Skip to main content

Datensparsamkeit dient nicht nur dem Schutz der Grundrechte, sondern bietet auch Wettbewerbsvorteile

Immer wieder stellen Politiker das Prinzip der Datensparsamkeit in Frage. Das wissenschaftliche Expertengremium „Forum Privatheit“ räumt in seinem neuesten Policy Paper mit einigen Missverständnissen auf und erklärt, warum Datensparsamkeit unions- und verfassungsrechtlich geboten ist und wie sie Wettbewerbsvorteile sichern kann.

Auch wenn einige Politiker Datensparsamkeit für überholt halten, weil sie ein Hemmnis des Fortschritts sei und daher vehement fordern, sich vom Minimierungsgebot von Daten zu verabschieden, vertritt der „Forum Privatheit“-Sprecher  und Rechtswissenschaftler der Universität Kassel Prof. Dr. Alexander Roßnagel eine andere Position: „Diese Aussagen verkennen den Inhalt des Gebots der Datensparsamkeit und bedürfen der sachlichen und differenzierten Betrachtung. Das Prinzip der Datensparsamkeit zielt gar nicht auf die Menge der Daten an sich, sondern ausschließlich auf ihren Personenbezug.“

Der Personenbezug kann mit geeigneten Verfahren vermieden werden

Datensparsamkeit steht somit nicht im Widerspruch zur Verarbeitung vieler Daten. Sie greift nur bei Daten, die sich auf einzelne natürliche Personen beziehen lassen. „Mit der Zielsetzung des Persönlichkeitsschutzes ist das Prinzip der Datensparsamkeit dann erfüllt, wenn der Personenbezug von Daten vermieden wird. Das bedeutet: Von den Daten kann nicht auf eine bestimmte natürliche Person geschlossen werden. Diese Anforderung lässt sich mit Methoden der Aggregation und Anonymisierung oder mit geeigneten Verfahren der Pseudonymisierung erfüllen“, erklärt Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein und Mitglied des „Forum Privatheit“.

Das Prinzip der Datensparsamkeit wurde gerade durch die neuesten Datenschutzregeln der Europäischen Union bestätigt: Sowohl die europäische Datenschutz-Grundverordnung als auch die Richtlinie für den Datenschutz bei Polizei und Justiz, die beide ab Mai 2018 in den Mitgliedstaaten gelten bzw. von diesem umgesetzt sein müssen, enthalten die Forderung nach Minimierung der personenbezogenen Daten.

„Datensparsamkeit ist sowohl durch das Grundrecht auf Datenschutz der Grundrechtecharta der Europäischen Union geboten als auch durch das Grundrecht auf informationelle Selbstbestimmung vom Grundgesetz gefordert. Sie aufzugeben, hieße gegen das deutsche Grundgesetz und die europäische Grundrechtecharta zu verstoßen“, warnt Roßnagel.

Smart ist gefragt

Der Grundsatz der Datensparsamkeit ist für viele Innovationen, die auf der Auswertung großer Mengen von Daten beruhen, gar nicht hinderlich. Er beschränkt die Datenverarbeitung nicht, soweit Daten verarbeitet werden, die nicht personenbezogen sind. Smart Data, die aus Unternehmen oder Behörden, die aus Maschinen oder Infrastrukturen stammen, die naturwissenschaftliche Phänomene abbilden, die meteorologische oder geographische Zusammenhänge erfassen oder die sonstige – nicht einer bestimmten natürlichen Person zugeordnete – Angaben enthalten, können nicht gegen den Grundsatz der Datensparsamkeit verstoßen. Dies gilt sogar für – ansonsten sehr sensitive – medizinische oder epidemiologische Daten über Krankheitsursachen, -verläufe oder -behandlungen. Kein Verstoß entsteht z.B. auch bei Beobachtungen des Verkehrsgeschehens und der gesellschaftlichen Mobilität. Aber auch der Umgang mit personenbezogenen Daten ist mit dem Grundsatz vereinbar, wenn sie vor ihrer weiteren Verarbeitung aggregiert, anonymisiert oder mit geeigneten Verfahren pseudonymisiert worden sind.

Ein Widerspruch zum Gebot der Datensparsamkeit kann nur dann entstehen, wenn personen-bezogene Daten erhoben, gesammelt und bezogen auf eine ganz bestimmte Person ausgewertet werden. Dies ist dann kein Problem, wenn die betroffene Person informiert, freiwillig und selbstbestimmt eine auf sie zugeschnittene Dienstleistung in Anspruch nimmt, die die Verarbeitung ihrer personenbezogenen Daten erfordert. Dies verstößt jedoch gegen den Grundsatz der Datensparsamkeit, wenn die Datenverarbeitung – ohne dass dies funktional erforderlich ist oder von der betroffenen Person ausdrücklich gebilligt wurde – zum Ziel hat, ihr Verhalten zu beobachten, vorherzusagen und zu beeinflussen. In diesen Fällen greift diese Datenverarbeitung in die Grundrechte der jeweils betroffenen Person ein.

Wettbewerbsvorteil durch Vertrauensvorsprung

Eindeutig erkennbare Datensparsamkeit kann jedoch für Unternehmen Vorteile bringen, wenn sie dadurch das Vertrauen in die Fairness ihrer Dienstleistungen erhöhen können. „Dies kann auch das Verhalten der Nutzenden in der Online-Kommunikation positiv beeinflussen. Mit dem Wissen, dass ihre Nachrichten oder Beiträge nicht mit ihrer Person in Verbindung gebracht werden, dürften Nutzende eher bereit sein, z.B. an Online-Diskursen im Rahmen politischer oder gesellschaftlicher Debatten teilzunehmen“, erklärt der Sozialpsychologe Dr. German Neubaum, Universität Duisburg-Essen und Mitglied des „Forum Privatheit“.

Negative Effekte hätte die konsequente Umsetzung der Forderung nach Datensparsamkeit eigentlich nur für jene Unternehmen, deren Geschäftsmodell alleine darauf basiert, Dienste im Internet ohne Entgelt anzubieten und dafür alle erreichbaren Daten der Nutzenden auszuwerten, um darüber besonders hohe Werbeerlöse zu erzielen. Entscheidend ist dabei die Frage nach gleichen und damit fairen Wettbewerbsbedingungen.

Race-to-the-bottom oder Race-to-the-top?

„Eine Politik, die hinsichtlich der Datensparsamkeit für gleiche Wettbewerbsbedingungen sorgen will, kann entweder einen Wettbewerb der Staaten unterstützen, sich gegenseitig bei ihren Datenschutzstandards zu unterbieten. Sie kann aber auch, wie einige positive Beispiele zeigen und das Verfassungsrecht der Union und Deutschlands fordern, eine Angleichung der Standards nach oben anstreben. Gerade Deutschland könnte seinen Einfluss nutzen und höhere Datenschutzstandards zunächst innerhalb der Europäischen Union durchsetzen und auch auf dem internationalen Parkett, etwa im Rahmen der Vereinten Nationen und des Europarats, stärker für deren globale oder regionale Verbreitung eintreten“ , fasst das Forum-Privatheit-Mitglied Prof. Dr. Thomas Hess, Wirtschaftsinformatiker an der Ludwigs-Maximilians-Universität München zusammen.

Das Policy Paper „Datensparsamkeit“ bietet grundlegende Informationen über das Prinzip der Datensparsamkeit und diskutiert dessen Inhalt, Grundlagen, Vor- und Nachteile.


Im vom BMBF geförderten Forum Privatheit setzen sich Expertinnen und Experten aus sieben wissenschaftlichen Institutionen interdisziplinär mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert, Partner sind das Fraunhofer SIT, die Universität Duisburg-Essen, das Wissenschaftliche Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel, die Eberhard Karls Universität Tübingen, die Ludwig-Maximilians-Universität München sowie das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein.

Sprecher des Forums Privatheit:

Prof. Dr. Alexander Roßnagel
Universität Kassel
Projektgruppe verfassungsverträgliche Technikgestaltung (provet)
Forschungszentrum für interdisziplinäre Technik-Gestaltung (ITeG)
Tel: 0561/804-3130 oder 2874
E-Mail: a.rossnagel@uni-kassel.de

Projektkoordination Forum Privatheit:

Dr. Michael Friedewald

Fraunhofer-Institut für System- und Innovationsforschung ISI
Competence Center Neue Technologien
Tel.: 0721 6809-146
E-Mail: Michael.Friedewald@isi.fraunhofer.de

Presse und Kommunikation Forum Privatheit:

Barbara Ferrarese, M.A.
Fraunhofer-Institut für System- und Innovationsforschung ISI
Tel.: 0721 6809-678
E-Mail: presse@forum-privatheit.de

Forum „Privatheit und selbstbestimmtes Leben in der digitalen Welt“
https://www.forum-privatheit.de/forum-privatheit-de/index.php
Twitter: @ForumPrivatheit
Forum „Privatheit und selbstbestimmtes Leben in der digitalen Welt‘
https://www.forum-privatheit.de/forum-privatheit-de/index.php
Twitter: @ForumPrivatheit

Die deutsche Regelung zur Vorratsdatenspeicherung ist nicht mit EU-Recht vereinbar

Das Expertengremium „Forum Privatheit“ fordert, die bisherige Regelung zur Vorratsdatenspeicherung aufzuheben

Presseinformation Forum Privatheit – 30. Juni 2017

Ab dem 1. Juli 2017 sollten alle Telekommunikationsdienstleister sämtliche Verkehrsdaten öffentlich zugänglicher Telefon- und ähnlicher Dienste für zehn Wochen speichern – ohne konkreten Anlass. Bei mobilen Telekommunikationsdiensten sind zusätzlich die Standortdaten für vier Wochen zu aufzubewahren.

„Die Regelung zur Vorratsdatenspeicherung verstößt gegen die EU-Grundrechte-Charta und darf daher nicht umgesetzt werden“, so der Rechtswissenschaftler Prof. Dr. Alexander Roßnagel, Sprecher des Forums Privatheit. Auch das Oberverwaltungsgericht des Landes Nordrhein-Westfalen sah dies so und verbot in einem Beschluss zum vorläufigen Rechtsschutz am 22.6.2017 die Umsetzung der Speicherpflicht. Für diese Entscheidung berief es sich ebenfalls auf einen Verstoß gegen das Recht der Europäischen Union. Dieser Beschluss ist unanfechtbar und verhindert effektiv den Beginn der Vorratsdatenspeicherung zum 1.7.2017.

Das Oberverwaltungsgericht Nordrhein-Westfalen hatte sich bei seinem Beschluss auf zwei Entscheidungen des Europäischen Gerichtshofs (EuGH) berufen. „Beide Urteile führen dazu, dass eine Vorratsdatenspeicherung, wie wir sie bisher kennen, unzulässig ist. Sie darf daher nicht nur vorläufig, sondern muss endgültig ausgeschlossen sein“, fordert Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein und Mitglied des Forums Privatheit.

EuGH: Der Grundrechtseingriff ist nicht auf das absolut Notwendige beschränkt

Bereits am 8.4.2014 hob der EuGH die europäische Richtlinie zur Vorratsdatenspeicherung wegen Verstoßes gegen die Grundrechte-Charta auf. Zwar sei die Bekämpfung von Terrorismus und Schwerstkriminalität eine „dem Gemeinwohl dienende Zielsetzung der Union“. Sie vermöge dennoch eine Vorratsdatenspeicherung nicht zu rechtfertigen, wenn der damit verbundene Grundrechtseingriff nicht „auf das absolut Notwendige“ beschränkt sei. Diese Anforderung verfehlte die Richtlinie nach Einschätzung des EuGH, weil sie eine flächendeckende, anlass- und ausnahmslose Speicherung aller Telekommunikationsverkehrsdaten anordnete.

Obwohl die Aussagen des Gerichts klar und eindeutig sind, hatte der deutsche Gesetzgeber 2015 dennoch ein Gesetz zur flächendeckenden, anlass- und ausnahmslosen Vorratsdatenspeicherung beschlossen. Ähnliche Gesetze haben auch Schweden und Großbritannien erlassen.

Auch diese beiden Gesetze hat der EuGH mit seinem Urteil vom 21.12.2016 für nicht mit dem EU-Recht vereinbar erklärt. Nach dem Urteil beschränke eine nationale Regelung, die „die allgemeine und unterschiedslose Vorratsspeicherung sämtlicher Verkehrs- und Standortdaten vorsieht“, die damit verbundenen Grundrechts­eingriffe nicht auf das „absolut Notwendige“. Sie mache die Vorratsdatenspeicherung zur Regel, obwohl sie „die Ausnahme zu sein hat“. Eine Regelung zur Vorratsdatenspeicherung gehe immer dann zu weit, wenn sie „sich allgemein auf alle Teilnehmer … erstreckt und alle elektronischen Kommunikationsmittel sowie sämtliche Verkehrsdaten erfasst“ und „keine Differenzierung, Einschränkung oder Ausnahme in Abhängigkeit von dem verfolgten Ziel“ vorsehe. Eine Vorratsdatenspeicherung ist immer dann unverhältnismäßig, wenn sie „keinen Zusammenhang zwischen den Daten, deren Vorratsspeicherung vorgesehen ist, und einer Bedrohung der öffentlichen Sicherheit“ verlange. Dies sei insbesondere dann der Fall, wenn „sie die Vorratsspeicherung weder auf die Daten eines Zeitraums und/oder eines geografischen Gebiets und/oder eines Personenkreises, der in irgendeiner Weise in eine schwere Straftat verwickelt sein könnte, noch auf Personen, deren auf Vorrat gespeicherte Daten aus anderen Gründen zur Bekämpfung von Straftaten beitragen könnten“, beschränke.

„Was für Schweden und Großbritannien gilt, gilt auch für Deutschland. Auch hier ist eine alle Nutzenden erfassende, anlasslose, flächendeckende und personell, zeitlich und geografisch undifferenzierte Speicherung aller relevanten Telekommunikationsverkehrsdaten unzulässig“, erklärt Jurist Roßnagel und erläutert:

  • Eine Vorratsdatenspeicherung ist nach Unionsrecht allenfalls zulässig, wenn ein ausreichender Anlass besteht.
  • Sie darf nur die Personen erfassen, die einen Anhaltspunkt für einen Bezug zu schweren Straftaten bieten.
  • Sie muss auf die Region und den Zeitraum begrenzt sein, für die der Anlass gilt.
  • Sie darf nur die Telekommunikationsmedien betreffen, die für den Anlass relevant sind, und nur die Daten erfassen, die für die Aufklärung der Straftat unerlässlich sind.“

Diese Anforderungen erfüllten die deutschen Regelungen zur Vorratsdatenspeicherung jedoch in keiner Weise. „Eine Vorratsdatenspeicherung, wie sie bisher in der deutschen Innenpolitik diskutiert wurde, ist europarechtswidrig“, fasst Marit Hansen zusammen. Und ergänzt: „Der Gesetzgeber beschließt stetig neue Gesetze, die eine umfassende Überwachung der Bevölkerung ermöglichen. Nach der Rechtsprechung des Bundesverfassungsgerichts darf es aber keine Totalüberwachung geben. Bereits 2010 haben die Richterinnen und Richter dem Gesetzgeber eine Überwachungs-Gesamtrechnung auferlegt. Diese rote Linie würde jedenfalls mit einer umfassenden Vorratsdatenspeicherung überschritten.“ 


Im vom BMBF geförderten „Forum Privatheit“ setzen sich Experten aus sieben wissenschaftlichen Institutionen interdisziplinär mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert, Partner sind das Fraunhofer SIT, die Universität Duisburg-Essen, das Wissenschaftliche Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel, die Eberhard Karls Universität Tübingen, die Ludwig-Maximilians-Universität München sowie das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein.

 

Sprecher „Forum Privatheit“:

Prof. Dr. Alexander Roßnagel
Universität Kassel
Projektgruppe verfassungsverträgliche Technikgestaltung (provet)
Forschungszentrum für interdisziplinäre Technik-Gestaltung (ITeG)
Tel: 0561/804-6544 oder 2874
E-Mail: a.rossnagel@uni-kassel.de

 

Projektkoordination „Forum Privatheit“:

Dr. Michael Friedewald

Fraunhofer-Institut für System- und Innovationsforschung ISI

Competence Center Neue Technologien

Tel.: 0721 6809-146

E-Mail: Michael.Friedewald@isi.fraunhofer.de

 

Presse und Kommunikation „Forum Privatheit“:

Barbara Ferrarese, M.A.

Fraunhofer-Institut für System- und Innovationsforschung ISI

Tel.: 0721 6809-678

E-Mail: presse@forum-privatheit.de

 

Forum „Privatheit und selbstbestimmtes Leben in der digitalen Welt“

https://www.forum-privatheit.de/forum-privatheit-de/index.php

Twitter: @ForumPrivatheit

Ohne Selbstschutzmaßnahmen ist die Privatheit in öffentlichen WLANs gefährdet: Das Expertengremium Forum Privatheit gibt Empfehlungen

Eine stärkere Verbreitung öffentlicher WLANs wird in Deutschland ebenso nachdrücklich gefordert wie abgelehnt. Das interdisziplinär besetzte Expertenteam Forum Privatheit hat die widerstreitenden Interessen der Akteure aus Politik, Wirtschaft und Gesellschaft sowie die aktuelle Rechtslage untersucht und daraus Handlungsempfehlungen für WLAN-Nutzer und -Betreiber abgeleitet.
 
Wer Smartphones, Tablets und andere mobile Endgeräte hat, will auch im öffentlichen Raum eine preiswerte, breitbandige Internetverbindung nutzen können. Da aber Kapazitäts- und Geschwindigkeitsbeschränkungen der meisten Mobilfunktarife die mobile Internetnutzung einschränken, bieten immer mehr gewerbliche und kommunale Akteure öffentliche WLANs an. Diese versprechen eine komfortable und kostenlose Internetverbindung. Im internationalen Vergleich befindet sich Deutschland bezüglich der Verbreitung öffentlicher WLANs allerdings immer noch auf den hinteren Plätzen. Als Hauptgrund galt die so genannte Störerhaftung, die private und gewerbliche Betreiber für Rechtsverletzungen der Nutzer verantwortlich machte. Die Novelle des Telemediengesetzes vom 2. Juni 2016 sollte dieses Hemmnis beseitigen, doch besteht wegen unklarer Regelungen dieses Gesetzes und eines Urteils des Europäischen Gerichtshofs vom September 2016 weiterhin Unsicherheit über die Haftung und die Pflichten von WLAN-Betreibern. Das Forum Privatheit regt an, hier Rechtssicherheit zu schaffen.
 
Insbesondere weist das Forum darauf hin, dass in der bisherigen Debatte die Risiken der WLAN-Betreiber im Vordergrund stehen, die Risiken für die Nutzenden jedoch kaum diskutiert werden.
 
In seinem aktuellen White Paper „Privatheit in öffentlichen WLANs“ kommt das Forum Privatheit zu dem Schluss, dass es in den meisten öffentlichen WLANs eine Vielzahl von Ausspäh- und Zugriffsmöglichkeiten auf personenbezogene oder -beziehbare Daten gibt. Tracking und Profilbildung können für viele Nutzende durchaus Auswirkungen haben, die von ihnen als positiv empfunden werden. Beispielsweise können auf Grundlage von Standortdaten und Bewegungsprofilen spezielle Angebote gemacht werden. Zugleich birgt diese Art des Kundentrackings auf Basis von WLAN-Signalen aber auch Risiken für die informationelle Selbstbestimmung. Eine wichtige Maßnahme gegen Tracking ist die Deaktivierung der automatischen Anmeldung bei bekannten Netzwerken.
 
Daneben besteht bei öffentlichen WLANs auch ein erhöhtes Risiko von Angriffen durch Hacker. Bei fehlender Verschlüsselung können diese den Datenverkehr von WLAN-Nutzern leicht abhören und beispielsweise Passwörter ausspähen. Das Forum Privatheit empfiehlt den Nutzenden in dem White Paper daher mehrere vorbeugendeSchutzmaßnahmen. Beispielsweise sollten keine vertraulichen Daten über nicht vertrauenswürdige Netze kommuniziert werden. Für diese Daten wird eine sichere Verbindung benötigt. Wenn ein virtuelles privates Netzwerk (VPN) eines vertrauenswürden Anbieters genutzt wird, verfügen die Nutzenden über eine solche Verbindung.
Betreiber sollten ihre WLANs so konfigurieren, dass sie nicht als Instrument von Ausspähung und Überwachung dienen können. Damit wird auch das Risiko verringert, gegen Datenschutzrecht zu verstoßen.
 
Im vom BMBF geförderten Forum Privatheit setzen sich nationale und internationale Expertinnen und Experten interdisziplinär mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert, Partner sind das Fraunhofer SIT, die Universität Duisburg-Essen, die Universität Kassel, die Eberhard Karls Universität Tübingen, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein sowie die Ludwig-Maximilians-Universität München. Die Forschungsergebnisse des Forums Privatheit fließen dabei nicht nur in den wissenschaftlichen Diskurs ein, sondern sollen auch Bürgerinnen und Bürger über Fragen des Privatheitsschutzes informieren.
 
Link zum White Paper: https://www.forum-privatheit.de/forum-privatheit-de/texte/veroeffentlichungen-des-forums/themenpapiere-white-paper/Forum-Privatheit-White-Paper-Privatheit-in-oeffentlichen-WLANs_web.pdf
Sprecher Forum Privatheit:
Prof. Dr. Alexander Roßnagel

Universität Kassel

Projektgruppe verfassungsverträgliche Technikgestaltung (provet)

Forschungszentrum für interdisziplinäre Technik-Gestaltung (ITeG)

Tel.: 0561/804-6544 oder 2874

E-Mail:
a.rossnagel@uni-kassel.de

Projektkoordination Forum Privatheit:
Dr. Michael Friedewald

Fraunhofer-Institut für System- und Innovationsforschung ISI

Competence Center Neue Technologien

Tel.: 0721 6809-146

E-Mail:
Michael.Friedewald@isi.fraunhofer.de

Presse und Kommunikation Forum Privatheit:
Barbara Ferrarese, M.A.

Fraunhofer-Institut für System- und Innovationsforschung ISI

Tel.: 0721 6809-678

E-Mail:
presse@forum-privatheit.de 

Forum „Privatheit und selbstbestimmtes Leben in der digitalen Welt“        
https://www.forum-privatheit.de/forum-privatheit-de/index.php
Twitter: @ForumPrivatheit

Spot on „Autonomes Fahren“

Am Dienstag, den 30. Mai 2017 startet mit „Spot On“ eine neue kleine Veranstaltungsreihe des Fraunhofer ISI, in dem es um aktuelle Technologieentwicklungen geht. Das Fraunhofer ISI will damit den Dialog  zum Austausch zwischen Wissenschaft und Entscheidern in Politik und Wirtschaft anregen.

Am  30. Mai 2017  geht es um das Thema „Autonomes Fahren – Perspektiven für Nachhaltigkeit und Industrie“. Wir betrachten Implikationen und Veränderungen durch das Autonome Fahren. Hiermit verbundene Themen wie Privatheit, Datenschutz und -sicherheit, Nachhaltigkeit sowie Akzeptanz des Autonomen Fahrens werden ebenfalls angesprochen.

Ort: Fraunhofer Forum Berlin, Anna-Louisa-Karsch-Straße 2, 10178 Berlin
Zeit: 30.5.2017, ab 11:30 Uhr

Neues Datenschutzgesetz – Forum Privatheit empfiehlt Nachbesserungen

Bundestag und Bundesrat beraten derzeit über ein neues Bundesdatenschutzgesetz, das an die EU-Datenschutz-Grundverordnung angepasst und Anfang April 2017 verabschiedet werden soll. Um den Gesetzgeber zu unterstützen, haben Expertinnen und Experten des „Forum Privatheit“ konkrete Vorschläge zur Verbesserung des Gesetzentwurfs erarbeitet, die bei der Umsetzung der europäischen Datenschutz-Grundverordnung in Deutschland helfen sollen. Diese Vorschläge erscheinen in der Mai-Ausgabe der Fachzeitschrift „Datenschutz und Datensicherheit“ (DuD). 

„Damit die europäische Datenschutzreform gelingt und die Datenschutz-Grundverordnung erfolgreich in Wirtschaft und Verwaltung umgesetzt werden kann, sind unterstützende nationalstaatliche Regelungen erforderlich. Dem wird der Entwurf des neuen Bundesdatenschutzgesetzes nicht gerecht“, so Professor Alexander Roßnagel von der Universität Kassel, der gleichzeitig Sprecher des Forschungsverbundes „Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt“ ist. 

Wichtige Vorschläge des Forums sind unter anderem:

  • Die Regelungen zur erweiterten Videoüberwachung durch private Unternehmen und die Einschränkungen der Rechte der Betroffenen zugunsten privater Datenverarbeiter sollten aus dem Gesetzesentwurf gestrichen werden. Sie verstoßen gegen die Datenschutz-Grundverordnung und riskieren Vertragsverletzungsverfahren vor dem Europäischen Gerichtshof.
  • Es sollte wie bisher im Gesetz geregelt sein, wie der Verantwortliche seine Datenverarbeitungsprozesse zu organisieren hat, um Betroffenenrechten entsprechen zu können. Der vorgelegte Regierungsentwurf hingegen stellt die Rechte der Betroffenen (z.B. auf Auskunft oder auf Datenlöschung) unter den Vorbehalt, dass sie keinen „unverhältnismäßigen Aufwand“ verursachen und die „Geschäftszwecke nicht erheblich gefährden“. Damit läge es in der Hand des Datenverarbeiters, durch die Wahl seiner Geschäftszwecke und die Organisation seiner Datenverarbeitung Betroffenenrechte auszuschließen.
  • Im Datenschutzrecht sollten Regelungen für Hersteller von IT-Anwendungen aufgenommen werden. „Nur wenn die Software es zulässt, kann der Datenverarbeiter seine datenschutzrechtlichen Pflichten erfüllen. Daher sind Anforderungen an Hersteller notwendig, ihre Software datenschutzgerecht zu gestalten“, so Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein und Mitglied des Forum Privatheit.
  • Weiterhin schlägt das Forum Privatheit auch Konkretisierungen der neuen Verarbeiterpflichten zur datenschutzfreundlichen Gestaltung der Verarbeitungsprozesse und datensparsamer Voreinstellungen vor: So stellt Marit Hansen klar, dass „der vielversprechende Ansatz der europäischen Datenschutz-Grundverordnung ohne diese Konkretisierungen nie Wirklichkeit werden kann.“
  • Die Anforderungen an die Datensicherheit und an den technischen Datenschutz sind um die Anforderungen der Nichtverkettbarkeit und der Intervenierbarkeit zu ergänzen: Nichtverkettbarkeit soll sicherstellen, dass die von Internetnutzern hinterlassenen Datenspuren nicht zu einem Profil verknüpft werden können. Intervenierbarkeit soll gewährleisten, dass der Datenverarbeiter jederzeit in der Lage ist, die Rechte des Betroffenen auf Auskunft, Korrektur und Löschung seiner Daten umzusetzen. Außerdem wären Schnittstellen zu Selbstdatenschutz-Tools zu schaffen.
  • Auch sollte das Gesetz die neuen, in der Verordnung nur unzureichend geregelten Vorgaben zur Datenschutz-Folgenabschätzung, zu Verhaltensregeln und zur Zertifizie­rung von Verarbeitungsvorgängen so präzisieren, dass sie in Deutschland rechtssicher umgesetzt werden können. So fehlen z.B. Regelungen, die die Rechtsfolgen dieser neuen Datenschutzinstrumente beschreiben.
  • Auf die nicht gerechtfertigten Sonderregelungen für die vollautomatisierte Bearbeitung von Vorgängen durch private Krankenversicherungen und für Big Data-Anwendungen zur Markt- und Meinungsforschung im Form privater Statistiken sollte verzichtet werden, um die Akzeptanz des Gesetzes nicht zu gefährden.
  • Die bisherige Aufsicht der Datenschutzbehörden, die zu besonderer Verschwiegenheit verpflichtet sind, sollte beibehalten werden. Keinesfalls sollten aufsichtsfreie Datenverarbeitungen möglich sein, die es Arztpraxen, Krankenhäusern, Anwaltskanzleien, Steuerberatungsbüros und ähnlichen Berufsgeheimnisträger erlauben würden, sich vollständig der Aufsicht durch die Datenschutzbehörden zu entziehen.

„Ohne diese Nachbesserungen droht der künftige Datenschutz in Deutschland unter das Niveau des bisherigen Bundesdatenschutzgesetzes und der Datenschutz-Grundverordnung zu sinken“, so Roßnagel. „Vielleicht können nicht alle Vorschläge in der verbleibenden kurzen Zeit bis zur Bundestagswahl umgesetzt werden. Sie müssen dann aber auf der Agenda für die neue Legislaturperiode stehen.“ Marit Hansen ergänzt: „Die Gesetzgebung in Deutschland hat Vorbildfunktion für viele andere Mitgliedstaaten in der Union. Eine Absenkung des Datenschutzes in Deutschland droht den Reformimpuls in ganz Europa zunichte zu machen.“


Im vom BMBF geförderten Forum Privatheit setzen sich nationale und internationale Experten interdisziplinär mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert, Partner sind das Fraunhofer SIT, die Universität Hohenheim, die Universität Kassel, die Eberhard Karls Universität Tübingen, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein sowie die Ludwig-Maximilians-Universität München. Die Forschungsergebnisse des Forums Privatheit fließen dabei nicht nur in den wissenschaftlichen Diskurs ein, sondern sollen auch Bürgerinnen und Bürger über Fragen des Privatheitsschutzes informieren.

Sprecher des Forum Privatheit:

Prof. Dr. Alexander Roßnagel
Universität Kassel
Projektgruppe verfassungsverträgliche Technikgestaltung (provet)
Forschungszentrum für interdisziplinäre Technik-Gestaltung (ITeG)
Tel: 0561/804-6544 oder 2874
E-Mail: a.rossnagel@uni-kassel.de

Projektkoordination:

Dr. Michael Friedewald
Fraunhofer-Institut für System- und Innovationsforschung ISI
Tel.: 0721 6809-146
Email: Michael.Friedewald@isi.fraunhofer.de

Pressekontakt:
Barbara Ferrarese
Email: presse@forum-privatheit.de

Forum „Privatheit und selbstbestimmtes Leben in der digitalen Welt‘

https://www.forum-privatheit.de/forum-privatheit-de/index.php
Twitter: @ForumPrivatheit

 

Jetzt erschienen: Informationelle Selbstbestimmung im digitalen Wandel

Soeben ist im Springer Vieweg-Verlag das Buch „Informationelle Selbstbestimmung im digitalen Wandel“ erschienen. Der Band umfasst 17 ausgewählte Beiträge zur Konferenz, die das „Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt“  im November 2015 in Berlin ausgerichtet hat.

Die Autoren des Buches untersuchen die historische und sachliche Bedingtheit des Konzepts der informationellen Selbstbestimmung, das zum Zweck des Persönlichkeitsschutzes in der modernen Datenverarbeitung zu einer Zeit und für Umstände entwickelt wurde, die inzwischen längst überholt sind. Thematisiert werden seine auch in absehbarer Zukunft erhaltenswerten Kernaussagen sowie die Änderungen, die in seinem Verständnis und seinen Umsetzungen notwendig sind, um die Ziele der informationellen Selbstbestimmung in einer veränderten digitalen Welt zu erreichen.


Friedewald, M.; Lamla, J.; Roßnagel, A. (Hrsg.) (2017): Informationelle Selbstbestimmung im digitalen Wandel Wiesbaden: Springer Vieweg (DuD-Fachbeiträge).  Print ISBN: 978-3-658-17661-7 / Electronic ISBN: 978-3-658-17662-4

Forum Privatheit um 21 Monate verlängert

Nach erfolgreichen 3 1/4 Jahren endet am 31.3.,2017 die erste Phase des Forums Privatheit und selbstbestimmtes Leben in der digitalen Welt. Die Arbeiten werden aber zumindest bis Ende 2018 in einer zweiten Förderphase fortgesetzt.

Das „Forum Privatheit II“ umfasst neben den bisherigen Partnern auch das Fachgebiet Sozialpsychologie an der Universität Duisburg-Essen (Prof. Dr. Nicole Krämer).

Im Fokus stehen diesmal vier thematische Schwerpunkte: Privatheit im Kontext von Regulierung der digitalen Welt, Verbraucherverhältnisse und Geschäftsmodelle in der Datenökonomie , Soziale In-/Exklusion sowie Gestaltung von technischem und gesellschaftlichem Wandel.

Die interdisziplinäre Bearbeitung dieser vier Themen führt zu einem besseren Verständnis darüber, wie gewandelte Vorstellungen zum Umgang mit personenbezogenen Daten das Datenschutz- recht beeinflussen. Auch die andere Seite wird betrachtet: Inwiefern verändern neue gesetzliche Datenschutzregeln die Erwartungen der Nutzerinnen und Nutzer an den Umgang mit personenbezogen Daten und die Datenschutzpraktiken? Gleichermaßen ermöglichen die Arbeiten des Privacy-Forums vertiefte Einblicke in neuartige, durch die Digitalisierung angestoßene Wertschöpfungsprozesse und die damit einhergehen- den Veränderungen der sozialen Machtstrukturen in der datengetriebenen Wirtschaft. Auf dieser Basis erarbeitet das Forum Empfehlungen zur technisch, organisatorisch und rechtlich wünschenswerten Gestaltung digitaler Technologien.

Policy Paper zur EU-Datenschutz-Grundverordnung: Datenschutz bleibt weitgehend Aufgabe der Mitgliedsstaaten

Am 4. Mai 2016 wurde die neue Europäische Datenschutz-Grundverordnung verkündet, die den Datenschutz in der EU stärken soll. Das vom Fraunhofer-Institut für System- und Innovationsforschung ISI koordinierte Forum Privatheit veröffentlicht zu diesem Anlass ein neues Policy Paper, das sich mit der Ausgestaltung der Grundverordnung befasst. Darin geben die Autoren eine Einschätzung ab, ob die zentralen Ziele einer Harmonisierung und Modernisierung des europäischen Datenschutzrechts sowie eine Wettbewerbsangleichung erreicht werden.

Mit der Europäischen Datenschutz-Grundverordnung ist bei Datenschützern, Aufsichtsbehörden und Bürgerinnen und Bürgern gleichermaßen die Hoffnung nach einer Stärkung des Datenschutzes in der EU verbunden. Insbesondere drei große Ziele sind an die Grundverordnung geknüpft: Diese soll zum einen zu einer Harmonisierung bzw. zu einheitlich geltenden Datenschutzregeln in Europa führen. Darüber hinaus soll mit ihr das Datenschutzrecht modernisiert und an neue technologische Entwicklungen angepasst werden. Ein drittes Ziel besteht in einer Wettbewerbsangleichung, also einer Stärkung des EU-Binnenmarkts durch vereinheitliche Datenschutz-Regelungen.

Im neuen Policy Paper „Die neue Datenschutz-Grundverordnung – Ist das Datenschutzrecht nun für heutige Herausforderungen gerüstet?“ nehmen die Wissenschaftlerinnen und Wissenschaftler des Forum Privatheit zur Grundverordnung Stellung. In Bezug auf eine Vereinheitlichung der Datenschutz-Regelungen in Europa benennt Prof. Dr. Alexander Roßnagel, Mitautor des Policy Papers und Leiter des Fachgebiets Öffentliches Recht an der Universität Kassel, zwei hierfür hinderliche Aspekte: „Die Datenschutz-Grundverordnung beinhaltet 70 Öffnungsklauseln, die bei der Zulässigkeit der Datenverarbeitung – insbesondere im gesamten öffentlichen Bereich –, den Betroffenenrechten, Erlaubnistatbeständen, dem Beschäftigungsdatenschutz oder der Meinungs- und Informationsfreiheit Regelungen an die EU-Mitgliedsstaaten überträgt. Hinzu kommt, dass diese Regelungen sehr abstrakt bleiben und von den Mitgliedsstaaten auf Basis ihrer eigenen Rechtstradition ausgelegt werden.“ Eine Harmonisierung des Datenschutzrechts wird so laut Roßnagel verhindert und stattdessen Rechtsunsicherheit geschaffen.

Ziel einer Wettbewerbsangleichung in Europa wird verfehlt

Ein zweites zentrales Ziel der Verordnung besteht in einer Stärkung des europäischen Binnenmarktes durch vereinheitliche Datenschutz-Regelungen. Das Policy Paper gelangt zu dem Schluss, dass auch dieses Vorhaben nicht erfüllt wird. Der Grund dafür liegt ebenfalls an möglichen unterschiedlichen Interpretationen der abstrakten Datenschutz-Regelungen durch die Mitgliedsstaaten. Allerdings kann ein Datenschutz-Ausschuss auf europäischer Ebene hier künftig eine bestimmte Auslegung der Grundverordnung festlegen – für Gerichte sind diese Beschlüsse aber nicht verbindlich, sondern sie stellen lediglich Empfehlungen dar.

Das dritte Ziel einer Modernisierung des Datenschutzrechts wird von der Grundverordnung teilweise erreicht. Einen zentralen Fortschritt sehen die Autoren des Policy Papers im „Marktortprinzip“: Demnach soll nicht mehr der Ort der Datenverarbeitung für die Anwendung des Datenschutzrechts entscheidend sein, sondern die Frage, ob Daten von sich in der EU aufhaltenden Personen verarbeitet werden. Außerdem sieht die Verordnung empfindliche Sanktionen bei Nichtbeachtung des Datenschutzes vor, die bis zu vier Prozent des globalen Jahresumsatzes von Unternehmen ausmachen können. Dr. Michael Friedewald, der das Forum Privatheit am Fraunhofer ISI koordiniert und ebenfalls am Policy Paper mitgewirkt hat, weist auf weitere Verbesserungen hin: „Zum Beispiel bieten Datenschutz-Folgenabschätzungen künftig die Möglichkeit, die vorwiegend durch datenverarbeitende Technologien entstehenden Risiken für den Datenschutz abzuschätzen und diese gering zu halten.“

Risikoneutralität ist ein Defizit der neuen Grundverordnung

Neben diesen positiven Aspekten weist das Policy Paper auch auf Schwachstellen hin, die einer Modernisierung des Datenschutzrechts im Wege stehen. So dürfen personenbezogene Daten weiterhin über Umwege erhoben werden. Zudem reicht in Zukunft ein berechtigtes Interesse eines Dritten – etwa eines Unternehmens – aus, um persönliche Daten zu verarbeiten. Das größte Manko der Verordnung ist aber ihre Risikoneutralität: Sie enthält keine einzige spezifische Regelung zu den großen Herausforderungen moderner Informationstechniken wie Big Data, Ubiquitous Computing, Cloud Computing oder vielen anderen Grundrechtrisiken. Auch beinhaltet die Grundverordnung Transparenzpflichten, diese sind jedoch durch Grundrechte, Geschäftsgeheimnisse oder Urheberrechte weitgehend eingeschränkt.

Angesichts der vielen Schwachstellen der Datenschutz-Grundverordnung fällt das Fazit im Policy Paper eindeutig aus: Eine Harmonisierung und Wettbewerbsangleichung des EU-Datenschutzrechts wird gar nicht, eine Modernisierung nur teilweise erreicht. Die Datenschutz-Regelungen der Mitgliedsstaaten haben zudem weiter Bestand. Insgesamt wurden damit viele Chancen zur Stärkung des Datenschutzes in der EU verpasst. Dennoch gibt es wie im Falle des „Marktortprinzips“ auch Fortschritte. Bevor die Grundverordnung in den kommenden zwei Jahren allerdings in Kraft treten kann, sind die Mitgliedstaaten, Aufsichtsbehörden, Verbände, der Europäische Datenschutz-Ausschuss sowie der europäische Gesetzgeber gefragt, so schnell wie möglich ergänzende rechtssichere und risikoadäquate Regelungen zu treffen.


Im vom BMBF geförderten Forum Privatheit setzen sich nationale und internationale Experten interdisziplinär mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert, Partner sind das Fraunhofer SIT, die Universität Hohenheim, die Universität Kassel, die Eberhard Karls Universität Tübingen, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein sowie die Ludwig-Maximilians-Universität München. Die Forschungsergebnisse des Forums Privatheit fließen dabei nicht nur in den wissenschaftlichen Diskurs ein, sondern sollen auch Bürgerinnen und Bürger über Fragen des Privatheitsschutzes informieren.

White Paper „Datenschutz-Folgenabschätzung“

Folgenabschätzungen als „Frühwarnsysteme“ für einen verbesserten Datenschutz

Ein neues White Paper des Forum Privatheit, das vom Fraunhofer-Institut für System- und Innovationsforschung ISI koordiniert wird, befasst sich mit der möglichen Ausgestaltung künftiger Datenschutz-Folgenabschätzungen (DSFA) und gibt Hilfestellungen zu deren praktischer Durchführung. Weil diese Instrumente mit Einführung der europäischen Datenschutz-Grundverordnung ab 2018 für Technologieanbieter und Systembetreiber verpflichtend werden, stellt das White Paper „Datenschutz-Folgenabschätzung – Ein Werkzeug für einen verbesserten Datenschutz“ bereits jetzt erste grundlegende Informationen zu dieser Neuerung bereit. Die Folgenabschätzungen sollen Technikanbietern, Datenschutz-Aufsichtsbehörden sowie der Öffentlichkeit helfen, die vorwiegend durch datenverarbeitende Technologien entstehenden Risiken für den Datenschutz wirksam abzuschätzen und diese von vornherein so gering wie möglich zu halten.

Bei der Nutzung vieler Dienste und Angebote im Internet wie etwa beim Online-Shopping, in sozialen Netzwerken oder selbst auf den Webseiten staatlicher Behörden werden häufig personenbezogene Daten gesammelt. Nutzerinnen und Nutzer können sich dieser Praxis bislang nur entziehen, wenn sie bestimmte Angebote ausdrücklich nicht nutzen – oder sich mit der Datensammlung einverstanden zeigen. Die dadurch entstehenden Risiken sind in der Öffentlichkeit bislang nur wenig bekannt, obwohl Medien immer wieder über Datenmissbrauch oder Datenpannen berichten.

Um künftig die Gefahren durch Datenverarbeitungspraktiken besser beurteilen zu können, müssen viele Technikanbieter und Systembetreiber ab 2018 bei ihren Angeboten und Diensten Datenschutz-Folgenabschätzungen vornehmen. Bisher ist jedoch offen, wie und nach welchen Kriterien dies genau erfolgen soll. Das White Paper „Datenschutz-Folgenabschätzung – Ein Werkzeug für einen verbesserten Datenschutz“ des Forum Privatheit setzt hier an und erarbeitet erste Grundzüge zur Ausgestaltung künftiger Datenschutz-Folgenabschätzungen und deren praktischer Durchführung. Die Auseinandersetzung hiermit ist auch deshalb wichtig, da die EU-Mitgliedsstaaten nach der Verabschiedung der Datenschutz-Grundverordnung im Jahr 2016  unmittelbar damit beginnen werden, diese bis 2018 in die Praxis umzusetzen.

Dr. Michael Friedewald, der am Fraunhofer ISI zur Auswirkung von neuen Technologien auf Datenschutz und Privatheit forscht und einer der Mitautoren des White Papers ist, hebt die große Bedeutung der Folgeabschätzungen hervor: „Datenschutz-Folgenabschätzungen ermöglichen nicht nur eine bessere Einschätzung der Risiken durch bestehende datenverarbeitende Technologien, sondern sie weisen auch frühzeitig und während des Entwicklungsstadiums als eine Art ‚Frühwarnsystem‘ auf eventuelle negative Konsequenzen für den Datenschutz hin. Bestehende Datenschutz-Mängel lassen sich damit rechtzeitig erkennen und noch während der Technologieentwicklung korrigieren. Der Datenschutz wird damit im Sinne des ‚Privacy by Design‘ bei der Einführung neuer Geräte oder Anwendungen von vornherein besser integriert“.

Die künftig gesetzlich vorgeschriebenen Datenschutz-Folgenabschätzungen bringen für ganz unterschiedliche Zielgruppen Vorteile mit sich: So könnten Technikanbieter und Systembetreiber die Technologieentwicklung besser steuern und sich spätere Nachbesserungen beim Datenschutzes sparen. Durch die Vermeidung von Datenpannen erübrigen sich zudem Kosten für deren Behebung, mögliche Schadenersatzansprüche und Imageschäden in der Öffentlichkeit. Davon profitieren auch die Bürgerinnen und Bürger, die in Zukunft auf Basis der Folgenabschätzungen einfacher entscheiden können, welche Online-Angebote sie nutzen wollen oder nicht. Über Zertifikate wäre es zum Beispiel schnell überprüfbar, ob Anbieter oder Betreiber Betroffenenrechte berücksichtigt haben – und die Unternehmen könnten hierdurch ihren Willen zur Achtung dieser Rechte zum Ausdruck bringen.

Neben den Technologieanbietern und Nutzern wären die Datenschutz-Folgeabschätzungen vor allem für Aufsichtsbehörden hilfreich. Die Durchführung standardisierter Folgenabschätzungen hat für Aufsichtsbehörden etwa den Vorteil, dass sie ihre Aufsichtspflicht in Zukunft besser wahrnehmen und mögliche Schwächen beim Datenschutz oder Rechtsverstöße schneller erkennen können. Zudem wären sie für Technologieanbieter und Systembetreiber eine geeignete Anlaufstelle, um Hilfestellungen zur Verbesserung von Produkten oder ihrer gesamten Datenverarbeitungspraxis zu bekommen.

Damit Datenschutz-Folgenabschätzungen in Zukunft ihr Potenzial gänzlich entfalten können, sollten sie mehrfach – und nicht nur einmal, etwa zu Beginn eines Produktlebenszyklus – durchgeführt werden. Damit ließe sich die gängige Sammelpraxis insgesamt verändern und Unternehmen für die stärkere Achtung von Bürgerrechten sensibilisieren, die sie häufig nicht im Detail kennen. „Steuerungsdilemmata“ und verspätete Nachbesserungen zur Stärkung des Datenschutzes am Ende der Entwicklungsphase würden damit obsolet, was allen betroffenen Seiten zugutekäme.