Mit Einführung der DSGVO mussten sich Unternehmen endgültig mit der Frage auseinandersetzen, mit wem sie welche Daten teilen. Dennoch hört man zunehmend Begriffe wie „OpenData“ und „Datenteilungspflicht“. Steht dies nicht im Widerspruch zum Datenschutz? In diesem Beitrag wird erklärt, was sich konkret hinter diesen Begriffen versteckt und welche Rolle Datentreuhänder zukünftig spielen werden.
Der Inhalt im Überblick
Daten = Macht ?!
Jeder kennt den berühmten Satz: Wissen ist Macht. Zunehmend wird man wohl auch sagen können: Daten bedeuten Macht. Denn die Daten sind letztlich der Schlüssel zum Wissen. Daher werden Daten auch gerne als der Rohstoff des 21. Jahrhunderts bezeichnet. Der große Vorteil an Daten ist, dass diese nicht wie die übrigen Rohstoffe „verbraucht“ werden können. Wenn sie einmal vorliegen, können sie grundsätzlich unbegrenzt genutzt werden. Nur Gesetze können der Datennutzung insoweit Grenzen setzen.
Insbesondere wenn man sich die big player im digitalen Markt wie Google, Facebook und Amazon anschaut, bestätigt sich die obige Hypothese. Es gibt mittlerweile einige wissenschaftlichen Studien über das Verhältnis zwischen Datenmacht und Marktmacht. Zur Klarstellung: Hier sind ausnahmsweise nicht nur die personenbezogenen Daten gemeint, weil auch der Besitz an anonymisierten und sonstigen nicht-personenbezogenen Daten zu einer Machtstellung führen können.
Während die DSGVO dem Schutz des Einzelnen hinsichtlich seiner informationellen Selbstbestimmung dient, erweitern Kartell- und Wettbewerbsrecht den Fokus auf den gesamten Markt. Monopolartige Strukturen gilt es zu vermieden, da diese den Marktzugang durch neue Unternehmen und somit letztlich Wettbewerb und Innovationen hindern. Außerdem nur, wenn der Konsument eine Auswahl an Anbietern hat, kann er auch wirklich freiwillig darüber entscheiden, wer seine Daten zu welchen Zwecken bekommen soll. Leider sieht es derzeit so aus, dass man trotz oder eben wegen langer Datenschutzhinweise nie wirklich weiß, was mit den eigenen Daten passiert. Zudem scheint es oft an Alternativen zu fehlen. Was nützt das datenschutzkonformste Sozialnetzwerk, wenn die Funktionsweise eingeschränkt ist und keiner der eigenen Freunde Mitglied ist. Also bleibt man bei der bekannten Datenkrake und zahlt hierbei mit seinen Daten.
Datenteilungspflicht als Lösung gegen Monopole?
Mit der 10. Novelle des GWB wird es zukünftig eine neue Ermächtigungsgrundlage für die Kartellbehörden geben. Diese können dann gemäß § 19a GWB gegen Digitalkonzerne im Bereich der Daten- und Plattformmärkte vorgehen, soweit bei denen eine „überragende marktübergreifende Bedeutung für den Wettbewerb“ festgestellt wurde. Dies stellt schon mal einen ersten Schritt gegen Monopole am Datenmarkt dar.
Dem Kartellrecht sind natürliche Monopole nicht fremd. Diese können z.B. dann entstehen, wenn es für neue Anbieter nicht rentabel ist, den Markt für sich zu erschließen oder es auch keinen Bedarf hierfür gibt. Die Wasserversorgung oder ein Hafen typische Beispiele für solche Monopole. Es wäre viel zu teuer, eine neue Wasserversorgung oder einen konkurrierenden Nachbarhafen zu bauen. Solche Monopole werden im Kartellrecht durch Gewährung des Rechts auf Zugang und Mitnutzung abgemildert. Ähnlich verhält es sich hier mit dem Informations- bzw. Datenmarkt. Neuen Marktteilnehmern fehlt es oft an den erforderlichen Daten, um ihren Innovationen realisieren zu können. Teilweise scheitert es aber schon am Zugang zum Markt. Wenn die etablierten Unternehmen mit Marktmacht ihre bereits gesammelten Daten zur Verfügung stellen, können neue Marktteilnehmer leichter ihre neuen Produkte und Erfindungen testen, verbessern und am Markt anbieten.
Noch gibt es aber keine konkreten Gesetzesentwürfe oder Konzepte, wie eine Datenteilung letztlich aussehen könnten. Sollte die Datenteilung verpflichtend werden? Und wenn ja, wen trifft diese Pflicht dann? Alle Unternehmen oder nur Unternehmen ab einer bestimmten Unternehmensgröße und/ oder Marktmacht? Besteht der Anspruch auf Datenteilung nur innerhalb der eigenen Branche oder kann die Teilung auch branchenübergreifend erfolgen? All diese Fragen müssen noch gut durchdacht werden.
Probleme bei der Datenteilung
Soweit eine Datenteilung verpflichtend oder freiwillig eingeführt wird, müssen Unternehmen einige Hürde nehmen. So muss geklärt werden, welche Daten überhaupt geteilt werden dürfen, ohne andere gesetzliche Bestimmungen, insbesondere den Datenschutz, zu verletzen. Aber auch die Frage des „Wie“ ist nicht so einfach. Die Unternehmen benutzen schließlich alle unterschiedliche IT-Systeme, was zu einer unterschiedlichen Datenspeicherung führt.
Anonymisierung
Sobald der Personenbezug von Daten aufgehoben wird, greifen die Regeln der DSGVO nicht mehr. Es ist daher rechtlich einfacher, anonymisierte Daten oder Daten, die von Anfang an nie einen Personenbezug hatten, zu teilen. Allerdings ist die Anonymisierung technisch nicht so einfach, wie schon ausführlich in der Vergangenheit berichtet wurde. Die Aufsichtsbehörden vertreten insoweit einen strengen Ansatz und verlangen, dass der Verantwortliche eine jegliche Re-Identifizierung ausschließen muss. Dies ist aber tatsächlich nicht möglich, da ein Verantwortlicher nicht in die Zukunft blicken kann und insoweit nicht weiß, was in 5, 10 oder 50 Jahren technisch möglich ist. Selbst heute können scheinbar anonyme Daten mit anderen Datensätzen zusammengeführt werden, sodass eine Identifizierung doch erreicht wird.
Hier kann wohl nur ein gesetzliches Verbot gegen die Re-Identifizierung weiterhelfen. Die Sanktionen gegen einen Verstoß müssen hierbei abschreckenden Charakter haben. Ein solches Verbot wäre schließlich zwecklos, wenn es vom Management eingepreist werden kann.
Fehlende Datenportabilität
Ein weiteres Problem der Datenteilung liegt wohl darin, dass es heute noch keine standardisierten Speicher- und Übertragungsmethoden gibt. Die Vielzahl an Varianten hierzu ist enorm. Selbst wenn ein Unternehmen viele Daten hat, die es teilen könnte, so müssen diese Daten oftmals erst aufbereitet werden, damit diese überhaupt auswertbar sind. Dies dürfte wohl auch ein Grund sein, warum das Recht des Betroffenen auf Datenübertragbarkeit gemäß Art. 20 DSGVO eher noch ein Schattendasein fristet. Welche Daten müsste denn Facebook für mich aufbereiten und in welchem Format überreichen? Mit welchem anderen sozialen Netzwerk müssten diese übertragenen Daten kompatibel sein? Zur Beantwortung dieser Fragen sind vor allem die ITler gefragt.
Und was macht nun der Datentreuhänder?
Der Datentreuhänder hat letztlich eine vermittelnde Position inne. Die Vermittlung kann entweder zwischen zwei Unternehmen oder einem Unternehmen und der betroffenen Person erfolgen. Hierdurch wird erreicht, dass die Unternehmen nur die tatsächlich notwendigen Informationen erhalten und somit nie über Daten mit Personenbezug verfügen. Insoweit wird die Verantwortung der Pseudonymisierung und Anonymisierung an den Datentreuhänder abgegeben. Bei den Betroffenen steigt auf diese Weise auch das Vertrauen und damit die Akzeptanz an der Datenverarbeitung.
Bereits heute werden Datentreuhänder eingesetzt, insbesondere in medizinischen Forschungsbereichen wie z. B. Biobanken.
Daten für alle?
Der Bundestag hat im Jahr 2017 das sogenannte Open-Data-Gesetz beschlossen. Danach sollen alle Bundesbehörden alle Daten maschinenlesbar und entgeltfrei öffentlich zugänglich machen. Leider gibt es viele Ausnahmeregelungen, welche Daten es betrifft und wer Anspruch auf diese hat. Auch scheint die Umsetzung noch nicht überall erfolgreich zu sein. Aber es ist ein Anfang, bei dem der Staat eine gewisse Vorbildfunktion wahrnimmt.
Auch in der Privatwirtschaft gibt es bereits erste freiwillige Projekte zur Datenteilung. Zu nennen sei da beispielsweise das „NEVADA-Share & Secure“-Konzept der deutschen Automobilindustrie. Danach sollen die die im Fahrzeug generierten Daten sicher weitergegeben werden, sodass die öffentlichen und nicht-öffentlichen Stellen diese nutzen können.
Es bleibt abzuwarten, ob zukünftig tatsächlich eine Datenteilungspflicht eingeführt wird oder ob sich der Markt doch noch selber reguliert. Für den Fortschritt kann es sich nur positiv auswirken und auch die Transparenz für den Einzelnen kann dadurch gestärkt werden.
Dieser Artikel ist mir persönlich zu allgemein gehalten. Interessant wäre es, wenn man das Thema mal herunterbricht auf die schon stattfindenen Daten(ver)teilungen. Wenn z. B. eine Hausverwaltung Ihren Beiräten die Jahresabrechung per Wolke zur Verfügung stellt und ab dem Zeitpunkt gar keine Kontrolle mehr darüber hat wie der Beirat mit den Daten umgeht und wann bzw. ob er diese wieder löscht. Oder was passiert denn, wenn kleine moderne Firmen, die sehr Cloudaffin sind Ihre Daten vor allem personenbezogenen Daten in einer Cloud Ihren (Kunden) Lieferanten zur Verfügung stellen und damit auch die Kontrolle über diese Daten verlieren?
Die von Ihnen vorgeschlagenen Themenvorschläge passen nicht ganz zum Inhalt des Artikels. Folgende Beiträge über den Einsatz von Cloud-Anwendungen könnte vielleicht ein paar Ihrer Fragen hierzu beantworten.
Aus Art. 32 DSGVO ergibt sich, dass zur Gewährleistung der Datensicherheit angemessene technische und organisatorische Maßnahmen ergriffen werden müssen. Diese Pflicht wie auch die Pflicht zur Löschung betrifft den für die Datenverarbeitung Verantwortlichen. Innerhalb eines Unternehmens oder einer sonstigen Organisation sind daher entsprechende Strukturen zu schaffen, um dies zu realisieren. Dies beginnt mit einer Verteilung der Aufgaben und Benennung von Verantwortlichkeiten und endet mit Schulungen für die einzelnen Mitarbeiter. Die Verantwortlichkeit im Sinne der DSGVO endet nur dort, wo jemand anderes selber die Zwecke und Mittel der Datenverarbeitung eigenverantwortlich bestimmt. Das heißt, sie müssen nur dort die Kontrolle behalten, wo Sie auch die Zwecke und Mittel der Datenverarbeitung bestimmen. Soweit Ihre Vertragspartner als Auftragsverarbeiter einsetzen, sind datenschutzrechtliche Vereinbarungen i. S. v. Art. 28 DSGVO erforderlich. Wenn Ihr Vertragspartner diese nicht wahren kann (oder will), dann sollten bzw. müssen Sie von einer (weiteren) Zusammenarbeit absehen.
Ein Blog-Artikel kann natürlich nicht über jegliche Konstellationen informieren. Bei konkreten Fragen zu Einzelfällen sollten Sie sich daher an Ihren Datenschutzbeauftragten wenden.