Datenschutz in der EU: Nach dem Spiel ist vor dem Spiel

Die neue europäische Datenschutzverordnung, die nun endlich kommen soll, hat einen mühsamen Weg hinter sich. Das merkt man, analysiert der Rechtsinformatiker Nikolaus Forgó, und es hat seinen Preis.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen
EU
Lesezeit: 8 Min.
Von
  • Nikolaus Forgó
Inhaltsverzeichnis

Eines der interessanteren Phänomene europäischer Rechtspolitik ist es, dass das Wichtige im Informellen geschieht und dann herabfällt auf das Publikum. So also geschehen im Bereich des Datenschutzrechts, als der informelle Trilog zwischen Rat, Parlament und Kommission am Dienstagabend sein Ende fand, obwohl das formelle Beschlussfassungsverfahren ja noch kaum begonnen hat – sondern kommende Woche mit einem Beschluss im Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) des EU-Parlaments erst richtig beginnen wird.

Eine Analyse von Nikolaus Forgó

Professor Dr. Nikolaus Forgó ist Jurist, hält eine Professur für Rechtsinformatik und IT-Recht an der Leibniz Universität Hannover und ist Co-Leiter des dortigen Instituts für Rechtsinformatik.

Es ist in diesem informellen Verfahren schwer, den Überblick zu behalten, wer was wann warum gewollt und gesagt hat – das ist vermutlich aus Sicht der Akteure einer der wichtigeren Vorteile dieses Verfahrens. Das Informelle führt dazu, dass es zur akademischen und bürgerlichen Selbstverständlichkeit geworden ist, geleakte anstatt offizieller Dokumente zu suchen und ihre Bedeutung/Aktualität/Authentizität zu bewerten zu versuchen. Es führt dazu, dass institutionelle Webseiten, die den Gesetzgebungsprozess nachzeichnen sollen, immer veraltet sind, es führt vor allem auch dazu, dass seit Mittwoch tausende Kommentare, Tweeets, Blogbeiträge und E-Mails geschrieben wurde, ohne dass überhaupt bekannt ist, was genau eigentlich beschlossen worden war.

Man bleibt damit im Ungefähren, Vagen, Ungenauen – ein Zustand, mit dem man im Datenschutzrecht ohnehin schon seit Längerem umzugehen gelernt hat. Es sagt trotzdem viel über das europäische Rechtsinformations- und Kundmachungswesen aus, dass die beste Quelle, die ich finden konnte, um mich zum Beschlossenen zu orientieren, die persönliche Website eines Rechtsanwalts ist, die ich hier als Quelle heranziehe (und damit bei Akkuratheit, Aktualität, Authentizität usw. auf diese vertrauen muss).

Mehr Infos

Am Dienstag also, so liest man in sehr zufriedenen Pressemeldungen der Institutionen, fand das informelle Suchen nach Kompromissen nach vier Jahren sein Ende. Zur Erinnerung: Der Vorschlag der Kommission stammt aus dem Januar 2012, Vorarbeiten dazu gehen noch einige Jahre weiter zurück, die Verordnung wird zwei Jahre nach ihrer Verabschiedung in Kraft treten, also voraussichtlich irgendwann 2018. Es wird also gut zehn Jahre gedauert haben, das Neue auf den Weg zu bringen. Insoweit ist es sicher richtig, die Einigung als – wenigstens für das Datenschutzrecht – historische zu qualifizieren.

Jedoch: Wenn man die Geschwindigkeit der Entwicklung des Internet beobachtet, ist es wahrscheinlich eine gute Näherungsformel, ein Internetjahr wie ein Hundejahr zu sehen; ein Kalenderjahr entspricht dann sieben Internetjahren. So gerechnet, wird die Verordnung, wenn sie denn in Kraft getreten sein wird, siebzig Jahre alt sein – und das sieht man ihr schon heute an. Das gilt umso mehr, als die Verordnung von Beginn an als Fortentwicklung der Richtlinie 95/46/EG ("Richtlinie des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr") angesehen wurde, sodass viele Grundentscheidungen (zum Beispiel die Grundunterscheidung zwischen personenbezogenen und nicht personenbezogenen Daten selbst, die zwischen sensiblen und nicht sensiblen Daten etc.) auf die 70-er und 80-er Jahre des 20. Jahrhunderts zurückgehen.

Auch muss man bedenken, dass in den letzten vier Jahren ja nicht nichts getan wurde. Vielmehr wurde auf allen Ebenen und in allen zuständigen und nicht zuständigen Gremien lobbyiert (mehr als 3000 Änderungsanträge im Parlament!), wurden Resolutionen verfasst, Tagungen abgehalten, Briefings geschrieben usw. Ergebnis waren bekanntlich u.a. drei an vielen Stellen widersprüchliche Entwürfe der Kommission, der Parlaments und des Rats – und es war schon vor der Entscheidung am Dienstag vor allem eine Übung für Akademiker mit zu viel Tagesfreizeit, die feinen und weniger feinen Unterschiede der verschiedenen Versionen zu verstehen zu versuchen.

Ein Überblick war sehr schwierig. Auch bei nur oberflächlicher Lektüre wurde jedoch rasch klar, dass die Institutionen nicht eine Datenschutzgrundverordnung geschaffen hatten, sondern drei, die an vielen Stellen nicht kompatibel waren. Damit war umzugehen und es ist eine sehr anzuerkennende Leistung der Protagonisten wie des grünen Europaabgeordneten Jan Philipp Albrecht, die Hartnäckigkeit und das Geschick gehabt zu haben, einen Kompromiss zu finden.

Jedoch: In einer derart komplizierten Ausgangslage einen Kompromiss zu finden, verlangt Strategien und es hat einen Preis. Gängige Strategien sind Nichtentscheidung, Präsentation von Unwesentlichem und das Schaffen von Symbolen.

Strategie kann es also, erstens, sein, die kritischen und umstrittenen Fragen gar nicht erst zu entscheiden, sondern die Entscheidung zu verschieben oder auf andere zu verlagern (Verlagerung). Das ist eine sehr beliebte Taktik, die insbesondere im Vorschlag des Rats sehr intensiv verwendet wurde. Zahlreiche knifflige Fragen sollten dort erst recht wieder in die Entscheidungskompetenz der Mitgliedsstaaten verlagert werden. Dies steht jedoch im Widerspruch mit dem zentralem politischen Versprechen der Verordnung: one continent, one law.

Leider wird auch nach dem nun gefundenen Kompromiss an vielen Stellen die eigentliche Entscheidung im Mitgliedsstaat getroffen werden – und gerade nicht europaweit einheitlich. Das ist, zum Beispiel, eine besonders schlechte Nachricht für transeuropäische Forschungsinitiativen, die personenbezogene Daten verwenden, weil der Kompromisstext in Art. 83 weiterhin diverse nationale Sonderwege ermöglicht. Es wird weiterhin an zentralen Stellen auf das nationale Recht und die Auslegungspraxis der nationalen Behörden ankommen.

Strategie kann, zweitens, sein, sich breit und breitenwirksam mit Unwesentlichem zu beschäftigen (Vernebelung). Das geschah, in den letzten Tagen, etwa in der sehr umfassend diskutierten Frage, ob denn Minderjährige 13 oder 16 sein müssen, um selbständig über die Teilnahme oder Nichtteilnahme in sozialen Netzwerken entscheiden zu können. Die Antwort (Artikel 8), siehe oben bei Strategie eins, lautet nun: grundsätzlich 16, aber die Mitgliedsstaaten können auch 13 sagen oder irgendwas zwischen 13 und 16.

Ich glaube nicht, dass dies eine wirklich grundsätzliche Frage ist, die nur annähernd die Aufmerksamkeit verdient, die ihr zuteil wurde. Vor allem aber glaube ich als Vater zweier Kinder im Alter von 11 und 13 nicht, dass der Umstand, dass ich jetzt auch europarechtlich gesetzlich klargestellt zustimmen muss, wenn sie sich irgendwo registrieren wollen, irgendeines ihrer oder meiner Probleme löst. Würde ich meinen Kindern die Teilnahme an Netzwerken verbieten, verhängte ich einen Verlust (fast) sämtlicher ihrer Kommunikationswege über sie und ich wäre mit ihrem (berechtigten) Vorwurf konfrontiert, ihre soziale Ächtung billigend in Kauf zu nehmen. Was also soll sich durch Artikel 8 für durchschnittliche Eltern, die oft gar nicht wissen, was sich hinter Snapchat, Instagram oder Twitter eigentlich genau verbirgt, ändern – außer die Ermöglichung einer noch weiter verschärften Wahrnehmung ihrer (fehlenden) Medienkompetenz?

Die dritte Strategie ist die der Schaffung von Symbolen. So ist es etwa das eine, die Strafen (spürbar) zu erhöhen. Das andere ist jedoch, (endlich) für eine bessere Durchsetzbarkeit von bestehenden Ansprüchen zu sorgen. Letzteres folgt nicht aus ersterem. Strafen werden nur dann verhaltenssteuernd wirken, wenn die Verantwortlichen es als ausreichend wahrscheinlich ansehen, diese irgendwann auch mal bezahlen zu müssen. Es wird deswegen besonders wichtig sein zu sehen, ob die Verordnung den Betroffenen besser als die bisherige Rechtslage helfen wird – mit oder ohne Datenschutzbehörden – ihre Interessen durchzusetzen. Der "Proof of Concept" wird hier (weiterhin) bei Auseinandersetzungen liegen, die mit global operierenden Unternehmen zu erwarten sind.

Damit werden auch die (leider immer noch schwierig zu verstehenden) Regeln zur territorialen Anwendbarkeit der Regeln (Art. 3) besonders relevant. Grund zum Jubel über die Strafen allein besteht damit – auch aus Betroffenensicht – nicht.

Das Finden von Kompromissen hat auch einen Preis. Diesen werden – beispielsweise – viele deutsche betriebliche Datenschutzbeauftragte bezahlen, weil, siehe oben bei Strategie drei, der Datenschutzbeauftragte zwar weiter verpflichtend existiert, aber nicht mehr in der Mehrzahl der Fälle mittelständischer Unternehmen (Art. 35).

Es werden ihn auch viele Unternehmen bezahlen, die einen erheblichen Rechtsberatungsbedarf haben und bezahlen werden müssen, um die Vielzahl unbestimmter Begriffe und Regeln zu bewerten.

Es werden ihn aber vor allem alle europäischen Bürgerinnen und Bürger bezahlen, wenn wir nicht sofort beginnen, an der nächsten, technologienahen Edition der Datenschutzgrundverordnung zu arbeiten, statt – wie beim letzten Mal – zwanzig Jahre lang zu warten, bis endlich irgendetwas geschieht. (jk)