Aus Sicht der Stiftung Datenschutz 05/22: Mehr Unterhaltung, bitte!
Datenschutz und Unterhaltung passen aus Sicht eines überwiegenden Teils der Bevölkerung sicher nicht sonderlich gut zusammen. Für die einen verhindert der Datenschutz zu viel, für die anderen schützt er zu wenig, so dass im Ganzen recht viele auf ihn schimpfen.
Unter der aktuellen Überschrift geht es denn auch um etwas anderes, nämlich um den interfraktionellen Austausch. Mag dieses Adjektiv vielen eher aus dem Parlamentarismus bekannt sein, so passt es meines Erachtens auch auf das, was wir oft in der Datenschutzdebatte erleben, denn häufig zerfällt die Fachgemeinde in zwei Fraktionen: Auf der einen Seite die DSGVO-Kritiker, auf der anderen Seite die DSGVO-Apologeten. Einige aus dem ersten Lager hadern noch immer mit dem grundsätzlichen Ansatz des EU-Datenschutzrechts und träumen von einer grundstürzenden Generalrevision – weg vom umfassenden Anwendungsbereich und vom Verbotsprinzip. Einige aus dem zweiten Lager sehen das gänzlich anders. Sie wähnen die DSGVO als nahezu perfektes Gesetz, welches keiner Änderung bedarf und dessen einziger Fehler es ist, nicht ausreichend durchgesetzt zu werden.
Lesen Sie hier den Beitrag mit allen Fußnoten im pdf.
Mehr Austausch wagen
Gegenseitig überzeugen werden sich viele aus diesen beiden Fraktionen wohl nicht so bald, dennoch sollten sie sich mehr miteinander unterhalten. Wenn sie dies öffentlich machen, sich gar zur Erstellung eines Textes zusammenfinden, so irritiert dies manche. Dies finde ich falsch.
Als letztens unter anderem der Europaabgeordnete Axel Voss und der baden-württembergische Landesbeauftragte Stefan Brink gemeinsam einen eher kritischen Text zur Lage des Datenschutzrechts veröffentlichten, verstanden viele dieses gleichsam „lagerübergreifende“ Zusammengehen nicht: Wie könne denn der Leiter einer Aufsichtsbehörde, welcher doch die DSGVO nicht nur durchzusetzen, sondern aus ihrer Sicht auch entschieden zu verteidigen habe, sich mit jemandem zusammentun, der wiederholt kundgetan hat, dass er sich eine andere Verordnung gewünscht hätte?
Mehr Realismus wagen
Im DataAgenda-Podcast der GDD nahm Stefan Brink dann Stellung zu dem Zeitungsartikel, in dem auch er sich der DSGVO kritisch näherte – und damit sicherlich Einige aus den Aufsichtsbehörden verschreckte. Denn die waren es bisher gewohnt, dass ihre Zunft – genau wie die EU-Kommission – der Verordnung stets positiv gegenübersteht und höchstens eine bessere Durchsetzung oder noch weitere Regulierung beim Verbot von Profiling fordert.
Brink stellte zwar klar, dass die internationale Erfolgsgeschichte der DSGVO aus seiner Sicht unbestreitbar sei; gleichzeitig erinnerte er daran, dass das Gesetz ausweislich seiner Überschrift und seines ersten Satzes Vorschriften enthält „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten“. Er sprach sich dafür aus, den zweiten Satzteil nicht zu vernachlässigen: Nicht nur als Datenschutzverordnung müsse das Gesetz verstanden werden, sondern auch als Kern einer Wirtschaftsverfassung des Datenbinnenmarktes.
Diese Einordnung ist auch aus meiner Sicht richtig, weil realitätszentriert. Aus aufsichtsbehördlicher Sicht ist sie gleichwohl ein Novum. Von dort ist man ein rein defensives und allein risikobezogenes Klangbild gewohnt. Und so sehr manche Vertreterinnen und Vertreter der Datenschutzaufsicht – vor allem nördlich des Mains, erst recht nördlich der Elbe – hiermit fremdeln, so sehr werden alle Akteure ihren Blick zu weiten haben, was den Verkehr und den Handel mit Daten anbelangt. Dies ist nicht nur deshalb angeraten, weil der Handel mit personenbezogenen Daten längst stattfindet, sondern auch mit Blick auf die kommende Datenzugangsverordnung der EU, den sogenannten Data Act.
Das kommende Datenrecht soll die DSGVO flankieren und begleiten. Aus beiden Rechtsakten wird idealerweise ein funktionierendes Zusammenspiel entstehen, was die umfassende Regulierung von Datennutzung und Datenaustausch betrifft. Auf dem Weg dorthin sind noch diverse Untiefen zu umschiffen. Falls es nicht gelingen sollte, die verschiedenen datenbezogenen Normen geschickt zu verzahnen, dann wird das zum bestehenden Datenschutzrecht hinzukommende neue Datenrecht in der Praxis nicht angemessen umsetzbar sein und die europäische Datenwirtschaft und sowie die zu schützenden und mit Datenzugangsrechten zu ermächtigenden Datensubjekte enttäuschen. Dies wäre angesichts des schon fast weltweit anerkannten Standards, den die EU mit der DSGVO geschaffen hat, betrüblich. Gefragt ist daher eine „Datenrealpolitik“. Aus der Wissenschaft sind bereits einzelne Forderungen danach zu hören.
Weniger Konfrontation wagen
Schade wäre es zudem, wenn die Polarisierung im Datenschutz anhielte. Schön wäre es, wenn sich Aufsicht und Wirtschaft mehr miteinander unterhielten. Damit dies nicht nur in wenigen Bundesländern, sondern auch länderübergreifend geschehen könnte, müssten sich manche Aufsichtsbehörden allerdings etwas bewegen. Im Süden der Republik gibt es bereits gute Ansätze. So veranstaltet der Berufsverband der Datenschutzbeauftragten bereits seit Beginn der DSGVO-Anwendung zusammen mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg und dem Bayerischen Landesamt für Datenschutzaufsicht eine Konferenz mit dem Titel „Wirtschaft trifft Aufsicht“. Andere Aufsichtsbehörden, besonders im Norden der Republik, pflegen noch eine distanzierte Haltung. Unvergessen ist mir der vor Jahren gehörte Ausspruch einer Aufsichtsbehördenleiterin eines Stadtstaates: „Die Unternehmen sind die, die das Recht brechen, und wir sind die, die dann den Betroffenen helfen.“
Eine feindselige Sichtweise wird nicht hilfreich sein für die notwendige lösungsorientierte Annäherung von Regulierung und Praxis – wenn etwa ein Behördenvertreter beharrlich von einem „Angreifermodell“ im Datenschutz ausgeht: „Jede Organisation, gerade und auch die rechtlich zur Verarbeitung befugte, ist ein Angreifer!“
Die Stiftung Datenschutz versucht übrigens dazu beizutragen, dass sich beide Seiten öfter unterhalten und danach bestenfalls auch besser verstehen. In nicht-öffentlichen Tischrunden bringt sie Datenschutzbeauftragte großer Unternehmen und Vertreterinnen und Vertreter von Aufsichtsbehörden zusammen, um Praxisprobleme offen zu diskutieren. Wenn Sie als Teil der Zielgruppe sich auch einmal in die in loser Folge stattfindenden „Berliner Gespräche zur DSGVO“ einbringen möchten, um an gemeinsamem Verständnis mitzuwirken, wenden Sie sich gerne an den Kolumnisten.