Wenn sich 60 europäische Wissenschaftler verschiedener Fachrichtung zu dem EU-Datenschutzpaket äußern, erwartet man Grundlegendes („Datenschutz in Europa“, Positionspapier von führenden europäischen Wissenschaftlerinnen und Wissenschaftlern v. 14.2.2013). Und die Wissenschaftler äußern sich zu fünf Themen:
1. „Innovation und Wettbewerb sind nicht bedroht“
Wenn Datenverarbeitung in Europa einem (verschärften) Verbotsprinzip unterworfen bleiben soll, ist dies prima facie gewiss nicht innovationsfreundlich. Denn Datenverarbeitung wird primär als Gefahr und nicht als Chance begriffen. Im globalen Wettbewerb kann es auch kaum ein Vorteil sein, wenn in Europa für IT-Unternehmen wesentlich rigidere Regeln gelten sollen als in den USA und in Asien (vgl. „Don Quixote“, Peter Fleischer: Privacy …? Blog v. 17.2.2013).
Die Behauptung, Innovation und Wettbewerb würden dennoch keineswegs „bedroht“, erscheint vor diesem Hintergrund – gelinde gesagt – gewagt.
Der interessierte Leser wartet gespannt auf (zumal wissenschaftliche) Argumente für die mutige These und wird bitter enttäuscht:
„Im Gegenteil wird ähnlich wie in der Straßenverkehrssicherheit, im Umweltschutz und in der Energiepolitik gerade ein regulatorisches Umfeld, das Veränderung einfordert, Innovationsimpulse setzen. Schon jetzt haben sich in ganz Europa Startups gebildet, die anstreben, Bürgern einen Schutz ihrer personenbezogenen Daten ‚out-of-the-box’ anzubieten. Sicherheits- und Datenschutzexperten beraten Firmen bei einer besseren Konstruktion und einem sichereren Management ihrer IT-Systeme. Unsicherheiten über das Datenschutzniveau in anderen Ländern sind ein wesentlicher Grund für die Zurückhaltung, Cloud Computing in wichtigen Geschäftsprozessen einzusetzen.“
Wer soll dies bitte schön verstehen? Welche Parallelen wollen die Verfasser beispielsweise zum Umweltschutz ziehen? Wollen sie uns sagen, dass die Atomindustrie in Deutschland aufgrund des Atomausstiegs boomt? Wollen sie uns sagen, dass dank rigider Datenschutzbestimmungen Arbeitsplätze bei „Sicherheits- und Datenschutzexperten“ neu entstehen, sodass es zu verschmerzen ist, wenn zugleich IT-Unternehmen ihren Sitz von Europa nach Asien verlagern? Man weiß es nicht, die 60 Wissenschaftler verlieren sich – ganz unwissenschaftlich – im Ungefähren.
2. „Zur Einwilligung des Kunden“
Hier ist man bereits geneigt zu sagen: „Thema verfehlt“. Denn es sind ja keinewegs nur „Kunden“, für die das Einwilligungserfordernis gelten soll. Aber weiter gelesen:
„Wir schließen uns dem Verordnungsentwurf hier an, denn wir halten das Prinzip der informierten Einwilligung für unerlässlich. Zum einen würde eine Umkehrung die Position des Bürgers deutlich schwächen und letztendlich zu weniger Kontrolle für den Einzelnen und zu weniger Vertrauen im Internet führen. Zum anderen gibt es zahlreiche Ansätze, sehr bald schon durch technische Hilfsmittel die heutigen Nutzerprobleme technisch zu lösen. Schon heute gibt es – gerade von Europäischen Instituten und Firmen – technische Lösungen, die Kunden dabei helfen können, mit wenig Aufwand und teilweise automatisiert in die Verarbeitung eigener Daten einzuwilligen oder sie abzulehnen. In den USA gibt es die ‚Do-not-Track’-Initiative, bei der im Browser der entsprechende Nutzerwunsch eingestellt wird. Ebenso sind Techniken im Entstehen, die die komplexen AGBs für Nutzer interpretieren und leicht verständlich zusammenfassen.“
Klingt gut, ergibt aber wenig Sinn. Wie kann man denn ernsthaft eine „informierte Einwilligung“ für „unerlässlich“ halten und zugleich nach Wegen suchen, wie der Nutzer „automatisiert“ einwilligen kann. Entweder man hält die Einwilligung – verfehlt – für ein zentrales Instrument, um das Selbstbestimmungsrecht des Nutzers zu wahren. Dann muss man nach Wegen suchen, wie dem Nutzer die Folgen der Einwilligung genau bewusst gemacht werden. Oder man ist der Auffassung, es handele sich um einen mehr oder weniger lästigen Formalakt. Dann ist es konsequent, nach möglichst unkomplizierten technischen Wegen zu suchen, wie die Einwilligung – über Browsereinstellungen oder anderweitig „automatisiert“ – erklärt werden kann.
3. „Zum berechtigten Interesse“
Ob Datenverarbeitung erlaubt ist oder nicht, sollte sich stets aus einer Abwägung der betroffenen Freiheiten ergeben – der Kommunikations- bzw. unternehmerischen Freiheit des Datenverarbeiters und der Persönlichkeitsrechte der Betroffenen:
„Um dem Missbrauch dieser an sich sinnvollen Regelung zu begegnen, sieht der Verordnungsvorschlag vor, die berechtigten Interessen von Unternehmen und Kunden erstens zu definieren und zweitens auszugleichen. Er sieht vor, dass Unternehmen ihr berechtigtes Interesse nicht nur behaupten, sondern auch begründen müssen. Die Ergänzung des Verordnungsentwurfs sieht nun durch einen Passus sogar vor, das ‚berechtigte Interesse des Bürgers’ nicht zu vergessen. Sie stellt fest, wo Rechte von Bürgerinnen und Bürgern wichtiger sind als die von Anbietern. Es wird präzisiert, dass Bürger ein berechtigtes Interesse daran haben, dass nicht unbemerkt Profile über sie erstellt werden und dass ihre Daten nicht mit einer Vielzahl von ihnen meist unbekannten Drittparteien geteilt werden. Wir halten diesen Ausgleich der Interessen für ein sehr faires Angebot, das die gegenwärtige Wirtschaftspraxis in der Datenverarbeitung ebenso berücksichtigt wie die Interessen der Bürger.“
Wenn Studenten so argumentierten, würde man ihnen vorhalten, dass weder ersichtlich ist, wie die These eigentlich lauten soll. Noch bemühen sich die Verfasser um eine stringente Argumentation. Weshalb „Rechte von Bürgerinnen und Bürgern“ stets „wichtiger“ sein sollen als grundrechtliche Freiheiten sog. „Anbieter“ (auch z.B. Blogger?), ist nicht ersichtlich, jegliche Begründung fehlt.
4. „Wann greift die Verordnung überhaupt? Wann sind Daten ‚personenbezogen’?“
Hier geht es den Verfassern um „eine äußerst gefährliche Fehleinschätzung“:
„Einige EU-Parlamentarier schlagen vor, anonymisierte, pseudonymisierte und verschlüsselte Daten generell aus dem Geltungsbereich der Datenschutzverordnung herauszunehmen, weil es bei ihnen keinen Personenbezug mehr gäbe. Das ist eine äußerst gefährliche Fehleinschätzung. Gewiss sind Anonymisierung, Pseudonymisierung und Verschlüsselung sinnvolle Instrumente des technischen Datenschutzes: Verschlüsselung hilft, Daten vertraulich zu halten. Pseudonyme können oft das Wissen um den Zusammenhang zwischen einer Person und „ihren“ sensitiven Daten (etwa einer medizinischen Diagnose, einer Äußerung in einem Internetforum, oder einem Interessenprofil) auf diejenigen beschränken, die den Zusammenhang erfahren müssen. Jedoch sind auch so geschützte Daten noch in vielen Fällen geeignet, Personen eindeutig zu identifizieren. Daher glauben wir, dass auch diese Datentypen in der Datenschutzregulierung betrachtet werden müssen, auch wenn sie möglicherweise anders zu behandeln sind als direkt identifizierte Daten. Dies ist ja schon allein deswegen nötig, um die problemangemessene, zweckmäßige und fachgerechte Verwendung der Schutzvorkehrungen sicherzustellen. Ganz sicher brauchen wir eine regelmäßig am technischen Standard angepasste Festschreibung, ab wann Daten als ausreichend pseudonymisiert und ab wann sie als anonymisiert gelten können.“
Schön und gut: Pseudonyme und anonyme Daten sind nicht nur „möglicherweise“ anders zu behandeln als Daten mit Personenbezug. Eine unterschiedliche Behandlung ist dringend geboten, um Anreize für pseudonyme und anonyme Nutzungsmöglichkeiten zu schaffen (vgl. Härting, „Mythen der EU-Datenschutzreform: ‚Pseudonyme Nutzung'“, CRonline Blog v. 1.2.1013). Von 60 Wissenschaftlern darf man allerdings zumindest einmal die Andeutung einer Idee verlangen, was sie denn konkret unter einer „anderen Behandlung“ verstehen. Statt einer Idee oder auch nur einem Ideechen nur Vages und Alarmistisches („äußerst gefährliche Fehleinschätzung“).
5. „Wer soll die Datenschutzanforderungen festlegen?“
Die 60 Wissenschaftler äußern sich kurz und kritisch zu den zahllosen Selbstermächtigungen der EU-Kommission zum Erlass von delegierten Rechsakten und Durchführungsbestimmungen („Datenschutz in Europa“, Positionspapier von führenden europäischen Wissenschaftlerinnen und Wissenschaftlern v. 14.2.2013, ein Absatz). Kurzes Durchatmen. Zumindest ein Absatz, den man versteht und dem man zustimmen kann.
