Was ist von den zu den Beschlüssen zur EU-Datenschutzreform zu halten, die am vergangenen Montag, dem 21.10.2013 im Europäischen Parlament verabschiedet worden sind? In meinem CR-Beitrag

Härting, Datenschutzreform in Europa: Einigung im EU-Parlament, CR 2013, 715 ff.

nehme ich zu folgenden 9 Kritikpunkten Stellung:

1. Vernachlässigung der Bürgerrechte

Die Parlamentsbeschlüsse vernachlässigen den Datenschutz im öffentlichen Bereich. Wenn die Beschlüsse wirklich würden, würden mit einem Schlag zahlreiche Spezialgesetze gegenstandslos, die das Gesicht des Datenschutzes prägen. Beispielhaft genannt werden die in jüngerer Zeit heftig diskutierten Bestimmungen zum Datenschutz im Melderecht und im Ausländerrecht, die ersatzlos wegfallen würden.

2. Vernachlässigung der mittelständischen Wirtschaft

Die Umsetzung der geplanten Vorschriften wird für Google, Facebook, Apple & Co. vergleichsweise einfach sein, nicht jedoch für kleine und mittelständische Unternehmen. Die Erleichterungen für den Mittelstand, die die EU-Kommission beschlossen hatte, sollen nach den Vorstellungen des EU-Parlaments größtenteils fortfallen.

3. Fixierung auf die Online-Wirtschaft

Viele Vorschläge des EU-Parlaments – zum Beispiel ein „Ampel-Warnsystem“ zur Information des Verbrauchers über datenintensive Anwendungen – sind diskutabel, soweit es um Online-Dienste geht. Aber warum soll für einen kleinen Buchhändler in einem Berliner Kiez dieselben Datenschutz-Informationspflichten gelten wie für Amazon?

4. Erweiterung der Kommunikationsverbote

Nach dem Motto „Alle Daten sind schützenswert“ soll  der Begriff der Personenbezogenheit von Daten ins Uferlose erweitert werden. Zugleich möchte das EU-Parlament am Verbotsprinzip festhalten. Dies führt zu einem Ãœbermaß des Schutzes der Privatsphäre zu Lasten der freien Kommunikation.

5. Keine Anreize für Pseudonymität und Anonymität

Die Anreize, die das EU-Parlament für den Verzicht auf „Klarnamen“ setzt, sind viel zu schwach. Eine Vorschrift, die Online-Anbieter verpflichtet, eine pseudonyme bzw. anonyme Nutzung eines Dienstes zu ermöglichen, ist nicht vorgesehen. Dies ist im Hinblick auf § 13 Abs. 6 TMG ein deutlicher Rückschritt.

6. Die Ãœberfrachtung der Einwilligung und das falsche Verständnis von „Accountability“

Das EU-Parlament setzt zu sehr auf Einwilligungen und zu wenig auf eine Verantwortung der Diensteanbieter. Das Konzept der „Accountability“ wird falsch verstanden.

7. Vernachlässigkeit der Kommunikationsfreiheit

Da Daten der Rohstoff der (digitalen) Kommunikation sind, ist Datenschutz stets (auch) Kommunikationsregulierung. Dieser Erkenntnis verschließt sich das EU-Parlament und möchte den Schutz der freien Kommunikation den Gesetzgebern der Mitgliedsstaaten überlassen. Statt der beabsichtigten europaweiten Vereinheitlichung des Datenschutzrechts droht ein „Flickenteppich“ da die Gewichtung von Datenschutz und Kommunikationsfreiheit in den 28 EU-Staaten unterschiedlich ausfallen wird.

8. Rudimentärer Rechtsschutz gegen Maßnahmen der Datenschutzbehörden

Durch die Hintertür soll ein (freiwilliges) Genehmigungsverfahren für Datenverarbeitungsprozesse (Zertifizierung) eingeführt werden. Zudem wird insgesamt die Stellung der Datenschutzbehörden erheblich gestärkt, ohne dass es Ansätze für einen wirksamen Rechtsschutz gegen Maßnahmen (oder Untätigkeit) der machtvollen Behörden gibt.

9. Rechtsstaatswidrige Sanktionen

Die EU-Parlamentsbeschlüsse sehen drakonische Geldbußen vor für Datenschutzverstöße. Die Datenschutzbehörden sollen diese Geldbußen auch dann verhängen dürfen, wenn es an einem Verschulden fehlt. Dies ist ein menschenrechtswidriger Verstoß gegen das Schuldprinzip (Art. 6 Abs. 2 EMRK). Nach der Rechtsprechung des BVerfG darf Deutschland einen solchen Vorschlag nicht unterstützen.