Zum Hauptinhalt springen
Blogbeitrag

Recht auf Datenschutz

Das Recht auf Datenschutz ist in der Praxis umsetzbar. Es existieren bereits Ansätze zu Verbesserungen der Kontrollrechte und des Einwilligungsmanagements.

Kontrollrechte

Jede Person hat ein Recht auf Schutz der sie betreffenden personenbezogenen Daten – dies klingt selbstverständlich und ist auf europäischer Ebene in der Charta der Grundrechte der Europäischen Union verankert. Regelungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, z.B.  Kontrollrechte der betroffenen Personen, wie etwa Informations- und Auskunftsrechte, enthält die Datenschutzgrundverordnung. Aber wie steht es mit der Umsetzung in der Praxis? Um dies näher zu untersuchen, hat die Stiftung Datenschutz bereits im Jahre 2016 unterschiedliche Projekte verglichen sowie die technischen, rechtlichen und ökonomischen Herausforderungen von „Personal Information Management Systeme“ (PIMS) geprüft und darauf basierend eine Studie mit dem Titel „Neue Wege bei der Einwilligung“ erstellt. Die untersuchten Konzepte beinhalteten unterschiedliche Herangehensweisen, um die Kontrollrechte der Nutzer·innen zu verbessern: Beispielhaft kann auf automatisiert generierte Auskunftsersuchen oder auf einen Dienst verwiesen werden, der eine Linksammlung zu den Privatsphäreeinstellungen unterschiedlicher Anbieter bereitstellte. Ein weiteres Projekt bot Unterstützung bei der Deinstallation von Apps an, die auf persönliche Daten zugreifen, während ein anderer Dienst die lokale Verwaltung persönlicher Daten auf dem eigenen Endgerät ermöglichte, die von unterschiedlichen Social Media Anbietern verarbeitet werden. Der Fokus dieser Projekte liegt auf dem Selbstdatenschutz, auf Verbesserung der Kontrollrechte der betroffenen Personen, unterstützt durch technische Lösungen. In diesem Zusammenhang ist darauf hinzuweisen, dass sich auch die Datenethikkommission in ihrem Abschlussbericht im Jahre 2019 für die Entwicklung innovativer Einwilligungsmodelle, wie z.B. PIMS, im Forschungskontext ausgesprochen hat.

Einwilligung als praxistaugliche Rechtsgrundlage der Datenverarbeitung?

In dem rechtlichen Gutachten zur Studie der Stiftung Datenschutz wurde die Frage behandelt, inwieweit eine Einwilligung automatisiert durch einen (digitalen) Assistenten erteilt werden könnte. Dies ist problematisch, da es aus rechtlicher Sicht spezifizierter bzw. eindeutiger Zwecke bedarf, die im Zeitpunkt der Erklärung transparent sein müssen. Eine Einwilligung muss informiert und freiwillig sein. Dennoch hat das Forschungsprojekt "Innovatives Datenschutz-Einwilligungsmanagement", durchgeführt vom Institut für Verbraucherpolitik ConPolicy und gefördert vom Bundesministerium der Justiz und für Verbraucherschutz, nun gezeigt, dass es technische sowie gestalterische Möglichkeiten gibt, datenschutzfreundliche Voreinstellungen entsprechend der Vorgaben der Datenschutzgrundverordnung (DSGVO) rechtskonform festzulegen. Die Studie hat zum einen ergeben, dass Verbraucher·innen differenzierte Einwilligungen und datensparsame Voreinstellungen überwiegend klar befürworten. Zum anderen konnte im Rahmen des gemeinsam mit Miele und der Deutschen Telekom durchgeführten Projekts ebenso eine praxistaugliche Lösung entwickelt werden. Alles in allem wurde damit deutlich, dass die Kritik, welche die Praxistauglichkeit der Einwilligung infrage stellt, oftmals nicht gerechtfertigt ist. Betont wurde außerdem, dass Unternehmen durch die Bereitstellung von Wahlmöglichkeiten hinsichtlich der Einschätzung ihrer Vertrauenswürdigkeit sogar profitieren können.

Cookies und Privatsphäre als Standardeinstellung

Im ersten Entwurf zur ePrivacy-Verordnung aus dem Jahre 2017 wurden Webbrowser als Torwächter bezeichnet und es wurden Hersteller in die Pflicht genommen, datenschutzfreundliche Webbrowser zu programmieren. Privatsphäre sollte zur Standardeinstellung werden. Diese Regelung wurde im Laufe der Verhandlungen zur ePrivacy-Verordnung in den Entwürfen der unterschiedlichen Ratspräsidentschaften gestrichen und unter portugiesischer Ratspräsidentschaft nun aktuell der Vorschlag unterbreitet, dass die Selbstbestimmung der Nutzer·innen vorgehen und Vorrang vor allgemeinen Softwareeinstellungen haben muss. Zu bedenken ist allerdings in diesem Zusammenhang, dass Selbstbestimmung nicht den datenschutzfreundlichen Voreinstellungen gegenübergestellt bzw. nicht in Widerspruch gesetzt werden sollte. Datenschutzfreundliche Voreinstellungen sollen gerade das Recht auf informationelle Selbstbestimmung, das Recht auf Schutz der personenbezogenen Daten sicherstellen, was dem Grundsatz "Datenschutz durch Technikgestaltung" entspricht. Dies muss auch im Rahmen des Entwurfs zum Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) berücksichtigt werden. So wurde die Frage aufgeworfen, ob ein Verbot von Browser-Voreinstellungen verankert werden sollte, die den Zugriff auf das Endgerät trotz entsprechender Einwilligung der Nutzer·innen verweigern. Hier stellt sich allerdings die technische Frage, wie ein Browser die Wirksamkeit einer Einwilligung automatisiert prüfen kann.

Fazit

Es gibt in der Praxis unterschiedliche Ansätze, um den Datenschutz für Nutzer·innen zu verbessern – sowohl mit Blick auf den Selbstdatenschutz als auch durch Konzepte, die es Unternehmen ermöglichen, Einwilligungen datenschutzkonform und durch verständliche Handhabung zu managen. Dieser Bereich sollte auch zukünftig  intensiver erforscht werden. Der Grundsatz „Datenschutz durch Technikgestaltung“ spielt hierbei eine wichtige Rolle.

 

Dieser Beitrag wurde von Prof. Dr. Anne Riechert verfasst und erschien im kürzlich veröffentlichten Arbeitspapier des Digital Autonomy Hubs „(In-)transparente Datenschutzerklärungen und digitale Mündigkeit“. Prof. Dr. Anne Riechert ist seit 2016 wissenschaftliche Leiterin der Stiftung Datenschutz und Professorin für Datenschutzrecht und Recht in der Informationsverarbeitung an der Frankfurt University of Applied Sciences. Sie ist außerdem Vorstandsmitglied des Netzwerks AI Frankfurt Rhein-Main e.V. und stellvertretende Leiterin des Zentrums verantwortungsbewusste Digitalisierung (zevedi.de). Im vergangenen Jahr wurde Frau Riechert in den interdisziplinären „Beirat Beschäftigtendatenschutz“ des Bundesministeriums für Arbeit und Soziales (BMAS) berufen.