Von Benjamin Bergemann
Datenschutz ist eine der zentralen Machtfragen des 21. Jahrhunderts. Datenschutz liegt quer zu vielen anderen Herausforderungen wie Umweltschutz, Migration, sozialer Gerechtigkeit und der Zukunft von Demokratie und Rechtsstaatlichkeit. Denn wo spielt Datenverarbeitung keine Rolle?
Die Geschichte der DigiGes ist eng verbunden mit der Reform des Datenschutzes, die zur heutigen Datenschutz-Grundverordnung (DSGVO) führte. Die DSGVO entstand in den ersten Jahren unseres Schaffens und begleitet uns seitdem. Bereits 2012 äußerten wir uns zum ersten Entwurf der Europäischen Kommission für ein neues Datenschutzrecht. Bereits damals beschrieben wir, was heute noch gilt: Die Grundpfeiler des Datenschutzes sind nach wie vor aktuell und grundrechtlich verbrieft (Artikel 8 EU-Grundrechtecharta). Hierzu gehören das Verbot mit Erlaubnisvorbehalt, nach dem jede Datenverarbeitung einer rechtlichen Grundlage bedarf, und die Zweckbindung als zentraler Prüfanker des Datenschutzes, ohne den Datenverarbeiter am Ende machen dürften, was sie wollen (Pohle, S. 141). Was heute – zum Glück – klingt wie eine Selbstverständlichkeit, stand während der Verhandlungen zur DSGVO auf dem Spiel.
Konservative und liberale Abgeordnete sowie das damals für die deutsche Position zuständige Bundesinnenministerium sägten zusammen mit den Lobbys der Verlage, der digitalen Werbeindustrie und den großen Digitalplattformen und anderen an den Grundpfeilern des Datenschutzes. Ihre Position ließ sich sinngemäß so zusammenfassen: Das Verbot mit Erlaubnisvorbehalt, die Zweckbindung und andere Grundsätze seien aus der Zeit gefallen und verhinderten Wertschöpfung im Zeitalter von Big Data – so das damalige Buzzword. Am Ende der Verhandlungen entstand jedoch eine DSGVO, die an den Grundprinzipien des Datenschutzes festhält und zum anderen neue, sinnvolle Datenschutzinstrumente wie die Folgenabschätzungen und den Datenschutz durch Technikgestaltung einführt.
Hierfür hat die DigiGes zusammen mit vielen anderen in der Zivilgesellschaft auf nationaler und europäischer Ebene gekämpft. Das Projekt LobbyPlag von Richard Gutjahr, Max Schrems und den Datenjournalisten von Open Data City skandalisierte den Lobby-Einfluss auf die DSGVO und gab den Ton für die politische Überzeugungsarbeit der Zivilgesellschaft an. Zur Wahrheit gehört aber auch, dass die DSGVO in einer einmaligen politischen Konstellation entstand, in der sich der federführende Berichterstatter des Europäischen Parlaments zusammen mit der zuständigen EU-Kommissarin gegen die Aufweichung des europäischen Datenschutzes und damit auf die Seite der Zivilgesellschaft stellte – verfilmt in der Dokumentation Democracy – Im Rausch der Daten. Hinzu kam der „Snowden-Effekt“. Die Enthüllungen über die beinahe allumfassende Überwachung der westlichen Geheimdienste führten lagerübergreifend zu einem Ruf nach einer starken DSGVO (S. 78), obwohl die DSGVO die Überwachung durch Geheimdienste nur mittelbar regeln kann, und zwar über die Regulierung von Unternehmen und Datentransfers in Drittstaaten.
Die Bedeutung der DSGVO
Die DSGVO bewahrt uns vor den größten Grundrechtsrisiken gut gemeinter, aber schlecht gemachter Digitalisierung. Sie bildet ein wichtiges Korrektiv, sowohl auf der Ebene der öffentlichen Debatte als auch bei der konkreten Gestaltung von Datenverarbeitungen. Aktuell können wir das in der Corona-Krise beobachten. Regierungen und Technologieunternehmen auf der ganzen Welt täuschen Handlungsfähigkeit vor, indem sie digitale Überwachung als Lösung für öffentliche Gesundheitsprobleme darstellen. Dass die deutsche Corona-Warn-App Kontaktdaten dezentral und nicht zentral erfasst, ist – trotz aller verbleibenden Probleme mit der App – eine wichtige Errungenschaft, die auch dem hohen gesetzlichen Datenschutzniveau und seines gesellschaftlichen Stellenwerts hierzulande zu verdanken ist. Die DSGVO ist neben freier Software und Verschlüsselung eines der aktuell wirksamsten Instrumente für eine grundrechtskonforme Digitalisierung. Sie macht viele gesellschaftliche Probleme wie Überwachung und Diskriminierung sowie grundlegende Anforderungen an Datenverarbeitung wie Nachvollziehbarkeit und IT-Sicherheit überhaupt erst rechtlich adressier- und auch sanktionierbar. Unverbindliche Algorithmen-Ethiken, wie sie vor allem Unternehmen vorschlagen, sind hiervon weit entfernt.
Die Zukunft der DSGVO
Und nun, sind wir damit schon zufrieden? Nein. Denn auch die DSGVO ist nicht perfekt, wie wir in unserer Stellungnahme zum zweijährigen Anwendungsbeginn der DSGVO im Mai 2020 schreiben. Man sieht der DSGVO an, dass sie ein politischer Kompromiss ist. Die DSGVO ist nur so stark wie ihre Umsetzung und Weiterentwicklung. Das treibt die DigiGes seit der Verabschiedung der DSGVO voran. Mit dem Projekt „Deine Daten. Deine Rechte“ haben wir Verbraucherinnen und Verbrauchern die DSGVO erklärt. Wir haben uns für die Konkretisierung der DSGVO in der Novelle des Bundesdatenschutzgesetzes eingesetzt und kämpfen weiterhin für die Verabschiedung der ePrivacy-Verordnung, die die DSGVO in den Bereichen der digitalen Kommunikation und der Online-Werbung konkretisieren soll. Wir sind Teil einer EU-weiten Beschwerde gegen unkontrollierte Onlinewerbe-Praktiken (Real-time Bidding). Nicht zuletzt halten wir die zentralen Datenschutzprinzipien in Spezialgesetzen wie denen zum Gesundheitsdatenschutz hoch.
Vielerorts wird Datenschützerinnen und Datenschützern vorgeworfen, dass Recht und Praxis auseinanderklaffen – zurecht. Das jüngste EuGH-Urteil hält Datenverarbeitung in den USA für kaum mit den Grundrechten vereinbar, während sich praktisch kaum etwas ändert. Für die Zivilgesellschaft ist das Auseinanderklaffen von Anspruch und Wirklichkeit jedoch nicht neu. Große politische Probleme und Konflikte sind kennzeichnend für soziale Bewegungen. Sie müssen über Jahre ausgetragen werden, um Erfolge zu erringen – man denke etwa an den Umweltschutz.
Im Ringen um eine bessere DSGVO sehen wir derzeit vor allem folgende konkrete Probleme:
1. Durchsetzungsdefizit: Hierzu ist gerade zum zweijährigen Anwendungsbeginn der DSGVO viel gesagt worden, etwa vom Datenschutzaktivisten Max Schrems, der die Untätigkeit der irischen Aufsichtsbehörde im Umgang mit den dort ansässigen Technologieunternehmen kritisiert. Der Datenschutzanwalt Peter Hense kritisiert auch die deutschen Aufsichtsbehörden, ihre Ausstattung, Prioritätensetzung und Koordination untereinander. Dieser Kritik schließen wir uns an, glauben, aber dass der Datenschutz nicht nur ein Durchsetzungsdefizit hat.
2. Auslegungsdefizit: Als eine der wenigen zivilgesellschaftlichen Organisation kritisieren wir in unserer Stellungnahme zum zweijährigen Anwendungsbeginn der DSGVO nicht nur ein Durchsetzungsdefizit, sondern auch ein Auslegungsdefizit. Damit meinen wir, dass die – notwendigerweise – allgemeinen Regelungen der DSGVO einer einheitlichen Auslegung bedürfen, durch Spezialgesetze, Richtlinien der Aufsichtsbehörden und Standardisierung. Die momentane Rechtsunsicherheit können ressourcenstarke Datenverarbeiter für sich nutzen – zu Lasten der Nutzenden und auch der kleinen Datenverarbeiter, die oft auf die Dienste von großen Cloud- und Social-Media-Anbietern angewiesen sind. Ein Beispiel hierfür ist der Streit um die Datenschutz-Verantwortung bei Social-Media-Angeboten: Sollten hier nicht die großen Plattformen statt der – für ihre Arbeit oft mehr oder weniger notwendig auf diesen Plattformen vertretenen – stärker in die Pflicht genommen werden, wie auch Peter Schaar, der ehemalige Bundesdatenschutzbeauftragte argumentiert?
3. Erwartungsdefizit: Unter dem Banner des Datenschutzes werden im Moment viele Grundsatzdiskussionen der Digitalisierung geführt, etwa wie man die Macht großer Plattformen brechen kann und wie wir mehr europäische, dezentrale digitale Infrastrukturen schaffen. Dem schließen wir uns gern an. Allerdings sollten wir das Datenschutzrecht nicht mit der Lösung dieser Fragen überfrachten. Es zeigt einen Teil der Probleme auf, die große Plattformen verursachen, kann diese aber nicht allein lösen. Wer das vom Datenschutzrecht erwartet, muss enttäuscht werden. Die Förderung von freier Software, datenschutzkonformer Infrastruktur und Reformen im Wettbewerbs- und Vergaberecht sind nur einige Beispiele für angemessenere Lösungen, an denen wir als digitale Zivilgesellschaft arbeiten sollten.
Über all diese Fragen möchten wir auch bei unserem 10. Geburtstag diskutieren mit dem Bundesdatenschutzbeauftragten Ulrich Kelber, Hannes Federrath, Professor für technischen Datenschutz und Vorsitzender der Gesellschaft für Informatik, und der Journalistin Anna Biselli, die sich in ihrer Arbeit zur Digitalisierung der Migrationskontrolle auch mit den damit einhergehenden Datenschutzproblemen beschäftigt hat.
Nicht zuletzt freuen wir uns darauf, in den nächsten zehn Jahren weiter für einen besseren Datenschutz zu kämpfen.
Bilder zum Thema Datenschutz aus dem Geburtstags-Logo
No PNR Demo: April 2015 Im Rahmen der Kampagne „Verfolgungsprofile. Kapier das Spiel – WIR sind das Ziel!“ haben wir am vergangenen 11.05.2015 gemeinsam mit anderen Gruppen am Flughafen Tegel gegen die geplante EU-weite Vorratsspeicherung von Reisedaten demonstriert.
Deine Daten Deine Rechte: Mai 2018 zu den neuen EU-Datenschutzregeln