Datenschutzfachtagung: "Datenschutz ist Wirtschaftspolitik"
Die Aufsichtsbehörden sehen die Umsetzung der Datenschutz-Grundverordnung auf langsamem, aber gutem Weg. Techniken wie KI bieten neue Herausforderungen.
(Bild: mixmagic/Shutterstock.com)
Der Bundesdatenschutzbeauftragte Ulrich Kelber plädiert dafür, dass die europäische Wirtschaft den Datenschutz endlich als Chance begreift. "Vertrauen ist eine mindestens so spannende Währung wie Daten", sagte der Behördenchef auf der 43. Datenschutzfachtagung (DAFTA) der Gesellschaft für Datenschutz und Datensicherheit (GDD) in Köln.
Staat als Vorbild
In seiner Rede zeigte sich Kelber enttäuscht, dass viele Unternehmen den Datenschutz als vorrangiges Innovationshindernis bezeichneten. Dabei liege hierin eine Stärke des europäischen Modells. Es sei sowieso aussichtslos, der Wirtschaft der USA oder Chinas auf ihrem jeweiligen Pfad ausufernder Datenverarbeitung nachzueifern und dann eine führende Stellung zu erwarten. "Datenschutz ist Wirtschaftspolitik auf Verbraucherseite", betonte Kelber. Nur wenn man Vertrauen in die Datenverarbeitung schaffe, könne die Digitalisierung wirklich gelingen. So hätten bereits erste US-Unternehmen glaubwürdigen Datenschutz als Verkaufsargument erkannt.
(Bild: heise online/Torsten Kleinz)
Hierbei habe der Staat eine Vorreiterrolle zu spielen. Kelber erteilte dem Slogan "Datenschutz ist etwas für Gesunde" des Bundesgesundheitsministers Jens Spahn eine klare Absage. Zwar sei es sinnvoll, wenn Gesundheitsdaten zur Verbesserung der Gesundheit genutzt werden. Dies müsse aber wohl bedacht sein. Unternehmen und Politiker, die mit Gesundheitsdaten arbeiten wollen, müssten sich frühzeitig darüber Gedanken machen, wie ihre Ideen mit den Grundrechten der Patienten zu vereinbaren seien. "Sie sollten den Dialog früh suchen und nicht versuchen, das übers Knie zu brechen", riet Kelber.
KI mit Grundrechtsgarantie
Bei dem Einsatz der Künstlichen Intelligenz stehe der Datenschutz vor neuen Herausforderungen. So müsse sichergestellt sein, dass die Ergebnisse eines KI-Prozesses immer noch erklärbar und transparent seien – ansonsten könnten Individuen die individuellen Grundrechte, die unter anderem in der Charta der Grundrechte der Europäischen Union garantiert sind, gar nicht mehr wahrnehmen.
Rückendeckung erhielt diese Forderung durch Thomas von Danwitz, Richter am Europäischen Gerichtshof. Früher oder später werde ein Fall vor Gericht landen, bei dem sich ein Bürger durch ein KI-System diskriminiert oder in seinen Rechten verletzt sieht. Könnten die Betreiber den Richtern in dem Fall nicht erklären, wie konkret eine automatisierte Maßnahme zustande gekommen sei, stehen ihre Chancen in einem solchen Verfahren schlecht.
Handfeste Urteile, kein esoterischer Datenschutz
"Es geht nicht um die Maximierung eines mehr oder weniger esoterischen Datenschutzes", betonte von Danwitz. Der Gesetzgeber habe ein hohes individuelles Schutzniveau vorgeschrieben, an das sich die Richter des EuGH halten müssten. Dabei müsste aber nicht jedes Detail vom Gesetzgeber geregelt werden. "Ein gutes Gesetz entsteht nicht schon mit der Verkündung im Gesetzesblatt, sondern erst mit mehrjähriger Rechtsanwendung." Die Richter müssten konkrete Rechtsfragen entscheiden und damit einen kohärenten und sicheren Rechtsrahmen schaffen. Misslich sei es, wenn bestimmte Fragestellungen erst nach Jahrzehnten auf den Tischen des EuGH landeten. So etwa die Frage nach der Einwilligung der Datenverarbeitung, die im Fall um den Glücksspielanbieter Planet49 behandelt wurde. Grund für die lange Dauer sei auch das Prozessverhalten großer Branchenteilnehmer, die einen Prozess vor dem EuGH unbedingt vermieden.
Für Unsicherheit sorgt bei den Datenschutzbeauftragten unterdessen ein neuer Entwurf der E-Privacy-Verordnung, der von der finnischen EU-Ratspräsidentschaft vorgelegt worden war und weitgehende Zugriffsrechte auf individuelle Daten schaffen soll. Peter Büttgen, Abteilungsleiter beim BfDI, dämpfte in Köln die Erwartungen auf eine baldige Verabschiedung des Gesetzes, das für alle EU-Mitgliedsstaaten unmittelbar wirksam wäre. "Ich glaube nicht, dass da nächste Woche ein Schlussstrich gezogen werden kann", betonte Büttgen. Wahrscheinlicher sei es, dass die E-Privacy-Verordnung im zweiten Halbjahr unter der Ratspräsidentschaft Deutschlands verabschiedet werde.
Bußgelder und gemeinsame Verantwortung
Kritik mussten die Aufsichtsbehörden anhören, weil sich viele Unternehmen in besonders diffizilen Fragen wie etwa der Umsetzung des Fashion-ID-Urteils, das eine gemeinsame Verantwortung für Betreiber von Facebook-Fansites etabliert hatte. Hier mahnte Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg, zu Geduld. So habe seine Behörde Musterverträge entwickelt, die die Fragen der gemeinsamen Verantwortung regelten. Zudem habe Facebook bereits mehrfach Entgegenkommen gezeigt – wenn auch die bisherige Position des Konzerns nach Auffassung der Datenschützer noch nicht rechtskonform sei.
Sie möchten beim Thema Datenschutz auf dem Laufenden bleiben, aber keine seitenlange Literatur wälzen? Dann wenden Sie sich vertrauensvoll an unser Juristen-Redakteurs-Trio.
Zumindest in seinem Zuständigkeitsbereich herrsche aber noch kein Grund zur Panik. Seine Bußgeldstelle habe die Vorgabe, nur in Fällen zu abschreckenden Sanktionen zu greifen, wenn auch Datenschutz-Zweifler eindeutig zum Ergebnis gelangen müssten, dass Vorschriften nicht eingehalten würden. Die Bußgeldandrohung sei aber elementar für das Gelingen der Datenschutz-Grundverordnung: "Die Ansage ist wirtschaftlich klar nachzuvollziehen." Anders als ethische Appelle werde das Risiko den kompletten Jahresgewinn zu verlieren, auch in den Chefetagen gehört. Mittlerweile bekomme seine Behörde auch Druck aus der Wirtschaft, mehr Bußgelder zu verhängen. Betriebe, die sich bei der Datenschutz-Umsetzung große Mühe gegeben haben, wollten sich von Konkurrenten absetzen, die beim Datenschutz schlampen. (bme)
