Zusammenfassung der Stellungnahme des Europäischen Datenschutzbeauftragten: „Bewältigung der Herausforderungen in Verbindung mit Big Data: Ein Ruf nach Transparenz, Benutzerkontrolle, eingebautem Datenschutz und Rechenschaftspflicht“

(Der vollständige Text dieser Stellungnahme ist in englischer, französischer und deutscher Sprache auf der Internetpräsenz des EDSB unter www.edps.europa.eu erhältlich)

(2016/C 67/05)

„The right to be let alone is indeed the beginning of all freedom“ (Das Recht, in Ruhe gelassen zu werden, ist der Beginn jeder Freiheit)  (1).

Big Data können — sofern sie verantwortungsbewusst verwaltet werden — mit erheblichen Vorteilen und einer signifikanten Effizienzsteigerung für die Gesellschaft und für Einzelpersonen verbunden sein, und zwar nicht nur in den Bereichen Gesundheit, wissenschaftliche Forschung, Umwelt und anderen konkreten Bereichen. Allerdings bestehen hinsichtlich der derzeitigen und potenziellen Auswirkungen der Verarbeitung gewaltiger Datenmengen auf die Rechte und Freiheiten des Einzelnen, einschließlich des Rechts auf Schutz seiner Privatsphäre, ernsthafte Bedenken. Die Herausforderungen und Risiken von Big Data erfordern daher einen wirksameren Datenschutz.

Die Technologie sollte uns unsere Werte und Rechte nicht vorschreiben, ebenso wenig, wie die Förderung von Innovation und die Wahrung der Grundrechte als unvereinbar angesehen werden sollten. Neue Geschäftsmodelle, bei denen neue Möglichkeiten für die massive Erhebung, die echtzeitnahe Übertragung, Verknüpfung und Wiederverwendung personenbezogener Daten für unvorhergesehene Zwecke genutzt werden, stellen eine neue Belastung für die Datenschutzgrundsätze dar; daher ist eine eingehende Auseinandersetzung mit der Frage erforderlich, wie diese angewandt werden sollen.

Das europäische Datenschutzrecht wurde entwickelt, um unsere Grundrechte und grundlegenden Werte, einschließlich unseres Rechts auf Privatsphäre, zu schützen. Die Frage lautet nicht, ob das Datenschutzrecht, sondern vielmehr, wie es in innovativer Weise in neuen Umfeldern auf Big Data angewandt werden soll. Unsere derzeitigen Datenschutzgrundsätze, einschließlich Transparenz, Verhältnismäßigkeit und Zweckbindung, bieten die Grundlage, die wir benötigen, um unsere Grundrechte in der Welt von Big Data noch dynamischer schützen zu können. Sie müssen allerdings durch „neue“ Grundsätze ergänzt werden, die sich im Laufe der Jahre herausgebildet haben, etwa Rechenschaftspflicht sowie eingebauter Datenschutz (privacy by design) und eine automatische, datenschutzfreundliche Voreinstellung (privacy by default). Das Datenschutzreformpaket der EU soll den rechtlichen Rahmen (2) stärken und modernisieren.

Die EU plant durch die Nutzung von Big Data die Maximierung von Wachstum und Wettbewerbsfähigkeit. Allerdings kann der digitale Binnenmarkt die datengesteuerten Technologien und Geschäftsmodelle, die in anderen Teilen der Welt zur wirtschaftlichen Normalität geworden sind, nicht unkritisch importieren. Stattdessen muss er bei der Entwicklung einer verantwortungsbewussten Verarbeitung personenbezogener Daten eine führende Rolle übernehmen. Das Internet hat sich so entwickelt, dass einige der erfolgreichsten Unternehmen die Überwachung, d. h. die Verfolgung des Verhaltens von Menschen, als ein unumgängliches Ertragsmodell sehen. Diese Entwicklung macht eine kritische Bewertung und die Suche nach praktikablen Alternativen erforderlich.

Auf jeden Fall müssen Organisationen, die gewaltige Mengen personenbezogener Daten verarbeiten, unabhängig vom Geschäftsmodell, für das sie sich entscheiden, das geltende Datenschutzrecht einhalten. Der Europäische Datenschutzbeauftragte (EDSB) ist der Auffassung, dass eine verantwortungsbewusste und nachhaltige Entwicklung von Big Data auf vier wesentlichen Aspekten beruhen muss. Organisationen müssen:

Im Hinblick auf Transparenz muss dem Einzelnen genau mitgeteilt werden, welche Daten verarbeitet werden, einschließlich solcher, die beobachtet oder hergeleitet werden; der Einzelne muss besser darüber informiert werden, wie und für welche Zwecke die ihn betreffenden Informationen genutzt werden, einschließlich der Logik, die von Algorithmen zur Bestimmung von Annahmen und Vorhersagen eingesetzt wird.

Mithilfe der Benutzerkontrolle sollen Menschen in die Lage versetzt werden, ungerechte Behandlung besser zu erkennen und sich über Fehler zu beschweren. Damit kann die Sekundärnutzung von Daten für Zwecke verhindert werden, die nicht ihren rechtmäßigen Erwartungen entsprechen: Mit einer neuen Generation der Benutzerkontrolle erhalten Menschen gegebenenfalls die Möglichkeit, eine echte, fundierte Entscheidung zu treffen, und haben mehr Möglichkeiten, ihre personenbezogenen Daten besser zu nutzen.

Starke Rechte auf Datenzugriff und Datenübertragbarkeit und wirksame Rücktrittsoptionen (opt-out) können als Voraussetzung dienen, damit Benutzer eine stärkere Kontrolle über ihre Daten ausüben können, und auch zur Entwicklung neuer Geschäftsmodelle und einer effizienteren und transparenteren Nutzung personenbezogener Daten beitragen.

Durch den Einbau des Datenschutzes bei der Gestaltung ihrer Systeme und Prozesse und die Anpassung des Datenschutzes für mehr echte Transparenz und Benutzerkontrolle werden verantwortungsbewusste für die Verarbeitung Verantwortliche auch in der Lage sein, die Vorteile von Big Data zu nutzen und zugleich dafür zu sorgen, dass die Würde und Freiheiten des Einzelnen geachtet werden.

Doch Datenschutz ist nur ein Teil der Antwort. Die EU muss die vorhandenen modernen Werkzeuge einheitlicher umsetzen, auch im Bereich Verbraucherschutz, Kartellrecht, Forschung und Entwicklung, um Garantien und Wahlmöglichkeiten auf einem Markt zu gewährleisten, auf dem datenschutzfreundliche Dienstleistungen florieren können.

Um den Herausforderungen von Big Data gerecht werden zu können, müssen wir Innovation zulassen und zugleich die Grundrechte schützen. Es ist jetzt Aufgabe von Unternehmen und anderen Organisationen, die viel Zeit und Mühe darin investieren, neuartige Möglichkeiten für die Nutzung personenbezogener Daten zu finden, auch bei der Umsetzung des Datenschutzrechts dasselbe innovative Denken an den Tag zu legen.

Auf der Grundlage früherer Beiträge der Wissenschaft und vieler Regulierungsbehörden und Interessengruppen möchte der EDSB eine neue, offene und fundierte Diskussion in und außerhalb der EU unter Beteiligung der Zivilgesellschaft, von Entwicklern, Unternehmen, Wissenschaftlern, Behörden und Regulierungsstellen zu der Frage anregen, wie das kreative Potenzial der Branche am besten für die Umsetzung von Rechtsvorschriften und den Schutz unserer Privatsphäre und anderer Grundrechte genutzt werden kann.

6.   Das weitere Vorgehen: praktische Umsetzung der Grundsätze

Um den Herausforderungen in Verbindung mit Big Data gerecht werden zu können, müssen wir Innovation zulassen und zugleich die Grundrechte schützen. Hierzu sollten die bewährten Grundsätze des europäischen Datenschutzrechts gewahrt, jedoch auf neue Art und Weise angewandt werden.

6.1.   Eine zukunftsorientierte Verordnung

Die Verhandlungen zu der vorgeschlagenen Datenschutz-Grundverordnung stehen kurz vor dem Abschluss. Wir haben die EU-Gesetzgeber nachdrücklich dazu aufgefordert, ein Datenschutzreformpaket zu verabschieden, das den rechtlichen Rahmen stärkt und modernisiert, damit er im Zeitalter von Big Data wirksam bleibt; hierzu muss das Vertrauen des Einzelnen in Online-Aktivitäten und in den digitalen Binnenmarkt gestärkt werden (3).

In unserer Stellungnahme 3/2015 zusammen mit Empfehlungen für einen vollständigen Text des Verordnungsvorschlags haben wir deutlich gemacht, dass unsere derzeitigen Datenschutzgrundsätze, darunter Notwendigkeit, Verhältnismäßigkeit, Datensparsamkeit, Zweckbindung und Transparenz, Schlüsselprinzipien bleiben müssen. Sie bieten die Grundlage, die wir benötigen, um unsere Grundrechte in der Welt von Big Data schützen zu können (4).

Zugleich müssen diese Grundsätze gestärkt und wirksamer sowie moderner, flexibler, kreativer und innovativer angewandt werden. Sie müssen außerdem durch neue Grundsätze ergänzt werden, etwa Rechenschaftspflicht, Datenschutz und eingebauter Datenschutz und automatische, datenschutzfreundliche Voreinstellungen.

Mehr Transparenz, starke Rechte auf Auskunft über und Zugriff auf Daten sowie Datenübertragbarkeit und wirksame Rücktrittsoptionen können als Voraussetzungen dienen, damit Benutzer mehr Kontrolle über ihre Daten haben, und sie können auch zur Entwicklung effizienterer Märkte für personenbezogene Daten zugunsten von Verbrauchern wie auch Unternehmen beitragen.

Und schließlich wird auch die Ausweitung des Geltungsbereichs des EU-Datenschutzrechts auf Organisationen, die sich gezielt mit Einzelpersonen in der EU befassen, und die Ausstattung von Datenschutzbehörden mit den entsprechenden Befugnissen, um sinnvolle Rechtsbehelfe, einschließlich wirksamer Strafen im Sinne der vorgeschlagenen Verordnung, einzulegen bzw. zu verhängen, eine wesentliche Forderung für eine wirksame Durchsetzung unserer Rechtsvorschriften in einem globalen Umfeld sein. Dem Reformprozess kommt diesbezüglich eine entscheidende Rolle zu.

Für eine wirksame Durchsetzung der Rechtsvorschriften müssen unabhängige Datenschutzbehörden nicht nur mit den rechtlichen Befugnissen und mit schlagkräftigen Instrumenten, sondern auch mit den notwendigen Mitteln ausgestattet werden, damit sie ihre Kapazitäten an die Zunahme datengesteuerter Geschäfte anpassen können.

6.2.   Wie bringt der EDSB diese Debatte voran?

Gute Regelungen sind zwar von maßgeblicher Bedeutung, reichen jedoch nicht aus. Unternehmen und andere Organisationen, die viel Zeit und Mühe in innovative Möglichkeiten für die Nutzung personenbezogener Daten investieren, sollten bei der Umsetzung von Datenschutzgrundsätzen das gleiche innovative Denken an den Tag legen. Datenschutzbehörden wiederum sollten die tatsächliche Einhaltung der Vorschriften durchsetzen und honorieren und es vermeiden, unnötige Bürokratie und Formalitäten aufzuerlegen.

Der EDSB möchte, wie in der EDSB-Strategie für 2015-2019 angekündigt, zur Förderung dieser Bemühungen beitragen.

Wir beabsichtigen die Einsetzung einer externen Ethik-Beratergruppe, der hochkarätige und unabhängige Persönlichkeiten mit Erfahrung in den unterschiedlichsten Fachbereichen angehören, die „die Beziehungen zwischen Menschenrechten, Technologie, Märkten und Geschäftsmodellen im 21. Jahrhundert untersucht“, die Auswirkungen von Big Data eingehend analysiert, die sich daraus ergebenden Veränderungen unserer Gesellschaften bewertet und daran mitwirkt, die Themen zu benennen, die im Rahmen eines politischen Prozesses geklärt werden müssen (5).

Wir werden außerdem ein Modell für eine ehrliche Informationspolitik für EU-Organe entwickeln, die Online-Dienste anbieten, die für alle für die Verarbeitung Verantwortlichen einen Beitrag zu bewährten Verfahren leisten können.

Und schließlich werden wir auch Diskussionen fördern, beispielsweise mit dem Ziel, bewährte Verfahren zur Verbesserung von Transparenz und Benutzerkontrolle und zur Eruierung von Möglichkeiten oder persönlichen Datenspeichern und Datenübertragbarkeit aufzuzeigen, zu fördern und Anreize dafür zu bieten. Der EDSB möchte einen Workshop zum Schutz von Big Data für politische Entscheidungsträger und Personen, die große Mengen personenbezogener Daten bei EU-Einrichtungen verarbeiten, und für externe Experten organisieren und aufzeigen, wo weitere konkrete Handlungshilfen erforderlich sind, und die Arbeit des Internet Privacy Engineering Network („IPEN“) als interdisziplinäres Wissenszentrum für Techniker und Datenschutzexperten fördern.

(1)  Public Utilities Commission v. Pollak, 343 U.S. 451, 467 (1952) (Justice William O. Douglas, dissenting).

(2)  Am 25. Januar 2012 nahm die Europäische Kommission ein Paket zur Reform des europäischen Datenschutzrahmens an. Das Paket umfasst i) eine „Mitteilung“ (KOM(2012) 9 endgültig), ii) einen Vorschlag für eine allgemeine „Datenschutzverordnung“ („vorgeschlagene Verordnung“) (KOM(2012) 11 endgültig) und iii) einen Vorschlag für eine „Richtlinie“ zum Datenschutz im Bereich der Strafverfolgung (KOM(2012) 10 endgültig).

(3)  Stellungnahme 3/2015 des EDSB.

(4)  Wir müssen der Versuchung widerstehen, das derzeitige Schutzniveau in dem Bemühen zu verwässern, der vermeintlichen Notwendigkeit eines lascheren Regulierungsansatzes im Zusammenhang mit Big Data nachzugeben. Datenschutz muss sich auch weiterhin auf die Verarbeitung in Gänze beziehen, und zwar nicht nur einschließlich der Nutzung, sondern auch der Erhebung der Daten. Auch pauschale Ausnahmen bei der Verarbeitung pseudonymer Daten oder der Verarbeitung öffentlich zugänglicher Daten sind nicht gerechtfertigt. Die Definition des Begriffs personenbezogene Daten muss intakt bleiben, wobei allerdings weitere Erläuterungen im Text der Verordnung selbst denkbar wären. Die Definition muss sich auf alle Daten erstrecken, die Einzelne betreffen, die — durch den für die Verarbeitung Verantwortlichen oder durch andere — identifiziert und ausgewählt sind oder identifiziert und ausgewählt werden könnten.

(5)  Stellungnahme 4/2015 des EDSB.