Dossierbild Democracy

24.11.2017 | Von:
Susanne Dehmel

Zu bürokratisch, zu wenig Impulse für die Zukunft

Ob bei Transparenz, Pseudonymisierung oder Dokumentationspflichten – das neue EU-Regelwerk birgt Probleme für die Unternehmen, warnt Susanne Dehmel vom Branchenverband Bitkom.

Susanne Dehmel, Mitglied der Geschäftsleitung Recht & Sicherheit, Bitkom e.V.Susanne Dehmel, Mitglied der Geschäftsleitung Recht & Sicherheit, Bitkom e.V. (© Bitkom e.V.)
Es gibt eine große Einigkeit darüber, dass wir einen ordentlichen Datenschutz brauchen, um die Privatsphäre und die persönliche Freiheit des Einzelnen zu schützen. Die große Frage ist aber, wie ein solcher Datenschutz in Zukunft aussehen soll. Die wirtschaftliche und gesellschaftliche Bedeutung der Datenschutzgesetze ist heute sehr hoch, da ein immer größerer Anteil von Geschäftsprozessen und privaten Aktivitäten digital abläuft. Die Digitalisierung wird also maßgeblich von der Datenschutzgesetzgebung mitgestaltet. Die Datenschutz-Grundverordnung der EU ist daher an den Bedürfnissen der sich digitalisierenden Wirtschaft und Gesellschaft zu messen. Und da muss man leider feststellen, dass die Grundverordnung zu bürokratisch ist. Außerdem bringt sie zu wenig Impulse für einen zukunftsgerichteten Datenschutz.

Zwar werden einige Konzepte eingeführt, die auf den Einsatz von datenschützenden Technologien abzielen. Dazu zählt zum Beispiel die Pseudonymisierung von Daten oder das Prinzip Datenschutz durch Technikgestaltung. Auch ist im Grundsatz richtig, dass die Verordnung mehr Transparenz gegenüber den Nutzerinnen und Nutzern fordert. Ob diese Transparenz allerdings durch eine Anhäufung von starren Informationspflichten geschaffen werden kann, die einerseits allumfassend sein sollen, andererseits aber auch kurz und für jedermann verständlich, ist mehr als fraglich. Im Wesentlichen wird an althergebrachten Prinzipien festgehalten und dem Grundsatz gefolgt, dass gar keine Daten die besten Daten sind. Das ist eine Haltung aus den 80er Jahren des vorigen Jahrhunderts. Diese führt aber zwangsläufig zu Schwierigkeiten beim Einsatz von Systemen, die in den vergangenen Jahren erst zur Marktreife kamen und die die besten Ergebnisse liefern, wenn sie möglichst große Datenmengen zur Verfügung haben.

Denken wir zum Beispiel an Verkehrsleitsysteme – das fängt schon beim Navigationssystem in unserem Auto an – die in Echtzeit durch die Bewegungsdaten sehr vieler Autofahrer erkennen, wo es gerade zu Verkehrsbehinderungen kommt und die so für die folgenden Fahrerinnen und Fahrer die bestmögliche Route auswählen können. Oder an Datenanalysen, die anhand von medizinischen Daten von vielen Krebspatienten Zusammenhänge herauslesen können und so für den Einzelnen die Therapie mit den besten Heilungschancen auswählen.

Strikte Zweckbindung erschwert Forschung und Entwicklung

Um all dies zu ermöglichen, kann man nicht immer auf anonymisierte Daten zurückgreifen, die nicht mehr einer Person zugeordnet werden können. Stattdessen ist die Verarbeitung von pseudonymisierten Daten nötig, bei denen eine Verschlüsselung die Identifikation erheblich erschwert. Doch auch diese Daten fallen unter den Anwendungsbereich der Datenschutz-Grundverordnung, weil sie die Rückbeziehbarkeit auf den Krebspatienten nicht vollständig ausschließen können – dies gilt selbst dann, wenn dieser Rückbezug ausdrücklich gewünscht ist. Lässt die Datenanalyse nämlich zum Beispiel erkennen, dass in einem konkreten Fall eine Verschlechterung des Zustands zu erwarten ist oder eine bessere Therapie möglich wäre, würde nur eine Repersonalisierung eine individuelle Ansprache ermöglichen, um medizinische Hilfe leisten zu können. Mit einer echten, nicht rückbeziehbaren Anonymisierung, ist die Ansprache dieser Personen nicht möglich – die bestmögliche Therapie kann nicht angewendet werden.

Ein weiterer Grundsatz, der zu Problemen führen kann, wenn er zu eng ausgelegt wird, ist der der Zweckbindung. Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nur zu diesen weiterverarbeitet werden. Datenanalysen stehen insofern in Konflikt mit einer engen Zweckbindung, da zum Zeitpunkt der Erhebung und Analyse der Daten oft noch nicht genau gesagt werden kann, zu welchen Zwecken die Ergebnisse sinnvoll verwendet werden können. Datenanalysen werden ja gerade deshalb häufig durchgeführt, um Muster zu erkennen, von denen man gar nichts wusste.

Allenfalls kann man in diesen Fällen den Zweck der Verarbeitung nur sehr grob definieren. Eine zu enge Auslegung der Zweckbindung würde daher die Verwertung von Daten für solche Analysen erschweren oder verhindern. Und solche Datenanalysen sind die Grundlage für Machine Learning und Anwendungen der Künstlichen Intelligenz. Dies sind beides Bereiche, in denen aktuell sehr viele Unternehmen forschen und entwickeln – gerade hier gibt es sehr viele Innovationen. Die Gefahr ist real, dass künftig Forschung und Entwicklung in diesen Feldern zunehmend in Ländern stattfinden, die diese Fragen weniger restriktiv behandeln. Die Folge wäre, dass hierzulande und in Europa die entsprechende Technologie nicht entwickelt, sondern allenfalls noch genutzt werden kann.

Dokumentationspflichten behindern Start-ups und Mittelstand

Es geht aber nicht nur um den Innovationsstandort Deutschland, es geht auch um ganz konkrete Probleme für die Unternehmen heute. Datenverarbeitende Unternehmen müssen zukünftig jederzeit nachweisen können, dass ihre Datenverarbeitung den Vorschriften der Grundverordnung entspricht. Das gilt für den Handwerksbetrieb um die Ecke genauso wie für große Technologiekonzerne. Gerade für Start-ups sowie kleinere und mittelständische Unternehmen ist dieser Dokumentationsaufwand eine erhebliche Mehrbelastung – vor allem mit Blick auf die Dokumentation. Denn viele der dort getroffenen Überlegungen wurden bislang einfach nicht bis ins kleinste Detail aufgeschrieben.

Wir sollten uns davor hüten, die Datenschutz-Grundverordnung für die kommenden Jahre als starres Regelungswerk für alle Datenschutz-Fragen der digitalen Welt zu sehen. Sie hat zwar einheitliche Rahmenbedingung für die Zukunft gesetzt. Wie sie konkret auf einzelne Bereiche der vernetzten Welt Anwendung findet, muss aber immer wieder im Einzelfall beurteilt werden.

Wie ist damit die Ausgangsfrage zu beantworten? Bringt die Grundverordnung nun zu viel oder wenig Datenschutz für Europa? Entscheidend wird sein, ob sich der aus der Grundverordnung abgeleitete Datenschutz effektiv an den Bedürfnissen der sich digitalisierenden Wirtschaft und Gesellschaft orientiert.

Klaus Müller, Vorsitzender des Bundesverbandes der Verbraucherzentralen (© dpa, Erwin Elsner)
Standpunkt Klaus Müller :

"Verbraucherinnen und Verbraucher sollen die Kontrolle über ihre Daten zurückgewinnen und verstehen können, in was sie eigentlich einwilligen. Datenschutzerklärungen müssen daher künftig leichter verständlich verfasst werden."

Creative Commons License

Dieser Text ist unter der Creative Commons Lizenz veröffentlicht. by-nc-nd/4.0 Der Name des Autors/Rechteinhabers soll wie folgt genannt werden: by-nc-nd/4.0
Autor: Susanne Dehmel für bpb.de
Urheberrechtliche Angaben zu Bildern / Grafiken / Videos finden sich direkt bei den Abbildungen.


Hintergrund aktuell (28.01.2016)

Vor 35 Jahren: Datenschutzkonvention des Europarates

1981 wurde mit der Datenschutzkonvention das erste internationale Instrument zum Schutz personenbezogener Daten verabschiedet. Seither sind viele neue Herausforderungen für den Datenschutz hinzugekommen.

Mehr lesen

Dossier

Datenschutz

Was bedeutet Datenschutz? Wie ist er gesetzlich geregelt? Was steckt hinter den Begriffen informationelle Selbstbestimmung und Privatsphäre? Wie können persönliche Daten im Internet geschützt werden? Das Online-Dossier Datenschutz klärt über Hintergründe auf und gibt praktische Handlungsanleitungen zum Thema.

Mehr lesen

Dialog

Die Netzdebatte

Netzdebatte ist das Debattenportal der Bundeszentrale für politische Bildung. Das Weblog greift Themen auf, die die Gesellschaft bewegen. Netzdebatte erklärt Hintergründe, bildet Positionen ab und bietet einen Ort zum Diskutieren.

Mehr lesen

spielbar.de

spielbar.de informiert über Computerspiele und erstellt pädagogische Beurteilungen. Pädagogen, Eltern und Gamer sind eingeladen, ihre eigenen Beurteilungen, Meinungen und Kommentare zu veröffentlichen.

Mehr lesen auf spielbar.de