Pragmatischer Datenschutz
Die DSGVO darf nicht unantastbar sein
Foto: Ivan Marc - shutterstock.com
Der Zustand der globalen digitalen Welt ist ein gewichtiger Grund, sich um Europas Wettbewerbsfähigkeit und Souveränität zu sorgen. Warum? Nicht eines der fünfzehn weltweit führenden Digitalunternehmen kommt aus Europa. Auch gibt es weiterhin keine nennenswerten europäischen Betriebssysteme, Browser, Soziale Netzwerke, Messenger-Dienste und Suchmaschinen.
Zwar sind europäische Systemintegratoren, Telekommunikationsanbieter oder Netzwerkausrüster weltweit noch führend. Die wachsende Abhängigkeit von ausländischer Software, Hardware und Cloud-Diensten ist dennoch beunruhigend. Der nächste große technologische Entwicklungsschritt könnte vollständig von außereuropäischen Akteuren geprägt sein.
Digitaler Paradigmenwechsel
Es ist Zeit für einen digitalen Paradigmenwechsel. Es gilt, ein digitales Europa zu denken, das von einer europäischen Cybersicherheits-Industrie und einem pragmatischen Datenschutz geschützt wird. Es gilt, persönliche Daten nicht nach außen zu geben sowie unabhängig und digital souverän zu bleiben. Dazu müssen die EU-Staaten jedoch enger zusammenarbeiten.
Verschiedene Staaten haben das bereits getan und wichtige Grundlagen geschaffen, etwa die Richtlinie zum Schutz kritischer Infrastrukturen (NIS) oder die Datenschutz-Grundverordnung (GDPR/DSGVO). Zuletzt hat die EU-Kommission Ende 2020 eines großen Digital-Paket vorgestellt, um Europas Stellung auf dem globalen Markt zu stärken. Mit Vorschlägen für ein Gesetz über digitale Dienste (Digital Services Act) sowie über digitale Märkte (Digital Market Act, DMA), will Brüssel für fairere Bedingungen im Netz sorgen. Kleinere Unternehmen sollen mehr Chancen im Vergleich zu Amazon oder Facebook erhalten. Zudem sollen die Vorschläge Verbraucher stärken und so auch der Wertigkeit ihrer Daten gerecht werden.
Das wichtigste europäische Thema ist heute die Verarbeitung und das Hosting von Daten der ansässigen Unternehmen und Bürger. Datenschutz, Cybersicherheit und die Souveränität der Daten stellen eine politische und gesellschaftliche Herausforderung dar.
Datenschutz muss praktikabel sein
Für einen vertrauenswürdigen digitalen Raum zu schaffen, sind folgende Schritte entscheidend:
Cybersicherheits- und Cloud-Lösungen müssen standardisiert werden und interoperabel sein. Dazu wurde die Europäische Agentur für Netz- und Informationssicherheit der Europäischen Union (ENISA), gegründet. Eines ihrer Ziele ist es, Cybersicherheits-Angebote auf europäischer Ebene zu zertifizieren. So soll sich langfristig ein einheitlicher Markt vertrauenswürdiger Akteure etablieren.
Daten dürfen nicht mehr abwandern. Es muss möglich sein, den Zugang zu den Daten in der Cloud zu sichern und die digitalen Identitäten der Nutzer zu verwalten. Dazu zählt: Wer hat Zugang zu welchen Daten, woher und auf welchem Endgerät. Das GAIA-X-Projekt bringt dazu Akteure aus der Cloud zusammen, ebenso aus der europäischen Software- und Cybersicherheitsbranche. Hier muss es Grenzen und Schutzbereiche geben, vor allem in den kritischen Sektoren von GAIA-X, die nur durch europäische Akteure bedient werden sollten.
In einer europäischen Datenpolitik und -wirtschaft muss der Nutzer im Mittelpunkt stehen. Dafür ist es notwendig, eine europäische digitale Kultur zu entwickeln, die sich am Nutzer orientiert, der täglich mit einer Vielzahl von persönlichen oder beruflichen Daten arbeitet. Der Schutz der Online-Identität jedes einzelnen muss so sehr verinnerlicht werden, wie das regelkonforme Verhalten im Straßenverkehr. Dazu braucht es zum einen Sensibilisierung. Initiativen auf Basis der Datenschutz-Grundverordnung (DSGVO) in allen Bereichen der Gesellschaft, Wirtschaft und dem Bildungssektor, müssen sicherstellen, dass Cyber-Risiken von jedem verstanden und wahrgenommen werden. Zum anderen setzt diese digitale Kultur voraus, dass personenbezogene Daten wertgeschätzt werden.
Dazu muss die Datenschutz-Grundverordnung (DSGVO) weiterentwickelt werden. Sie wird den heutigen Herausforderungen nicht mehr in allen Punkten gerecht und hat zu einer gefühlten Überbürokratisierung geführt. Besonders kleine und mittlere Unternehmen (KMU), aber auch Vereinen und Privatpersonen bereitet die DSGVO bis heute Kopfschmerzen. Im Gegensatz zu großen Unternehmen fehlt den Betroffenen der Zugang zu nötigen rechtlichen, technischen und finanziellen Ressourcen, um die Vorschriften korrekt umzusetzen. Problematisch ist, dass die DSGVO nicht zwischen verschiedenen Unternehmen, Sektoren und auch neuen Technologien unterscheidet, da sie in der Theorie als Rahmen für alle gedacht ist. Genau das scheitert aber an der Realität. Deswegen darf die DSGVO nicht als unantastbar betrachtet werden, sondern muss mit tatsächlichen Innovationszyklen mithalten können. Schon während der Pandemie hat sich gezeigt, dass die DSGVO nicht mehr für alle Situationen geeignet ist, weil der Trend zum Home-Office die Grenzen zwischen Privatem und Beruflichem verschwimmen lässt. IT-Sicherheit muss in dynamischen Zeitfenstern denken.
Datenschutz muss praktikabel sein. Unternehmen sollten in der Lage sein, datenschutzkonform zu arbeiten und trotzdem wettbewerbsfähig zu bleiben. Es gilt, auf agile Geschäftsmodelle und neue Technologien einzugehen, um sie datensicher anwenden zu können. Im Gesundheitswesen etwa sind digitale Lösungen potenzielle Lebensretter. Mithilfe großer Datensätze könnten Technologien wie künstliche Intelligenz (KI) sowohl in der Diagnose als auch in der Erforschung und Entwicklung von Medikamenten eingesetzt werden. Insbesondere in der Pandemie hätte die zentrale Speicherung von Daten helfen können, die Krise besser zu managen, etwa bei der Corona-Kontaktketten-Verfolgung oder, um Impfwillige schneller zu kontaktieren. Für solche Anwendungen sollten große Datensätze künftig besser zugänglich sein und persönliche Daten wiederverwendet werden können. Gerade mit Blick auf KI, die sich in der Gesundheitsforschung zunehmend durchsetzt, müssen wertvolle Datenressourcen besser genutzt werden können.
Konzepte wie Datenminimierung, Speicherdauerbeschränkung und das Löschrecht in der DSGVO behindern vernetzte Technologien wie das Internet der Dinge oder die Blockchain. Schon jetzt verabschieden sich deshalb erste Unternehmen aus Europa. Um den digitalen Fortschritt nicht auszubremsen, müssen diese Bestimmungen der DSGVO nachgebessert werden. Es gilt zu klären, in welchen Bereichen der Grundsatz der Minimierung und der Zweckbindung von Daten angepasst werden kann. Ein Beispiel wären Datenverarbeitungen mit niedrigem Risiko oder zum Wohle aller, etwa in der Forschung oder im Gesundheitsbereich. Dazu sollten Methoden wie Datenanonymisierung und -pseudonymisierung klarer in die DSGVO eingebunden und erläutert werden, damit Unternehmen sie nutzen und dadurch mehr Daten zur Verfügung stellen können.
Es braucht mehr Pragmatismus
Es ist auch die Aufgabe der Gesetzgeber, ihre Arbeit zu hinterfragen. Sie müssen versuchen, Gesetzestexte zu verbessern und den Datenschutz zu modernisieren. Die DSGVO anzupassen ist kein Angriff auf das Recht auf Datenschutz. Im Gegenteil: Klarere Definitionen und spezifischere Regeln für verschiedene Bereiche würden helfen, das Recht an die Realität der technologischen Entwicklungen anzupassen, ohne den Datenschutz zu gefährden.
Es braucht mehr Pragmatismus, um den Datenschutz in Europa weiter erfolgreich umzusetzen. Es gilt, die DSGVO zu optimieren und Daten zugänglich zu machen, ohne den Datenschutz des Einzelnen zu gefährden. Gleichzeitig kann dadurch eine digitale Kultur für ein Mehr an Datensouveränität geschaffen werden. Datenschutz muss praktikabel sein. Nur so können Nutzer und Unternehmen datenschutzkonform und sicher sein. Und nur so lässt sich die globale Wettbewerbsfähigkeit sichern. (jd)