Archiv

Archiv

Konzern

Dr. Claus-Dieter Ulmer

Regulierung ohne Ende …?

Ein Beitrag von Dr. Claus-Dieter Ulmer, Konzerndatenschutzbeauftragter der Deutschen Telekom.

Claus-Dieter Ulmer, Konzernbeauftragter für den Datenschutz der Deutschen Telekom

Claus-Dieter Ulmer, Konzernbeauftragter für den Datenschutz der Deutschen Telekom.

Es könnten schöne Zeiten sein. Die Datenschutz-Grundverordnung (DSGVO) bringt Europa einen harmonisierten Datenschutz und damit Vereinfachung und Beschleunigung von Unternehmensprozessen. So dachten viele noch vor zwei Jahren, als die DSGVO beschlossen wurde.

Doch wenn wir ehrlich sind, ist vieles anders gekommen. Die Aufwände, die Unternehmen in die Umsetzung der Anforderungen aus der DSGVO stecken mussten und noch müssen, sind um ein Vielfaches höher, als ursprünglich angenommen. Dazu gibt es noch weitere Neuerungen. Mit der ePrivacy Verordnung steht ein neues europäisches Gesetz für den Kommunikationssektor vor der Tür, das zudem auch viele Unternehmen betrifft, die keine spezifischen Kommunikationsdienste anbieten. Reichen der rechtliche Rahmen und der Schutz durch die DSGVO nicht aus? Brauchen wir auch noch eine ePrivacy Verordnung? Ist das sinnvolle Harmonisierung? Tatsächlich muss man sich fragen: Sind die Metadaten, die im Rahmen einer Kommunikation anfallen, also etwa die Daten darüber wer von wo telefoniert hat, tatsächlich so viel kritischere Informationen als beispielsweise Versicherungs- oder Bankdaten, die heute ebenfalls elektronisch verarbeitet werden und die durch die DSGVO geregelt sind? Die ePrivacy Verordnung führt im Wesentlichen das Gedankenkonstrukt der alten ePrivacy Richtlinie fort. Dass sich die digitale Landschaft in den letzten 20 Jahren dramatisch weiterentwickelt hat, wurde dabei offensichtlich verdrängt. Doch unterstellen wir einmal, dass eine Sonderregelung wegen der erhöhten Kritikalität der Kommunikations- Metadaten erforderlich sei. Dann stellt sich weiterhin die Frage, warum zukünftige Geschäftsmodelle, die im besten Sinne der Verbraucher sein können, durch unnötige Eingrenzung so erheblich erschwert werden.

Nach derzeitigem Stand der ePrivacy Verordnung ist die Weiterverarbeitung der Kommunikation-Metadaten, zum Beispiel Standortdaten, nur in den Fällen zulässig, in denen entweder der Kunde aktiv eingewilligt hat oder die Daten anonymisiert sind. Auf den ersten Blick also eine nachvollziehbare Lösung. Doch wie lässt sich das mit den heutigen Datenmodellen der digitalen Gesellschaft, die von der Auswertung großer Datenmengen auf individueller Basis ausgehen, vereinbaren? Denn erfahrungsgemäß werden auch bei für den Nutzer sinnvollen Geschäftsmodellen nicht alle Nutzer in die Weiterverarbeitung der Daten einwilligen. Aus ganz verschiedenen Gründen. Das bedeutet aber in der Konsequenz, dass es in Fällen, in denen eine Massendaten-basierte Auswertung notwendig ist, wegen der zu geringen Datenbasis zu falschen Analyse-Ergebnissen kommen kann. Anonymisierte Datensätze bergen das Problem, dass sich nur eine Aussage darüber treffen lässt, in welchem Bereich sich größere Ansammlungen von Menschen aufhalten. Eine Auswertung auf individueller – auch namenloser Basis – ist dagegen ausgeschlossen. Diese Auswertung wäre aber für einige neue Geschäftsmodelle notwendig. Es fehlt also etwas „in der Mitte“: die Verwendbarkeit von pseudonymen Daten. Pseudonyme Datensätze ermöglichen einerseits einen technisch hohen Datenschutz für den einzelnen Nutzer, andererseits aber eine wesentlich höhere Aussagekraft für moderne Geschäftsmodelle, da auch individuelle Bewegungsmuster analysiert werden können. 

Eines muss an dieser Stelle aber klar gesagt werden: auch die Verwendbarkeit von pseudonymen Daten soll nicht dazu führen, dass Unternehmen alles erlaubt ist und Kundendaten nur noch als Rohstoff angesehen werden. Natürlich muss die Verwendung pseudonymer Daten ebenfalls eng reguliert werden. Ich wünsche mir aber, dass Pseudonymisierung als solche nicht verteufelt wird. Denn sie vereinbart Datenschutz mit digitalen Geschäftsmodellen. Dazu braucht es über die Regulierung hinaus auf Seiten der Unternehmen auch eine Corporate Digital Responsibility, also den verantwortungsvollen Umgang mit den Möglichkeiten der Digitalisierung, um das Vertrauen der Verbraucher in den Umgang mit ihren Daten zu gewinnen und zu erhalten.
Im Ergebnis aber bringt die pseudonymisierte Verwendung einer ausreichend großen Masse an Daten den Verbrauchern ganz wesentliche Vorteile und kann ihnen den Alltag erleichtern. Beispielsweise im Verkehrsmanagement machen pseudonyme Auswertungen der Standortinformationen Sinn, um Fahrzeuge
je nach Umwelt- oder Verkehrssituation durch Städte zu leiten. Den einzelnen Fahrern kann zudem auf Wunsch gezeigt werden, wo sie freie Parkplätze finden. Das ist nur ein Beispiel von vielen sinnvollen Einsätzen für pseudonymisierte Metadaten. Weitere Beispiele haben wir unter telekom.com/datenschutz veröffentlicht. 

Was ist nun der Vorschlag der Deutschen Telekom – und übrigens der meisten Datenschutzbeauftragten der europäischen Telekommunikationsanbieter? Die pseudonyme Weiterverarbeitung von Daten sollte, wie in der DSGVO schon passiert, in die ePrivacy Verordnung aufgenommen werden. Wenn pseudonymisiert wird, der Nutzer informiert ist und widersprechen kann, spricht nichts gegen die Weiterverarbeitung von bereits rechtmäßig erhobenen Daten. Diese Weiterverarbeitungsmöglichkeit kann zudem durch weitere Anforderungen an die technische Ausgestaltung der Pseudonymisierung flankiert und damit auf ein hohes Sicherheitsniveau gehoben werden. 

Die Pseudonymisierung ist nur ein Beispiel dafür, dass die Gesetzgebungsorgane bislang nicht das große Ganze im Blick haben. Für Regelungen in einer digitalisierten Welt braucht es zwingend das entsprechende Verständnis auf Seiten des Gesetzgebers. Ein weiteres Beispiel? Bleiben wir bei der Verarbeitung von Standortdaten. Nach derzeitigem Stand des Entwurfes umfasst die ePrivacy Verordnung nur die Standortinformationen der Kommunikationsanbieter. Die aus GPS generierten Standortdaten in Apps sind außen vor. Da fragt man sich, wo denn nur der Unterschied in der Kritikalität dieser Informationen liegt, die eine Sonderbehandlung der Kommunikationsanbieter rechtfertigen würde. Im Gegensatz zu Mapping-Diensteanbietern haben insbesondere Telekommunikations-Anbieter nicht die Möglichkeit, die Standortinformation des Nutzers mit anderen sozialen Daten des Nutzers zusammenzuführen, wie es etwa Google kann. Für die Differenzierung wird auch als Begründung herangezogen, dass der Nutzer die Generierung von GPS-Standortdaten auf seinem Smartphone ausschalten kann. Doch das ist zu kurz gegriffen. Das Verschieben eines Reglers auf dem Smartphone-Display führt nicht notwendiger Weise zu einer geänderten Einstellung im Betriebssystem. Heißt, auch wenn die GPS-Funktion vermeintlich ausgeschaltet ist, ist nicht garantiert, dass sie tatsächlich deaktiviert ist. Wir alle haben das in den letzten Wochen durch entsprechende Presseberichte gelernt. Ein anderes Argument des Gesetzgebers lautet, dass die Einbeziehung von GPS-Informationen in die ePrivacy Verordnung alle App-Provider betreffen würde. … ja natürlich! Im Moment betrifft die ePrivacy Verordnung ja auch alle Kommunikationsanbieter. Der Gesetzgeber muss sich meines Erachtens also erst einmal klar darüber werden, was es eigentlich zu regeln gilt, bevor er eine zusätzliche Verordnung erlässt. 

Bleibt eine letzte Frage: Wie wollen wir zukünftig mit Cookies umgehen? In der Tat ist es ein richtiger Ansatz im Entwurf, die Verwendung von Cookies grundsätzlich zuzulassen, wenn diese zur Durchführung des Vertragsverhältnisses mit dem Nutzer notwendig sind. Was aber ist die Lösung für Werbe- und Tracking Cookies? Opt-In hin und Opt-Out her, was passiert, wenn ich das nicht möchte? Wie können die Geschäftsmodelle der Online-Medien dann noch funktionieren? Wie können wir die Meinungsvielfalt als Kontrapunkt zu den Lock-In-Effekten in sozialen Netzwerken aufrechterhalten? Auch darauf hat die ePrivacy Verordnung in ihrem derzeitigen Entwurf keine Antwort. 

Insgesamt zeigt sich, dass sich der Gesetzgeber bei der ePrivacy Verordnung zu eindimensional auf die Beibehaltung bestehender Standards fokussiert hat. Zwar gab es im Vorfeld eine Umfrage zu den Regelungsbedarfen. Zukunftsweisende Szenarien wurden dabei aber nicht beziehungsweise zu wenig beachtet. Lösungen für „Internet of Things“ Anwendungen können nicht mit den Lösungswegen gefunden werden, die in den 1990ern richtig waren. Digitale Lösungen sind heute sehr viel komplexer und unternehmens- und länderübergreifend. Da reicht es auch nicht aus, den Harmonisierungsansatz und das „Level Playing Field“ aus der DSGVO zu übernehmen. Den Herausforderungen aus der Digitalisierung kann zum Teil sicher noch rechtlich begegnet werden (man denke nur an die Grundsätze der Zweckbindung und Datensparsamkeit), sie müssen aber immer mehr die technischen und organisatorischen Möglichkeiten in Betracht ziehen, die uns heute zur Verfügung stehen. Ein großer Wurf sieht anders aus. Da wir die DSGVO bereits in der Anwendung haben, sollten wir uns doch die nötige Zeit nehmen, um die ePrivacy Verordnung noch einmal systematisch einzuordnen und zu überarbeiten.
 

Dr. Claus-Dieter Ulmer, Konzernbeauftragter für den Datenschutz und Senior Vice President Group Privacy.

Dr. Claus-Dieter Ulmer

Konzernbeauftragter für den Datenschutz und Senior Vice President Group Privacy

Laptop, Handy und Kaffeetasse auf dem Tisch

Management zur Sache

Telekom Managerinnen und Manager äußern sich zu wichtigen Themen.

FAQ