Die Stiftung Datenschutz lädt unter dem Titel „Ich stimme zu! – Wie geht es weiter mit der Einwilligung im Datenschutz?“ zu ihrer nächsten Tagung ein. Diese findet am 22. November 2016 in Leipzig statt (nähere Infos hier). Im Vorfeld der Tagung hatten wir Gelegenheit mit Frederick Richter, Vorstand der Stiftung, zu sprechen.
datenschutz notizen: Herr Richter, die Stiftung Datenschutz gibt es nun seit drei Jahren. Wie ist Ihr Fazit?
Stiftung Datenschutz: Da unsere Arbeit nicht etwa endet, sondern vorangeht, nenne ich es einmal „Zwischenfazit“: Wir haben festgestellt, dass riesiger Bedarf besteht für mehr Austausch zwischen den unterschiedlichen Interessen im Bereich des Datenschutzes. Die Politik weiß zu wenig von der Forschung; die Wirtschaft redet oft zu wenig mit der Aufsicht. Zudem gibt es internationale Entwicklungen wie die myData-Bewegung und die PIMS, die hierzulande fast unbekannt sind. Wir wollen uns also verstärkt darum kümmern, den notwendigen Diskussionsprozessen im Datenschutzbereich ein Forum zu bieten. Als Plattform auf Bundesebene wollen wir den Diskurs moderieren und so zu guten Lösungen beitragen.
Auch im Bereich der Datenschutzzertifizierung bauen wir unsere Rolle als neutrale Instanz aus. Wir werden den Kriterienkatalog für die Begutachtung von Datenschutz in der cloud verwalten, der im BMWi-Projekt „Trusted Cloud“ entstanden ist. Bei der Entwicklung des neuen Standards Trusted Cloud-Datenschutzprofil (TCDP) waren nicht nur Wirtschaft und Zertifizierungsstellen beteiligt, sondern von Anfang an auch die Aufsichtsbehörden. Dies wird uns die große Chance bieten, Vorarbeiten zu leisten für die Entwicklung eines „Europäischen Datenschutzsiegels“ (Art. Abs. 5 S. 2 DSGVO).
Die Stiftung Datenschutz hat das Projekt „Transparenz und Einwilligung“ ins Leben gerufen. Welche Ziele werden mit diesem Projekt verfolgt und gibt es schon konkrete Ergebnisse?
In dem Projekt zur Einwilligung untersuchen wir Wege zu mehr Praktikabilität bei der Ausübung informationeller Selbstbestimmung und zur Steigerung der Transparenz beim Datenumgang. Ziel des Projekts ist es, Vorschläge zu entwickeln, auf welche Weise der Vorgang der Einwilligung im Datenschutzrecht und in der Datenschutzpraxis praktikabler ausgestaltet und technisch unterstützt werden kann. Eine große Chance wäre es aus Stiftungssicht, wenn es zukünftig gelingt, inflationär häufige und teils rechtsunsichere Einverständniserklärungen durch einen anwenderfreundlichen und automatisierten Lösungsansatz handhabbarer zu machen. Wir beobachten mehrere interessante Lösungsansätze, konnten aber schon feststellen, dass es etwa einen bereits einsetzbaren „Einwilligungs-Helfer“ oder „Zustimmungs-Agenten“ noch nicht gibt. Die bisherigen Erkenntnisse präsentieren wir am 22. November in Leipzig auf unserer Konferenz „Ich stimme zu!“ (weitere Informationen unter: www.datentag.de). Mit nationalen und internationalen Experten identifizieren wir die Problemfelder und stellen spannende neue Ansätze vor.
Transparenz ist ein wesentlicher Grundsatz der Datenschutzgrundverordnung (DSGVO) und für einen funktionierenden Datenschutz zweifellos von besonderer Bedeutung. Gleichzeitig sehen wir in der Praxis, dass Datenschutzerklärungen immer länger werden und für den Nutzer nur schwer verständlich sind. Welche Lösungen sehen Sie für dieses Problem oder konnten im Rahmen des Projekts bereits entwickelt werden?
Bei den Erklärungen zum Datenschutz – oder besser: „Datenverwendungsankündigungen“ – besteht ein grundsätzliches Problem. Geschrieben werden diese Texte mit Blick auf die Gesetzeskonformität und juristische und technische Präzision. Sie werden verfasst von Juristen (Datenschutzbeauftragte und Rechtsanwälte) für Juristen (andere Rechtsanwälte und Aufsichtsbehörden). Verständlichkeit und gute Lesbarkeit sind nicht oberstes Ziel. Auf der anderen Seite können die Texte schnell rechtlich unscharf werden, wenn man Knappheit und Kürze sowie eine möglichst leichte Rezeption durch die Verbraucherinnen und Verbraucher zur Leitschnur macht.
Eine Lösung dafür liegt aus unserer Sicht in einem Schichtenmodell: Die oberste Schicht 1 besteht aus Piktogrammen, die auf einen Blick in simpler Weise die vorgesehene Datenverwendung visualisiert. Schicht 2 braucht mehr als einen kurzen Blick, aber bietet ebenfalls noch etwas Abkürzung. Diese Schicht erfasst auf einer Textseite die wesentlichen Umrisse der Datenverwendung. Beispiel hierfür kann der vom Bundesministerium der Justiz und für Verbraucherschutz entwickelte „One-pager“ sein. Von der Deutschen Telekom wird er bereits eingesetzt. Die unterste Ebene („Schicht 3“) enthält dann wie bisher die technisch-juristisch präzise Erklärung über die Datenverwendung der verantwortlichen Stellen bei der jeweiligen Dienstleistung. Im Effekt kann also das Datensubjekt selber bestimmen, wie informiert er in den Vorgang der Einwilligung treten will: schnell, überblicksartig oder ganz genau. Dieses Schichtenmodell erscheint uns auch einerseits realistisch, denn man kann niemanden zwingen, lange Erklärungen durchzulesen. Andererseits lässt es Wahlfreiheit und bietet neben der simplifizierten Variante zumindest auch die Möglichkeit zum tieferen Einstieg in die Materie.
Digitale Geschäftsmodelle basieren häufig auf der Einwilligung des Nutzers. Halten Sie die Einwilligung als Legitimationsgrundlage in Anbetracht der erhöhten Anforderungen an ihre Wirksamkeit und des in Art. 7 Abs. 4 DSGVO enthaltenen Kopplungsverbots weiterhin für praktikabel?
Zwar wird es teilweise deutlich schwieriger, rechtmäßige Einwilligungen zu erhalten, doch sehe ich nicht etwa ein „Ende der Einwilligung“ wie es manche erwarten. Zum einen bietet die Lösung über eine Interessenabwägung (Art. 6 Abs. 1 f) angesichts auch dort bestehender Informationspflichten (Artikel: 13 Abs. 1d) und der Möglichkeit des Widerrufes (Art. 21. DSGVO) nur wenig Erleichterung für die datenverwendende Stelle. Zum anderen sind die Menschen es schlicht gewohnt, ständig (leider uninformiert!) Zustimmungserklärungen abzugeben. Ebenso wie die Nutzerinnen und Nutzer die „Kostenlos-Kultur“ des Internet verinnerlicht haben, ebenso haben sie das Verhaltensmuster „Ich akzeptiere die Datenschutzbestimmungen“ recht fest eingeübt. Wir beobachten ein Modell des „consent by default“.
Nach der DSGVO ist die Einwilligung der Minderjährigen unter 16 Jahren nur wirksam, wenn sie durch den Erziehungsberechtigten für das Kind oder mit dessen Zustimmung erteilt wird, Art. 8 Abs. 1 DSGVO. Nach Art. 8 Abs. 2 DSGVO soll der Verantwortliche unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen treffen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung tatsächlich von dem Erziehungsberechtigten oder mit dessen Zustimmung erteilt wurde. Wie könnte Ihrer Meinung nach eine solche Maßnahme aussehen?
Ganz abgesehen einmal von dem nicht geringen Streit, den es im Gesetzgebungsverfahren um die Sinnhaftigkeit der konkreten Altersgrenze gegeben hat: Hier kommt natürlich eine weitere Last auf die datenverwendende Stelle zu. Welche „Anstrengungen“ in der beschriebenen Konstellation zum Nachweis der Gesetzeskonformität als „angemessen“ gelten können, ist schlicht noch unbekannt. Derzeit haben wir bloß einen Erwägungsgrund 38, der sich nicht dazu verhält und Spekulationen, wie streng ein noch nicht existenter Europäischer Datenschutzausschuss wohl an diese Angemessenheit herangehen wird. Zwar ist nicht davon auszugehen, dass in 2018 grundsätzlich andere Techniken im Sinne der Vorschrift „verfügbar“ sein werden, doch ist dies ein fließender Prozess. Sicher nicht in Frage kommen klassische Methoden wie ein Nachweis per Unterschriftsvorlage/Personalausweiskopie; solches wäre mit dem modernen digitalen Mediengebrauch schon der Gegenwart kaum mehr vereinbar.
Die Aufsichtsbehörden haben in der Vergangenheit bei Datenschutzverstößen nur selten den möglichen Bußgeldrahmen des BDSG ausgeschöpft. Dieser wird mit der DSGVO erheblich erhöht. Art. 83 Abs. 1 DSGVO sieht zudem vor, dass verhängte Geldbußen wirksam, verhältnismäßig und abschreckend sein müssen. Gehen Sie vor diesem Hintergrund davon aus, dass die Aufsichtsbehörden ab Mai 2018 höhere Bußgelder verhängen werden?
Die europäische Datenschutzreform wäre an dieser Stelle ein Fehlschlag, wenn der neu eröffnete Bußgeldspielraum nicht auch einmal genutzt werden würde. Gleichzeitig gehe ich nicht davon aus, dass in Zukunft alle Aufsichtsbehörden mit riesigen Bußen um sich schießen werden. Da jedes hohe Bußgeld auch einen hohen prozessualen Aufwand nach sich ziehen kann, der die auch zukünftig sehr knappen Personalkapazitäten lange binden kann, wird die Aufsicht eher mit Bedacht vorgehen. Interessant wird bei allem eine Frage sein: Wohin fließt das Bußgeld? Manch gewitzter Beobachter unkte schon über ein kommendes Geschäftsmodell zur Sanierung der notorisch klammen Haushalte der Aufsichtsbehörden. Ich denke, dass wir auch in dieser Hinsicht eine deutsche und europäische Einheitlichkeit benötigen. Nichts wäre schlechter als eine fiskalisch motivierte Sanktionspraxis, noch dazu unterschiedlich, je nach Mitgliedsstaat.
Sehen Sie die hohen Bußgelder als effektiv an, um das Bewusstsein für den Datenschutz und das Datenschutzniveau in den Unternehmen zu erhöhen?
Ja. Aus Sicht der Datenschützer, die in der Vergangenheit in vielen Unternehmen oft nicht ernst genommen wurden, erscheint es wie ein heilsamer Zwang. Auch Teile der Wirtschaft werden nun hellhörig in Sachen Datenschutz-Compliance, die sich bisher hierfür wenig interessierten. Die nach wie vor – infolge Unterkapazität bei der Aufsicht – geringe Entdeckungswahrscheinlichkeit von Datenschutzverstößen wird quasi durch den eindrucksvollen Sanktionsrahmen aufgewogen. Der Datenschutz orientiert sich damit am Wirkprinzip des Kartellrechts.
Wir gehen davon aus, dass die Regelungen des § 6 b BDSG, soweit sie sich auf nicht öffentliche Stellen beziehen, von den Normen der DSGVO verdrängt werden. Wie bewerten Sie vor diesem Hintergrund den Entwurf des Bundesministeriums des Innern, die Videoüberwachung durch eine Änderung des § 6 b BDSG zu erweitern („Videoüberwachungsverbesserungsgesetz“)?
In Sachen der gesetzlichen Konkurrenz wird derzeit tatsächlich manches sehr unterschiedlich gesehen – hinsichtlich nationaler Spielräume liegen zwischen der Sicht der EU-Kommission und der Sicht der deutschen Innenverwaltung durchaus Gräben. Der erwähnte Entwurf ist natürlich auch vor der aktuellen politischen Lage einzuordnen. Es geht hier wohl vor allem um die Botschaft „Wir wollen mehr Sicherheit ermöglichen“. Ob nach der angekündigten Reform tatsächlich auf eigene Kosten mehr Kameras aufgestellt werden, kann das Innenministerium nicht anweisen. Ob das Gesetz tatsächlich bald kommt und dann unter Anwendung der DSGVO Bestand haben wird, bleibt abzuwarten.
Herr Richter, vielen Dank für das Gespräch.