Die Datenschutz-Grundverordnung (DSGVO) beherrscht seit ihrer Geltung vom 25.05.2018 die Headlines. Von der globalen Panik über den Bürgerrechts-Aktivismus bis zur Gleichgültigkeit und Kapitulation vor den Anforderungen, sind große Veränderungen meist mit vielen Unsicherheiten in der Governance von Unternehmen verbunden.
So lässt sich nach mehr als vier Jahren jedoch feststellen, dass die umfassenden Compliance-Anforderungen ihre abschreckende Wirkung nicht verfehlt haben. Gefühlt hat sich das Datenschutzniveau nicht deutlich verbessert bzw. die Vorschriften nicht zu einem höheren Schutz geführt.
Denn bereits im Jahr 2019 gaben in einer Umfrage lediglich 18% der befragten Personen an, dass sie die neue Verordnung als positiv bewerten würden und auch die Anforderungen sind, abseits der hohen Sanktionen, vergleichbar geblieben. (Quelle: statista.com)
Anders verhält es sich mit der Datenmenge, die jedes Jahr rasant ansteigt und sich alle zwei Jahre verdoppelt. Bis zum Jahr 2025 wird die weltweite Datenmenge laut einer Untersuchung der International Data Corporation auf 163 Zettabyte angestiegen sein. Eine unfassbar hohe Datenmenge – wir wollen dennoch den Versuch starten, diese Menge an Daten zunächst näher zu beleuchten.
Was ist ein Zettabyte?
In Zahlen umfasst ein Zettabyte („ZB“) eine Datenmenge von zehn hoch 21 = 1.000.000.000.000.000.000.000 Byte. Die kleinste Maßeinheit in der Informationstechnik bildet das sogenannte Binary Digit („Bit“), mit dem auch die Datenübertragung in Bit pro Sekunde (bit/s) gemessen wird.
Ein „Byte“ besteht aus 8 einzelnen Bits, die 256 Zustände annehmen können (zwei hoch acht, sogenanntes „Bit-Oktett“).
Oder um es plakativ zu formulieren, entsprechen 163 ZB etwa einem Datenvolumen von 1 Billionen Gigabyte. Nach dem derzeitigen Stand würden in den nächsten Jahren dafür physische Server-Kapazitäten der Fläche einer Großstadt wie Leipzig benötigt – eine Fläche von mehreren Hundert Quadratkilometern.
Das lässt sich, je nach genutzter Speichertechnologie, zur Zeit nicht zuverlässig berechnen und mit Speichermedien der neuesten Generation sicher auch deutlich reduzieren.
Hat die DSGVO nichts verbessert?
Die Frage mit „ja“ zu beantworten ist in Anbetracht der Umstände, wie die rasante Digitalisierung der letzten Jahre ohne die DSGVO verlaufen wäre, eine sehr gewagte Aussage. Wie es gewesen wäre, lässt sich rückwirkend zwar nicht prognostizieren, doch erscheint es einleuchtend, dass ohne das Gesetz der Schutz von personenbezogenen Daten – sowie die damit verbundene Governance in Unternehmen – deutlich ins Hintertreffen geraten wäre.
Mit der in 2018 angestoßenen EU-Datenschutzreform hat sich, im Vergleich zu den weiteren EU-Ländern, hier zu Lande also nicht viel verändert. Für Eines hat die von umfassenden Dokumentations- und Prüfpflichten gezeichnete Verordnung dennoch nicht gesorgt: Rechtssicherheit.
In der gelebten Praxis ist häufig zu sehen, dass bereits der Begriff “personenbezogene Daten” zu Irritationen führt. Angefangen damit, welche Informationen überhaupt als personenbezogene Daten einzustufen sind. Es lohnt sich daher, sich die Definition in Erinnerung zu rufen, da das Gesetz eine „Legaldefinition“ mit auf den Weg gegeben hat.
Das Gesetz definiert personenbezogene Daten als
„…alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (…) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;“
Demnach sind auch vermeintlich anonyme Daten, bei denen durch Hinzuziehung weiterer Informationen ein Personenbezug erst hergestellt werden könnte, personenbezogen. Das trifft somit auch auf pseudonymisierte Daten wie IP-Adressen und andere technische Merkmale wie Kunden-ID’s und Kennungen zu, die systemseitig generiert und einer Person zugeordnet werden können.
Eine Ausnahme vom Datenschutzrecht sieht die Verordnung also nur dann vor, wenn die Daten vollständig anonym sind, ohne dass personenbezogene Merkmale auf bestimmte Personen zurückgeführt werden können. Nur vollständig anonymen Daten bedürfen somit keiner Rechtsgrundlage zur Verarbeitung und können für Auswertungen und Statistiken frei verwendet werden.
Dieser Umstand scheint für die Praxis dennoch oft unpraktikabel, zumal auch die Anonymisierung selbst eine Verarbeitung personenbezogener Daten darstellt, soweit die Daten nicht bereits vollständig anonym und ohne eine Möglichkeit der Herstellung eines Personenbezuges erhoben wurden.
Das ist jedoch selten der Fall, da zumindest im Regelfall server- und systemseitig immer technisch erforderliche Daten, nicht zuletzt zu Zwecken der Informationssicherheit, erhoben werden.
Für die nicht-personenbezogenen Daten soll nun ein europäisches Regelwerk geschaffen werden, wodurch Unternehmen praktisch mit ganz neuen Anforderungen der Data Compliance und neuen Lösungen konfrontiert sein werden.
EU-Datengesetz: Ein Game Changer im Datenschutz?
„Es kommt nicht darauf an, die Zukunft vorauszusagen, sondern darauf, auf die Zukunft vorbereitet zu sein.“
Das wusste bereits der griechische Staatsmann Perikles, dem dieses Zitat zugeschrieben wird. Die jüngsten Entwicklungen zur Schaffung eines EU-Datengesetzes („Data Act“) stellen somit einen neuen Bestandteil der Data Governance dar, mit dem der Datenschutz nicht mehr das allein beherrschende Thema zu sein scheint.
Das Gesetz umfasst nämlich, dass „nicht-personenbezogene Daten“ zur freien Ressource werden sollen und Unternehmen sowie Behörden sämtliche ihrer Entscheidungen dadurch auf einer signifikanten Datenbasis fassen können. Es soll insbesondere der Zugang zu den wertvollen Nutzungsdaten erleichtert werden, indem Unternehmen die Daten als freies Gut dem Markt und auch staatlichen Stellen bereitstellen müssen.
Die freie Verfügbarkeit sämtlicher Nutzungsdaten, soweit Unternehmen dieses Potenzial auch technisch nutzen können, käme somit einer Entschleunigung des Datenwettbewerbs sowie einer Abkehr davon gleich, dass Unternehmen mit den größten Datenbeständen am meisten von diesem enormen Wettbewerbsvorteil profitieren.
Damit käme es in Zukunft also vielmehr darauf an, was Organisationen aus den Daten machen und wie Unternehmen sich auf die veränderten Marktbedingungen nicht nur technisch, sondern auch mental einstellen. Echter Wettbewerb eben, den man durchaus als Game Changer für datengetriebene Märkte und Organisationen werten kann.
Ob es sich dabei auch um einen Game Changer für die Compliance im Datenschutz handelt, ist unwahrscheinlich, zumal personenbezogene Daten als „freies Gut“ mit eines der heißesten juristischen Eisen sind, da Betroffene neben dem gesetzgeberischen auch einen sehr starken grundrechtlichen und höchstrichterlich beschiedenen Persönlichkeitsrechtsschutz in der EU genießen.
Neben der problematischen Wortwahl der „nicht-personenbezogenen Daten“ werden mit dem Data Act für viele Unternehmen auch große digitale Hürden der Governance aufgestellt.
Insbesondere die Bereitstellung der Datenbestände in nicht-personenbezogener Form ist für viele Unternehmen nach derzeitigem Stand mit einem erheblichen Aufwand verbunden, wie auch die Frage nach personellen Ressourcen sowie die Bereitstellung für Unternehmen und Mitbewerber.
Der Datenschutz könnte vielen Unternehmen dadurch auch ein sehr willkommenes Instrument sein, soweit keine zentrale Regulierung für die Umsetzung besteht, die Unternehmen von dem Aufwand entlastet und gleichzeitig den Schutz personenbezogener Daten gewährleistet.
Dies erscheint nach jetzigem Stand technisch undenkbar – abseits der Möglichkeiten von Big Data-Konzernen (Google-Tracker, Analytics und Co.), die damit staatlich-regulatorische Funktionen übernehmen müssten und denen mit dem Data Act ja gerade das Datenmonopol abgenommen wird, um fairere Wettbewerbsbedingungen auch für kleine und mittlere Unternehmen zu implementieren.
Die Evolution vom Datenschutzrecht zur Data Compliance
Wie sich die Gegebenheiten von Märkten verändern, so ist die Compliance mit (und Einhaltung von) Datenschutzvorschriften und Richtlinien längst nicht der einzige beherrschende Faktor bei der Datenverarbeitung.
Die IT- und Datensicherheit haben sich von Anbeginn der Digitalisierung ebenso dazugesellt, wie Lösungen zum wirtschaftlichen, gesellschaftlichen und sozialen Nutzen, die spätestens im Zuge der 2000er Jahre mit der Entstehung einer breiten Datenbasis entstanden sind.
Trotz dessen genießt der Schutz personenbezogener Daten nach wie vor eine sehr hohe Priorität, der als Ausprägung des Persönlichkeitsrechts zu verstehen ist, das bereits vorausschauend mit dem Vorgänger der DSGVO – der EU-Richtlinie 95/46/EG – europaweit verbrieft wurde.
So wissen die Datenschutz-Aufsichtsbehörden seit Jahren zu berichten, dass mit dem steigenden Bewusstsein über den Datenschutz auch die Beschwerden über Datenschutzverletzungen sowie die Meldungen von Datenpannen, nicht zuletzt in Krisenzeiten, rapide zugenommen haben.
Nachzulesen ist das Ganze hier.
Zudem sind Anzahl und Ausmaß der Vorfälle durch den allgegenwärtigen Cyber-Krieg stark gestiegen und die dadurch entstehenden Risiken für Unternehmen und Betroffene das zentrale Thema bei der Einhaltung der IT- und Datensicherheit, was andernfalls an die existenzielle Substanz von Bürgern, Unternehmen und Staat gehen kann.
Dies lässt insbesondere eine logische Schlussfolgerung zu, nämlich die weiterhin existenzielle Bedeutung der Compliance und Governance im Bereich des Schutzes personenbezogener Daten. Neben den einschlägigen Vorschriften und Richtlinien ist zudem auch die Regulierung des gesellschaftlich-sozialen Nutzens längst überfällig – zusammengefasst die Biosphäre der Data Compliance.
Diese Entwicklung stellt vielmehr eine Evolution und Neuausrichtung, denn einen großen Umbruch der Datenwirtschaft dar. Besonders ist es aber ein chancenreiches Zukunftsthema, welches bis heute eher dürftig reguliert worden ist.
Mit den immer neuen technologischen Möglichkeiten entstehen naturgemäß neue Bedürfnisstrukturen, die vom Individuum bis zum Staat ganz unterschiedlicher Natur sein können und neue Lösungen erfordern.
Dies lässt sich zum Beispiel anhand der Diskussionen um die Vorratsdatenspeicherung veranschaulichen, die nach den Anforderungen und Richtlinien des Datenschutzrechts lange Zeit als Tabuthema galt, da insbesondere eine anlasslose Speicherung personenbezogener Daten der Bürger auf Vorrat unzulässig ist sowie die Verarbeitung und der Umgang immer strikt zweckgebunden zu erfolgen haben.
Dies wurde vor kurzem (abermals) vom Europäischen Gerichtshof (EuGH) bestätigt. Problematisch ist eine solche Speicherung auf Vorrat, da eine Datensammlung des Staates nicht mit einem Generalverdacht zur Überwachung jedes Individuums verbunden sein darf und der Sicherheitsgedanke somit nicht per se über dem individuellen Schutz von Freiheit und Persönlichkeitsrechten steht.
Die sich fortentwickelnden technologischen Möglichkeiten fänden so gesehen für jede Art von Daten einen konkreten Anlass zur Verarbeitung, der sich bereits aus dem Selbstzweck der Technologie ergibt.
Bei der Digitalisierung geht es darum, die digitale Welt als Abbild der realen Lebenswelt zu verstehen, bei der eben nicht jede Bewegung und Aktion protokolliert und auf Vorrat gespeichert wird. Zumindest nicht so lange die Matrix nicht real ist.
Die Flexibilisierung vorhandener Datenbestände
Das entscheidende Potenzial von Daten, insbesondere der Datenbestände, die aus Datenschutzgründen bislang nicht genutzt werden können, ist allgemein unumstritten. Denn: „man könnte viel, wenn da nicht der Datenschutz wäre“, der eine Verarbeitung personenbezogener Daten zunächst ohne die einschlägige Rechtsgrundlage verbietet.
Es ist somit grundsätzlich verboten, personenbezogene Daten zu verarbeiten, soweit keine konkrete Legitimation dafür vorliegt.
Was ist das Verbot mit Erlaubnisvorbehalt?
Das Verbot ist ein ungeschriebener Grundsatz im Datenschutzrecht, der besagt, dass eine Verarbeitung personenbezogener nur aus Basis einer konkreten Rechtsgrundlage zulässig ist. Im Datenschutzrecht erkennbar an Formulierungen wie „nur zulässig, wenn“ oder „ist untersagt“ (soweit keine Ausnahme besteht). Es darf somit keine Verarbeitung ohne den zugehörigen Erlaubnistatbestand erfolgen.
Das Verbot existiert aufgrund des hohen Missbrauchspotenzials, dass personenbezogene Daten ungehindert für wirtschaftliche oder staatliche Zwecke erhoben und zur Verfügung gestellt werden.
Dem liegt im Kern somit der Gedanke zu Grunde, dass die Macht über die Daten mit der Macht über das Individuum verbunden ist und im schweißgebadete Albtraum der „Orwell´schen Überwachung“ mündet, der aus dem Machtstreben einzelner Personen und Gruppen zu resultieren vermag. So erscheint es geradezu wie eine dystopische Vorstellung, persönliche Daten ungehindert oder als „freies Gut“ bereitzustellen und in allen Lebensbereichen auf eine entsprechende Erhebung und Verarbeitung angewiesen zu sein.
Es stellen sich dadurch Fragen grundsätzlicher Natur, nämlich nach dem Nutzen eigener und fremder Informationen, und wann ein zweckdienlicher, allgemeiner oder persönlicher Purpose damit verbunden ist, der im Sinne des Individuums steht und gleichzeitig auch mit der Governance von Organisationen vereinbar ist.
Davon ausgehend erscheint es durchaus plausibel, dass zum Beispiel der anonymisierte Datenbestand einer Online-Immobilienbörse, der Aufschluss über die Kaufpräferenzen bestimmter Käufertypen einer Immobilie gibt, auch von persönlichem Nutzen sein kann, um die optimalen Wohnpräferenzen für das Individuum zu ermitteln.
Die Wohnpräferenzen könnten andererseits aber auch dazu verwendet werden, das soziale Wohnumfeld proaktiv zu optimieren oder gar das soziale Klima ganzer Regionen zu verbessern.
Der Nutzen ließe sich technisch und tatsächlich so weit wie denkbar vertiefen, indem weitere Merkmale hinzugezogen werden:
- Persönliche und wirtschaftliche Präferenzen
- psychologische oder physiologische Eigenschaften
- die gesundheitliche Verfassung
- andere cross-funktionale Elemente
Das Missbrauchspotenzial solcher Profile liegt auf der Hand. Wenn aus der idealen, hilfsbereiten Nachbarschaft ein Albtraum wird, da in Zukunft zum Beispiel eine künstliche Intelligenz oder eine nicht-demokratisch legitimierte Regierung darüber entscheidet, werden die utopischen zu dystopischen Szenarien, die plötzlich nicht mehr ganz so weit hergeholt sind.
In einem solchen Szenario wird die „Purpoesie“ (abgeleitet von „Purpose“ und „Poesie“) sowie ein Verbot mit Erlaubnisvorbehalt in Orwell´scher Manier ad absurdum geführt, da mit den unterschiedlichen Zweckrichtungen ein Mix an Legitimation entsteht, der ab einem gewissen Integrationsgrad auf das Engste verwoben ist und rechtlich nicht ohne weiteres trennbar.
Fazit und Ausblick
In der juristischen Arbeitspraxis ist es im allgemeinen Konsens, dass sich Gesetze und Richtlinien immer an den Bedürfnissen der Menschen und dem Zeitgeist zu orientieren haben – und nicht umgekehrt an starren Prinzipien.
Das ist gerade Gegenstand der Rechtsordnung, das Zusammenleben von Menschen den realen Lebensbedingungen nach zu regeln und durch Erfahrungswerte allgemeinverbindliche, gesetzliche Regelungen zu erlassen, an die sich jeder zu halten hat. Das Recht ist also in Form der Rechtsfortbildung im Regelfall repressiv und nicht präventiv tätig.
Es geht vereinfacht gesagt also darum, die Lebensrealität in Hypothesen zu fassen und nicht umgekehrt, Hypothesen für die Lebensrealität zu entwerfen, die nicht den realen Bedingungen entsprechen.
Übertragen wir diesen Gedanken also auf den Austausch und die Verarbeitung von Daten erscheint es durchaus notwendig, Vorschriften den veränderten Bedingungen der technologischen Lebensrealität sowie den neuartigen Möglichkeiten anzupassen und nicht Entscheidungen vorwegzunehmen, die längst nicht zu treffen sind.
Das Persönlichkeitsrecht stellt hierbei weiterhin einen maßgeblichen, wenn auch längst nicht den einzigen, Taktgeber dar, den es zu schützen gilt und der auch in der behördlichen und gerichtlichen Praxis einen hohen Stellenwert eingenommen hat. (Quelle: trust-zentrum.de)
Unternehmen werden sich in der digitalen Zukunft daher zunehmend mit Fragen der Governance sowie Aspekten der Data Compliance zu befassen haben, die völlig neuartig sind und neue Lösungen zur Umsetzung und Einhaltung erfordern.
