Mit der Datenschutz-Grundverordnung hat eine Neustrukturierung des Datenschutzrechts stattgefunden – auch wenn vieles am Ende doch beim Alten blieb. Am 25. Mai 2020 jährt sich die Verabschiedung der Verordnung durch den europäischen Gesetzgeber zum vierten, ihr Geltungsbeginn zum zweiten Mal. Bis dahin muss die EU-Kommission dem Europäischen Parlament einen Bericht zur Überprüfung der Verordnung vorlegen und veröffentlichen. Eine erneute Überprüfung der DSGVO ist dann erst wieder für das Jahr 2024 vorgesehen. Der Forschungsverbund „Forum Privatheit“ beschreibt in seinem jüngsten Policy Paper konkrete Verbesserungsmöglichkeiten der DSGVO, die überwiegend auf einem ausführlichen Gutachten der Forum-Privatheit-Wissenschaftler Prof. Alexander Roßnagel und Dr. Christian Geminn für den Bundesverband der Verbraucherzentralen beruhen.

Risikoadäquate Regeln zum Profiling fehlen

„Die DSGVO hat an vielen Stellen Verbesserungen des Datenschutzniveaus bewirkt. Dennoch bleiben Defizite, die sich zum Nachteil von Personen auswirken können, die von Datenverarbeitung betroffen sind. Unser Policy Paper benennt einige Problemschwerpunkte, die aus unserer Sicht besonders dringend angepackt werden müssen. Dazu zählen die Klarstellung des Verhältnisses der Einwilligung zu den gesetzlichen Erlaubnistatbeständen wie etwa der Verarbeitung zur Erfüllung eines Vertrages oder einer rechtliche Verpflichtung, fehlende risikoadäquate Regeln zum Profiling oder die Konkretisierung der Informationspflichten“, so Roßnagel, Sprecher des Forschungsverbunds „Forum Privatheit“ und Professor für Umwelt- und Technikrecht an der Universität Kassel.

Zudem konnten sich bestimmte datenschutzfreundliche Positionen im Laufe der Verhandlungen im Entstehungsprozess der DSGVO nicht durchsetzen. Die Datenskandale der letzten Jahre seit Abschluss der DSGVO-Verhandlungen sollten Anlass geben, einige der damals abgelehnten Vorschläge erneut zu prüfen. Wünschenswert für einen effektiven Grundrechtsschutz wäre insbesondere die gesetzliche Verankerung des Gebots der Datenvermeidung. Im Gegensatz zur Datenminimierung hätte dies zugunsten betroffener Personen Einfluss auf die (datenvermeidende) Zweckwahl des Verantwortlichen.

Präzisierungen beim Recht auf Datenübertragbarkeit notwendig

Ein weiteres Problem liegt in der Abstraktheit der DSGVO. Sie ist an vielen Stellen unkonkret und lässt deshalb Raum zur Interpretation. „Das darf nicht dazu führen, dass einer Auslegung zu Lasten der von der Datenverarbeitung betroffenen Person Tür und Tor geöffnet wird“, so Roßnagel. Dies gilt beispielsweise für das Recht auf Datenübertragbarkeit, das durch seine offene und teils missverständliche Begriffswahl zu Fehlinterpretationen zum Nachteil der betroffenen Person einlädt.

Die DSGVO muss mit der technologischen Entwicklung Schritt halten

Die Untersuchung der DSGVO zeigt, dass bereits kleine Veränderungen des Wortlauts der DSGVO eine deutlich höhere Rechtssicherheit des Datenschutzes bewirken können. Diese sollten aus Sicht der Forscher im Zuge der anstehenden Evaluation der DSGVO adressiert werden. Strukturelle Probleme, die daraus folgen, dass das Datenschutzrecht seit den 1970er Jahren in seinen Grundprinzipien unverändert geblieben ist, können so aber in der Regel nicht beseitigt werden. Aktuelle wie auch absehbare künftige technische Innovationen setzen das Datenschutzrecht unter Druck und fordern es mitunter regelrecht heraus. Das „Forum Privatheit“ fordert deshalb eine Diskussion über eine umfassende und kontinuierliche Weiterentwicklung des Datenschutzrechts in Europa. Die Regulierung der Verarbeitung personenbezogener Daten darf mit der einmal beschlossenen DSGVO nicht stehenbleiben, sondern muss mit der technologischen Entwicklung mithalten können.

Konkret macht das „Forum Privatheit“ folgende Vorschläge:

• Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO bezieht sich in seiner aktuellen Form nur auf personenbezogene Daten, die die betroffene Person dem Verantwortlichen „bereitgestellt“ hat. Sonstige Daten werden nicht erfasst. Beim Wechsel von einer Bank zur anderen oder von einem E-Mail-Provider zum anderen könnte man dies so verstehen, dass zwar die selbst getätigten Überweisungen und die selbst versendeten E-Mails (Ausgangspostfach) mit umziehen können, Überweisungen und E-Mails von Dritten aber nicht (Eingangspostfach). Dies kann wohl kaum gemeint sein – eine derart widersinnige Folge des Wortlauts von Art. 20 DSGVO, in welchem das Recht auf Datenübertragbarkeit geregelt wird, ließe sich durch die Ersetzung des Begriffs „bereitgestellt“ durch „veranlasst“ oder „verursacht“ vermeiden.
• Das alte Bundesdatenschutzgesetz kannte das Gebot der Datenvermeidung. In der DSGVO ist ein solches nicht enthalten, sondern lediglich das Gebot, personenbezogene Daten nur insoweit zu verarbeiten, wie dies zur Erreichung des Zwecks der Verarbeitung erforderlich ist. Der Zweck kann aber bereits so gewählt werden, dass die Verarbeitung vieler Daten erforderlich wird. Ein Gebot der Datenvermeidung würde Datenverarbeiter dazu verpflichten, ihre Zwecke so auszuwählen, dass möglichst wenige personenbezogene Daten verarbeitet werden. Das Gebot der Datenvermeidung sollte deshalb in die DSGVO aufgenommen werden.
• In der Praxis werden Entscheidungen, die Algorithmen treffen, von Menschen oft ungeprüft übernommen – beispielsweise bei einer Kreditvergabe durch eine Bank. Vor der Vergabe wird ein Scorewert bei einer Kreditauskunftei eingeholt. Ist der Scorewert zu schlecht, wird der Kredit verweigert. Die Entscheidung des Algorithmus, auf Grundlage dessen der Scorewert berechnet wurde, wird also übernommen. Die Bank vertraut dabei auf die Richtigkeit des Scorewerts. Dennoch kommen in diesem Szenario die Regelungen der DSGVO zu automatisierten Einzelentscheidungen nicht zum Tragen, da am Ende ein Mensch – der Bankmitarbeiter – die Entscheidung über die Kreditvergabe trifft. Dass er dabei eigentlich gar nicht selbst entscheidet, sondern die Entscheidung des Algorithmus bloß übernimmt, spielt keine Rolle. Somit greifen am Ende bestimmte Rechte der betroffenen Person aus der DSGVO wie etwa das Recht auf Darlegung des eigenen Standpunkts nicht, da sie nur bei einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung gelten sollen. Dies führt zu Wertungswidersprüchen und zu einer Möglichkeit der Umgehung dieser Rechte. Es sollte deshalb eine Ausweitung der Geltung der entsprechenden Regelungen der DSGVO in Art. 22 auch auf solche Fälle erfolgen, in denen eine automatisierte Entscheidung durch den Menschen ungeprüft übernommen wird.

Weitere Vorschläge und eine ausführliche Stellungnahme des Forschungsverbunds „Forum Privatheit“ finden Sie im Policy Paper „Evaluation der Datenschutzgrundverordnung“: https://www.forum-privatheit.de/wp-content/uploads/Policy-Paper-Evaluation-der-DSGVO.pdf

Im Forum Privatheit setzen sich Expertinnen und Experten aus sieben wissenschaftlichen Institutionen interdisziplinär, kritisch und unabhängig mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert. Weitere Partner sind das Fraunhofer SIT, die Universität Duisburg-Essen, das Wissenschaftliche Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel, die Eberhard Karls Universität Tübingen, die Ludwig-Maximilians-Universität München sowie das Unabhängige Landes­zentrum für Datenschutz Schleswig-Holstein. Das BMBF fördert das Forum Privatheit, um den öffentlichen Diskurs zu den Themen Privatheit und Datenschutz anzuregen.

Sprecher „Forum Privatheit“:
Prof. Dr. Alexander Roßnagel
Fachgebiet Öffentliches Recht
Universität Kassel
a.roßnagel@uni-kassel.de

Mitautor Policy-Paper / vzbv-Gutachten
Dr. Christian Geminn
Fachgebiet Öffentliches Recht
Universität Kassel
c.geminn@uni-kassel.de

Projektkoordination „Forum Privatheit“:
Dr. Michael Friedewald
Fraunhofer-Institut für System- und Innovationsforschung ISI
Competence Center Neue Technologien
michael.friedewald@isi-fraunhofer.de

Presse und Kommunikation „Forum Privatheit“:
Barbara Ferrarese, M.A.
Fraunhofer-Institut für System- und Innovationsforschung ISI
+49 (0) 0721 / 6809-678
barbara.ferrarese@forum-privatheit.de

„Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt“
https://www.forum-privatheit.de/forum-privatheit-de/index.php
Twitter: @ForumPrivatheit