Schon seit Jahren steht das Versprechen im Raum, dass aus Datenanalysen großer Nutzen erwachsen kann. „Big Data“ lautet das hierfür gebräuchliche Buzzword. Um Daten nutzen zu können, muss man aber erst einmal Zugang zu ihnen haben. Ein Problem ist, dass einige wenige Unternehmen exklusiven Zugang zu großen Datenmengen haben. Ein weiteres, dass dem Datenzugang oft rechtliche Hürden entgegenstehen. Daten können zum Beispiel als Betriebs- und Geschäftsgeheimnisse, urheberrechtlich oder datenschutzrechtlich geschützt sein. Daten können nicht „einfach so“ genutzt werden, selbst wenn sie zugänglich sind.
Die Ideen zur Datenregulierung sind zahlreich
Seit Jahren wird daher darüber diskutiert, wie der Zugang zu Daten rechtlich so ausgestaltet werden kann, dass die Konzentration von Datenmacht in den Händen großer Unternehmen verhindert wird und Daten für das Gemeinwohl genutzt werden können. Die Ideen zur Datenregulierung reichen vom Dateneigentum über Datensteuern, von Open Data über Datenteilungspflichten bis hin zu Datentreuhändern und Datenportabilität. Die SPD beschäftigte sich bereits mit dem Vorschlag eines Daten-für-Alle-Gesetzes.
Eine weitere Idee brachte vor zwei Jahren der Deutsche Ethikrat ins Spiel: die Datenspende. Individuen sollten „ihre“ Daten der medizinischen Forschung zur umfassenden Nutzung überlassen können. Hierbei geht es um Projekte wie diese:
- Beim Projekt „decode“ stellten Bürger von Barcelona Daten über Lärm, Luftverschmutzung, Temperatur und Luftfeuchtigkeit, die innerhalb und außerhalb ihrer Wohnung erhoben hatten, der Allgemeinheit zur Verfügung.
- Beim Projekt OpenSCHUFA von Algorithmwatch und der Open Knowledge Foundation stellten mehr als 4000 Menschen ihre SCHUFA-Selbstauskünfte zur Verfügung, um eine Überprüfung des von der SCHUFA ermittelten Scorewerts zu ermöglichen.
- Bei der Corona-Datenspende-App des Robert-Koch-Instituts verknüpften mehr als 500.000 Nutzer ihr Fitnessarmband oder ihre Smartwatch mit der App und gaben ihre Zustimmung zur wissenschaftlichen Datenauswertung.
Die Idee der Datenspende hat die EU-Kommission nun aufgegriffen. Unter der wohlklingenden Wortschöpfung „Datenaltruismus“ will sie die Datennutzung für Gemeinwohlzwecke fördern. Der von der EU-Kommission vorgeschlagene „Data Governance Act“ definiert Datenaltruismus als die Einwilligung Betroffener zur Verarbeitung personenbezogener Daten für Zwecke von allgemeinem Interesse wie die wissenschaftliche Forschung oder die Verbesserung öffentlicher Dienstleistungen.
Wenn Datenspenden auf DSGVO treffen
Doch viele werden fragen, wo überhaupt das Problem ist. Sollte man nicht auch ohne ein solches Gesetz Daten – so wie Kleider, Geld oder Blut – spenden können?
Die Datenschutzgrundverordnung (DSGVO) macht es kompliziert:
- Wer Geld in den Klingelbeutel wirft, kann nicht später sagen, er wolle das Geld zurück. Dies ist nach der DSGVO anders. Zwar kann der Einzelne in eine Datenverarbeitung einwilligen. Doch ist die Einwilligung jederzeit widerruflich. Dies kann bei Datenspenden zum Problem werden, wenn beispielsweise einem Forschungsprojekt später die Datengrundlage entzogen wird.
- Wer Kleider in die Altkleidersammlung gibt, weiß nicht, wem sie am Ende zugutekommen. Auch dies ist nach der DSGVO anders. Sie verlangt eine vorherige, enge Festlegung auf einen bestimmten Zweck. Eine allgemeine Datenfreigabe oder auch nur eine allgemeine Freigabe für Zwecke wissenschaftlicher Forschung wäre unzulässig.
- Hinzu kommt, dass jeder Datenverarbeiter nach der DSGVO 60 bis 70 Abwägungs-, Informations-, Dokumentations- und Nachweispflichten zu erfüllen hat. Dies macht jede Datenverarbeitung anspruchsvoll. Ohne Rechtsberatung können viele Datenverarbeitungen kaum rechtskonform erfolgen – zu teuer für Non-Profit-Organisationen, die gar nicht beabsichtigen, mit den gespendeten Daten Geld zu verdienen.
Kommission hätte mehr Rechtssicherheit schaffen können
Wer nun gehofft hatte, die EU-Kommission würde für altruistische Datenverarbeitungen Erleichterungen vorsehen, sieht sich getäuscht. Die EU-Kommission hätte zum Beispiel eine „Altruismusausnahme“, eine „Gemeinwohlausnahme“, eine „NGO-Ausnahme“ oder eine „Ehrenamtsausnahme“ von der DSGVO schaffen können. Oder sie hätte – etwas weniger ambitioniert – die altruistische Datenverarbeitung materiell-rechtlich privilegieren können. Sie hätte die Verarbeitung allgemein zugänglicher Daten erleichtern können. Auch verfahrensrechtliche Erleichterungen wären denkbar gewesen – wie der Verzicht auf bestimmte Informations- oder Dokumentationspflichten. Mit der Schaffung einer rechtlichen Grundlage für die Datenspende hätte die EU-Kommission zumindest für ein wenig mehr Rechtssicherheit für gemeinwohlorientierte Datenverarbeitungen sorgen können.
Doch all dies enthält der neue Verordnungsvorschlag nicht. Stattdessen sollen sich „datenaltruistische Organisationen“ anerkennen lassen. Hierfür ist ein Anerkennungsantrag bei eigens hierfür geschaffenen Behörden und die Eintragung in eigens dafür geschaffenen Registern erforderlich. Die datenaltruistische Organisation hat umfangreiche Aufzeichnungspflichten zu erfüllen. Sie hat einen jährlichen Tätigkeitsbericht abzugeben. Und sie hat zusätzliche Informationspflichten gegenüber den Betroffenen. Erleichterungen gegenüber der DSGVO: Fehlanzeige.
Eine Organisation, die personenbezogene Daten zu altruistischen Zwecken verarbeiten will, soll vielmehr neben sämtlichen Pflichten der DSGVO nun auch noch die zusätzlichen Pflichten nach dem „Data Governance Act“ erfüllen. Man fragt sich, warum sich eine Organisation diesen zusätzlichen Compliance-Aufwand antun sollte. Ob datenschutzsensible Menschen durch das Gütesiegel der „anerkannten datenaltruistischen Organisation“ ihre Skepsis gegenüber einer Datenspende überwinden, erscheint fraglich. Umgekehrt dürfte es bei Menschen, die altruistisch genug sind, „ihre“ Daten einem guten Zweck zur Verfügung stellen zu wollen, meist keines weiteren Anreizes bedürfen. Wenn der „Goldstandard DSGVO“ nicht bereits genügend Vertrauen in die gemeinnützige Datenverarbeitung schafft, warum sollte es dann die Anerkennung als datenaltruistische Organisation?
Das Gute daran: Das Thema rückt in den Fokus
Der Kommissionsvorschlag ist nicht nur ärgerlich bürokratisch, sondern in erster Linie eine verpasste Chance, dem „Data for Good“-Gedanken Leben einzuhauchen. Eine Gefahr besteht sogar darin, dass Verantwortliche, die sich nicht als datenaltruistische Organisation registrieren lassen, in den Verdacht geraten könnten, weniger vertrauenswürdig zu sein, obwohl sie alle Anforderungen der DSGVO erfüllen. Das Fehlen einer solchen Zertifizierung könnte also faktisch sogar dazu führen, dass altruistische Aktivitäten außerhalb dieses Rechtsrahmens gar nicht mehr möglich sind.
Die EU träumt von einem „gemeinsamen europäischen Datenraum”. Der Datenschutz ist und bleibt jedoch der Elefant in diesen Datenraum. Wenn die verarbeitungsfeindliche Zwangsjacke der DSGVO nicht einmal für altruistische Zwecke ein bisschen gelockert wird, bleibt die Hoffnung auf Dateninnovationen aus Europa ein frommer Wunsch. Die konkreten bürokratischen Vorstellungen der EU-Kommission jedenfalls drohen jeden Altruismus zu ersticken.
Ein Gutes hat der Vorschlag allerdings: Datenaltruismus liegt jetzt auf dem Brüsseler Verhandlungstisch. Das Europäische Parlament und die Mitgliedstaaten könnten ihn aufgreifen und zu einem echten Gewinn für das Gemeinwohl machen.
Winfried Veil ist Referent im Bundesministerium des Innern, für Bau und Heimat. Er war auf Seiten der Bundesregierung an den Verhandlungen zur DSGVO beteiligt. Seither beschäftigt er sich wissenschaftlich mit Datenschutz und Datenrecht. Er ist Mitherausgeber und Autor eines Kommentars zur DSGVO und Dozent an der Universität Göttingen und der FernUni Hagen. Der Beitrag gibt ausschließlich die persönliche Meinung des Autors wieder.
