In der Diskussion um das europäische Datenschutzpaket könnte es sich lohnen, einen frischen Blick auf einen Begriff zu wagen, der ein wenig in den Hintergrund getreten ist: „Accountability“ – ein Wort, das bis vor einigen Jahren in Diskussionen um eine Erneuerung des Datenschutzrechts in aller Munde war. Die Ãœbersetzung ins Deutsche fällt schwer, da sich nicht klar sagen lässt, ob „Verantwortlichkeit“ oder „Verantwortung“ den Begriffskern besser trifft.
Ansatz im Galway Project
Um „Accountability“ ging es 2009 in dem Galway Project, an dem zahlreiche Datenschutzexperten aus Europa und den USA mitwirkten. Zum Abschluss des Projekts veröffentlichten die Experten ein Diskussionspapier, in dem ein neuer, „Accountability-orientierter Ansatz“ folgendermaßen definiert wurde:
„An accountability-based approach to data governance is characterised by its focus on setting privacy-protection goals for organisations based on criteria established in current public policy and on allowing organisations discretion in determining appropriate measures to reach those goals. An accountability approach enables organisations to adopt methods and practices to reach those goals in a manner that best serves their business models, technologies and the requirements of their customers.“
„Accountability“ bedeutet danach eine Verlagerung der Verantwortung für den Schutz der Privatsphäre auf den Datenverarbeiter. Der Datenverarbeiter erhält vom Gesetzgeber klare Zielvorgaben („goals“ und „criteria“). Wie er die vorgegebenen Ziele erreicht, bleibt seinem Ermessen („discretion“) überlassen. Hierdurch erhält der Datenverarbeiter den notwendigen Spielraum, um seine Technologie und sein Geschäftsmodell datenschutzfreundlich auszugestalten.
Accountability im DS-GVO-Entwurf?
In dem Entwurf einer DS-GVO, an dem viele deutsche Juristen mitgewirkt haben, kommt der Begriff der „Accountability“ nur in der Begründung zu Art. 22 vor. Art. 22 DS-GVO-E greift laut der Begründung die „Accountabilty“-Diskussion auf, verwendet jedoch statt des Begriffs der „Accountability“ den Terminus „Responsibility“ [Vorschlag der EU-Kommission v. 25.1.2012 für eine Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), KOM(2012) 11, Seite 10 f. (Begründung) und Seite 63f. (Art. 22)]. Datenverarbeiter sollen somit nach dem Willen der Entwurfsverfasser „verantwortlich“ sein, ohne „Verantwortung“ zu tragen. Die von den Experten des Galway Projekts beschriebenen „Spielräume“ bleiben allenfalls noch im Rahmen von „Privacy by Design“: Hier geht Art. 23 DS-GVO jedoch nicht über einen Programmsatz hinaus und möchte die nähere Ausgestaltung nicht etwa den datenverarbeitenden Unternehmen, sondern der Europäischen Kommission – per „delegiertem Rechtsakt“ – überlassen.
Nähe von „risk-based“ zu „accountability-oriented“
Die derzeitige Diskussion um einen „risk-based approach“ (vgl. Härting, „Gute Nachrichten aus Brüssel: Vom Verbotsprinzip zur Risikoorientierung“, CRonline Blog v. 7.3.2013) hat auffällige Berührungspunkte mit dem „accountability-oriented approach“ des Galway Projekts. Wenn man echte Anreize für eine anoyme oder anonymisierte (bzw. pseudonyme oder pseudonymisierte) Datenverarbeitung (vgl. Härting, „Was Pseudonymisierung von Pseudonymität unterscheidet“, CRonline Blog v. 11.3.2013) setzen möchte, könnten den Datenverarbeitern hierfür durch Zielvorgaben Spielräume eröffnet werden. Die wichtigste Zielvorgabe müsste dabei das Verbot jeglicher De-Anonymisierung sein.
Accountability und Einwilligung
„You can’t have the cake and eat it“: Die Spielräume, die Accountability eröffnet, lassen sich mit Einwilligungserfordernissen nicht kombinieren. Wenn man daher für die Verarbeitung anonymer oder pseudonymer Daten („less/little risk“) die Verantwortung für einen optimalen Persönlichkeitsschutz in die Hände der Datenverarbeiter legt, ist dies zwingend damit verbunden, dass man den betroffenen Personen Verantwortung nimmt. Das Verbotsprinzip und Einwilligungserfordernisse lassen sich zwar zwanglos mit einer „Verantwortlichkeit“ der Datenverarbeiter kombinieren, nicht jedoch ohne Weiteres mit einer – richtig verstandenen – „Verantwortung“ (vgl. Härting, „Mythen der EU-Datenschutzreform: ‚Pseudonyme Nutzung'“, CRonline Blog v. 1.2.2013).