Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

June 06 2013

Was bringt das Datenschutzranking von Lobbyplag?

Richard Gutjahr berichtet heute in seinem Blog über ein Datenschutzranking der Initiative Lobbyplag. Dort wird dargestellt, welche Abgeordneten und Parteien Änderungsanträge zur geplanten Datenschutzgrundverordnung eingebracht haben, die den Datenschutz entweder stärken oder schwächen.

Nach Lektüre des Beitrags ist man allerdings nicht viel schlauer als vorher. Denn wie dieses Ranking zustande gekommen ist, erschließt sich dem oberflächlichen Betrachter nicht, auch wenn Lobbyplag die Vorgehensweise und Kriterien etwas ausführlicher beschreibt. Zentral ist in einem ersten Schritt nämlich immer die Frage, ob man den einzelnen Änderungsantrag als datenschutzfreundlich oder datenschutzfeindlich qualifiziert. Hierzu haben die Macher von Lobbyplag mehr als 3.000 Änderungsanträge jeweils mit einem Plus oder einem Minus versehen oder auch als neutral bewertet.

Bereits bei einem kurzen beliebigen Blick auf einige Einzelbewertungen erkennt man Diskussionsbedarf. Ich möchte hierzu ein beliebiges Beispiel  herausgreifen, um zu zeigen, wie fragwürdig einzelne Bewertungen durch Lobbyplag sein können. Das Beispiel betrifft folgenden Änderungsvorschlag des Abgeordneten Axel Voss:

#413 – Recital 25
(25) Consent should be given explicitlyunambiguously by any appropriate method enabling a freely given specific and informed indication of the data subject’s wishes, either by a statement or by a clear affirmative action by the data subject, ensuring that individuals are aware that they give their consent to the processing of personal data, including by ticking a box when visiting an Internet website or by any other statement or conduct which clearly indicates in this context the data subject’s acceptance of the proposed processing of their personal data. Silence or inactivity should therefore not constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. If the data subject’s consent is to be given following an electronic request, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided. The information provided in order for children to express the consent should be given in a clear and age-appropriate language, in a way that it would be easy to understand for a child above the age of 13.

Als schwächende Veränderung wurde hier gewertet, dass bei der datenschutzrechtlichen Einwilligung der Begriff “explicitly” durch “unambiguously” ersetzt werden soll. Man kann das allerdings auch als sinnvolle Klarstellung bewerten. Denn der aktuelle Entwurfstext ist widersprüchlich. Er spricht einerseits davon, dass die Einwilligung ausdrücklich (explicitly) erteilt werden soll, um dann auszuführen, dass auch eine eindeutige Handlung (clear affirmative action)  - also konkludentes Verhalten – ausreichend sein soll. Es erscheint mir sinnvoll, diesen Widerspruch aufzulösen, um spätere gegensätzliche Auslegungen zu vermeiden. Die weitere Einfügung des Abgeordneten Voss, wonach die Einwilligungserklärung gegenüber Kindern (über 13 Jahren) in einer klaren und altersgerechten Sprache abgefasst sein muss, ist meines Erachtens als datenschutzfreundliche Ergänzung zu qualifizieren.

Ich würde hier also die erste Änderung als neutral, aber sinnvoll und die zweite als datenschutzstärkend einstufen. Das ergibt dann, anders als bei Lobbyplag, in der Tendenz eine datenschutzfreundliche Wertung. Wenn mir solche Fälle schon bei einer ersten beliebigen Draufsicht auffallen, muss ich unterstellen, dass sich zahlreiche fragwürdige Bewertungen finden lassen. Die Zeit, mehr als 3.000 Einzelbewertungen zu überprüfen, habe ich allerdings nicht. Solche Ungereimtheiten bleiben dem normale Nutzer, der sich nicht in die Einzelheiten vertieft, aber zwangsläufig verborgen.

Jenseits der Einzelbewertungen bestehen aber ganz grundlegende methodische Bedenken gegen das Vorgehen von Lobbyplag. Das Datenschutzranking ist von einem Tunnelblick geprägt und blendet die komplexen Wechselwirkungen zu anderen Rechtspositionen und legitimen Interessen gänzlich aus.

Das Recht auf Schutz personenbezogener Daten bzw. das Grundrecht auf informationelle Selbstbestimmung steht, wie jedes Grundrecht, im ständigen Spannungsverhältnis zu anderen Rechten und Grundwerten. Es kann also durchaus sein, dass eine Änderung, die man isoliert als Schwächung des Datenschutzes bewerten kann, gleichzeitig das Recht auf Meinungs- oder Informationsfreiheit stärkt, um nur eines der bekannten Spannungsfelder zu nennen. Und natürlich müssen und dürfen auch legitime wirtschaftliche Interessen berücksichtigt werden. Dass vordergründig datenschutzfreundliche Änderungsvorschläge zu Lasten der Kommunikationsfreiheiten gehen können, habe ich bereits früher erläutert. Carlo Piltz hat einen anderen vermeintlich datenschutzfreundlichen Aspekt der Datenschutzgrundverordnung, das geplante Recht auf Datenübertragbarkeit, kritisch beleuchtet und hinterfragt. Ob man also etwas als datenschutzfreundlich bewertet oder nicht, besagt noch nichts darüber, ob eine Regelung in einem größeren Kontext als ausgewogen und vor allen Dingen – woran es im ganzen Datenschutzrecht erheblich krankt – praxistauglich zu bewerten ist. Die Einteilung in gut oder böse bzw. hier in datenschutzfreundlich und datenschutzfeindlich lässt die komplexe Wechselwirkung mit anderen Rechtspositionen völlig außer Betracht. Genau das müsste aber analysiert und bewertet werden. Dieses Ranking nimmt keinerlei Interessenabwägung vor und das ist wohl auch nicht sein Anliegen. Sein Ansatz ist vielmehr monokausal.

Gerade deshalb ist es aber aus rechtswissenschaftlicher Sicht nicht wirklich brauchbar und hilfreich. Der methodische Ansatz den Lobbyplag gewählt hat, ist nicht geeignet, den notwendigen komplexen Abwägungsprozess abzubilden.

March 07 2013

Wissenschaftler gegen Verwässerung der geplanten Datenschutzgrundverordnung

Vor einigen Wochen haben sechs Wissenschaftler auf ZEIT-Online einen Aufruf veröffentlicht, die geplante Datenschutzgrundverordnung nicht zu verwässern. Diesem Aufruf haben sich mittlerweile mehr als 60 Wissenschaftler aus ganz Europa angeschlossen.

An dem Aufruf stört mich ganz entscheidend, dass einer der wirklich kritischen Aspekte dieser Datenschutzgrundverordnung, nämlich der Umstand, dass Erlaubnistatbestände in weitem Maß durch die Kommission über sog. delegierte Rechtsakte geregelt werden sollen, zwar thematisiert wird, aber erst ganz zum Ende. Das deutet auf eine verfehlte Schwerpunktsetzung hin.

Grundsätzlich stimme ich mit den Verfassern aber darin überein, dass es vermutlich technische Lösungen sein werden, die die datenschutzrechtlichen Probleme der Nutzer lösen können. Ob wir in Zukunft tatsächlich ein höheres Datenschutzniveau haben werden, als es faktisch derzeit vorhanden ist, hängt maßgeblich davon ab, ob es gelingt, technische Lösungen wie “Do Not Track” weltweit zu etablieren. Möglicherweise müsste der (europäische) Gesetzgeber gerade diesbezüglich verbindliche Vorgaben machen. Die geplante Datenschutzgrundverordnung wird in ihrer jetzigen Form vermutlich weniger zur Verbesserung des Datenschutzes beitragen, als viele glauben.

Wir müssen vielmehr aufpassen, dass wir das Kind nicht mit dem Bade ausschütten und in dem Streben nach einem hohen Datenschutzniveau nicht andere demokratische und rechtsstaatliche Grundlagen über Bord werfen. Dass diese Gefahr gerade im Hinblick auf die Datenschutzgrundverordnung besteht, hatte ich hier bereits erläutert.

February 21 2013

Die Datenschutzgrundverordnung und die Bürgerrechte

In der Diskussion um die geplante Datenschutzgrundverordnung wird von Bürgerrechtsgruppen regelmäßig darauf hingewiesen, dass Industrielobbyisten versuchen würden, den Kommissionsentwurf zu verwässern. Grundsätzliche Kritik an der geplanten Datenschutzreform hört man aus der bürgerrechtlichen Ecke demgegenüber kaum. Es wird ganz im Gegenteil der Eindruck erweckt, als sei das vorgestellte Konzept im Sinne der Bürgerrechte zwingend notwendig und sogar noch zu verschärfen. Slogans wie “Unsere Grundrechte auf Privatsphäre und Datenschutz sind in Gefahr! schüren Ängste und lenken von der eigentlich notwendigen Diskussion ab.

Es werden insoweit von Bürgerrechtsorganisationen durchaus auch bedenkliche Forderungen aufgestellt, was ich anhand eines konkreten Beispiels einmal näher erläutern möchte. Der Verein Digitale Gesellschaft e.V. hat einen 10-Punkte-Katalog zur Datenschutzgrundverordnung aufgestellt, in dem u.a. folgende Forderung enthalten ist:

Einer der sechs Kriterien für eine rechtmäßige Verarbeitung von Daten ist das sogenannte „berechtigte Interesse“ der Unternehmen. (…) Der Bericht des Europäischen Parlaments lässt viel zu viele Ausnahmen zu. Der Begriff des „berechtigten Interesses“ wird dadurch zu einer Art Trojaner, der eine exzessive Verarbeitung unserer Daten ermöglicht. (…)

Wir fordern daher, dass das „berechtigte Interesse“ als Kriterium für eine rechtmäßige Datenverarbeitung komplett gestrichen wird.

Um zu verstehen, was das bedeutet, muss man etwas weiter ausholen und sich mit der Grundstruktur des Datenschutzrechts auseinandersetzen.

Das Datenschutzrecht ist vom sog. Verbotsprinzip geprägt, das unter einem Erlaubnisvorbehalt steht. Dieses Konzept wird von der Datenschutzgrundverordnung, trotz erheblicher Kritik, beibehalten. Es besagt, dass zunächst jede Erhebung und Verarbeitung personenbezogener Daten verboten ist, solange nicht der Betroffene ausdrücklich in die Datenverarbeitung einwilligt oder ein Gesetz die Datenverarbeitung zulässt.

Der Entwurf der Datenschutzgrundverordnung macht insoweit in seinem Art. 6 zur Rechtmäßigkeit einer Datenverarbeitung folgende Vorgaben:

Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere genau festgelegte Zwecke gegeben.
b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich oder zur Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen.
c) Die Verarbeitung ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt.
d) Die Verarbeitung ist nötig, um lebenswichtige Interessen der betroffenen Person zu schützen.
e) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung hoheitlicher Gewalt erfolgt und die dem für die Verarbeitung Verantwortlichen übertragen wurde.
f) Die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Dieser gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Was die Digitale Gesellschaft also fordert, ist die komplette Streichung von Art. 6 Abs. 1 Nr. f. Das wird zu unlösbaren praktischen Problemen führen und würde zu Ende gedacht sogar ein Verbot sämtlicher Internetkommunikation bedeuten.

Die Internetkommunikation ist bekanntlich IP-basiert, d.h. es werden laufend IP-Adressen übermittelt und ganz regelmäßig auch gespeichert. IP-Adressen sind aber nach der derzeitigen Einschätzung aller deutschen Datenschutzaufsichtsbehörden stets als personenbezogene Daten anzusehen. Ob das nach der Verordnung auch so sein soll, ist nach der Entwurfsfassung nicht gänzlich klar. Die Änderungsvorschläge des Berichterstatters im EU-Parlament Jan Philipp Albrecht sehen im Änderungsantrag 15 deshalb vor, klarzustellen, dass auch IP-Adressen und Cookies als personenbezogen im Sinne der Verordnung betrachtet werden müssen, es sei denn, es handelt sich um IP-Adressen von Unternehmen. Diese Differenzierung ist schon deshalb problematisch, weil man der IP-Adresse ja nicht ansieht, ob sie von einem Unternehmen oder einer natürlichen Person verwendet wird, weshalb man als sog. verantwortliche Stelle im Zweifel immer alle IP-Adressen als personenbezogen betrachten muss.

Die Übermittlung und Speicherung von IP-Adressen und Cookies wäre damit nach dem geltenden Verbotsprinzip zunächst generell verboten. Das bedeutet eigentlich, dass damit in einem ersten Schritt die gesamte Internetkommunikation datenschutzwidrig ist. Diese Datenverarbreitung kann nun natürlich aber zulässig sein, wenn ein gesetzlicher Erlaubnistatbestand vorliegt. Weil eine Einwilligung ausscheidet und auch ein Vertragsverhältnis im Regelfall nicht gegeben ist, bleibt als einziger Erlaubnistatbestand nach der Datenschutzgrundverordnung die Vorschrift des Art. 6 Abs. 1 Nr. f, nämlich die Wahrung eines berechtigten Interesses. Und genau diese Regelung möchte die Digitale Gesellschaft streichen, mit der Begründung, es handle sich um eine Art Trojaner, der eine exzessive Verarbeitung unserer Daten ermöglicht. Das Dumme ist jetzt nur, dass dieser Trojaner die Internetkommunkation datenschutzrechtlich überhaupt erst erlaubt.

Gerade schwer nachvollziehbare Folgen dieser Art sind der Grund dafür, dass einige ernsthafte Stimmen eine grundlegende Reform des Datenschutzrechts fordern und eine Abkehr vom Verbotsprinzip.

Was in der bürgerrechtlichen Diskussion ebenfalls viel zu kurz kommt, ist das Spannungsverhältnis zwischen Datenschutz einerseits und Kommunikationsgrundrechten (Meinungs- und Informationsfreiheit) andererseits. Das Verbot personenbezogene Daten zu veröffentlichen, schränkt nämlich grundsätzlich auch die Meinungs- und Pressefreiheit ein, denn jedwede Information zu einer bestimmten Person ist gleichzeitig auch immer ein personenbezogenes Datum.

Man geht daher schon seit langem davon aus, dass es ein Berichterstattungsprivileg geben muss, das die Vorgaben des Datenschutzrechts einschränkt. Ein solches hat der BGH beispielsweise in der Spick-Mich-Entscheidung angenommen und ausgeführt, dass die Meinungsfreiheit und das berechtigte Informationsinteresse das Recht auf informationelle Selbstbestimmung des Betroffenen überwiegen können.

Dieses Medien- oder Berichterstattungsprivileg ist bislang praktisch nicht kodifiziert. Es wäre deshalb naheliegend – zumal wir immer von einer Informationsgesellschaft reden – dass sich der europäische Gesetzgeber dieses zentralen Punkts annimmt, um eine möglichst klare und europaweit einheitliche Regelung zu schaffen.

Um es deutlich zu sagen: Ein strenges Datenschutzregime beinhaltet immer auch eine Einschränkung der Kommunikationsfreiheiten. Es besteht also ein latentes Spannungsverhältnis zwischen dem Recht auf informationelle Selbstbestimmung – als Grundlage des Datenschutzes – und der Meinungs- und Informationsfreiheit. Es ist also aus bürgerrechtlicher Sicht etwas kurzsichtig, sich nur auf einen grundrechtlichen Aspekt zu konzentrieren, ohne die Wechselwirkungen zu beachten.

Leider sind wir von einer differenzierten Diskussion noch meilenwert entfernt. Auf der einen Seiten haben wir Unternehmenslobbyisten, die Datenschutz in der Tendenz primär als Hemmnis sehen, während wir auf der Gegenseite vermeintliche Bürgerrechtler stehen haben, die z.T. bedenkliche und nicht durchdachte Positionen einnehmen.

Wir haben es mit einer Diskussion zu tun, in der es um das Spannungsverhältnis verschiedener Grundrechte geht. Demzufolge ist eine ausdifferenzierte Abwägung erforderlich. Das setzt allerdings die Erkenntnis voraus, dass sowohl die Position der Hardcore-Datenschützer wie auch die der Industrielobbyisten in ihrer Absolutheit falsch ist. Wir leben aber leider in einer Gesellschaft die Kampagnen bevorzugt, die von klaren Schwarz-Weiß-Schemata geprägt sind. Und das spürt man auch bei dieser Diskussion mehr als deutlich.

 

Zur inhaltlichen Kritik an den Reformplänen der EU hier noch ein Überblick über Blogbeiträge zum Thema:

Hebelt die geplante EU-Datenschutzverordnung deutsche Grundrechte aus?

Der Entwurf einer EU-Datenschutzverordnung in der Kritik

Weitere Kritik an der geplanten EU-Datenschutzverordnung

Alternativentwurf einer EU-Datenschutzverordnung

Wie sinnvoll und wie demokratisch ist die geplante EU-Datenschutzgrundverordnung?

Muss unser Datenschutzrecht runderneuert werden?

5 Thesen zur Datenschutz-Verordnung (via Telemedicus)

October 24 2012

Wie sinnvoll und wie demokratisch ist die geplante EU-Datenschutzgrundverordnung?

Anhand einer beispielhaften Darstellung werde ich nachfolgend versuchen, einige fundamentale Defizite der geplanten EU-Datenschutzverordnung darzustellen, die bislang in der öffentlichen Diskussion wenig Beachtung gefunden haben, wobei mein Fokus hierbei auf dem Internet liegt.

In Deutschland gibt es seit Jahren eine kontroverse Diskussion darüber, ob IP-Adressen stets als personenbezogene Daten im datenschutzrechtlichen Sinne zu betrachten sind oder nur dann, wenn die speichernde Stelle den Personenbezug herstellen kann. Diese Streitfrage, die ich bereits früher ausfürlich dargestellt habe, ist für die Internetkommunikation von entscheidender Bedeutung. Wenn man IP-Adressen per se als personenbezogen betrachtet, dann dürfen diese Daten nach dem geltenden Prinzip eines Verbots mit Erlaubnisvorbehalt grundsätzlich nämlich gar nicht gespeichert werden, es sei denn, eine gesetzliche Vorschrift erlaubt die Speicherung ausdrücklich.

Man muss sich also die Frage stellen, ob die geplante EU-Datenschutzgrundverordnung diese Streitfrage rechtssicher auflöst. Ein Blick in den Text und die Erwägungsgründe zeigt, dass dies nicht der Fall ist, sondern die Rechtsunsicherheit vermutlich sogar noch verschärft wird.

Art. 4 Abs. 2 der DatenschutzgrundVO definiert als personenbezogene Daten “alle Informationen, die sich auf eine betroffene Person beziehen“. Das ist m.E. bereits deshalb schlecht, weil damit letztlich der Personenbezug über den Personenbezug definiert wird und es sich somit eher um eine Tautologie als um eine Legaldefinition handelt. Der Ansatz erscheint aber derart weit, dass man angesichts des Wortlauts wohl darauf schließen müsste, dass sich die Verordnung für den absoluten Personenbezug entschieden hat.

In Widerspruch hierzu steht dann allerdings Erwägungsgrund 24 der Verordnung, der lautet:

Bei der Inanspruchnahme von Online-Diensten werden dem Nutzer unter Umständen Online-Kennungen wie IP-Adressen oder Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, zugeordnet. Dies kann Spuren hinterlassen, die zusammen mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der betroffenen Personen zu erstellen und sie zu identifizieren. Hieraus folgt, dass Kennnummern, Standortdaten, Online-Kennungen oder sonstige Elemente als solche nicht zwangsläufig und unter allen Umständen als personenbezogene Daten zu betrachten sind.

Danach sollen also IP-Adressen und auch Cookies nicht stets personenbezogene Daten darstellen. Darüber, unter welchen Voraussetzungen Personenbezug zu bejahen ist, schweigt sich die Verordnung insgesamt freilich aus. Neben der Fundamentalkritik an der geplanten Datenschutzgrundverodnung, sind es derartige handwerkliche und regelungstechnische Ungenauigkeiten, die diese Verordnung so gefährlich machen und die Befürchtung nähren, dass die Rechtsunsicherheit über Jahre hinweg sogar noch erhöht werden wird.

Man muss sich in diesem Zusammenhang auch vor Augen führen, dass sowohl das BDSG als auch die datenschutzrechtlichen Vorschriften des TMG komplett wegfallen müssen, wenn die Verordnung als unmittelbar geltendes Recht in Kraft tritt.

Da die Verordnung andererseits das Konzept des Verbots mit Erlaubnisvorbehalt fortsetzt, bedeutet dies auch weiterhin, dass eine Datenverarbeitung zunächst verboten ist, soweit sie nicht von der Verordnung ausdrücklich erlaubt wird. Es stellt sich also die Frage, ob die Verordnung hinreichende Erlaubnistatbestände enthält. Denn das Problem besteht natürlich darin, dass gerade die Internetkommunikation einen fortwährender Prozess der Verarbeitung personenbezogener Daten darstellt, zumal wenn man – was die deutschen Aufsichtsbehörden seit Jahren tun – den Begriff des Personenbezugs extensiv auslegt.

Folge des Wegfalls der TMG-Vorschriften ist es in jedem Fall, dass auch die Unterscheidung zwischen Bestands-, Nutzungs- und
Inhaltsdaten nicht mehr stattfindet, ebensowenig wie die Unterscheidung zwischen der Datenverarbeitung zu eigenen bzw. fremden Zwecken.

Da die Verordnung nicht in ausreichendem Maße Erlaubnistatbestände enthält – was auch der Kommission sehr wohl bewusst ist – kommt ein weiterer zentraler Aspekt hinzu. Die Kommission wird durch die Verordnung nämlich ermächtigt, sog. delegierte Rechtsakte zu erlassen, die insbesondere derartige Erlaubnistatbestände näher ausgestalten (Art. 5 Abs. 5, Art. 86). Das ist unter demokratischen Gesichtspunkten schlicht eine Katastrophe, denn damit wird eine wesentliche und grundrechtsintensive Gesetzgebungsbefugnis auf eine Institution verlagert, die über keinerlei demokratische Legitimation verfügt. Die Kommission hat sich damit quasi selbst für den Bereich des Datenschutzrechts eine weitreichende Rechtssetzungsbefugnis eingeräumt, die keine paralamentarische Basis hat. Die Datenschutzgrundverordnung verfestigt damit das auf EU-Ebene ohnehin bestehende erhebliche Demokratiedefizit.

Diese Datenschutzgrundverordnung ist somit gerade aus demokratischer und bügerrechtlicher Sicht untragbar. Dass sich speziell bei Bürgerrechtlern bislang wenig Widerstand regt, sondern vielmehr eher Zustimmung vorzuherrschen scheint, wird sich vermutlich noch als folgenschwere Fehleinschätzung erweisen.

August 31 2012

Alternativentwurf einer EU-Datendschutzverordnung

Die Kollegen Härting und Schneider, die schon seit längerer Zeit eine weitreichende Reform des Datenschutzrechts fordern, haben nunmehr eine ausformulierte Alternative zum Entwurf einer Datenschutzgrundverordnung, den die EU-Kommission vor einigen Monaten vorgelegt hatte, vorgestellt.

Der Vorschlag von Härting und Schneider läuft auf einen Paradigmenwechsel hinaus, der mir zumindest im Grundsatz aber auch notwendig erscheint.

Wesentlich am Vorschlag von Härting/Schneider ist die Differenzierung zwischen personenbezogenen und sensiblen Informationen. Damit würde im Datenschutzrecht erstmals eine Abstufung nach dem Inhalt und der Bedeutung der Information für den Betroffenen vorgenommen. Das geltende Datenschutzrecht schützt alle personenbezogenen Daten gleichermaßen und zwar völlig unabhängig davon, wie schwer beispielsweise eine Weitergabe der konkreten Infomation für den Betroffenen tatsächlich wiegt. Als sensible Informationen sehen Härting/Schneider allerdings nur solche an, die der Intimsphäre des Betroffenen entstammen. Das ist meines Erachtens nicht sachgerecht, weil es eine ganze Reihe sensibler Daten gibt, die nicht aus der Intimsphäre stammen, an denen aber dennoch ein berechtigtes Geheimhaltungsinteresse des Betroffenen bestehen kann. Die Differenzierung von Härting/Schneider ist zwar grundsätzlich sinnvoll, die Gleichsetzung sensibler und intimer Daten erscheint allerdings zu eng.

Zweiter zentraler Aspekt des Entwurfs von Härting/Schneider ist eine Abkehr vom Verbotsprinzip. Das geltende Datenschutzrecht geht davon aus, dass eine Verarbeitung personenbezogener Daten zunächst grundsätzlich verboten ist, es sei denn, der Betroffene willigt ein oder eine gesetzliche Vorschrift erlaubt die Datenverarbeitung ausdrücklich (Verbot mit Erlaubnisvorbehalt). Schneider und Härting wollen demgegenüber als Grundsatz festschreiben, dass die Datenverarbeitung zunächst erlaubt sein soll. In ihrem § 5 Abs. 2 S. 1 heißt es deshalb:

Die Erhebung personenbezogener Informationen ist erlaubt.

Diese grundsätzliche gesetzliche Erlaubnis wird nach dem Konzept von Härting/Schneider dann dadurch eingeschränkt, dass der Datenverarbeiter verpflichtet ist, Rücksicht auf die Persönlichkeitsrechte der Betroffenen zu nehmen. Anstelle eines Verbots mit Erlaubnisvorbehalt tritt ein Abwägungsgebot.

Lediglich dann, wenn es sich um Angaben handelt, die Aussagen über die Privat- oder Intimsphäre des Betroffenen enthalten und – allein oder in Verbindung mit anderen Angaben – ein aussagekräftiges Bild der Persönlichkeit ermöglichen, sind die Betroffenen von der Erhebung der Informationen zu unterrichten, sofern keine eigenen, überwiegenden Interessen des Dritten einer Unterrichtung entgegenstehen. Der Betroffene ist dann berechtigt, der Verarbeitung, Übermittlung und Nutzung der Informationen zu widersprechen, sofern seine schutzwürdigen Interessen der Datenverarbeitung entgegenstehen.

Diese Widerspruchslösung für Daten, die aus der Privat- oder Intimsphäre des Betroffenen stammen, ist allerdings schwerlich mit der Rechtsprechung des Bundesverfassungsgerichts zum Schutz des Persönlichkeitsrechts vereinbar. Denn Informationen, die der Intimsphäre des Betroffenen entstammen genießen danach absoluten, solche der Privatsphäre zumindest noch überwiegenden Schutz. Das bedeutet, Informationen aus der Intimsphäre des Betroffenen dürfen überhaupt nicht weitergegeben oder veröffentlicht werden, solche aus der Privatsphäre nur dann, wenn ein besonders bedeutsames Interesse der Allgemeinheit gegeben ist. Vor diesem Hintergrund genügt die bloße Möglichkeit zu widersprechen, den verfassungsrechtlichen Anforderungen nicht.

Diese Problematik wird in dem Entwurf von Härting/Schneider aber letztlich dadurch wieder abgemildert, dass § 8 Abs.1 des Entwurfs für die Verabreitung sensibler Informationen eine vorheriger Zustimmung (Einwilligung) des Betroffenen oder eine gesetzliche Gestattung verlangt. Für diese sensiblen Daten, die allerdings wie gesagt auf Informationen aus der Intimsphäre beschränkt sind, kehren Härting/Schneider dann eben doch zum Prinzip des Verbots mit Erlaubnisvorbehalt zurück.

Die Erstellung von Bewegungsprofilen und Nutzerprofilen wollen Härting/Schneider übrigens nur dann von einer Einwilligung des Betroffenen abhängig machen, wenn die Auswertung Aussagen über die Intimsphäre enthalten kann.

Der Alternativentwurf von Härting/Schneider stimmt zwar von seiner Stoßrichtung her, bietet im Detail aber Anlass zur Kritik. Nachdem der Entwurf allerdings, wie eingangs gesagt, einen datenschutzrechtlichen Paradigmenwechsel bewirken würde, ist nicht damit zu rechnen, dass sich für diesen Ansatz in der (aktuellen) politischen Diskussion eine europaweite Mehrheit finden wird.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl