„Humankapital“ bereits das Unwort des Jahres 2004 und
„Menschenmaterial“ das Unwort des 20. Jahrhunderts.
Ein ausschließliches Verfügungsrecht als notwendiger
Baustein des Dateneigentums könnte durch den Rah‑
men, den das Recht auf informationelle Selbstbestim‑
mung setzt, aktuell auch gar nicht gesetzlich umgesetzt
werden. Der Betroffene hat stets eigene Rechte bezüg‑
lich der ihn betreffenden Daten, die so lange fortbeste‑
hen, wie er durch diese Daten identifizierbar ist. Wer
auch immer Dateneigentümer ist, könnte nicht unbe‑
schränkt über diese Daten verfügen. Der Sinn und Zweck
des Eigentums wäre verfehlt. Dieser Widerspruch zeigt
sich besonders deutlich, wenn man dem Dateneigentum
konkrete Regelungen der DSGVO gegenüberstellt. Ein
Beispiel hierfür ist Art. 7 Absatz 3 DSGVO, nach dem
der Betroffene seine Einwilligung jederzeit widerrufen
kann. Hängt die Rechtmäßigkeit der Verarbeitung von
eben jener Einwilligung ab, kann ab dann keine recht‑
mäßige Verfügung mehr über diese ggf. im Eigentum
eines Dritten befindlichen Daten getroffen werden. Die
effektive Verfügungsmöglichkeit des „Eigentümers“ wäre
mit einem Schlag auf null reduziert. Diese Problemati‑
ken gelten dabei nicht nur für den handlungsbezogenen
Ansatz, sondern auch für den datenspezifischen, ans
Urheberrecht angelehnten. Auch bei der Vergabe einer
Nutzungslizenz durch den Betroffenen wären Möglich‑
keiten zum Widerruf oder zur Auskunft gegeben.
Die These vom Dateneigentum als einer besonderen
Ausprägung der Souveränität offenbart ebenfalls Schwä‑
chen. Daten sind zwar der Rohstoff der Informationsge‑
sellschaft, aber eben nur begrenzt vergleichbar mit dem
vielfach erwähnten Gold oder Öl. Während Eigentum
an diesen Ressourcen vollständig möglich ist, ohne
die Rechte anderer einzuschränken, ist dies bei Daten
häufig nicht der Fall. Personenbezogenen Daten ist es
inhärent, dass hinter jedem Datum ein Mensch steht,
dessen grundlegendes Interesse, frei von Beobachtung
zu sein, beim Umgang mit diesen Daten stets eine Rolle
spielt. Dieses grundlegende Interesse lässt sich zwar in
Einklang bringen mit ebenfalls schützenswerten wirt‑
schaftlichen Interessen, kann aber durch Letztere nicht
ersetzt werden. Ein ausschließliches Recht an perso‑
nenbezogenen Daten würde letztlich den Boden eines
verhältnismäßigen Ausgleichs zwischen diesen beiden
Interessen verlassen.
Die Konferenz der unabhängigen Datenschutzaufsichts‑
behörden des Bundes und der Länder kommt in ihrer
2017 verabschiedeten Göttinger Erklärung zum Wert des
Datenschutzes in der digitalen Gesellschaft zum gleichen
Schluss: Verstanden als eigentumsähnliche Verwer‑
tungshoheit kann „Datensouveränität“ nur zusätzlich
zum Recht auf informationelle Selbstbestimmung
greifen. Auch im digitalen Zeitalter bleibt die Menschen‑
36
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
würde und die freie Entfaltung der Persönlichkeit der
Maßstab, an dem sich staatliches wie wirtschaftliches
Handeln zu orientieren hat.
Insgesamt zeigt sich, dass die Diskussion über Daten
souveränität zwar einige interessante Gedanken
enthält, aber eben kein großer Wurf weg vom „klassi‑
schen“ Datenschutzrecht ist. Eine Erkenntnis, die im
Grunde schon im Begriff „Souveränität“ selbst liegt,
da dieser ohnehin nichts anderes bedeutet, als Selbst‑
bestimmungsmöglichkeit, den Kern des Datenschutz‑
rechts.
1.6 Digitalisierung in Fahrzeugen
nicht ohne ausreichenden Schutz
der Privatsphäre
Das Thema „Datenschutz im Kraftfahrzeug“ beschäftigt
die Medien, seit immer mehr Fahrzeuge auf den Markt
kommen, die Online-Dienste anbieten. Dabei zeigt sich
das Bemühen der Hersteller, den Fahrzeugnutzern auch
Möglichkeiten für eine datenschutzfreundliche Anwendung zu geben.
Meine Kolleginnen und Kollegen in den Ländern und
ich haben uns in der Konferenz der unabhängigen
Datenschutzaufsichtsbehörden des Bundes und der
Länder wiederholt zur datenschutzgerechten Nutzung
von Fahrzeugdaten geäußert. Aus unserer Sicht sind die
folgenden zentralen Punkte zu beachten:
→→
Alle beim Betrieb von Fahrzeugen anfallenden
Daten werden durch den individuellen Gebrauch des
Fahrzeugs beeinflusst und sind deshalb personenbe‑
zogen. Somit gibt es keine Daten, die von vornherein
datenschutzrechtlich irrelevant sind.
→→
Die Automobilindustrie ist verantwortlich dafür,
ihre Produkte datenschutzgerecht zu gestalten
und entsprechend auf Zulieferer und Anbieter von
Zusatzdiensten, die die technische Autoinfrastruktur
nutzen, einzuwirken.
→→
Dementsprechend ist auch die Automobilindustrie
auf die datenschutzrechtlichen Grundsätze von Pri‑
vacy by Design und Privacy by Default verpflichtet.
→→
Fahrzeugnutzern gegenüber müssen die im Fahrzeug
ablaufenden Datenerhebungs- und -verarbeitungs‑
vorgänge umfassend transparent gemacht werden.
→→
Durch geeignete technische und organisatorische
Maßnahmen nach dem aktuellen Stand der Tech‑
nik müssen Datensicherheit und Datenintegrität
sichergestellt werden. Dies betrifft insbesondere die
Datenkommunikation aus dem Fahrzeug heraus.