Der Entwurf einer EU-Datenschutzverordnung in der Kritik
Der vorzeitig geleakte erste Entwurf einer EU-Datenschutzverordnung bietet reichlich Diskussionsbedarf. Johannes Masing, Richter am Bundesverfassungsgericht, hat den Entwurf vor allen Dingen mit Blick auf grundrechtliche und rechtsstaatliche Defizite kritisiert. Simon Möller formuliert bei Telemedicus nunmehr fünf Thesen zur geplanten Datenschutzverordnung, die die Kernprobleme zutreffend umreißen.
Neben der berechtigten Befürchtung des Verlusts von Grund- und Bürgerrechten muss der Entwurf der EU-Kommission auch deshalb kritisch betrachtet werden, weil er ein Datenschutzmodell fortschreibt, das aus den 70’er und 80’er Jahren stammt und im Internetzeitalter nicht mehr funktioniert. Der Entwurf ignoriert damit auch weitgehend die aktuelle rechtswissenschaftliche Diskussion über eine grundlegende und strukturelle Reform des Datenschutzrechts.
Wir befinden uns derzeit in einer Situation, in der wir zwar scheinbar und formal über ein hohes Datenschutzniveau verfügen, das aber in Wirklichkeit sehr niedrig ist, weil das Recht den Praxistest nicht mehr besteht und nicht zuletzt deshalb fast zwangsläufig massenhaft ignoriert wird. Infolge dieser Situation wird in der Rechtswissenschaft die Forderung nach einer grundlegenden Reform des Datenschutzrechts immer lauter. Warum das Grundkonzept des geltenden Datenschutzrechts, das auf dem Verbotsprinzip fußt, sich nicht mit der Funktionsweise der Internetkommunikation verträgt, habe ich in einem älteren Beitrag erläutert. Das geltende Datenschutzrecht muss ständig gebogen werden, um es überhaupt noch halbwegs internetkompatibel aussehen zu lassen. Der Umstand, dass die Auslegung des Datenschutzrechts in der Praxis von der Sichtweise der Datenschutzbehörden dominiert wird, die überwiegend eine enge Auslegung bevorzugen, kommt erschwerend hinzu. Dass man Cloud Computing, Hosting, den Betrieb von Facebook-Fanseiten oder auch die Nutzung von Google-Analytics als Auftragsdatenverarbeitung betrachten kann, mag nach geltendem Recht vertretbar sein. Diese Betrachtungsweise hat zu Ende gedacht aber zur Konsequenz, dass eine datenschutzkonforme Ausgestaltung tatsächlich nicht mehr in Betracht kommt. Nachdem man diese Konsequenz aber auch nicht ziehen kann, behilft man sich mit Placebo-Lösungen, die nicht geeignet sind, das Datenschuzniveau tatsächlich zu verbessern. Wie solche Scheinlösungen der Datenschutzbehörden aussehen, lässt sich sehr anschaulich anhand der Diskussion um Google Analytics nachvollziehen. Dem Datenschutz ist damit in der Sache natürlich nicht geholfen. Manchmal führen derartige Scheinlösungen der Datenschutzbehörden sogar zu einem Mehr an Datenerhebung. Es hat sich auch gezeigt, dass die Datenschutzaufsichtsbehörden teilweise selbst nicht mehr in der Lage sind, die Vorgaben zu erfüllen, deren Einhaltung sie von anderen verlangen. Auch die politische Diskussion, selbst bei den sich gerne progressiv gebenden Grünen, ähnelt in diesem Punkt einem Trauerspiel.
Was fehlt, ist eine ehrliche und offene Analyse des Ist-Zustands. Impulse hierfür kommen derzeit aus der Rechtswissenschaft und Teilen der Internet-Community, aber nicht aus der Politik und noch weniger von den Datenschutzaufsichtsbehörden. Der Enwurf der EU-Kommission lässt ebenfalls nicht erkennen, dass eine solche Analyse statgefunden hätte. Wenn die geplante Verordnung in dieser oder ähnlicher Form in Kraft tritt, wird ein bereits gescheitertes Grundkonzept nochmals über Jahre hinweg festgeschrieben.
Die Schieflage der gesamten Diskussion zeigt sich aber noch an anderen Umständen. Die EU übermittelt Bankdaten und Fluggastdaten ihrer Bürger in äußerst großzügiger und unkontrollierter Art und Weise an die USA. Damit wird die Idee des europäischen Datenschutzes, wonach eine Übermittlung an Stellen außerhalb der EU erhöhten Anforderungen unterliegt, auf den Kopf gestellt. Auch andere Fälle belegen, dass der Staat selbst vielfach wenig von Datenschutz hält. Dieses Messen mit zweierlei Maß führt insgesamt zu einer Legitimationskrise des Datenschutzrechts.
Während man einerseits gerne kleinteilig über datenschutzrechtliche Nebenaspekte wie Google Street View diskutiert, werden andererseits sensible Daten von Bürgern bereitwillig an ausländische Staaten übermittelt. In dieser Situation fällt es mir schwer, mich noch über Facebook oder Google aufzuregen.
Facebook IST eine Übertragung sensibler Daten an ausländische Staaten.
Comment by Frank — 19.01, 2012 @ 12:18
Bei den Grünen ist mir auch aufgefallen: die nutzen auf Empfehlung von Weichert Piwik udn ich muss beim Opt-In zulassen, dass ein Cookie gespeichert wird, wenn ich nicht getrackt werden will, damit die beim nächsten Mal wissen, dass ich schon da war und nicht getrackt werden will. Wie blöd kann man sich eigentlich anstellen?
Die Kritik an Fluggastdaten, SWIFT, Massenhandyüberwachung, Ozapftis teile ich aus Datenschutzsicht und Wirkungsmächtigkeit vollständig. Den Artikel von Möller fand ich erfrischend konstruktiv.
Ich würde gerne Ergänzungen machen. Wir haben Bereiche, wo nach wie vor klassischer Datenschutz gelten muss: Gesundheitswesen, Justiz inkl. Anwaltschaft, Kunden-Lieferantenbeziehungen, Bankgeschäfte, usw. alles, was zum Scoring durch Aggregation verwendet werden kann.
Die Idee mit der kostenlosen Auskunft (Datenbrief) halte ich für falsch. Soll den ein Krankenhaus oder noch schlimmer eine Integrierte Versorgung mir kostenlos meine Daten zu Verfügung stellen, wenn ich chronisch Kranker bin mit Schlaganfall, Herzinfarkt, Amputation inkl. aller Laborbefunde (Röntgen, MRT, …) Terabyteweise zur Verfügung stellen oder gar ausdrucken? Da müssen intelligentere Lösungen her. Wenn der Staat meint, Datenbrief muss, dann soll er voran gehen: Jährlicher Auszug von BKA, BND, BfV (um nur BMI-Ressort zu nennen) an mich schicken. Gerne auch per E-Mail.
Da werden wir elegantere Lösungen finden müssen (z.B. Patientenakte).
Beim Recht auf Vergessen müssen wir nachdenken. Da geht es ja nicht um Daten, die jemand pflichtgemäß erhebt und sorgfältig mit umgehen muss, sondern um Daten, die ich selbst veröffentlich, publiziert habe. Das hat es noch nie gegeben ind er Papierwelt, dass jemand das Recht hat, alle seine Publikationen und Kopien auf Kosten anderer zurückfordern zu können. Das macht bei Veröffentlichungen keinen Sinn. Es steht eher der Verdacht im Raum, dass Politiker möchten, dass ihre gemachten Versprechungen nach einer Zeit verschwinden sollen. Für mich sieht das aus wie Bücherverbrennung.
Das informationelle Selbstbestimmungsrecht der Deutschen, das es immer noch nicht explizit in die Verfassung geschafft hat, hat seine Tücken. Wenn wir an Facebook denken, wäre mir lieber, wenn 200 Staaten sich einigten, was Facebook darf und was nicht und das scharf durchsetzen, wie das dem tatenlosen Weichert Irland und USA gerade vormachen, anstatt durch das informationelle Selbstbestimmungsrecht die Illusion weiter zu hegen, dass die 800 Millionen Facebook-Nutzer das schon richten werden. Everybody for himself and God for us all? Glaube hilft da nicht. Weichert hat nichts erreicht, selbst auf seine Bußgeld-Nötigungen reagiert niemand. Wir sollten da an der Quelle ansetzen, bei Google, Facebook, Amazon, Piwik-Betreibern usw.
Ich könnte mir z.B. vorstellen dass wir analog zu den strengen Beweiserhebungsvorschriften in der Justiz Arbeitgebern per Gesetz verbieten, Informationen aus Sozialen Netzwerken bei der Einstellung zu verwenden. 95% der Bundesbürger sind gesetzestreu. Die anderen 5% sind keine interessanten Arbeitgeber. Das wäre billig, schnell und einfach. So gut wie ohne Vollzugsaufwand.
Comment by Jan Dark — 19.01, 2012 @ 13:59
Warum denkt man nur an Arbeitgeber? :-)
Wie man weiß, sind die amerikanischen Betriebe wegen dem 11. September angehalten, jegliche Daten zur Verfügung zu stellen, wenn sie gefordert werden.
Man muss sich mal überlegen, was für Daten denn da enthalten sein könnten?
In sozialen Netzwerken werden ja auch „private“ Nachrichten verschickt, die in keiner Timeline oder Circles auftauchen. Das sieht der Arbeitgeber nicht.
Aber wer Zugriff auf die Rohdaten hat, sieht alles, auch das was in den intimen Nachrichten alles geschrieben wurde, das komplette Bewegungsmuster, scheinbar gelöschte Nachrichten oder Dateien, vergessene Postings oder Links, alte Profildaten die nie überschrieben sondern nur ergänzt wurden, einfach alles was so eine Netzwerk-Datenbank aufnehmen kann.
Solche Datenbanken löschen nämlich äußerst ungern, sie werden gespiegelt und vielfältig gesichert und auf mehrere Server verteilt und eher werden parallele Tabellen angelegt und mit „gelöschten“ Inhalten gefüllt, als dass wirklich gelöscht wird.
Die Angst vor Datenverlust ist groß und was man hat, das hat man.
Funkzellen abgreifen ist Kinderkram dagegen. Da steht ja nicht drin, was gesprochen wurde, aber in diesen Datenbanken steht alles drin… und viel mehr als jemals gesprochen wurde. Die Kombination macht’s.
Wir stehen an dem Punkt, wo wir unabhängige und offizielle Prüfer für solche Datenbanken bräuchten, um Datenschutz wirklich gewährleisten zu können.
Und andernfalls kann man nur meiden oder gleich als illegal festlegen.
Und nein, ich bin nicht erfreut über offizielle Prüfer, aber ich weiß, dass es anders keinen Datenschutz geben kann, weil einem sonst was vom Storch erzählt werden kann (und wird).
Das Thema Datenschutz fängt erst an in die Entwicklung mit ein zu fließen und das „Vergessen“ wird immer schwieriger bei der Verteilung und Verzahnung der Daten.
Comment by Frank — 19.01, 2012 @ 16:45
Ein sehr guter Artikel zur aktuellen schlechten Lage. Wenn man sich die Leistungen unserer europäischen Politik an dieser Stelle ansicht, muss man einfach feststellen, dass die leider keine Ahnung haben.
Das Gefühl für das Recht des Einzelnen geht einfach verloren.
Comment by Carsten — 19.01, 2012 @ 20:31
Hier ein aufklärender Artikel, wo der Datenschutz wirklich steht: http://www.heise.de/security/artikel/Facebooks-Schutzbehauptung-1395316.html
Würde man Datenschutz ernst nehmen, wäre Facebook illegal und manches andere vielleicht auch noch.
Comment by Frank — 20.01, 2012 @ 18:34