06.05.2015

Technikfernes Betroffenenrecht - ein Kommentar zum UKlaG-Entwurf der Bundesregierung

Portrait von Niko Härting
Niko Härting

Der Entwurf der Bundesregierung für ein "Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts" (Deutscher Bundestag, Drucksache 18/4631 v. 15.4.2015) ist verniedlichend und technikfern.

Statt sich intensiv mit der Datentechnik auseinanderzusetzen, mit Big Data, künstlicher Intelligenz und Algorithmen, widmet man sich liebevoll den Individualansprüchen sogenannter „Betroffener“. Eine technikferne Verniedlichung, die dazu beitragen kann, dass Deutschland die digitale Zukunft verschläft:

  • Verniedlichend, weil der Entwurf starr auf Lieschen Müller im „Kampf“ gegen Google und Facebook blickt – auf den „Betroffenen“, dessen individuelle Rechte durchgesetzet werden.
  • Technikfern, weil sich der Entwurf mit der Digitaltechnik nicht ernsthaft befasst, zugleich jedoch versucht, diese Technik (mittelbar) zu regulieren.

Zivilgerichtliche Entscheidungen und "wasserdichte" AGB

Lange Zeit war ich mir nicht sicher, was ich von dem UKlaG-Entwurf halten soll. Dass Datenschutzbestimmungen auf den Prüfstand der Zivilgerichte gestellt werden, halte ich nicht per se für verkehrt. Der vzbv führt schon seit geraumer Zeit mit lobenswertem Engagement Verfahren gegen Apple, Google, Facebook und andere Internetanbieter. Es ging und geht um „Kleingedrucktes“, um AGB und Privacy Policies. Derartige Verfahren sind im UWG und im UKlaG vor den Zivilgerichten weit besser aufgehoben als in der staubigen Akte einer Aufsichtsbehörde. So wie die AGB der Banken schon lange das Abbild von vielen Jahrzehnten BGH-Rechtsprechung sind, wird dies bei Datenschutzbestimmungen eines Tages auch einmal der Fall sein. Dies freut unter anderem die Juristen der betroffenen Unternehmen. Eine ausführliche BGH-Entscheidung zum AGB-Recht ist wie eine Blaupause für „wasserdichte“ AGB.

Nur selektive Angreifbarkeit

Es gibt immer noch einige Unsicherheiten, ob und inwieweit Kleingedrucktes zum Datenschutz per Unterlassungsklage angreifbar ist. Der BGH hat dies bislang für das Wettbewerbsrecht nicht geklärt. Auch die Bundesregierung plant im Wettbewerbsrecht seltsamerweise keine Klarstellung. Nur wenn es um bestimmte Verbraucherdaten geht – längst nicht um alle Verbraucherdaten -,  soll die Möglichkeit einer Unterlassungsklage nach dem UKlaG bestehen. Hier ist manches unstimmig.

  • Ausnahme Vertragsschluss

So soll es beispielsweise nach § 2 Abs. 2 Satz 2 UKlaG-E kein Klagerecht der Verbraucherverbände geben,

„wenn personenbezogene Daten eines Verbrauchers von einem Unternehmer ausschließlich für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Verbraucher erhoben, verarbeitet oder genutzt werden.“

Daten, die der Verbraucher seinem Vertragspartner zur Verfügung stellt, wären damit kontrollfrei. Weshalb es jedoch keine Kontrolle geben soll, wenn der Verbraucher mit dem Unternehmer einen Vertrag schließt, ist nicht ersichtlich.

  • Ausnahme Internettauglichkeit

Von dieser und einer Reihe weiterer Unstimmigkeiten des Gesetzesentwurfs abgesehen, gäbe es gegen zivilrechtliche Unterlassungsklagen wenig einzuwenden, wenn mit solchen Klagen einem Datenschutzrecht zur Geltung verholfen würde, das den Anforderungen einer digital vernetzten Kommunikation gerecht wird. Von einem solchen, modernen und internettauglichen Datenschutzrecht sind wir jedoch weiter entfernt als je zuvor.

Datafizierung und Missbrauchsrisiken

Der Verbraucher ist zunehmend datifiziert. Er nutzt ein Smartphone, ein Tablet, ein Notebook, einen internetfähigen Fernseher und ein Digitalradio. Hinzu kommen vernetzte Fahrzeuge sowie diverse Apps und ein Fitnessarmband, das die Zahl der Schritte misst. Immer mehr Haushaltsgeräte werden internetfähig – der Rauchmelder, das Thermostat, der Kühlschrank.

Datenvermeidung und Datensparsamkeit prägen das geltende Datenschutzrecht: Auslaufmodelle, von vorvorgestern. Wir sprechen bei den laufend erfassten Verbrauchsdaten des energiesparsamen „Smart Homes“ von Daten, die sich nicht vermeiden lassen, wenn „Smart Energy“ wirklich intelligent zum Stromsparen beitragen soll.

Die Unmenge von Standort-, Verbrauchs-, Bewegungs- und Kommunikationsdaten, die ein jeder von uns jede Minute, jede Stunde, jeden Tag und jeden Monat produziert, laden zu vielfältigem Missbrauch ein: Straftäter können mein Online-Konto plündern oder mittels meiner Standortdaten den günstigsten Zeitpunkt aussuchen, um in meine Wohnung einzubrechen. Neugierige Nachbarn können meine Accounts hacken und pikante Details aus meinem Intimleben ausspähen. Skrupellose Unternehmen können sämtliche meiner Mailboxen mit unerwünschter Werbung zumüllen, nachdem sie algorithmisch meine wahrscheinlichen Vorlieben ermittelt haben. Und das Finanzamt kann anhand meiner Bewegungsdaten berechnen, wie wahrscheinlich es ist, dass ich heimlich einer Zweit- oder Drittbeschäftigung nachgehe.

Zukunft des Datenschutzes

Die Zukunft des Datenschutzes liegt nicht in der Vermeidung von Daten, sondern in einer Verhinderung des Missbrauchs und in einer strengen Reglementierung der Nutzung. Je sensibler die Daten sind, desto höher müssen Sicherheits- und Schutzstandards sein. Sekundärnutzungen (also Nutzungen, die nicht dem ursprünglichen Zweck dienen) müssen die Ausnahme bleiben. Für die Auswertung von Daten per Algorithmus bedarf es Regeln, die Diskriminierung, Manipulation und Missbrauch verhindern und eine wirksame Kontrolle gewährleisten.

Ansatz des UKlaG-Entwurfs

Was hat all dies mit dem „Entwurf eines Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ zu tun? Nichts. Und genau das ist das Problem!

Der UKlaG-Entwurf ist durch und durch geprägt von der Tendenz, das Datenschutzrecht in ein „Betroffenenrecht“ umzuinterpretieren und damit zu verniedlichen. Dies auf der Basis von zwei kardinalen Irrtümern:

  •  „Meine Daten gehören mir.“ Und weil Unternehmen mit „meinen Daten“ immer wieder Schindluder treiben, bedürfe es einer verstärkten „zivilrechtlichen Durchsetzung“ „meiner Rechte.“
  • „Datenkraken Google, Facebook & Co.“. Google, Facebook & Co. stellen nach verbreiteter, feuilletonistischer Lesart die mit Abstand massivste Bedrohung für Persönlichkeitsrechte der Bürger dar. Auch aus diesem Grund müsse die „zivilrechtliche Durchsetzung“ verbessert werden.

Gesellschaftspolitische und juristische Realität

„Meine Daten gehören mir.“ Der Satz ist gesellschaftspolitisch fragwürdig und juristisch falsch:

  • Gesellschaftspolitische Realität und ihre Bedrohung:

Stadträte wollen nicht von ihren Wählern bei der Arbeit beobachtet werden und verhindern das Live-Streaming der Ratssitzungen. Politiker wollen ihre rechtsextreme Vergangenheit nicht mehr wahrhaben und machen bei Google ihr „Recht auf Vergessenwerden“ geltend. Ärzte wehren sich durch alle Instanzen gegen unzufriedene Patienten, die in Bewertungsportalen kein Blatt vor den Mund genommen haben. Väter beschweren sich bei der Datenschutzaufsicht über online publizierte Berichte, in denen es um die Tenniserfolge und -ergebnisse der mit „Klarnamen“ genannten Tochter geht. Die Besitzer von Ferienwohnungen halten es für menschenrechtswidrig, dass Beamte bei Airnbnb nach ungenehmigten Vermietungen suchen.

Das Internet ist zum großen Teil öffentlicher Raum, der vor einer allzu forschen Privatisierung von Informationen bewahrt werden muss. „Meine Daten gehören mir“: Die letzte Konsequenz dieses Satzes wäre das vollständige Veröden der Kommunikation und Interaktion und das schleichende Verschwinden des öffentlichen Raums. Dies kann in einer offenen Gesellschaft nicht ernsthaft gewollt sein.

  • Juristische Beurteilung:

Dass „meine Daten“ nicht „mir gehören“, hat das BVerfG in seinem Volkszählungsurteil in aller Deutlichkeit betont. Informationen, auch wenn sie personenbezogen seien, seien zugleich stets ein „Abbild sozialer Realität“. Die Gefahr, falsch verstanden zu werden, hat Karlsruhe 1983 bereits erkannt und betont, es handele sich bei dem „Grundrecht auf informationelle Selbstbestimmung“ keinesfalls um ein „eigentumsähnliches Recht“.

Prohibitive Wirkung datenschutzrechtlicher Anforderungen

Und dann ist es auch keineswegs so, dass sich die heimische Wirtschaft brav an das Datenschutzrecht hält, während „die Amerikaner“ – Google, Facebook & Co. - das Recht massiv verletzen. Oft ist das Gegenteil der Fall: Unternehmen wie Google und Facebook können sich Compliance leisten. Man hat die Ressourcen, um den Anforderungen der Aufsichtsbehörden entgegenzukommen.

Man stelle sich einmal vor, ein junges deutsches Unternehmen wolle den weltweiten Markt des Carsharings erobern. Das geht nicht ohne riesige Mengen an Kundendaten, an Standort- und Bewegungsdaten. Wenn das junge Unternehmen dabei den Anforderungen der strengsten Aufsichtsbehörden genügen wollte, wird wenig von den hochfliegenden Ideen und Plänen übrig bleiben. Und es wird Umsetzungsaufwand entstehen, der dem Start-Up teuer zu stehen kommt.

Nach geltendem Datenschutzrecht braucht der Anfall, die Speicherung, die Nutzung, die Weiterleitung eines jeden noch so kleinen Datums einer Legitimation durch eine kunstvoll zu formulierende Einwilligung oder durch eine verschachtelte Abwägung. Hierdurch entstehen Anforderungen, die realitätsfremd sind und von deutschen Mittelständlern nicht ernsthaft eingehalten werden können. __________ Anzeige: 2015/02/2015_03_HRI5-Ban-443x104.gif __________

Was wirklich gebraucht wird: Standards

Was wir dringend brauchen, ist ein zukunftstaugliches Datenschutzrecht. Ohne Verbotsprinzip und mit deutlich risikoorientierten Abstufungen. Je alltäglicher der Verarbeitungsprozess, desto geringer die Regulierungsdichte. Für den Tweet, den ein Politiker absetzt, darf datenschutzrechtlich nicht derselbe Maßstab gelten wie für den intimen nächtlichen Chat.

  • Privacy by Design

Unternehmen, die in großem Maße Verbraucherdaten verarbeiten, brauchen Standards. „Privacy by Design“: In jedem Stadium der Produktentwicklung sollte sichergestellt werden, dass der Schutz persönlicher Informationen groß geschrieben wird. Datenschutzbehörden sollten bereits die Produktentwicklung begleiten. Einem wohl verstandenen Schutz der Persönlichkeitsrechte erweisen die Behörden damit einen weit größeren Dienst, als wenn sie jeder einzelnen Beschwerde eines („betroffenen“) Bürgers nachgehen.

  • Anbieterorientierung

Wir müssen insgesamt den Blick weniger auf den „Betroffenen“, auf „den Verbraucher“, auf Lieschen Müller, Otto Normalverbraucher und auf Max Schrems richten und mehr auf die Unternehmen, die persönliche Informationen verarbeiten. Welche Standards sollen Facebook, Google & Co., aber auch die Deutsche Telekom und die deutsche Autoindustrie, der deutsche Anbieter einer Fitness-App oder auch die Kundendatenbank eines Online-Versandhändlers aus der Erotikbranche genügen? Je mehr diese Standards auf der Höhe der Zeit sind und dem Stand der Technik entsprechen, desto besser sind Verbraucher gegen einen Missbrauch von Informationen aus ihrer Privatsphäre geschützt.

UKlaG-Entwurf als verpasste Chance

Der „Entwurf eines Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ bleibt bei dem „Betroffenen“, bei „dem Verbraucher“, bei Lieschen Müller und Otto Normalverbraucher stehen. Statt in die Fortentwicklung von Standards des Datenschutzes und der Datensicherheit zu investieren, statt Audits zu fördern und die staatliche Aufsicht durch mehr IT-Sachverstand zu stärken, werden die Verbraucherschutzverbände befähigt, „dem Verbraucher“ bei der Durchsetzung „seiner Rechte“ behilflich zu sein. Dies atmet tief den Geist der Privatisierung von Informationen: „Meine Daten gehören mir“. Und zielt auf Klagen gegen Google, Facebook & Co., die bereits in der Einleitung verklausuliert erwähnt werden:

 „Viele Leistungen, die Verbrauchern insbesondere im Internet unentgeltlich angeboten werden, wie z. B. die Nutzung von sozialen Netzwerken, Internetsuchmaschinen, Apps für mobile Endgeräte oder Kundenkarten, lassen sich die Anbieter durch die Daten der Verbraucher bezahlen, die sie dann für das Unternehmen kommerzialisieren, insbesondere immer öfter auch durch eine gewinnbringende Weitergabe an andere Unternehmer.“

Größter Verlierer: deutsche Unternehmen

Google, Facebook & Co. werden sich durch  neue Abmahnungen und Klagen deutscher Verbraucherschützer nicht schrecken lassen. Sie haben die Ressourcen, um in Deutschland Prozesse zu führen. Die rasche Umsetzung des „Google Spain“-Urteils hat gezeigt, dass die großen Unternehmen aus dem Silicon Valley imstande sind, schnell auf Urteile europäischer Gerichte zu reagieren.

Bei deutschen Start-Ups und Mittelständlern schaut dies anders aus: Unzufriedene Kunden oder auch Mitarbeiter, die den Mittelständler bei der Aufsichtsbehörde anzeigen und die sich dann demnächst auch an den Verbraucherverband ihres Vertrauens wenden werden, haben schon so manches mittelständische Unternehmen in existentielle Schwierigkeiten gebracht. Nicht jedes Start-Up und auch längst nicht jeder Mittelständler kann sich teure Prozesse und Verfahren, kann sich jahrelange Unsicherheit und teure Anwälte leisten.

Fazit

Wird das Datenschutzrecht durch das UKlaG verschlimmbessert? Im Ergebnis lässt sich keine Verbesserung feststellen, da das – verbesserungsbedürftige – materielle Recht dasselbe bleibt. Mit dem UKlaG-Entwurf soll schlechtes Recht besser durchgesetzt werden. Man bleibt im Niedlichen verhaftet und weicht allen technischen Themen aus. Im Kampf um die digitale Zukunft wird uns dieser Gesetzesentwurf keinen Millimeter voranbringen.

 

Zurück