stellt, während globale Internetunternehmen sich kaum an diese Vorgaben hielten. Als mögliche Lösung wird
dabei ein so genannter risikobasierter Ansatz vorgeschlagen, wonach die Verarbeitung personenbezogener Daten - jedenfalls im Bereich der Wirtschaft �� grundsätzlich erlaubt sein müsse und lediglich die besonders risikobehaftete Datenverarbeitung verboten oder einschränkend reguliert werden solle.
Einen risikobasierten Ansatz in dieser Form lehne ich ab und habe dies ebenso wie meine Kolleginnen und Kollegen in den Ländern und in der Artikel-29-Gruppe immer wieder deutlich gemacht. Schon in seinem Volkszählungsurteil von 1983 hat das Bundesverfassungsgericht klargestellt, dass es im Zeitalter automatisierter Daten verarbeitung kein belangloses Datum mehr geben könne. Jede Information über einen Einzelnen kann - je nach
Kontext oder Verknüpfung - gleichzeitig eine triviale oder aber auch eine äußerst sensible Aussage treffen. Dies
ist schwer vorhersehbar und macht schon deshalb eine standardisierte Abschätzung des Risikos schwierig. Der
Gesetzgeber könnte immer nur solche Risiken regulieren, die er auch kennt. Dies wäre aber mit dem grundrechtlichen Schutz des Einzelnen nicht vereinbar.
Ein so verstandener risikobasierter Ansatz würde den Schutz der Betroffenen grundsätzlich schwächen: Nach
dem geltenden Recht muss in der Gesetzgebung wie in der Gesetzesanwendung jeder neue Eingriff in das Recht
auf informationelle Selbstbestimmung gerechtfertigt werden, sowohl politisch als auch ganz praktisch bei jeder
Verarbeitung. Dies legt die Begründungslast auf die Seite derjenigen, die die Daten verarbeiten wollen. Dreht
man dieses Prinzip um, müssten die Betroffenen rechtfertigen, warum bestimmte Datenverarbeitungen riskant
sind. Dies würde ihre Position deutlich schwächen.
Nach meiner Auffassung verhindert das aktuelle Konzept des Datenschutzrechts - dem auch die DSGVO folgt auch nicht innovative Geschäftsmodelle. Innovationsfähig zu sein kann nicht bedeuten, dass jede technische Lösung und jedes Geschäftsmodell erlaubt ist und das Recht dem zu folgen hat. Technische Lösungen und neue
Geschäftsmodelle müssen sich vielmehr in den bestehenden - sich durchaus auch weiterentwickelnden - rechtlichen Rahmen innovativ einpassen. Hier kann Europa aufgrund seines strengen grundrechtsbetonten Datenschutzrechts ein Vorreiter in der Entwicklung datenschutzfreundlicher und damit vertrauenswürdiger Geschäftsmodelle sein. Dies sollten die europäischen Unternehmen als Chance und Wettbewerbsvorteil begreifen.
Aus diesen Gründen haben sich Vorschläge, die rechtliche Zulässigkeit oder die Einräumung grundlegender Betroffenenrechte von den Risiken einer Datenverarbeitung abhängig zu machen, erfreulicherweise weder im Europäischen Parlament noch im Rat durchsetzen können.
Gleichwohl enthält die DSGVO durchaus Elemente eines risikobasierten Ansatzes. Dies gilt vor allem für die
Gewährleistung des technischen und organisatorischen Datenschutzes. Auch das ist nichts Neues, sondern findet
sich bereits im geltenden Datenschutzrecht. So müssen die verantwortlichen Stellen nach § 9 BDSG nur die
Maßnahmen treffen, deren Aufwand in einem angemessenen Verhältnis zum Schutzzweck steht. Die DSGVO
baut auf diesem Modell auf und skaliert eine Reihe von Elementen des technischen und organisatorischen Datenschutzes anhand der für den Einzelnen bestehenden Risiken. Dies gilt sowohl für die im Einzelnen zu treffenden Maßnahmen, z. B. eine Verschlüsselung wie etwa auch für die Frage, wann eine Datenschutz-Folgenabschätzung durchzuführen oder die Aufsichtsbehörde zu konsultieren ist.
Einem solchen risikobasierten Ansatz folgt insbesondere das Kapitel IV der DSGVO, über das sich der Rat bereits grundsätzlich geeinigt hat (vgl. Nr. 1.1).
1.2.4 Stärkung der Pseudonymisierung
Am 24. Oktober 2014 hat die Bundesregierung eine deutsche Note an den Vorsitz des Rates der Europäischen
Union übermittelt, die sich mit der Pseudonymisierung (in Abgrenzung von der Anonymisierung) personenbezogener Daten befasst (vgl. Nr. 2.2.3).
– 28 –
BfDI 25. Tätigkeitsbericht 2013-2014