AUS SICHT DER STIFTUNG DATENSCHUTZ – Wir brauchen mehr Brücken!
„Die reden zu wenig miteinander“ – das ist eine Einschätzung, die ich häufig höre, wenn es um das Verhältnis zwischen den verschiedenen Interessengruppen im Bereich des Datenschutzes geht. Und nicht selten scheint es wahrlich so, als wüsste die Politik wenig Genaues zu aktuellen Erkenntnissen der Forschung, als wüssten die Aufsichtsbehörden nicht genug über die Sorgen und Wünsche aus der Unternehmenspraxis und als seien generell Techniker und Juristen zu weit voneinander entfernt. Von den Verbraucherinnen und Verbrauchern ganz zu schweigen: Sind Kinder und Jugendliche wirklich so achtlos, wenn sie die digitalen Dienste im web nutzen? Sind die Nutzer wirklich entschlossen, ihre Privatsphäre um jeden Preis zu verteidigen? Sind viele Menschen durchaus bereit, in einen Deal namens „Daten gegen Rabatt“ einzusteigen (Stichwort: Telematik- und Fitness-Tarife)? Wir versuchen, durch unsere Arbeit zumindest ein wenig dazu beizutragen, dass all diese Akteure mehr miteinander als übereinander reden. Dass es ohne einen gewissen Konsens auch im Datenschutz nicht geht, zeigte sich uns in diesem Herbst auf mehreren Ebenen.
Finden Sie hier den Artikel aus PING als PDF.
Europäische Brücken
Mit Blick auf die europäische Ebene haben wir im November eine sich bietende Chance ergriffen, die Vertreter zweier Mitgliedstaaten zusammenzubringen, die jeweils einen besonderen Bezug zum Datenschutz haben: Deutschland und Irland. Auf keinen anderen Standort kaprizieren sich wohl mehr Klagen deutscher Datenschützer, wenn es um das herbeigesehnte level playing field geht, als auf die nordwesteuropäische Insel. Und nirgendwo ist man so von seiner Datenschutzkompetenz überzeugt wie in Deutschland, als dem Geburtsland der Datenschutzgesetzgebung.
Und so war es uns sehr wichtig, den in Irland für Datenschutz zuständigen Staatsminister mit deutschen Politikern und Expertinnen und Experten aus Aufsicht, Wissenschaft und Wirtschaft unter dem Motto „Building Bridges“ an einen Tisch zu bringen. Schnell wurde dabei klar, dass in den großen Linien mehr Einendes als Trennendes herrscht. Mit Blick auf Verständlichkeit, Anwendbarkeit und Berechenbarkeit plädierten beide Seiten entschieden für eine größtmögliche Einheitlichkeit bei der Implementierung der Grundverordnung – und für eine geringstmögliche Nutzung der Öffnungsklauseln. Niemandem sei gelegen an einer Zersplitterung in der Umsetzung und Anwendung der neuen Normen.
Dies gelte sowohl für die Unternehmen in der EU als auch für die Bürgerinnen und Bürger, die zukünftig einfacher zu ihrem Recht kommen sollten. Ein gutes Beispiel gibt hier die Möglichkeit für die Mitgliedstaaten zur Festlegung einer Altersgrenze für die Einwilligung Minderjähriger. Unsere Runde war sich einig, dass es niemandem nütze, der Rechtsklarheit jedoch massiv schade, falls die EU-Mitgliedstaaten uneinheitliche Altersgrenzen zwischen 13 und 16 Jahren festlegen. Der Blick wurde in der Runde nicht nur auf die Rechtsdurchsetzung im Tagesgeschäft einer Aufsichtspraxis gerichtet. Der Appell ging vor allem dahin, eine EU-interne Standortkonkurrenz zu vermeiden.
Stattdessen solle der Wettbewerb außen gesucht werden. Nur mit innereuropäischer Zusammenarbeit und gemeinsamemWillen zu einer einheitlichen Rechtspraxis könne der IT-Standort EU attraktiv bleiben. Man müsse anerkennen, so der nüchterne und doch realistische Hinweis, dass Wirtschaft auch außerhalb der EU stattfinden könne.
Ganz am Ende der Diskussion wurde noch eine Frage aufgeworfen, die zwar das deutsch-irische Datenschutzverhältnis nur indirekt betrifft, die Frage eines konsistenten Anwendens des kommenden europäischen Rechts aber umso mehr: Warum wir denn in Deutschland für den nicht-öffentlichen Bereich nicht eine, sondern 16 Aufsichtsbehörden haben müssten. Diese Frage wurde übrigens nicht von einem irischen Gesprächsteilnehmer in den Raum geworfen, sondern von einem deutschen.
Transatlantische Brücken
Schlägt man den Bogen noch weiter, wird die Notwendigkeit, mehr miteinander zu reden, nur noch deutlicher. Zusammen mit dem Europäischen Datenschutzbeauftragten war ich von der Business Software Alliance eingeladen, US-amerikanischen Software-Herstellern die europäische und speziell deutsche Sicht auf die Datenschutz-Grundverordnung zu erläutern. Die kompromisslose Haltung vieler Datenschützer auf diesem unserem Kontinent stößt auf dem anderen Kontinent durchaus auf gewisses Unverständnis. Vor allem möchten die Vertreter der dortigen IT-Wirtschaft nicht für die Überwachungsprogramme ihrer Regierung verantwortlich gemacht werden. Nicht nur die Silicon-Valley-Unternehmen haben mittlerweile klar erkannt, dass es ihnen schadet, wenn der Staat seine Gesetze zur nationalen Sicherheit in quasi-hegemonialer Weise interpretiert und internationales Abhören zur Regel macht. Sie haben auch erkannt, dass Kundenvertrauen beim Thema Datenumgang nicht endlos belastbar ist. Und jenes nun zurückzugewinnen, ist alles andere als einfach.
Wenn es um die Ermöglichung transatlantischen Datenaustausches geht, so wollen die amerikanischen Gesprächspartner nicht daran glauben, dass ein Europäischer Gerichtshof bald alle dafür genutzten Instrumente wie den Privacy Shield oder auch die Standardvertragsklauseln fallenlassen könnte. Was manchem Hardliner in der EU nur konsequent erschiene, käme den Pragmatikern in Kalifornien wirtschaftlich geradezu verantwortungslos vor. Was die kommende Datenschutz-Grundverordnung betrifft, so war dennoch eine gewisse Ehrfurcht zu spüren. Die Fachleute in den USA sind sich durchaus bewusst, dass da in Ferne ein Gesetz zu Stande gekommen ist, dass sie nicht werden ignorieren können. Giovanni Buttarelli fasste es charmant zusammen: „The GDPR is making you an offer, you cannot refuse …“. Im Ganzen stimmte man mir jedenfalls zu, als ich mehr Brücken und eine „culture of compromise“ auf beiden Seiten des Atlantiks bewarb. Denn keine Seite wird der jeweils anderen ihre Vorstellungen zu Datenschutz oder privacy und deren bester Form der Durchsetzung vollständig aufzwingen können.
Der Artikel ist im Fachmagazin PING erschienen.