EU-Kommissarin Viviane Reding hat acquisa ein längeres Interview gegeben zur EU-Datenschutzreform.
9 Aussagen, 9 Anmerkungen:
1. Aussage:Â Datenkontrolle
„Die neuen EU-Datenschutzvorschriften… werden dafür sorgen, dass jedermann die Kontrolle über seine persönlichen Daten hat.“
Die EU-Kommissarin hat ein eigentumsähnliches Verständnis von „persönlichen Daten“. Dies ist kommunikationsfeindlich. Ob veröffentlichte Kontaktdaten, Blogbeiträge oder auch das Posting von Bildern: Sobald Daten mit anderen „geteilt“ werden, gibt es kommunikative Interessen Dritter an „persönlichen Daten“, die schutzwürdig sind. Das BVerfG hat in seinem Volkszählungsurteil (BVerfG, Urt. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE 65, 1 ff.) darauf verwiesen, dass Daten stets (auch) ein „Abbild sozialer Realität“ sind. Dies steht einem eigentumsähnlichen Datenbegriff entgegen.
2. Aussage: Vertrauen gegenüber Unternehmen und Behörden
„Nur wenn die Verbraucher darauf vertrauen können, dass ihre Daten gut geschützt sind, werden sie sie Unternehmen und Behörden weiterhin anvertrauen, online einkaufen und neue Onlinedienste ausprobieren.“
Die EU-Kommissarin entfernt sich weit von dem Kernanliegen des Datenschutzes, wenn sie „Unternehmen und Behörden“ auf eine Stufe stellt. Es ging im Volkszählungsurteil oder auch beispielsweise in den Entscheidungen des BVerfG zur Online-Durchsuchung (BVerfG, Urt. v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, CR 2008, 306; ausführlich hierzu Hornung, CR 2008, 299) und zur Vorratsdatenspeicherung (BVerfG, Urt. v. 2.3.2010 – 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08, CR 2010, 232 mit Anm. Heun, CR 2010, 47; ausführlich hierzu Eckhardt/Schütze, CR 2010, 225) um staatliche Zwangsbefugnisse zur Datenerhebung und –verarbeitung. Mit einem „Anvertrauen“ hat dies nichts gemein.
Der Datenschutz sichert im öffentlichen Bereich den Schutz der Grundrechte der Bürger. Im nicht-öffentlichen Bereich ist das Datenschutzrecht umgekehrt eine gesetzliche Grundlage für Eingriffe in Grundrechte und bedarf seinerseits der grundrechtsschonenden Beschränkung.
3. Aussage:Â Wirtschaftliches Wachstum und Innovation
„Der Grundsatz ‚think small first‘ (also ‚zuerst an die Kleinen denken‘) zieht sich wie ein roter Faden durch die vorgeschlagene Datenschutzverordnung. Wir müssen KMU und kleinen Jungunternehmen helfen zu wachsen und innovativ zu sein. Es wäre schön, wenn das ‚nächste Google’ aus Europa käme.“
Das materielle Datenschutzrecht wird durch den DS-GVO-Entwurf kaum verändert. Problematische Neuregelungen wie ein „Recht auf Vergessen“ oder das „Recht auf Datenübertragbarkeit“ sollen für große Konzerne ebenso gelten wie für junge Unternehmensgründer. Die Chancen für ein „europäisches Google“ würden durch die DS-GVO nicht besser, sondern schlechter.
4.Aussage: Kostensenkung für Unternehmen
„Dank einer einheitlichen und EU-weit gültigen Datenschutzregelung werden die Kosten für Unternehmen aufgrund geringerer Rechtskosten sinken. Die Unternehmen müssen sich nicht mehr an 27 unterschiedliche nationale Gesetze anpassen, wenn sie in den 27 Mitgliedstaaten tätig sein wollen. Außerdem sparen sie Geld, weil überflüssige Meldepflichten wegfallen. Unseren Berechnungen zufolge führt all das zu Einsparungen von rund 2,3 Milliarden Euro pro Jahr. Diese Einsparungen beziehen sich auf den Verwaltungsaufwand und die Bürokratie, die wir mit unseren Vorschlägen vermindern. Wir haben außerdem zusätzliche Befolgungskosten, die sich beispielsweise aus unterschiedlichen Informationspflichten an die Verbraucher ergeben, mit berücksichtigt.“
Niemand kann seriös berechnen, welche Mehrkosten in Unternehmen entstehen, wenn neue Vorschriften zum Datenschutzrecht in Kraft treten. Vorschriften, die beispielsweise die Verwendung bestimmter Dateiformate vorschreiben (im Zeichen einer „Datenübertragbarkeit“), würden bei den zahlreichen betroffenen Unternehmen erhebliche Entwicklungs- und Beratungskosten auslösen.
5. Aussage:Â Datenschutz durch Technik im Smartphone
„Konkret könnte der Datenschutz durch Technik beispielsweise bedeuten, dass Smartphones eine Funktion haben sollten, mit der der Nutzer bestimmen kann, ob eine App auf Daten von seinem Telefon zugreifen und diese kopieren kann, ob sie Anrufe tätigen und Daten übertragen kann usw. Einige Smartphones verfügen zwar bereits jetzt über derartige Funktionen, doch sind diese beim Kauf häufig ausgeschaltet.“
Apps, die „Anrufe tätigen“, sind mir bislang nicht bekannt geworden.
6. Aussage: ‚Recht auf Vergessen‘ veröffentlichter Daten
„Wenn ein Unternehmen Daten, die Nutzer ihm zur Verfügung gestellt haben, öffentlich gemacht hat, muss es angemessene Schritte unternehmen, um Dritte, die diese Daten verarbeiten, zu informieren, dass der Nutzer auch alle Kopien und alle Verweise auf seine Daten gelöscht haben will. Es ist jedoch klar, dass man nicht einfach alles über sich im Internet löschen kann.“
Wenn in einem Sozialen Netzwerk (z. B. Facebook) Informationen veröffentlicht werden, ist es der Nutzer, der die Veröffentlichung vornimmt. Davon zu reden, dass der Nutzer in einem solchen Fall Facebook Daten „zur Verfügung“ stellt und Facebook diese Daten veröffentlicht, ist verquer und zeugt von einem unzureichenden Verständnis der kommunikativen Funktionen von Social Networks. Dies wirkt sich letztlich auf die gesamte Konzeption des „Rechts auf Vergessen“ aus.
7.Aussage:Â ‚Recht auf Vergessen‘, praktische Konkordanz und Harmonisierung
„Das Recht auf Vergessenwerden ist kein absolutes Recht, das über anderen Rechten wie etwa der Meinungs- oder Pressefreiheit steht. Deshalb sieht unser Vorschlag in besonders sensiblen grundrechtsrelevanten Bereichen – wie zum Beispiel der notwendigen Abwägung zwischen Datenschutz und anderen Grundrechten wie der Meinungsfreiheit oder der Pressefreiheit – klare Ausnahmeklauseln vor.“
Dies stimmt nicht. Es wird vielmehr den einzelnen Mitgliedsstaaten überlassen, Vorschriften zu erlassen mit Ausnahmen im Interesse der Kommunikationsfreiheit (Art. 80 DS-GVO). Bezeichnenderweise sieht die EU-Kommission, die sich doch stark um Vereinheitlichung bemüht, kein Problem darin, dass nach der DS-GVO ein und dieselbe Publikation in einigen Mitgliedsstaaten (medienrechtlich) als erlaubt und in anderen Staaten (datenschutzrechtlich) als verboten angesehen werden kann.
8.Aussage:Â Tracking und Profiling
„Persönlichkeits- und Bewegungsprofile sollten für Werbezwecke nicht heimlich und gegen den Willen der Verbraucher erstellt werden dürfen. Das Recht auf Privatsphäre und auf Datenschutz setzt Transparenz und Kontrollmöglichkeiten voraus.“
Dies vermittelt den falschen Eindruck, dass der GVO-Entwurf konkrete Regelungen zum Tracking/Profiling enthält. Dies ist nicht der Fall.
9. Aussage: Flexibilität gegenüber neuen Technologien und Kosten
„Wir haben uns entschieden, nicht alles bis ins kleinste Detail zu reglementieren. Es soll möglich sein, kleinere Anpassungen der neuen Regeln – in Abstimmung mit dem Europäischen Parlament und den Mitgliedsstaaten – durch sogenannte delegierte Akte vorzunehmen. Damit soll auch flexibel auf neue Technologien reagiert werden können.“
Dies stimmt so nicht. Die EU-Kommission behält sich in mehr als zwei Dutzend verschiedenen Vorschriften Rechtssetzungsbefugnisse („delegierte Rechtsakte“) vor. Dabei geht es auch keineswegs nur um „Kleinigkeiten“. Die EU-Kommission möchte vielmehr eigenständig Programmsätze wie „Privacy by Design“ und „Privacy by Default“ in konkrete Handlungsanweisungen umsetzen. Die „kleineren Anpassungen“, die die EU-Kommissarin meint, werden die betroffenen Unternehmen Milliardenbeträge kosten, wenn die EU-Kommission die gewünschten Rechtssetzungsbefugnisse erhält und davon Gebrauch macht.