Das Verbotsprinzip: für das Internet der Dinge (IoT) irrelevant?

Die Kommission führt eine Konsultation zu Regeln für vernetzte intelligente Geräte, das sogenannte „Internet der Dinge“, durch (zur Presseerklärung).

Zu diesem Zweck der Befragung werden verschiedene „Sections“ gebildet. Die erste dieser Sections betrifft „Privacy“. In diesem Zusammenhang werden Entwicklungen in ihrer Bedeutung für die Gesellschaft dargestellt, die mit den smarten Technologien zu tun haben, so etwa Smart-Transportation Systems, Smart-Citys, Pollution Control u.ä.. Dazu wird den Befragten der Datenschutz wie folgt dargestellt:

„Traditional data protection principles include fair and lawful data processing; data collection for specified, explicit, and legitimate purposes; accurate and kept up-to-date data; data retention for no longer than necessary. Do you believe that additional principles and requirements are necessary for IoT applications?” Dies entspricht zwar Teilen von Art. 6 DS-RL bzw. Art. 5 der GVO (E), läßt aber die Rechtmäßigkeit der Verarbeitung (Art. 7 DS-RL, Art. 6 GVO (E)) außer Betracht.

Die Autoren des Textes der Befragung haben damit außer Acht gelassen, wenn nicht übersehen, dass das Kardinalprinzip der geltenden Datenschutz-Richtlinie und das erstrangige Prinzip der GVO das Verbotsprinzip ist. An dessen Rang soll auf keinen Fall – diesen Eindruck erweckt die Kommission – gerüttelt werden. Wenn man sich nun vorstellt, dass die Kommission im Hinblick auf neue technologische Entwicklungen Befragungen durchführt, die smarte Systeme auf einem Datenschutzkonzept als zu beurteilend darstellt, das es so nicht gibt, kann man sich die mangelnde Verwertbarkeit der Antworten leicht vorstellen.

Eine der Hauptfragen lautet insoweit, ob man glaubt, dass zusätzliche Prinzipien und Anforderungen für die IoT-Applikationen erforderlich sind. Darüber hinaus kann man, wenn man dem zustimmt bzw. „strongly“ zustimmt, noch spezifizieren, welche zusätzlichen Prinzipien man für erforderlich hält. Diese Frage geht völlig ins Leere, wenn man sich klar macht, dass das Datenschutzkonzept unzureichend beschrieben ist.

Was die fehlende Referenz zu geltendem und konkret geplantem Recht betrifft, gelten die vorstehenden Überlegungen genauso auch für Section 2, Safety und Security. Jedoch erscheint dies schon in gewissem Sinne zweitrangig.

Der europäische Datenschutzbeauftragte Hustinx sieht mit der Einführung von intelligenten Stromzählern erhebliche Probleme und warnt vor deren Risiken (Profiling bei Energieversorgern?). Erst recht müssen solche Bedenken gegenüber IoT und den smarten Systemen bestehen.

Hier geht es aber nicht darum, IoT und smarte Systeme Datenschutz-rechtlich zu bewerten. Es geht vielmehr darum, dass die Kommission das Verbotsprinzip ganz offensichtlich in seinem Rang und seiner Tragweite verkennt und ausblendet, wenn es um die wirtschaftlich/technische Entwicklung geht. Die Datenschutz-RL und die GVO (E) müssten hinsichtlich ihrer tragenden Prinzipien als Referenz bei der Befragung zu Grunde gelegt werden. Dass das nicht geschieht, kann man als Indiz dafür sehen, dass die tragenden Prinzipien, voran das Verbotsprinzip außer acht gelassen werden, sobald es um Effektivität, praktische und wirtschaftliche Entwicklung geht.

Indirekt bestätigt die Kommission durch die Umfrage, dass das Verbotsprinzip von der vorrangigen Stellung auf einen anderen Platz, nämlich den Schutz spezieller Daten und Konstellationen verlagert werden sollte. Zur adäquaten Beurteilung der neueren Entwicklung wird es nicht mal von der Kommission selbst herangezogen. Es macht auch nicht etwa Sinn, über eine techniknahe lex „smart systems“ o.ä. nachzudenken (obwohl natürlich Datenschutzregeln etwa zum Konzept der smart grids gehören). Der Datenschutz sollte vorrangig auf ein materielles Schutzgut aufbauen, das sich zur Beurteilung der Gefährdungslagen und Beaufschlagungen mit Daten und deren Auswertung eignet, etwa wenn es um Eingriffe nach ihrer Sensibilität geht.

Kommentare

Kommentieren: