*das ist „Binärisch“ und bedeutet:…16
Dass bewusstlose Unfallopfer ohne Einwilligung von den Sanitätern nicht gerettet werden dürfen, das ist Quatsch. Und doch wird fast jede*r ein Alltagsbeispiel kennen, warum der Datenschutz an allem schuld ist. Zu viele bürokratische Regelungen und nicht einwandfreie föderale Kooperation, das sind einige der Probleme im Datenschutz. Wir sprechen mit Frederick Richter, dem Vorsitzenden der Stiftung Datenschutz, über den Reformbedarf der DSGVO, den Unterschied zwischen Datenschutzkompetenz und Datennutzungskompetenz und wie eine gesetzlich geregelte Anonymisierung für Verbraucher, Unternehmen und die Wissenschaft von Vorteil sein kann. Das politische Versprechen Daten von einem Dienstleister zum anderen mitzunehmen, geht leider nicht immer mit den technischen Strukturen einher, Cookie-Banner stehen beim Surfen nur im Weg, da bleibt die Frage, warum der Datenschutz eher nützt als behindert? Ganz einfach: Guter Datenschutz ist Grundrechtsschutz. Wir sind gespannt, wie eine zukünftige Ampel-Koalition unser Recht auf informationelle Selbstbestimmung schützen möchte. Was meint ihr, wird es Reformen geben oder bleibt alles beim Alten?
Schreibt uns eure Meinung gerne auf Twitter oder Instagram!
Bei Fragen oder Anregungen schreibt uns gerne eine Mail an hallo@dasou.law und folgt uns auf Twitter und Instagram bei dasou_law.
Show-Notes
LinkedIn von Frederick Richter: https://de.linkedin.com/in/frederick-richter
Twitter von Frederik Richter: https://twitter.com/Fredomatikus
Stiftung Datenschutz: https://stiftungdatenschutz.org/ueber-uns/personen
Datenstrategie der Bundesregierung: https://www.bundesregierung.de/resource/blob/992814/1845634/45aee6da9554115398cc6a722aba08cb/datenstrategie-der-bundesregierung-download-bpa-data.pdf?download=1
Transkript:
Karina Filusch: Hallo und herzlich willkommen beim DaSou-Podcast. Ich bin Karina Filusch, Datenschutzanwältin und externe Datenschutzbeauftragte. In jeder Folge sprechen wir mit einer Expertin oder einem Experten über Datensouveränität, abgekürzt DaSou. Vergesst nicht, uns ein Abo zu hinterlassen, denn damit helft ihr uns wirklich sehr. Wie ihr vielleicht gemerkt habt, kommt diese Folge heute ein bisschen früher raus. Heute ist der 11.11., deswegen haben wir uns dazu entschieden, sie auch schon um 11:11 zu veröffentlichen.
Aileen Weibeler: Ich bin Aileen Weibeler und angehende Juristin. Schön, dass ihr auch heute wieder bei uns dabei seid. Wir haben heute Frederick Richter bei uns. Er ist nicht nur Jurist, sondern auch Vorsitzender der Stiftung Datenschutz und Mitglied der Fokusgruppen Datenschutz des Digitalgipfels der Bundesregierung.
Karina Filusch: Dieser Podcast ist ohne die Stiftung Datenschutz kaum vorstellbar. Wir haben heute sehr viele Themen mit Frederick Richter zu besprechen. Unter anderem möchten wir über Open Data sprechen, über die Anonymisierung und wie das genau funktioniert. Wir sprechen mit ihm auch über die lästigen Cookie Banner und wie man dagegen vorgehen kann. Es wird auch ganz schön politisch. Wir sprechen mit ihm über die Frage, ob ein Digitalministerium sinnvoll ist und wie es wohl mit dem Thema Datenschutz bei der nächsten Ampelkoalition aussehen wird.
Aileen Weibeler: Herr Richter, wofür steht denn eigentlich die Stiftung Datenschutz?
Frederick Richter: Vielen Dank für die Einladung in den Podcast. Ich freue mich, hier zu sein und stelle gern die Stiftung Datenschutz vor. Diese Einrichtung wurde vom Bund gegründet und sie versteht sich einerseits als Informationsgeberin zum Datenschutzrecht, andererseits auch als Diskussionsplattform für Debatten und Austausch zum Datenschutz und zur Datenpolitik.
Karina Filusch: Wo könnte man die Stiftung Datenschutz einordnen? Will sie mehr Datenschutz? Will sie das Ganze ein bisschen lockerer handhaben?
Frederick Richter: Nun, der Name ist schon Programm. Die Stiftung Datenschutz agiert pro Datenschutz. Einzuordnen ist sie praktisch in der Mitte aller Akteure. Wir wollen die Schnittstelle zwischen den Datenschutzaufsichtsbehörden, der Wirtschaft, der Wissenschaft, der Politik und der Gesellschaft sein. Das ist natürlich ein großer Anspruch und wir sind auch sehr klein, aber wir versuchen eine Art guten Austausch zu organisieren. Ich sagte schon, wir sind pro Datenschutz, aber natürlich für einen Datenschutz, der in der Praxis auch funktioniert, der den Leuten wirklich etwas bringt und den die Leute auch so wahrnehmen, als dass er ihnen etwas bringt. Wir haben aktuell zum Beispiel das Problem mit den Cookie-Bannern, was dazu führt, dass die Leute Datenschutz als etwas Störendes, Nerviges wahrnehmen. Dagegen wollen wir uns einsetzen.
Karina Filusch: Störend und nervig, oder…? Oft hört man auch den Satz „Der Datenschutz ist schuld“. Sie sind das wahrscheinlich auch schon ein bisschen leid, solche Sätze zu hören, vermute ich mal. Und kämpfen da wacker gegen an?
Frederick Richter: Ja, das ist schwer erträglich – also dieses Narrativ „Der Datenschutz verhindert alles Mögliche“, also den alten Spruch „Datenschutz ist Datenschutz oder Täterschutz“. Das kennen wir seit Jahrzehnten aus den Debatten in der Innen- und Sicherheitspolitik. Heutzutage hat es sich aber auch derart gewandelt, dass man sagt, der Datenschutz verhindere Innovationen, das Entstehen neuer Geschäftsmodelle, die Forschung. Jüngst gab es einen Aufschrei von einer Mediziner- oder Ärztevereinigung, wo es darum ging, dass der Datenschutz, die DSGVO, sogar die Rettung von Patienten verhindern würde, weil man ja eine Einwilligung zur Verarbeitung von Gesundheitsdaten bräuchte und man die ja nicht bekäme, wenn Leute bewusstlos auf der Trage liegen und man die nicht mehr ins Krankenhaus übermitteln dürfte. Das ist Unsinn, das muss man so ganz klar sagen. Da haben also Leute behauptet, der Datenschutz würde die Rettung von gefährdeten Menschen verhindern, ohne das Gesetz gelesen zu haben. Denn da steht ganz klar drin: Natürlich gibt es eine Ausnahme und natürlich braucht man keine Einwilligung, wenn Gefahr für Leib und Leben besteht. Leider gibt es viele Mythen, was der Datenschutz alles verhindere. Natürlich setzt der Datenschutz Bedingungen für die Verarbeitung von personenbezogenen Daten und natürlich bedeutet das Einschränkung für Unternehmen und andere Organisationen. Sie können mit Daten nicht einfach machen, was sie wollen. Das ist so, aber das hat auch seine guten Gründe. Das ist alles Grundrechtsschutz, über den wir sprechen.
Karina Filusch: Bleiben wir noch bei der Politik, weil Sie sie gerade erwähnt haben. Datenschutz ist mittlerweile ein Politikum geworden. Aber warum eigentlich?
Frederick Richter: Datenschutzgesetze wurden schon immer von der Politik beschlossen. Deswegen könnte man sagen, dass das schon immer eine politische Materie war. Sie gewinnt an Brisanz, weil wir heutzutage mehr mit Daten machen als damals, als Datenschutzgesetze entstanden und geschrieben wurden, Anfang und Ende der 1970er Jahre. Da ging es um die Abwehr staatlicher Datenverarbeitung und heute verarbeitet jeder Daten, jede Einrichtung, jede Person, die mit digitalen Instrumenten umgeht und damit ist natürlich auch das Datenschutzthema allgegenwärtig. Wie Sie schon sagten, Datenschutz wird auch gerne in Debatten und in einer verdateten Welt, wenn man so sagen will in einer datafizierten Welt, instrumentalisiert. Hierbei ist auch die Regulierung des Datenumgangs ein wichtiges politisches Thema. Das finde ich ganz normal. Ich finde es auch gut, dass die Politik über Datenschutz streitet, denn nur durch Streit und Diskurs finden wir richtige Lösung. Deswegen würde ich das erst mal neutral sehen.
Karina Filusch: Gucken wir uns mal an, was die letzte Bundesregierung zum Thema Datenschutz gesagt hat. Es gibt ein umfangreiches Digitalkonzept, das heißt Datenstrategie der Bundesregierung. Ich habe gerade noch mal nachgeguckt. Was sagen Sie zu dieser Strategie der Bundesregierung?
Frederick Richter: Ich begrüße diese Datenstrategie der mittlerweile ja nur noch geschäftsführenden Bundesregierung. Ich finde die sehr gut. Das habe ich auch in der Anhörung dazu im Bundestag gesagt. Aber ich finde sie kommt sehr spät. Das ist das Problem. Wenn etwas bewegt werden soll, dann kann man das nicht wenige Monate vor Ende der Legislaturperiode bewegen. Es ist problematisch, wenn so eine Datenstrategie im Februar eines Jahres vorgelegt wird, in dem die politische Gestaltungskraft dann praktisch im Juni wegen der Bundestagswahl enden muss. Das hat mich doch sehr geärgert. Die Ziele, die in der Datenstrategie adressiert werden, kann ich nur unterstreichen, wenn es darum geht, dass wir mehr Datenkompetenz brauchen. Wenn es darum geht, dass der Staat, dass die öffentliche Hand eine Vorreiterrolle beim Umgang mit Daten zeigen muss, wenn es darum geht, mehr Datennutzung zum Allgemeinwohl zu ermöglichen. Das sind die grundsätzlichen oder die Hauptziele in dieser Datenstrategie. Die kann ich nur unterschreiben.
Karina Filusch: Das ging mir auch so. Ich empfand es auch als sehr spät. Der Katalog der Maßnahmen ist sehr umfangreich. Viele, viele Sachen davon sind schon gerade am Laufen, einige noch in Planung. Aber da war doch wirklich sehr viel Erfreuliches zu lesen. Das Stichwort Datenkompetenz hatten Sie jetzt schon genannt. Wie sieht für Sie Datenkompetenz aus?
Frederick Richter: Datenkompetenz hat für mich zwei Teile, die Datenschutzkompetenz und die Datennutzungskompetenz, so würde ich es mal aufteilen. Einerseits geht es darum, Rechte und Freiheiten der Menschen zu schützen. Dafür ist der Datenschutz da. Es geht nicht, muss man immer wieder sagen, um den Schutz der Daten an sich. Das macht die IT-Sicherheit, das macht die Datensicherheit. Der Datenschutz schützt die Personen, auf die sich die Daten beziehen. Bei der Datennutzungskompetenz geht es darum, dass Datenbestände einfach nicht liegen gelassen werden, die man nach dem Datenschutz nutzen könnte und dürfte, es aber nicht tut, weil man vielleicht den Sinn darin nicht sieht, diese Daten besser zu nutzen oder weil man einfach keine Anreize hat. Dabei muss man zwischen personenbezogene Daten und anonymen Daten unterscheiden. Bei anonymen Daten ist es noch schlimmer, wenn die nicht genutzt werden, denn da haben wir gar keine Einschränkung, da müssen wir das Datenschutzrecht nicht beachten. Es kann sein, dass ein Unternehmen durch Sensoren, die es in seinen Instrumenten, Maschinen, Fahrzeugen betreibt, Daten generiert hat, die gar keinen Personenbezug, aber trotzdem einen Wert haben. So kann aus ihnen etwas abgelesen werden oder man kann mit ihnen forschen oder Systeme maschinellen Lernens oder künstlicher Intelligenz trainieren. Wenn diese Daten in den Datenspeichern der Unternehmen verbleiben, nicht genutzt werden und auch von Wettbewerbern (von womöglich kleineren Wettbewerbern) nicht genutzt werden können, brauchen wir da mehr Nutzungskompetenz. Wir müssen denjenigen, die Bedenken haben, diese Daten zu teilen bzw. diese Daten weiterzugeben, ihre Ängste nehmen. Wir brauchen so eine Art Übertragung des Gedankens von Open Data auf den privaten Bereich. Wir haben zu Open Data bereits Gesetze und Verpflichtungen. Das heißt, die Behörden und die öffentlichen Einrichtungen sind verpflichtet, nicht personenbezogene Daten zur Verfügung zu stellen, der Allgemeinheit bereitzuhalten zum Allgemeinwohl, zur Nutzung durch alle. Und diesen Gedanken von Open Data kann man eben, wenn es keinen Personenbezug gibt, durchaus auch auf Private ausweiten, die ja bislang Open Data nicht beherzigen müssen. Das ist eine große Chance.
.
Karina Filusch: Kann Open Data dazu beitragen, dass wir mehr Datenkompetenz haben? Oder wie könnten wir für mehr Datenkompetenz sorgen? In der Datenstrategie der geschäftsführenden Bundesregierung, wie Sie gerade auch noch mal richtig korrigiert haben, werden zum Beispiel auch Kurse an Volkshochschulen vorgeschlagen. Wie sehen Sie das? Wie schätzen Sie das ein?
.
Frederick Richter: Also ich glaube die Reihenfolge wäre nicht, dass Open Data zu mehr Datenkompetenz führt, sondern dass mehr Datenkompetenz zu Open Data führt. Denn erst wenn man ein Gefühl dafür hat, welche Daten man freigeben darf, welche Daten man zur Verfügung stellen darf, dann gewinnt Open Data an Fahrt. Wie stellen wir Datenkompetenz her? Ja, natürlich durch Bildungs- und Aufklärungsmaßnahmen, durch das Erklären von Datenschutz, durch das Erklären des Gedankens von Open Data. Denn wenn sich die Leute sicher fühlen, dann werden sie auch Daten zur Verfügung stellen. Und wenn sie sich nicht sicher fühlen, dann werden sie lieber sagen „Oh, bei Daten, wenn ich sie weitergebe, das kann Ärger geben, da kommt der Datenschutz und verhindert alles“. Und so weiter. Dann haben wir eine Verunsicherung und dann haben wir weniger Datennutzung oder weniger Wertschöpfung aus Daten. Deswegen sind Aufklärungsmaßnahmen sehr wichtig. Da gibt es verschiedene denkbare Kanäle. Das können bevölkerungsnahe Vermittlungsangebote sein, zum Beispiel durch die genannten Volkshochschulen. Das können Maßnahmen der Datenschutzaufsichtsbehörden sein, wenn sie dazu Kapazitäten haben – denn sie haben die Kompetenz, aber oftmals nicht die Vermittlungskapazitäten. Das können Verbraucherzentralen sein. Das könnte auch unsere Einrichtung sein, die Stiftung Datenschutz. Uns hat der Bund sogar ins Stammbuch in unserer Stiftung Satzung geschrieben, dass wir Aufklärungsmaßnahmen betreiben sollen. Das verlangt eine größere Ausstattung, denn solche Maßnahmen kosten Mittel, um auch in der Fläche anzukommen. Damit haben wir bislang noch etwas beschränkte Möglichkeiten. Das ist also so eine Art konzertierter Ansatz, den man vielleicht erfahren muss.
Karina Filusch: Kommen wir vielleicht nochmal zu praktischen Beispielen für Open Data. Ich sitze jetzt also zu Hause und überlegt mir „Ach, ich könnte doch mal ein paar Daten teilen“. Welche Anwendungsfälle kann es davon geben? Mir fällt als erstes ein, zum Beispiel es geht ja um anonymisierte Daten, vielleicht um das Melden von einer freien Parkplatzlücke für andere, damit sie schneller einen freien Parkplatz in der Großstadt finden, da ist das durchaus ein großes Problem, oder wie muss ich mir Open Data vorstellen als praktischer Anwendungsfall? Liege ich jetzt komplett falsch?
Frederick Richter: Nein, das Beispiel ist ideal gewählt, denn wir haben Platznot durch schlecht geleitete oder gar nicht geleitete Verkehrsströme im Individualverkehr. Tatsächlich in Großstädten besonders. Es ist nicht gut für die Umwelt, wenn die Motoren unnötig länger laufen, auf sinnloser Parkplatzsuche. Und deswegen wäre es natürlich großartig, das datengestützt besser zu lenken. Dass die Autos wissen, wo ein freier Parkplatz ist und dann weniger Umwege fahren und weniger emittieren. Das kann man ganz, ganz konkret auf die Vorteile, die das bringt, herunterbrechen. Dazu brauchen wir natürlich die Daten. Dazu brauchen wir natürlich dann immer auch den Datenschutz. Wir wollen nicht überwacht werden, während wir mit Fahrzeugen herumfahren. Es gibt Parkplätze, die elektronisch überwacht sind, zum Beispiel bei Supermärkten. Viele Supermärkte gehen dazu über, die Parkplätze mit Sensoren zu überwachen. Dann muss man da keine Parkscheibe mehr hinlegen, dann muss man da keinen Parkschein mehr ziehen oder so. Dieses System registriert, wie viele Parkplätze wie lange belegt sind. So, das ist dann der private Bereich. Das könnte man auch auf den öffentlichen Bereich ausweiten. Das zum Beispiel in Straßenlaternen Sensoren sind, die erfassen, ob Parklücken belegt oder frei sind. Dazu müssen auch keine Daten erfasst werden. Dazu muss kein Kennzeichen gescannt werden oder ähnliches. Es geht nur darum: Steht da ein Fahrzeug oder steht da kein Fahrzeug? Dieses Datum des nicht belegten Platzes, könnte dann auf die Navigationssysteme der Autos gespielt werden, sodass das Auto weiß, dass in 120 Meter Abstand vorne ein Platz frei ist. Das weiß ich aus anonymen, öffentlich zugänglichen Daten. Das wäre eine ganz praktische Anwendung. Natürlich gibt es diese Systeme noch nicht, aber sie wären denkbar. Sie werden ohne Probleme mit dem Datenschutz umsetzbar.
Karina Filusch: Das klingt nach einer tollen neuen Zukunft. Mir gefällt das schon mal richtig gut. Jetzt haben wir explizit über anonymisierte Daten gesprochen. Die DSGVO kennt leider keine Definition davon. Es gibt einen Katalog an Begriffsbestimmung in der DSGVO. Die Anonymisierung taucht dort gar nicht auf, die Pseudonymisierung schon. Beide Begriffe werden manchmal verwechselt, sind aber doch ein bisschen was anderes. Was ist das Problem damit, dass die Anonymisierung nicht gesetzlich geregelt ist?
Frederick Richter: Das sorgt für Unsicherheiten und allein, was Sie schon erwähnten, die Verwechslung der Begrifflichkeiten in den Medien ist oftmals schon ein Problem, denn es gibt ja drei Kategorien: es gibt die klaren personenbezogen Daten, dann kann jeder einer Person ein Datum zuordnen. Es gibt die pseudonymisierten Daten, da kann nur derjenige die Daten einer Person zuordnen, der eine Zuordnungstabelle hat. Wer also weiß, was der falsche Name ist und was der richtige Name ist. Bei den anonymen Daten kann niemand mehr irgendwas zuordnen. Da verlassen wir den Bereich des Datenschutzes. Aber wie man den Bereich des Datenschutzes verlässt, wie man richtig und belastbar und rechtssicher anonymisiert, regelt das Gesetz eben nicht, wie Sie schon sagten. Das regelt auch sonst niemand. Es gibt dazu keine Standards, keine Leitlinien der öffentlichen Hand, es gibt dazu fast gar nichts. Das ist natürlich ein Problem, denn gerade, wenn wir über Open Data und mehr Datenteilung, Datennutzung sprechen, dann brauchen die, die die Daten in die Datenallmende freigeben sollen natürlich eine Sicherheit, wie sie dieses Freigeben richtig machen. Denn wenn diese Daten nach der Freigabe, nachdem sie geteilt und verbreitet wurden, wieder Personen zugeordnet werden können, dann haben wir natürlich ein Problem mit dem Datenschutz und das will niemand. Deswegen brauchen wir da dringend etwas, was über das Gesetz, über die DSGVO, an Konkretisierung hinausgeht.
Karina Filusch: Jetzt haben wir die DSGVO seit drei Jahren. Seit drei Jahren wenden wir sie an. Sehen Sie viel Reformbedarf für die DSGVO oder sollte alles so bleiben, wie es ist?
Frederick Richter: Also die Grundsätze der DSGVO haben sich, glaube ich, schon jetzt bewährt. Es gibt immer Punkte, wo man schauen muss, wie kann man jetzt unnötige Bürokratie eindämmen? Wir wollen ja effektiven Grundrechtsschutz. Wir wollen keine formalistische Bürokratie. Da muss man gucken, was wo passt. Allerdings muss man immer auch sagen, dass kleine Unternehmen oder kleine Vereine gar nicht die gleiche Compliance Erfüllungslast wie große Unternehmen haben. Schlicht, weil sie weniger mit Daten machen. Wenn sie mehr mit Daten machen, dann folgen daraus auch mehr Anforderungen aus dem Gesetz. Das muss man so klar sagen. Man muss bei der DSGVO gucken, was wie wirkt. Wir haben zum Beispiel das neue Betroffenenrecht, seit einigen Jahren das Recht auf Datenübertragung. Sie können also von dem Unternehmen, dem Sie Daten zur Verfügung gestellt haben, verlangen, dass Sie diese Daten in einem lesbaren Format ausgehändigt bekommen und zu einem anderen Dienstleister tragen. Das klingt erst mal schön. Da gab es am Anfang den Werbespruch aus Brüssel „da können Sie Ihre Daten dann ganz einfach mitnehmen“, woanders hin. Da fragen sich die Verbraucherinnen und Verbraucher: Naja, aber wenn ich woanders mit den Daten nicht viel anfangen kann, weil die Systeme überhaupt nicht kompatibel sind, bringt mir das doch nichts? So läuft es jetzt auch in der Praxis. Dieses Betroffenenrecht (Art.20 DSGVO) liegt da ziemlich tot herum und nichts passiert. Die Verbraucher kennen dieses Recht nicht. Die Unternehmen stellen sich nicht darauf ein, weil es ohnehin keine Anfragen gibt. Es ist schade, dass das nicht in Gang kommt. Deswegen muss man darüber nachdenken, ob man eine Pflicht zur Interoperabilität, zur Kompatibilität von Systemen verankert. Nur dann könnten die Verbraucherinnen und Verbraucher auch bei dem anderen Provider, zu dem sie gehen, mit ihren Daten viel anfangen. Oder ob man sagt, das ist doch eine zu starke regulatorische Vorgabe für die Wirtschaft, für die Unternehmen. Das lassen wir lieber – darüber muss man diskutieren. Man muss auch über das System der informierten Einwilligung diskutieren. Wir sehen, dass dieses System oft nicht funktioniert, weil das Gesetz die Unternehmen dazu verpflichtet, viele Informationen bereitzustellen, damit sich die Verbraucher*innen informieren und dann bewusst entscheiden können, ob sie ihre Einwilligung für diese angebotene Datenverarbeitung geben wollen. Wir wissen alle, dass es in der Realität nicht so läuft. Die Leute haben mich die Kapazität, das Interesse, die Zeit, den Nerv, seitenlange, womöglich technisch juristische Erklärungen zu lesen und sich dann hinzusetzen, zu überlegen und dann zu entscheiden. Das ist völlig unrealistisch. Wir wissen alle, wie das funktioniert. Wir werden mit Einwilligungsanfragen bombardiert und dann wird das weggeklickt, denn es kommt alles zur Unzeit und man will sich damit nicht befassen. Das ist nicht im Sinne des Grundrechtsschutzes. Das ist auch nicht im Sinne dieser deutschen Idee der informationellen Selbstbestimmung. Wenn ich überall blind auf „Ja“ klicke, ist das keine echte Selbstbestimmung mehr. Dann ist das Formalismus. Das System der Einwilligung, das möchte ich hinterfragt haben. Sollten wir die Einwilligung eher für besondere Situationen vorsehen, in denen wir davon ausgehen, dass sich die Leute auch wirklich informieren und bewusst entscheiden? Momentan sind wir an dem Punkt, dass wir eine Einwilligung für jeden Werbe-Cookie geben müssen. Sie geben dann 50-mal am Tag uninformierte und unbewusste Einwilligungen ab und legalisieren damit einen Datenumgang, den Sie eigentlich gar nicht wollen. So ist nicht viel gewonnen. An dieser Stelle müssen wir das System hinterfragen.
Karina Filusch: Ich finde das letzte Beispiel, was Sie genannt haben, sehr schön. Was wäre denn die Lösung für diese unzähligen nervigen Cookie-Banner? Ich fände zum Beispiel eine technische Lösung gut, also, dass man das einmal im Browser einstellt und dann einfach alle Cookies verbietet. Es gibt auch noch Modelle von Datentreuhändern und so weiter. Wie schätzen Sie das ein? Was wäre hier die beste Lösung?
Frederick Richter: Einerseits gibt es radikale Vorschläge, da gibt es Leute, die sagen, wir lassen das mit der Einwilligung für die Cookies. Wir nehmen da berechtigte Interessen der Werbewirtschaft an. Dann können die Betroffenen zwar widersprechen, aber sie müssen nicht vorher einwilligen. Dann würde das alles so durchlaufen. Das wäre aber vielleicht doch nicht im Interesse der betroffenen Person. Oder man kommt von der anderen Seite recht radikal und sagt, wir verbieten Werbecookies komplett. Wir lassen da auch keine Einwilligung mehr zu. Solche Leute haben sich im Europäischen Parlament zu dieser Forderung zusammengeschlossen. Das würde die Wirtschaft stark betreffen. Dann gibt es eben Kompromissmöglichkeiten, diese technischen Lösungen zum Einwilligungsmanagement und dazu tritt ja jetzt auch im Dezember dieses Jahres das TTDSG in Kraft. Ein deutsches Gesetz, was die sehr alte ePrivacy Richtlinie umsetzt, die für jeden Cookie eine Einwilligung verlangt. Mit diesem neuen Gesetz soll etwas angestoßen werden. Eine Entwicklung, ein Ansatz, um Einwilligungsmanagement für Betroffene handhabbar zu machen. Ich sage also einem Tool bzw. einer technischen Dienstleistung: „Ich möchte alle Cookies verweigern oder ich möchte alle Cookies für einen bestimmten Bereich zulassen.“ Vielleicht ist das ein Ansatz, der auch dann für das allgemeine Datenschutzrecht genutzt werden kann. Wichtig ist, dass dieses TTDSG, was diese Cookie Banner etwas zurückdrängen soll, eben nur für diese Cookie-Banner gilt. Das gilt nicht für jede andere Datenverarbeitung, die dann danach läuft. Das heißt beim Thema Einwilligungsmanagement sind wir noch nicht so weit. Das passt jetzt zu einer Frage von eben von Ihnen. An der Stelle sehe ich Reformbedarf bei der DSGVO, denn bislang ist es nach dem Gesetz nicht möglich, die Einwilligung zu delegieren. Also kann ich keinen elektronischen Einwilligungsagenten holen und dem sagen „willige bitte für mich in dieser und dieser an dieser Situation ein und in dieser und jener nicht“. Das geht nicht. Sie müssen immer noch selbst einwilligen im Datenschutz. Das bedingt diese vielen Anfragen. Das lässt das Datenschutzrecht aber bei strenger Lesart noch nicht zu. Deswegen wäre es schön, wenn der europäische Gesetzgeber dem deutschen Beispiel zum Einwilligungsmanagement, was wir jetzt haben, folgen würde.
Karina Filusch: Sie haben das TTDSG gerade erwähnt, das Telekommunikation-Telemedien-Datenschutz-Gesetz, also die eierlegende Wollmilchsau in diesem Bereich. Ich habe mich sehr über das Gesetz und auch über die technische Lösung gefreut, die Sie gerade noch mal ausgeführt haben. Also ein tolles Beispiel für Europa. Wie sieht denn die deutsche Datenschutzpolitik sonst im weltweiten Vergleich aus? Stehen wir gut da? Ich möchte mal kurz von einer Erfahrung mit einer Amerikanerin berichten, der ich von unserem Datenschutz erzählt hatte. Die meinte dann darauf, ihr ist es schon aufgefallen, dass es in Deutschland sehr streng ist. In Amerika würden sich die Leute nicht so viele Gedanken machen und das scheint für sie ein deutsches Ding zu sein.
Frederick Richter: Ja, viele sagen, Datenschutz ist ein deutsches Ding und da ist etwas dran, denn wir sind in Deutschland sehr stolz auf unsere Datenschutzkultur, die eben bis 1970 zurückreicht, wo wir in Hessen das erste Datenschutzgesetz der Welt hatten. Und dann folgte eben Ende der 70er Jahre das Bundesgesetz für den Datenschutz in Deutschland, das Bundesdatenschutzgesetz. Da waren wir ganz vielen auf der Welt ganz weit voraus. Dann haben wir natürlich aber auch noch den deutschen Föderalismus und haben uns dafür entschieden zu sagen: die Überwachung, die Ausführung dieses Datenschutzrechts – das machen die Bundesländer. Damit schaffen wir uns Probleme, die nicht sein müssten. Wir haben jetzt ein europäisches Datenschutzrecht, was einheitlich ist, was nicht nur in ganz Deutschland, auch in der ganzen Europäischen Union einheitlich gilt und wir haben nationale Datenschutzaufsichtsbehörden. In Deutschland haben wir nicht nur eine nationale Datenschutzaufsichtsbehörde, wie zum Beispiel in Frankreich, sondern wir haben eine Bundesbehörde und 16 Landesbehörden. Im Bundesland Bayern haben wir dann noch eine zweite Landesbehörde. Das heißt, wir haben 18 Datenschutzaufsichtsbehörden, die mitunter unterschiedliche Interpretationen zur Datenschutzgrundverordnung, dem eigentlich einheitlichen europäischen Recht liefern. Das muss nicht zu praktischen Problemen führen, aber das kann zu Unsicherheiten führen, wenn man mal dies hört und mal das hört und dann von Uneinigkeit zwischen den Aufsichtsbehörden hört, die gar nicht nötig ist. Ich will nicht die Zentralisierung befürworten, also dass man jetzt sagt, wir müssen alles auf eine deutsche Datenschutzaufsicht verschmelzen. Aber wir müssen natürlich für Einheitlichkeit in dem sorgen, was da an Interpretation und Meinung gesagt wird. Diskurs ist wichtig, aber öffentlich sollten wir Einheitlichkeit demonstrieren.
Karina Filusch: Wie sieht denn der deutsche Datenschutz im Vergleich zu anderen großen Ländern wie zum Beispiel den USA und China aus? Wenn man das noch mal so im Vergleich sieht.
Frederick Richter: Global gesprochen sind wir natürlich die starke Kraft des Datenschutzes in Europa, denn wir setzen damit der DSGVO einen Standard, der weltweit mittlerweile Nachahmer findet. Darauf kann man natürlich schon stolz sein. Das ist natürlich toll, das kann rein pragmatische Motive haben. Das kann zum Beispiel heißen, ein Unternehmen oder ein Land irgendwo in der Welt, ein Staat sagt sich wir orientieren uns jetzt an diesem Standard, den die Europäer mit der DSGVO gesetzt haben. Nicht, weil wir so glühende Fans des Inhalts dieses Gesetzes sind, sondern, weil wir einfach wissen, dass dieses Gesetz weltweit wohl das strengste Datenschutzgesetz ist. Wenn wir uns einfach daran orientieren, dann wissen unsere Unternehmen, sie genügen auch weltweit allen Standards. Wer der DSGVO genügt, weltweit, der wird auch woanders global keine Probleme haben. Das ist also eine nüchterne, compliance und pragmatismusorientierte Sicht. Diese Übernahme der DSGVO Ideen und Vorschriften kann natürlich auch wertegetrieben sein, also, dass man sagt: Wir finden das toll, diesen Ansatz des europäischen Rechts, wir übernehmen den und dieser Exporterfolg der DSGVO reicht bis nach Kalifornien, wo es jetzt verbraucherschutzorientiertes Datenschutzgesetz, auch mit einer Aufsichtsbehörde, mit einer Datenschutzaufsichtsbehörde, gibt. Das kennt man weltweit auch noch nicht so gut. Also das heißt, die DSGVO setzt schon Orientierungspunkte. Noch mal praktisch gesprochen zu der Frage davor, unser Datenschutz in der Welt. Wir haben auch strukturell einen ganz guten Ansatz mit unseren betrieblichen Datenschutzbeauftragten, dass also jede Organisation, sei sie gewerblich oder nicht gewerblich, ab einer bestimmten Größe eine oder einen betrieblichen Beauftragten für den Datenschutz braucht. Das haben wir weltweit bislang als einzige so gelebt. Wir haben es dann nach Europa exportiert. Da haben viele andere europäische Mitgliedstaaten gesagt, was soll denn das? Das ist doch Bürokratie. Da musste Deutschland sehr viel Überzeugungsarbeit leisten. Aber es ist eben nur insoweit Bürokratie, wenn man sagt, ich will den Datenschutz sowieso nicht groß achten, ich möchte da gar nicht investieren. Und wenn man den Datenschutz beachten will, dann ist so ein betrieblicher Ratgeber natürlich Gold wert, weil ich eben nicht erst extern mit Behörden in Kontakt komme, sondern ich habe intern schon mal eine kleine Vorwarnung durch diese interne Beratung. Liebe Rechtsabteilung, liebe Unternehmensleitung, diese Datenschutzorganisation hier bei uns, die müssen wir vielleicht noch ein bisschen nachschärfen. Und dafür sind betriebliche Beauftragte ganz gut.
Karina Filusch: Ja, in anderen Ländern wie in Österreich, da war die Lobby in der Wirtschaft dann so stark, dass das weitestgehend ausgehebelt wurde, diese Pflicht, bzw. für KMU, soweit es ging ausgehebelt wurde. Es ist interessant, wie damit innerhalb von Europa umgegangen wurde. Nichtsdestotrotz denke ich auch, das ist eine sehr gute Idee. Wollen wir vielleicht von Europa wieder zurück nach Deutschland kommen? Wir haben gerade eine geschäftsführende Regierung und die potenziell neue Regierung sondiert gerade. Was denken Sie, was kommt mit der Ampel-Koalition in punkto Datenschutz auf uns zu?
Frederick Richter:Ja, da bin ich natürlich so gespannt wie alle anderen auch. Ich denke, dass die Ampelkoalition, wenn sie denn jetzt kommt, gut für den Datenschutz ist. Wir haben mit den Grünen und der FDP zwei Parteien, die den Datenschutz traditionell sehr hoch hängen. Auch in der SPD hat der Datenschutz natürlich Freundinnen und Freunde, das heißt, ich kann mir vorstellen, dass man da einen guten Konsens finden kann, der den Datenschutz stützt. Wir können in Deutschland nur begrenzt gesetzgeberisch Veränderungen im Datenschutz vornehmen, wir wissen ja, die DSGVO steht über allem. Aber wir haben eben auch noch das begleitende nationale Datenschutzrecht. Das BDSG gibt es in einer neuen Version wieder. Und natürlich kann man da auch Sachen regeln. Wir können zum Beispiel Regelungen zum Datenschutz für Beschäftigte von Unternehmen vorsehen. Da haben wir bislang nur so eine Generalnorm. Darin steht nur, dass die Datenverarbeitung von Beschäftigten erlaubt ist, wenn sie erforderlich ist. Das kann man natürlich interpretieren. Wann ist sie denn erforderlich, da kann man dann streiten, da kann man dann auf die Rechtsprechung warten. Man könnte das aber auch gesetzgeberisch regeln und das kann Deutschland wirklich allein machen, ohne die Europäische Union zu fragen zu müssen. Deutschland könnte etwas in einem Beschäftigtendatenschutzgesetz oder etwas im BDSG zum Beschäftigtendatenschutz regeln. Um dazu ein Beispiel zu bilden: In welchen Situationen ist die Datenverarbeitung erlaubt? Was ist verboten? Zum Beispiel in Sachen Videoüberwachung von Beschäftigten könnte man da Vieles regeln. Da sehe ich eine große Chance, dass das jetzt kommt. Es gibt einen Beirat zu Beschäftigtendatenschutz beim bisherigen Bundesarbeitsminister. Da ist die Stiftung Datenschutz auch vertreten. Und wenn es da eine Kontinuität gibt, dann könnte man da durchaus etwas machen. Man könnte auch etwas im Bereich der Datenschutzaufsicht machen. Diesen Punkt mit der Einheitlichkeit hatte ich schon genannt. Da könnte auch der Gesetzgeber, die neue Koalition, etwas pro Einheitlichkeit in Gang bringen.
Karina Filusch: Denken Sie, es wird ein Digitalministerium geben? Sind Sie eher dafür oder dagegen?
Frederick Richter: Ja, diese berühmte Frage Digitalministerium, ja oder nein? Ich weiß, es wurde jetzt schon monatelang spekuliert. Praktisch fast die zweite Hälfte der alten Legislaturperiode über wurde schon spekuliert, weil wir natürlich auch gesehen haben, dass es so wie es ist, eigentlich nicht bleiben kann. Viele fühlen sich für Datenschutz zuständig. Nur ein Ressort, ein Ministerium, war wirklich zuständig, nämlich das Bundesinnenministerium. Das Kanzleramt wollte dann die Daten- und Digitalpolitik koordinieren, hatte der Staatsministerin aber letztlich keine eigenen Ressourcen dafür bereitgestellt. Also das war unbefriedigend. Wir sehen eine Digitalpolitik, eine Datenpolitik aus einem Guss hat es nicht gegeben. Da haben dann oft dann die Verbraucherschützer gegen die Innenpolitiker gekämpft. Man hatte das Gefühl, da ging Vieles nicht voran, da dauerte vieles lange. Das zeigt sich an der Datenstrategie, wo es anscheinend so lange Diskussionen gab, dass von den Eckpunkten bis zur fertigen Datenstrategie noch mal ein Jahr vergangen ist. Das war auch ein Zeichen für die Uneinigkeit, für die fehlende Koordination und das war natürlich schlecht. Das heißt, ob wir das jetzt mit einem zentralen digitalen Ressort machen oder ob wir die Abstimmung zwischen den Häusern wirklich mit Druck und Energie verbessern und zusammenziehen, ist mir praktisch gleich. Es interessiert mich bloß, wie das Ergebnis ist, nämlich eine schnelle, konsistente Datenstrategie, die dann auch wirklich von Beginn der Legislaturperiode an umgesetzt wird.
Karina Filusch: Sie waren in dieser Fokusgruppe Datenschutz des Digitalgipfels der letzten Bundesregierung. Gibt es noch aktuell politische Datenschutzthemen, die noch in der Zukunft debattiert werden müssten?
Frederick Richter: Ja, auch die Fokusgruppen Datenschutz ist mit diesen Themen beschäftigt. Wir haben uns in der Vergangenheit zum Beispiel mit Verhaltensregeln zur Pseudonymsisierung befasst. Aktuell geht es um dieses Thema, was wir vorhin angesprochen hatten, die Einwilligungsmanagementsysteme. Das ist noch ein bisschen Zukunftsmusik, weil es noch keinen Markt gibt. Da gibt es noch keine konkreten Angebote. Dieser Bereich der Personalinformationsmanagementservices, der PIMS, und der Einwilligung des Managementsystems und in Verbindung damit auch der Datentreuhandeinrichtungen- und Strukturen ist ein großes Zukunftsthema. Das läuft auch in Brüssel mit dem Data Governance Act. Da geht es auch um Datenschutztreuhandstrukturen, um den sogenannten Datenaltruismus, also die Freigabe von Daten in die Allgemeinheit. An diesem Punkt ist die Fokusgruppe Datenschutz an der Reihe und mit diesem Punkt wird sich auch die neue Koalition befassen müssen. Ich bin mir auch sicher, dass sie das tun wird, denn es gab ja schon vor zwei Jahren einen Vorschlag für eine Datenteilungspflicht. Ich denke, zu einer Pflicht wird es nur begrenzt kommen, vielleicht nur sektorbezogen. Ich bin mir aber sicher, dass man das Thema fördert, vielleicht auch unter Nutzung von solchen Treuhandstrukturen für Daten.
Karina Filusch: Was ist denn für Sie persönlich DaSou?
Frederick Richter: DaSou, Datensouveränität, ist ein Begriff, der durchaus umstritten ist. Viele sehen darin so eine Verbrämung eines Zurückdrängen des Datenschutzes. So negativ würde ich diesen Begriff nicht konnotieren. Ich weiß auch nicht, warum er so umkämpft ist, denn wenn man sich den Begriff Datensouveränität mal anschaut, dann ist das ja letztlich fast ein Synonym für informationelle Selbstbestimmung, denn Daten enthalten Informationen und Souveränität ist natürlich Selbstbestimmung in gewisser Weise. Von daher weiß ich gar nicht, ob wir so viel über diesen Begriff streiten müssen. Denn Souverän in Bezug auf unsere Daten wollen wir natürlich alle sein und sollen die Verbraucherinnen und Verbraucher auch sein. Wie man das erreicht, wie man dahin kommt in diesen souveränen Status in Bezug auf Daten – das ist natürlich die große Frage. Das Ziel von Datensouveränität, von Verbrauchersouveränität, von digitaler Souveränität, wie Sie es auch nennen wollen – dieses Ziel sollte, glaube ich, unstreitig sein.
Karina Filusch: Das war leider auch schon die letzte Frage, die ich vorbereitet habe. Es ist sehr schade, ich könnte Ihnen stundenlang Zuhören und mit Ihnen über das Thema Datenschutz, Datenkompetenz, Datensouveränität diskutieren. Ich danke Ihnen vielmals für Ihre Zeit, die Sie sich für uns genommen haben. Ohne Sie wäre dieser Podcast auch nicht vollständig. Deshalb vielen lieben Dank für Ihre Zeit.
Frederick Richter:Das klingt sehr schmeichelhaft. Ich danke für Ihr Interesse. Ich danke dafür, hier gewesen sein zu dürfen und freue mich darüber.
Aileen Weibeler: Vielen Dank! Das war auf jeden Fall eine sehr, sehr spannende politische Folge heute. Ich bin sehr gespannt, welchen Raum das Thema Datenschutz und Datensouveränität denn noch in den Sondierungsverhandlungen einnimmt und sich auch im Koalitionsvertrag niederschlägt.
Karina Filusch:Ich fand die Folge auch sehr spannend und fand das toll, dass Herr Richter einige Punkte der DSGVO so kritisch sieht, aber auch sehr viel Gutes darin sieht. Ich fand es auch gut, dass es ein paar Überschneidungen meiner und seiner Ansicht gibt. Das mit der technischen Lösung das fand er zum Beispiel auch ganz gut für die Cookie-Banner und, dass er sich so einsetzt für das Thema Anonymisierung. Alle Verbraucherinnen und Verbraucher hätten es dann einfacher im Internet, wenn die Anonymisierung endlich geregelt werden würde.
Aileen Weibeler: Ich hoffe, euch hat die Folge Spaß gemacht und das sie hilfreich für euch war. Hört auch beim nächsten Mal wieder rein, wenn wir über DaSou sprechen. Wenn ihr Fragen zu dazu habt, schickt uns gerne eine E-Mail an hallo@dasou.law oder eine Nachricht per Twitter oder Instagram. Wir freuen uns auf euch!
Karina Filusch: Und vergesst uns nicht, ein Abo da zu lassen. Danke, dass ihr zugehört habt. Bis zum nächsten Mal. DaSou ist eine Produktion der Kanzlei Filusch. Mehr Infos findet ihr auf unserer Webseite dasou.law. Die Redaktion besteht aus Anja Lindenau, Aileen Weibeler und Karina Filusch. Der Jingle wurde komponiert von Mauli. Die Idee zu DaSou hatte Axel Jürs. Das Cover hat Hélène Baum erstellt. Beraten wurden wir von Susan Stone. Editiert wurde der Podcast von Christoph Hinners.