Vor einem halben Jahrhundert begann die Reise von der reinen Datensicherung zum einheitlichen Schutz personenbezogener Daten. Mit dem GAIA-X-Projekt aber muss sich nun auch der europaweite Standard der DS-GVO hin zu einer echten Datensouveränität weiterentwickeln.
Der heute international gültige Begriff des Datenschutzes ist nicht, wie einige meinen, unbekannten Ursprungs, sondern wurde durch meinen Aufsatz Persönlichkeitsrechtliche Probleme der elektronischen Speicherung privater Daten (NJW 1970, S. 1581) geprägt beziehungsweise „erfunden“ (zu den Nachweisen, vgl. Seidel, 50 Jahre Datenschutz, Legal Revolution 2020, S. 229). Der Aufsatz beendete seinerzeit die damalige Unterscheidung zwischen geschützter Privat- beziehungsweise Intimsphäre sowie nicht geschützter Sozialsphäre und stellte auf einen einheitlichen Schutz personenbezogener Daten ab. Dieser einheitliche Schutz revolutionierte das damalige Verständnis des Datenschutzes als reine Datensicherung im Sinne des Schutzes der Daten selbst, etwa vor Verlust oder Diebstahl, wie noch im späteren Hessischen Datenschutzgesetz vom Oktober 1970 als weltweit erster gesetzlicher Regelung verankert.
Goldstandard oder Innovationsbremse
50 Jahre später gilt die Datenschutz-Grundverordnung (DS-GVO) vielen weltweit als Goldstandard. Trotzdem mag nicht überall Partystimmung aufkommen, denn nicht wenige sehen darin eine bürokratische Innovationsbremse ohne entsprechenden Mehrwert für den Einzelnen. Insbesondere der Sinn der datenschutzrechtlichen Einwilligung in ihrer gegenwärtigen Ausgestaltung als Legitimation für eine rechtmäßige Datenverarbeitung ist seit Längerem umstritten. Sie wird oft auf der Basis von unverständlichen sowie unvollständigen Einwilligungserklärungen eingeholt und ist zu einer lästigen Pflichtübung ohne erkennbaren Nutzen für den Einzelnen denaturiert.
Datenschutzrechtliche Einwilligung
Verweigert die betroffene Person die Einwilligung in einen Sachverhalt, der vom Anbieter mit der gewünschten Dienstleistung gekoppelt wird, obwohl das nicht unbedingt angebracht oder erforderlich ist, wird die gewohnte Dienstleistung schlichtweg nicht erbracht. Die weiche Vorgabe in Erwägungsgrund 32 S. 5 DS-GVO, dass verschiedene Zwecke auch verschiedene, voneinander unabhängige Einwilligungen voraussetzen müssen, ist in der Praxis weitgehend gescheitert. Um dieses in der Datenverarbeitungspraxis schon fast zur Regel gewordene Defizit zu reformieren, bietet sich als eine Art neuer Goldstandard einer wirklich freiwilligen Einwilligung die Koppelung von Datenschutz und Datensouveränität an.
Datensouveränität
Datensouveränität hat sich zu einem inflationär gebrauchten Diskursbegriff in der Informationstechnik entwickelt. Überspitzt formuliert gibt es dabei so viele Definitionen wie publizierte Autorenbeiträge. Deshalb wird von der Politik und auch von der Wissenschaft eine allgemein anerkannte Definition der Datensouveränität gefordert. Im Rahmen dieser gesellschaftlichen Diskussion ist für mich Datensouveränität der Rechtsanspruch einer natürlichen Person – eventuell auch einer juristischen Person – gegenüber einer datenverarbeitenden Stelle auf voreingestellte Möglichkeiten für selbst gestaltbare und selbst optimierbare Verwendungszwecke ihrer personenbezogenen Daten. Die Souveränität bezüglich der Voreinstellung liegt im Datensouveränitätsrecht beim Verantwortlichen, die Souveränität hinsichtlich der Datenverwendung bei den betroffenen Personen beziehungsweise Datengebern, also jedem Einzelnen (Prinzip einer verteilten Datensouveränität).
Datenvollmachten
Gerade aufgrund des heutigen Stellenwerts von Daten sowie der dem Einzelnen zur Verfügung stehenden stationären und mobilen Datenverarbeitungskapazität ist es aber nicht länger hinnehmbar, personenbezogene Daten nur als Hilfsmittel zur Erfüllung vertraglicher Aufgaben oder im Rahmen einer statisch vorformulierten Einwilligung zu betrachten und den Einzelnen – ohne echte, eigene Gestaltungsmacht – lediglich gegen einen missbräuchlichen Umgang seiner Daten zu schützen. Die Legitimationsgrundlage der informierten und freiwilligen Einwilligung wird zu einer souveränen Einwilligung. Die Aufspaltung eines Sachverhalts in selbstständig wählbare Bausteine liegt nicht mehr länger nur in der Macht der Verantwortlichen, also den Anbietern von Produkten oder Dienstleistungen, sondern entwickelt sich zu einem Anspruch des Einzelnen gegenüber dem Verantwortlichen und macht den Einzelnen damit souverän. Die mit dieser Entwicklung einhergehende Vielzahl von Einwilligungen könnte über die Schnittstelle zur Datensouveränität durch einzelne, breit gefächerte Datenvollmachten ergänzt oder sogar weitgehend ersetzt werden. Diese Datenvollmachten erzeugen eine Vielzahl von Einwilligungserklärungen auf Basis einer durch den Einzelnen selbst autorisierten Datenverwendung mit der Folge von rechtsverbindlichen Verträgen oder Vertragsänderungen. Dies wäre die Grundlage für die Realisierung eines digitalen Einwilligungsassistenten.
GAIA-X
Das von Deutschland zusammen mit Frankreich ins Leben gerufene GAIA-X-Projekt könnte die technische Infrastruktur für die Anwendung dieser neu definierten Datensouveränität bilden, die derzeit noch nicht geltendes Recht darstellt und deswegen über Use Cases für eine spätere Regulierung praxistauglich erprobt werden muss. Anwendungsbeispiele hierfür sind: flexible Arbeitszeitmodelle, Lebensarbeitszeitkonten, effiziente und ressourcenschonende Mobilität über Fahrzeug- und Mobilitätsdaten, Verwendung von Homeoffice-Daten, Nutzung gesundheitlicher Datenangebote, individuelle Kreditgestaltung, Steigerung der Energieeffizienz im Rahmen von Smart Home, Smart Grids und Smart Meter, Online-Vertragsabschlüsse sowie Bestellungen über E-Commerce-Plattformen.
Geldwerte Sachverhalte
Daten im Zusammenhang mit geldwerten Sachverhalten können sektorspezifisch und -übergreifend über eine neuartige Baukasten-Software in rechtsverbindlicher Weise miteinander verknüpft werden, unter anderem über auf künstlicher Intelligenz (KI) basierte Inferenztechniken. Dieser Ansatz schafft den Rahmen für völlig neue, kundenzentrierte Geschäftsmodelle im Sinne einer selbstoptimierbaren Vertragsdatensouveränität.
Europäische Datenwirtschaftsstrategie
Das wirtschaftliche und gesellschaftliche Potenzial von Daten und Technologien, wie etwa KI, soll im Rahmen einer europäischen Datenwirtschaftsstrategie erschlossen werden. Da aber die DS-GVO mit ihrer engmaschigen Regulierung geeignet ist, die Entwicklung innovativer Geschäftsmodelle erheblich einzuschränken beziehungsweise zu begrenzen, ist die weitverbreitete Forderung nach einer Weiterverarbeitung erhobener Daten über die bewilligten Verarbeitungszwecke hinaus mit dem Grundsatz der Zweckbindung nicht vereinbar. Der beschriebene Ansatz einer verteilten Datensouveränität hingegen erweitert nicht nur den Spielraum der Datenverarbeitung bei den betroffenen Datengebern, sondern ebenso auch den der Verantwortlichen als digitale Datenanbieter über eine wertschöpfende Winwin-Situation hinaus. Erweiterte Spielräume bei der Datenverarbeitung als neue Geschäftsmodelle lassen sich dann auch über eine verteilte Datensouveränität zwischen Datenanbieter und Datengeber ohne Absenkung des jetzigen Datenschutzniveaus legalisieren. Anderenfalls würde der erworbene Goldstandard der DS-GVO tatsächlich Schaden nehmen.
Relaunch für die DS-GVO?
Bei der nächsten turnusmäßigen Überprüfung der DS-GVO müssen dieser Streit ausgetragen und die grundsätzlich angesiedelte Problematik zwischen Datensouveränität und Datenschutz gelöst werden. Bei der geplanten europäischen Infrastruktur sollen die darin bestehenden Cloud-Angebote über Open Source sowie offene Standards miteinander verknüpft werden und dabei die Kooperation kleinerer und mittlerer europäischer Cloud-Anbieter fördern. Um den amerikanischen und auch den chinesischen Hyperscalern, die über ein Oligopol von circa 70 bis 80 Prozent der Cloud-basierten Anwendungen verfügen dürften, irgendwie beizukommen, müssten die europäischen Anbieter im globalen Cloud-Wettbewerb attraktive und alternative Angebote ermöglichen.
Sektorspezifische Datenökosysteme
Eine im Rahmen der DS-GVO geregelte Datensouveränität würde den erworbenen Goldstandard im internationalen Wettbewerb festigen. Die Europäische Union will in ihrer künftigen Datenstrategie die Institution eines Datenmittlers (Datenintermediärs) kreieren und fördern, die im Verhältnis Datennutzer (Verantwortlicher) und Datengeber (betroffene Person) die Aggregierung, Anreicherung, Verwaltung, Umwandlung und Verknüpfung von personenbezogenen, aber auch öffentlichen Daten technisch kompatibel, rechtssicher, vertrauenswürdig und mit hohem Datensicherungsniveau gewährleisten sollen. Die dafür erforderlichen gesellschaftsrechtlichen Kooperationen sollen die Stakeholder aus den betroffenen Anwendungsgruppen beteiligen und auch bei der treuhänderischen Verwaltung und Beaufsichtigung der sektorspezifischen Datenökosysteme mitwirken.
Datenmittler
Bei der Anwendung steuerrechtlich zu verarbeitender Daten und Sachverhalte könnte DATEV im Verhältnis von Steuerberater oder Wirtschaftsprüfer einerseits sowie den unternehmensbezogenen und privaten Steuerpflichtigen andererseits, aber auch im Verhältnis zu den Finanzbehörden eine maßgebliche Rolle als Datenmittlerin einnehmen. Dabei könnte sie das Produkt- und Dienstleistungsportfolio der Genossenschaft als standardisiertes Angebot in die GAIA-X-Cloud- lnfrastruktur einbinden und nach den jeweiligen Anforderungen anpassen.
Mehr dazu
Mandanten-Info-Broschüre „Datenschutz-Grundverordnung (DS-GVO)“ unter www.datev.de/shop/32072
Lernvideo online „Datenschutz in der Kanzlei – Mitarbeiterunterweisung 2021“ unter www.datev.de/shop/78900
Präsenzseminar „Datenschutz aktuell 2021 – die Datenschutz-Grundverordnung in der Praxis“ unter www.datev.de/shop/73105
DATEV-Consulting unterstützt mit Angeboten unter www.datev.de/datenschutz-beratungen Kompaktwissen für Berater „Datenschutzrecht für Berater (StB, RA, WP)“ unter www.datev.de/shop/35741
