EU-Datengesetze: Europas Datenstrategie krempelt den Datenschutz um
Die geplanten Gesetze aus Brüssel verändern die Rolle der Aufsichtsbehörden. Statt nur persönliche Daten zu schützen, sollen sie diese auch nutzbar machen.
(Bild: Tero Vesalainen/Shutterstock.com)
Der gesetzgeberische Marathon mit neuen Datengesetzen aus Brüssel sorgt für Kopfzerbrechen bei den Datenschützern. Denn Gesetzesvorhaben wie der Data Act sollen nicht mehr nur für den Schutz persönlicher Daten sorgen, sondern die Datennutzung vereinfachen. Auf der Fachtagung für betriebliche Datenschutzbeauftragte DAFTA in Köln zeigte sich am Donnerstag: Obwohl die Planungen teilweise schon weit gediehen sind, steht die Praxistauglichkeit der Vorhaben noch sehr in Frage.
Der Europaabgeordnete Axel Voss stellte die 2020 von der Kommission angekündigten Datenstrategie als überfällige Abkehr von den Datenschutz-Grundverordnung (DSGVO) dar, die die Datennutzung zu sehr eingeschränkt habe. Derzeit arbeite das Europäische Parlament in großer Geschwindigkeit an den Vorhaben wie dem Data Act, dem Data Governance Act und dem Artificial Intelligence Act.
Voraussetzungen für das Metaverse schaffen
Letzteren stellte Voss für 2024 in Aussicht. Der Unions-Abgeordnete zeigte sich jedoch unzufrieden mit dem jetzigen Fortschritt im Parlament. So kritisierte er, dass die Pläne seiner politischen Gegenspieler eine zu starke Kontrolle vorsähen, die nicht realistisch sei. Statt wie eigentlich beabsichtigt nur 15 Prozent der Anwendungen genau zu prüfen, laufe es jetzt auf eine Quote von 85 Prozent hinaus. Es fehlten jedoch die Fachleute, lange Wartezeiten seien deshalb zu erwarten. Zudem verhielten sich seine politischen Kontrahenten so, als ob die Verarbeitung biometrischer Daten "zum Tod derer führt, deren Daten verarbeitet werden", spottete der Abgeordnete.
Im Gegenzug plädierte Voss dafür, die Hürden zu senken und stellte dabei auch die Zweckbindung für erhobene personenbezogene Daten in Frage. "Wenn wir es nicht schaffen, Daten zur Verfügung zu stellen, stirbt diese Entwicklung aus", erklärte Voss. Eine starke europäische Kompetenz im Bereich Künstliche Intelligenz sei für den anstehenden Wechsel zum Metaverse unabdingbar, für den auch Techniken wie Blockchains und Kryptowährungen benötigt würden.
Zwischen Goldgräberstimmung und Panik
Mit seiner Grundsatzkritik am europäischen Datenschutzniveau stand Voss in Köln alleine. Stattdessen stellten viele Teilnehmer die Praxistauglichkeit der bisherigen Pläne in Frage. Der Data Act und der Data Governance Act etwa sollen es ermöglichen, Europäische Datenräume zu schaffen, in den sowohl Behörden als auch Firmen Daten einspeisen und die dann für viele Anwendungen etwa im Gesundheitswesen oder im Verkehr verwendet werden könnten.
"Fast jeder möchte Daten haben, aber kaum jemand kann das wirklich", konstatierte Gabriela Krader, Konzerndatenschutzbeauftragte der Deutsche Post DHL Group. Derzeit würden die Firmen von Regulierungsvorschlägen überflutet, es herrsche "eine Mischung aus Goldgräberstimmung und Panik". Krader erwartet deshalb, dass sich der Aufgabenzuschnitt der betrieblichen Datenschutzbeauftragten zu universellen Datenverwaltern ändert.
Datensparsamkeit ist kein Leitbild mehr
Diesen Wandel erwartet der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink auch für die Aufsichtsbehörden. Die Vorstellung der Datensparsamkeit als Leitbild der Behörden sei bereits abgeschafft. "Wir haben nicht mehr das Ziel, Datenverarbeitung zu unterbinden oder zurückzuhalten", sagte Brink. Stattdessen gehe es in der täglichen Arbeit darum, dass die stark zunehmenden Verarbeitungsvorgänge legal stattfinden könnten. So sei es die Rolle der Aufsichtsbehörden, das Vertrauen in die Datenverarbeitung zu stärken und somit die Weiternutzung zu befördern, ohne jedoch Prinzipien wie die Zweckbindung aufzugeben.
Professor Herwig Hofmann von der Universität Luxemburg, der den Datenschutzaktivisten Maximillian Schrems vor dem Europäischen Gerichtshof vertreten hat, stellte die Praktikabilität der Pläne ebenfalls in Frage. Zwar sehen die Pläne der Europäischen Kommission vor, dass die eingespeisten Daten "interoperabel" sein müssten. Doch niemand wisse bisher, wie dieses technische Konzept in ein juristisches Konzept verwandelt werden solle. Auch die gesetzliche Definition von Künstlicher Intelligenz habe keine genaue technische Entsprechung.
Datenräume ohne Datenqualität?
Diese Begriffs-Verwirrung sorgt zu handfesten Problemen. "Ein Kernproblem ist die Qualitätssicherung von Daten", erklärt der Jurist. "Wenn Sie Daten als Rohstoff für Dienstleistungen oder IT-Produkte oder anderes nutzen wollen, müssen sie ja von der Qualität überzeugt sein." Doch bisher fehlte in den Gesetzesvorhaben eine solche Qualitätssicherung. Zudem seien hier nicht nur datenschutzrechtliche Überlegungen wichtig, sondern es müssten auch Fragen um geistige Eigentum und das Wettbewerbsrecht geklärt werden. Hofmann plädierte dafür, dass erst ein klarer abstrakter Rahmen geschaffen werden soll, bevor man in die Detailarbeit einsteige, wie es jetzt schon geschehe.
Der Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit (GDD) Andreas Jaspers erinnerte daran, dass die neue Datenstrategie keinesfalls die DSGVO ablösen oder neuschreiben soll. Insofern müssten die datenfreigaben nach den bereits etablierten Rechtfertigungsgründen nach Artikel 6 geprüft werden. Dies sei im Detail jedoch sehr problematisch, da die Daten nicht nur von direkten Vertragspartnern genutzt werden soll und eine etwaige Zustimmung transparent gemacht werden müsse.
Ausweg: Daten anonymisieren
Hierzu erarbeitet die GDD gerade Lösungen: So hat die GDD Code Of Conducts erarbeitet, die die Pseudonymisierung und die Anonymisierung von Daten regeln, so dass sie ohne Hindernisse oder zumindest einfacher für die Nachnutzung freigegeben werden können. Die Regeln für die Pseudonymisierung sollen demnächst von der Brüsseler Aufsichtsbehörde genehmigt werden.
Beim transatlantischen Datentransfer riet Jaspers den betrieblichen Datenschutzbeauftragten zur Vorsicht. Zwar seien derzeit durch eine Verfügung der Regierung Biden wieder legaler Datentransfer möglich. Die Neuregelung werde aber voraussichtlich wieder rechtlich angegriffen. Auch wenn sich Jaspers vom Europäischen Gerichtshof mehr "Geschmeidigkeit" erhofft, müsse man die Wirtschaft darauf vorbereiten, dass auch der neue Privacy Shield keinen Bestand haben werde.
(mho)
