– Eine Kurzanalyse der Datenschutz-Grundverordnung in drei Teilen –
Die kurz vor der Verabschiedung stehende Datenschutz-Grundverordnung (hier die Entwurfsfassung vom 4. Dezember 2015 – nachfolgend: „DS-GVO-E“) stellt einen Angriff auf die Freiheit im Internet dar. Insbesondere wird sie zu einer echten Bedrohung der Kommunikationsfreiheiten. Die EU ist gerade dabei, ein regulatorisches Monstrum (Caspar Bowden) zu erschaffen, das die Hypertrophie der Vorsorge (Hans Peter Bull) auf die Spitze treibt und das weite Teile der Kommunikation im Internet dem Regime des Datenschutzrechts und damit der Aufsicht durch staatliche Behörden unterwirft – mit unabsehbaren Folgen. In drei Blogbeiträgen sollen die Auswirkungen dieses DS-GVO-E auf die Freiheit im Netz untersucht werden.
In Teil I (nachfolgend 1. bis 5.) geht es um den einfachen Internetnutzer und seine datenschutzrechtlichen Pflichten bei Onlineaktivitäten, die – wie sich zeigen wird – kaum zu bewältigen sind.
In Teil II und Teil III geht es darum, dass nach dem DS-GVO-E eine Verarbeitung personenbezogener Daten im Internet eigentlich kaum mehr zulässig sein dürfte. Allgemein zugängliche Daten werden nicht erwähnt, gegenüber der Meinungs-, Presse- und Informationsfreiheit droht ein allgemeiner Vorrang des Datenschutzes und (fun-fact!) der Anspruch auf De-listing ist gar nicht geregelt. Suchmaschinen und andere Intermediäre müssten eigentlich ihre Arbeit einstellen und Kinder unter 16 Jahren benötigen die Einwilligung ihrer Eltern, um im Internet surfen zu können.
1. Nur eine Form der Verantwortlichkeit
Der DS-GVO-E folgt dem „One-size-fits-all“-Ansatz. Das bedeutet, sie kennt nur einen Typ des für die Datenverarbeitung Verantwortlichen: den Controller.
Diese „unterkomplexe Ausgestaltung“ (Johannes Masing) des europäischen Datenschutzrechts hat nicht nur zur Konsequenz, dass öffentliche und nicht-öffentliche Stellen gleichbehandelt werden (die Allianz-Versicherung wird wie die Meldestelle Berlin-Mitte, Google wird wie das Finanzamt Prenzlauer Berg, der Bäcker um die Ecke wird wie die Bundesagentur für Arbeit behandelt).
Sie führt auch dazu, dass jeder Internetnutzer, der ein personenbezogenes Datum online stellt, datenschutzrechtlich verantwortlich ist: Wer eine private Webseite mit Fotos seiner Freunde veröffentlicht, wer in öffentlichen Foren mit anderen diskutiert, wer als Blogger Politiker, Künstler, Sportler kritisiert, wer auf Twitter die Tweets anderer retweetet oder zitiert und wer auf Wikipedia an dem Artikel über eine Person des öffentlichen Lebens mitschreibt, ist datenschutzrechtlich verantwortlich. Auch jeder Sportverein, der die Spielergebnisse des Wochenendes auf seiner Webseite veröffentlicht, wird zur verantwortlichen Stelle.
2. Keine Ausweitung der Haushaltsausnahme
Zu verhindern wäre dies gewesen, hätte man die sogenannte Haushaltsausnahme ausgedehnt. Doch wie schon unter der Datenschutz-Richtlinie von 1995 soll nur das vom Anwendungsbereich des Datenschutzrechts ausgenommen werden, was „purely personal or household activity“ ist (Art. 2 Abs. 2 lit. d) DS-GVO-E).
Schon die Videoüberwachung des eigenen Hauseingangs ist nicht mehr „purely personal“, wenn ein Teil der öffentlichen Straße mit aufgenommen wird.
Erst recht nicht „purely personal“ sind öffentliche Äußerungen im Internet, denn sie können potentiell von jedermann gesehen werden.
Es ist nicht einmal klar, ob die beschränkte Öffentlichkeit der eigenen Facebook-Freunde noch als „purely personal“ angesehen werden kann, wenn der Freundeskreis aus 5.000 Personen besteht. In Erwägungsgrund 15 DS-GVO-E heißt es dazu:
„Personal and household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such personal and household activities.“ (Hervorhebung durch Verfasser)
Nutzt man seine eigene private Facebook-Seite auch dazu, um beispielsweise Werbung für bestimmte politische Positionen oder gar Parteien zu machen, ist bereits fraglich, ob das noch „within the context of […] personal […] activities“ ist. Der Vorschlag, kommunikative und nicht-kommerzielle Aktivitäten natürlicher Personen bei der Nutzung von Internetdiensten und bei der Verarbeitung allgemein zugänglicher Daten vom Anwendungsbereich des Datenschutzrechts auszunehmen, fand in den Verhandlungen zum DS-GVO-E kein Gehör.
3. Hypertrophie der Vorsorge
Das bedeutet, dass jeder Internetnutzer grundsätzlich alle datenschutzrechtlichen Pflichten, die der DS-GVO-E kennt, erfüllen muss. Und das sind nicht wenige. Je nach Zählweise kommt man auf mehr als 30 Pflichten des Datenverarbeiters:
- Pflicht zur Einholung der Einwilligung
- Pflicht zur Beachtung der Schutzvorschriften bei der Verarbeitung personenbezogener Daten eines Kindes
- Pflicht zur Beachtung der Schutzvorschriften bei der Verarbeitung besonderer Datenkategorien
- Pflicht zur Beachtung der Vorgaben für eine transparente Information und Kommunikation
- Pflicht zur Beachtung der Verfahren und Vorkehrungen, damit die betroffene Person ihre Rechte ausüben kann
- Pflicht zur Unterrichtung der betroffenen Person
- Pflicht zur Auskunftserteilung und Datenübermittlung an die betroffene Person
- Pflicht zur Berichtigung und Vervollständigung personenbezogener Daten
- Pflicht zur Löschung und zum De-listing personenbezogener Daten
- Pflicht zur Vornahme von Verarbeitungsbeschränkungen
- Pflicht zur Benachrichtigung bei Berichtigung, Löschung und Verarbeitungsbeschränkung
- Pflicht zur Datenportabilität
- Pflicht zur Beachtung des Widerspruchsrechts des Betroffenen
- Pflichten im Zusammenhang mit Profiling
- Pflicht zur Vornahme angemessener Maßnahmen zum Schutz des Betroffenen und Rechenschaftspflicht hierzu
- Pflicht zum Datenschutz durch Technik und zu datenschutzfreundlichen Voreinstellungen
- Pflicht zur Beachtung der Vorgaben für „joint controllers“
- Pflicht zur Benennung eines Vertreters
- Pflicht zur Beachtung der Vorgaben für die Auftragsdatenverarbeitung
- Pflicht zur Dokumentation
- Pflicht zur Beachtung der Vorgaben für die Datensicherheit
- Pflicht zur Benachrichtigung der Datenschutzaufsichtsbehörden bei „data breaches“
- Pflicht zur Benachrichtigung des Betroffenen bei „data breaches“
- Pflicht zur Vornahme von Datenschutzfolgenabschätzungen
- Pflicht zur vorherigen Konsultation der Datenschutzaufsichtsbehörden
- Pflicht zur Benennung eines Datenschutzbeauftragten
- Pflicht zur Beachtung der Regelungen für die Drittstaatenübermittlung
- Pflicht zur Beachtung der Sonderregelungen für die Datenverarbeitung im Beschäftigungskontext
- Pflicht zur Beachtung der Sonderregelungen für die Datenverarbeitung zu archivarischen, wissenschaftlichen, historischen und statistischen Zwecken
- Pflicht zur Beachtung von Geheimhaltungsvorschriften.
Nicht jede dieser Pflichten ist bei jeder Datenverarbeitung in jedem Verarbeitungskontext zu erfüllen. Und einige davon entfallen, wenn die konkret durchgeführte Datenverarbeitung nicht zu einem hohen Risiko für den Betroffenen führt (sog. risikobasierter Ansatz). Doch grundsätzlich sind sie von jeder verantwortlichen Stelle zu beachten, also auch vom einfachen Internetnutzer.
4. Keine Ausnahmen von den Informations- und Auskunftspflichten
Für den einfachen Internetnutzer besonders problematisch ist, dass auch für ihn die exzessiven Informations- und Auskunftspflichten der Art. 14, 14a und 15 DS-GVO-E gelten. Jeder Datenverarbeiter (also auch der einfache Internetnutzer) muss den Betroffenen aktiv bei Beginn der Datenverarbeitung und dann jederzeit auf Ersuchen des Betroffenen informieren über
- die Tatsache der Datenverarbeitung,
- seine Identität,
- seine Kontaktdaten,
- die Zwecke der Datenverarbeitung,
- die Rechtsgrundlagen seiner Datenverarbeitung,
- sein berechtigtes Interesse an der Datenverarbeitung,
- die Empfänger oder Kategorien von Empfängern im Falle der Datenübermittlung,
- (im Falle der Drittstaatenübermittlung) die von ihm getroffenen „safeguards“,
- die Speicherfrist,
- die Auskunfts-, Berichtigungs-, Vervollständigungs-, Löschungs-, Verarbeitungsbeschränkungs-, Widerspruchs- und Datenportabilitätsrechte des Betroffenen,
- das Recht des Betroffenen, die Einwilligung zu widerrufen,
- das Recht, eine Beschwerde bei der Datenschutzaufsicht einzureichen,
- (im Falle der automatisierten Einzelentscheidung) die Logik der Datenverarbeitung,
- die Tatsache der beabsichtigten Weiterverarbeitung und alle hier genannten Informationen auch für die Weiterverarbeitung.
Hat der Datenverarbeiter die Daten vom Betroffenen, gilt diese Informationspflicht ausnahmslos in jedem Fall, ohne dass es zum Beispiel eine Einschränkung unter Verhältnismäßigkeitsgesichtspunkten gäbe!
Viel Spaß bei der Veröffentlichung des Bildes eines Freundes auf der eigenen Webseite oder bei flickr… Und viel Spaß bei der Weiterverarbeitung (z.B. Reposten, Retweeten, Zitieren)…
5. Internetveröffentlichungen sind Drittstaatenübermittlungen
Doch Internetveröffentlichungen sind nicht nur datenschutzrechtlich relevante Vorgänge, sie sind auch Drittstaatenübermittlungen:
Nach der Lindqvist-Entscheidung des EuGH ist die Verwendung personenbezogener Daten auf einer Webseite eine automatisierte Verarbeitung im Sinne der Datenschutz-Richtlinie von 1995, so dass grundsätzlich die Richtlinie Anwendung findet (EuGH, Urt. v. 3.11.2003 – C-101/01, CR 2004, 286 ff.). In dieser Entscheidung aus dem Jahre 2003 hatte der EuGH zwar erklärt (EuGH, Urt. v. 3.11.2003 – C-101/01, CR 2004, 286 (289) Rz. 68 ff.), das Anbieten von Informationen im Internet sei nicht gleichzeitig eine Übermittlung von Daten in Drittstaaten – dies aber nur mit der Begründung, „angesichts des Entwicklungsstands des Internets zur Zeit der Ausarbeitung der Datenschutz-Richtlinie“ von 1995 und „angesichts des Fehlens von Kriterien für die Internetbenutzung in Kapitel IV dieser Richtlinie“ könne nicht angenommen werden, dass der Gemeinschaftsgesetzgeber unter den Begriff „Übermittlung von Daten in ein Drittland“ auch Veröffentlichungen im Internet fassen wollte.
Mittlerweile dürfte der Unionsgesetzgeber aber vom Entwicklungsstand des Internets Kenntnis genommen haben. Gleichwohl trifft er – in Kenntnis der Lindqvist-Entscheidung – keine Sonderregelungen für Internetveröffentlichungen. Das kann nur bedeuten, dass die vom EuGH im Jahre 2003 noch vorgenommene Einschränkung nach Inkrafttreten des DS-GVO-E wegfällt.
Ein praktisches Beispiel:
Wenn ich an dieser Stelle den Namen von beispielsweise Boris Becker erwähne, wird dieser Name mit Veröffentlichung dieses Blogbeitrags auch in den USA sichtbar. Mit Inkrafttreten des DS-GVO-E liegt bereits mit der Internetveröffentlichung eine Drittstaatenübermittlung vor. Durch die jüngste EuGH-Entscheidung zu Safe Harbor wird das Problem noch zusätzlich verschärft (EuGH, Urt. v.6.10.2015 – C-362/14, CR 2015, 633 m. Anm. Härting). Wenn ich also den Namen von Boris Becker in meinem Blogbeitrag erwähnen will, müsste ich an sich die Voraussetzungen des Art. 44 Abs. 1 lit. h) DS-GVO-E erfüllen. Danach ist die Drittstaatenübermittlung nur zulässig unter den folgenden Voraussetzungen, die kumulativ vorliegen müssen:
- Die Drittstaatenübermittlung ist “not repetitive”.
- Sie betrifft “only a limited number of data subjects”.
- Sie ist notwendig “for the purposes of compelling legitimate interests pursued by the controller which are not overridden by the interests or rights and freedoms of the data subject”.
- Der Datenverarbeiter “has assessed all the circumstances surrounding the data transfer and based on this assessment adduced suitable safeguards with respect to the protection of personal data.”
- Außerdem muss der Datenverarbeiter die Datenschutzaufsichtsbehörde über die Drittstaatenübermittlung informieren.
- Darüber hinaus muss der Datenverarbeiter dem Betroffenen (in diesem Fall also ich Herrn Becker) über die Tatsache der Drittstaatenübermittlung und über sein überwiegendes Interesse informieren; daneben muss er dem Betroffenen natürlich auch den Katalog an Informationen in Art. 14 und 14a DS-GVO-E geben.
Zwischenergebnis: Verbotsprinzip statt Freiheit
Der einfache Internetuser ist verantwortliche Stelle im Sinne dieses DS-GVO-E. Schon diese Konstruktion ist fragwürdig. Die zahlreichen Pflichten, die der DS-GVO-E dem Verantwortlichen auferlegt, sind vom einfachen Internetnutzer kaum zu erfüllen. Es stellt sich die Frage nach der Realitätsferne eines solchen Rechts. Man kann eine staatliche Überregulierung von Onlineaktivitäten wollen und für gut befinden. Wer dies will, sollte jedoch auch ehrlich zugeben, dass dies mit der Praxis der Kommunikation im Internet nicht zu vereinbaren ist und dass er letztlich eine andere Onlinewelt schaffen will, die nicht mehr von Freiheit, sondern vom Verbotsprinzip beherrscht wird.
In Teil II wird es um die Zulässigkeit der Verarbeitung von Daten im Internet gehen, die – nur wenige haben dies bislang erkannt – massiv beschränkt werden wird.