Datengetriebene Ökonomie hin oder her: Persönliche Informationen sind grundrechtlich geschützt und keine bloße Ware. Diese klare Botschaft hat der Europäische Datenschutzbeauftragte Giovanni Buttarelli für die EU-Kommission. In einem vom Europäischen Rat erbetenen Positionspapier [PDF] nahm Buttarelli vergangene Woche Stellung zum Vorschlag der EU-Kommission für eine Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte. Auch wenn er das Ziel der Initiative unterstütze, befürchte er negative Konsequenzen für das Grundrecht auf Datenschutz und die Wirksamkeit der mühsam verhandelten Datenschutzgrundverordnung.
Daten kann man nicht zurückerstatten wie Geld
Konkret richtet sich die Kritik des Datenschutzbeauftragten gegen das Vorhaben der EU-Kommission, das Preisgeben personenbezogener Daten als Gegenleistung für Dienstleistungen zu definieren. Dass der Richtlinienvorschlag besagt, man könne einen Preis auch mit Daten anstatt mit Geld zahlen, sei irreführend, so Buttarelli.
Während Menschen sich bewusst seien, was sie zahlen, wenn sie Geld geben, könne das gleiche nicht über ihre Daten gesagt werden. Kunden könnten unter anderem aufgrund von sehr allgemein gehaltenen Formulierungen gar nicht abschätzen, was mit ihren Daten passiere und welcher Wert damit erzeugt werde. Als Beispiel nennt der Datenschutzbeauftragte den allseits bekannten Satz, persönliche Informationen könnten „möglicherweise genutzt werden, um das Nutzungserlebnis zu verbessern“.
Darüber hinaus könne man Geld problemlos zurückerstatten – bei einmal freigegeben Daten sei das nicht der Fall, selbst wenn diese gelöscht würden. Auch die Berechnung eines monetären Gegenwerts für bestimmte Daten, der dann zurückerstattet werden kann, sei kaum möglich.
Bitte kein Regelungs-Wirrwarr zum Umgang mit Daten
In einem Pressestatement [PDF] heißt es zum Richtlinienentwurf:
Der Europäische Datenschutzbeauftragte unterstützt das Ziel der Initiative der EU-Kommission, Verbraucherrecht zu stärken. Ich halte sie für eine Chance, Synergien zwischen dem Verbraucher- und dem Datenschutzrecht im Interesse der Individuen zu nutzen. Die vorgeschlagene Richtlinie sollte es vermeiden, unbeabsichtigt Datenchutzpflichten und -rechte zu beeinträchtigen, die die EU im vergangenen Jahr in der Datenschutzgrundverordnung festgelegt hat. Es sollte von Einzelpersonen nicht verlangt werden, persönliche Daten als „Bezahlung“ für einen Online-Service offen zu legen. Viel mehr sollten ihre Rechte und Interessen durch eine einheitliche Anwendung der aktuellen Regeln im Verbraucher- und Datenschutzbereich gesichert werden.
Die strengen Bedingungen, unter denen die Verarbeitung personenbezogener Daten in der EU stattfinden dürfe, seien schließlich bereits in der Datenschutzgrundverordnung (DSGVO) geregelt und bedürften keiner Ergänzung. Während die vorgeschlagene Richtlinie die Nutzung personenbezogener Daten als Gegenleistung als legitim einstuft, biete die DSGVO bereits ein Set an Bedingungen, nach denen zu beurteilen ist, wann ein Einverständnis zur Datenverarbeitung als freiwillig und legitim gilt und wann nicht. Buttarelli weiter:
Der Europäische Datenschutzbeauftragte hebt die Verwirrung bei Verbrauchern und Wirtschaft hervor, die neue Bestimmungen innerhalb des EU-Rechts zur Folge haben könnten, mit denen persönliche Informationen, deren Schutz ein Grundrecht ist, als bloße Ware behandelt werden sollen. Es könnte die vom EU-Gesetzgeber in der Datenschutzgrundverordnung ausgehandelte, sorgfältige Balance beeinträchtigen, etwa in Hinblick auf die Rolle des freiwilligen Einverständnisses und das Recht auf Datenportabilität.
Wann ist eine Einwilligung freiwillig?
Ein zentraler von Buttarelli ins Feld geführter Punkt ist in diesem Zusammenhang das in der ab Mai 2018 anzuwendenden DSGVO verankerte Koppelungsverbot (Art. 7 Absatz 4):
Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
Wie sehr dieser vor nicht mal einem Jahr beschlossene Punkt der Idee entgegensteht, dass Unternehmen von Verbrauchern anstelle von Geld als Gegenleistung auch persönliche Daten verlangen können, wird noch deutlicher, wenn man sich den entsprechenden Erwägungsgrund 43 zur „zwanglosen Einwilligung“ anschaut, der bei der Auslegung von Art. 7 helfen soll. Dort heißt es unter anderem:
Die Einwilligung gilt nicht als freiwillig erteilt, […] wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.
Heißt: Unternehmen dürfen die Nutzung einer Dienstleistung nicht davon abhängig machen, dass man seine personenbezogenen Daten preisgibt, wenn dies für den gewünschten Service nicht zwingend notwendig ist.
Der Bundesrat hat sich in seiner Stellungnahme zum Entwurf für ein neues deutsches Datenschutzgesetz dafür ausgesprochen, diese Regeln möglichst verbraucherfreundlich anzuwenden. Das entsprechende Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG) soll noch vor der Sommerpause verabschiedet werden. Der Bundestag hat vorletzte Woche in erster Lesung darüber beraten und es an den federführenden Innenausschuss verwiesen. Dieser behandelt den Entwurf bereits in dieser Woche.
Hinweis: In einer früheren Fassung des Textes hieß es, die Bundesregierung wolle das Datenschutzniveau der Europäischen Datenschutzgrundverordnung mit dem DSANpuG auch in diesem Aspekt absenken. Ein entsprechender Paragraph bezieht sich jedoch nur auf „die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen.“ Für die Einwilligung zur Datenverarbeitung durch Unternehmen würde mit dem DSANpuG im Regelfall der hier zitierte Artikel 7 der DSGVO gelten.
Wer freiwillig in irgendwelchen sozialen Medien oder sonst wo Informationen verbreitet, muss natürlich damit rechnen, dass die in irgendeiner Form „vermarktet“ werden. Damit ist er der Verantwortliche und Verursacher dieser Nachricht, für die er bezahlt oder verprügelt wird. Wo sollte das Problem sein? Wenn Trump über Twitter Dünnschiss verbreitet, disqualifiziert er sich eben zunehmend. Sein Problem. Das geht allen so und das ist richtig so. Es gibt keinen Grund irgendjemanden im Netz besonders zu schützen. Wer was ins Netz stellt, muss damit rechnen, dass es dort für immer abrufbar ist. Man sehe sich die youtube – Filmchen mit Aussagen der deutschen „Politiker(innen)“ mal ruhig an.
Die Ausführungen zur Freiwilligkeit der Einwilligung im neuen BDSG sind nicht richtig. Erstens findet sich die Regelung in § 51 und nicht in § 53. Zweitens steht § 53 in Teil 3 des BDSG neu. Dieser Teil regelt außerdem die Umsetzung der Datenschutz-Richtlinie für Polizei und Justiz, hat daher mit der Datenschutz-Grundverordnung nichts zu tun. Die Voraussetzung der Einwilligung, die in Art. 7 DS-GVO geregelt sind, bleiben im BDSG neu unangetastet.
Danke für den wichtigen Hinweis, ist korrigiert!