Datenschutz und Datensouveränität

(1) Jeder hat das Recht auf den Schutz seiner Daten und die Achtung seiner Privatsphäre.

(2) Jeder hat das Recht, über seine Daten selbst zu bestimmen. Personenbezogene Daten dürfen nur nach Treu und Glauben und für festgelegte Zwecke erhoben und verarbeitet werden, wenn dies für das jeweilige Nutzungsverhältnis erforderlich ist und eine vorherige Einwilligung erfolgt ist oder auf gesetzlicher Grundlage. Die Einwilligung muss ausdrücklich und informiert erfolgen. Nutzungsverhältnisse müssen fair und transparent gestaltet werden.

(3) Die Einhaltung dieser Rechte wird von einer unabhängigen Stelle überwacht.

(4) Anbieter von Diensten oder Produkten dürfen nur solche Daten erheben und verarbeiten, welche für den Zweck der Benutzung erforderlich sind. Die Grundsätze von privacy by design und privacy by default sind einzuhalten.

16 Kommentare

  1. 4

    Regulierungsbemühungen auf diesem Gebiet tun gut daran, die Grundlagen und Institute des sog. Datenschutzes einer grundlegenden theoretischen und im Gefolge rechtspolitischen Neubewertung zu unterziehen. Formulierungen wie ‘seine Daten’ verweisen auf Konzepte, die informationstheoretisch nicht haltbar sind (es sei denn, es geht hier um den Schutz der Datenträger).
    Seit geraumer Zeit kann beobachtet werden, dass das Datenschutzrecht sich nicht mehr in Bezug auf einstmals herausgearbeitete Schutzzwecke formiert wird, sondern als eigenständiges Schutzgut identifiziert wird. Doch Datenschutz ist kein Selbstzweck, sondern dient der Regulierung der Gefahren, die für Freiheits- und Gleichheitsrechte Einzelner durch die automatisierte Informationsverarbeitung entstehen. Dazu sollte das Datenschutzrecht endlich die unselige normative Nähe zum Privatsphärenschutz aufgeben und als selbstständiges Institut verankert werden.Bezug

  2. 2
    Stephan Engberg schreibt:

    “Data Protection” is too little, too late as it cover power structures where citizens have no control and power concentrates and society destabilize. It is best case a catch-all when security is not designed with privacy by design meaning no identification and no creation of PII, worst case an excuse for abuse as policy-based rights are easily ignored or circumvented.
    As a higher-order right above all other rights are the right to act using local identity, i.e. created for purpose and without identifying so data sharing does not mean loss of data control. The difference between privacy by design (sustainable) and lightweight “data protection by default” is the total absence of trusted parties, i.e. anonymous in the strongest understanding of GDPR.
    For commercial or government services to work, this need to include the possibility of carefully designed accountability proofs or conditional mechanisms negotiated in the process where a judge could establish connection in case the citizen violate rights or do not abide to agreements.
    Depending on application a number of additional mechanisms are needed. E.g. in healthcare we need Privacy by Design structures for Emergency Care access to critical health data and means for Privacy by Design data analysis for learning and research e.g. using distribution.

    Our biggest threat today is – as Hawking calls it – the illusion of knowledge that Privacy by Design is not possible or even undesirable. Fact it it is the most critical and fundamental of all rights. Freedom of Speech cannot work if you cannot speak without identifying. Markets cannot work if consumers are profiled. Public Sector gro COmmand & Control inefficiencies with “OnceOnly” profiling instead of empowering citizens to act as data brokers on their personal data. etc.

    Fact is – we can make even public sector healthcare, taxation and anti-crime based on Privacy by Design. But bureaucrats and commercial infrastructure want the power and profit originating in control of citizens through control of their data.

    As such the primary digital right of all – is the right to get services and act without digital identification and therefore also the right to require such solutions if known according to state-of-the-art. This include payments, 5G, Digital Signature (pseudonymous), etc.

    1. 0

      Genau – und alle Daten sollte man “maschinenlesbar” downloaden können (wie bei Twitter). Dies ermöglicht allen nämlich den Plattformwechsel, schafft also mehr Wettbewerb und Datensouveränität.

  3. 1
    Matthias Thorner schreibt:

    Es gibt bereits Technologie die es erlaubt sämtliche persönliche Daten anonym und offen zu kommunizieren und zu speichern. Persönliche Daten werden anonymisiert wobei Name, Geburtsdatum, Ausweisnummern, Kreditkartennummern usw durch ähnliche zufällige Daten ersetzt werden. In einer sicheren zentralen Datenbank werden die “richtigen” Daten und alle Zugriffsberechtigten und Zugriffe verwaltet und gespeichert. Konkret sollte es also ein Recht auf anonymisierte Kommunikation und Speicherung aller personenbezogener Daten und Steuerung aller “offenen” Zugriffe auf diese geben.

  4. 1

    “Privacy by Design” und “Privacy by Default”: Es ist zumindest kritisch, in einer Charta die Einhaltung von Grundsätzen zu fordern, die nur Außerhalb der Charta beschrieben werden. Das widerspricht m.E. der Funktion einer Charta – stattdessen sollten sich diese (und andere) Grundsätze aus der Charta ableiten lassen.

  5. 0

    (1): wir benötigen die Inversion des Status Quo: “Es muss sichergestellt sein, dass alle Kommunikation anonym erfolgt, außer der Kommunizierende möchte bewusst in Erscheinung treten.” (deckt (4) mit ab)

    Schutz der Daten entsteht erst durch folgende Forderung:
    (2) Daten, die eine Person betreffen, dürfen ohne deren Einwilligung zu keinem Zwecke angetastet (erhoben, gespeichert, verarbeitet) werden. Eine Information darf nur für einen Einzelvorgang erhoben werden, dessen Zweck klar definiert ist und der methodisch und zeitlich klar begrenzt ist. (Das ist heute technisch möglich und deckt (4) mit ab)

  6. 0
    KlausE schreibt:

    Der Artikel 11 sollte insgesamt weitreichender formuliert werden, um eine Wirksamkeit von Datenschutz und Datensouveränität überhaupt durchsetzen zu können:

    “Jeder Mensch hat grundsätzlich das Recht auf Anonymität. Es muss gewährleistet werden, dass Menschen Zugang zu Gütern, Dienstleistungen und die Teilhabe am gesellschaftlichen Leben erlangen können ohne Preisgabe ihrer Identität.”

    Im praktischen Leben führt diese Forderung dazu, dass Menschen grundsätzlich das Recht haben, selbstbestimmt mit Aliassen zu agieren. Im Rahmen der Struktur von vernetzten informationsverarbeitenden Systemen würde diese Forderung ermöglichen, dass Personen eigene, ausschließlich von der Person selber beherrschte, abgeschlossene Systeme haben werden, innerhalb derer nur sie bestimmen, welcher ihrer Aliasse mit welchem anderen verknüpft wird.

  7. 0
    Daniel Huebschmann schreibt:

    Im Zusammenhang mit dem Datenschutz möchte ich auf den Regulierungsbedarf bestimmter Datentypen hinweisen, z.B. medizinischer und gesundheitsbezogener Daten (cf. dazu auch meinen Kommentar zu “Recht auf Nichtwissen” im Paragraphen zu “Freiheit”).
    Zunehmend häufig werden beispielsweise Ganzgenomsequenzierungen (Whole Genome Sequencing = WGS) durchgeführt.
    Ein wichtiger und besonderer Aspekt genetischer Information ist, dass sie nicht nur denjenigen betreffen, der sequenziert wurde (im folgenden als Indexpatient bezeichnet), sondern auch seine Verwandten. Diese Personen werden bei der Durchführung einer Sequenzierung des Indexpatienten nicht um Einverständnis gefragt.
    Informationen des obigen Typs können für ein Individuum weitreichende Folgen haben: Verweigerung eines Versicherungsvertrags, Ausschluss bestimmter Berufe: was gilt beispielsweise für einen Busfahrer, bei dessen Vater ein dominant vererbtes Augenleiden festgestellt wurde (im Rahmen einer Ganzgenomsequenzierung wegen einer ganz anderen Fragestellung, z.B. Prostata-Karzinom)?
    Diese Beispiele sind nicht selten und auch nicht konstruiert. Die Sequenzierkapazität der weltweit zur Verfügung stehenden Maschinen steigt exponentiell, sie folgt einer Moore-schen Gesetz. Die Verdopplungszeit der Sequenzierkapazität ist kürzer als die Verdopplungszeit der zur Vefügung stehenden Speicherkapazität – d.h. dass in absehbarer Zeit mehr genetische Information durch Sequenzierung erzeugt werden wird, als gespeichert werden kann.
    Es wäre falsch, dieses diagnostisch und medizinisch sehr wertvolle Instrument zu verbieten oder sich seiner Verwendung zu entziehen. Jedoch wäre eine Regulierung des Umgangs mit der generierten Information hilfreich. Zugleich ist es offensichtlich nicht Aufgabe einer allgemein gehaltenen Charta, Detailfragen einzelner Datentypen zu klären. Man könnte jedoch “Verfassungszusätze” oder “ammendments” für verschiedene Sonderfälle, die als hinreichend wichtig eingeschätzt werden, schreiben. Meines Erachtens sind Gesundheitsinformationen, patientenbezogene Daten und insbesondere genetische Informationen ein solcher Datentyp. Diese besonderen Datentypen implizieren dann auch ein besonderes Schutzbedürfnis.

  8. 0
    Brummmi schreibt:

    Mein Ergänzungs- / Konkretisierungsvorschlag:
    Überall dort, wo es eine digitale „Eingangstür“ gibt, muss es stets auch eine problemlos zu erreichende und korrekt funktionierende (digitale) „Ausgangstür“ geben.

  9. 0

    Vielleicht lohnt es sich, den Grad der Privatheit von personenbezogenen Daten in Kategorien abzustufen. Nickname < Email < Klarname < Wohnort < Bewegungsprofile < Gespräche/Bilder/Ton usw.

    Man könnte dann sagen, dass Daten, die diese Kernbereiche der privaten Lebensführung betreffen, unter besonderem Schutz stehen und eine besondere explizite Einwilligung oder so benötigen. Dann würden auch Hersteller von Apps vorsichtiger, sparsam mit Zugriffsrechten umzugehen, da sie, da sie sonst auch eine besondere (rechtliche) Verantwortung an den Tag legen müssen

  10. 0

    Statt von “fair und transparent” zu schwafeln, sollten konkrete Formulierungen her:
    “Werbliche Nutzung ist durch die Formulierung ‘ACHTUNG WERBUNG!!!’, in #FF0000 rot, Schriftgrad 100, anzuzeigen. Bei Nicht-Einhaltung erfolgt der Entzug der Geschäftslizenz.”Bezug

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.