Arbeitet Deutschland in der EU gegen den Datenschutz?
Die Bürgerrechtsorganisation digitalcourage hat in ihrem Blog einen Beitrag von Max Schrems veröffentlicht, einem wegen seiner Klage gegen Facebook bekannten österreichischen Datenschutzaktivisten. Schrems behauptet in seinem Beitrag, Deutschland würde in der EU gegen den Datenschutz arbeiten und führt zur Begründung acht Beispiele für datenschutzunfreundliche Änderungen des Entwurfs einer Datenschutzgrundverordnung an, die auf „die Beamten des deutschen Innenministeriums“ zurückgehen sollen.
Jetzt könnte man Schrems schon ganz allgemein entgegenhalten, dass die EU das (vermeintlich) hohe Datenschutzniveau der geplanten Grundverordnung primär aus Deutschland importiert hat und unterschiedliche politische Akteure deutscher Herkunft auch für zahlreiche datenschutzfreundliche Klauseln im Entwurf verantwortlich sind. Eine kurze Überprüfung der acht von Schrems genannten Punkte ergibt außerdem, dass diese keineswegs alle aus dem BMI kommen. Dennoch möchte ich auch einen inhaltlichen Blick auf einige der aufgeworfenen Aspekte richten.
Schrems behauptet u.a. folgendes:
Die bisher vorgesehene „explizite“ Zustimmung („Opt-In“) wurde durch eine Definition ersetzt, bei der auch eventuell sogar nur durch die „Nutzung einer Webseite“ oder durch eine, vielleicht sogar nur versteckt angebrachte, Klausel eine Nutzerin oder Nutzer „zustimmen“ kann.
Als schwächende Veränderung wurde von Schrems dabei gewertet, dass bei der datenschutzrechtlichen Einwilligung der Begriff “explicit” durch “unambiguous” consent ersetzt worden ist (Art. 6 Nr. 1a). Nur bei bestimmten Daten wird noch „explicit consent“ verlangt (Art. 9). Diesen Änderungsvorschlag, der seit 2013 existiert und m.W. nicht vom BMI stammt, kann man allerdings auch als sinnvolle Klarstellung bewerten. Denn der vorhergehende Entwurfstext war in diesem Punkt widersprüchlich. Er sprach einerseits davon, dass die Einwilligung ausdrücklich (explicitly) erteilt werden soll, um dann auszuführen, dass auch eine eindeutige Handlung (clear affirmative action) – also konkludentes Verhalten – ausreichend sein soll. Es war jedenfalls notwendig, diesen Widerspruch aufzulösen, um spätere gegensätzliche Auslegungen zu vermeiden. Eine Erklärung durch konkludentes Verhalten ermöglicht aber auch keine Einwilligung durch versteckt angebrachte Klauseln wie Schrems behauptet. Das belegt auch die Notwendigkeit einer „clear affirmative action“ in Erwägungsgrund 25. In diesem Kontext hätte man wohl auch noch erwähnen müssen, dass die deutsche Delegation im Rat der EU kürzlich Vorschläge zur Ergänzung der Anforderungen an die Einwilligung gemacht hat, die schwerlich als Schwächung der datenschutzrechtlichen Einwilligung angesehen werden können.
Dass der Grundsatz der Datenminimierung (Datensparsamkeit) gestrichen wurde, ist insofern richtig, als nunmehr in Art. 5 c nur noch davon die Rede ist, dass die Speicherung nicht exzessiv sein darf, während es vorher hieß, dass sie auf ein Mindestmaß zu beschränken ist. Ob damit allerdings eine substantielle Veränderung verbunden ist, darf man bezweifeln. Die Datensparsamkeit wird außerdem nunmehr – übrigens auf Vorschlag Deutschlands – zusätzlich in Art. 23 Nr. 1 erwähnt.
Die Behauptung, der Grundsatz der Zweckbindung sei mit einer großen Ausnahme versehen worden, wird von Schrems nicht näher erläutert und erscheint mir auch nicht nachvollziehbar.
Schrems weist außerdem darauf hin, dass die bisher vorgeschriebenen Datenschutzbeauftragten freiwillig werden sollen. Gemeint sind damit die betrieblichen Datenschutzbeauftragten nach Art. 35 der Grundverordnung. Der bisherige Entwurf sah vor, dass Unternehmen, die 250 oder mehr Mitarbeiter beschäftigen, einen betrieblichen Datenschutzbeauftragten benötigen. Diese Regelung wurde in der aktuellen Entwurfsfassung wieder gestrichen, mit der Folge, dass es den Mitgliedsstaaten obliegt, diese Frage national zu regeln. Das würde für Deutschland bedeuten, dass die ohnehin deutlich strengere Regelung des BDSG beibehalten werden kann. Danach ist ein betrieblicher Datenschutzbeautragter zu bestellen, wenn mehr als 9 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dieser Änderungsvorschlag in der Grundverordnung geht übrigens nicht auf eine Initiative des BMI zurück. Aus den Fußnoten wird vielmehr deutlich, dass Deutschland eine einheitliche Regelung im Rahmen der Verordnung bevorzugt hätte.
Es gibt übrigens durchaus Anhaltspunkte dafür, dass das BMI punktuell auf eine wirtschaftsfreundliche Abschwächung des Datenschutzes hinarbeitet. Der Text von Schrems ist allerdings schlicht verzerrend. Dass Bürgerrechtsorganisationen wie digitalcourage beim Thema Datenschutz ebenfalls Lobbyismus betreiben, ist klar und letztlich auch wünschenswert. Man sollte sich hierbei aber zumindest halbwegs an die Fakten halten und nicht auf Desinformation setzen. Die Verfälschung ist kein legitimes Mittel des politischen Meinungskampfs, auch wenn sie allzu gerne betrieben wird.
Kritik ist teilweise berechtigt und liegt an folgendem:
Ich hab eine Liste an „Problemfeldern“ die durchaus sehr offensichtlich sind an Digital Courage geschickt und den Hinweis, dass DE (generell) durchaus auch auf die Senkung des Niveaus hinarbeitet. Das ist ein offenes Geheimnis und soweit besteht auch Einigkeit mit dem Autor.
Ich habe jedoch nie behauptet, und das steht auch nicht so im Artikel von Digital Courage, dass DE hinter allen diesen Änderungen steckt. Diese „Klammer“ macht erst dieser Blog.
Zu den einzelnen Punkten:
– Das „hohe deutsche Niveau“ und der „reine Import“ aus DE ist eine absurd germanozentristische Sicht mit der Kollegen aus DE leider permanent auffallen. Lektüre des österr DSG würde als Anfang durchaus helfen, wo zB das „legitime Interesse“ sehr viel enger ist und auch die „Mischung“ von öffentlich/privat sehr gut funktioniert.
– In vielen (wenn nicht den meisten) MS wird unter „unambiguous“ auch die „versteckte Klausel“ oder die Reine „Nutzung“ verstanden. Insofern ist die Kritik mit einer europäischen Perspektive vollkommen korrekt.
– „Nicht Exzessiv“ ist ein massiver Unterschied zur Datensparsamkeit. Das zu verneinen würde Sie – mit Verlaub – durch jedes Examen auf der Uni fallen lassen.
– Zur Zweckbindung bitte Art 6(3a) ansehen. Wenn Sie Anwalt eines Konzerns sind, finden Sie hier immer einen Weg den „Zweck“ zu erneuern („Gummiparagraph“).
– Zum DSB: Wir wissen alle, dass die meisten MS diese Stelle nicht verpflichtend einführen werden, vor allem die „relevanten“ Länder…
Trotzdem liebe Grüße aus Wien,
Max Schrems
Comment by Max Schrems — 30.01, 2015 @ 13:35
Es wäre wünschenswert gewesen, dass die deutschen Ministerien einfach die Formulierung zur Datensparsamkeit aus dem deutschen Recht einbringen statt die europäische Formulierung abzusägen.
Section 3a
Data reduction and data economy Personal data shall be collected, processed and used, and data processing systems shall be chosen and organized in accordance with the aim of collecting, processing and using as little personal data as possible. In particular, personal data shall be rendered anonymous or aliased as allowed by the purpose for which they are collected and/or further processed, and as far as the effort required is not disproportionate to the desired purpose of protection.
Comment by Andre — 30.01, 2015 @ 13:43
Bürgerinnen und Bürger verstehen diese hochgeistige, juristische Diskussion nicht. Es interessiert sie auch nicht.
Man weiß, selbst die Kanzlerin wird abgehört, selbst die gesamte Bundesregierung. Diese sind hilflos, können sich selber nicht schützen. DAS ist bekannt, DAS interessiert die Bürgerinnen und Bürger.
Und das Volk möchte eine Lieferung sehen lt. dem Amtseid der Regierung, Schaden vom deutschen Volk abzuwenden. Darum haben sie sich zu kümmern.
Die Petitessen der Juristen gehen den Menschen am Anus vorbei.
Comment by Conny — 30.01, 2015 @ 18:01
Wen interessieren eigentlich irgendwelche Datenschutzvereinbarungen, wenn sich die Staaten, auch Deutschland, nicht mal die eigenen EU-Gesetze halten, diese wiederholt gebrochen haben??
Wo soll denn das Vertrauen herkommen, daß Vereinbarungen eingehalten werden?
Wann kann man diese Politiker eigentlich wegen Beleidigung des gesunden Menschenverstandes der Bürgerinnen und Bürger anzeigen??? Alles dummes Zeug. Für seinen Datenschutz sorgt man besser selber.
Comment by Conny — 30.01, 2015 @ 18:12
@Max Schrems: Im Artikel wird m.E. schon der Eindruck erweckt, dass die acht Änderungen aus dem BMI stammen. Dass der Text im Wesentlichen von digitalcourage stammt, war für mich nicht erkennbar. Wir können ja Österreich gerne noch mit dazu nehmen. ;-) Versteckte Klauseln sind nach meinem (deutschen) Rechtsverständnis beispielsweise schon AGB-rechtlich unwirksam. Aus meiner Sicht kann das nur offensichtlichliches schlüssiges Verhalten betreffen. Wenn ich in ein Taxi steige, dann weiß ich, das die Beförderung Geld kostet, auch wenn der Taxifahrer das nicht sagt. So eindeutig muss das m.E. hier auch sein, um eine Einwilligung anzunehmen. Es ist schließlich auch Unionsrecht, das der EuGH auslegt. Die Datensparsamkeit war auch bislang nicht justitiabel. So gesehen, könnte die Ergänzung in Art. 23 wichtiger sein.
Die Geschichte mit den Gummiparagrafen ist doch ein Totschlagsargument. Das würde kein Korrektor im Examen durchgehen lassen. ;-) Wem unklare Regelungen am Ende nützen, weiß man ja häufig zunächst nicht so genau. Nichts für ungut.
TS
Comment by Stadler — 30.01, 2015 @ 19:03
Datenschutz ist eine Fiktion. Datenschutz gibt es de facto nicht und wird es auch nie geben. Wir kleben in einer Welt des scheinbaren Datenschutzes.
Alle Regeln und Gesetze des Datenschutzes, einschließlich der Rechtsprechung, dienen hauptsächlich den Kriminellen unter den Herrschenden.
Unsere Unfreiheit beginnt bei uns selbst, wenn wir für den Datenschutz eintreten.
Nicht die Öffnung von Daten ist das Problem, sondern der falsche Umgang mit den geöffneten Daten, auch den privaten, den intimen.
Zum falschen Umgang mit den Daten gehören auch die vehementen Vertreter des Datenschutzes.
Es stellt sich doch die Frage, wird die Welt besser mit einem folmalen Datenschutz oder mit dem absoluten Verzicht auf den Datenschutz.
Wir haben das mit dem Internet erlebt. Das Internet bringt im wesentlich stärkeren Maße Vorteile den Kriminellen in Politik, in der Wirtschaft, den großen sowie den kleinen.
Die Stoßrichtung der Auseinandersetzunge sollte lieber darin bestehen, zu untersuchen, weshalb die Kriminellen von den neuen Technologien den größeren Nutzen ziehen als der Normalbürger. Der Vorteil für Kriminelle muss verhindert werden. Das ist viel schwieriger als an den Mängeln der Datenschutzgesetze rumzuhacken. Diese gelten, von der Tendenz her, abgeschafft.
Gilt, nebenbeibemerkt, auch für die Beleidigungsparagraphen.
Comment by Rolf Schälike — 30.01, 2015 @ 19:35
Toll, jetzt haben sich der Max und der Thomas wieder richtig lieb.
Dieses ist allerdings bedeutungslos.
Comment by Conny — 30.01, 2015 @ 19:46
Ohne die beiden Liebenden zu stören rat sich den Menschen online:
Verschlüsselt, was nur geht. Keine Kekse, kein Scripting, keine asozialen Netzwerke, Proxy nutzen, Anons nutzen. Kein Onlinekauf, kein Onlinebanking, keine Registrierung, kein Handy, kein GPS, kein Online-TV, kein Google nutzen etc. etc. etc..
Comment by Conny — 30.01, 2015 @ 19:53
Die Backdoors sitzen in bald allen Geräten, es gibt zukünftig keinen Schutz mehr. Es gibt keine Programme, die Hardware auf dem Schirm haben.
Das WWW zerstört sich selbst, es ist heute schon nur noch ein Kriegsinstrument geworden.
Das Netz wurde übernommen von Regierungen, Kriminellen und Arschlöchern.
Das Netz ist tot.
Comment by Clouster — 30.01, 2015 @ 20:01
Ich habe meinen Internetanschluß zu Juli gekündigt, damit auch den Festnetzanschluß. Eine Wanze habe ich nie gehabt (kluges Kind) und damit darf man mir zukünftig Briefe schicken, wenn es nötig ist.
Bis 2016 ist ein separater Festnetzanschluß bezüglich Telefon sowieso nicht mehr möglich, weil sämtliche Provider alles über >IP< machen wollen.
Ohne mich.
Comment by Conny — 30.01, 2015 @ 20:13
Schön, dann bleibt uns ja bald Connys Geschreibsel erspart. Danke dafür!
Comment by Moon — 1.02, 2015 @ 07:24
Die Hardware-Leaks sind in der Tat ein Problem. Aber ich würde nicht so schwarz sehen, denn einige Unternehmen arbeiten bereits an entsprechenden Leak-Findern. Wo immer es eine Lücke, eine Gefahr gibt, arbeiten Datenschützer, Unternehmen der Internetsicherheit genau daran, die Kunden vor den Gefahren zu bewahren. Man kann sicher sein, daß Hersteller von Geräten sofort vom Markt fliegen, sollten sie mit so einem Mist auffallen. Irgendwann reicht es auch den Dümmsten und Unbedarftesten.
Comment by Ned — 1.02, 2015 @ 13:29
Mir fällt gerade auf, daß ich von @Moon keinen Text zum Thema entdecke, außer Beleidigung Nr.11. Dieser darf sich von meinem letzten Satz in Nr.12 gerne angesprochen fühlen.
Comment by Ned — 1.02, 2015 @ 14:09