Meine Merkliste Geteilte Merkliste PDF oder EPUB erstellen

Zu bürokratisch, zu wenig Impulse für die Zukunft | Democracy - Im Rausch der Daten | bpb.de

Democracy - Im Rausch der Daten Der Film Filmbesprechung Interview mit David Bernet Links Hintergrund Was steht in der DSGVO? Datenschutz in der EU und den USA Interview mit Jan Philipp Albrecht Interview mit Viviane Reding Debatte Bringt die Grundverordnung zu viel oder zu wenig Datenschutz? Zu bürokratisch, zu wenig Impulse Datenschutz für Innovationen Ist Lobbyismus eine Gefahr für die Demokratie in Europa? Politiker entscheiden nicht im luftleeren Raum Zu viel Einfluss in der Europäischen Union Meinung: Datenschutz schützt nicht vor der NSA Arbeitsblatt und Unterrichtsvorschläge Redaktion

Zu bürokratisch, zu wenig Impulse für die Zukunft

Susanne Dehmel

/ 4 Minuten zu lesen

Ob bei Transparenz, Pseudonymisierung oder Dokumentationspflichten – das neue EU-Regelwerk birgt Probleme für die Unternehmen, warnt Susanne Dehmel vom Branchenverband Bitkom.

(© Bitkom e.V.)

Es gibt eine große Einigkeit darüber, dass wir einen ordentlichen Datenschutz brauchen, um die Privatsphäre und die persönliche Freiheit des Einzelnen zu schützen. Die große Frage ist aber, wie ein solcher Datenschutz in Zukunft aussehen soll. Die wirtschaftliche und gesellschaftliche Bedeutung der Datenschutzgesetze ist heute sehr hoch, da ein immer größerer Anteil von Geschäftsprozessen und privaten Aktivitäten digital abläuft. Die Digitalisierung wird also maßgeblich von der Datenschutzgesetzgebung mitgestaltet. Die Datenschutz-Grundverordnung der EU ist daher an den Bedürfnissen der sich digitalisierenden Wirtschaft und Gesellschaft zu messen. Und da muss man leider feststellen, dass die Grundverordnung zu bürokratisch ist. Außerdem bringt sie zu wenig Impulse für einen zukunftsgerichteten Datenschutz.

Zwar werden einige Konzepte eingeführt, die auf den Einsatz von datenschützenden Technologien abzielen. Dazu zählt zum Beispiel die Pseudonymisierung von Daten oder das Prinzip Datenschutz durch Technikgestaltung. Auch ist im Grundsatz richtig, dass die Verordnung mehr Transparenz gegenüber den Nutzerinnen und Nutzern fordert. Ob diese Transparenz allerdings durch eine Anhäufung von starren Informationspflichten geschaffen werden kann, die einerseits allumfassend sein sollen, andererseits aber auch kurz und für jedermann verständlich, ist mehr als fraglich. Im Wesentlichen wird an althergebrachten Prinzipien festgehalten und dem Grundsatz gefolgt, dass gar keine Daten die besten Daten sind. Das ist eine Haltung aus den 80er Jahren des vorigen Jahrhunderts. Diese führt aber zwangsläufig zu Schwierigkeiten beim Einsatz von Systemen, die in den vergangenen Jahren erst zur Marktreife kamen und die die besten Ergebnisse liefern, wenn sie möglichst große Datenmengen zur Verfügung haben.

Denken wir zum Beispiel an Verkehrsleitsysteme – das fängt schon beim Navigationssystem in unserem Auto an – die in Echtzeit durch die Bewegungsdaten sehr vieler Autofahrer erkennen, wo es gerade zu Verkehrsbehinderungen kommt und die so für die folgenden Fahrerinnen und Fahrer die bestmögliche Route auswählen können. Oder an Datenanalysen, die anhand von medizinischen Daten von vielen Krebspatienten Zusammenhänge herauslesen können und so für den Einzelnen die Therapie mit den besten Heilungschancen auswählen.

Strikte Zweckbindung erschwert Forschung und Entwicklung

Um all dies zu ermöglichen, kann man nicht immer auf anonymisierte Daten zurückgreifen, die nicht mehr einer Person zugeordnet werden können. Stattdessen ist die Verarbeitung von pseudonymisierten Daten nötig, bei denen eine Verschlüsselung die Identifikation erheblich erschwert. Doch auch diese Daten fallen unter den Anwendungsbereich der Datenschutz-Grundverordnung, weil sie die Rückbeziehbarkeit auf den Krebspatienten nicht vollständig ausschließen können – dies gilt selbst dann, wenn dieser Rückbezug ausdrücklich gewünscht ist. Lässt die Datenanalyse nämlich zum Beispiel erkennen, dass in einem konkreten Fall eine Verschlechterung des Zustands zu erwarten ist oder eine bessere Therapie möglich wäre, würde nur eine Repersonalisierung eine individuelle Ansprache ermöglichen, um medizinische Hilfe leisten zu können. Mit einer echten, nicht rückbeziehbaren Anonymisierung, ist die Ansprache dieser Personen nicht möglich – die bestmögliche Therapie kann nicht angewendet werden.

Ein weiterer Grundsatz, der zu Problemen führen kann, wenn er zu eng ausgelegt wird, ist der der Zweckbindung. Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nur zu diesen weiterverarbeitet werden. Datenanalysen stehen insofern in Konflikt mit einer engen Zweckbindung, da zum Zeitpunkt der Erhebung und Analyse der Daten oft noch nicht genau gesagt werden kann, zu welchen Zwecken die Ergebnisse sinnvoll verwendet werden können. Datenanalysen werden ja gerade deshalb häufig durchgeführt, um Muster zu erkennen, von denen man gar nichts wusste.

Allenfalls kann man in diesen Fällen den Zweck der Verarbeitung nur sehr grob definieren. Eine zu enge Auslegung der Zweckbindung würde daher die Verwertung von Daten für solche Analysen erschweren oder verhindern. Und solche Datenanalysen sind die Grundlage für Machine Learning und Anwendungen der Künstlichen Intelligenz. Dies sind beides Bereiche, in denen aktuell sehr viele Unternehmen forschen und entwickeln – gerade hier gibt es sehr viele Innovationen. Die Gefahr ist real, dass künftig Forschung und Entwicklung in diesen Feldern zunehmend in Ländern stattfinden, die diese Fragen weniger restriktiv behandeln. Die Folge wäre, dass hierzulande und in Europa die entsprechende Technologie nicht entwickelt, sondern allenfalls noch genutzt werden kann.

Dokumentationspflichten behindern Start-ups und Mittelstand

Es geht aber nicht nur um den Innovationsstandort Deutschland, es geht auch um ganz konkrete Probleme für die Unternehmen heute. Datenverarbeitende Unternehmen müssen zukünftig jederzeit nachweisen können, dass ihre Datenverarbeitung den Vorschriften der Grundverordnung entspricht. Das gilt für den Handwerksbetrieb um die Ecke genauso wie für große Technologiekonzerne. Gerade für Start-ups sowie kleinere und mittelständische Unternehmen ist dieser Dokumentationsaufwand eine erhebliche Mehrbelastung – vor allem mit Blick auf die Dokumentation. Denn viele der dort getroffenen Überlegungen wurden bislang einfach nicht bis ins kleinste Detail aufgeschrieben.

Wir sollten uns davor hüten, die Datenschutz-Grundverordnung für die kommenden Jahre als starres Regelungswerk für alle Datenschutz-Fragen der digitalen Welt zu sehen. Sie hat zwar einheitliche Rahmenbedingung für die Zukunft gesetzt. Wie sie konkret auf einzelne Bereiche der vernetzten Welt Anwendung findet, muss aber immer wieder im Einzelfall beurteilt werden.

Wie ist damit die Ausgangsfrage zu beantworten? Bringt die Grundverordnung nun zu viel oder wenig Datenschutz für Europa? Entscheidend wird sein, ob sich der aus der Grundverordnung abgeleitete Datenschutz effektiv an den Bedürfnissen der sich digitalisierenden Wirtschaft und Gesellschaft orientiert.

(© dpa, Erwin Elsner)

Standpunkt Klaus Müller :



Interner Link: "Verbraucherinnen und Verbraucher sollen die Kontrolle über ihre Daten zurückgewinnen und verstehen können, in was sie eigentlich einwilligen. Datenschutzerklärungen müssen daher künftig leichter verständlich verfasst werden."

Susanne Dehmel ist Mitglied der Geschäftsleitung mit dem Schwerpunkt Recht und Sicherheit beim Digitalverband Bitkom. Der Verband vertritt mehr als 2.500 Unternehmen der digitalen Wirtschaft in Deutschland.