Dialog als Regulierungsinstrument im Datenschutz: Einschätzungen von Datenschutzaufsicht und Internet-Unternehmen

— Jan-Hinrik Schmidt & Per Christiansen (HBI Hamburg)

 

Ein weit diskutiertes Problemfeld der Kommunikations- und Medienpolitik ist der Datenschutz. Mit der rasanten Veralltäglichung von Computern und digitalen Medien treten in vielen Lebensbereichen Regulierungsanlässe und Situationen auf, in denen Datenschutz als Problem empfunden wird (Schmidt/Weichert 2012). Gerade weil immer mehr Facetten des persönlichen Lebens auf digital-vernetzten Technologien beruhen, entstehen auch umfangreiche und in ihrer Verkettbarkeit kaum noch überschaubare Datensammlungen. Im Bereich der sozialwissenschaftlichen Internetforschung (vgl. z.B. Trepte/Reinecke 2011), der Auseinandersetzung um Netzpolitik (vgl. z.B. Bull 2013) oder auch in eher populärwissenschaftlich-feuilletonistischen Diskursen (vgl. z.B. Heller 2011; Kurz/Rieger 2012) wird derzeit intensiv debattiert, wie unter heutigen medientechnischen Bedingungen informationelle Selbstbestimmung und Privatsphäre verstanden sowie gewährleistet werden können. Vor diesem Hintergrund widmet sich der vorgeschlagene Beitrag einer spezifischen Facette des Problemfelds "Datenschutz und Internet", nämlich der Rolle von Dialog zwischen Datenschutzaufsicht und Internet-Unternehmen für die Regulierung datenschutzbezogener Fragen.

Nach Bennett/Raab (2006) lassen sich drei verschiedene Typen von Regulierungsinstrumenten im Bereich des Datenschutzes unterscheiden: (1) rechtliche Vorschriften, (2) Selbst-Regulierung sowie (3) technische Maßnahmen. Allen diesen Instrumenten ist gemein, dass sie in ihrer Anwendung eine Kommunikation zwischen Aufsicht und Unternehmen voraussetzen, und sei es nur zu der Frage, ob mit einer bestimmten Maßnahme dem Datenschutzrecht entsprochen wird oder nicht. Während die Selbstregulierung auf brancheninternen Vereinbarungen und Standards beruht, an deren Effektivität oft Zweifel bestehen (vgl. Busch 2011, S. 232), und technische Maßnahmen wie z.B. Verschlüsselungstechnologien noch nicht weit verbreitet sind, obwohl Leitbilder wie "privacy by design" bzw. "Systemdatenschutz" an Bedeutung gewinnen (vgl. Schaar 2012), existieren insbesondere in den USA und den Staaten der EU sehr umfangreiche rechtlich-institutionelle Regime des Datenschutzes (vgl. Busch 2011). Diese sehen in der Regel vor, dass die Einhaltung der rechtlichen Vorgaben durch spezifische Aufsichtsbehörden kontrolliert wird. Deren Instrumente zur Durchsetzung von Rechtsvorschriften haben Ayres/Braithwaite (1992) modellhaft in pyramidaler Form dargestellt (vgl. Abbildung 1): Instrumente der Überzeugung und der Dialog bilden demnach die breite Basis, während Instrumente des Zwangs die nur selten notwendige Eskalation zur Spitze der Pyramide darstellen.

 

Abbildung 1: Die "Enforcement pyramid" nach Ayres/Braithwaite

Quelle: Ayres/Braithwaite 1992, S. 35

 

Der Dialog im Rahmen einer Regulierungssituation hat verschiedene Funktionen. Er dient dem Ausgleich von asymmetrischer Information, der Normkonkretisierung, der Förderung von wechselseitigem Verständnis und Vertrauen – und damit letztlich der Steigerung von Compliance (vgl. McCaffrey/Smith/Martinez-Moyano (2006) für die US-Finanzmarktregulierung). Dialog birgt aber auch Risiken: Kommt es in geschlossenen regulatorischen Systemen zu einer Exklusion von neuen Perspektiven und Akteuren, kann es für die Aufsicht zu einer Übernahme der Perspektive der Unternehmen ("capture") und einem Absinken der Anforderungen an die regulierten Unternehmen ("challenger-effect") kommen (vgl. ebda.).

In Deutschland stehen die Landesdatenschutzbehörden und der Bundesdatenschutzbeauftragte zu vielfältigen Anlässen im Dialog mit Unternehmen der Internet-Branche über datenschutzrechtliche Fragen: Von Anhörungen und Verwaltungsverfahren über Beratungsgespräche bis hin zum eher informellen Austausch auf Fachkonferenzen sowie am Rande oder auf Podien von Veranstaltungen. Zudem gibt es mittelbare Formen des Austauschs, etwa wenn Äußerungen der Aufsicht oder Verfahren gegen Unternehmen wie Google, Facebook oder Apple in den Medien kommentiert werden (vgl. N.N. 2013a; 2013b). Bislang gibt es aber für Deutschland keine systematisch erhobenen Erkenntnisse, wie die Beteiligten solche Dialogsituationen im Kontext der Datenschutzregulierung wahrnehmen, wie sie die Interessenslagen und Kommunikationsstrategien der eigenen wie der anderen Seite einschätzen, und ob sie meinen, dass der Dialog zwischen Aufsicht und datenverarbeitenden Unternehmen aus der Internetbranche die datenschutzbezogene Regulierung verbessern könne.

Der vorgeschlagene Beitrag basiert auf verschiedenen empirischen Bausteinen eines Projekts, das wissenschaftliche Erkenntnisse (s.o.) mit einem Beratungsauftrag (für eine Landesregierung, die innovative Ansätze im Datenschutz erproben möchte) verbindet. Ergebnisse aus fünf Experteninterviews mit Vertretern aus Unternehmen und Aufsichtsbehörden im Januar 2013 sowie eines Workshops mit 15 Experten (Rechtsanwälte, Datenschutzberater, Wissenschaftler) dienten initial dazu, Erfahrungen mit und Einschätzungen von Dialog(-­‐situationen) als Regulierungsinstrument zu gewinnen. Auf dieser Grundlage wurde eine halbstandardisierte Befragung konzipiert, die neben geschlossenen Fragen (z.B. zu Einschätzungen spezifischer Kommunikationssituationen oder des generellen Verhältnisses von Unternehmen und Datenschutzaufsicht) auch eine Reihe von offenen Fragen enthielt, um ausführliche Äußerungen (z.B. zu best-practice-Beispielen für erfolgreiche Dialogsituationen) zu erhalten.

Die Umfrage wurde online durchgeführt (Feldzeit: 21. August bis 22. Oktober 2013); eine Bitte zur Teilnahme wurde an sämtliche Datenschutzbehörden (Bund und Länder) in Deutschland, die Verbände BITKOM, BVDW, eco, DMMV (jeweils mit der Bitte der Weitergabe an Verteiler von Internet-Unternehmen), an ausgewählte Einzelunternehmen sowie an Datenschutzberater und Rechtsanwälte verschickt. Die Grundgesamtheit kann nicht exakt bestimmt werden. Von den 120 Personen, die die Umfrageseite aufriefen, beendeten 45 den Fragebogen (37,5%). Die Fallzahl, insbesondere in den für die Analyse unterschiedenen Subgruppen "Unternehmen" (n=18), „Aufsicht“ (n=7) und "Berater/Rechtsanwälte" (n=20) ist für die Ausweisung von Prozentwerten zu niedrig, sodass im Vortrag vorrangig auf Mittelwerte sowie auf die offenen Antworten zurückgegriffen wird. Zum Zeitpunkt der Tagungsdeadline konnte die Auswertung der Umfrage noch nicht vollständig abgeschlossen werden. Folgende Ergebnisse und erste daraus abgeleitete Hinweise für eine Weiterentwicklung der Datenschutzregulierung lassen sich allerdings bereits jetzt festhalten:

 

Erste Ergebnisse

  1. Dialog findet vor allem zwischen rechtlichen Experten statt, seltener mit Geschäftsführung oder Entwicklern.
    Es wurde abgefragt, welche Funktionsträger in Unternehmen (Vorstand, Rechtsabteilung, Presseabteilung, betrieblicher Datenschutzbeauftragter etc) wie häufig in Dialog mit der Aufsicht treten. Im Ergebnis bestehen die häufigsten Kontakte zwischen Aufsicht und Rechtsabteilung, betrieblichen Datenschutzbeauftragten und externen Beratern. Der Dialog ist damit in gewissem Maße "verrechtlicht" und auf Spezialisten verlagert. Wenn der Dialog aber dazu diesen soll, Orientierung und Handlungsanleitungen zu vermitteln, muss man sich die Frage stellen, ob der Dialog diejenigen Personen in Unternehmen erreicht, die die datenschutzrelevanten Entscheidungen treffen. Dies gilt besonders für die Gruppe der Produktentwickler und Programmierer, die so gut wie nie mit der Aufsicht in Kontakt kommen, nach dem Leitbild des "Privacy by Design" aber von Beginn an die datenschutzrechtlichen Implikationen ihrer Arbeit berücksichtigen sollen.
  2. Die faktische Rolle der Datenschutzaufsicht wird von den Beteiligten unterschiedlich wahrgenommen.
    Der Befragung zufolge unterscheidet sich die Eigen- und Fremdwahrnehmung der Rolle der Datenschutzaufsicht. Für die Aufsicht beinhaltet die Eigenwahrnehmung ihrer Rolle der Aufsicht im Wesentlichen drei Komponenten: klassische Rechtsaufsicht, Beratung und "Mahner in der Öffentlichkeit". Unternehmen können aber nicht immer verlässlich einschätzen, in welcher Funktion die Aufsicht gerade mit ihnen spricht. Aus offenen Kommentaren in der Umfrage spricht deutliche Verwunderung, wenn die Aufsicht in einem Gespräch plötzlich in den "Aufsichtsmodus" schaltet/schalten muss. Die Unklarheit über die Rolle der Aufsicht in ihren in sich nicht widerspruchsfrei realisierbaren Funktionen ist ein Faktor, der effektiven Dialog beeinträchtigt.
  3. Unternehmen suchen Orientierung in informalen Gesprächssituationen.
    Befragte aus Unternehmen sowie Berater/Rechtsanwälte stimmten im Durchschnitt deutlich stärker als Vertreter der Aufsicht der Aussage zu, der informale Austausch sei eine wichtige Informationsquelle zur Klärung datenschutzbezogener Fragen. Insbesondere von Unternehmen sowie von Beratern wurden eine Reihe von Faktoren genannt, die den formalen Dialog im Rahmen von Verfahren erschweren, z.B. Festhalten an "offiziellen Maximalpositionen", die Einschränkung der Handlungsspielräume bei medialer Berichterstattung oder auch die Sorge vor späteren Risiken, wenn man die Behörde auf die eigenen Themen erst aufmerksam mache. Unternehmen und Berater berichten darüber, wie in informalen persönlichen Gesprächssituationen – bis hin zum Gespräch in der Pause zwischen zwei Fachvorträgen – pragmatische Lösungsansätze gefunden werden konnten. Wenn diese informalen Dialoge die Strukturen sind, in denen Unternehmen sich für Botschaften erreichen lassen, stellt sich für die Aufsicht die Frage, wie sie diese Kanäle zur Erfüllung ihres gesetzlichen Auftrags optimal nutzen kann.
  4. Beratungsgespräche sind für "Privacy by Design" nötig.
    Nach dem Leitbild der „Privacy by Design“ ist es wünschenswert, wenn eine Abstimmung über datenschutzrechtliche Zweifelsfragen vor Marktstart bereits bei Produktentwicklung stattfindet. Unter Aufsichtsvertretern herrscht hohe Zustimmung, eine Konsultation vor Markstart liege im Interesse der Unternehmen. Umgekehrt stimmten die Unternehmensvertreter aber (etwas schwächer) der Aussage zu, beim Einschalten der Aufsicht vor Marktstart hätten sie Sorge, dass Informationen an den Markt durchsickern könnten. Diese Sorge der Unternehmen kann die Wirksamkeit des Ansatzes "Privacy by Design" beeinträchtigen – doch zugleich setzt eine Abstimmung über datenschutzrechtliche Zweifelsfragen während der Produktentwicklung auch voraus, dass die Aufsicht eine Beratung im Zeitrahmen und in der für unternehmerische Entscheidungen notwendigen Verbindlichkeit leisten kann. Unternehmensvertreter und Berater/Rechtsanwälte stimmen weniger stark als Aufsichtsvertreter den Aussagen zu, die Aufsicht stünde für Beratungsgespräche zeitnah zur Verfügung sowie – mit noch stärkerer Diskrepanz – gebe klare Antwort auf die Frage, ob ein Vorhaben "in Ordnung" sei. 

 

Literatur

  • Ayres, Ian/Braithwaite, John (1995): Responsive Regulation. Transcending the Deregulation Debate. Oxford: Oxford University Press.
  • Bennett, Colin J./Raab, Charles D. (2006): The Governance of Privacy. Policy Instruments in Global Perspective. 2. Auflage. Cambridge: MIT Press.
  • Black, Julia/Baldwin, Robert (2007): Really Responsive Regulation. In: LSE Law, Society and Economy Working Papers 15/2007. London School of Economics and Political Science.
  • Bull, Hans-Peter (2013): Netzpolitik: Freiheit und Rechtsschutz im Internet. Baden-Baden: Nomos.
  • Busch, Andreas (2011): The regulation of privacy. In: Levi-Faur, David: Handbook on the Politics of Regulation. Cheltenham, UK: Edward Elgar Publishing Limited. S. 227-240.
  • Gunningham, Neil/Grabosky, Peter/Sinclair, Darren (1998): Smart Regulation. Designing Environmental Policy. Oxford: Oxford University Press.
  • Heller, Christian (2011): Post-Privacy. Prima leben ohne Privatsphäre. München: C. H. Beck.
  • Kurz, Constanze/Rieger, Frank (2012): Die Datenfresser. Wie Internetfirmen und Staat sich unsere persönlichen Daten einverleiben und wie wir die Kontrolle darüber zurückerlangen. Frankurt a. M.: Fischer.
  • McCaffrey, David P./Smith, Amy E./Martinez-Moyano, Ignacio J. (2006): "Then Let’s Have a Dialogue": Interdependence and Negotiation in a Cohesive Regulatory System. In: Journal of Public Administration Research and Theory 17, S. 307-­‐334.
  • N.N. (2013a): Datenschützer warnt vor neuer Facebook-Suche. In: FAZ.net, 16.1.2013. Online: http://www.faz.net/aktuell/wirtschaft/netzwirtschaft/der-facebook-boersengang/graph-search-datenschuetzer-warnt-vor-neuer-facebook-suche-12026971.html
  • N.N. (2013b): Touch ID: Datenschützer warnt vor Fingerscanner in iPhone. In: SPIEGEL Online, 15.9.2013. Online: http://www.spiegel.de/netzwelt/netzpolitik/datenschuetzer-warnt-vor-fingerscanner-im-iphone-a-922288.html
  • Schaar, Peter (2012): Systemdatenschutz – Datenschutz durch Technik oder warum wir eine Datenschutztechnologie brauchen. In: Schmidt, Jan-Hinrik/Weichert, Thilo (Hrsg.): Datenschutz. Grundlagen, Enwicklungen und Kontroversen. Bonn: Bundeszentrale für politische Bildung. S. 363-­‐371.
  • Schmidt, Jan-Hinrik/Weichert, Thilo (Hrsg.) (2012): Datenschutz. Grundlagen, Enwicklungen und Kontroversen. Bonn: Bundeszentrale für politische Bildung.
  • Trepte, Sabine/Reinecke, Leonard (2011): Privacy Online. Perspectives on Privacy and Self-Disclosure in the Social Web. Heidelberg: Springer.

 

Zurück zum Tagungsprogramm