Internet-Law

Onlinerecht und Bürgerrechte 2.0

31.8.12

Alternativentwurf einer EU-Datenschutzverordnung

Die Kollegen Härting und Schneider, die schon seit längerer Zeit eine weitreichende Reform des Datenschutzrechts fordern, haben nunmehr eine ausformulierte Alternative zum Entwurf einer Datenschutzgrundverordnung, den die EU-Kommission vor einigen Monaten vorgelegt hatte, vorgestellt.

Der Vorschlag von Härting und Schneider läuft auf einen Paradigmenwechsel hinaus, der mir zumindest im Grundsatz aber auch notwendig erscheint.

Wesentlich am Vorschlag von Härting/Schneider ist die Differenzierung zwischen personenbezogenen und sensiblen Informationen. Damit würde im Datenschutzrecht erstmals eine Abstufung nach dem Inhalt und der Bedeutung der Information für den Betroffenen vorgenommen. Das geltende Datenschutzrecht schützt alle personenbezogenen Daten gleichermaßen und zwar völlig unabhängig davon, wie schwer beispielsweise eine Weitergabe der konkreten Infomation für den Betroffenen tatsächlich wiegt. Als sensible Informationen sehen Härting/Schneider allerdings nur solche an, die der Intimsphäre des Betroffenen entstammen. Das ist meines Erachtens nicht sachgerecht, weil es eine ganze Reihe sensibler Daten gibt, die nicht aus der Intimsphäre stammen, an denen aber dennoch ein berechtigtes Geheimhaltungsinteresse des Betroffenen bestehen kann. Die Differenzierung von Härting/Schneider ist zwar grundsätzlich sinnvoll, die Gleichsetzung sensibler und intimer Daten erscheint allerdings zu eng.

Zweiter zentraler Aspekt des Entwurfs von Härting/Schneider ist eine Abkehr vom Verbotsprinzip. Das geltende Datenschutzrecht geht davon aus, dass eine Verarbeitung personenbezogener Daten zunächst grundsätzlich verboten ist, es sei denn, der Betroffene willigt ein oder eine gesetzliche Vorschrift erlaubt die Datenverarbeitung ausdrücklich (Verbot mit Erlaubnisvorbehalt). Schneider und Härting wollen demgegenüber als Grundsatz festschreiben, dass die Datenverarbeitung zunächst erlaubt sein soll. In ihrem § 5 Abs. 2 S. 1 heißt es deshalb:

Die Erhebung personenbezogener Informationen ist erlaubt.

Diese grundsätzliche gesetzliche Erlaubnis wird nach dem Konzept von Härting/Schneider dann dadurch eingeschränkt, dass der Datenverarbeiter verpflichtet ist, Rücksicht auf die Persönlichkeitsrechte der Betroffenen zu nehmen. Anstelle eines Verbots mit Erlaubnisvorbehalt tritt ein Abwägungsgebot.

Lediglich dann, wenn es sich um Angaben handelt, die Aussagen über die Privat- oder Intimsphäre des Betroffenen enthalten und – allein oder in Verbindung mit anderen Angaben – ein aussagekräftiges Bild der Persönlichkeit ermöglichen, sind die Betroffenen von der Erhebung der Informationen zu unterrichten, sofern keine eigenen, überwiegenden Interessen des Dritten einer Unterrichtung entgegenstehen. Der Betroffene ist dann berechtigt, der Verarbeitung, Übermittlung und Nutzung der Informationen zu widersprechen, sofern seine schutzwürdigen Interessen der Datenverarbeitung entgegenstehen.

Diese Widerspruchslösung für Daten, die aus der Privat- oder Intimsphäre des Betroffenen stammen, ist allerdings schwerlich mit der Rechtsprechung des Bundesverfassungsgerichts zum Schutz des Persönlichkeitsrechts vereinbar. Denn Informationen, die der Intimsphäre des Betroffenen entstammen genießen danach absoluten, solche der Privatsphäre zumindest noch überwiegenden Schutz. Das bedeutet, Informationen aus der Intimsphäre des Betroffenen dürfen überhaupt nicht weitergegeben oder veröffentlicht werden, solche aus der Privatsphäre nur dann, wenn ein besonders bedeutsames Interesse der Allgemeinheit gegeben ist. Vor diesem Hintergrund genügt die bloße Möglichkeit zu widersprechen, den verfassungsrechtlichen Anforderungen nicht.

Diese Problematik wird in dem Entwurf von Härting/Schneider aber letztlich dadurch wieder abgemildert, dass § 8 Abs.1 des Entwurfs für die Verabreitung sensibler Informationen eine vorheriger Zustimmung (Einwilligung) des Betroffenen oder eine gesetzliche Gestattung verlangt. Für diese sensiblen Daten, die allerdings wie gesagt auf Informationen aus der Intimsphäre beschränkt sind, kehren Härting/Schneider dann eben doch zum Prinzip des Verbots mit Erlaubnisvorbehalt zurück.

Die Erstellung von Bewegungsprofilen und Nutzerprofilen wollen Härting/Schneider übrigens nur dann von einer Einwilligung des Betroffenen abhängig machen, wenn die Auswertung Aussagen über die Intimsphäre enthalten kann.

Der Alternativentwurf von Härting/Schneider stimmt zwar von seiner Stoßrichtung her, bietet im Detail aber Anlass zur Kritik. Nachdem der Entwurf allerdings, wie eingangs gesagt, einen datenschutzrechtlichen Paradigmenwechsel bewirken würde, ist nicht damit zu rechnen, dass sich für diesen Ansatz in der (aktuellen) politischen Diskussion eine europaweite Mehrheit finden wird.

posted by Stadler at 10:40  

10 Kommentare »

  1. Ein, zwei Dinge an dem Entwurf stören irgendwie, bzw. ist mir die Folge nicht ganz klar:

    zu §2 Abs 4d) Löschen: Warum nicht unwiderrufliches Unkenntlichmachen ?

    zu §5 Abs 3: Irgendwie hab ich da ein schlechtes Gefühl beim “rechtmäßig” erworben. Wie schaut es aus mit gutgläubigem Erwerb von nicht rechtmäßig erhobenen Daten aus, da ja gem. §366 HGB schon das Vertrauen in die Veräußerungsbefugnis ausreicht?

    In dem Zusammenhang stellt sich mir die Frage, ob §8 Abs.1 Alt 2 iVm §5 Abs.3 nicht eben schon eine gesetzliche Ermächtigung darstellt.

    Ebenso frage ich mich, warum bei einem (wirksamen) Widerspruch es keinen Anspruch auf Löschung geben soll.

    Vielleicht könnte ja jemand Licht in mein Dunkles brignen ;)

    gruß

    Comment by runatthesun — 31.08, 2012 @ 11:56

  2. Hmmm, bisher gilt Verbot mit Erlaubnisvorbehalt und dennoch halten sich nur wenige dran.

    Wenn man diese Barriere nun senkt, werden sich noch viel weniger dran halten…

    Ich weiss nicht wirklich, ob ich das gut finden soll…

    Comment by SJ — 31.08, 2012 @ 13:33

  3. Sind Sie wirklich ein Hellseher und können über die Bedeutung einer Information für die Zukunft voraussagen?

    Comment by 1234 — 31.08, 2012 @ 15:32

  4. Hm, bisher ging ich davon aus, dass das Wort “Datenschutz” nur ein “d” enthält. :-)

    Comment by Rangar — 31.08, 2012 @ 16:16

  5. Vielen Dank für die Anregungen. Kurz einige Bemerkungen:

    1. Soweit es um Grundrechte geht, ist stets zu Bedenken, dass sich im nicht-öffentlichen Bereich stets Grundrechtsträger gegenüberstehen. Der Datenverarbeiter kann sich auf Kommunikations-, Berufs- oder jedenfalls allgemeine Handlungsfreiheit stützen. Aus dem Recht auf informationelle Selbstbestimmung lassen sich daher für die private Datenverarbeitung keine abstrakten Mindestanforderungen ableiten. Abwägung ist notwendig. “Rote Linien” gibt es nicht.

    2. Der Grundrechtskonflikt ist EU-weit ein Thema. Nicht nur in Deutschland wird daher die Frage immer häufiger gestellt, ob das Verbotsprinzip haltbar ist. Siehe etwa auch Masing unlängst in der NJW und Spindler in seinem DJT-Gutachten.

    3. Fällt Ihnen zur Abgrenzung sensibler Daten etwas besseres ein als die Anknüpfung an die BGH-Rechtsprechung zur Intimsphäre? Wir sind für alle Anregungen mehr als dankbar.

    Comment by Niko Härting — 31.08, 2012 @ 20:16

  6. Wieder einmal sollen sich die Interessen der Bürger den Interessen der Wirtschaft unterordnen.
    Nach dem Motto: Alles für die Wirtschaft.

    Härting und Schneider machen sich damit zu Bütteln der Wirtschaftsinteressen. Der Wirtschaft soll es noch leichter als heute sein, straflos die Privatssphäre der Menschen mit Füssen zu treten.

    Herr Stadler, es ist völlig unverständlich, dass Sie diesen Apologeten eines schwächeren Datenschutzes überhaupt ein Forum und gar teilweise Zustimmung zubilligen.

    Niemand hat das Recht, vorsätzlich und gegen den Willen des Einzelnen, die Privatsphäre eines Menschen zu verletzten.

    Härting und Schneider wollen letztlich die heutige Praxis der massenhaften faktischen Auslöschung des Rechts auf Datenschutz und Privatsphäre legalisieren.
    Sie sollten sich schämen! Ihre Aufgabe sollte es sein, für die Interessen der Bürger zu kämpfen und sich nicht als Handlanger von pekuniären Interessen zu verdingen.
    Falls doch, sollten Sie wenigstens bei Ihren Gesetzesentwürfen dazu schreiben, dass Sie im Dienste von Unternehmen stehen, die nur darauf warten, endlich ein Datenschutzrecht nach Ihrem Vorschlag zu bekommen.

    Comment by Tessa — 31.08, 2012 @ 20:49

  7. @Niko Härting:
    Bei der Abwägung, auf die ich mich bezogen habe, stehen sich auch zumeist Grundrechtsträger gegenüber, weil sich die Verletzung des allgemeinen Persönlichkeitsrechts im Regelfall zwischen natürlichen Personen abspielt. Der Gesetzgeber ist aber unmittelbar an die Grundrechte gebunden, weshalb es problematisch, wenn er eine Regelung schafft, die weitgehende Eingriffe in die Privatsphäre ermöglichen.

    Ich halte Ihren Ansatz, einerseits am Verbotsprinzip zu rütteln und andererseits nicht alle Daten für gleichermaßen schutzwürdig zu halten, im Grundsatz für richtig. Wenn man sich an den Persönlichkeitssphären orientiert – was Sie ja ganz offensichtlich machen – wäre es vielleicht sinnvoller zu sagen, Informationen aus der Sozialsphäre dürfen grundsätzlich verarbeitet werden, während Daten aus der Intims- und Privatsphäre weiterhin dem Verbotsprinzip unterliegen sollen.

    Comment by Stadler — 31.08, 2012 @ 21:34

  8. Eine gesamteuropäische Kontrolle jedweder Datenverarbeitung im Zeichen des Verbotsprinzips birgt erhebliche Risiken für die Freiheitsrechte der Bürger. Der Staat bleibt auch dann Staat, wenn er das Mäntelchen des Datenschutzes trägt. Das ist das eigentliche Problem.

    Und es geht nicht um eine Legitimation von Grundrechtseingriffen, denn die Grundrechte gelten von Privat zu Privat nicht unmittelbar. Daher lernen wir ja auch im Studium, dass eine Verletzung von Persönlichkeitsrechten bei Paragr 823 die Rechtswidrigkeit nicht “indiziert”. Und warum soll das eigentlich anders sein, wenn Daten verwendet werden?

    Die Sozialsphäre gehört gewiss “abgeschichtet”. Ob das schon reicht? Ich bin mir da nicht sicher.

    Comment by Niko Härting — 1.09, 2012 @ 19:42

  9. Eine kleine Ergänzung:

    So neu, wie hier dargestellt, ist die Differenzierung zwischen personenbezogenenen Daten und sozusagen qualifizierten besonders sensiblen Daten nicht.

    § 3 Abs. 9 BDSG enthält eine Regelung über besondere Arten von personenbezogenen Daten, unter die auch gewisse intime Informationen zu subsumieren sind.

    Ansonsten ist es natürlich gut, dass sich jemand Gedanken über datenschutzrechtliche Reformen macht.

    Comment by Hallogallo — 3.09, 2012 @ 09:58

  10. Ich fand die Diskussion gestern Abend im BMI, wo Härting auch mitdiskutirt hat, katastrophal. Man hat sich weltfremd in dem Erlaubnisvorbehalt verbissen. Am schlimmsten waren die, die in einem globalen Medium auch noch lokale Traditionspflege vorschlug, d.h. man wolle nicht mal EU-weit harmonisieren. Ich halte das von kontraproduktiv und weltfremd. Wen ich an die Genfer Konventionen oder die WTO oder die IPO denke, habe ich für globale Probleme globale Lösungen.

    Wir sind bei der Durchsetzung der WTO-Regelungen z.B. so brutal, dass wir beim Beitritt der Phillipinen gefordert haben, dass der Maismarkt von denen geöffnet wird. Die Eigenproduktion ging wegen des dann erfolgten Imports von US-Mais um 1/3 zurück und jetzt, wo die US-Bauern zu faul waren zu bewässern, weil die Ernte ja kostenlos vom Staat versichert wird, hungern die Phillipinos und die FDP weint Krokodilstränen, wenn bei uns Mais zur Verbrennung auf Flächen angebaut wird, die mit Prämie von der EU vorher stillgelegt worden waren.

    Beim Datenschutz aber fordern die grünen Fundis (der eine bei Google, der andere bei Facebook) dass das nationale Recht für ein globales Problem Vorfahrt wegen der Traditionspflege zu haben habe.

    Dagegen hob sich das BMI-Papier für die Presse angenehm ab. Und auch der Vorschlag von Härting.

    Den was machen wird denn, wenn wir uns mit viel Hass und Antiamerikanismus an Google und Facebook abarbeiten (Marktmachtmissbrauch durch die Datenschützer ohne Rückhalt in Regierung oder Parlament?) und dann die Schufa mit dem HPA in Tongo eine Identität errichten, wo personenbezogene Daten, die öffentlich im Internet einsehbar sind, zu personenbezogenen Profilen verdichten und die Ergebnisse verkaufen? Da ist die EU-Beschränkung absurd, da ist der Erlaubnisvorbehalt absurd. Wir schaffen Recht, dass nicht duchsetzbar und nicht umsetzbar ist. Wir schaukeln uns befriedigt die Eier und dem Datenschutz ist mitnichten gedient. So wie wenn Weichert in allen Medien redet, und die eigentliche Arbeit unbezahlte Jusstudenten aus Österreich in Irland machen müssen.

    Ich denke daher auch, dass wir vom Erhebungsverbot weg müssen und uns die Nutzung ansehen müssen (Wie Google das auch sagt). @elawprof hat ja auch unterstützt, dass die bisherigen Vorschläge aus der Exekutive (DSBs) wenig zukunftsgewandt sind und wir erst mal breiten Diskurs brauchen, statt enger Tradition mit Orientierung am Nationalstaat in den 1980er Jahren ohne Internet.

    Zum Beispiel fände ich es in Orndung, wenn Google maschinell Profile erstellt, die nur dem Zweck dienen bezahlte Werbung an der “richtigen” Stelle eingeblendet wird, ohne dass a) Mitarbeiter ausserhalb der Maschine die Profile nutzen dürfen und b) die Profile oder aggregierte Daten verkaufen dürfen. Wir könne uns dann überlegen, ob iwr zur Durchsetzung der Nichtnutzung das dann im Strafrecht verankern statt im zahnlosen Datenschutzrecht.

    Irritierend aber finde ich den alleinigen Ruf nach strengeren Strafen wie von der EU-Kommission oder der konservativen Digitalen Gesellschaft, ohne Straftatsbestände zu verrichten, die wir mit wohlelaborierten Strafverfolgungsmaßnahmen (global) verfolgen könne, statt nur national zu reden und nichts zu tun.

    Andererseits kann es im harten Kern der zwangsweise abgegeben personenbezogen Daten wie beim Bundestrojaner nicht sein, dass Datenschutzbeaufragte die Täter schützen und geheim halten, als wenn es sich um eine CDU-Dissertation an einer Düsseldorfer Universität handelt, wo im öffentlichen Bereich der Promotionen der Geheimschutz gerade eingezogen wird. Hier werden wir mehr Transparenz von Datenschützern erwarten müssen und uns fragen müssen, ob wir das Informationsfreiheitsgesetz nicht auch auf Datenschützer hinreichend ausdehnen, dass hier keine weitere Verdunkelung passieren kann.

    Ich glaube aber wie Heckmann, dass wir noch eine breite öffentliche Debatte brauchen, um unseren Datenschutz den globalen Realitäten anzupassen. Haben wir im Kriegsrecht und im Handelsrecht aber auch geschafft.

    Comment by Wolfgang Ksoll — 18.10, 2012 @ 12:24

RSS-Feed für Kommentare zu diesem Beitrag.

Hinterlasse einen Kommentar