Wie sinnvoll und wie demokratisch ist die geplante EU-Datenschutzgrundverordnung?
Anhand einer beispielhaften Darstellung werde ich nachfolgend versuchen, einige fundamentale Defizite der geplanten EU-Datenschutzverordnung darzustellen, die bislang in der öffentlichen Diskussion wenig Beachtung gefunden haben, wobei mein Fokus hierbei auf dem Internet liegt.
In Deutschland gibt es seit Jahren eine kontroverse Diskussion darüber, ob IP-Adressen stets als personenbezogene Daten im datenschutzrechtlichen Sinne zu betrachten sind oder nur dann, wenn die speichernde Stelle den Personenbezug herstellen kann. Diese Streitfrage, die ich bereits früher ausfürlich dargestellt habe, ist für die Internetkommunikation von entscheidender Bedeutung. Wenn man IP-Adressen per se als personenbezogen betrachtet, dann dürfen diese Daten nach dem geltenden Prinzip eines Verbots mit Erlaubnisvorbehalt grundsätzlich nämlich gar nicht gespeichert werden, es sei denn, eine gesetzliche Vorschrift erlaubt die Speicherung ausdrücklich.
Man muss sich also die Frage stellen, ob die geplante EU-Datenschutzgrundverordnung diese Streitfrage rechtssicher auflöst. Ein Blick in den Text und die Erwägungsgründe zeigt, dass dies nicht der Fall ist, sondern die Rechtsunsicherheit vermutlich sogar noch verschärft wird.
Art. 4 Abs. 2 der DatenschutzgrundVO definiert als personenbezogene Daten „alle Informationen, die sich auf eine betroffene Person beziehen„. Das ist m.E. bereits deshalb schlecht, weil damit letztlich der Personenbezug über den Personenbezug definiert wird und es sich somit eher um eine Tautologie als um eine Legaldefinition handelt. Der Ansatz erscheint aber derart weit, dass man angesichts des Wortlauts wohl darauf schließen müsste, dass sich die Verordnung für den absoluten Personenbezug entschieden hat.
In Widerspruch hierzu steht dann allerdings Erwägungsgrund 24 der Verordnung, der lautet:
Bei der Inanspruchnahme von Online-Diensten werden dem Nutzer unter Umständen Online-Kennungen wie IP-Adressen oder Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, zugeordnet. Dies kann Spuren hinterlassen, die zusammen mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der betroffenen Personen zu erstellen und sie zu identifizieren. Hieraus folgt, dass Kennnummern, Standortdaten, Online-Kennungen oder sonstige Elemente als solche nicht zwangsläufig und unter allen Umständen als personenbezogene Daten zu betrachten sind.
Danach sollen also IP-Adressen und auch Cookies nicht stets personenbezogene Daten darstellen. Darüber, unter welchen Voraussetzungen Personenbezug zu bejahen ist, schweigt sich die Verordnung insgesamt freilich aus. Neben der Fundamentalkritik an der geplanten Datenschutzgrundverodnung, sind es derartige handwerkliche und regelungstechnische Ungenauigkeiten, die diese Verordnung so gefährlich machen und die Befürchtung nähren, dass die Rechtsunsicherheit über Jahre hinweg sogar noch erhöht werden wird.
Man muss sich in diesem Zusammenhang auch vor Augen führen, dass sowohl das BDSG als auch die datenschutzrechtlichen Vorschriften des TMG komplett wegfallen müssen, wenn die Verordnung als unmittelbar geltendes Recht in Kraft tritt.
Da die Verordnung andererseits das Konzept des Verbots mit Erlaubnisvorbehalt fortsetzt, bedeutet dies auch weiterhin, dass eine Datenverarbeitung zunächst verboten ist, soweit sie nicht von der Verordnung ausdrücklich erlaubt wird. Es stellt sich also die Frage, ob die Verordnung hinreichende Erlaubnistatbestände enthält. Denn das Problem besteht natürlich darin, dass gerade die Internetkommunikation einen fortwährender Prozess der Verarbeitung personenbezogener Daten darstellt, zumal wenn man – was die deutschen Aufsichtsbehörden seit Jahren tun – den Begriff des Personenbezugs extensiv auslegt.
Folge des Wegfalls der TMG-Vorschriften ist es in jedem Fall, dass auch die Unterscheidung zwischen Bestands-, Nutzungs- und
Inhaltsdaten nicht mehr stattfindet, ebensowenig wie die Unterscheidung zwischen der Datenverarbeitung zu eigenen bzw. fremden Zwecken.
Da die Verordnung nicht in ausreichendem Maße Erlaubnistatbestände enthält – was auch der Kommission sehr wohl bewusst ist – kommt ein weiterer zentraler Aspekt hinzu. Die Kommission wird durch die Verordnung nämlich ermächtigt, sog. delegierte Rechtsakte zu erlassen, die insbesondere derartige Erlaubnistatbestände näher ausgestalten (Art. 5 Abs. 5, Art. 86). Das ist unter demokratischen Gesichtspunkten schlicht eine Katastrophe, denn damit wird eine wesentliche und grundrechtsintensive Gesetzgebungsbefugnis auf eine Institution verlagert, die über keinerlei demokratische Legitimation verfügt. Die Kommission hat sich damit quasi selbst für den Bereich des Datenschutzrechts eine weitreichende Rechtssetzungsbefugnis eingeräumt, die keine paralamentarische Basis hat. Die Datenschutzgrundverordnung verfestigt damit das auf EU-Ebene ohnehin bestehende erhebliche Demokratiedefizit.
Diese Datenschutzgrundverordnung ist somit gerade aus demokratischer und bügerrechtlicher Sicht untragbar. Dass sich speziell bei Bürgerrechtlern bislang wenig Widerstand regt, sondern vielmehr eher Zustimmung vorzuherrschen scheint, wird sich vermutlich noch als folgenschwere Fehleinschätzung erweisen.
Die EU ist aus demokratischer Sicht untragbar.
Comment by Frank — 24.10, 2012 @ 13:03
Vielen Dank für Deine Ausführungen. Wäre Deiner Einschätzung nach eine Richtlinie besser geeignet als eine Verordnung und warum? Steht die Verordnung denn dann nicht im Gegensatz zur EU Richtlinie der Vorratsdatenspeicherung?
Comment by David Pfahler — 24.10, 2012 @ 13:06
Ich glaube, die Diskussion um die EU-Datenschutzverordnung ist ein Sturm im Wasserglas. Sie schafft für die Bürger keinen Zugewinn an Sicherheit. Schwere Datenschutzverletzungen wie bei Bundestrojaner, Fluggastendatenabkommen, SWIFT-Abkommen, Funkzellenabfrage zur Rasterfahndung werden kalt lächelnd hingenommen, während sich unsere grünen Fundis bedeutungslose Medienspektakel um Google, Facebook, ICANN oder neuerdings Bürgerrechte (ohne Mandat in Szene setzen, ohne wirksam zu sein. Von daher müsste man zunächst den bisherigen Datenschutz evaluieren (national, europäisch und global), ob er denn überhaupt wirkt. Was schwer zu bezweifeln ist, wenn wir zu Handlungen auf unsere Datenschützer verzichten müssen und unbezahlte österreichische Jus-Studenten nach Irland schicken müssen.
Die Frage nach der EU-Legitimation ist eher sekundär. Wie ja richtig betont wurde, haben wir primär neu ein Internet-Problem. Das ist weder national noch europäisch. Kriegsführung (Genfer Konventionen) und Welthandel (WTO) regulieren wir auch nicht national oder regional. Globale Probleme muss man global regeln.
Die Detailfrage mit dem Personenbezug von IP-Adresse ist so spannend wie der Personenbezug von KfZ-Zeichen. Natürlich habe ich beim KfZ einen Personenbezug zum Halter, wie beim Internet zum Anschlussinhaber. Die Frage ist doch dann, was das Schutzziel des Datenschutzes ist: will ich den Anschlusshalter schützen oder den Akteur. Ist der Halter eine Kapitalgesellschaft oder eine Anstalt öffentlichen Rechtes, hat die kein Recht auf den Schutz von Daten die auf die juristische Person bezogen sind.
Viel schlimme aber finde ich folgende Konstellation: Die Schufa und das Hasso-Plattner-Institut gehen nach Schanghai oder Rio de Janeiro und erheben und verarbeiten in einer dort ansässigen legal Entity nach dortigen Recht personenbezogene Daten von EU-Bürger, die frei im Netz verfügbar sind und verdichten sie zu Ergänzungen zum Scoring. Die Erhebung und Verarbeitung fällt dann weder unter BDSG noch unter EU-DSVO.
Google hat darauf hingewiesen, dass man besser auf die Nutzung abheben solle. Ich hätte z.B. kein Problem damit, wenn zur Allozierung von Werbung meine personenbezogenen Daten bei Google oder Faceboook verarbeitet werden, ohne dass ein Mensch die Erhebung und Verarbeitung einsehen kann, dass das maschinenintern bleibt. Während Verkauf von Profilen in StGB Einkehr findet mit harten Strafen.
Härtung und das BMI haben da auch darauf hingewiesen letzte Woche beim BMI, dass die engen nationalen Regelungen aus den 1970er Jahren, wie sie von Schaar, Weichert und Albrecht propagiert werden, zu eng sind für globale und thematische Nutzung.
Deswegen vermute ich auch, dass die EU-DSVO gar nicht erst zu Stande kommt (wie der Hickhack um die VDS), sondern wir Zeit haben, erst den aktuellen Datenschutz zu evaluieren, bevor wir ohne empirische Evidenz uns in nicht umsetzbaren Details verlieren und das globale Problem ausser acht lassen.
Wenn wir eine Idee haben, wie wir das Problem global lösen könne, können wir uns überlegen, wen wir damit demokratisch mandatieren.
Comment by Wolfgang Ksoll — 24.10, 2012 @ 13:45
Immer unzufrieden, diese Datenschützer. Dabei wurde doch gerade erst seitens der japanischen und amerikanischen Wirtschaft erklärt, dass das, was da angedacht ist, viel zu scharf sei: http://heise.de/-1735894
(Dieser Beitrag kann Spuren von Ironie und/oder Sarkasmus enthalten.)
Comment by Drizzt — 24.10, 2012 @ 14:52
@Drizzt
Die Japaner und Amis haben doch Recht: macht doch keinen Sinn, dass die Europäer sich in der regionalen oder gar nationalen Trutzburg ein igeln. Machen wir doch in anderen Rechtsgebieten (Krieg (Genfer Konventionen), Wirtschaft (WTO)) auch nicht bei globalen Fragen.
Gerade das Beispiel Cloud zeigt doch sehr schön, dass der Datenschutz als Vorwand für Hemmnisse missbraucht wird. Ich habe noch den Otto von der FDP im Ohr, der sagt, internationalen Clouds kann man nicht trauen und erst mal 25 Mio € für Propaganda („Trusted Cloud“) zum Fenster hinauswirft, um den Markt fünf Jahre abzuriegeln, bis deutsch Nachzügler vielleicht auch verstanden haben, worum es bei dem Thema geht.
Denk Dir bei der Cloud für eine Sekunde die nationalen Grenzen weg: die Daten fließen dann immer noch von München nach Facebook, von Hamburg nach Google, und Du rufst immer noch im Callcenter in Bangalore an. Überall aber brauchst Du Datenschutz. Und Du willst den Datenschutz in Japan, USA, Indien durch die EU regeln lassen oder durch die Fundis in D in der Exekutive? Die, die bei Bundestrojaner, Fluggastendatenabkommen, SWIFT-Abkommen, Funkzellenabfrage zur Rasterfahndung versagen? Lächerlich. Da braucht es echten Datenschutz, global. Nicht Proklamationseifer.
Comment by Wolfgang Ksoll — 24.10, 2012 @ 15:50
Bei der Diskussion zum Thema Personenbezug bei IP-Adressen vermisse ich persönlich die Unterscheidung zwischen statischen- und dynamischen IP-Adressen, sowie den Fokus auf IPv6-Adressen (RFC 2460) vs. IPv4-Adressen (z.B. RFC 791).
Gruß, Baxter
Comment by Baxtet — 24.10, 2012 @ 16:22
@Baxtet
Der Unterschied zwischen statischer und dynamischer IP-Adresse ist nicht so gravierend wie der Unterschied zwischen Anschlusshalter und -nutzer. Wie beim KfZ.
Schlimm ist das weltfremde Dogma des EU-Gerichtshofes, dass IP-Adressen immer personenbezogen seien, was für Organisationen als Anschlusshalter völliger Unsinn ist, da juristische Personen keinen Datenschutz für ihre „personenbezogenen“ Daten genießen.
Deswegen, weil der EUGH auch blühenden Unsinn in seinen Dogmen verzapfen darf, ohne dass man daran glauben muss, hat der EUGH auch keine Unfehlbarkeit wie der Papst bei seinen Dogmen.
Details zu dem europäischen Blödsinn auch hier:
http://wk-blog.wolfgang-ksoll.de/2011/11/30/sind-ip-adressen-personenbezogen/
Comment by Wolfgang Ksoll — 24.10, 2012 @ 17:09
Zu empfehlen: Anons und keine Kekse.
Ist die Gemeinde lernfähig? Ich hoffe es.
Comment by Tim — 24.10, 2012 @ 19:00
Umgekehrt und die inhaltlichen Unzulänglichkeiten des Beitrages außer Acht gelassen, ließe sich fragen: Wie sinnvoll und wie demokratisch ist der Aufruf zum Widerstand [sic!] gegen ein Gesetzesvorhaben, das noch nicht fertig ist, sondern gerade durch die Hände von Rat und Parlament geht. Eher sollten die Leute da draußen doch konstruktiv mitarbeiten, damit die Verordnung am Ende bürger_innenfreundlich(er) wird.
Comment by rgr — 24.10, 2012 @ 21:01
Naja, soweit ich mich erinnere, ist die Rechtslage z.B. beim Informationsfreiheitsgesetz (Bund) sogar *anders* herum: Juristische Personen (konkret: Betriebsgeheimnisse – nur wenn der Betroffene einwilligt, § 6 IFG) werden besser vor der Informationsfreiheit geschützt als natürliche Personen (eventuelle Belange von Datenschutz bzw. Persönlichkeitsrechten – Abwägung der Behörde; ausdrückliche Einwilligung nur bei „besondere Arten personenbezogener Daten“ erforderlich, § 5 IFG). Auch „geistiges Eigentum“ ist wichtiger als der Schutz personenbezogener Daten (ebenso § 6 IFG, immer Zustimmungsvorbehalt).
Wie das so durchkam, obwohl meines Wissens grundrechtsdogmatisch das Eigentumsrecht eher leichter einschränkbar ist, ist mir ein Rätsel.
Comment by Hannah — 25.10, 2012 @ 00:37
Es kommt gelegentlich in Blogs die Befürchtung auf, dass die EU-Datenschutzgrundverordnung so gestaltet werden soll/gestaltet ist, dass nach Inkrafttreten derselben eine TK-Vorratsdatenspeicherung von den Mitgliedsstaaten nicht mehr als verfassungswidrig befunden werden kann. Was ist denn da dran?
Comment by Ein Mensch — 25.10, 2012 @ 12:16
1
Comment by 1 — 29.12, 2012 @ 01:37