Datenschutz–Grundverordnung (DS-GVO)

14.02.2012 von haerting | 2 Kommentare

In den „Leitlinien“ vom 7.9.2011 haben wir auf die wesentlichen Defizite des geltenden Datenschutzrechts hingewiesen. Wenn man anhand dieser „Leitlinien“ den Entwurf einer Datenschutz-Grundverordnung (DS-GVO) der EU-Kommission vom 25.1.2012 (KOM 2012(11) endg.) einer ersten Analyse unterzieht, gelangt man zu folgenden Erkenntnissen:

  1. Kommunikationsfreiheit: Das datenschutzrechtliche „Medienprivileg“ erhält durch die DS-GVO keine Konturschärfe. Art. 80 DS-GVO entspricht im Wesentlichen Art. 9 DSRL (EG-Datenschutzrichtlinie). ErwG (Erwägungsgrund) 121 stellt zwar klar, dass das „Medienprivileg“ nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) weit auszulegen ist. Es fehlen jedoch materielle Kriterien für die Abwägung zwischen Persönlichkeitsrechten und freier Kommunikation, wie sie auch nach der Rspr. des EGMR in Abwägung von Art. 8 (Privatsphäre) und Art. 10 EMRK (Freiheit der Meinungsäußerung) stattzufinden hat.
  2. Schutzgut: Daten sind ein Abbild sozialer Realität, die dem Einzelnen nicht – eigentumsähnlich – zugeordnet sind. Art. 1 DS-GVO bezieht Gegenstand und Ziele der DS-GVO und damit des Schutzes im Wesentlichen auf personenbezogene Daten, ist also „datenfixiert“. Das eigentlich zu schützende Gut wird nicht deutlich, fehlt sogar. Art. 1 DS-GVO unterscheidet sich nur wenig von Art. 1 DSRL. Anders als in Art. 1 DSRL bleibt die Privatsphäre als Schutzgegenstand in Art. 1 DS-GVO sogar unerwähnt. Die Formulierung des Art. 1 DS-GVO lädt noch mehr als bisher zu dem Missverständnis ein, dass Daten um ihrer selbst Willen geschützt werden.
  3. Schwarz-Weiß-Prinzip: Die Anwendbarkeit des Datenschutzrechts soll – wie bisher – davon abhängig sein, ob Daten Personenbezug aufweisen. Dieser Bezug ist als „Schwarz-Weiß-Prinzip“ gefasst. Der Begriff des Personenbezugs bleibt zudem mindestens so unklar wie bisher. Art. 4 Nr. 1 DS-GVO legt eine objektive („abstrakte“) und somit weite Definition nahe. Nach ErwG 24 Satz 2 sollen indes „Online-Kennungen“ (d. h. IP-Adressen) „nicht zwangsläufig und unter allen Umständen“ als personenbezogen anzusehen sein. ErwG 24 legt somit ein subjektives („relatives“) Verständnis des Personenbezuges nahe. Dies ist verwirrend und lässt erwarten, dass auch der Geltungsbereich der DS-GVO unklar bleibt.
  4. Verbotsprinzip: Das Verbotsprinzip wird genau so isoliert und von den Grundfreiheiten abgekoppelt geregelt wie bisher (Art. 6 DS-GVO). Es bleibt somit dabei, dass datengestützte Kommunikation grundsätzlich verboten ist, wenn Daten mit Personenbezug verwendet werden. Durch Art. 7 Abs. 4 DS-GVO wird das Verbotsprinzip sogar deutlich verschärft, da eine Einwilligung des Betroffenen die Datenverarbeitung (und Kommunikation) nur noch dann legitimieren soll, wenn es kein „erhebliches Ungleichgewicht zwischen Datenverarbeiter und Betroffenem“ gibt. Dies hebelt Einwilligungslösungen etwa gegenüber Arbeitnehmern, Versicherungsnehmern und Bankkunden aus und schafft Unklarheiten, da sich letztlich bei jedem Verbrauchervertrag ein „Ungleichgewicht“ feststellen lässt.
  5. Gleichbehandlung aller Daten: Die DS-GVO lässt eine flexible Herangehensweise und eine Differenzierung verschiedener Datenkategorien vermissen. Zwar gibt es in Art. 9 Abs. 1 DS-GVO einen Katalog besonders sensibler Daten. Dieser Katalog entspricht im Wesentlichen Art. 8 Abs. 1 DSRL und enthält eine in ihrer Zusammensetzung unverständliche Aufzählung nach Gewicht und Brisanz höchst unterschiedlicher Daten (von der Gewerkschaftszugehörigkeit bis zur DNS). Es fehlt der gemeinsame Nenner, ein Prinzip, anhand dessen sich ein Obersatz zwecks genereller Anwendung und Auslegung bilden ließe (der Katalog ist zu willkürlich, um abschließend zu sein). Zudem unterscheidet sich die Schutzdichte nur graduell von dem Schutz weniger sensibler Daten. Das Verbotsprinzip gilt für Gerätekennzeichen in gleicher Weise wie für Informationen über sexuelle Vorlieben.
    Privacy by Design: Art. 23 Abs. 1 DS-GVO soll „Privacy by Design“ zum Standard erheben. Die Norm geht jedoch nicht über einen Programmsatz hinaus, da die „Einhaltung dieser Verordnung“ als Ziel der Ausgestaltung von Datenverarbeitungsverfahren bezeichnet wird. Dies bleibtnoch  deutlich hinter § 3 a BDSG zurück, der die Datenvermeidung und Datensparsamkeit sowie als Verfahrensziele festlegt. Anders als in § 3 a BDSG werden in Art. 23 Abs. 1 DS-GVO keine Maßstäbe für die Verfahrensgestaltung gesetzt. Hier macht sich – unter anderem – bemerkbar, dass der Mangel eines konkreten Schutzgutes (siehe  Nr. 1) zwangsläufig verhindert, konkrete Kriterien zur Beurteilung von Risiken und zur Erforderlichkeit von konkreten Maßnahmen abzuleiten. Eine Maßgabe, das eigentliche Schutzgut „Privatsphäre“ zu wahren bzw. zu schonen, fehlt.
    Behördliche Risikoprüfung ohne Maßstäbe: In Art. 33 DS-GVO wird dem Datenverarbeiter bei besonders „riskanten“ Verfahren eine Datenschutz-Folgeabwägung vorgeschrieben. Auch hier fehlt es an Maßstäben für die Verfahrensgestaltung. Besonders problematisch wird dies dadurch, dass Art. 34 DS-GVO die Nutzung von „riskanten“ Verfahren unter den Vorbehalt einer Genehmigung durch die Datenschutzbehörde stellt. Die Datenschutzbehörde wird hierdurch in eine Situation versetzt, in der sie „Risiken“ ohne ersichtlichen Maßstab prüft. Wenn es keine Regelung für die materiellen Voraussetzungen gibt, die die Behörde zu einer Genehmigung verpflichtet, wird den Behörden die selbstständige Setzung von Maßstäben überlassen. Dies ist rechtsstaatlich höchst bedenklich.
  6. Einwilligung: Das Verbotsprinzip soll bestehen bleiben (siehe Nr. 4). Es bleibt auch dabei, dass die Einwilligung als ein zentrales Instrument gesehen wird für den Dispens von dem Verarbeitungsverbot (Art. 6 Abs. 1 lit. a i.V.m. Art. 7 DS-GVO). Zugleich begegnet man jedoch autonomen Entscheidungen der Betroffenen mit großem Misstrauen: Art. 7 Abs. 4 DS-GVO soll die Einwilligung als Rechtsgrundlage für eine Datenverarbeitung entwerten, wenn „ein erhebliches Ungleichgewicht“ zwischen Datenverarbeiter und Betroffenem besteht. Das Ziel einer Steigerung der Autonomie des Einzelnen wird so eher geschwächt.
  7. Transparenz (Standards): Es wäre wünschenswert und würde die Transparenz im Netz fördern, wenn Standards für die Unterrichtung des Betroffenen über die Art, den Umfang und die Zwecke der Datenverarbeitung gesetzt würden. Art. 14 DS-GVO bringt leider kein Mehr an Transparenz, die Informationspflichten der Art. 10, 11 DSRL werden weitgehend unverändert übernommen und lediglich um umfangreiche Belehrungen über Verfahrensrechte und Rechtsbehelfe ergänzt. Art. 14 DS-GVO würde gegenüber dem geltenden deutschen Recht zudem eine Verschlechterung bedeuten, da nicht einmal (allgemein) – wie in § 13 Abs. 1 TMG – eine Belehrung über „Art und Umfang“ der Datenverarbeitung vorgeschrieben wird.
  8. Vollzug: Die DS-GVO würde zu einer deutlich verstärkten Durchsetzung des Datenschutzrechts führen. Allein die drakonischen Bußgelder, die durch Art. 79 DS-GVO eingeführt werden sollen, lassen dies erwarten. Beim Vollzug setzt die DS-GVO indes ausschließlich auf den Vollzug durch starke Behörden. Dem einzelnen Betroffenen werden keine neuen Instrumente zur Durchsetzung seiner Persönlichkeitsrechte gegeben. Die privatrechtliche Haftung für Datenschutzverstöße bleibt unverändert schwach. Art. 77 und 78 DS-GVO übernehmen unverändert Art. 23 und 24 DSRL.
  9. Stringenz und Rechtssicherheit: Die Vereinheitlichung des europäischen Datenschutzrechts durch eine Verordnung ist zu begrüßen. Ohne mutige Reformen des materiellen Rechts fehlt es indes auch an Verbesserungen der Stringenz und Logik des Rechts. Zur Rechtssicherheit bei der Datenverarbeitung und der individuellen Durchsetzung des Datenschutzes würde die DS-GVO wenig beitragen.

Kommentare

  1. 22.02.2012 von Jan Dark:

    Der Entwurf ist lebens- und weltfremd. Nehmen wir Punkte 1 und 5 und Facebook oder Google+ als Beispiel: ich poste dort mit meinem Namen, also personenbezogen eine politische Meinung. Nun soll diese Inanspruchnahme der Meinunsgfreiheit „Privacy by Design“ übergebügelt bekommen und ich erst nach viel Mühen unter meinem Namen personenbezogen mich äußern dürfen?

    Wenn ich personenbezogen Informationen weltweit veröffentliche, soll ich Eigentum dann diesen Daten bekommen? Ich soll sie nach meiner Veröffentlichung wieder zurückholen sollen? Wenn ich meine Meinung ändere, sollen alle anderen meine vorige kostenlos löschen müssen? Hat es dann in der oralen oder Schriftkultur gegeben, dass Frau Reding sich auf den Marktplatz stellte und die Bürger anwies: ihr müsste meine Meinung von von der Wahl vergessen und wer sich daran erinnert, bekommt Thilo Weicherts 50.000 € übergezogen? „Recht auf Vergessen“ muss aus der Politiker-Ecke kommen und hieß früher „Was kümmert mich mein Gewäsch von gestern“-. Ich glaube dafür wird man keine Mehrheiten bekommen. Weder für das orale Vergessen, noch das schriftliche noch das elektronische.

    Ich halbe selten einen so weltfremden Normenentwurf gesehen. Völlig realitätsfremd wie ACTA. Und wird genauso wenig Rechtskraft erlangen. Es sieht eher so aus, als wenn man demokratische Elemente bei der Arbeit der EU-Kommission einführen muss, als dass diese realitätsflüchtende Arbeit fortgesetzt wird.

    Und nebenbei erwarte ich auch eine Begründung, warum der Entwurf sich nur von der nationalen Ebene auf die europäische hebt und die globale lauthals beschwiegen wird. Warum wir bei der UN keine Initiative gestartet wie bei anderen globalen Problemen auch? WTO, WIPO, Internationalen Strafgerichtshof, Genfer Konventionen sind doch auch nicht auf Europa beschränkt. Diese beschränkte Politik ist sinnlos und schadet Bürgern und Wirtschaft. Sollen etwa unsere Soldaten in Afgahnsitan nach anderem Kriegsrecht töten wie in Kunduz als wenn sie hier in Detschland operieren?

  2. 22.02.2012 von Härting:

    „Ich habe selten einen so weltfremden Normenentwurf gesehen. Völlig realitätsfremd wie ACTA. Und wird genauso wenig Rechtskraft erlangen.“ Das sehe ich auch so. Bei ACTA hat es ja auch ziemlich lange gedauert, bis die Problempunkte im (Netz-)Bewusstsein angekommen sind.

Kommentieren: