Während im Frühjahr 2016 die Datenschutzgrundverordnung  (DSGVO), nicht zuletzt wegen ihres Umfangs und des großen Einflusses auf die Wirtschaft, für einen hohes Maß an medialer Aufmerksamkeit sorgte, wurde ihr „kleiner Bruder“, die JI-Richtlinie, die eigentlich den sperrigen Namen „Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr“ trägt,  kaum beachtet.

Bereits letztes Jahr hatte das Bundesministerium des Innern für beide Vorhaben im Bereich des Bundes den Referentenentwurf eines Datenschutz-Anpassungs- und Umsetzungsgesetzes EU (DSAnpUG-EU) vorgelegt, damit rechtzeitig zum Mai alle Änderungen in das bundesdeutsche Recht übernommen werden. Teilweise wurde dabei allerdings das Datenschutzniveau über das europarechtlich geforderte Maß hinaus geregelt.

Dass grundlegend gewisse nationale Regelungen über das europäische Mindestmaß hinausgehen können, erklärt sich durch die Rechtsnatur der Datenschutzgrundverordnung (DSGVO) und der JI-Richtlinie. Während die Richtlinie in allen Bestandteilen als Mindestmaß im Landesrecht umgesetzt werden muss, lässt sie allerdings auch Möglichkeiten für länderspezifische Anpassungen und Sonderregelungen zu. Bei der Verordnung müssen sich die Mitgliedstaaten genau an die Rahmenbedingungen halten und dürfen von diesen nicht abweichen.

Das bedeutet, dass es für alle Mitgliedsstaaten eine Mindestharmonisierung, also einen gemeinsamen Mindeststandard, im Bereich Datenschutz geben soll, welche sehr wohl auch erweitert werden kann. So werden Befugnisse, Rechte und Pflichten zwischen den Ermittlungsbehörden, Bürgern und privaten Datenverwaltern neu ausgelegt. Im Kern soll aber vor allem der Umgang mit personenbezogenen Daten zur Untersuchung, Aufdeckung und Verfolgung von Straftaten vereinheitlicht werden. Außerdem sollen polizeiliche Datenbanken ebenfalls einen einheitlichen europäischen und nunmehr nicht nur innerstaatlichen Mindeststandard bei der Datenverarbeitung – und -weiterleitung erfüllen. Weiterhin wird festgelegt, wie die Lösch-und Prüffristen für erhobene Daten zu gestalten sind, wie das Verfahren bei Massendatenabfragen (bspw. Funkzellenabfrage) geregelt ist, wie die Rollen von Verdächtigem, Opfer oder Zeugen definiert werden und wie neben der Gestaltung von Datenintegrität und Intervenierbarkeit auch Auskünfte von Bürgern zu handhaben sind.

Bereits nach dem eigentlichen Inkrafttreten der Richtlinie im Mai 2016 war somit klar, dass für nahezu alle Staaten ein enormer Aufwand in der Umsetzung entsteht. Und auch wenn Deutschland eigentlich als das europäische Vorzeigeland in Sachen Datenschutz gilt, die DSGVO und die JI-Richtlinie sogar in vielen Paragraphen an das deutsche Datenschutzrecht angelehnt sind, musste auch die Bundesregierung zahlreiche Änderungen im bestehenden Recht vorzunehmen.

Eines der größten Probleme bei der Umsetzung der JI-Richtlinie in Deutschland ist allerdings die Kompetenzverteilung beim Strafprozessrecht und dem Gefahrenabwehrrecht. Während die StPO bundeseinheitlich JI-richtlinienkonform durch entsprechende Formulierungen im BDSG angepasst werden kann, so müssen die einzelnen Bundesländer in ihren landeseigenen Polizeirechten ebenfalls nachziehen. Unter diesem Aspekt kann man sich bei Gelegenheit die neue Polizeirechts-Novelle von Bayern  zu Gemüte ziehen und diese mit dem aktuellen Gefahrenabwehrrecht von Berlin vergleichen. Ohne auf die Details eingehen zu wollen – die allgemeinen aber auch die spezifisch datenschutzrelevanten Befugnisrechte sind in Berlin deutlich restriktiver ausgelegt.

Ein weiterer großer Kritikpunkt bei der Umsetzung der JI-Richtlinie ist die zukünftige Anpassung bei der Datenverarbeitung und –weitergabe, respektive wieder die Verantwortlichkeiten dafür.

Deutlich wird dies am Beispiel der großen dezentralen Polizeidatenbanken (unter der Leitung des BKA) wie bspw. die Anti-Terror-Datei (ATD) und den zahlreichen einzelnen Polizeidatenystemen der Bundesländer, welche in deren Verantwortung liegen. Letztere können nach wie vor teilweise nicht untereinander kommunizieren, was mitunter zu absurden Situationen in der Fallbearbeitung führt. So kann ein Straftäter bspw. in Berlin straffällig werden und dessen Daten in dem Berliner Polizeidatensysten POLIKS aufgenommen werden.  Sollte er kurze Zeit später wieder straffällig und somit in das Brandenburger Polizeidatensysten POLAS eingegeben werden, erfahren die Brandenburger Polizisten nichts von der Tat in Berlin. Statt nun also endlich ein bundeseinheitliches polizeiliches Datenverarbeitungssystem einzuführen, wird die Verantwortung an die Landesregierungen gegeben, die unter Umständen aufgrund von Haushaltsentscheidungen zu nicht kompatiblen Systemen greift. Interessant wird diese ganze Problematik im europäischen Kontext. Insbesondere bei staatenübergreifenden Tätern und Tätergruppierungen gibt es bereits jetzt schon Schwierigkeiten die polizeilichen Daten abzugleichen. So bleibt abzuwarten, wie sich eine Mindestharmonisierung des Datenschutzes auf die gesamteuropäische Polizeikommunikation auswirkt.

Mit dem Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnUG) soll außerdem die Videoüberwachung im öffentlichen Raum deutlich ausgebaut werden. Aus polizeilicher Sicht ist diese Entscheidung sehr zu begrüßen, zudem die Installation einer Kamera von dem, zugegeben schwammig formulierten,  Vorhandensein eines „besonders wichtigen Interesses“ für allgemeine Sicherheitslage abhängig ist. Nichts desto trotz ist die Videoauswertung eine der bedeutendsten Auswertungsmöglichkeiten in der Strafverfolgung und kann, bei entsprechender Qualität, ein entscheidender Sachbeweis im Ermittlungsverfahren sein. Dabei wird natürlich in Kauf genommen, dass in der Masse der Aufnahmezeit naturgemäß keine Straftäter aufgezeichnet werden, sondern der Alltag der Bürger. Hier stellt sich also weniger die Frage der Datenerhebung, sondern wie die Aufnahmen verarbeitet und letztlich gelöscht werden.

In diesem Zusammenhang wird sich zukünftig auch zeigen, welche Rolle die unabhängige Datenschutzkontrolle, in Form eines Datenschutzbeauftragten, einnehmen wird. Bei derartig deutlichen Unterschieden in der Auslegung des Datenschutzes im polizeilichen Kontext durch die Landesregierungen, ist der tatsächliche Einfluss der Beauftragten fraglich. Die Datenschutzbeauftragten haben zwar laut JI-Richtlinie umfassende Ermittlungsbefugnisse sowie „wirksame Einwirkungsbefugnisse“ , allerdings ist ihre Mitarbeit an Gesetzesentwürfen meist nicht vorgesehen, weshalb häufig erst im Nachhinein Kritik geäußert wird. Das führt letztlich dazu, dass bereits aktive Polizeirechte oftmals nachträglich europarechtskonform angepasst werden müssen und es deshalb ebenso häufig zu Rechtsunsicherheiten im Berufsalltag der Polizeibeamten kommt.

Titelbild via Pixabay skeeze, CCO, bearbeitet.

Die Stiftung Datenschutz veröffentlichte kürzlich eine Studie, um Herausforderungen, aber auch Möglichkeiten der „intelligenten Technik“ aufzuzeigen. Durch Personal Information Management Systems, PIMS, soll nun die „blinde“ Einwilligung der Daten-AGB ein Ende haben.

Wer kennt es nicht: Um einen digitalen Dienst nutzen zu können, muss man die AGB akzeptieren. Diese enthalten auch sogenannte „Daten-AGB“ und regeln somit die Preisgabe der jeweiligen Daten. Nur kaum jemand liest sich diese Datenschutzerklärung genau durch und prüft sie auf eventuelle Schwachstellen. Einwilligungen werden immer öfter abgefragt und gefühlt werden sie immer länger und komplizierter. Dies führt zu einer Entscheidungsüberforderung, Abstumpfung und zu einer Entwertung der jeweiligen Einwilligung.

Die Stiftung Datenschutz hat nun „Neue Wege bei der Einwilligung im Datenschutz“ erforscht und eine Studie zu den technischen, rechtlichen und ökonomischen Herausforderungen veröffentlicht. Wichtig ist hierbei, dass die informierte Einwilligung ein entscheidender Aspekt der Informationsautonomie und letztendlich auf das Grundrecht der informellen Selbstbestimmung ist. Durch die Flut an Einwilligungen kommt es zu einer Asymmetrie zwischen dem, was die Nutzer denken freizugeben und dem, was die Unternehmen wissen. Dadurch sinkt das Vertrauen der Nutzer in die Wirtschaft, da sie sich nichtmehr sicher sein können, welche Daten sie wirklich freigegeben haben. Auch auf Seiten der Unternehmen wächst der Bedarf nach einer transparenten Dokumentation und mehr Rechtssicherheit; nur so können sie das Vertrauen der Verbraucher wiedererlangen. Auch die EU-Datenschutzgrundverordnung sieht eine erweiterte Verpflichtung der Unternehmen in Bezug auf die Einwilligungen vor, um den Nutzern die Verfügungsmacht über ihre eigenen Daten zurückzugeben.

„Datenschutz durch Technik“, so lautet Art. 25 der EU-Datenschutzgrundrechtsverordnung. Gefordert wird dort ein anwenderfreundlicher technischer Ansatz. Verschiedene Studien und Experten kommen zu dem Schluss, dass viele Probleme des Datenschutzes sich durch „intelligente Technik“ lösen ließen und mehr Rechtssicherheit erzeugt werden könnte. Ein möglicher Lösungsansatz hierfür ist PIMS, das „Personal Information Management System“, oder auch PET, „Privacy Enhancing Technology“.

PIMS für die “informierte Einwilligung”

PIMS soll es dem Nutzer möglich machen zu entscheiden, an welches Unternehmen, zu welchem Zweck, für welche Dauer und in welchem Umfang er seine Daten freigeben möchte. Durch eine solche Plattform können diese Daten jederzeit eingesehen und ihre Verwendung gegebenenfalls widerrufen werden. Der Vorteil für Unternehmen liegt darin, dass eine solche „informierte Einwilligung“ eine neues Level an Rechtssicherheit schaffen würde. Außerdem könnte der Aufwand für die Umsetzung der Datenschutzvorschriften durch eine kontrollierte Preisgabe der Daten gesenkt werden.

Nutzungsbereitschaft durch Anwenderfreundlichkeit

Durch ein automatisiertes Einwilligungsverfahren wie das PIMS käme es aber auch zu neuen Herausforderungen. Zunächst müsste geklärt werden, ob es einen automatisierten Prozess für alle Bereiche der benötigten Einwilligungen geben kann bzw. welche Voraussetzungen dafür erfüllt werden müssten. Denkbar sind individualisierte Assistenten für die jeweiligen Bereiche wie zum Beispiel des Finanzwesens oder Gesundheitsdaten. Damit diese Assistenten von einer breiten Masse der Bevölkerung genutzt werden, müssen sie anwenderfreundlich und übersichtlich sein. Umso transparenter die Anwendung, desto höher ist die Bereitschaft, diese zu nutzen. Für das Vertrauen der Verbraucher spielt die Art des Verfahrens eine große Rolle. Grundsätzlich gibt es zwei Lösungen der Datenspeicherung: ein lokales Speicherungssystem oder eine Cloud-Lösung. Die lokale Lösung könnte Schwierigkeiten bei der Vernetzung und Weitergabe der verschiedenen Dateitypen mit sich bringen. Die Cloud-Lösung dagegen könnte ein Sicherheitsrisiko darstellt. Weitere Herausforderungen stellen die ist Feststellung der Identität des Nutzers und die Rechte bei Firmenübernahmen dar.

In einigen Ländern, sowie auf EU-Ebene, wird die Verwendung der automatisierten Einwilligungsverfahren schon seit längerer Zeit geprüft und sind Teil des politischen Diskurses. Um dies auch in Deutschland voranzubringen, ist Datenschutzaufklärung notwendig. Auch eine vertiefte Forschung zu technischen, wirtschaftlichen und verhaltenspsychologischen Aspekten der Datennutzung könnte Aufschluss über die möglichen Vorteile der PIMS bringen. Das Ziel, mehr Privatheit und Transparenz zu schaffen, braucht sowohl politische als auch juristische Rahmenbedingungen. Diese zu schaffen, ist für die Realisierung von „intelligenter Technik“ grundlegend.

Titelbild: Vertrag by edar via pixabay, CC0 Public Domain