Skip to main content

Datenschutz-Grundverordnung: Datenschutz-Forscher des Fraunhofer ISI erklärt, was sich ändert

Ab heute gilt die neue EU-Datenschutz-Grundverordnung (DSGVO), die den Datenschutz in der EU stärken soll. Dabei stellt sich die Frage, was sich jetzt konkret ändert und was beachtet werden muss. Dr. Michael Friedewald, der am Fraunhofer ISI zum Thema Datenschutz forscht und dort unter anderem den Forschungsverbund Forum Privatheit koordiniert, beantwortet im Interview die wichtigsten Fragen.


Mit der EU-Datenschutz-Grundverordnung ist bei Datenschützern, Aufsichtsbehörden und Bürgerinnen und Bürgern gleichermaßen die Hoffnung nach einer Stärkung des Datenschutzes in der EU verbunden. Doch ist diese Hoffnung berechtigt? Was müssen Unternehmen zum Inkrafttreten der DSGVO wissen? Und wo liegen die Stärken und Schwächen der neuen Grundverordnung? Im Interview steht Datenschutz-Forscher Dr. Michael Friedewald vom Fraunhofer ISI in 10 Fragen Rede und Antwort.

Frage (1): Ab heute gilt die neue DSGVO. Was sind die wichtigsten Neuerungen?

Dr. Michael Friedewald: Die zentralen Neuerungen sind erweiterte Anweisungs- und Sanktionsbefugnisse der Datenschutz-Aufsichtsbehörden, das »Marktortprinzip« bzw. die Ausweitung des räumlichen Datenschutz-Anwendungsbereichs sowie klarer ausgestaltete Rechte für Betroffene.

Frage (2): Stichwort Sanktionen: Müssen Unternehmen, öffentliche Einrichtungen und Privatpersonen nun mit harten Strafen rechnen, wenn sie Fehler beim Datenschutz machen?

Dr. Michael Friedewald: Wenngleich die Sanktions- und Einspruchsmöglichkeiten deutlich erweitert wurden – Verstöße gegen die Datenschutzvorgaben können mit bis zu 20 Mio. Euro Strafe bzw. 4% des Vorjahresumsatzes eines Unternehmens geahndet werden – ist keine unmittelbare Sanktionswelle zu befürchten. Es geht um die Umsetzung der DSGVO. Finanzielle Strafen sind nur die letzte Sanktionsmöglichkeit, Aufsichtsbehörden geben vielmehr Hilfestellungen, wo und wie Unternehmen und andere Einrichten beim Datenschutz nachbessern können. Die aktuelle Hysterie in dieser Sache ist also völlig übertrieben.

Frage (3): Systembetreiber müssen im Zuge der DSGVO auch Datenschutz-Folgenabschätzen durchführen – was bringen diese?

Dr. Michael Friedewald: Datenschutz-Folgenabschätzungen sind ein wirklich innovatives Element der DSGVO. Sie ermöglichen einerseits eine bessere Einschätzung der Risiken durch bestehende Datenverarbeitungen. Andererseits weisen sie frühzeitig und während des Entwicklungsstadiums auf mögliche negative Konsequenzen für den Datenschutz hin. Bestehende Datenschutz-Mängel lassen sich damit rechtzeitig erkennen und noch während der Technologieentwicklung korrigieren. Der Datenschutz kann damit im Sinne des »Datenschutz durch Technikgestaltung« – einem weiteren innovativen Element des neuen Datenschutzrechts – bei der Einführung neuer Geräte oder Anwendungen von vornherein besser integriert werden.

Frage (4): Und wie laufen Datenschutz-Folgenabschätzungen konkret ab?

Dr. Michael Friedewald: Die Durchführung einer Folgenabschätzung erfolgt in vier Phasen: Zunächst wird die Notwendigkeit einer Folgenabschätzung geprüft. Falls erforderlich, erfolgt dann die Bewertung der Risiken anhand der sechs Schutzziele Nicht-Verkettbarkeit von Daten, Transparenz, Intervenierbarkeit, Verfügbarkeit, Integrität und Vertraulichkeit. Wurden Risiken identifiziert, müssen diese durch geeignete Schutzmaßnahmen beseitigt werden. Und in einer schriftlichen Dokumentation werden alle Schritte festgehalten, damit sich die Aufsichtsbehörden oder auch die Bürgerinnen und Bürger über die Datenschutzanstrengungen eines Unternehmens oder einer Behörde informieren können.

Frage (5): Neu ist auch das »Marktortprinzip« – was hat es damit auf sich?

Dr. Michael Friedewald: Mit der DSGVO ist nicht mehr der Ort der Datenverarbeitung für die Anwendung des Datenschutzrechts entscheidend, sondern die Frage, ob Daten von sich in der EU aufhaltenden Personen verarbeitet werden. Damit gilt die EU-Verordnung für alle Datenverarbeiter – und zwar weltweit. Große Unternehmen haben bereits angekündigt, dass sie den Regeln der DSGVO auch auf anderen Märkten folgen werden.

Frage (6): Werden die Rechte von betroffenen Personen durch die DSGVO insgesamt gestärkt?

Dr. Michael Friedewald: Das kann man grundsätzlich bejahen, wenngleich Vieles beim Alten bleibt. In jedem Falle sind die Rechte klarer ausgestaltet. So kann man sich etwa direkt bei den regionalen Aufsichtsbehörden beschweren, wenn man einen Verstoß gegen das Datenschutzrecht feststellt, was vorher nicht ging.

Frage (7): Verliert Europa durch die DSGVO nicht gegenüber anderen Ländern an Wettbewerbsfähigkeit, in denen die Entwicklung der Datenökonomie nicht durch zu viel Datenschutz behindert wird?

Dr. Michael Friedewald: Natürlich steht der Schutz von Grundrechten im Vordergrund. Aber Beispiele aus anderen Bereichen wie dem Umweltschutz zeigen, dass eine ambitionierte Regulierung auch innovative Lösungen hervorbringt, die sich mittel- bis langfristig zum Wettbewerbsvorteil für Europa entwickelt haben. Daher sehe ich den Datenschutz nicht als Innovationshemmnis, im Gegenteil: Hier kann Europa Vorreiter sein.

Frage (8): Wie geht die DSGVO mit künftigen technischen Entwicklungen um, etwa im Bereich Big Data oder künstliche Intelligenz?

Dr. Michael Friedewald: Bei der Technikneutralität sehe ich ihr größtes Manko, denn sie macht keine Unterschiede beim Risiko einer Verarbeitung. So gibt es keine einzige Regelung zu den großen Herausforderungen moderner Informationstechniken wie Big Data, Internet der Dinge, Cloud Computing, Selbstlernende Systeme, Suchmaschinen und vielen anderen Grundrechtrisiken. Auch beinhaltet die Grundverordnung Transparenzpflichten, die allerdings durch Geschäftsgeheimnisse oder Urheberrechte und sogar durch deutsche Gesetze weitgehend eingeschränkt sind.

Frage (9): Wird mit der EU-weit gültigen Grundverordnung das Ziel der Harmonisierung und Vereinheitlichung des Datenschutzes erreicht?

Dr. Michael Friedewald: Diese Frage muss man leider verneinen. Es gibt insgesamt über 70 Öffnungsklauseln, die bei der Zulässigkeit der Datenverarbeitung – insbesondere im gesamten öffentlichen Bereich –, den Betroffenenrechten, Erlaubnistatbeständen, dem Beschäftigungsdatenschutz oder der Meinungs- und Informationsfreiheit Regelungen an die EU-Mitgliedsstaaten überträgt. Auch bleiben diese Regelungen abstrakt und die Mitgliedsstaaten bzw. sogar nationale Gerichtsbezirke legen sie auf Basis ihrer Rechtstradition aus. Bis die Details durch Prozesse zur Vereinheitlichung der Datenschutzaufsicht und durch Urteile des EuGH geklärt sind, dürften die abstrakten Vorschriften über Jahrzehnte für Rechtsunsicherheit sorgen.

Frage (10): Muss man sich als Privatperson jetzt Sorgen machen, wenn man bei der Nutzung von sozialen Medien oder Blogs unwissentlich gegen die DSGVO verstößt?

Dr. Michael Friedewald: Die DSGVO gibt keinen Anlass zu Bedenken, dass wir als Privatpersonen etwa in Zukunft beim Fotografieren, beim Betrieb eines Blogs oder der Nutzung von sozialen Medien und Messengern wie Whatsapp wegen Datenschutzverstößen belangt werden können. Bei Fotos greift nach Aussage des BMI weiterhin das Kunsturhebergesetz, das als Spezialregelung stets Vorrang vor der DSGVO hat. Der private Blog ist durch die »Haushaltsausnahme« ohnehin von den Regelungen der DSGVO ausgenommen. Und bei den sozialen Medien und Messengern sind gerade die Betreiber in der Pflicht, die Verarbeitungen datenschutzkonform zu gestalten. So ist eine Übermittlung des gesamten Adressbuchs – wie bei der Anmeldung bei WhatsApp bislang üblich – künftig nicht mehr zulässig.


Im Forum Privatheit setzen sich Expertinnen und Experten aus sieben wissenschaftlichen Institutionen interdisziplinär, kritisch und unabhängig mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert. Weitere Partner sind das Fraunhofer SIT, die Universität Duisburg-Essen, das Wissenschaftliche Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel, die Eberhard Karls Universität Tübingen, die Ludwig-Maximilians-Universität München sowie das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein. Das BMBF fördert das Forum Privatheit, um den öffentlichen Diskurs zu den Themen Privatheit und Datenschutz anzuregen.

Policy Paper zur EU-Datenschutz-Grundverordnung: Datenschutz bleibt weitgehend Aufgabe der Mitgliedsstaaten

Am 4. Mai 2016 wurde die neue Europäische Datenschutz-Grundverordnung verkündet, die den Datenschutz in der EU stärken soll. Das vom Fraunhofer-Institut für System- und Innovationsforschung ISI koordinierte Forum Privatheit veröffentlicht zu diesem Anlass ein neues Policy Paper, das sich mit der Ausgestaltung der Grundverordnung befasst. Darin geben die Autoren eine Einschätzung ab, ob die zentralen Ziele einer Harmonisierung und Modernisierung des europäischen Datenschutzrechts sowie eine Wettbewerbsangleichung erreicht werden.

Mit der Europäischen Datenschutz-Grundverordnung ist bei Datenschützern, Aufsichtsbehörden und Bürgerinnen und Bürgern gleichermaßen die Hoffnung nach einer Stärkung des Datenschutzes in der EU verbunden. Insbesondere drei große Ziele sind an die Grundverordnung geknüpft: Diese soll zum einen zu einer Harmonisierung bzw. zu einheitlich geltenden Datenschutzregeln in Europa führen. Darüber hinaus soll mit ihr das Datenschutzrecht modernisiert und an neue technologische Entwicklungen angepasst werden. Ein drittes Ziel besteht in einer Wettbewerbsangleichung, also einer Stärkung des EU-Binnenmarkts durch vereinheitliche Datenschutz-Regelungen.

Im neuen Policy Paper “Die neue Datenschutz-Grundverordnung – Ist das Datenschutzrecht nun für heutige Herausforderungen gerüstet?” nehmen die Wissenschaftlerinnen und Wissenschaftler des Forum Privatheit zur Grundverordnung Stellung. In Bezug auf eine Vereinheitlichung der Datenschutz-Regelungen in Europa benennt Prof. Dr. Alexander Roßnagel, Mitautor des Policy Papers und Leiter des Fachgebiets Öffentliches Recht an der Universität Kassel, zwei hierfür hinderliche Aspekte: “Die Datenschutz-Grundverordnung beinhaltet 70 Öffnungsklauseln, die bei der Zulässigkeit der Datenverarbeitung – insbesondere im gesamten öffentlichen Bereich –, den Betroffenenrechten, Erlaubnistatbeständen, dem Beschäftigungsdatenschutz oder der Meinungs- und Informationsfreiheit Regelungen an die EU-Mitgliedsstaaten überträgt. Hinzu kommt, dass diese Regelungen sehr abstrakt bleiben und von den Mitgliedsstaaten auf Basis ihrer eigenen Rechtstradition ausgelegt werden.” Eine Harmonisierung des Datenschutzrechts wird so laut Roßnagel verhindert und stattdessen Rechtsunsicherheit geschaffen.

Ziel einer Wettbewerbsangleichung in Europa wird verfehlt

Ein zweites zentrales Ziel der Verordnung besteht in einer Stärkung des europäischen Binnenmarktes durch vereinheitliche Datenschutz-Regelungen. Das Policy Paper gelangt zu dem Schluss, dass auch dieses Vorhaben nicht erfüllt wird. Der Grund dafür liegt ebenfalls an möglichen unterschiedlichen Interpretationen der abstrakten Datenschutz-Regelungen durch die Mitgliedsstaaten. Allerdings kann ein Datenschutz-Ausschuss auf europäischer Ebene hier künftig eine bestimmte Auslegung der Grundverordnung festlegen – für Gerichte sind diese Beschlüsse aber nicht verbindlich, sondern sie stellen lediglich Empfehlungen dar.

Das dritte Ziel einer Modernisierung des Datenschutzrechts wird von der Grundverordnung teilweise erreicht. Einen zentralen Fortschritt sehen die Autoren des Policy Papers im “Marktortprinzip”: Demnach soll nicht mehr der Ort der Datenverarbeitung für die Anwendung des Datenschutzrechts entscheidend sein, sondern die Frage, ob Daten von sich in der EU aufhaltenden Personen verarbeitet werden. Außerdem sieht die Verordnung empfindliche Sanktionen bei Nichtbeachtung des Datenschutzes vor, die bis zu vier Prozent des globalen Jahresumsatzes von Unternehmen ausmachen können. Dr. Michael Friedewald, der das Forum Privatheit am Fraunhofer ISI koordiniert und ebenfalls am Policy Paper mitgewirkt hat, weist auf weitere Verbesserungen hin: “Zum Beispiel bieten Datenschutz-Folgenabschätzungen künftig die Möglichkeit, die vorwiegend durch datenverarbeitende Technologien entstehenden Risiken für den Datenschutz abzuschätzen und diese gering zu halten.”

Risikoneutralität ist ein Defizit der neuen Grundverordnung

Neben diesen positiven Aspekten weist das Policy Paper auch auf Schwachstellen hin, die einer Modernisierung des Datenschutzrechts im Wege stehen. So dürfen personenbezogene Daten weiterhin über Umwege erhoben werden. Zudem reicht in Zukunft ein berechtigtes Interesse eines Dritten – etwa eines Unternehmens – aus, um persönliche Daten zu verarbeiten. Das größte Manko der Verordnung ist aber ihre Risikoneutralität: Sie enthält keine einzige spezifische Regelung zu den großen Herausforderungen moderner Informationstechniken wie Big Data, Ubiquitous Computing, Cloud Computing oder vielen anderen Grundrechtrisiken. Auch beinhaltet die Grundverordnung Transparenzpflichten, diese sind jedoch durch Grundrechte, Geschäftsgeheimnisse oder Urheberrechte weitgehend eingeschränkt.

Angesichts der vielen Schwachstellen der Datenschutz-Grundverordnung fällt das Fazit im Policy Paper eindeutig aus: Eine Harmonisierung und Wettbewerbsangleichung des EU-Datenschutzrechts wird gar nicht, eine Modernisierung nur teilweise erreicht. Die Datenschutz-Regelungen der Mitgliedsstaaten haben zudem weiter Bestand. Insgesamt wurden damit viele Chancen zur Stärkung des Datenschutzes in der EU verpasst. Dennoch gibt es wie im Falle des “Marktortprinzips” auch Fortschritte. Bevor die Grundverordnung in den kommenden zwei Jahren allerdings in Kraft treten kann, sind die Mitgliedstaaten, Aufsichtsbehörden, Verbände, der Europäische Datenschutz-Ausschuss sowie der europäische Gesetzgeber gefragt, so schnell wie möglich ergänzende rechtssichere und risikoadäquate Regelungen zu treffen.


Im vom BMBF geförderten Forum Privatheit setzen sich nationale und internationale Experten interdisziplinär mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert, Partner sind das Fraunhofer SIT, die Universität Hohenheim, die Universität Kassel, die Eberhard Karls Universität Tübingen, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein sowie die Ludwig-Maximilians-Universität München. Die Forschungsergebnisse des Forums Privatheit fließen dabei nicht nur in den wissenschaftlichen Diskurs ein, sondern sollen auch Bürgerinnen und Bürger über Fragen des Privatheitsschutzes informieren.