Internet-Law

Onlinerecht und Bürgerrechte 2.0

6.6.13

Was bringt das Datenschutzranking von Lobbyplag?

Richard Gutjahr berichtet heute in seinem Blog über ein Datenschutzranking der Initiative Lobbyplag. Dort wird dargestellt, welche Abgeordneten und Parteien Änderungsanträge zur geplanten Datenschutzgrundverordnung eingebracht haben, die den Datenschutz entweder stärken oder schwächen.

Nach Lektüre des Beitrags ist man allerdings nicht viel schlauer als vorher. Denn wie dieses Ranking zustande gekommen ist, erschließt sich dem oberflächlichen Betrachter nicht, auch wenn Lobbyplag die Vorgehensweise und Kriterien etwas ausführlicher beschreibt. Zentral ist in einem ersten Schritt nämlich immer die Frage, ob man den einzelnen Änderungsantrag als datenschutzfreundlich oder datenschutzfeindlich qualifiziert. Hierzu haben die Macher von Lobbyplag mehr als 3.000 Änderungsanträge jeweils mit einem Plus oder einem Minus versehen oder auch als neutral bewertet.

Bereits bei einem kurzen beliebigen Blick auf einige Einzelbewertungen erkennt man Diskussionsbedarf. Ich möchte hierzu ein beliebiges Beispiel  herausgreifen, um zu zeigen, wie fragwürdig einzelne Bewertungen durch Lobbyplag sein können. Das Beispiel betrifft folgenden Änderungsvorschlag des Abgeordneten Axel Voss:

#413 – Recital 25
(25) Consent should be given explicitlyunambiguously by any appropriate method enabling a freely given specific and informed indication of the data subject’s wishes, either by a statement or by a clear affirmative action by the data subject, ensuring that individuals are aware that they give their consent to the processing of personal data, including by ticking a box when visiting an Internet website or by any other statement or conduct which clearly indicates in this context the data subject’s acceptance of the proposed processing of their personal data. Silence or inactivity should therefore not constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. If the data subject’s consent is to be given following an electronic request, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided. The information provided in order for children to express the consent should be given in a clear and age-appropriate language, in a way that it would be easy to understand for a child above the age of 13.

Als schwächende Veränderung wurde hier gewertet, dass bei der datenschutzrechtlichen Einwilligung der Begriff “explicitly” durch “unambiguously” ersetzt werden soll. Man kann das allerdings auch als sinnvolle Klarstellung bewerten. Denn der aktuelle Entwurfstext ist widersprüchlich. Er spricht einerseits davon, dass die Einwilligung ausdrücklich (explicitly) erteilt werden soll, um dann auszuführen, dass auch eine eindeutige Handlung (clear affirmative action)  – also konkludentes Verhalten – ausreichend sein soll. Es erscheint mir sinnvoll, diesen Widerspruch aufzulösen, um spätere gegensätzliche Auslegungen zu vermeiden. Die weitere Einfügung des Abgeordneten Voss, wonach die Einwilligungserklärung gegenüber Kindern (über 13 Jahren) in einer klaren und altersgerechten Sprache abgefasst sein muss, ist meines Erachtens als datenschutzfreundliche Ergänzung zu qualifizieren.

Ich würde hier also die erste Änderung als neutral, aber sinnvoll und die zweite als datenschutzstärkend einstufen. Das ergibt dann, anders als bei Lobbyplag, in der Tendenz eine datenschutzfreundliche Wertung. Wenn mir solche Fälle schon bei einer ersten beliebigen Draufsicht auffallen, muss ich unterstellen, dass sich zahlreiche fragwürdige Bewertungen finden lassen. Die Zeit, mehr als 3.000 Einzelbewertungen zu überprüfen, habe ich allerdings nicht. Solche Ungereimtheiten bleiben dem normale Nutzer, der sich nicht in die Einzelheiten vertieft, aber zwangsläufig verborgen.

Jenseits der Einzelbewertungen bestehen aber ganz grundlegende methodische Bedenken gegen das Vorgehen von Lobbyplag. Das Datenschutzranking ist von einem Tunnelblick geprägt und blendet die komplexen Wechselwirkungen zu anderen Rechtspositionen und legitimen Interessen gänzlich aus.

Das Recht auf Schutz personenbezogener Daten bzw. das Grundrecht auf informationelle Selbstbestimmung steht, wie jedes Grundrecht, im ständigen Spannungsverhältnis zu anderen Rechten und Grundwerten. Es kann also durchaus sein, dass eine Änderung, die man isoliert als Schwächung des Datenschutzes bewerten kann, gleichzeitig das Recht auf Meinungs- oder Informationsfreiheit stärkt, um nur eines der bekannten Spannungsfelder zu nennen. Und natürlich müssen und dürfen auch legitime wirtschaftliche Interessen berücksichtigt werden. Dass vordergründig datenschutzfreundliche Änderungsvorschläge zu Lasten der Kommunikationsfreiheiten gehen können, habe ich bereits früher erläutert. Carlo Piltz hat einen anderen vermeintlich datenschutzfreundlichen Aspekt der Datenschutzgrundverordnung, das geplante Recht auf Datenübertragbarkeit, kritisch beleuchtet und hinterfragt. Ob man also etwas als datenschutzfreundlich bewertet oder nicht, besagt noch nichts darüber, ob eine Regelung in einem größeren Kontext als ausgewogen und vor allen Dingen – woran es im ganzen Datenschutzrecht erheblich krankt – praxistauglich zu bewerten ist. Die Einteilung in gut oder böse bzw. hier in datenschutzfreundlich und datenschutzfeindlich lässt die komplexe Wechselwirkung mit anderen Rechtspositionen völlig außer Betracht. Genau das müsste aber analysiert und bewertet werden. Dieses Ranking nimmt keinerlei Interessenabwägung vor und das ist wohl auch nicht sein Anliegen. Sein Ansatz ist vielmehr monokausal.

Gerade deshalb ist es aber aus rechtswissenschaftlicher Sicht nicht wirklich brauchbar und hilfreich. Der methodische Ansatz den Lobbyplag gewählt hat, ist nicht geeignet, den notwendigen komplexen Abwägungsprozess abzubilden.

posted by Stadler at 20:57  

10 Kommentare »

  1. Hallo Thomas.

    Mich wundert Deine Kritik etwas. Wie Du Dich sicher noch erinnern kannst, hatte ich Dich im März kontaktiert, Dich in unsere Pläne eingeweiht und Dich um Deinen Rat gebeten. Leider hast Du Dich danach nicht mehr bei mir gemeldet.

    Ich könnte Deinen Worten viel entgegen halten, möchte mich aber auf einen wesentlichen Punkt beschränken. Wir haben unsere Bewertungsmethode wie ich finde nicht nur “etwas ausführlicher” sondern sogar sehr ausführlich dargelegt:

    http://lobbyplag.eu/map/methods

    Dass es bei dem einen oder anderen Punkt Diskussionsbedarf geben wird, war uns von Anfang an klar (2 Anwälte – 3 Meinungen:-) Genau dafür haben wir ja neben jeden Textabschnitt extra einen “Report”-Button eingebaut. Darüber hinaus werden wir zu jedem einzelnen Punkt einen Thread eröffnen, um die Diskussion offen zu dokumentieren.

    Um einen solchen Diskussions-Prozess aber überhaupt erstmal in Gang zu bringen, muss man in Vorleistung gehen. Wir hätten uns gewünscht, dass Du uns bei dieser Arbeit mit Deinem Sachverstand oder Deinen Kontakten bereits im Vorfeld unterstützt hättest.

    Sich stattdessen hinterher dann aber hinzusetzen und darüber zu bloggen, was wir alles hätten besser machen können, das wiederum halte ich für wenig hilfreich.

    Vielleicht können wir da ja noch mal persönlich besprechen, meine Nummer hast Du ja. Schöne Grüße, Richard

    Comment by Richard Gutjahr — 6.06, 2013 @ 22:19

  2. *plonk*

    Was sagt Ihnen die Begrifflichkeit “Minderjährig” ?

    Comment by blablablub — 6.06, 2013 @ 22:31

  3. @Richard Gutjahr: Wer sich mit Wertungen aus dem Fenster hängt, darf nicht nur Zuspruch erwarten. Und niemand muss sich einer (zumal durchaus berechtigten) Kritik enthalten, bloß weil er sich zuvor nicht einbinden lassen wollte.

    Comment by Thorsten Feldmann — 6.06, 2013 @ 22:33

  4. Ich darf kurz aus der juristischen Kiste nachwerfen, dass diese Änderung klar zu einem schwächeren Datenschutz führt. Mit der angeführten Argumentation ist kein Blumentopf zu gewinnen.

    Es gibt unzählige Arbeiten zum Thema und es ist wohl ganz überwiegende Meinung, dass die Formulierung des “explicit consent” in dieser Form stärker ist als ein “unambiguous consent”.

    Natürlich sind in den Bewertungen auch hier und da Fehler (anders geht das bei 3.100 AMs vermutlich nicht) aber das Beispiel ist einfach an den Haaren herbeigezogen.

    Ich würde mich aber freuen, wenn Sie uns benachrichtigen falls Sie echte Fehler finden!

    Mit besten Grüßen aus Wien,
    (Mag. iur.) Max Schrems

    Comment by Max Schrems — 6.06, 2013 @ 23:16

  5. Ich bin ja weder mit Thomas, noch mit Thorsten immer einer Meinung – aber hier kann ich beiden, wie auch Carlo Piltz, nur uneingeschränkt zustimmen!

    So gelungen ich das Tool “LobbyPlag” finde, so sehr ärgert mich doch inzwischen die weithin komplett fehlende oder meist absolut undifferenzierte Auseinandersetzung mit den Inhalten des Verordnungsentwurfs der Kommission. Das schaue ich mir seit Monaten schon kopfschüttelnd bei Heise, Netzpolitik.org & Co. an und jetzt soll es mit dieser Art von “Bewertungen” erneut befördert werden.

    Ausgeblendet wird dabei leider völlig, dass die Kommission selbst der größte “Lobbyist” für bestimme Interessen ist und nicht etwa eine neutrale Instanz! Frau Redding und ihre Leute versuchen zudem von Beginn an, einen in weiten Teilen wirklich schon handwerklich misslungenen Text der Öffentlichkeit als großen Wurf zu verkaufen und jede noch so berechtigte Kritik daran als “Verwässerung” oder “Verschlechterung” zu brandmarken. Bei vielen scheint diese populistische Strategie auch zu verfangen, weil damit populistische Vorurteile bedient werden und die Materie um die es geht, sehr komplex ist – vielen offensichtlich viel zu schwierig, um sich damit ernsthafter beschäftigen zu wollen oder zu können.

    Nur: Die Vorlage der EU taugt überhaupt nicht als Maßstab – schon gar nicht, wenn man sich einen wirksamen Datenschutz auf hohem Niveau für ganz Europa wünscht!

    Ich jedenfalls kenne keinen (!) Experten außerhalb von EU-Kommission und Parlamenten, der den Kommissionsentwurf auch nur ansatzweise für gelungen halten würde. Alle, mit denen ich seit Monaten spreche – egal ob Verbraucherschützer, Gewerkschafter, behördliche Datenschützer, Anwälte oder Industrievertreter, und völlig egal ob Deutsche oder nicht – finden den Kommissionstext “wenig gelungen”. Darunter auch die “Gründerväter” des heutigen Datenschutzes, die zumindest unverdächtig sein sollten “Feinde des Datenschutzes” zu sein.

    Das, und nicht etwa nur “Lobbyinteressen” (die daneben natürlich auch bestehen), sind aber die Ursache einer Vielzahl von Kritik und Änderungsanträgen, was in der Folge auch zur Verschiebung der weiteren Beratungen führen muss. Denn Rat und Parlament konnte bislang nicht gelingen, das nachzuholen, was die Kommission zuvor versäumt hat: Einen konsistenten Entwurf vorzulegen, der wenigstens nicht hinter den heutigen Stand der Debatte um wirksamere Regeln für den Datenschutz zurückfällt. Gerade, wenn man an einem durchsetzungsstarken Datenschutz auf hohem Niveau in ganz Europa interessiert ist, kann man inzwischen wirklich nur noch auf ein Ende des bisherigen Verfahrens und einen möglichst raschen Neustart der Debatte hoffen. Und so leid es mir für die vergeblichen Mühen von Jan Philipp Albrecht und seinem Team persönlich täte: Besser die bisherige EU-Datenschutz-Richtlinie gilt noch eine Weile weiter, als dass man einen “Verordnungsmurks” aus rein wahltaktischem Kalkül einer konservativen Kommissarin und mit Rücksicht auf die politischen Ambitionen eines jungen grünen Berichterstatters als Selbstzweck “durchpeitscht”. Denn, mit der Verordnung würden von heute auf morgen alle bestehenden (nationalen) Regelungen zum Datenschutz aufgehoben! Sprich: Mängel und Unzulänglichkeiten der Verordnung schlagen sofort durch lassen sich danach nicht mehr schnell heilen.

    Das Interesse der irischen Ratspräsidentschaft beispielsweise war es m.E. daher, mit einer schnellen Verabschiedung symbolisch etwas verbessert zu haben, an der unzureichenden Kontrolle von Facebook im eigenen Land aber in Wirklichkeit möglichst nichts ändern zu müssen, um den Firmenstandort nicht zu gefährden. Denn eines gerade fehlt dem Entwurf bislang völlig, was er aber gerade zu erreichen behauptet: Mechanismen effektiverer grenzüberschreitender Kontrolle- und Rechtsdurchsetzung. Dafür ergeht man sich in symbolischen Verbotsphantasien wie einem “Recht auf Vergessen”.

    Der Sache des Datenschutzes in Europa hilft man jedenfalls mit einer simplifizierenden Diskussion über die komplexen rechtlichen Themen, die hier im Raum stehen, wirklich nicht weiter. Vor allem, wenn das dazu auch noch so unpolitisch geschieht, wie jetzt wieder: Es ist in Wahrheit weniger wichtig, wer Quelle einer Formulierung ist, als was ein Änderungsvorschlag rechtlich bewirken soll. Darüber sollte endlich vernünftig diskutiert werden! Das aber geht nicht in diesem einfachen Schwarz-Weiß-Schema, wie es jetzt erneut von LobbyPlag simuliert wird. Dazu ist das Thema einfach viel zu vielschichtig.

    Daher verstehe ich Thomas sehr gut, wenn er sich daran auch nicht beteiligen wollte. Ich werde es jedenfalls auch nicht.

    Comment by Jan Mönikes — 7.06, 2013 @ 00:22

  6. @Max Schrems: Nein, das stimmt nicht. Und es gibt auch keine “unzähligen Arbeiten” zu diesem Thema. Selbst wenn es populär ist und ich Facebook ebenfalls nicht besonders mag… http://www.delegedata.de/2013/05/eudatap-p-wie-populismus/

    Comment by Jan Mönikes — 7.06, 2013 @ 00:31

  7. @Max Schrems:
    Das sehe ich in dem konkreten Einzelfall schlicht anders und habe das im Blogbeitrag erläutert. Speziell mit dem Thema Einwilligung und Datenschutzgrundverordnung habe ich mich kürzlich etwas vertiefter befasst, zur Vorbereitung eines Vortrags zu diesem Thema. Zu dem Widerspruch, den ich angeführt habe, sagst Du ja nichts. Unambiguous consent mag man als schwächer ansehen, als explicit consent. Das Grundproblem ergibt sich aber bereits aus der Ausgangsfassung der Kommission. Es ist nicht stimmig einerseits eine ausdrückliche Zustimmung zu verlangen, um dann anschließend eine konkludente Handlung genügen zu lassen. Dann muss man den gesamten Erwägungsgrund und die dazugehörige Vorschrift komplett anders formulieren und klarstellen, dass nur ausdrückliche (verbale) Erklärungen ausreichend sind und jede Form eines tatsächlichen Verhaltens, so eindeutig es auch erscheinen mag, nicht genügt.

    Zu dem zweiten Aspekt bzgl. der Formulierung gegenüber Kindern sagst Du leider nichts. Und der ist eindeutig datenschutzfreundlicher als der Kommissionsentwurf.

    Wenn ihr selbst bei so eindeutigen Fällen keinen Bedarf seht, eure Bewertung zu ändern, dann hat es auch wenig Sinn, euch Fehler zu melden.

    Comment by Stadler — 7.06, 2013 @ 09:46

  8. Hallo Richard,

    ich habe schlicht keine Zeit, mich intensiv an so einem umfangreichen Projekt zu beteiligen. Ich kann auch keine 3100 Änderungsanträge inhaltlich sichten. Das ist ein Zeitaufwand von mehreren hundert Stunden.

    Ich habe jetzt nur einfach ein Beispiel herausgegriffen und ein Thema gewählt, mit dem ich mich kürzlich intensiver beschäftigt habe. Damit sollte nur illustriert werden, dass die Bewertungen im Einzelfall durchaus diskutabel sind. Aber auch hier musste ich ja dann sehen, dass meine Kritik von Max Schrems nur als an den Haaren herbei gezogen abgekanzelt wurde. Wenn es aber nur darum geht, ideologische Positionen durch scheinbare Fakten zu untermauern, bin ich für so was eh nicht zu haben.

    Meine grundsätzliche Kritik bezieht sich aber auf eure Methode. Ich habe versucht zu erläutern, dass man einen komplexen Abwägungsprozess nicht dadruch abbilden kann, dass man einzelne Änderungsanträge nur nach einem einzigen Kriterium (Datenschutzfreundlichkeit) bewertet.

    Es wäre also schön, wenn Du Dich inhaltlich zu meiner Kritik äußern würdest.

    Liebe Grüße
    Thomas

    Comment by Stadler — 7.06, 2013 @ 09:58

  9. Das schöne an LobbyPlag ist, dass bei uns alles transparent abläuft und unsere Software unter freien Lizenzen benutzbar ist:

    https://github.com/lobbyplag

    Wer also eine andere Methodik anwenden möchte, ist gerne eingeladen, das mit unseren Tools zu machen. Ich wünsche viel Erfolg.

    Comment by yetzt — 7.06, 2013 @ 10:15

  10. Hallo Thomas, ich bin Journalist, kein Jurist, deshalb bin ich auf die Zusammenarbeit mit Juristen wie Dir angewiesen. Niemand hat von Dir verlangt, Dich hunderte Stunden mit uns hinzusetzen. Ein paar Minuten Zeit, uns bei der Vermittlung von Experten zu helfen. Denkanstöße zu liefern, wie Du das jetzt hier öffentlich tust. Dass Du keine Lust oder Zeit dazu hattest, das zu tun, kann ich noch irgendwie nachvollziehen. Dann aber die Zeit dafür zu haben, uns im Nachhinein zu belehren, was wir alles hätten besser machen können – sorry, für mich ist das vor allem eine Stilfrage. Gerade WEIL wir ja über die letzten Monate immer wieder in Kontakt standen. Schönes Wochenende, Richard

    Comment by Richard Gutjahr — 7.06, 2013 @ 11:15

RSS-Feed für Kommentare zu diesem Beitrag.

Hinterlasse einen Kommentar