Digitalwirtschaft in der EU : So war die DSGVO nicht gemeint
Europas Digitalwirtschaft soll im internationalen Wettbewerb zu einem Ökosystem der fairen digitalen Wertschöpfung werden. Dabei kommt es entscheidend auf die rechtlichen Rahmenbedingungen an. Aktuell entstehen in Ergänzung des „Data Governance Act“ mit dem „Data Act“ und der KI-Verordnung Gesetze, die auf die Weitergabe und Nutzung von Daten zum Wohl von Gesellschaft, Wirtschaft und Staat gerichtet sind. In ihnen ist der Datenschutz kein Bremsklotz der wirtschaftlichen Entwicklung, sondern integraler Bestandteil des Rechtsrahmens. Ebenso unbestreitbar ist: „Big Data“ und KI-Anwendungen setzen die Verkehrsfähigkeit von Daten voraus. Und: Wettberber aus Amerika und China beherrschen bislang den europäischen Markt. Sie setzen faktisch die Standards und stellen die Plattformen. Wenn Europas Digitalwirtschaft im internationalen Wettbewerb bestehen soll, dann müssen mehrere Faktoren zusammenwirken. Diese neun Punkte sind entscheidend:
1. Die DSGVO als Wirtschaftsverfassung des Datenbinnenmarktes begreifen
Die DSGVO ist mehr als „nur“ eine Datenschutzverordnung, sie ist der Kern der „Wirtschaftsverfassung des Datenbinnenmarktes“. Artikel 1 DSGVO und deren Erwägungsgrund 4 schützen nicht nur natürliche Personen bei der Verarbeitung personenbezogener Daten, sie schützen ausdrücklich auch den „freien Verkehr solcher Daten“. Dieser darf aus Gründen des Datenschutzes in der EU weder eingeschränkt noch verboten werden. Zugleich liefert die DSGVO die Rechtsgrundlagen für legitime Datenverarbeitungen. Dies sind die Verfolgung interessengerecht abgewogener Zwecke, Verträge über die Datenweitergabe und die freiwillige und informierte Einwilligung. Die im Bürgerlichen Gesetzbuch umgesetzte Richtlinie für Digitale Inhalte hat völlig konsequent Daten zum Wirtschaftsgut erklärt. Das aktuell in der EU entstehende Datenrecht baut diesen Ansatz aus. Es setzt auf eine umfassende Datenweitergabe unter Wahrung der Interessen persönlich Betroffener. Auf dieser Basis kann im Binnenmarkt mit personenbezogenen Daten gearbeitet, geforscht und gewirtschaftet werden. Personenbezogene Daten sind also – anders als uns manche öffentliche Diskurse glauben machen wollen – keine „res extra commercium“, die dem privatnützigen Wirtschaften entzogen wäre. Nur sehr wenige Datenverarbeitungen sind so risikoreich, dass man sie tabuisieren muss und die Weitergabe und Nutzung dieser sensiblen Daten selbst durch Einsatz von Verschlüsselungs- und Pseudonymisierungstechnik nicht rechtfertigen kann.
2. Mut zur Freiheit bei den Verantwortlichen
Wir erleben seit 2018 – dem Jahr des Wirksamwerdens der DSGVO – eine äußerst defensive Debatte über die Nutzung persönlicher Informationen, gerade so, als hätte Europa der zukunftsorientierten und in vielerlei Hinsicht gewinnbringenden Verarbeitung personenbezogener Daten abgeschworen. Umgekehrt schüttet eine frustrierte Datenwirtschaft das Kind mit dem Bade aus, wenn sie dem gewachsenen und vitalen Datenschutz Wirtschaftsfeindlichkeit oder Gestrigkeit unterstellt. Verantwortliche in Staat und Wirtschaft müssen vielmehr den Mut und die Weitsicht aufbringen, die Rolle des Datenschutzes zu verstehen und zu respektieren, aber eben auch nicht zu überhöhen. Dazu gehört, dass sie ihre Verantwortung in der Auslegung des Datenschutzrechts erkennen und selbstbewusst wahrnehmen. Dabei darf man auch Widerspruch gegenüber einer zu engen Anwendungspraxis von Aufsichtsbehörden erheben und sollte den Konflikt mit möglichen Klägern auf Schadenersatz wegen behaupteter Datenschutzverletzungen nicht scheuen. Verantwortliche können europaweit auf die Kontrollmechanismen des Rechtsstaats, insbesondere die fachkundiger werdenden Gerichte vertrauen. Mut statt Frust lautet die Devise.
3. Umdenken bei der Datenschutzaufsicht
Damit die Wirtschaft die von der DSGVO gewährte Freiheit leben kann, müssen die Datenschutzaufsichtsbehörden ein verlässliches und einheitliches Maß während des Vollzugs des Datenschutzes finden. Sie müssen die Wechselwirkung zwischen Datenschutz und der Notwendigkeit nach umfassender Weitergabe von Daten unterstützen. Zugleich müssen sie sich auf ein einheitliches und verlässliches Vorgehen einigen. Genau mit dieser Zielsetzung wurde in der DSGVO der Europäische Datenschutzausschuss eingesetzt, um für eine harmonische Umsetzung des Rechts in der gesamten EU zu sorgen. Das funktioniert bislang noch nicht überzeugend: Aktuell muss es die Wirtschaft beispielsweise ausbaden, dass Europas Datenschutzaufsichtsbehörden sich nicht auf ein effektives Vorgehen gegen Facebook einigen können, obwohl das Unternehmen wesentliche Vorgaben der DSGVO ignoriert. Irland ist für Facebook zuständig, aber bisher nicht bereit, den Konzern in die Schranken zu weisen. Streitpunkt ist etwa die Intransparenz über die Verantwortung der Datenverarbeitung beim Betrieb von Fanpages. Weil sich unter Europas Datenschutzbehörden keine klare Mehrheit dafür findet, Irland zu einem energischen Vorgehen gegen Facebook zu zwingen, hat man in Deutschland jetzt damit begonnen, gegen die Fanpagebetreiber vorzugehen, zunächst gegen Behörden, dann aber auch gegen Unternehmen. Sie wollen Facebook „über Bande“ dazu zwingen, sich an das Datenschutzrecht anzupassen. Facebook sitzt das bislang aus, während Europas Wirtschaft auf Bußgelder und Schadenersatzklagen wegen Datenschutzverstößen wartet, weil man bei der Kommunikation und in seinen Geschäftsmodellen von sozialen Netzwerken abhängig ist.
4. Kurswechsel beim EuGH
Die Idee des Vorgehens gegen Fanpagebetreiber stammt vom Europäischen Gerichtshof, dem maßgeblichen Treiber für die offensive Umsetzung des europäischen Datenschutzrechts. Das Gericht hat damit einen entscheidenden Anteil am Geschick der DSGVO. Der EuGH begreift die DSGVO wesentlich als Verbraucherschutzrecht und verliert dabei deren Ziel weitgehend aus den Augen, auch das wirtschaftliche Potenzial personenbezogener Daten zu heben. Auf der einen Seite nimmt er weltweit agierende Unternehmen zu Recht in die Pflicht, ihre Angebote dem lokalen Recht anzupassen. Nach dem Marktortprinzip gilt europäisches Recht nun einmal für alle, die hier anbieten. Auf der anderen Seite geht der EuGH zu weit, wenn er etwa die nur abstrakte und hypothetische Möglichkeit des Zugriffs nicht-europäischer Sicherheitsbehörden ohne konkretes und reales Risiko für persönliche Daten von Europäern als Killerkriterium für globalen Datenaustausch begreift. Die „Schrems II“-Entscheidung des EuGH hat enormen Flurschaden angerichtet. Danach ist selbst die technische Einbindung eines Schrifttyps, die per Datenverarbeitung aus den Vereinigten Staaten erfolgt, eine Datenschutzverletzung mit der Folge des Schadenersatzes für Unternehmen und Behörden. Das Verbot der Nutzung außereuropäischer Anbieter, etwa von Konferenzsystemen, schneidet Europa von der „Digitalen Daseinsvorsorge“ und Massenkommunikation zu einem Zeitpunkt ab, da nutzbare europäische Alternativen erst noch im Aufbau sind. Die Verwendung von gebräuchlicher Videokonferenzsoftware etwa kann mit existenzbedrohenden Bußgeldern belegt werden, auch wenn es in der Konferenz nur um Wirtschaftszahlen oder ums Wetter geht. Die Klageindustrie steht mit Unterstützung von „Legal Tech“ in den Startlöchern, um Europas Wirtschaft mit Massenklagen zu überziehen – hier immerhin scheint Europa die Nase vorn zu haben.
5. Sinnvolle wirtschaftliche Rahmenbedingungen für Datenteilung
In der Anwendung der DSGVO ist also einiges schiefgelaufen. So war sie nicht gemeint. Rechtsprechung und Aufsichtspraxis müssen sich ändern, wenn der Wille des europäischen Gesetzgebers nicht in wesentlichen Teilen ignoriert werden soll. Der setzt in den neuen Datengesetzen zum Datenbinnenmarkt nämlich konsequent auf Datenteilung und den Einsatz Künstlicher Intelligenz. Er schreibt damit die DSGVO als „Datenwirtschaftsverfassung“ fort. Der Gesetzgeber verfolgt sein Ziel weiter, Anreize für die Datenweitergabe im europäischen Datenökosystem zu schaffen. Das Anwendungsfeld dieses neuen Rechts ist immens. Im Internet der Dinge kommuniziert der Toaster mit Toastbrotlieferanten und die Waschmaschine mit dem Energieversorger. All diese Daten sollen im Binnenmarkt geteilt und verwertet werden. Das ist auch gut so – wirft aber natürlich auch Fragen auf. Etwa beim vernetzten Auto, dem fast alles könnenden „Personal Organizer“, der künftig autonom von Budapest nach Dublin fahren wird. Noch völlig unklar ist, wem die Daten gehören, die während einer Autofahrt durch Europa erhoben werden. Im autonomen Auto sind die Insassen nur noch Fahrgäste des Betreibers und Kunden des Anbieters der Inhalte der Bordelektronik sowie der sie treibenden Werbewirtschaft. Solange es noch einen Fahrer gibt, fragt sich, ob ihm die Daten der Fahrt zustehen, weil er sie produziert hat und sie sich auf ihn beziehen. Oder gehören sie dem Hersteller, der den vernetzten Wagen auf der Straße hält, oder dem Zulieferer für die Bordelektronik, deren Angebote die Insassen nutzen? Oder gehören die Daten dem Navigationsdienst von Google? Da jeder ein gewisses Anrecht auf diese Daten hat, wird der Gesetzgeber die entstehenden Interessenkonflikte weise regeln müssen und eventuell auch zu deren Teilung zwingen können, dabei aber die Unternehmensfreiheiten zu wahren haben.
6. Künstliche Intelligenz praxisgerecht regulieren
Wenn der Fahrer während der Fahrt unter Auswertung seines Fahrverhaltens von einem Bordcomputer auf seine Fahrtauglichkeit kontrolliert wird, dann kommt KI ins Spiel. Hier gilt es mit Augenmaß für die potentiellen Gefahren für Leib, Leben oder Gesundheit von Insassen und Verkehrsteilnehmern zu agieren. Man darf nicht aus jedem Kaffee, der dem Fahrer wegen künstlich intelligent festgestellter Müdigkeit nahegelegt wird, eine Hochrisikoanwendung machen. Das muss den heftig diskutierten Dilemmasituationen von potentiellen „Tötungsentscheidungen“ des Fahrzeugs im Straßenverkehr vorbehalten bleiben. Man muss auf Basis der DSGVO also zukunftsorientiert ausbuchstabieren, was zulässig ist. In den allermeisten Fällen ist KI ungefährlich und nützlich, und ihr Einsatz dürfte oft, etwa im Gesundheitsbereich oder in der Verbrechensbekämpfung, sogar ethisch geboten sein, wenn sie ihre Eignung unter Beweis gestellt hat. Wie der Mensch die Kompetenz bekommt, die „intelligente“ Maschine zu verstehen, um sich zur Not auch gegen den Vorschlag des Computers entscheiden zu können, der wie ein Schachcomputer in seinem Kontext nicht geschlagen werden kann, muss ebenfalls im Gesetz mitgedacht und vorgegeben werden. Nur wissend kann der Mensch den Druck auf die Stopp-Taste verantworten.
7. Datensouveränität stärken
Wer im Netz unterwegs ist, dem muss der Gesetzgeber Möglichkeiten an die Hand geben, um seine Datensouveränität praktikabel umsetzen zu können. Die Mittel zur Verfügung über Daten sind der Vertrag mit einem Datendienst über die Nutzung der Daten oder die Einwilligung. Beide Erlaubnisgründe konkurrieren miteinander. Das moderne Zivilrecht erkennt das „Zahlen mit Daten“ und damit Personendaten als Wirtschaftsgüter durchaus an. Den Willen zur Nutzung von Onlineangeboten, von der Website bis zur Bordelektronik im vernetzten Fahrzeug, kann man per Einwilligung erklären. Das deutsche Recht schlägt den Weg über Einwilligungsdienste vor, mit deren Hilfe Nutzer ihre Einwilligungen selbstbestimmt bündeln und sinnvoll verwalten können. Dieser Weg ist vielversprechend, das Digitalministerium muss nun zügig den Rechtsrahmen hierzu schaffen.
8. Faire Standards für fairen Wettbewerb
Es kommt bei all dem entscheidend darauf an, dass der Zugang zu Onlineangeboten nach transparenten, neutralen, fairen und offenen Standards ermöglicht wird. Aktuell setzen Apple und Google über ihre Webbrowser und App Stores die Regeln, weil sie den Zugang zum Netz für Milliarden Menschen steuern. Unter dem Deckmantel des Datenschutzes wird das damit legitimiert, dass sich der Wille des Nutzers am besten über den Anbieter des Betriebssystems verwalten ließe. Trifft der souveräne Nutzer jedoch auf monopolartige Anbieterstrukturen, so läuft sein Recht faktisch leer, per Einwilligung die Nutzung seiner Daten zu steuern. Die Souveränität des Nutzers geht dann im Willen der Anbieter der technischen Infrastruktur auf – und wird aufgehoben. Hier braucht es mehr Wettbewerb, notfalls auch durch staatliche Wettbewerbsregulierung und Zerschlagung von verbraucherfeindlichen Monopolen.
9. Medienrecht ist Digitalisierungsrecht: Herausforderungen für Bund und Länder
Weil alle Bereiche der Wirtschaft im Ergebnis datengetrieben sind, greifen die neu entstehenden EU-Datenakte tief in den Kompetenzbereich von Bund und Ländern in viele Gesetzgebungsfelder über. Insbesondere Medienrecht ist Digitalisierungsrecht und wird zunehmend europarechtlich geprägt. Greifbar ist das in der Medienregulierung durch den Digital Services Act (DSA). Bund und vor allem Länder müssen die Entwicklung der europäischen Datenakte in Abgrenzung zur EU beobachten, um die Regulierung in Brüssel frühzeitig politisch begleiten zu können. Der bundesbezogene und länderbezogene Handlungsbedarf und Spielraum muss wegen der Komplexität der Materie auf EU-Ebene und wegen ihres Einflusses auf das innerstaatliche Recht fortlaufend eruiert werden, damit Bund und Länder im Rahmen der Umsetzung des EU-Rechts reagieren und agieren können.