27.11.2014

Der Fall "Generali" und der Datenschutz in Europa

Portrait von Niko Härting
Niko Härting

Das Datenschutzrecht ist eine bedeutsame und unverzichtbare Errungenschaft des Persönlichkeitsschutzes. Aber es steht nicht allein und absolut da und hat keinen Vorrang vor anderen wichtigen Gütern – dem Schutz der freien Kommunikation oder auch dem Schutz der freien unternehmerischen Betätigung. Wenn man den Datenschutz überhöht und übertreibt, geraten andere Freiheiten ins Hintertreffen. Das Datenschutzrecht darf weder zum Instrument einer Kommunikationskontrolle noch zu einem Einfallstor einer rigiden staatlichen Überwachung der privaten oder unternehmerischen Betätigung werden.

Digitalisierung der Gesellschaft

In den letzten 20 Jahren konnten wir beobachten, dass sich die Gesellschaft immer stärker digitalisiert. Dies gilt für die Medien – von Viva zu YouTube und von der Tageszeitung zu Spiegel Online. Dies gilt für den Handel – von Karstadt zu Zalando und von Hugendubel zu Amazon. Von Neckermann und TUI zu ab-in-den-Urlaub und booking.com. Von der Droschke zu Uber und von der Fremdenverkehrszentrale zu Airbnb. In jüngerer Zeit sprechen wir viel vom Internet der Dinge und von Industrie 4.0. Das Auto wird zum Computer auf Rädern, der Kühlschrank wird intelligent, und der Strom kommt zwar immer noch aus der Steckdose, dies aber zunehmend smart und digital vernetzt.

Reformbedarf im Datenschutzrecht

Das Datenschutzrecht ist im Zeitalter der Lochkarte entstanden, vor bald 50 Jahren – in den 60er- und 70er-Jahren des vergangenen Jahrhunderts. Die EU-Datenschutzrichtlinie trat 1995 in Kraft. Damals gab es kaum Internet, kaum Mobiltelefone, keine Smartphones, kein Facebook, kein Google und erst recht keine vernetzten Automobile und keine „Smart Homes“. Es überrascht daher nicht, dass das Datenschutzrecht in vielerlei Hinsicht reformbedürftig ist:

  • Beispiel „Datensparsamkeit“ und „Big Data“: Viele Datenverarbeitungsprozesse arbeiten heutzutage mit intelligenten Rechenformeln – mit Algorithmen, die per Wahrscheinlichkeitsrechnung aus großen Datenbeständen Erkenntnisse ziehen. Die Amazon-Kaufempfehlungen, personalisierte Suchergebnisse bei der Google-Suche, Autocorrect-Vorschläge, Übersetzungssoftware oder auch Verkehrslenkung und die Steuerung des sparsamen Energieverbrauchs: In all diesen Fällen ist „Datensparsamkeit“ völlig sinnfrei. Je größer die Datenbestände sind, die in die Auswertung einfließen, desto besser und präziser die Ergebnisse. Der Grundsatz der „Datensparsamkeit“ ist wirklichkeitsfremd und zukunftsfeindlich. Er gehört abgeschafft. (siehe Härting, "Wer an Daten spart, spart an Kommunikation, Fortschritt und Wachstum", CRonline Blog v. 28.1.2014)

 

  • Beispiel „Verbot mit Erlaubnisvorbehalt“ und „Alltagskommuikation“: Dies ist ein Grundprinzip des Datenschutzrechts. Es hat seine Wurzel im Verfassungsrecht und in dem Grundsatz, dass der Staat einer gesetzlichen Legitimation bedarf, wenn er in die Grundrechte der Bürger eingreift. So richtig dieser Grundsatz im öffentlichen Bereich ist, so unsinnig ist das Festhalten an dem Verbot im Bereich der privaten Wirtschaft. Die Datenverarbeitung gehört nicht grundsätzlich verboten, sondern erlaubt. Und es muss Schluss sein damit, jede Form der Alltagskommunikation datenschutzrechtlich nach denselben Kriterien zu beurteilen, wie dies bei hochsensiblen Daten der Fall ist. Nächtliche Chatprotokolle sind weitaus schutzwürdiger, als dies bei einem banalen Tweet der Fall ist. Daher bedarf es abgestufter Regelungen, die sich an den Risiken der jeweiligen Prozesse orientieren, und keiner pauschalen Verbote, die sich nur durch komplizierte Abwägungen abfedern lassen. (siehe Härting, "Personenbezug: Warum der Auslegungsstreit sinnfrei ist", CRonline Blog v. 3.10.2012)

 

  • Beispiel „Einwilligung per Mausklick“: Die Einwilligung ist – entgegen allen Bekundungen – ein äußerst schwaches Instrument des Persönlichkeitsschutzes. Sie ist eine Mogelpackung. Denn die digitale Kommunikation ist ein Massengeschäft, die Einwilligung mit einem Mausklick erledigt. Das Setzen eines Häkchens als elementares Instrument des Persönlichkeitsschutzes zu überhöhen, gehört zu den zentralen Lebenslügen des heutigen Datenschutzrechts. Der Gesetzgeber muss sich entscheiden, welche Grenzen er der Datenverarbeitung setzt. Wenn eine Kfz-Versicherung keinen Zugriff auf Daten über das Fahrverhalten haben soll, gehört ein solcher Zugriff verboten, ohne dass sich ein solches Verbot per einfachem Mausklick – per Einwilligung – außer Kraft setzen lässt. Wenn der Zugriff der Versicherung auf die Daten erlaubt sein soll, sind technische und gesetzliche Regeln notwendig für den Umgang mit diesen Daten. Privacy by Design und Accountability können die Hersteller und Verarbeiter in die Pflicht nehmen, Persönlichkeitsrechte zu wahren und zu schonen. Wer dagegen auf die Einwilligung setzt, lässt den Bürger und Verbraucher beim Schutz seiner Persönlichkeitsrechte allein. (siehe Schneider/Härting, "Datenschutz in Europa - Plädoyer für einen Neubeginn", CR 2014, 306 (309))

 

  • Beispiel „Überfrachtung“ und „Generali“: Wenn Krankenversicherungen Fitness-Apps anbieten und ihre Kunden mit Prämienrabatten zu gesundem Wohlverhalten animieren, wie dies dieser Tage von der „Generali“-Versicherung berichtet wird ("Juli Zeh über das Generali-Modell 'Wir werden manipulierbar und unfrei'", Süddeutsche.de v. 24.11.2014), ist dies nach geltendem Datenschutzrecht unproblematisch. Die Einwilligung heiligt die Mittel. Nichtsdestotrotz stellt sich eine schwierige Frage: Will man es einem privaten Versicherungsunternehmen erlauben zu definieren, was unter „gesundem Verhalten“ zu verstehen ist, um seine Kunden zu einem solchen Verhalten zu animieren? Dies ist eine Frage der Verbraucherschutz- und Gesundheitspolitik, für die das Datenschutzrecht und das Persönlichkeitsrecht keine Lösungen bereithalten. Wenn man nicht das Datenschutzrecht in ein allumfassendes Verbraucherschutzrecht umwandeln möchte, sollte man sich hüten, das Datenschutzrecht mit derartigen Fragen zu überfrachten. Ob Scoring, E-Health oder Smart Energy: Die Algorithmen müssen kontrollierbar sein, Verbraucher vor Diskrimierung und Manipulation geschützt werden. Dabei geht es indes nicht um Datenschutz, sondern um einen zukunftstauglichen Verbraucherschutz. (siehe Härting, "Telefonica, Big Data, intelligente Gaspedale und das Datenschutzrecht", CRonline Blog v. 16.4.2013)

Reformansatz der EU-Kommission

Als die Europäische Kommission Anfang 2012 ihre Vorschläge für ein neues europäisches Datenschutzrecht vorstellte, waren wir enttäuscht. Alter Wein in neuen Schläuchen. Statt den Schritt in ein Datenschutzrecht für das 21. Jahrhundert zu wagen, wollte die EU-Kommission an (vermeintlich) „Bewährtem“ festhalten. Beim materiellen Datenschutzrecht sollte so gut wie alles beim Alten bleiben. Kreativ war man nur bei der Ausgestaltung von drastischen Sanktionen und bei der liebevollen Ausgestaltung einer gesamteuropäischen Datenschutzaufsicht – einer pyramidenartigen Maschinerie zur Durchsetzung des Datenschutzrechts mit der EU-Kommission an der Spitze.

Input des EU-Parlaments

Das Europäische Parlament hat leider auch keine mutigen Modernisierungsschritte gewagt. Man verfing sich dort in einem Klein-Klein der unzähligen Änderungsanträge. Ideen für ein Datenschutzrecht, das den Herausforderungen der vernetzten Kommunikation gewachsen ist, findet man in den Parlamentsvorschlägen kaum.

Hoffen auf den EU-Rat ...

Im Europäischen Rat wird die Datenschutzreform seit mehr als einem Jahr intensiv und gründlich beraten. Erst dort hat sich herausgestellt, dass vieles nicht so einfach ist, wie sich dies die EU-Kommission und das EU-Parlament vorgestellt haben. Ob Auftragsdatenverarbeitung, der „One-Stop-Shop“ oder auch das „Profiling“: Wenn man zukunftstaugliche Regelungen schaffen möchte, die in ganz Europa gelten sollen, braucht dies Zeit. Und es braucht Politiker, die den langen Atem haben, der notwendig ist, um ein komplexes Gesetzesvorhaben zu einem Ergebnis zu führen, das mehr ist als eine bloße Mogelpackung. Es geht um ein Regulierungsvorhaben mit erheblichen Folgen für die Wettbewerbsfähigkeit der europäischen Wirtschaft. Dass dabei „Sorgfalt vor Eile“ gehen muss, kann nicht häufig genug betont werden.

In vielen Bereichen ist noch offen, wie sich der Europäische Rat positioniert. Zwei besonders wichtige Themen möchte ich hervorheben:

  • Schutz der freien Kommunikation: Das Urteil des Europäischen Gerichtshofs zu „Google Spain“ hat deutlich gemacht, dass Datenschutzregulierung – wie Verfassungsrichter Masing seit langem betont (Masing, "Politik: ‘Grundrechte in Gefahr'”, Süddeutsche.de v. 9.1.2012) - unter den heutigen Bedingungen stets auch Kommunikationsregulierung ist. Wenn Datenverarbeitung grundsätzlich verboten wird, bedeutet dies zugleich für jegliche Kommunikation ein Verbot mit Erlaubnisvorbehalt. Die Meinungs-, Informations- und Kommunikationsfreiheit droht, unter die Räder eines staatlich überwachten Datenschutzes zu geraten. Wenn (als Folge des EuGH-Urteils) staatliche Behörden unter dem Gesichtspunkt des Datenschutzes prüfen sollen, ob Informationen im Netz per Google-Suche auffindbar sein dürfen, ist dies die Vorstufe zur Zensur (so aber Punkt E. zur Rolle der Datenschutzaufsichtsbehörden in den von der Art. 29-Datenschutzgruppe am 26.11.2014 verabschiedeten "Guidelines on the implementation of the Court of Justice of the European Union judgment on Google Spain and inc v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González C-131/121", WP 225). Daher ist es richtig, dass sich mehr und mehr die Einsicht verbreitet, dass ein neues europäisches Datenschutzrecht die Abwägung zwischen Kommunikationsfreiheit und Persönlichkeitsrechten nicht einfach den Mitgliedsstaaten überlassen darf, wie dies EU-Kommission und EU-Parlament vorgeschlagen haben. Vielmehr müssen Leitplanken gesetzt werden, die verhindern, dass das Datenschutzrecht zu einem Zensurinstrument wird.

 

  • „Big Data“ und „Profiling“: Die algorithmengesteuerte Auswertung großer Datenbestände eröffnet viele neue Geschäftsfelder und Geschäftsideen. „Big Data“ ist die Basis der Fortschritte in der Industrie, die wir als „Industrie 4.0“ bezeichnen. „Big Data“ eröffnet großartige Chancen in der Medizin, der Forschung und Entwicklung. Zugleich stellen die komplexen „Big Data“-Prozesse den Verbraucherschutz vor die Herausforderung, diskriminierenden und manipulativen Methoden entgegenzuwirken. Hier gibt es keine einfachen regulatorischen Lösungen – wie etwa unsinnige Forderungen, das „Profiling“ nur (aber auch immer dann) zu erlauben, wenn alle Betroffenen „eingewilligt“ haben.Wenn der Sachverhalt – wie beim „Profiling“ – komplex ist, kann die Regulierung nicht schlicht und einfach sein (kon- und instruktiv dazu Härting, "Profiling: Vorschläge für eine intelligente Regulierung", CR 2014, 528 ff.). Weder die EU-Kommission noch das EU-Parlament haben überzeugende Regulierungsvorschläge erarbeitet. Es ist zu hoffen, dass dem Europäischen Rat ein Vorschlag gelingt, der die schwierige Balance zwischen Chancen und Risiken von „Big Data“ wahrt und so differenziert ist, dass das Datenschutzrecht an diesem Punkt nicht zum Hemmschuh für die Wirtschaft, für das Wachstum und für Arbeitsplätze in Europa wird.

 

Zurück