[datensicherheit.de, 15.05.2024] Die Datenschutzkonferenz (DSK), d.h. die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, ist nach eigenen Angaben am 14. und 15. Mai 2024 zur 107. Sitzung in Bremerhaven zusammengetreten. „In intensiven Diskussionen wurden zahlreiche Datenschutzfragen erörtert, beispielsweise zu den Themen Regelungslücken im Umgang mit Patientendaten bei Schließung von Krankenhäusern, Anforderungen an die Sekundärnutzung genetischer Daten sowie zur Weiterentwicklung des Standard-Datenschutzmodells.“ Ab dem 16. Mai 2024 ist demnach der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Alexander Roßnagel, der Vorsitzende der DSK.

Landesbeauftragte für Datenschutz Schleswig-Holstein übergab Staffelstab an Hessen

Eine Besonderheit habe diesmal darin bestanden, „dass diese Tagung in Bremerhaven logistisch von der Dienststelle der Landesbeauftragten für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen ausgerichtet wurde, doch der Vorsitz bis zum 15.05.2024 und damit auch die Konferenzleitung noch einmal von der DSK-Vorsitzenden des Jahres 2023, der Landesbeauftragten für Datenschutz Schleswig-Holstein, Dr. h.c. Marit Hansen, ausgeübt wurde“.

Am Ende der 107. Sitzung gehe der Vorsitz nun bis zum Jahresende 2024 an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit, Prof. Dr. Alexander Roßnagel, über.

Erfolge bei Umsetzung des Anspruchs auf einheitliche Anwendung des Datenschutzrechts

Dr. Hansen habe ihr verlängertes Vorsitzjahr mit positivem Ergebnis abgeschlossen: „Die Zusammenarbeit in der Datenschutzkonferenz hat sich bewährt, um eine einheitliche Anwendung des Datenschutzrechts zu erreichen.“

Für die Zukunft hält sie allerdings eine Geschäftsstelle für nötig, um als organisatorisches Fundament zu dienen „Die Erwartungen, die von uns selbst, aber auch von anderen an die Datenschutzkonferenz gestellt werden, sind jedes Jahr gestiegen. Um dieser Situation gerecht zu werden, brauchen wir eine Geschäftsstelle. Ich verspreche mir davon eine verbesserte Vollzugssteuerung und Entbürokratisierung.“

Forderung zur Etablierung einer festen Geschäftsstelle für die Datenschutzkonferenz erneuert

Ein Beispiel für eine Vereinfachung, welche den Verantwortlichen helfen würde, sei der DSK-Vorschlag, dass die Geschäftsstelle mit einer einheitlichen technischen Plattform für alle 17 Aufsichtsbehörden der Länder und des Bundes Meldungen von Datenschutzverletzungen nach Art. 33 DSGVO und Meldungen von Datenschutzbeauftragten nach Art. 37 Abs. 2 DSGVO entgegennehmen könnte.

Drei bei diesem Treffen beschlossene Dokumente sollen in Kürze auf der DSK-Website bereitgestellt werden:

• Entschließung „Besserer Schutz von Patientendaten bei Schließung von Krankenhäusern“
• Positionspapier „Anforderungen an die Sekundärnutzung von genetischen Daten zu Forschungszwecken“
• Das Standard-Datenschutzmodell in der Version 3.1

Weitere Informationen zum Thema:

DSK
DATENSCHUTZKONFERENZ

datenschutz.hessen.de
Der HBDI / Prof. Dr. Alexander Roßnagel

datensicherheit.de, 06.05.2024
DSK-Orientierungshilfe für Unternehmen und Behörden zum datenschutzkonformen KI-Einsatz / Die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ richtet sich an Unternehmen, Behörden und andere Organisationen

[datensicherheit.de, 08.06.2023] In ihrer aktuellen Meldung berichtet die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) über einheitliche Regeln für Datenschutzbußgelder in Europa: Der Europäische Datenschutzausschuss (EDSA) hat demnach in seiner Sitzung vom 24. Mai 2023 die „endgültigen Leitlinien zur Bußgeldzumessung“ nach einer öffentlichen Konsultation angenommen. Damit erfolge die Bußgeldpraxis der Datenschutzaufsichtsbehörden in Europa nun nach einheitlichen Maßstäben. Als Repräsentantinnen der deutschen Datenschutzaufsicht seien auf europäischer Ebene die Datenschutzaufsichtsbehörden Berlins, Hessens und des Bundes beteiligt gewesen.

Europäische Aufsichtsbehörden dürfen bei Verstößen gegen Datenschutz-Grundverordnung Bußgelder erlassen

„Die europäischen Aufsichtsbehörden dürfen bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) Bußgelder erlassen.“ Diese könnten bis zu 20 Millionen Euro oder bei Unternehmen bis zu vier Prozent des weltweiten Jahresumsatzes betragen. Mit den nun verabschiedeten Leitlinien zur Bußgeldzumessung werde die Anwendung der gesetzlichen Vorgaben europaweit harmonisiert. Hierfür sähen die Leitlinien ein aus fünf Schritten bestehendes Zumessungsverfahren vor, welches insbesondere die Art und Schwere der Verstöße sowie den Umsatz der betreffenden Unternehmen berücksichtige.

Zuvor hätten bereits die deutschen Aufsichtsbehörden mit dem nunmehr abgelösten Bußgeldkonzept der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Ende 2019 gezeigt, dass auch in einem föderalen Aufsichtssystem eine Vereinheitlichung der Bußgeldpraxis möglich sei.

Vorgehen der Aufsichtsbehörden bei Sanktionierung von Datenschutzverstößen nun transparenter

„Durch die europäischen Leitlinien zur Bußgeldzumessung wird das Vorgehen der Aufsichtsbehörden bei der Sanktionierung von Datenschutzverstößen transparenter“, betont Meike Kamp, die BlnBDI: Dieses Fünf-Schritte-Verfahren gebe klare Regeln für die Zumessung von Geldbußen vor und trage somit zu einem nachvollziehbareren Verwaltungshandeln bei.

„Ich freue mich, dass die Berliner Datenschutzbehörde dieses Konzept entscheidend mitgeprägt und damit einen wichtigen Beitrag zu einer weiteren Harmonisierung der europäischen Bußgeldpraxis geleistet hat“, so Kamp.

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit: Entscheidung, auf die sehr viele Stellen schon lange mit Spannung gewartet haben

Prof. Dr. Alexander Roßnagel, der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), kommentiert: „Mit der Verabschiedung der Bußgeldleitlinien findet ein intensiver Austausch zwischen den Mitgliedstaaten zu einem wohl abgewogenen Kompromiss. Dieser trägt zum einen den unterschiedlichen Rechtstraditionen in den EU-Mitgliedstaaten Rechnung und leistet zum anderen einen grundlegenden und lang erwarteten Beitrag zur Harmonisierung der Bußgeldzumessung.“ Mithin werde nun die erforderliche Transparenz der Bußzumessung gewährleistet, welche der immensen Höhe der Bußgelder Rechnung trage.

Schließlich führt Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), zu dem Ergebnis aus: „Eine Entscheidung, auf die sehr viele Stellen schon lange mit Spannung gewartet haben. Historisch haben wir nun erstmals eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedsstaaten.“ Die Leitlinien seien damit der konsequente nächste Schritt in der europäischen Integration und könnten künftig auch Vorbild und Orientierung für die Durchsetzung anderer EU-Gesetze sein.

Weitere Informationen zum Thema:

edpb European Data Protection Board, 24.05.2023
Guidelines 04/2022 on the calculation of administrative fines under the GDPR

[datensicherheit.de, 02.10.2020] Als Ergebnis einer eigenen Evaluation der Datenschutz-Grundverordnung (DSGVO) schlägt der Sprecher des „Forum Privatheit“, Prof. Dr. Alexander Roßnagel, 33 konkrete Verbesserungen des Verordnungstextes vor.

Foto: Forum Privatheit

Prof. Dr. Alexander Roßnagel: Kleingärtner- oder Sportvereine haben dieselben Datenschutzanforderungen wie globale Großkonzerne

DSGVO sieht selbst ihre eigene regelmäßige Evaluation vor

Die DSGVO sehe selbst ihre eigene regelmäßige Evaluation vor. Vier Jahre nach Inkrafttreten und zwei Jahre nach Geltungsbeginn habe die EU-Kommission im Juni 2020 ihren ersten Evaluationsbericht vorgelegt. In diesem gehe sie aber nicht auf Schwachstellen und Verbesserungsvorschläge ein, sondern befasse sich allein mit der Umsetzung der DSGVO in der Praxis. Damit ignoriere sie die vielen Vorschläge zur Verbesserung von Mitgliedstaaten, Unionsorganen und aus der Zivilgesellschaft.
Rechtswissenschaftler des Forschungsverbunds „Forum Privatheit“ haben nach eigenen Angaben ebenfalls die Defizite der Verordnung evaluiert und machen in ihrem Buch „Datenschutz-Grundverordnung verbessern“ demnach 33 leicht umsetzbare Vorschläge, wie die DSGVO – vor allem für die Bürger – mit kleinen Änderungen nachhaltig verbessert werden kann. Das Buch könne als „Open Access E-Book“ kostenlos heruntergeladen werden.

DSGVO: Seit Inkrafttreten hat Digitalisierung in der Verarbeitung personenbezogener Daten viel verändert

Obwohl die DSGVO erst seit gut zwei Jahren angewendet werde, seien bereits zehn Jahre seit ihrem Entwurf vergangen. Seitdem habe sich durch die Digitalisierung in der Verarbeitung personenbezogener Daten viel verändert. „Die Nutzung digitaler Plattformen im Internet sowie das Eindringen der Datenverarbeitung in alle Lebensbereiche durch Smartphones und durch das Internet der Dinge haben den Umfang der Verarbeitung personenbezogener Daten stark wachsen lassen“, erläutert Professor Roßnagel, Sprecher des Forschungsverbunds und Professor für Technikrecht an der Universität Kassel.
Technologien wie „Big Data“ und Künstliche Intelligenz (KI) führten zu einer zunehmenden „Machtasymmetrie zwischen großen datenverarbeitenden Unternehmen und den Menschen, deren Daten verarbeitet werden“. Hierauf habe die DSGVO leider bisher noch keine angemessene Antwort. Denn die DSGVO sei bezogen auf Datenschutzgrundsätze, die Zulässigkeit von Datenverarbeitung und die Rechte von betroffenen Personen risikoneutral. Neutralität möge an anderer Stelle sinnvoll sein. Professor Roßnagel: „Hier aber führt es dazu, dass Kleingärtner- oder Sportvereine denselben Datenschutzanforderungen unterliegen wie globale Großkonzerne, die über eine weitaus höhere Datenverarbeitungsmacht verfügen und damit natürlich auch für die Grundrechte der einzelnen Menschen ein höheres Risiko darstellen.“

Grundrechte und Freiheiten könnten durch DSGVO-Verbesserungen gestärkt werden

Aber nicht nur dieses konzeptionelle Manko der DSGVO falle bei ihrer Evaluation auf. Es seien auch viele kleine Regelungslücken, Unklarheiten, Wertungswidersprüche, handwerkliche Fehler und Überregulierungen, die dringend behoben werden müssten. „Das Regelwerk enthält viele Kompromisse und ist oft zu abstrakt. Beides führt zu Rechtsunsicherheit, Akzeptanzproblemen, Vollzugshemmnissen, Handlungsbarrieren und Investitionshindernissen“, kritisiert Professor Roßnagel.
Laut Dr. Christian Geminn, Mag. iur., Rechtswissenschaftler an der Universität Kassel und Ko-Autor des Buches, seien Verbesserungen „zum Teil mit wenigen Änderungen im Wortlaut des Gesetzestextes möglich. Dadurch können sowohl die Effizienz und die Effektivität des Grundrechtsschutzes gesteigert wie auch die Akzeptanz des Datenschutzes erhöht werden“. Auch die innovativen Elemente der DSGVO wie Datenschutz durch Technikgestaltung, datenschutzfreundliche Voreinstellungen, Zertifizierung oder Datenschutz-Folgenabschätzung würden durch die vorgeschlagenen Konkretisierungen gewinnen. Bei anderen Elementen der Verordnung wie dem Recht auf Datenübertragung, das ursprünglich als Maßnahme zur Machtbegrenzung der großen Datenkonzerne gedacht gewesen sei, seien ebenfalls Verbesserungen sinnvoll.

Buch analysiert DSGVO vor dem Hintergrund der mehr als zweijährigen Anwendung in der Praxis

Das Buch analysiere die DSGVO vor dem Hintergrund der mehr als zweijährigen Anwendung in der Praxis, bewerte sie – vor allem aus Bürger- und Verbrauchersicht – und leite daraus 33 konkrete Verbesserungsvorschläge ab, die ermöglichten, die Ziele der Verordnung besser zu erreichen und ihre Akzeptanz zu stärken.
Ein Beispiel: „Um bei jeder Erhebung von Daten, die auch für Profiling genutzt werden sollen, die betroffene Person ausreichend über dieses zusätzliche Risiko der Datenverarbeitung zu informieren, sollten die Artikel 13 und 14 entsprechend ergänzt werden.“

Notwendige Diskussion zur Fortentwicklung der DSGVO

Die in diesem Buch präsentierten Analysen, Bewertungen und Vorschläge sollten dazu beitragen, Argumente für die notwendige Diskussion zur Fortentwicklung des Datenschutzrechts in der Europäischen Union zu liefern. Ferner solle das Buch aufzeigen, wie Grundrechte und Freiheiten in der digitalen Welt besser gefördert und geschützt werden könnten:

Roßnagel, Alexander und Christian Geminn
„Datenschutz-Grundverordnung verbessern: Änderungsvorschläge aus Verbrauchersicht“
Nomos, Baden-Baden, 2020
ISBN print: 978-3-8487-7706-8, ISBN online: 978-3-7489-2099-1

Weitere Informationen zum Thema:

Nomos eLibrary
Alexander Roßnagel, Christian Geminn: Datenschutz-Grundverordnung verbessern / Änderungsvorschläge aus Verbrauchersicht

datensicherheit.de, 23.03.2018
forum <privatheit>: Demokratie nicht einzelnen Internet-Unternehmen überlassen

[datensicherheit.de, 06.12.2019] Der Forschungsverbund „Forum Privatheit“ warnt davor, dass neue Technologien zunehmend Daten auch jüngerer Kinder sammeln – ohne dass die Kinder dem zugestimmt haben. Denn zum einen seien sie gar nicht in der Lage, dies zu tun – „da die Einwilligungstexte meist so geschrieben sind, dass die wenigsten Erwachsenen sie verstehen“. Zum anderen seien die Kinder meist zu jung, um die Folgen ihres digitalen Handelns abschätzen zu können. Dennoch nutzten sie die neuen Technologien – und seien so der „Datafizierung ihres Lebens“ – meist unwissentlich – ausgesetzt. Hierzu seien auf der Jahreskonferenz des Forschungsverbunds „Forum Privatheit“ Ende November 2019 konkrete Lösungsvorschläge diskutiert worden.

Aufwachsen in überwachten Umgebungen in der Diskussion

„Ein Geheimnis würde ich eher meinen Eltern oder meinen Freunden anvertrauen als ,Siri‘. Auf die Freunde kann man sich verlassen, auf ,Siri‘ nicht.“ – mit diesem Satz eines Zehnjährigen hat der Forschungsverbund „Forum Privatheit“ nach eigenen Angaben seine Jahreskonferenz „Aufwachsen in überwachten Umgebungen – Wie lässt sich Datenschutz in Schule und Kinderzimmer umsetzen?“ eröffnet.
Diese Äußerung verdeutliche, dass Kinder sich zwar mancher Risiken bestimmter Technologien bewusst seien – sie könnten jedoch gegenwärtig nicht mehr tun, als sich selbst von deren Nutzung auszuschließen, wenn sie sich schützen wollen.

Kinderdatenschutz: Konkrete Vorschläge zur verbesserten DSGVO-Umsetzung

Auch der Einsatz von Bildungssoftware an Schulen sollte mit Augenmaß betrieben werden: „Individuelles Lernen mittels Software ermöglicht zwar einerseits gute Fortschritte, aber durch deren Nutzung werden auch viele Daten über die Schülerinnen und Schüler erhoben, über Intelligenz, soziales Umfeld – und Daten können missbraucht werden“, warnt Dr. Herbert Zeisel vom Bundesministerium für Bildung und Forschung (BMBF). Deutschland wolle eine technische Umgebung, „die uns einen souveränen Umgang mit unseren Daten garantiert“, so Dr. Zeisel.
Um dies zu erreichen und die rechtlichen Rahmenbedingungen zu verbessern, stellte Prof. Alexander Roßnagel, Sprecher des „Forum Privatheit“, nach eigenen Angaben acht Vorschläge vor, um die EU-Datenschutzgrundverordnung (DSGVO) im Geiste der UN-Kinderrechtskonvention weiterzuentwickeln. So forderte er demnach unter anderem eine verbindliche Vorschrift, dass Daten von Kindern nicht für Persönlichkeitsprofile genutzt werden dürfen, sowie dass bei Technologien, die von Kindern genutzt werden, eine datenschutzfreundliche Voreinstellung vorzusehen ist. Wenn Daten von Kindern verarbeitet werden sollen, sollte dies bereits bei Umsetzung der Vorgabe „Privacy by design“ besonders berücksichtigt werden. Weiterhin sollte es für Kinder nicht mehr möglich sein, in die Verarbeitung von besonders schützenswerten Daten einzuwilligen, da sich Kindern über die Folgen dieser Einwilligung kaum bewusst seien. Diese Punkte sollten bei der Evaluierung der DSGVO bis Mai 2020 berücksichtigt und diese in diesem Sinne weiterentwickelt werden.

Für ein Verbot nutzungsbasierten Trackings von Minderjährigen

Vor einer „normalisierten Gesellschaft“, in welcher Individuen durch Algorithmen vereinheitlicht würden, warnte der Jurist Dr. Stephan Dreyer vom Leibniz-Institut für Medienforschung. Viele rechtliche Regelungen zum Kinderschutz sehe er durch die Entwicklung und Verbreitung neuer Technologien faktisch in Frage gestellt und fordere eine Neuinterpretation des Freiheitsbegriffs im Sinne eines Konzepts informationeller Unversehrtheit:
„Wir brauchen einen digitalen Schutzraum für Kinder“, sagt Dr. Dreyer. Hierfür sehe er vor allem den Gesetzgeber in der Pflicht, bestimmte Technologien zu verbieten, so z.B. nutzungsbasiertes Tracking von Minderjährigen sowie die Nutzung prädiktiver Verfahren – also das Sammeln von Daten, um daraus Vorhersagen abzuleiten – bei Kindern und Jugendlichen. Schließlich seien auch Angebote zu schaffen bzw. auszuweiten, die Kinder und Jugendliche bei der Durchsetzung ihrer Privatheit unterstützen.

Regulatorisch Bedingungen dafür schaffen, dass trotz Nutzung neuer Technologien Privatsphäre gewahrt bleibt

Die Vorträge zum Stand der empirisch-sozialwissenschaftlichen Forschung habe die Medienpsychologin Prof. Nicole Krämer von der Universität Duisburg-Essen zusammengefasst: „Bislang haben wir nur erste Hinweise darauf, wie gut Kinder verschiedener Altersstufen die Gefahren verstehen können, die mit der Sammlung und Speicherung ihrer Daten einhergehen.“
Auch die britische Sozialpsychologin Sonia Livingstone von der London School of Economics and Political Science, habe festgestellt, dass es bislang eine ungenügende Datengrundlage gebe, um zu entscheiden, ab welchem Alter Kinder wirklich „informiert“ und „selbstbestimmt“ Social-Media-Plattformen und Messenger-Dienste nutzen könnten. Ihre Forschungsergebnisse zeigten auch, dass Kinder zwar oft noch keine genaue Vorstellung davon hätten, dass und warum ihre Daten zu kommerziellen Zwecken gesammelt würden, dass sie aber den Wunsch hätten, besser aufgeklärt und auch geschützt zu werden. Vor allem habe sie darauf hingewiesen, dass die Gesellschaft nicht erst Technologien in die Welt bringen und dann den Kindern und Jugendlichen deren Nutzung verbieten könne, um sie vor den Gefahren zu schützen. Vielmehr müssten regulatorisch die Bedingungen dafür geschaffen werden, dass trotz der Nutzung von Technologien die Privatsphäre gewahrt bliebe.

Minderjährige gar nicht erst an überwachten Alltag gewöhnen

Die Tagung habe deutlich gemacht, dass das gesellschaftliche Interesse an kritischen Fragen zur Überwachung von Kindern und Jugendlichen groß sei, vor allem aber auch, wie hoch die gesellschaftliche Relevanz des Themas sei. Kinder und Jugendliche sollten und wollten sich nicht an einen überwachten (Schul-)Alltag gewöhnen. Die Institution Schule als Lernort für Demokratie und freie Meinungsbildung müsse nach geeigneten Wegen suchen, innerschulischen Datenschutz durch innovative Lösungen und eine umfassende Strategie umzusetzen.
Lehrer und Eltern müssten besser geschult werden, um zu einer Erhöhung der Medienkompetenz der Kinder und Jugendlichen beitragen zu können. Die Medienethikerin PD Dr. Jessica Heesen vom Internationalen Zentrum für Ethik in den Wissenschaften habe die Ergebnisse der Konferenz wir folgt resümiert: „Eine digitale Gesellschaft, die ein Kinderrecht auf Privatheit umsetzt, ist eine Gesellschaft, die für alle sicherer, demokratischer und freier ist.“

Weitere Informationen zum Thema:

forum <privatheit>
Jahreskonferenz 2019: „Aufwachsen in überwachten Umgebungen – Wie lässt sich Datenschutz in Schule und Kinderzimmer umsetzen?“

datensicherheit.de, 23.03.2018
forum <privatheit>: Demokratie nicht einzelnen Internet-Unternehmen überlassen

datensicherheit.de, 08.03.2018
forum <privatheit>: Datenschutz als Basis der Innovationsförderung

[datensicherheit.de, 11.02.2019] Laut einer Meldung des „Forum Privatheit“ hat das Bundesverfassungsgericht (BverfG) am 5. Februar 2019 mitgeteilt, dass das Bayerische Polizeiaufgabengesetz insoweit verfassungswidrig ist, als es ohne weitere Einschränkung der Polizei erlaubt, das Kennzeichen aller vorbeifahrenden Kraftfahrzeuge verdeckt von einem Kennzeichenlesesystem automatisiert zu erfassen, kurzzeitig gemeinsam mit Angaben zu Ort, Datum, Uhrzeit und Fahrtrichtung zu speichern und mit Kennzeichen aus dem Fahndungsbestand abzugleichen. Nach Analyse durch Experten des Forschungsverbunds nimmt das „Forum Privatheit“ Stellung zu den Auswirkungen.

Bayern, Baden-Württemberg und Hessen: Kontrollen ohne Einschränkungen

Obwohl das BVerfG bereits 2008 festgestellt habe, dass das Überwachungsinstrument des Kfz-Kennzeichen-Scanning nur zum Schutz wichtiger Rechtsgüter und bei einem konkreten Anlass an beschränkten Orten und begrenzten Zeiten eingesetzt werden dürfe, hätten die Bundesländer Bayern, Baden-Württemberg und Hessen diese Kontrollen ohne diese Einschränkungen in den Katalog der normalen polizeilichen Handlungsinstrumente aufgenommen und davon ausführlich Gebrauch gemacht.
Dagegen habe ein Bürger mit Wohnsitz in Bayern und in Österreich geklagt, der befürchtet habe, auf den Reisen zwischen den beiden Wohnsitzen immer wieder überwacht zu werden und aufgrund der hohen Falscherkennungsrate der Kennzeichenlesesysteme als zur Fahndung Ausgeschriebener erfasst zu werden sowie Nachteile zu erleiden. Das Verwaltungsgericht München, der Verwaltungsgerichtshof Bayern und das Bundesverwaltungsgericht hätten die Klage abgewiesen, u.a. weil die bloße Erfassung des Kennzeichens keinen Grundrechtseingriff darstelle. Das BVerfG hat laut „Forum Privatheit“ diese Urteile in seinem Beschluss vom 18. Dezember 2018 aufgehoben und die entsprechende Regelung im Bayerischen Polizeiaufgabengesetz für teilweise verfassungswidrig erklärt.

Stärkung des Grundrechts auf informationelle Selbstbestimmung

„Der Beschluss des BVerfG stellt mit großer Klarheit fest, dass der Einsatz des Überwachungsinstruments der automatisierten Kennzeichenkontrollen auf bestimmte Anlässe und zur Abwehr einer konkreten Gefahr für Rechtsgüter von erheblichem Gewicht beschränkt ist und stärkt damit das Grundrecht auf informationelle Selbstbestimmung und Datenschutz nachdrücklich“, kommentiert Prof. Dr. Alexander Roßnagel, Sprecher des Forschungsverbunds „Forum Privatheit“ und Professor für Umwelt- und Technikrecht an der Universität Kassel. „Die breite Überwachung des Straßenverkehrs durch automatisierte Kennzeichenkontrollen ist unzulässig.“
Das Gericht habe eindeutig festgestellt, „dass bereits die Erfassung der Kennzeichen in das Grundrecht auf informationelle Selbstbestimmung eingreift, unabhängig davon, ob ein Treffer festgestellt werden kann“.

BverfG hat Bewertung geändert

Das habe das BVerfG in seiner Entscheidung zum Kfz-Kennzeichen-Scanning vom 8. März 2008 noch anders gesehen: Damals habe es entschieden, dass die bloße Erfassung und unmittelbare Löschung der Daten, sobald festgestellt worden ist, dass im Abgleich mit einer Fahndungsdatei kein Treffer vorliegt, keinen Grundrechtseingriff darstelle.
Diese Feststellung hätten sich viele Regelungen im Recht der Polizei und der Nachrichtendienste zunutze gemacht. Jetzt sei das BVerfG von dieser Feststellung abgerückt und sehe bereits in der Erhebung von Daten einen unerlaubten Grundrechtseingriff.

Fortbewegung ohne staatliche Kontrolle als Freiheitsrecht

Erfasst ein Überwachungssystem Menschen, so sei es nicht erst hinsichtlich der damit verbundenen Folgen, sondern bereits durch die Erfassung freiheitsbeeinträchtigend:
„Zur Freiheitlichkeit des Gemeinwesens gehört es, dass sich die Bürgerinnen und Bürger grundsätzlich fortbewegen können, ohne dabei beliebig staatlich registriert zu werden, hinsichtlich ihrer Rechtschaffenheit Rechenschaft ablegen zu müssen und dem Gefühl eines ständigen Überwachtwerdens ausgesetzt zu sein“, so das BVerfG.

Beliebige Kontrollen mit Rechtsstaatsprinzip grundsätzlich unvereinbar

Zulässig seien solche Kontrollen nur unter zwei Voraussetzungen: Zum einen müss dafür ein objektiv bestimmter und begrenzter Anlass bestehen. „Die Durchführung von Kontrollen zu beliebiger Zeit und an beliebigem Ort ins Blaue hinein ist mit dem Rechtsstaatsprinzip grundsätzlich unvereinbar“, so das BVerfG.
Zum anderen müssten sie dem Schutz von wichtigen Rechtsgütern oder öffentlichen Interessen dienen – hierzu zählten z.B. Leib, Leben und Freiheit der Person und der Bestand und die Sicherheit des Bundes und der Länder. Da das Bayerische Polizeiaufgabengesetz beide Voraussetzungen nicht beachte, habe das BVerfG die zu weitgehenden Regelungen für verfassungswidrig erklärt.

Rechtliche Anpassungen zur Überwachung notwendig

Diese Bewertung gelte nicht nur für das Bayerische Polizeiaufgabengesetz, sondern auch für vergleichbare Regelungen in Baden-Württemberg und Hessen. Die Feststellung, dass ein Grundrechtseingriff bereits durch die bloße Erfassung von Überwachungsdaten besteht, habe Auswirkungen für viele polizeiliche und nachrichtendienstliche Überwachungsmethoden, weil diese bisher davon ausgegangen seien, dass ein Grundrechtseingriff erst mit der Speicherung als Treffer beginne.
Diese Erkenntnis zwinge ebenfalls zur Anpassung vieler Erlaubnisse zur Überwachung. „Damit stellt Deutschland – im Gegensatz zu anderen europäischen Ländern – den Datenschutz über den noch unklaren Nutzen einer sehr umfassenden Kennzeichenerkennung“, unterstreicht „Forum Privatheit“-Experte Dr. Michael Friedewald vom Fraunhofer ISI.

Erfassung von Diesel-Fahrzeugen in keiner Weise verhältnismäßig

So habe das Urteil des BVerfG auch Auswirkungen auf die Absicht, Fahrverbote für ältere Diesel-Fahrzeuge durch automatisierte Kennzeichenerfassung und Abgleich mit dem Bundeskraftfahrzeugregister durchzusetzen:
„Solche automatisierten Kennzeichenkontrollen finden zwar nur an der Einfahrt zu Umweltzonen oder für Dieselfahrzeuge gesperrte Straßen statt, dienen aber nicht der Abwehr einer Gefahr für Rechtsgüter wie Leib, Leben und Freiheit der Person und den Bestand und die Sicherheit des Bundes und der Länder, sondern der Verhinderung oder Verfolgung von Ordnungswidrigkeiten – sind also in keiner Weise verhältnismäßig“, resümiert Roßnagel.

Weitere Informationen zum Thema:

forum <privatheit>
selbstbestimmtes_leben_in_der_digitalen_welt

datensicherheit.de, 23.03.2018
forum <privatheit>: Demokratie nicht einzelnen Internet-Unternehmen überlassen

datensicherheit.de, 08.03.2018
forum <privatheit>: Datenschutz als Basis der Innovationsförderung

[datensicherheit.de, 02.07.2018] Rechtsexperten des Forschungsverbunds „Forum Privatheit“ beleuchten die langfristigen Auswirkungen des EuGH-Urteils zu facebook-Fanpages – neben Sozialen Netzwerken gehörten auch Suchmaschinen, Messenger- und Kurznachrichten-Dienste auf den Prüfstand. Der Europäische Gerichtshof (EuGH) hatte am 5. Juni 2018 sein Urteil im Rechtsstreit zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und der Wirtschaftsakademie Schleswig-Holstein GmbH verkündet. Gegenstand dieses Rechtsstreits war eine Anordnung des ULD an die Wirtschaftsakademie, ihre facebook-Fanpage zu deaktivieren, weil facebook personenbezogene Daten von Besuchern dieser Fanpage unzulässig erhoben und zu Besucherstatistiken verarbeitet habe.

Verantwortlich für die Datenverarbeitung im Sinne des Datenschutzrechts

Fraglich gewesen sei, ob neben facebook auch die Wirtschaftsakademie als Betreiber der Fanpage als Verantwortliche für die Datenverarbeitung im Sinne des Datenschutzrechts zu werten ist.
Dies habe das Gericht am 5. Juni 2018 bejaht – die Inanspruchnahme von fcebook als Plattform zur Bereitstellung der Fanpage befreie den Betreiber nicht von datenschutzrechtlichen Pflichten.
Ob ein Zugang des Fanpage-Betreibers zu den gesammelten personenbezogenen Daten des Sozialen Netzwerks besteht, sei dabei unerheblich.

Mitverantwortlich für alle im Zusammenhang stehenden Datenverarbeitungspraktiken von facebook

„Das Urteil des EuGH hat große Auswirkungen auf Unternehmen, Behörden und sonstige Organisationen, die facebook-Angebote für ihre Zwecke nutzen. Sie werden damit mitverantwortlich, für alle damit in Zusammenhang stehenden Datenverarbeitungspraktiken von facebook. Da sie diese nicht beeinflussen können, aber für sie verantwortlich sind, können sie facebook nicht mehr ohne Risiko nutzen“, sagt Prof. Dr. Alexander Roßnagel, Sprecher des „Forum Privatheit“ und Rechtswissenschaftler der Universität Kassel.
Der EuGH vertrete in seinem Urteil eine weite Auslegung des Begriffs des datenschutzrechtlich Verantwortlichen. Dessen Verantwortung solle einen größtmöglichen Schutz Betroffener bei der Verarbeitung ihrer personenbezogenen Daten gewährleisten. Daher sei für die Datenverarbeitung nicht nur das Soziale Netzwerk, sondern auch die Organisation verantwortlich, welche facebook für ihre Zwecke nutzt (wie in dem entschiedenen Fall für eine Fanpage).
Dies gelte in besonderem Maße, wenn Dritte, die selbst nicht Mitglieder bei facebook sind, veranlasst werden, facebook zu nutzen. Die Organisation und facebook seien beide gemeinsam verantwortlich, da sie jeweils über die Zwecke und Mittel der Verarbeitung personenbezogener Daten der Betroffenen entschieden. Der Betreiber der Fanpage könne sich gegenüber den Betroffenen nicht auf den Standpunkt zurückziehen, selbst lediglich Nutzer der von facebook angebotenen Dienstleistung zu sein.

Stellung der betroffenen Nutzer verbessert

Eine Organisation, die facebook-Angebote für ihre Zwecke nutzt, träfen damit alle Pflichten, die ein datenschutzrechtlich Verantwortlicher zu erfüllen hat. Nach der Datenschutz-Grundverordnung müssten gemeinsam Verantwortliche in transparenter Form vertraglich festlegen, welche Funktionen sie jeweils übernehmen und wie sie ihre Datenschutzpflichten erfüllen. Insbesondere könnten auch der Organisation gegenüber Betroffenenrechte geltend gemacht werden.
„Damit wird die Stellung der betroffenen Nutzenden verbessert. Außerdem hat der EuGH mit dem Urteil unmissverständlich klargestellt, dass es auch in diesen Fällen keine Lücke in der Verantwortlichkeit für die Verarbeitung personenbezogener Daten gibt“, betobt Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein.
Diese gemeinsame Verantwortlichkeit wirke sich auch auf die Haftung aus. So hafte nach der Datenschutz-Grundverordnung jeder an einer Datenverarbeitung beteiligte Verantwortliche für den Schaden, der durch eine rechtswidrige Verarbeitung verursacht wurde. Eine Haftungsbefreiung sei nur möglich, wenn aktiv nachgewiesen wird, dass eine Verantwortlichkeit für den Umstand, der den Schaden zur Folge hatte, in keinerlei Hinsicht gegeben ist. Damit bestehe eine Verschuldensvermutung bezogen auf alle gemeinsam Verantwortlichen – die Beweislast liege bei ihnen.

Auch Suchmaschinen, Messenger- und Kurznachrichten-Dienste auf den Prüfstand!

Anordnungen einer Datenschutzaufsichtsbehörde könnten sich dabei sowohl gegen die Organisation, die facebook für ihre Zwecke nutzt, als auch gegen den Betreiber des Sozialen Netzwerks richten. Das gelte letztlich auch für die unter Umständen drastischen Sanktionen, die Aufsichtsbehörden nach der Datenschutz-Grundverordnung verhängen könnten.
„Die Klarstellung durch den EuGH ist im Sinn eines effektiven Datenschutzes zu begrüßen. Wer Angebote Sozialer Netzwerke in seine Organisationskommunikation einbindet, trägt in jedem Fall die Mitverantwortung für jede durch ihn veranlasste Datenverarbeitung. Wer kein Risiko eingehen will, muss sich entweder sicher sein, dass das Soziale Netzwerk mit diesen Datenverarbeitungspraktiken keine Verstöße gegen die Datenschutz-Grundverordnung begeht oder diese Angebote meiden“, resümiert Professor Roßnagel. Ebenso wie Soziale Netzwerke gehörten auch Angebote wie Suchmaschinen, Messenger- und Kurznachrichten-Dienste auf den Prüfstand.

Weitere Informationen zum Thema:

forum <privatheit>
selbstbestimmtes_leben_in_der_digitalen_welt

datensicherheit.de, 08.03.2018
forum <privatheit>: Datenschutz als Basis der Innovationsförderung

[datensicherheit.de, 17.03.2018] Eine vom CAST-Forum und Forum Privatheit organisierte Tagung am 15. März 2018 in Darmstadt mit Vertretern aus Politik, Wirtschaft, Wissenschaft und Aufsichtsbehörden widmete sich der Frage, wohin sich der Datenschutz entwickeln wird, wenn ab dem 25. Mai 2018 die europäische Datenschutz-Grundverordnung (EU-DSGVO) endgültig in Kraft tritt. „Das künftige Datenschutzrecht wird nicht nur von der Datenschutz-Grundverordnung, sondern durch eine Ko-Regulierung der europäischen und deutschen Gesetzgeber geprägt“, erläuterte Prof. Dr. Alexander Roßnagel, Jurist an der Universität Kassel und Sprecher des Forums Privatheit. Die EU-Mitgliedstaaten nutzten die 70 Öffnungsklauseln der DSGVO, um die bisherigen nationalen Datenschutzregelungen beizubehalten und nur sprachlich der DSGVO anzupassen.

EU-DSGVO: einheitliches Recht vs. 27 verschiedene nationale Auslegungen

Das derzeit im Bund vorbereitete „Omnibus-Gesetz“, das vermutlich im Sommer 2018 in den Gesetzgebungsprozess eingebracht werde, sehe in über 140 Gesetzen mit Datenschutzregelungen meist nur formale Anpassungen an den Sprachgebrauch der DSGVO vor.
Keines dieser Gesetze werde aber durch die DSGVO überflüssig oder gestrichen. Vielmehr blieben alle bestehenden nationalen Gesetze erhalten, ohne Innovationsimpulse der DSGVO – wie z.B. Privacy-by-Design und Privacy-by-Default – zu konkretisieren.
Zu einem ähnlichen Ergebnis kam demnach auch der Landesbeauftragte für Datenschutz und Informationsfreiheit in Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, der von den Anpassungsbemühungen auf Länderebene berichtete. Auch dort würden sehr viele Gesetze angepasst, ohne dass ein einziges entfiele. Sein Fazit: Es werde weniger modernisiert, es bleibe eher bei einer Beibehaltung des Alten.
Bernd Adams von T-Systems begrüßte grundsätzlich die Zielsetzung der Vereinheitlichung des Datenschutzes. Die Ausgestaltung bereite ihm allerdings Bauchschmerzen: „Haben wir ein EU-weit einheitliches Datenschutzrecht – oder haben wir 27 verschiedenen nationale Auslegungen?“

Innovation der DSGVO in den Regelungen zum Vollzug…

Laut Prof. Dr. Johannes Caspar, dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, gibt es „kaum einen Bereich, in dem Sein und Sollen so weit auseinander liegen wie bei im Datenschutz.“ Daher sehe er die wirkliche Innovation in der DSGVO in den Regelungen zum Vollzug. Erstmals würde die Vollzugsbehörden mit wirksamen Vollzugs- und Sanktionsinstrumenten ausgestattet. So hätten die Aufsichtsbehörden nun auch die Möglichkeit, signifikante Bußgelder zu verhängen: Hätten sie noch beim BDSG bei max. 300.000 Euro gelegen, könnten nun bis zu 20.000.000 Millionen Euro verhängt werden – oder vier Prozent des jährlichen Umsatzes eines Unternehmens. Caspar: „Früher war ein Verstoß gegen Datenschutzauflagen ein Kavaliersdelikt. Das ist künftig anders.“
Die DSGVO bringe für die Aufsichtsbehörden viele neue Aufgaben. Diese entspreche allerdings nicht ihrer personellen Ausstattung. In einem Gutachten zum notwendigen Personalbedarf der Aufsichtsbehörden habe Professor Roßnagel festgestellt, dass aufgrund dieser neuen Aufgaben im Durchschnitt jede Landesdatenschutzbehörde um 20 Stellen aufgestockt werden müsste; dies sei in den Ländern allerdings nicht erfolgt. „Die Aufsichtsbehörden sind eigentlich die Garanten des Rechtsvollzugs – werden aber damit allein gelassen“, warnte Caspar.
Für wichtig hält er nach eigenen Angaben auch die Regelungen, nach denen die Aufsichtsbehörden unionsweit koordiniert würden. Dabei komme dem Europäischen Datenschutz-Ausschuss eine besondere Rolle zu. Mit ihm sei „Datenschutz keine Sache mehr des einzelnen Behördenleiters, der tapfer allein in die Sonne reitet.“ Die Themen könnten nur auf europäischer Ebene einheitlich entschieden und in der gesamten Union umgesetzt werden. Datenschutz sei nicht nur ein Garant für die Datenschutzrechte der Betroffenen in Europa, sondern auch für einen fairen Wettbewerb von Unternehmen im EU-Binnenmarkt. „Wir brauchen einen fairen Wettbewerb – und den bekommen wir nur über den europäischen Datenschutz-Ausschuss. Denn: Nichts ist so europäisch wie der Datenschutz“, betonte Caspar.

Innovation und Datenschutz müssen kein Gegensatz sein

Einen hoffnungsvollen Ausblick gab Dr. Michael Friedewald, Projektkoordinator des Forums Privatheit vom Fraunhofer-Institut für System- und Innovationsforschung (ISI): „Wir befinden uns vor einer Zeitenwende. Hier kann der Datenschutz vom Umweltschutz lernen. Es hat hier auch eine Weile gedauert, bis sich gezeigt hat, dass Regulierungen in diesem Bereich nicht nur für die Gesellschaft nützlich sind, sondern, dass sie auch zu Innovationen und wirtschaftlicher Profitabilität führen.“
Wie so etwas aussehen könnte, zeige die künftige E-Privacy-Verordnung. Diese regele den Datenschutz für die elektronische Kommunikation nicht abstrakt und technikneutral wie die DSGVO, sondern bereichs- und risikobezogen. Auch wende sie sich an die richtigen Adressaten, nämlich auch an Hersteller von IT und nicht nur an ihre Anwender.
Die E-Privacy-Verordnung sollte ursprünglich mit der DSGVO am 25. Mai 2018 Geltung erlangen. Rolf Bender, Vertreter des Bundesministeriums für Wirtschaft und Energie (BMWi), rechnet jedoch damit, dass diese „nicht vor Ende 2018“ verabschiedet wird.
Ihr Kernanliegen sei der Schutz der Vertraulichkeit der Kommunikation. Doch auch hierbei gebe es noch viele offene Fragen. Unklar sei zum Beispiel: Wann gilt die DSGVO und wann die E-Privacy-Verordnung? Als Innovationshemmnis für Unternehmen sollte sich aber für Bender keine ihrer Regelungen erweisen: „Wir wollen ein hohes Datenschutzniveau – aber wir wollen auch, dass innovative Geschäftsmodelle nicht kaputt gemacht werden.“

Weitere Informationen zum Thema:

datensicherheit.de, 16.03.2018
Unternehmen hinken bei EU-DSGVO-Anpassung hinterher

datensicherheit.de, 12.01.2018
EU-DSGVO: Neue Anforderungen an Organisation und Technik

[datensicherheit.de, 08.03.2018] Das forum <privatheit>, ein wissenschaftliches Expertengremium, hat nach eigenen Angaben die Aussagen des Koalitionsvertrags zur geplanten Gestaltung der Digitalisierung untersucht und seine Analyse unter dem Titel „Datenschutz stärken, Innovationen ermöglichen – Wie man den Koalitionsvertrag ausgestalten sollte“ zusammengefasst. Erläutert wird demnach, welche Maßnahmen nun folgen müssten, um die Ziele der Innovationsförderung und des Datenschutzes zu verbinden.

Der neue Koalitionsvertrag – ein Kompromiss…

Der Koalitionsvertrag zwischen CDU, CSU und SPD verspreche einen „neuen Aufbruch für Europa“, eine „neue Dynamik für Deutschland“ und einen „neuen Zusammenhalt für unser Land“…

Dazu wollten die Koalitionäre umfangreiche Modernisierungen anstoßen. Als politische Grundlage der „Großen Koalition“ sei der Koalitionsvertrag jedoch ein Kompromiss, der nur das konkret benenne, worauf sich die Koalitionäre inhaltlich einigen konnten. Vieles werde nur angedeutet, bleibe im Ungefähren und Abstrakten, kritisiert das forum <privatheit>.

Zweifel an Zukunftsfähigkeit und Effektivität der DSGVO

Die Koalition wolle laut Vertrag Innovationen und neue Dienste „ermöglichen und gleichzeitig den hohen und weltweit angesehenen Datenschutzstandard Europas und Deutschlands halten“. Hierzu möchte sie die 2020 anstehende Evaluierung der Datenschutz-Grundverordnung (DSGVO)durch die EU-Kommission intensiv begleiten und dabei alle Regelungen auf ihre „Zukunftsfähigkeit und Effektivität“ hin überprüfen.

„Dies ist auch dringend notwendig, weil es der Datenschutz-Grundverordnung gerade an Zukunftsfähigkeit und Effektivität mangelt“, erläutert Prof. Dr. Alexander Roßnagel, Sprecher des forum <privatheit> und Rechtswissenschaftler der Universität Kassel.

„Zukunftsfähigkeit fehlt ihr insofern, als sie keine der absehbaren Herausforderungen – wie etwa ,Big Data‘, Künstliche Intelligenz, selbstlernende Systeme, Suchmaschinen, Netzwerkplattformen, Kontexterfassung, Internet der Dinge – risikoadäquat regelt. Will sie zukunftsfähig sein, muss sie gerade die enormen Risiken, die von der Digitalisierung aller Lebensbereiche ausgehen, spezifisch regeln“, so Roßnagel.

Nur wenn sie gegenüber diesen Risiken Rechtssicherheit bietet, könne sie auch effektiv sein. Daher sollte die Bundesregierung auf risikogerechte Regelungen im europäischen Datenschutzrecht drängen und selbst im Rahmen der deutschen Regelungskompetenzen solche erlassen. Für den Schutz von Kommunikationsdaten im Rahmen der laufenden Verhandlungen zur Reform der „ePrivacy“-Gesetzgebung sollte die Bundesregierung die risikospezifischen und nutzerfreundlichen Vorschläge der EU-Kommission und des EU-Parlaments im Rat unterstützen.

Nutzervertrauen in Innovationen basiert auf Datenschutz

Das notwendige Nutzervertrauen in Innovationen setzt laut Roßnagel Datenschutz voraus:
Durch Systemgestaltung und Voreinstellungen, bessere Möglichkeiten, den Datenfluss zu kontrollieren, die Möglichkeit, eigene Daten auf andere Anbieter zu übertragen und den Schutz der Vertraulichkeit durch Verschlüsselung.

Diese Rechte seien auch gegenüber wirtschaftlich mächtigen Anbietern durchzusetzen, betont der Sprecher des Forums. „Datenportabilität und Interoperabilität von digitalen Plattformen sowie die Modernisierung des Wettbewerbsrechts können auch helfen, die Wettbewerbsfähigkeit deutscher und europäischer Plattformunternehmen zu stärken. Auch in diesem Zusammenhang sind Datenschutz und Nutzerrechte wettbewerbs- und innovationsfördernde Mittel.“

Persönlichkeitsrechte der Beschäftigten sicherstellen!

Die Koalition erkenne, „dass die Digitalisierung zahlreiche Vorteile für Unternehmen und Beschäftigte bietet, zugleich aber auch Überwachungsgefahren birgt“.

Um die Persönlichkeitsrechte der Beschäftigten sicherzustellen, sollte die Bundesregierung risikoadäquate Datenschutzregelungen für das Beschäftigungsverhältnis treffen. Hierzu gehörten u.a. Regelungen, die heimliche Kontrollen ebenso explizit ausschließen wie eine Dauerüberwachung und die Erstellung umfassender Bewegungsprofile. Bei der Nutzung mobiler Geräte sollten so viele Daten wie möglich unter Kontrolle der Beschäftigten bleiben.

Entscheidungsfreiheit der Betroffenen wahren!

Der Koalitionsvertrag sehe einen Rechtsrahmen für Autonomes Fahren („Smart Cars“) vor, der Datenschutz und Datensicherheit ebenso gewährleistet soll wie ein Höchstmaß an Verkehrs- und Datensicherheit. Dieser Rechtsrahmen müsse auch gewährleisten, dass die Betroffenen immer situationsadäquat darüber informiert sind, welche Daten überhaupt von wem verarbeitet werden. Ihnen sollten einfache Möglichkeiten zur Verfügung stehen, solchen Datenverarbeitungen zuzustimmen oder nicht. Dabei dürfe eine Nicht-Zustimmung nicht zu gravierenden Nachteilen führen.
„Wie bei ,Smart Cars‘ müssen im Rahmen von ,Smart Health‘ und ,Smart Cities‘ spezifische, risikoadäquate Regelungen für den Technikeinsatz vorgesehen werden“, unterstreicht Dr. Michael Friedewald, Wissenschaftler am Fraunhofer-Institut für System- und Innovationsforschung ISI und Koordinator des forum <privatheit>. Die Entscheidungsfreiheit der Betroffenen zu wahren sei der richtige Ansatz.

Einer risikospezifischen Regelung, die vor Missbrauch schützt, bedürften aber ebenso die vielen Gesundheitsdaten, die im Rahmen von freiwilligen Messverfahren für Körperfunktionen erhoben, (oft ins außereuropäische Ausland) übertragen und verarbeitet werden. Auch die Regelungen zur Energie- und Verkehrssteuerung in „Smart Cities“ müssten sicherstellen, dass dadurch keine neuen und vertieften Risiken für die Privatheit und Selbstbestimmung der Betroffenen, insbesondere durch Verhaltens- und Bewegungsprofile, entstehen.
„Besondere Aufmerksamkeit sollte auf die datenschutzgerechte Systemgestaltung durch angemessene Datenverarbeitungsarchitekturen und durch Maßnahmen zur Datensparsamkeit gelegt werden“, so Friedewalds Forderung.

Regelungsbedarf für Vermessung und Katalogisierung des Menschen

Zu begrüßen sei, dass der Koalitionsvertrag den Diskriminierungsverboten der „analogen Welt“ auch in der digitalen Welt zu Gültigkeit verhelfen wolle. Dies dürfe aber nicht auf den Verbraucherschutz allein beschränkt bleiben.
Vielmehr werde für die Verwendung von Algorithmen, Künstlicher Intelligenz und „Big Data“ sowie für die Vermessung und Katalogisierung des Menschen in allen Gesellschafts- und Wirtschaftsbereichen zu regeln sein, welche Bemessungskriterien und -verfahren zulässig und welche, wegen der Gefahr von Diskriminierung, unzulässig sind.

Fragen zur Machtkonzentration von Daten-Ethikkommission zu klären

Mögliche Abhilfe sehe der Koalitionsvertrag in einer Daten-Ethikkommission. Diese solle „innerhalb eines Jahres einen Entwicklungsrahmen für Datenpolitik, den Umgang mit Algorithmen, künstlicher Intelligenz und digitalen Innovationen“ vorschlagen.

Eine interdisziplinär besetzte, sachverständige und nicht nur Umsetzungsinteressen verpflichtete Kommission könnte einen Anstoß bieten für eine breite gesellschaftliche Debatte über eine verfassungs- und wertekonforme Gestaltung der Digitalisierung.

Allerdings sei zu berücksichtigen, dass die Frage nach dem adäquaten Umgang mit Algorithmen und Künstlicher Intelligenz untrennbar mit Fragen nach der Konzentration technologischer und wirtschaftlicher Macht durch wenige Digitalkonzerne verbunden sei – auch das sollte gesellschaftlich diskutiert werden.

Weitere Informationen zum Thema:

forum <privatheit>, März 2018
Policy Paper: DATENSCHUTZ STÄRKEN, INNOVATIONEN ERMÖGLICHEN / Wie man den Koalitionsvertrag ausgestalten sollte

datensicherheit.de, 12.02.2018
Themenkomplex IT-Sicherheit im Koalitionsvertragsentwurf

datensicherheit.de, 31.01.2018
Koalitionsvertrag: Digitalisierung und Informationssicherheit müssen politische Zielsetzungen sein

[datensicherheit.de, 03.04.2017] Sowohl Bundestag und als auch Bundesrat beraten derzeit über ein neues Bundesdatenschutzgesetz, das an die EU-Datenschutz-Grundverordnung angepasst und Anfang April 2017 verabschiedet werden soll. Um den Gesetzgeber zu unterstützen, haben Experten vom „Forum Privatheit“ konkrete Vorschläge zur Verbesserung des Gesetzentwurfs erarbeitet, die bei der Umsetzung der europäischen Datenschutz-Grundverordnung in Deutschland helfen sollen. Diese Vorschläge sollen in der Mai-Ausgabe 2017 der Fachzeitschrift „Datenschutz und Datensicherheit“ (DuD) erscheinen.

Unterstützende nationalstaatliche Regelungen erforderlich!

„Damit die europäische Datenschutzreform gelingt und die Datenschutz-Grundverordnung erfolgreich in Wirtschaft und Verwaltung umgesetzt werden kann, sind unterstützende nationalstaatliche Regelungen erforderlich. Dem wird der Entwurf des neuen Bundesdatenschutzgesetzes nicht gerecht“, so Prof. Alexander Roßnagel von der Universität Kassel, zugleich Sprecher des Forschungsverbundes „Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt“.

Vertragsverletzungsverfahren drohen

Die Regelungen zur erweiterten Videoüberwachung durch private Unternehmen und die Einschränkungen der Rechte der Betroffenen zugunsten privater Datenverarbeiter sollten aus dem Gesetzesentwurf gestrichen werden, fordert das „Forum Privatheit“. Diese verstießen gegen die Datenschutz-Grundverordnung und riskierten Vertragsverletzungsverfahren vor dem Europäischen Gerichtshof.
Ferner sollte wie bisher im Gesetz geregelt sein, wie der Verantwortliche seine Datenverarbeitungsprozesse zu organisieren hat, um Betroffenenrechten entsprechen zu können. Der vorgelegte Regierungsentwurf hingegen stelle die Rechte der Betroffenen (z.B. auf Auskunft oder auf Datenlöschung) unter den Vorbehalt, dass sie keinen „unverhältnismäßigen Aufwand“ verursachen und die „Geschäftszwecke nicht erheblich gefährden“. Damit läge es in der Hand des Datenverarbeiters, durch die Wahl seiner Geschäftszwecke und die Organisation seiner Datenverarbeitung Betroffenenrechte auszuschließen.

Software datenschutzgerecht gestalten!

Im Datenschutzrecht sollten Regelungen für Hersteller von IT-Anwendungen aufgenommen werden. „Nur wenn die Software es zulässt, kann der Datenverarbeiter seine datenschutzrechtlichen Pflichten erfüllen. Daher sind Anforderungen an Hersteller notwendig, ihre Software datenschutzgerecht zu gestalten“, erläutert Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein und Mitglied im Forum Privatheit.
Weiterhin schlägt das Forum Privatheit auch Konkretisierungen der neuen Verarbeiterpflichten zur datenschutzfreundlichen Gestaltung der Verarbeitungsprozesse und datensparsamer Voreinstellungen vor: Der „vielversprechende Ansatz der europäischen Datenschutz-Grundverordnung“ könne ohne diese Konkretisierungen nie Wirklichkeit werden, betont Hansen.

Ergänzende Anforderungen der Nichtverkettbarkeit und Intervenierbarkeit

Die Anforderungen an die Datensicherheit und an den technischen Datenschutz seien um die Anforderungen der Nichtverkettbarkeit und der Intervenierbarkeit zu ergänzen:

• Nichtverkettbarkeit solle sicherstellen, dass die von Internetnutzern hinterlassenen Datenspuren nicht zu einem Profil verknüpft werden können.
• Intervenierbarkeit solle gewährleisten, dass der Datenverarbeiter jederzeit in der Lage ist, die Rechte des Betroffenen auf Auskunft, Korrektur und Löschung seiner Daten umzusetzen.

Außerdem wären Schnittstellen zu Selbstdatenschutz-Tools zu schaffen.

Auch sollte das Gesetz die neuen, in der Verordnung nur unzureichend geregelten Vorgaben zur Datenschutz-Folgenabschätzung, zu Verhaltensregeln und zur Zertifizierung von Verarbeitungsvorgängen so präzisieren, dass sie in Deutschland rechtssicher umgesetzt werden können. So fehlten z.B. Regelungen, die die Rechtsfolgen dieser neuen Datenschutzinstrumente beschreiben.

Auf nicht gerechtfertigte Sonderregelungen verzichten!

Auf die nicht gerechtfertigten Sonderregelungen für die vollautomatisierte Bearbeitung von Vorgängen durch private Krankenversicherungen und für Big-Data-Anwendungen zur Markt- und Meinungsforschung in Form privater Statistiken sollte verzichtet werden, um die Akzeptanz des Gesetzes nicht zu gefährden.
Die bisherige Aufsicht der Datenschutzbehörden, die zu besonderer Verschwiegenheit verpflichtet seien, sollte beibehalten werden. Keinesfalls sollten aufsichtsfreie Datenverarbeitungen möglich sein, die es Arztpraxen, Krankenhäusern, Anwaltskanzleien, Steuerberatungsbüros und ähnlichen Berufsgeheimnisträgern erlauben würden, sich vollständig der Aufsicht durch die Datenschutzbehörden zu entziehen.

Foto: Sonja Rohde

Prof. Dr. Alexander Roßnagel: Datenschutz in Deutschland droht unter das Niveau des bisherigen Bundesdatenschutzgesetzes zu sinken!

Gesetzgebung in Deutschland mit Vorbildfunktion

„Ohne diese Nachbesserungen droht der künftige Datenschutz in Deutschland unter das Niveau des bisherigen Bundesdatenschutzgesetzes und der Datenschutz-Grundverordnung zu sinken“, warnt Roßnagel. Vielleicht könnten nicht alle Vorschläge in der verbleibenden kurzen Zeit bis zur Bundestagswahl umgesetzt werden. Sie müssten dann aber auf der Agenda für die neue Legislaturperiode stehen.
„Die Gesetzgebung in Deutschland hat Vorbildfunktion für viele andere Mitgliedstaaten in der Union“, ergänzt Hansen. Eine Absenkung des Datenschutzes in Deutschland drohe den Reformimpuls in ganz Europa zunichte zu machen.

Weitere Informationen zum Thema:

datensicherheit.de, 03.04.2017
Neue Studie: Einfache Wege zu mehr Privatheit