Datenschutz in der Datenstrategie der Bundesregierung
Die Datenstrategie der Bundesregierung (BReg) ist das neue grundlegende Dokument zur Digitalisierung in Deutschland und befasst sich natürlich auch mit dem Datenschutz. Das Dokument wurde am 27.1.2020 von der BReg verabschiedet und gliedert übersichtlich die Pläne und Gesetze der nächsten Jahre. Nachfolgend stellen wir kurz vor, was das Dokument zum Datenschutz aussagt.
Neue Rahmenbedingungen zum Datenschutz in der Datenstrategie
Die BReg betont die Wichtigkeit des Schutzes personenbezogener Daten auch vor dem Hintergrund der EU-Grundrechtecharta. Maßgeblich soll aber mehr „Rechtssicherheit“ erreicht werden, also wohl eine Vereinfachung von Datenschutzvorgaben, eine Vereinheitlichung von Verwaltungsvorgängen und ein höheres Maß an Transparenz. Grundlegendes Ziel sei, den Datenschutz „unter Beibehaltung des bestehenden Datenschutzniveaus einheitlicher und widerspruchsfreier gestalten“ Im Einzelnen nennt die BReg folgende Pläne im Umgang mit dem Datenschutz:
- Mögliche Einführung einer federführenden Datenschutzaufsicht für länderübergreifende Forschungsvorhaben und/oder die Schaffung einer einzigen Behörde für den nicht-öffentlichen Bereich
- Vereinheitlichung von Regelungen im Forschungsdatenschutz zwischen den Bundesländern
- Da gerade KMU und Selbstständige Schwierigkeiten mit den diversen Regelungen haben, soll das Datenschutzrecht „durch neue Aufbereitungsformen, länderübergreifende einheitliche Auslegungshilfen und weitere untergesetzliche Maßnahmen auch für juristische Laien zugänglich“ gemacht werden machen. Für den Sozial- und Beschäftigtendatenschutzes werden eigenständige Gesetze angedacht.
- Beschaffungsrichtlinien für die öffentliche Hand sollen den Datenschutz schon in der Entwicklung zu Beginn berücksichtigen
- Etabliert werden sollen Personal Information Management Systeme („PIMS“) und Datenmanagementsysteme, um Verbrauchern mehr Selbstbestimmung über ihre Daten zu ermöglichen
- KI und Big Data sollen besser genutzt werden können
- Anonymisierung und technischer Datenschutz sollen gestärkt werden, auch durch Forschung an verbesserten Techniken
- Umsetzung der ePrivacy-VO auf EU-Ebene und dem TTDSG zum TK- und Telemediendatenschutz zur Umsetzung der ePrivacy-RL
- In internationalen Datentransfers möchte das BMWi Unternehmen vor ungerechtfertigten Beschränkungen schützen, was vor Hintergrund der EuGH-Urteile eher fraglich ist. Helfen können wir eigentlich nur bilaterale Verträge mit den USA und anderen Staaten, für die die EU zuständig wäre.
- Weiterhin werden Beispiele für die Anpassung der IT-Sicherheit genannt und das IT-Sicherheitsgesetz 2.0 gelobt. Hier hätte man erwartet, dass ein Bekenntnis zu einem IT-Sicherheitsgesetz 3.0 und eine EU-Abstimmung gewünscht.
Monetarisierung von Daten/Data Governance
Unter Data Governance lassen sich die von der BReg beschriebenen Themen „Datentreuhänder“, „neue Kooperationsformen“ und „Stärkung der Teilhabe an der Datenökonomie“ zusammenfassen. Hier werden (personenbezogene) Daten als „Ware“ verstanden, also Möglichkeiten der Monetarisierung und des Austauschs zur Stärkung von Forschung gesucht. Der Nutzen einer solchen Verwertung ist klar – die Risiken ebenfalls. Insofern ist es hier nötig, die Entwicklungen und Pläne sorgfältig zu begleiten und zu unterstützen. U.a. nennt die BReg:
- Beförderung einer Vielfalt an Datentreuhänder-Modellen zum Teilen von Daten durch einen „Ideenwettbewerb Datentreuhandmodelle“ und ein Förderprogramm zur Entwicklung und Erprobung innovativer Datentreuhänder
- Etablieren von Datentreuhändern im Datenökosystem, u.a. über den geplanten EU Data Governance Act
- Die Förderung der Forschungsdatenzentren in der Wissenschaft
- Erprobung des Teilens von Daten als globale öffentliche Güter und Gemeingüter mit Afrika und Asien (z.B. offene Trainingsdaten für Künstliche Intelligenz im Bereich lokale Sprachen, Geodaten etc.).
- Umsetzung der EU-Richtlinie 2019/770 zu digitalen Inhalten zum „Bezahlen mit Daten“
- Prüfung, ob spezielle Anforderungen an KI-Trainingsdaten notwendig sind, um Diskriminierung durch algorithmenbasierte Entscheidungen entgegenzuwirken.
Die Aufzählungen sollten zeigen, welche große Bandbreite die BReg plant. Das Verhältnis von Datenschutz und Datennutzung wird nicht wirklich angesprochen, außer allgemeinen Aussagen, dass beides vereint werden solle. Ob ein Vereinen der beiden Pole funktioniert, muss sich zeigen. Die Gefahren bei einem Fokus auf die Monetarisierung von Daten liegen auf der Hand. Es wäre zu wünschen, dass die Projekte sorgsam und unter Berücksichtigung der zivilgesellschaftlichen Meinungen angegangen werden.
Viel ist die Rede davon, dass die Forschung beteiligt werden sollte. Bedacht werden kann auch, dass Datenschutzberater hier ebenfalls einen wichtigen Bestandteil bilden. Viele der von der BReg angedachten Maßnahmen wurden und werden durch Berater bereits erarbeitet und können so in der Praxis von Unternehmen schon eingesetzt werden.