Dienstag, 23. Oktober 2012

Wirtschaftslobby sägt an Datenschutz-Fundamenten


Bei einer Anhörung im Bundestag zu den umstrittenen Plänen der EU-Kommission zur Datenschutzreform ging ein tiefer Riss durch das Lager der geladenen Experten. Drei Rechtsanwälte plädierten am Montag dafür, anhand der "uferlosen" Brüsseler Initiative die "Alltagskommunikation" aus dem Schutzbereich auszunehmen und nur noch ganz allgemeinen Vorgaben wie etwa zur Transparenz zu unterwerfen. Andere Sachverständige drängten auf eine deutliche Ausweitung des Vorstoßes, der in vielen Bereichen zu kurz greife. Einig waren sich beide Seiten, dass das Paket erhebliche Konstruktions- beziehungsweise "Webfehler" aufweise.

Der Hamburger Rechtsanwalt Ralf Abel sprach von einem "recht pauschalen Eingriff" in die Informationsfreiheit und andere Grundrechte durch den Verordnungsentwurf. Zunächst werde nach dem "Verbotsprinzip", das man sonst eher im Waffen- oder Atomrecht kenne, "jegliche Form von Datenverarbeitung" untersagt. Dieser Ansatz sei eventuell im öffentlichen Bereich anwendbar, nicht jedoch in der Privatwirtschaft. Dort könne das Prinzip gemeinsam mit den vorgesehenen Kompetenzen der Aufsichtsbehörden zu einer "modernen Form der Zensur" führen. Zudem beziehe sich der Entwurf für eine Datenschutzverordnung zu sehr auf eine bestimmte Technik: Es werde eine Lex Facebook gemacht und diese auf alle erdenklichen Informationsverarbeitungen angewandt. Zu starr sei auch die Einwilligungsklausel, die Firmen kaum Spielraum bei der Nutzung einmal beschaffter Kundendaten lasse.

In der Informationsgesellschaft gebe es kaum mehr Daten, bei denen sich nicht ein Personenbezug herstellen lasse, argumentierte Abels Berliner Kollege Niko Härting ganz ähnlich. Er mache sich daher Sorgen "um die Kommunikationsrechte der Bürger". So dürfe etwa beim Austausch von Botschaften über Twitter – anders als etwa bei Gesundheitsdaten – nicht mit dem Verbotsprinzip agiert werden. "Zu armselig" sei dagegen der Verweis auf neue, technische Ansätze zum Datenschutz ("Privacy by Design"), die ohne weitere Ausführungen nur ganz allgemein für gut befunden würden.

Für viele Unternehmer wie etwa einen Landwirt, der selbst mit gesammelten E-Mail-Adressen seine Erzeugnisse vertreiben wolle, gebäre die Initiative ein bürokratisches Monstrum, führte der Frankfurter Anwalt Ulrich Wuermeling aus. So müssten sie nicht nur prüfen, ob die eingesetzten Kundendaten angemessen, relevant, sachlich richtig oder auf dem neuesten Stand seien. Vielmehr seien von ihnen auch umfangreiche technische und organisatorische Maßnahmen zur Pflege und Sicherung der Informationen umzusetzen, die die Kommission aber teils erst in nachgeordneten Rechtsakten festlegen wolle.

In 90 Prozent aller Vorgänge der betrieblichen Datenverarbeitung würden dagegen einfache Rechte etwa auf Auskunft, Korrektur oder Widerspruch reichen, meinte der Jurist. Das prinzipiell "wichtige und richtige Instrument" der Einwilligung Betroffener in eine Verwendung ihrer Daten werde zudem überbetont, sodass dessen "Warnfunktion" verlorengehe. Insgesamt müsse stärker auf die "Risikorelevanz" personenbezogener Informationen abgestellt werden. Schier identische Töne sind aus Verbänden der Werbewirtschaft sowie im Bundesinnenministerium zu vernehmen.

Spiros Simitis, Rechtsprofessor in Frankfurt, fühlte sich angesichts der Vorträge an die von ihm mitgeprägte "Urzeit des Datenschutzes" erinnert. Schon in den 1970ern habe Frankreich etwa Regeln zur Sicherung der Privatsphäre allein auf "sensitive Daten" beziehen wollen. Der "große Fortschritt" des Gesetzgebers sei es dann hierzulande gewesen, "sich auf solche Unterscheidungen nicht eingelassen zu haben". Beim später vom Bundesverfassungsgericht begründeten informationellen Selbstbestimmungsrecht komme es allgemein auf die Personenbezogenheit von Daten und deren Funktionsbestimmung in der demokratischen Gesellschaft an. Man könne nicht so tun, als ob "der Rest" der Informationsverarbeitung einfach so hinnehmbar sei.

Zu einer Reform auf EU-Ebene gibt es für den Spiritus Rector des Datenschutzes keine Alternative. Da die Verordnung im Nachhinein kaum Umsetzungsspielraum lasse, sei Deutschland "mehr denn je verpflichtet, zum jetzigen Zeitpunkt in die Diskussion einzusteigen" und Korrekturen vorzunehmen. So müssten die zahlreichen fatalen Ermächtigungen für die Kommission, Einzelheiten zu Bestimmungen später in Dekreten selbst zu erlassen, deutlich zusammengestrichen werden. Zudem seien "total verfehlte" Vorschläge wie die Verknüpfung der Pflicht zum Bestellen betrieblicher oder behördlicher Datenschutzbeauftragte mit der Zahl der Mitarbeiter.

Der frühere mecklenburg-vorpommerische Datenschutzbeauftragte Karsten Neumann versuchte die Einwände der Anwälte wegzuwischen mit dem Verweis auf die Praxis, in der Unternehmen "mit den Daten ihrer Kunden machen, was sie wollen". So gebe es gerade Probleme bei der "Alltagsdatenverarbeitung". Die Umsetzung schon lange bestehender Schutzvorgaben habe die Wirtschaft lange nicht interessiert, weil sie nicht verfolgt wurden. Es gehe aber nicht nur um unternehmerische Interessen, sondern auch um die Grundrechte der Bürger. Hier habe Brüssel eine sportliche Leistung vorgelegt, die vor allem für Europa insgesamt den Standard anhebe.

"Wir brauchen einen argumentativen Kampf für Mindeststandard gerade im nicht-öffentlichen Bereich", ergänzte die Bremerische Datenschutzbeauftragte Imke Sommer. Den Mitgliedsstaaten müsse es zugleich überlassen bleiben, darüber in der Wirtschaft und im öffentlichen Sektor noch hinauszugehen. Mit Misstrauen beäugte die Kontrolleurin, dass auf dem Verordnungsentwurf zwar Datenschutz draufstehe, aber "freier Datenverkehr" für Konzerne wie Microsoft oder Google drin sei. Die Rechte der Bürger, "kreative Lösungen" mithilfe von Technik oder Prinzipien wie Datensparsamkeit müssten stärker betont werden.

Insgesamt weniger Kritik erntete der parallel Vorstoß der Kommission für eine Schutzrichtlinie für Polizei und Justiz. Hier gehe es eindeutig um die vielfach geforderten Mindeststandards, widersprach der Mannheimer Staatsrechtler Matthias Bäcker der Ansicht seiner Hamburger Kollegin Marion Albers, die zunächst vor einer Überharmonisierung warnte. Die Rügen etwa des Bundesrats seien unberechtigt, da sich Brüssel auf Verknüpfungs- und Haftungsfragen, die Aufsicht und Betroffenenrechte in weiten, vielfach grenzüberschreitenden Verarbeitungsketten bei den Sicherheitsbehörden konzentriere und keine abschließenden Eingriffsbefugnisse vorgebe. Das Grundkonzept sei so schlüssig, auch wenn etwa die Bestimmungen für den Datentransfer in Drittstaaten eine Katastrophe darstellten.

Für derlei Übermittlungen gebe es nicht nur viele Ausnahmeregeln, führte der Passauer Rechtsinformatiker Gerrit Hornung aus. Vielmehr würden sie generell als zulässig für die Verfolgung oder Verhütung von Straftaten erklärt. Als Systemfehler bezeichnete er die Tatsache, dass EU-Behörden wie Europol und Eurojust außen vor blieben. Die Rechte der Kontrolleure seien deutlich eingeschränkt im Vergleich zum allgemeinen Verordnungsentwurf. Dieter Kugelmann von der Deutschen Hochschule der Polizei begrüßte den Entwurf aus Sicht der Praxis prinzipiell: "Die Geltung gleicher Mindeststandards erleichtert die polizeiliche Zusammenarbeit." Einig war er sich mit dem Chef des Bundeskriminalamts, Jörg Ziercke, dass die skizzierten neuen organisatorischen Maßgaben einen deutlichen Mehraufwand für die Arbeit der Ermittler mit sich brächten.

Langfassung eines Beitrags für heise online.