Kanzleialltag aus der Sicht unserer juristischen Praktikantin – Folge 2: „Datenschutz im Digitalen Zeitalter“: Die Jahrestagung des Instituts für Rundfunkrecht der Universität Köln 2014
Am 16. Mai hieß es für zwei Anwälte der Kanzlei und mich, die Praktikantin der Kanzlei Lampmann, Haberkamm & Rosenbaum: Raus aus dem Kanzleialltag – rein in den WDR! Das Institut für Rundfunkrecht der Universität Köln hatte zu seiner Jahrestagung Gäste aus ganz Deutschland mitten ins Herzen Kölns geladen, nämlich in den kleinen Sendesaal des WDR-Funkhauses direkt am Kölner Dom.
„Datenschutz im Digitalen Zeitalter“: Das Thema der Jahrestagung hätte nicht aktueller sein können. Erst drei Tage zuvor war das EuGH-Urteil zu Google und dem „Recht auf Vergessen werden“ gefallen, über das wir bereits berichteten. Auch die Snowden-Enthüllungen jähren sich in wenigen Wochen. Ob Suchmaschinen, Geheimdienste oder soziale Netzwerke – sie alle, die unsere Daten täglich und überall erheben und verarbeiten, stehen mehr denn je im Mittelpunkt des öffentlichen Interesses. Auf den hochaktuellen Bezug der Jahrestagung verwies mit Nachdruck Herr Prof. Dr. Hain, Tagungsleiter und Direktor des Instituts für Rundfunkrecht an der Universität Köln. Mit entsprechend großer Spannung erwarteten wir die Vorträge der fünf Referenten, ihres Zeichens führende Experten auf dem Gebiet des Datenschutzes.
Die Themen bzw. Fragen , mit denen sich der folgende Bericht befasst können wie folgt zusammengefasst werden.
- Was sind personenbezogene Daten? Was ist Datenschutz?
- Das Volkszählungsurteil von 1983
- Datenschutz in der EU-Grundrechtecharta
- Die Datenschutzrichtlinie der Europäischen Kommission von 1995
- Was ist das Safe-Harbor-Abkommen?
- Was ist das Territorialprinzip des Bundesdatenschutzgesetzes?
- Die neue Datenschutz-Grundverordnung
- Was ist das Marktortprinzip?
- Wer regelt die Rechtsdurchsetzung im deutschen Datenschutz?
- Was ist der Düsseldorfer Kreis?
Dass es sich bei dem ersten Referenten, Herrn Prof. Dr. Cornils von der Universität Mainz in der Tat um einen sehr gut vorbereiteten Experten handelte, wurde mir nach den ersten Minuten seines dreiviertelstündigen Vortrags über den „Grundrechtlichen Rahmen für ein (trans-)nationales Datenschutzrecht im digitalen Zeitalter“ klar. Abstrakte und komplexe Gedankengänge mit mir unbekannten Fremdwörtern trug Herr Prof. Dr. Cornils in hoher Geschwindigkeit und mit einer Intensität vor, die mir als Anfänger das konzentrierte Verfolgen des Vortrags erschwerten. Beim Anblick auf die ausgeteilte Gliederung zum Vortrag fühlte ich mich unwillkürlich an die Struktur einer Doktorarbeit erinnert. Zu meiner Erleichterung bezeichnete sogar Herr Prof. Dr. Peifer, Direktor des Insituts für Rundfunkrecht, den Vortrag als „nicht ganz leichte Kost für Zivilrechtler“. Doch wie ich im Verlauf der Tagung bemerkte, bildete gerade diese theoretische Einführung eine gute Vorlage für die folgenden Vorträge. Angefangen in der Theorie wurden die Vorträge im Laufe der Tagung immer konkreter, warfen ganz nach dem Tagungsmotto erst einen Blick über den deutschen, dann über den europäischen Tellerrand und mündeten schließlich in Einblicken in die Praxis des Datenschutzes.
Schon der nächste Vortrag „zur Architektonik des europäischen und deutschen Datenschutzes“ von Frau Prof. Dr. Spiecker sorgte für mich Laien und im Publikum für Erleuchtungen. Dazu erst ein paar Grundlagen:
Was sind personenbezogene Daten? Was ist Datenschutz?
„Personenbezogene Daten“ definiert das Bundesdatenschutzgesetz (BDSG) als Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, dem Betroffenen. Das sind zum Beispiel der Name, Geburtstag und die Adresse einer Person. Eine Person ist dann bestimmbar, wenn die dafür erforderlichen Daten aus allgemein zugänglichen Quellen ermittelt werden können. Der Datenschutz soll eine Person vor der missbräuchlichen Verwendung seiner personenbezogenen Daten schützen, sowohl zwischen den Bürgern untereinander, als auch zwischen den Bürgern und dem Staat oder den Bürgern und Unternehmen. Der Kerngedanke des Datenschutzes ist also, dass eine Person das Recht hat, selbst zu entscheiden, wer wann welche Daten über sie erheben, verarbeiten und speichern kann. Dieses Recht eines Bürgers auf einen beschränkten Umgang mit seinen personenbezogenen Daten leitet sich vom sogenannten „Recht auf Informationelle Selbstbestimmung“ ab, das auf das Volkszählungsurteil von 1983 zurückgeht.
Das Volkszählungsurteil von 1983
Das Volkszählungsurteil ist ein wegweisendes Grundsatzurteil des Bundesverfassungsgerichts vom 15. Dezember 1983. Anlass war eine für 1983 geplante Volkszählung in Deutschland. Mit dem erstmals ausgesprochenen „Grundrecht auf informationelle Selbstbestimmung“ kippte das Bundesverfassungsgericht das Volkszählungsgesetz und legte fest, dass der Staat nicht beliebig die Daten seiner Bürger erfassen und verarbeiten dürfe. Das Urteil etablierte das „Grundrecht auf informationelle Selbstbestimmung“ als Ausfluss des allgemeinen Persönlichkeitsrechts und der Menschenwürde und gilt als Meilenstein des Datenschutzes.
Zurück zum Vortrag von Frau Prof. Dr. Spiecker, Leiterin der Forschungsstelle Datenschutz an der Goethe-Universität Frankfurt. Datenschutzrecht ist Frau Prof. Dr. Spiecker zufolge ein Technikrecht. Damit habe das Datenschutzrecht den Charakter eines Vorsorgerechts, darin liege der zentrale Unterschied zum Urheberrecht. Meinem Verständnis nach bedeutet das: Man darf mit einer Reaktion nicht warten, bis eine Verletzung des Datenschutzes eingetreten ist, sondern muss die Verletzung im Vorfeld verhindern. Das leuchtet ein, finde ich, denn selbst wenn die Datenschutzrechte eines Einzelnen verletzt werden, weiß derjenige oft nicht einmal davon. In welchen Dimensionen solche Verletzungen stattfinden können, hat uns nicht zuletzt der NSA-Skandal vor Augen geführt.
Mit anschaulichen Beispielen illustrierte Frau Prof. Dr. Spiecker außerdem, dass die IT-Branche längst mehr als nur eine „Hilfeleistung“ bietet und für grundlegende Veränderungen im sozialen Wesen sorgt. Besonders in Erinnerung blieb mir ihr Beispiel der Pflege-Roboter, die schon jetzt kranken Menschen das Leben erleichtern könnten und in Zukunft noch mehr zum Einsatz kommen werden. Dass die Roboter dabei gleichzeitig wertvolle Informationen über den Menschen sammeln und diese zum Beispiel an Versicherungen weiterleiten könnten, die auf Grundlage dieser Daten über eine enorme Entscheidungsgewalt verfügen könnten, war mir vorher nicht in diesem Umfang bewusst. Erst die Sammlung von Big Data, den übergroßen, komplexen, digitalen Datenmengen, erlaube eben die Individualanalyse und -typisierung, so Frau Prof. Dr. Spiecker.
Prof. Dr. Spiecker wies insbesondere auf eine „Vollzugsproblematik“ im deutschen und europäischen Datenschutz hin. Dazu gehöre zum Beispiel die allgemeine Alternativlosigkeit, vor der die Betroffenen stehen. Stimmt, denke ich mir, denn wer nicht auf Facebook oder Whatsapp angemeldet ist, hat zwar vermeintlich sicherere, jedoch keine echten Alternativen, wenn die Freunde hauptsächlich über Facebook und Whatsapp kommunizieren – man möchte ja weiterhin in Kontakt bleiben.
Das neue EuGH-Urteil zu Google wertete Prof. Dr. Spiecker als positives Signal: Diejenigen, die Gewinne aus Datensätzen über Menschen ziehen, sollten laut Prof. Dr. Spiecker auch dafür zur Verantwortung gezogen werden können. Die nationalen Datenschutzbestimmungen müssten genauso für ausländische Unternehmen gelten, sobald sie ihre Dienste in dem bestimmten Land anbieten. Zwar blieben in dem Urteil zahlreiche Einzelheiten wie zum Beispiel Videoaufnahmen unerwähnt, doch lasse das Urteil damit gleichzeitig den Raum für zukünftige Ergänzungen offen. Das sei auch ihre Antwort auf die Frage, ob das neue EuGH- Urteil nicht zu wenig differenziere, da es im Moment bei einem Löschungsantrag lediglich zwischen Personen der Zeitgeschichte, wie Prominenten, und anderen unterscheidet. Die Europäische Union zeige mit diesem Urteil, so Prof. Dr. Spiecker, dass sie bereit sei zur Verteidigung ihrer Datenschutzrechte. Nachdem der EuGH Anfang April außerdem erklärt hatte, die anlasslose Speicherung personenbezogener Daten verstoße gegen die Grundrechte, nehme der EuGH immer mehr die Rolle eines maßgeblichen „Gestalters“ wahr, sagte Prof. Dr. Spiecker. Von diesen Grundrechten würde bei dieser Tagung noch sehr oft die Rede sein. Deshalb hier die zwei wichtigsten Auszüge aus der EU-Grundrechtecharta zum Thema Datenschutz:
Datenschutz in der EU-Grundrechtecharta
Artikel 7 – Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation.
Artikel 8 – Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.
Frau Prof. Dr. Spiekers Vortrag stieß anschließend eine kurze Diskussion darüber an, ob die geltende Datenschutzrichtlinie der Europäischen Kommission von 1995 nicht längst veraltet wäre – sowieso soll diese bald von der einheitlichen Datenschutz-Grundverordnung abgelöst werden, dazu später mehr. Die Richtlinie stammt nämlich aus einer Zeit, in der soziale Netzwerke und das Sammeln von Verbraucherdaten durch internationale Unternehmen noch nicht Alltag waren. Ich persönlich konnte mich nur wundern: Gerade in der EU, wo es sogar eine Gurkenkrümmung-Verordnung gibt, sollte es für den Datenschutz nur diese eine Richtlinie geben?
Die Datenschutzrichtlinie der Europäischen Kommission von 1995
Tatsächlich gab es für den Datenschutz in Europa bislang nur diese eine Richtlinie, über deren Umsetzung die Mitgliedsstaaten allerdings selbstständig entscheiden. Die Richtlinie 95/46/EG schreibt Mindeststandards für den Datenschutz in den europäischen Mitgliedsstaaten fest. In Deutschland wurde die Richtlinie 2001 mit dem Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze in nationales Recht umgesetzt. Geregelt wird dort auch die Übermittlung von personenbezogenen Daten an Drittstaaten, die nicht Mitglied der EU sind. Eine Übermittlung ist nur dann zulässig, wenn der Drittstaat ein „angemessenes Schutzniveau“ gewährleistet. Die Entscheidung, welche Länder dieses Schutzniveau gewährleisten, wird von der Kommission getroffen. Länder wie die Schweiz oder Kanada erfüllen zum Beispiel dieses Schutzniveau, die USA dagegen nicht. Um trotzdem einen Datenverkehr zwischen der USA und der EU zu ermöglichen, entwickelte das US-Handelsministerium zwischen 1998 und 2000 das Safe-Harbor-Abkommen.
Was ist das Safe-Harbor-Abkommen?
Das Safe-Harbor-Abkommen des US-Handelsministeriums soll gewährleisten, dass die dafür eingetragenen US-Unternehmen die europäische Datenschutzrichtlinie von 1995 einhalten. Auf legalem Weg können europäischen Unternehmen so personenbezogene Daten in die USA übermitteln. Safe-Harbor ist eine Entscheidung der Europäischen Kommission und kein völkerrechtlicher Vertrag. Mehr als eintausend Unternehmen sind bisher dem Safe-Harbor-Abkommen beigetreten, darunter IBM, Microsoft, General Motors, Amazon, Google, Hewlett-Packard, Dropbox und Facebook.
Mit dem Verweis auf das Safe-Harbor-Abkommen und die USA gelangen wir nahtlos zum nächsten Referenten, Professor of Law Paul M. Schwartz. Er war nämlich eigens aus den USA eingeflogen und brachte frischen Wind in die Tagung.
Professor of Law Paul M. Schwartz lieferte mit seinem humorvollen Vortrag zur „Architektonik des Datenschutzes in den USA“ eine ganz andere Sichtweise auf den Datenschutz. Als Professor an der UC Berkeley School of Law und dortiger Co-Leiter des Center for Law & Technology, der bereits die EU-Kommission und den US-Kongress beraten hatte, gab er dem Publikum spannende Einblicke in den amerikanischen Datenschutz. Anhand von stichhaltigen Beispielen lernte das Publikum die wesentlichen Unterschiede zwischen dem amerikanischen und dem deutschen Verständnis zu Datenschutz kennen. Und das habe ich daraus mitgenommen:
Grundsätzlich gibt es in den USA kein übergreifendes Datenschutzgesetz, das für alle Branchen gilt. Es gibt jedoch wichtige Schlüsselgesetze, die zusammengenommen etwa den Bereich der EU-Datenschutzrichtlinie abdecken. Zu den wichtigsten drei Gesetzen gehören: der FTC Act für Wirtschaft und Handel, der GLB Act (Gramm-Leach-Bliley Act) für den Finanzsektor und der HIPA Act (Health Insurance Portability and Accountability Act) für das Gesundheitswesen. Daher unterliegen in den USA zum Beispiel Finanz- und Gesundheitsdaten einem gewissen Datenschutz, doch die Erfassung und das Zusammenführen sämtlicher anderer gesammelter Daten und deren unbegrenzte Aufbewahrung durch Privatkonzerne ist erlaubt. In den USA scheint der Zugriff auf private Daten in vielen Fällen gesellschaftlich auch akzeptiert, anders als zum Beispiel in Deutschland.
So berichtete Prof. Schwartz, dass es in den USA nur eine Klage gegen den Geo-Fotodienst „Google Street View“ gegeben hatte (http://jolt.law.harvard.edu/digest/jurisdiction/district-courts/boring-v-google und http://www.sueddeutsche.de/digital/klage-gegen-google-street-view-keinerlei-beweise-1.477598), die im Übrigen erfolglos war. Dagegen war der Dienst in Deutschland auf großen Widerstand gestoßen. Genau wie „Google Street View“ sorge die aktuelle NSA-Affäre bei weitem für mehr Furore in Europa als in den USA selbst, so Prof. Schwartz. Das zeige erneut die grundsätzlich verschiedenen Einstellungen zum Datenschutz auf den beiden Seiten des Atlantiks.
Während sich der Datenschutz in Deutschland vom Grundrecht auf die informationelle Selbstbestimmung ableitet, ist der Datenschutz in den USA ein Verbraucherschutzrecht. Außerdem herrscht in den USA eine generelle Erlaubnis zur Datenverarbeitung, das im Zweifel sogar für die Datenverarbeitung spricht. Dagegen finden wir in Deutschland das sogenannte Verbot mit Erlaubnisvorbehalt, das außer in Ausnahmefällen grundsätzlich die Datenverarbeitung verbietet.
USA: Information Privacy Law | EU: Datenschutzrecht |
Einzelgesetze zum Datenschutz („Flickwerk von Regeln“, die große Bereiche frei von jeder formellen Regulierung lassen) | Umfassende Richtlinie und bald Verordnung zum Datenschutz |
Verbraucherschutzrecht | Recht auf Informationelle Selbstbestimmung |
Generelle Erlaubnis zur Datenverarbeitung: im Zweifel für die Datenverarbeitung | Verbot mit Erlaubnisvorbehalt: grundsätzliches Verbot zur Datenverarbeitung |
Eine unabhängige Datenschutzaufsicht wie in Deutschland gebe es in den USA nicht. Mit Datenschutzproblemen befasse sich zum Teil die US-Handelsbehörde Federal Trade Commission (FTC). Sie schreite nur dann ein, wenn ein Unternehmen seine eigenen Datenschutzrichtlinien nicht einhält. Voraussetzung sei jedoch, dass ein Unternehmen freiwillig seine eigenen Datenschutzrichtlinien festgelegt hat. Allerdings hätten die Maßnahmen der FTC auch mehr Durchschlagskraft als die bisherigen Sanktionen, die in der EU-Datenschutzrichtlinie vorgesehen sind. So verhängt die Federal Trade Commission (FTC) zum Beispiel hohe Bußgelder – Google zahlte für einen Rechtsverstoß schon einmal 22,5 Millionen (immerhin, auch wenn die Summe nicht einmal ein Prozent des Google-Umsatzes in dem Jahr betrug).
Außerdem ging Prof. Schwartz auf die besondere Stellung des First und Fourth Amendments ein, zwei Zusatzartikeln zur Verfassung der USA. In vielen Fällen kollidiere der Datenschutz mit dem Recht auf Meinungs- und Pressefreiheit aus dem First Amendment, so die amerikanische Sichtweise. Das Fourth Amendment schütze den Bürger zwar grundsätzlich vor staatlichen Übergriffen. Doch nach dem Urteil des Supreme Courts 1979 im Fall „Smith gegen Maryland“ hätten die Bürger kein ausgeprägtes Recht auf Privatsphäre bei den Daten, die sie eine dritte Partei weiterreichen – in diesem Fall wurden die Telefondaten vom Anbieter gespeichert. Interessant bewertet wurden die genannten Zusatzartikel übrigens von einem US-Bundesrichter 2012 im Zusammenhang mit der NSA-Affäre: (http://www.sueddeutsche.de/politik/urteil-zu-nsa-spionage-snowdens-sieg-ist-obamas-problem-1.1845554)
In den USA habe das Datenschutzrecht nicht den Vorsorgecharakter, dem Frau Prof. Dr. Spiecker eine so große Bedeutung zugesprochen hatte, Nein, zunächst müssten die konkreten Schäden bei Datenschutzverletzungsklagen nachgewiesen werden, was in den USA außerordentlich schwierig sei, so Prof. Dr. Schwartz.
Mit treffenden Beispielen sorgte Prof. Dr. Schwartz zwischendurch auch für Erheiterung: Im Zusammenhang mit dem NSA-Skandal nahm der amerikanische Fall „Clapper gegen Amnesty International“ eine ironische Wendung. Die Klage von Amnesty International gegen die Abhörbefugnisse der NSA wies das US Supreme Court damals ab. In der Begründung hieß es, eine solche Datenüberwachung sei – sinngemäß übersetzt – absurd, hypothetisch und hochspekulativ. Die Bürgerrechtler hätten nicht hinreichend darlegen können, dass sie selbst von Abhörmaßnahmen der NSA betroffen sind. Der ganze Saal lachte, als Prof. Dr. Schwartz hinzufügte, das Supreme Court habe diese Begründung im Februar 2013 abgegeben – vier Monate vor den Snowden-Enthüllungen. (Link zum Urteil http://supreme.justia.com/cases/federal/us/568/11-1025/)
Eine wichtige Gemeinsamkeit scheint es im amerikanischen und deutschen Datenschutzrecht aber auch zu geben: Das Territorialprinzip.
Was ist das Territorialprinzip des Bundesdatenschutzgesetzes?
Das Bundesdatenschutzgesetz ist dann anwendbar, wenn eine Erhebung, Speicherung oder Nutzung von Daten auf deutschem Territorium vorgenommen wird. Es bleibt demnach auch dann anwendbar, wenn eine Übermittlung ins Ausland stattfindet. Auch ausländische Konzerne können dem deutschen Datenschutzrecht unterliegen, wenn sie über ein deutsches Tochterunternehmen mit eigenständiger Rechtspersönlichkeit personenbezogene Daten erheben, verarbeiten oder nutzen.
Prof. Dr. Schwartz präsentierte uns die wichtigsten Antworten amerikanischer Anwälte auf seine Frage, warum sie den europäischen Datenschutz nicht mögen: Sie sähen in der EU eine große gesetzliche Grauzone einerseits, andererseits aber auch viele gesetzliche „Papiertiger“, die in der Praxis nicht umgesetzt würden. Außerdem begreife man datenschutzrechtliche Auseinandersetzungen innerhalb der EU und der Mitgliedsstaaten untereinander als Problem. Diese Faktoren erschwerten amerikanischen Anwälten die Arbeit mit dem europäischen Datenschutz, so Prof. Dr. Schwartz Umfrageergebnisse.
Für alle Datenschützer warf Prof. Schwartz einen optimistischen „Blick in die Glaskugel“: Auf der ganzen Welt werde seiner Einschätzung nach in Zukunft eine Kalifornisierung und Europäisierung des Datenschutzes stattfinden. Ähnlich wie der Bundesstaat Kalifornien für die strengste Gesetzgebung im Datenschutz innerhalb der USA bekannt ist, so sei die EU für ihre strenge Gesetzgebung im Datenschutz weltweit bekannt. Prof. Schwartz meint also: Genauso wie strengere Gesetze in Kalifornien den nationalen Mindeststandard in den USA anheben („California Effect“), würden die höheren Standards der EU den Datenschutzstandard für alle weltweit agierenden Unternehmen anheben („Brussels and EU Effect“). Schon jetzt würde man zum Beispiel in Indien europäische Datenschutzstandards anstreben, damit Kooperationen und Geschäfte mit der EU weiterhin möglich seien. Diese Denkweise ist nachvollziehbar, finde ich – je früher ein Unternehmen den strengsten Standards weltweit gerecht wird, desto unwahrscheinlicher wird es versehentlich andere Standards verletzen.
Die ersten Vorträge – und das Mittagessen – würden schwer zu übertreffen sein, dachte ich nach der Mittagspause. Aber tatsächlich ergänzten die Nachmittags-Vorträge mit lehrreichen Perspektiven aus der Praxis die vorherigen aus der Theorie.
Den Anfang machte Herr Ralf Bendrath, Mitarbeiter des Europa-Abgeordneten Jan Philipp Albrecht, mit seinem Vortrag „Die Datenschutz-Grundverordnung – Stand der Umsetzung und Streitpunkte“. Ralf Bendrath berichtete aus erster Hand über den aktuellsten Stand der Dinge in Brüssel, denn er arbeitet im Büro des Berichterstatters, der für die neue Datenschutzverordnung zuständig ist.
Die neue Datenschutz-Grundverordnung
Die EU-Datenschutz-Grundverordnung ist Teil einer umfassenden EU-Datenschutzreform. Sie ist seit 2012 in Arbeit, ihre Verabschiedung würde das Datenschutzrecht grundlegend verändern. Denn die Regelungen einer Verordnung gelten in den Mitgliedstaatenrechtsverbindlich und unmittelbar, im Gegensatz zu der bisherigen Datenschutzrichtlinie von 1995. In Deutschland würde die Datenschutzverordnung somit das Bundesdatenschutzgesetz ablösen. Am 12. März 2014 hat das EU-Parlament dem aktuellen Entwurf zugestimmt. Im Juli 2014 sollen die Verhandlungen zwischen EU-Parlament, Rat der europäischen Union und EU-Kommission beginnen („Trialog-Verfahren“).
Das Bundesinnenministerium leistete im EU-Ministerrat leider starken Widerstand gegen die Durchsetzung der neuen Datenschutzverordnung, berichtete Herr Bendrath. Offensichtlich befürchteten Teile der deutschen Industrie, durch die Grundverordnung Nachteile im internationalen Wettbewerb zu erleiden.
Den unglaublich hohen Arbeitsaufwand, der hinter dem jetzigen Entwurf der neuen Grundverordnung steht, konnte das Publikum im Laufe von Herr Bendraths Vortrag zumindest ansatzweise erahnen. Statt theoretischen Gedanken waren auf Ralf Bendraths Fotos unzählige Papierstapel aus 3999 Änderungsanträgen, Übersetzungen des Entwurfs in 27 andere Sprachen zu sehen – und ein gelbes zweistöckiges Eckhaus mit einem Dorfladen im Untergeschoss. Dies sei die irische Datenschutzaufsichtsbehörde, erklärte Herr Bendrath. Ja, genau die, die den Datenschutz bei Facebook, Microsoft und Twitter kontrolliere. Großes Gelächter im Saal. Die neue Datenschutzverordnung allerdings würde Irland die alleinige Zuständigkeit für Facebook und Co. entziehen, ergänzte Herr Bendrath. Denn dann würde in der ganzen EU dasselbe Datenschutzniveau gelten, und zwar nach dem Marktortprinzip.
Was ist das Marktortprinzip?
Die EU-Datenschutz-Grundverordnung soll für alle Anbieter in der EU gelten, sobald sich ihr Angebot an EU-Bürger richtet oder sie deren Verhalten überwachen. Auch Unternehmen, die ihren Sitz nicht in der EU haben, müssten erstmals die Datenschutzvorschriften vor Ort beachten. Bietet ein amerikanisches Unternehmen wie Google also gezielt in der EU seine Leistungen an und erhebt in diesem Zusammenhang personenbezogene Daten, so müsste es die EU-Datenschutzverordnung einhalten.
Genau das sagte doch auch das aktuelle EuGH-Urteil zu Google aus, fiel mir ein. Zeigt das nicht erneut, wie reif die Zeit für eine Datenschutzreform in der EU tatsächlich ist? Weitere wichtige Fakten zum jetzigen Verordnungsentwurf stellte Herr Bendrath im Folgenden vor. Unter anderem betonte Herr Bendrath die große Beteiligung der Lobbyisten am neuen Entwurf der Datenschutzverordnung. Auf Screenshots von der Plattform LobbyPlag.eu zeigte uns Herr Bendrath, dass viele Änderungsanträge von EU-Abgeordneten wortgleich übernommen wurden aus den Lobbypapieren von Unternehmen wie Amazon, eBay, Google und Microsoft. Andererseits habe es auch wortgleiche Übernahmen aus den Unterlagen von Datenschutzorganisationen gegeben.
Nach dem geänderten Entwurf muss ein betrieblicher Datenschutzbeauftragter regelmäßig tätig werden, wenn das Unternehmen innerhalb von 12 Monaten die Daten von mehr als 5.000 Betroffenen verarbeitet. Damit richtet sich die Notwendigkeit eines Datenschutzbeauftragten nach der Betroffenenanzahl und nicht wie im vorherigen Entwurf nach der Mitarbeiteranzahl.
Man hat nicht alle Tage die Gelegenheit, einem direkt beteiligten Experten Fragen zur neuen Datenschutzverordnung zu stellen. Das Publikum konfrontierte sodann auch Herrn Bendrath mit Fragen, über deren Inhalt er selbst erstaunt war. Unter anderem gibt die neue Datenschutzverordnung eine Erhöhung der Bußgelder bei Datenschutzverstößen vor. Von derzeit 300.000 Euro soll der Höchstbetrag auf 100 Millionen Euro oder fünf Prozent des weltweiten Jahresumsatzes des Unternehmens steigen. In der Diskussion mit Herrn Bendrath herrschten zum Beispiel Unklarheiten in der Frage, auf welchen Jahresumsatz sich der neue Prozentsatz bei Unternehmen mit Tochtergesellschaften beziehen sollte. Alles in allem sorgte der praktische Einblick durch den Vortrag von Herrn Bendrath für lehrreiche Erkenntnisse.
Den letzten Vortrag der Jahrestagung sollte Herr Dr. Thilo Weichert, Landesbeauftragter für den Datenschutz in Schleswig-Holstein, „zur Kontrolle von Datenerhebung und – nutzung durch global agierende soziale Netzwerke“ halten. Herr Dr. Weicherts Bezeichnung als „Datenschutzbeauftragten“ hatte ich zwar schon öfters gehört. Doch viel mehr wusste ich zuvor nicht über die Stellen zu sagen, die in Deutschland für den Datenschutz zuständig sind.
Wer regelt die Rechtsdurchsetzung im deutschen Datenschutz?
Man unterscheidet im deutschen Datenschutzrecht zwischen der Bundes- und Landesebene und dem öffentlichen und nicht-öffentlichen Bereich. Auf Bundesebene regelt das Bundesdatenschutzgesetz (BDSG) die Datenverarbeitung an öffentlichen Stellen des Bundes wie Bundesbehörden und an nicht-öffentlichen Stellen wie zum Beispiel in Unternehmen. Die Landesdatenschutzgesetze regeln daneben den Datenschutz in Landes- und Kommunalbehörden.
Die öffentlichen Stellen des Bundes und die Unternehmen für Telekommunikations- oder Postdienstleistungen werden von der Bundesaufsichtsbehörde für Datenschutz kontrolliert, und zwar unter der Leitung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Die Landesbehörden werden kontrolliert von den Aufsichtsbehörden der Bundesländer und deren Landesbeauftragten für Datenschutz, in Schleswig-Holstein ist das zum Beispiel Herr Dr. Thilo Weichert. Die Aufsicht über private Unternehmen liegt bei den Aufsichtsbehörden für den nicht-öffentlichen Bereich, die beim Landesdatenschutzbeauftragten oder zum Beispiel im Innenministerium des jeweiligen Bundeslandes angesiedelt sind. Jeder Bürger kann sich mit Beschwerden über eine Datenschutzrechtverletzung an die Aufsichtsbehörde seines Bundeslandes wenden.
Sowohl öffentliche als auch nicht-öffentliche Stellen haben die Pflicht, einen eigenen Datenschutzbeauftragten zu bestellen. Bei den öffentlichen Stellen ist das der behördliche Datenschutzbeauftragte, bei den nicht-öffentlichen Stellen der betriebliche Datenschutzbeauftragte. Diese kontrollieren in der jeweiligen Behörde oder in dem jeweiligen Unternehmen die Ausführung der Datenschutzrechte. Datenschutzbeauftragte können sich in Zweifelsfällen an ihre zuständige Aufsichtsbehörde wenden.
Ein weiterer Begriff, der im Zusammenhang mit den Datenschutzaufsichtsbehörden im Laufe der Tagung häufig fiel, war der „Düsseldorfer Kreis“.
Was ist der Düsseldorfer Kreis?
Der Düsseldorfer Kreis ist die oberste Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich. Bis 2013 war er ein inoffizieller Zusammenschluss der obersten Aufsichtsbehörden, die in Deutschland den Datenschutz im nicht-öffentlichen Bereich kontrollieren. Nachdem 1977 das Bundesdatenschutzgesetz erlassen wurde, trafen sich Vertreter dieser Behörden in Düsseldorf, um sich über eine möglichst einheitliche Anwendung des Bundesdatenschutzgesetzes abzustimmen. Seit 2013 ist der Düsseldorfer Kreis in der Konferenz der Bundesdatenschutzbeauftragten des Bundes und der Länder ein offizielles Gremium für die Aufsichtsbehörden des nicht-öffentlichen Bereichs.
Bislang hatte ich stets den Eindruck gehabt, Deutschland sei im Datenschutz ganz vorne dabei. Doch wie bereits wie seine Vorredner berichtete Herr Dr. Weichert ebenfalls von häufig überforderten deutschen Datenschutzaufsichtsbehörden. Bei Verletzungen des Datenschutzrechts hätten sie nur geringe Chancen gegen die finanziell und personell überlegenen Großkonzerne.
Als engagierter Leiter des Unabhängigen Landeszentrums für Datenschutz in Kiel (ULD) holte Dr. Weichert noch weiter aus und präsentierte mit Leidenschaft seine Ansichten zum Datenschutz allgemein. So trug er unter anderem vor, dass es heute in den USA „keine digitalen Grundrechte“ gäbe, obwohl „der Datenschutz 1890 dort erfunden worden war“. Damit verwies er auf die damals von Samuel D. Warren und dem späteren Bundesrichter Louis D. Brandeis entwickelte „The Right to Privacy“,nach dem jedem Individuum das Recht habe, selbst zu bestimmen, ob und wie seine „Gedanken, Meinungen und Gefühle“ anderen mitgeteilt werden können. Auch für die Datenschutz-Entwicklung in Europa nimmt das „Right to privacy“ eine wichtige Stellung ein. Doch in den USA selbst sei die damals geschaffene Grundlage für Datenschutz aufgrund von starken „wirtschaftlichen und sicherheitshegemonialen“ Widerständen nicht ausreichend weiterentwickelt worden, so Herr Dr. Thilo Weichert. Im weiteren Verlauf seines Vortrags forderte Dr. Weichert wiederholt die deutsche Politik dazu auf, aktiv für den Datenschutz einzustehen, indem sie unter anderem Edward Snowden die Einreise nach Deutschland ermögliche. Deutschland sei seiner Meinung nach sogar verfassungsrechtlich dazu verpflichtet, ihn einzuladen, um ihn umfassend über seine Erkenntnisse berichten zu lassen. Denn in Moskau könne Snowden nicht an alle Dokumente gelangen, argumentierte Herr Dr. Weichert. Die deutsche Regierung solle gegenüber den USA demonstrieren, wie wichtig ihr der Datenschutz sei, führte Herr Dr. Weichert fort, Deutschland habe in Sachen Datenschutz noch deutlich mehr Potenzial. Auf seine emotionale Rede reagierten einzelne Gäste im Publikum mit ebenso engagierten Rückfragen, die eine rege Diskussion anheizten.
Mir persönlich rief die abschließende Diskussion besonders in Erinnerung, wie viel politisches Potenzial hinter den Debatten zum Datenschutz steckt. Selbst wenn viele Menschen die Ansicht unterstützen, dass ihre Daten besser geschützt werden sollen, so gibt es doch große Meinungsunterschiede in der Frage, wie genau das passieren sollte.
Andererseits gibt es nicht wenige Menschen, besonders junge, die zwar prinzipiell Datenschutz gut finden, aber die zahllosen Diskussionen und Aufregungen zu Abhörskandalen nicht nachvollziehen können. Ich treffe bei Freunden und Gleichaltrigen nicht selten auf die „Ich habe doch nichts zu verbergen“-Einstellung, die mir selbst auch nicht fremd ist. Die „Massenüberwachung“ und „Vorratsdatenspeicherung“, von der man in den Medien liest und hört, erscheint einerseits bedrohlich. Sie kann verkehrt herum aber auch zu der achselzuckenden Erkenntnis führen, dass angesichts der Tatsache, dass sowieso alle überwacht werden, die eigene Überwachung an Bedeutung verliert; die eigenen Daten in der Masse sowieso untergehen. Auch der Nutzen, den eine regulierte Datenverarbeitung und –speicherung mit sich bringt, beispielsweise bei der Verhinderung und Verfolgung schwerer Straftaten, darf nicht vergessen werden. Gleichzeitig macht die Überwachung der breiten Masse und das Speichern ihrer Daten eben erst eine individuelle Analyse der Betroffenen möglich. Daraus folgt die Überlegung, dass uns als unwissenden Nutzern, Verbrauchern und Kunden bestimmte Eigenschaften zugewiesen werden, die ohne unseren Willen in ungeahnten Dimensionen ausgenutzt werden können. Doch für einen wirksamen Datenschutz, der Nutzen und Gefahren gleichermaßen berücksichtigt, müssen meiner Meinung nach nicht nur die Politik und Unternehmen etwas tun. Vielmehr sind im Zeitalter von Facebook und Co. wir selbst als Betroffene gefragt, unseren eigenen Umgang mit unseren Daten kritisch zu überdenken. Nur wenn uns selbst die Bedeutung des Datenschutzes bewusst wird und wir selbst sorgfältig mit unseren Daten umgehen, können wir von anderen einen respektvollen Umgang mit unseren Daten erwarten. (he)
(Bild: © tadamichi – Fotolia.com)