In den „Leitlinien“ vom 7.9.2011 haben wir auf die wesentlichen Defizite des geltenden Datenschutzrechts hingewiesen. Wenn man anhand dieser „Leitlinien“ den Entwurf einer Datenschutz-Grundverordnung (DS-GVO) der EU-Kommission vom 25.1.2012 (KOM 2012(11) endg.) einer ersten Analyse unterzieht, gelangt man zu folgenden Erkenntnissen:
- Kommunikationsfreiheit: Das datenschutzrechtliche „Medienprivileg“ erhält durch die DS-GVO keine Konturschärfe. Art. 80 DS-GVO entspricht im Wesentlichen Art. 9 DSRL (EG-Datenschutzrichtlinie). ErwG (Erwägungsgrund) 121 stellt zwar klar, dass das „Medienprivileg“ nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) weit auszulegen ist. Es fehlen jedoch materielle Kriterien für die Abwägung zwischen Persönlichkeitsrechten und freier Kommunikation, wie sie auch nach der Rspr. des EGMR in Abwägung von Art. 8 (Privatsphäre) und Art. 10 EMRK (Freiheit der Meinungsäußerung) stattzufinden hat.
- Schutzgut: Daten sind ein Abbild sozialer Realität, die dem Einzelnen nicht – eigentumsähnlich – zugeordnet sind. Art. 1 DS-GVO bezieht Gegenstand und Ziele der DS-GVO und damit des Schutzes im Wesentlichen auf personenbezogene Daten, ist also „datenfixiert“. Das eigentlich zu schützende Gut wird nicht deutlich, fehlt sogar. Art. 1 DS-GVO unterscheidet sich nur wenig von Art. 1 DSRL. Anders als in Art. 1 DSRL bleibt die Privatsphäre als Schutzgegenstand in Art. 1 DS-GVO sogar unerwähnt. Die Formulierung des Art. 1 DS-GVO lädt noch mehr als bisher zu dem Missverständnis ein, dass Daten um ihrer selbst Willen geschützt werden.
- Schwarz-Weiß-Prinzip: Die Anwendbarkeit des Datenschutzrechts soll – wie bisher – davon abhängig sein, ob Daten Personenbezug aufweisen. Dieser Bezug ist als „Schwarz-Weiß-Prinzip“ gefasst. Der Begriff des Personenbezugs bleibt zudem mindestens so unklar wie bisher. Art. 4 Nr. 1 DS-GVO legt eine objektive („abstrakte“) und somit weite Definition nahe. Nach ErwG 24 Satz 2 sollen indes „Online-Kennungen“ (d. h. IP-Adressen) „nicht zwangsläufig und unter allen Umständen“ als personenbezogen anzusehen sein. ErwG 24 legt somit ein subjektives („relatives“) Verständnis des Personenbezuges nahe. Dies ist verwirrend und lässt erwarten, dass auch der Geltungsbereich der DS-GVO unklar bleibt.
- Verbotsprinzip: Das Verbotsprinzip wird genau so isoliert und von den Grundfreiheiten abgekoppelt geregelt wie bisher (Art. 6 DS-GVO). Es bleibt somit dabei, dass datengestützte Kommunikation grundsätzlich verboten ist, wenn Daten mit Personenbezug verwendet werden. Durch Art. 7 Abs. 4 DS-GVO wird das Verbotsprinzip sogar deutlich verschärft, da eine Einwilligung des Betroffenen die Datenverarbeitung (und Kommunikation) nur noch dann legitimieren soll, wenn es kein „erhebliches Ungleichgewicht zwischen Datenverarbeiter und Betroffenem“ gibt. Dies hebelt Einwilligungslösungen etwa gegenüber Arbeitnehmern, Versicherungsnehmern und Bankkunden aus und schafft Unklarheiten, da sich letztlich bei jedem Verbrauchervertrag ein „Ungleichgewicht“ feststellen lässt.
- Gleichbehandlung aller Daten: Die DS-GVO lässt eine flexible Herangehensweise und eine Differenzierung verschiedener Datenkategorien vermissen. Zwar gibt es in Art. 9 Abs. 1 DS-GVO einen Katalog besonders sensibler Daten. Dieser Katalog entspricht im Wesentlichen Art. 8 Abs. 1 DSRL und enthält eine in ihrer Zusammensetzung unverständliche Aufzählung nach Gewicht und Brisanz höchst unterschiedlicher Daten (von der Gewerkschaftszugehörigkeit bis zur DNS). Es fehlt der gemeinsame Nenner, ein Prinzip, anhand dessen sich ein Obersatz zwecks genereller Anwendung und Auslegung bilden ließe (der Katalog ist zu willkürlich, um abschließend zu sein). Zudem unterscheidet sich die Schutzdichte nur graduell von dem Schutz weniger sensibler Daten. Das Verbotsprinzip gilt für Gerätekennzeichen in gleicher Weise wie für Informationen über sexuelle Vorlieben.
Privacy by Design: Art. 23 Abs. 1 DS-GVO soll „Privacy by Design“ zum Standard erheben. Die Norm geht jedoch nicht über einen Programmsatz hinaus, da die „Einhaltung dieser Verordnung“ als Ziel der Ausgestaltung von Datenverarbeitungsverfahren bezeichnet wird. Dies bleibtnoch deutlich hinter § 3 a BDSG zurück, der die Datenvermeidung und Datensparsamkeit sowie als Verfahrensziele festlegt. Anders als in § 3 a BDSG werden in Art. 23 Abs. 1 DS-GVO keine Maßstäbe für die Verfahrensgestaltung gesetzt. Hier macht sich – unter anderem – bemerkbar, dass der Mangel eines konkreten Schutzgutes (siehe Nr. 1) zwangsläufig verhindert, konkrete Kriterien zur Beurteilung von Risiken und zur Erforderlichkeit von konkreten Maßnahmen abzuleiten. Eine Maßgabe, das eigentliche Schutzgut „Privatsphäre“ zu wahren bzw. zu schonen, fehlt.
Behördliche Risikoprüfung ohne Maßstäbe: In Art. 33 DS-GVO wird dem Datenverarbeiter bei besonders „riskanten“ Verfahren eine Datenschutz-Folgeabwägung vorgeschrieben. Auch hier fehlt es an Maßstäben für die Verfahrensgestaltung. Besonders problematisch wird dies dadurch, dass Art. 34 DS-GVO die Nutzung von „riskanten“ Verfahren unter den Vorbehalt einer Genehmigung durch die Datenschutzbehörde stellt. Die Datenschutzbehörde wird hierdurch in eine Situation versetzt, in der sie „Risiken“ ohne ersichtlichen Maßstab prüft. Wenn es keine Regelung für die materiellen Voraussetzungen gibt, die die Behörde zu einer Genehmigung verpflichtet, wird den Behörden die selbstständige Setzung von Maßstäben überlassen. Dies ist rechtsstaatlich höchst bedenklich. - Einwilligung: Das Verbotsprinzip soll bestehen bleiben (siehe Nr. 4). Es bleibt auch dabei, dass die Einwilligung als ein zentrales Instrument gesehen wird für den Dispens von dem Verarbeitungsverbot (Art. 6 Abs. 1 lit. a i.V.m. Art. 7 DS-GVO). Zugleich begegnet man jedoch autonomen Entscheidungen der Betroffenen mit großem Misstrauen: Art. 7 Abs. 4 DS-GVO soll die Einwilligung als Rechtsgrundlage für eine Datenverarbeitung entwerten, wenn „ein erhebliches Ungleichgewicht“ zwischen Datenverarbeiter und Betroffenem besteht. Das Ziel einer Steigerung der Autonomie des Einzelnen wird so eher geschwächt.
- Transparenz (Standards): Es wäre wünschenswert und würde die Transparenz im Netz fördern, wenn Standards für die Unterrichtung des Betroffenen über die Art, den Umfang und die Zwecke der Datenverarbeitung gesetzt würden. Art. 14 DS-GVO bringt leider kein Mehr an Transparenz, die Informationspflichten der Art. 10, 11 DSRL werden weitgehend unverändert übernommen und lediglich um umfangreiche Belehrungen über Verfahrensrechte und Rechtsbehelfe ergänzt. Art. 14 DS-GVO würde gegenüber dem geltenden deutschen Recht zudem eine Verschlechterung bedeuten, da nicht einmal (allgemein) – wie in § 13 Abs. 1 TMG – eine Belehrung über „Art und Umfang“ der Datenverarbeitung vorgeschrieben wird.
- Vollzug: Die DS-GVO würde zu einer deutlich verstärkten Durchsetzung des Datenschutzrechts führen. Allein die drakonischen Bußgelder, die durch Art. 79 DS-GVO eingeführt werden sollen, lassen dies erwarten. Beim Vollzug setzt die DS-GVO indes ausschließlich auf den Vollzug durch starke Behörden. Dem einzelnen Betroffenen werden keine neuen Instrumente zur Durchsetzung seiner Persönlichkeitsrechte gegeben. Die privatrechtliche Haftung für Datenschutzverstöße bleibt unverändert schwach. Art. 77 und 78 DS-GVO übernehmen unverändert Art. 23 und 24 DSRL.
- Stringenz und Rechtssicherheit: Die Vereinheitlichung des europäischen Datenschutzrechts durch eine Verordnung ist zu begrüßen. Ohne mutige Reformen des materiellen Rechts fehlt es indes auch an Verbesserungen der Stringenz und Logik des Rechts. Zur Rechtssicherheit bei der Datenverarbeitung und der individuellen Durchsetzung des Datenschutzes würde die DS-GVO wenig beitragen.
Kommentare