BITKOM will das Grundrecht auf Datenschutz privatisieren – Union macht mit

Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) und dessen hauseigener Fanclub zur Privatisierung der Rechtsdurchsetzung, der Verein „Selbstregulierung Informationswirtschaft“ (SRIW), haben keinen Bock auf die EU-Datenschutzverordnung. Deshalb wollen sie hohen und verbindlichen Standards aus Brüssel zuvorkommen. Statt offener Ablehnung des Kommissionsvorschlags setzen sie allerdings auf seine Zersetzung von innen: Die darin vorgesehenen Artikel zu „Verhaltensregeln und Zertifizierungen“ blähen BITKOM/SRIW bis zur Unkenntlichkeit auf. Wenn es nach ihnen geht, kümmern sich zukünftig Unternehmensverbände um das Grundrecht auf Datenschutz. Wie es aussieht, sind die Vertreter der Union auch nicht abgeneigt.

Einklagbare Privatisierung der Rechtsdurchsetzung

In ihrer Stellungnahme „Verankerung von Selbstregulierung im Datenschutz in der EU-Datenschutz-Grundverordnung“ vom 14. März malen sie bunte Bildchen  schlagen BITKOM/SRIW vor, wie Unternehmensverbände am besten an der Setzung und Durchsetzung [sic!] von Datenschutzregeln beteiligt werden können. Die Anerkennung eines Verhaltenskodex soll sogar einklagbar werden:

Die vorlegende Vereinigung kann nun ihren Anspruch auf Anerkennung des Kodex in einem (evtl. beschleunigten) gerichtlichen Verfahren geltend machen. Sieht das Gericht den Anspruch als gegeben an, bindet das Urteil die Aufsichtsbehörde. Sie kann jedoch Rechtsmittel gegen das Urteil einlegen.


Wir lassen uns das bitte noch einmal auf der Zunge zergehen: Unternehmensverbände, wie der BITKOM selbst einer ist, denken sich Datenschutzregeln aus und sorgen dafür, dass sie angewendet werden. Aber der Reihe nach…

Schritt für Schritt zum Datenschutz à la BITKOM

Die Stellungnahme lehrt uns zunächst einmal:

Selbstregulierung dient der Erreichung gesellschafts- und wirtschaftspolitischer Ziele.

Selbstregulierung ist wohl genau das richtige, um ein Grundrecht wie Datenschutz zu schützen. Also los! Erst einmal muss Selbstregulierung in geltendes Recht gegossen werden, denn:

Damit die aufgezeigten Selbstregulierungsmechanismen funktionieren, benötigen sie eine gesetzliche Verankerung in der Datenschutz-Grundverordnung.

Bei so wichtigen Sachen wie Selbstregulierung gehen BITKOM/SRIW halt lieber auf Nummer sicher. Merkt ihr selbst nicht?

Mit der notwendigen rechtlichen Sicherheit gewappnet, geht es sogleich ans Werk. Datenschutzregeln ausdenken! Aber bitte schön schlank:

Die Verfahren für die Erstellung von Kodizes müssen auf Effektivität und Flexibilität ausgerichtet. Sie müssen dem jeweiligen Sachverhalt angemessen und schlank genug sein, um rechtzeitig auf neue Entwicklungen reagieren zu können.

Ja, und wer macht die ganze Arbeit?

Europäische oder nationale Vereinigungen erarbeiten (möglichst im Dialog mit der zuständigen Aufsichtsbehörde oder dem Europäischen Datenschutzausschuss) einen Kodex. Es sollten hier nicht zu enge Vorgaben gemacht werden, welche Vereinigungen antragsberechtigt sind. Auch zur Anzahl der beteiligten Unternehmen o.ä. sollte es keine Vorgabe geben […]

Und wenn die Datenschützer nein sagen, können die nicht zu engen Vereinigungen klagen (s.o.). Das Grundrecht auf Datenschutz Selbstregulierung muss schließlich geschützt werden.

Einmal in der Welt, brauchen unsere mühselig erarbeiteten Verhaltenscodices natürlich Schutz! Am besten die nicht zu engen Vereinigungen machen das gleich selbst. Die sind schließlich mit dieser ganzen Datenschutz Selbstregulierungssache vertraut. Stolz präsentieren BITKOM/SRIW ihren neuen Artikel 38a der Datenschutzverordnung:

Art. 38a new Self-regulatory Bodies
1. If a code of conduct sets up a self-regulatory body in order to enforce the provisions of this code with the signees, the Associations or other bodies representing categories of controllers or processors who set up the code may ask the European Data Protection Board to approve this self-regulatory body as competent self-regulatory body.

Und wenn die Datenschützer hier noch einmal nein sagen sollten? Ihr ahnt es:

Self-regulatory bodies that have not been approved by the competent supervisory authority or the European Data Protection Board can appeal against the decision at the competent court.

Und die ganzen anderen Artikel der Datenschutzgrundverordnung? Nicht mehr so wichtig:

Measures adhered to by the controller pursuant to Articles 38 and 39 shall be accepted as valid tool to proove compliance with the respective requirements of this Regulation.

Keine Regeln, keine Durchsetzung, kein Datenschutz

Die ganze Sache hat einen Haken: Unternehmen, die mit Daten Geld verdienen, haben keinen Bock auf Selbstregulierung. Das Beispiel Friedrich vs. Facebook sei an dieser Stelle exemplarisch genannt. Ein anderes allzu offensichtliches und zugleich abschreckendes Argument, die Böcke zu Gärtnern zu machen, sind die datenschutzfeindlichen Änderungsvorschläge der Unternehmen zur EU-Datenschutzverordnung – zum Beispiel die der Verleger. Hier könnte eigentlich Schluss sein. Aber lassen wir uns doch einmal auf das Gedankenspiel von BITKOM/SRIW ein, finden sich noch mehr Haken an der Sache. Die beiden offensichtlichsten:

1.) In der Stellungnahme findet sich nirgendwo ein Hinweis, der die Unternehmen zur Schaffung von Datenschutzregeln verpflichtet. Die Mitgliedstaaten, die Aufsichtsbehörden und die Kommission sollen die Ausarbeitung von Verhaltensregeln zwar fördern, aber eine Verpflichtung der Unternehmerseite ist nicht vorgesehen.

2.) Die Einbeziehung von Vertreterorganisationen der Nutzerinnen und Nutzer in den Regulierungsprozess, ist lediglich „zu erwägen“.

3.) Die „new Self-regulatory Bodies“, welche über die Einhaltung wachen sollen, haben keine konkreten Interventionsbefugnisse. Sie werden aber den Datenschutzbehörden vorgeschaltet und verhindern so deren Durchsetzungsbefugnisse. Stellen wir uns ein Datenleck bei einer selbregulierten Firma vor, das viele sensible Nutzerdaten offen zugänglich macht: Eine Datenschutzbehörde könnte im Normalfall intervenieren und in absehbarer Zeit die Server vom Netz nehmen lassen. Nach dem BITKOM/SRIW-Vorschlag müssten nun aber zunächst die zahnlosen „new Self-regulatory Bodies“ tätig werden (vgl. S. 11 der Stellungnahme).

Viele Worte, doch die Absicht bleibt die selbe: Die Datenschutzverordnung verwässern

Wie oben dargelegt, ist nicht ernsthaft mit einer Selbstregulierung durch die Unternehmen bzw. ihre Vertretungen zu rechnen. Was wollen BITKOM und Co. also erreichen bzw. was bleibt von ihren Vorschlägen? Eine andere Stellungnahme des BITKOM, die Änderungsvorschläge an den Grundpfeilern der Verordnung macht, lässt erahnen, in welche Richtung es geht: Der Datenschutz soll auf ein Minimalniveau heruntergefahren werden: Das Prinzip der Einwilligung in die Datenverarbeitung, die Zweckbindung der Daten sowie die im Kommissionsentwurf vorgesehenen Sanktionen will der BITKOM aufweichen. Zudem verweist der Unternehmensverband in diesem Papier oft auf die Konkretisierung der Verordnung durch Selbstregulierungsverfahren. Bleiben die aus, bleibt vom Datenschutz nichts.

Hohe, verbindliche Standards von unseren Volksvertretern einfordern

Mit diesen Ansichten steht der BITKOM nicht allein da. Wohl nicht zufällig findet sich ein, der BITKOM/SRIW-Stellungnahme ähnlicher, Artikel mit dem Titel „Promoting Self-Regulation“ in den Änderungsanträgen des deutschen Europaparlamentariers Axel Voss (CDU). Auch Innenminister Friedrich will sich für mehr Selbstregulierung in der Datenschutzverordnung einsetzen. Es ist also umso wichtiger, unsere Volksvertreterinnen und Volksvertreter davon zu überzeugen, dass unser Grundrecht auf Datenschutz in der geplanten Verordnung verbindlich hoch festgeschrieben wird. Selbstregulierung macht Datenschutz zur Verhandlungsmasse privater Akteure. Eure Abgeordneten freuen sich darauf, daran erinnert zu werden. Am 19. März wird im Rechtsausschuss des Europäischen Parlaments das nächste mal über eine Stellungnahme zur Datenschutzgrundverordnung abgestimmt. Eine gute Gelegenheit, sich mal zu melden.

Funfact: Im Verein Selbstregulierung Informationswirtschaft (SRIW), könnt ihr euer Kapital effektiv in Stimmrecht anlegen. Laut Vereinssatzung gibt es für mehr als 50.000 € Beiträge gleich 4 Stimmen, für 25.000 € – 50.000 € immerhin drei, für 5000 € – 25.000 € noch zwei und bis 5000 € wenigstens eine Stimme.

8 Ergänzungen

  1. Klingt für mich genauso sinnvoll, als würde das organisierte Verbrechen in Selbstregulierung das Strafgesetzbuch neu verfassen. Bitte nicht falsch verstehen: Ich unterstelle dem Bitkom natürlich nicht, er sei ein Verbrecherverein.

    Aber Gesetzgebung bleibt doch bitte beim Gesetzgeber, und nicht bei den Verbänden, die durch die Gesetze im Zweifel gebändigt werden müssen.

  2. Das Mitwirken der Zivilgesellschaft an der Gesetzgebung durch parlamentarische Körper als Verwässerung ständig zu denunzieren ist schon ziemlich skurril. Ich finde es gut, dass dem EU-Parlament jemand in den Arm fällt mit dieser unsinnigen EU-Datenschutzverordnung. Was soll sie denn bringen? :

    – deutsche Urlauber in der Türkei bekommen nach dem Willen des
    Entwurfs keinen Datenschutz, da die Türkei nicht zu Europa gehört.
    Eine Anstrengung für globalen Datenschutz in globalen Medien soll
    weiter unterbleiben.

    – deutsche Soldaten im Krieg in Afghanistan und Mali sollen keinen
    Datenschutz für die Facebook-Feldpost bekommen. Eine Anstrengung für globalen Datenschutz in globalen Medien soll weiter unterbleiben.

    – in Deutschland werden schwere Datenschutzverstöße mit
    Gefängnisstrafe bedroht. Nach dem Entwurf der EU-DSVO soll die
    Gefängnisstrafe zu einem Kavaliersdelikt herabgewürdigt werden: die
    Sippenhaft sol wieder eingeführt werden und die Aktionäre statt der
    Täter bestraft werden mit Bußgeldern bis zu 2% des Umsatzes.

    – der Datenschutz bei Polizei und Justiz wird nicht behandelt mit dem
    Entwurf der Datenschutzverordnung. Weichert und Schaar können als den Bürger weiter im Dunkeln lassen über den nicht vorhandenen
    Datenschutz beim Bundestrojaner und weiter die Täter schützen mit
    Geheimschutz (VS-NfD).

    Und das Recht auf Vergessen? Soll das auch auf Papier gelten? Jeder, der eine Anzeige mit personenbezogenen Daten in Zeitungen bringt, die in internationalen Bibliotheken archiviert werden, soll das Recht bekommen, diese Daten von Millionen Bibliothekaren wieder (kostenlos) entfernen zu lassen? Oder soll nur das Internet behindert werden und die Gestern-Welt weiter ohne „Datenschutz“ auskommen?

    Diese Datenschutzverordnung bringt keine Datenschutz der Bürger
    sondern ist ein skurriles antiamerikanisches Lex-Facebook.

    Echter Datenschutz würde auch deutsche ouristen und Soldaten (weltweit) schützen, Täter in den Knast stopfen statt Aktionäre auszunehmen, weltweit keine Zeitdokumente von Veröffentlichungen zerschnipseln, global in globalen Medien gelten und auch Polizei und Justiz betreffen. Pillepalle und Nebelkerzen.

    Da passt es gut in die Diskussion mit der Zivilgesellschaft, ob man nicht manche Sachen besser in die Selbstregulierung gibt, als blind einem Gesetzgeber zu vertrauen, der Datenschutz zum Kavaliersdelikt herab würdigen will. Auch Lobbyorganisationen wie netzpolitik.org könnten sich da einer sachlichen Sprachen bedienen und endlich auch die berechtigte Kritik an dem, EU-Entwurf diskutieren. Die jetzige Tonlage klingt eher so, wie wenn die EU ACTA und VDS als schöne Sache hinstellt.

  3. @Wolfgang Ksoll: Ein wenig Ahnung von der Sache sollte man schon haben.

    „Eine Anstrengung für globalen Datenschutz in globalen Medien soll weiter unterbleiben.“ falsch, siehe Artikel 45. Natürlich ist das mühsamer als nur in der EU Recht zu setzen, ist klar.

    „deutsche Soldaten im Krieg in Afghanistan und Mali sollen keinen
    Datenschutz für die Facebook-Feldpost bekommen.“ Facebook wäre dadurch , dass es sich gezielt an europäische NutzerInnen richtet, mit gereget. Das ist übrigens heute schon so wegen der Niederlassung in Irland. Ob man sich dann als Deutscher von Mali oder sonstwo einloggt, ist egal.

    „in Deutschland werden schwere Datenschutzverstöße mit
    Gefängnisstrafe bedroht. Nach dem Entwurf der EU-DSVO soll die
    Gefängnisstrafe zu einem Kavaliersdelikt herabgewürdigt werden: die
    Sippenhaft sol wieder eingeführt werden und die Aktionäre statt der
    Täter bestraft werden mit Bußgeldern bis zu 2% des Umsatzes.“ Den Mitgliedsstaaten ist es freigestellt, zusätzlich strafrechtliche Sanktionen zu verhängen. Die EU hat in diesem Bereich nur begrenzte Kompetenzen, daher können durch EU-Recht nur Bussgelder auferlegt werden. Dass die Aktionäre künftig ein Interesse daran haben, dass das Mangement sich an die Gesetze hält, finde ich sinnvoll. Das ist auch nichts neues, siehe Kartellrecht etc.

    „der Datenschutz bei Polizei und Justiz wird nicht behandelt mit dem
    Entwurf der Datenschutzverordnung.“ Dazu wird parallel die Richtlinie für den Datenschutz im Polizeibereich verhandelt.

  4. @Ralf Bendrath

    In dem Entwurf steht drin in Artikel 3, dass die räumliche Geltung auf die Union beschränkt ist.
    Von einer Ermächtigung zusätzliche Gefängnisstrafen ausserhalb der EU-DSVO für diesen Datenschutzbereich auszuloben, steht in dem Entwurf nichts drin.
    In dem Artikel 45 werden keine konkreten Vorgaben gemacht, Regelungen anzustreben, wie wir sie bei den Genfer Konventionen, der WTO oder der WIPO haben.
    Unverbindlicher Singsang wie die EU-Dienstleistungsrichtlinie oder der EU-Zwang zur Vorratsdatenspeicherung, anden sich in Deutschland keiner hält.
    Dass die EU sich nicht traut, Polizei und Justiz ind er DSVO zu regulieren, sondern nur eine unverbindliche Richtlinie erarbeiten will, ist bekann. Es schadet dem Datenschutz und den Rechten der Bürgern. Mit dem halbgaren Ansatz der DSBVO ohne Polizei und Justiz ist esin ein reines Lex-Facebook antiamerikanischer Fundamentalisten mit geringem Nutzen für den Bürger.

    Es wäre ut, wenn die Lobbyorganisataonen, die den Entwurf der DSVO trotz der gravierenden Mängel gut finden, endlich den Dialog mit der Zivilgesellschaft aufnehmen würden und nicht rechtsirrtümlich immer fordern, dass am deutschen Wesen mal wieder die Welt genesen soll (mit der Einschränkung, Gefängnisstrafen abzuschaffen bei schweren Datenschutzverstössen). Oder sollen wir jetzt den Spass glauben, dass das deutsche BDSG dann noch Vorrang vor der EU-DSVO haben soll? Dann bräuchten wir sie überhaupt nicht.

  5. @ Wolfgang Ksoll: Gefängnisstrafen können in dem EU-Entwurf nicht drin stehen, weil die EU nur eine sehr begrenzte Kompetenz hat, materielles Strafrecht zu harmonisieren. Das bleibt in diesem Fall Sache der Mitgliedsstaaten, egal was die EU beschließt. Hier wird also auch nichts abgeschafft. In Artikel 3 des Entwurfs steht allerdings, dass die Verordnung auch gelten soll für Datenverarbeiter in Drittstaaten, sofern sie Güter oder Dienstleistungen in der EU anbieten.
    Falls die Richtlinie für den Polizeibereich kommen sollte (und da sind die Mitgliedsstaaten sehr am Bremsen, da bin ich ganz auf deiner kritischen Seite), wäre sie bindend, jedenfalls so bindend wie eine bindende EU-Richtlinie halt sein kann.
    Dass das eigentlich alles in einem Rechtsinstrument geregelt werden solte, hat das EU-Parlament schon 2011 gefordert, aber die Kommission hat sich anhand der politischen Realitäten im Rat dafür entschieden, zwei verschiedene Instrumente vorzuschlagen. Aber auch dieser Vorschlag ist immer noch stärker, was den Datenschutz angeht, als der löchrige Käse Rahmenbeschluss 2008/977, der momentan gilt.
    Was das alles mit Antiamerikanismus zu tun haben soll, ist mir schleierhaft. Ich will ja auch, dass ich als Betroffener stärkere Datenschutzrechte gegenüber europäischen Firmen bekomme. Der Unterschied ist nur, dass es künftig ein Spielfeld auf Augenhöhe für alle Player geben wird.
    Meinst zu mit „Zivilgesellschaft“ übrigens die Lobbyerbände der Industrie? Darum geht es ja in diesem Beitrag.

    1. @Ralf Bendrath

      Wie sollen wir das verstehen? Bisher war die Annahme, dass die Dinge, die in der EU-DSVO geregelt werden, im BDSG obsolet werden, da die VO bindendes Recht für die Nationalstaaten ist (anders als die Richtlinie für Polizei und Justiz, die wie EU-Dienstleistungsrichtlinie oder Signaturrichtlinie wohl keine nützliche Wirkung entfalten wird). Soll nun doch jeder Nationalstaat neben der DSVO doch noch nationales Datenschutzrecht haben mit unterschiedlichen Regelungen: ein bisschen Strafvorschriften aus der VO, ein bisschen aus nationalem Recht, gemixt zu einem unübersichtlichen Cocktail? Das glaube ich nicht. Dann hätte man keine VO designen brauche, sondern hätte wieder Richtlinien-Wischiwaschi machen können.

      Mit Zivilgesellschaft meine ich alles, was nicht zum Staat und seinen verfassten Organen gehört: Wirtschaft, Verbände, NGOs. Privatpersonen. Die, die in der Lobby das Gehör der Politiker suchen, sollten auch die Ohren in Richtung Rest der Zivilgesellschaft öffnen. Egal ob Wirtschaft oder NGO. Sonst kommt man nicht zum Konsens.

      „Was das alles mit Antiamerikanismus zu tun haben soll, ist mir schleierhaft. Ich will ja auch, dass ich als Betroffener stärkere Datenschutzrechte gegenüber europäischen Firmen bekomme. Der Unterschied ist nur, dass es künftig ein Spielfeld auf Augenhöhe für alle Player geben wird.“

      Da Polizei und Justiz erst mal draussen vor der Tür stehen, richtet sich die VO in erster Linie gegen Facebook, Google und andere amerikanische Unternehmen. Da kommen dann häufig als Trittbrettfahrer mit antiamerikanischen Verschwörungstheorien mit auf die Bühne. Weichert in Kiel (dem Gerichte, Regierungen und Parlamente in seinen Rechtsauffassungen selten folgen) tat auf einer Sommerakademie kund, dass Obama hinter all dem stünde in einer Art Wirtschaftskrieg. Einer seine Mitarbeiter hat noch krudere Verschwörungstheorien, wie Mario Sixtus im Tagesspiegel enthüllte:
      http://www.tagesspiegel.de/medien/bloggerkolumne-schuetzt-sie-vor-sich-selbst/7569588.html

      „Augenhöhe für alle Player“ ist eine Illusion. Als Privatperson kannst Du schon nicht auf Augenhöhe diskutieren, das der reichhaltigen Support aus seinem Amt, seinem Wahlkreis usw. erfährt. Beispeil: Nehmen wir an, wir einigten Uns darauf, dass personenbezogene Daten für Allozierung von Werbung genutzt werden dürften, so lange sie in einer Maschien bleiben. Zur Durchsetzung fände ich es besser, wenn wir international organisierten, dass a) strenge Inspektionen von fachkundigen öffentlichen Institutionen (z.B. wie nach der Schrems-Anzeige in Irland) gemacht werden und b) wir uns auf strenge Strafen (inkl. Gefängnis für Täter) international einigten und durchsetzten. Das fände ich persönlicher realistischer als mit aller Gewalt Scheinrecht zu installieren. Im Guardian fand ich dazu heute einen Wortbeitrag:
      „“‘Like’ it or not, privacy has changed in the Facebook age”
      … “We need to relax about online privacy” …
      “The catch here is, of course, that we hand over our data willingly. No one made us have store loyalty cards: we just decided that the discounts were worth disclosing our shopping habits for. The same goes for Facebook. Being able to keep up with Uncle Steve and the kids has to be funded somehow, and we’ve all silently agreed that our personal information is an acceptable virtual currency.”
      http://www.guardian.co.uk/commentisfree/2013/mar/12/privacy-facebook-lesbians-relax-online

      Wir werden mit unserem deutschen Ansatz, mit dem Kopf durch die Wand zu wollen und die Welt am deutschen Wesen genesen lassen zu wollen, die angloamerikanische Erlebniswelt verprellen. Und dann werden wir weniger Datenschutz/Privacy haben und nur noch sinnlose Spektakel wie Fundi Weichert fahren, der in der brandeins „Datenkrakeeler“ genannt wurde.

      Da ist noch Luft, smarter zu werden. Ich weiss, dass es schwierig ist in der EU Politik zu machen und global noch schwerer. Aber wenn Henry Dunant nach der Schlacht in Solferino 1859 nicht dringend eine internationale Regelung gefordert hätte, hätten wir heute noch keine Genfer Konventionen, die das Schreckliche mäßigen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.