Interviewzusammenfassung Rainer Stentzel
Interviewzusammenfassung Rainer Stentzel
Mit dem Projekt 360°-Sicht Datenschutz-Grundverordnung trägt die Ohu Digitale Privatheit und Öffentlichkeit dazu bei, dass die möglichen Auswirkungen dieses sehr komplexen Gesetzentwurfes vereinfacht dargestellt und somit besser verstanden werden können. Dafür wurden Interviews mit Experten aus allen Stakeholder-Gruppen durchgeführt und die Ergebnisse auf einer gesonderten Projektwebseite aufbereitet. Zur Vorstellung der Ergebnisse wurde außerdem Abendveranstaltung durchgeführt und eine Podcast-Reihe veröffentlicht.
Inhaltsverzeichnis |
Einwilligung der Nutzer
Welche Bedeutung sollte die Einwilligung der Nutzer zukünftig haben? In welchen Bereichen sollte sie wie angewendet werden?
Die Einwilligung ist das wirksamste Instrument zur Umsetzung der Rechte von Betroffenen und der informationellen Selbstbestimmung und hat eine wichtige Warnfunktion für den Betroffenen. Sie ist eine der Rechtsgrundlagen für die Verarbeitung personenbezogener Daten im privaten Bereich. Andere Rechtsgrundlagen sind die vertragliche Vereinbarung und das berechtigtes Interesse. Die Einwilligung sollte besonders bei Datenvearbeitungen mit hohem Risikopotential zum Einsatz kommen. Dadurch wird sichergestellt, dass sie ihre Warnfunktion für Betroffene nicht verliert. Es muss sichergestellt werden, dass die Einwilligung nicht als Generalvollmacht missbraucht werden kann. Das Instrument sollte so ausgelegt sein, dass angrenzende Rechtsgebiete, wie das Recht auf Informations- und Meinungsfreiheit, nicht unbillig eingeschränkt werden.
Rolle der Aufsichtsbehörden
Welche Rolle sollten die Aufsichtsbehörden zukünftig spielen?
Die Aufsichtsbehörden sind für den Vollzug der Datenschutzgesetze zuständig und nehmen damit eine überaus wichtige Funktion wahr. Die Datenschutzgrundverordnung muss insbesondere ihre Unabhängigkeit sicherstellen. Der Zusammenschluss der nationalen Datenschutzaufsichtsbehörden, der europäische Datenschutzausschuss, sollte für Abstimmung der nationalen Aufsichtsbehörden bei EU-weiten Problemstellungen zuständig sein. Sie stellt jedoch keine den nationalen Behörden übergeordnete Instanz dar. Für Verbraucher, Unternehmen und Institutionen sollten im Sinne des „one stop shopping“ die jeweiligen nationalen Datenschutzbehörden die federführenden Aufsichtsorgane sein.
Recht auf Vergessenwerden
Wie kann ein Recht auf Vergessenwerden ausgestaltet sein? Auf welche Bereiche sollte es angewendet werden?
Dieses Recht teilt sich derzeit in das bereits vorhandene Recht auf Löschung der Daten bei der verantwortlichen Stelle sowie die Informationspflicht zwecks Löschung bzgl. der Stellen, an die Daten weitergegeben worden sind. In diesem Sinne soll es nach den Vorstellungen der Kommission auf europäischer Ebene geregelt werden. Sofern es mit dem Recht auf Informations- und Meinungsfreiheit konkurriert, sollten beide Rechte in einem ausgeglichen Verhältnis zur Anwendung kommen. Die Entwicklung wirksamer technischer Werkzeuge zur Umsetzungen dieser Rechte ist eine Herausforderung für die es bisher noch keine zufriedenstellenden Lösungen gibt.
Übermittlung in Drittländer
Was sollte bei der Übermittlung von Daten in Drittländer geregelt werden?
Vor der Übermittlung von Daten in Drittländer, muss festgestellt werden, ob auch dort ein dem EU-Recht entsprechendes angemessenes Datenschutzniveau sichergestellt ist. Dies entspricht dem geltenden Recht, d.h. die bestehenden sogenannten Angemessenheitsbeschlüsse basieren auf einem Vergleich des Datenschutzniveaus der Drittstaaten mit dem der EU-Datenschutzrichtlinie 95/46. Zu prüfen ist, ob nach Verabschiedung der Datenschutzgrundverordnung schon bestehende Angemessenheitsbeschlüsse übernommen werden können oder erneuert werden müssen. Dabei ist zu bedenken, dass mit der Datenschutz-Grundverordnung ein höheres Datenschutzniveau im Vergleich zur geltenden Richtlinie 95/46 geschaffen werden soll, was durch das Kohärenzverfahren der Aufsichtsbehörden einheitlich umgesetzt werden soll. Vor diesem Hintergrund sollte sichergestellt sein, dass die Datenschutzbehörden im Drittland in die Verfahren zur einheitlichen Auslegung der Datenschutzgesetze einbezogen werden. Andernfalls besteht das Risiko, des Forum-Shopping in Drittstaaten mit Angemessenheitsbeschlüssen. Auf diese Weise könnten Kontrollmechanismen umgangen werden. Dies wollen wir verhindern. Wichtig ist zudem das Instrument der „Binding Corporate Rules“. Sie helfen dabei, die Datenschutzvorgaben bei Transferns in Drittländern durchzusetzen. In der Zusammenarbeit mit Drittländern sollten durch die EU auch deren nationale Entwicklungsimpulse aufgegriffen und vorangetrieben werden. So wird der europäische Datenschutz schneller mit dem in Drittländern kompatibel.
Öffentliche-/ nich-öffentliche Stellen
Worin sehen Sie die Unterschiede zwischen Datenschutz in öffentlichen und nicht-öffentlichen Stellen?
Der Datenschutzbestimmungen unterscheiden sich für öffentliche und nicht-öffentliche Stellen, weil bei den Beziehung zwischen Staat und Bürger einerseits und zwischen Unternehmen und Bürgern andererseits eine unterschiedliche grundrechtliche Ausgangslage besteht. Zudem ist der Harmonisierungsbedarf im Bereich des Binnenmarktes, also der Wirtschaft, höher. Die Unterscheidung in Datenschutzvorgaben für den öffentlichen und nicht-öffentlichen Bereich ist dager sinnvoll. Es wird nahezu unmöglich sein, die hohe Regelungsdichte zum Thema Datenschutz aus dem öffentlichen Bereich auf die EU-Ebene zu übertragen. Deshalb soll die Datenschutzgrundverordnung vorwiegend einen einheitlichen Rahmen für den nicht-öffentlichen Bereich vorgeben, der dann in den jeweiligen Ländern durch die nationalen Unternehmen und Behörden umgesetzt und konkretisiert werden sollte.
Datenportabilität
Welche Bedeutung messen Sie dem Recht auf Datenportabilität bei?
Dieses Recht ist in bestimmten Konstellationen, wie z.B. bei der Nutzung sozialer Netzwerke, in die man viele Daten selbst eingibt, sinnvoll und sollte für diese Fälle geschaffen werden. In diesen Bereichen fördert es den Wettbewerb der Anbieter. Wenn es darüber hinaus geht kann es zu Problemen führen. Hierzu gehört auch die Konkurrenz mit dem Recht auf Schutz des geistigen Eigentums. Wenn ein Pharmahersteller Daten für eine Studie erhebt, kann der Betroffene nicht die Ergebnisse der Studie als „seine Daten“ herausverlangen und diese an die Konkurrenz veräußern. Die Gesetzgebung muss eine Lösung finden, die alle konkurrierenden Rechte angemessen berücksichtigt und die Anwendungsbereiche gegeneinander abgrenzt.
Profiling
Wie und wofür sollte Profiling reguliert werden? Wenn es nicht reguliert werden sollte, warum nicht?
Die Datenschutzgrundverordnung muss dem Betroffenen auch Schutz gegenüber Profilbildungen gewährleisten. Besonders wenn auf der Basis von Profilen Entscheidungen getroffen werden, die für Betroffene diskriminierende Wirkung haben, werden wirksame Schutzmechanismen benötigt. Erschwerend wirkt sich aus, dass der Begriff des Profiling bisher nur unscharf definiert ist. Die Datenschutzgrundverordnung darf nicht hinter die bestehende Praxis und Rechtslage zurückfallen, Betroffene vor den Folgen automatisierter Einzelentscheidungen zu schützen. Das Profiling sollte zudem um Regelungen erweitert werden, die schon im Vorfeld der Profilbildung ansetzen. Die Vorgaben aus dem Telemediengesetz hinsichtlich Datensparsamkeit, Nutzung für Werbezwecke, Anonymisierung und Pseudonymisierung könnten dazu in die Datenschutzgrundverordnung übernommen werden. Das Profiling sollte für möglichst viele Anwendungsgebiete geregelt werden und sich nicht nur auf das Kreditscoring beziehen. Das Rechtsgebiet wird zukünftig noch weiter entwickelt werden müssen.
Informations- und Meinungsbildung
Welches Auswirkungen hat aus Ihrer Sicht die zukünftige Datenschutzgrundverordnung auf die Informations- und Meinungsbildungsprozesse?
Die Regelungen in der DSGV und die Rechte auf Informations- und Meinungsfreiheit sind besonders dann konkurrierende Rechte, wenn es um Daten aus öffentlichen Medien geht. Es sollten Fallgruppen definiert werden, für die es besonders wichtig ist, beide Rechte zum Ausgleich zu bringen. Die Risiken bestehen darin, dass entweder der Schutz von Betroffenen nicht ausreichend ist oder Privatpersonen sich aus Angst vor Datenschutzverstößen ihre Meinung nicht mehr äußern. Die Datenschutzgrundverordnung sollte Regelungen zum Schutz der Informations- und Meinungsfreiheit enthalten. Keinesfalls darf der grundgesetzliche Schutz der Meinungs- und Pressefreiheit einseitig zugunsten eines europäischen Datenschutzrechts verengt werden.
Weitere Punkte
Welche oben nicht angesprochenen Themenbereiche sind Ihnen bezüglich der zukünftigen Datenschutzgrundverordnung noch wichtig mitzuteilen?
Die Rechte und Pflichten aus der zukünftigen Datenschutzgrundverordnung müssen europaweit nach dem Kohärenzprinzip umgesetzt und aktuell bestehende Vollzugsdefizite dadurch abgebaut werden. Die Datenschutzbehörden können dies jedoch nicht allein leisten. Sie sind auf Unterstützung durch die Unternehmen und Institutionen angewiesen. Das Instrument der betrieblichen Datenschutzbeauftragten, das wir in Deutschland seit langem kennen, sollte deshalb auf jeden Fall erhalten bleiben. Sie haben sich als wirksamer Mittler im Interessenausgleich zwischen Unternehmerinteressen und den Betroffenen erwiesen.
Selbstregulierung von Unternehmen und Institutionen ist ein weiterer wichtiger Pfeiler bei der Umsetzung von Datenschutzvorgaben. Sie ist jedoch kein Instrument welches gesetzliche Regelungen ersetzt. Im Rahmen der Selbstregulierung verpflichten sich Unternehmen und Institutionen in Zusammenarbeit mit den Aufsichtsbehörden und Verbrauchervertretern auf Prozeduren, mit denen Datenschutzvorgaben in den Branchen umgesetzt werden. Diese bereichsspezifischen Regelungen können schneller an sich ändernde Gegebenheiten angepasst werden, als gesetzliche Regelungen. Sie wirken positiv auf die Rechtssicherheit der Unternehmen bei der Umsetzung von Datenschutzvorgaben. Es bietet sich hier an, auf die bewährten Mechanismen, wie z.B. der DIN Normierung zurückzugreifen.