Realitätscheck: Datenschutz in einer idealen Welt

- Es gilt das gesprochene Wort -

I. Begrüßung

Lieber Frederick,

danke für die Einladung zum heutigen Datentag. Danke Euch als Stiftung Datenschutz, dass Ihr mit Eurer Kampagne und mit Veranstaltungen wie dieser unermüdlich daran arbeitet, das Image des Datenschutzes aufzupolieren. Als Erklärer und Vermittler habt Ihr meine Anerkennung und den großen Dank aller hier im Saal Vertretenen mehr als verdient.

Der heutige Datentag stellt zu Recht das Grundrecht auf informationelle Selbstbestimmung in den Mittelpunkt. Und damit auch eine Grundüberzeugung von mir: Das Grundrecht ist und bleibt eine der größten Errungenschaften unserer Gesellschaft. „Datenschutz ist die letzte Brandmauer der Demokratie”, sagt Markus Beckedahl – Liebe Grüße, falls er noch da ist – und diese Aussage teile ich.

Liebe Kolleginnen und Kollegen, liebe Mitstreiterinnen und Mitstreiter,

der Einladung, heute als „Optimismusbeauftragte“ eine positiv konnotierte Abschlussrede zu halten, komme ich sehr gerne nach.

• Um mich einzustimmen, muss ich aber zu einem Hilfsmittel greifen, das ich heute mitgebracht habe – ich bin eigentlich gar keine Brillenträgerin, aber um das Datenschutzrecht rundum positiv zu bewerten braucht es schon eine rosarote Brille.
• Und so stelle ich mir das vor, wenn ich mal träumen darf – Datenschutz in einer idealen Welt: In einer idealen Welt, passieren natürlich überhaupt keine Datenschutzverstöße, weil das Datenschutzrecht umsetzbar ist und seine Einhaltung allen Akteuren opportun und sinnvoll erscheint.
• In einer idealen Welt, da sagt der Gesetzgeber in den sensiblen Bereichen klipp und klar, welche Datenverarbeitung erlaubt sein soll und welche nicht. Und in allen anderen Bereichen, da entscheidet jeder oder jede selbstbestimmt, welche Nutzung der eigenen Daten durch wen erfolgen darf – ohne faule Kompromisse, ohne von Diensten deshalb ausgeschlossen zu werden.
• Und falls doch mal etwas schiefgeht, gibt es einheitliche Meldewege für Datenschutzverstöße, werden Verstöße effektiv verfolgt und sanktioniert und legen Aufsicht und Gerichte das Recht auch einheitlich aus.
• Nutzerprofiling kennen wir in dieser Welt überhaupt nicht, Minderjährige werden im Netz effektiv geschützt und die Altersverifikation, die es dafür möglicherweise für soziale Netzwerke und andere gefährliche Umgebungen braucht, kriegen wir sogar datenschutzkonform hin.
• In einer idealen und innovativen Welt verwenden Behörden selbstverständlich KI, nicht um zu überwachen und zu spionieren, sondern um ihre Arbeit zu skalieren. In dieser idealen innovativen Welt nutzen wir nur souveräne Clouds und Software dafür.
• Obwohl unser Dasein als Datenschützer in der idealen Welt natürlich eigentlich fast schon überflüssig ist, beraten wir stets konstruktiv und frühzeitig Gesetzgeber und Datenverarbeiter. Wir sind politische Player mit echtem Gewicht, die mit lauter, vereinter Stimme zu strategisch wichtigen Themen wie Polizeisoftware sprechen. Von Zukunftsthemen wie Computer-Hirn-Schnittstellen haben wir nicht nur schon mal was gehört, sondern positionieren uns früh genug dazu, um bereit zu sein, wenn es losgeht. Dafür sind wir uns nicht zu schade und bauen entsprechende Expertise auf.

II. Nüchterner Befund

• Leider, und hier kann ich die Brille auch eigentlich schon absetzen, muss ich mit einem nüchternen Befund weitermachen: So wie ich mir das in einer idealen Welt vorstelle, so wie unser Datenschutzrecht aktuell ausgestaltet ist, funktioniert es nicht.
• Das Konzept der Einwilligung – jedenfalls in seiner weitreichenden Unbegrenztheit – ist gescheitert.
• Das Datenschutzrecht schützt Betroffene in vielen Fällen nur auf dem Papier. Es vermittelt die Illusion eines Goldstandards und lässt Betroffene doch allzu oft sträflich allein.
• Unternehmen, die sich an Recht und Gesetz halten wollen, verzweifeln nicht selten an erheblicher Rechtsunsicherheit, uneinheitlicher Rechtsauslegung und erheblichen Dokumentationspflichten. Unternehmen, die sich nicht an Recht und Gesetz halten wollen, profitieren von m.E. unzureichender Rechtsdurchsetzung.
• Seit Jahren wird um den heißen Brei herumgeredet, verstecken wir uns hinter der Angst, eine Reform des Datenschutzrechts könnte den Schutzstandard absenken aber machen wir uns doch mal ehrlich: Wir brauchen eine Reform, um einen effektiven Betroffenenschutz überhaupt erst zu gewährleisten.
• Wie komme ich dazu, als Datenschutzoptimistin derart klar zu sagen, dass das Datenschutzrecht so, wie es ausgestaltet ist, nicht funktioniert? Weil viele Betroffene uns das selbst so sagen. Wir werden Anfang Oktober die erste repräsentative Erhebung unseres neuen Datenbarometers vorstellen.
• Da haben wir die Leute einfach mal offen gefragt: Was fällt Ihnen spontan beim Wort „Datenschutz“ ein? Kleiner Spoiler: Viele halten recht wenig vom Datenschutz. Einzelne bezweifeln sogar, dass es ihn überhaupt gibt.
• Aber – und da kommt wieder die Optimistin ins Spiel: Das Bild ist viel, viel differenzierter als mancher Pessimist es vermuten würde oder man es oft anekdotisch erzählt bekommt. Wenn wir verstehen, warum es sogar bei den Betroffenen selbst zu einer schlechten Wahrnehmung des Datenschutzrechts kommt, können wir daraus die richtigen Schlüsse ziehen. Oder wie heißt es so schön? Problem erkannt, Problem gebannt.
• Drei Thesen möchte ich hier zur Diskussion stellen:
  • Datenverarbeitungen bergen heute unmittelbare Vorteile für Betroffene, während die Nachteile oft nur diffus und mittelbar spürbar sind.
  • Diese Vorteile werden sowohl auf individueller als auch auf kollektiver gesellschaftlicher Ebene wahrgenommen.
  • Das Primat der Einwilligung gerät im Massendatenverkehr, bei dem wir inzwischen angelangt sind, an seine Grenzen. Der Gesetzgeber muss entscheiden, wo es mehr Datenschutz und wo es mehr Datennutzbarkeit geben soll.
• Um den ambivalenten Blick der Deutschen auf das Datenschutzrecht zu verstehen, lohnt sich ein Blick in die Historie des Datenschutzrechts. Entwickelt wurde das Recht auf informationelle Selbstbestimmung – das wissen Sie hier alle – 1983 im sogenannten Volkszählungsurteil. Dort richtete sich ein Beschwerdeführer gegen Zählung der Bevölkerung Deutschlands durch den Staat. Diese Zählung sollte händisch von Tür zu Tür erfolgen. Vorteile hatte die Volkszählung in erster Linie für den Staat, denn Volkszählungen werden als Grundlage für politisches und verwaltungsmäßiges Handeln genutzt. Sie helfen z. B. Gemeinden, zu entscheiden, wo gebaut werden muss und der Bundesregierung bei der Entscheidung, wie Gelder und Unterstützung an die Länder verteilt werden sollte. Der Betroffene profitierte also allenfalls mittelbar von der Datenerhebung, die Vorteile waren für ihn jedenfalls nicht unmittelbar spürbar.
• Diese Lage hat sich dramatisch verändert. Wir haben es derzeit mit einer Technologieentwicklung zu tun, deren Missbrauchspotenzial zwar riesig, deren Chancenpotenzial aber ebenso weitreichend ist. Betroffene profitieren häufig unmittelbar von Datenverarbeitungen z. B. im Gesundheitsbereich. Gleichzeitig erfolgen Datenverarbeitungen längst nicht mehr auf Einzeldatensatzbasis. KI-Anwendungen verarbeiten Daten in großen Mengen.
• Wir kommen also aus einer Zeit analoger Datenverarbeitungen mit genau definierbaren Chancen und Risiken in eine Zeit der Massendatenauswertung, in der sowohl die Chancen als auch Risiken für Betroffene dramatisch steigen. In der vor allem die Risiken vorab nicht mehr genau definierbar sind.
• Daraus resultieren Zielkonflikte: Das Datenschutzrecht agiert mit dem Verbotsprinzip, lässt Datenverarbeitungen also nur unter genau definierten Voraussetzungen zu. Es drängt auf eine enge Zweckbindung und erlaubt nur diejenigen Datenverarbeitungen, die für diesen Zweck erforderlich sind. Massendatenverarbeitungen aber fordern eine ständige Datenverfügbarkeit.
• Uns Datenschützern geht das schwer über die Lippen, aber es ist Realität: Die Vorteile für den Einzelnen werden größer, je mehr Daten zu vorab nicht genau definierbaren Zwecken verarbeitet werden.
• Das gilt für die Gesundheitsforschung, die Zusammenhänge zwischen Daten, z. B. zwischen Lebererkrankungen und Medikamentenverwendung, häufig nur dann erkennen kann, wenn diese über einzelne Studien hinaus verwendet werden können.
• Daten aus dem vernetzten Auto können den Fahrkomfort und die Straßensicherheit erhöhen, das individuelle Fahrverhalten analysieren und Verbesserungsvorschläge unterbreiten. Die Nachteile in Form potentieller Persönlichkeitsprofilbildungen, z. B. durch Versicherungen, die dadurch ihre Preispolitik steuern können, sind für den Betroffenen oft nur mittelbar spürbar.
• Kurzum: Das Primat der Datensparsamkeit und der vielfach aufzufindende Wunsch nach datenbedingter Optimierung des eigenen Lebens kollidieren.
• These 2: Dieser Zielkonflikt findet aber nicht nur auf individueller, sondern auch auf kollektiver Ebene statt.
• Datenspeicherung ist längst kein Problem mehr und so können permanente digitale Wissensspeicher wie Archive und Register, z. B. in Forschungsdatenzentren entstehen. Daten in Gesundheitsdatenbanken können möglicherweise in einigen Jahren zu ganz anderen Zwecken der Gesundheitsvorsorge ausgewertet werden als heute.
• Es bestehen also auch Kollektivinteressen an der langfristigen Aufbewahrung von Daten. Löschfristen und strenge Regelungen zur Zweckänderung stehen dem aber häufig entgegen.
• Müssen wir im Sinne des Gemeinwohls besser austarieren? Dafür wollen wir besser verstehen, welche begründeten Interessen vorliegen. Wir als BfDI gehen diesen Weg mit unserem Datenbarometer und fragen die Menschen ganz konkret: Was funktioniert gut bei Cookies, bei der elektronischen Patientenakte und vielen anderen Bereichen. Und wo hakt es, wo wünschen sich die Menschen bessere Lösungen?
• Und ich sage auch in Richtung der Verbände: Es ist ja schön und gut, wenn Sie jedes Jahr aufs Neue herausfinden, wie sehr die Unternehmen vom Datenschutz genervt sind. Sagen Sie uns auch immer wieder, was konkret besser laufen könnte. Die Optimistin sagt: Das ist möglich!
• Meine dritte These: Das Datenschutzrecht preist individuelle Selbstbestimmung, die im Massendatenmarkt eine Illusion ist. Entscheidungsermüdung und Informationsüberlastung führen dazu, dass der Einzelne in der Regel keine selbstbestimmte Entscheidung über die Verwendung seiner Daten treffen kann.
• Das Konzept der Einwilligung gerät an seine Grenzen, wenn es nicht gar schon längst gescheitert ist. Freiwilligkeit, Granularität und Informiertheit sind vor diesem Hintergrund aktuell nicht mehr als leere Phrasen.

III. Rolle des Gesetzgebers

• Was ist also zu tun: Einwilligungsmöglichkeiten sind richtig und wichtig. Aber sie sind nicht überall gleichermaßen sinnvoll.
• Wo weiterhin an Einwilligungslösungen festgehalten wird, muss der Gesetzgeber dafür sorgen, dass Selbstbestimmung nicht nur auf dem Papier gewährleistet wird. Das gelingt etwa über die Etablierung passgenauer AGB-Lösungen, z. B. für Plattformen, auf deren Nutzung Betroffene aufgrund sozialer oder beruflicher Gründe angewiesen sind. Diese Angewiesenheit dürfte einer freiwilligen und selbstbestimmten Einwilligung in einseitig diktierte Plattform-AGB oft im Wege stehen.
• Gleichzeitig muss der Gesetzgeber Verantwortung übernehmen und Zielkonflikte lösen. Es kann nicht länger zulässig sein, die Entscheidung darüber, was erlaubt und nicht erlaubt sein soll, durch ein blindes Vertrauen auf das Instrument der Einwilligung, das nachgewiesenermaßen nicht funktioniert, singulär den Betroffenen aufzulasten. Vielmehr darf der Gesetzgeber aus meiner Sicht:
• Sich erstens in besonders grundrechtssensiblen Bereichen wie Gesundheit, Biometrie oder Hirndaten nicht länger seiner Verantwortung entziehen: Er sollte endlich einen klaren Rechtsrahmen mit klaren Datenverarbeitungserlaubnissen und ebenso klaren Verboten schaffen.
• Erlaubt werden könnte etwa – unter klar definierten Voraussetzungen – das KI-Training zu Zwecken der Gesundheitsversorgung, wie der Krebstherapie.
• Verboten gehört jedenfalls in bestimmten Fällen die Re-Identifizierung betroffener Personen aus anonymisierten Datensätzen.
• Zweitens sollte er privilegierte Verarbeitungszwecke ins Gesetz aufnehmen sowie rote Linien ziehen, wo Datenverarbeitungen nicht mit unseren gesellschaftlichen Werten vereinbar sind.
• Und drittens eine harte Sanktionierung bei datenschutzwidrigen Geschäftspraktiken ermöglichen durch eine Neudefinition der Zuständigkeiten in Europa. Ich denke da z. B. daran, dass über das Dringlichkeitsverfahren nach Art. 66 DSGVO hinaus jede Aufsichtsbehörde in jedem EU-Mitgliedstaat tätig werden darf, wenn Datenverarbeitungen für den nationalen Markt stattfinden, z. B. weil Datenbestände oder Dienstleistungen im nationalen Markt angeboten werden, sofern eine Mehrheit im EDSA zustimmt.
• Und auch wir Datenschutzaufsichtsbehörden sollten uns unserer Rolle als Akteur in aktuellen Debatten klarwerden. Wer außer uns soll den Betroffenen denn sonst eine Stimme geben?
• Wie stehen wir z. B. zu Computer Brain Interfaces? Schon 2017 legten Wissenschaftler in einem Artikel in der renommierten Zeitschrift Nature dar, dass Datenströme aus dem Hirn ausgelesen und beeinflusst werden können. Mit erheblichem Potential, z. B. körperlich beeinträchtigten Menschen über Gedankenkraft die Steuerung von technischen Hilfsmitteln zu ermöglichen – aber eben auch mit dem erheblichen Risiko, ganze Menschenmassen zu manipulieren.
• Aber anstatt dass wir als Datenschützer laut die Stimme erheben und mitdiskutieren, sprechen wir darüber, ob Art. 30 Abs. 5 DSGVO im Rahmen einer Reform gestrichen werden darf. Das ist an Selbstironie nicht zu übertreffen.
• Wachen wir endlich auf. Als Gesetzgeber, als Aufsicht, als Gesellschaft.

IV. Schluss

• Meine Damen und Herren, wo ist nun der positive Gedanke in dieser Rede: Wenn es so schlecht um den Datenschutz in der Wahrnehmung mancher steht, gibt es nur einen Weg: Nach oben.
• Es gibt also eine gute und eine schlechte Nachricht. Die schlechte Nachricht zuerst: Wir haben ein Problem. Die gute Nachricht aber ist: Wir können es lösen. Gehen wir es an.
• Ganz herzlichen Dank für Ihre Aufmerksamkeit…