In einer ersten Stellungnahme begrüßt der Digitale Gesellschaft e.V. zwar grundsätzlich die Pläne der EU-Kommission zur Reform des Datenschutzes, doch seien noch einige Fragen offen und einige Verbesserungen am Entwurf notwendig, um einen dem digitalen Zeitalter gerecht werdenden Ansatz zu finden. Insbesondere die Stellung privater, lokaler Datenverarbeitung sei unzureichend berücksichtigt, zudem gebe es unnötig großzügige Regelungen für ein „begründetes Interesse“, das anstatt einer Einwilligung die Datenverarbeitung erlauben kann. Auch bei der Organisation der Datenschutzaufsicht sei nachzubessern, stellt der Verein fest. Eine detaillierte und weitergehende Stellungnahme wird zu einem späteren Zeitpunkt folgen.
Die Stellungnahme gibt es zum
ausdrucken und verschicken als PDF. Und da der Adressat die europäische Politik ist, gibt es hier noch die englische Version.
Wer sich über den Schreibstil wundert: Die Zielgruppe kommuniziert in dieser Sprache.
Kurzstellungnahme zum Entwurf einer Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)
Erste Stellungnahme des Vereins Digitale Gesellschaft zu KOM(2012) 11 endgültig // 2012/0011(COD) vom 25.01.2012
Der Digitale Gesellschaft e.V. begrüßt grundsätzlich die mit dem Verordnungsentwurf intendierten Verbesserungen für die Nutzerinnen und Nutzer. Da die derzeitig gültige Datenschutzrahmenrichtlinie 95/46/EG in ihrer derzeitigen Form nicht mehr zeitgemäß und insbesondere in der Wirksamkeit bei der Nutzung des Netzes sowohl durch staatliche wie nichtstaatliche Akteure problematisch erscheint, geht der Digitale Gesellschaft e.V. davon aus, dass der Kommissionsentwurf entsprechend intendiert, die Probleme des Datenschutzrechts zu beheben.
Grundsätzlich ist die modernisierende Fortschreibung des Datenschutzrechts nach dem Prinzip der informationellen Selbstbestimmung des Einzelnen und damit des Regelzustimmungsvorbehalts als richtig zu erachten. Zwar sind in den Diskussionen der vergangenen Jahre immer wieder neue Ansätze einer grundsätzlichen Überarbeitung des Konzepts angeregt worden, jedoch ist festzustellen, dass alle Vorschläge (z. B. die Behandlung personenbezogener Daten analog zu Immaterialgüterrecht zu behandeln oder großzügige Ausnahmen vom Zustimmungsvorbehalt vorzusehen) weder dem Zweck – nämlich der grundsätzlichen Möglichkeit zu wissen, wer wann welche Daten erhalten hat und somit Selbstbestimmung zu ermöglichen – ausreichend entsprechen, noch ergeben sich aus den existenten Vorschlägen Verbesserungen gegenüber den heutigen Problematiken.
Dass der Verordnungsentwurf nicht explizit zwischen öffentlichen und nichtöffentlichen Stellen unterscheidet, ist für den Digitale Gesellschaft e.V. ebenfalls begrüßenswert. Die grundsätzliche Doppelung des Datenschutzrechts und die Besserstellung staatlicher Stellen im Bereich der Datenschutzaufsicht ist problematisch, wie sich an mangelnden Eingriffsbefugnissen der Aufsichtsbehörden bei Verstößen gegenüber öffentlichen Stellen mehrfach zeigte. Der mit dem Richtlinienentwurf KOM(2012) 10 vom 25.02.2012 zu regelnde Bereich polizeilicher und justizieller Datenverarbeitung ist von dieser Einschätzung nicht betroffen. Der Digitale Gesellschaft e.V. wird ggf. zu einem späteren Zeitpunkt auch zu diesem Entwurf Stellung nehmen.
Problematischer erscheint aus Sicht des Digitale Gesellschaft e.V. hingegen die Tatsache, dass im Kommissionsentwurf kein Privileg für die autonome, lokale Verarbeitung von Daten durch Privatpersonen vorgesehen ist. Zwar sind die Grenzen einer solchen Datenverarbeitung in lokalen Umgebungen in Zeiten verknüpfter Anwendungen mit sowohl lokalem wie entferntem Speicher nicht trennscharf zu ziehen. Da der Verordnungsentwurf jedoch auch klar das Ziel einer politischen Gestaltung digitaler Infrastrukturen im europäischen Binnenmarkt verfolgt, erscheint die Einführung einer privilegierten Regelung für diesen Bereich notwendig: In einer Gesamtbetrachtung eines effizienten Datenschutz-Ökosystems ist die Förderung dezentraler, nicht ohne Zustimmung verknüpfter und sicherer Infrastrukturen ein wesentlicher Pfeiler. Hier muss nachgebessert werden.
Für widersinnig erachtet der Digitale Gesellschaft e.V., dass der Entwurf einer Datenschutzverordnung jene Bereiche nicht umfassen soll, die über die sogenannte E-Privacy-Richtlinie geregelt wurden. Diese ist nach Auffassung des Digitale Gesellschaft e.V. bei Inkrafttreten der Verordnung ersatzlos zu streichen, da ihr Regelungsgehalt deutlich hinter den Inhalten des Verordnungsentwurfes zurückbleibt und sich mit ihr die Existenz doppelter Standards für vergleichbare Sachverhalte ergeben würde, die der angestrebten Harmonisierung widerspricht.
Grundsätzlich begrüßenswert erscheint auch die Neudefinition, wann europäisches Datenschutzrecht Anwendung findet. Insbesondere unter Berücksichtigung dessen, dass für den Nutzer angesichts moderner Technologien nicht ersichtlich sein kann, unter welcher Jurisdiktion Daten verarbeitet werden, stellt dies ein wesentlicher Pfeiler der notwendigen Modernisierung dar. Allerdings ist der Kommissionsentwurf hier zu schwach ausgefallen. Der in Artikel 3 des Entwurfs definierte räumliche Anwendungsbereich umfasst aufgrund der Formulierung von Art. 3, Nr. 2, a) keine Datenverarbeitung, die ohne kommerziellen Hintergrund durchgeführt wird und nicht auf das Verhalten, sondern auf die Erhebung von Nichtverhaltensdaten abzielt, z. B. von Stammdaten. Dies lässt unnötigen Raum für Rechtsunsicherheit.
Der Digitale Gesellschaft e.V. begrüßt grundsätzlich den Ansatz, zu europaweit konsistenter Interpretation des Datenschutzrechts zu gelangen und hierfür das Instrument einer Verordnung zu wählen. Insbesondere die Klärung der Rolle der Datenschutzaufsichtsbehörden und die Vereinheitlichung der Rechtsauslegung ist dabei zu begrüßen, muss sich in der Praxis jedoch erst noch bewähren. Hier fehlt es an einem entsprechenden Überprüfungsmechanismus.
Sehr zu begrüßen ist aus Sicht des Digitale Gesellschaft e.V. das Recht auf Datenübertragbarkeit / Datenportabilität. Dieses Recht ist ein wichtiger Grundpfeiler für eine echte Autonomie der Nutzer gegenüber datenverarbeitenden Stellen, unabhängig davon, ob die Beziehung des Betroffenen zur verarbeitenden Stelle primär elektronischer oder analoger Natur ist. Insbesondere auch in klassischen Datenverarbeitungsszenarien wie beispielsweise der Bonitätseinschätzung (Scoring) ist die Aushändigung eines elektronischen Datensatzes in einem strukturierten, elektronischen Open Source-Format ein wichtiger Schritt in die richtige Richtung zu mehr Transparenz und Vertrauen.
Nicht begrüßt werden kann hingegen der an einigen Stellen formulierte Vorbehalt der Letztentscheidung durch die EU-Kommission im Falle der Nichteinigung der Datenschutzbehörden. Die Kommission ist als tagespolitisches Exekutivorgan aus Sicht des Digitale Gesellschaft e.V. nicht die richtige Institution um beispielsweise Differenzen zwischen den Datenschutzaufsichtsbehörden in der Interpretation des Datenschutzrechts per Letztentscheid auszuräumen. Im Fall gravierender Differenzen zwischen den Aufsichtsbehörden sollte stattdessen ein der Tagespolitik fernes wie ein von den Datenschutzaufsichtsbehörden selbstgewähltes Schlichtungsgremium über die Letztinterpretation entscheiden.
Uneingeschränkt positiv sieht der Digitale Gesellschaft e.V. die vorgeschlagene Einführung einer Vertretungsmöglichkeit für Verbände, Einrichtungen und Organisationen in Art. 73 Nr. 2. Diese könnte wesentlich zur aktiven Wahrnehmung der Interessen der Betroffenen beitragen und damit die Durchsetzung des Datenschutzrechts erheblich befördern.
Nicht angemessen ist aus Sicht des Digitale Gesellschaft e.V. die unterstellte Rechtmäßigkeit von Datenverarbeitung zum Zwecke der Direktwerbung. Die Verarbeitung und Nutzung personenbezogener Daten für Direktwerbung kann nach Auffassung des Digitale Gesellschaft e.V. keine Berechtigung nach Artikel 6, Buchstaben f des Verordnungsentwurfes allein konstituieren. Insgesamt erscheint es grundsätzlich zur Intention der Verordnung widersprüchlich, dem Direktmarketing eine bevorzugte Sonderstellung einzuräumen. Hinzu kommt, dass beim Direktmarketing hier auch nicht zwischen On- und Offline unterschieden wird, weshalb die angenommene Berechtigung hier grundsätzlich problematisch erscheint.
Grundsätzlich positiv sieht der Digitale Gesellschaft e.V. auch die angestrebten Regelungen zur Adäquanz der Verarbeitung außerhalb der Europäischen Union. Allerdings sind die vorgeschlagenen Regelungen noch nicht ausreichend: insbesondere die Frage des ungeregelten Zugriffs durch Behörden und Gerichte von Drittstaaten auf Daten von Unionsbürgern die in ihrem Zugriffsbereich gespeichert werden oder verfügbar sind, ist nach Ansicht des Digitale Gesellschaft e.V. unzureichend geregelt. Der Text der Artikel 40ff. bildet nach derzeitiger Einschätzung nicht ausreichend die in den Erwägungsgründen 90 und 91 benannten Problematiken ab.
Grundsätzlich problematisch bleibt in diesem Zusammenhang zudem die Frage der Adäquanzeinschätzungsverfahren. Die schon seit der Richtlinie 95/46/EG problematischen Fälle scheinen mit dem geplanten Instrumentarium nicht wesentlich besser denn bislang geregelt werden zu können. Hier sind Kommission, Parlament und Mitgliedstaaten gemeinsam aufgerufen, nach einem wirksamen Mechanismus zu suchen und gemeinsam an einer Lösung zu arbeiten.
Begrüßt wird vom Digitale Gesellschaft e.V. der der Wichtigkeit von Datenverarbeitung angemessene Strafrahmen, den die Kommission in ihrem Entwurf vorgelegt hat. Insbesondere die variablen Strafzumessungsmöglichkeiten, sowie die Möglichkeit der Verhängung von Strafen und Bußgeldern auch gegenüber öffentlichen Stellen, erscheinen wichtige Schritte auf dem Weg zu einem wirkungsvollen Datenschutzrecht. In Kombination mit der unmittelbaren Wirkung einer Verordnung könnte dies zu einer nachhaltigen Veränderung bei der Tätigkeit der teilweise bislang vom nationalen Gesetzgeber auch entgegen der bisherigen Richtlinie zahnlos gehaltenen Aufsichtsbehörden führen.
Schlussbemerkung: Zum Niveau der Datenschutzverordnung und dem grundgesetzlichen Schutz der informationellen Selbstbestimmung.
Für den Digitale Gesellschaft e.V. ist eindeutig: Das Niveau des Datenschutzes der Verordnung muss einen mindestens gleichwertigen Schutz zu den durch höchstrichterliche Rechtsprechung in der Bundesrepublik definierten verfassungsrechtlichen Garantien bieten. Jede Einschränkung sowohl des Rechts auf informationelle Selbstbestimmung als auch des Rechts auf Vertraulichkeit und Integrität informationstechnischer Systeme gegenüber dem heutigen deutschen Standard wird zu einer Ablehnung des Verordnungsentwurfes führen und erhebliche europa- und verfassungsrechtliche Probleme aufwerfen, die nur durch die konsequente Beachtung dieser Maßgabe umgangen werden können. Wir sind vorsichtig optimistisch, dass Kommission, Parlament und Europäischer Rat dafür Sorge tragen werden, dieses Ziel zu erreichen.
In den kommenden Monaten wird der Digitale Gesellschaft e.V. den Prozess aktiv und kritisch begleiten. Eine über diese Kurzstellungnahme hinausgehende Betrachtung folgt.