BITKOM will das Grundrecht auf Datenschutz privatisieren – Union macht mit

Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) und dessen hauseigener Fanclub zur Privatisierung der Rechtsdurchsetzung, der Verein „Selbstregulierung Informationswirtschaft“ (SRIW), haben keinen Bock auf die EU-Datenschutzverordnung. Deshalb wollen sie hohen und verbindlichen Standards aus Brüssel zuvorkommen. Statt offener Ablehnung des Kommissionsvorschlags setzen sie allerdings auf seine Zersetzung von innen: Die darin vorgesehenen Artikel zu „Verhaltensregeln und Zertifizierungen“ blähen BITKOM/SRIW bis zur Unkenntlichkeit auf. Wenn es nach ihnen geht, kümmern sich zukünftig Unternehmensverbände um das Grundrecht auf Datenschutz. Wie es aussieht, sind die Vertreter der Union auch nicht abgeneigt.

Einklagbare Privatisierung der Rechtsdurchsetzung

In ihrer Stellungnahme „Verankerung von Selbstregulierung im Datenschutz in der EU-Datenschutz-Grundverordnung“ vom 14. März malen sie bunte Bildchen  schlagen BITKOM/SRIW vor, wie Unternehmensverbände am besten an der Setzung und Durchsetzung [sic!] von Datenschutzregeln beteiligt werden können. Die Anerkennung eines Verhaltenskodex soll sogar einklagbar werden:

Die vorlegende Vereinigung kann nun ihren Anspruch auf Anerkennung des Kodex in einem (evtl. beschleunigten) gerichtlichen Verfahren geltend machen. Sieht das Gericht den Anspruch als gegeben an, bindet das Urteil die Aufsichtsbehörde. Sie kann jedoch Rechtsmittel gegen das Urteil einlegen.


Wir lassen uns das bitte noch einmal auf der Zunge zergehen: Unternehmensverbände, wie der BITKOM selbst einer ist, denken sich Datenschutzregeln aus und sorgen dafür, dass sie angewendet werden. Aber der Reihe nach…

Schritt für Schritt zum Datenschutz à la BITKOM

Die Stellungnahme lehrt uns zunächst einmal:

Selbstregulierung dient der Erreichung gesellschafts- und wirtschaftspolitischer Ziele.

Selbstregulierung ist wohl genau das richtige, um ein Grundrecht wie Datenschutz zu schützen. Also los! Erst einmal muss Selbstregulierung in geltendes Recht gegossen werden, denn:

Damit die aufgezeigten Selbstregulierungsmechanismen funktionieren, benötigen sie eine gesetzliche Verankerung in der Datenschutz-Grundverordnung.

Bei so wichtigen Sachen wie Selbstregulierung gehen BITKOM/SRIW halt lieber auf Nummer sicher. Merkt ihr selbst nicht?

Mit der notwendigen rechtlichen Sicherheit gewappnet, geht es sogleich ans Werk. Datenschutzregeln ausdenken! Aber bitte schön schlank:

Die Verfahren für die Erstellung von Kodizes müssen auf Effektivität und Flexibilität ausgerichtet. Sie müssen dem jeweiligen Sachverhalt angemessen und schlank genug sein, um rechtzeitig auf neue Entwicklungen reagieren zu können.

Ja, und wer macht die ganze Arbeit?

Europäische oder nationale Vereinigungen erarbeiten (möglichst im Dialog mit der zuständigen Aufsichtsbehörde oder dem Europäischen Datenschutzausschuss) einen Kodex. Es sollten hier nicht zu enge Vorgaben gemacht werden, welche Vereinigungen antragsberechtigt sind. Auch zur Anzahl der beteiligten Unternehmen o.ä. sollte es keine Vorgabe geben […]

Und wenn die Datenschützer nein sagen, können die nicht zu engen Vereinigungen klagen (s.o.). Das Grundrecht auf Datenschutz Selbstregulierung muss schließlich geschützt werden.

Einmal in der Welt, brauchen unsere mühselig erarbeiteten Verhaltenscodices natürlich Schutz! Am besten die nicht zu engen Vereinigungen machen das gleich selbst. Die sind schließlich mit dieser ganzen Datenschutz Selbstregulierungssache vertraut. Stolz präsentieren BITKOM/SRIW ihren neuen Artikel 38a der Datenschutzverordnung:

Art. 38a new Self-regulatory Bodies
1. If a code of conduct sets up a self-regulatory body in order to enforce the provisions of this code with the signees, the Associations or other bodies representing categories of controllers or processors who set up the code may ask the European Data Protection Board to approve this self-regulatory body as competent self-regulatory body.

Und wenn die Datenschützer hier noch einmal nein sagen sollten? Ihr ahnt es:

Self-regulatory bodies that have not been approved by the competent supervisory authority or the European Data Protection Board can appeal against the decision at the competent court.

Und die ganzen anderen Artikel der Datenschutzgrundverordnung? Nicht mehr so wichtig:

Measures adhered to by the controller pursuant to Articles 38 and 39 shall be accepted as valid tool to proove compliance with the respective requirements of this Regulation.

Keine Regeln, keine Durchsetzung, kein Datenschutz

Die ganze Sache hat einen Haken: Unternehmen, die mit Daten Geld verdienen, haben keinen Bock auf Selbstregulierung. Das Beispiel Friedrich vs. Facebook sei an dieser Stelle exemplarisch genannt. Ein anderes allzu offensichtliches und zugleich abschreckendes Argument, die Böcke zu Gärtnern zu machen, sind die datenschutzfeindlichen Änderungsvorschläge der Unternehmen zur EU-Datenschutzverordnung – zum Beispiel die der Verleger. Hier könnte eigentlich Schluss sein. Aber lassen wir uns doch einmal auf das Gedankenspiel von BITKOM/SRIW ein, finden sich noch mehr Haken an der Sache. Die beiden offensichtlichsten:

1.) In der Stellungnahme findet sich nirgendwo ein Hinweis, der die Unternehmen zur Schaffung von Datenschutzregeln verpflichtet. Die Mitgliedstaaten, die Aufsichtsbehörden und die Kommission sollen die Ausarbeitung von Verhaltensregeln zwar fördern, aber eine Verpflichtung der Unternehmerseite ist nicht vorgesehen.

2.) Die Einbeziehung von Vertreterorganisationen der Nutzerinnen und Nutzer in den Regulierungsprozess, ist lediglich „zu erwägen“.

3.) Die „new Self-regulatory Bodies“, welche über die Einhaltung wachen sollen, haben keine konkreten Interventionsbefugnisse. Sie werden aber den Datenschutzbehörden vorgeschaltet und verhindern so deren Durchsetzungsbefugnisse. Stellen wir uns ein Datenleck bei einer selbregulierten Firma vor, das viele sensible Nutzerdaten offen zugänglich macht: Eine Datenschutzbehörde könnte im Normalfall intervenieren und in absehbarer Zeit die Server vom Netz nehmen lassen. Nach dem BITKOM/SRIW-Vorschlag müssten nun aber zunächst die zahnlosen „new Self-regulatory Bodies“ tätig werden (vgl. S. 11 der Stellungnahme).

Viele Worte, doch die Absicht bleibt die selbe: Die Datenschutzverordnung verwässern

Wie oben dargelegt, ist nicht ernsthaft mit einer Selbstregulierung durch die Unternehmen bzw. ihre Vertretungen zu rechnen. Was wollen BITKOM und Co. also erreichen bzw. was bleibt von ihren Vorschlägen? Eine andere Stellungnahme des BITKOM, die Änderungsvorschläge an den Grundpfeilern der Verordnung macht, lässt erahnen, in welche Richtung es geht: Der Datenschutz soll auf ein Minimalniveau heruntergefahren werden: Das Prinzip der Einwilligung in die Datenverarbeitung, die Zweckbindung der Daten sowie die im Kommissionsentwurf vorgesehenen Sanktionen will der BITKOM aufweichen. Zudem verweist der Unternehmensverband in diesem Papier oft auf die Konkretisierung der Verordnung durch Selbstregulierungsverfahren. Bleiben die aus, bleibt vom Datenschutz nichts.

Hohe, verbindliche Standards von unseren Volksvertretern einfordern

Mit diesen Ansichten steht der BITKOM nicht allein da. Wohl nicht zufällig findet sich ein, der BITKOM/SRIW-Stellungnahme ähnlicher, Artikel mit dem Titel „Promoting Self-Regulation“ in den Änderungsanträgen des deutschen Europaparlamentariers Axel Voss (CDU). Auch Innenminister Friedrich will sich für mehr Selbstregulierung in der Datenschutzverordnung einsetzen. Es ist also umso wichtiger, unsere Volksvertreterinnen und Volksvertreter davon zu überzeugen, dass unser Grundrecht auf Datenschutz in der geplanten Verordnung verbindlich hoch festgeschrieben wird. Selbstregulierung macht Datenschutz zur Verhandlungsmasse privater Akteure. Eure Abgeordneten freuen sich darauf, daran erinnert zu werden. Am 19. März wird im Rechtsausschuss des Europäischen Parlaments das nächste mal über eine Stellungnahme zur Datenschutzgrundverordnung abgestimmt. Eine gute Gelegenheit, sich mal zu melden.

Funfact: Im Verein Selbstregulierung Informationswirtschaft (SRIW), könnt ihr euer Kapital effektiv in Stimmrecht anlegen. Laut Vereinssatzung gibt es für mehr als 50.000 € Beiträge gleich 4 Stimmen, für 25.000 € – 50.000 € immerhin drei, für 5000 € – 25.000 € noch zwei und bis 5000 € wenigstens eine Stimme.

8 Kommentare
Wir wollen 2016 noch schlagkräftiger werden. Unterstütze unsere Arbeit durch eine Spende für mehr netzpolitik.org, damit wir weiter kritisch und unabhängig bleiben können. Spenden