Datenschutz hat ein Akzeptanzdefizit. Jedenfalls in Teilen der Gesellschaft. Nach einer aktuellen Bitkom-Umfrage sehen 63 Prozent der befragten Unternehmen innovative Projekte als am Datenschutz gescheitert oder seinetwegen gar nicht erst aufgenommen. In einer Vorjahresumfrage beklagten 82 Prozent der Unternehmen eine Rechtsunsicherheit bei den Vorgaben und der Umsetzung der Datenschutz-Grundverordnung (DSGVO). In politischen Papieren findet sich zunehmend die Forderung nach weniger Datenschutz oder zumindest weniger Datenschutzaufsicht. Es ist wahrscheinlich, dass die Bundesnetzagentur die zentrale Rolle bei der Aufsicht über Systeme der Künstliche Intelligenz (KI) erhält. Ob und inwiefern die Datenschutzbehörden mit ihrer bereits aufgebauten und erprobten Kompetenz in die Governance-Struktur eingebunden werden, um bürokratische Doppelstrukturen zu vermeiden, bleibt abzuwarten. Ob etwas von der Parlamentsaufsicht, die nach einem Urteil des Europäischen Gerichtshofs (EuGH) in jedem Mitgliedstaat erforderlich ist, für die unabhängigen Datenschutzaufsichtsbehörden übrigbleibt, steht derzeit noch in den Sternen. Keine guten Zeiten für den Datenschutz. Woher kommt diese Unzufriedenheit mit dem Schutzinstrument für das einst so hart erkämpfte Recht auf informationelle Selbstbestimmung? Das liegt meines Erachtens an drei Dingen:
Rechtsunsicherheit
Erstens daran, dass die DSGVO noch sehr jung ist und dass sie viele unbestimmte Rechtsbegriffe beinhaltet, die auslegungsbedürftig sind, sowie eine Vielzahl von Abwägungsklauseln. Und auch wenn es zunehmend höchstrichterliche Rechtsprechung gibt, so hinterlassen manche Entscheidungen des EuGH doch letztlich mehr Rechtsunsicherheit als -sicherheit. Auslegungshilfen wie Leitlinien der nationalen und europäischen Datenschutzaufsichtsbehörden werden ebenfalls zahlreicher. Aber auch die Datenschutzaufsichtsbehörden können nicht zaubern: Auslegung und Abstimmung von Ansichten und Positionen zwischen Bundesländern und Mitgliedstaaten braucht Zeit. Zeit, die in Wirtschaft und Forschung knapp ist, um den Anschluss nicht nur in der Digitalwirtschaft, sondern in einer Wirtschaft, die insgesamt digital wird, nicht zu verpassen. Die Auslegungs- und Ausfüllungsbedürftigkeit der DSGVO soll einzelfallgerechte Entscheidungen ermöglichen, verursacht zugleich aber Rechtsunsicherheit, die häufig als Risiko für Digitalisierungsprojekte wahrgenommen wird. Diese Rechtsunsicherheit wird noch verschärft durch neue europäische Digitalrechtsakte wie die KI-Verordnung oder den Data Act, denen eine inhaltliche Abstimmung mit der DSGVO fehlt. Auf europäischer Ebene wird derzeit mit Nachdruck an einer neuen Verfahrensordnung für eine bessere Abstimmung der europäischen Datenschutzaufsichtsbehörden untereinander gearbeitet, aber auch eine noch so gute Verfahrensordnung wird das Grundproblem der Abwägungsoffenheit und Auslegungsbedürftigkeit einer „Grundverordnung“ nicht beseitigen, sondern allenfalls prozedural einhegen. Hängt die Entscheidung, ob eine Datenverarbeitung zulässig ist, nicht selten von einer umfassenden Abwägung aller Einzelfallumstände ab, ist das einerseits gut gedacht, weil damit ein Grundrechtsausgleich im Einzelfall möglich ist. Nur ist dies kaum tauglich für massenhafte Datenverarbeitungsvorgänge wie das Training von KI-Systemen. Viele, und auch ich, wünschen sich einen Gesetzgeber, der hier Verantwortung übernimmt und gerade in innovationsrelevanten Bereichen klarer definiert, welche Datenverarbeitungen unter welchen Bedingungen zulässig sein sollen und welche eben nicht.
Unverständliche Datenschutzerklärungen
Das Akzeptanzdefizit des Datenschutzrechts ist zweitens meines Erachtens darauf zurückzuführen, dass die Einwilligung häufig auch dort für die beste Datenverarbeitungsgrundlage gehalten wird, wo Einwilligungslösungen an ihre Grenzen stoßen. Zum Beispiel, weil die erforderliche Informationsgrundlage nicht vorliegt oder Netzwerkeffekte dazu führen, dass sich Betroffene gezwungen sehen, einen Dienst zu nutzen. Wir wissen aus der Forschung seit Jahrzehnten, dass die für eine selbstbestimmte Einwilligung erforderliche Informationsgrundlage schlicht nicht vorliegt, wenn abschreckend viele Informationen gegeben werden. Wenn Sie alle Datenschutzerklärungen aller Websites lesen würden, auf denen Sie surfen, würde Sie das nach einer Untersuchung aus dem Jahr 2023 mehr als 70 Stunden im Monat und damit mehr als eine ganze Arbeitswoche kosten. Rationalitätsdefizite bei der Nutzung von Online-Plattformen, die sich darin zeigen, dass wir Kurzfristnutzen regelmäßig überschätzen und Langfristrisiken regelmäßig unterschätzen, tun ihr Übriges.
Datenschutz ist wichtig für die Demokratie
Drittens ist das Akzeptanzdefizit des Datenschutzrechts nicht unwesentlich darauf zurückzuführen, dass Datenschutz falsch kommuniziert wird. Die DSGVO ist nie angetreten, um Datenverarbeitungen gänzlich zu verhindern. Ganz im Gegenteil sucht sie den Grundrechtsausgleich und stellt dabei Anforderungen, unter denen Datenverarbeitung zulässig ist. Es ist mir ein Anliegen, Datenschutz wieder positiver zu denken. Zu zeigen, dass Digitalisierung und Datenschutz zusammengelebt werden können und müssen. Dass effektiver Grundrechtsschutz und lösungsorientierter Datenschutz einander nicht ausschließen. Datenschutzpolitisch müssen wir uns meines Erachtens vor allem darauf fokussieren, Datenkonzentration in der Hand weniger zu verhindern und erforderlichenfalls wieder aufzulösen. Das gilt für private und staatliche Akteure gleichermaßen. Denn Datenkonzentration in der Hand weniger ermöglicht Überwachung. Schon die Möglichkeit von ständiger und allgegenwärtiger Überwachung führt zu angepasstem Verhalten, das Demokratie gefährdet. Ich möchte daher so weit gehen zu sagen, dass Datenschutz unabdingbare Voraussetzung für eine Demokratie und einen Rechtsstaat ist.
Im Fokus: Gesundheit, KI und Sicherheit
Jetzt bin ich aber keine Politikerin, sondern leite eine unabhängige Aufsichtsbehörde. In dieser Funktion habe ich mir für meine Amtszeit ein strategisches und drei inhaltliche Ziele gesetzt: Strategisch will ich noch früher und noch intensiver in den Dialog mit Gesellschaft und Gesetzgeber, Forschung und Wirtschaft gehen, um eine grundrechtssensible Digitalisierung zu ermöglichen. Ich möchte zuhören, erklären und mitnehmen. Ich möchte Lösungen anbieten. Dabei ist klar, dass es rote Linien im Datenschutzrecht gibt. Hier werde ich sehr deutlich und konsequent die Einhaltung des informationellen Selbstbestimmungsrechts und des Datenschutzrechts einfordern. Aber unterhalb dieser roten Linien gibt es vielfältige Lösungsmöglichkeiten, die eine Digitalisierung im Einklang mit den rechtlichen Vorgaben zulassen. Es ist die gemeinsame Verantwortung von Politik und Aufsicht, regulatorische Lösungen für Forschung und Entwicklung, Innovation und Wertschöpfung anzubieten, die mit den europäischen Grundrechten im Einklang stehen. Drei Themenfelder werde ich in meiner Amtszeit besonders in den Fokus nehmen: Gesundheit, KI und Sicherheit. Im Gesundheitsbereich wird es darum gehen, eine sichere und barrierefreie elektronische Patientenakte zu begleiten und einen effektiven und zugleich vertrauensvollen Forschungsdatenzugang zu gewährleisten. Das Forschungsdatenzentrum am Bundesinstitut für Arzneimittel und Medizinprodukte wird eine elementare Rolle bei der zukünftigen Gewährleistung von Forschungsdatenzugang für die Praxis spielen. Ich möchte dieses Vorhaben zusammen mit meiner Behörde konstruktiv-kritisch begleiten. Datenschutz und Digitalisierung werden gerade im Gesundheitsbereich noch immer viel zu sehr gegeneinander gedacht. Ich möchte dazu beitragen, dass sich das ändert. Patientinnen und Patienten, Ärztinnen und Ärzte, Pflegerinnen und Pfleger werden wir dabei nur mitnehmen können, wenn Datenschutz, IT-Sicherheit und Nutzerfreundlichkeit gleichermaßen verwirklicht sind. Künstliche Intelligenz bietet große Chancen, etwa durch die Analyse großer Datenmengen zur Verbesserung von Diagnosen und Therapien. Allerdings birgt die zugrundeliegende Technologie und ihre Anwendung auch erhebliche Datenschutzrisiken. Ich werde alles tun, was uns als Aufsichtsbehörde möglich ist, um eine vertrauenswürdige und grundrechtsorientierte aber zugleich innovative KI-Landschaft zu ermöglichen. Hierzu würde ich gerne KI-Reallabore einrichten, in denen KI-Systeme unter unserer aktiven Begleitung und ständigen Aufsicht erprobt und anschließend datenschutzkonform in die reale Welt entlassen werden. Nicht zuletzt will ich auch im Sicherheitsbereich mehr Dialog, Austausch und Beratung. Der Preis für unsere Sicherheit darf nie unsere Freiheit sein. Datenschutz ist bei Nachrichtendiensten und Polizei von besonderer Bedeutung, da hier oft hochsensible Daten verarbeitet werden und das Risikopotenzial eines falschen Verdachts unschuldiger Bürgerinnen und Bürger mit jedem erhobenen Datum und erst recht mit jeder automatisierten Analyse steigt. Gleichzeitig ist es völlig klar, dass die Sicherheit der Bevölkerung und des Staates effektiv gewährleistet werden müssen. Wir brauchen ein Gleichgewicht zwischen Überwachungsmaßnahmen zur Gewährleistung der inneren und äußeren Sicherheit einerseits und dem Schutz der Bürgerinnen und Bürger im Hinblick auf ihre Freiheitsrechte andererseits.
Die Zukunft im Blick
Auf den Punkt gebracht: Mein strategisches Ziel ist es, die Dialog- und Beratungskompetenz meiner Behörde stärker in den Mittelpunkt zu stellen – und zwar mit dem Fokus auf die Themen Gesundheit, KI und Sicherheit. Ich werbe noch stärker als bisher für einen Datenschutz, der rote Linien klar aufzeigt, gleichzeitig aber unterhalb dieser roten Linien konstruktive Lösungen, einen Korridor des Möglichen, anbietet. Ich wünsche mir deshalb auch sprachlich einen „lösungsorientierten Datenschutz“, der die Funktionsfähigkeit unserer freiheitlichen, demokratischen Gesellschaft gewährleistet und daher für grundrechtsorientierte und zugleich praktikable digitale Lösungen zur Verfügung steht. ■
