Die Verhandlungen zur Datenschutz-Grundverordnung (DS-GV) gehen in die heiße Phase. Vor der Sommerpause (Ende Juli) soll im federführenden LIBE Ausschuss des Europäischen Parlaments die Orientierungsabstimmung über mehr als 3000 Änderungsanträge zum Entwurf der Europäischen Kommission durchgeführt werden. Naturgemäß werfen die von dem neuen Datenschutzrecht betroffenen Wirtschaftskreise, ebenso wie die den Datenschutz verteidigenden Bürgerrechtler, noch einmal alles in die mediale Waagschale, um für ihre Position Stimmung zu machen. Grundsätzlich ist ein offener Schlagabtausch richtig und auch wichtig, um so das Interesse der Bevölkerung für das „trockene“ und dennoch zukunftsträchtige Thema Datenschutz zu wecken. Doch als externer Beobachter und zwischen den Stühlen sitzender Bürger fragt man sich natürlich, „wem soll ich nun glauben?“. Wird in Brüssel also gerade das Datenschutzrecht unaufhaltsam aufgeweicht und kommen infolge wirtschaftsbasierter Einflussnahme die Interessen der Bürgerinnen und Bürger zu kurz oder versucht die Kommission einen realitätsnäheren Rechtsrahmen zu schaffen, bei dem wirtschaftliche Belange auch zu berücksichtigen sind?
Das Problem
Die Mehrheit der Unionsbürger sind keine Datenschutzexperten oder Juristen, so dass eine Einarbeitung in die Materie nicht in Frage kommt. Wenn sie sich eine Meinung über die geplanten Änderungen auf europäischer Ebene machen möchten, um darauf begründet etwa Protestbriefe oder –emails an Abgeordnete zu versenden, so sind sie auf die öffentlichen Informationen der sich gegenüberstehenden Lager angewiesen. Problematisch wird es dann, wenn diese Informationen unvollständig sind, eine einseitige Aufklärung erfolgt und zum reinen Populismus ausarten, was auch Jana Moser in einem aktuellen Blogbeitrag kritisiert. Dies geschieht gerade leider jedoch immer mehr.
Der Bürgernähe-Vertrauensbonus
Als tendenziell bürgernah kommen für eine Informationsbeschaffung grundsätzlich die Bürgerrechtsorganisationen oder investigative Plattformen in Betracht, welche sich dem Schutz der Verbraucherrechte und hohen Rechtsstandards verschrieben haben. Daher kommt ihnen aber auch eine besondere Verantwortung mit Blick auf die Information ihrer Schutzsubjekte, der Bürger, zu. In Deutschland startete etwa der
Verein Digitale Gesellschaft (DiGes), zusammen mit anderen europäischen Bürgerrechtsorganisationen, das Projekt „naked citizens“, um interessierte Bürger aufzuklären, welche angeblichen Missstände es in der DS-GV und in den Änderungsanträgen der Abgeordneten zu beseitigen gilt. Im Zuge dessen wurde auch ein Bericht zu den Änderungsanträgen der Abgeordneten des LIBE Ausschusses veröffentlicht, der verdeutlichen soll, wie weitgehend hier Bürgerrechte beschnitten werden. Und auch die Digitale Gesellschaft selbst hat bereits vorher einen Bericht erarbeitet, um das „Fachchinesisch“ bürgernah zu erklären und ihre Positionen darzulegen. Wenn jedoch diese Berichte und Informationen nicht vollständig oder sogar falsch „aufklären“, dann wird dem sachlichen Diskurs und der Bildung einer eigenen, unvoreingenommenen Meinung, jede Grundlage entzogen. Es geht dann leider nur noch um Stimmungsmache.
Mangelhafte Aufklärung und einseitige Informationen
Im Folgenden sollen einige Beispiele herausgegriffen werden, um zu verdeutlichen, inwiefern die Informationen und Kritik der Bürgerrechtler verwirrend, ungenügend oder sogar falsch sind und damit teilweise ein verzerrtes Bild eines angeblich negativen Abweichens von derzeit geltendem Recht und Schutzstandards schaffen. Das „berechtigte Interesse“ von Unternehmen Die DiGes bemängelt in ihrem Bericht (unter Nr. 2) ebenso wie naked citizens (S. 8), dass eine taugliche Definition des „berechtigten Interesses“ (Art. 6 Abs. 1 f) DS-GV) von Datenverarbeitern fehlt und zum anderen eine hierauf gestützte, rechtmäßige Datenverarbeitung, viel zu weit gehe. Daher solle der Begriff gestrichen werden. Anscheinend völlig übersehen wurde aber, dass genau diese rechtliche Grundlage (fast wortgleich) bereits etwa im deutschen Datenschutzrecht (§ 28 Abs. 1 S. 1 Nr. 2 BDSG) existiert und genutzt wird. Hierauf wird jedoch leider nicht hingewiesen. Der Bürger erhält den Eindruck, dass hier neue, rechtsfeindliche Ausnahmen geschaffen werden. Auch vermisst man die Information, dass es nach Art. 6 Abs. 1 f) DS-GV für ein Unternehmen nicht ausreicht, ein „berechtigtes Interesse“ geltend zu machen, sondern dies ausgeschlossen ist, wenn die „Interessen“ (also nicht einmal berechtigte Interessen) der betroffenen Personen überwiegen. Für den Bürger ergibt sich hieraus freilich das falsche Bild, dass allein die Unternehmen es in der Hand hätten, über ihre berechtigten Interessen Datenverarbeitungsprozesse zu legitimieren.
Einwilligung des Nutzers
Nachdem kürzlich ein Dokument des Rates der Europäischen Union veröffentlicht wurde, in dem vorgeschlagen wird, die Definition der Einwilligung (Art. 4 Abs. 8 DS-GV) von „explizite Willensbekundung“ (engl.: „explicit“) zu „ohne jeden Zweifel“ (engl.: „unambigous“) abzuändern, breitete sich aufgrund der Meldung bei netzpolitik.org ein Sturm der Entrüstung darüber aus, dass der Rat der Europäischen Union die DS-GV weiter verwässern wolle, was auch so von anderen Medien undifferenziert übernommen wurde. Wie ich bereits in einem Blogbeitrag dargestellt habe, orientiert sich der Rat jedoch wortwörtlich am Vorschlag der Art. 29 Datenschutzgruppe, also dem Gremium der europäischen Datenschützer. Selbst diese hatten sich gegen die Änderung einer Definition der Einwilligung als „explizit“ ausgesprochen und vielmehr die Aufnahme von „ohne jeden Zweifel“ (bzw. „unambigous“) gefordert. Jedoch wird auch auf diese wichtige Information, immerhin geht es um Expertenmeinungen der europäischen Datenschützer, etwa im Bericht bei naked citizens (S. 6) oder der Meldung bei netzpolitik.org, verzichtet. Der Hinweis der DiGes (unter Nr. 3), „Öffentliche oder private Stellen dürfen personenbezogene Daten nur verarbeiten, wenn vorher eine Einwilligung eingeholt wird.“ ist schlichtweg nicht richtig. Bereits in der derzeit geltenden Datenschutz-Richtlinie (DS-RL) (Art. 7) ist die Einwilligung eine von mehreren rechtlichen Grundlagen der Datenverarbeitung, was auch in der DS-GV beibehalten werden soll. Im Bericht von naked citizens (S. 6) wird dies erfreulicherweise deutlich gemacht. Suggeriert man den Bürgern jedoch, dass allein von der Einwilligung alles abhängt, so stellt sich dies als falsche und irreführende Information dar, da die Betroffenen dann natürlich diese „einzige“ Rechtsgrundlage verteidigt wissen wollen.
Zweckbindung im Datenschutz
Im Bericht von naked citizens (S. 7) wird der Zweckbindungsgrundsatz der Datenverarbeitung angesprochen. Dieses, bereits derzeit (Art. 6 Abs. 1 b) DS-RL) geltende Prinzip, darf sicher nicht, so die richtige Forderung, völlig gestrichen werden. Jedoch wird auch informiert: „Die für einen Zweck gesammelten Daten können nicht für einen anderen wiederverwendet werden“. Leider ist auch diese Information unzutreffend.
Wie die Art. 29 Datenschutzgruppe in einer Stellungnahme (WP 203) erst kürzlich ausgeführt hat, dürfen gesammelte Daten, auch unter dem Zweckbindungsgrundsatz, sehr wohl für zusätzliche Zwecke genutzt werden, solange diese Nutzung den Rahmen der Vereinbarkeit mit dem ursprünglichen Zweck
nicht überschreitet (S. 4). Der Zweckbindungsgrundsatz steht nicht für „Ein-Zweckbindungsgrundsatz“, sondern für einen praxistauglichen, ausgewogenen Ansatz zwischen der Rechtssicherheit und Vorhersehbarkeit einerseits und der Notwendigkeit nach gewisser Flexibilität andererseits. Unternehmen dürfen gesammelte Daten also auch weiterverwenden, solange eine Kongruenz zum „Sammel-Zweck“ besteht. Dies kann man, vor dem Hintergrund von „Big Data“ und dem
Umstand, dass Unternehmen teilweise selbst nicht einmal wissen, welche Ergebnisse etwa bei einer Datenanalyse zu Tage treten, nur begrüßen. Solange der Nutzer die erforderliche Information erhält, sprechen sich die Datenschützer z. B. auch für die mögliche Subsumierung von Einzelzwecken unter einen Generalzweckes aus (S. 53).
Fazit
Die Arbeit der Bürgerrechtsorganisationen ist richtig und auch wichtig. Das hat etwa das Beispiel ACTA gezeigt. Nur scheint es leider so, als ob man auf den letzten Metern, vor dem Ende einer Möglichkeit der
Einflussnahme auf den Gesetzgebungsprozess, immer häufiger den Ballast der Sachlichkeit und differenzierten Aufklärung abwirft, um so mit leichteren und öffentlichkeitswirksameren Mitteln Gehör zu
finden. Eine gewisse Determiniertheit auf die grundsätzliche Stoßrichtung der eigenen Standpunkte ist dabei nicht verkehrt. Und keine Frage, auch der „Gegenspieler“ in Gestalt der Unternehmen versucht, durch intensive Einflussnahme, noch seine Positionen einzubringen. Nur besteht für die investigativen Medienjournalisten und Bürgerrechtsorganisationen aber eine besondere Gefahr, nämlich dass sie an dem Ast sägen, auf dem sie sitzen. Dieser Ast, der ihnen den Bürgernähe-Vertrauensbonus einbringt, hat viele Namen: Wahrheit, Information, Aufklärung. Diesen Vertrauensbonus gilt es einzulösen. Populismus hingegen, schärft nur das Sägeblatt.
Bei aller Detailverliebtheit ist es immer noch nicht der „Europäische Rat“, der ebenfalls eine Position zur Datenschutzgrundverordnung erarbeitet.
Ein anderer Punkt: Bei der Zweckbindung geht es hauptsächlich um die Löschung des Artikels 6(4), wie es auch die Art. 29 WP empfiehlt. Vorher über die Zwecke informieren und sich für diese eine Einwilligung holen, will natürlich niemand verhindern.
Generell ist es schwierig, ein solches Gesetzesvorhaben bürgerfreundlich zu erklären. Wer das nicht macht/machen will/machen muss, hat gut reden.
Danke für den Hinweis auf den“Europäischen Rat“. Das stimmt, ist natürlich der „Rat der europäischen Union“.
Bürgerfreundlichkeit und leichte Verständlichkeit darf aber meines Erachtens nicht als Motiv dazu dienen, um Informationen zu kürzen oder falsch darzustellen. Beispiel Einwilligung. Viele Bürger verlassen sich doch wirklich auf Eure Informationen.
Pingback: EUDataP – P wie Populismus - Netzpiloten.de