Streit um den Treibstoff des Internets: Zur Debatte um die neue EU-Grundverordnung zum Datenschutz

Rund 250 Rechtsexperten rangen am 17. und 18. Oktober in Berlin darum, ob und wie Datenschutz auf EU-Ebene geregelt werden soll. Anlass bot der Entwurf für eine Datenschutz-Verordnung (PDF), den die Europäische Kommission im Januar vorgelegt hat. Im August hatten das Bundesinnenministerium und das Alexander von Humboldt Institut für Internet und Gesellschaft dazu Workshops organisiert, deren Ergebnisse jetzt präsentiert wurden. Verabschiedeten das europäische Parlament und der Rat der Europäischen Union den Entwurf in seiner jetzigen Form, könnten erstmals in allen Staaten der EU einheitliche Grundregeln zum Umgang mit personenbezogenen Daten gelten. Staatliche Organe hätten sich den Regeln grundsätzlich ebenso zu unterwerfen wie private.

Eine Verordnung für alle

Am übergreifenden Charakter der Verordnung kochte die Diskussion immer wieder hoch, auch weil der Textentwurf an vielen Stellen vage bleibt. Kritiker sprachen sich gegen ein “One-size-fits-all”-Modell aus. Immer wieder tauchte mit Blick auf die alltägliche Datenverarbeitung etwa das Beispiel vom Bäcker auf: ein Kleinstunternehmer, der Kundendaten laienhaft sammelt und verarbeitet. Hätten kleine und mittlere Unternehmen wie dieses dieselben Datenschutzpflichten wie IT-Konzerne wie Facebook zu befolgen, könnte sie das erdrücken – so die Befürchtung. Unklar bleibt allerdings, ob dieses Beispiel überhaupt realistisch wäre. Denn die Konkretisierung vager Stellen, etwa durch die EU-Staaten, ist gemäß dem Subsidiaritätsprinzip durchaus vorgesehen: Was am besten auf Ebene der Mitgliedstaaten bestimmt werden kann, kann und soll dort geregelt werden.

Paul Nemitz (SPD), Leiter der Direktion für Grundrechte der Europäischen Kommission, und Berichterstatter Jan Philipp Albrecht (Grüne) warben für den Entwurfstext und stellten die damit verbundene EU-weite Vollharmonisierung des Datenschutzrechts in den Vordergrund. Die Vorteile einer geringen Rechtszersplitterung liegen – insbesondere für Verbraucher, Kunden, Bürger – auf der Hand. Jurastudent Max Schrems, der von Facebook seine Daten erklagt hatte, erklärte anschaulich, wie schwierig allein die Feststellung von Zuständigkeiten gewesen sei.

Bundesinnenminister Hans-Peter Friedrich (CSU) lehnte dagegen ab, dass die Verordnung nicht nur Private, sondern auch staatliche Stellen erfassen solle. Der öffentliche Bereich sei gut geregelt und solle Sache der Mitgliedstaaten bleiben. Er nahm damit auch die Sorge mancher Teilnehmer auf, die EU-weite Regelung könnte Deutschland ein niedrigeres Schutzniveau bescheren als bisher.

Sperrig, aber unerlässlich: die Einwilligung

In einem weiteren Schwerpunkt ging es um die Frage, inwieweit heutige Datenverarbeitungsmethoden und -praktiken besondere Gefährdungen des allgemeinen Persönlichkeitsrechts mit sich bringen. Am Thema Einwilligung wurde die Problematik besonders deutlich. Was der Staat mit Daten von Bürgern aufgrund eines allgemeinen, verfassungsmäßigen Gesetzes anstellen darf, dürfen Unternehmen nur aufgrund unserer Einwilligung. Wollen Unternehmen personenbezogene Daten sammeln oder verwenden, brauchen sie die Zustimmung der Datensubjekte, also der Bürger. Dafür muss die einwilligende Person aber dispositionsbefugt über das in Frage stehende Rechtsgut und umfassend informiert sein. Dem gegenüber stehen in der Praxis regelmäßig Seiten lange, für Laien kaum zu überschauende Nutzungsbedingungen. Gelesen werden sie von den wenigsten. Wird dadurch eventuell der Wert der Einwilligung untergraben?

Darüber hinaus setzt eine wirksame Einwilligung als Drittes stets Freiwilligkeit voraus. Diese verliert aufgrund struktureller Ungleichheiten im Markt jedoch an Legitimationskraft. Auf der einen Seite stehen Unternehmen mit manchmal für den Einzelnen alternativlos erscheinenden Diensten, auf der anderen Bürger beziehungsweise Kunden. Wenn die Wahl für den Bürger nur noch zwischen “gläserner Kunde” und Verzicht auf einen bestimmten Dienst besteht, der zur Persönlichkeitsentfaltung, wirtschaftlicher, demokratischer, partizipatorischer Betätigung immer unerlässlicher wird, kommt die Freiwilligkeit immer mehr abhanden.

Lösungen müssen in einem Spannungsfeld bestehen: die Bürger mit ihren Rechtsansprüchen auf der einen Seite; Unternehmen, denen die Einhaltung des Datenschutzes Aufwand verursacht und vielleicht auch Innovationsprozesse erschwert, auf der anderen. Lösungsideen in diesem Bereich reichten bei der Konferenz in Berlin weit: von einem Ampel-System für Nutzungsbedingungen bis zu privacy by design, etwa in Form von “Do-not-Track”-Funktionen als Standard im Browser. Zuletzt kam eine Abstufung der Einwilligung ins Spiel: Für wenig sensible Daten könnten Verkehrsregeln angenommen werden; für die Verwendung sensibler Daten müssten die Verwender eine gewichtigere Einwilligung einholen. Die Idee scheint zunächst praktikabel. Fraglich ist nur, ob die Definition, welche Daten sensibel sind, nicht auch zur informationellen Selbstbestimmung gehört, sprich: nicht generalisierend entschieden werden kann.

Bedürfnis nach Rechtssicherheit vereint

Trotz der kontroversen Positionen unter den Konferenzteilnehmern, die sich beim Themenblock “Selbstregulierung” fortsetzten, gab es offensichtlich einen gemeinsamen Antrieb: das Bedürfnis nach Rechtssicherheit. Denn sind die Regeln für Datenschutz nicht klar und bestimmt, hemmt das ihre Durchsetzung. Das wäre schlecht für alle. Dieser Antrieb bringt die Akteure sicher wieder zusammen – dann hoffentlich mit konkreten Textvorschlägen.