Am 6. Mai hat die FSM (Freiwillige Selbstkontrolle Multimedia-Diensteanbieter) in einem „Closing Report“ faktisch das Scheitern des Versuchs bekanntgegeben, die in Deutschland populärsten und größten Anbieter sozialer Netzwerke im Internet zu einer, vor allem von Bundesinnenminister Dr. Friedrich propagierten Selbstregulierung zu bewegen. Der Bundesinnenminister erklärt, die „Verweigerungshaltung von Facebook und Google“ sei „bedauerlich“. Doch ob das Scheitern der Verhandlungen allein auf die Unbeweglichkeit der Internetriesen zurückzuführen ist, scheint fraglich.
Getragen von dem Gedanken, schnelle, flexible und selbstverpflichtende Vereinbarungen zwischen den betroffenen Wirtschaftskreisen zu erzielen, welche vor allem den Nutzern Klarheit und Rechtssicherheit bringen sollten, war das Projekt im November 2011 gestartet. Ein Novum, zu der bereits bestehenden Selbstverpflichtung deutscher Netzwerke, sollte die Einbeziehung der internationalen Anbieter Facebook und Google darstellen.
Laut dem Closing Report der FSM gab es mehrere Gründe, warum am Ende nur drei der insgesamt acht beteiligten Netzwerkbetreiber überhaupt bereit waren, die bisher erarbeiteten, vorläufigen Ergebnisse, rein unverbindlich anzuerkennen.
Das Fehlen gesetzlicher Voraussetzungen
Um eine effektive Selbstregulierung auszuüben, bedürfe es klarer gesetzlicher Rahmenbedingungen. § 38a BDSG reiche hierfür bei weitem nicht aus, da etwa Vorgaben zu Verfahrensfragen und Kompetenzzuweisungen an die Selbstkontrolle fehlten.
Die Ansicht, dass es, im Gegensatz zum Jugendmedienschutz, an konkreten gesetzlichen Rahmenbedingungen für eine Selbstregulierung mangelt, lässt sich zumindest nicht von der Hand weisen. Für die regulierte Selbstregulierung im Jugendmedienschutz geht etwa § 19 JMStV weit über den Regelungsumfang von § 38a BDSG hinaus.
Man muss sich jedoch dann fragen, warum dieses Projekt so medienwirksam unter der Schirmherrschaft des Bundesinnenministeriums initiiert wurde? Denn § 38a BDSG bestand schon zur Zeit des Beginns der Verhandlungen um den Kodex. Und dass es etwa gesetzliche Klarstellungen und Erweiterungen zur Unterstützung des Prozesses geben sollte, wurde, z. B. von Seiten des Bundesinnenministerium, nie vorgebracht. Die Beteiligten wussten also, welches Handwerkszeug sie zum Bau ihrer Selbstverpflichtung zur Verfügung hatten. Sich nach eineinhalb Jahren darauf zu berufen, dass die gesetzlichen Voraussetzungen nicht bestünden, überzeugt nicht wirklich.
Die „Überraschung“ auf europäischer Ebene
Ein weiteres Argument der Beteiligten ist, dass die Verhandlungen vor dem Hintergrund der Vorstellung der Datenschutz-Grundverordnung (DS-GV) im Januar 2012 noch komplexer wurden.
Richtig an diesem Argument ist sicherlich, dass durch die vorgeschlagenen neuen Regelungen und gerade ihrer Form als Rechtsverordnung, eine besondere Bedeutung bei dem Arbeitsprozess für den Kodex zukam. Denn zumindest war absehbar, dass die derzeit geltenden Bestimmungen des BDSG und TMG in ein paar Jahren größtenteils nicht mehr anwendbar sein würden.
Auch dieser Einwand kann jedoch nicht zählen. Bereits in der Pressemitteilung des Bundesinnenministeriums vom 2. November 2011 zum Start der Arbeit an dem Kodex, weist Dr. Friedrich explizit auf die geplanten Änderungen der bestehenden Datenschutz-Richtlinie auf europäischer Ebene hin. Die erste tatsächliche Arbeitssitzung der Beteiligten fand am 25. Januar 2012 statt, also genau an dem Tag, als die Europäische Kommission ihren Entwurf für eine Datenschutz-Grundverordnung präsentierte. Spätestens hier musste klar werden, dass größere Änderungen im Datenschutzrecht anstehen, welche natürlich auch die Arbeit und Zielsetzung der Selbstverpflichtung beeinflussten. Dann jedoch über ein Jahr weiter an dem Projekt zu arbeiten und am Schluss festzustellen, dass man doch die Änderungen auf europäischer Ebene abwarten müsse, weckt Unverständnis.
Internationale Unternehmen wollen internationale Vorgaben
Die international agierenden Unternehmen unter den Beteiligten, also allen voran Google und Facebook (jedoch unterzeichneten etwa auch Xing und LinkedIn den Entwurf nicht), wären bestrebt gewesen, Vorgaben zu erhalten, die für ganz Europa einheitlich gelten können.
Auch dieses, für international operierende Anbieter grundsätzlich verständliche, Argumentation, kann jedoch nicht durchgreifen. Denn die Selbstverpflichtung, auf Initiative des Bundesinnenministeriums und unter der Koordination der FSM war von Beginn an ein rein deutsches und damit nationales Projekt. Spätestens mit der Kenntnis um die geplanten Änderungen auf europäischer Ebene musste den Anbietern bewusst gewesen sein, dass sie hier zunächst nur an einer Insellösung arbeiten würden, welche sich später in ein internationales Vorgabengeflecht hätte einfügen müssen.
Doch wird mit der geplanten Datenschutz-Grundverordnung alles anders und alles besser?
Verhaltensregeln in der Datenschutz-Grundverordnung
Auch in dieser ist in Art. 38 DS-GV die Schaffung von sog. Verhaltensregeln vorgesehen. Positiv lässt sich anmerken, dass Art. 38 Abs. 1 DS-GV nähere Anforderungen an die Ausgestaltung und z. B. auch an die Überwachung der Einhaltung von Selbstverpflichtungen stellt, als dies etwa für § 38a BDSG der Fall ist.
Dennoch bleiben die Vorgaben etwa hinter denen des § 19 JMStV und vor allem den Verfahrensregeln des § 20 JMStV zurück. Insbesondere fehlt es jedoch an Anreizen für Wirtschaftskreise, solche Verhaltensregeln zu erstellen und zu befolgen. Eine Privilegierung dergestalt, dass bei Verstößen gegen die Vorgaben der Datenschutz-Grundverordnung zunächst ein internes Kontrollverfahren durchgeführt wird, fehlen derzeit in dem Entwurf der Europäischen Kommission.
Datenschutz ist kein Jugendmedienschutz
Es muss darauf hingewiesen werden, dass die regulierte Selbstregulierung im Bereich des Jugendmedienschutzrechts gerade von den „nicht-juristischen“ Besonderheiten dieses Gebietes lebt. Auch die Enquete-Kommission hat in ihrem Zwischenbericht „Datenschutz, Persönlichkeitsrechte“ vom 15. März 2013 explizit darauf hingewiesen, dass sich zumindest die Form der regulierten Selbstregulierung im Datenschutzrecht nicht eignet. Denn im Jugendmedienschutz hängt die Frage, ob Inhalte etwa potentiell entwicklungsbeeinträchtigend sind oder nicht, von tatsächlichen, nicht gesetzlich determinierten Entscheidungen möglichst sachnaher Experten ab, welche diese innerhalb eines Beurteilungsspielraums treffen. Hingegen stellt sich das Datenschutzrecht als stark durchreguliertes, grundrechtsbezogenes Gebiet dar, welches die Rechtmäßigkeit einer Datenverarbeitung vor allem auf Rechts- und Tatsachenfragen stützt. Zwar gilt es auch hier Abwägungen vorzunehmen, dabei handelt es sich jedoch um rechtlich geschützte Interessen und keine Beurteilungsspielräume für fachkundige Personen.
Zuletzt sei zudem daran erinnert, dass der Schutz der personenbezogenen Daten gleichzeitig Grundrechtsschutz, auch auf europäischer Ebene (Art. 8 der Charta der Grundrechte der Europäischen Union), darstellt und damit einen gesetzlich auszuformenden Schutzauftrag an den Staat bedeutet. Bei einem geplanten „Outsourcing“ in diesem Bereich, scheint daher sowohl aus tatsächlichen als auch aus rechtlichen Gesichtspunkten, Vorsicht geboten zu sein.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, sah das Scheitern des Kodex als vorprogrammiert an. Dieser Einschätzung muss man nicht unbedingt folgen, zumindest scheinen aber die vorgebrachten Probleme der Beteiligten allesamt erkennbar oder vermeidbar gewesen zu sein. Dieses nun in einem „Diskussionsentwurf“ gestrandete Projekt hat jedoch auch einen positiven Effekt. Denn es macht deutlich, dass allein mit öffentlichkeitswirksamen, politischen Forderungen dem Datenschutz in Deutschland und Europa nicht zur Durchsetzung verholfen werden kann. Hier braucht es in Zukunft durchdachte gesetzgeberische Vorgaben, welche die Leitplanken einer Selbstregulierung bilden. Die Chance dazu besteht derzeit in Brüssel. Ob sie genutzt wird, bleibt abzuwarten.
Dr. Carlo Piltz ist Referendar in Berlin. Er promovierte zu sozialen Netzwerken im Internet: „Soziale Netzwerke im Internet – Eine Gefahr für das Persönlichkeitsrecht?” und bloggt über Datenschutz im Web 2.0 bei de lege data.