12|22 Forschung & Lehre D A T E N S C H U T Z 951 päischen Gesetzgeber unter Geltung der DSGVO zunehmend auch um wirtschaftliche Zwecke geht, machen die neuen Datenakte vom Data Governance Act bis hin zu den Entwürfen von Data Act und KI-Verordnung deutlich. In diesem Sinne eröffnet die Richtlinie der EU über digitale Inhalte, die im Bürgerlichen Gesetzbuch umgesetzt wurde, die Möglichkeit, personenbezogene Daten faktisch zur vertraglichen Gegenleistung zu machen. Die Digitale-Inhalte-Richtlinie ist damit Wirtschaftsrecht, freilich mit verbraucherschutzrechtlichen Elementen. Nach zutreffender Lesart enthält die DSGVO überdies kein „absolutes“ Koppelungsverbot, das bei jeder Art der Verknüpfung einer datenschutzrechtlichen Einwilligung mit anderen Sachverhalten, bspw. einem Vertragsschluss, stets zur Unfreiwilligkeit und damit zur Rechtswidrigkeit der Einwilligung führt. Gegen die Annahme eines „absoluten“ Koppelungsverbots spricht bereits der Grundsatz der informationellen Privatautonomie und Vertragsfreiheit, wonach dem Individuum die „Hoheit“ über „seine“ Daten zukommt. Dies gilt auch bei Verträgen mit Daten als „Gegenleistung“. In diesem Sinne sind zur Beurteilung der Rechtmäßigkeit einer Datenverarbeitung weitere Kriterien heranzuziehen. Als Ausfluss der Privatautonomie und Vertragsfreiheit können sowohl Verantwortliche als auch betroffene Personen grundsätzlich frei entscheiden, zu welchen Bedingungen Leistungen angeboten und angenommen werden. Zur Einhegung und Kontrolle sehen sowohl die DSGVO als auch die Rechtsordnung (etwa durch Vertrags-, AGB- und Wettbewerbsrecht) weitere Leitplanken vor. Digitaler Lockdown Betrachtet man in der Wissenschaft und auch generell die Rechtsprechung des EuGH zum Datenverkehr in sog. Drittstaaten und insbesondere in die USA, so sind schwere Flurschäden zu konstatieren. In seiner sog. SchremsRechtsprechung negiert der EuGH die in der DSGVO angelegte risikoabhängige Betrachtung der Datenverarbeitung, die auch für den transatlantischen Datenverkehr gelten muss. Ein Inhalt, der den Machtbereich US-amerikanischer Behörden erreicht, darf spitz formuliert nicht übermittelt werden, solange den US-Behörden der Zugriff in den Herrschaftsbereich nicht unmöglich gemacht wird. Diese Anforderung greift weitgehend unabhängig vom jeweiligen Kontext, wie belanglos der Inhalt auch sein mag. Im Ergebnis wird, ohne dass Fälle eines konkreten Zugriffs bekannt geworden sind, der gesamte transatlantische Datenverkehr pauschal für unionsrechtswidrig erklärt. Eine solche Auslegung der DSGVO macht beispielsweise faktisch jeden Einsatz nichteuropäischer Bürosoftware oder Videokonferenzdienste unzulässig. Solche Vorgaben sind nicht nur für Hochschulen, sondern auch für Unternehmen, Behörden und Gerichte kaum rechtskonform umsetzbar, ohne wesentliche Geschäftsgrundlagen aufzugeben. Wahlweise führt dies in den digitalen Lockdown oder in das rechtliche Chaos. Insbesondere Europas Wissenschaft ist aber – wie die Wirtschaft – zwingend angewiesen auf einen fairen und praktisch umsetzbaren Rechtsrahmen. Datengetriebene Wirtschaft und Wissenschaft in Europa können im Jahr 52 nach dem ersten Datenschutzgesetz in Hessen nicht mehr eindimensional per Bürgerschutz und Abwehr reguliert werden. Vielmehr muss Daten(schutz)recht als mehrdimensionales, insbesondere Wirtschaftsrecht verstanden werden, das mit der DSGVO auf die Ermöglichung von Geschäftsmodellen setzt. Die hierfür einzusetzenden Mittel sind Transparenz, Zweckbindung, Anonymisierung und Pseudonymisierung. Das muss gerade auch für die Datenverarbeitung an Forschungseinrichtungen gelten, da hier die DSGVO verschiedene Privilegierungen vorsieht. Dass der Mensch nach den neuen Gegebenheiten Schutzsubjekt und Objekt der Datenverarbeitung zugleich sein kann, ist in weiten Teilen ein politisch und gesellschaftlich gewünschtes Faktum. Diese Entwicklung bedarf eines adäquaten Schutzrechts, nicht aber einer Verhinderungsrechtsprechung. Die allseits bemühte praktische Konkordanz muss die aufgezeigten gegenläufigen Schutzbedürfnisse stärker betonen. Alle Stimmen im Chor der Datenschutzinterpreten – vom EuGH über die nationalen Gerichte bis hin zu den Aufsichtsbehörden – sollten diese Ambivalenz im Blick behalten, wenn sie den Rechtsrahmen setzen für eine Datenverarbeitung des 21. Jahrhunderts, die den vielfältigen Bedürfnissen der Betroffenen, Unternehmen, Wirtschaft und Gesellschaft und natürlich auch der Forschung gerecht werden muss. Eine besonders herausgehobene Rolle kommt dabei den Datenschutzaufsichtsbehörden zu. Sie sind aufgerufen, durch ausgewogene und pragmatische Hinweise eine belastbare Orientierungshilfe, etwa zur durchführbaren Nutzung von Videokonferenzsystemen, auch und gerade an Bildungseinrichtungen, zu geben. Pragmatismus und Datenschutz müssen in ein ausgewogenes Verhältnis gebracht werden, wenn diese Orientierungshilfen, weitere Vorschläge und Entscheidungen in der Lebenswirklichkeit ankommen sowie angenommen werden sollen. Die Möglichkeiten von Grundschulen müssen hierbei ebenso bedacht werden wie die von Massenuniversitäten. Die Autoren sind jeweils Mitherausgeber führender Kommentierungen zur DSGVO und zum BDSG. Es handelt sich um die überarbeitete und aktualisierte Fassung eines Beitrags, der in der F.A.Z. vom 20.10.2022, S. 6 unter dem Titel „Die Ambivalenz des Datenschutzes“ erstveröffentlicht wurde. In eigener Sache An die Abonnenten von Forschung & Lehre Aufgrund der im Laufe dieses Jahres massiv gestiegenen Energie- und Papierkosten muss leider erstmals seit vielen Jahren der Preis für ein Jahresabonnement von Forschung & Lehre erhöht werden. Ab dem 1. Januar 2023 beträgt er im Inland künftig 90,- Euro (inkl. MwSt und Porto) und für Abonnenten im Ausland 95,- Euro (inkl. Porto). Wir hoffen sehr, dass Sie für diese Preisanpassung Verständnis haben. Die Redaktion Führungs-, Karriere- und Persönlichkeitscoaching inWissenschaft, Forschung und Lehre www.team-roemer.de/res TE AM RÖME R Anzeige
RkJQdWJsaXNoZXIy MjMxMzg=