DS-GVO: Dr. Michael Friedewald, Experte des Fraunhofer ISI erklärt, was sich ändert

Datenschutz-Risiken identifizieren und beseitigen

Ab heute gilt die neue EU-Datenschutz-Grundverordnung (DS-GVO), die den Datenschutz in der EU stärken soll. Dabei stellen sich die Fragen, was sich jetzt konkret ändert und was beachtet werden muss. Dr. Michael Friedewald, der am Fraunhofer ISI zum Thema Datenschutz forscht und dort unter anderem den Forschungsverbund Forum Privatheit koordiniert, beantwortet im Interview die wichtigsten Fragen.

Michael Friedewald, Leiter des Geschäftsfelds Informations- und Kommunikationstechniken am Fraunhofer ISI

Michael Friedewald, Leiter des Geschäftsfelds Informations- und Kommunikationstechniken am Fraunhofer ISI

Herr Dr. Friedewald, ab heute gilt die neue DS-GVO. Was sind die wichtigsten Neuerungen?
Dr. Michael Friedewald
: Die zentralen Neuerungen sind erweiterte Anweisungs- und Sanktionsbefugnisse der Datenschutz-Aufsichtsbehörden, das „Marktortprinzip“ bzw. die Ausweitung des räumlichen Datenschutz-Anwendungsbereichs sowie klarer ausgestaltete Rechte für Betroffene.

Stichwort Sanktionen: Müssen Unternehmen, öffentliche Einrichtungen und Privatpersonen nun mit harten Strafen rechnen, wenn sie Fehler beim Datenschutz machen?
Friedewald
: Wenngleich die Sanktions- und Einspruchsmöglichkeiten deutlich erweitert wurden – Verstöße gegen die Datenschutzvorgaben können mit bis zu 20 Mio. Euro Strafe bzw. 4 Prozent des Vorjahresumsatzes eines Unternehmens geahndet werden – ist keine unmittelbare Sanktionswelle zu befürchten. Es geht um die Umsetzung der DS-GVO.
Finanzielle Strafen sind nur die letzte Sanktionsmöglichkeit, Aufsichtsbehörden geben vielmehr Hilfestellungen, wo und wie Unternehmen und andere Einrichten beim Datenschutz nachbessern können. Die aktuelle Hysterie in dieser Sache ist also völlig übertrieben.

Systembetreiber müssen im Zuge der DS-GVO auch Datenschutz-Folgenabschätzungen durchführen. Was bringen diese?
Friedewald
: Datenschutz-Folgenabschätzungen sind ein wirklich innovatives Element der DS-GVO. Sie ermöglichen einerseits eine bessere Einschätzung der Risiken durch bestehende Datenverarbeitungen. Andererseits weisen sie frühzeitig und während des Entwicklungsstadiums auf mögliche negative Konsequenzen für den Datenschutz hin.
Bestehende Datenschutz-Mängel lassen sich damit rechtzeitig erkennen und noch während der Technologieentwicklung korrigieren. Der Datenschutz kann damit im Sinne des „Datenschutz durch Technikgestaltung“ – einem weiteren innovativen Element des neuen Datenschutzrechts – bei der Einführung neuer Geräte oder Anwendungen von vornherein besser integriert werden.

Und wie laufen Datenschutz-Folgenabschätzungen konkret ab?
Friedewald
: Die Durchführung einer Folgenabschätzung erfolgt in vier Phasen: Zunächst wird die Notwendigkeit einer Folgenabschätzung geprüft. Falls erforderlich, erfolgt dann die Bewertung der Risiken anhand der sechs Schutzziele Nicht-Verkettbarkeit von Daten, Transparenz, Intervenierbarkeit, Verfügbarkeit, Integrität und Vertraulichkeit.
Wurden Risiken identifiziert, müssen diese durch geeignete Schutzmaßnahmen beseitigt werden. Und in einer schriftlichen Dokumentation werden alle Schritte festgehalten, damit sich die Aufsichtsbehörden oder auch die Bürgerinnen und Bürger über die Datenschutzanstrengungen eines Unternehmens oder einer Behörde informieren können.

Neu ist auch das „Marktortprinzip“ – was hat es damit auf sich?
Friedewald
: Mit der DS-GVO ist nicht mehr der Ort der Datenverarbeitung für die Anwendung des Datenschutzrechts entscheidend, sondern die Frage, ob Daten von sich in der EU aufhaltenden Personen verarbeitet werden. Damit gilt die EU-Verordnung für alle Datenverarbeiter – und zwar weltweit. Große Unternehmen haben bereits angekündigt, dass sie den Regeln der DS-GVO auch auf anderen Märkten folgen werden.

Werden die Rechte von betroffenen Personen durch die DS-GVO insgesamt gestärkt?
Friedewald
: Das kann man grundsätzlich bejahen, wenngleich Vieles beim Alten bleibt. In jedem Falle sind die Rechte klarer ausgestaltet. So kann man sich etwa direkt bei den regionalen Aufsichtsbehörden beschweren, wenn man einen Verstoß gegen das Datenschutzrecht feststellt, was vorher nicht ging.

Verliert Europa durch die DS-GVO nicht gegenüber anderen Ländern an Wettbewerbsfähigkeit, in denen die Entwicklung der Datenökonomie nicht durch zu viel Datenschutz behindert wird?
Friedewald
: Natürlich steht der Schutz von Grundrechten im Vordergrund. Aber Beispiele aus anderen Bereichen wie dem Umweltschutz zeigen, dass eine ambitionierte Regulierung auch innovative Lösungen hervorbringt, die sich mittel- bis langfristig zum Wettbewerbsvorteil für Europa entwickelt haben. Daher sehe ich den Datenschutz nicht als Innovationshemmnis, im Gegenteil: Hier kann Europa Vorreiter sein.

Wie geht die DS-GVO mit künftigen technischen Entwicklungen um, etwa im Bereich Big Data oder künstliche Intelligenz?
Friedewald
: Bei der Technikneutralität sehe ich ihr größtes Manko, denn sie macht keine Unterschiede beim Risiko einer Verarbeitung.
So gibt es keine einzige Regelung zu den großen Herausforderungen moderner Informationstechniken wie Big Data, Internet der Dinge, Cloud Computing, Selbstlernende Systeme, Suchmaschinen und vielen anderen Grundrechtrisiken.
Auch beinhaltet die Grundverordnung Transparenzpflichten, die allerdings durch Geschäftsgeheimnisse oder Urheberrechte und sogar durch deutsche Gesetze weitgehend eingeschränkt sind.

Wird mit der EU-weit gültigen Grundverordnung das Ziel der Harmonisierung und Vereinheitlichung des Datenschutzes erreicht?
Friedewald
: Diese Frage muss man leider verneinen. Es gibt insgesamt über 70 Öffnungsklauseln, die bei der Zulässigkeit der Datenverarbeitung – insbesondere im gesamten öffentlichen Bereich –, den Betroffenenrechten, Erlaubnistatbeständen, dem Beschäftigungsdatenschutz oder der Meinungs- und Informationsfreiheit Regelungen an die EU-Mitgliedsstaaten überträgt.
Auch bleiben diese Regelungen abstrakt und die Mitgliedsstaaten bzw. sogar nationale Gerichtsbezirke legen sie auf Basis ihrer Rechtstradition aus. Bis die Details durch Prozesse zur Vereinheitlichung der Datenschutzaufsicht und durch Urteile des EuGH geklärt sind, dürften die abstrakten Vorschriften über Jahrzehnte für Rechtsunsicherheit sorgen.

Muss man sich als Privatperson jetzt Sorgen machen, wenn man bei der Nutzung von sozialen Medien oder Blogs unwissentlich gegen die DS-GVO verstößt?
Friedewald
: Die DS-GVO gibt keinen Anlass zu Bedenken, dass wir als Privatpersonen etwa in Zukunft beim Fotografieren, beim Betrieb eines Blogs oder der Nutzung von sozialen Medien und Messengern wie Whatsapp wegen Datenschutzverstößen belangt werden können.
Bei Fotos greift nach Aussage des BMI weiterhin das Kunsturhebergesetz, das als Spezialregelung stets Vorrang vor der DS-GVO hat. Der private Blog ist durch die „Haushaltsausnahme“ ohnehin von den Regelungen der DS-GVO ausgenommen. Und bei den sozialen Medien und Messengern sind gerade die Betreiber in der Pflicht, die Verarbeitungen datenschutzkonform zu gestalten. So ist eine Übermittlung des gesamten Adressbuchs – wie bei der Anmeldung bei WhatsApp bislang üblich – künftig nicht mehr zulässig.

Das Forum Privatheit

Im Forum Privatheit setzen sich Experten aus sieben wissenschaftlichen Institutionen interdisziplinär, kritisch und unabhängig mit Fragestellungen zum Schutz der Privatheit auseinander – unter anderem natürlich auch mit der DS-GVO.

Das Projekt wird vom Fraunhofer ISI koordiniert. Weitere Partner sind das Fraunhofer SIT, die Universität Duisburg-Essen, das Wissenschaftliche Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel, die Eberhard Karls Universität Tübingen, die Ludwig-Maximilians-Universität München sowie das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein. Das BMBF fördert das Forum Privatheit, um den öffentlichen Diskurs zu den Themen Privatheit und Datenschutz anzuregen.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok