„Daten an sich sind kein Schutzgut“

Interview mit Prof. Max von Grafenstein (Digitale Souveränität, UdK)


Vor einigen Wochen boten wir im Rahmen des Projekts freemove einen Workshop an zu Theorie und Praxis des Umgangs mit Mobilitätsdaten. Es entstand eine lebhafte Diskussion zwischen den Praktiker:innen und den Projektverantwortlichen. Auch der Rechtsanwalt und Regulierungswissenschaftler Prof. Dr. Max von Grafenstein von der Universität der Künste, der zu den wissenschaftlichen Betreuern des Projekts gehört, war gefragt. Im Nachgang sprachen wir mit ihm über den Datenschutz und seine Rolle bei Digitalprojekten.

Max von Grafenstein Max von Grafenstein

TSB: Datenschutzfragen gelten vielen als kompliziert, ja, kaum durchschaubar. Kannst Du das nachvollziehen?

Max von Grafenstein: Tatsächlich war im Datenschutzrecht lange Zeit konzeptionell einiges unklar. Was genau sollte das Datenschutzrecht eigentlich schützen? Normalerweise gibt es ein Schutzgut, das an sich schützenswert ist; Eigentum beispielsweise ist ein Schutzgut, das vor Diebstahl geschützt werden muss. -Aber Daten? Daten an sich sind kein Schutzgut, aber die Autonomie des Einzelnen, die durch die Informationsmachtasymmetrie gefährdet wird, die aus der Datenverarbeitung folgen kann: Man kann Menschen aufgrund der Informationen, die man aus den Daten relativ einfach generieren und für die unterschiedlichsten Zwecke verwenden kann, in ihr Privatleben eindringen, diskriminieren, ihre Freiheits- oder Partizipationsrechte usw., sprich ihre autonome Grundrechtsausübung, unterlaufen.

Juristisch macht es einen großen Unterschied, ob ich die Daten als Schutzgut definiere oder vor der Gefährdung schütze, die für die zu Grundrechte entstehen kann. Wenn die Grundrechte und deren Gefährdung in den Mittelpunkt des Interesses rücken, muss ich mich als Nächstes fragen: Wie plausibel ist diese Gefährdung? Zielt wirklich jede Datennutzung darauf, sämtliche Grundrechte auf gleiche Weise zu beeinträchtigen? Ist es ein Problem, wenn der Handwerksmeister eine Kundenadresse speichert, um später eine Rechnung für seine Leistung zu schicken, oder die Schule Daten der Kinder erfasst, um den Schulalltag besser zu organisieren? Darf ich wirklich beim Umgang mit Daten keinen Unterschied zwischen einem auf Daten ausgerichteten Unternehmen und der Schule oder dem Handwerksbetrieb machen?

Diese juristische Klärung wird für die Praxis Erleichterung bringen, weil sie ermöglicht, den praktischen Umgang mit Daten differenzierter zu untersuchen.

TSB: Inwiefern?

Max von Grafenstein: Datenschutz bleibt ein kompliziertes Rechtsgebiet, keine Frage. Und dass viele Unternehmen keine In House-Jurist:innen beschäftigen können oder, wenn sie eine solche Person haben, diese nicht unbedingt auf Datenschutzfragen spezialisiert ist, ist klar.

Aber jetzt, wo grundsätzliche Dinge geklärt sind, kann sich die Arbeit in Zukunft auf methodische Fragen konzentrieren. Ich gehe davon aus, dass sich bestimmte standardisierte Vorgehensweisen entwickeln, dass Praktiker:innen mit den Datenschutzbehörden zusammenarbeiten werden und sich im Laufe der Zeit bestimmte Praktiken bewähren, die in Stellungnahmen, Verhaltensrichtlinien, Zertifizierungsprogrammen und dergleichen festgehalten werden.

In der Praxis wird man dann zum Beispiel Zertifizierungsverfahren für den Umgang mit erhobenen Daten wählen können; Datenschutz quasi nach Rezept. Unser Projekt Freemove zu Mobilitätsdaten hat ja auch ein solches Ziel: Am Ende soll im Idealfall ein Zertifikat stehen, dass es den Nutzer:innen ermöglicht, für definierte Fragestellungen datenschutzkonform mit Mobilitätsdaten umzugehen. Ich halte das aufgrund der Möglichkeiten der DSGVO* und der aktuellen Entwicklung für sehr realistisch. Unser Umgang mit Daten wird sich verändern. Allerdings braucht es noch Zeit. Die ersten Zertifizierungsprogramme werden voraussichtlich erst im Laufe des kommenden Jahres von den Behörden genehmigt werden, vier Jahre nach Inkrafttreten der DSGVO. Da waren einfach sehr viele konzeptionelle Fragen zu klären.

TSB: Im Workshop hast Du bei den Praktiker:innen dafür geworben, den Datenschutz als Hilfe bei der konzeptionellen Arbeit für Digitalprojekte zu verstehen. Wie meinst Du das?

Max von Grafenstein: Der Datenschutz zwingt dazu, bei der Projektkonzeption genau zu überlegen, wie mit den Daten umgegangen wird, so dass die Risiken für die Betroffenen möglichst gering sind. Das sind nicht nur rechtliche, sondern auch technische und organisatorische Fragen, die bereits in der Planungsphase geklärt werden müssen. Wenn man ein technisches System erst im Nachhinein an solche Designprinzipien anpasst, wird es teuer. Außerdem rückt der Datenschutz die Datenträger:innen, also Kund:innen oder Nutzer:innen von Digitalprojekten, in den Mittelpunkt der Überlegungen. Auch das ist ein sehr positiver Effekt.

Übrigens begünstigt der Datenschutz auch viele Innovationen, schafft neue Dienstleistungen etc. Sein schlechter Ruf rührt in der aktuellen Praxis vor allem aus seiner undurchdachten Anwendung, die die Einhaltung von Vorschriften zum Selbstzweck macht und den eigentlichen Sinn und Zweck der Regelungen komplett vergisst. Glücklicherweise wird das zunehmend von Unternehmen verstanden, die gut praktizierten Datenschutz mehr und mehr als Qualitätsmerkmal und sogar Wettbewerbsvorteil nutzen.

*Datenschutz-Grundverordnung


Zur Blogübersicht