Die alte Bundesregierung geht, dabei hatte sie erst vor wenigen Monaten ihre Datenstrategie vorgestellt. Was bleibt davon, wenn nun eine neue Regierung antritt? Auch wenn wir das erst in einigen Monaten wissen werden, sollten einige Ziele der Strategie auch in der neuen Legislatur hochgehalten werden. Das gilt besonders für die Forderung nach mehr Datenkompetenz. Denn nur mit mehr Wissen über die rechtssichere Nutzung von Daten wird sich die Nutzung womöglich brachliegender Datenbestände ausweiten lassen. Leichterer Datenzugang und mehr Datennutzung nützen der Allgemeinheit. Gleichzeitig sind die Rechte und Freiheiten der Menschen wirksam zu schützen. Zwillingsschwester der Datennutzungskompetenz muss die Datenschutzkompetenz sein.
Mehr Zusammenarbeit zwischen den Datenschutzbehörden
Beide Kompetenzen sollten gemeinsam vermittelt werden. Hierfür braucht es nicht zwingend neue Akteure. Mit 18 Datenschutzbehörden – und einer Bundesstiftung für den Datenschutz – ist Deutschland nicht schlecht aufgestellt. Woran es fehlt, ist ein stärkeres Zusammenwirken dieser Strukturen und mehr Unterstützung durch die öffentliche Hand. Da in den Ländern für den Datenschutz und für die Stärkung von Datenkompetenz kaum Mittel bereitstehen, sollte sowohl inhaltlich als auch finanziell kooperiert werden. In Fortsetzung und Ergänzung des Digitalpakts Schule braucht es einen Digitalpakt Daten, um die Bemühungen von Bund und Ländern zusammenführen.
Dass diverse Datenschutzbehörden gleiche Themen parallel bearbeiten, während viele von ihnen massiv unterausgestattet sind, ist nicht effizient. Sie zu stärken, würde bedeuten, sie besser auszustatten, aber auch mehr Arbeitsteilung zuzulassen. Bund und Länder sollten im Digitalpakt Daten neue Mechanismen vereinbaren, um die Ressourcen der Datenschutzaufsicht – die Behörden haben zusammen rund 1.000 Beschäftigte – besser einzusetzen. Während alle Behörden die Einhaltung der Datenschutzgrundverordnung in ihrem jeweiligen räumlichen Zuständigkeitsbereich kontrollieren, sollten spezielle Fälle und Fragen federführenden Aufsichten zugewiesen werden. Die Ergebnisse der etwa für Bildung, Zertifizierung oder Gesundheitsdatenschutz zuständigen Aufsichten können dann von den anderen übernommen werden. Nicht alle machen dann alles, aber alle profitieren vom Angebot der Schwerpunktbehörden. Eine Vereinheitlichung der Datenschutzaufsicht hätte also den Vorteil, dass die betroffenen Akteure mehr Klarheit bei der Datenschutzdurchsetzung bekommen.
Denn: Damit das einheitliche europäische Datenschutzrecht seine volle Wirkung entfalten und Gesellschaft und Wirtschaft gleichermaßen zugutekommen kann, muss das Recht möglichst einheitlich angewendet werden. Das erfordert Einigkeit unter den Aufsichtsbehörden. Diese wird in der föderal organisierten deutschen Aufsicht nicht immer erreicht. Unterschiedliche Auslegungen des harmonisierten EU-Datenschutzrechts vergrößern Rechtsunsicherheiten. Sowohl die zu schützenden Bürgerinnen und Bürger als auch die zu regulierenden Wirtschaftsunternehmen dürfen eine einheitliche Interpretation der einheitlich geltenden EU-Verordnung erwarten. Diese Einheitlichkeit muss nicht über eine Zentralisierung von Behörden erreicht werden.
Da sich jedoch zeigt, dass sich eine konsistente Sicht von alleine nicht einstellt, muss die neue Bundesregierung Reformen angehen. Dazu sind die bestehenden Vorschläge für verbindliche Beschlüsse der Konferenz der deutschen Aufsichtsbehörden und für kurze Fristen zu gemeinsamen Entscheidungen aufzugreifen. Die DSGVO mit ihrem Kohärenzmechanismus kann Vorbild sein. Zur Umsetzung, gemeinsam mit den Ländern, sollte der hier vorgeschlagene Digitalpakt Daten genutzt werden.
Was sollte in der Datenpolitik sonst noch angegangen werden?
Es braucht außerdem Leitlinien zur Anonymisierung von Daten. Wenn Datensätze keinen Personenbezug ausweisen, gilt auch das Datenschutzrecht nicht mehr. Für solche „entschärften“ Datensätze bieten sich deutlich größere Einsatzmöglichkeiten. Die Daten können dem Wohle der Allgemeinheit dienen, etwa als Trainingsdaten für Systeme maschinellen Lernens und KI. Auch wenn diese Potenziale möglicherweise bekannt sind, ist der Vorgang des Anonymisierens nicht klar geregelt. Zwar gibt es bereits belastbare technische Möglichkeiten, doch fehlt es an „Best Practices“. In der Folge werden Potentiale von Daten oft nicht ausgeschöpft. Die Anonymisierung zu vernachlässigen, verhindert Entwicklung und Wertschöpfung und ist zugleich nicht im Sinne des Datenschutzes als Bürgerrecht.
Mehr Rechtssicherheit durch ein Gesetz zum Beschäftigtendatenschutz
Die Digitalisierung der Arbeitswelt schreitet zudem voran. Es sollte daher für Unternehmen und Beschäftigte klare Regeln zur Datennutzung geben. Gerade weil die Möglichkeiten des mobilen Arbeitens stärker genutzt werden, müssen die arbeitgeberseitigen Rechte geklärt werden: Wie weit darf Überwachung am Arbeitsplatz und im Homeoffice gehen? Was darf ein Unternehmen bei der Nutzung privater Geräte kontrollieren?
Der Gesetzgeber sollte das Heft hier selber in die Hand nehmen und muss die Ausdifferenzierung von Datenschutzregeln nicht weiter den Gerichten überlassen. Auch wenn die DSGVO nur wenig Spielraum für die Mitgliedstaaten lässt, eigene Akzente zu setzen – in diesem Bereich tut sie es, und diese Chance sollten wir nutzen. Der bald erscheinende Abschlussbericht des Beirats für Beschäftigtendatenschutz beim BMAS, in dem auch die Stiftung Datenschutz vertreten ist, kann hierzu konkrete Vorschläge bieten. Regeln für eine moderne Arbeitsgesellschaft braucht es nicht nur, aber eben auch im Datenschutz. Die kommende Bundesregierung sollte den Schwung des Neuanfangs zur Schaffung eines Rechtsrahmens für die digitalisierte Arbeitswelt nutzen.
Frederick Richter ist Vorstand der Stiftung Datenschutz.
