Anhörung zu EU-Datenschutzverordnung: „Wird künftigen Herausforderungen nicht gerecht“

Der Kasseler Rechtsprofessor Alexander Roßnagel kritisierte scharf die EU-Verordnung zum Datenschutz. Screenshot: Parlamentsfernsehen

Grundsätzlich sei die Einigung auf die EU-Datenschutzgrundverordnung zu begrüßen, lautete der Tenor vergangene Woche im deutschen Bundestag – gefolgt von einem großen „Aber“ der meisten Sachverständigen, die zu einer Anhörung zur Neuregelung des europäischen Datenschutzes geladen waren. „Es war ein guter Tag für Europa und auch ein guter Tag für den Datenschutz“, sagte Andrea Voßhoff, Beauftragte für den Datenschutz und die Informationsfreiheit. „Bei aller Kritik im Detail“ werde das europäische Datenschutzrecht „durchaus auf hohem Niveau künftig Geltung haben“, erklärte die Datenschützerin vor dem Ausschuss Digitale Agenda (Video, Schriftliche Stellungnahmen).

So schreibe die Verordnung die „bewährten Prinzipien des grundrechtsorientierten Datenschutzrechtes“ fest, indem etwa das informationelle Selbstbestimmungsrecht des Einzelnen Grundlage des Datenschutzes bleibe. Auch weitere Prinzipien wie Datensparsamkeit, Zweckbindung, Transparenz oder Datensicherheit fänden sich „dem Grunde nach“ in der Verordnung wieder. Der – freilich noch nicht finalisierte – Gesetzestext werde wirtschaftliche Entwicklung nicht hemmen, sondern eher „Ansätze für innovative und intelligente Geschäftsmodelle“ liefern, die sich durch „guten Datenschutz auszeichnen und ein Qualitätsmerkmal der europäischen Wirtschaft sein können“, versuchte Voßhoff die Bedenken datenhungriger Unternehmen auszuräumen.

„Verordnung wird künftigen Herausforderungen nicht gerecht“

Bei der nationalen Umsetzung sollte der Beschäftigtendatenschutz einen hohen Stellenwert erhalten und mit Hilfe der Öffnungsklausel (in Artikel 35) mit Leben gefüllt und ausgebaut werden. Diese stellt es den EU-Mitgliedsstaaten frei, ob sie betriebliche Datenschutzbeauftragte verbindlich verankern oder nicht. Sollte sich die deutsche Regierung dagegen entscheiden, dann würde das in diesem Bereich eine Verschlechterung im Vergleich zum derzeitigen Zustand bedeuten.

Deutlich kritischer zeigte sich der Kasseler Rechtsprofessor Alexander Roßnagel, der vor einer generellen Absenkung des Datenschutzes in Deutschland warnte und „gewaltige Lücken“ und daraus folgende Rechtsunsicherheit in der EU-Verordnung ausmachte. „Sie wird den künftigen Herausforderungen wie zum Beispiel Big Data, Ubiquitous Computing, Cloud-Computing und datenzentrierten Geschäftsmodellen nicht gerecht, und versucht sie nicht einmal zu addressieren“, erklärte Roßnagel.

Wirrwarr an Vorschriften

Es sei das ursprüngliche Ziel verfehlt worden, ein unionsweit einheitliches Datenschutzrecht zu schaffen, da die Verordnung nur dann Vorrang vor nationalen Regelungen genieße, wenn die Anwendung der jeweiligen Regeln zu unterschiedlichen Ergebnissen führe. „Dies führt dazu, dass das künftige Datenschutzrecht aus einem unübersichtlichen Konglomerat von Unions- und nationalem Recht besteht, und große Unsicherheit entsteht, welche nationale Vorschrift künftig noch anwendbar ist“, sagte Roßnagel.

Statt einer schwer zu durchschauenden Gemengelage von europäischen und deutschen Vorschriften brauche es Regelungen, „die die Verordnung erst vollzugsfähig machen“, so der Jurist. Insgesamt leide der Gesetzentwurf an der „Unterkomplexität ihrer Regelungen“ und am hohen Abstraktionsgrad. Den 45 Artikeln der Verordnung stellte Roßnagel die „tausenden Vorschriften“ des deutschen Datenschutzrechts gegenüber, die die gleichen Probleme behandelten. Daran lasse sich ablesen, „welche Defizite die Datenschutzgrundverordnung aufweisen muss“.

Marktortprinzip soll Datenschutzoasen verhindern

Auch in Österreich sei man mit dem Kompromiss „nicht ganz so glücklich“, machte die Datenschutzexpertin Waltraut Kotschy ihre „grundsätzlich vielleicht eher negative Haltung“ deutlich. Es stehe noch viel Arbeit bevor, insbesondere von den Aufsichtsbehörden und vom europäischen Datenschutzausschuss, um das Beste aus der Verordnung zu machen. Als eine „wirklich große Errungenschaft“ bezeichnete sie das Marktortprinzip, „weil es endlich die Unterschiedlichkeit in den Regeln für verschiedene Marktteilnehmer beseitigt“.

Dem schloss sich Jan Oetjen von der United Internet AG an und betonte, dass „hierbei keine Datenschutzoasen entstehen“ dürften. Sonst drohe ein Wettkampf der einzelnen Mitgliedstaaten um die Attraktivität des Standortes. Auch die erwähnten Öffnungsklauseln sollten klarer gefasst beziehungsweise so mit Leben gefüllt werden, dass sie keine Hintertüren öffnen.

Opt-in-Inflation befürchtet

Für begrüßenswert hielt Oetjen das Einwilligungs- und Transparenzprinzip, das jedoch nicht überspannt werden dürfte. Eine befürchtete „Opt-in-Inflation“ könnte dazu führen, dass Nutzer alles blind abnicken oder das gleich von einer Browser-Erweiterung erledigen lassen. Im Vorteil sah er dabei Anbieter von großen Plattformen und vor allem von Betriebssystemen, die im Unterschied zu kleineren Betreibern kaum Schwierigkeiten haben dürften, von ihren Nutzern Einverständniserklärungen einzuholen.

Im Gegenzug dazu brauche es laut Oetjen Anreize, die Pseudonymisierung von Nutzerdaten voranzutreiben, um bei Big-Data-Anwendungen nicht von der US-Konkurrenz abgehängt zu werden. Da die Verordnung die gleichen rechtlichen Voraussetzungen an Opt-ins stelle, wenn es um die Verarbeitung von pseudonymisierten Daten und Klardaten gehe, würden Firmen dazu tendieren, „sich ein volles Opt-in für die Verarbeitung von Klardaten zu besorgen“, prophezeite Oetjen.

Pseudonymisierung nur Zwischenschritt

Gleichwohl handle es sich bei Pseudonymisierung nur um einen Zwischenschritt, sagte die brandenburgische Datenschützerin Dagmar Hartge, ebenso der Gebrauch anonymisierter Daten, was aufgrund der hohen Datenmengen nicht sicher bleiben werde: „Wir werden erkennen müssen, dass man mit beiden Punkten nicht auf Dauer wird arbeiten können. Das Datenschutzproblem wird sich verlagern“. So habe etwa die Telekom Deutschland eingeräumt, dass selbst „Anonymisierung letztenendes gar nicht mehr so richtig funktioniert“. Hier nahm sie neben der Wirtschaft auch die Wissenschaft in die Pflicht, Ansätze zu „Privacy by Design“ mitzuentwickeln: „Ich glaube auch, dass Modelle kippen würden, wenn man die Bürgerrechte ausklammert, um im Geschäftsbereich sehr erfolgreich zu sein, weil das irgendwann nicht mehr akzeptiert werden würde“.

4 Ergänzungen

  1. In 25 Jahren Amerikanisierung und Globalisierung war Geldgier die treibende Kraft für die brutale Kapitalisierung in allen Bereichen. Hierbei wurde im Bereich sozialer Demokratie eine Menge Schaden angerichtet. BigData ist ein Teilbereich des Kapitalismus mit gleichem Antrieb und wird den Schaden immens erweitern und vergrößern. Ich sehe Niemanden, der diese negative Entwicklung ernsthaft aufhalten kann. Dem zufolge dient das Datenschutzgeplänkel nur der Alibifunktion.

    Safe Harbor 2.0, TTIP, Ceta, VDS, Fluggastdaten und und und…..schöne moderne Welt so wunderschön geregelt.
    mfg R.K.

  2. Für begrüßenswert hielt Oetjen das Einwilligungs- und Transparenzprinzip, das jedoch nicht überspannt werden dürfte. Eine befürchtete „Opt-in-Inflation“ könnte dazu führen, dass Nutzer alles blind abnicken oder das gleich von einer Browser-Erweiterung erledigen lassen.

    Opt-in ist die einzige Möglichkeit eine Willenserklärung im Sinne eines informed consent herbeizuführen. Nur so können Nutzer frei entscheiden, für welche Bereiche sie der Verarbeitung und Weitergabe ihrer Daten zustimmen wollen oder eben nicht. Das bedeutet einigen Aufwand, und der wird gefürchtet.

    Ein Szenario an die Wand zu malen, dass dies übertrieben sei und automatisch von Browser-Erweiterungen übernommen werden könne, ist der Versuch eines Zaubertricks durch gezielte Ablenkung vom Problem. Das Problem ist das Datamining, und wie man es trotz aller Hürden auch künftig möglichst ungestört weiter betreiben kann.

    Im Vorteil sah er dabei Anbieter von großen Plattformen und vor allem von Betriebssystemen, die im Unterschied zu kleineren Betreibern kaum Schwierigkeiten haben dürften, von ihren Nutzern Einverständniserklärungen einzuholen.

    Diese Behauptung ist grober Unfug und dient nur zur Vorbereitung dieses Arguments:

    Im Gegenzug dazu brauche es laut Oetjen Anreize, die Pseudonymisierung von Nutzerdaten voranzutreiben, um bei Big-Data-Anwendungen nicht von der US-Konkurrenz abgehängt zu werden.

    So das also ist des Pudels Kern. Man fürchtet den Wettbewerb, der sonst so gepriesen wird.

    Da die Verordnung die gleichen rechtlichen Voraussetzungen an Opt-ins stelle, wenn es um die Verarbeitung von pseudonymisierten Daten und Klardaten gehe, würden Firmen dazu tendieren, „sich ein volles Opt-in für die Verarbeitung von Klardaten zu besorgen“, prophezeite Oetjen.

    Das ist der gesteigerte Unfug einer irreführenden Argumentation. Für transparente Regeln braucht es transparente Entscheidungen. Der Gesetzgeber hat die Pflicht, sein Regelwerk so zu gestalten, dass es eben nicht zu einem Abpressen eines vollen Opt-ins kommen kann.

    Nochmals wir brauchen das Modell eines informed consent, so wie man es erfolgreich z. B. im Gesundheitswesen etabliert hat. Der Nutzer wird schrittweise aufgeklärt und stimmt dem zu, was er für sich als akzeptabel erachtet. Alles andere wäre Vernebelung und Irreführung. Und den Nutzern wird und sollte man einen gewissen Lernaufwand dabei nicht ersparen können.

    Machen wir uns nichts vor. Mächtige Marktteilnehmer wollen weiterhin möglichst ungestört die „Ausforschung“ ihrer Handelspartner betreiben. Dabei scheuen sie selbst vor aufwändigen Methoden nicht zurück, die eine vorherige Anonymisierung von Daten rückgängig bzw. wirkungslos machen kann. Solche Methoden wie z.B. Fingerprinting sind Herrschaftsinstrumente, die noch wenigen vorbehalten sind, die sich aber künftig einen weiteren Anwenderkreis erschließen werden dürften.

    Der in den nächsten Jahren weiter fortschreitenden technologischen Ausforschung von Marktteilnehmern kann heute nur durch eine strenge Gesetzgebung begegnet werden, die eine schon heute absehbare Weiterentwicklung der technologischen Entwicklung antizipiert. Faule Kompromisse heute sind der Schaden von morgen.

  3. Hm, wie beurteilen freie unabhängige Betriebsräte die Lage des Datenschutzes in Deutschland und Europa?
    Ich wundere mich seit langem über die Gewerkschaft verdi, welche im Telekommunikationsbereich Betriebsräte hat und auch in den Bundesbehörden als Tarifvertragspartner tätig ist.
    Die Stellungnahmen der Gewerkschafter sind durch die aktuelle IST-Beschreibung offensichtlich.
    Wie sieht also die Stellungnahme freier unabhängiger verantwortungsvoller Betriebsräte in Deutschland und Europa aus?
    Lieben Gruß SUSI

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.