Zum Hauptinhalt springen
Blogbeitrag

Governance von Datenschutz – Interview mit Murat Karaboga

Das Interview erschien erstmals im November 2021 in der Studie des Digital Autonomy Hubs „Mensch und Technik in Interaktion. Wie gelingt individuelle digitale Souveränität?“. Die vollständige Publikation ist hier abrufbar.


Knapp die Hälfte der Befragten hält in unserer repräsentativen Umfrage die aktuell geltenden Gesetze zum Datenschutz für nicht ausreichend. Trifft die DSGVO Ihrer Meinung nach genügend Vorschriften für den Datenschutz?

Murat Karaboga: Die DSGVO hat ein paar Innovationen hervorgebracht, bestehende Rechte teilweise spezifiziert und sie somit an die Erfordernisse moderner Datenverarbeitungen angepasst. Sie hat aber auch unzureichend zur Überwindung des europäischen Datenschutz-Flickenteppichs beigetragen. Dies liegt daran, dass sich die Mehrzahl der EU-Mitgliedstaaten angesichts des Lobbyismus ihrer nationalen Volkswirtschaften für größere nationale Spielräume eingesetzt hat.

Grundsätzlich halte ich die DSGVO für ein aus Datenschutzperspektive sinnvolles Gesetz, das aber vielmehr einen ersten wichtigen Schritt darstellt, auf den weitere folgen müssen. Schließlich regelt die Verordnung vor allem das Grundsätzliche in Bezug auf den Datenschutz. Spannend wird es aber erst dann, wenn einzelne riskante Bereiche, in denen Daten verarbeitet werden, näher in den Fokus der Betrachtung rücken, etwa Social-Media-Plattformen oder KI-Anwendungen. Hier sind Spezialgesetze erforderlich, die auf den Grundprinzipien der DSGVO beruhen und diese in die Praxis überführen.

In unserer Umfrage haben 80 % der Befragten den Eindruck, dass Anbieter von digitalen Geräten und Anwendungen nur durch strengere Gesetze zum datenschutzfreundlichen Handeln gebracht werden können. Was sind denn aktuelle politische Vorstöße für einen besseren Datenschutz?

Diesen Eindruck kann ich nur unterstreichen, denn meist bedeuten mehr Daten auch mehr Einnahmen für die Anbieter. Der Wettbewerbsdruck erschwert ethische Datenverarbeitungen, denn wer nicht mitzieht, droht wirtschaftlich ins Hintertreffen zu geraten. Öffentlicher Aufschrei ist relevant, um bestimmte fragwürdige Verarbeitungspraktiken zu kritisieren, kann aber immer nur punktuell geschehen. Nur regulatorische Vorschriften, die auch durchgesetzt werden, schaffen eine Lösung in der Breite.

Aktuell gibt es drei politische Vorstöße: zum einen die stagnierende Überarbeitung der ePrivacy-RL zur ePrivacy-VO. Außerdem die EU-KI-Regulierung, die gewissermaßen als Ausfluss aus der DSGVO für den KI-Bereich gelesen werden kann, aber auch darüber hinausgeht. Schließlich kann auch der Regulierungsvorschlag zum EU-Digital Services Act (im weiteren Sinne auch der EU-Digital Markets Act) als Ausfluss aus der DSGVO für den Bereich von Social-Media-Plattformen gelesen werden.

In unserer Studie stimmten 87 % der Befragten der Aussage zu, dass Geräte und Apps stets die datenschutzfreundlichsten Einstellungen als Voreinstellungen haben sollten. Halten Sie den Ansatz Privacy by Default (PbD) für durchsetzbar?

Die Schwierigkeit bei dem Ansatz des PbD ist die Definition des Default-Status. Als der Ansatz mal entwickelt wurde, war ein datensparsamer Default-Standard Ausgangspunkt des Konzepts. Basierend auf den datensparsamsten Einstellungen eines Dienstes sollten Nutzer·innen selbständig weitere Datennutzungen freigeben können, ohne dass sie dazu gezwungen oder ‚genudget‘ werden. Die Erstellung eines Profils bei einem Social-Media-Diensteanbieter sollte beispielsweise nicht dazu führen, dass die Profil-Einstellungen von vornherein auf öffentlich gesetzt sind. Dieses Verständnis wurde so auch von der Datenschutz-Forschungscommunity geteilt und weiterentwickelt.

Wie hat sich die Definition von PbD dann verändert?

Während der Verhandlungen zur DSGVO demonstrierten datenverarbeitende Unternehmen stark gegen ein derartiges PbD-Verständnis. Das zentrale Argument lautete, dass Betroffene im Rahmen der Nutzung eines Dienstes selbst festlegen sollten, was Default bedeutet. Der Default-Standard sollte also an den Nutzungszweck gekoppelt werden, der wiederum von den datenverarbeitenden Stellen festgelegt wird. Dieses Verständnis hat dann auch Eingang in die DSGVO gefunden. Als Default gilt, wozu Betroffene eingewilligt haben bzw. was der rechtmäßige Zweck der Verarbeitung ist. Somit können selbst sehr weitgehende Datenverarbeitungen als konform mit PbD definiert werden.

Nichtsdestotrotz haben sich viele Diensteanbieter im Laufe der Jahre angesichts der öffentlichen Proteste gegen weitgehende Datenverarbeitungen zunehmend datenschutzfreundlicher aufgestellt. Die Einrichtung eines Social-Media-Profils z. B. führt bei vielen Diensten inzwischen nicht mehr zu einer automatischen Veröffentlichung aller Inhalte. Dies ist sehr zu begrüßen. Diese Handlungen sind jedoch meist „good will“ und keine Verpflichtung. Hier wäre eine stärkere gesetzliche Definition des Default-Standards sehr zu begrüßen.

Welche politischen und rechtlichen Möglichkeiten wären außerdem denkbar?

Die Technologie- und Dienste-Entwicklung bleibt nicht stehen. Neue Angebote und die Ausstattung von zunehmend vielen Lebensbereichen des Menschen mit digitaler Sensorik, zum Beispiel durch Smart Wearables und Smart-Home-Geräte, schaffen immer wieder neue Herausforderungen für den Datenschutz. Da müssen EU- und nationale Gesetzgeber mithalten können. Wichtig wäre es, neben den oben genannten Gesetzesinitiativen stets auch weitere risikoadäquate Regulierungen voranzutreiben, wann immer dies erforderlich ist.

Der Europäische Datenschutzausschuss veröffentlicht in regelmäßigen Abständen Empfehlungen zur Operationalisierung der vergleichsweise abstrakten DSGVO-Vorgaben im Hinblick auf verschiedene Daten-Verarbeitungskontexte. Dies könnte ein guter Anknüpfungspunkt sein. Aber auch die Zivilgesellschaft und Wissenschaftscommunity entwickeln laufend sinnvolle Vorschläge, die stärker beachtet werden sollten.


Murat Karaboga ist Politikwissenschaftler und arbeitet seit 2014 am Fraunhofer-Institut für System- und Innovationsforschung ISI in Karlsruhe. In seiner Forschung untersucht er, wie neue Technologien ihren Weg in die Gesellschaft finden können, ohne negative Nebeneffekte mit sich zu bringen. In seiner kürzlich abgeschlossenen Promotion untersuchte er die Entstehung der DSGVO unter Berücksichtigung der Datenschutzwahrnehmungen der beteiligten Akteure.

Das Digital Autonomy Hub wird vom Bundesministerium für Bildung und Forschung im Rahmen des Forschungsprogramms „Miteinander durch Innovation“ gefördert und von Gesellschaft für Informatik e.V. und AlgorithmWatch umgesetzt. Mehr Informationen zum Hub finden Sie hier.

Murat Karaboga, Fraunhofer Institut für System- und Innovationsforschung ISI / Forum Privatheit © Franz Warmhof Fraunhofer ISI