EU-Datenschutz: Gratulation zum Parlamentsbeschluss. Und Widerspruch.
Das Europäische Parlament hat heute mit breiter Mehrheit für die EU-Datenschutzreform gestimmt. Grund genug, dem Berichterstatter Jan Philipp Albrecht zu gratulieren und ihm zu widersprechen.
Sechs Aussagen aus Albrechts heute veröffentlichtem FAZ-Interview ("Europa steht vor der großen Daten-Pleite", FAZ online v. 12.3.2014) fordern Widerspruch heraus:
1. Das eigentliche Ziel der Datenschutzreform
„Im Grunde besteht das Ziel darin, die bisherigen europäischen Datenschutzregeln, die aus dem Jahr 1995 stammen, auch wirklich durchzusetzen. Insgesamt war die Richtlinie ein sehr gutes, weitsichtiges Gesetz. Es wurde nur in der Praxis sehr weit davon abgewichen, weil im Lauf der Jahrzehnte und der fortschreitenden technischen Entwicklung Schlupflöcher gefunden wurden.“ ["Europa steht vor der großen Daten-Pleite", FAZ online v. 12.3.2014, (erste Antwort von Albrecht, Sätze 1 und 2)]
Nein, Herr Albrecht. Aus heutiger Sicht ist das geltende Datenschutzrecht weder „gut“ noch gar „weitsichtig". Ganz im Gegenteil: Das Datenschutzrecht ist nicht zukunftstauglich.
Alle Datenschutzpraktiker kennen die Tücken und die Lückenhaftigkeit des geltenden Rechts. Jeder Praktiker, der einmal eine „Privacy Policy“ aufgesetzt hat, weiß: Man kann es nicht richtig machen, da das Gesetz zugleich Präzision und Kürze, aber auch umfassende technische Detailinformationen fordert.
Cookies, IP-Adressen, Profiling und sogar Datenschutzbestimmungen: All dies kommt im Datenschutzrecht nicht oder nur ganz am Rande vor. Wegen des ebenso unsäglichen wie offenen Streits um den Begriff des Personenbezugs ist sogar der Anwendungsbereich des Gesetzes streitig (Härting, "Personenbezug: Warum der Auslegungsstreit sinnfrei ist", CRonline Blog v. 3.10.2012). Auf grundlegende Fragen wie die Förderung anonymer und pseudonymer Verfahren gibt es keine befriedigenden Antworten (Härting, "Anonymity and pseudonymity: First the issues, then the definitions", CRonline Blog v. 28.3.2013).
2. Praxis der Rechtsdurchsetzung
„Heute ist es so – wenn Google vom Landgericht Berlin angeklagt wird wegen der Terms of Agreement, dann sagen die: Das ist ein Landgericht in einem der 28 Mitgliedstaaten, deswegen werden wir doch nicht unsere Marktpraxis in der EU ändern. Bis so ein Verfahren vor den EuGH gelangt, dauert es eine Ewigkeit – das einzige Verfahren, das es bis jetzt geschafft hat, ist das der Spanier gegen Google. Die ganzen Facebook-Verfahren, die Max Schrems 2011 angestrengt hat, sind noch nicht mal beim höchsten irischen Gericht entschieden.“ ["Europa steht vor der großen Daten-Pleite", FAZ online v. 12.3.2014, (zweite Antwort von Albrecht)]
Nein, Herr Albrecht. Wenn Google vom vzbv vor dem LG Berlin verklagt („angeklagt“) wird, wird das Urteil auch in Zukunft nur zwischen den Parteien wirken („inter partes“). Es ändert sich in dieser Hinsicht schlechterdings nichts. Das europäische Datenschutzrecht wird (und kann) weder Google noch anderen Anbietern den Rechtsschutz verweigern oder für eine Beschleunigung von Gerichtsverfahren sorgen. Und es wird auch weiterhin zu einfachen Fragen lange, komplizierte Urteile geben, da Sie die gesetzlichen Grundlagen („gut, weitsichtig“) ja nicht für änderungsbedürftig erachten.
3. Rechtsanwendung durch Gerichte
„Kommt die Verordnung, muss jedes Amtsgericht sie einfach anwenden. Da gibt es nichts mehr zu interpretieren. Wenn das Landgericht komplett fehlinterpretiert, muss es im Grunde sofort eine rechtspolitische Debatte in der gesamten Europäischen Union darüber geben.“ ["Europa steht vor der großen Daten-Pleite", FAZ online v. 12.3.2014, (dritte Antwort von Albrecht, Sätze 1 und 2)]
Nein, Herr Albrecht. Gerichte sind keine willigen Vollstrecker. Und es gehört zu den Grundlagen des Rechtsstaats, dass wir Gerichte haben, deren Aufgabe die Auslegung des Gesetzes – die „Interpretation“ – ist. Die Antwort auf ein „falsches Urteil“ ist in einem Rechtsstaat im Übrigen das Rechtsmittel und keine „Debatte“ gleich welcher Art.
4. Datensparsamkeit
„Es werden heute so viele Daten verarbeitet, die wir gar nicht sehen. Das versuchen wir jetzt deutlich zu begrenzen – eine Verschärfung zum bisherigen Recht. Es kann nicht sein, dass irgendein Unternehmen, von dem ich nichts weiß, plötzlich meine Daten verarbeitet für irgendwelche Zwecke, die für mich nicht vorhersehbar sind.“ ["Europa steht vor der großen Daten-Pleite", FAZ online v. 12.3.2014, (vierte Antwort von Albrecht, beide letzten Sätze)]
Das verstehe ich nicht, Herr Albrecht. Wenn das bisherige Recht so „gut und weitsichtig“ ist, warum wollen Sie es dann zugleich „verschärfen“ und die Datenverarbeitung „deutlich begrenzen“?
Und ist Datensparsamkeit wirklich eine „weitsichtige“ Antwort auf die digitalen Herausforderungen (vgl. Härting, "Datenschutz im 21. Jahrhundert – Teil 8: Auslaufmodell 'Datensparsamkeit'", CRonline Blog v. 29.10.2013)?
5. Pflichten für kleine und mittlere Unternehmen
„Im Parlamentskompromiss wird sehr klar gemacht: kleine und mittlere Unternehmen müssen viele Pflichten nicht erfüllen.“ ["Europa steht vor der großen Daten-Pleite", FAZ online v. 12.3.2014, (achte Antwort von Albrecht)]
Nein, Herr Albrecht. Sie wissen, dass das nicht stimmt.
Die EU-Kommission wollte sich Befugnisse vorbehalten, auf dem Verordnungsweg Erleichterungen für mittelständische Unternehmen zu schaffen. Die entsprechenden Befugnisnormen im Entwurf für eine EU-Datenschutz-GVO (Art. 12 Abs. 6 und Art. 14 Abs. 7 zu Informationspflichten; Art. 22 Abs. 4 zur Auftragsdatenverarbeitung; Art. 33 Abs. 6 zur Datenschutz-Folgenabschätzung) möchte das EU-Parlament ersatzlos streichen. Zum Schutz kleiner Unternehmen ist dem EU-Parlament nur Art. 14 Abs. 4 (bb) eingefallen, der kleinen Unternehmen und Mikrounternehmen das Recht gibt, ausführliche Datenschutzinformationen nur dann zu erteilen, wenn es der Betroffene verlangt (vgl. Härting, "Datenschutzreform in Europa: Einigung im EU-Parlament", CR 2013, 715).
6. Diskriminierung durch Profiling, Scoring und Data-Mining
„Normalerweise ist es im Datenschutzrecht so: Wenn man die Zustimmung zur Datenverarbeitung eingeholt hat, gibt es keine festgeschriebene Grenze mehr. Was natürlich, wenn man von der Menschenwürde ausgeht, wie es das Verfassungsgericht beim Datenschutz immer wieder getan hat, nicht ganz richtig ist. Auch die Selbstbestimmung des Einzelnen findet ihre Grenzen in der Würde aller Menschen. In der Richtlinie befand sich zumindest eine Bestimmung für automatisierte Datenverarbeitung. Man hat sich damals vorgestellt, dass wenn ein Prozessor automatisch Daten verarbeitet, das Ergebnis nicht eine diskriminierende Wirkung haben darf. Den Gedanken haben wir fortgeführt. Profiling, Scoring, Data-Mining darf im Ergebnis nicht diskriminierend sein. Die Frage ist aber auch schon, wie diskriminierend ein Algorithmus sein darf.“ ["Europa steht vor der großen Daten-Pleite", FAZ online v. 12.3.2014, (vierzehnte Antwort von Albrecht, Beginn)]
Nein, Herr Albrecht. Profiling ist keine Sonderform des Scoring und verlangt eigene Regelungskonzepte, die bislang fehlen (Härting, "Confusion on profiling: What regulation do we need?", CRonline Blog v. 7.3.2014).