Warum das Verbotsprinzip in der GVO nicht haltbar ist – die Einwilligung ist nicht als taugliches Instrument ausgestaltet

Die GVO (E) ist in den konzeptionellen Teilen, also v.a. Kap. II., weitgehend identisch mit der Datenschutzrichtlinie, die wiederum konzeptionell aus den 80iger Jahren stammt, auch wenn sie 1995 verabschiedet wurde. Die GVO stellt kein „neues“ Datenschutzrecht her, sondern „verbessert“ die DS-RL.
Als Folge ist klar, dass beide das Verbotsprinzip enthalten, was sich leicht überlesen läßt. Das Verbotsprinzip manifestiert sich in einem Wort, nämlich „nur“. Art. 6 GVO besagt in Abs. 1: „Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: …“ D.h., dass also grundsätzlich das Verbotsprinzip gilt, Ausnahmen, die dann folgen, die Verarbeitung personenbezogener Daten erlauben. Eine Ausnahme ist die Einwilligung: „Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere genau festgelegte Zwecke gegeben.“ (Art. 6 Abs. 1 a) GVO (E)). Allein schon aus der Stellung innerhalb der Regeln in Art. 6, der überschrieben ist mit „Rechtmäßigkeit der Verarbeitung“, aber auch aus einem Vergleich mit den folgenden weiteren Ausnahmen wird klar, dass die Einwilligung eine ganz wesentliche Säule des Datenschutzes sein muss. Das Verbotsprinzip wäre, wenn die Ausnahmen zu eng sind, unhaltbar. Es würde Kommunikations- und Meinungsäußerungsfreiheit im Geltungsbereich der GVO weitgehend aufheben.

Hinzu kommt, dass die Kommission der Selbstbestimmung einen hohen Rang einräumen will. Dies wird auch in den Kommentaren zum GVO (E) hervorgehoben, s. z.B. Frühjahrskonferenz der Europäischen Datenschutzbeauftragten, 3. und 4. Mai 2012.

Die Beteiligung des Betroffenen über die Einwilligung zu bewirken, vielleicht sogar zu stärken, ist aber in der GVO nicht vorgesehen. Das Gegenteil ist der Fall. Art. 7 Abs. 4 nimmt der Einwilligung jede Bedeutung in der Praxis wieder weg. Das Verbotsprinzip wird dadurch wesentlich verstärkt und ist infolge dessen so nicht haltbar: Art. 7 Abs. 4 besagt, dass die Einwilligung keine Rechtsgrundlage für die Verarbeitung bietet, „wenn zwischen der Position der betroffenen Person und des für die Verarbeitung Verantwortlichen ein erhebliches Ungleichgewicht besteht.“
Es sind kaum Situationen im Alltag denkbar, wo nicht der Einzelne als „User“, Kunde, Mitarbeiter, Versicherungskunde, Bankkunde u.ä. einem „übermächtigen“ Anbieter gegenüber steht. Das Ungleichgewicht ist typisch. D.h., die Einwilligungsregelung in Art. 7 Abs. 4 entzieht der Einwilligung ihre Wirkung für die typische Konstellation. Nicht einmal in Deutschland, wo das Problem v.a. unter AGB-Aspekten diskutiert wird, inwieweit es wirksame Einwilligungen gibt, ist das Regelungsdefizit derartig stark.

Um es deutlich zu sagen: Die Einwilligung ist gemäß der GVO nicht mehr als ein taugliches Mittel für die Zulässigkeit der Datenverarbeitung anzusehen. Art. 6 erzeugt nur einen Schein, der einer Prüfung nicht standhält. Damit kommt den übrigen Zulässigkeitstatbeständen in Art. 6 besondere Bedeutung zu. Da diese auch, notwendig, restriktiv sind, erscheint die Reichweite des Verbotsprinzips als wesentlich zu weit.

Es versteht sich, dass es Einwilligungen gegenüber öffentlichen Stellen praktisch nicht mehr wirksam geben werden könnte.

Wichtig ist noch, zu berücksichtigen und sich klar zu machen, dass selbst dann, wenn die Einwilligung wirksam wäre, sie nicht konkludent gegeben werden kann. Auch das widerspricht der Praxis, insbes. den Gepflogenheiten, dass sich der Einzelne in Netzwerken u.ä. „einträgt“ und dort Willensbekundungen sehr wohl wissentlich und gezielt abgibt, für die er dann aber noch eine gesonderte Einwilligung geben müsste, wenn man der bisherigen Regelung (unabhängig von dem Entzug der Wirkung nach Art. 7 Abs. 4) folgen würde.

Kommentare

  1. 11.07.2012 von Daniardo:

    Schulzki-Haddouti Aber das wiederum ist ja nicht prbosnenbeziehear – und aus Sicht des Datenschutzes geht es um den Personenbezug. Ich denke: Nicht nur. Google kann mit Hilfe der IP in Kombination mit den Cookies des Anzeige-Netzwerkes bzw. den Webbugs von Google Analytics eine Menge Daten einem PC zuordnen auch wenn Google nicht wei , welche Person da genau dahinter sitzt. Wenn man ein Googlekonto hat (braucht man bei vielen Google Services), ist die Sache sogar noch erheblich einfacher und dauerhafter als mit den Cookies. Sind ja eine Menge Daten die da Zusammenkommen. Etwa auf welche Sites man geht und auf welche Anzeigen man klickt (beides bei Websites die Adsense oder Google Analytics einsetzen), was man bei Google sucht, der Inhalt der E-Mails (Gmail*), der Dokumente (Google Docs), welche Videos man anschaut, hochl dt, faved (Youtube), welche Fotos man hochl dt (Picasa), was man in die Adressleiste eintippt (Chrome), welche Nachrichten man liest (Google News) und vieles, vieles mehr.*Bei Gmail soll man brigens durchaus den Realnamen Angeben, was sicher viele machen, da dieser als Absendername bei verschickten E-Mails erscheint.Das alles ist m glicherweise von Google nicht meiner konkreten Person zuzuordnen, aber doch meinem digitalen Pendant, das umso vollst ndiger zum digitalen Ich (Sascha Lobo) wird, je mehr Daten dieses Personenprofil enth lt. Selbst wenn Google das alles nicht einer bestimmten, realen Person zuordnen kann (was ja wie gesagt durchaus m glich ist), bleibt die Sache sehr bedenklich. Denn der Staat kann Unternehmen dazu zwingen Daten herauszugeben, die dann durch IP-Abgleich und Vorratsdatenspeicherung der Provider leicht der entsprechenden Person zugeordnet werden k nnen.Je umf nglicher diese Daten sind, desto mehr Begierde wecken sie beim Staat. So etwas ist in China l ngst passiert (was z.B. zur Ergreifung eines Dissidenten f hrte), aber sicher nicht nur dort m glich. Auch in den USA wird der Datenschutz nicht berm ig ernst genommen, besonders wenn es um den Schutz der Daten vor dem Staat geht. In Deustchland ist die Sache viel strenger, aber trotzdem f hren immer neue Sicherheitsheitsgesetze zu einem kontinuierlichen Abbau des Schutzes der Daten vor den Staat.Deshalb sind vorhandene Daten immer ein Problem. Nur Daten, die gar nicht erst gespeichert werden, sind wirklich sicher.Das betrifft insbesondere Unernehmen, die ber sehr viele pers nliche Daten verf gen, also Google oder Betreiber von social networking sites wie Facebook. Aber auch Betreiber jeder anderen Website stellen ein (wenn auch weniger gro es) potentielles Problem dar. Wenn du hier auf Kooptech die IPs der Kommentarschreiber speichern w rdest (was ja AFAIK absolut blich ist), w re mein Posting mit Hilfe der Vorratsdatenspeicherung mindestens 6 Monate zur ckverfolgbar. In deinem Fall ist das laut Datenschutzpolicy lobenswerterweise nicht m glich. Bei vielen anderen Websites dagegen durchaus. Und selbst hier ist es prinzipiell m glich, die Herkunft meines Postings doch heraus zu bekommen dann n mlich, wen du meine angegebene E-Mail-Adresse speicherst und mein E-Mail-Provider meine IPs speichert Beides nicht unwahrscheinlich.Ich will jetzt keine Paranoia sch ren. Doch die Erfahrung der letzten Jahre zeigt, dass bez glich Datenschutz Pessimismus durchaus gerechtfertigt ist.PS: Ich bestreite nicht dass Susanne Gaschke schlecht informiert ist.

Kommentieren: