Sie befinden sich hier: Start |Publikationen |vorgänge |Online-Artikel |

vorgänge: Artikel, Datenschutz: DSGVO - 31.12.20

Für eine Digitalisierung des Datenschutzes[1]

Jörg Pohle, Benjamin Bergemann & Jan Schallaböck

in: vorgänge Nr. 231/232 (3-4/2020), S. 117-129

Datenschutz schützt die Grundrechte bei der Digitalisierung. Der Datenschutz selbst ist dagegen kaum digitalisiert. Im Gegensatz zu anderen Bereichen – etwa dem Gesundheitswesen – gibt es keine Debatte über die ausbleibende Digitalisierung des Datenschutzes. Im folgenden Beitrag eröffnen Jörg Pohle, Benjamin Bergemann und Jan Schallaböck diese Debatte. Sie diskutieren, warum die fehlende Digitalisierung des Datenschutzes ein politisches Problem ist. Sie stellen Beispiele vor, wo und wie sich Digitalisierung für die Datenschutzkontrolle nutzen lässt und welche Vorteile das für Bürger*innen, Datenverarbeiter, Aufsichtsbehörden und die gesellschaftliche Wirksamkeit des Datenschutzes hätte.

Einleitung

Die praktische Umsetzung des Datenschutzes stützt sich noch immer weitgehend auf Handarbeit und ist geprägt von einem Wildwuchs an Formaten und inkompatiblen Systemen. Es fehlt an einer vereinheitlichten Praxis und an etablierten Standards für die Datenschutz-Folgenabschätzung (Artikel 35 DSGVO), für Datenschutz by Design und by Default (Artikel 25), für die Information der Betroffenen (Artikel 12–14) und für die Ausübung der Betroffenenrechte (Artikel 15–18, 20–21). Ausgangspunkt für all diese Mechanismen ist regelmäßig eine Bestandsaufnahme, die auch in die Verfahrensdokumentation Eingang findet (Artikel 30).

Der europäische Gesetzgeber hat mit Einführung der Datenschutz-Grundverordnung (DSGVO) sowohl die Pflicht zur Registrierung der Verfahrensdokumentation als auch das ersatzweise bestehende allgemeine Recht auf Einsicht in die Verfahrensdokumentation, welche im alten Bundesdatenschutzgesetz (BDSG) noch enthalten waren, über Bord geworfen. Diese Möglichkeiten – zu Zeiten des BDSG recht unbekannt und wohl nur sehr selten genutzt – galten als reiner Formalismus, weswegen sie wohl als verzichtbar angesehen wurden. Es zeigt sich jedoch gerade in der Umsetzung der DSGVO, dass die Verfahrensdokumentation als Bestandsaufnahme eine unverzichtbare Voraussetzung für den rechtskonformen Umgang mit personenbezogenen Daten darstellt. Öffentliche und elektronisch zugängliche Verfahrensdokumentationen würden Austausch, Analyse und Vereinheitlichung erlauben. Sie könnten damit nicht nur die Einhaltung und Kontrolle von Datenschutzvorschriften erheblich erleichtern, sondern auch den Weg für eine weitergehende Automatisierung des Datenschutzes ebnen.

Kurz: Die Chancen der Digitalisierung bei der Umsetzung des Datenschutzes werden nicht genutzt. Und das hat nicht nur Folgen für die Verantwortlichen selbst, sondern auch für die Betroffenen und den Schutz ihrer Grundrechte, sowie für die Aufsichtsbehörden und nicht zuletzt auch für die Gesellschaft insgesamt. Im Folgenden wollen wir den Versuch unternehmen, die Vision und die Wirklichkeit eines automatisierten Datenschutzes aus verschiedenen Perspektiven zu kartieren und schlagen anschließend erste Schritte zu einer Automatisierung des Datenschutzes vor. Wir wollen dazu beitragen, die Automatisierung des Datenschutzes über Privacy Enhancing Technologies (PETs) und formale Compliance hinaus zu denken und zu einer datenschutzpolitischen Frage zu machen.

Datenschutz und Automatisierung

Datenschutz adressiert die unerwünschten Folgen moderner Informationsverarbeitung und zielt darauf ab, das Eintreten dieser Folgen durch die konkrete organisatorische und technische Gestaltung der Verarbeitung zu verhindern (Steinmüller et al. 1971: 44). Die DSGVO fokussiert dabei, wie Artikel 1 Abs. 2 explizit formuliert, auf Risiken für Grundrechte und Grundfreiheiten als Teilmenge aller gesellschaftlich unerwünschten Folgen.
Als Ausdehnung des Rechtsstaatsprinzips auf alle Informationsverarbeitungen (Steinmüller 1976: 14), also auch auf diejenigen in privater Verantwortlichkeit, legt das Datenschutzrecht einen starken Fokus auf Pflichten für Verarbeiter und die Kontrolle durch Aufsichtsbehörden. Aber auch die Gestaltung von Organisationen, Verarbeitungsprozessen und informationstechnischen Systemen wird adressiert – und das schon seit den Anfängen der Datenschutzdebatte (Pohle 2015). "Soziale Freiheit ist nunmehr nur noch möglich, wenn sie von vornherein in die Konstruktion der Informationssysteme eingeplant, auch mit den Mitteln der modernen Daten- und Kommunikationstechnologien technisch und organisatorisch abgesichert und schließlich in ihrem sozialen Umfeld rechtlich verankert und gewährleistet wird" (Steinmüller et al. 1978: 2). Jede rechtliche, organisatorische und technische Gestaltung von Informationsverarbeitung setzt jedoch voraus, dass Verarbeitungen beherrschbar gemacht werden, um ihre Folgen erfassen und entsprechende Maßnahmen ergreifen zu können (Steinmüller 1979: 187).

Zu all dem bedarf es nicht nur geeigneter Methoden, sondern auch der Werkzeuge, die bei der Umsetzung helfen – von der individuellen und systemischen Bestandsaufnahme über die Risikoanalyse und die Auswahl der geeigneten Maßnahmen bis hin zur Kontrolle der Datenverarbeitungspraxis. Ebenso braucht es grundlegende Standards, die nicht nur die Vergleichbarkeit von Transparenzinformationen und ergriffenen Maßnahmen erlauben, sondern selbst auch als Treiber des Standes der Technik wirken können.

Für die Verantwortlichen geht es primär um die Erfüllung ihrer datenschutzrechtlichen Pflichten. Voraussetzung hierfür ist die Selbstbeobachtung bezüglich ihrer Strukturen und Praktiken, die das Datenschutzrecht – weitgehend implizit – als Vorbedingung für den praktischen Grundrechtsschutz einfordert. Viele, gerade kleinere, Verantwortliche sind damit überfordert – nicht zuletzt, weil sie sich mühsam selbst überlegen müssen, wie und mit welchen Werkzeugen sie Datenschutz praktizieren sollen.

Für die Betroffenen geht es nicht allein um die Vergleichbarkeit von Transparenzinformationen, die bei manueller Erstellung ohnehin nicht erreichbar ist, sondern auch um die Wahrnehmung ihrer Rechte gegenüber den Verantwortlichen. Ohne entsprechende Werkzeuge bleiben sie hierbei auf deren Kooperation angewiesen.

Auch die Aufsichtsbehörden werden durch die fehlende Automation des Datenschutzes in ihrer Arbeit behindert. Das gilt intern, bei der Bearbeitung von Vorgängen oder bei der Kontrolle von Verantwortlichen, wenn sie sich erst durch Berge von Papier kämpfen müssen, bevor sie überhaupt zur inhaltlichen Prüfung schreiten können. Aber es gilt auch gegenüber der Öffentlichkeit, wenn sie ihrer Aufgabe, "die Anwendung dieser Verordnung [zu] überwachen" (Artikel 57 Abs. 1 Buchstabe a DSGVO), nicht angemessen nachkommen können, weil sie ohne entsprechende automatisierte Verfahren gar nicht die Möglichkeit haben, moderne Informationsverarbeitung jenseits von Einzelfällen zu untersuchen.

Und nicht zuletzt: Wie wir gerade erst wieder in der Corona-Krise lernen, ist es unerlässlich, eine vernünftige Datenbasis zu haben, auf deren Grundlage die Gesellschaft über mögliche Maßnahmen diskutieren und entscheiden kann. An einer solchen Datenbasis fehlt es aber für eine der wohl entscheidenden gesellschaftlichen Entwicklungen der vergangenen Jahre und Jahrzehnte: Über den gesellschaftlichen Stand der Datenverarbeitung und deren Implikationen gibt es überraschenderweise keine vernünftige empirische Grundlage, obwohl das tragende Paradigma der Digitalisierung die Vollerhebung zu sein scheint (Klumpp 2014: 277 ff.). Es grenzt an Absurdität, dass Datenverarbeiter nahezu jeden unserer Handlungsschritte protokollieren, aber die Gesellschaft nicht zur Kenntnis nehmen kann, was die Datenverarbeiter tun.

Die Automatisierung des Datenschutzes ist bisher – wenn überhaupt – Gegenstand von Fachdebatten. Dominierend ist hier der Diskurs zu Privacy Enhancing Technologies (PETs), in dem die Automatisierung des Datenschutzes allerdings oft auf einen rein individualistisch verstandenen Begriff von "Privacy" begrenzt wird (Diaz/Gürses 2012), bei dem ein umfassenderes Verständnis von Datenschutz auf der Strecke bleibt. Versuche, das Thema ganzheitlicher zu diskutieren (vgl. etwa Schartum 2001), sind in der Vergangenheit schnell versandet. Auch anlässlich des zweiten Jahrestages der Anwendbarkeit der DSGVO wurde die Automatisierung des Datenschutzes kaum thematisiert (Ausnahmen: Privacy Company 2019; Digitale Gesellschaft 2020).

Die Diskussion um die Digitalisierung des Datenschutzes wollen wir im Folgenden aus diesen vier Perspektiven – Verantwortliche, Betroffene, Aufsichtsbehörden und Gesellschaft – aufgreifen.


Der gesellschaftliche Wert eines automatisierten Datenschutzes

Die aufgeklärte bürgerlich-liberale Gesellschaft unterstellt, dass ihre politische Deliberation und Entscheidungsfindung auf der Basis umfassender und fundierter Informationen über die Phänomene, über die sie entscheiden soll oder will, stattfindet. Für den gesellschaftlichen Stand der Digitalisierung liegen solche Informationen jedoch bisweilen kaum oder gar nicht vor. Dies beginnt schon bei der Schwierigkeit, den Stand der Technik zu bestimmen, da die Einsatzszenarien kaum systematisiert sind. Noch relevanter ist es für die Frage des konkreten Einsatzes von Verfahren, Systemen und "Code" – vor allem in der Breite und nicht nur an ausgewählten Beispielen. Und es gilt für die Praktiken, die damit verbunden sind. Schließlich geht es vor allem um die Folgen für Individuen, Gruppen und die Gesellschaft, für individuelle Rechte und gesellschaftliche Strukturen.

Als Beispiel könnte man die gegenwärtige "Algorithmen"-Debatte heranziehen, in der über "ethische" Anforderungen an "Algorithmen" diskutiert wird, ohne dass eine Bestandsaufnahme zugrunde gelegt wurde. Wir wissen nicht viel über die konkreten Risiken, die in konkreten Situationen von konkreten Akteuren durch den Einsatz konkreter Informatiksysteme für je konkrete Betroffene oder gesellschaftliche Werte erzeugt, verstärkt oder verstetigt werden – geschweige denn über deren Relevanz.

Angemessener erscheint es, wenn Verantwortliche ihre Bestandsaufnahme und Risikoanalyse technikgestützt und auf der Basis offener und frei verfügbarer Standards vornähmen und die Ergebnisse maschinenlesbar zugänglich machten, damit diese zusammengetragen und ausgewertet werden können. Auf der gesellschaftlichen Ebene geht es dabei nicht – oder nicht vorrangig – darum, bei einzelnen Verantwortlichen Probleme, Versäumnisse oder gar Gesetzesverstöße aufzudecken, sondern um das Feststellen eines "State of the digital World": Wie sieht die Informationsverarbeitung eigentlich in der Praxis aus? Wie ist sie organisiert? Welche Daten werden verarbeitet, für welche Zwecke, in welchem Umfang, mit welchen Betroffenen? Welche Risiken ergeben sich daraus konkret? Welche der Risiken werden im Zuge von Organisations-, Verfahrens- und Technikgestaltung abgemildert oder verhindert – und welche bleiben trotz der erforderlichen organisatorischen und technischen Maßnahmen bestehen? Welche der Maßnahmen stellen dabei den Stand der Technik dar und welche fallen dahinter zurück? An welchen Stellen oder in Bezug auf welche Risiken gibt es deutliche Lücken in der Abdeckung durch technische und organisatorische Maßnahmen, die es zu schließen gilt – und deren Schließung gesellschaftlich organisiert und möglicherweise auch finanziert werden sollte?

Potentiale für Datenverarbeiter

Für Verantwortliche und Auftragsverarbeiter ergibt sich das Interesse an einer Automatisierung des Datenschutzes pragmatisch aus der Bewältigung der Komplexität des Datenschutzrechts und seinen Anforderungen. Insbesondere für größere Organisationen ist die Umsetzung des Datenschutzrechts oft nur ein weiteres Compliance-Projekt, das es zu managen gilt – mit allen Vor- und vor allem Nachteilen, die eine solche Rationalisierung des Grundrechtsschutzes in Organisationen mit sich bringt (Waldman 2019).


1

2

3

4

Vor