Zwei Jahre Datenschutz-Grundverordnung: Mehr aus der DSGVO machen! Acht Vorschläge der Digitalen Gesellschaft
Anlässlich des zweiten Jahrestages der Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) veröffentlicht die netzpolitische Organisation Digitale Gesellschaft (DigiGes) eine Stellungnahme mit acht Vorschlägen zur Verbesserung der DSGVO.
Die Vorschläge zeigen, wie die DSGVO ohne Änderungen am Gesetzestext, sondern allein durch bessere Anwendung und ergänzende Gesetzgebung einen wirksameren Schutz der Grundrechte bei der Digitalisierung gewährleisten kann. Die Vorschläge adressieren unter anderem automatische („algorithmische“) Entscheidungssysteme, die Überwachung von Nutzerinnen und Nutzern im Web (Tracking) und den Umgang mit großen Digitalunternehmen. „Die DSGVO ist das wichtigste Gesetz für den Schutz der Grundrechte im digitalen Zeitalter. Nur durch eine progressivere und mutigere Umsetzung kann dieser Anspruch auch Realität werden“, sagt Benjamin Bergemann, Vorstandsmitglied der Digitalen Gesellschaft.
In ihrer Stellungnahme zeigt sich die Digitale Gesellschaft grundsätzlich zufrieden mit den ersten zwei Jahren DSGVO. Die DSGVO habe das Bewusstsein für Datenschutz enorm gesteigert und dafür gesorgt, dass Organisationen ihre Datenverarbeitung besser organisieren. Zudem habe die DSGVO die Befugnisse der Aufsichtsbehörden gestärkt. Bergemann: „Das sind gute erste Schritte, aber die DSGVO ist eben nicht perfekt. Der Gesetzestext ist ein politischer Kompromiss. Die wirtschaftlichen Interessen, die damals gegen ein klareres Gesetz gewirkt haben, bremsen nun auch bei der Umsetzung.“
Die Digitale Gesellschaft spricht sich gegen Änderungen am Gesetzestext der DSGVO aus. Stattdessen unterbreitet sie acht Vorschläge, wie Aufsichtsbehörden und der Gesetzgeber die DSGVO zielführender anwenden und ihre Wirkung durch begleitende Gesetzgebung verbessern können.
Einer dieser Vorschläge ist, dass der Zusammenschluss der Aufsichtsbehörden (Europäischer Datenschutzausschuss) riskante wie auch legitime Anwendungsfälle automatisierter („algorithmischer“) Entscheidungssysteme benennt und klassifiziert. Zu den riskanten Anwendungsfällen zählt die DigiGes etwa Upload-Filter. „Als legitime Anwendungsfälle könnte man sich etwa Online-Werbung für Waren des täglichen Bedarfs oder bewährte IT-Systeme wie Spam-Filter oder Systeme zur Angriffserkennung in Computernetzwerken vorstellen.“, ergänzt Bergemann. „Insgesamt sind die Regeln zu den automatisierten Entscheidungen in der DSGVO löchrig. Wir brauchen Klarheit darüber, was überhaupt automatisierte Entscheidungen sind und welche rechtmäßig sind und welche nicht. Anderenfalls entscheiden die Datenverarbeiter das zu ihren Gunsten“, sagt Bergemann.
Ein weiteres Thema der Stellungnahme ist das Tracking im Internet. „Journalistische Angebote, Gesundheitsseiten und sogar Portale für Kinder sammeln Informationen über ihre Besucherinnen und Besucher, verknüpfen sie und nutzen sie zur Beeinflussung der Betroffenen. Das ist den meisten gar nicht klar“, sagt Bergemann. Die Digitale Gesellschaft fordert die Mitgliedstaaten deshalb auf, endlich die zur Regulierung von Tracking einschlägige Novelle der ePrivacy-Verordnung zu verabschieden.
Der Verein weist auch auf das Problem hin, dass die großen Digitalunternehmen und Technologiehersteller mit ihren Produkten einen zunehmenden gesellschaftlichen Einfluss ausüben. Die Digitale Gesellschaft spricht sich in diesem Zusammenhang für einen zweistufigen Ansatz aus. Zum einen müssten diese Unternehmen konsequent der Verpflichtung des Datenschutzes durch Technikgestaltung gemäß Artikel 25 DSGVO unterworfen werden. „Das ist einfach eine Frage der Auslegung. Derzeit müssen vor allem jene Organisationen den Kopf hinhalten, die Produkte der entsprechenden Unternehmen einsetzen. Das sind oft Produkte, die durch die jeweiligen Betreiber gar nicht datenschutzkonform einsetzbar sind und auf die sie keinen Einfluss haben. Das sehen wir etwa bei Betriebssystemen oder sozialen Netzwerken. Stattdessen sollten die Unternehmen selbst zur Verantwortung gezogen werden.“ Zum anderen warnt die DigiGes davor, die DSGVO als Universalwerkzeug zu missbrauchen. Zur Regulierung mächtiger Unternehmen müssten andere Instrumente wie das Wettbewerbsrecht genutzt werden.
Die Stellungnahme hat die Digitale Gesellschaft bereits Ende April dieses Jahres zusammen mit der Verbraucherzentrale Bundesverband zur Konsultation bei der Europäischen Kommission eingereicht. Die Europäische Kommission ist gemäß Artikel 97 DSGVO verpflichtet, die DSGVO regelmäßig zu überprüfen und zu bewerten. „Leider wird sich die Europäische Kommission wahrscheinlich nur auf das absolut notwendige Maß beschränken und die großen Fragen der DSGVO wie deren Wirksamkeit gegenüber großen Digitalunternehmen nicht ansprechen.“, sagt Bergemann.