Bei der diesjährigen ULD Sommerakademie wurde von Nija Marnau vom Center for IT-Security, Privacy and Accountability der Universität des Saarlandes über Privacy by Default unter dem Titel „Datenschutz „by Default“ zwischen Paternalismus und Pragmatismus“ diskutiert.
Rechtlicher gesprochen ging es um die künftige Rechtslage des Datenschutzes durch datenschutzfreundliche Voreinstellungen des Art. 25 Abs. 2 DSGVO in Verbindungen mit ErwG 78, somit dem Thema der potentiellen Umsetzung der Datenschutzgrundverordnung mit einem Blick in die Glaskugel.
Datenschutzfreundliche Voreinstellungen sind eine technische und organisatorische Maßnahme, die nach Auffassung von Marnau ähnlich zu den AGBs weder überraschend noch bevorteilend oder benachteiligend sein sollte, da die Nutzer oftmals keine spätere Änderung der zentralen Voreinstellung wegen einer sog. „Set-Up-Müdigkeit“ vornähmen.
Datenschutzfreundliche Voreinstellungen als „neue“ Verpflichtung des Verantwortlichen?
Es wurde debattiert, ob die Verpflichtung des Art. 25 Abs. 2 DSGVO über die Verpflichtung der Datenminimierung und Zweckbindung hinausginge, ob den Funktionsumfang der Produkte durch „Defaults“ beschränkt werden könnte und ob und wie -falls ja- eine Implementierungspflicht bestünde. Zur Umsetzung des Art. 25 Abs. 2 DSGVO wurde vorgeschlagen, bestimmte Basiskonfigurationen zu bestimmen, die bei erweiterter Funktionalität einer Einwilligung bedürfen. An die Einwilligung angeknüpft könnten Bundle-Konfigurationen anschließen, die bestimmte Zusatzservices freischalten würden.
Was könnten Basisfunktionalitäten sein?
Die Festlegung von Basisfunktionalitäten war der Hauptaspekt der Diskussion, da Basiskonfigurationen im Big Data Bereich beispielsweise durch möglichst datenminimierende Voreinstellungen bestimmte Wirtschaftszweige de facto lähmen würden.
Fraglich ist und bleibt im Einzelfall zu bestimmen, was eine Kernfunktion „simple use“ eines Produktes ist. Anhand des Beispiels des Smart TVs wurde dieses im Raum stark debattiert. Nach einer Auffassung würden die TVs nur zum Fernsehen als Kernfunktion genutzt werden und nach anderer Auffassung würde der Internetzugang des TVs bereits eine Kernfunktion des Smart TV darstellen. Eine konkrete Idee mögliche Voreinstellungen nutzergruppenspezifisch für besondere Anwendungen zu entwickeln bestand konkret zur Nutzung von Smart TVs. Der Vorschlag während des Ladens der Programme parallel bestimmte Nutzergruppen spezifische Voreinstellungen abzufragen, um den Aufwand für den Nutzer möglichst gering zu halten.
Interessant bleibt, ob in Zukunft für jedes Produkt allgemeine Basisfunktionalitäten vorgeschrieben werden könnten oder diese im Einzelfall für jede Funktionalität und Nutzungsbestimmung von Produkten zu bestimmen sein werden.
Offene Fragen bleiben
Als Idee wurde in das Plenum gegeben, dass Modelle zur Identifikation und Festlegung der Kriterien von Basisfunktionalitäten und nutzergruppenspezifische Zusatzkonfigurationen angeknüpft an bestimmte Einwilligungen der Verarbeitung personenbezogener Daten zu entwickeln seien.