EU-Kommissarin Viviane Reding war heute zu Gast in Brüssel bei der „Annual European Data Protection and Privacy Conference“. Sie hielt eine Rede zu dem EU-Datenschutzpaket und verteidigte unter anderem die beabsichtigte Gleichbehandlung der staatlichen und privaten Datenverarbeitung:
„It is important to recall that current EU rules – the Data Protection Directive – do not draw any distinction between rules applicable to the public or the private sector.
It would not have been wise to change the current situation because the distinction between public and private has never been clear cut. Technological change is making it increasingly blurred. Let me give you an example. What happens when a local authority uploads personal data onto a cloud provided by a private company? An interesting question for lawyers but not a clear rule for private enterprise.
Some of the most damaging data breaches can come from the public sector. In 2011, Government was the second highest sector for the number of data breaches. The sector most frequently affected was healthcare, which in many member states is part of the public sector too. I’m sure we can all agree then that it is not right to just remove the public sector from the Regulation; to do so would be irresponsible and make the legislation incomplete.“ (Viviane Reding, „The Overhaul of EU Rules on Data Protection: Making the Single Market Work for Business“, Speech/12/897, 4 December 2012, under the heading „Public / Private Sector Split“)
Gute Seiten …
Reding hat recht: Für die staatliche Datenverarbeitung müssen ebenso strenge Regeln gelten wie für die Datenverarbeitung durch Unternehmen und andere nicht-öffentliche Stellen. Denn wenn man Datenschutz als Bürgerrecht ernst nimmt, dann geht es maßgeblich darum, den Bürger vor einem allzu wissbegierigen Staat zu schützen. Wenn der Staat hinter dem Rücken des Bürgers ungebremst – meist im Zeichen der inneren Sicherheit – Informationen sammelt, droht ein „chilling effect“: Eingeschücherte Bürger werden aus Sorge vor Beobachtung Freiheitsrechte – Meinungsfreiheit, Versammlungsfreiheit, Religionsfreiheit u.a. – nicht mehr unbefangen wahrnehmen. Dies veranlasste das BVerfG in dem Volkszählungsurteil (BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83 u.a., BVerfGE 65, 1 ff..) dazu, dem Recht auf informationelle Selbstbestimmung den Rang eines Grundrechts zuzusprechen. Und es ist richtig, logisch und konsequent, wenn hieraus der rigide Grundsatz abgeleitet wird, dass jede Form der staatlichen Datenverarbeitung einer gesetzlichen Grundlage bedarf (Gesetzesvorbehalt).
Schlechte Seiten …
Aber Reding irrt zugleich: „Chilling effects“ sind ein Phänomen, das sich nicht auf die private Datenverarbeitung bezieht. Wenn Personendaten der Rohstoff digitaler Kommunikation und informationellen Wirtschaftens sind, geht es nicht um Gefahren der Einschüchterung von Bürgern bei der Ausübung von Freiheitsrechten. Es geht vielmehr um die richtige Balance zwischen der Freiheit der einen (freie Meinung und Information/freie unternehmerische Betätigung) und der Freiheit der anderen (Privatsphäre). Bei dieser Balance gibt es keinen natürlichen Vorrang der Privatsphäre. Und aus diesem Grund ist es verfehlt, wenn die EU im nicht-öffentlichen Bereich am Verbotsprinzip („Keine Datenverarbeitung ohne Legitimation durch Gesetz oder Einwilligung“) festhalten möchte.
Festhalten durch Reform?
Redings Argumente für eine Gleichbehandlung staatlicher und privater Datenverarbeitung überzeugen nicht: Dass „the current rules“ (EU-Datenschutz-Richtlinie 1995) eine Gleichbehandlung vorsehen, spricht nicht gegen, sondern für eine Differenzierung. Denn niemand bestreitet, dass sich das Regelungsumfeld des Datenschutzes seit 1995 dramatisch geändert hat. Für ein Festhalten an „current rules“ brauchen wir nichts weniger als eine EU-Reform.
Wolkiges Beispiel …
Und auch Redings Beispiel mit der Wolke spricht nicht für, sondern gegen eine Gleichbehandlung: Dass eine staatliche Behörde private Infrastruktur benutzt („Cloud“), ist alles andere als ein neues Phänomen. Denn welcher Polizist telefoniert eigentlich noch über Leitungen eines staatlichen TK-Monopolisten? Für den wissbegierigen Staat müssen bei der Datensammlung dieselben strengen Regeln gelten, egal ob er staatliche oder private Resourcen nutzt. Dies ist aber nun wirklich kein Grund, jeden Cloud-Anbieter so zu behandeln, als sei er Polizei, und den Dienstleister denselben strengen (Verbots-)Regeln zu unterwerfen, die für die staatliche Datensammlung gelten. Zumal die EU-Kommission in ihren Vorschlägen einen Schutzkomplex gar nicht behandelt: Vergeblich sucht man in dem Entwurf einer „Regulation“ (= Verordnung) nach Beschränkungen der EU-Mitgliedsstaaten, Zugriff auf Datenbestände von Amazon und Co. zu nehmen. Für diese Befugnisse (von Justiz und Polizei) soll vielmehr eine Richtlinie ausreichen.