Herausforderungen des Datenschutzes und des Datenschutzrechts - Alexander Roßnagel - RG Rhein-Main
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Alexander Roßnagel
Herausforderungen
des Datenschutzes und
des Datenschutzrechts
GI-Regionalgruppe Rhein-Main
23. Februar 2021Gliederung 1. Technische und ökonomische Herausforderungen Neue Datenquellen, Infrastrukturen und Auswertungsmöglichkeiten 2. Schutz durch Grundrechte? Anspruch und Wirksamkeit des Schutzes durch Grundrechte 3. Schutz durch Datenschutz-Grundverordnung? Schutzaufgabe und Schutzwirkung des Datenschutzrechts 4. Allianz von Recht und Technik? Rechtliche und technische Gestaltungsaufgaben für die digitale Welt
1. Die Digitalisierung verstärkt die Notwendigkeit des Datenschutzes und gefährdet seine Verwirklichung.
Neue Datenquellen: Erfassung des Alltagslebens Digitalisierung der körperlichen Welt Smart Everything: Smart Car, Smart Health, Smart Home, Smart Office, Smart Watch, Industrie 4.0, Sensoren, ... Künstliche Intelligenz, selbstlernende Algorithmen, Automatisierung, … Vernetzt durch das Internet der Dinge Individualisierung Individuelle Anpassung, individuelle Assistenz Unterstützung im Hintergrund Notwendigkeit umfassender und tiefgehender Profilbildung Explosion personenbezogener Daten Alltägliche Welt – Daten zu allen Lebensregungen Keine Flucht aus körperlichem Sozialraum möglich
Neue Infrastrukturen: Vernetzung aller Daten Lebensnotwendige Infrastrukturen Suchdienste, Informationsdienste, Soziale Netzwerke, Unterhaltungsdienste, Nachrichtenaustausch, Verkehrsinfrastrukturen, Versorgungsnetze Verarbeitung personenbezogener Daten unabdingbar • Smart Cars: für Verkehrsinfrastruktur und Verkehrssicherheit • Smart Home: Verhaltenserfassung für Klimaschutz und Energieeffizienz • Smart Health: telemedizinische Beobachtung von Risikopatienten (Rollenübergreifende) Profilbildung als Grundlage und Gegenleistung Zur Teilnahme gezwungen Anschluss- und Benutzungszwang Selbstbestimmung reduziert sich auf Ja oder Nein zum digitalen Leben
Neue Auswertungen: Gefangen im Algorithmus Auswertung aller Datenquellen Big Data, Künstliche Intelligenz: schnelle Auswertung großer, diverser Datenmengen Delegation von Entscheidungen an Technik, … Verhaltenssteuerung Algorithmengeleitete Verhaltenssteuerung von Einzelnen und Gruppen Individuelle passgenaue Empfehlungen und Handlungsauswahlen durch Microtargeting, Nudging, … Anonyme Vergemeinschaftung Statistik funktioniert auch bei Verweigerung und gilt auch für Verweigerer Behandlung nach den statistischen Merkmalen der Gruppenzugehörigkeit Normativität der Normalität Verhalten nach erwarteter Normalität und gewünschten Wirkungen
Wissen ist Macht Soziale Macht hat derjenige, der das Verhalten anderer steuern kann Nutzung von Daten durch Datenverarbeiter beeinflusst • Konsum: kontext- und persönlichkeitsbezogene Werbung • Wissenserwerb: kontext- und präferenzbezogene Suchergebnisse • Werthaltungen: präfenzbezogene Informationsauswahl • Wahlentscheidungen: Programmatic Advertising (US-Wahlkampf) Begrenzung privater Macht? Sicherung von Freiheit und Selbstbestimmung durch Machtbegrenzung und Gewaltenteilung auch bei übermächtigen Infrastrukturanbietern? Aufgabe des Rechts?
2. Die Grundrechte haben einen hohen Gestaltungsanspruch, können diesen aber durch die Digitalisierung immer weniger erfüllen.
Schutz durch Grundrechte Informationelle Selbstbestimmung Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG Privatheit und Datenschutz Art. 7 und 8 EU-GRCh Subjektives Recht „Informationelle Selbstbestimmung ist Befugnis jedes Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“ Objektiver Grundsatz „Selbstbestimmung (ist) eine elementare Funktionsbedingung eines auf Handlungs- und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens.“
Schutzprogramm Umsetzungsprogramm des Grundrechtsschutzes Datenschutzgrundsätze (Art. 5 DSGVO) beschreiben die Bedingungen für den Schutz der Grundrechte der betroffenen Person Zulässigkeit Vorbehalt des Gesetzes oder der Einwilligung für Eingriff in Grundrechte Transparenz Voraussetzung für Rechtsmäßigkeitsprüfung und Rechtsverfolgung Zweckbindung Steuerung der Verarbeitung durch Gesetzgeber und betroffene Person Erforderlichkeit (Datenminimierung, Speicherbegrenzung) Beschränkung des Grundrechtseingriffs, Schutz vor Missbrauch
Aushöhlung des Schutzprogramms Bedingungen der Techniknutzung gefährden die Bedingungen für Grundrechtsschutz Einwilligung Zulässigkeitsersatz, Zwang zur Einwilligung, Formalismus Transparenz Subjektive und objektive Grenzen, unmerkliche Unterstützung Zweckbindung Widerspruch zu umfassender Erkenntnisgewinnung und Unterstützung Erforderlichkeit Für weite Zwecke sind alle Daten erforderlich (z.B. Gedächtnis der Dinge)
3. Der Datenschutz-Grundverordnung fehlen aufgrund ihrer Technikneutralität angepasste risikoadäquate Regelungen zum Schutz der Grundrechte der betroffenen Person.
Datenschutz-Grundverordnung „Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz- Grundverordnung)“ vom 27. April 2016 In Kraft seit dem 25. Mai 2016 Geltung in Deutschland seit dem 25. Mai 2018 Unmittelbare Geltung Keine Umsetzungs- oder Anpassungsakte durch die Mitgliedstaaten notwendig Anwendungsvorrang Die Regelungen der Verordnung haben Anwendungsvorrang vor widersprechenden Regelungen des nationalen Gesetzes- und Richterrechts
Datenschutzregelungen Zulässigkeit der Datenverarbeitung Einwilligung oder gesetzliche Zulassung: legitime Interessen Rechte der betroffenen Person Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch Pflichten des Verantwortlichen Datenschutzmanagement, Gestaltungs-, Prüf- und Sicherungspflichten Prüfpflichten bei internationalen Transfers Gewährleistung vergleichbaren Datenschutzes auch außerhalb der Union Aufsichtsbehörden Kontrolle der Rechtmäßigkeit der Datenverarbeitung
Risikoadäquate Regelungsansätze Notwendige Regelungen zur Bewältigung der Herausforderungen fehlen: • Risikogerechte Ergänzungen der Erlaubnistatbestände • Einschränkung der Einwilligung / Überprüfung von AGB • Gestaltungs- und Verarbeitungsregeln (z.B. situationsadäquate Transparenz) • Differenzierung der Zwecke nach Risiken • Technikgestaltung, Schnittstellen für Datenschutztechnik • Selbstbestimmung stärkende Architekturen: Speicherorte, Datenaustausch • Technikgestalter als Regelungsadressaten • Vorsorge bei noch nicht personenbezogenen Daten • Zusätzliche Ziele der Datensicherheit: Nichtverkettbarkeit, Intervenierbarkeit • Risikospezifische Speicherzeiträume und Löschpflichten
Risikoneutralität Datenschutz-Grundverordnung Keine Regelungen, die spezifischen Grundrechtsrisiken gerecht werden, etwa zur Zulässigkeit, zu Rechten der betroffenen Person und zu Schutzvorkehrungen Technikneutralität (EG 15) soll verhindern, dass techniksteuernde Regelungen so spezifisch sind, dass sie nur für eine bestimmte Technik gelten. Richtig bezogen auf Technikausprägungen, falsch bezogen auf technische Funktionen Regelungen verfehlen ihr Ziel, wenn sie so neutral sind, dass sie den spezifischen Grundrechtsrisiken nicht gerecht werden Missverstandene Technikneutralität bewirkt Risikoneutralität
Folgen der Risikoneutralität der DSGVO Keine Risikoreduzierung Anwendung hochabstrakter Regelungen auf spezifische Risikolagen: Kein Schutz der betroffenen Person und weitere Gefährdung von Grundrechten Keine Rechtssicherheit Abstrakte Regelungen und Abwägungsklauseln: interessengeleitete Interpreta- tionen und Meinungsstreit – soziale Macht dringt in normative Spielräume Folge: Handlungs- und Investitionsunsicherheit Keine demokratische Risikosteuerung Im Zweifel entscheidet der Verantwortliche über Risiken der Betroffenen Nach Wesentlichkeitsgrundsatz: Aufgabe des Gesetzgebers
4. Grundrechts- und Datenschutz werden in einer digitalisierten Welt ohne eine enge Zusammenarbeit zwischen Recht und Technik und ohne die Gestaltung technischer Systeme nicht möglich sein.
Datenschutz durch Systemgestaltung? Moderne Techniksysteme als stärkster Motor der Veränderung Neue technische Potentiale ermöglichen neue Techniknutzungen, neue Geschäftsmodelle und neue Verhaltensweisen – diese entwickeln einen gesellschaftlichen Druck zu einem sich ständig verändernden Umgang mit personenbezogenen Daten Notwendigkeit der rechtlichen Systemgestaltung Schlichte Handlungsgebote und -verbote sind unzureichend Wenn Techniksysteme die Verwirklichungsbedingungen rechtlicher Ziele am stärksten beeinflussen, muss Recht vor allem diese so gestalten, dass durch sie die rechtlichen Ziele erreicht werden
Beispiele zur Technikgestaltung • transparente, datensparsame, missbrauchsresistente Verarbeitungsvorgänge • Selbstbestimmung stärkende Architekturen: Speicherorte, Datenaustausch • nutzerfreundliche Verschlüsselungsmöglichkeiten • technischer Selbstdatenschutz (Festlegung geeigneter Schnittstellen) • risikospezifische Speicherzeiträume und Löschungsroutinen • situationsgerechte und entscheidungswirksame Information • frühzeitige Anonymisierung oder Pseudonymisierung von Daten Diese Gestaltungsmaßnahmen führen selten zu echten Zielkonflikten: vertretbare Datenverarbeitungen bleiben möglich
Überwindung der Technikneutralität Mitgliedsstaaten Präzisierung, Konkretisierung, Öffnungsklauseln Europäischer Datenschutzausschuss Leitlinien und Empfehlungen Aufsichtsbehörden Hinweise, Empfehlungen, Vorgaben, Anordnungen, Sanktionen Vereinigungen von Verantwortlichen Freiwillige Verhaltensregeln
Technische Alternativen Technische Machbarkeit Grenze jeder Gestaltungsanforderung Technische Abhängigkeit von Technikanbietern außerhalb der Europäischen Union z.B. Betriebssysteme von Smartphones Ökonomische Abhängigkeit Marktmacht zur Durchsetzung globaler datenschutzfeindlicher Geschäftsmodelle Beschränkte Gestaltungsmöglichkeiten • funktionaläquivalente Alternativen? • Einfluss auf Hersteller? • Zugriff auf Software?
Technologische Selbstbestimmung Individuell und kollektiv bezogen auf Datenverwendung Faire Verwendung der Daten bei Sammlung, Analyse und Austausch Infrastrukturleistungen Alternative Angebote, die europäische Werte einhalten und unterstützen Kontrollfähigkeit ausreichende Transparenz und Offenheit technischer Systeme, um kontrollieren zu können, ob sie europäische Werte erfüllen Globalisierung und dritter Weg Digitalisierung nach europäischen Werten als dritter Weg zwischen Digitalkapitalismus und digitale Überwachung
Sie können auch lesen
