*das ist „Binärisch“ und bedeutet:.. 30
Sechs Jahre ist es nun schon her, seitdem die Datenschutzgrundverordnung (kurz DSGVO) bereits angewendet wird. Sie gilt als Vorbild für die Datenschutzgesetze in der ganzen Welt.
Aber wozu haben wir die DSGVO eigentlich – wen soll sie schützen? Und in welchen Fällen muss ich mich als Privatperson vielleicht selbst an die Regelungen der Verordnung halten?
Heute sprechen wir mit Prof. Dr. Alexander Roßnagel, dem Hessischen Landesdatenschutzbeauftragten und Sprecher der Plattform Privatheit, in aller Ausführlichkeit über die DSGVO – ihre Stärken, aber natürlich auch über ihre Schwächen. Hier ist Prof. Roßnagel zusammen mit Christian Geminn kürzlich ein Papier veröffentlicht, in dem er, anlässlich der anstehenden Evaluierung der Verordnung, konkrete Verbesserungsvorschläge an die EU-Kommission macht. Konkret sprechen wir hier über die sogenannten „Öffnungsklauseln“ der DSGVO sowie spezifische Unklarheiten bezüglich der erforderlichen Nutzereinwilligung und beleuchten die fundamentalen digitalen Rechte, die Du als Bürger*in Dank der Datenschutzgrundverordnung nun hast. Auch sprechen wir über den Schutz von Kindern durch die DSGVO. Kinder sind nicht in der Lage die Ausmaße ihrer Einwilligung in die Datenverarbeitung zu überblicken und sollten später als Erwachsene, nicht die Konsequenzen ihrer früheren Entscheidung spüren müssen. Denn: das Internet vergisst nie.
In einer Welt, in der sich die Technologien rapide verändern und fortentwickeln: Ist die DSGVO da nach sechs Jahren überhaupt noch aktuell? Höre jetzt in unsere Folge rein und erfahre, was Prof. Dr. Roßnagel dazu sagt!
Hinterlasst uns eure Meinung auf unseren Social-Media-Kanälen. Bei Fragen oder Anregungen schreibt uns auch gerne eine Mail an hallo@dasou.law und abonniert uns sowohl bei eurer Lieblings-Podcast-App als auch auf Social Media.
Prof. Dr. Roßnagel: https://datenschutz.hessen.de/ueber-uns/der-hbdi
Link zum Papier von Prof. Dr. Roßnagel und Christian Geminn:
Plattform Privatheit: https://plattform-privatheit.de/p-prv/index.php
Link zur vorherigen DaSou-Folge mit Prof. Roßnagel: https://ae2onc.podcaster.de/download/Das_neue_Datenschutzgesetz_TTDSG_mit_Prof_Dr_Rossnagel.mp3
Transskript
6. Geburtstag der DSGVO
DaSou-Podcast-Folge mit Prof. Dr. Roßnagel
Karina Filusch: Hallo und herzlich willkommen zum DaSou-Podcast. Mein Name ist Karina Filusch. Ich bin Datenschutzanwältin, und einmal im Monat spreche ich mit einem Experten oder einer Expertin über das Thema Datensouveränität, abgekürzt DaSou. Bevor wir in das Thema einsteigen, möchte ich euch bitten, unseren Podcast in eurer Lieblingspodcast-App zu abonnieren, denn damit könnt ihr uns helfen. Denn der Erfolg eines Podcasts wird unteranderem daran gemessen, wie oft er abonniert wurde. Und das Gute ist, ihr bekommt so auch immer Bescheid in eurer App, wenn eine neue Folge online gestellt wird, und verpasst sie dadurch nicht. Also wir würden uns sehr freuen, wenn ihr uns helfen würdet! Heute ist auch eine besondere Folge, denn am 25. Mai 2018 war ein wichtiger Tag für den Datenschutz. Seit diesem Tag wenden wir nämlich DSGVO an. Die Folge ist also eine Geburtstagsfolge. Herzlichen Glückwunsch, liebe DSGVO, zum sechsten Geburtstag. Aus diesem Grund sprechen wir heute mit einem besonderen Gast, der Vorschläge gemacht hat, wie die DSGVO besser werden könnte. Wir sprechen heute nämlich mit dem hessischen Landesdatenschutzbeauftragten Professor Dr. Roßnagel. Er war schon einmal bei DaSou zu Gast. Die Folge verlinken wir euch auch in den Shownotes, falls ihr da nochmal reinhören möchtet. Professor Roßnagel ist Professor für öffentliches Recht, unter anderem mit einem technischen Schwerpunkt. Er ist Sprecher der Plattform Privatheit. Die Plattform untersucht aus der Sicht von vielen recht unterschiedlichen Disziplinen die Fragen zum Schutz der Privatsphäre, und er erarbeitet auch Lösungsvorschläge, wie zum Beispiel, wie die Daten, egal wo, besser geschützt werden können. Datenschutz spielt nur mal eine enorm wichtige Rolle für ein selbstbestimmtes Leben in der digitalen Welt und schützt auch unsere Demokratie. Die Plattform Privatheit hat zudem über ihre Wissenschaftskommunikation eine wichtige Aufklärungsfunktion, indem sie Dialogveranstaltung für Bürgerinnen und Bürger organisiert, auch einen eigenen Blog betreibt und sonst auch sehr viel zum Thema Datenschutz publiziert wird, um dieses Thema den Menschen näherzubringen. Guckt also auf jeden Fall auf die Seite der Plattform Privatheit rein. Da findet ihr viele schöne Infos. Wir verlinken euch das auch nochmal in den Shownotes. Professor Roßnagel, Sie haben zusammen mitChristian Geminn das Policy Paper „Moving Data Protection forward – Proposals for amanding the General Data Protection Regulation“ geschrieben. Können Sie kurz zusammenfassen, was das Ziel des Papiers ist? Und dann möchte ich im Anschluss auch mit Ihnen über grundlegende Fragen zur DSGVO sprechen und auch konkret auf Ihre Lösungsvorschläge eingehen.
Prof. Dr. Roßnagel: Ja, also, es geht um die zweite Evaluation der Datenschutzgrundverordnung. In der Datenschutzgrundverordnung, in Artikel 97, ist festgelegt, dass die Kommission die Datenschutzgrundverordnung alle vier Jahre evaluieren muss. Die letzte Evaluation war im Jahr 2020. Jetzt findet 2024 die zweite Evaluation statt, und da haben ganz viele Institutionen und Einzelpersonen an die Kommission Vorschläge gerichtet, wie man die Datenschutzgrundverordnung verbessern kann. Und Christian Geminn und ich haben auch in dem Papier Vorschläge gemacht, wie man mit relativ geringen Änderungen doch Verbesserungen erreichen kann, indem man bestimmte Regelungen verdeutlich, damit Missverständnisse vermieden werden; dass man die gewollten Ergebnisse besser herausstellt, und ähnliche Vorschläge.
Karina Filusch: Ich möchte, bevor wir auf die Details des Papiers eingehen, noch einmal kurz darüber sprechen, dass wir heute über die Datenschutzgrundverordnung, abgekürzt DSGVO, reden, und vielleicht könnten Sie uns kurz sagen, was die Aufgabe des Gesetzes ist und wen es eigentlich schützen soll? Und wer muss sich an die DSGVO überhaupt halten?
Prof. Dr. Roßnagel: Man muss an der Stelle vorwegsagen, dass Datenschutz eigentlich ein unglücklicher Begriff ist. Es sollen nicht die Daten geschützt werden, sondern die Personen, die durch die Daten erfasst werden. Eigentlich geht es um das Grundrecht auf informationelle Selbstbestimmung. Jeder soll die Möglichkeit haben, selbst darüber zu bestimmen, welche Daten zu welchen Zwecken und von wem verarbeitet werden. Und wir haben in Europa einen sehr großen europäischen Markt; wir entwickeln uns zur europäischen Gesellschaft, und beides wird befördert durch die Digitalisierung. Dadurch rücken wir noch näher alle zusammen. Daher ist die Zielsetzung der Datenschutzgrundverordnung, Schutzregelungen für die informationelle Selbstbestimmung zu treffen, indem Rechte für betroffene Personen geregelt werden und Anforderungen an Unternehmen und Behörden gestellt werden, die relativ anspruchsvoll sind und die in der ganzen europäischen Union einheitlich sein sollen. An die Datenschutzgrundverordnung müssen sich alle Verantwortlichen halten, also alle, die Daten verarbeiten. Geschützt werden, alle Personen, die von dieser Datenverarbeitung betroffen sind.
Karina Filusch: Was ist mit mir als Privatperson? Muss ich mich in meinem privaten Umfeld auch an die DSGVO halten? Zum Beispiel, wenn ich Fotos irgendwo veröffentlichen will von einer Party oder so? Zählt das auch dazu?
Prof. Dr. Roßnagel: Es gibt eine sogenannte Haushalts Ausnahme. Also der Datenschutz betrifft nicht das Tagebuch oder die private Telefonliste. Und ähnlich ist es jetzt auch in der digitalen Welt: Also, wenn die Daten nur für private Zwecke verarbeitet werden, dann ist das einzelne Individuum nicht verpflichtet sich an die Datenschutzgrundverordnung zu halten. Um auf ihr Beispiel einzugehen, wenn ich jetzt für mich ein Foto aufnehme und es in meiner Fotosammlung habe, dann ist es eine Datenverarbeitung, die aber nicht unter die Datenschutzgrundverordnung fällt. In dem Moment, in dem ich aber diese Daten im Internet der ganzen Welt zur Verfügung stelle, ist es nicht mehr nur meine Privatsache, sondern ist ein Eingriff in das Grundrecht auf informationelle Selbstbestimmung der Menschen, die auf dem Foto sind, und dann unterfällt diese Datenverarbeitung der Datenschutzgrundverordnung.
Karina Filusch: Wir sprechen über die DSGVO. Das hat sehr, sehr viele Jahre gedauert, bis sie dann endlich zur Welt kam. Wir feiern jetzt in diesem Monat den Geburtstag der DSGVO, den sechsten. Dabei hatte die Zivilgesellschaft schon lange den Schutz ihrer Daten gefordert. Es wurde sehr lange verhandelt und unter Annahmen von Deutschland auch blockiert. Bis es dann endlich am 25. Mai 2018 so weit war und die DSGVO angewendet werden konnte. Können Sie uns grob darlegen, wer dort war und wie verhandelt wurde? Und was waren die Schwierigkeiten? Bei der Verhandlung mussten vielleicht viele Kompromisse geschlossen werden, und hatten wir als Stakeholder mittelbar überhaupt Einfluss auf die DSGVO?
Prof. Dr. Roßnagel: Beteiligte sagen, dass die Datenschutzgrundverordnung die umstrittenste Regelung ist, die in der europäischen Union verabschiedet wurde. Es war wohl der größte Versuch Lobbyeinfluss geltend zu machen, insbesondere von den Digital-Konzernen aus den USA. Man muss sich klarmachen, die Regelung zur Verarbeitung personenbezogener Daten ist eine ganz zentrale Grundlage für die Digitalisierung aller Gesellschaftsbereiche. Insofern sind alle irgendwie betroffen, und alle haben versucht Einfluss zu nehmen. Und man muss auch sehen, dass das in einen Machtkonflikt gefallen ist zwischen den drei Instanzen, welche die Gesetzgeber der europäischen Union sind: der europäische Rat, die Vertretung der Regierungen; das europäische Parlament, welches von uns demokratisch gewählte Organ; und die Kommission. Und das alles unter Lobbyeinfluss bei all diesen drei Instanzen. Das hat es dann äußerst schwierig gemacht zum Ergebnis zu kommen. Ursprünglich lag ein Vorschlag der Kommission vor, der neben vielen guten Regelungen aber auch das Ziel hatte, die Macht der Kommission erheblich zu steigern – da waren 50 Regelungsermächtigungen für die Kommission vorgesehen. Also an vielen Stellen, in denen es interessant wäre, wie geregelt wird, hat sich die Kommission vorbehalten, nachträglich eine Regelung zu treffen. Dem ist das Parlament entgegengetreten und hat versucht, den Einfluss des Parlaments zu stärken, indem Regelungen der Kommission präzisiert wurden. Das hätte bedeutet, dass das Parlament stärker bestimmen kann, was künftig gilt. Und der Rat hatte wiederum ganz andere Interessen. Der wollte vor allen Dingen – also die jeweiligen Regierungen der Mitgliedsstaaten wollten – dass die bisherigen Datenschutzregelungen, die die Staaten schon haben oder hatten, dass die weitgehend beibehalten werden können; dass die jeweils heimische Digitalwirtschaft gestärkt wird; und dass der Einfluss der Mitgliedsstaaten auf die künftige Entwicklung des Datenschutzrechts gestärkt wird. Also natürlich hat man da ganz, ganz viele Kompromisse machen müssen, damit überhaupt eine Einigung zustande kommt. Im Wesentlichen würde ich sagen, hat sich der Rat durchgesetzt, denn er hat aus den ganzen Regelungsermächtigungen der Kommission Öffnungsklauseln für die Mitgliedsstaaten vorgesehen und sich mit denen auch durchgesetzt. Somit haben wir jetzt in der Datenschutzgrundverordnung eine Fülle von Kompromissen, die dann auch nicht in allen Fällen systematisch aufeinander aufbauen, sondern sich hier und da auch widersprechen – oder man hat sich auf allgemeine Regelungen verständigt, unter denen jeder etwas anderes verstehen kann.
Karina Filusch: Sie haben jetzt sehr gut beschrieben, wie komplex dieses ganze Verfahren ist, um überhaupt ein europäisches Gesetz zu erlassen. Sie schreiben in Ihrem Papier auch, dass die DSGVO auch gewisse Defizite aufweist. Ist dieser Prozess unter Umständen der Grund für diese Defizite, oder woher kommen diese Probleme?
Prof. Dr. Roßnagel: Ja, ich denke schon, dass ein großer Anteil dieser Prozess hat. Also, wir finden in der Datenschutzgrundverordnung viele Formelkompromisse, also man hat sich auf bestimmte Begriffe geeinigt, ohne die dann näher auszuführen. Es bleibt der künftigen Entwicklung überlassen, was diese Regelung dann ganz genau bedeutet. Deswegen hat man auch viele Verallgemeinerungen vorgesehen. Das hat hier und da zu Inkonsistenzen geführt. Daher also, so denke ich, kommt ein Großteil der Defizite.
Karina Filusch: Gibt es denn schon Lösungen für diese Defizite? Also kann die DSGVO reformiert werden? Gibt es konkrete Bestrebungen dahingehend?
Prof. Dr. Roßnagel: Theoretisch ja. Diese Evaluation soll dazu führen, dass die Kommission dann aus den Erkenntnissen der Evaluation Vorschläge macht, wie die Datenschutzgrundverordnung fortgeführt werden kann. In der ersten Evaluation im Jahr 2020 war es jedoch so, dass die Kommission keinen Vorschlag aufgenommen hat, sondern festgestellt hat, dass sich die Datenschutzgrundverordnung bewährt hat. Bemühungen von vielen Seiten gibt es. Jeder, der irgendeinen Punkt hat innerhalb der Datenschutzgrundverordnung, mit dem er nicht zufrieden ist, macht Vorschläge, wie man das verbessern kann. Es ist aber nicht absehbar, dass die Kommission, der Rat oder das Parlament tatsächlich diese Vorschläge aufgreifen, weil keiner an den Kompromissen rühren will, die man damals gemacht hat. Und wenn man irgendwo ein Kompromiss aufschnüren würde und neu regeln würde, würden dann alle kommen und geltend machen, dass auch ihre Forderungen berücksichtigt werden sollen. Dann bleibt man lieber bei dem jetzigen Kompromiss, den man 2016 gefunden.
Karina Filusch: Ja, das kann ich durchaus nachvollziehen. Lieber ein Gesetz mit Lücken als gar kein Gesetz, könnte die Devise ja lauten. Wenn wir uns jetzt die DSGVO im Konkreten angucken, welche Rechte, grob zusammengefasst, hat eine Person denn dank der DSGVO?
Prof. Dr. Roßnagel: Die Rechtsposition der betroffenen Person ist deutlich verbessert worden gegenüber den Regelungen im alten Bundesdatenschutzgesetz oder auch gegenüber den Regelungen in den anderen Mitgliedsstaaten. Im Wesentlichen hat die betroffene Person zwei größere Bereiche an Einzelrechten: nämlich Rechte, die Transparenz gewährleisten – also, dass die betroffene Person weiß, welche Daten zu welchem Zwecken über sie verarbeitet werden. Da gibt’s Informationspflichten der Verantwortlichen, die, bevor sie die Daten verarbeiten, die betroffene Person informieren müssen; und sie hat die Möglichkeit, Auskunft zu fordern und sogar eine Kopie der Daten zu verlangen, die über sie gespeichert sind. Und das zweite ist, neben der Transparenz, die Möglichkeit, auf die Datenverarbeitung Einfluss zu nehmen. Man hat einen Berichtigungsanspruch, einen Löschungsanspruch, einen Anspruch auf die Einschränkung der Datenverarbeitung, einen Anspruch auf Übertragung von Daten von einem – das ist hauptsächlich für Netzwerke – von einem Netzwerk auf ein anderes Netzwerk; man kann Widerspruch einlegen gegen die Datenverarbeitung und man hat ein Recht, nicht einer automatisierten Entscheidung unterworfen zu werden, die nachteilige Wirkung auf einen hat.
Karina Filusch: Das klingt doch sehr gut. Die DSGVO gibt also einem Individuum unglaublich viele fundamentale digitale Rechte. Deswegen ist die Verordnung vielleicht auch Vorbild für die Datenschutzgesetze anderer Nationen. Ich glaube, in Japan wurde es vor einiger Zeit auch sogar kopiert, und in Europa spricht man auch von einem sogenannten „Brussel Effect.“ Das bedeutet, dass die Normen und die Regeln, die in Europa aufgestellt werden, einen grenzüberschreitenden Effekt haben. Trifft das Ihrer Ansicht nach auch uneingeschränkt auf die DSGVO zu?
Prof. Dr. Roßnagel: Ja, die Datenschutzgrundverordnung ist international ein Vorbild. Es ist richtig, dass Japan sich neue Datenschutzgesetze gegeben hat, die der Datenschutzgrundverordnung sehr nahekommen. Es gibt viele andere Staaten, die in dem Prozess sind, sich der Datenschutzgrundverordnung anzunähern. Insofern ist die Datenschutzgrundverordnung international betrachtet schon ein großer Erfolg. Dieser „Brussels Effect“ wirkt sich auch auf die großen internationalen Digitalkonzerne aus. Die verbesserte Durchsetzung des Datenschutzrechts durch die Datenschutzaufsichtsbehörden und die Möglichkeit, hohe Sanktionen auszusprechen, haben hier schon etwas bewirkt. Allerdings muss man feststellen, dass diese Digitalkonzerne sich nur so weit anpassen, als sie befürchten müssen, dass sie da am europäischen Markt ihre Marktanteile verlieren. Sie passen sich also diesem Zwang der Datenschutzgrundverordnung nur so weit an, wie es unvermeidbar ist und versuchen letztlich dann doch, ihre eigenen Interessen und ihre eigenen Regeln da, wo sie eine Möglichkeit sehen, durchzusetzen.
Karina Filusch: Und damit sind wir schon näher in Ihr Papier eingestiegen, dass ich zu Anfang erwähnt hatte. Da sprechen Sie auch über die territoriale Wirkung der DSGVO, über Konzerne, aber auch über die digitale Welt, die sich rapide verändert. Zum Beispiel an die KI muss man denken. Und inwiefern ist die DSGVO davon betroffen? Von diesen Technologien? Gibt es da Konflikte? Ist die DSGVO vielleicht anpassungsfähig? Also ist sie vielleicht so geschrieben, dass wir sie gar nicht ändern müssen? Ist die Technik offen? Wie ist da Ihre Einschätzung?
Prof. Dr. Roßnagel: Also, das wäre das Thema der „Technologieneutralität.“ Die ist in der Datenschutzgrundverordnung sehr extrem ausgeprägt. Für mich ist das Thema Technologieneutralität zwiespältig. Es ist natürlich so, dass Rechtsregeln nicht ganz konkret Technik regeln sollten, weil sie dann nach einem Vierteljahr schon wieder überholt sind. Aber überhaupt keinen Bezug zur Technik herzustellen, ist unter Umständen auch wenig effektiv, weil es am Ende zur „Risikoneutralität“ führt. Also, Technikneutralität kann ganz leicht zur Risikoneutralität führen. Nehmen wir ganz konkret das Beispiel der Erlaubnistatbestände: Da hat die Datenschutzgrundverordnung das in Artikel 6 sehr abstrakt geregelt. Damit wird ein soziales Netzwerk, das weltweit mit Milliarden Teilnehmern operiert, genauso behandelt wie der Bäcker um die Ecke, der jetzt sich eine kleine Kundenliste angelegt hat. Beide unterfallen der gleichen Regelung. Und dann kann man sich vorstellen, dass, wenn es so ist, die spezifischen Risiken, die mit dem sozialen Netzwerk verbunden sind, nicht geregelt sind. Und wenn irgendwas nicht geregelt ist, dann führt es dazu, dass sich soziale Macht in dieser Lücke breitmacht. Diese dringt dort ein und ist in der Lage, diese allgemeinen Regelungen in ihrem Sinn auszufüllen und zu verstehen, und das entsprechend dann auch so durchzusetzen.
Karina Filusch: Das ist in der Tat absurd, dass ein großer US-Konzern genau gleich behandelt wird DSGVO, wie der kleine Bäcker von nebenan. Sie weisen in Ihrem Papier auch auf andere Unklarheiten in der DSGVO hin. Insgesamt nennen Sie 33 Vorschläge. Die sind sehr gut strukturiert. Also auch wenn man keine Datenschützerin oder kein Datenschützer ist, kann man dem Papier sehr gut folgen und nachvollziehen, was genau diese 33 Vorschläge betrifft. Woher kommen diese Unklarheiten in der DSGVO überhaupt? Sie schreiben in ihrem Papier auch, dass Gerichte zum Beispiel Abhilfe schaffen oder Guidelines, insbesondere vom European Data Protection Board. Was ist das für ein „Board“ und können Sie uns konkrete Beispiele für die Unklarheiten in der DSGVO nennen?
Prof. Dr. Roßnagel: Ich beginne mit dem Zweiten. Also eine Unklarheit ist zum Beispiel in dem schon erwähnten Artikel 6. Da steht unter Buchstabe a, dass die Daten verarbeitet werden können, wenn jemand seine Einwilligung dazu gegeben hat. Dann steht zum Beispiel im Buchstaben f, dass die Daten verarbeitet werden können, wenn jemand ein überwiegendes berechtigtes Interesse hat an der Datenverarbeitung. Und jetzt ist die Frage: wie verhält sich das zueinander? Kann jetzt ein Datenverarbeiter mich um Einwilligung bitten, und wenn ich dann sage „nein, die Einwilligung will ich nicht geben; ich will nicht, dass die Daten verarbeitet werden“ – kann der dann sagen „interessiert mich nicht, dann verarbeite ich die Daten einfach nach der Regelung der überwiegenden berechtigten Interessen“? Ich meine, es müsste klargestellt werden, dass, wenn der Datenverarbeiter auf Einwilligung setzen will und diese versagt wird, dass er dann die Daten auch nicht verarbeiten darf. Oder er geht von vornherein auf den Erlaubnistatbestand der überwiegenden berechtigten Interessen. Dann muss er darlegen, welche berechtigten Interessen überwiegen und warum die Datenverarbeitung dafür erforderlich ist. Aber er kann mir nicht zuerst anbieten oder deutlich machen, er will auf mich Rücksicht nehmen und mich fragen, ob ich einwillige – aber, wenn ich dann die Einwilligung verweigere, dann sagen, dass es ihn nicht interessiere, er verarbeite die Daten trotzdem. Da denke ich, müsste eine Klarstellung erfolgen. Das ist jetzt ein Beispiel. Zu der ersten Frage: Im europäischen Datenschutz Ausschuss sind alle Aufsichtsbehörden Mitglieder, und die sollen umstrittene Punkte innerhalb der Datenschutzgrundverordnung, die in der Praxis auftreten, klären. Die können in bestimmten Situationen die nationalen Aufsichtsbehörden anweisen, in dieser oder jener Weise zu verfahren. Sie können auch durch Leitlinien einheitliche Maßstäbe geben, an denen sich dann alle Aufsichtsbehörden in der Anwendung der Datenschutzgrundverordnung orientieren sollen.
Karina Filusch: Aktuell ist es so, dass wenn ich solche Unsicherheiten habe, ich mir Gerichtsurteile angucke. Das können deutsche Gerichte sein, es können europäische Gerichte sein. So versuche ich mir weiterzuhelfen, wenn ich genau in solchen Rechtsfragen nicht weiterweiß. Was wäre denn jetzt der Vorteil davon, wenn die DSGVO direkt durch den Gesetzgeber verändert werden würde, anstatt darauf zu hoffen, dass die Gerichte jetzt alles klären? Oder der Datenschutzausschuss?
Prof. Dr. Roßnagel: Wenn in der Datenschutzgrundverordnung, also in einem europäischen Gesetz, was verändert wird, dann ist das – wenn es gut geht – eine systematische Regelung, die sich in die bisherigen Regelungen gut einpasst. Sie ist für alle in Europa verbindlich und gilt mit dem Erlass der Regel dann auch sofort. Wenn man jetzt statt dem Gesetzgeber auf die Gerichte setzt, dann ist es so: Die Entscheidung der Gerichte ist immer fallbezogen. Welcher Fall an das Gericht kommt, kann sich das Gericht nicht aussuchen, sondern muss warten, bis der richtige Fall kommt. Also ob jetzt sinnvolle Fälle beim Gericht landen oder nicht, ist zufällig. Man kann aber den Gesichtszug dann weitergehen, bis man zu einer verbindlichen Entscheidung tatsächlich kommt. Da können Jahre und Jahrzehnte vergehen. Es kann gut sein, dass das in den Mitgliedsstaaten sehr unterschiedlich ausgelegt gelegt wird von den verschiedenen Gerichten, sodass wir eine Zersplitterung des Datenschutzrechts über die Gerichtsentscheidungen in Europa haben könnten. Und wenn der europäische Datenschutzausschuss eine Entscheidung trifft: die kann sowohl fallbezogen sein, die kann aber auch systematisch sein. Das wäre gut. Das wäre eine Konkretisierung dessen, was in der Datenschutzgrundverordnung steht. Aber Empfehlungen des EDSA ind unverbindlich für Gerichte. Also die uneinheitliche Anwendung der Datenschutzgrundverordnung ist dann auch durch die Gerichte trotzdem möglich. Insofern wäre es schon am besten, eine gesetzliche Regelung anzustreben. Am Ende werden wir alles drei haben: Empfehlungen und Leitlinien des EDSA, also des europäischen Datenschutzausschusses; Entscheidungen der Gerichte, insbesondere des europäischen Gerichtshofs; und dann vielleicht irgendwann eine Überarbeitung der Datenschutzgrundverordnung.
Karina Filusch: Ich als Individuum kann dann eigentlich nur den Weg wählen, vor ein Gericht zu ziehen, möglichst bis zum europäischen Gerichtshof, um das einheitlich für Europa klären zu lassen und diese „Splitter-Gesetzgebung“ nicht in Europa auftritt. Das dauert und kostet natürlich. Das wird nicht dazu führen, dass alle Unklarheiten beseitigt werden.
Prof. Dr. Roßnagel: Sie können aber auch Beschwerde bei den Aufsichtsbehörden einlegen, und dadurch kann dann der Fall auch vor den europäischen Datenschutzausschuss kommen und dort dann für ganz Europa, für alle Aufsichtsbehörden, verbindlich geregelt werden. Also, wir haben zum Beispiel viele Fälle gehabt, in denen Irland, die Aufsichtsbehörde dort, sich sehr datenverarbeitungsfreundlich und unternehmensfreundlich gezeigt hat. Durch die Streiterei dann vor dem europäischen Datenschutzausschuss ist es dazu gekommen, dass der dann das Land gezwungen hat, Milliardenstrafen gegen Facebook oder Google zu verhängen.
Karina Filusch: Ich bin sehr froh, dass Sie diesen Weg jetzt noch genannt haben. Da kann man nur die Leute ermutigen, diese Möglichkeiten, die wir haben zu nutzen. Diese Unklarheiten, die nutzen Service Anbieter natürlich aus. Wie wirkt sich das zum Nachteil von Verbraucherinnen und Verbrauchern dann konkret aus?
Prof. Dr. Roßnagel: Ja, es ist tatsächlich so, dass Unklarheiten und Regelungslücken dann von den wirtschaftlich Stärkeren genutzt werden. Die versuchen, durch ihre großen Rechtsabteilungen und durch ihre wirtschaftliche Macht, bestimmte Interpretation der Datenschutzgrundverordnung durchzusetzen. Wie gesagt, sie haben in der Aufsichtsbehörde in Irland dann auch jemanden, der das ziemlich stark unterstützt.
Karina Filusch: Der Fokus Ihres Papiers liegt vor allem auf der Stärkung des Verbraucherschutzes. Wieso ist das für Sie ein relevanter Punkt? Und wieso müssen Verbraucher*innen geschützt werden? Also warum ist das die Gruppe, auf die Sie sich vor allem beziehen, und nicht zum Beispiel auf die Verantwortlichen – also zum Beispiel die Tech-Unternehmen selbst?
Prof. Dr. Roßnagel: Ein Ziel des Datenschutzrechts ist Machtausgleich. Die heutige Situation ist dadurch geprägt, dass die betroffene Person für die großen Unternehmen sehr transparent ist. Die haben über jede Person Profile angelegt und wissen über die Interessen und Schwächen und Handlungsmöglichkeiten sehr genau Bescheid. Umgekehrt ist das, was die großen Datenverarbeiter mit den Daten machen, für die Betroffenen sehr intransparent. Der Datenschutz muss versuchen, diese Transparenz der betroffenen Person einzuschränken und umgekehrt die Intransparent in der Datenverarbeitung für die Betroffenen aufzuheben. Die Datenschutzgrundverordnung versucht aber auch im Interesse der Datenverarbeiter zu regulieren. Die Datenschutzgrundverordnung zielt ja nicht nur auf Datenschutz, sondern auch auf Datenaustausch und Datennutzung ab. Das soll in der europäischen Union ermöglicht werden, weil alle Verantwortlichen sich an gleiche Regelungen halten müssen. Es gibt im Datenschutzrecht dann europaweit Wettbewerbsgleichheit. Insofern werden Unternehmen oder, wenn man so will auch ganze Volkswirtschaften, gegen ungerechtfertigte Wettbewerbsnachteile geschützt. Wettbewerbsnachteile, die dadurch entstehen, dass sich jemand nicht an das Datenschutzrecht hält und deswegen leichter und einfacher Daten verarbeiten kann.
Karina Filusch: Sie haben gerade das große Ungleichgewicht erwähnt, dass zwischen Tech-Unternehmen zum Beispiel und den Nutzerinnen und Nutzern besteht. Eine besondere Gruppe, die besonders schützenswert ist, sind Kinder. Das interessiert mich vor allem als Mutter natürlich. Wie wird mein Kind durch die DSGVO geschützt? Sie nennen auch konkrete Vorschläge, wie der Schutz für Kinder besser aussehen könnte. Könnten Sie noch näher ausführen, was das Problem ist und was Ihr Vorschlag beinhaltet?
Prof. Dr. Roßnagel: Also, die Datenschutzgrundverordnung hat einzelne, wenige Regelungen zugunsten von Kindern aufgenommen. Diese Regelungen sind gut und unterstützenswert, aber sie bieten keinen systematischen Schutz von Kindern. Insofern denke ich, ist ein systematisches Schutzkonzept notwendig. Die Kinder sind nicht in der Lage voll zu überblicken, was es bedeutet, wenn sie jetzt irgendwo einwilligen oder wenn sie Daten preisgeben. Insofern müsste bei Einwilligungen von Kindern viel größere Vorsicht herrschen. Insofern schlagen wir vor, dass zum Beispiel ausgeschlossen wird, dass Kinder in Werbung und Profiling einwilligen können und das auch ausgeschlossen wird, dass sie bei besonderen Kategorien personenbezogener Daten in die Verarbeitung einwilligen können. Solche besonderen Kategorien sind Daten zur Gesundheit, zu biometrischen Daten, genetische Daten, aber auch Daten zu politischen, religiösen Einstellungen und ähnliches. Also, es sollte nicht zulässig sein, dass über Kinder solche Daten erhoben und verarbeitet werden. Dann ist es so, dass die Kinder irgendwann mal erwachsen werden und es möglicherweise bereuen, dass sie als Kinder so freizügig waren mit der Preisgabe ihrer Daten. Es sollte es ihnen möglich sein, dass sie Datensammlungen aus der Kinderzeit, wenn sie später dann Erwachsene sind, auch löschen lassen können und dass sie auch schon als Kinder, aber später, bezogen auf diese Daten ein verstärktes Widerspruchsrecht haben, wodurch sie einfacher und schneller widersprechen können.
Karina Filusch: Ja, denn wir wissen: das Internet vergisst leider nicht. Da treffen Ihre Vorschläge auf jeden Fall den Nerv der Zeit. Denn Kinder benutzen Technik und soziale Medien und so weiter ja immer früher und können ohne diese Angebote teilweise gar nicht mehr leben. Deswegen finde ich das sehr gut. Es wäre wünschenswert, dass wenigstens diese Vorschläge umgesetzt werden würden in der DSGVO – wenn nicht schon die anderen, dann wenigstens der Schutz der Kinder. Das sollte doch eigentlich immer gehen. Also, das finde ich großartig an Ihrem Papier, wie viel Raum das Thema auch eingenommen hat. Wer näheres dazu wissen möchte: das Papier hat ungefähr 25 Seiten und auf den 25 Seiten sind die Vorschläge und die Probleme, die überhaupt mit der DSGVO einhergehen. Dafür gibt es dann 33 strukturiert dargestellte Lösungsvorschläge, die auch sehr nachvollziehbar dargelegt sind. Dann würde ich zu meiner abschließenden Frage kommen: was ist denn DaSou, also Datensouveränität, für Sie in diesem Kontext?
Prof. Dr. Roßnagel: Ich hatte es ganz am Anfang unseres Gesprächs schon angesprochen. Für mich ist Datensouveränität des Einzelnen identisch mit der informationellen Selbstbestimmung. Also, dass jeder selbst darüber bestimmen kann, welche Daten er von sich preisgibt und wer diese Daten zu welchen Zwecken verarbeiten kann. Das heißt nicht, dass der Einzelne dann als Robinson und ohne sozialen Kontakt und ohne Verarbeitung von Daten auf seiner Insel leben soll – sondern die Datenverarbeitung in der digitalen Gesellschaft ist ja notwendig und oft auch sehr hilfreich. Aber diese Datenverarbeitung muss ihren Ausgangspunkt, ihre Grundlage, in der informationellen Selbstbestimmung des Einzelnen finden. Wenn der Einzelne Daten nicht preisgeben will, dann muss es respektiert werden. Nur dann hat der Einzelne tatsächlich Datensouveränität.
Karina Filusch: Vielen Dank, Herr Professor Roßnagel, dass Sie heute die Zeit gefunden haben, über Ihr Papier zu sprechen. Vielen Dank dafür.
Prof. Dr. Roßnagel: Ja, Ihnen vielen Dank für die Fragen.Karina Filusch: Ich hoffe, euch hat die Folge gut gefallen. Abonniert uns gerne und hinterlasst uns auch sehr gerne eine gute Bewertung in eurer Lieblings-Podcast-App. Ihr könnt uns zum Beispiel per E-Mail erreichen unter hallo@dasou.law. DaSou ist eine Produktion der Kanzlei Filusch. Mehr Infos findet ihr auf unserer Webseite www.dasou.law. Zur Redaktion gehören Lynn Böttcher und Karina Filusch. Editiert wurde der Podcast von Christoph Hinners. Der Jingle wurde, komponiert von Mauli. Die Idee zu DaSou hatte Axel Jürs. Bei der Konzeptionierung unterstützte uns Susan Stone. Das Cover hat Hélène Baum gestaltet.