Abo

Bericht : Forum Privatheit: EU-Kommission hat aus den Schwächen der DS-GVO gelernt: Entwurf der KI-Verordnung regelt Gefahren für Grundrechte deutlich konkreter : aus der RDV 4/2021, Seite 235 bis 236

Allgemein
Lesezeit 3 Min.

Die DS-GVO hat in Sachen Grundrechtsschutz eine Vorreiter-Rolle gespielt, viele Staaten sind mittlerweile ihrem Beispiel gefolgt. Ihre Grundsätze sind Bedingungen für eine lebenswerte, digitale Gesellschaft. Doch bisherige Rechtslücken werfen viele Fragen auf – und werden vor allem von mächtigen Datenverarbeitern, wie globalen Konzernen, ausgenutzt. „Der größte Erfolg der DatenschutzGrundverordnung ist, dass sie die Werte zum Ausdruck bringt, auf die sich die Mitgliedstaaten der Europäischen Union für ihren Weg in die digitale Gesellschaft geeinigt haben. Ihre Grundsätze, um die Grundrechte auf Datenschutz und Selbstbestimmung auszugestalten, sind Bedingungen für eine lebenswerte Gesellschaft“, so Alexander Roßnagel, Sprecher des Forschungsverbunds „Forum Privatheit“ Denn die DS-GVO fordere eine ausreichende Transparenz der Datenverarbeitung für die betroffenen Personen, die Bindung der Datenverarbeitung auf die Zwecke einer legitimen Datenerhebung, die Minimierung des Personenbezugs der Daten auf das zur Zweckerreichung Notwendige und die Gewährleistung von Datenschutz durch die technisch-organisatorische Gestaltung der Verarbeitungssysteme. „Damit zeigt die Verordnung einen dritten Weg der weltweiten Digitalisierung auf – zwischen der Kontrolle des Alltagslebens in China und der Datenausbeutung des kalifornischen Digitalkapitalismus“, konstatiert Roßnagel. Diesen Weg wollten mittlerweile viele Staaten der Welt mitgehen und gäben sich Datenschutzgesetze, die an der Datenschutz-Grundverordnung orientiert sind.

Die Intention war gut – doch bisher bleibt Manches hinter den Erwartungen zurück. Drei Jahre Datenschutzpraxis lassen auch Schwachstellen der Datenschutz-Grundverordnung immer deutlicher werden. Sie hat zum einen nicht zu einer einheitlichen Datenschutzpraxis in der Europäischen Union geführt: Die Abstraktheit vieler Regelungen lässt Raum für unterschiedliche Interpretationen, und die vielen Öffnungsklauseln eröffnen Spielräume für divergierende Gesetze in den Mitgliedstaaten. Hinsichtlich der Abstimmung der unabhängigen Aufsichtsbehörden hat sie komplizierte Verfahren vorgesehen, die eine einheitliche Zielsetzung und einen Kulturwandel voraussetzen, der (noch) fehlt. Zum anderen hat sie die notwendige Modernisierung des Datenschutzes angesichts der Herausforderungen von modernsten Informationstechniken wie Big Data, Internet der Dinge oder Künstlicher Intelligenz verfehlt: Sie enthält überwiegend abstrakte, technik- und risikoneutrale Regelungen, die in der Praxis nur schwer und hochumstritten zu konkretisieren sind. Beispiele hierfür sind etwa die notwendige Abwägung bei datengetriebenen Geschäftsmodellen zwischen berechtigten Interessen des Verantwortlichen und schutzwürdigen Interessen der betroffenen Person, ohne dass die Verordnung hierfür geeignete Kriterien vorgibt. Ein anderes Beispiel sind die unzähligen Streitverfahren über den Umfang des Auskunftsanspruchs. Die mangelnde Bestimmtheit vieler Regelungen der Verordnung bindet täglich Millionen von Arbeitsstunden und behindert Innovationen und Investitionen.

In Lücken, die das Recht lässt, dringt immer gesellschaftliche Macht ein. Solche Lücken werden vor allem von globalen Konzernen und anderen mächtigen Datenverarbeitern genutzt, um ihre Interessen – oft zu Lasten der betroffenen Personen – durchzusetzen. Defizite in der Gesetzgebung nachträglich auszugleichen, verursacht sehr viel Arbeit für die Aufsichtsbehörden. Fortschritte in der Datenschutzpraxis zeigen sich vor allem dort, wo der Europäische Datenschutzausschuss, die Konferenz der unabhängigen Aufsichtsbehörden des Bundes und der Länder oder einzelne Aufsichtsbehörden für Rechtsklarheit gesorgt haben – aber immer unter dem Risiko, dass diejenigen, die damit nicht einverstanden sind, die Gerichte anrufen. Dies hätte oft durch wenige risikoorientierte Festlegungen des Unionsgesetzgebers vermieden werden können.

„Die europäische und die deutsche Gesetzgebung sollte für künftige Digitalisierungsprojekte aus den Erfahrungen mit der Datenschutz-Grundverordnung lernen“, meint Forum Privatheit-Sprecher Alexander Roßnagel. Dieser Wunsch scheint zumindest bei der Europäischen Kommission angekommen zu sein. In ihrem Entwurf für eine Verordnung zur Regulierung künstlicher Intelligenz hat sie die strikte Technik- und Risikoneutralität in der Regulierung aufgegeben und regelt bereichs- und anwendungsspezifisch, wie Risiken für Grundrechte durch Künstliche Intelligenz abgewehrt werden können.

„Forum Privatheit“: Pressemitteilung v. 02.06.2021