Internet-Law

Onlinerecht und Bürgerrechte 2.0

19.1.12

Der Entwurf einer EU-Datenschutzverordnung in der Kritik

Der vorzeitig geleakte erste Entwurf einer EU-Datenschutzverordnung bietet reichlich Diskussionsbedarf. Johannes Masing, Richter am Bundesverfassungsgericht, hat den Entwurf vor allen Dingen mit Blick auf grundrechtliche und rechtsstaatliche Defizite kritisiert. Simon Möller formuliert bei Telemedicus nunmehr fünf Thesen zur geplanten Datenschutzverordnung, die die Kernprobleme zutreffend umreißen.

Neben der berechtigten Befürchtung des Verlusts von Grund- und Bürgerrechten muss der Entwurf der EU-Kommission auch deshalb kritisch betrachtet werden, weil er ein Datenschutzmodell fortschreibt, das aus den 70’er und 80’er Jahren stammt und im Internetzeitalter nicht mehr funktioniert. Der Entwurf ignoriert damit auch weitgehend die aktuelle rechtswissenschaftliche Diskussion über eine grundlegende und strukturelle Reform des Datenschutzrechts.

Wir befinden uns derzeit in einer Situation, in der wir zwar scheinbar und formal über ein hohes Datenschutzniveau verfügen, das aber in Wirklichkeit sehr niedrig ist, weil das Recht den Praxistest nicht mehr besteht und nicht zuletzt deshalb fast zwangsläufig massenhaft ignoriert wird. Infolge dieser Situation wird in der Rechtswissenschaft die Forderung nach einer grundlegenden Reform des Datenschutzrechts immer lauter. Warum das Grundkonzept des geltenden Datenschutzrechts, das auf dem Verbotsprinzip fußt, sich nicht mit der Funktionsweise der Internetkommunikation verträgt, habe ich in einem älteren Beitrag erläutert. Das geltende Datenschutzrecht muss ständig gebogen werden, um es überhaupt noch halbwegs internetkompatibel aussehen zu lassen. Der Umstand, dass die Auslegung des Datenschutzrechts in der Praxis von der Sichtweise der Datenschutzbehörden dominiert wird, die überwiegend eine enge Auslegung bevorzugen, kommt erschwerend hinzu. Dass man Cloud Computing, Hosting, den Betrieb von Facebook-Fanseiten oder auch die Nutzung von Google-Analytics als Auftragsdatenverarbeitung betrachten kann, mag nach geltendem Recht vertretbar sein. Diese Betrachtungsweise hat zu Ende gedacht aber zur Konsequenz, dass eine datenschutzkonforme Ausgestaltung tatsächlich nicht mehr in Betracht kommt. Nachdem man diese Konsequenz aber auch nicht ziehen kann, behilft man sich mit Placebo-Lösungen, die nicht geeignet sind, das Datenschuzniveau tatsächlich zu verbessern. Wie solche Scheinlösungen der Datenschutzbehörden aussehen, lässt sich sehr anschaulich anhand der Diskussion um Google Analytics nachvollziehen. Dem Datenschutz ist damit in der Sache natürlich nicht geholfen. Manchmal führen derartige Scheinlösungen der Datenschutzbehörden sogar zu einem Mehr an Datenerhebung. Es hat sich auch gezeigt, dass die Datenschutzaufsichtsbehörden teilweise selbst nicht mehr in der Lage sind, die Vorgaben zu erfüllen, deren Einhaltung sie von anderen verlangen. Auch die politische Diskussion, selbst bei den sich gerne progressiv gebenden Grünen, ähnelt in diesem Punkt einem Trauerspiel.

Was fehlt, ist eine ehrliche und offene Analyse des Ist-Zustands. Impulse hierfür kommen derzeit aus der Rechtswissenschaft und Teilen der Internet-Community, aber nicht aus der Politik und noch weniger von den Datenschutzaufsichtsbehörden. Der Enwurf der EU-Kommission lässt ebenfalls nicht erkennen, dass eine solche Analyse statgefunden hätte. Wenn die geplante Verordnung in dieser oder ähnlicher Form in Kraft tritt, wird ein bereits gescheitertes Grundkonzept nochmals über Jahre hinweg festgeschrieben.

Die Schieflage der gesamten Diskussion zeigt sich aber noch an anderen Umständen. Die EU übermittelt Bankdaten und Fluggastdaten ihrer Bürger in äußerst großzügiger und unkontrollierter Art und Weise an die USA. Damit wird die Idee des europäischen Datenschutzes, wonach eine Übermittlung an Stellen außerhalb der EU erhöhten Anforderungen unterliegt, auf den Kopf gestellt. Auch andere Fälle belegen, dass der Staat selbst vielfach wenig von Datenschutz hält. Dieses Messen mit zweierlei Maß führt insgesamt zu einer Legitimationskrise des Datenschutzrechts.

Während man einerseits gerne kleinteilig über datenschutzrechtliche Nebenaspekte wie Google Street View diskutiert, werden andererseits sensible Daten von Bürgern bereitwillig an ausländische Staaten übermittelt. In dieser Situation fällt es mir schwer, mich noch über Facebook oder Google aufzuregen.

 

 

posted by Stadler at 11:55