01.12.2020

Datenaltruismus: Wie die EU-Kommission eine gute Idee versemmelt

Portrait von Winfried Veil
Winfried Veil

Die EU-Kommission hat eine neue Verordnung vorgeschlagen: den "Data Governance Act" (DGA). Dieser enthält Regelungen, die mit "Datenaltruismus" überschrieben sind. Hinter der wohlklingenden Wortschöpfung verbirgt sich der Versuch, die Datennutzung für Gemeinwohlzwecke zu fördern. Doch leider bleibt es beim untauglichen Versuch. Denn durch die zusätzlichen Anträge, Behörden, Register, Aufzeichnungspflichten, Tätigkeitsberichte und Formulare wird den meisten die Lust auf Altruismus vergehen.

I. Worum gehts beim Datenaltruismus?

Zugang zu Daten: Big Data, Mustererkennung und maschinelles Lernen setzen oft große und vielfältige Datenmengen voraus. In Fachkreisen wird daher schon seit Jahren darüber diskutiert, wie der Zugang zu Daten so organisiert werden kann, dass die Konzentration von Datenmacht in den Händen weniger großer Unternehmen verhindert wird und dass Daten gemeinwohldienlich genutzt werden können.

Die Ideen zur Datenregulierung sind vielfältig:  Sie reichen vom Dateneigentum über Datensteuern, von Open Data über Datenteilungspflichten bis hin zu Datentreuhändern und Datenportabilität. Auch die SPD hatte sich mit Unterstützung von Justus Haucap und Viktor Mayer-Schönberger schon einmal mit dem Vorschlag eines Daten-für-Alle-Gesetzes beschäftigt.

Altruismus bei Daten:  Eine weitere Idee ist, dass Menschen Daten freiwillig für gemeinwohldienliche Zwecke zur Verfügung stellen. Dies versucht die EU-Kommission nun unter dem Stichwort "Datenaltruismus" zu fördern. "Altruismus" ist gemäß Duden eine selbstlose, uneigennützige Denk- oder Handlungsweise. "Datenaltruismus" ist laut EU-Kommission die "freiwillige Datenbereitstellung durch Einzelpersonen oder Unternehmen zum Wohl der Allgemeinheit". In Art. 2 Nr. 10 DGA-Entwurf findet sich sogar eine Definition von "Datenaltruismus".

In der Praxis geht es zum Beispiel um Projekte wie:

  • decode, bei dem Bürger von Barcelona unter anderem die Daten über Lärm, Luftverschmutzung, Temperatur und Luftfeuchtigkeit durch Umweltsensoren innerhalb und außerhalb ihrer Wohnung erhoben und im Wege sog. "data commons" der Allgemeinheit zur Verfügung stellten. Der lesenswerte Abschlussbericht findet sich hier.
  • OpenSCHUFA von Algorithmwatch und der Open Knowledge Foundation. Bei diesem Projekt hatten mehr als 4.000 Menschen ihre SCHUFA-Selbstauskünfte im Wege einer Datenspende zur Verfügung gestellt, um durch reverse engineering eine Überprüfung des von der SCHUFA ermittelten Scorewerts zu ermöglichen.
  • Corona-Datenspende-App des Robert-Koch-Instituts, die sich 500.000 Nutzer heruntergeladen hatten, um ihr Fitnessarmband oder ihre Smartwatch zu verknüpfen und ihre Zustimmung zur wissenschaftlichen Datenauswertung zu geben.
II. Was die EU-Kommission hätte machen können

Hätte die EU-Kommission die Verarbeitung zu altruistischen Zwecken wirklich erleichtern wollen, hätte sie die für viele Datenverarbeiter kaum zu erfüllenden Anforderungen der DSGVO lockern können:

  • Bereichsausnahme: Die EU-Kommission hätte mit einem kühnen Federstrich etwa die Verarbeitung personenbezogener Daten für altruistische Zwecke aus dem Anwendungsbereich der DSGVO herausnehmen können. Ähnlich wie bei der "Haushaltsausnahme" (Art. 2 II c DSGVO) hätte sie eine "Altruismusausnahme", eine "Gemeinwohlausnahme", eine "NGO-Ausnahme" oder eine "Ehrenamtsausnahme" schaffen können (konkrete Formulierungsvorschläge hier). Das wäre ein echter Befreiungsschlag gewesen und hätte den ersehnten "boost" gebracht.
  • Privilegierung: Die EU-Kommission hätte - etwas weniger ambitioniert - materiell-rechtliche Erleichterungen für die Verarbeitung zu altruistischen Zwecken vorschlagen können. So hätte sie den Verantwortlichen bei Interessenabwägungen einen "Abwägungsvorsprung" geben können. Oder sie hätte die Weiterverarbeitung zu altruistischen Zwecken wie bei den Forschungszwecken (Art. 5 I b DSGVO) privilegieren können.
  • Zweckänderung: Die EU-Kommission hätte die gerade für den Datenaltruismus relevante, aber höchst umstrittene Frage klären können, ob bei einer zweckändernden Weiterverarbeitung eine Kompatibilitätsprüfung ausreichend ist oder ob ein eigenständiger Erlaubnistatbestand vorliegen muss (Art. 6 Abs. 4 DSGVO).
  • Allgemein zugängliche Daten: Die EU-Kommission hätte wenigstens die Verarbeitung allgemein zugänglicher personenbezogener Daten privilegieren können, was in der DSGVO "vergessen" worden war und nun zu unlösbaren Problemen führt (vgl. Dallmann/Busse, Verarbeitung von öffentlich zugänglichen personenbezogenen Daten).
  • Begleitpflichten: Die EU-Kommission hätte immerhin - noch etwas weniger ambitioniert - auch verfahrensrechtliche Erleichterungen für die Verarbeitung zu altruistischen Zwecken vorsehen können - etwa, dass bei Verarbeitung zu altruistischen Zwecken bestimmte Informations-, Dokumentations-, Nachweis- und Rechenschaftspflichten entfallen.
  • Datenaltruistische Verantwortliche: Die EU-Kommission hätte auch eine neue Kategorie von Verantwortlichen schaffen können: den "datenaltruistischen Verantwortlichen" mit datenschutzrechtlichen Rechten und Pflichten, die dem gemeinwohlorientierten Verarbeitungszweck Rechnung tragen.
  • Datenspenden: Die EU-Kommission hätte - wie vom Deutschen Ethikrat vorgeschlagen - die rechtliche Möglichkeit für Datenspenden schaffen können (vgl. Florian Sackmann, Datenspende als gesetzlicher Zulässigkeitstatbestand mit Zustimmungsvorbehalt). Sie hätte zumindest durch eine Definition der "Datenspende" für ein wenig Rechtssicherheit sorgen können (vgl. Freiherr von Ulmenstein, Spende personenbezogener Daten):

"Datenspende ist die dauerhafte Hingabe von Daten zur kontextspezifischen informationsgewinnenden Verarbeitung, ohne dass ihr ein unmittelbarer Anreiz gegenübersteht und ohne dass die spendende Partei notwendigerweise Einfluss auf die konkrete Verwendung im Einzelfall hat."

  • Einwilligung: Die EU-Kommission hätte alternativ die Voraussetzungen für eine Einwilligung in die Datenverarbeitung zu altruistischen Zwecken festlegen können. Doch selbst das überlässt sie jetzt wieder einem später zu erlassenden Durchführungsrechtsakt (Art. 22 DGA-Entwurf).
  • Gemeinwohl: Auch den Gemeinwohlbegriff hätte die EU-Kommission konkretisieren können. Über die Formulierung, dass die Datenverarbeitung zu altruistischen Zwecken "Ziele von allgemeinem Interesse" verfolgt, kommt der DGA-Entwurf nicht hinaus.

All dies geschah nicht - und man muss leider hinzufügen: wie zu erwarten war. Denn:  Die DSGVO ist anscheinend für die EU-Kommission der unantastbare Goldstandard: Verbesserung ausgeschlossen!

III. Was die EU-Kommission stattdessen macht

Stattdessen macht die EU-Kommission, was sie im Zusammenhang mit Daten anscheinend am besten kann:  Neue Verfahren festlegen, die Schaffung von Behörden verlangen, Zuständigkeiten ordnen, sich Antrags- und Überprüfungsfristen ausdenken. Darin aber zeigt sie Exzellenz:

  • Register: Die Mitgliedstaaten (Art. 15 Abs. 1 DGA-Entwurf) und die EU (Art. 15 II DGA-Entwurf) müssen jeweils ein "Register der anerkannten datenaltruistischen Organisationen" einrichten.
  • Gütesiegel: In diesem Register eingetragene Verantwortliche dürfen sich als "in der Union anerkannte datenaltruistische Organisation" bezeichnen (Art. 15 Abs. 3 DGA-Entwurf).
  • Anforderungen: Voraussetzung hierfür ist, dass die datenaltruistische Organisation Rechtspersönlichkeit hat, zur Verfolgung von Zielen von allgemeinem Interesse gegründet worden ist, selbst ohne Erwerbszweck tätig ist und den Datenaltruismus über eine rechtlich unabhängige Struktur betreibt (Art. 16 DGA-Entwurf).
  • Mindestangaben: Der Eintragungsantrag der datenaltruistischen Organisation muss zahlreiche Angaben enthalten, die zum Teil im Register veröffentlicht werden (Art. 17 DGA-Entwurf).
  • Aufzeichnungspflichten: Die datenaltruistische Organisation muss vollständige und genaue Aufzeichnungen über alle datenverarbeitenden Personen, die Zeitpunkte und Zwecke der Datenverarbeitung sowie etwaige für die Datenverarbeitung erhobenen Gebühren führen (Art. 18 Abs. 1 DGA-Entwurf).
  • Tätigkeitsbericht: Die datenaltruistische Organisation muss einen jährlichen Tätigkeitsbericht mit Informationen über ihre Tätigkeiten, über die datenverarbeitenden Personen, über die verfolgten Zwecke von allgemeinem Interesse, über die technischen Mittel, über die Ergebnisse und über ihre Einnahmequellen erstellen (Art. 18 Abs. 2 DGA-Entwurf).
  • Informationspflichten: Gegenüber den Betroffenen hat die datenaltruistische Organisation zusätzliche Informationspflichten (Art. 19 DGA-Entwurf).
IV. Verhältnis zur DSGVO

DSGVO unberührt:  Der Verordnungsentwurf stellt ausdrücklich klar, dass die Anforderungen in Bezug auf die Verarbeitung personenbezogener Daten unberührt bleiben (Art. 1 Abs. 2 DGA-Entwurf). Die DSGVO gilt also auch für datenaltruistische Organisationen vollumfänglich.

=> Eine Organisation, die personenbezogene Daten zu altruistischen Zwecken verarbeiten will, muss somit - neben diesen neu hinzugefügten - auch noch sämtliche Pflichten der DSGVO erfüllen (nach meiner Zählung sind dies 68 Pflichten).

Wo ist der Anreiz?  Man fragt sich, warum sich eine Organisation zusätzlich zu dem ohnehin schon enormen Compliance-Aufwand der DSGVO auch noch den Aufwand einer Anerkennung als datenaltruistische Organisation antun sollte. Der Eintragungsantrag, die zusätzlichen Aufzeichnungspflichten, der jährliche Tätigkeitsbericht und die zusätzlichen Pflichten zur Information gegenüber den Betroffenen würden einen erheblichen Erfüllungsaufwand verursachen. Verschärfend kommt hinzu, dass die altruistische Organisation selbst keinen Erwerbszweck verfolgen darf.

=> Die Organisation dürfte also neben dem zusätzlichen Aufwand mit den aus ihrer Datenverarbeitung gewonnen Erkenntnissen keinerlei "Geld verdienen", was nach der DSGVO nicht unbedingt ausgeschlossen wäre.

Vertrauensvorschuss:  Dem stünde in den Augen der Öffentlichkeit  unter Umständen die höhere Vertrauenswürdigkeit einer solchen anerkannten datenaltruistischen Organisation gegenüber. Ob durch ein solches Gütesiegel datenschutzsensible Menschen aber ihre Skepsis gegenüber einer Datenspende überwinden würden, erscheint fraglich.

Selbstlosigkeit?  Umgekehrt dürfte es bei Menschen, die "altruistisch" genug sind, "ihre" Daten einem guten Zweck zur Verfügung stellen zu wollen, meist keines weiteren Anreizes bedürfen. Wenn der "Goldstandard DSGVO" nicht genügend Vertrauen in die Verarbeitung personenbezogener Daten schafft, warum sollte es dann die Anerkennung als datenaltruistische Organisation?

Administrativer Aufwand:  Höchst problematisch ist auch die doppelte Behördenstruktur, die durch den DGA geschaffen würde. Die Einhaltung der datenschutzrechtlichen Anforderungen würde weiterhin von den jeweils zuständigen Datenschutzaufsichtsbehörden kontrolliert. Die Einhaltung der Voraussetzungen des DGA würde von anderen Behörden kontrolliert, die hierfür geschaffen werden müssten. Ein Kompetenzwirrwarr zwischen Datenschutz- und DGA-Behörden wäre vorprogrammiert.

V. Kollateralschäden

Der Kommissionsvorschlag ist nicht nur ärgerlich bürokratisch, sondern in erster Linie eine verpasste Chance, dem "Data for Good"-Gedanken Leben einzuhauchen.

Reflexwirkung auf DSGVO:  Noch schlimmer aber ist, dass über den Umweg des DGA eine noch restriktivere Interpretation der DSGVO droht. Nach der DSGVO ist Datenverarbeitung zu altruistischen Zwecken selbstverständlich grundsätzlich zulässig. Da der Verarbeitungszweck in die Interessenabwägungen der DSGVO einzustellen ist, dürften Verarbeitungen zu altruistischen Zwecken im konkreten Fall oft auch in besonderer Weise geeignet sein, die Zulässigkeitsschwelle zu überschreiten.

Shift der Best Practice:  Ist der Mechanismus des DGA aber erst einmal etabliert, dürfte sich eine "best practice" entwickeln, wonach Datenverarbeitungen zu altruistischen Zwecken nur noch nach dem "Data Governance Act" als anerkennungswürdig angesehen würden.

Bloße DSGVO-Compliance als Nachteil:  Verantwortliche, die sich nicht als "datenaltruistische Organisation" registrieren lassen wollen, könnten unter Druck geraten.  Nicht registrierte datenaltruistische Organisationen gerieten in den Verdacht, weniger vertrauenswürdig zu sein, obwohl sie mit dem "Goldstandard DSGVO" compliant sind.

=> NGOs, Stiftungen, Ad-hoc-Initiativen und andere Datenverarbeiter würden dadurch gegenüber nicht-altruistischen Verantwortlichen sogar benachteiligt, weil ihnen faktisch eine zusätzliche Registrierung abverlangt würde.

VI. Fazit

Die EU träumt von einem "gemeinsamen europäischen Datenraum". Der Datenschutz ist und bleibt der Elefant in diesem Datenraum. Wenn die verarbeitungsfeindliche Zwangsjacke der DSGVO nicht einmal für altruistische Zwecke ein bisschen gelockert wird, bleibt die Hoffnung auf Dateninnovationen aus Europa ein frommer Wunsch. Die bürokratischen Vorstellungen der EU-Kommission jedenfalls drohen jeden Altruismus zu ersticken.

Zurück