Vertrauen
Digitale Souveränität – ein Handlungsfeld für Vertrauenbildung
Die äusserst dynamische Entwicklung der ICT führt laufend zu «besseren», reiferen Komponenten und Systemen. Aufgrund der hohen und weiter zunehmenden Komplexität und Vernetzung nimmt die Verwundbarkeit (vulnerability) insgesamt jedoch zu, während die Fähigkeit zu Widerstand und Regeneration (resilience) der Systeme und «Systems of Systems» noch ungenügend ist. Damit steigt die Gefahr, dass kritische Infrastrukturen, Dienste und Anwendungen Schaden nehmen oder ausfallen.
Cyber-Angriffe auf Akteure, Daten, Dienste, Systeme und Netzwerke erfolgen mittlerweile permanent und nehmen bezüglich Bedeutung, Intensität, Komplexität und effektivem Schaden laufend zu. Die Dunkelziffer ist hoch, die Transparenz ungenügend. Neben ABC-Waffen sind digitale (D)-Waffen Realität. Deren Existenz, for-cierte Entwicklung und unkontrollierte Proliferation sind zu einer globalen Bedrohung geworden.
Mit der «Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken» verfügt die Schweiz über eine Basis, auf der sich Massnahmen und Dienste aufbauen lassen. Die verfügbaren Mittel gegen die vielfältigen, sich rasch wandelnden und insgesamt zunehmenden Bedrohungsformen und Angriffe sind jedoch weder bedro-hungsgerecht noch ausreichend. Um unsere Infrastrukturen, Dienste und Netzwerke resilient zu machen und Angriffe gezielt abzuwehren, müssen die Massnahmen bezüglich «Cyber Security» dringend verstärkt werden. Dies betrifft auch die Gestaltung des regulatorischen Umfelds (Gesetze, Verordnungen, optimale Rahmenbe-dingungen, Abbau von Hemmnissen etc.), die Führung (Planung, Steuerung, Kontrolle), die Governance, das Risk Management und die Compliance. Diesbezüglich bestehen qualitative und quantitative Lücken, die sich kurzfristig weder durch den Import von Fach- und Führungskräften noch durch die Leistungen des Bildungssys-tems schliessen lassen. Sowohl das Instrumentarium als auch die Kooperation sind ungenügend.
Cyber Security – die Handlungsfelder
Um den Herausforderungen der Digitalen Transformation und insbesondere der «Cyber Security» mit Aussicht auf Erfolg zu begegnen, sind die dafür nötigen Fähigkeiten und Kapazitäten aufzubauen und bereitzustellen. Dies betrifft nicht nur Entscheidungsträger, Fachkräfte und Spezialisten (Schlüsselkompetenzen), sondern auch den Know-how- Transfer in die gesamte Bevölkerung (Mindestkompetenzen). Besonders hervorzuheben sind:
- Prospektive und strategische Entwicklung
- Antizipation, Früherkennung und Beratung
- Information, Kommunikation, Kooperation
- Interdisziplinäre Aus- und Weiterbildung
- Forschungskooperationen: Grundlagenforschung (ETH, Universitäten), Anwendungsorientierte Forschung (Fachhochschulen), Geführte Forschung (Industrie)
- Gezielte Investitionen in Spitzenforschung und -entwicklung, Kompetenzzentren und Netzwerke, internati-onale Profilierung der Schweiz durch Spitzenleistungen
- Eingriffsreserve als nationale subsidiäre Hilfe
Durch die faktische Abhängigkeit von globalen Akteuren sind wir, unsere Organisationen und Prozesse auf die Verfügbarkeit, Funktionsfähigkeit und Zuverlässigkeit ihrer Angebote angewiesen. Damit verlieren wir die «digitale» Autonomie und Kontrolle über unsere Daten, Informationen, Wertschöpfungsketten und Netzwerke weitgehend und können sie im Extremfall kaum noch erlangen. Wir sind faktisch (und zunehmend auch rechtlich) digital nicht mehr souverän – weder als Individuen, Gesellschaft, Organisationen noch als Staatswesen.
Ein vorausschauend planender, professioneller Umgang mit der Digitalen Transformation und insbesondere mit der «Cyber Security» ist eine nationale, vorrangige Aufgabe jeder Volkswirtschaft. Dies verlangt nach einer Diskussion und Festlegung der entsprechenden Rollen (Aufgaben, Zuständigkeiten) und Verantwortungen im föderalen Staatswesen, in Wirtschaft und Gesellschaft, insbesondere bezüglich folgender Aspekte:
- Bildungs, Forschungs und Innovationspolitik
- Rahmenbedingungen, Fördermassnahmen
- Wirtschaftspolitik, ICTIndustriebasis Schweiz
- Recht, Gesetzgebung, Standards, Zertifizierung
- Souveränität (Individuum, Gesellschaft, Nation)
- Subsidiarität (top – down, bottomup, gegenseitig)
Leitbild „Datensouveränität“ – Impulse für die Schaffung einer digitalen Privatautonomie
In Kapitel 3 wurde bereits dargestellt, dass sich durch die Daten, die digitale Plattformen sammeln und verarbeiten, starke Informationsasymmetrien entwickeln können. Um Entscheidungen sinnvoll treffen zu können, müssen Verbraucherinnen und Verbraucher und Unternehmen über eine angemessene Informationslage verfügen. Insofern stellen sich einerseits Fragen nach der Notwendigkeit von Transparenzvorschriften für digitale Plattformen, zum anderen Fragen des Daten- und Verbraucherschutzes.
Ein Ordnungsrahmen, der die Privatautonomie stärkt, muss Verbrauchern und Unternehmen einklagbare Rechte einräumen. In erster Linie sind diese Rechte durch die Berechtigten selbst durchzusetzen, in außergerichtlichen Verfahren zur Streitbeilegung oder vor ordentlichen Gerichten. Zur effektiven Durchsetzung können auch Verbandsklagemöglichkeiten zweckmäßig sein.
1. Transparenz- und Informationspflichten
1.1. Transparenz- und Informationspflichten
Dem Schutz von Wettbewerbern und Verbraucherinnen und Verbrauchern vor falscher, irreführender oder in unlauterer Weise unterlassener Information im geschäftlichen Verkehr dient vor allem das Gesetz gegen den unlauteren Wettbewerb (UWG). Sein ausdrücklicher Zweck besteht im Schutz der Mitbewerber, der Verbraucherinnen und Verbraucher sowie der sonstigen Marktteilnehmer vor unlauteren geschäftlichen Handlungen. Es schützt zugleich das Interesse der Allgemeinheit an einem unverfälschten Wettbewerb. Neben das UWG treten die Vorgaben der Preisangabenverordnung (Sie setzt vor allem die Vorgaben der Richtlinie 98/6 über den Schutz der Verbraucher bei der Angabe der Preise der ihnen angebotenen Erzeugnisse um, ABl. 1998 Nr. L 80/27, daneben aber auch Vorgaben aus anderen EU-Richtlinien, z. B. aus Art. 5 Abs. 2 der E-Commerce-RL 2000/31/EG v. 8.6.2000, ABl. 2000 Nr. L 178/1.), die Preiswahrheit und Preisklarheit zugunsten der Verbraucherinnen und Verbrauchern gewährleisten und so die Möglichkeiten zum Preisvergleich gewährleisten soll. Im Kontext von Internet- Dienstleistungen sind ferner die Regeln des Telemediengesetzes (TMG) von Bedeutung, die Vorgaben der E-Commerce-Richtlinie (Richtlinie 2000/31/EG v. 8.6.2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, ABl. 2000 Nr. L 178/1.) umsetzen.
Aus den genannten Vorschriften ergeben sich zahlreiche wichtige Informationspflichten zugunsten der Verbraucherinnen und Verbraucher. So muss ein auf Provisionsbasis arbeitendes Versicherungsportal offenlegen, dass es keine Information über Direktversicherer bereithält. Ein Portal, das Produktanbietern gegen Entgelt eine „Top-Platzierung“ offeriert, muss diese Top-Platzierung als Werbung kennzeichnen. Aus dem Irreführungsverbot des UWG folgt ferner die Verpflichtung, die einem Vergleich bzw. Ranking zugrunde gelegten Kriterien offenzulegen.
Informationsportale, die sich über Anzeigen finanzieren, unterliegen – ungeachtet der Mehrseitigkeit ihres Geschäftsmodells – in ihrer informationellen Tätigkeit regelmäßig nicht den Informationspflichten des TMG. Die Pflicht zur Offenlegung kommerzieller Information nach § 6 TMG knüpft an „kommerzielle Kommunikation“ und damit an eine „geschäftliche Handlung“ an. Maßgeblich für eine geschäftliche Handlung ist, ob sie bei objektiver Betrachtung darauf abzielt, die geschäftlichen Entscheidungen von Verbraucherinnen und Verbrauchern im Sinne einer Absatzförderung zu beeinflussen. Das wird verneint, wenn eine Äußerung vorrangig der Verbraucherinformation und der öffentlichen Meinungsbildung dient.
1.2. Handlungsbedarf? – Herausforderungen durch digitale Plattformen
Bei zwei- bzw. mehrseitigen Plattformen lässt sich in der Praxis kaum noch trennscharf bestimmen, ob die Informations- oder die Absatzförderungsfunktion im Vordergrund steht. Beide sind miteinander verwoben. Zwar muss bei der Festlegung von Rechtspflichten für Informationsintermediäre dem Schutz der Meinungsäußerungs- und Informationsfreiheit Rechnung getragen werden.
Bestimmte Pflichten, die gerade die zuverlässige Wahrnehmung der Informationsfunktion gewährleisten sollen, sollten auch für Vergleichsplattformen gelten, um annähernd ein Informationsgleichgewicht sicherzustellen. Bei der Auswahl und Gewichtung der Vergleichs- und Bewertungskriterien sowie der konkret verwendeten Methoden muss bei Plattformen, die neutral vergleichen wollen und nicht „im Lager“ einzelner Anbieter stehen, das Grundrecht der Meinungsfreiheit zwar berücksichtigt werden. Anders als bei der klassischen redaktionellen Tätigkeit lassen sich bei Vergleichs- und Bewertungsportalen die dem verwendeten Algorithmus zugrunde liegenden Wertungskriterien regelmäßig ohne übermäßigen Aufwand konkretisieren und jedenfalls in allgemeiner Weise offenlegen. Der Algorithmus selbst genießt als Geschäftsgeheimnis besonderen Schutz.
Bilden Plattformen personalisierte Preise, sind diese Praktik und die Preisbildungskriterien offenzulegen. Aufgrund von Daten über Nutzerinnen und Nutzer und das Surf- bzw. Suchverhalten können Anbieter individuelle Preise bilden. Käufer oder Besteller einer Dienstleistung zahlen für das gleiche Angebot also unterschiedliche Preise, da sie durch ihr Suchverhalten Hinweise auf ihre Zahlungsbereitschaft geben. Diese Preisdiskriminierung kann zwar zu effizienten Marktergebnissen führen, jedoch kann dieser Preisbildungsmechanismus eine einseitige Benachteiligung zuungunsten der Nutzerinnen und des Nutzers sein. Um ein annäherndes Informationsgleichgewicht zu sichern, müssen die personalisierte Preisbildung an sich und die Kriterien der Preisbildung transparent sein.
2. Die Kontrolle der Nutzer über personenbezogene Information: Individuelle Datensouveränität
2.1. Geltender Rechtsrahmen
Das Datenschutzrecht bezieht sich ausschließlich auf personenbezogene Daten, also auf „alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person […] beziehen“.(Art. 2 lit. a RL 95/46/EG; Art. 4 Abs. 1 Datenschutz-Grundverordnung. Siehe außerdem Art. 29 Data Protection Working Party, Opinion No 4/2007 on the concept of personal data, WP 136, 20 June 2007, pp. 18–21.) Es ist derzeit im Bundesdatenschutzgesetz (BDSG) normiert. Nicht personenbezogene Daten werden weder vom deutschen noch vom europäischen Datenschutzrecht erfasst. Das BDSG setzt die Europäische Datenschutzrichtlinie 95/46/EG um.(Richtlinie 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. 1995 Nr. L 281/31.) Sektorspezifische Regeln finden sich im TKG und im TMG. Normative Grundlagen des Datenschutzrechts sind auf europäischer Ebene in Art. 7 und Art. 8 der Grundrechte-Charta und in Art. 16 AEUV iedergelegt. Nach deutschem Verständnis ist das Datenschutzrecht Ausdruck des Rechts auf informationelle Selbstbestimmung.
Für die Erhebung und Verarbeitung personenbezogener Daten gilt ein Verbot mit Erlaubnisvorbehalt. Die Datenverarbeitung ist ohne ausdrückliche Einwilligung nur dann zulässig, wenn dies durch eine Rechtsvorschrift erlaubt ist, z. B. zur Erfüllung eines Vertrags. Die Einwilligung muss auf einen konkreten, ausdrücklich bezeichneten und legitimen Nutzungszweck bezogen sein (Siehe Art. 6 Abs. 1 lit. b der Datenschutz-RL. Für das deutsche Recht siehe § 4a BDSG.) und ausdrücklich, (Eine Einwilligung aufgrund einer Voreinstellung bei einem digitalen Dienst genügt daher nicht.) frei und informiert gegeben werden.(Art. 2 lit. h der Datenschutz-RL.) Die Daten dürfen nur zu dem Zweck, zu dem sie erhoben wurden (Zweckbindungsgrundsatz) , bzw. in einer mit dem benannten Zweck kompatiblen Weise verarbeitet werden. (Siehe in diesem Zusammenhang European Data Protection Supervisor, The interplay between data protection, competition law and consumer protection in the Digital Economy, S. 14 Rn. 23: Das Kompatibilitätserfordernis könne unter Umständen im Lichte des wettbewerbsrechtlichen Austauschbarkeitskriteriums zu lesen sein.) Nach dem Grundsatz der „Datensparsamkeit“ (§ 3a BDSG.) muss sich die Datenerhebung und -verarbeitung zudem auf das für den Zweck notwendige Maß beschränken. Die Einwilligung ist jederzeit mit Wirkung für die Zukunft widerruflich. Die Daten sind dann grundsätzlich zu löschen.
Diese Grundsätze stehen auch im Mittelpunkt der EU-Datenschutz- Grundverordnung, (Verordnung 2016/679 des Europäischen Parlaments und Rates v. 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. 2016 Nr. L 119/1.) die am 25. Mai 2016 in Kraft getreten ist und voraussichtlich ab Mitte 2018 anwendbar sein wird. Sie soll die Rechte der Verbraucherinnen und Verbraucher im Umgang mit ihren Daten stärken.
Künftig wird das sog. Marktortprinzip gelten. Die Datenschutz-Grundverordnung wird also nicht nur dann zur Anwendung kommen, wenn ein Unternehmen Daten innerhalb der EU erhebt oder nutzt, sondern auch dann, wenn es Daten verarbeitet, um „Personen in der Union Waren oder Dienstleistungen anzubieten“ (Art. 3 Abs. 2 Buchst. a Datenschutz-Grundverordnung). Die bislang bestehenden Möglichkeiten, Unterschiede zwischen den Datenschutzniveaus der Mitgliedstaaten auszunutzen oder sich dem Geltungsbereich des europäischen Datenschutzrechts für bestimmte Teilbereiche der datenverarbeitenden Tätigkeiten gänzlich zu entziehen, werden damit weitgehend ausgeräumt.
2.2. Herausforderungen bei der Konkretisierung des datenrechtlichen Ordnungsrahmens mit Blick auf die Datenerhebung und Datenverarbeitung durch digitale Plattformen
Um das Level Playing Field der Datenschutz-Grundverordnung zu stärken, bedürfen noch offene Fragen einer Klärung auf nationaler sowie europäischer Ebene. Wie schon das geltende Recht enthält auch die Datenschutz-Grundverordnung zahlreiche konkretisierungsbedürftige Begriffe und Abwägungserfordernisse. Das gilt unter anderem für die Handhabung des Grundsatzes der Zweckbindung der Datenverarbeitung und der Datenminimierung im digitalen Umfeld der Big-Data-Anwendungen, in dem die Datenvermeidung als Ziel nicht mehr zeitgemäß erscheint. Der Datenschutz muss sich hier vielmehr am Ziel effektiver individueller Datensouveränität und an einem wirksamen Schutz vor konkreten Missbrauchsgefahren orientieren.
2.2.1. Möglichkeiten und Grenzen von Big Data nach der Datenschutz-Grundverordnung
Die etablierten Grundsätze des Datenschutzrechts liegen im Ansatz quer zu den Methoden und Möglichkeiten der neuen datenanalytischen Verfahren, deren Nutzen und Aussagekraft mit dem Umfang der Datensätze wächst. Der Umfang, in dem auf digitalen Plattformen personenbezogene Daten erhoben werden, kann mit dem Zweckbindungsgrundsatz (Art. 5 Abs. 1 Buchst. b Datenschutz-Grundverordnung) und dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c Datenschutz-Grundverordnung) in Konflikt geraten. Personenbezogene Daten dürfen nur zu einem eindeutig konkretisierten Zweck erhoben und nur in einer damit kompatiblen Weise verarbeitet werden. Die Datenverarbeitung muss auf das für den Zweck notwendige Maß beschränkt werden.
Die Vermeidung von Datenerhebung und -erfassung kann im Kontext der digitalen Wirtschaft keine Leitlinie mehr sein.(BMWi, Digitale Strategie 2025.) Big Data und der Zweckbindungsgrundsatz sind insoweit vereinbar, als Maßstab für die Zulässigkeit der Datenverarbeitung stets der durch das Unternehmen kommunizierte Zweck ist, zu dem der Nutzer seine Einwilligung erteilt. Die Erfassung von Daten zu Werbezwecken wird damit auch den Einsatz von Datenanalyseverfahren rechtfertigen.
Eine Regelung zur Zulässigkeit des Profilings „Profiling“ wird in Art. 4 Abs. 3aa Datenschutz-Grundverordnung definiert als „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“. findet sich in Art. 22 Datenschutz-Grundverordnung. Über die Einwilligung des Betroffenen hinaus muss die oder der für die Datenverarbeitung Verantwortliche geeignete Maßnahmen ergreifen, „um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Personen zu wahren“. Erwartet werden kann unter Umständen eine Pseudonymisierung (Für eine Definition siehe Art. 4 Abs. 5 Datenschutz-Grundverordnung: Bei „pseudonymisierter“ Information handelt es sich um personenbezogene Daten, die so verarbeitet worden sind, „dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.) oder Anonymisierung der Daten, wenn dies mit vertretbarem Aufwand und ohne Beeinträchtigung des unternehmerischen Zwecks möglich ist.
Anzustreben ist eine schnelle und hinreichend differenzierte Klärung der offenen Rechtsfragen. Hierbei ist den unterschiedlichen legitimen wirtschaftlichen Interessen der Unternehmen, dem mit der Datenverarbeitung verbundenen Innovationspotenzial und dem Schutzinteresse der Nutzerinnen und Nutzer Rechnung zu tragen. Zu berücksichtigen ist auch, dass bestehende Machtstellungen datenstarker digitaler Plattformen im Zweifel nur auf der Grundlage von ebenfalls relativ umfangreichen Datenverarbeitungspraktiken kleinerer Wettbewerber bestreitbar sein werden.(Siehe dazu auch: Kai von Lewinski, Die Matrix des Datenschutzes, 2014, S. 58.)
2.2.2. Die „Kommerzialisierung“ von Daten
Die Zulässigkeit einer „Kommerzialisierung“ von Daten ist umstritten. Aus der Sicht der Betreiber digitaler Plattformen stellt sich die Verarbeitung personenbezogener Daten häufig als Gegenleistung der Nutzerinnen und Nutzer für die Bereitstellung von Diensten durch die Plattform dar. Ein Schritt in Richtung einer rechtlichen Anerkennung eines solchen vertraglichen Austauschverhältnisses ist der Vorschlag für eine Richtlinie zu vertragsrechtlichen Aspekten der Bereitstellung digitaler Dienste, den die Europäische Kommission am 9. Dezember 2015 vorgelegt hat.(COM (2015) 634 final. Der Vorschlag wurde von der Europäischen Kommission im Rahmen ihrer Strategie für einen digitalen Binnenmarkt in Europa vorgestellt und wird aktuell von den Mitliedstaaten im Rat beraten.)
Der Richtlinienentwurf sieht vor, dass ein Vertragsverhältnis auch dann entstehen kann, wenn ein Verbraucher anstelle eines Entgelts aktiv eine Gegenleistung in Form personenbezogener oder anderer Daten erbringt (Art. 3 Abs. 1 des Entwurfs). Es bleibt zu klären, ob das aktive Bereitstellen von Daten durch den Verbraucher ein tragfähiges Abgrenzungskriterium für das Zustandekommen eines Vertrags ist. Als Abgrenzungsbeispiel wird in Erwägungsgrund 14 des Richtlinienentwurfs eine individuelle Registrierung durch die Verbraucherin und den Verbraucher genannt, bei dem diese aktiv Daten wie Name, E-Mail-Adresse oder Fotos bereitstellen. Kein Vertrag im Sinne der Richtlinie soll demnach vorliegen, wenn Anbieter personenbezogene Daten wie etwa die IP-Adresse automatisch erheben oder im Hintergrund durch Cookies sammeln lassen. Das Akzeptieren von Cookies durch den Verbraucher soll hingegen kein aktives Bereitstellen von Informationen sein. Vom Richtlinienvorschlag ausgenommen sind außerdem Fälle, in denen der Anbieter vom Verbraucher ausschließlich solche personenbezogenen Daten verlangt, „deren Verarbeitung für die Erfüllung des Vertrags oder die Erfüllung rechtlicher Anforderungen unbedingt erforderlich ist“, sofern er diese Daten nur in einer mit diesem Zweck zu vereinbarenden Weise weiterverarbeitet (Art. 3 Abs. 4 des Richtlinienvorschlags). Dann bedarf es keiner Einwilligung für die Datenverarbeitung (Art. 6 Abs. 1 Buchst. a Datenschutz-Grundverordnung), sodass es zugleich an einer Gegenleistung in Form der aktiven Bereitstellung von Daten fehlen soll. Ist der Anwendungsbereich der Richtlinie eröffnet, soll der Richtlinienvorschlag unter anderem das Recht auf Beendigung des Vertrags und die Rückabwicklung sowie die Haftung des Anbieters abschließend regeln. Dies bedeutet auch, dass der Nutzer die Erhebung und vertragsgemäße Verarbeitung seiner personenbezogenen Daten schuldrechtlich nicht unterbinden kann, solange durch Vertragsbeendigung nicht von diesem Vertrag Abstand genommen wird.
Das Verhältnis zwischen der von der Europäischen Kommission vorgeschlagenen Richtlinie zu vertragsrechtlichen Aspekten der Bereitstellung digitaler Dienste zur Datenschutz-Grundverordnung bedarf noch weiterer Erörterung. In Art. 3 Abs. 8 des Richtlinienentwurfs wird grundsätzlich festgehalten, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten unberührt bleibt. Die Datenschutz-Grundverordnung sieht die jederzeitige Widerruflichkeit der Einwilligung in die Datenverarbeitung vor (Art. 7 Abs. 3 Datenschutz-Grundverordnung). Die Einwilligung ist im Übrigen nur dann wirksam, wenn sie „ohne Zwang“ erfolgt. Bei der Beurteilung, ob dies der Fall ist, muss gem. Art. 7 Abs. 4 der Datenschutz-Grundverordnung „dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind“. Nach Erwägungsgrund 32 soll die Einwilligung nur dann als freiwillig gelten, wenn die betroffene Person „eine echte Wahlfreiheit hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne dadurch Nachteile zu erleiden“. Der Wortlaut legt auf den ersten Blick eine erhebliche Verschärfung des bisherigen Koppelungsverbots des § 28 Abs. 3 BDSG nahe. Jedoch ist die Erforderlichkeit der Datenverarbeitung für die Erfüllung eines Vertrags nur einer von mehreren möglichen Rechtfertigungsgründen. Ein weiterer ist die Einwilligung in die Datenverarbeitung zu einem hinreichend bestimmten Zweck (Art. 6 Abs. 1 Buchst. a Datenschutz-Grundverordnung). Auch der Richtlinienvorschlag über digitale Inhalte erfasst gerade die Fälle, in denen Daten bereitgestellt werden, die für die Erfüllung des Vertrags jedenfalls nicht „unbedingt erforderlich“ sind. Auch die „weiche“ Formulierung des Art. 7 Abs. 4 der Datenschutz-Grundverordnung deutet darauf hin, dass die Erforderlichkeit der Daten für die Vertragserfüllung nur einer von mehreren erheblichen Gesichtspunkten ist. Relevant könnte etwa auch die Möglichkeit der Nutzerinnen und Nutzer sein, zwischen einem entgeltfreien, aber ggfs. mit einer umfangreichen Datenerhebung verbundenen Angebot und einem womöglich entgeltpflichtigen, aber „datenfreien“ Angebot zu wählen. Zum Teil wird eine gesetzliche Verpflichtung der Unternehmen gefordert, Verbraucherinnen und Verbrauchern ein solches Wahlrecht einzuräumen. Dies wirft eine Reihe von Folgefragen auf, etwa zur Preisregulierung. Fraglich ist, ob und in welchem Umfang in Art. 7 Abs. 4 eine Prüfung der Angemessenheit des Austauschverhältnisses angelegt ist.
2.2.3. Stärkung der Kontrolle der Verbraucher über ihre Daten – Herausforderungen für eine „individuelle Datensouveränität“
Initiativen in Richtung einer Kommerzialisierung von Daten sollten mit dem Bemühen verbunden sein, die Kontrolle der Verbraucher über ihre Daten zu stärken. Im digitalen Kontext besteht eine Diskrepanz zwischen Datenschutzrechten und realistischen Handlungsmöglichkeiten der Nutzerinnen und Nutzer. Dies folgt teilweise aus den hohen Transaktionskosten, die Nutzer haben, wenn sie sich Kenntnis über die Praxis der Datenerhebung und -verarbeitung verschaffen wollen. Teilweise folgt sie auch aus einem fehlenden praktischen Interesse der Nutzer, das häufig im Gegensatz zu abstrakt geäußerten Datenschutzpräferenzen steht (sog. Privacy Paradox). Eine besser handhabbare Kontrolle über eigene Daten könnte die Wirksamkeit des Individualrechtsschutzes und den Wettbewerb erhöhen, wenn Nutzerinnen und Nutzer sich künftig bewusster für unternehmerische Privacy-Politiken entscheiden würden.
Neue Formen der Einwilligung müssen daher entwickelt werden, die Nutzern den Grad der Sensibilität der abgefragten Daten und konkrete Gefahrenlagen vor Augen führen. Zur Stärkung der individuellen Kontrolle über personenbezogene Daten reicht es nicht aus, die Anforderungen an Transparenz, Verständlichkeit, Übersichtlichkeit und Klarheit der vorformulierten Einwilligungserklärungen zu überprüfen. Die hohen Transaktionskosten für die Nutzerinnen und Nutzer folgen nicht nur aus Mängeln der Transparenz, sondern vor allem aus der Häufigkeit, mit der Einwilligungen abgefragt werden, ohne dass der Grad der Missbrauchsgefahr für die Nutzerinnen und Nutzer erkennbar ist. Standardisierte Einwilligungen für bestimmte Geschäftsmodelle, Ampelsysteme oder privatwirtschaftlich organisierte Zertifizierungen können unter Umständen zielführend sein.
Unternehmen sollen Privacy by Design oder Privacy by Default stärker zum Einsatz bringen. Privacy-by-Design-Ansätze sehen eine Absicherung bestimmter Datenschutzstandards mit technischen Mitteln vor (siehe zu entsprechenden Verpflichtungen Art. 25 Datenschutz-Grundverordnung). Privacy by Default beruht auf datenschutzfreundlichen Voreinstellungen (siehe auch Art. 25 Abs. 2 der Datenschutz-Grundverordnung).
Eine weitere Möglichkeit ist ein ausdifferenziertes Identity Management. Während Menschen offline bei der Preisgabe von Information meist klar zwischen verschiedenen Sphären unterscheiden (z. B. Intimsphäre, Familie und Freundeskreis, erweiterte Sozialsphäre, Öffentlichkeit), laufen im Internet regelmäßig sämtliche Informationen einer Person zusammen und können umfassende Einblicke in die Persönlichkeit begründen, wie sie offline nicht akzeptiert würden. Ein Ansatz zur Stärkung des Datenschutzes ist, Internetnutzern den Einsatz unterschiedlicher Identitäten mit unterschiedlichen Datenschutzvoreinstellungen zu ermöglichen und die Zusammenführung der jeweils erzeugten Datenspuren technisch auszuschließen, sodass auch online eine Ausdifferenzierung nach Sozialsphären möglich wird. Während das Datenschutzrecht zunächst nur zwischen personenbezogenen und nicht personenbezogenen Daten unterscheidet, könnte den Nutzerinnen und Nutzern so technisch eine sphärenabhängige Ausdifferenzierung des Schutzes ermöglicht werden. Sowohl über die konkrete Unterteilung der Sphären als auch über die Zuordnung von personenbezogenen Informationen zu den verschiedenen Sphären könnten die Nutzer dabei selbst entscheiden. Bei als besonders sensibel empfundenen Daten könnten Nutzer so die Einwilligung in die Datenverarbeitung gänzlich ausschließen.
In der Transformationsphase sind Selbst- oder Koregulierungsansätze vorzugswürdig. Welche Instrumente die „individuelle Datensouveränität“ effektiv wahren und gewährleisten können, dass die Verbraucherinnen und Verbraucher vom Nutzen der Datenwirtschaft profitieren, muss weiter erörtert werden. Wo eine effektive individuelle Wahrnehmung des Rechts auf informationelle Selbstbestimmung unrealistisch wird, ist über eine treuhänderische Wahrnehmung von „Datenrechten“ durch Dritte (trusted third parties) nachzudenken, die die vom Einzelnen festgelegten Präferenzen konkretisieren können.
Der Zugriff Dritter auf personenbezogene Daten sollte in bestimmten Kontexten gänzlich ausgeschlossen werden. So müssen das verfassungsrechtlich garantierte Brief- und Fernmeldegeheimnis (Art. 10 GG) für sämtliche nicht öffentliche Formen zwischenmenschlicher elektronischer Kommunikation gelten (insbesondere E-Mail, VoIP, Kurznachrichten u. a.).
Datenportabilität erleichtern: Plattformwechsel fördert den Wettbewerb. Die Ausgestaltung der individuellen Datensouveränität beeinflusst in einer „datifizierten Ökonomie“ auch den Wettbewerb. Dies gilt besonders für die Frage, ob Nutzerinnen und Nutzer Daten, die sie auf einer digitalen Plattform generiert haben, auf eine andere Plattform mitnehmen oder einem externen Anbieter von Zusatzdiensten zur Verfügung stellen können. Ein solches „Recht auf Datenübertragbarkeit“ ist in allgemeiner Form in Art. 20 der Datenschutz-Grundverordnung festgeschrieben. Es reicht deutlich über den bisherigen datenschutzrechtlichen Auskunftsanspruch hinaus und soll einem dateninduzierten Lock-in entgegenwirken. Durch die Erleichterung eines Plattformwechsels soll sowohl der Innovationswettbewerb als auch der Konditionenwettbewerb gefördert werden: Bei einer nachträglichen Verschlechterung der „Datenpolitik“ eines Unternehmens können Nutzer künftig leichter mit einem Wechsel reagieren.
3. Besondere Regelungsbedürfnisse bei Suchmaschinen?
Suchmaschinen zählen zu den wichtigen Informationsintermediären im Internet. Ohne die Inanspruchnahme von Suchdiensten wäre eine sinnvolle Nutzung der unüberschaubaren Informationsfülle im Internet praktisch ausgeschlossen. Für Nutzerinnen und Nutzer sind Suchmaschinen häufig der Einstieg ins Internet. Umgekehrt lassen sich gerade neue und weniger bekannte Internetanbieter erst mithilfe von Suchdiensten finden. Damit kommt Suchmaschinen für den Wettbewerb im Internet eine wesentliche Bedeutung zu.
In Deutschland laufen 90 Prozent der allgemeinen Suchanfragen über einen Anbieter: Google. Die Nutzerbindung ist stark. Zwar ist die parallele Nutzung verschiedener Suchmaschinen (sog. „Multi-Homing“ ) für die Nutzer grundsätzlich einfach. Netzwerkeffekte können gleichwohl zu erheblichen Marktzutrittsschranken führen. Googles Datenpool über das Suchverhalten der Nutzerinnen und Nutzer verschafft dem Unternehmen erhebliche Größenvorteile bei der auf Lerneffekten beruhenden Verbesserung der Suchergebnisse. Die besondere Bedeutung von Suchmaschinen und die starke Konzentration von Suchanfragen bei Google haben Anlass zu einer genaueren Auseinandersetzung mit der Marktstellung und dem Marktverhalten von Google gegeben.
Das Wettbewerbsrecht kann grundsätzlich Antworten auf die aufgeworfenen Fragen geben, da marktmächtige Unternehmen einer besonderen Aufsicht unterliegen, die auch Netzwerkeffekte berücksichtigt (vgl. hierzu Kapitel 5).
4. Rechtssystem 4.0
Die besten Regeln nützen nichts, wenn sie nicht durchgesetzt werden können. Einfache, schnelle Verfahren sind von wesentlicher Bedeutung. Lauterkeits-, Verbraucher- und Datenschutzrecht sind tragende Säulen der Privatautonomie im analogen wie im digitalen Bereich. Auch Wettbewerb erweist sich im digitalen Kontext nicht als Naturzustand, sondern gründet auf der „sichtbaren Hand des Rechts“. Die Struktur von privater und öffentlicher Durchsetzung, die gegenwärtig von Rechtsgebiet zu Rechtsgebiet sehr unterschiedlich ausgestaltet ist, bedarf einer sorgfältigen Evaluation.
Das Regime zur Durchsetzung von Verbraucher- und Lauterkeitsrecht stellt derzeit ganz vorrangig auf Instrumente der privaten Durchsetzung ab. An der Effektivität der privaten Durchsetzung in diesem Bereich sind gelegentlich Zweifel geäußert worden.(Scherer/Feiler/Heinickel/Lutz, Digitaler Kodex, 22.4.2015, S. 53, insb. mit Blick auf die Ausgestaltung von § 10 UWG, dem zufolge eine Gewinnabschöpfung durch Verbände und Kammern stets unter Abführung des Gewinns an den Bundeshaushalt erfolgt, die Prozesskosten aber von den klagenden Verbänden bzw. Kammern zu tragen sind.)
Grundlage einer effektiven Durchsetzung ist eine genaue Marktkenntnis. Auf Initiative der Verbraucherzentralen und unter Förderung des Bundesministeriums der Justiz und für Verbraucherschutz wird derzeit neben einem Finanzmarktwächter auch ein „Marktwächter Digitale Welt“ aufgebaut. Ziel sind eine systematischere Marktbeobachtung auf der Grundlage von Verbraucherbeschwerden und empirischen Untersuchungen sowie der Aufbau eines Frühwarnsystems.
Sollten systematische Defizite in der Rechtsdurchsetzung festgestellt werden, sind mögliche Reformoptionen zu prüfen. In Betracht kommen der verstärkte Einsatz selbstregulativer (z. B. Verhaltenskodizes) oder koregulativer Instrumente, eine Stärkung der privaten Durchsetzung, eine Stärkung der Instrumente zur kollektiven Durchsetzung(Für ein Plädoyer hierfür siehe Sachverständigenrat für Verbraucherfragen, Verbraucher in der Digitalen Welt, Verbraucherpolitische Empfehlungen, 2016, Rn. 4.) oder aber eine öffentliche Durchsetzung.
Im Wettbewerbsrecht existieren geeignete Regeln und eine starke Struktur der öffentlichen Durchsetzung. Hier gilt es vor allem, in den Aufbau starker fachlicher Kompetenz für digitale Entwicklungen zu investieren, dabei die ökonomische, technische und rechtliche Kompetenz zusammenführen und die Zusammenhänge zwischen Lauterkeits-, Verbraucher-, Datenschutz- und Wettbewerbsrecht im Blick zu halten (siehe auch Kapitel 7).
GRÜNBUCH, Digitale Plattformen, DE.DIGITAL
Additional information
|