Die EU-Kommission will den Datenschutz in einer Verordnung regeln. Der geleakte Entwurf dieser Verordnung ist extrem lang und sprachlich nur schwer zugänglich – selbst die Zusammenfassung auf Telemedicus füllt mehrere Seiten. Wer sich den Text genauer anschaut, erkennt dennoch grundlegende Probleme.
Ursprünglich war die Offenlegung des Entwurfs für Januar geplant. Ralf Bendrath schreibt nun auf Netzpolitik.org:
Unter anderem hat das US-Lobbying vor Weihnachten schon dafür gesorgt, dass die anderen Generaldirektionen der EU-Kommission die Entwürfe von Reding nicht akzeptiert haben und die fertigen Vorschläge nun erst im Februar oder März fertig sind und vermutlich bereits verwässert werden.
(Update, 19:20 Uhr: Ralf Bendrath korrigiert in den Kommentaren, dass nunmehr doch am 25. Januar die Präsentation der Verordnung erfolgen soll. – Update Ende).
Ich kann nun wenig dazu sagen, ob es wirklich „US-Lobbying” war, das die Datenschutz-Verordnung aufgehalten hat. Ich meine aber, dass der aktuelle Entwurf der Datenschutz-Verordnung ganz grundlegende Probleme hat, und in dieser Form besser da bleibt, wo er jetzt wieder ist: in der Schublade.
1. Die Datenschutz-Verordnung blockiert eine Modernisierung des Datenschutzrechts
Das Recht auf informationelle Selbstbestimmung ist eine Erfindung aus Deutschland. Auch die Reform dieses Systems wird nun hierzulande entworfen: Schon seit mehreren Monaten diskutieren deutsche Datenschutzrechtler darüber, ob personenbezogene Daten wirklich in dieser Form geschützt werden müssen. Soweit ich das sehe, votieren fast alle Experten für eine Liberalisierung des Datenschutzrechts – und insbesondere für eine Aufhebung des grundsätzliches Schutzes von personenbezogenen Daten zugunsten eines flexibleren Systems.
Es lässt sich schlecht abschätzen, wie diese Diskussion weitergehen wird. Ich halte es aber für sehr gut möglich, dass wir in einigen Jahren ein neues, moderneres und effektiveres Datenschutzrecht bekommen werden. Vielleicht in einer ähnlichen Form, wie Schneider und Härting es vorgeschlagen haben. Wenn die EU nun ihre Datenschutz-Verordnung durchsetzt, ist diese Diskussion weitgehend Makulatur. Denn die Verordnung nimmt die berechtige Kritik, die in Deutschland formuliert worden ist, nicht auf – im Gegenteil. Wenn sie in Kraft tritt, ist mit einem Paradigmenwechsel im Datenschutzrecht für die nächste Zeit nicht zu rechnen.
2. Die Verordnung ist kompromisslos, wo Kompromisse nötig sind
Die Datenschutz-Verordnung gießt alten Wein in neue Schläuche – aber mehr davon. Es bleibt beim Schutz der personenbezogenen Daten. Und dieser Schutzanspruch wird durchgesetzt, ohne viel Rücksichtnahme auf gegenläufige Interessen. Ein legitimes Interesse der Öffentlichkeit daran, dass öffentliche Räume öffentlich bleiben sollen? Kommt in der Verordnung kaum vor. Spielräume für Nationen, in denen der Schutz der Privatsphäre eine geringere Rolle spielt? Fehlanzeige. Selbst das legitime Interesse der Bürger, sich selbst zu offenbaren, kommt unter die Räder. Will ein „Datensubjekt” – so heißen in der Verordnung die Menschen – seine Daten anderen überlassen, so gelten dafür strenge Grenzen (Art. 7 des Verordnungsentwurfs [PDF]).
RiBVerfG Masing hat in der Süddeutschen Zeitung kritisiert, dass die Verordnung die Datenschutzaufsicht der Mitgliedsstaaten sehr mächtig macht, sie gleichzeitig aber auch aus dem Behördenaufbau der Staaten herauslöst und eng an die EU bindet. Die Strafen, die Aufsichtsbehörden verhängen können, sind bei Unternehmen an den Jahresumsatz gekoppelt (Art. 79 des Entwurfs [PDF]). Solche Mittel gibt es bisher nur im Kartellrecht, wo Unternehmen an solchen Strafen auch schon einmal fast pleite gehen. Das sind aber nur Beispiele; die Kompromisslosigkeit in Themen des Datenschutzes zieht sich wie ein roter Faden durch den gesamten Entwurf.
Der Datenschutz muss in einer Informationsgesellschaft eine andere Rolle einnehmen. Er muss vermitteln und Ausgleichslösungen finden, und er muss dem Schutz von Geheimnissen und Privatsphäre ebenso Rechnung tragen wie den Interessen der Öffentlichkeit. Er darf nicht ignorieren, dass Bürger viele Informationen über sich ganz absichtlich mitteilen. Und er darf nicht ignorieren, in welchen technischen Zusammenhängen das Internet funktioniert.
3. Die Verordnung trägt Datenschutzrecht dahin, wo Äußerungsrecht hingehört
Datenschutzrecht und Äußerungsrecht betreffen sehr ähnliche Rechtsgüter und Interessenkonstellationen:
• Das Datenschutzrecht regelt den Ausgleich zwischen dem Privatsphären-Interesse der Bürger, und den Interessen derjenigen, die personenbezogene Daten nutzen wollen.
• Das Äußerungsrecht (bzw. Presserecht) regelt den Ausgleich zwischen dem Interesse der Öffentlichkeit, über persönliche Verhältnisse einzelner Personen Informationen zu erhalten, und dem Interesse dieser Personen, die Berichterstattung über sie zu steuern oder zu verhindern.
Die beiden Rechtsgebiete stehen also in engem Zusammenhang. Traditionell steht im Äußerungsrecht aber die Meinungsfreiheit und die anderen Kommunikationsfreiheiten im Vordergrund, während das Datenschutzrecht auf das Recht der informationellen Selbstbestimmung fixiert ist. Die Interessen der Öffentlichkeit werden dort kaum berücksichtigt – was meist auch unproblematisch ist, denn die Öffentlichkeit hat nur wenig legitimen Anspruch auf personenbezogene Daten von einfachen Menschen. Manchmal ist das aber anders: Wenn es um Äußerungen in der Öffentlichkeit geht, oder um Personen, die sich dort bewegen, gelten andere Maßstäbe. Dann verlangen das Demokratieprinzip und die Kommunikationsfreiheiten, dass man über bestimmte Dinge sprechen darf. Kurz gesagt: Wenn es darum geht, wo Otto Normalbürger im Urlaub war, kann man dies getrost dem Datenschutzrecht überlassen. Wenn es um Christian Wulffs Urlaub geht, ist es ein Fall für das Presserecht.
Die Datenschutzverordnung trägt dem kaum Rechnung. Ganz im Gegenteil: In einigen Bereichen bezieht sich die Verordnung sogar gezielt auf Äußerungen in der Öffentlichkeit (z.B. Art. 15 Nr. 2 des Entwurfs). Sie trägt damit Maßstäbe des Datenschutzrechtes dorthin, wo eigentlich das Regime des Äußerungsrechts gelten sollte.
4. Die Verordnung stützt die falsche Idee von einem „Recht auf Vergessenwerden”
Die oben beschriebene Kompromisslosigkeit der Verordnung zeigt sich vor allem in einem Punkt: Beim Recht auf Vergessenwerden. Die Verordnung fordert, dass diejenigen, die personenbezogene Daten erhoben haben, diese nicht nur zwangsweise „vergessen” müssen, wenn das „Datensubjekt” das so will. Wer die Daten verwendet hat, muss auch sicherstellen, dass jede Kopie dieser Daten im Internet und jeder Link darauf gelöscht wird (Art. 15 Nr. 2). Wie soll das gehen, z.B. im Usenet?
Das Recht auf Vergessenwerden ist eine nette Idee, aber man kann es nicht einfach in ein Gesetz schreiben. Es gibt kein Recht auf Vergessenwerden, weder online wie offline – es gibt, wenn überhaupt, ein Recht, sich erinnern zu dürfen. Auf die normativen Implikationen eines „Rechts auf Vergessenwerden” werde ich in einem anderen Artikel noch gesondert eingehen. Aber hier sei schon einmal gesagt: Ein solches Recht ist technisch nicht umsetzbar – und wäre es technisch umsetzbar, wäre es mehr als schädlich, würde es tatsächlich Realität.
5. Die Verordnung überschreitet demokratische Grenzen
Eine Verordnung ist ein EU-Gesetz. Sie verdrängt in ihrem Anwendungbereich jedes deutsche Recht – auch die deutschen Grundrechte, mit der engen Ausnahme der Ewigkeitsgarantie. Wo eine Verordnung gilt, da hat auch kein nationales Parlament mehr Macht. Der Bundestag muss nicht mehr zustimmen – er hat nicht einmal das Recht, nein zu sagen. Die Verordunng bindet unmittelbar die Staatsgewalt in Deutschland: alle Gerichte, alle Behörden.
Die Entmachtung des Parlaments beeinträchtigt die unterschiedlichsten Prinzipien, die im deutschen Grundgesetz verankert sind. Statt diese hier alle aufzuzählen, lässt sich das Problem auch in einer einfachen Frage formulieren: Angenommen, die deutschen Bürger sind unzufrieden mit der Verordnung – wen müssten sie wählen, damit sie aufgehoben wird? Auf diese Frage gibt es keine einfache Antwort mehr. Weder eine Wahl zum Bundestag, noch eine zum Europäischen Parlament erlaubt den Wählern, auf die Inhalte der Verordnung größeren Einfluss zu nehmen. Es gibt Legitimationsketten – aber die sind lang, indirekt und dünn. Nicht umsonst hat die EU das Instrument der Verordnung bisher kaum eingesetzt, sondern das (etwas) verträglichere Instrument der Richtlinie.
RiBVerfG Masing kritisiert darüber hinaus, auch das Bundesverfassungsgericht würde entmachtet. Das Gericht könnte über ganz wesentliche Fragen der hoheitlichen Machtausübung nicht mehr entscheiden. Das ist richtig; aber das ist nicht unbedingt etwas Neues. Auch schon normale EU-Richtlinien beschränken die Kontrollbefugnisse des Bundesverfassungsgerichts. Wenn eine Richtlinie eine „Vollharmonisierung” vorsieht, wie es bei der EU aktuell immer beliebter wird, dann hat das BVerfG zu ihrer Umsetzung ähnlich wenig zu sagen wie zu der Verordnung.
In Europa sind neue Grundrechtekataloge und neue Gerichte entstanden, die diese zur Geltung bringen. Dieser Prozess hat gerade erst begonnen – und abgeschlossen ist er noch lange nicht. Insbesondere bei der Frage, an welchen Grundrechten sich EU-Recht messen lassen muss, ist noch vieles offen. So lange aber noch nicht festgelegt ist, wie der Grundrechtsschutz in Europa aussehen wird, kann die EU auch nicht so eklatant die Grundrechte in den Nationalstaaten umgehen. Wenn es in der EU eine Individualbeschwerde zu einem reinen Grundrechts-Gericht wie dem EGMR gibt, mag sich das anders beurteilen. Aktuell bedeutet die Datenschutz-Verordnung aber eine Entmachtung des Bundestags, und (nicht ganz so weitreichend) auch eine des Bundesverfassungsgerichts.
Fazit
Die Datenschutz-Verordnung ist kein völliger Fehlschlag. Sie enthält auch gute Ideen, z.B. zur Datenportabilität (Art. 16). Aber sie kommt m.E. in der falschen Form, zur falschen Zeit. Den Datenschutz auf Ebene des EU-Rechts zu regeln, ist keine falsche Idee. Aber bevor die Kommission solche einseitigen Vorschläge präsentiert – womöglich in der Vorstellung, dadurch einer „Aufweichung” im Gesetzgebungsverfahren zuvorzukommen – sollte sie erst einmal berücksichtigen, in welch sensiblem Bereich sie sich bewegt. Aktuell ist der Entwurf in keiner Weise tragbar – weder politisch noch rechtlich.
Der Entwurf zur Datenschutzverordnung im Volltext (PDF).
Ralf Bendrath wirft RiBVerfG Masing „Trollen” und „Blödsinn” vor – lesenswert auch die Kommentare.
Internet-Law zur Datenschutz-Verordnung.