Die Datenschutzgrundverordnung und die Bürgerrechte
In der Diskussion um die geplante Datenschutzgrundverordnung wird von Bürgerrechtsgruppen regelmäßig darauf hingewiesen, dass Industrielobbyisten versuchen würden, den Kommissionsentwurf zu verwässern. Grundsätzliche Kritik an der geplanten Datenschutzreform hört man aus der bürgerrechtlichen Ecke demgegenüber kaum. Es wird ganz im Gegenteil der Eindruck erweckt, als sei das vorgestellte Konzept im Sinne der Bürgerrechte zwingend notwendig und sogar noch zu verschärfen. Slogans wie „Unsere Grundrechte auf Privatsphäre und Datenschutz sind in Gefahr!„ schüren Ängste und lenken von der eigentlich notwendigen Diskussion ab.
Es werden insoweit von Bürgerrechtsorganisationen durchaus auch bedenkliche Forderungen aufgestellt, was ich anhand eines konkreten Beispiels einmal näher erläutern möchte. Der Verein Digitale Gesellschaft e.V. hat einen 10-Punkte-Katalog zur Datenschutzgrundverordnung aufgestellt, in dem u.a. folgende Forderung enthalten ist:
Einer der sechs Kriterien für eine rechtmäßige Verarbeitung von Daten ist das sogenannte „berechtigte Interesse“ der Unternehmen. (…) Der Bericht des Europäischen Parlaments lässt viel zu viele Ausnahmen zu. Der Begriff des „berechtigten Interesses“ wird dadurch zu einer Art Trojaner, der eine exzessive Verarbeitung unserer Daten ermöglicht. (…)
Wir fordern daher, dass das „berechtigte Interesse“ als Kriterium für eine rechtmäßige Datenverarbeitung komplett gestrichen wird.
Um zu verstehen, was das bedeutet, muss man etwas weiter ausholen und sich mit der Grundstruktur des Datenschutzrechts auseinandersetzen.
Das Datenschutzrecht ist vom sog. Verbotsprinzip geprägt, das unter einem Erlaubnisvorbehalt steht. Dieses Konzept wird von der Datenschutzgrundverordnung, trotz erheblicher Kritik, beibehalten. Es besagt, dass zunächst jede Erhebung und Verarbeitung personenbezogener Daten verboten ist, solange nicht der Betroffene ausdrücklich in die Datenverarbeitung einwilligt oder ein Gesetz die Datenverarbeitung zulässt.
Der Entwurf der Datenschutzgrundverordnung macht insoweit in seinem Art. 6 zur Rechtmäßigkeit einer Datenverarbeitung folgende Vorgaben:
Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere genau festgelegte Zwecke gegeben.
b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich oder zur Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen.
c) Die Verarbeitung ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt.
d) Die Verarbeitung ist nötig, um lebenswichtige Interessen der betroffenen Person zu schützen.
e) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung hoheitlicher Gewalt erfolgt und die dem für die Verarbeitung Verantwortlichen übertragen wurde.
f) Die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Dieser gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
Was die Digitale Gesellschaft also fordert, ist die komplette Streichung von Art. 6 Abs. 1 Nr. f. Das wird zu unlösbaren praktischen Problemen führen und würde zu Ende gedacht sogar ein Verbot sämtlicher Internetkommunikation bedeuten.
Die Internetkommunikation ist bekanntlich IP-basiert, d.h. es werden laufend IP-Adressen übermittelt und ganz regelmäßig auch gespeichert. IP-Adressen sind aber nach der derzeitigen Einschätzung aller deutschen Datenschutzaufsichtsbehörden stets als personenbezogene Daten anzusehen. Ob das nach der Verordnung auch so sein soll, ist nach der Entwurfsfassung nicht gänzlich klar. Die Änderungsvorschläge des Berichterstatters im EU-Parlament Jan Philipp Albrecht sehen im Änderungsantrag 15 deshalb vor, klarzustellen, dass auch IP-Adressen und Cookies als personenbezogen im Sinne der Verordnung betrachtet werden müssen, es sei denn, es handelt sich um IP-Adressen von Unternehmen. Diese Differenzierung ist schon deshalb problematisch, weil man der IP-Adresse ja nicht ansieht, ob sie von einem Unternehmen oder einer natürlichen Person verwendet wird, weshalb man als sog. verantwortliche Stelle im Zweifel immer alle IP-Adressen als personenbezogen betrachten muss.
Die Übermittlung und Speicherung von IP-Adressen und Cookies wäre damit nach dem geltenden Verbotsprinzip zunächst generell verboten. Das bedeutet eigentlich, dass damit in einem ersten Schritt die gesamte Internetkommunikation datenschutzwidrig ist. Diese Datenverarbreitung kann nun natürlich aber zulässig sein, wenn ein gesetzlicher Erlaubnistatbestand vorliegt. Weil eine Einwilligung ausscheidet und auch ein Vertragsverhältnis im Regelfall nicht gegeben ist, bleibt als einziger Erlaubnistatbestand nach der Datenschutzgrundverordnung die Vorschrift des Art. 6 Abs. 1 Nr. f, nämlich die Wahrung eines berechtigten Interesses. Und genau diese Regelung möchte die Digitale Gesellschaft streichen, mit der Begründung, es handle sich um eine Art Trojaner, der eine exzessive Verarbeitung unserer Daten ermöglicht. Das Dumme ist jetzt nur, dass dieser Trojaner die Internetkommunkation datenschutzrechtlich überhaupt erst erlaubt.
Gerade schwer nachvollziehbare Folgen dieser Art sind der Grund dafür, dass einige ernsthafte Stimmen eine grundlegende Reform des Datenschutzrechts fordern und eine Abkehr vom Verbotsprinzip.
Was in der bürgerrechtlichen Diskussion ebenfalls viel zu kurz kommt, ist das Spannungsverhältnis zwischen Datenschutz einerseits und Kommunikationsgrundrechten (Meinungs- und Informationsfreiheit) andererseits. Das Verbot personenbezogene Daten zu veröffentlichen, schränkt nämlich grundsätzlich auch die Meinungs- und Pressefreiheit ein, denn jedwede Information zu einer bestimmten Person ist gleichzeitig auch immer ein personenbezogenes Datum.
Man geht daher schon seit langem davon aus, dass es ein Berichterstattungsprivileg geben muss, das die Vorgaben des Datenschutzrechts einschränkt. Ein solches hat der BGH beispielsweise in der Spick-Mich-Entscheidung angenommen und ausgeführt, dass die Meinungsfreiheit und das berechtigte Informationsinteresse das Recht auf informationelle Selbstbestimmung des Betroffenen überwiegen können.
Dieses Medien- oder Berichterstattungsprivileg ist bislang praktisch nicht kodifiziert. Es wäre deshalb naheliegend – zumal wir immer von einer Informationsgesellschaft reden – dass sich der europäische Gesetzgeber dieses zentralen Punkts annimmt, um eine möglichst klare und europaweit einheitliche Regelung zu schaffen.
Um es deutlich zu sagen: Ein strenges Datenschutzregime beinhaltet immer auch eine Einschränkung der Kommunikationsfreiheiten. Es besteht also ein latentes Spannungsverhältnis zwischen dem Recht auf informationelle Selbstbestimmung – als Grundlage des Datenschutzes – und der Meinungs- und Informationsfreiheit. Es ist also aus bürgerrechtlicher Sicht etwas kurzsichtig, sich nur auf einen grundrechtlichen Aspekt zu konzentrieren, ohne die Wechselwirkungen zu beachten.
Leider sind wir von einer differenzierten Diskussion noch meilenwert entfernt. Auf der einen Seiten haben wir Unternehmenslobbyisten, die Datenschutz in der Tendenz primär als Hemmnis sehen, während wir auf der Gegenseite vermeintliche Bürgerrechtler stehen haben, die z.T. bedenkliche und nicht durchdachte Positionen einnehmen.
Wir haben es mit einer Diskussion zu tun, in der es um das Spannungsverhältnis verschiedener Grundrechte geht. Demzufolge ist eine ausdifferenzierte Abwägung erforderlich. Das setzt allerdings die Erkenntnis voraus, dass sowohl die Position der Hardcore-Datenschützer wie auch die der Industrielobbyisten in ihrer Absolutheit falsch ist. Wir leben aber leider in einer Gesellschaft die Kampagnen bevorzugt, die von klaren Schwarz-Weiß-Schemata geprägt sind. Und das spürt man auch bei dieser Diskussion mehr als deutlich.
Zur inhaltlichen Kritik an den Reformplänen der EU hier noch ein Überblick über Blogbeiträge zum Thema:
Hebelt die geplante EU-Datenschutzverordnung deutsche Grundrechte aus?
Der Entwurf einer EU-Datenschutzverordnung in der Kritik
Weitere Kritik an der geplanten EU-Datenschutzverordnung
Alternativentwurf einer EU-Datenschutzverordnung
Wie sinnvoll und wie demokratisch ist die geplante EU-Datenschutzgrundverordnung?
„Die Internetkommunikation ist bekanntlich IP-basiert, d.h. es werden laufend IP-Adressen übermittelt und ganz regelmäßig auch gespeichert.“
Wozu eine Speicherung von IP-Adressen zur Kommunikation über Internet notwendig ist erschließt sich mir nicht. Und die Beantwortung einer Anfrage an die anfragende IP-Adresse sehe ich nicht als Verarbeitung bzw Übermittlung im Sinne der Datenschutzverordnung.
Comment by Name — 21.02, 2013 @ 20:38
@Name: Nach der Datenschutzverordnung ist nicht mal klar, ob eine IP-Adresse personenbezogen ist oder nicht.
Sollte der Gesetzgeber/Richter (je nach Fall) entscheiden, dass dem so ist, dann ist schon alleine das Routing eines jeden Pakets eine Übermittlung, und die Beantwortung eine Verarbeitung. Die Techniken hinter Routing und Bridging könnten auch als Verarbeitung der Zieladresse aufgefasst werden, und beim Bridging noch der Quelladresse.
Übrigens wird beim Bridging definitiv auch gespeichert. Zur Implementierung des TCP ist es auch nötig, die IP-Adresse des Kommunikationspartners wenigstens temporär zu speichern. Und Serverbetreiber haben ein berechtigtes Interesse nach Schutz vor Angriffen (oder wenigstens Aufklärung, wenn einmal etwas passiert), weswegen die meisten Web-Server Zugriffe loggen – inklusive Quell-IP-Adresse. Die meisten Clients hingegen werden die IP-Adressen der Server, mit denen sie kommunizieren, cachen, was auch bloß eine Speicherung ist.
Comment by nullplan — 22.02, 2013 @ 09:52
IP-Adressen sind schon lange nicht mehr als gerichts- und beweismittelfeste Fakten zugelassen.
Sie können gefälscht sein ohne jede Probleme. Jeder Script-Laie bekommt das hin.
Die IP-Nummer besagt nichts.
Comment by CCC — 22.02, 2013 @ 12:38
Die Probleme, die auftreten kommen in meinen Augen aber auch vom technischen Unverständnis des Staates (Kurzzeitig im RAM gespeicherte IPs sind was anderes als in der Datenbank gespeicherte Adressdaten) und könnten durchaus durch Anpassungen gelöst werden, ohne das Verbotsprinzip zu ändern.
Das Problem, dass die Digitale Gesellschaft vor Augen hat ist sicherlich ein anderes, als hier mit der IP-Kommunikation aufgezeigt wird. Bei TCP/IP kann das berechtigte Interesse die Übertragung von IP- und MAC-Adressen und anderer Daten sein, aber ist das Sammeln von IP-Adresse, Rechnerkennung etc auch ein berechtigtes Interesse von z.B. Werbenetzwerken? Dies ist glaube ich eher der Anwendungsbereich, den die Digitale Gesellschaft bei ihrer Forderung im Auge hat. Der Wildwuchs an Werbe- und Trackingnetzwerken im Internet ist beängstigend und wirft aus meiner Sicht datenschutzrechlich auch so einige Fragen auf. Gebe ich wirklich mit dem Aufruf einer Seite mein Einverständnis, dass mein Surfverhalten von einer dritten Firma gespeichert und ausgewertet wird für alle Seiten, auf denen diese auch Werbung / Tracking anbietet (was im Falls von z.B. Google Analytic mittlerweile fast alle grösseren Seiten sind)? Kann ich das überhaupt, immerhin habe ich ja nicht einmal die Möglichkeit, meinen Widerspruch auszudrücken.
In meinen Augen ist diese nahezu Totalüberwachung genauso geeignet, die freie Meinungsäusserung zu bedrohen oder zu behindern wie ein strenges Datenschutzrecht. Es werden sicherlich bei beiden Optionen (Verbotsprinzip oder das Gegenteil) Ausnahmen definiert werden müssen, um bestimmte Probleme zu lösen. Grundsätzlich bin ich aber der Meinung, dass wir mit einer Umkehrung des Verbotsprinzips die Kontrolle über unsere personenbezogenen Daten zu verlieren drohen, schon alleine weil der Grossteil der Bürger aus Bequemlichkeit oder Unwissenheit die „default“-Regelung nutzen wird.
Comment by Jens — 22.02, 2013 @ 12:42
TOR oder Rewebber sind die Antwort.
Die Schützer, die Besten.
Comment by CCC — 22.02, 2013 @ 12:57
Ps.
Ich sehe jede Aktion online, sei es hier in den Blogs oder von der Bullerei, die gerne diese Blogs anzapfen, um Leute abzugreifen. Herr Stadler ist denen anscheinend zu kulant bezüglich der Kritik an der Bullenbranche.
Pustekuchen. Nope, Baby!
@Bullen, schon was von Meiungsfreiheit gehört?
Bitte unterlasst es. Denn wir sehen alles. Es nervt nicht, es ist eher belustigend.
Comment by CCC — 22.02, 2013 @ 13:12
Dass eine IP nichts besagt (wie in 3. gepostet), sieht man schon daran, dass viele Spamfilter die IP auf ihre Richtigkeit prüfen. Für Spammer und Hacker sind IPs fast beliebig verwendbar und fälschbar.
Aber Datenschützer und Abmahnrichter halten daran fest wie am goldenen Kalb.
Kurzum:
Würde man den Datenschutz ernst nehmen, hätte man keine Waffengleichheit mehr gegenüber den Spammern und Hackern. Man wäre ihnen schutzlos ausgeliefert.
Die Internetwelt in Deutschland dreht sich nur trotz den Deutschen Gesetzen, eben weil sie ignoriert werden wo es nur geht.
Dummerweise haben wir viele Leute als Entscheider, die recht ahnungslos sind und viele, die dabei ihr eigenes Süppchen kochen.
Auf einem Auge totalblind und taub: Facebook, Google, Cloud http://www.heise.de/newsticker/meldung/Studie-US-Cloud-Ueberwachung-steht-EU-Datenschutzreform-im-Weg-1807677.html , usw.
Auf der anderen Seite über-übereifrig: IP
Comment by Frank — 22.02, 2013 @ 16:01
Der Herr Stadler hat ja völlig recht, dass gerade wir deutschen die IP-Adressen als personenbezogene Daten immer wieder rechtlich gefestigt haben. Denn jedes Gerät hat einen Halter ohne den es keinen Anschluss zum Internet findet. Über die Störerhaftung haben Richter in zigtausend Fällen verzichtet, Täter zu ermitteln, sondern den Halter in die Pflicht zu nehmen.
Von daher ist es völlig richtig, drauf hinzuweisen, dass jedes noch so kleine IP-Paket personenbezogene Daten transportiert. Und Stadler hat an diesem Beispiel gut aufgezeigt, wie irrsinnig es von der EU-Datenschutzverordnung ist, von jedem Router, den ich auf dem Weg zu meinem Ziel mit traceroute (oder tracert für Windows-Halter), eine Einwilligung von mir zu verlangen, wenn er mein IP-Paket transportieren soll. Wenn ich Halter des sichtbaren Anschlusses bin.
Mir zeigt das auch, das in weiten Bereichen des Verordnungsentwurfes schlampig gearbeitet wurde. Unternehmen sollen ausgenommen sein. Wenn also der DSL-Router einer Vier-Personen-Firma (z.B. Anwaltskanzlei) gehört, soll nicht von personenbezogenen Daten ausgegangen werden, wohl aber wenn es eine Vier-Personen-Familie ist. Der Rechtsanwalt hat also in der Kanzlei ein anderes Datenschutzrecht als zu Hause, auch wenn beide auf europäischem Boden sind. Macht er aber Urlaub in der Türkei, gönnt die EU ihm allerdings keinen Datenschutz. Lustig bunte Facebook-Festspiele in Brüssel und Straßburg. Ohne jeden Sinn und Verstand.
Zu der haftungsrechtlichen Frage der Störerhaftung und der personenbezogenen Anschlusshalterdatenverarbeitung und der nicht Personenbeziehbarkeit der Halteradresse auf Täter lohnt es sich auch einen Blick auf die real existierenden technischen Begebenheiten zu werfen: ich sehe genauso im Internet aus wie mein Sohn. Haften tue aber nur ich und nur ich ist in der sichtbaren IP-Adresse personenbezogen:
http://wk-blog.wolfgang-ksoll.de/2011/11/30/sind-ip-adressen-personenbezogen/
Comment by Wolfgang Ksoll — 22.02, 2013 @ 16:44
Nur wegen neuer Probleme durch neue Kommunikationssysteme die Umkehr des Datenschutzprinzipes umzukehren ist genauso viel zu kurz gedacht.
Comment by Sven — 23.02, 2013 @ 05:11
umzukehren -> zu fordern
Comment by Sven — 23.02, 2013 @ 05:13
Lieber Herr Stadler,
die Logik finden Sie im Grundrecht: Konsens des Betroffenen oder rechtmässige Grundlage.
Wie das so in Gesetzgebungsverfahren geht wurde in der Vergangenheit aus der „legitimate base“ das „legitimate interest“. Klingt ja so ähnlich. Darum gibt die Formulierung gleich mehrmals in der 95er. Das ist ja noch ok, mein legitimes Interesse. Aber das „legitime Interesse“ von Dritten, ohne meine Einwilligung? Das ist eine sehr gefährliche Klausel.
Die Schwarz-Weiß Kampagne ist ganz richtig:
Normal: Die Kommission hat was vorgelegt, es gibt verschiedene Interessen, die Fraktionen beraten darüber, heraus kommt ein gescheiter Kompromiss. Da kann man dann auch gerne den Diplomaten spielen.
Hier: Anti-Datenschutz-Tsunami. Unglaublich aggressives Lobbying von amerikanischen Internetkonzernen und ihren tausend Hüten in Brüssel, außerdem Einwirkung von Drittstaaten in den Gesetzgebungsprouzess, von dem Sie in Deutschland nur wenig mitkriegen. Dabei werden nicht nur die Anpassungen sondern auch bestehende Rechtsnormen grundlegend in Frage gestellt. Kein Wunder, das kennt der Kollege in der K-Street nämlich nicht.
Die Bürgerrechtsverbände schwimmen hier mutig gegen den Strom. Natürlich ist niemand so verrückt, seine eigenen Pläne zur Schwächung der Kommissionsposition zu unterbreiten.
Die Position der Digitalen Gesellschaft bezieht sich nicht auf den Artikel 6, sondern auf das, was an Kompromissen gerade diskutiert wird. Und zwar ein riesiges Scheunentor für „legitimate Interests“ von Dritten. Sie zeichnen sozusagen ein Bild der Kommissions- und Berichterstatterpläne, das saftige Grün der Oase vor dem Eintreffen der großen Heuschreckenplage.
Und lassen Sie doch die IP-Adressen Kirche im Dorf, warum die FUD-Fantasien von Admins anregen? Um die Konsequenz geht es gar nicht. Gegen die massenhafte Verwendung von IP-Addressen zur Ausspähung von Personen braucht der Staat freie Hand.
Comment by Rebentisch — 24.02, 2013 @ 19:10
„Das wird zu unlösbaren praktischen Problemen führen und würde zu Ende gedacht sogar ein Verbot sämtlicher Internetkommunikation bedeuten“ – das trägt nun auch nicht gerade zu einer ausdifferenzierten Betrachtung bei.
Natürlich könnte die Verordnung die technisch unverzichtbare, rein temporäre TCP-IP-Abarbeitung explizit ausklammern – aber da hat wohl niemand geahnt, dass irgendjemand ernsthaft „ein Verbot sämtlicher Internetkommunikation“ ableiten würde.
Wenn es gegen das Haarspalten hilft, dann gerne auch expliziter das benennen, was hier intendiert ist: Die Verabeitung i.S.v. persistenter Speicherung in einer Datenbank.
Was Cookies anbelangt, so hat die WP29 schon vor über einem Jahr sehr ausdifferenziert Stellung bezogen: Nämlich dass Login-Session-Cookies und Warenkorb-Cookies keines Opt-Ins (“informed consent”) bedürfen (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp188_en.pdf).
Art. 6 Abs. 1 Nr. f ist dagegen derart butterweich, dass man ihn durchaus als „Trojaner“ bezeichnen kann – weil damit die Opt-In-Absicht der Verordnung unterlaufen werden könnte.
Comment by boximon — 24.02, 2013 @ 19:30
Lieber Thomas, warum machst du hier den Härting? Das Thema ist viel zu ernst. Natürlich kann jeder Router eine IP Adresse verarbeiten, um zu routen oder Seiten auszuliefern, die ich anfrage – aber wenn der ISP oder Servervetreiber die hinterher speichern oder weiterverwenden will, brauch er eine gesetzliche Grundlage, nur darum geht es. Das Riesenloch, das das „berechtigte Interesse“ in unser Recht auf informationelle Selbstbestimmung gerissen hat zu Gunsten der ganzen Tracking-Datenkraken, ignorierst du leider komplett. Leider gehst du auch nicht darauf ein, dass der Albrecht-Bericht hier versucht, einen sinnvollen Katalog vorzuschlagen. Auch die Balance mit der unstruttig
Comment by Ralf Bensrath — 25.02, 2013 @ 02:32
(upps, verklickt, und auch den Namen erst vertippt)
… unstrittig wichtigen Meinungsfreiheit versucht der Albrecht-Bericht klarzustellen.
Es wäre hilfreich, wenn 13 Monate nach Vorlage des Kommissionsvorschlags mal der aktuelle Diskussionsstand zur Kenntnis genommen wùrde. Gerade weil dich Viele aus unserer Community lesen und dir vertrauen.
Ein SCNR zum Schluss: mspro et al sind da nicht die allerbesten Quellen. ;-)
Comment by Ralf Bendrath — 25.02, 2013 @ 02:39
PS: Warum im Verhältnis zwischen Privaten die Einwilligung oder ein Vertrag und eben nicht ein obskures „berechtigtes Interesse“ des Datenverarbeiters regelmäßig die Grundlage für eine Verarbeitung personenbezogener Daten sein muss, hat Dieter Grimm auf der BMI-Konferenz zu #EUdataP im Oktober nochmal beeindruckend dargelegt.
Comment by Ralf Bendrath — 25.02, 2013 @ 02:55
@Ralf Bendrath:
Warum ich das Grundkonzept des Verbots mit Erlaubnisvorbehalt nicht mehr für praxistauglich halte, erkläre ich jetzt hier nicht noch einmal. Wenn Du es nachlesen willst, dann schau Dir einfach meine zahlreichen Blogposts zum Thema Datenschutz an.
Mir geht es einzig und allein darum, für ein Datenschutzrecht einzutreten, das auch tatsächlich funktionieren kann und den Anforderungen einer Informationsgesellschaft gerecht wird. Eure ideologische Auseinandersetzung interessiert mich nicht.
Mit den Erlaubnistatbeständen Einwilligung und Vertrag bekommst Du die Internetkommunikation nicht geregelt. Es sind weiterreichende Gesatttungstatbestände erforderlich. Und hier ist die Frage eben, wie man die konkret ausgestaltet. An dieser Stelle zu sagen, wir brauchen sowas wie ein berechtigtes Interesse nicht, ist da wenig hilfreich. Natürlich muss man Fallgruppen regeln, in denen ein berechtigtes Interesse eine Datenverarbeitung ermöglicht.
Darf ich Deinen Ausführungen entnehmen, dass Du Serverlogs – die bei jedem Massenhoster übrigens per Default gefertigt werden – generell für unnötig bzw. unzulässig hältst?
Ich orientiere mich nicht an mspro. Als Jurist, der mit dem Thema laufend befasst ist, kann ich mir meine eigene Meinung bilden. Wir brauchen in der Diskussion mehr Pragmatismus und weniger Ideologie.
Du und andere glauben immer noch, dass man Datenschutzrecht mit dem auf Rechenzentren und Großrechner ausgelegten Regelungskonzept der 70’er und 80’er Jahre machen kann. Das wird dem Praxistest aber nicht standhalten.
Es besteht leider die große Gefahr, dass die notwendige Modernisierung, wenn sie jetzt nicht kommt, nochmal 15 – 20 Jahre auf sich warten lässt. Wir werden dann weiterhin mit haarsträubenden Verbiegungen agieren müssen, um zu kaschieren, dass das Datenschutzrecht nicht mal mehr im Ansatz funktioniert.
Wer ein Datenschutzrecht will wie in den 80’er Jahren, der will keine Internetkommunikation, jedenfalls nicht in ihrer jetzigen Form.
Ich habe den Bericht von Jan Albrecht und seine ganzen Änderungsvorschläge mittlerweile gelesen. Es sind einige sinnvolle und einige weniger sinnvolle Vorschläge enthalten. Insgesamt betrachtet, ist das gegenüber dem Kommissionsvorschlag kein wirklicher Fortschritt.
Es ist ja nicht so, dass ich nicht einen Teil Eurer Vorschläge und Forderungen unterstützen würde, aber das Gesamtkonzept stimmt nicht.
Comment by Stadler — 25.02, 2013 @ 10:17
wie schon bei carta gepostet:
Lieber Thomas,
– die Abschaffung des „Verbotes mit Erlaubnisvorbehaltes“: ich kann es nicht mehr hören! –
Ich nehme Deinen Beitrag zum Anlass darauf hinzuweisen, wie entkoppelt die juristische Debatte im Datenschutzrecht von derVerwaltungsrechtsdogmatik ist. Du befindest Dich in bester Gesellschaft wie die Literatur zeigt (und ich habe zugegebenermaßen selber früher in Vorlesungen vom „Verbot mit Erlaubnisvorbehalt“gesprochen). Eine Lehrbuchrecherche für Verwaltungsrecht zeigt aber – wie auch im Internet dankenswerter Weise in diesem Beitrag von Gusy belegt ist – dass die Begrifflichkeit nichts mit ihrem ursprünglichen Sinn zu tun hat.
Die Verwaltungsrechtslehre unterscheidet grundsätzlich zwei Formen von Verboten:
– das präventive Verbot mit Erlaubnisvorbehalt und
– das repressive Verbot mit Befreiungsvorbehalt.
Beide zeichnen sich dadurch aus, dass es für die angestrebte Handlung einer Genehmigung durch die Verwaltung bedarf. Ein Mechanismus, der dem Datenschutzrecht mit ganz wenigen Ausnahmen fremd ist.
Vielmehr stellen die von Dir im Artikel erwähnten Regeln ein Beispiel für den juristischen Mechanismus von Regel-Ausnahmeverhältnissen dar. Solch eine Herangehensweise versucht die Bereiche von gesetzlich Erlaubtem und Verbotenem dadurch abzugrenzen, dass Ausnahmen vom Verbotenen (oder umgekehrt) beschrieben werden. Ein weit verbreiteter Mechnismus, wie wir ihn auch beispielsweise im Urheberrecht vorfinden, ohne dass jemand dort auf die Idee käme dort von einem „Verbot mit Erlaubnisvorbehalt“ zu sprechen. Man kann dies für das Datenschutzrecht sprachlich einfach umdrehen ohne auch nur irgendwas am Regelungsinhalt zu ändern:
„Die Verarbeitung personenbezogener Daten ist erlaubt. Ausnahmsweise ist die Verarbeitung nicht erlaubt, wenn kein berechtigtes Interesse oder keiner der im folgenden (enumartiv aufzulistenden – etwa: keine andere Rechtsgrundlage, Einwilligung etc. -) Fälle vorliegt.“
Diese Herangehensweise wäre aber in keiner Weise ein Gewinn. Sie ist im Gegenteil eher nachteilig, da der Verwender personenbogener Daten (die DV-Stelle, der Auftragsdatenverarbeiter) bei der jetzigen Formulierung gewarnt ist, dass er aufpassen muss, sobald er personenbezogene Daten verarbeitet. Schließlich arbeitet er mit Daten, die spezifische Aussagen über bestimmte Personen ermöglichen und damit die Interessen des Betroffenen in vielerlei Hinsicht beeinträchtigen können.
Die Forderung nach Abschaffung des „Verbotsvorbehalts“ ist also Element einer Scheindebatte, bei der zu befürchten ist, dass sie entweder von fehlender juristischer Sachkenntnis oder von nicht offen
deklarierten politischen Interessen getragen ist, weil es eben nicht nur um eine Änderung der Systematik sondern auch um eine inhaltliche Veränderung geht.(*)
Immer wieder wird vorgetragen, dass es sich um ein Verbot handelt, das sich nur durch Gesetz oder Einwilligung fallweise aufheben lässt; dies ist aber faktisch nicht mehr gegeben, da der (in soweit dogmatisch richtig) gesetzliche Auffangtatbestand des berechtigten Interesses mittlerweile den Regelfall darstellt. Eine vorwärtsgerichtete Diskussion sollte also diesen viel zu weit gefassten Auffangstatbestand wieder auf das reduzieren, was ein Auffangtatbestand leisten soll: in seltenen Ausnahmefällen eine Möglichkeit zu schaffen zu gerechten Lösungen zu finden. In der derzeitigen, breiten Ausprägung ist er uferlos und dient nicht der Rechtsklarheit. Wir sollten die bestehnden Fallgruppen diskutieren und entsprechend gesetzlich normieren.
Mach doch mal einen Vorschlag für eine Formulierung, die etwa von die angesprochenen IP-Adressen, Cookies und auch das Spannungsverhältnis zur Meinungsfreiheit präziser fasst. Vielleicht kommen wir dann tatsächlich ganz ohne diesen problematischen Auffangtatbestand aus. Das wäre jedenfalls etwas, was die Debatte als sachlichen Beiträgen im Augenblick brauchen könnte, anstatt engagierte Menschen, die sich zum Thema Gedanken machen, ohne dafür von großen Firmen für ihre gewogene Meinungsbildung bezahlt werden, als „vermeintliche Bürgerrechtler“ zu beschimpfen.
Gruß
Jan
(*) Gute Vorschläge für solche Veränderungen habe ich noch nicht vorgefunden. Der Beitrag von Schneider/Härting in diesem Bereich entbehrt jedenfalls jeder vernünftigen Grundlage, sofern Du dich auf diesen beziehst, als Du etwas von „ernsthaften Stimmen“ schriebst. Die dort geäußerte Ausgangsüberlegung, dass es eine Alltagskommunikation gebe, die nicht schutzbedürftig sei, ist schlicht fehlgeleitet, denn grade sie verdient erheblichen Schutz, da wirst Du mir vermutlich zustimmen. Jenseits dieser Alltagskommunikation enthält der Vorschlag nichts als alten Wein in neuen Schläuchen. (Abgesehen davon kann ich Härting spätestens seit seinem peinlichen Vortrag auf der Veranstaltung des DAV am 27.10.2010, nicht mehr wirklich ernst nehmen.)
Comment by Jan S. — 25.02, 2013 @ 12:19
Lieber Jan,
wenn Du auf das verwaltungsrechtliche Konstrukt des Verbots mit Erlaubnisvorbehalt abstellst, sind Deine Ausführungen sicherlich zutreffend. Aber an diesem Punkt geht es doch erst mal nur um terminologische Fragen.
Was ich meine, ist in Deutschland in § 4 Abs. 1 BDSG verankert.
„Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.“
Man kann das Verbotsprinzip nennen. An der Begrifflichkeit hänge ich aber nicht.
Ich vermute, dass wir in der Sache gar keinen erheblichen Dissens haben. Denn Du gehst ja ebenfalls davon aus, dass ein Erlaubnistatbestand erforderlich ist, der auf ein berechtigtes Interesse abstellt, weil die Einwilligung und der Vertrag als Gestattungen nicht ausreichend sind.
Es geht also letztlich um die Frage, welche legitimen Verarbeitungsinteressen gibt es und wie normiert man das sinnvollerweise.
In dieser Situation kann man aber nicht hergehen und sagen, man müsste das Kriterium berechtigtes Interesse rundweg streichen.
Comment by Stadler — 25.02, 2013 @ 18:07