Art. 1Â Abs. 1 DS-GVO (Seite 46) lautet:
„Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.“
Jedes Mal, wenn ich diesen Satz lese, frage ich mich, wie man sich denn im Internet den „freien Verkehr von Daten“ vorzustellen hat. Denn das Internet kennt bekanntlich keine Landesgrenzen. Oder reisen die Daten dieses Postings nach Zürich, wenn ein Schweizer Kollege diesen Beitrag liest?
Kein Verkehr ohne Datenübermittlung
In der englischen Fassung wird noch deutlicher, dass Art. 1 Abs. 1 DS-GVO nicht internettauglich ist: Dort ist vom „free movement of personal data“ die Rede. „Free movement“ und „freier Verkehr“ sind Begriffe aus einer Zeit, in der Daten noch auf Datenträgern Landesgrenzen überquerten. Auf die Datenverarbeitung im Internet passt die Formulierung nicht. Dies umso mehr, als es ja seit fast einem Jahrzehnt das Lindqvist-Urteil des EuGH gibt. Dort entschied der EuGH, dass eine Online-Publikation zwar als Vorgang der Datenverabeitung anzusehen ist, es jedoch an einer „Ãœbermittlung“ (in ein Drittland) fehle (EuGH, Urt. v. 6.11.2003 – C-101/01, CR 2004, 286 Rz 52 – 71 = ITRB 2004, 147 (Elteste); Summary & Comment von Retzer/Ritter, CRi 2004, 23; ausführlich zu den Auswirkungen des Urteils auf die Auslegung des deutschen Rechts siehe Taraschka, CR 2004, 280).
Datenschutz und andere Grundrechte
Das Missverständnis ist weit mehr als ein Schönheitsfehler: Art. 1 Abs. 1 DS-GVO nennt die Schutzziele der Verordnung. Der „freie Verkehr“ soll das Gegengewicht zum Schutz persönlicher Daten darstellen. Wenn dieses Gegengewicht jedoch bei Internet-Sachverhalten eine Chimäre ist, führt dies zu einer Verabsolutierung des Datenschutzes. Je strenger und ausnahmsloser Beschränkungen und Verbote der Datenverarbeitung und -nutzung sind, desto mehr wird das in Art. 1 DS-GVO formulierte Anliegen der Verordnung erreicht.
Rigorose Tendenzen des Datenschutzes führen indes zwangsläufig zu Kollisionen mit anderen Grundrechten im nicht-öffentlichen Bereich. Kommunikationsverbote sind an Art. 11 EU-Grundrechtscharta, ABl. EG v. 18.12.2000 – C 364/11, zu messen. Und für Eingriffe in die unternehmerische Freiheit gilt Art. 16 EU-Grundrechtscharta, ABl. v. 18.12.2000 – C 364/12. Die Grundrechte der Datenverarbeiter und -nutzer sind das Gegengewicht zum Datenschutz. Würde dies dort geregelt, wo es hingehört – in Art. 1 DS-GVO – müssten in vielen Regelungsbereichen Neujustierungen erfolgen. Und es würde insbesondere klar, dass das Verbotsprinzip für Online-Publikationen nicht gelten kann, wenn man das Grundrecht auf freie Kommunikation ernst nimmt.
Ein Kommentar
Als Informatiker kann ich die rechtliche Situation hier nicht ganz nachvollziehen. Aus technischer Sicht würde ich schon sagen, dass das Internet nationale Grenzen kennt. Jeder Knotenpunkt im Internet, also jeder Server auf der Route eines Internet-Pakets, steht ja in einer konkreten Jurisdiktion (außer vielleicht ein Router in einem Satelliten oder auf hoher See…).
Die Daten auf diesem Server, auch wenn sie dort nur kurzfristig im Verlauf einer Internet-Verbindung vorhanden sind, können eingesehen, blockiert, kopiert oder auch gelöscht werden. An welchen anderen Server die Daten ggf. weitergeleitet werden, ist in sogenannten Routing-Tabellen auf dem Server genau festgelegt.
Das Beispiel China zeigt, dass ein Nationalstaat den Internetverkehr über die Landesgrenzen hinweg technisch regulieren kann. Wenn jemand alle Router innerhalb eines Landes kontrolliert, kann z.B. verhindert werden, dass aus diesem Land auf facebook oder twitter zugegriffen wird oder dass eine verschlüsselte Datenverbindung zu einem Server im Ausland aufgebaut wird.
Innerhalb eines global agierenden Unternehmens gilt das gleich. Auch hier kann das Unternehmen technisch kontrollieren und bestimmen, welche Daten sich auf welchen Servern in welchen Landesgesellschaften oder Niederlassungen befinden und welche Daten wohin übertragen werden.
Auch der Begriff „Cloud-Computing“ ändert daran nichts, da auch die Systeme, die einen Cloud-Service bereitstellen, immer irgendwo physikalisch vorhanden sein müssen und über die klassischen Internet-Protokolle angesprochen werden. Die „Cloud“ ist eher ein vom Marketing geprägter Begriff als eine technische Neuerung.