Wer eine Internetseite betreibt, möchte z. B. wissen,
wie viele Besucher es gab und welche Seiten angeklickt
wurden. Dies ist in vielen Fällen legitim und nachvollziehbar. Problematisch ist allerdings, wenn Drittanbieter
eingebunden werden und diese ebenfalls Daten über
die Nutzer erhalten. Verarbeitet der Drittanbieter diese
Daten zu eigenen Zwecken weiter (wie z. B. Google Analytics in der Standardkonfiguration), benötigt er dafür
die Einwilligung des Nutzers.
Auf vielen Internetseiten finden sich hierzu sogenannte
Cookiebanner. Diese suggerieren fälschlich, dass das Weitersurfen eine Einwilligung bedeutet. Eine Einwilligung
muss jedoch ausdrücklich und informiert erfolgen. Das
heißt: Die Anbieterinnen und Anbieter müssen zunächst
genau informieren, welche Daten zu welchem Zweck
erhoben werden. Erst wenn die Nutzerinnen und Nutzer
daraufhin zustimmen, dürfen die Daten erhoben und verarbeitet werden. Vorangekreuzte Kästchen oder versteckte Widerspruchsmöglichkeiten sind unzulässig.
Das bedeutet jedoch nicht, dass hier jedes Mal eine Einwilligung abgefragt werden muss. Erstaunlich ist, dass
viele Seitenbetreiber großflächige Cookiebanner einsetzen und bei Beschwerden von Nutzerinnen und Nutzern angeben, die DSGVO bzw. die Aufsichtsbehörden
würden dies verlangen. Dies ist nicht der Fall. Reine
Besuchsstatistiken können ohne Einwilligung und völlig
„bannerfrei“ datenschutzkonform umgesetzt werden.
Wie das geht, hat die Datenschutzkonferenz in einer ausführlichen „Orientierungshilfe“ beschrieben (zu finden
unter: www.bfdi.bund.de/orientierungshilfen).
4.6 Das Gutachten der Datenethik
kommission
Die Datenethikkommission (DEK) betont in ihrem Abschlussgutachten die herausragende Rolle des Datenschutzes und gibt konkrete Handlungsempfehlungen
zur Gestaltung unserer digitalen Zukunft. Es liegt nun
an der Bundesregierung und dem Deutschen Bundestag, die Empfehlungen aufzugreifen und entsprechende
Maßnahmen umzusetzen.
Die DEK wurde am 18. Juli 2018 von der Bundesregierung eingesetzt, um sich mit den Leitfragen zu
den Themenkomplexen Algorithmische Prognoseund Entscheidungsprozesse, Künstliche Intelligenz (KI)
und Daten auseinanderzusetzen. Sie bestand aus 16 Persönlichkeiten aus den Bereichen Wissenschaft, Wirtschaft, Verbraucher- und Datenschutz. Der Datenschutz
wurde durch die Landesbeauftragte für Datenschutz
Schleswig-Holstein und Leiterin des Unabhängigen
Landeszentrums für Datenschutz, Frau Marit Hansen,
und mich vertreten.
Den inhaltlichen Rahmen für die DEK hatte die Bundesregierung mit einem initialen Fragenkatalog vorgegeben. Die DEK sollte danach „Leitlinien für den Schutz
des Einzelnen, die Wahrung des gesellschaftlichen
Zusammenlebens und die Sicherung und Förderung
des Wohlstandes im Informationszeitalter entwickeln.“
Zudem sollten Handlungsempfehlungen ausgesprochen
werden, wie diese „ethischen Leitlinien entwickelt,
beachtet, implementiert und beaufsichtigt werden
können“.
Mit den vorgegebenen Fragen hätte sich die DEK mehrere Jahre beschäftigen können. Doch von der Bundesregierung war nur ein Jahr Zeit zur Verfügung gestellt
worden. Die Mitglieder der DEK übergaben nach intensiver Arbeit im Oktober 2019 ihr Abschlussgutachten an
die Bundesregierung. Das Gutachten wurde einstimmig
und ohne Sondervoten beschlossen. Die DEK hebt in
ihrem Gutachten nicht nur die abstrakte Wichtigkeit
des informationellen Selbstbestimmungsrechts des
Einzelnen hervor, sondern gibt konkrete Handlungsempfehlungen, wie diese Selbstbestimmung besser in
die digitale Entwicklung integriert werden kann.
Daten und Grundrechtsschutz im digitalen Zeitalter
Für mich stand von Beginn an fest, dass eine ethische
und gerechte Datenpolitik nur mit einem starken Datenschutz möglich ist. Dies entspricht auch der Überzeugung der DEK, die sich deutlich für eine Nachschärfung
des Datenschutzes ausspricht. Die DEK wendet sich
damit gegen den Irrglauben, es helfe der Digitalisierung,
möglichst wenig zu regulieren und bestehende gesetzliche Vorgaben weitestgehend abzuschaffen. Regulierung
ist jedoch keineswegs Selbstzweck. Sie dient dazu, die
Werte unserer Rechtsordnung zu gewährleisten und
Grundrechte zu schützen. Sie muss insbesondere dort
ansetzen, wo die Gefahren für die Rechtsgüter besonders hoch sind. Spätestens seit dem 19. Jahrhundert
wurde technologische Entwicklung immer auch durch
einen Rechtsrahmen flankiert, um etwa die Allgemeinheit vor bestimmten Risiken zu schützen. Beispiele dafür
sind der Arbeitsschutz oder Vorschriften für die Konstruktion von Kraftfahrzeugen.
Die Regulierung der Digitalisierung betrifft aber nicht
nur das informationelle Selbstbestimmungsrecht
und den Datenschutz. Da die Digitalisierung nach
und nach alle Lebensbereiche durchdringt, bestehen
auch Auswirkungen auf weitere Rechtsgüter, wie die
Gesundheit, die Berufsfreiheit oder das Recht auf
Gleichbehandlung. Zu denken ist hier beispielsweise
an KI in der Gesundheitsforschung, Pflegeroboter,
automatisierte Bewerbungsverfahren oder die Risiken
der Diskriminierung durch schlechte bzw. fehlerhafte
Datensätze.
Tätigkeitsbericht zum Datenschutz für 2019
35