Bericht : Ein Leben für den Datenschutz : aus der RDV 2/2020, Seite 102 bis 104
Interview mit dem Datenschutzexperten Professor Peter Gola zu seinem vier Jahrzehnte währenden Einsatz für den Datenschutz, den Herausforderungen der DSGVO und zu seinem neuen Handbuch zum Beschäftigtendatenschutz.
Mit freundlicher Genehmigung entnommen: HR-Performance 1/2020, Datakontext-Verlag
HRP: Sie befassen sich seit den Anfängen der Datenschutzgesetzgebung mit der Materie. Was war der Auslöser für die Gesetzesinitative?
Professor Peter Gola: Meine berufliche Laufbahn begann nach dem 2. Juristischen Staatsexamen 1969 bei der damals als eine neue Bundesforschungseinrichtung gegründeten Gesellschaft für Mathematik und Datenverarbeitung.
Anlass für ihre Gründung und für die gleichzeitig geführte Diskussion, inwieweit automatisierter Verarbeitung personenbezogener Daten persönlichkeitsrechtliche Grenzen zu ziehen sind, war der Folgende: Zum einen wurde die Entwicklung der Auftragsdatenverarbeitung als noch in den Anfängen befindliche unverzichtbare Zukunftstechnologie staatlich gefördert und zum anderen wurden gleichzeitig ihre Gefahren für die Freiheitsrechte der Bürger mehr erahnt als erkannt. Mit der damals übernommenen Vorreiterrolle im Bereich der Datenschutzgesetzgebung haben Wissenschaft und Politik in Deutschland zweifelsohne ein wichtiges Zeichen gesetzt.
HRP: Was sind für Sie seit der DSGVO die zentralen Herausforderungen für die Personaler und ihre ITLandschaft?
Prof. Gola: Eine Aufgabe wird es sein, einerseits gesetzeskonforme und gleichzeitig praktikable Wege zur Erfüllung der Transparenzpflichten gegenüber den Beschäftigten bezüglich der sie betreffenden Datenverarbeitung zu finden. Aufsichtsbehörden und die Rechtsprechung sollten klare Linien zwischen den Rechten auf Einsicht, Auskunft, Aushändigung von Kopien und Datentransfer ziehen. Auch für die Verwendung von im Rahmen von algorithmischen Verfahren und künstlicher Intelligenz gewonnenen Erkenntnissen müssen, wenn sie zu beschäftigtenbezogenen Ergebnissen führen, klare Grenzlinien gezogen werden.
Professor Gola 2004 (1. v. r.) auf der DAFTA mit Bernd Hentschel (2. v. r.), dem verstorbenen Inhaber von DATAKONTEXT, und Peter Schaar (4. v. r.), dem ehemaligen Bundesdatenschutzbeauftragten
HRP: Braucht zukünftig jede Software, die mit personenbezogenen Daten hantiert, ein „Datenschutz-Gen“?
Prof. Gola: Die DS-GVO fordert bei jeder neuen (und, soweit noch nicht geschehen, auch bestehenden) Verarbeitungen von personenbezogenen Daten die Prüfung ihrer Auswirkungen auf den Schutz personenbezogener Daten bzw. besser: die Persönlichkeitsrechte der Betroffenen. Bestehenden Risiken ist durch angemessene Schutzmaßnahmen zu begegnen. Bei einem hohen Risiko bedarf es einer formalen Datenschutz-Folgenabschätzung (DSFA), d.h. eines Checks nach der bereits erfolgten oder der noch zu vollziehenden Implementation des angesprochenen „Datenschutz-Gens“. Die Folgenabschätzung hat sich mit den Maßnahmen, Garantien und Verfahren zu befassen, durch die dieses Risiko für die Persönlichkeitsrechte eingedämmt, der Schutz personenbezogener Daten sichergestellt, und die Einhaltung der Bestimmungen der DS-GVO nachgewiesen werden kann.
HRP: Die HR-Software-Entwickler und auch die Personalverantwortlichen haben in all den Jahren keine wirkliche Affinität zum Thema Datenschutz entwickelt. Woran liegt das Ihrer Einschätzung nach?
Prof. Gola: Die in der Frage enthaltene Pauschalaussage trifft wohl zumindest bedingt zu. Das mag daran liegen, dass von beiden genannten Seiten der Datenschutz oft als ein Hindernis gesehen wird, das einem angestrebten Ziel zumindest erschwerend im Wege steht. Ein wenig aber vielleicht auch daran, dass auch die betroffenen Beschäftigten von ihren datenschutzrechtlichen Rechtspositionen nur selten Gebrauch machen. Allein die in den letzten Jahrzehnten ergangene Rechtsprechung belegt, dass zwar die kollektive Seite des Datenschutzes, d.h. die Mitbestimmung der Mitarbeitervertretungen, nicht aber von einzelnen Beschäftigten geltend gemachte individuelle DatenschutzRechtspositionen Konflikte bereiteten; und dies u.a. eben deshalb, weil auch hier die erwähnte Affinität zum eigenen Datenschutz größer sein müsste. Man mag sich nur vorstellen, vor welchem Problemen viele Personalabteilungen ständen, wenn Beschäftigte ihre zum Teil neuen Rechte auf Einsicht, Auskunft, Aushändigung von Kopien- und Datentransfer mehrheitlich und „routinemäßig“ wahrnehmen würden. Jedenfalls muss man jetzt wissen, wie man einer solchen Situation gerecht werden kann, denn die Nicht-Erfüllung obiger Pflichten ist mit einem nicht mehr zu vernachlässigendem Bußgeldkatalog belegt, und fehlende, weil bisher nicht relevant gewordene, Datenschutzorganisation und diesen Problemen nicht Rechnung tragende IT-Technik sind kein Entschuldigungsgrund.
HRP: Die Nutzung personenbezogener Daten treibt das Geschäft im Internet. Sehen Sie das als Geburtsfehler oder als notwendiges Übel an?
Prof. Gola: Zu Beginn der Datenschutzdiskussion wurden die Gefahren für die Freiheitsrechte des Einzelnen in den wachenden Kontrollmöglichkeiten des Staates gesehen. Inzwischen nehmen vornehmlich international aufgestellte Konzerne, deren Geschäft die Vermarktung der Daten ihrer Nutzer ist, die Rolle des „großen Bruders“ ein. Informationelle Selbstbestimmung heißt natürlich auch, dass man sich bzw. seine Daten im Internet vermarkten kann. Aufgabe des Datenschutzes ist es, den Nutzern bewusst zu machen, worauf sie sich einlassen. Das nachgefragte notwendige Übel ist, dass das für viele ohne Belang ist.
HRP: Sie sind dem Datenschutz von Beginn an eng verbunden geblieben. Was ist Ihrer Meinung nach bei Thema Datenschutz rückblickend gut und was ist schlecht verlaufen?
Prof. Gola: Betrachtet man die Entwicklung, so wurde aus der marginalen nationalen Einzelregelung des BDSG eine umfassende europaweite, verfassungsrechtlich abgesicherte Rechtsordnung, die durch die Rechtsprechung des EuGH ständig fallbezogen konkretisiert wird. Datenschutz bzw. der Persönlichkeitsschutz des Einzelnen bei der Verarbeitung der ihn betreffenden Daten hat zumindest in Europa eine angemessene Grundlage.
Diese Regeln bedürfen jedoch angesichts der Schnelligkeit der Entwicklung der diesbezüglichen Techniken ständiger Überprüfung. Wobei sich auch abzeichnet, dass den Möglichkeiten der mit dem schon wieder aus der Mode gekommenen Begriff Big Data bezeichneten allumfassenden Datenauswertung und den Möglichkeiten, mittels Künstlicher Intelligenz dem Betroffenen selbst nicht bekannte sensible Informationen zu gewinnen, nicht nur durch unbestimmte Rechtsbegriffe der DS-GVO, sondern durch konkrete Verbote Grenzen gezogen werden müssen.
Professor Gola (2. v. r.) im Jahr 2012 auf seiner letzten Mitgliederversammlung als Vorsitzender
HRP: Im vorherigen Jahr ist Ihr Handbuch Beschäftigtendatenschutz in der 8. Aufl. erschienen. Welchen Handlungsbedarf sehen Sie hier beim Gesetzgeber?
Prof. Gola:
Seit Beginn der allgemeinen Datenschutzgesetzgebung steht die Schaffung eines speziellen Beschäftigtendatenschutzgesetzes für die Privatwirtschaft im Raum. Verschiedene Anläufe sind gescheitert. Allein mit § 32 BDSG a.F. bzw. § 26 BDSG n.F. wurde ein Anlauf gemacht. Art. 88 Abs. 1 DS-GVO eröffnet einen erheblich weiteren Regelungsspielraum. Er könnte genutzt werden, um von der Rechtsprechung und den Aufsichtsbehörden fallbezogen erfolgte Konkretisierungen der Arbeitnehmerrechte in Gesetzesform zu verallgemeinern. Nicht erkennbar ist, dass der Bundesgesetzgeber hiervon in absehbarer Zeit Gebrauch machen wird.
Professor Gola nach der Verleihung des Bundesverdienstkreuzes im Gespräch mit Andreas Jaspers, Geschäftsführer der GDD
HRP: Wie fühlt sich für Sie ein Leben für den Datenschutz nach mehr als vier Jahrzehnten an?
Prof. Gola: Es war eher ein Leben mit dem Datenschutz, wobei insbesondere die 20 Jahre Lehrtätigkeit an der Hochschule auch andere Schwerpunkte hatten. Es war jedenfalls eine Zeit, in der sich technische Entwicklungen vollzogen, die früher mehrere Generationen gedauert hätten. Zu Beginn meiner beruflichen Tätigkeit gab es kein Mobiltelefon, keinen Laptop, kein Internet. Ob man bei der Beobachtung und juristischen Kommentierung dieser neuen Formen des menschlichen Zusammenlebens allgemein und in der Arbeitswelt im Besonderen etwas für den Datenschutz bewirkt hat, mögen andere beurteilen. Zumindest einige Auszeichnungen belegen das, wozu auch der Ehrenvorsitz der GDD gehört.
HRP: Sie haben das Bundesverdienstkreuz am Bande und 1. Klasse für Ihr vielfältiges Engagement erhalten. Gibt es Anlässe, wo Sie diese Auszeichnung tragen?
Prof. Gola: Ich trage das kleine Abzeichen des Verdienstkreuzes 1. Klasse bei passenden, aber seltenen Anlässen. Mein im Mai des Jahres anstehender 80. Geburtstag wird ein solcher sein.
HRP: Herr Gola, wir danken Ihnen sehr für das Gespräch.