China setzt voll und ganz auf Digitalisierung. In rasender Geschwindigkeitupdatet die Volksrepublik ihr Wirtschaftssystem in Richtung höherer Wertschöpfung und Hochtechnologie. Robotisierung, künstliche Intelligenz und „Industrie-Internet“ stehen mit Erfolg auf der Tagesordnung. Darauf aufbauend findet überall im Land eine Digitalisierung des Alltags statt, die Unternehmen und dem Staat den Zugriff auf und die Auswertung von Bürger_innen- und Nutzer_innendaten ermöglicht. Zugleich gibt es in den USA aktuell eine Debatte, ob die Tech-Firmen nicht zu groß geworden sind und es härtere Regulierung braucht. Europäische Datenschutzstandards und Wettbewerbsregulierung werden in den Vereinigten Staaten von einigen Stimmen als Vorbild bejubelt.
Wo aber stehen Europa und Deutschland? Wie können wir selbst für mehr Innovation und gemeinsame Standards sorgen, um nicht den Anschluss zu verlieren und zugleich unsere Werte noch tiefer in die Digitalisierung einzuschreiben? Das müssen wir, denn ansonsten wird Europas Digitalisierung anderswo gestaltet.
In der Tat wurde auch in der Diskussion beim netzpolitischen Abend der FES die kürzlich in Kraft getretene europäische Datenschutzgrundverordnung (DSGVO) als Erfolgsbeispiel europäischer Netzpolitik hervorgehoben. Paul Nemitz, Hauptberater der EU-Kommission und Mitglied der Datenethikkommission der Bundesregierung, nannte die DSGVO, neben den Vereinbarungen zum Privacy Shield sowie europaweiten Innovationsförderungen als Meilenstein der letzten Legislaturperiode der EU-Kommission.
Tatsächlich hat der europäische Verordnungsgeber mit der DSGVO ein umfangreiches und wegweisendes Regelungswerk geschaffen. Gerade vor dem Hintergrund, dass weltweit zunehmend personenbezogene Daten verarbeitet werden, hält die DSGVO entsprechende Instrumentarien parat, um einem potentiellen Missbrauch vorzubeugen. Die DSGVO ist allerdings kein perfektes Regelungswerk. Denn mit Sorge lässt sich beobachten – so ebenfalls die einhellige Meinung unter den Expert_innen –, dass auch in westlichen Demokratien Tendenzen erkennbar sind, trotz DSGVO persönliche Daten unter dem Mantel der Gefahrenabwehr und Strafverfolgung zu sammeln und zu verarbeiten.
Ungeklärt ist zum Teil noch, in welchem Umfang dies zulässig ist. Grund hierfür sind die sogenannten Öffnungsklauseln, welche es den Mitgliedsländern erlauben, ergänzende oder abweichende Regelungen zur DSGVO zu treffen und dadurch die Harmonisierung des Datenschutzrechts zu unterlaufen drohen. Auch die Möglichkeit der Verarbeitung von persönlichen Daten in Drittländern bleibt weiterhin unter den Voraussetzungen der Art. 44, 45 und 56 DSGVO (insbesondere im Rahmen eines Angemessenheitsbeschlusses und erklärter Garantien des Drittstaates) möglich. Damit verlieren die um Abkommen wie Safe Harbour oder Privacy Shield geführten Diskussionen auch weiterhin nicht an Relevanz. Die Entscheidung, wann ein angemessenes Datenschutzniveau in Drittländern besteht, bleibt derweil auch weiterhin alleine der Exekutive – der Europäische Union Kommission – überlassen.
Sabine Frank, Leiterin Regulierung, Verbraucher- und Jugendschutz bei Google Germany, würde weitere Regulierungen begrüßen, damit weltweit einheitliche Standards und Rechtssicherheit geschaffen werden. Als Beleg führt sie an, dass Google jüngst in München das größte Datenschutzzentrum des Konzerns gegründet hat und die dort entwickelten Produkte in die ganze Welt exportiert. Diese Strategie ist lukrativ, weil die Nachfrage für Datenschutz „Made in Europe“ insgesamt stark zunimmt – sogar in den USA. Sie befindet allerdings das Ausspielen von EU und USA nicht für richtig, weil die US-Verfassung den Schutz von Privatheit nicht weniger hochhält als es die EU-Staaten tun.
Auch in Zukunft wird die EU das Augenmerk bei der Digitalisierung auf den Schutz von persönlichen Daten richten; sie bilden das höchste Schutzgut und müssen daher Grundlage jeder datenschutzrechtlichen Erwägung sein. Es wird darum gehen, eine ausgewogene Balance zwischen dem Schutz persönlicher Daten einerseits und ihrer Nutzung zu Forschungszwecken andererseits zu finden.
Mögliche Wege für eine solche Balance zeigt die DSGVO bereits jetzt auf: die Pseudonymisierung einerseits und das „Privacy by design“ (deutsch: „Datenschutz durch Technikgestaltung“), lösen in vielen Fällen den scheinbaren Widerspruch auf, indem von persönlichen Bezügen losgelöste Datenbestände sowohl der Wirtschaft als auch der Forschung zur Verfügung stehen können.
Diesen Punkt unterstrich im Übrigen auch Dr. Jens Zimmermann, digitalpolitischer Sprecher der SPD-Bundestagsfraktion, in der Diskussion: Während personenbezogene Daten nur gut 10 Prozent der Datenmengen ausmachen, stehen die übrigen Daten den Unternehmen nur ungleich verteilt zur Verfügung. Insbesondere die „Tanker“ der deutschen Wirtschaft speichern riesige (nichtpersonalisierte) Datenbestände einfach ungenutzt. Gleichzeitig besteht keine Bereitschaft die Daten an innovationsfreudige klein- und mittelständische Unternehmen zu Forschungszwecken herauszugeben. Deshalb sei ein Ausgleich zwischen der Datenzugänglichkeit für Innovationen einerseits und dem Datenschutz andererseits dringend anzustreben.
Werden trotzdem personenbezogene Daten verarbeitet, dann müssen grundlegende Wertvorstellungen – etwa Freiheit und Demokratie – „by design“ in die Produkte implementiert werden. Ein großes Interesse und der Markt für solche Produkte existieren jedenfalls. Last but not least könnte hier, wie von Zimmermann angemerkt, der vom Bundesverfassungsgericht eingebrachte Ansatz einer Überwachungsgesamtrechnung, einen weiteren Weg aufzeigen, datenpolitisch „in Balance“ zu bleiben.
Auch wenn Prof. Dr. Maximilian Mayer (University of Nottingham Ningbo China) ein differenziertes Bild zum aktuellen Stand des Social Scoring Systems in China zeichnete, bleibt Social Scoring, also die Erfassung persönlicher Daten von Bürger_innen und deren Bewertung, weiterhin das Schreckgespenst im Datenschutz. Die Staats- und Parteiführung in China hat mit der Einführung eindrucksvoll bewiesen, dass es bei der Verarbeitung von persönlichen Daten für politische Zwecke keine Grenzen mehr zu geben scheint. Dass dieses Projekt derzeit noch nicht „wie geplant“ läuft, dürfte nur eine Momentaufnahme sein. Denn wie bei allen technischen Neuerungen braucht auch diese ihre Zeit, um „aus den Kinderschuhen“ zu wachsen und ihr volles Potential zu entfalten. Beruhigend ist hingegen die Erkenntnis, dass Europa dem ein erhöhtes Maß an Datenschutz entgegensetzt und hier weltweit Maßstäbe setzt.
Die in dieser Publikation zum Ausdruck gebrachten Ansichten sind nicht notwendigerweise die der Friedrich-Ebert-Stiftung.
Als Jurist kennt sich Dr. Justin Grapentin, ehemaliger FES-Stipendiat, mit Digitalisierung aus. Derzeit ist er im Rahmen seines Referendariats im Datenschutzbereich einer international agierenden Großkanzlei tätig. Zuvor beschäftigte er sich bereits in seiner Promotion sowie diverser Fachveröffentlichungen mit den Auswirkungen und den Haftungsfragen, die beim Einsatz intelligenter Computersysteme entstehen.
Dr. Justin Grapentin war für die FES als Keylistener vor Ort und hat seine Einschätzung im Nachgang zusammengefasst.
Ein_e Keylistener_in ist ein_e Expert_in, der/die als Teilnehmer_in auf einer Veranstaltung aufmerksam zuhört und die Grunderkenntnisse einer Diskussion zusammenträgt. Als Expert_in kommentiert der/die Keylistener_in zudem gewonnene Erkenntnisse, aufgekommene Vorschläge und verschiedene Perspektiven kritisch und bringt seine eigene Meinung ein. Dr. Justin Grapentin war Keylistener beim netzpolitischen Abend der FES am 7. Mai 2019 in Berlin.