Im Einsatz für den Datenschutz: Laura Drechsler, Datenschutzforscherin
Laura Drechsler forscht seit 2017 an der Freien Universität Brüssel zum Thema Datenschutz aus einer europarechtlichen Perspektive. In ihrer Forschung beschäftigt sie sich besonders mit der Frage wie persönliche Daten in komplexen internationalen Datenübermittlungen am besten geschützt werden können und inwiefern Betroffenenrechte für einen solchen Schutz eine Rolle spielen. Teile ihrer Forschung sind auf SSRN frei verfügbar. Ihr könnt ihr auch bei Twitter folgen.
Hallo Laura! Vielen Dank, dass du dir die Zeit genommen hast, unsere Fragen zu beantworten.
Eine unserer Lieblingsfragen, die wir Datenschutzexpert*innen stellen, lautet: Was bedeutet Privatsphäre für dich?
Privatsphäre ist für mich als Juristin natürlich eng mit dem Menschenrecht/Grundrecht auf Privatsphäre verbunden, was kurzgefasst, ein Recht ist sein Leben nach seinen eigenen Vorstellungen und Bedürfnissen zu gestalten, solange damit nicht die Menschenrechte von anderen ungemäß eingeschränkt werden.
Warum ist dir der Schutz von persönlichen Daten wichtig? Beruflich und im Privatleben?
Der Schutz von persönlichen Daten ist mir wichtig, weil persönliche Daten einerseits ein wichtiger Bestandteil für viele Dienstleistungen besonders Internetdienstleistungen sind, während sie andererseits aber auch immer das Potential zu negativen Konsequenzen für den Einzelnen haben.
Um ein Beispiel zu nennen, während der Pandemie waren viele von uns auf diverse Internetkommunikationsmittel angewiesen, die uns sowohl beruflich als auch privat auf sichere Weise mit unseren Mitmenschen verbinden. Solche Kommunikationsmittel sammeln viele unserer persönlichen Daten und können auch den Inhalt jeder Unterhaltung, die wir führen, kennen. Solches Wissen kann natürlich gegen uns verwendet werden. Entweder auf harmlosere Art, wenn wir zum Beispiel mit jemandem über Kaffeemaschinen sprechen und auf einmal überall Werbung zu Kaffeemaschinen antreffen, aber auch bedrohlicher, wenn diese Daten beispielsweise für Vorhersagen gebraucht werden, wie etwa unsere Arbeitsproduktivität oder Kreditwürdigkeit.
Wir sind daher immer öfter in Situationen, wo wir eigentlich unsere persönlichen Daten teilen müssen (um eben in einer Pandemie noch zu kommunizieren), setzen uns damit aber dem Risiko aus, dass diese Daten dann nicht in unserem Sinne verwendet werden.
Der Schutz persönlicher Daten (‚Datenschutz‘) hat seit den ersten Diskussionen und Rechtsakten in den 1970ern versucht, einen Ausgleich zwischen nützlichem Datengebrauch und Datenschutz für den Einzelnen zu schaffen. Ein solcher Ausgleich ist noch immer notwendig, besonders weil persönliche Daten für viel mehr Angelegenheiten einen echten Mehrwert schaffen können, beispielsweise in der Forschung, aber es eben auch ein größeres Risiko des Missbrauchs gibt.
Dass Missbrauch ein Problem ist, wird regelmäßig bestätigt. Zum Beispiel im Zusammenhang mit dem „Cambridge Analytica“-Skandal, wo persönliche Daten zur (auf jeden Fall versuchten) Wahlmanipulation in verschiedenen Teilen der Erde eingesetzt wurden.
Du forschst seit 2017 am Brussels Privacy Hub und promovierst dort zum Thema Datenschutz. Wie kam es dazu?
Das Thema Datenschutz hat mich schon als Studentin fasziniert, weil man sich dabei sowohl mit Europarecht und den Grundrechten befasst, als auch mit der Frage wie neue Technologien und Entwicklungen aus rechtlicher Perspektive zu beurteilen sind. Als ich daher nach zwei Jahren praktischer Arbeitserfahrung in Brüssel doch beschlossen habe zu promovieren und mir eine Stelle zum Datenschutz angeboten wurde, fand ich das die beste Gelegenheit mein ursprüngliches Interesse zu vertiefen. Ich habe es auch noch nie bereut, da der Datenschutz ein Gebiet mit ständigen rechtlichen Veränderungen ist und damit als Forschungsobjekt spannend bleibt.
In deiner Forschung beschäftigst du dich mit den Rechten von Betroffenen im Zusammenhang mit der Datenübermittlung. Was umfasst das genau und kannst du schon Einblicke zu den Ergebnissen mit uns teilen?
Datenübertragungen beschreiben die Regeln des EU-Datenschutzes (zum Beispiel in der Datenschutzgrundverordnung – DSGVO), die zur Anwendung kommen, wenn unsere persönlichen Daten die EU-Außengrenzen überschreiten („Datenübertragung“). Das ist eigentlich ständig der Fall, da beispielsweise viele der großen Internetdienstleister ihren Hauptstandort außerhalb der EU haben, siehe Facebook, Amazon oder Google. Die Regeln zu den Datenübertragungen wollen aus europarechtlicher Perspektive sicherstellen, dass der Schutz, der den Einzelnen zusteht, auch ihre Grundrechte schützt und nicht sofort aufhört, wenn so eine Übertragung stattfindet. Da solche Übertragungen eben ständig stattfinden, wäre es sonst nämlich ziemlich einfach jeglichen Schutz zu umgehen: man leitet einfach die Daten aus der EU heraus.
Meine Forschung befasst sich nun mit der Rolle von Betroffenenrechten in diesem Regelungssystem für Datenübertragungen. Betroffenenrechte sind Rechte, die gemäß des EU-Datenschutzrechts (siehe DSGVO) allen natürlichen Personen in der EU bezüglich ihren eigenen Daten zustehen. Diese Rechte beinhalten beispielsweise das Recht auf Auskunft, das Recht zu erfahren was genau mit den eigenen Daten passiert ist und eine Aufstellung solcher Daten als Kopie zu erhalten. Sie beinhalten auch Rechte, die zur Berichtigung von unrichtigen Daten oder zur Löschung von Daten gebraucht werden können. Diese Betroffenenrechte haben eine wichtige Rolle in der EU für den Schutz von persönlichen Daten, und meine Frage ist nun, inwiefern diese Rolle im Falle einer Datenübertragung erhalten wird.
Du sagst, dass es in deiner Arbeit nicht darum geht, wie man seine Daten selber schützen kann, sondern was der Datenschutz für den Einzelnen tun kann. Was bedeutet das genau?
Ich bin gegen die Einstellung, dass Datenschutz vor allem eine Aufgabe des Einzelnen ist. In der EU haben wir nämlich eigentlich Gesetze, die mehr oder weniger klare Regeln aufstellen, wie mit persönlichen Daten umzugehen ist. Die Einhaltung dieser Gesetze ist, wie die Einhaltung aller Gesetze, Aufgabe desjenigen, der die Daten verwendet, zum Beispiel ein Unternehmen aber auch der Staat. Die Durchsetzung der Gesetze ist dann wieder Aufgabe des Staates. Im EU-Datenschutz haben wir dafür sogar eigene Datenschutzbehörden. Der Einzelne hat daher für den eigenen Schutz nicht die Hauptrolle, außer vielleicht bei der Datensicherheit (zum Beispiel Passwortgeheimhaltung).
Der Datenschutz arbeitet daher schon deswegen für den Einzelnen, in dem er eigentlich ein sicheres Umfeld für persönliche Daten schafft (zumindest in der Theorie). Darüber hinaus bietet der Datenschutz auch Möglichkeiten mit den Betroffenenrechte von den eigenen Daten zu profitieren. Beispielsweise kann das Recht auf Auskunft genutzt werden, um nachzuvollziehen, wie Vorhersagen, sowie die Kreditwürdigkeit, über einen getroffen wurden. So können Fehler festgestellt werden, aber eben auch Erkenntnisse gewonnen werden, wie solche Entscheidungen getroffen werden.
Wie steht es zur Zeit um unseren globalen Datenschutz, insbesondere beim Thema der Datenübermittlung in die USA? Ist nach Schrems II jetzt alles besser?
Im Datenschutz gibt es leider immer das Problem, dass Theorie und Praxis auseinanderfallen. Auf theoretischer Ebene war Schrems II sicher ein wichtiger Schritt um noch einmal zu betonen, dass die Datenübermittlungsregeln dem Grundrechtsschutz dienen und auch ernst zu nehmen sind. Ob das auf praktischer Ebene zu großen Änderungen führen wird, bleibt abzuwarten (und natürlich zu hoffen).
Was machst du konkret, um deine persönlichen Daten online und offline zu schützen? Kannst du bestimmte Tools oder Handlungen empfehlen?
Wie oben erörtert, denke ich, dass ich meinen Beitrag zum aktiven Datenschutz leiste, indem ich mich auf meinen gesunden Menschenverstand verlasse. Zum Beispiel, indem ich gute Passwörter einrichte und meine Geräte so gut es geht vor Cyberangriffen und dergleichen schütze, zum Beispiel durch Anti-virus Software.
Um die datenschutzrechtliche Situation generell zu verbessern, versuche ich Onlinedienstanbieter zu wählen, die den Datenschutz ernst zu nehmen scheinen (obwohl man natürlich nicht immer Alternativen findet).
Ansonsten denke ich, dass es einfach wichtig ist, neugierig über die Verwendung der eigenen persönlichen Daten zu sein, also beispielsweise die Datenschutzinformationen eines App-Anbieters durchzulesen oder auch Fragen zu stellen, wenn einem etwas komisch vorkommt. Ich war selbst beispielsweise ewig von einem SMS-Parksystem in Belgien blockiert, weil meine Nummer in Verbindung mit einem unbezahlten Parkticket gebracht wurde. Mit Hilfe von meinem Recht auf Auskunft konnte ich nach Jahren endlich richtigstellen, dass dieses Ticket ein Fehler des Systems und meine Blockade daher nicht gerechtfertigt war. Da war die Neugierde am Ende also nützlich.
Welche Personen oder Organisationen ermutigen und/oder inspirieren dich im Bereich Datenschutz etwas zu verändern?
Es gibt so viele Personen und Organisationen, die im Datenschutz wichtige Arbeit leisten und mich auch inspirieren. Eine konkrete Nennung von Namen wäre immer unvollständig.
Wenn du ein bestimmtes Datenschutz-Anliegen oder Gesetz auf einen Schlag ändern könntest, welches wäre das?
Ich würde den Schutz beispielsweise in der DSGVO in Zusammenhang mit automatisierten Entscheidungen klarer formulieren (Artikel 22). Die Formulierung ist so unklar, dass es in Forschungskreise viele Debatten über den Inhalt gibt, dabei wäre ein klarer Schutz so wichtig, vor allem in Zeiten, wo solche automatisierten Entscheidungen zunehmen. Ich würde zum Beispiel hervorheben, dass es ein Recht auf Erklärung von solchen Entscheidungen gibt, und auch der Anwendungsbereich eines solchen Rechts so weit wie möglich gestaltet ist
“Im Einsatz für den Datenschutz” ist eine Interview-Reihe mit Datenschutz-Experten aus aller Welt. Ziel ist es, das Thema Datenschutz und Privatsphäre aus verschiedenen Perspektiven zu beleuchten. Unsere Interviewpartner*innen erzählen, was sie tun, um ihre persönlichen Daten schützen und geben Empfehlungen für alle, denen der Schutz ihrer Privatsphäre wichtig ist. Wenn ihr jemanden kennt, den wir interviewen sollten, schickt uns eure Vorschläge an: [email protected]
Die in diesem Interview geäußerten Ansichten sind die unseres Interviewpartners und spiegeln nicht unbedingt die von Startpage wider.