EU-Regeln für die Digitalwelt: Experten sorgen sich um Datenschutz

Inhaltsverzeichnis

Mit drei Gesetzgebungsmaßnahmen will die EU neue Regeln für die Digitalwelt aufstellen und dabei die richtige Balance zwischen Datenschutz und den Interessen der Datenwirtschaft finden. Das versicherte Renate Nikolay, die Kabinettschefin von EU-Kommissionsvizepräsidentin Věra Jourová, bei einem Webinar der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID).

Unter dem Titel "EU-Datenstrategie – Welche Auswirkungen ergeben sich für den Datenschutz?" gab es dabei einen regelrechten Parforceritt durch die zahlreichen geplanten EU-Regulierungen der Digitalwirtschaft. Deren Namen gleichen einem Buchstabensalat: DGA (Data Governance Act), DMA (Digital Markets Act) und DSA (Digital Services Act).

Die DSGVO als Erfolgsgeschichte

Mit der Datenstrategie solle die digitale Transformation in der EU vorangetrieben werden. Man verfolge dabei einen "partizipatorischen, sicheren und nachhaltigen Ansatz", meinte Nikolay. Mit dem DSA und DMA verfeinere die EU ihre Regelungsarchitektur der digitalen Wirtschaft. Die Selbstverpflichtungen der Wirtschaft hätten "gute Erfolge" gezeigt, aber man müsse nun auch mit Sanktionen voranschreiten, um Rechtssicherheit zu schaffen. Die französische EU-Präsidentschaft wolle für beide Rechtsakte im ersten Halbjahr 2022 eine Einigung erreichen. Dagegen ist der DGA schon verabschiedet. Er sei "keine Abkehr von der DSGVO", sondern eine Regelung "im Licht der Plattformökonomie" mit europäischem Ansatz. "Wir brauchen viele Daten", sagte die Kabinettschefin.

Das gelte für die Industrie und Start-ups, aber auch für die "altruistische Datennutzung". Sie lobte zwar die internationale "Pole-Position" der EU im Datenschutz dank der DSGVO. Sie sei weltweit ein Referenzregelwerk und eine Erfolgsgeschichte, "um die wir international beneidet werden". Andererseits nannte sie mehrere Einschränkungen. So sprach sie sich gegen das wichtige Prinzip des Privacy by Design aus. Künftig solle man stattdessen "menschenorientiert" regeln. Nicht alles könne man wegregulieren. "Desinformation und Propaganda wird es immer geben. Die Plattformen dürfen nicht zum Zensor werden", sagte Nikolay. Ähnlich argumentierte sie bei politischer Werbung: "Meinungen dürfen nicht verboten werden." Missstände will sie mit Transparenzpflichten für die Plattformen bekämpfen.

"Wir brauchen digitale Souveränität"

Bezüglich der am Vortag von der EU-Kommission vorgestellten "Digitalen Rechte und Prinzipien" äußerte sie sich wegen der Vorarbeiten optimistisch, dass sich der Ministerrat und das EU-Parlament ihnen anschlössen. Zum von der EU-Kommission geplanten Data Act sagte Nikolay, Fairness sei dabei "ein großes Stichwort" für die Frage, wer Nutzen von den Daten habe. Im Geschäft zwischen Unternahmen unterstütze die Kommission vertragliche Regelungen. Bei der europäischen Cloud verfolge man keinen Protektionismus. Das gelte auch für die angestrebte e-Privacy-Regelung, "aber wir brauchen digitale Souveränität". Für die Nachfolge des vom Europäischen Gerichtshof für ungültig erklärte EU-US Privacy Shield wollte sie keinen Termin nennen, bis zu dem die Verhandlungen beendet werden könnten. "Wir stehen nicht kurz vor ihrem Schluss. Die technischen Fachgespräche zwischen beiden Seiten laufen."

Quasi den kritischen Gegenpart übernahm Thomas Zerdick, Bereichsleiter beim Europäischen Datenschutzbeauftragten Wojciech Wiewiórowski. Er sagte einleitend, dass die Rechtsakte große Auswirkungen auf den Datenschutz hätten. "Wir brauchen Datenschutz und Datenfluss in Europa", so Zerdick. "Wir brauchen die Regulierungen, aber sie dürfen den Datenschutz nicht unterminieren." Es reiche nicht aus, dass die DSGVO generell weiter gelte, sondern man müsse "ausbuchstabieren, was sie für die einzelnen Anwendungsbereiche bedeutet". Er sieht drei Probleme in den Gesetzestexten.

Erstens werde der Datenschutz des Einzelnen geschwächt. So führe die geplante KI-Verordnung mit den biometrischen Kategorisierungen zu Diskriminierungen. Zerdick plädierte für ein Verbot, Gefühle aus KI-Analysen abzuleiten. Zweitens werde die Aufsicht über den Datenschutz durch neue Behörden und Ausschüsse zersplittert. "Obwohl die personenbezogenen Daten im Vordergrund stehen, sollen unabhängige Aufsichtsbehörden nicht mehr die wichtigsten sein", kritisierte er. Zudem werde nicht festgelegt, wie die ganzen Gremien zusammenarbeiten sollen. Daraus ergebe sich die Gefahr parallel arbeitender Behörden. "Das ist nicht gut, denn wir brauchen Rechtssicherheit." Drittens sei die Anwendbarkeit der DSGVO unklar. "Eine klare Regelung ist nötig, dass die DSGVO bei personenbezogen Daten Vorrang hat." Zu unklar sei auch der Begriff der Einwilligung, der im Datenschutz eine wichtige Rolle zukommt. Der Begriff habe zudem in den Regelungen unterschiedliche Bedeutungen, was Rechtsunsicherheit schaffe.

"Komplexe Herausforderungen"

Der Bundesdatenschutzbeauftragte Professor Ulrich Kelber sah in seinem Statement "gute Ansätze" in den Regulierungen, erkannte aber auch "komplexe datenschutzrechtliche Herausforderungen". Nach der EU-Datenstrategie sollen die Daten der Bürger der "Rohstoff für Wachstum" werden. "Spionieren darf man nicht mit Digitalisieren gleichsetzen", warnte er. Die DSGVO werde nur ein Baustein im künftigen Datenrecht der EU sein. Bei der Nutzung anonymer Daten müsse eine Repersonalisierung ausgeschlossen sein. Bezüglich der für den Datenschutz wichtigen künftigen e-Privacy-Verordnung ist er skeptisch, dass es bald zu einer Einigung komme, denn sie habe für die französische EU-Präsidentschaft keine Priorität.

Die Interessen der Datenwirtschaft vertrat Rebekka Weiß, Leiterin der Abteilung Vertrauen und Sicherheit beim Bitkom. "Die Pandemie hat gezeigt, dass die Datennutzung ein Treiber des gesellschaftlichen Wohlergehens ist", sagte sie. Ziel müsse es sein, dass die Datenverarbeitung unter Berücksichtigung des Datenschutzes "ermöglicht und vor allem rechtssicher" werde. Eine Umfrage unter den Mitgliedsunternehmen des Bitkom habe ergeben, dass es bei der Umsetzung der DSGVO immer noch hapere. Die vielen offenen Fragen seien problematisch. Da die DSGVO vor zehn Jahren geschrieben worden sei, müsse die EU-Datenstrategie neue Entwicklungen wie datengetriebene Innovationen aufnehmen.

"Datenschutz ist nicht das einzige Grundrecht. Es muss auch um Innovationsfähigkeit gehen", sagte Weiß. Als Ergänzung der EU-Regeln plädierte sie für die Selbstregulierung der Wirtschaft, zum Beispiel bei der Pseudonymisierung von Daten. Darüber hinaus soll "die EU Gelder geben, damit europäische Plattformen wachsen können", forderte die Verbandsvertreterin.

(mho)