ISOC.DE nimmt zur geplanten europäischen Datenschutzgrundverordnung Stellung
Die EU-Kommission plant, durch eine allgemeinverbindliche EU-Verordnung eine Harmonisierung des Datenschutzrechts in Europa herbeizuführen. Viele gemeinhin als veraltet geltenden datenschutzrechtlichen Regelungen sollen dabei mit dem Ziel einer Stärkung des Datenschutzes für die Bürger in ganz Europa modernisiert werden, auch um den Bedingungen der allgegenwärtig digitalisierten und vernetzten Welt besser gerecht zu werden. Dazu will der Vorschlag der Kommission ein dichtes Kontrollnetz für den Datenschutz in Europa mit starken Aufsichtsbehörden und empfindlichen Bußgeldkatalogen vorgeben. Die Kommission setzt auf umfassende staatliche Kontrollen der Datenverarbeitung und damit auch auf eine strikte Überwachung der Kommunikation im Internet.
Die geplanten Änderungen des materiellen Datenschutzrechts sind gegenüber der heutigen Rechtslage jedoch als eher marginal zu bewerten: Es bleibt bei einem umfassenden Verbot der Verarbeitung von Daten mit dem Vorbehalt ausdrücklicher gesetzlicher Erlaubnis. Zugleich soll die freiwillige Einwilligungsmöglichkeit des Nutzers in die Verarbeitung der auf die eigene Person bezogenen Daten beschränkt werden. Der Personenbezug soll weiterhin das ausschlaggebende Kriterium für die Anwendbarkeit des Datenschutzrechts und aller seiner Restriktionen sein – jedoch erfolgt keine Konkretisierung des in der Vergangenheit zu vielen Rechtsunsicherheiten führenden Begriffs. Schließlich soll dem Verbraucher gestattet werden, seinen (unter Umständen selbst) verbreiteten Datenbestand möglichst komplett rückabzuwickeln („Recht auf Vergessen“). Hinzu kommen Vorschriften zur Datenportabilität in der „Cloud“.
Das Bundesministerium des Inneren (BMI) hat im Zuge des europäischen Normsetzungsprozesses auch die Internet Society um eine Stellungnahme zu dem Entwurf der Verordnung gebeten. ISOC.DE hat dabei das Vorhaben der Kommission begrüßt, ein modernes, europäischen Datenschutzrecht auf einem hohen Schutzniveau zu schaffen. Jedoch kritisiert die Internet Society die vorgeschlagenen Regelungen im Detail: Das in Deutschland und anderen Staaten der EU heute bestehende Datenschutzrecht ist in weiten Teilen nicht „internetkompatibel“. Der Verordnungsentwurf ändert daran in wesentlichen Punkten leider nichts.
Die ISOC.DE hielte es für dringend geboten, aus Anlass der Neufassung der europäischen Normen, z.B. auch einmal ganz grundsätzlich zu hinterfragen, weshalb der Entwurf der Verordnung mit Art. 6 DSVO eine Fortführung des Verbotes mit Erlaubnisvorbehalt vorsieht und ob dieses Prinzip aus analogen Zeiten wirklich ins Internetzeitalter übertragen werden sollte. In diesem Zusammenhang sollten auch Vorschläge wie das Recht auf Vergessen (Art. 17 DSVO), die Regelungen zur Portabilität von Daten (Art. 18 DSVO) nachgebessert werden, da die Fragen des Datenschutzrechts deutlich komplexer und weitreichender sind, als dass sie auf Problemfelder der sozialen Netzwerke oder Suchmaschinen reduziert werden dürften. Im Gegenteil führt die verengte und augenscheinlich undifferenzierte Sichtweise der Kommission auf Facebook & Co. in den Rechtsfolgen zu Ergebnissen, die in anderen Bereichen des vielfältigen Geschehens im Internet nicht gewollt sein können. Dringend nötig ist auch eine trennschärfere Klarstellung wesentlicher unbestimmter Rechtsbegriffe, um negative Rechtsfolgen zu vermeiden. Insbesondere eine Perpetuierung des Verbots mit Erlaubnisvorbehalts bei gleichzeitiger Möglichkeit der Ausdehnung des „Personenbezugs“ eines Datums auf alles, was auch nur im entferntesten „personenbeziehbar“ ist, führt heute schon zu berechtigter Kritik. Denn letztlich kann eine Datenschutzbehörde somit jedes IP-Paket zumindest theoretisch als „personenbeziehbar“ ansehen und damit das Internet insgesamt für nicht datenschutzkonform erklären.
Ziel der Reform muss nach Ansicht von ISOC.DE eine Stärkung der informationellen Selbstbestimmung des Bürgers und seiner „Dispositionsbefugnis“ sein. Transparenz und Freiwilligkeit der Datenverarbeitung und ein „Opt-In“ des Betroffenen müssen die Regel werden, nicht nur für die Datenverarbeitung in Unternehmen, sondern auch für die Verarbeitung von personenbezogenen Daten durch den Staat. Akzeptanz und Durchsetzbarkeit des Schutzes personenbezogener Daten müssen europaweit gestärkt werden, das Datenschutzniveau in Deutschland erhalten und woanders angehoben, nicht gesenkt werden. Weniger jedoch durch Regelungen, die der politischen Symbolik dienen, als durch möglichst allgemein akzeptierte und global durchsetzbare Vorgaben.
Neben den grundsätzlichen und im Detail gemachten Vorschlägen zur Änderung des Entwurfs der Verordnung, wünscht sich ISOC.DE für die weitere Debatte über ein europäisches Datenschutzrecht daher dringend, dass auch andere Aspekte in die Diskussion um die Gestaltung eines wirksamen europäischen Datenschutzes in die Überlegungen der EU mit einbezogen werden – insbesondere dass nicht allein rechtliche Instrumente betrachtet werden sollten, um den Datenschutz und seine Durchsetzung zu befördern. Ebenfalls sollten auch technische Lösungsansätze wie beispielsweise die der W3C-Arbeitsgruppe „Do not Track“ gefördert oder die Etablierung regulierter und überprüfter Standard-Einwilligungsbestimmungen nach dem Vorbild von Standard-Lizenzbedingungen wie „Creative Commons“ in die Überlegungen mit einbezogen werden, um einen wirksamen Datenschutz in Europa und weltweit zu befördern, der zugleich möglichst von allen Anspruchsgruppen akzeptiert und von der Internet Community aktiv unterstützt werden kann.
ISOC.DE erklärt sich dabei gerne bereit – auch in Kooperation mit der Internet Society -, im weiteren Fortgang der Beratungen, den deutschen und europäischen Gesetzgeber dabei zu unterstützen.