EU-Datenschützer: Bauchschmerzen beim geplanten Datenaltruismus
Zu vage, sehr riskant und teils haltlos – das erste Urteil der europäischen Datenschutzbeauftragten zum vorgesehenen Data Governance Act fällt nicht gut aus.
(Bild: RUKSUTAKARN studio / Shutterstock.com)
Der Europäische Datenschutzausschuss (EDSA) und der EU-Datenschutzbeauftragte Wojciech Wiewiórowski fordern in einer gemeinsamen Stellungnahme umfangreiche Korrekturen am Entwurf der EU-Kommission für einen Data Governance Act (DGA). Sie vermissen in der Initiative demnach bereits grundlegende Regeln, um die Privatsphäre der Bürger zu sichern.
Der Gesetzgeber müsse unmissverständlich klarstellen, dass der Rechtsakt "weder das Schutzniveau der personenbezogenen Daten natürlicher Personen beeinträchtigen noch die in den Datenschutzvorschriften festgelegten Rechte und Pflichten ändern wird".
Datenspenden
Die öffentliche Verwaltung, Firmen und Individuen will die Kommission mit ihrem Vorschlag ermuntern, ihre Daten stärker zu teilen. Für Bereiche wie vernetzte Autos oder das Internet der Dinge plant die Brüsseler Regierungsinstitution eine entsprechende Pflicht. Das Sammeln von Messwerten zum Allgemeinwohl soll über einen gemeinsamen Ansatz für Datenspenden in allen Mitgliedstaaten befördert werden. Treuhänder sind als vertrauenswürdige Vermittler vorgesehen.
Der Begriff Datenaltruismus und die davon begünstigten Zwecke müssten besser definiert werden, empfehlen Wiewiórowski und das Gremium der nationalen Aufsichtsbehörden. Das bislang schwammige Konzept sollte so angelegt werden, "dass Einzelpersonen ihre Zustimmung leicht erteilen, aber auch zurückziehen können".
Strenges Prüfverfahren
Angesichts der absehbaren Risiken für Personen, deren Informationen von Austauschdiensten und von Organisationen für Datenaltruismus verarbeitet werden, gehen der EDSA und Wiewiórowski davon aus, dass eine reine Registrierung dieser Einrichtungen im Einklang mit der Datenschutz-Grundverordnung (DSGVO) nicht ausreicht. Hier müsse ein strengeres Prüfverfahren greifen. Dabei sollten Rechenschaftsinstrumente wie ein Verhaltenskodex oder ein Zertifizierungsverfahren systematisch einbezogen werden.
Bei dem noch kaum erprobten Werkzeug der Treuhänder betonen die Kontrolleure, dass die Betroffenen vorab über deren Sinn und Zweck aufzuklären seien. Zudem müssten die Vermittler die Grundsätze des Datenschutzes durch Technik ("Privacy by Design") und datenschutzfreundliche Voreinstellungen, der Transparenz und der Zweckbindung berücksichtigen. Ferner sollten die Modalitäten geklärt werden, nach denen solche Diensteanbieter Individuen bei der Ausübung ihrer Rechte wirksam unterstützen können.
Notwendig und verhältnismäßig
Bei der geplanten Weiterverwendung personenbezogener Daten, die öffentliche Stellen etwa im Gesundheitssektor erhoben haben, müssten die Vorschriften aus der DSGVO und der Open-Data-Richtlinie beachtet und aneinander angeglichen werden, heißt es in der Stellungnahme. Ein solcher Ansatz sei auch nur dann zulässig, wenn er eine Basis im EU-Recht oder in Gesetzen der Mitgliedsstaaten habe. Enthalten sein sollte eine Liste klarer, kompatibler Zwecke, für die persönliche Daten weiterverarbeitet werden dürften im Sinne beispielsweise einer "notwendigen und verhältnismäßigen Maßnahme in einer demokratischen Gesellschaft".
Allgemein erkennen die Verfasser das legitime Ziel des DGA an, "die Bedingungen für den Datenaustausch im Binnenmarkt zu verbessern". Gleichzeitig sei der Schutz personenbezogener Daten aber "ein wesentlicher und integraler Bestandteil für das Vertrauen in die digitale Wirtschaft". Mit Big Data gehe eine "große Verantwortung" einher, unterstrich Wiewiórowski. Die EDSA-Vorsitzende Andrea Jelinek hob hervor: "Die DSGVO ist das Fundament, auf dem das europäische Data-Governance-Modell aufgebaut werden muss."
(kbe)
