GDPRday 2024 in Bologna
12.11.2024
Zusammenfassung
In Italien hat man eine leicht andere Perspektive auf die verschiedenen Bereiche der Digitalgesetzgebung. Welche das sind und insbesondere welche Schlüsse daraus gezogen werden, zeigt der Besuch einer italienischen Datenschutz-Konferenz in Bologna.
3 Minuten Lesezeit
La dotta, la grassa, la rossa! – Es gibt schlimmere Orte als den Sitz der ältesten Universität Europas, um sich über die neuesten Entwicklungen im Datenschutz auszutauschen. Der GDPRday ist eine italienische Institution, die – ähnlich wie verschiedene Interessensverbände in Deutschland – versucht Experten und Spezialisten auf dem Gebiet Datenschutz, Informationssicherheit und Cyber-Sicherheit zusammen zu bringen. Seit 2018 findet zudem einmal jährlich in Bologna eine Konferenz statt, die in diesem Jahr rund 300 Besucher zählte.
Die Grundidee liegt darin, nicht allein das Thema “Privacy” zu beleuchten, sondern auch die eng damit verbundenen Bereiche Informationssicherheit, Datenschutz und Cybersicherheit.
„Haben wir unser aller Ziel eigentlich aus den Augen verloren?“
Mit der Einstiegsfrage wurde schnell klar, dass man auch vor Kritik keineswegs zurückschrecken würde. Ganz im Sinne des – in Deutschland deklarierten – schützenden und fördernden Staates hinsichtlich der Grundrechte, sei die Effektivität des Schutzes zumindest in Frage zu stellen. Plakativ verdeutlicht wurde das an den vermehrten Fällen von „Cyberbullying“ (also dem gezielten Mobbing ausgewählter Jugendlicher im digitalen Raum), welches in Italien in letzter Zeit leider zu zahlreichen Suiziden führte.
Dass das kein originäres datenschutzrechtliches Problem sei, stehe außer Frage, aber die Datenschutz-Grundverordnung sei insbesondere geschaffen worden, um in der Gesellschaft mehr Vertrauen im digitalen Raum zu schaffen. – Es sollte nur der Beginn vieler spannender Perspektiven und Eindrücke verschiedener Experten der italienischen Halbinsel werden.
„Europäischer Fortschritt heißt flächendeckende Regulierung.“
Europa liegt technologisch mittlerweile weit zurück. Doch welche (politische) Antwort darauf gibt es aus Brüssel? Der Versuch, dies aufzuholen liege in der Schaffung zahlreicher Regelungen.
Der ehemalige Präsident der italienischen Datenschutz-Aufsichtsbehörde „Garante“, Prof. Francesco Pizzetti wendet dazu den Blick auf die USA und die Präsidentschaftswahlen: Sollte Donald Trump die Präsidentschaftswahlen gewinnen – so höre man – habe er Elon Musk versprochen, Rahmenbedingungen zu schaffen, in den USA sitzende Unternehmen von den „nervigen“ EU-Regulierungen auszunehmen.
Wenig später ergänzt Guido Scorza, stellvertretender Präsident des Garante: Es sei keinesfalls der richtige Weg immer mehr Regelungen zu schaffen, denn „je mehr Regelungen es gibt, desto unbedeutender wird das einzelne Gesetz“.
Insgesamt stelle man fest, so kurz darauf Luca Bolognini, dass die derzeitige „Hyperregulierung“ kaum aufeinander abgestimmt sei und zu bislang ungeahnten Problemen führen werde. Genau das habe im Übrigen auch Mario Draghi mit seiner kürzlichen Kritik zum Ausdruck bringen wollen. Es sei nämlich keineswegs um eine Kritik am Datenschutz selbst gegangen, sondern um Kritik an der undurchdachten europäischen Digital-Gesetzgebung.
Außerdem führe alleine die Tatsache, dass man zuerst digitale Bereiche geregelt habe, keineswegs dazu, dass man progressiv und zukunftsorientiert ist, wie so häufig behauptet.
„Einseitige KI-Verordnung.“
Apropos „zuerst“: Deutliche Kritik äußerte Andrea Chiozzi, der die verschiedenen Unzulänglichkeiten der KI-Verordnung aus seiner Sicht folgendermaßen zusammenfasste: „Nur Juristen sind derart phänomenal, dass sie etwas regulieren können, von dem sie nicht ansatzweise verstanden haben, wie es funktioniert.“
Die Aussagen von Anwälten, man benötige nur ein paar Checklisten zeige, wie unreflektiert das Thema auch in der Praxis angegangen werde. Das könne nur daher stammen, dass die Mehrzahl vermutlich ein, zwei Artikel gelesen hätte und einmal kurz mit ChatGPT gespielt. Anders könne man sich das nicht erklären.
Die einzige Lösung liege in einer interdisziplinären Herangehensweise, die der Mehrdimensionalität und Komplexität des Themas wirklich gerecht werde. Dafür ist es angesichts der erfolgten Gesetzgebung wohl aber schon etwas spät. Beispielsweise hänge der risikobasierte Ansatz des AI-Acts völlig in der Luft, denn er beruhe kaum auf objektiven Maßstäben und Kriterien. Da könne man so viele Risiko-Matrixen erstellen wie man wollte, das tatsächlich zugrundeliegende Risiko und somit notwendige Maßnahmen ließen sich damit kaum abbilden.
Grundprinzip der Notwendigkeit der Datenverarbeitung?
Es läge allerdings nicht alleine am europäischen Gesetzgeber, dass die Umsetzung in Praxis noch nicht wie gewünscht gelingt. Auch die Behördenseite rühme sich derzeit nicht mit feinjuristischer Auslegung: Das Kriterium der Notwendigkeit der Datenverarbeitung, welches in den Grundprinzipien des Art. 5 der Datenschutz-Grundverordnung lediglich angedeutet wird, erlebe einen ungeahnten Aufschwung. Diese „unzutreffende“ Klassifizierung als höchstes Grundprinzip des Datenschutzes sei die größte Gefahr für jedwede technologische Weiterentwicklung. Allerdings gehe man diesen Weg konsequent weiter, wenn man auf die verschiedenen Veröffentlichungen des Europäischen Datenschutzausschusses blickt.
Fazit: Andere Perspektiven südlich der Alpen.
Die Reise nach Bologna hat sich nicht nur wegen des schönen Wetters Ende Oktober gelohnt, sondern vor allem wegen der vielen interessanten und unterschiedlichen Eindrücke. Der Perspektivwechsel war für ein tieferes Verständnis der Problemfelder europäischer Gesetzgebung sehr gewinnbringend. – Grazie di tutto e alla prossima!