Die automatisierte Verarbeitung personenbezogener Daten nimmt rasant zu und ist aus keinem Wirtschafts-, Verwaltungs- und Gesellschaftsbereich mehr wegzudenken. Gerade im Internet ist die Verwendung der Nutzerdaten für individualisierte Werbung der Preis für die kostenfreie Nutzung von Diensten. Vor diesem Hintergrund wird in der Europäischen Union die Neufassung der Datenschutzregeln diskutiert. Vor einem Jahr hat die Europäische Kommission einen Entwurf für eine Europäische Datenschutzverordnung vorgelegt. Zu dieser erarbeiten derzeit das Europäische Parlament und der Europäische Rat eigene Stellungnahmen, die dann zwischen den drei europäischen Institutionen verhandelt werden müssen. Gleichzeitig versuchen große Lobbygemeinschaften auf interessenorientierte und massive Weise, maßgeblichen Einfluss auf das Gesetzgebungsverfahren und auf die Formulierung einzelner Vorschriften zu nehmen.

Um diesem politischen und fachlichen Ringen eine sachliche Bewertung beizusteuern, möchten wir als mit dem Thema befasste Wissenschaftlerinnen und Wissenschaftler fachlich Stellung beziehen und uns mit Argumenten, die gegen einen wirksamen Datenschutz vorgebracht werden, hier auseinandersetzen.

Als Hauptargument gegen die vorgeschlagene Datenschutzverordnung wird deren befürchtete Wirkung auf Innovation und Wettbewerb genannt. Kritiker argumentieren, dass die vorgeschlagenen Regelungen zu streng und damit innovationsfeindlich seien und die europäische Wirtschaft im Wettbewerb mit nicht-europäischen Anbietern benachteiligen.

Innovation und Wettbewerb sind nicht bedroht

Wir können diese Einschätzung nicht teilen. Im Gegenteil wird ähnlich wie in der Straßenverkehrssicherheit, im Umweltschutz und in der Energiepolitik gerade ein regulatorisches Umfeld, das Veränderung einfordert, Innovationsimpulse setzen. Schon jetzt haben sich in ganz Europa Startups gebildet, die anstreben, Bürgern einen Schutz ihrer personenbezogenen Daten "out-of-the-box" anzubieten. Sicherheits- und Datenschutzexperten beraten Firmen bei einer besseren Konstruktion und einem sichereren Management ihrer IT-Systeme. Unsicherheiten über das Datenschutzniveau in anderen Ländern sind ein wesentlicher Grund für die Zurückhaltung, Cloud Computing in wichtigen Geschäftsprozessen einzusetzen.

Fünf von sechs großen Nutzungsbereichen, die die Boston Consulting Group für persönliche Daten in ihrem Bericht "The Value of our Digital Identity" vorstellt, sind auch mit der Datenschutzverordnung vereinbar. Das Beratungsunternehmen sieht persönliche Daten unter anderem als wesentliche Hebel für die Prozessautomatisierung, die Personalisierung und die Verbesserung von Produkten und Services. Aus unserer Sicht können alle Unternehmen, die direkte Kundenbeziehungen pflegen, zur Erbringung ihrer Leistungen auch weiterhin auf die Einwilligung ihrer Kunden bauen, denn es ist schon seit Langem erwiesen, dass Kunden ihre Daten gerne im Austausch für eine geschätzte Leistung bekannt geben. Personalisierte Angebote und eine kontinuierliche Verbesserung des Dienstes sind im Rahmen solch fairer Austauschbeziehungen kein Problem: Das gesteigerte Vertrauen in die Einhaltung des Datenschutzes auf Seiten der Kunden wird solche Beziehungen sogar noch stärken.

Eine Einschränkung für bestehende Geschäftsmodelle kann es unserer Einschätzung nach nur dort geben, wo die Wertschöpfung von Unternehmen allein auf Basis der Aggregation und des Handels mit personenbezogenen Daten basiert. So werden es große Werbenetze oder Datenhändler schwerer haben, personenbezogene Daten zu nutzen. In diesen wenigen Bereichen bedarf es jedoch aus unserer Sicht tatsächlich neuer Vorgaben, um derartige Geschäftsmodelle präziser als bisher zu regeln und Sanktionen, um die Einhaltung der Gesetzte durchzusetzen.

Innovative Dienste sind durch die Datenschutzverordnung hingegen nicht gefährdet. Vielfach benötigen diese nämlich gar keine personenbezogenen Daten. Ferner können persönliche Daten häufig leicht durch den Einsatz von Anonymisierungstechnologien vermieden werden. Dort, wo ein Dienst nur mit personenbezogenen Daten funktionieren kann, kann er diese aufgrund des abgeschlossenen Vertrages nutzen. Zusätzliche Nutzungsmöglichkeiten werden weiterhin dadurch eröffnet, dass auf faire Art und Weise eine informierte Einwilligung eingeholt wird.

Informierte Einwilligung des Kunden

Zur Einwilligung des Kunden

Für eine weitergehende Verwendung personenbezogener Daten wird in der Europäischen Union spätestens seit 1995 eine "informierte Einwilligung" in die Datenverarbeitung gefordert. Dieses Prinzip fungiert als Dreh- und Angelpunkt des Rechts auf informationelle Selbstbestimmung. Unbestritten ist, dass dieses Prinzip in der heutigen Praxis nur sehr unbefriedigend umgesetzt wird. Auf Nutzerseite wird bemängelt, dass die Datenschutzerklärungen und AGBs der Anbieter unlesbar sind und man als Nutzer ohnehin keine Wahl habe: Möchte man den Dienst haben, dann müsse man allem mehr oder weniger blind zustimmen. Auf Anbieterseite wiederum empfindet man die Ausgestaltung der Verträge oft als juristische Gratwanderung. Man scheut die Kosten der Umsetzung und fürchtet, Nutzer durch umfangreiche und häufige Einwilligungsprozeduren zu überfordern und abzuschrecken.

Viele Vertreter von Unternehmen plädieren daher für eine Umkehr des Prinzips, ähnlich wie dies in den USA heute der Fall ist: Alle Datenverarbeitung soll erlaubt sein, solange die Nutzer ihr nicht widersprechen.

Der Entwurf der Verordnung sieht jedoch im Gegenteil eine Stärkung der informationellen Selbstbestimmung vor: Die explizite Einwilligung soll erhalten bleiben. Die Einwilligung soll bei einem erheblichen Ungleichgewicht zwischen den Partnern nicht rechtfertigend wirken. Und die Koppelung der Dienstnutzung an die Einwilligung in vertragsfremde Datenverarbeitungen soll sogar verboten werden.

Wir schließen uns dem Verordnungsentwurf hier an, denn wir halten das Prinzip der informierten Einwilligung für unerlässlich. Zum einen würde eine Umkehrung die Position des Bürgers deutlich schwächen und letztendlich zu weniger Kontrolle für den Einzelnen und zu weniger Vertrauen im Internet führen. Zum anderen gibt es zahlreiche Ansätze, sehr bald schon durch technische Hilfsmittel die heutigen Nutzerprobleme technisch zu lösen. Schon heute gibt es – gerade von Europäischen Instituten und Firmen – technische Lösungen, die Kunden dabei helfen können, mit wenig Aufwand und teilweise automatisiert in die Verarbeitung eigener Daten einzuwilligen oder sie abzulehnen. In den USA gibt es die 'Do-not-Track'-Initiative, bei der im Browser der entsprechende Nutzerwunsch eingestellt wird. Ebenso sind Techniken im Entstehen, die die komplexen AGBs für Nutzer interpretieren und leicht verständlich zusammenfassen.

Sobald ein Koppelungsverbot in Kraft tritt, können sich Nutzer seriös und auf einfachem Wege entscheiden.

Zum berechtigten Interesse

Unternehmen können heute auch ohne Einwilligung ihrer Kunden personenbezogene Daten verarbeiten, wenn sie dafür ein sogenanntes ‚berechtigtes Interesse’ ins Feld führen können. Bis dato ließ dieser Begriff jedoch leider sehr viel Interpretationsspielraum: wann ist ein Interesse berechtigt und wann nicht?

Um dem Missbrauch dieser an sich sinnvollen Regelung zu begegnen, sieht der Verordnungsvorschlag vor, die berechtigten Interessen von Unternehmen und Kunden erstens zu definieren und zweitens auszugleichen. Er sieht vor, dass Unternehmen ihr berechtigtes Interesse nicht nur behaupten, sondern auch begründen müssen. Die Ergänzung des Verordnungsentwurfs sieht nun durch einen Passus sogar vor, das "berechtigte Interesse des Bürgers" nicht zu vergessen. Sie stellt fest, wo Rechte von Bürgerinnen und Bürgern wichtiger sind als die von Anbietern. Es wird präzisiert, dass Bürger ein berechtigtes Interesse daran haben, dass nicht unbemerkt Profile über sie erstellt werden und dass ihre Daten nicht mit einer Vielzahl von ihnen meist unbekannten Drittparteien geteilt werden. Wir halten diesen Ausgleich der Interessen für ein sehr faires Angebot, das die gegenwärtige Wirtschaftspraxis in der Datenverarbeitung ebenso berücksichtigt wie die Interessen der Bürger.

Auch anonymisierte Daten brauchen Schutz

Wann greift die Verordnung überhaupt? Wann sind Daten 'personenbezogen'?

Ein wesentlicher Streitpunkt ist, welche Datenverarbeitungsprozesse überhaupt von der Verordnung erfasst werden sollen. In der Online-Welt werden Nutzer oft implizit identifiziert, etwa durch die Netzwerkadresse ihres Endgeräts (IP-Nummern) oder die Cookies in ihrem Web-Browser. Zu diesen impliziten Identifikatoren können zum Beispiel die besuchten Web-Seiten gespeichert werden, und hieraus wiederum kann ein Profil der Interessen und Eigenschaften einzelner Nutzer abgeleitet werden. Manche impliziten Identifikatoren ändern sich häufig, weshalb sie zunächst als für den Datenschutz unkritisch erscheinen. Experimentell wurde aber vielfach gezeigt, dass der Zusammenhang zwischen neuen und alten Identifikatoren wieder herzustellen ist.

Trotz dieser unbestrittenen Möglichkeiten zur Profilbildung und Deanonymisierung wird von Industriekreisen argumentiert, dass implizite Identifikatoren nicht von der Verordnung erfasst werden sollen. Gerade Internetunternehmen, die viele Nutzerdaten erfassten, seien im Allgemeinen nur an aggregierten und statistischen Daten interessiert, nicht an den Daten einzelner Nutzer, so ein häufiges Argument.

Wir können uns dieser Meinung aus technischer, betriebswirtschaftlicher und rechtlicher Sicht nicht anschließen. Technisch ist es bei der Sammlung so vieler Daten über einen längeren Zeitraum leicht möglich, diese Daten einer bestimmten Person zuzuordnen. Wirtschaftlich mag die Identifizierung einzelner Nutzer derzeit nicht im Vordergrund stehen. Aber die Möglichkeit und damit auch der Reiz, diese Möglichkeit zu nutzen, besteht. Rechtlich muss auch Vorsorge für den Fall getroffen werden, dass Daten die personenbeziehbar sind und jederzeit personenbezogen werden können, geschützt werden.

Einige EU-Parlamentarier schlagen vor, anonymisierte, pseudonymisierte und verschlüsselte Daten generell aus dem Geltungsbereich der Datenschutzverordnung herauszunehmen, weil es bei ihnen keinen Personenbezug mehr gäbe. Das ist eine äußerst gefährliche Fehleinschätzung. Gewiss sind Anonymisierung, Pseudonymisierung und Verschlüsselung sinnvolle Instrumente des technischen Datenschutzes: Verschlüsselung hilft, Daten vertraulich zu halten. Pseudonyme können oft das Wissen um den Zusammenhang zwischen einer Person und "ihren" sensitiven Daten (etwa einer medizinischen Diagnose, einer Äußerung in einem Internetforum, oder einem Interessenprofil) auf diejenigen beschränken, die den Zusammenhang erfahren müssen. Jedoch sind auch so geschützte Daten noch in vielen Fällen geeignet, Personen eindeutig zu identifizieren. Daher glauben wir, dass auch diese Datentypen in der Datenschutzregulierung betrachtet werden müssen, auch wenn sie möglicherweise anders zu behandeln sind als direkt identifizierte Daten. Dies ist ja schon allein deswegen nötig, um die problemangemessene, zweckmäßige und fachgerechte Verwendung der Schutzvorkehrungen sicherzustellen. Ganz sicher brauchen wir eine regelmäßig am technischen Standard angepasste Festschreibung, ab wann Daten als ausreichend pseudonymisiert und ab wann sie als anonymisiert gelten können.

Wer soll die Datenschutzanforderungen festlegen?

Neben vielem Positiven sehen wir im konkreten Entwurf der Kommission jedoch auch eine strukturelle Schwäche, die allerdings leicht behebbar ist: Die Europäische Kommission sieht in ihrem Entwurf in sehr vielen Vorschriften nur vage Zielsetzungen vor und hat sich selbst als die Institution eingesetzt, die in allen diesen Fällen in Form von "delegierten Rechtsakten" und "Durchführungsbestimmungen" die eigentlichen Festlegungen trifft, was künftig in Europa als Datenschutzrecht gelten soll. Dies würde der Kommission eine Machtstellung verschaffen, die dem europäischen Verfassungsgefüge nicht entspricht. Regelungen zum Datenschutz greifen massiv in alle Wirtschafts-, Verwaltungs- und Gesellschaftsbereiche ein. Sie zu treffen, ist daher Aufgabe des europäischen Gesetzgebers. Alle wesentlichen Regelungen sind daher in der Verordnung selbst zu treffen. Allenfalls nachgelagerte und politisch unkritische Detailentscheidungen dürfen der Kommission übertragen werden.