Datenschutz-Berater 02/21: "Die Datentreuhand, das (noch) unbekannte Wesen"
Was soll eine Datentreuhand leisten?
Definitionen oder allgemeingültige Beschreibungen zu Konstrukten zu finden, die es noch gar nicht gibt, ist naturgemäß nicht einfach. Noch schwieriger wird es, wenn die konkrete Funktion einer neuen Einrichtung noch nicht feststeht. Vor dem Versuch einer sinnvollen Einordnung sollte daher die Frage stehen, wohin es gehen soll und welches Problem zu lösen ist. In ihrer nun (endlich) auf den Weg gebrachten Datenstrategie definiert die Bundesregierung die zu schaffende Struktur von Datentreuhändern daher zu Recht erst einmal rein funktional: „Eine Datentreuhandstelle ist mit der Aufgabe betraut, einen standardisierten Zugang zu Daten für zugelassene Stellen zu entwickeln und umzusetzen. Zudem besitzt sie eine Beratungsfunktion gegenüber ihren Nutzern.“ Eine solche Annäherung an diese neuartigen Konstrukte – nicht über die mögliche Rechtsnatur oder die vorgesehene Trägerschaft, sondern rein über die zu übernehmenden Aufgaben – mutet ungewohnt an, scheint aber angemessen. Denn vor Erwägungen zur institutionellen Ausgestaltung einer „Treuhand für Daten“ ist zu klären, was diese eigentlich mit Daten tun soll – und mit welcher Art von Daten.
Neben der erwähnten Zugangsvermittlung zu Daten sind nämlich durchaus mehrere und sehr unterschiedliche Funktionen von Datentreuhandeinrichtungen möglich:
- Stärkung individueller Kontrolle über Datenflüsse
- Förderung der Teilhabe der Datensubjekte an wirtschaftlicher Verwertung von Daten
- Förderung von Datenteilung und Verfügbarmachung von Daten zur Förderung von Innovation und Wettbewerb
- Bereitstellung qualitativ hochwertiger Daten für Wissenschaft und Forschung
- Einschränkung der marktbeherrschenden Stellung großer Plattformbetreiber
- Förderung vertrauenswürdiger europäischer Plattformangebote
- Bildung eines Vertrauensankers und Vermittlers zwischen Datengebern und Datennehmern
Im Vordergrund stehen soll nach dem Willen der Bundesregierung von all diesen diversen Aufgaben nun der Datenzugang zur Förderung von verstärkter Datennutzung. Zeitgleich mit der über ein Jahr währenden Erarbeitung der Datenstrategie hatten die Koalitionspartner im Bund im alten Jahr in parallelen Positionspapieren noch recht unterschiedliche Schwerpunkte gesetzt. Die Unionsfraktion sah in Datentreuhandmodellen vor allem eine “gute Möglichkeit, das Teilen von Daten und die Nutzung durch Dritte über neutrale Instanzen zu erleichtern und private wie unternehmerische Ansprüche geltend zu machen“ (Positionspapier der CDU/CSU-Fraktion im Deutschen Bundestag vom 26.5.2020). Die SPD dagegen betonte eher den verbraucherbezogenen Aspekt und zielte ab auf den „Aufbau einer Datentreuhänderstruktur für den Schutz persönlicher und personenbezogener Daten und eine parallele, sektorbezogene Struktur für den Austausch und zum Teilen von nicht-personenbezogenen Datensets zwischen unterschiedlichen Akteuren“ (Positionspapier der SPD-Bundestagsfraktion v. 25.5.2020). Die Praxis solle danach wie folgt aussehen: „Datentreuhänder verwalten die Verwendung von persönlichen Daten nach den Bedürfnissen und persönlichen Einstellungen der Bürgerinnen und Bürger. Sie organisieren die Durchsetzung persönlicher Rechte, gewährleisten eine datensparsame Autorisierung gegenüber Dritten (etwa auf Grundlage eines Personal Identity Management Systems) und können auch die temporäre Überlassung von Daten an Dritte etwa zu Forschungszwecken organisieren.“
Trotz dieser abweichenden rechtspolitischen Ausgangspositionen soll nun die Funktion der Erleichterung von Datenzugang und Datenteilung im Vordergrund stehen. Aus einer einmal weniger datenschutzspezifischen, sondern eher allgemeinpolitischen und ökonomischen Sichtweise leuchtet dies ein. Die Frage des Zugangs zu Daten wird wirtschaftlich immer mehr in den Vordergrund rücken. Zukünftig wird es weniger darum gehen, wem Daten „gehören“, sondern vor allem darum, wer die Daten nutzen darf. Treuhandmodelle können dabei Anreize setzen, um das freiwillige Teilen von Daten und die Nutzung durch Dritte über eine neutrale Instanz zu erleichtern.
Vielfalt ohne Bürokratie
Was die Struktur einer Datentreuhand anbelangt, so gibt sich die Bundesregierung offen. Eine Vielfalt verschiedener Modelle zur Umsetzung sei denkbar und gewünscht; Datentreuhänder sollen privatwirtschaftlich, gemeinnützig, genossenschaftlich oder auch staatlich organisiert sein können. Einziges gemeinsames Kriterium soll dabei jedoch eine schlanke Struktur sein – man wolle „keine neue Bürokratie“ schaffen und den Datenaustausch nicht erschweren. Diese Vorgabe lässt sich in gewisser Weise als Kontrast zu den parallel entstandenen Maßgaben auf Brüsseler Ebene zur freiwilligen Datenteilung verstehen. Der dort von der EU-Kommission vorgeschlagene “Data Governance Act” enthält Regelungen zu einem “Datenaltruismus”, im Rahmen dessen die Datennutzung für Gemeinwohlzwecke gefördert werden soll. Dazu werden jedoch viele neue Verfahrensschritte und sogar neue Institutionen vorgeschlagen und die Umstände insgesamt recht komplex gestaltet. So sollen die Mitgliedstaaten jeweils ein “Register anerkannter datenaltruistischer Organisationen” einrichten. Diese datenteilenden Organisationen müssen wiederum genaue Aufzeichnungen über alle datenverarbeitenden Personen, über Zeitpunkte und Zwecke der Datenverarbeitung führen. Sie sollen Tätigkeitsberichte erstellen müssen und neben den datenschutzrechtlichen Informationspflichten weitere Informationspflichten erhalten. All dies klingt nicht unbürokratisch und könnte in der Tat die Freude am allseits gewünschten Datenteilen dämpfen.
Datennutzung vs. Datenschutz
Die Beachtung der Bestimmungen des Datenschutzrechts und die Notwendigkeit zu deren Befolgung steht als unverhandelbare Pflicht über dieser Zielstellung einer Datennutzungsförderung. Weder die EU-Kommission noch die Bundesregierung stellen bei all ihren Vorstößen zur Ausweitung der Datennutzung die DSGVO in Frage. Im Vordergrund stehen daher mögliche Problempunkte, die sich aus dem gegebenen und absehbar bleibenden Datenschutzrecht für eine ausgeweitete Nutzung von Daten ergeben können.
Hier fällt der Blick recht rasch auf das Instrument der Anonymisierung, denn sie ist regelmäßig Voraussetzung für eine unkomplizierte Weitergabe ggf. vormals personenbezogener Daten. Auch für weiterzugebende Maschinendaten ist eine zentrale Voraussetzung, dass keine Personenbeziehbarkeit zu besorgen ist. Das datengebende Unternehmen hat vor einer Weitergabe nicht-personenbezogener oder vormals personenbezogener Daten sicherzustellen, dass auch zukünftig keine Re-Identifizierung möglich ist – eine nicht zu unterschätzende Aufgabe. Besonders mittelständische Akteure würden es nicht als Ermutigung zum freiwilligen Datenteilen auffassen, wenn sie alleine mit dem Risiko umzugehen hätten, dass Daten ihren Einflussbereich zwar anonym oder anonymisiert verlassen, im Einflussbereich eines anderen Verantwortlichen aber auf eine bestimmbare Person zurückgeführt werden können. Der Vorschlag der SPD aus dem Jahr 2019 zu einer Datenteilungspflicht hatte hierzu eine Verantwortung beim ursprünglichen Verantwortlichen gesehen.
Ungeregelte Anonymisierung als Problem
Eine derartige Verantwortungslast bezüglich einer nachhaltigen Anonymisierung scheuen Unternehmen jedoch bereits deshalb, weil Orientierungspunkte für die Anonymisierung fehlen. Eine gesetzliche Regelung fehlt; auch gibt es keinerlei Normen oder Standards für den relevanten Vorgang des Anonymisierens. Wie eine hinreichend belastbare Anonymisierung erreicht werden kann, dazu gibt es bislang keine offiziellen Maßgaben, ebenfalls keine Kurzpapiere, Entschließungen, Orientierungshilfen oder andere Anwendungshinweise – weder von der Konferenz der deutschen Datenschutzaufsichtsbehörden noch vom EU-Datenschutzausschuss. Auch DSGVO-Verhaltensregeln, wie sie zur Pseudonymisierung immerhin im Entwurf vorliegen, gibt es nicht. Nur der BDI und der BITKOM haben im vergangenen Jahr erste privatwirtschaftliche Vorschläge zu Handlungsanleitungen vorgelegt. Die fehlenden festen Leitplanken sind häufig Grund für die Nichtnutzung von Daten, denn Unternehmen und Forschungseinrichtungen sind wegen fehlender Vorgaben oft unsicher, ob Daten (noch) einen Personenbezug aufweisen oder bereits rechtssicher anonymisiert sind. Plan der Bundesregierung ist es daher nun, diese schwierige Aufgabe auf Datentreuhandeinrichtungen zu verlagern. Technische Protokolle und Standards zur Anonymisierung sollen durch die künftigen Datentreuhänder in deren Rolle als vertrauenswürdige Intermediäre implementiert und dadurch skaliert werden.
Es bleibt spannend
Zur Umsetzung ihrer nun beschlossenen Datenstrategie bleibt der Bundesregierung nicht viel Zeit; Bundestagswahl und neue Regierungsbildung sind nicht fern und der zeitliche Spielraum für begleitende Gesetzgebung schrumpft. Dass gerade in einem bislang so wolkigen Punkt wie der konkreten Aufgabenzuweisung für Datentreuhandstrukturen nun mehr Klarheit geschaffen wurde, ist ein guter Schritt.