziehen.

Foto: Sonja Rohde

Prof. Dr. Alexander Roßnagel: Datenschutz in Deutschland droht unter das Niveau des bisherigen Bundesdatenschutzgesetzes zu sinken!

Gesetzgebung in Deutschland mit Vorbildfunktion

„Ohne diese Nachbesserungen droht der künftige Datenschutz in Deutschland unter das Niveau des bisherigen Bundesdatenschutzgesetzes und der Datenschutz-Grundverordnung zu sinken“, warnt Roßnagel. Vielleicht könnten nicht alle Vorschläge in der verbleibenden kurzen Zeit bis zur Bundestagswahl umgesetzt werden. Sie müssten dann aber auf der Agenda für die neue Legislaturperiode stehen.
„Die Gesetzgebung in Deutschland hat Vorbildfunktion für viele andere Mitgliedstaaten in der Union“, ergänzt Hansen. Eine Absenkung des Datenschutzes in Deutschland drohe den Reformimpuls in ganz Europa zunichte zu machen.

Weitere Informationen zum Thema:

datensicherheit.de, 03.04.2017
Neue Studie: Einfache Wege zu mehr Privatheit