Forschungsprojekt: Datenschutz-Sandbox

Raum für sichere Technologieentwicklung

Forschende der Universität Bayreuth schaffen in Zusammenarbeit mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz die Grundlage für digitale Experimentierumgebungen. In diesen können Unternehmen und Behörden künftig die Datenschutzkonformität ihrer Anwendungen testen. Das Projekt wird vom Bundesministerium für Bildung und Forschung (BMBF) gefördert.

Unternehmen und Behörden, die innovative, aber datenschutzrechtlich herausfordernde digitale Anwendungen einsetzen möchten, sind typischerweise mit erheblichen Unsicherheiten konfrontiert. Bei Zweifeln an der Datenschutzkonformität stehen sie regelmäßig vor der Wahl, entweder davon abzusehen, die Anwendung einzuführen – oder billigend in Kauf zu nehmen, gegen geltendes Datenschutzrecht zu verstoßen. Für dieses Dilemma können sogenannte „Regulatory Sandboxes“ im Datenschutz eine Lösung sein. Regulatory Sandboxes sind zeitlich begrenzte Experimentierräume oder -umgebungen, die es Unternehmen oder Behörden ermöglichen, innovative Anwendungen unter realen Bedingungen hinsichtlich ihrer Datenschutzkonformität in einem engen, kooperativen Austausch mit den Aufsichtsbehörden zu testen. Mögliche Datenschutzprobleme sollen so in einem gesicherten Rahmen niedrigschwellig erkannt werden können. Wie genau ein solches Experimentierfeld im Datenschutz unter den Regularien in Deutschland realisiert werden kann, ist bisher aber noch offen.

Das Projekt Datenschutz-Sandbox möchte die Grundlage dafür legen, dass regulatorische Experimentierräume Realität werden können. Hierzu analysiert das Projektteam die rechtlichen und informationstechnischen Bedingungen, die für Unternehmen oder Datenschutzbehörden für Sandbox-Verfahren gelten. Auf Basis dieser Erkenntnisse soll anschließend testweise eine Sandbox beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz eingerichtet werden. Daraufhin wollen die Forschenden die Sandbox-Verfahren unter Realbedingungen exemplarisch durchführen, rechtswissenschaftlich begleiten und den Einsatz evaluieren. Die so gewonnenen Ergebnisse sollen letztlich in einer wissenschaftlichen Handreichung für andere Behörden aufbereitet und als Grundlage für Vorschläge zur Fortentwicklung des regulatorischen Rahmens genutzt werden.

Oktober 2024 bis September 2027

"Unser Projekt ist ein wichtiger Schritt in Richtung sicherer und innovativer digitaler Anwendungen in Deutschland. Wir stellen damit eine Balance zwischen dem Schutz sensibler Daten und der Förderung von Innovationen her, indem wir eine Umgebung schaffen, in der Unternehmen neue Technologien und Lösungen testen können, ohne die Privatsphäre der Nutzenden zu gefährden."

Verantwortlicher Verbundpartner / Universität BayreuthProf. Dr. Christoph Krönke

„Regulatory Sandbox“ – Was ist das?

Regulatory Sandboxes sind aufsichtsrechtliche Gestaltungen, die es Unternehmen oder Verwaltungsträgern ermöglichen, innovative Anwendungen am Markt zu testen, und zwar innerhalb eines zeitlich begrenzten Rahmens und im engen, kooperativen Austausch mit der Aufsichtsbehörde. Die Aufsichtsbehörde beurteilt die zu testenden Anwendungen bereits im Vorfeld unter datenschutzrechtlichen Gesichtspunkten, gibt Empfehlungen und gegebenenfalls verbindliche Hinweise für privatsphärenschonende Gestaltungen. Sie sichert den Anbietern zu, während der Testphase prinzipiell keine aufsichtsrechtlichen Maßnahmen zu ergreifen und Sanktionen zu verhängen („Statement of Regulatory Comfort“).

Auf diese Weise können

die potenziellen Anbieter die tatsächlichen und datenschutzrechtlichen Ungewissheiten in Bezug auf ihre innovativen Anwendungen beseitigen,
die Datenschutzbehörden profitieren, denn sie erhalten Informationen und erzeugen eigenes Wissen in Bezug auf die innovativen Anwendungen; sie können frühzeitig gestalterisch Einfluss auf die Anwendungen nehmen und auf privatsphärenschonende Gestaltungen hinwirken,
Vorteile für die Allgemeinheit generiert werden – die betroffenen Personen kommen zügig in den Genuss innovativer, zugleich aber auch datenschutzfreundlicher Anwendungen.