Zusammenfassung
Der Beitrag erläutert die Aspekte des Daten- und Privatheitsschutzes durch Systemgestaltung. Auf eine einleitende Erläuterung der Systemgestaltung folgt eine Darstellung des Risikobegriffs der DSGVO. Der Risikobegriff als zentraler Bestandteil und wesentliche Neuerung im harmonisierten Datenschutzrecht stellt zugleich den Maßstab für die Anforderungen an die Systemgestaltung dar. Der sog. risikobasierte Ansatz ist dabei nicht nur für eine Betrachtung der Datenschutzrisiken der betroffenen Personen maßgeblich, sondern erfordert eine umfassende Berücksichtigung sämtlicher aus Datenverarbeitungsvorgängen resultierenden Risiken für die Rechte und Freiheiten natürlicher Personen. Eine solche Beurteilung setzt voraus, dass die Verantwortlichen die spezifischen Grundrechtsrisiken ihrer Datenverarbeitungsvorgänge identifizieren können. Daher stellt der Beitrag einen Ansatz der Risikoerkennung vor, der auf einer systematischen Darstellung der jeweiligen Datenverarbeitung aufbaut und diese mit einer zeitlichen Systematisierung möglicher Grundrechtsausübung verknüpft, die eine solche Risikoerkennung für die Verantwortlichen erleichtern kann. Sodann werden die maßgeblichen Kriterien für die Bewertung der Risiken vorgestellt. Hierbei kommt es auf die Art, den Umfang, die Umstände und die Zwecke der jeweiligen Verarbeitung personenbezogener Daten an. Auf der Grundlage der so erkannten und bewerteten Risiken können Verantwortliche im Vorfeld einer Datenverarbeitung eine datenschutzkonforme Systemgestaltung sicherstellen. Dies umfasst sowohl die Umsetzung der Anforderungen an Datenschutz durch Technikgestaltung, d. h. die Implementierung technischer und organisatorischer Maßnahmen auf Grundlage der erkannten Risiken und Datenschutzgrundsätze, als auch die Berücksichtigung datenschutzfreundlicher Voreinstellungen. Zuletzt werden Spannungsfelder datenschutzrechtlicher Sachverhalte angesprochen. Die Querverbindungen und Auswirkungen datenschutzfreundlicher Verarbeitungsverfahren auf etwa Aspekte der Informationsfreiheit (im Kontext öffentlicher Stellen), des Umweltschutzes, des Datenzugangs und des Kartellrechts werden beleuchtet. Mit einer Folgenabschätzung sowie einer frühzeitigen und systematischen datenschutzfreundlichen Systemgestaltung lassen sich in der Regel Lösungen finden, die sämtliche Anforderungen in ausreichendem Maße berücksichtigen.
You have full access to this open access chapter, Download chapter PDF
Similar content being viewed by others
1 Einführung
Das Forum Privatheit hat sich von Anfang an damit beschäftigt, wie sich die Anforderungen von Datenschutz und Privatheitsschutz umsetzen lassen. Eine prominente Rolle dabei spielt die Gestaltung der Systeme, die bezüglich der Verarbeitung personenbezogener Daten zum Einsatz kommen. Dies wird in Bezug auf die heutige und künftige Relevanz in diesem Beitrag diskutiert. Wie sich der Ansatz der datenschutzkonformen Systemgestaltung über die letzten Jahrzehnte entwickelt hat, stellt der folgende Abschn. 2 vor. Abschn. 3 erörtert den Risikobegriff der Datenschutz-Grundverordnung als zentralen Maßstab für die Gestaltung der Systeme. Darauf aufbauend beschreibt Abschn. 4, wie sich die Anforderungen durch technische und organisatorische Maßnahmen über den Lebenszyklus der Systementwicklung und im Betrieb umsetzen lassen. Abschn. 5 beschreibt Spannungsfelder, die bei der Gestaltung nicht außer Acht gelassen werden sollten, um nachhaltige Lösungen zu erreichen. Der letzte Abschn. 6 fasst den aktuellen Forschungsstatus zusammen und leitet Schlussfolgerungen ab.
Die hier verwendeten Begriffe des Schutzes der Privatheit und des Datenschutzes gehen auf die Grundrechte der EU-Grundrechte-Charta (GrCh) in Artt. 7 und 8 zurück. Eine genaue Abgrenzung gestaltet sich häufig schwierig, da beide Grundrechte in den Fällen, in denen personenbezogene Daten mit Bezug zum Privatleben betroffen sind, nebeneinander verwendet werdenFootnote 1 und sich gegenseitig verstärkenFootnote 2. Der Privatheitsschutz lässt sich am ehesten mit dem aus Artt. 2 Abs. 1, 1 Abs. 1 GG abgeleiteten Allgemeinen Persönlichkeitsrecht vergleichen. Der Schutzbereich des Art. 8 GrCh geht dagegen über den Bezug zum Privatleben hinausFootnote 3, setzt nur am Vorhandensein personenbezogener Daten an und stellt somit das allgemeinere Datenschutz-Grundrecht dar. In seiner neueren Rechtsprechung verwendet der EuGH beide Grundrechte in der Regel in Form einer gemeinsamen AnwendungFootnote 4 bzw. sieht die Schutzbereiche beider GrundrechteFootnote 5 eröffnetFootnote 6. Gerade im englischsprachigen Raum werden die Begriffe „Privacy“ und „Data Protection“ aber häufig synonym verwendet.
2 Die Entwicklung des Ansatzes einer Systemgestaltung für Datenschutz und Privatheit
Eine der Neuerungen, die mit der Datenschutz-Grundverordnung (DSGVO) eingeführt wurden, ist die Anforderung „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“. Diese sperrige Überschrift betitelt den Artikel 25 DSGVO. Im Ergebnis geht es um „eingebauten Datenschutz“, d. h. eine Gestaltung der (nicht nur) technischen Systeme auf eine Art und Weise, dass die Datenschutz-Grundsätze umgesetzt oder unterstützt werden. Die Logik hinter dieser Anforderung ist unmittelbar nachvollziehbar: Werden die Systeme, die zur Verarbeitung personenbezogener Daten eingesetzt werden, datenschutzgerecht gestaltet, dient dies insgesamt der Rechtskonformität. Andersherum: Hat man bei der Gestaltung jener Systeme Datenschutzanforderungen nicht berücksichtigt, kann es sein, dass ein rechtskonformer Einsatz nur unter Schwierigkeiten, möglicherweise allenfalls mit zeit- oder kostenintensiven Maßnahmen, oder gar nicht möglich ist.
Diese simple Logik eines in Technik implementierten Datenschutzes und ihre Umsetzung in spezifischen technischen Datenschutzkonzepten wurde bereits vor mehreren Jahrzehnten in Informatik-Fachveröffentlichungen verfolgt.Footnote 7 Mitte der 1990er Jahre erstellten dann die Datenschutzbeauftragten der Niederlande und von Ontario, Kanada, den Report „The Path to Anonymity“, in dem sie den Begriff der „Privacy-Enhancing Technologies“ (PETs, übersetzt als datenschutzfördernde Technik oder datenschutzfreundliche Technologien) einführten.Footnote 8 Der Arbeitskreis Technik der Datenschutzbeauftragten des Bundes und der Länder erarbeitete daraufhin im Jahr 1997 zwei Orientierungshilfen zu datenschutzfreundlichen Technologien.Footnote 9 Während der Begriff der PETs zunächst primär die technischen Konzepte und Implementierungen zur Datenvermeidung und Datensparsamkeit beschrieb, wurde er später erweitert, um auch solche Funktionen zu umfassen, die eine Konformität mit den rechtlichen Datenschutzanforderungen ermöglichen.Footnote 10
Das Konzept des einzubauenden Datenschutzes wurde in Deutschland unter der Bezeichnung „Datenschutz durch Technik“ diskutiert, wobei zusätzlich die Begriffe „Selbstdatenschutz“Footnote 11 für die nutzerseitige Technik und „Systemdatenschutz“Footnote 12 für die Umsetzung aufseiten der Organisation einschließlich der Infrastrukturen unterschiedliche Ausprägungen verdeutlichten. Die Erkenntnis, dass Ansatzpunkte auf verschiedenen Seiten für die Gewährleistung von Sicherheit wie auch Datenschutz eine Rolle spielen können und dafür ein Zusammenspiel der Akteure relevant ist, führten ab Ende der 1990er Jahre zu dem Konzept der mehrseitigen SicherheitFootnote 13: Damit sollen die Perspektiven und Interessen aller Beteiligten in der Gestaltung der konkreten Datenverarbeitung, insbesondere bezüglich der elektronischen Kommunikation, einbezogen und in einen fairen und transparenten Ausgleich gebracht werden. Ein Schwerpunkt liegt auf den Nutzerinnen und Nutzern, die ihre Rechte und Interessen gegenüber mächtigen Organisationen, die über die Datenverarbeitung bestimmen, nicht leicht durchsetzen können. Statt unüberprüfbarer Versprechungen, denen die Nutzenden ohne Kontrollmöglichkeiten vertrauen müssen, sollen nachgewiesene und überprüfbare Garantien gegeben werden, um damit eine Vertrauenswürdigkeit zu rechtfertigen. Die Forschung zur mehrseitigen Sicherheit beschäftigte sich insbesondere mit Verfahren zu Anonymität oder Pseudonymität, verbesserter Transparenz und fairen Aushandlungsmöglichkeiten.
Im internationalen Kontext propagierten Datenschutzbeauftragte, herausragend darunter Ann Cavoukian als Information and Privacy Commissioner der kanadischen Provinz Ontario, das verwandte Konzept von „Privacy by Design“Footnote 14, das auch in einer Resolution der Internationalen Konferenz der Datenschutzbeauftragten Eingang fandFootnote 15 und in zahlreichen Ausarbeitungen diskutiert wurdeFootnote 16. Mit Einführung der Datenschutz-Grundverordnung – dort in Art. 25 DSGVO mit der englischen Bezeichnung „Data Protection by Design and by Default“ – hat das Thema seit einigen Jahren weitere Sichtbarkeit und vor allem normative Relevanz erlangt, sodass der datenschutzrechtlich Verantwortliche nun technische und organisatorische Maßnahmen treffen muss, um die Datenschutz-Grundsätze aus Art. 5 DSGVO wirksam umsetzen zu können.
3 Der Maßstab: das Risiko für die Rechte und Freiheiten natürlicher Personen
Der Risikobegriff ist zentraler Bestandteil und wesentliche Neuerung im harmonisierten Datenschutzrecht. Der Schutz der Rechte und Freiheiten natürlicher Personen vor den Risiken von automatisierter und nichtautomatisierter Verarbeitung personenbezogener Daten gehört zu den Zielen der DSGVO. Um dies zu gewährleisten, müssen die Risiken für eben diese Rechte erkannt und entsprechende Schutzmaßnahmen identifiziert und implementiert werden.
Anhand des Risikos wird beispielsweise bestimmt, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO notwendig ist oder – nach Durchführung einer solchen – eine vorherige Konsultation der Datenschutzaufsichtsbehörde gemäß Art. 36 DSGVO vorgenommen werden muss. Nach dem Risiko für die betroffenen Personen bestimmen sich auch die Verpflichtungen des Verantwortlichen im Fall einer Datenpanne („Data Breach“, Verletzung des Schutzes personenbezogener Daten) nach Artt. 33 f. DSGVO.
Zudem ist der Risikobegriff für die Gestaltung von Verarbeitungsvorgängen von großer Bedeutung. Die Auswahl und Umsetzung der technischen und organisatorischen Maßnahmen nach Artt. 24, 25 und 32 DSGVO bestimmt sich ebenfalls nach dem Risiko, das sich aus der Verarbeitung für die Rechte von Individuen ergibt.
3.1 Risikobegriff
Der Begriff des Risikos im EU-Datenschutzrecht bezieht sich direkt auf die individuellen Grundrechte, wie sie in der EU-Grundrechte-Charta und der Europäischen Menschenrechtskonvention (EMRK) verbürgt sind. Diese Rechte sind für die EU und die Mitgliedstaaten nach Art. 6 EUV verbindlich. Die Formulierung „Rechte und Freiheiten“ ist Art. 52 Abs. 1 GrCh entnommen, der wiederum auf den Gebrauch des Begriffs in der EMRK zurückgeht, die diesen in der französischen Rechtstradition für Grundrechte üblichen Begriff verwendet, da dort Freiheitsrechte nicht vom engeren Verständnis der (subjektiven) Rechte erfasst werden.Footnote 17
Die Zielbestimmung des Art. 1 Abs. 2 DSGVO verweist dabei insbesondere auf das Grundrecht auf Datenschutz nach Art. 8 GrCh, beschränkt ihre Reichweite aber nicht darauf, sondern nimmt sämtliche Grundrechte in Bezug. Damit unterscheidet sich der Bezugspunkt des Risikobegriffs in der DSGVO von anderen bekannten RisikobegriffenFootnote 18 und insbesondere vom Ansatz des Risikomanagements. Im Risikomanagement werden Risiken für eine Organisation und ihre Tätigkeit betrachtet. So bezieht sich das Informationssicherheitsmanagement als Unterkategorie des Risikomanagements auf die Auswirkungen eventueller Sicherheitslücken oder anderer sicherheitsrelevanter Ereignisse für die Organisation.
Der Risikobegriff der DSGVO hat also ein anderes Schutzgut als bisherige Risikobegriffe.Footnote 19 Er schützt die Rechte von Individuen, insbesondere der von der Verarbeitung betroffenen Personen. Aus diesem verändertem Schutzgut ergibt sich auch eine weitere Abweichung von anderen Risikomodellen: Der Verantwortliche als datenverarbeitende Organisation ist ebenfalls eine Risikoquelle. Da er grundsätzlich Zugriff auf sämtliche Daten hat, kann er diese auch zum Nachteil der betroffenen Personen einsetzen.
Die DSGVO definiert den Risikobegriff nicht explizit. Aus Wortlaut, Systematik und Telos des Gesetzes hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) die folgende Definition des Risikos abgeleitet:
„Ein Risiko im Sinne der DSGVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.“Footnote 20
Diese Definition ist auf ErwGr. 75 gestützt, wonach sich aufgrund der Risiken einer Verarbeitung physische, materielle und immaterielle Schäden ergeben können. Insofern folgt daraus, dass Risiken mögliche Schäden beschreiben. Dass darunter auch die Verletzungen von Grundrechten der betroffenen Personen fallen können, stellt ErwGr. 94 S. 2 DSGVO klar.Footnote 21 Dies verdeutlicht den Unterschied zum Risikomanagement oder dem Risikobegriff in der Informationssicherheit. Allerdings ist nur eine Verletzung von Grundrechten ein Schaden, nicht dagegen jede Beeinträchtigung. Wenn eine Beeinträchtigung nicht gerechtfertigt ist, liegt ein Schaden vor. Wenn es jedoch Gründe für die Beeinträchtigung gibt, die die Voraussetzungen von Art. 52 Abs. 2 GrCh an eine Rechtfertigung erfüllen, liegt auch keine Verletzung und somit kein Schaden vor.
Bei dem Risiko nach der DSGVO handelt es sich also um Risiken für Grundrechte. Das Risiko besteht darin, dass die Beeinträchtigung eines Grundrechts nicht ausreichend gerechtfertigt ist und dieses dadurch verletzt wird. Dabei ist zunächst auf das Grundrecht auf Datenschutz gemäß Art. 8 GrCh abzustellen. Das Risiko für das Grundrecht auf Datenschutz besteht darin, dass die Beeinträchtigung, die in der bloßen Verarbeitung personenbezogener Daten besteht, nicht in dem erforderlichen Maße verringert wird, um – etwa mit Hilfe technischer und organisatorischer Maßnahmen – ein angemessenes Schutzniveau zu erreichen.Footnote 22
Allerdings ist der Risikobegriff eben nicht auf Art. 8 GrCh beschränkt, sondern bezieht sich auch auf sämtliche weitere einschlägige Grundrechte. Als Grundrechte, die im Rahmen der Verarbeitung personenbezogener Daten relevant seien können, kommen nach ErwGr. 4 DSGVO insbesondere das Recht auf Privatleben, Meinungsfreiheit und NichtdiskriminierungFootnote 23 in Betracht.Footnote 24
Insbesondere im Hinblick auf das Recht auf Nichtdiskriminierung bergen Datenverarbeitungsvorgänge teils erhebliche Risiken für die betroffenen Personen. Das gilt beispielsweise beim Einsatz eines Algorithmus zur Gesichtserkennung, der die Gesichter Schwarzer Menschen oder People of Color nicht richtig erkennen kann.Footnote 25 Auch algorithmische Systeme, die durch Maschinenlernen auf Basis von Daten mit einem vorurteilsbehafteten Bias (Verzerrung) trainiert werden, können diese Vorurteile bei ihrem Output (Entscheidungen oder Prognosen) verstärken. Dies war z. B. der Fall bei der Software COMPAS (Correctional Offender Management Profiling for Alternative Sanctions), die Gerichte vieler US-Bundesstaaten zur Rückfallprognose für Straftäter eingesetzt haben oder noch einsetzen und die Fehlprognosen zulasten von marginalisierten Bevölkerungsteilen liefert.Footnote 26 Auf diese Weise können die algorithmischen Systeme zu weiteren repressiven Maßnahmen gegen diese Personengruppen beitragen.
Eine Diskriminierung kann auch niedrigschwelliger bestehen, zum Beispiel wenn bei einem auszufüllenden Formular, das Geschlecht oder die Anrede als Pflichtangabe auszufüllen sind, aber nur binäre Geschlechter erfasst sind und eine Angabe für nicht-binäre Personen fehlt.Footnote 27
Datenverarbeitungsvorgänge lassen sich gezielt einsetzen, um die körperliche Integrität anzugreifen. Dies ist etwa durch den Einsatz von Smart-Home-Geräten möglich, mit denen (ehemalige) Partnerinnen überwacht oder gestalkt werden können. Zu diesen Geräten hat oft nur eine Person im Haushalt einen Administratorzugang, der es ermöglicht, auf umfassende Datenbestände zuzugreifen und die Konfiguration zu ändern. So können durch vernetzte Heimgeräte etwa aus der Ferne Alarme ausgelöst, Türschlösser geschlossen oder geöffnet werden, Lichter an- und ausgeschaltet werden.Footnote 28 Dies dient dazu, das Opfer massiv zu verunsichern und auf das eigene Umfeld psychisch instabil wirken zu lassen (sog. Gaslighting).Footnote 29
Folglich kann sich ein Verarbeitungsvorgang auf eine Vielzahl von Grundrechten auswirken. Diese vollständig zu erfassen, kann im konkreten Fall eine Herausforderung für den Verantwortlichen darstellen.
3.2 Risikoerkennung
Eine wesentliche Aufgabe in Zusammenhang mit dem risikobasierten Ansatz der DSGVO ist die Risikoerkennung. Hierzu ist es nicht nur notwendig, dass die Verantwortlichen ihre eigene Datenverarbeitung im Detail kennen, sondern sie müssen auch mögliche Risiken auf Grundlage dieser Datenverarbeitung antizipieren.
Die Kenntnis der eigenen Datenverarbeitung setzt voraus, dass die konkreten technischen Abläufe der Verarbeitungsverfahren dem Verantwortlichen bekannt sind und dass Verarbeitungsvorgänge als solche identifiziert werden. Bereits zum korrekten Bestimmen der Rechtsgrundlage für eine Datenverarbeitung darf es sich – dies ist eine generelle Anforderung der DSGVO – bei einem Verarbeitungsvorgang nicht um eine technische „Black Box“ handeln.Footnote 30
Die Verantwortlichen müssen also wissen, welche Vorgänge zu welchen Zwecken personenbezogene Daten auf welche Art und Weise verarbeiten. Dies ist in den Fällen zumeist ein geringeres Problem, wo Verantwortliche die technische Entwicklung ihrer Software selbst in der Hand haben und diese auf Grundlage eigenen technischen Know-hows in eigener Verantwortung vornehmen. Schwieriger ist dagegen die Verwendung von Drittanbietersoftware in Form von Bibliotheken, Schnittstellen oder im Auftrag durch Dritte entwickelte Software.Footnote 31
Verantwortliche, die nicht über das notwendige eigene Know-how verfügen, um alle technischen Details abschätzen zu können, dürfen sich zwar in gewissem Maße auf etwaige Auftragnehmer und Dienstleister verlassenFootnote 32, wenn diese die Infrastruktur für Datenverarbeitung entwickeln und einrichten. Ab dem Punkt, an dem substanzielle Risiken für die betroffenen Personen involviert sind, müssen aber die Verantwortlichen in der Lage sein, die Datenverarbeitung in eigener Kompetenz auf sämtlichen Ebenen in ausreichendem Maße nachvollziehen zu können. Hier steigen die Anforderungen an das konkrete Wissen des Verantwortlichen mit der Eingriffsintensität der Datenverarbeitung, die sich aus den konkreten Umstände der Verarbeitung ergibt.Footnote 33
Die bei einem Verarbeitungsvorgang genutzten Komponenten müssen, sofern sie unmittelbar an der Verarbeitung personenbezogener Daten beteiligt sind und ein Risiko begründen können, in ihrer technischen Funktionsweise für den Verantwortlichen bekannt sein. Das bedeutet, dass auch der Verantwortliche selbst hinreichend über die konkrete Verarbeitung etwa in den genutzten Drittbibliotheken informiert sein muss.
Gerade hinsichtlich dieser Anforderung wurde oft kritisiert, dass der europäische Gesetzgeber damit den Verantwortlichen zu schwere Verpflichtungen auferlegen würdeFootnote 34 und dass die datenschutzrechtlichen Anforderungen als Innovationshemmnis wirken würdenFootnote 35. Diese Kritik lässt aber unberücksichtigt, dass die Verantwortlichen durch die Verarbeitung personenbezogener Daten und dabei durch den Eingriff in fremde Rechte erst die Ursache für die ihnen gesetzlich auferlegten Pflichten setzen.
Verantwortliche können für sich und ihre Tätigkeit zwar eigenen Grundrechtschutz in Anspruch nehmen, dieser wirkt dann aber, soweit Grundrechte anderer Personen betroffen sind, nicht grenzenlos. Die konkreten datenschutzrechtlichen Anforderungen sind damit nur Ergebnis des gesetzgeberischen Abwägungsprozesses, der sowohl die Rechte der Verantwortlichen berücksichtigt als auch die Rechte der durch die Datenverarbeitung betroffenen Personen.
Bei der Risikoerkennung kommt es immer wieder zu der Situation, dass die Verantwortlichen besonders die mit der IT-Infrastruktur zusammenhängenden Risiken beachten und dabei andere Risiken, insbesondere originäre Datenschutzrisiken, unberücksichtigt bleiben.Footnote 36 Diese Betrachtung setzt nicht die betroffenen Personen in den Fokus, sondern dient dem unmittelbare Eigeninteresse der Verantwortlichen an einer sicheren IT-Infrastruktur. Dabei kann nicht oft genug darauf hingewiesen werden, dass die Risikoerkennung zwar zuerst den Interessen der betroffenen Person(en) dienen soll, aber auch im Eigeninteresse der Verantwortlichen stattfindet, da die dort erkannten Risiken auch unternehmerische Risiken darstellen: Es ist z. B. denkbar, dass geistiges Eigentum in Form der Software oder Know-how (wie genutzten Algorithmen) verloren werden könnte oder auch Kundendaten, die oft der Monetisierung dienen und jedenfalls als Kundenkontakte unmittelbar den Wert eines Unternehmens bestimmen, von Angreifern entwendet werden könnten. Hierbei zeigt sich ein zentrales Problem im Datenschutz, nämlich dass die Verantwortlichen in Anlehnung an die Informationssicherheit nur Dritte als mögliche Angreifer auf die Grundrechte der betroffenen Personen sehen. Kaum Berücksichtigung findet der einer Datenverarbeitung nächste Akteur: der Verantwortliche, der im Datenschutz oft die erste Risikoquelle darstellt.
3.2.1 Entwicklung eines Frameworks zur Risikoerkennung
Die umfassende Auseinandersetzung mit der eigenen Tätigkeit setzt einerseits die systematische Erfassung der konkreten Verarbeitungsvorgänge voraus und andererseits die Berücksichtigung sämtlicher durch die Verarbeitung tangierter Grundrechte. Der folgende Ansatz ist der Vorschlag für ein entsprechendes FrameworkFootnote 37 zur besseren Darstellung der eigenen Datenverarbeitungsvorgänge und der daraus resultierenden Sichtbarmachung von mit diesen Datenverarbeitungsvorgängen zusammenhängenden Risiken für natürliche Personen. Der Ansatz geht von drei Schritten aus, die Verantwortliche vorab durchführen müssen, um auf eine für die sodann zu erfolgende Risikoerkennung optimierte Verfahrensdokumentation zurückgreifen können:
-
Identifikation der personenbezogenen Daten
-
Identifikation von Verarbeitungsvorgängen
-
Unterteilung der Verarbeitungsvorgänge in Abschnitte und Phasen
Im ersten Schritt sollte dafür eine Übersicht der verarbeiteten personenbezogenen Daten einschließlich ihrer Herkunft und des Ortes der jeweiligen Verarbeitung (d. h. welches (technische) System an welchem Standort welche Daten verarbeitet) angefertigt werden.
Im nächsten Schritt hilft eine systematische Darstellung der einzelnen Datenverarbeitungsvorgänge. Dabei ist es zunächst sinnvoll, einen Datenverarbeitungsvorgang in verschiedene Abschnitte zu unterteilen, um eine bessere Übersicht zu gewährleisten. Bei der Ausarbeitung der verschiedenen Datenverarbeitungsvorgänge ist zu berücksichtigen, dass wesentliche Teile der Datenverarbeitung isoliert dargestellt werden sollten, um die dortigen spezifischen Risiken besser erkennen und verstehen zu können. Hierzu sollten Teile, bei denen zeitliche, funktionelle oder räumliche Zäsuren aufzufinden sind, getrennt dargestellt werden. Zuletzt können die einzelnen Vorgänge in unterschiedliche Phasen eingeteilt werden, um den Kern des jeweiligen Vorgangs herauszuarbeiten. Dadurch werden für wesentliche Teile der Datenverarbeitung Herkunft und Fluss der Daten sichtbar und können bei der Risikoerkennung schneller berücksichtigt werden.
3.2.2 Verarbeitungsbegriff der DSGVO
Bei der Beschreibung der maßgeblichen Datenverarbeitung stehen die Verantwortlichen vor der Herausforderung, überhaupt alle maßgeblichen Verarbeitungsvorgänge zu erkennen. Die DSGVO selbst definiert dafür Verarbeitung in Art. 4 Nr. 2 DSGVO als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“. Darauf folgt eine Liste mit verschiedenen Beispielen abstrakter Verarbeitungsvorgänge. Verantwortliche sollten sich aber nicht nur an die (nicht abschließende) Liste mit konkreten Beispielen möglicher Verarbeitungsvorgänge in Art. 4 Nr. 2 DSGVO halten, sondern eher einen abstrakten Ansatz wählen.
Die im Gesetzeswortlaut verwendeten Begriffe zeigen, dass ein Verarbeitungsvorgang einerseits technisch (etwa „speichern“ oder „löschen“) und andererseits tatsächlich (etwa „verwenden“ oder „vernichten“) beschrieben werden kann. Daneben können Anknüpfungspunkte die Plattform der Verarbeitung sein (tätigkeitsbezogen, also etwa Software und Hardware) oder eine eher datenbezogene (bzw. ergebnisbezogene, wie z. B. „Offenlegung“) Beschreibung sein.
Für die Einschlägigkeit der Legaldefinition benötigt man lediglich einen „ausgeführten Vorgang“ bzw. eine „Vorgangsreihe“ in Zusammenhang mit personenbezogenen Daten. Dabei kommt es ebenso wenig darauf an, dass der Vorgang oder die Vorgangsreihe eine bestimmte Erheblichkeit aufweist, wie es auf die Laufzeit des konkreten Vorgangs ankommt. Weder kann von der Laufzeit eines Datenverarbeitungsvorgangs auf etwaige Abflüsse personenbezogener Daten, noch kann auf die konkrete Eingriffsstärke geschlossen werden. Sowohl technische und organisatorische Maßnahmen (wie etwa Verschlüsselung) können im konkreten Fall Verarbeitungsschritte darstellen, wie es auch die mittels Techniken des Machine Learnings verarbeiteten und dafür flüchtig gespeicherten Videobilder sind.
3.2.3 Risikoerkennung und datenschutzfremde Risiken
Um in der nun beschriebenen Datenverarbeitung zuverlässig die möglichen Risiken erkennen zu können, müssen die unterschiedlichen Phasen der Datenverarbeitung mit den möglicherweise betroffenen Grundrechten und Freiheiten abgeglichen werden.Footnote 38
An dieser Stelle stehen die Verantwortlichen häufig vor dem nächsten Problem: der Bestimmung der einschlägigen Grundrechte. Im Zweifel werden die Verantwortlichen bei einer Datenverarbeitung, die bereits bei summarischer Betrachtung als eingriffsintensiv zu qualifizieren ist, einen umfassenden Blick auf infrage kommende Grundrechte werfen und auf etwaige Beeinträchtigungen prüfen müssen.
Gerade in Bereichen, in denen möglicherweise nur bestimmte, marginalisierte Personengruppen betroffen sind, liegen mögliche Ursachen für schwerwiegende Diskriminierungen. Diese aus Sicht der Verantwortlichen womöglich nicht naheliegenden Risiken zu berücksichtigen, ist die wesentliche Aufgabe des im Folgenden dargestellten Prozesses. Zugleich liegt darin eine besondere Schwierigkeit, denn die dargestellten Verarbeitungsvorgänge müssen nun aus einer grundrechtlichen Perspektive untersucht werden.
Das eigens dafür entwickelte Framework macht potenzielle Risiken besser sichtbar, indem eine übersichtliche und systematische Erfassung von Daten und Datenverarbeitungsvorgängen erstellt wird. Auf dieser Grundlage ist ein einfacheres Matching der Datenverarbeitung mit etwa betroffenen Rechten und Freiheiten möglich.
Beeinträchtigungen von Grundrechten können ihrer Wirkung entsprechend in einen zeitlichen Zusammenhang zur Datenverarbeitung gesetzt werden. Das führt dazu, dass die Auswirkungen einer Datenverarbeitung konkrete Auswirkungen auf die Grundrechtsausübung im zeitlichen Umfeld zur Datenverarbeitung haben kann. Eine zeitliche Betrachtung kann sich daher auf Auswirkungen im Vorfeld der Datenverarbeitung, Auswirkungen im Zeitpunkt der Datenverarbeitung sowie auf Auswirkungen im Nachgang der Datenverarbeitung beziehen (Abb. 1).
Zeitliche Betrachtung grundrechtsrelevanter Auswirkungen
Im Vorfeld der Datenverarbeitung können insbesondere Chilling Effects und Überwachungsdruck dazu führen, dass die betroffene Person Grundrechte gar nicht oder nicht wie ursprünglich gewünscht ausübt. Die sog. Chilling effects beschreiben eine Situation, in der eine betroffene Person auf die Ausübung von Grundrechten verzichtet oder sie nicht wie gewünscht ausübt, da sie mit negativen (oft juristischen) Konsequenzen rechnet.Footnote 39 Es handelt sich im Ergebnis um eine Selbstbeschränkung durch Einschüchterung.Footnote 40 Überwachungsdruck führt dazu, dass sich eine betroffene Person bei der Ausübung ihrer Freiheitsrechte überwacht und deswegen beeinträchtigt fühlt. Dieses Gefühl kann auch in einer Situation eintreten, in der sie eine Überwachung „objektiv ernsthaft befürchten“ muss.Footnote 41 Die betroffene Person unterlässt in diesen Fällen also in Ansehung einer Datenverarbeitung die Ausübung ihrer entsprechenden Grundrechte. Denkbar ist dies in Fällen, in denen an einer Demonstration nicht teilgenommen wird, weil die Polizei Teile der Demonstration filmt und man entweder mit Sanktionen rechnet oder schon die Verknüpfung von Teilnahme und Thema der Demonstration im konkreten Fall negative Implikationen für Teilnehmende haben kann.
Auch während die eigentliche Datenverarbeitung stattfindet, kann die Grundrechtsausübung als solche beeinträchtigt werden. Dies ist insbesondere in Fällen relevant, in denen Verantwortliche die Verarbeitung personenbezogener Daten auf eine Rechtsgrundlage stützen wollen, deren Tatbestandsvoraussetzungen gar nicht vorliegen und insoweit der Eingriff nicht gerechtfertigt wird.
Schließlich kann als Folge der Datenverarbeitung etwa der Erfolg der Grundrechtsausübung verhindert oder die Ausübung aus Sicht der betroffenen Person sanktioniert werden. Hier ist etwa der Fall denkbar, dass eine Online kundgetane Meinungsäußerung sanktioniert werden soll. Dafür will man sich eines sog. Social Scores bedienen, also mittels Beurteilung verschiedener Verhaltensweisen oder Äußerungen eine Bewertung der Nutzerinnen und Nutzer vornehmen. Gewünschte Verhaltensweisen und Äußerungen wirken sich dabei positiv auf die Bewertung aus, Unerwünschtes wirkt dagegen negativ. Dafür sollen Online getätigte Meinungsäußerung gecrawlt und verarbeitet werden, um diesen Social Score generieren zu können und ungewünschte Meinungsäußerung im Nachhinein sanktionieren zu können.
3.3 Risikobewertung
Nachdem die Verantwortlichen die möglichen Risiken erfolgreich identifiziert haben, müssen diese Risiken bewertet werden. Dabei setzt der Risikobegriff der DSGVO grundsätzlich zwei Komponenten der Bewertung voraus, nämlich die Eintrittswahrscheinlichkeit und die Schwere des möglichen Schadens.Footnote 42 Dabei müssen die Verantwortlichen, wie auch bei der Risikoidentifizierung, die Perspektive der betroffenen Personen einnehmen und können sich nicht auf Risiken für ihre Organisation beschränken.
Grundsätzlich hängt die Einordnung maßgeblich von der Art, dem Umfang, den Umständen und den Zwecken der Datenverarbeitung ab.Footnote 43 Irrelevant ist dagegen, wenn die Risiken im konkreten Fall keine von den Verantwortlichen intendierte Folge der Datenverarbeitung sind. Zur Beurteilung der Eintrittswahrscheinlichkeit haben die Verantwortlichen eine Prognoseentscheidung zu treffenFootnote 44, sie beruht entweder auf statistischen ErfahrungswertenFootnote 45 oder auch nachvollziehbaren, objektiven ErwägungenFootnote 46.
Der erste Schritt in der Bewertung ist die Vorüberlegung, wie die Schwere und Eintrittswahrscheinlichkeit besser greifbar und vergleichbar bezeichnet werden kann. Zur besseren Handhabung beider Kategorien hat sich dafür die Nutzung einer Stufenskala bewährt. Hierbei kann etwa auf ein Modell aus drei (leicht, mittel und schwer)Footnote 47 oder vier Stufen (geringfügig, überschaubar, substanziell und groß)Footnote 48 zurückgegriffen werden. Durch die Nutzung eines Stufenmodells kann zwar eine Vergleichbarkeit hergestellt werden, es wird aber durch Vermeidung von absoluten Zahlenwerten nicht der Eindruck eines in Wirklichkeit nur pseudowissenschaftlichen Systems vermittelt.Footnote 49
Bei der Frage der Bewertung können verschiedene Aspekte eine Rolle spielen. So ist die Bedeutung des Schadens für die betroffene Person ein erster Ansatzpunkt. Es muss allerdings auch berücksichtigt werden, ob der betroffenen Person eine Möglichkeit der Einflussnahme offensteht oder sie sich der konkreten Datenverarbeitung entziehen kann. Genauso wie die konkrete Kenntnis der Datenverarbeitung sind diese Aspekte bei der Bewertung zu berücksichtigen.
Sowohl die Schwere möglicher Schäden als auch die Eintrittswahrscheinlichkeit können sodann von verschiedenen Aspekten der Datenverarbeitung abhängen; die DSGVO nennt dafür die Art (nature), den Umfang (scope), die Umstände (context) und die Zwecke (purposes) der Datenverarbeitung:
Art (nature)
Gerade die Beurteilung der Schwere der möglichen Rechtsgutverletzung kann im Einzelfall eine große Herausforderung für die Verantwortlichen und für die betroffenen Personen ein neues spezifisches Risiko der Fehleinschätzung darstellen. Zunächst sind die Gegebenheiten der Datenverarbeitung zu berücksichtigen, denn ihre Art im konkreten Fall kann eine besondere Schwere möglicher Rechtsverletzungen indizieren.
Hierbei ist sowohl die Art der Datenverarbeitung selbst zu berücksichtigen, also ihre technische Ausgestaltung im konkreten Fall, als auch die Art der personenbezogenen Daten, die Gegenstand dieser Datenverarbeitung sind. Gerade in den Fällen, in denen die Datenverarbeitung aufgrund ihrer technischen Ausgestaltung (etwa bei der Nutzung einer “Künstlichen Intelligenz”) für die Verantwortlichen weniger handhabbar und dadurch besonders gefahrgeneigt ist, muss dieser Umstand bei der Bewertung berücksichtigt werden.
Im nächsten Schritt sind die Arten der verarbeiteten personenbezogenen Daten zu betrachten. Dabei ist gerade ihre spezifische Bedeutung für die betroffene Person zu berücksichtigen. So können auf den ersten Blick normal sensible personenbezogene Daten aufgrund besonderer Umstände der betroffenen Person ein besonderes Gefahrenpotenzial innewohnen. Diese besonderen Umstände können insbesondere mit den in Art. 9 Abs. 1 DSGVO genannten persönlichen Attributen der betroffenen Person zusammenhängen; die Fallgruppen sind allerdings nicht auf die dort genannten Fälle beschränkt.Footnote 50
In anderen Situationen kann sich bereits aus der Art der personenbezogenen Daten ihre besondere Sensibilität ergeben, ohne dass es auf eine besondere Situation der betroffenen Person ankäme, da diese Daten für alle denkbaren Personen im Kontext einer Datenverarbeitung eine besondere Gefährlichkeit aufweisen würden. Diese sensiblen Daten stellen insbesondere die Gruppe der besonderen Kategorien von personenbezogen Daten aus Art. 9 Abs. 1 DSGVO dar.
Aus der Dauer einer Datenverarbeitung lassen sich nur sehr wenig Anhaltspunkte für das Risiko aus der Art der Datenverarbeitung ziehen. Die Dauer der Datenverarbeitung hängt neben der Art der Datenverarbeitung maßgeblich von deren Implementierung und der Leistungsfähigkeit der Hardware ab, auf der diese stattfindet. Da besonders die beiden letzten Faktoren sehr subjektiv sind und mit der notwendigen Hardware mittlerweile äußerst komplexe Datenverarbeitungsvorgänge in Bruchteilen einer Sekunde stattfinden, lässt die Dauer der Datenverarbeitung kaum Rückschlüsse auf ihre Gefahrgeneigtheit zu. Anders wäre dies eventuell zu werten, wenn es gerade um die Flüchtigkeit der während der Datenverarbeitung gewonnenen Daten ginge (etwa als Maßnahme zur Datenminimierung oder Verringerung des durch die Datenverarbeitung erfolgen Eingriffes) und Daten durch die Dauer länger persistent im Speicher existieren.Footnote 51
Umfang (scope)
Der Umfang der Datenverarbeitung hängt eng mit der Art der Datenverarbeitung zusammen. In ErwGr. 91 Satz 3 sieht der Gesetzgeber eine „systematisch in großen Umfang“ erfolgende Datenverarbeitung als mögliche Voraussetzung für eine Datenschutz-Folgenabschätzung, mithin als Indiz für ein hohes Risiko i.S.v. Art. 35 Abs. 1 Satz 1 DSGVO. Eine solche „systematisch in großen Umfang“ erfolgende Datenverarbeitung kann auf verschiedenen Ebenen stattfinden: Naheliegend ist zunächst die quantitative Berücksichtigung der betroffenen Personen: das Risiko einer Datenverarbeitung steigt bereits mit der bloßen Anzahl an Personen deren personenbezogene Daten verarbeitet werden. Diesen Aspekt werden Verantwortliche in der Regel erkennen können, da sich bereits aus Informationssicherheitserwägungen ergibt, dass eine große Menge an Datensätzen zu Begehrlichkeit für Angreifer führen kann.
Der Umfang kann sich allerdings auch auf die technische Ebene der Datenverarbeitung auswirken, denn einerseits kann die quantitative Menge an Datenverarbeitungsvorgängen Berücksichtigung finden, die sich wiederum aus der Komplexität einer einzelnen zusammenhängenden Verarbeitungstätigkeit zusammensetzen können oder auf der anderen Seite eine große Anzahl an wiederkehrendenden Datenverarbeitungsvorgängen bestehen kann. Andererseits kann auch die bloße Menge an personenbezogenen Daten zu spezifischen Risiken führen, etwa umfangreiche Bewegungsprofile bestehend aus einzelnen Aufenthaltsorten und den jeweiligen abgeleiteten Bewegungsvektoren. Gleiches gilt für den Fall, dass große Mengen besonders schutzwürdiger Daten verarbeitet werden, da eine eingriffsintensivere Datenverarbeitung auch gleichzeitig eine risikoreichere Datenverarbeitung darstellt. Für diesen Rückschluss hat der Gesetzgeber dort eine Ausnahme vorgesehen, wo die Berufsausübung spezieller, aufgrund besonderer Vertrauensstellung privilegierter Berufsgruppen betroffen ist.Footnote 52
Im Rahmen der Betrachtung des Umfangs einer Datenverarbeitung müssen aber auch etwaige Querbezüge und Auswirkungen unterschiedlicher Datenverarbeitungsvorgänge berücksichtigt werden. So können sich Wirkungen und Wirkweisen einer Datenverarbeitung im Zusammenspiel mit anderen Datenverarbeitungen verstärken oder verändern, sodass auch diese spezifischen Risiken im Sinne einer „Überwachungsgesamtrechnung“ Eingang in die Risikobetrachtung finden müssen.Footnote 53
Umstände (context)
Die spezifische Schwere des möglichen Eingriffes kann sich auch aus den Umständen der Datenverarbeitung ergeben. Hierzu zählen einerseits persönliche Umstände, die etwa in der Person der Betroffenen zu finden sind, situative Umstände, also eine spezifische Gefährlichkeit etwa der Erhebung der personenbezogenen Daten und/oder der weiteren Verarbeitung und die qualitative Gefährlichkeit der Datenverarbeitung. Dieser Aspekt überschneidet sich auch mit der Art und dem Umfang der Datenverarbeitung.
Die Auswirkungen von Verarbeitungsvorgängen können auch über die Grenzen einzelner Verantwortlichkeit hinaus relevant sein. So sind gerade im Bereich der Überwachungsgesetze und Rechtsgrundlagen für konkrete Überwachungsmaßnahmen nicht nur die Auswirkungen des konkreten Vorhabens im Rahmen einer etwaigen Gesetzes-DSFA zu überprüfen, sondern auch bisherige Maßnahmen und deren Umsetzung bzw. konkrete Anwendung in die Risikobetrachtung einzubeziehen. Mithilfe dieser „Überwachungsgesamtrechnung“ muss sichergestellt werden, dass die „Freiheitswahrnehmung der Bürger nicht total erfasst und registriert werden darf“Footnote 54. In die gleiche Richtung ging auch die Argumentation des BVerfG bei den Entscheidungen zum Scanning von Kfz-Kennzeichen.Footnote 55 Hier stellte das BVerfG fest, dass derartige anlasslose MaßnahmenFootnote 56 nicht flächendeckend stattfinden dürften.
Zwecke (purposes)
Auch die Zwecke der Datenverarbeitung haben in der Regel Auswirkung auf die Risikobewertung. So können die Zwecke ein besonderes Gefahrenpotenzial darstellen, wenn der Zweck ein spezifisches Risiko für Eingriffe in die Rechte und Freiheiten der betroffenen Personen schafft. Ähnlich deutlich sind auch die Auswirkungen auf die Eintrittswahrscheinlichkeit, denn durch die Zwecke kann die Eintrittswahrscheinlichkeit spezifischer Schäden deutlich erhöht werden: Denkbar sind Fälle, in denen es bei der Datenverarbeitung darum geht, personenbezogene Daten zu veröffentlichen, und so das Risiko der Verknüpfung mit anderen personenbezogenen Daten nicht nur abstrakt eröffnet, sondern durch die Veröffentlichung konkret erhöht wird.
Das Vorgehen nach dem vorgestellten Framework ermöglicht es Verantwortlichen die Risikoerkennung gerade im Kontext komplexer Datenverarbeitungsvorgänge zu optimieren. Der konkrete Umfang und notwendige Detailierungsgrad ist dabei jeweils von der Komplexität der jeweiligen Datenverarbeitung abhängig. Dabei obliegt den Verantwortlichen gerade bei Datenverarbeitungsvorgängen, die sich schon bei summarischer Betrachtung als besonders gefahrengeneigt für die Rechte und Freiheiten natürlicher Personen erweisen, eine besondere Darlegungslast für die Berücksichtigung dieser Risiken. Diese Pflicht wiegt umso schwerer, wenn die Gefahrengeneigtheit ansteigt. In diesen Fällen ist also eine systematische und kritische Auseinandersetzung mit der eigenen Datenverarbeitung angezeigt. Hier wäre das Framework eine mögliche Option der Systematisierung dieses Vorgehens und könnte im Sinne der Verantwortlichen auch dafür sorgen, dass neben der Erkennung von Datenschutz-Risiken auch ein allgemeines Risikomanagement besser funktioniert.
4 Die Umsetzung der Anforderung einer datenschutzkonformen Systemgestaltung
Die Vorgaben für „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“, die der Verantwortliche erfüllen muss, sind in Art. 25 DSGVO geregelt.Footnote 57 Dieser Abschnitt beschreibt einerseits die Anforderungen an die Gestaltung (Art. 25 Abs. 1 DSGVO) – Datenschutz „by Design“ –, anderseits die Anforderung, dass datenfreundliche Voreinstellung – Datenschutz „by Default“ – zu verwenden sind (Art. 25 Abs. 2 DSGVO). Schließlich nimmt Art. 25 auch Bezug zu den Zertifizierungsmöglichkeiten nach der DSGVO (Art. 25 Abs. 3 DSGVO). Im Folgenden werden Datenschutz durch Technikgestaltung und Datenschutz durch datenschutzfreundliche Voreinstellungen erläutert.
4.1 Datenschutz durch (Technik-)Gestaltung
Der Verantwortliche muss nach Art. 25 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen treffen, die dafür ausgelegt sind, die Datenschutzgrundsätze wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen der DSGVO zu genügen und die Rechte der betroffenen Personen zu schützen. Dabei zu berücksichtigen sind der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken. Diese Faktoren sind einerseits beschränkende Bedingung, denn es ist nicht in jedem Fall das Höchstmaß des Möglichen zu implementieren; andererseits stellen die Faktoren aber auch eine Minimalanforderung dar, hinter der der Verantwortliche nicht zurückbleiben darf. Auf keinen Fall darf man beispielsweise angesichts eines festgestellten hohen Risikos auf geeignete Maßnahmen verzichten, weil sie Geld kosten; stattdessen wäre ohne geeignete Maßnahmen zur ausreichenden Eindämmung eines hohen Risikos eine derartige Verarbeitung nicht zulässig.
Vielfach diskutiert wird der Faktor „Stand der Technik“Footnote 58, der bereits im Vorläufer der DSGVO – der Datenschutz-Richtlinie 95/46/EG – Erwähnung fand (Art. 17 der Richtlinie zur Sicherheit der Verarbeitung). Dieser Faktor ist sowohl für „Datenschutz durch Technikgestaltung“ (Art. 25 DSGVO) also auch für die „Sicherheit“ (Art. 32 DSGVO) anzulegen. Für den Bereich der Sicherheit der Verarbeitung personenbezogener Daten gibt es seit vielen Jahren umfangreiche Maßnahmenkataloge, die regelmäßig überarbeitet und an den Entwicklungsstand angepasst werden.Footnote 59 Für technische und organisatorische Maßnahmen oder insgesamt für datenschutzfreundliche und –fördernde Konzepte liegen noch keine vergleichbaren Ausarbeitungen vor, auch wenn erste Ansätze für Bewertungsmaßstäbe des Reifegrads unter Einbeziehung der Wirksamkeit und etwaiger Interdependenzen entwickelt worden sind.Footnote 60
Die Maßnahmen müssen sowohl im Vorfeld, nämlich zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung, als auch während der Verarbeitung getroffen werden. Als Beispiel für eine Maßnahme wird die Pseudonymisierung genannt, als Beispiel eines der Datenschutzgrundsätze wird die Datenminimierung aufgeführt.
Allerdings bleibt es bei recht abstrakten Aussagen, sodass man in der DSGVO keine konkreten Hilfen dazu findet, was genau für die eigene Verarbeitung personenbezogener Daten zu tun ist.Footnote 61 Unterstützung leistet eine Veröffentlichung des Europäischen Datenschutzausschusses, die zwei Jahre nach Wirksamwerden der DSGVO erschienen ist.Footnote 62 Förderlich für den Entwicklungsprozess sind weitgehend unabhängig von der europäischen Gesetzgebung erarbeitete Ausführungen zu „Privacy Design Strategies“Footnote 63 und „Privacy Design Patterns“Footnote 64. Für den nach Art. 25 DSGVO verpflichteten Verantwortlichen sind die folgenden zwei miteinander verwandten Ansätze von Nutzen, um für ihre konkreten Verarbeitungen die datenschutzrechtlichen Anforderungen umsetzen.
4.1.1 Operationalisierung der Datenschutzgrundsätze
Da die Essenz der DSGVO in den Datenschutzgrundsätzen widergespiegelt wird und diese auch explizit in Art. 25 Abs. 1 DSGVO genannt werden, besteht eine Möglichkeit der Umsetzung, sich für jeden Datenschutzgrundsatz zu überlegen, welche technischen und organisatorischen Maßnahmen zum Einsatz kommen sollen, um die Umsetzung in der Verarbeitung zu gewährleisten oder zumindest zu unterstützen.Footnote 65
Im Datenschutzgrundsatz „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“ (Art. 5 Abs. 1 Buchst. a) versammeln sich verschiedene allgemeine Anforderungen an die Verarbeitung. Bezüglich der Rechtmäßigkeit der Verarbeitung muss dem Verantwortlichen klar sein, dass technische und organisatorische Maßnahmen eine Verarbeitung, die einer Rechtsgrundlage entbehrt, nicht in eine rechtmäßige Verarbeitung verwandeln kann. Solche Maßnahmen können aber notwendig für die Rechtmäßigkeit sein und eine solche auch dadurch unterstützen, indem der Verantwortliche Vorgaben an die Einführung einer Verarbeitung erstellt und durchsetzt, dass z. B. zunächst eine Rechtsgrundlage festzustellen und zu dokumentieren ist und ein geordneter Freigabeprozess durchgeführt werden muss. Im Falle einer Einwilligung kämen beispielsweise technische und organisatorische Maßnahmen zu einem Einwilligungsmanagement, einschließlich praxistauglicher Funktionen zum Widerruf der Einwilligung, infrage.
Die Verarbeitung nach Treu und Glauben, in der englischen Fassung der DSGVO „Fairness“, beinhaltet die faire Gestaltung der Verarbeitung. Dies kann so verstanden werden, dass die Perspektive der betroffenen Personen bei der Entwicklung und im Betrieb der Verarbeitung Berücksichtigung findet (siehe vorne: ähnlich der „mehrseitigen Sicherheit“) und ihnen das Wahrnehmen der Betroffenenrechte möglichst einfach möglich ist. Auch eine Unterstützung der Verwendung von Selbstdatenschutz-ToolsFootnote 66 der betroffenen Personen lässt sich aus diesem Datenschutzgrundsatz ableiten.
Der Datenschutzgrundsatz der Transparenz, der durch Artt. 12 ff. DSGVO konkretisiert wird, bedeutet insbesondere, dass „alle Informationen und Mitteilungen zur Verarbeitung“ der personenbezogenen Daten „leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind“ (ErwGr. 39 S. 3). Ein situations- und zielgruppengerechtes Informieren der betroffenen Personen muss angesichts der verschiedenen Einsatzszenarien zu den zur Verfügung stehenden Benutzungsoberflächen passen. Bewährt haben sich Mehr-Ebenen-Formate (Multi-Layer), die gestuft die jeweils nötigen oder von der betroffenen Person gewünschten Informationen darstellen.Footnote 67 Auch Bildsymbole (siehe Art. 12 Abs. 7 DSGVO) oder andere nichttextliche Aufbereitungen können für den Einzelfall hilfreich sein. Auch sog. Datenschutz-Dashboards, Datenschutz-Cockpits oder andere Transparency-Enhancing Technologies (TETs, als Ergänzung zu PETsFootnote 68) sollen die Transparenz verbessern.
Bei der Umsetzung des Datenschutzgrundsatzes der Zweckbindung (Art. 5 Abs. 1 Buchst. b) ist auf das sorgfältige Festlegen des Zwecks zu achten. Zweckbindung bedeutet, dass es für die personenbezogenen Daten keine Verarbeitung geben darf, die nicht mit den festgelegten Zwecken vereinbar ist. Unterstützende technische und organisatorische Maßnahmen sind beispielsweise ein Verzicht auf zentrale Datensammlungen und zweckübergreifend nutzbare Identifikatoren, physische oder logische Trennung oder Isolation der Daten, Verschlüsselung der Daten, Kennzeichnung der Zwecke und Verknüpfen mit den Daten (z. B. über sog. „Sticky Policies“).
Art. 25 DSGVO hebt die Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) als wichtigen Datenschutzgrundsatz bezüglich der Gestaltung hervor. Auch ErwGr. 78 S. 3 nennt als erste beispielhafte Maßnahme die Minimierung der Verarbeitung personenbezogener Daten. Das bedeutet zum einen, den Personenbezug von Daten einzuschränken, z. B. durch Trennung von Daten und Verzicht auf zweckübergreifende Identifikatoren, durch Löschung, AnonymisierungFootnote 69 oder PseudonymisierungFootnote 70 zum frühestmöglichen Zeitpunkt. Zum anderen ist die Verarbeitung an sich zu minimieren, beispielsweise durch Beschränkung der Erhebung und Erfassung von Daten sowie bereits der Erhebungs- und Erfassungsmöglichkeit, indem beispielsweise nicht erforderliche Video-, Audio- und Sensorfunktionalität nicht Bestandteil der verwendeten Hardware sind.Footnote 71 Auch auf zusätzliche Verarbeitungen ist zu verzichten, und die Zahl der betroffenen Personen ist zu minimieren.
Technische und organisatorische Maßnahmen des Integritätsschutzes für die Daten und die Verarbeitung unterstützen den Datenschutzgrundsatz der Richtigkeit (Art. 5 Abs. 1 Buchst. d DSGVO). Auch das Aufsetzen eines Verfahrens zur Berichtigung oder Vervollständigung der personenbezogenen Daten kann hier helfen.
Der mit der Datenminimierung verwandte Datenschutzgrundsatz der Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e DSGVO) lässt sich mit ähnlichen Maßnahmen umsetzen. Die Pseudonymisierung als eine Maßnahme wird bereits in Art. 25 Abs. 1 DSGVO genannt. Ebenfalls können Anonymisierung oder Löschen zur Speicherbegrenzung beitragen. All diese Maßnahmen sind so früh wie möglich durchzuführen. Dies kann vielfach automatisch geschehen, z. B. durch eincodierte Löschfristen oder zumindest durch definierte Prüffristen, damit dann über eine weitere etwa erforderliche Aufbewahrung entschieden wird und andernfalls die Löschfreigabe erfolgt.
Der Datenschutzgrundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 Buchst. f DSGVO) zielt auf sämtliche technische und organisatorische Maßnahmen der Informationssicherheit in Bezug auf personenbezogener Daten, um eine unbefugte oder unrechtmäßige Verarbeitung zu verhindern. Hier liegt eine Parallelität zu den Anforderungen des Art. 32 DSGVO vor. Dies umfasst laut ErwGr. 78 S. 3 Maßnahmen, die den Verantwortlichen in die Lage versetzen, Sicherheitsfunktionen zu schaffen und zu verbessern. Dazu ist es notwendig, die Anforderungen gemäß dem vorliegenden Schutzbedarf zu erfüllen und die getroffenen Maßnahmen regelmäßig zu überprüfen und ggf. zu aktualisieren.
Auch der Datenschutzgrundsatz der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) erfordert ein regelmäßiges Prüfen, inwieweit die datenschutzrechtlichen Anforderungen erfüllt sind, verbunden mit einem Nachsteuern und Anpassen an möglicherweise veränderte Bedingungen. Hier können technische und organisatorische Maßnahmen ein umfassendes Datenschutzmanagementsystem unterstützen. Dazu gehören z. B. die Erstellung und Anpassung der Dokumentation von Prozessen und informationstechnischen Systemen sowie das Protokollieren von Änderungen oder anderen nachzuweisenden Ereignissen, um dauerhaft die Erfüllung der Anforderungen der Verordnung zu gewährleisten.Footnote 72
4.1.2 Das Standard-Datenschutzmodell mit sieben Gewährleistungszielen
In der Informationssicherheit ist man seit Jahrzehnten gewohnt, mit Schutzzielen (protection goals) zu arbeiten. Zwar gibt es vielfältige Ansätze für mehr oder weniger komplexe Schutzzielkanons, aber als fundamental für Informationssicherheit werden die Schutzziele Vertraulichkeit (confidentiality), Integrität (integrity) und Verfügbarkeit (availability) angesehen. Weil diese nicht ausreichen, um sämtliche Datenschutzanforderungen zu beschreiben, für die technische und organisatorische Maßnahmen getroffen werden sollten, gleichzeitig aber eine Kommunikation mit den Zuständigen für die Gestaltung von Technik und Prozessen anschlussfähig an die klassischen Schutzziele der Informationssicherheit sein sollte, wurden im Jahr 2009 weitere Schutzziele vorgeschlagen.Footnote 73 Die von der deutschen Datenschutz-Diskussion ausgehenden, teilweise auch internationalFootnote 74 weitergeführten Debatten mit Beteiligung von Wissenschaft und Datenschutzaufsicht haben schließlich das Standard-Datenschutzmodell mit sieben Gewährleistungszielen hervorgebracht: Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit, Nicht-Verkettung von personenbezogenen Verfahren sowie die übergreifende Anforderung der Datenminimierung. Diese Gewährleistungsziele ähneln den Schutzzielen der Informationssicherheit; wichtig ist dabei stets die Anwendung aus der Perspektive der betroffenen Personen, wie dies auch bei der Bestimmung des Risikos für die Rechte und Freiheiten (siehe vorne) notwendig ist.
Beim „Standard-Datenschutzmodell“ (SDM) handelt es sich um eine Methode für die Beratungs- und Prüfpraxis im operativen Datenschutz. Das SDM wird von den deutschen Datenschutzaufsichtsbehörden zur Anwendung empfohlen.Footnote 75 Dieses Werkzeug unterstützt die risikoadäquate Auswahl und Bewertung technischer und organisatorischer Maßnahmen und ist hilfreich bei der Erfüllung der Rechenschaftspflichten der Datenschutz-Grundverordnung.Footnote 76
Die ersten Versionen des SDM sind lange vor Geltung der DSGVO entstanden und konnten daher auch noch nicht auf die Datenschutzgrundsätze eingehen. Mit der Version 2.0 wurde das SDM überarbeitet, um sich besser in die Terminologie und die Konzepte der DSGVO einzufügen und damit die Verwendung für die Verantwortlichen und Auftragsverarbeiter zu erleichtern. Auch eine englische Fassung steht zur Verfügung.
Maßnahmenkataloge mit generischen Bausteinen zu Referenz-Schutzmaßnahmen befinden sich in der Entwicklung oder sind bereits verfügbar. Beispielsweise gehören dazu die Bausteine „Aufbewahren“, „Dokumentieren“, „Protokollieren“, „Trennen“, „Löschen und Vernichten“, „Berichtigen“ und „Einschränken der Verarbeitung“.Footnote 77 Weitere Bausteine sind in Bearbeitung. Bei der Überarbeitung werten die Datenschutzaufsichtsbehörden das Feedback der Verantwortlichen und Auftragsverarbeiter beim Einsatz des SDM aus, um das Werkzeug zu verbessern und die Praxistauglichkeit zu erhöhen.
Zunächst setzt das SDM bei der Umsetzung der Anforderungen nach Art. 32 DSGVO an; es geht aber durch die deutliche Datenschutzausrichtung über die bestehenden technischen Regelwerke hinaus und umfasst generell technische und organisatorische Maßnahmen zum Einbauen der Anforderungen der DSGVO (und damit auch Art. 25 DSGVO). Das SDM orientiert sich in seiner Methodik an den Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI), die Grundlage für einen IT-Grundschutz sind und deren Maßnahmenbeschreibungen ständig aktualisiert werden. Dagegen etwas weniger konkret sind die internationalen ISO/IEC 27001-Normen, die sich z. B. um den Maßnahmenkatalog der ISO/IEC 27002 ergänzen lassen, oder die Common Criteria, ISO/IEC 15408, mit denen man Sicherheitseigenschaften von IT-Produkten prüfen und bewerten kann.
Mit dem SDM und den Gewährleistungszielen lassen sich insgesamt die Datenschutzgrundsätze und die weiteren Anforderungen der DSGVO abbilden.Footnote 78 Bezüglich der Betroffenenrechte legt das SDM mit dem Gewährleistungsziel der Intervenierbarkeit sogar einen deutlicheren Fokus, als dies beim (zumindest flüchtigen) Lesen der Datenschutzgrundsätze in Art. 5 DSGVO vermittelt wird. Auch im Rahmen der Datenschutz-Folgenabschätzung kann das SDM eingesetzt werden, wie in verschiedenen Muster- und realen Beispielen erprobt.Footnote 79
4.2 Datenschutz durch datenschutzfreundliche Voreinstellungen
Auch bei der Anforderung des Datenschutzes durch datenschutzfreundliche Voreinstellungen trifft die Pflicht den Verantwortlichen (Art. 25 Abs. 2 DSGVO). Im Gegensatz zum ersten Absatz des Art. 25 sieht die DSGVO keine (möglicherweise relativierenden) Faktoren vor, die bei der Auswahl der zu treffenden Maßnahmen zu berücksichtigen sind.Footnote 80 Vielmehr müssen die geeigneten technischen und organisatorischen Maßnahmen getroffen werden, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Damit wird der Maßstab der Erforderlichkeit, der sich auch in den Datenschutzgrundsätzen der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e DSGVO) findet, betont und im Folgenden spezifiziert: „Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.“ (Art. 25 Abs. 2 S. 2 DSGVO). Die Voreinstellung muss also gewährleisten, dass keine überschießenden Daten verarbeitet werden, dass die Verarbeitung sich auf das notwendige Maß beschränkt, dass die Speicherdauer möglichst gering ist und dass die Daten keinen zu weitgehenden Zugriffsmöglichkeiten ausgesetzt sind. Besonders der letzte Punkt verdeutlicht, dass damit auch Gestaltungsoptionen verschränkt sein können, beispielsweise bezüglich des Orts einer Speicherung (lokal oder in der Cloud, sodass die Daten einem Betreiber oder den dortigen Behörden zugänglich werden könnten), der Zugriffsrechte oder einer Verschlüsselung, die den Klartext dem Zugang entzöge.Footnote 81
Nicht immer sind die datenschutzfreundlichsten Voreinstellungen für jede Nutzerin und jeden Nutzer gleich oder eindeutig im Vorfeld erkennbar. Beispielsweise wäre es in Bezug auf Bezahlverfahren in einem E-Commerce-Dienst verbraucherfreundlich und sinnvoll, eine Reihe von unterstützten Verfahren zur freien Auswahl für die Nutzenden anzubieten und keines davon vorauszuwählen, selbst wenn darunter eines als objektiv am datenschutzfreundlichsten zu identifizieren wäre.Footnote 82 Dies ergibt sich schon aus der Tatsache, dass üblicherweise die Nutzenden eigene Benutzerkonten bei den Bezahldienstleistern eingerichtet haben müssen und ein vorkonfiguriertes Verfahren nicht in jedem Fall den Nutzenden auch zur Verfügung steht. Besser wäre es, wenn bei einem Kauf die Nutzenden eine bewusste Entscheidung darüber treffen müssten, welches Verfahren sie für diesen Fall präferieren. Dies kann sich auch je nach Produkt oder Anbieter unterscheiden.
Die Anforderung des Datenschutzes durch datenschutzfreundliche Voreinstellungen – Datenschutz „by Default“ – erscheint durch die Formulierung als sehr mächtig: Stets sollte also eine Verarbeitung (und ebenso eine Kundenbeziehung) auf Basis personenbezogener Daten maximal datenschutzfreundlich beginnen; wenn später die betroffene Person bereit ist, zu weiteren Zwecken zusätzliche personenbezogene Daten zu offenbaren oder in weitere Verarbeitungen einzuwilligen, kann dies geschehen. Allerdings deckt sich dies nicht mit der Praxis, in der zumindest einige der großen Anbieter ein datengieriges Verhalten an den Tag legen und demnach eher nach dem Motto „Datenabgreifen by Default“ verfahren wird.Footnote 83
5 Ganzheitliche Betrachtungsweise: Bewusstsein über Spannungsfelder
So wie für spezifische datenschutzrechtliche Sachverhalte unterschiedliche grundrechtliche Interessen miteinander abgewogen werden, geschieht dies auch im Verhältnis des Datenschutzes zu anderen geschützten Interessen. Datenschutzrechtliche Erwägungen können hier dazu führen, dass andere rechtlich geschützte Ansprüche reduziert oder abgelehnt werden, genauso wie sie dazu führen können, dass die Konsequenzen in benachbarte Rechtsgebiete ausstrahlen. Auch Anforderungen, die nicht rechtlich im selben Maße festgeschrieben sind, können eine Rolle spielen, wenn es um eine faire und verträgliche Gestaltung von Systemen geht. Dazu sollten sich sowohl die Verantwortlichen als auch die Hersteller oder Entwickler der Systeme die verschiedenen Anforderungen samt möglicher Interdependenzen und Auswirkungen bewusst machen, selbst wenn sie in der Praxis oft nicht expliziert werden. Eine datenschutzkonforme Verfahrensgestaltung muss nicht in einem unauflösbaren Widerspruch zu anderen wichtigen Erwägungen stehen, sondern häufig können Lösungen gefunden werden, die nicht nur sämtliche rechtlichen Bedingungen, sondern auch die verschiedenen zusätzlichen Anforderungen in ausreichendem Maße berücksichtigen.Footnote 84
Neben den bekannten und immer wieder genannten vermeintlichen Gegensätzen „Datenschutz und Sicherheit“, „Datenschutz und Freiheit“ und „Datenschutz und Nutzbarkeit“ bestehen beispielsweise Spannungsfelder in Bezug auf Informationsfreiheit, Umweltschutz, Datenzugang, Wirtschaftlichkeit und Kartellrecht. Auf diese Spannungsfelder soll im Folgenden das Augenmerk gelenkt werden.
5.1 Informationsfreiheit
Ein Bereich der häufig im Zusammenhang mit dem Datenschutzrecht genannt wird und in der behördlichen Zuständigkeit mit ihm zusammenfällt, ist das Informationsfreiheitsrecht. Nur im ersten Moment stehen beide Rechtsgebiete in einem Konkurrenzverhältnis, denn im Kern geht es um Ansprüche gegenüber Organisationen, Datenschutz auf der einen Seite und Informationszugang zu behördlichen Informationen auf der anderen Seite. Am Beispiel der Informationsfreiheit lässt sich aber auch zeigen, dass durch eine optimierte Verfahrensplanung und –gestaltung ein sinnvoller Ausgleich zwischen kollidierenden Interessen stattfinden kann. Denn gerade dort, wo aus datenschutzrechtlicher Sicht eine umfassende Betrachtung der Risiken stattfindet, kann auch der Aspekt der Informationsfreiheit bereits im Stadium der Verfahrensplanung Berücksichtigung finden. Das schließt einerseits ein, dass entsprechende Voraussetzungen und der Ablauf etwaiger Anfragen zur besseren Auffindbarkeit bereits dann eingeplant werden, wenn behördliche Informationen angelegt werden und andererseits eine Einbeziehung der betroffenen Personen stattfindet. Konkret bedeutet das, dass bei der Planung der Verarbeitungsverfahren hinsichtlich der erhobenen Daten eine Relevanzprüfung für Sachverhalte im Bereich der Informationsfreiheit stattzufinden hat. Hier ist zu bestimmen, ob Daten abstrakt Gegenstand einer Anfrage nach Informationsfreiheitsgesetz fallen können, ob einer Herausgabe dieser Daten etwaige Rechte Dritter entgegenstehen (also im Falle personenbezogener Daten, die Rechte der betroffenen Personen) und wie das Ergebnis einer Interessenabwägung aussehen könnte. Das kann im nächsten Schritt dazu führen, dass für komplexere Informationen bereits im Zeitpunkt der Erhebung Metadaten angelegt werden, um im Falle einer Anfrage nach Informationsfreiheitsgesetz eine zügige Schwärzung der Unterlagen vornehmen zu können. Hierbei kann also eine Schwärzung bereits vorab stattfinden, wenn es wahrscheinlich erscheint, dass später entsprechende Herausgabebegehren eintreffen werden. Das beinhaltet allerdings auch, dass betroffene Personen bereits im Zeitpunkt der Erhebung in die Entscheidung über das Maß der Schwärzung einbezogen werden und dies nicht erst im Zeitpunkt der Anfrage über die Herausgabe dieser Informationen geschehen muss. Das bietet sich insbesondere dann an, wenn andernfalls eine Verzögerung der Bearbeitung zu erwarten wäre, also etwa, weil die betroffenen Personen nicht mehr ohne Weiteres kontaktiert werden können oder sich der Sachbearbeiter der Anfrage erst wieder umfassender mit der Materie beschäftigen müsste.
5.2 Umweltschutz
Datenverarbeitung per Computer verbraucht Energie.Footnote 85 Eine Reduktion des Energieverbrauchs ist häufig nicht nur aus Umweltschutzgründen angestrebt, sondern wird auch untersucht, damit Akkus weniger häufig aufgeladen und mobile Systeme nicht mit großen oder schweren Akkus ausgestattet werden müssen. Datenschutzfunktionalität wie Verschlüsselung erhöht den Energieverbrauch.Footnote 86 Auch datenschutzfreundliche Konzepte, die weitere technische Komponenten oder zusätzliche elektronische Kommunikation erfordern, um auf diese Weise als Treuhänder oder im Sinne einer Abschottung eine Vertraulichkeit oder Nichtverkettung von personenbezogenen Daten gewährleisten können, führen zu einem Mehr an Energieverbrauch.
Es gibt aber auch Effekte der Verringerung des Energieverbrauchs. Das Umsetzen der Datenschutzgrundsätze wie Datenminimierung und Speicherbegrenzung kann ebenso wie das Prinzip des Datenschutzes „by Default“ im Vergleich zur heutigen Praxis eine Reduzierung des Energieverbrauchs erzielen. Auch die nutzerseitige – und damit potenziell besser kontrollierbare – Datenverarbeitung im Endgerät spart Energie im Vergleich zu Cloud-Lösungen, die mit einer dauerhaften elektronischen Kommunikation einhergehen. Virtualisierung und Lastverteilung können zu einer ressourcenschonenden Technikinfrastruktur beitragen. Hier kann eine sorgfältige Konzeption und Planung der Datenverarbeitung, die ohnehin aus Datenschutzsicht notwendig ist, auch zu mehr Ressourcenbewusstsein führen.
Dieser adaptive Ansatz kann selbst beim Vernichten von mehr oder weniger vertraulichen Papierunterlagen eine Rolle spielen. Denn die Recyclingfähigkeit des Schredderguts ist eingeschränkt, wenn die Papierfasern zu klein gehäckselt werden. Dies spricht dafür, dass man den Hochsicherheitsschredder nicht für jeglichen Papiermüll verwendet, sondern risikoadäquat prüft, welche Art der Vernichtung gewählt werden soll.
5.3 Datenzugang
In zahlreichen Anwendungen fallen Daten an, für die sich die Frage stellt, inwieweit sie von wem zu weiteren Zwecken ausgewertet werden dürfen. Beispielsweise könnte man sich in einer datenbasierten Smart City oder für Internet-of-Things (IoT)-Anwendungen vorstellen, dass die entstehenden Daten verwendet würden, um Verfahren zum Nutzen des Gemeinwohls zu optimieren, die Planung der Infrastruktur zu verbessern, die Wissenschaft teilhaben zu lassen oder Start-ups die Daten für neue Geschäftsmodelle anzubieten. Nicht jede datenschutzgerechte Lösung ist aber gleichermaßen für die Bereitstellung der Daten für andere geeignet. Dies sieht man beispielsweise in Szenarien, in denen große Anbieter Daten ihrer Kundinnen und Kunden – Privatpersonen oder auch andere Unternehmen, personenbezogene oder nicht-personenbezogene Daten – sammeln und auf Basis der bestehenden Rechtsgrundlagen im Einklang mit den Anforderungen der Datenschutz-Grundverordnung an den Verantwortlichen weiterverwenden. Es gibt hier jedoch Bedenken von unerwünschten Monopolisierungen und Innovationshindernissen, wenn kein fairer Zugang zu solchen „Datenschätzen“ gewährt wird.
So problematisiert die Bundesfachgruppe Freie Werkstätten des Deutschen Kfz-Gewerbes, dass die bisherigen Konzepte der Autohersteller, die aus den zunehmend vernetzten Fahrzeugen Daten erhalten, den Werkstätten keinen fairen Zugang zu den Daten bieten.Footnote 87 Ähnliches kritisieren die Versicherungen, die ihre Angebote auf Autofahrerinnen und –fahrer erstrecken. Die Datenethikkommission hat sich dieses Problems angenommen und Vorschläge für einen Interessenausgleich unterbreitet, der die Interessen aller – selbstverständlich auch der betroffenen Personen – berücksichtigen muss.Footnote 88 Dies kann bedeuten, nicht auf eine abgesicherte Zentralspeicherung bei einem einzigen Verantwortlichen zu setzen, sondern mit rechtlichen, technischen und organisatorischen Maßnahmen ein ebenfalls datenschutzkonformes föderiertes System zu entwickeln, in dem beispielsweise mit der Hilfe von Treuhändern die definierten Regeln implementiert und durchgesetzt werden können.
5.4 Wirtschaftlichkeit
Datenschutzgerechte Gestaltung verringert nicht nur das Risiko, dass die Rechte und Freiheiten natürlicher Personen verletzt werden, sondern hat auch den Effekt, dass der Verantwortliche seine Datenschutzpflichten leichter erfüllen kann. Finanzielle Schäden können dem Unternehmen durch Bußgelder der Datenschutzaufsichtsbehörde, Schadensersatzforderungen von betroffenen Personen oder Abmahnungen von datenschutzwidrigem Verhalten drohen. Für die meisten noch wichtiger ist aber, dass das Vertrauen der Kunden oder Kooperationspartner nicht durch Datenpannen, negative Schlagzeilen oder Shitstorms in den sozialen Medien gestört wird und mühsam wiederaufgebaut werden muss. Der Schutz der personenbezogenen Daten ist laut einer Umfrage in sämtlichen Märkten das zweitwichtigste Auswahlkriterium nach der Qualität von Produkten und Dienstleistungen.Footnote 89
5.5 Kartellrecht
Ein weiterer Aspekt sind die kartellrechtlichen Auswirkungen datenschutzrechtlicher Sachverhalte. Dass das für kartellrechtliche Maßnahmen gegen missbräuchliches Verhalten marktbeherrschender Unternehmen gilt, hat der BGH jüngst in seiner Facebook-Entscheidung dargelegtFootnote 90, womit vermutlich auch der Streit zur Anwendbarkeit lauterkeitsrechtlicher Normen neben datenschutzrechtlichen Regelungen entschieden wurde.
Die möglichen Probleme erschöpfen sich im Zusammenhang mit dem Kartellrecht aber nicht nur in missbräuchlichem Verhalten, sondern stellen sich schon im Stadium der Technikgestaltung, so ist für den Bereich der Missbrauchskontrolle denkbar, dass etwa marktbeherrschende Stellungen von Anbietern dadurch entstehen, dass Zugangshindernisse gerade durch Technikgestaltung geschaffen werden. Der Umstand ist besonders relevant, wenn die öffentliche Hand Kooperationen eingeht oder auf Produkte und/oder Leistungen setzt und dadurch den Wettbewerb im konkreten Bereich faktisch entscheidet. Hier kann, gerade in einem Bereich, in dem es um hoheitliche Aufgabenerfüllung auf Grundlage dieser Kooperationen, Produkte und Leistungen angeht, der Wettbewerb auf dem relevanten Markt oder angrenzenden Märkten praktisch ausgeschaltet werden. Daher müssen auch diese Auswirkungen von vornherein berücksichtigt werden und es muss sichergestellt werden, dass nicht nur der Wettbewerb nicht unzulässigerweise beschränkt, sondern auch die (zukünftige) Entwicklung datenschutzfreundlicherer Produkte und Leistungen auf dem relevanten Markt nicht verhindert wird.
5.6 Allgemeines Zivilrecht, Gewährleistung
Ein weiterer Bereich, in dem Risikoerwägungen in Zukunft eine größere Rolle spielen könnten, ist das Zivilrecht bzw. spezieller das Kaufrecht. Hier stellt sich in der Praxis oft die Frage, ob ein Kaufgegenstand frei von Sachmängeln ist. Wenn die Parteien keine Individualvereinbarung über die Beschaffenheit des Kaufgegenstandes getroffen haben, dann ist diese Frage am Gesetz zu beantworten. In § 434 S. 2 2 BGB wird dafür entweder auf die Geeignetheit für die nach dem Vertrag vorausgesetzte Verwendung (Nr. 1) oder auf die Eignung für die gewöhnliche Verwendung und einer Beschaffenheit, die bei Sachen gleicher Art üblich ist und die der Käufer nach der Art der Sache erwarten kann (Nr. 2) abgestellt. Im Falle von neuen Technologien dürfte in diesem Zusammenhang auch die Situation auftreten, dass neue Technologien nicht nur mit gewünschten Effekten einhergehen, sondern womöglich auch Angreifern neue Angriffsszenarien öffnen. Hier würde sich z. B. die Frage stellen, ob bauartbedingte Angriffsvektoren bereits einen Sachmangel implizieren, oder dies nur bei besonders gefahrengeneigter Nutzung und insoweit besonders hoher Schutzbedürftigkeit des Käufers (die dem Verkäufer auch bekannt sein muss) angenommen werden kann. Jedenfalls ohne entsprechende individuelle Vereinbarungen, wird man aktuell wohl zu dem Ergebnis kommen müssen, dass, sofern der Verkäufer oder der Hersteller (in dem Verkäufer zurechenbarer WeiseFootnote 91) nicht gerade mit datenschutzfreundlicher Technikgestaltung werben, eine Kundenerwartung im Sinne einer Eignung zur gewöhnlichen Verwendung beim Käufer nicht geweckt werden kann, wenn es sich nicht schon aus den Besonderheiten des Kaufgegenstandes ergibt. Aber auch diese Frage lässt sich aus Herstellersicht bereits im Stadium der Konzeption der Datenverarbeitung von hergestellten Produkten berücksichtigen. Damit können spezifische Angriffsszenarien jedenfalls beim Verkauf von Produkten beachtet werden, wenn der Käufer im konkreten Fall aus Hersteller- oder Verkäufersicht erkennbar aufgrund seiner individuellen Umstände gefährdet erscheint.
Eine andere Frage stellt sich im Falle von IoT-Geräten, also Hardware die jedenfalls mittelbar an das Internet angeschlossen ist. In diesen Geräten ist häufig ein kleiner aber vollständiger Computer integriert, auf dem ein Betriebssystem läuft. Die Software kann dabei im Laufe der Zeit Sicherheitslücken aufweisen, die meist nur durch entsprechende Updates des Hardware-Herstellers geschlossen werden können. Die Hersteller wiederum haben im Anschluss an den Verkauf häufig allerdings ein geringes Interesse, die Software der verwendeten Hardware noch über Jahre aktuell zu halten. Hier würde sich ebenfalls die Frage stellen, ob eine entsprechende Einstellung der Software-Updates durch den Hersteller Auswirkungen auf die Mangelhaftigkeit der Hardware haben könnten und dies zu Ersatzansprüchen des Kunden führen könnte und inwieweit entsprechende Risiken der Kunden, die aus dem Betrieb ungeschützter Hardware resultieren, durch den Hersteller zu berücksichtigen sind.
5.7 Berücksichtigung von Risiken bei Gesetzesvorhaben
Eine ganzheitliche Berücksichtigung wird auch bei dem Ansatz der Überwachungs-Gesamtrechnung gefordert. Dabei sollen Risiken staatlicher Überwachung über die individuellen Auswirkungen einer konkreten Maßnahmen hinaus Berücksichtigung finden und so die Auswirkungen der Gesamtheit staatlicher Maßnahmen auf die individuelle Freiheitsausübung untersucht werden.Footnote 92 Dieser Ansatz wird mit dem zulässigen Maße an Gesamtüberwachung und der Verfassungsidentität begründet, die eine gesamte Erfassung der individuellen Freiheitsausübung verbiete.Footnote 93
Als eine mögliche Operationalisierung der Überwachungs-Gesamtrechnung wird eine Gesetzes-Datenschutz-Folgenabschätzung vorgeschlagen.Footnote 94 Dabei könnten die möglichen Risiken für die Grundrechtsausübung nicht nur im Rahmen eines formalisierten Prozesses berücksichtigt werden, sondern der iterative Prozess der Datenschutz-Folgenabschätzung könnte auch im Rahmen von späteren Gesetzes-Evaluationen Anwendung finden.Footnote 95
6 Fazit und Schlussfolgerungen
Systemgestaltung hat einen erheblichen Einfluss darauf, wie die Verarbeitung von Daten geschieht und ob die in der EU-Grundrechte-Charta festgelegten Rechte und Freiheiten auch in unserer zunehmend digitalisierten Gesellschaft gewährleistet werden. Hier gibt es keinen Universalansatz, der die Grundrechte technisch garantieren kann, und es wäre auch verfehlt, anzunehmen, dass „One size fits all“ erfolgversprechend wäre. Maßstab für einen angemessenen Datenschutz und Privatheitsschutz ist das Risiko für die Rechte und Freiheiten.
Oft wurde nach Inkrafttreten der DSGVO durch Verantwortliche Kritik am risikobasierten Ansatz geäußert: Die Risikoerkennung sei für sie nicht handhabbar und eine umfassende Bewertung, wie die DSGVO sie vorsieht, sei ihnen nicht zuzumuten. Verantwortliche werden die Risikoidentifikation und Risikobewertung nur dann durchführen können, wenn sie die sonstigen Anforderungen der DSGVO an die Ausgestaltung und Dokumentation von Verarbeitungsverfahren einhalten. Das bedeutet nicht nur, dass neu zu implementierte Verfahren diesen Maßstäben gerecht werden müssen, auch alte Verarbeitungsverfahren müssen durch die Verantwortlichen auf die neue Rechtslage angepasst werden, wenn sie auch heute noch – mit Geltung der DSGVO – weiter betrieben werden sollen.
Probleme im Umgang mit den neuen Anforderungen der DSGVO hängen nach Erfahrung des Autorenteams häufig damit zusammen, dass Verantwortliche nicht das Wissen über die eigene Datenverarbeitung haben, das für eine richtige Einschätzung notwendig wäre. Problematisch ist dies besonders dann, wenn in der Datenverarbeitung Software- oder Hardware-Komponenten, über die dem Verantwortlichen keine ausreichenden Kenntnisse vorliegen, zum Einsatz kommen. In solchen Fällen kann der Verantwortliche oft eine (unbefugte) Offenbarung der personenbezogenen Daten an Dritte nicht ausschließenFootnote 96, z. B. wenn derartige Komponenten Mängel in ihrer Funktionsweise aufweisen oder sogar über undokumentierte Funktionen verfügen, die zu einem Datenabfluss führen könnenFootnote 97.
Die datenschutzrechtlichen Anforderungen treffen jeden Verantwortlichen, sodass eine übergreifende und lückenlose Compliance für jede Verarbeitung personenbezogener Daten einzufordern ist, auch bei der Auswahl von Produkten oder Dienstleistern. Wirksame Informationssicherheitsmaßnahmen sind zudem auch aufgrund der eigenen Organisationsinteressen – z. B. zum Schutz von Betriebs- und Geschäftsgeheimnissen – nötig. Es zeigt sich jedoch, dass die Verantwortlichen Schwierigkeiten haben können, wenn Hersteller von Produkten, Diensten und Anwendungen sie nicht in ihrer Rechenschaftspflicht unterstützen, z. B. durch Bereitstellung der notwendigen Dokumentation, oder – noch schlimmer – eine Konformität mit den in Europa geltenden datenschutzrechtlichen Anforderungen womöglich gar nicht erst anstreben geschweige denn erfüllen. Faktisch besteht in vielen Fällen eine Abhängigkeit von den Herstellern: Selbst wenn ein Wechsel der Anbieter durch ein Herauslösen der personenbezogenen Daten und das Bereitstellen alternativer Angebote technisch möglich ist, verursacht dies in den meisten Fällen einen erheblichen Aufwand, zumal die Alternativen meist nicht identisch in Funktionalität und Bedienbarkeit sind.
Dies zeigte sich im Jahr 2020 in Bezug auf die Entscheidung des Europäischen Gerichtshofs (EuGH) zum „Privacy Shield“, auf den vielfach der grenzüberschreitende Transfer personenbezogener Daten in die USA gestützt wurde. Nachdem der EuGH mit Urteil vom 16. Juli 2020 (Rechtssache C-311/18) den „Privacy Shield“ (Beschluss 2016/1250) der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA für unwirksam erklärt hatte,Footnote 98 erhob sich ein massives Drängen der Industrieverbände in Europa auf neue Verhandlungen der Europäischen Kommission mit den USA und auf ein Moratorium der Datenschutzaufsicht.Footnote 99 Dies ist deswegen erstaunlich, weil zumindest den kundigen Juristinnen und Juristen der Industrieverbände schon viele Monate oder sogar Jahre vor dem Urteil klar war (oder hätte klar sein müssen), dass der „Privacy Shield“ als Rechtslage infrage stand und nicht als stabiles Fundament taugte. Zeit für Anpassungen hätte es gegeben, aber die Verantwortlichen scheuten die fristgerechten Änderungen, die bei ihnen zu Aufwänden, Kosten oder anderen Unbequemlichkeiten geführt hätten.
Trotz einiger Hemmnisse in der Umsetzung ist das Prinzip, durch Systemgestaltung für eine Verbesserung von Datenschutz und Privatheitsschutz zu sorgen, richtig und erfolgversprechend. Die Datenschutz-Grundverordnung hat dies nun stärker ins Bewusstsein von Verantwortlichen und Dienstleistern gerückt, sodass nach vielen Jahren und Jahrzehnten Fortschritte zu erwarten sind. Eng damit verbunden ist der Umgang mit dem Risikobegriff, insbesondere bei neuen Technologien mit personenbezogener Datenverarbeitung, bei deren Einführung die Notwendigkeit einer Datenschutz-Folgenabschätzung zu prüfen ist. Wünschenswert – oder sogar notwendig angesichts des Hypes um Algorithmen bis hin zu „Künstlicher Intelligenz“ – ist die Betrachtung der Risiken für Rechte und Freiheiten von Individuen ebenso wie für unsere demokratische Gesellschaft auch für solche technischen Systeme, in denen der Personenbezug keine Rolle spielt. Generell sind Folgenabschätzungen angeraten, die zu adäquaten Maßnahmen einer Risikoeindämmung und zu einer fairen und am Gemeinwohl orientierten Gestaltung der Digitalisierung führen, die eine zukunftsfähige und nachhaltige Entwicklung unserer Gesellschaft unterstützt.
Notes
- 1.
Jarass (2021), Art. 8 Rn. 4.
- 2.
Roßnagel (2019), S. 2.
- 3.
Jarass (2021), Art. 8 Rn. 6.
- 4.
Kingreen (2016), Rn. 1.
- 5.
Felber (2020), § 38 Rn. 3.
- 6.
Teilweise in Analogie zur strafrechtlichen Konkurrenzlehre als Idealkonkurrenz bezeichnet.
- 7.
- 8.
- 9.
- 10.
Beispielsweise die Definition der Europäischen Kommission (2007): „The use of PETs can help to design information and communication systems and services in a way that minimises the collection and use of personal data and facilitate compliance with data protection rules. The use of PETs should result in making breaches of certain data protection rules more difficult and/or helping to detect them.”.
- 11.
Roßnagel, in: Roßnagel (2003), Abschn. 3.4 Rn. 325 ff.
- 12.
Dix, in: Roßnagel (2003), Abschn. 3.5 Rn. 363 ff.; vgl. auch Bieker (im Erscheinen).
- 13.
- 14.
Cavoukian (2011).
- 15.
International Conference of Data Protection and Privacy Commissioners, Resolution on Privacy by Design, 27.‒29. Oktober 2010, Jerusalem.
- 16.
Stellvertretend sei hier mit weiteren Verweisen genannt: Danezis, Domingo-Ferrer u. a. (2015).
- 17.
Schwerdtfeger, in: Meyer und Hölscheidt (2019), Art. 52 Rn. 25.
- 18.
Dazu ausführlicher Friedewald, Bieker u. a. (2017, S. 16).
- 19.
Dazu ausführlich Bieker (im Erscheinen).
- 20.
Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (2018, S. 1).
- 21.
Ungerechtfertigte Beeinträchtigungen von Grundrechten können dabei sowohl physischer, materieller als auch immaterieller Art sein. Dies wird – richtigerweise – in Datenschutzfällen zunehmend auch in Gerichtsentscheidungen berücksichtigt, die den klagenden Personen aufgrund erlittener immaterieller Schäden durch Verstöße gegen das Datenschutzrecht einen Schadensersatz zusprechen, siehe die Zusammenstellung von Wybitul (2020), der sich allerdings kritisch dazu äußert.
- 22.
Bieker (im Erscheinen, S. 229 ff.); Bieker (2017, S. 29), detailliert zu den Risiken für Art. 8 GrCh: Rost (2018, S. 81 ff.).
- 23.
ErwGr. 71, 75 und 85 benennen zudem eine Diskriminierung explizit als möglichen Schaden für die Rechte und Freiheiten natürlicher Personen.
- 24.
- 25.
Kaltheuner und Obermüller 2018, Diskriminierende Gesichtserkennung: Ich sehe was, was du nicht bist, Netzpolitik.org, 10.11.2018, abrufbar unter: https://netzpolitik.org/2018/diskriminierendegesichtserkennung-ich-sehe-was-was-du-nicht-bist/.
- 26.
Angwin u. a., Machine Bias, ProPublica, 23.05.2016, abrufbar unter: https://www.propublica.org/article/machine-bias-risk-assessments-in-criminal-sentencing; Larson et al., How We Analyzed the COMPAS Recidivism Algorithm, ProPublica, 23.5.2016, abrufbar unter: https://www.propublica.org/article/how-we-analyzed-the-compas-recidivism-algorithme; Flores, Lowenkamp u. a. (2016).
- 27.
Bei der Auswahl einer Anrede ist „divers“ ungeeignet, da es sich um das rechtliche Geschlecht handelt. Es würde sicherlich zu vergleichbaren Irritationen führen, wenn eine Person mit „Mann“ angeredet würde. Vgl. umfassend Guyan (2022).
- 28.
- 29.
Braithwaite, Smart home tech is being turned into a tool for domestic abuse, Wired, 22.07.2018, abrufbar unter: https://www.wired.co.uk/article/internet-of-things-smart-home-domestic-abuse.
- 30.
- 31.
- 32.
Etwa der Betreiber eines Weblogs in Bezug auf die technische Funktionsweise eines durch seinen Webhoster für ihn betriebenen Webservers (Software und Hardware).
- 33.
- 34.
Leitherer, Ein Schreckgespenst feiert Geburtstag, Springer Professional, 24.05.2019, abrufbar unter: https://www.springerprofessional.de/dsgvo/datenschutz/ein-schreckgespenst-feiert-geburtstag/16734274.
- 35.
Schürmann, Analyse: KI im Rahmen der Digitalisierungsstrategie – die DSGVO als Innovationsbremse?, t3n, 17.03.2019, abrufbar unter: https://t3n.de/news/ki-rahmen-dsgvo-1148992/.
- 36.
Friedewald, Bieker u. a. (2017).
- 37.
Bieker und Bremert (2020, S. 7).
- 38.
Bieker und Bremert (2020, S. 7).
- 39.
Bieker und Bremert (2020, S. 10); MMR-Aktuell (2014), 357362.
- 40.
Kersten (2017, S. 197).
- 41.
BGH, Urteil vom 16.03.2010 – VI ZR 176/09 = NJW 2010, 1533 (1534).
- 42.
ErwGr. 75 Satz 2 DSGVO.
- 43.
ErwGr. 76 bzw. 94 Satz 2 DSGVO.
- 44.
Lang, in: Taeger und Gabel (2019), Art. 24 Rn. 54.
- 45.
Martini, in: Paal und Pauly (2018), Art. 24 Rn. 30.
- 46.
ErwGr. 76 DSGVO.
- 47.
Alexy (2003, S. 772).
- 48.
Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (2018, S. 4).
- 49.
Vgl. Bieker, Hansen u. a. (2016, S. 193).
- 50.
Weitere Kategorien ergeben sich etwa aus dem Recht auf Nichtdiskriminierung.
- 51.
Martini, in: Paal und Pauly (2018), Art. 24 DSGVO Rn. 35a.
- 52.
ErwGr. 91 Satz 4 DSGVO.
- 53.
- 54.
BVerfG, Urteil vom 02.03.2010 – 1 BvR 256/08 u. a. = BVerfGE 125, 260 Rn. 218 („Vorratsdatenspeicherung“).
- 55.
BVerfG, Beschlüsse vom 18.12.2018 – 1 BvR 142/15 („Kfz-Kennzeichenkontrolle 2“) bzw. 1 BvR 2795/09, 1 BvR 3187/10 („Kfz-Kennzeichenkontrolle BW-HE“).
- 56.
Da das Kennzeichenscanning nicht an individuelles Verhalte anknüpfe und daher im größten Teil der Fälle alleine durch Abgleich des tatsächlichen mit dem gesuchten Kennzeichen einen Eingriff ohne entsprechende Gefährdung durch die betroffene Person darstelle.
- 57.
Bieker und Hansen (2017).
- 58.
Bundesverband IT-Sicherheit e. V. und TeleTrusT, IT-Sicherheitsgesetz und Datenschutz-Grundverordnung: Handreichung zum „Stand der Technik“ – Technische und organisatorische Maßnahmen, 2021 (frühere Fassung: 2019), https://www.stand-der-technik-security.de/.
- 59.
Hansen, in Simitis, Hornung u. a. (2019), Art. 32 Rn. 22 ff.
- 60.
- 61.
Umfassender Hansen, in: Simitis, Hornung u. a. (2019), Art. 25.
- 62.
European Data Protection Board (2020).
- 63.
Hoepman (2014, S. 446).
- 64.
Doty und Gupta (2013); UC Berkeley School of Information, Privacy Patterns, Stand 2020, https://privacypatterns.org/.
- 65.
Hansen, in: Simitis, Hornung u. a. (2019), Art. 25 Rn. 62 ff.
- 66.
Karaboga, Masur u. a. (2014).
- 67.
Art.-29-Datenschutzgruppe (2004).
- 68.
Fischer-Hübner und Berthold (2017, S. 759).
- 69.
Art.-29-Datenschutzgruppe (2014).
- 70.
- 71.
Dies kann zusätzlich ein Sicherheitsrisiko darstellen, vgl. Hansen, in: Hornung und Schallbruch (2021), Rn. 42 ff.
- 72.
Hansen, in: Simitis, Hornung u. a. (2019), Art. 25 Rn. 69.
- 73.
Rost und Pfitzmann (2009).
- 74.
- 75.
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (2016).
- 76.
- 77.
Stand: Herbst (2020).
- 78.
Vgl. auch Bieker, (im Erscheinen, S. 222 ff.).
- 79.
Siehe beispielsweise Martin u. a. (2020).
- 80.
- 81.
- 82.
Hansen (2013, S. 4).
- 83.
Forbrukerrdet (2018).
- 84.
- 85.
Bender, Gebru u. a. (2021).
- 86.
Potlapally, Ravi u. a. (2003).
- 87.
- 88.
Datenethikkommission (2019).
- 89.
The Harris Poll, IBM Cybersecurity and Privacy Research, 13.04.2018, S. 13, abrufbar unter: http://newsroom.ibm.com/Cybersecurity-and-Privacy-Research.
- 90.
BGH, Beschluss vom 23.06.2020 – KVR 69/19 („Facebook“).
- 91.
Saenger, in: Schulze (2019), § 434 Rn. 15 f.
- 92.
Roßnagel (2010).
- 93.
BVerfG, Urteil vom 02.03.2010 – 1 BvR 256/08, 1 BvR 263/08 und 1 BvR 586/08, Rn. 218.
- 94.
- 95.
Bremert (2021).
- 96.
Vgl. im Falle von Facebook-Apps: Feiner (2019).
- 97.
- 98.
Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (2020).
- 99.
Literatur
AK Technik der Datenschutzbeauftragten des Bundes und der Länder. (1997a). Arbeitspapier „Datenschutzfreundliche Technologien“. AK Technik der Datenschutzbeauftragten des Bundes und der Länder.
AK Technik der Datenschutzbeauftragten des Bundes und der Länder. (1997b). Arbeitspapier „Datenschutzfreundliche Technologien in der Telekommunikation“. AK Technik der Datenschutzbeauftragten des Bundes und der Länder.
Alexy, R. (2003). Die Gewichtsformel. In J. Jickeli, P. Kreutzer & D. Reuter (Hrsg.), Gedächtnisschrift für Jürgen Sonnenschein (S. 771–792). DeGruyter.
Art.-29-Datenschutzgruppe. (2004). Stellungnahme 10/2004 zu einheitlicheren Bestimmungen über Informationspflichten, 04/DE WP 100. Brüssel.
Art.-29-Datenschutzgruppe. (2014). Stellungnahme 5/2014 zu Anonymisierungstechniken, 14/DE WP 216. Brüssel.
Bender, E., Gebru, T., McMillan-Major, A., & Shmitchell, S. (2021). On the Dangers of Stochastic Parrots: Can Language Models Be Too Big? Proceedings of the 2021 ACM Conference on Fairness, Transparency and Accountability. https://doi.org/10.1145/3442188.3445922.
Bieker, F. (2017). Die Risikoanalyse nach dem neuen EU-Datenschutzrecht und dem Standard-Datenschutzmodell. Datenschutz und Datensicherheit, 41, 27–31.
Bieker, F., & Bremert, B. (2019). Rote Linien im Sand, bei Sturm: Die Überwachungs-Gesamtrechnung. FIfF-Kommunikation, 4(19), 34.
Bieker, F., & Bremert, B. (2020). Identifizierung von Risiken für die Grundrechte von Individuen. Zeitschrift für Datenschutz, 10, 7–14.
Bieker, F., Bremert, B., & Hagendorff, T. (2018a). Die Überwachungs-Gesamtrechnung, oder: Es kann nicht sein, was nicht sein darf. In A. Roßnagel, M. Friedewald & M. Hansen (Hrsg.), Die Fortentwicklung des Datenschutzes (S. 140–150). Springer.
Bieker, F., Bremert, B., & Hansen, M. (2018b). Verantwortlichkeit und Einsatz von Algorithmen bei öffentlichen Stellen. Datenschutz und Datensicherheit, 42, 608–612.
Bieker, F., & Hansen, M. (2017). Datenschutz „by Design“ und „by Default“ nach der neuen europäischen Datenschutz-Grundverordnung. Recht der Datenverarbeitung, 33, 165–170.
Bieker, F., Hansen, M., & Friedewald, M. (2016). Die grundrechtskonforme Ausgestaltung der Datenschutz-Folgenabschätzung nach der neuen europäischen Datenschutz-Grundverordnung. Recht der Datenverarbeitung, 32, 188–197.
Bieker, F. (im Erscheinen). The Right to Data Protection – Individual and Structural Dimensions of Data Protection in EU Law. Asser Press/Springer.
Borking, J. (1996). Der Identity-Protector. Datenschutz und Datensicherheit, 20, 654.
Borking, J. (1998). Einsatz datenschutzfreundlicher Technologien. Datenschutz und Datensicherheit, 22, 636.
Bremert, B. (2021). Stellungnahme im Rahmen der öffentlichen Anhörung des Ausschusses für Inneres und Heimat des Deutschen Bundestages am 22. Februar 2021, Ausschussdrucksache 19(4) 732 F, abrufbar unter: https://www.bundestag.de/resource/blob/823356/95ff16908f0b33b1d69a0697e5e77af7/ADrs-19-4-732-F-data.pdf.
Cavoukian, A. (2011). Privacy by Design – The 7 Foundational Principles. Information and Privacy Commissioner of Ontario, Canada. Originally published: August 2009. Revised: January 2011.
Chaum, D. (1985). Security without identification: Transaction systems to make big brother obsolete. Communications of the ACM, 28, 1030.
Danezis, G., Domingo-Ferrer, J., Hansen, M., Hoepman, J.-H., Le Métayer, D., Tirtea, R., & Schiffner, S. (2015). Privacy and Data Protection by Design – from Policy to Engineering. European Union Agency for Network and Information Security (ENISA). https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/privacy-and-data-protection-by-design. Zugegriffen: 8. Dez. 2021.
Datenethikkommission. (2019). Gutachten der Datenethikkommission. https://www.bmjv.de/DE/Themen/FokusThemen/Datenethikkommission/Datenethikkommission_node.html. Zugegriffen: 8. Dez. 2021.
Doty, N., & Gupta, M. (2013). Privacy Design Patterns and Anti-Patterns – Patterns Misapplied and Unintended Consequences. In A Turn for the Worse: Trustbusters for User Interfaces Workshop, Symposium On Usable Privacy and Security (SOUPS) 2013. http://cups.cs.cmu.edu/soups/2013/trustbusters2013/Privacy_Design_Patterns-Antipatterns_Doty.pdf. Zugegriffen: 8. Dez. 2021.
Europäische Kommission. (2007). Privacy Enhancing Technologies (PETs), MEMO/07/159. https://ec.europa.eu/commission/presscorner/detail/en/MEMO_07_159. Zugegriffen: 2. Mai 2007.
European Data Protection Board. (2020). Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, Version 2.0. abrufbar unter: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_en.pdf.
European Union Agency for Network and Information Security (ENISA). (2015). Readiness Analysis for the Adoption and Evolution of Privacy Enhancing Technologies, Methodology, Pilot Assessment, and Continuity Plan. https://www.enisa.europa.eu/publications/pets. Zugegriffen: 8. Dez. 2021.
European Union Agency for Network and Information Security (ENISA). (2018a). Recommendations on shaping technology according to GDPR provisions – An overview on data pseudonymisation. https://www.enisa.europa.eu/publications/recommendations-on-shaping-technology-according-to-gdpr-provisions. Zugegriffen: 8. Dez. 2021.
European Union Agency for Network and Information Security (ENISA). (2018b). Recommendations on shaping technology according to GDPR provisions – Exploring the notion of data protection by default. https://www.enisa.europa.eu/publications/recommendations-on-shaping-technology-according-to-gdpr-provisions-part-2. Zugegriffen: 8. Dez. 2021.
European Union Agency for Cybersecurity (ENISA). (2019). Pseudonymisation techniques and best practices – Recommendations on shaping technology according to data protection and privacy provisions. https://www.enisa.europa.eu/publications/pseudonymisation-techniques-and-best-practices. Zugegriffen: 8. Dez. 2021.
European Union Agency for Cybersecurity (ENISA). (2021). Data Pseudonymisation: Advanced Techniques & Use Cases – Technical analysis of cybersecurity measures in data protection and privacy. https://www.enisa.europa.eu/publications/data-pseudonymisation-advanced-techniques-and-use-cases. Zugegriffen: 8. Dez. 2021.
Feiner, L. (2019). Facebook reportedly gets deeply personal info, such as ovulation times and heart rate, from some apps, CNBC. https://www.cnbc.com/2019/02/22/facebook-receives-personal-health-data-from-apps-wsj.html. Zugegriffen: 22. Febr. 2019.
Felber, W. (2020). Europäischer Datenschutz. In R. Schulze, A. Janssen, & S. Kadelbach (Hrsg.). Europarecht – Handbuch für die deutsche Rechtspraxis (S. 2561–2609) (4. Aufl.). Nomos.
Fischer-Hübner, S., & Berthold, S. (2017). Privacy Enhancing Technologies. In J. R. Vacca (Hrsg.). Computer and information security Handbook (S. 759–778). Morgan Kaufmann.
Flores, A. W., Bechtel, K., & Lowenkamp, C. T. (2016). False Positives, False Negatives, and False Analyses: A Rejoinder to “Machine Bias: There’s Software Used Across the Country to Predict Future Criminals. And It’s Biased Against Blacks”. Federal Probation, 80(2), 38–46.
Forbrukerrdet. (2018). Deceived by Design – How tech companies use dark patterns to discourage us from exercising our rights to privacy, Oslo, abrufbar unter: https://fil.forbrukerradet.no/wp-content/uploads/2018/06/2018-06-27-deceived-by-design-final.pdf.
Friedewald, M., Bieker, F., Martin, N., Obersteller, H., Nebel, M., Rost, M., & Hansen, M. (2017). Datenschutz-Folgenabschätzung: Ein Werkzeug für einen besseren Datenschutz (3. Aufl.). Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt. https://www.forum-privatheit.de/datenschutz-folgenabschaetzung/.
Guyan, K. (2022). Queer Data – Using Gender, Sex and Sexuality Data for Action. Bloomsburg Academic.
Hansen, M. (2013). Risk analysis of identity management approaches employing privacy protection goals. In S. Fischer-Hübner, E. de Leeuw & C. Mitchell (Hrsg.). Policies and research in identity management. IDMAN 2013: Bd. 396. IFIP advances in information and communication technology. Springer. https://doi.org/10.1007/978-3-642-37282-7_10.
Hansen, M., & Walczak, B. (2019). Pseudonymisierung à la DSGVO und verwandte Methoden. Recht der Datenverarbeitung, 35, 53–57.
Hansen, M., & Bremert, B. (2020a). Mehr (als) Datenschutz: Plädoyer für planvolles Vorgehen für Datenschutz by Design. BvD News, 2, 30–34.
Hansen, M., & Bremert, B. (2020b). Mit Tracing-Apps in eine Healthy New World. Privacy in Germany, 5, 141–145.
Hansen, M., Jensen, M., & Rost, M. (2015). Protection Goals for Privacy Engineering. In Proceedings 2015 IEEE Security and Privacy Workshops (SPW 2015), San Jose, Calif., 21 May 2015 (S. 159–166). IEEE Computer Society.
Hansen, M. (2021). Private Haushalte. In Hornung, G., & Schallbruch, M. (Hrsg.). IT-Sicherheitsrecht. Nomos. 620–644.
Hoepman, J.-H. (2014). Privacy design strategies. In N. Cuppens-Boulahia, F. Cuppens, S. Jajodia, A. Abou El Kalam, & T. Sans (Hrsg.). ICT systems security and privacy protection. SEC 2014: Bd. 428. IFIP advances in information and communication technology (S. 446–459). Springer. https://doi.org/10.1007/978-3-642-55415-5_38.
Hornung, G., & Schallbruch, M. (2021). IT-Sicherheitsrecht. Nomos.
Jarass, H. D. (2021). Charta der Grundrechte der Europäischen Union (4. Aufl.). Beck.
Karaboga, M., Masur, P., Matzner, T., Mothes, C., Nebel, M., Ochs, C., Schütz, P., & Simo Fhom, H. (2014). Whitepaper Selbstdatenschutz. Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt. Karlsruhe: Fraunhofer ISI. https://www.forum-privatheit.de/download/selbstdatenschutz-2-auflage-2014/.
Kersten, J. (2017). Anonymität in der liberalen Demokratie. Juristische Schulung, 2017, 193–203.
Kingreen, T. (2016). Art. 8 GrCh. In Callies, C., & Ruffert, M. (Hrsg.). EUV/AEUV – Das Verfassungsrecht der Europäischen Union mit Europäischer Grundrechtecharta (6. Aufl.). Beck.
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder. (2016). Das Standard-Datenschutzmodell: Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele, V.1.0 – Erprobungsfassung.
Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. (2018). Kurzpapier Nr. 18: Risiko für Rechte und Freiheiten natürlicher Personen. https://www.datenschutzzentrum.de/uploads/dsgvo/kurzpapiere/DSK_KPNr_18_Risiko.pdf.
Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. (2020). Urteil des Europäischen Gerichtshofs zur Übermittlung personenbezogener Daten in Drittländer („Schrems II“) stärkt den Datenschutz für EU-Bürgerinnen und Bürger, Pressemitteilung vom 28.07.2020. https://www.datenschutzkonferenz-online.de/media/pm/20200616_pm_schrems2.pdf.
Kühling, J., & Buchner, B. (Hrsg.). (2020). DS-GVO BDSG (3. Aufl.). Beck.
Lischka, B., Hartmann, M., Zypries, B. et al. (2012). Kleine Anfrage von Abgeordneten der Fraktion der SPD zum „Einsatz der Quellen-Telekommunikationsüberwachung“. BT-Drs, 17/11598, Berlin.
Lopez Neira, I., Patel, T., Parkin, S., Danezis, G., & Tanczer, L. (2019). ‘Internet of Things’: How Abuse is Getting Smarter. Safe – The Domestic Abuse Quarterly 63(6), 22–26.
Martin, N., Friedewald, M., Schiering, I., Mester, B., Hallinan, D., & Jensen, M. (2020). Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO: Ein Handbuch für die Praxis. Fraunhofer Verlag.
Meyer, J., & Hölscheidt, S. (Hrsg.). (2019). Charta der Grundrechte der Europäischen Union (5. Aufl.). Nomos.
Müller, G., & Rannenberg, K. (1999). Multilateral security in communications: Technology, infrastructure, economy. Addison-Wesley.
Paal, B. P., & Pauly, D. A. (Hrsg.). (2018). DS-GVO BDSG (2. Aufl.). Beck.
Pfitzmann, A. (2006). Multilateral security: Enabling technologies and their evaluation. In G. Müller (Hrsg.). Emerging Trends in Information and Communication Security. ETRICS 2006: Bd. 3995. Lecture notes in computer science (S. 1–13). Springer. https://doi.org/10.1007/11766155_1.
Pfitzmann, B., Waidner, M., & Pfitzmann, A. (1990). Rechtssicherheit trotz Anonymität in offenen digitalen Systemen. Datenschutz und Datensicherheit, 14, 243–253, 305–315.
Potlapally, N. R., Ravi, S., Raghunathan, A., & Jha, N. K. (2003). Analyzing the energy consumption of security protocols. Proceedings ISLPED ’03, ACM.
Roßnagel, A. (2010). Die „Überwachungs-Gesamtrechnung“ – Das BVerfG und die Vorratsdatenspeicherung. Neue Juristische Wochenschrift, 63, 1238.
Roßnagel, A. (Hrsg.). (2003). Handbuch Datenschutzrecht. Beck.
Roßnagel, A. (2019). Kein „Verbotsprinzip“ und kein „Verbot mit Erlaubnisvorbehalt“ im Datenschutzrecht. Neue Juristische Wochenschrift, 72, 1.
Rost, M. (2018). Risiken im Datenschutz. Vorgänge, 221(222), 79–91.
Rost, M., & Pfitzmann, A. (2009). Datenschutz-Schutzziele – revisited. Datenschutz und Datensicherheit, 33(6), 353–358.
Schulze, R. (Hrsg.). (2019). Handbuch Bürgerliches Gesetzbuch (10. Aufl.). Nomos.
Schwartmann, R., & Weiß, S. (Hrsg.). (2017). Whitepaper zur Pseudonymisierung der Fokusgruppe Datenschutz der Plattform Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft im Rahmen des Digital-Gipfels 2017 – Leitlinien für die rechtssichere Nutzung von Pseudonymisierungslösungen unter Berücksichtigung der Datenschutz-Grundverordnung – Digital Gipfel. Version 1.0. https://www.gdd.de/downloads/whitepaper-zur-pseudonymisierung. Zugegriffen: 8. Dez. 2021.
Simitis, S., Hornung, G., & Spiecker gen. Döhmann, I. (Hrsg.). (2019). Datenschutzrecht. Nomos.
Taeger, J., & Gabel, D. (Hrsg.). (2019). DSGVO BDSG (3. Aufl.). Deutscher Fachverlag.
Tanczer, L., Lopez Neira, I., Parkin, S., Patel, T., & Danezis G. (2018). Gender and IoT Research Report: The Rise of the Internet of Things and Implications for Technology-Facilitated Abuse. London: STEaPP, PETRAS IoT Hub, 2018,3 f., abrufbar unter: https://www.ucl.ac.uk/steapp/sites/steapp/files/giot-report.pdf.
van Rossum, H., Gardeniers, H., Borking, J., Cavoukian, A., Brans, J., Muttupulle, N., & Magistrale, N. (1995). Privacy-Enhancing Technologies: The Path to Anonymity. Information and Privacy Commissioner / Ontario, Canada & Registratiekamer, The Netherlands, Den Haag.
Wagner, B., & Salzmann, S. (2019). IT-Sicherheit im Internet of Things: Überwachungspotenzial smarter Küchenhelfer. ZD-Aktuell, 06731.
Wybitul, T. (2020). Neue Urteile: Strafschadensersatz wegen DSGVO-Verstößen. CR-Blog. https://www.cr-online.de/blog/2020/10/24/neue-urteile-strafschadensersatz-wegen-dsgvo-verstoessen/. Zugegriffen: 24. Okt. 2020.
Author information
Authors and Affiliations
Corresponding author
Editor information
Editors and Affiliations
Rights and permissions
Open Access Dieses Kapitel wird unter der Creative Commons Namensnennung 4.0 International Lizenz (http://creativecommons.org/licenses/by/4.0/deed.de) veröffentlicht, welche die Nutzung, Vervielfältigung, Bearbeitung, Verbreitung und Wiedergabe in jeglichem Medium und Format erlaubt, sofern Sie den/die ursprünglichen Autor(en) und die Quelle ordnungsgemäß nennen, einen Link zur Creative Commons Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden.
Die in diesem Kapitel enthaltenen Bilder und sonstiges Drittmaterial unterliegen ebenfalls der genannten Creative Commons Lizenz, sofern sich aus der Abbildungslegende nichts anderes ergibt. Sofern das betreffende Material nicht unter der genannten Creative Commons Lizenz steht und die betreffende Handlung nicht nach gesetzlichen Vorschriften erlaubt ist, ist für die oben aufgeführten Weiterverwendungen des Materials die Einwilligung des jeweiligen Rechteinhabers einzuholen.
Copyright information
© 2022 Der/die Autor(en)
About this chapter
Cite this chapter
Hansen, M., Bieker, F., Bremert, B. (2022). Datenschutz und Privatheitsschutz durch Gestaltung der Systeme. In: Roßnagel, A., Friedewald, M. (eds) Die Zukunft von Privatheit und Selbstbestimmung. DuD-Fachbeiträge. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-35263-9_8
Download citation
DOI: https://doi.org/10.1007/978-3-658-35263-9_8
Published:
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-35262-2
Online ISBN: 978-3-658-35263-9
eBook Packages: Computer Science and Engineering (German Language)