x-ion auf dem 23. Datenschutzkongress Euroforum 2022 in Berlin
“Digitale Transformation, nur mit Datenschutz auch Fortschritt” – hiermit eröffnete Professor Ulrich Kelber, Bundesbeauftragter für Datenschutz und Informationssicherheit den diesjährigen Datenschutzkongress vom 16. bis 18.05. in Berlin.
Speziell bei der konzeptionellen Entwicklung von informationsverarbeitenden Systemen seien datenschutzrechtliche Bestimmungen laut Kelber grundsätzlich von Anfang an zu berücksichtigen und unter Gewährleistung des Grundsatzes Privacy by Design/Default auf unterschiedlichen Ebenen umzusetzen und zu integrieren. Agile Arbeitsmodelle seien prinizpiell nicht mit konzeptionslosen Umsetzungs- und Entwicklungsmethoden gleichzusetzen, datenschutzrechtliche Bestimmungen sollten vielmehr in fortlaufender Weise auf unterschiedlichen Ebenen berücksichtigt und implementiert werden.
Darüber hinaus sei ein besonderes Hauptaugenmerk auf die entsprechenden Zwecke einer Verarbeitung von personenbezogenen Daten zu legen. Unter Berücksichtigung und Aufrechterhaltung eines umfassenden Schutzniveaus könne sich laut Kelber aus der Verwendung personenbezogener Daten in vielerlei Hinsicht ein spezifischer Mehrwert ergeben. In diesem Zusammenhang solle eine Differenzierung dahingehend erfolgen, für welche konkreten Fallkonstellationen personenbezogene Daten auf sinnvolle Weise genutzt werden können, beispielsweise im Bereich von Forschungs- und Optimierungszwecken. Dennoch gelte hierbei ebenfalls uneingeschränkt, den Datenschutz zu einem möglichst frühen Zeitpunkt in die Entwicklung einzubeziehen und entsprechende Maßnahmen umzusetzen, wie beispielsweise in Form einer potentiellen Anonymisierung der entsprechenden Daten. Speziell in Bezug auf Datenverarbeitungen zu legitimen Zwecken solle Datenschutz jedoch für technologische und wissenschaftliche Fortschritte im Ergebnis kein Hindernis darstellen, sofern den anwendbaren gesetzlichen Rahmenbedingungen umfassend nachgekommen würde.
“Digitale Souveränität als Ziel des Datenschutzrechts”
Prof. Dr. Rossnagel, Beauftragter für Datenschutz und Informationsfreiheit für das Land Hessen, widmete seinen Beitrag einer umfassenden Bewertung des aktuell stattfindenden internationalen Datentransfers in sogenannte Drittstaaten außerhalb des Europäischen Wirtschaftsraums.
Als politisches und rechtliches Ziel stehe eine “digitale Souveränität”, welche gleichermaßen entscheidend für die Gewährleistung eines umfassenden Grundrechtsschutzes auf europäischer Ebene sei. Die Bestimmungen der Datenschutz-Grundverordnung fungieren in diesem Zusammenhang laut Rossnagel als normative Grundlage, so dass in Bezug auf transatlantische Übermittlungen von personenbezogenen Daten die langfristige Sicherstellung eines hinreichenden Datenschutzniveaus nicht vernachlässigt werden solle.
Speziell im Vordergrund stünden hierbei die lokal geltenden gesetzlichen Bestimmungen in Drittstaaten, wie beispielsweise in den USA., wonach die Ausübung unterschiedlicher Zugriffsrechte auf personenbezogene Daten von Seiten der staatlichen Behörden ohne erheblichen Aufwand möglich sei. Für das Erreichen eines angemessenen, den Maßstäben der europäischen Union vergleichbaren Datenschutzniveaus sei es in der Rolle des für die entsprechende Datenverarbeitung Verantwortlichen unabdingbar, das Datenschutzniveau im entsprechenden Drittland eingängig zu überprüfen. Sollte sich in diesem Zusammenhang herausstellen, dass aufgrund der anwendbaren Gesetze ein hinreichendes Schutzniveau nicht gewährleistet werden könne, seien weitergehende Maßnahmen erforderlich, wie beispielsweise der Verschlüsselung von Daten sowie vertragliche Regelung in Bezug auf den Umgang mit staatlichen Behörden.
Obgleich die primäre Verpflichtung bei dem für die Datenverarbeitung Verantwortlichen liege,
seien zudem auch Hersteller von Informationsverarbeitungsystemen in die Pflicht zu nehmen, entsprechende Maßnahmen in Bezug auf ein verbessertes Schutzniveau zu ergreifen und umzusetzen.
“Der gordische Knoten der E-Privacy-Verordnung”
Marit Hansen, Datenschutzbeauftrage für das Land Schleswig-Holstein, gewährte einen Einblick auf den aktuellen Stand der E-Privacy-Verordnung. Im Fokus stehen hierbei die Nutzung elektronischer Kommunikationsdaten innerhalb der Europäischen Union. Nachdem bereits im Jahr 2017 die Fertigstellung eines ersten Entwurfs von Seiten der EU-Kommission veröffentlicht wurde, konnten die im Mai 2020 begonnenen Trilogverhandlungen auf europäischer Ebene bislang nicht abgeschlossen werden.
Laut Hansen seien nach aktuellem Entwurf weniger Datenverarbeitungen auf Rechtsgrundlage des “berechtigten Interesses” im Bereich der Kommunikation möglich, so dass die Rechtsgrundlage der Einwilligungserklärung des entsprechenden Nutzers zunehmend in den Vordergrund trete. Eine entsprechende Einwilligung zur Datenverarbeitung solle laut Hansen als “zentrales Regelungsinstrument” fungieren. Das Gesetzgebungsverfahren rund um die E-Privacy-Verordnung könne laut Hansen als “gordischer Knoten” bezeichnet werden, da bedingt durch den zwischenzeitlichen Erlass unterschiedlicher Gesetze auf dem Gebiet der elektronischen Kommunikation der initiale Regelungsinhalt der E-Privacy-Verordnung als “überholt” angesehen werden könne.
Auch künftige Projekte seien vom Anwendungsbereich der E-Privacy-Verordnung erfasst, wie beispielsweise die von Meta(ehemals Facebook) generierte virtuelle Umgebung mit der Bezeichnung “Metaverse”, indem Datenverarbeitungen auf unterschiedlichen Ebenen sowie zielgerichteter Werbung an die entsprechenden Nutzer stattfinden. Laut Hansen würden eine Vielzahl von sensiblen Daten erfasst werden, so dass an den Schutzstandard besondere Ansprüche zu stellen seien.
“Datenschutz im elektronischen Kommunikationsbereich soll massiv gestärkt werden”
Patrick Breyer, Abgeordneter des EU-Parlaments, betonte ebenfalls die Notwendigkeit eines “besonderen Schutzniveaus” im Bereich der elektronischen Kommunikation. Der allgemeine Standard der DS-GVO solle laut Breyer gar übertroffen werden, sofern es um die künftige Anwendung und Umsetzung der E-Privacy-Verordnung ginge.
Unter Berücksichtigung des aktuellen Entwurfs der Verordnung sei es momentan fraglich, inwiefern eine standardmäßige “Do-not-track”– Implementierung sowohl aus technischer als auch aus juristischer Sicht umsetzbar sei und es momentan ebenfalls an einem finalen Beschluss auf europäischer Ebene fehle. Aus Sicht des entsprechenden Nutzers ergäben sich nach Auffassung von Breyer erhebliche Vereinfachungen in Bezug auf die Verarbeitung personenbezogener Daten auf Websites bzw. der Verarbeitung von Daten durch das Setzen von Cookies. Eine potentiell nutzerfreundliche “Do-not-track”- Einstellung könne zunehmend den Einsatz von Cookie-Bannern reduzieren, sofern browserbasiert eine entsprechende Einstellung implementiert werden könne. Die Umsetzung solle nicht ausschließlich für Websites gelten, sondern auf sämtliche Dienste im Bereich der elektronischen Kommunikation übertragbar sein.
Der allgemeine Sinn und Zweck der E-Privacy-Verordnung liege laut Breyer jedoch grundsätzlich nicht in der umfassenden Unterbindung von Werbemaßnahmen. Diese sollen künftig in legitimer Form möglich bleiben, dennoch sei in diesem Zusammenhang eine grundlegende Differenzierung dahingehend notwendig, ob es sich um eine potentielle Werbemaßnahme oder um sonstige Überwachungs- und Profilingmaßnahmen der betroffenen Person handelt, welche den Rahmen des legitimen Zwecks deutlich übersteige. Der Einsatz sogenannter “Tracking-Walls”, wonach der Zugang zu einer Website und/oder sonstigen Anwendungen ausschließlich durch die Übermittlung von Werbung sowie der Implementierung unterschiedlicher Trackingmaßnahmen gewährleistet werden könne, sei aus juristischer Sicht ebenfalls nicht haltbar. Wirtschaftliche Interessen seien jedoch nicht grundsätzlich hinter den Bestimmungen des Datenschutzrechts zurückzustellen. Diesen ließe sich laut Breyer hierdurch Rechnung tragen, alternative Zugangsmöglichkeiten auf kostenpflichtige Weise zu implementieren. Die zu Tracking- und Überwachungsmethoden gebotene Alternative sollte jedoch nicht mit einem unverhältnismäßig hohen Kostenaufwand verbunden sein, so dass sich für den Nutzer am Ende ein faires Angebot ergebe.
Auf langfristige Sicht lässt sich das Ziel der E-Privacy-Verordnung laut Breyer als eine fortlaufende Verbesserung des Schutzes elektronischer Kommunikation vor dauerhaften Überwachungsmaßnahmen des Nutzers determinieren, wonach weitere technische Maßnahmen, wie beispielsweise einer potentiellen Verschlüsselung von Daten, ein verbessertes Datenschutzniveau gewährleisten können.
“Offenlegung der involvierten Logik – Transparenz im Algorithmus”
Die Verwendung von Algorithmen lässt sich im Kontext mit der Verarbeitung von personenbezogenen Daten grundsätzlich aus unterschiedlichen Perspektiven beurteilen. Dr. Imke Sommer, Datenschutzbeauftragte für das Land Bremen, forderte in Bezug auf die Verwendung von Algorithmen eine verbesserte Transparenz in Zusammenhang mit der Verarbeitung von Daten. Hierbei müsse regelmäßig die Frage im Raum stehen, welche Logik sich hinter dem verwendeten Algorithmus verberge und welche gesetzlichen Anforderungen in diesem Zusammenhang Anwendung finden.
Art. 14 Abs. 2 lit. g) DS-GVO beinhaltet bereits eine entsprechende Informationsverpflichtung, wonach in Bezug auf spezifische Datenverarbeitungen “aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person” mitzuteilen seien. Betroffenen Personen stehe laut Sommer unterschiedliche Auskunftsansprüche auf Transparenz und Offenlegung zu, welche sich beispielsweise auf verwendete Parameter in Bezug auf den Aufbau einer Datenbank sowie auf die Anfrage spezifischer Kriterien beziehen, wonach entsprechende Vergleichswerte generiert würden. Auskünfte seien darüber hinaus so zu erteilen, dass die hier genannten Anwendungsfälle für einen Durchschnittsverbraucher ohne besondere Kenntnisse auf dem Gebiet der Informationstechnologie auf einfache Weise verständlich gemacht würden. Neben den Bestimmungen der DS-GVO enthalte § 31 BDSG darüber hinaus ebenfalls einen Hinweis auf die Verwendung eines “wissenschaftlich anerkannten mathematisch-statistischen Verfahrens” in Bezug auf Maßnahmen im Bereich des Scoring, so dass laut Sommer entsprechende gesetzliche Rahmenbedingungen für den Einsatz von Algorithmen zumindest im Ansatz vorliegen. Aus europäischer Sicht sei ebenfalls eine objektive Erheblichkeit in Bezug auf die Verwendung personenbezogener Daten für spezielle Berechnungsmethoden eines entsprechenden Algorithmus relevant. Für betroffene Personen sollte regelmäßig die Fragestellung nach der konkreten Funktionsweise der hier genannten Verfahren im Vordergrund stehen und zudem kritisch hinterfragt werden. In naher Zukunft ebenfalls zu erwarten seien entsprechende Entscheidungen von Seiten der Rechtsprechung zu der hier genannten Thematik.
“Privacy Shield reloaded – Version 2.0”
Die gesetzlichen Rahmenbedingungen eines internationalen Datentransfers konnten in der Vergangenheit zahlreiche Änderungen und Anpassungen verzeichnen. Dr. Axel Frhr. von dem Bussche der Kanzlei Taylor Wessing erläuterte in diesem Zusammenhang das aus dem Jahr 2000 stammende transatlantische Abkommen mit der Bezeichnung “Safe Harbour”, wonach die Möglichkeit bestand, personenbezogene Daten aus der Europäischen Union in ein Drittland ohne besondere Vorkehrungen zu übermitteln. In den USA. konnte ein entsprechendes Datenschutzniveau mit Hilfe datenschutzrechtlicher Rahmenbedingungen gewährleistet werden, welche sich durch eine entsprechende verpflichtende Selbstzertifizierung überprüfen ließen.
Dennoch konnte das Safe-Harbour-Verfahren einer weitgehenden EU-gerichtlichen Überprüfung aufgrund mangelnder datenschutzrechtlicher Umsetzung auf Dauer nicht standhalten und wurde im Jahr 2015 für unwirksam erklärt. Mit Verabschiedung des sogenannten “Privacy Shields” im selben Jahr hatte sich ein zu Safe-Harbour ähnliches Prinzip entwickelt, welches jedoch im Jahr 2020 auf Grundlage des Schrems II- Urteils des europäischen Gerichtshofs ebenfalls für unwirksam erklärt wurde. Die Rechtmäßigkeit für Datenübermittlungen in außereuropäische Drittländer konnte für den darauffolgenden Zeitraum durch den Abschluss der EU-Standardvertragsklauseln aufrechterhalten werden. Die EU-Standardvertragsklauseln sind im Juni 2021 in einer aktualisierten Version verabschiedet worden, deren Umsetzungsfrist für Unternehmen am 27.12.2022 endet.
In diesem Jahr konnte zwischen der EU-Kommissionspräsidentin von der Leyen und U.S.-Präsident Biden ein Abkommen in Bezug auf den transatlantischen Datenaustausch verhandelt werden. Laut Presseerklärung des weißen Hauses* sollen entsprechende Voraussetzungen geschaffen werden, wonach EU-Bürgern die Möglichkeit eröffnet werden solle, gegen potentielle Zugriffe auf personenbezogene Daten durch U.S.-Behörden Beschwerde bei einem unabhängigen Gericht für Datenschutz einzureichen. Bussche betonte in diesem Zusammenhang, dass sich die geplante Anpassung in erster Linie auf die inhaltliche Ausgestaltung des entsprechenden U.S.-Rechts beziehe und deutsche und europäische Unternehmen somit zunächst keine spezifischen Umsetzungsverpflichtungen zu erwarten hätten. Zudem sei laut Bussche eine entsprechende Anpassung der U.S.-Sicherheitsgesetze geplant. Zu erwarten bleibt in diesem Zusammenhang, ob das geplante Handelsabkommen in der aktuellen Form dauerhaft Bestand haben wird.
Weiterführende Links
Autor/Autorin: Team Compliance, QM & PM
- Neuigkeiten von x-ion
- Datenschutz & IT-Sicherheit
©x-ion GmbH
©x-ion GmbH