AUS SICHT DER STIFTUNG DATENSCHUTZ – Wie die Regulierung im Datenrecht Schritt halten kann

Die digitale Revolution nimmt - ebenso wie zuvor die industrielle zuvor - Einfluss auf gesellschaftliche Strukturen und setzt neue Rahmenbedingungen für die Funktionsweise einzelner gesellschaftlicher Teilsysteme. Wenn man daher davon spricht, dass die Digitalisierung fast alle gesellschaftlichen Bereiche verändere, lohnt sich ein genauer Blick auf die Veränderungen im einzelnen Teilsystem, auf die daraus entstehenden Wechselwirkungen und auf die Folgen für die Gewährleistung der Grundfreiheiten. Da für letzteres das Rechtssystem zuständig ist, wird die Frage dringlicher, ob die herkömmlichen Rechtsinstrumente und Gesetzgebungsprozesse für die Netzregulierung noch adäquat sind.

 

Im Forschungs- und Entwicklungsbereich bewirken die ständig wachsenden Möglichkeiten der Datenauswertung und Datenanalyse eine beschleunigte Entwicklung innovativer Verfahren und eine Verkürzung der Innovationszyklen. Diese Entwicklungen werden von Unternehmen antizipiert und in Geschäftsmodelle umgesetzt, wodurch unter anderem die herkömmlichen ökonomischen Ansätze sukzessive verändert werden. So wird beispielsweisedie Preisbildung durch immer präzisere Tracking-Verfahren und Datenanalysen zunehmend personalisiert und das klassische Angebot/Nachfrage-Modell partiell ersetzt. Nicht allein die Nachfrage nach einer bestimmten Zugverbindung bestimmt mittlerweile den Bahnticket-Preis, sondern zumindest auch das Surfverhalten und Anfragehäufigkeit des einzelnen Nutzers.

Unterschiedliche Tempi

Genauso wie sich Marktmechanismendurch den Digitalisierungsprozess ändern, so wird auch das Rechtssystem zunehmend herausgefordert. Nicht nur die Frage nachdem Schutz von Grundfreiheiten wird dabei immer dringlicher. Es zeichnet sich zugleich immer deutlicher eine Grundsatzfrage ab: Inwiefern bewirkt digitaler Wandel auch einen Wandel der herkömmlichen Regulierungs- und Rechtdurchsetzungsverfahren? Zu bedenken ist, dass der Gesetzgebungsprozess zur Europäischen Datenschutz-Grundverordnung ab 2012 vier Jahre dauerte und die Zeit bis zu deren Anwendungweitere zwei Jahre - ein Zeitraum des Generationswechsels von Web2.0 zu Web 4.0. Während dabei allgemeine Grundsätze wie "Datenschutz durch Technik"(Art. 25 DSGVO) noch recht problemlos in Gesetzesform gegossen werden können,wird es immer dann schwierig, je konkreter die Regulierung zu werden sucht.

 

Datenübertragbarkeit als Exempel

Ein Beispiel dafür bietet Art. 20 DSGVO - das Recht auf Datenübertragbarkeit: So fordert die Regelung unter anderem, dass der Erhalt der Daten in einem "strukturierten,gängigen und maschinenlesbaren Format" (Art. 20 Abs. 1 DSGVO) erfolgen soll, lässt zugleich allerdings offen, was genau unter einem solchen Format zu verstehen sei, welchen Anforderungen es genügen muss und wie die Interoperabilität zwischen unterschiedlichen "gängigen Formaten" hergestellt werden könnte. Die einzelnen Normadressaten stehen damit vor der Herausforderung, den Anforderungen der Regelung zu genügen, ohne dafür einen konkreten Leitfaden, allgemeine Standards oder gar etablierte Best-Practice-Beispiele zu haben.

 

Konkretheit vs. Offenheit

Pars pro toto offenbart sich hierbei ein Grunddilemma der Regulierung des Digitalen:Die Regulierung hat einerseits den Anspruch, die Rahmenbedingungen legale rDatenverarbeitung möglichst konkret zu gestalten. Eine solche Regulierung "ex ante" muss jedoch angesichts der neu zuentwickelnden Technologien und möglicher innovativer Lösungsansätze auf einem gewissen Allgemeinheitsgrad bleiben. Einerseits ist die Offenheit der Normsetzunggegenüber einem sich ständig im Wandel befindenden Innovationsprozess durchaus rational. Denn erstens wird es für die herkömmlichen Regulierungsverfahren immer schwieriger, mit den extrem kurzen Innovationszyklen Schritt zu halten. Und zweitens öffnet sie den Raum für diejenigen innovativen Kräfte des privaten Sektors, welche die praktischen Voraussetzungenfür die legale Verarbeitung von Datenmittels der Entwicklung von IT-Anwendungen (z. B. Privacy Enhancing Technology)schaffen.

Andererseits müssen allerdings neue Wege gefunden werden, wie bei all der Norm-Offenheit in Zukunft eine Konkretisierung rechtlicher Anforderungen und ihre praktische Implementierung erfolgen soll. Ein Beispiel für einen möglichen Mittelweg findet sich in der US-amerikanischen Auseinandersetzung mit der Datenportabilität.So setzt sich die 2010 von der Obama-Administration gestartete MyData-Initiative des Weißen Hauses für die Verbesserung des Zugangs der Nutzer zu ihren personenbezogenen Daten ein. Die Initiative stellt einen kollaborativen Ansatz dar, in dem in Zusammenarbeit mit öffentlichen und privaten Organisationen Ansätze für die Datenübertragbarkeit entwickelt werden. In Form von öffentlich-privaten Partnerschaften wurde der Aufbau von unabhängigen "trust communities" innerhalb bestimmter Branchen vorangetrieben, welche die Standards ausarbeiten und Datenportabilität verwalten. So ist beispielsweise DirectTrust.org, Inc. eine gemeinnützige Organisation, die vom Office of National Coordinator for Health Care Reform (ONC)als eine "trust community" gegründet worden ist. Als unabhängige gemeinnützige Vereinigung von 124 Gesundheits-, IT- und Gesundheitsdienstleistern, unterstützt sie einen sicheren, interoperablen Austausch von Gesundheitsinformationenund arbeitete Vorschläge zur technischen Standardisierung im Gesundheitsbereichheraus. Am Beispiel der Umsetzung der Datenübertragbarkeit im US-Gesundheitssystem zeigt sich, dass die neuen Formen von öffentlich-privaten Partnerschaften zwischen Technologieunternehmen, Experten, Verbraucherschutzorganisationen und Politikvertretern durchaus dazu geeignet sind, rechtliche Anforderungen innovationsfördernd zu konkretisieren und praktisch umzusetzen.

PPP neu gedacht

Auch in Europa gibt es dazu mittlerweile positive Beispiele. So wurde Ende 2016 vom französischen Think-Tank Fondation Internet Nouvelle Génération (FING), acht führenden Unternehmen und unter der Mitwirkung der französischen Datenschutzbehörde CNIL das open source-Projekt "Rainbow Button" initiiert, um einen gemeinsamen Rahmen für die Umsetzung des Rechts auf Datenübertragbarkeit zu erarbeiten. Die Ziele des Projekts sind es, durch die Erarbeitung von gemeinsamen Spezifikationen, Richtlinien und Design die Komplexität der Umsetzung der Datenportabilität zu reduzieren, die Handhabbarkeit für die Nutzer zu ermöglichen, Missbrauch zu verhindern sowie einen Rahmen für die Entwicklung von innovativen Services zu schaffen. Die oben genannten Beispiele zur Datenportabilität zeigen, dass die Public Private Partnership (PPP) ein durchaus geeignetes Konzept zur Netzregulierung sein kann. PPP wird in Deutschland allerdings seit langem oft kontrovers diskutiert. Als Hauptkritikpunkt wird vorgetragen, dass die Übertragung von hoheitlichen Aufgaben auf die Privaten zu Zielkonflikten führen könne. Die neuen Formen der öffentlich privaten Kooperationen bieten jedoch gerade im Bereich der Digitalisierung eine Möglichkeit, auf die kurzen Innovationsphasen flexibel zu reagieren und positive Synergien für die Wahrung von Grundfreiheiten zu schaffen. Insbesondere wenn solche Partnerschaften von unabhängigen, gemeinnützigen "trust communities" verwaltetwerden, kann man eine notwendige Distanz erreichen, um den Schutzpflichtendes Staates gerecht zu werden und gleichzeitig Innovationen zu fördern. Sie könnten eine Antwort darauf sein, wie die herkömmlichen Regulierungs- und Rechtdurchsetzungsverfahren angesichts spezifischer Herausforderungen der Digitalisierungim Sinne der sozialen Marktwirtschaft zukunftsoffen gestaltet werden.

Der Beitrag ist im Fachmagazin PinG erschienen.