Ein angespannter Geburtstag

Legal Watch Nr. 24 – Mai 2020

Ein angespannter GeburtstagDie DSGVO feiert ihren zweiten Jahrestag in einem für die Grundrechte besonders turbulenten Kontext.

Wie widerstandsfähig wird das europäische Datenschutzsystem angesichts der aktuellen Herausforderungen im Gesundheitsbereich sein?

Ist die Grundlage der Rechte, die den Einzelnen in Europa schützt, den Entwicklungen, die wir heute erleben, gerecht geworden, wie sie bereits im Kampf gegen den Terrorismus auf die Probe gestellt wurden?

• Notstandsgesetze und technologischer „Lösungsansatz“

Notstandsgesetze und technologische Entwicklungen ermöglichen die Verfolgung von Personen vermehren sich in Europa und dem Rest der Welt.

Bei näherer Betrachtung sind nicht alle dieser Initiativen gleich.

Innerhalb der Europäischen Union selbst unterscheiden sich beispielsweise die französischen und ungarischen Notstandsgesetze hinsichtlich ihrer Beschränkungen und ihres Anwendungsbereichs erheblich.

In Frankreich war die Regierung mit hitzigen Parlamentsdebatten konfrontiert, insbesondere über die Fragen der Rückverfolgung infizierter Personen und der präventiven Quarantäne von Kranken. Einige Bestimmungen wurden sogar vom Verfassungsrat zensiert.

Ungarn geht noch weiter, indem es die Rolle seines Parlaments generell einschränkt und insbesondere den durch die DSGVO gewährten Schutz in Bezug auf Profiling, das Recht des Einzelnen auf Zugang zu seinen Daten und das Recht auf Vergessenwerden einschränkt.

Auch beim Vergleich der deutschen „Covid“-Tracking-App, die auf einem dezentralen System mit minimaler Datenerfassung basiert, und der britischen App, deren (identifizierbare) Daten von der Regierung zwanzig Jahre lang ohne vorherige Folgenabschätzung gespeichert werden, gibt es erhebliche Unterschiede.

Die Agentur der Europäischen Union für Grundrechte (FRA) hat zwei Berichte veröffentlicht, in denen die Auswirkungen der von europäischen Staaten ergriffenen Maßnahmen auf die Grundrechte bewertet werden.

Sie warnt vor der Entwicklung invasiver Maßnahmen und dieSucht auf diesen neuen Sachverhalt.

Während Einzelpersonen im Rahmen der Implementierung von Tracking-Systemen selbstverständlich möglichst umfassende Informationen sowie Kontrollmöglichkeiten (Einwilligung, Widerspruchs- und Löschungsrecht) erhalten müssen, Datenschutzbehörden weisen darauf hin, dass die Rechtmäßigkeit dieser Systeme nicht allein auf der Einwilligung der betroffenen Personen beruhen kann..

Wie die CNIL in ihrer Stellungnahme zur nun einsatzbereiten StopCovid-Anwendung betont, „muss der tatsächliche Nutzen des Geräts nach seiner Einführung genauer untersucht werden.“

Die Dauer der Implementierung des Systems muss von den Ergebnissen dieser regelmäßigen Evaluierung abhängig gemacht werden.“

Werden solche Ex-post-Evaluierungen ausreichen? Eine gründliche Prüfung der Nützlichkeit neuer Tracking-Geräte sollte grundsätzlich vor der Implementierung der Datenverarbeitung erfolgen, auch (und insbesondere) in Notfallsituationen, in denen sensible Daten verarbeitet werden.

• Institutionelle Schutzmaßnahmen

Neben dem Parlament und Institutionen wie der CNIL sind auch französische Gerichte und Tribunale aufgerufen, über die Datenerhebung zu entscheiden.

Dies ist der Fall beim Staatsrat, der den Staat mit einer Verordnung vom 18. Mai dazu verpflichtete, alle Maßnahmen einzustellen, Drohnenüberwachung um die Ausgangssperre in Paris zu kontrollieren.

Dasselbe gilt für das Gericht von Rennes, das diemithilfe der ADOC-Datei (Bußgeldakte) zur Überprüfung auf wiederholte Verstöße gegen die Haftordnung.

Es ist zu beachten, dass diese jüngsten Entscheidungen auf der Existenz oder Abwesenheit einer Rechtsgrundlage beruhen, ohne die Verhältnismäßigkeit der Zwangsmaßnahmen grundsätzlicher in Frage zu stellen.

Wie steht es um die Verhältnismäßigkeit dieser Maßnahmen? Wurden die ethischen Fragen, die sich aus einer möglichen Verschiebung der Überwachungsmethoden ergeben, ausreichend berücksichtigt?

Die jüngsten Empfehlungen der WHO zur Ethik von Tracking-Technologien weisen darauf hin, die feine Linie zwischen Gesundheitsüberwachung und Bevölkerungsüberwachung, und die erhöhten Risiken, denen marginalisierte Menschen ausgesetzt sind.

Die WHO setzt sich für eine wirksame Überwachung der öffentlichen und privaten Akteure ein, die an der Verwaltung von Bevölkerungsdaten beteiligt sind.

Das Dokument listet die wesentlichen Grundsätze auf, die im aktuellen Kontext zu beachten sind, und bietet eine sehr nützliche Liste der jüngsten Mitteilungen von Behörden und internationalen Organisationen (eine umfassende Zusammenstellung ist auch auf der Website der Global Privacy Assembly verfügbar).

• Die wesentliche Rolle der Akteure hinter den Behandlungen

Diese Überlegungen unterstreichen die Notwendigkeit eingehender Überlegungen zur Verantwortung der an Überwachungssystemen beteiligten Akteure – sowohl auf der Ebene öffentlicher Stellen als auch privater Akteure.

Bevor wir uns in die „Welt von morgen“ hineinversetzen, wollen wir zunächst einen Blick auf die Werkzeuge werfen, die uns heute zur Verfügung stehen.

Die Originalität der DSGVO im Vergleich zum bisherigen Rechtsrahmen liegt insbesondere in den darin vorgesehenen Maßnahmen zur Rechenschaftspflicht.  Der für die Datenverarbeitung Verantwortliche, sei es ein staatliches oder ein privates Unternehmen, muss zur Rechenschaft gezogen werden.

Seine Aufgabe besteht darin, die Entwicklung von Datenverwaltungstools nicht nur im Hinblick auf wirtschaftliche oder politische Fragen, sondern auch auf die Grundrechte zu bewerten, insbesondere durch eine vorherige Analyse der Auswirkungen der Verarbeitung auf die Rechte des Einzelnen.

Und diese Verpflichtung ist mit Geldbußen verbunden, wie dies gerade der Finnischen Post widerfuhr, die verurteilt wurde, weil sie vor der Einführung der Datenverarbeitung keine derartige Folgenabschätzung durchgeführt hatte.

Die Integration des Datenschutzes in die Konzeption eines Verarbeitungsgeräts und die Konfiguration des Geräts zur Begrenzung der erhobenen Daten (auch bekannt als „Privacy by Design“ und „Privacy by Default“) sind zwei weitere wesentliche Elemente der Berücksichtigung der Rechte des Einzelnen vor jeder Datenverarbeitung.

An diese Schlüsselrolle der DSGVO erinnert die Präsidentin des Europäischen Datenschutzausschusses, Andrea Jelinek, in ihrer Botschaft zum Jahrestag der Verordnung.

Die DSGVO ist an die aktuellen Krisen angepasst, liegt aber nicht nur in der Verantwortung der Aufsichtsbehörden, sondern vor allem auch der Verantwortlichen für die Datenverarbeitung. spiele das Spiel.

DER Achtung der Grundrechte ist heute zweifellos mehr denn je ein wesentlicher Schritt, um die Vertrauen und hat esAnnahme durch Einzelpersonen über neue technologische Entwicklungen.

Ohne Vertrauen steht die Wirksamkeit der Gesundheitsmaßnahmen auf dem Spiel und auch der Ausgang der Krise, die wir gerade durchmachen. 

Anne Christine Lacoste

Die auf Datenschutzrecht spezialisierte Anwältin war Leiterin der Abteilung für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.