Kernpunkte:
- Europäische Datenschutzreform
- Fundament der Informationsgesellschaft
- Datenschutz neu denken
2 Datenschutz – global und national
2.1 Datenschutz aus Europa – erste Erfahrungen
2.1.1 Zusammenarbeit in Deutschland
Die Zusammenarbeit der Datenschutzaufsichtsbehörden in Deutschland wird primär durch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) geleitet. Vor einigen Jahren hat es noch ausgereicht, dass sich die Behördenleitungen zweimal im Jahr zusammensetzten und die wichtigen Themen besprachen, die in den Arbeitskreisen und Arbeitsgruppen vorbereitet worden waren. Mittlerweile sind es sechs oder sieben persönliche Treffen pro Jahr in großer Runde, vielfältige E-Mail-Abstimmungen und zusätzliche „Taskforces“ für spezielle Themen, damit die nötigen Entscheidungen möglichst schnell getroffen werden können.
Die Datenschutzkonferenz veröffentlicht nun zentral im eigenen Webauftritt die Entschließungen, Orientierungshilfen und weitere Informationen wie beispielsweise die abgestimmten Kurzpapiere zur DSGVO:
https://www.datenschutzkonferenz-online.de/
Sowohl der nationale als auch der europäische Rechtsrahmen erfordern eine Abstimmung der Aufsichtsbehörden im Sinne einer Rechtssicherheit. Bei der Gesetzgebung, die in die Zuständigkeit der Bundesländer fällt, wäre dies ebenfalls wünschenswert, stößt jedoch aufgrund der unterschiedlichen Detailregelungen an ihre Grenzen. Das betrifft nicht nur typische Landeszuständigkeiten wie Polizei oder Schule, sondern auch grundlegend die Umsetzung der DSGVO und der EU-Richtlinie 2016/680, die in den Bundesländern verschieden gehandhabt wurde.
2.1.2 Zusammenarbeit in Europa
Im Mai 2018 wurde die Artikel-29-Datenschutzgruppe mit Geltungserlangung und gleichzeitigem Außerkrafttreten der Datenschutzrichtlinie vom Europäischen Datenschutzausschuss (EDSA – englisch: European Data Protection Board, EDPB) abgelöst. Es handelt sich um eine Einrichtung der Union mit eigener Rechtspersönlichkeit, die aus den Leitern der Aufsichtsbehörden der Mitgliedstaaten und dem Europäischen Datenschutzbeauftragten oder ihren jeweiligen Vertretern besteht. Zu den Aufgaben des Ausschusses gehört – wie schon zuvor für die Artikel-29-Datenschutzgruppe – neben der Beratung der Kommission in datenschutzrechtlichen Fragen u. a. die Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren („guidelines, recommendations and best practices“). Im Rahmen der ersten Sitzung des Ausschusses hat der EDSA eine Reihe von Leitlinien der ehemaligen Artikel-29-Datenschutzgruppe mit Bezug zur DSGVO bestätigt und sich diese damit zu eigen gemacht.
Dem Ausschuss kommt entscheidende Bedeutung in Fällen der Zusammenarbeit und Kohärenz zu. In Angelegenheiten mit allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat haben Aufsichtsbehörden, die hierzu beabsichtigen, Maßnahmen zu erlassen, dem Ausschuss vorab entsprechende Beschlussentwürfe vorzulegen. Der Ausschuss gibt dann eine Stellungnahme ab, die mit einfacher Mehrheit der Mitglieder des Ausschusses angenommen werden kann.
Dieser Stellungnahme soll die vorlegende Aufsichtsbehörde weitestgehend Rechnung tragen. Beabsichtigt sie stattdessen, der Stellungnahme des Ausschusses insgesamt oder teilweise nicht zu folgen, ist dies dem Ausschuss mitzuteilen. Dieser erlässt dann im sogenannten Streitbeilegungsverfahren einen rechtsverbindlichen Beschluss, der grundsätzlich mit einer Zweidrittelmehrheit angenommen werden muss.
Auch bei sonstigen Angelegenheiten mit allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat besteht die Möglichkeit, eine Stellungnahme des Ausschusses einzuholen.
Die Vertretung der deutschen Aufsichtsbehörden im EDSA regelt das Bundesdatenschutzgesetz (BDSG ). Danach ist die oder der Bundesbeauftragte (gemeinsamer Vertreter) gemeinsamer Vertreter im Europäischen Datenschutzausschuss. Als Stellvertreterin oder Stellvertreter des gemeinsamen Vertreters wählt der Bundesrat eine Leiterin oder einen Leiter der Aufsichtsbehörde eines Landes (Stellvertreter).
Der EDSA unterhält, wie schon zuvor die Artikel-29-Datenschutzgruppe, eine Reihe an Arbeitsgruppen, die die Entscheidungen des EDSA vorbereiten. In mehreren dieser sogenannten Expert Subgroups ist das ULD als Vertretung der Bundesländer tätig. Dies sind die Key Provisions Expert Subgroup, die Technology Expert Subgroup und bis vor Kurzem auch die Enforcement Expert Group. Aufgabe der Ländervertretungen ist es unter anderem, die Auffassungen der Landesdatenschutzbehörden in die Expert Subgroups zu tragen und dort gemeinsam mit den Vertreterinnen und Vertretern der anderen mitgliedstaatlichen Aufsichtsbehörden Leitlinien und Empfehlungen zu erarbeiten.
Die ersten Leitlinien, die nach Geltungserlangung der DSGVO vom EDSA verabschiedet wurden, waren die „Guidelines 1/2018 on certification and identifying certification criteria“, bei denen das ULD als Berichterstatter (Rapporteur) fungiert hat. Gleiches gilt für die „EDPB Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)” (zur Zertifizierung siehe Tz. 9.1).
Bei der Erklärung des Europäischen Datenschutzausschusses zur Überarbeitung der E-Privacy-Verordnung und zu den Auswirkungen auf den Schutz der Privatsphäre von Personen im Hinblick auf die Geheimhaltung und die Vertraulichkeit ihrer Kommunikation war das ULD ebenfalls beteiligt (Tz. 11.2).
Neben der Koordination der Rechtsauffassungen unter den europäischen Aufsichtsbehörden bei der Erstellung von Leitlinien und Empfehlungen bedarf es unter Geltung der DSGVO stärker als zuvor einer Abstimmung bei der Fallbearbeitung von Beschwerden. In grenzüberschreitenden Fällen bedarf es der Koordination, welche Behörde das jeweilige Verfahren führt und welche anderen Behörden gegebenenfalls noch betroffen und daher am Verfahren zu beteiligen sind. Um diese Abstimmung vornehmen zu können, haben sich die europäischen Aufsichtsbehörden an das Binnenmarktinformationssystem der Europäischen Kommission angeschlossen, um die Abstimmungsprozesse dort durchzuführen.
2.2 Digitalisierung und Grundrechte
2.2.1 Informationelle Fremdbestimmung
Im Jahr 2017 haben wir unsere Sommerakademie dem Thema „Herausforderung ‚Informationelle Nichtbestimmung‘“ gewidmet. Schwerpunkt waren gesellschaftspolitische Fragen zur informationellen Selbstbestimmung, Fremdbestimmung und Nichtbestimmung. Basis der Debatte ist die Forderung des Datenschutzes, dass die Menschen keiner unkontrollierten Fremdbestimmung ausgesetzt werden. Daher ist das Recht auf informationelle Selbstbestimmung seit mehreren Jahrzehnten das Fundament des Datenschutzes in Deutschland. Nur: Was ist, wenn Menschen sich für eine „Nichtbestimmung“ entscheiden – weil sie Datenschutz nicht interessiert oder sie sich ohnmächtig fühlen angesichts einer Übermacht der Datenverarbeiter, die über die Regeln entscheiden? Und was passiert in der Welt des „Internet of Things“, wenn alle Geräte miteinander vernetzt sein können und sich austauschen, ohne Entscheidungen ihrer Nutzerinnen und Nutzer abzuwarten? Wenn Smart Homes und Smart Cars und ganze Smart Cities automatisch funktionieren und Verbesserungen im Komfort oder in der Sicherheit versprechen? Können Menschen dann noch eingreifen, oder sind sie zur Nichtbestimmung verdammt?
Viele Gründe könnten zu einer faktischen „informationellen Nichtbestimmung“ führen: Überlastung, Bequemlichkeit, zu hoher Aufwand, Hilflosigkeit oder Resignation. In der heutigen Realität ist „eingebauter Datenschutz“ leider keineswegs eine Selbstverständlichkeit, stattdessen sind Verkettbarkeit und Identifizierbarkeit in der Technik implementiert, gegen die sich Nutzende kaum wehren können (siehe auch Tz. 10.3 und Tz. 10.4). Zu kritisieren ist auch das Prinzip „Take it or leave it“ („Nimm es, wie es ist, oder lass es bleiben“), mit dem datenhungrige Apps auf dem Smartphone alle möglichen Zugriffsberechtigungen begehren. Oft kann man sich nicht ausreichend gegen zu weitgehende Zugriffe der Apps schützen.
Bei dieser Sommerakademie richtete sich der Blick einerseits auf die aktuelle Technikentwicklung, andererseits auf die zu diesem Zeitpunkt noch nicht geltende Datenschutz-Grundverordnung. Nichtbestimmung im Sinne eines Ausgeliefertseins entspricht nicht dem Menschenbild der aufgeklärten und demokratischen Gesellschaft. Alle Verantwortlichen müssen in ihrem jeweiligen Bereich dafür Sorge tragen, dass die datenschutzrechtlichen Anforderungen erfüllt sind. Das Herausstellen der Selbstbestimmung darf auch nicht dazu führen, dass nur noch diejenigen einen Schutz ihrer Persönlichkeitsrechte erhalten, die sich selbst darum kümmern. Es reicht selbstverständlich nicht aus, auf Möglichkeiten des Selbstdatenschutzes zu verweisen. Stattdessen spielen datenschutzfreundliche Voreinstellungen eine wesentliche Rolle („Data Protection by Default“), wie dies in Art. 25 Abs. 2 DSGVO gefordert ist (Tz. 2.3.2), die mit der DSGVO nun eingefordert werden können.
Was ist zu tun?
Informationelle Nichtbestimmung bedeutet Fremdbestimmung. Grundlage der Selbstbestimmung muss eine faire Gestaltung von Gesetzen, Standards, Prozessen und Informationstechnik sein.
2.2.2 Beschäftigtendatenschutz 4.0
Der Beschäftigtendatenschutz gehört zu den wichtigen Themen, die bereits seit Jahrzehnten immer wieder Aufmerksamkeit erlangen. Dies wird sich auch für die nahe Zukunft nicht ändern. Die Datenschutz-Grundverordnung lässt für diesen Bereich eigene Konkretisierungen der Mitgliedstaaten zu (Artikel 88 DSGVO). Aus diesem Grund hat die Sommerakademie 2018 die aktuellen Fragen und einen etwaigen Regelungsbedarf zum Thema „Update nötig: Beschäftigtendatenschutz im digitalen Zeitalter 4.0“ näher unter die Lupe genommen.
Besonders die Digitalisierung bringt neue Brisanz in den Beschäftigtendatenschutz. Denn ähnlich grundlegend wie die industrielle Revolution vor 200 Jahren wird sich die digitale Revolution unserer heutigen Zeit auswirken, wenn „intelligente“ Technik Einzug in Bewerbungsverfahren und Arbeitsplatzgestaltung hält: Eine automatische Auswertung der Stimme soll helfen, die geeigneten Personen für einen Job auszufiltern. Einige Arbeitgeber locken mit einem Bonus, wenn Fitness- und Schlafanalysetools einen gesunden Lebensstil unter Beweis stellen. Kontrolle und Tracking von Beschäftigten sollen zu mehr Leistung führen.
In Deutschland sind die Vorschriften für Datenschutz im Beschäftigtenkontext bislang recht mager. In Ermangelung eindeutiger Regelungen müssen die Grenzen der Überwachung von Beschäftigten in vielen Einzelfällen arbeitsgerichtlich geklärt werden. Dies bedeutet gleichzeitig, dass viele Sachverhalte nicht gerichtlich geklärt werden, weil die betroffenen Personen sich keinen zeitraubenden Gang durch die gerichtlichen Instanzen leisten wollen oder können. Auch endet der Großteil der Verfahren mit einem arbeitsgerichtlichen Vergleich, sodass die Grundfragen nicht entschieden werden. Aus diesem Grund spricht viel für ein Beschäftigtendatenschutzgesetz, das die Rechte und Pflichten der Arbeitgeber und der Beschäftigten rechtssicher festschreibt. Dazu gehört auch die Frage, unter welchen – stark eingeschränkten – Bedingungen von einer Freiwilligkeit einer Einwilligung der Beschäftigten ausgegangen werden kann und wo gar das Instrument der Einwilligung definitiv nicht infrage kommt.
Was ist zu tun?
Die Entwicklung eines
Beschäftigtendatenschutzgesetzes ist die Aufgabe des Bundesgesetzgebers. Im
täglichen Miteinander können sich Betriebs- und Personalräte für den Datenschutz
der Beschäftigten starkmachen und auch mit den jeweiligen
Datenschutzbeauftragten zusammenarbeiten. Zusätzlich besteht ein Bedarf im
Bereich der Technikentwicklung, damit Arbeitgebern faire und maßvolle
Kontrollmöglichkeiten an die Hand gegeben werden können, ohne dass die Beschäftigten
bei der Arbeit standardmäßig einer Vollüberwachung ausgesetzt sind.
2.2.3 Algorithmen und künstliche Intelligenz
In der öffentlichen Debatte über die Digitalisierung vieler Lebens- und Wirtschaftsbereiche wird zunehmend über neue Möglichkeiten und Gefahren des Einsatzes von Algorithmen und künstlicher Intelligenz (kurz KI) diskutiert. Diverse KI-Strategien werden erarbeitet und verfolgt und die ethischen Aspekte in unterschiedlichen Anwendungsszenarien beleuchtet.
Werden Systeme der künstlichen Intelligenz unter Verwendung personenbezogener Daten erstellt oder werden mit ihnen Entscheidungen getroffen, die natürliche Personen betreffen, so sind die datenschutzrechtlichen Anforderungen zu berücksichtigen. Auch für das Grundrecht auf Informationsfreiheit kann der Einsatz von KI-Systemen Auswirkungen haben. Daher beschäftigt sich das ULD im Austausch mit anderen intensiv mit den neuen Fragestellungen.
Vielfach werden die Begriffe dieses Themenbereichs unscharf verwendet, da es bisher noch kaum allgemein anerkannte Definitionen gibt. Von Bedeutung ist jedoch, dass KI-Systeme in Abgrenzung zu klassischen Algorithmen Regeln anwenden, die nicht explizit programmiert, sondern auf Grundlage des sogenannten maschinellen Lernens erstellt wurden. Oftmals ändern sich die „erlernten“ Regeln auch noch im Betrieb eines KI-Systems, sodass zwei identische Eingaben zu unterschiedlichen Zeitpunkten zu unterschiedlichen Ausgaben führen können.
Aufgrund dieser Dynamik und der Komplexität spricht man beim Einsatz von Methoden der künstlichen Intelligenz nicht von (einzelnen) Algorithmen, sondern von KI-Systemen, bei denen verschiedene algorithmische Strukturen zusammenwirken: beim Trainieren eines KI-Systems mit Trainingsdaten und/oder Eingaben im laufenden Betrieb, bei der Bewertung der Ergebnisse und bei der Anpassung aufgrund von Interaktionen mit der Außenwelt. Daten- und Algorithmenstrukturen sind nicht mehr unabhängig zu betrachten und verändern sich gegebenenfalls stetig.
Künstliche Intelligenz
„Wir verstehen ‚künstliche
Intelligenz‘ […] als Sammelbegriff für diejenigen Technologien und ihre
Anwendungen, die durch digitale Methoden auf
der Grundlage potenziell sehr großer und heterogener Datensätze in
einem komplexen und die menschliche Intelligenz gleichsam nachahmenden
maschinellen Verarbeitungsprozess ein Ergebnis ermitteln, das gegebenenfalls
automatisiert zur Anwendung gebracht wird. Die wichtigsten Grundlagen für KI
als Teilgebiet der Informatik sind die subsymbolische Mustererkennung, das
maschinelle Lernen, die computergerechte Wissensrepräsentation und die
Wissensverarbeitung, welche Methoden der heuristischen Suche, der Inferenz und
der Handlungsplanung umfasst.“
(Definition der Datenethikkommission)
Diese Eigenschaften werden oft damit zusammengefasst, dass KI-Systeme als „Blackbox“ zu betrachten sind, deren Berechnungswege nicht nachvollzogen werden können. Eine Verarbeitung personenbezogener Daten oder ein Einsatz mit Auswirkungen auf die Rechte und Freiheiten von betroffenen Personen ist unter dieser Voraussetzung in der Regel nicht zulässig. Und auch bei der Verarbeitung von nicht personenbezogenen Daten müssen KI-Systeme in der öffentlichen Verwaltung mit Blick auf das Grundrecht der Informationsfreiheit Auskunftsansprüche erfüllen. In der aktuellen Forschung werden nun erklärbare KI-Systeme entwickelt, die mehr Transparenz schaffen sollen.
Weitere Risiken für die Rechte und Freiheiten betroffener Personen können sich bei dem Einsatz von KI-Systemen beispielsweise ergeben, weil die Ergebnisse diskriminierend sein können, die Systeme manipuliert werden oder widerrechtlich Daten verarbeitet werden, wie z. B. Verhaltens- oder Bewegungsdaten.
Für die Entwicklung und den Einsatz von KI-Systemen gibt es in der DSGVO bereits wichtige rechtliche Vorgaben. Das ULD setzt sich mit diesen Fragestellungen in Vorträgen, Publikationen und den Gremien der Datenschutzkonferenz auseinander und begleitet engagiert die öffentliche Diskussion.
Auch aus Sicht der Informationsfreiheit ist Transparenz von Algorithmen und KI in verstärktem Maße notwendig:
https://www.datenschutzzentrum.de/artikel/1255-.html
Was ist zu tun?
Für den datenschutzkonformen Einsatz
von KI-Systemen gibt es gegenwärtig noch keine speziellen Standards oder
detaillierte Anforderungen an technische und organisatorische Maßnahmen. Die
Erkenntnisse in diesem Bereich zu mehren und Best-Practice-Beispiele zu
entwickeln, ist eine wichtige Aufgabe von Wirtschaft und Wissenschaft.
2.2.4 Informationsfreiheit „by Design“
Datenschutz „by Design“ ist eine Anforderung der DSGVO. Das Informationszugangsgesetz formuliert nicht unmittelbar eine ähnliche Gestaltungsanforderung. Dennoch gilt auch für den Bereich der Informationsfreiheit: Wenn von Anfang an bei der Konzeption von Prozessen und Informationstechnik die Anforderungen der Informationsfreiheit einfließen, profitieren die Anwender davon, weil sie in ihren Pflichten als informationspflichtige Stellen unterstützt werden. Zusätzlich fördert eingebaute Informationsfreiheit die Transparenz des Verwaltungshandelns für die Anfragenden. Außerdem lässt sich das Recht auf Informationszugang auf dieser Grundlage weiterentwickeln.
Informationsfreiheit „by Design“
Zu Informationsfreiheit „by Design“
zählt die Gesamtheit technischer und organisatorischer Instrumente unter
Berücksichtigung des Stands der Technik, die dazu dient, die
informationspflichtigen Stellen in Bund und Ländern bei der Erfüllung ihrer
Aufgaben im Bereich der Informationsfreiheit (einschließlich
Transparenzgesetzen) zu unterstützen.
Zurzeit erhält die Digitalisierung stärker Einzug in die Verwaltung, beispielsweise aufgrund des Onlinezugangsgesetzes. Dies ist eine gute Gelegenheit, Informationsfreiheitsanforderungen parallel zum Datenschutz zu implementieren.
Über die Grundsätze ordnungsgemäßer Aktenführung hinaus können informationspflichtige Stellen beispielsweise schon in ihrer Aktensystematik durch das Führen von Teilakten oder die Kennzeichnung sensibler Abschnitte bzw. Aktenteile eine schnellere Bearbeitung von Auskunftsersuchen erreichen. Technisch unterstützt werden kann der Ansatz mit einer Suchfunktion und mit Anwendungen, die für die Daten eine barrierefreie und maschinenlesbare digitale Veröffentlichung anbieten. Auch Methoden zur Anonymisierung oder zur Schwärzung sensibler Daten, die nicht herausgegeben werden dürfen, können zum Einsatz kommen – in diesem Fall sowohl im Sinne der Informationsfreiheit als auch des Datenschutzes.
Auch die Konferenz der Beauftragten für Informationsfreiheit des Bundes und der Länder beschäftigt sich mittlerweile mit dem Thema „Informationsfreiheit by Design“.
Was ist zu tun?
Alle, die Digitalisierung gestalten,
sollten sowohl Datenschutz als auch Informationsfreiheit von Anfang an berücksichtigen
und „by Design“ in die Prozesse und IT-Systeme einbauen.
2.3 Datenschutz durch Gestaltung
2.3.1 Datenschutz „by Design“ – schon in der Softwareentwicklung
Mit der Datenschutz-Grundverordnung (DSGVO) sind einige neue Verpflichtungen in den Fokus gerückt. Dazu gehört die neue Anforderung „Datenschutz durch Technikgestaltung“ bzw. „Data Protection by Design“. Diese Anforderung umfasst dabei fast alle Vorgaben der DSGVO, sodass eine Verfolgung des damit verbundenen Ansatzes eine strukturierte und organisierte Umsetzung verspricht.
Allerdings ist die Anforderung „Datenschutz durch Technikgestaltung“ in Artikel 25 der DSGVO nur allgemein formuliert und der Gesetzestext bietet zu wenig Orientierung für die Praxis. Hinzu kommt die besondere Konstellation, dass die Anforderung an die Verantwortlichen einer Verarbeitung personenbezogener Daten gerichtet ist und nicht an die Entwicklerinnen und Entwickler von Software.
Vor diesem Hintergrund hat das ULD mit dem Kompetenzverbund Software Systems Engineering (KoSSE) und dem Clustermanagement Digitale Wirtschaft Schleswig-Holstein (DiWiSH) einen Workshop für Interessierte aus Unternehmen, Verwaltungen und Hochschulen angeboten, in welchem über die neue Anforderung diskutiert werden konnte.
KoSSE
Der Kompetenzverbund Software
Systems Engineering besteht aus mehreren Verbundprojekten
zwischen Wirtschaft und Wissenschaft, die durch den Transfer von Forschungs-
und Entwicklungsergebnissen in marktfähige Produkte die beteiligten Unternehmen
stärken. Die Sprecher des Verbunds sind zwei Professoren an den Universitäten
zu Kiel und zu Lübeck.
Unter dem Titel „Wie baut man Datenschutz in Software ein?“ haben hochkarätige Vortragende aus unterschiedlichen Perspektiven über den aktuellen Stand der Forschung und praktische Lösungsansätze informiert. Dazu gehört auch eine Softwareunterstützung zur Umsetzung des Standard-Datenschutzmodells, an dem die Universität Hamburg forscht. Die Diskussionen im und am Rande des Workshops haben gezeigt, dass es einige offene Fragen gibt und das Interesse an einem weiteren Austausch in einem ähnlichen Format sehr groß ist.
Die Vortragsfolien und ein Graphical Recording des Workshops sind unter dem folgenden Link abrufbar:
https://www.datenschutzzentrum.de/artikel/1266-.html
Was ist zu tun?
Es gibt noch nicht viele praktische
Erfahrungen bei der Umsetzung der Anforderung „Datenschutz durch
Technikgestaltung“. Forschungsprojekte von Hochschulen und Unternehmen, mit
denen Werkzeuge entwickelt oder Best-Practice-Beispiele geschaffen werden,
sollten unterstützt werden. Der Austausch von Forschung, Wirtschaft und
Aufsichtsbehörden soll fortgeführt werden.
2.3.2 Die Macht von Datenschutz „by Default“
Die Vorschriften in der DSGVO zur Technikgestaltung beginnen mit „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen [...]“ – das sind also die Vorbedingungen, die Kriterien, die der Verantwortliche in die Abwägung einbeziehen muss, um die geeigneten technischen und organisatorischen Maßnahmen für technischen Datenschutz auszuwählen und zu implementieren. Jede Abwägung bezieht sich auf den individuellen Einzelfall. Jeder Verantwortliche mag die Kriterien unterschiedlich auslegen, solange es noch keine verbindlichen Aussagen dazu gibt. Dies könnte dazu führen, dass die Vorschrift zu Datenschutz durch Technikgestaltung noch einige Zeit lang zu wenig in der Praxis umgesetzt wird.
Ganz anders ist dagegen Art. 25 Abs. 2 DSGVO aufgebaut: Keine Kriterien für eine Abwägung, sondern ganz direkt die Forderung, dass der Verantwortliche die Maßnahmen für datenschutzfreundliche Voreinstellungen trifft.
Art. 25 Abs. 2 Satz 1 DSGVO
Der Verantwortliche trifft geeignete
technische und organisatorische Maßnahmen, die sicherstellen, dass durch
Voreinstellung grundsätzlich*) nur personenbezogene Daten, deren
Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich
ist, verarbeitet werden.
*) Zunächst ein Fehler in der
deutschen Sprachversion; im Corrigendum vom
19. April 2018 wurde der Begriff „grundsätzlich“ aus dem DSGVO-Text
gelöscht.
Dies ist zwar nicht überraschend, weil Art. 25 Abs. 2 DSGVO ohnehin nur das Erforderlichkeitsprinzip betont, die in den Datenschutzgrundsätzen Datenminimierung und Speicherbegrenzung enthalten sind. Aber angesichts der Realität, in der datenschutzfreundliche Voreinstellungen, Datenminimierung und Speicherbegrenzung nicht der Standard sind, ist dies doch eine beinahe revolutionäre Regelung.
Art. 25 Abs. 2 Satz 2 DSGVO konkretisiert, worauf sich die Anforderung bezieht: auf „die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit“. Das bedeutet u. a.: Es dürfen von Anfang an nicht mehr Daten erhoben, gespeichert oder anders verarbeitet werden als für den Zweck erforderlich. Auch die Verarbeitungsarten müssen auf das für den Zweck notwendige Maß beschränkt sein. Die Daten dürfen nicht länger als nötig gespeichert sein. Und bei der Zugänglichkeit der Daten muss ebenfalls minimiert werden – das kann z. B. die Speicherung von unverschlüsselten Daten in einer Cloud ausschließen, wenn eine lokale Verarbeitung mit weniger Zugänglichkeit (nämlich nur für die betroffene Person selbst) ausreicht. Auch ein Aussenden von Daten, wie dies bei vernetzten Autos der Fall ist, muss als Voreinstellung in der Zugänglichkeit beschränkt sein, solange dies für den Zweck ausreicht.
Für Entwicklerinnen und Entwickler ist die „Datenschutz by Default“-Anforderung neu. Bisher wurden die Voreinstellungen vielfach anders gewählt, sodass erheblicher Nachbesserungsbedarf in der heutigen Informationstechnik besteht.
Was ist zu tun?
Die Verantwortlichen müssen die
Anforderung „Datenschutz by Default“ ernst nehmen und in ihrem
Verantwortungsbereich darauf hinwirken, dass tatsächlich datenschutzfreundliche
Voreinstellungen Startpunkt einer jeden Verarbeitung werden.
2.3.3 Anforderungen und Standards der Pseudonymisierung
Die DSGVO nennt einige konkrete Maßnahmen für den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen. Eine dieser Maßnahmen ist die Pseudonymisierung, die als einzige mit einer Begriffsbestimmung (Art. 4 Nr. 5 DSGVO) hervorgehoben wird. Pseudonymisierung kann als datenschutzfördernde Maßnahme dienen, indem die Identität eines Individuums in einem spezifischen Zusammenhang verborgen wird.
Pseudonymisierung
Pseudonymisierung ist gemäß
Art. 4 Nr. 5 DSGVO eine Verarbeitung von personenbezogenen Daten,
bei der das Resultat ohne Hinzuziehen von zusätzlichen Informationen nicht
mehr einer spezifischen Person zugeordnet werden kann. Nur diese zusätzlichen
Informationen ermöglichen es, die pseudonymisierten Daten einem Individuum
zuzuordnen – beispielsweise in Form einer Tabelle oder Berechnungsfunktion.
Ein konkretes Beispiel ist die Verwendung von Patienten- und Kontrollnummern
(anstelle von Namen) im Krebsregister
des Landes Schleswig-Holstein (vgl. dazu
§ 5 Krebsregistergesetz – KRG SH).
Im Detail gibt es eine Reihe von Voraussetzungen, die ein rechtssicheres Pseudonymisierungsverfahren erfüllen muss, z. B. hinsichtlich der rechtlichen Zulässigkeit, der Betroffeneninformation oder der Regelungen für die Zuordnung pseudonymisierter Daten zu Personen. Darüber hinaus bestehen technische und organisatorische Anforderungen für eine geeignete Pseudonymisierung.
Mit diesen Fragestellungen beschäftigt sich die Fokusgruppe Datenschutz der Plattform Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft im Rahmen des Digital-Gipfels der Bundesregierung. In dieser Gruppe arbeiten Vertreterinnen und Vertreter von Unternehmen, aus Hochschulen, von Unternehmensverbänden und zivilgesellschaftlichen Institutionen an gemeinsamen Positionen. Als Datenschutzaufsichtsbehörden sind der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit sowie das ULD vertreten.
Im Jahr 2017 hat die Fokusgruppe bereits ein viel beachtetes „Whitepaper zur Pseudonymisierung“ veröffentlicht, anlässlich des Digital-Gipfels im Dezember 2018 ist ein Arbeitspapier der Fokusgruppe erschienen, in welchem die „Anforderungen an den datenschutzkonformen Einsatz von Pseudonymisierungslösungen“ umrissen werden. Es ist unter folgendem Link abrufbar:
Die Fokusgruppe Datenschutz will sich in einem nächsten Schritt mit der Standardisierung von Pseudonymisierungsverfahren beschäftigen.
Was ist zu tun?
Die Arbeit zur Standardisierung von
Pseudonymisierungsverfahren soll fortgesetzt werden. Best-Practice-Beispiele
können den praktischen Nutzen bei gleichzeitiger Eindämmung des Risikos für die
betroffenen Personen zeigen.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |