Nach der positiven Beschlussfassung (hier die inoffizielle, konsolidierte Version) im LIBE-Ausschuss des Europäischen Parlaments zur Datenschutz-Grundverordnung (DS-GVO), wurde in den Medien erneut breit über das Thema Datenschutz in Europa berichtet. Diese öffentliche Berichterstattung und Diskussion ist wichtig und auch richtig. Wer hätte sich vor 2 Jahren vorstellen können, dass die dröge Materie „Datenschutzrecht“ zu so einer medialen Aufmerksamkeit gelangt?
Ich möchte nachfolgend jedoch einige Punkte ansprechen, die in der öffentlichen Berichterstattung zur DS-GVO häufig ungenau, verzerrt oder schlicht falsch dargestellt werden. Dabei geht es mir nicht um die Belehrung von oben herab. Es erscheint vielmehr essentiell notwendig zu sein, den Bürgerinnen und Bürgern von Anfang an reinen Wein einzuschenken. Denn wenn mit Errungenschaften und Vorzügen eines neuen Gesetzes geworben wird, welche es aber per se schon nicht leisten kann oder von Anfang an nicht leisten wollte, dann wird Glaubwürdigkeit und Vertrauen verspielt. Sobald sich der erste Betroffene fragt „Aber das wurde uns doch versprochen?“, ist es hierfür zu spät.
Die DSG-VO wird der NSA das Handwerk legen
Wie Thomas Stadler heute in seinem Blog richtig schreibt, wird die DS-GVO Geheimdiensten keine Pflichten auferlegen und daher etwa ihre Tätigkeiten beschränken können. Zum einen, weil die Europäische Union im Bereich der nationalen Sicherheit nicht gesetzgebungsbefugt ist. Daher sind auch folgerichtig Gebiete „der nationalen Sicherheit“ (bzw. nach dem LIBE Entwurf, solche, „die außerhalb des Geltungsbereichs des Unionsrechts liegen“) aus dem Anwendungsbereich ausgeschlossen (Art. 2 a DS-GVO). Zum anderen kann die Europäische Union nicht Gesetze erlassen, an die sich ein drittstaatlicher Geheimdienst, wie die NSA, halten müsste. Grundlage deren Tätigkeit sind zunächst allein amerikanische Gesetze.
Was die DS-GVO sehrwohl leisten kann, ist ein mittelbarer Schutz gegen die Tätigkeiten (genauer: die erzwungene Zusammenarbeit mit internationaler Unternehmen) ausländischer Strafverfolgungsbehörden oder Geheimdienste, wie es etwa im Rahmen des PRISM Programmes der Fall sein soll. Adressat der datenschutzrechtlichen Pflichten sind dann aber wiederum nicht die staatlichen Stellen, sondern allein Unternehmen, denen verboten wird ohne gesetzliche Grundlage Daten an drittstaatliche Behörden herauszugeben.
Dies schließt freilich nicht aus, dass aufgrund von Überwachungstätigkeiten innereuropäisch gegen Mitgliedstaaten wegen Verletzung der Charta der Grundrechte der Europäischen Union oder der Gründungsverträge vorgegangen werden kann. Auf supranationaler Ebene stehen zudem Verletzungen internationalen Menschenrechtsabkommen im Raum. Grundlage hierfür war, ist und kann aber nicht die DS-GVO sein.
In Zukunft werden Daten nur nach expliziter Einwilligung verwendet werden dürfen
Wie bereits im derzeit geltenden europäischen Datenschutzrecht (RL 95/46/EG), so wird auch in Zukunft die Einwilligung eine (!) Grundlage darstellen, aufgrund derer Daten verarbeitet werden dürfen. Daneben existieren jedoch weitere Erlaubnistatbestände (Art. 6 Abs. 1 DS-GVO), so etwa Vertragsverhältnisse zwischen Kunden und Unternehmen oder das berechtigte Interesse des Verantwortlichen. Jede Erlaubnisnorm besitzt eigene Voraussetzungen, welche freilich erfüllt sein müssen. Die Einwilligung der Betroffenen wird aber nicht zum non plus ultra der Datenverarbeitung. Es besteht mithin kein Rangverhältnis unter den Erlaubnistatbeständen.
Diesen Punkt halte ich für besonders erwähnenswert. Denn was geschieht, wenn in Zukunft ein Unternehmen Daten der Nutzer verarbeitet und dies völlig legal auf einer anderen Grundlage, als der Einwilligung? Betroffene werden das Unternehmen als böse Datenkrake ansehen, die entweder illegal handelt oder durch juristische Winkelzüge ein Schlupfloch gefunden hat. Dies jedoch freilich nur vor dem Hintergrund, dass stetig in der Öffentlichkeit die Information vermittelt wurde: „ohne Einwilligung geht gar nix“.
Datenkraken, Internetgiganten und Lex Google
In der öffentlichen Diskussion werden die notwendigen Änderungen des geltenden Datenschutzrechts zumeist mit den Geschäftstätigkeiten der großen amerikanischen Internetunternehmen verteidigt. Diese gelte es an die Kette zu nehmen und zu bestrafen (man könnte daher, in Anlehnung an die Diskussion um das Leistungsschutzrecht, schon fast von einem Lex Google oder Lex Facebook sprechen). Diese Begründung ist sicherlich richtig, jedoch verengt sie den Blick auf einen kleinen Anwendungsbereich der DS-GVO. Denn nicht nur die „Großen“ erhalten neue Vorgaben, sondern alle Unternehmen in Europa und auch weltweit, wenn sie in Europa Dienste anbieten und dazu Daten verarbeiten. Hierunter fällt also auch das 5 Mann Startup, welches neue Apps entwickelt und anbietet, ebenso wie der mittelständische Handwerksbetrieb. Die Auswirkungen neuer Datenschutzvorgaben werden zu einem Großteil nicht die einzelnen Global Player, sondern in der Masse die „normalen“ Unternehmen betreffen. Dies sollte in der Diskussion ebenfalls stets beachtet werden.
Es geht um Grundrecht der Bürgerinnen und Bürger
Ja, aber um noch vielmehr. Nach Art. 8 der Charta der Grundrechte der Europäischen Union hat jede Person ein Recht auf den Schutz ihrer personenbezogenen Daten. Ebenso besteht aber für Unternehmen und etwa auch Selbstständige ein Recht auf unternehmerische Freiheit (Art. 16) und auf freie Berufsausübung (Art. 15). Diese verschiedenen (hier nur beispielhaft angeführten) Grundrechtspositionen gilt es in dem Gesetzesvorhaben in ein ausgewogenes Gleichgewicht zu bringen. Auch wenn dies sicherlich keine leichte Aufgabe ist, so sollte uns doch stets bewusst sein, dass zwischen diesen Grundrechten kein Rangverhältnis besteht. Eine vorgelagerte Aufstufung des Rechts auf Schutz personenbezogener Daten würde jedem Versuch, den notwendigen und verhältnismäßigen Mittelweg zu finden, die Grundlage entziehen.
Ausblick
Man kann zu dem Entwurf der Europäischen Kommission und den Änderungsvorschlägen des LIBE-Ausschusses geteilter Meinung sein und trefflich inhaltlich diskutieren. Was jedoch stets gewährleistet werden sollte, ist der Anspruch an eine klare und vollständige Information der Bürgerinnen und Bürger.