Jetzt online: CR-Aufsatz zur den Parlamentsbeschlüssen zum EU-Datenschutz
Was ist von den zu den Beschlüssen zur EU-Datenschutzreform zu halten, die am vergangenen Montag, dem 21.10.2013 im Europäischen Parlament verabschiedet worden sind? In meinem CR-Beitrag
Härting, Datenschutzreform in Europa: Einigung im EU-Parlament, CR 2013, 715 ff.
nehme ich zu folgenden 9 Kritikpunkten Stellung:
1. Vernachlässigung der Bürgerrechte
Die Parlamentsbeschlüsse vernachlässigen den Datenschutz im öffentlichen Bereich. Wenn die Beschlüsse wirklich würden, würden mit einem Schlag zahlreiche Spezialgesetze gegenstandslos, die das Gesicht des Datenschutzes prägen. Beispielhaft genannt werden die in jüngerer Zeit heftig diskutierten Bestimmungen zum Datenschutz im Melderecht und im Ausländerrecht, die ersatzlos wegfallen würden.
2. Vernachlässigung der mittelständischen Wirtschaft
Die Umsetzung der geplanten Vorschriften wird für Google, Facebook, Apple & Co. vergleichsweise einfach sein, nicht jedoch für kleine und mittelständische Unternehmen. Die Erleichterungen für den Mittelstand, die die EU-Kommission beschlossen hatte, sollen nach den Vorstellungen des EU-Parlaments größtenteils fortfallen.
3. Fixierung auf die Online-Wirtschaft
Viele Vorschläge des EU-Parlaments - zum Beispiel ein "Ampel-Warnsystem" zur Information des Verbrauchers über datenintensive Anwendungen - sind diskutabel, soweit es um Online-Dienste geht. Aber warum soll für einen kleinen Buchhändler in einem Berliner Kiez dieselben Datenschutz-Informationspflichten gelten wie für Amazon?
4. Erweiterung der Kommunikationsverbote
Nach dem Motto "Alle Daten sind schützenswert" soll der Begriff der Personenbezogenheit von Daten ins Uferlose erweitert werden. Zugleich möchte das EU-Parlament am Verbotsprinzip festhalten. Dies führt zu einem Übermaß des Schutzes der Privatsphäre zu Lasten der freien Kommunikation.
5. Keine Anreize für Pseudonymität und Anonymität
Die Anreize, die das EU-Parlament für den Verzicht auf "Klarnamen" setzt, sind viel zu schwach. Eine Vorschrift, die Online-Anbieter verpflichtet, eine pseudonyme bzw. anonyme Nutzung eines Dienstes zu ermöglichen, ist nicht vorgesehen. Dies ist im Hinblick auf § 13 Abs. 6 TMG ein deutlicher Rückschritt.
6. Die Überfrachtung der Einwilligung und das falsche Verständnis von „Accountability"
Das EU-Parlament setzt zu sehr auf Einwilligungen und zu wenig auf eine Verantwortung der Diensteanbieter. Das Konzept der "Accountability" wird falsch verstanden.
7. Vernachlässigkeit der Kommunikationsfreiheit
Da Daten der Rohstoff der (digitalen) Kommunikation sind, ist Datenschutz stets (auch) Kommunikationsregulierung. Dieser Erkenntnis verschließt sich das EU-Parlament und möchte den Schutz der freien Kommunikation den Gesetzgebern der Mitgliedsstaaten überlassen. Statt der beabsichtigten europaweiten Vereinheitlichung des Datenschutzrechts droht ein "Flickenteppich" da die Gewichtung von Datenschutz und Kommunikationsfreiheit in den 28 EU-Staaten unterschiedlich ausfallen wird.
8. Rudimentärer Rechtsschutz gegen Maßnahmen der Datenschutzbehörden
Durch die Hintertür soll ein (freiwilliges) Genehmigungsverfahren für Datenverarbeitungsprozesse (Zertifizierung) eingeführt werden. Zudem wird insgesamt die Stellung der Datenschutzbehörden erheblich gestärkt, ohne dass es Ansätze für einen wirksamen Rechtsschutz gegen Maßnahmen (oder Untätigkeit) der machtvollen Behörden gibt.
9. Rechtsstaatswidrige Sanktionen
Die EU-Parlamentsbeschlüsse sehen drakonische Geldbußen vor für Datenschutzverstöße. Die Datenschutzbehörden sollen diese Geldbußen auch dann verhängen dürfen, wenn es an einem Verschulden fehlt. Dies ist ein menschenrechtswidriger Verstoß gegen das Schuldprinzip (Art. 6 Abs. 2 EMRK). Nach der Rechtsprechung des BVerfG darf Deutschland einen solchen Vorschlag nicht unterstützen.