Internet-Law

Onlinerecht und Bürgerrechte 2.0

30.1.15

Arbeitet Deutschland in der EU gegen den Datenschutz?

Die Bürgerrechtsorganisation digitalcourage hat in ihrem Blog einen Beitrag von Max Schrems veröffentlicht, einem wegen seiner Klage gegen Facebook bekannten österreichischen Datenschutzaktivisten. Schrems behauptet in seinem Beitrag, Deutschland würde in der EU gegen den Datenschutz arbeiten und führt zur Begründung acht Beispiele für datenschutzunfreundliche Änderungen des Entwurfs einer Datenschutzgrundverordnung an, die auf „die Beamten des deutschen Innenministeriums“ zurückgehen sollen.

Jetzt könnte man Schrems schon ganz allgemein entgegenhalten, dass die EU das (vermeintlich) hohe Datenschutzniveau der geplanten Grundverordnung primär aus Deutschland importiert hat und unterschiedliche politische Akteure deutscher Herkunft auch für zahlreiche datenschutzfreundliche Klauseln im Entwurf verantwortlich sind. Eine kurze Überprüfung der acht von Schrems genannten Punkte ergibt außerdem, dass diese keineswegs alle aus dem BMI kommen. Dennoch möchte ich auch einen inhaltlichen Blick auf einige der aufgeworfenen Aspekte richten.

Schrems behauptet u.a. folgendes:

Die bisher vorgesehene explizite“ Zustimmung („Opt-In“) wurde durch eine Definition ersetzt, bei der auch eventuell sogar nur durch die „Nutzung einer Webseite“ oder durch eine, vielleicht sogar nur versteckt angebrachte, Klausel eine Nutzerin oder Nutzer „zustimmen“ kann.

Als schwächende Veränderung wurde von Schrems dabei gewertet, dass bei der datenschutzrechtlichen Einwilligung der Begriff “explicit” durch “unambiguous” consent ersetzt worden ist (Art. 6 Nr. 1a). Nur bei bestimmten Daten wird noch „explicit consent“ verlangt (Art. 9). Diesen Änderungsvorschlag, der seit 2013 existiert und m.W. nicht vom BMI stammt, kann man allerdings auch als sinnvolle Klarstellung bewerten. Denn der vorhergehende Entwurfstext war in diesem Punkt widersprüchlich. Er sprach einerseits davon, dass die Einwilligung ausdrücklich (explicitly) erteilt werden soll, um dann auszuführen, dass auch eine eindeutige Handlung (clear affirmative action)  – also konkludentes Verhalten – ausreichend sein soll. Es war jedenfalls notwendig, diesen Widerspruch aufzulösen, um spätere gegensätzliche Auslegungen zu vermeiden. Eine Erklärung durch konkludentes Verhalten ermöglicht aber auch keine Einwilligung durch versteckt angebrachte Klauseln wie Schrems behauptet. Das belegt auch die Notwendigkeit einer  „clear affirmative action“ in Erwägungsgrund 25. In diesem Kontext hätte man wohl auch noch erwähnen müssen, dass die deutsche Delegation im Rat der EU kürzlich Vorschläge zur Ergänzung der Anforderungen an die Einwilligung gemacht hat, die schwerlich als Schwächung der datenschutzrechtlichen Einwilligung angesehen werden können.

Dass der Grundsatz der Datenminimierung (Datensparsamkeit) gestrichen wurde, ist insofern richtig, als nunmehr in Art. 5 c nur noch davon die Rede ist, dass die Speicherung nicht exzessiv sein darf, während es vorher hieß, dass sie auf ein Mindestmaß zu beschränken ist. Ob damit allerdings eine substantielle Veränderung verbunden ist, darf man bezweifeln. Die Datensparsamkeit wird außerdem nunmehr – übrigens auf Vorschlag Deutschlands – zusätzlich in Art. 23 Nr. 1 erwähnt.

Die Behauptung, der Grundsatz der Zweckbindung sei mit einer großen Ausnahme versehen worden, wird von Schrems nicht näher erläutert und erscheint mir auch nicht nachvollziehbar.

Schrems weist außerdem darauf hin, dass die bisher vorgeschriebenen Datenschutzbeauftragten freiwillig werden sollen. Gemeint sind damit die betrieblichen Datenschutzbeauftragten nach Art. 35 der Grundverordnung. Der bisherige Entwurf sah vor, dass Unternehmen, die 250 oder mehr Mitarbeiter beschäftigen, einen betrieblichen Datenschutzbeauftragten benötigen. Diese Regelung wurde in der aktuellen Entwurfsfassung wieder gestrichen, mit der Folge, dass es den Mitgliedsstaaten obliegt, diese Frage national zu regeln. Das würde für Deutschland bedeuten, dass die ohnehin deutlich strengere Regelung des BDSG beibehalten werden kann. Danach ist ein betrieblicher Datenschutzbeautragter zu bestellen, wenn mehr als 9 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dieser Änderungsvorschlag in der Grundverordnung geht übrigens nicht auf eine Initiative des BMI zurück. Aus den Fußnoten wird vielmehr deutlich, dass Deutschland eine einheitliche Regelung im Rahmen der Verordnung bevorzugt hätte.

Es gibt übrigens durchaus Anhaltspunkte dafür, dass das BMI punktuell auf eine wirtschaftsfreundliche Abschwächung des Datenschutzes hinarbeitet. Der Text von Schrems ist allerdings schlicht verzerrend. Dass Bürgerrechtsorganisationen wie digitalcourage beim Thema Datenschutz ebenfalls Lobbyismus betreiben, ist klar und letztlich auch wünschenswert. Man sollte sich hierbei aber zumindest halbwegs an die Fakten halten und nicht auf Desinformation setzen. Die Verfälschung ist kein legitimes Mittel des politischen Meinungskampfs, auch wenn sie allzu gerne betrieben wird.

posted by Stadler at 10:54