Bei einer Anhörung
im Bundestag zu den umstrittenen Plänen der EU-Kommission
zur Datenschutzreform ging ein tiefer Riss durch das Lager der geladenen
Experten. Drei Rechtsanwälte plädierten am Montag dafür, anhand der
"uferlosen" Brüsseler Initiative die
"Alltagskommunikation" aus dem Schutzbereich auszunehmen und nur noch
ganz allgemeinen Vorgaben wie etwa zur Transparenz zu unterwerfen. Andere
Sachverständige drängten auf eine deutliche Ausweitung des Vorstoßes, der in
vielen Bereichen zu kurz greife. Einig waren sich beide Seiten, dass das Paket
erhebliche Konstruktions- beziehungsweise "Webfehler" aufweise.
Der Hamburger Rechtsanwalt Ralf Abel sprach von einem "recht
pauschalen Eingriff" in die Informationsfreiheit und andere Grundrechte
durch den Verordnungsentwurf. Zunächst werde nach dem
"Verbotsprinzip", das man sonst eher im Waffen- oder Atomrecht kenne,
"jegliche Form von Datenverarbeitung" untersagt. Dieser Ansatz sei
eventuell im öffentlichen Bereich anwendbar, nicht jedoch in der
Privatwirtschaft. Dort könne das Prinzip gemeinsam mit den vorgesehenen
Kompetenzen der Aufsichtsbehörden zu einer "modernen Form der Zensur"
führen. Zudem beziehe sich der Entwurf für eine Datenschutzverordnung zu sehr
auf eine bestimmte Technik: Es werde eine Lex Facebook gemacht und diese auf
alle erdenklichen Informationsverarbeitungen angewandt. Zu starr sei auch die
Einwilligungsklausel, die Firmen kaum Spielraum bei der Nutzung einmal
beschaffter Kundendaten lasse.
In der Informationsgesellschaft gebe es kaum mehr Daten, bei
denen sich nicht ein Personenbezug herstellen lasse, argumentierte Abels
Berliner Kollege Niko Härting ganz ähnlich. Er mache sich daher Sorgen "um
die Kommunikationsrechte der Bürger". So dürfe etwa beim Austausch von
Botschaften über Twitter – anders als etwa bei Gesundheitsdaten – nicht mit dem
Verbotsprinzip agiert werden. "Zu armselig" sei dagegen der Verweis
auf neue, technische Ansätze zum Datenschutz ("Privacy by
Design"), die ohne weitere Ausführungen nur ganz allgemein für gut
befunden würden.
Für viele Unternehmer wie etwa einen Landwirt, der selbst
mit gesammelten E-Mail-Adressen seine Erzeugnisse vertreiben wolle, gebäre die
Initiative ein bürokratisches Monstrum, führte der Frankfurter Anwalt Ulrich
Wuermeling aus. So müssten sie nicht nur prüfen, ob die eingesetzten
Kundendaten angemessen, relevant, sachlich richtig oder auf dem neuesten Stand
seien. Vielmehr seien von ihnen auch umfangreiche technische und
organisatorische Maßnahmen zur Pflege und Sicherung der Informationen
umzusetzen, die die Kommission aber teils erst in nachgeordneten Rechtsakten
festlegen wolle.
In 90 Prozent aller Vorgänge der betrieblichen
Datenverarbeitung würden dagegen einfache Rechte etwa auf Auskunft, Korrektur
oder Widerspruch reichen, meinte der Jurist. Das prinzipiell "wichtige und
richtige Instrument" der Einwilligung Betroffener in eine Verwendung ihrer
Daten werde zudem überbetont, sodass dessen "Warnfunktion" verlorengehe.
Insgesamt müsse stärker auf die "Risikorelevanz" personenbezogener
Informationen abgestellt werden. Schier identische Töne sind aus Verbänden der Werbewirtschaft sowie im Bundesinnenministerium zu
vernehmen.
Spiros Simitis, Rechtsprofessor in Frankfurt, fühlte sich
angesichts der Vorträge an die von ihm mitgeprägte "Urzeit des
Datenschutzes" erinnert. Schon in den 1970ern habe Frankreich etwa Regeln
zur Sicherung der Privatsphäre allein auf "sensitive Daten" beziehen
wollen. Der "große Fortschritt" des Gesetzgebers sei es dann
hierzulande gewesen, "sich auf solche Unterscheidungen nicht eingelassen
zu haben". Beim später vom Bundesverfassungsgericht begründeten informationellen
Selbstbestimmungsrecht komme es allgemein auf die Personenbezogenheit von Daten
und deren Funktionsbestimmung in der demokratischen Gesellschaft an. Man könne
nicht so tun, als ob "der Rest" der Informationsverarbeitung einfach
so hinnehmbar sei.
Zu einer Reform auf EU-Ebene gibt es für den Spiritus Rector
des Datenschutzes keine Alternative. Da die Verordnung im Nachhinein kaum
Umsetzungsspielraum lasse, sei Deutschland "mehr denn je verpflichtet, zum
jetzigen Zeitpunkt in die Diskussion einzusteigen" und Korrekturen
vorzunehmen. So müssten die zahlreichen fatalen Ermächtigungen für die
Kommission, Einzelheiten zu Bestimmungen später in Dekreten selbst zu erlassen,
deutlich zusammengestrichen werden. Zudem seien "total verfehlte"
Vorschläge wie die Verknüpfung der Pflicht zum Bestellen betrieblicher oder behördlicher
Datenschutzbeauftragte mit der Zahl der Mitarbeiter.
Der frühere mecklenburg-vorpommerische
Datenschutzbeauftragte Karsten Neumann versuchte die Einwände der Anwälte
wegzuwischen mit dem Verweis auf die Praxis, in der Unternehmen "mit den
Daten ihrer Kunden machen, was sie wollen". So gebe es gerade Probleme bei
der "Alltagsdatenverarbeitung". Die Umsetzung schon lange bestehender
Schutzvorgaben habe die Wirtschaft lange nicht interessiert, weil sie nicht
verfolgt wurden. Es gehe aber nicht nur um unternehmerische Interessen, sondern
auch um die Grundrechte der Bürger. Hier habe Brüssel eine sportliche Leistung
vorgelegt, die vor allem für Europa insgesamt den Standard anhebe.
"Wir brauchen einen argumentativen Kampf für
Mindeststandard gerade im nicht-öffentlichen Bereich", ergänzte die
Bremerische Datenschutzbeauftragte Imke Sommer. Den Mitgliedsstaaten müsse es
zugleich überlassen bleiben, darüber in der Wirtschaft und im öffentlichen
Sektor noch hinauszugehen. Mit Misstrauen beäugte die Kontrolleurin, dass auf
dem Verordnungsentwurf zwar Datenschutz draufstehe, aber "freier
Datenverkehr" für Konzerne wie Microsoft oder Google drin sei. Die Rechte
der Bürger, "kreative Lösungen" mithilfe von Technik oder Prinzipien
wie Datensparsamkeit müssten stärker betont werden.
Insgesamt weniger Kritik erntete der parallel Vorstoß der
Kommission für eine Schutzrichtlinie für Polizei und Justiz. Hier gehe es
eindeutig um die vielfach geforderten Mindeststandards, widersprach der
Mannheimer Staatsrechtler Matthias Bäcker der Ansicht seiner Hamburger Kollegin
Marion Albers, die zunächst vor einer Überharmonisierung warnte. Die Rügen etwa
des Bundesrats seien unberechtigt, da sich Brüssel auf Verknüpfungs- und
Haftungsfragen, die Aufsicht und Betroffenenrechte in weiten, vielfach grenzüberschreitenden
Verarbeitungsketten bei den Sicherheitsbehörden konzentriere und keine abschließenden
Eingriffsbefugnisse vorgebe. Das Grundkonzept sei so schlüssig, auch wenn etwa
die Bestimmungen für den Datentransfer in Drittstaaten eine Katastrophe
darstellten.
Für derlei Übermittlungen gebe es nicht nur viele
Ausnahmeregeln, führte der Passauer Rechtsinformatiker Gerrit Hornung aus.
Vielmehr würden sie generell als zulässig für die Verfolgung oder Verhütung von
Straftaten erklärt. Als Systemfehler bezeichnete er die Tatsache, dass EU-Behörden
wie Europol und Eurojust außen vor blieben. Die Rechte der Kontrolleure seien
deutlich eingeschränkt im Vergleich zum allgemeinen Verordnungsentwurf. Dieter
Kugelmann von der Deutschen Hochschule der Polizei begrüßte den Entwurf aus
Sicht der Praxis prinzipiell: "Die Geltung gleicher Mindeststandards
erleichtert die polizeiliche Zusammenarbeit." Einig war er sich mit dem
Chef des Bundeskriminalamts, Jörg Ziercke, dass die skizzierten neuen
organisatorischen Maßgaben einen deutlichen Mehraufwand für die Arbeit der
Ermittler mit sich brächten.
Langfassung eines Beitrags für heise online.
Keine Kommentare:
Kommentar veröffentlichen