Jan Philipp Albrecht setzt sich durch: Datenschutzrecht soll ausnahmslos für Maschinendaten gelten
Unter "Proposal for a General Data Protection Regulation - Preparation for Trilogue", Council of EU, Doc.-No. 14902/15 v. 4.12.2015 kann man den Stand der Trilog-Verhandlungen per 4.12.2015 nachlesen. Der Trilog soll am 15.12.2015 abgeschlossen werden. Die Datenschutz-Hardliner rund um Jan Philipp Albrecht setzen sich durch:
Wir bekommen ein Datenschutzrecht, das die gesamte digitale Kommunikation (mit wenigen Ausnahmen) der strengen Aufsicht staatlicher Datenschutzbehörden unterwirft. Das strenge Regime soll für jedes Datum gelten, das in irgendeiner Form mit einer Person in Verbindung gebracht werden kann.
Für jeden Cookie, jede IP-Adresse, jede Gerätekennung soll das Datenschutzrecht unerbittlich gelten. Internet of Things, Industrie 4.0., Connected Car: Alle Techniken der Zukunft werden der strengstmöglichen Regulierung unterworfen.
Eine Unterscheidung zwischen "Maschinendaten" bzw. "Sachdaten" und "Personendaten" wird es nicht mehr geben. Das Datenschutzrecht wird eine lückenlose Geltung beanspruchen.
Beispiel: Der Laptop, an dem ich diesen Beitrag schreibe, hat eine Gerätenummer, die sich mit meiner Person in Verbindung bringen lässt, da ich diesen Rechner (der der Kanzlei gehört) im Augenblick nutze.
Dies allein sollte nach allen früheren Fassungen des DSGVO-Entwurfs nicht ausreichen, jede Speicherung, Verwendung und Offenlegung der Nummer dem Datenschutzrecht zu unterwerfen:
Reform-Ansatz der EU-Kommission:
In Erwägungsgrund 24 des Vorschlages der EU-Kommission hieß es:
"When using online services, individuals may be associated with online identifiers provided by their devices, applications, tools and protocols, such as Internet Protocol addresses or cookie identifiers. This may leave traces which, combined with unique identifiers and other information received by the servers, may be used to create profiles of the individuals and identify them. It follows that identification numbers, location data, online identifiers or other specific factors as such need not necessarily be considered as personal data in all circumstances."
Nicht für jede Nummer ("not necessarily" (sic!)) sollte also das Datenschutzrecht gelten. Dies ist vernünftig, da die bloße Speicherung einer Gerätenummer keine Gefährdung von Persönlichkeitsrechten bewirkt, die eine strenge Regulierung rechtfertigen könnte.
Reform-Ansatz des EU-Parlaments:
In der Version des EU-Parlaments hieß es:
"When using identifiers provided by devices, applications, tools and protocols, such as Internet Protocol addresses, cookie identifiers and Radio Frequency Identification tags, this Regulation should be applicable to processing involving such data, unless those identifiers do not relate to an identified or identifiable natural person."
Reform-Ansatz des EU-Rats:
Ähnlich formulierte es der EU-Rat:
"Kennnummern, Standortdaten, Online-Kennungen oder sonstige Elemente sollten als solche nicht als personenbezogene Daten betrachtet werden, wenn mit ihnen keine Person bestimmt oder bestimmbar gemacht wird."
=> Kein Reform-Ansatz ohne Ausnahmen
Nicht jede Nummer sollte somit nach dem Willen aller drei Reform-Akteure ausnahmslos dem Datenschutzrecht unterworfen sein, sondern nur solche Kennnummern, die sich auf eine "bestimmbare" Person beziehen.
Für die Kennnummer meines Rechners würde das Datenschutzrecht nach allen drei Vorschlägen nicht gelten, da sich aus der Nummer nur ein Rückschluss auf die Kanzlei (eine juristische Person), nicht jedoch auf den jeweiligen Nutzer ziehen lässt.
__________ Anzeige: __________
In der (vorläufigen) Schlussfassung des Erwägungsgrundes 24 findet man die Einschränkungen bei der Anwendung des Datenschutzrechts nicht mehr. Statt dessen drei Punkte, die die Streichung kennzeichnen:
"Individuals may be associated with online identifiers provided by their devices, applications,tools and protocols, such as Internet Protocol addresses, cookie identifiers or other identifiers such as Radio Frequency Identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the individuals and identify them. (...)" [emphasis added]
Jede Nummer ist eine Einwilligung oder ein "berechtigtes Interesse", das die Speicherung, Weitergabe und Nutzung der Nummer rechtfertigt?
Eine unerträgliche bürokratische Hürde für die digitale Zukunft, die freie Kommunikation und eine innovative Wirtschaft. Und ein deutliches Zeichen, dass es Jan Philipp Albrecht gelingt, seine datenpolitischen Vorstellungen im Trilog vollumfänglich durchzusetzen (vgl. Härting, "Geheimer als jede Papstwahl: der unheilvolle Brüsseler Datenschutztrilog", CRonline Blog v. 24.11.2015).