EU-Datenschutz: Punktabzug für lückenhaftes Kommissions-Konzept
© Frog 974 - Fotolia.com
Im November des letzten Jahres hat die EU-Kommission eine Stellungnahme zu einem umfassenden Datenschutzkonzept in der Europäischen Union vorgelegt. Europas oberster Datenschützer Peter Hustinx hat das Konzept nun unter die Lupe genommen - und als nur beinahe gelungen eingestuft. Von Dr. Thomas Weimann und Daniel Nagel.
Die Notwendigkeit einer neuen europäischen Datenschutzstrategie ergab sich nicht zuletzt aus der Erkenntnis, dass bestehende Schutzmechanismen einer dringenden Überarbeitung bedürfen und die aufgrund des technologischen Wandels entstandenen Begebenheiten mit bestehenden Prinzipien kaum mehr erfasst werden können.
Nun war diese Erkenntnis nicht neu. Bereits 2008 wurde anhand einer Studie zum Safe-Harbor-Abkommen nachgewiesen, dass im europäischen Datenschutzkonzept noch lange nicht alle Hintertüren geschlossen sind. Auch wiesen führende Wissenschaftler im Bereich des Datenschutzes wie Stefano Rodotà oder Rafael Capurro schon im Jahre 2005 für die European Group on Ethics and New Technologies (EGE) darauf hin, dass angesichts der technischen Neuerungen der Datenschutz ähnlich dem habeas-corpus-Prinzip der Magna Charta ausgestaltet sein sollte: Eine Achtung der Integrität personenbezogener Daten.
Guter Ideenkatalog, aber mangelhafte Umsetzung
Neu war aber die Idee, diese Erkenntnis in einem umfassenden Konzept umzusetzen, das auch den Blick über den Tellerrand nicht scheut. So erklärte die Kommission vor allem eine Stärkung der Betroffenenrechte zum Ziel. Dies sollte zum Beispiel durch eine Berücksichtigung von Fallgestaltungen erreicht werden, bei denen aufgrund der bisherigen gesetzlichen Definition von personenbezogenen Daten Probleme entstanden waren - man denke nur an die fortwährende Diskussion um die Einstufung von IP-Adressen, die kürzlich in Bezug auf die Verwendung von Google Analytics den Zwist zwischen Datenschutzbeauftragten und Google neu aufleben ließ.
Weitere Mittel sollten ein allgemeines Transparenzgebot, ein besonderer Schutz für Minderjährige und die Festschreibung des Rechts, "vergessen zu werden" sein. Im Übrigen führte die Kommission aus, dass der stärkere Schutz für besondere Arten personenbezogener Daten auf weitere (zum Beispiel genetische) Daten ausgedehnt werden könnte, Sanktionen verschärft, unnötige Bürokratie abgebaut, datenschützende Technologien gefördert und auch der Schutz von Daten auf internationaler Ebene sichergestellt werden sollte.
Auch wenn sich dieser Ideenkatalog gut liest, fällt die Benotung durch den Europäischen Datenschutzbeauftragten weniger gut aus. Sie zeigt, dass auch die Kommission in Teilbereichen Schwächen und sogar Mut zur Lücke bewiesen hat.
Ausgestaltung als Verordnung und Vereinheitlichung von Definitionen angemahnt
Ein erster wesentlicher Kritikpunkt ist das Ziel, das Datenschutzkonzept in Form einer Richtlinie umzusetzen. Zu Recht verweist der Europäische Datenschutzbeauftragte darauf, dass eine Sicherstellung einer allgemeinen und einheitlichen Anwendung besser im Wege einer Verordnung erreicht werden kann. Diese wäre nämlich unmittelbar in den Mitgliedsländern der EU gültig und würde keine Spielräume durch eine nationale Umsetzung ermöglichen.
Auch für die konkrete Ausgestaltung des besseren Schutzes gibt Hustinx keine volle Punktzahl: Er mahnt eine weitergehende Vereinheitlichung von Definitionen an und verlangt konkrete Vorgaben statt wohlklingender Phrasen zum Minderjährigenschutz. Diese Forderung ist insbesondere vor dem Hintergrund der bestehenden Unterschiede bei der Auslegung einzelner Begriffe zu unterstützen. Diese führen derzeit in Einzelfällen zu einer rechtlichen Grauzone - man denke nur an die Unterschiede in der Einstufung einer grenzüberschreitenden Auftragsdatenverarbeitung, die im Extremfall zum "Fehlen" einer verantwortlichen Stelle führen können.
Um dies künftig zu verhindern, schlägt Hustinx vor, sich auf eine einheitliche Auslegung von Rechtfertigung und Rechtmäßigkeit einer Datenverarbeitung, internationalen Datenübertragungen und Betroffenenrechten zu verständigen sowie auf eine gemeinsame Definition von Datenschutzbehörden und deren Aufgaben.
Einen noch stärkeren Punktabzug dürfte die Kritik gegeben haben, dass jedwede Stärkung von Betroffenenrechten hinfällig ist, solange kein gesetzlicher Anspruch für Betroffene geschaffen wird, der es ihnen ermöglicht, selbst die Einhaltung einzufordern. Für die Umsetzung enthält die Korrekturanmerkung gleich einen Tipp: Aus Kostengründen soll für Betroffene die Möglichkeit einer Sammelklagemöglichkeit geschaffen und Verbraucherschutzverbänden eine Aktivlegitimation gegeben werden.
Schließlich bewies auch die Kommission unfreiwillig Mut zur Lücke – indem sie sich selbst vergaß. Das Konzept beinhaltet nämlich keinen Hinweise auf den Umgang von EU-Behörden mit personenbezogenen Daten.
Insgesamt bleibt zu hoffen, dass sich die Kommission die Benotung zu Herzen nimmt und bei der anstehenden Verbesserung möglichst viele Punkte umsetzt.
Der Autor Dr. Thomas Weimann ist Fachanwalt für Informationstechnologierecht und Partner bei BRP Renaud und Partner am Standort Stuttgart.
Der Autor Daniel Nagel ist Rechtsanwalt bei BRP Renaud und Partner am Standort Stuttgart.
Beide Autoren beschäftigen sich schwerpunktmäßig mit IT-Recht, Datenschutzrecht, AGB-Gestaltung und internationalem Recht und sind Verfasser diverser Veröffentlichungen auf diesen Gebieten.
Mehr auf LTO.de:
Datenschutz: Neue Regelungen für die Privatheit
EU-Datenschutz: Digitaler Radiergummi für soziale Netzwerke
Sabine Leutheusser-Schnarrenberger zum Datenschutz: "Netzsperren schaffen falsche Anreize"
