Mittwoch, 21. November 2012

3: Vorträge, Vorlesungen, Aufsätze

Internet – nationaler und europäischer Regelungsbedarf beim Datenschutz

Thilo Weichert

Vortrag beim 31. RDV-Forum am 21.11.2012 in Köln

Regulierung im Bereich des Datenschutzes ist technikgetrieben: die Notwendigkeiten sowie der Inhalt und das Verfahren einer Regulierung hängen davon ab, mit welcher Technik die personenbezogene Datenverarbeitung erfolgt. Es ist also wenig verwunderlich, dass die Modernisierungszyklen des Datenschutzrechtes sich an den technischen Modernisierungszyklen orientieren und dass angesichts der Geschwindigkeit der technischen Entwicklung und den Beharrungskräften einer demokratischen Normsetzung Gesetzgebungs- bzw. allgemein Regelungsdefizite entstanden sind.

Das in Deutschland geltende Bundesdatenschutzgesetz (BDSG) ist in mancher Hinsicht noch von der Großrechnertechnologie der 70er Jahre des 20. Jahrhunderts geprägt. Wir befinden uns aber nun in einer Informationsgesellschaft, die vom stationär wie mobil nutzbaren interaktiven Internet geprägt ist. Dieses Netz weist vier technikspezifische Eigenschaften auf, die gravierende Konsequenzen für den Regelungsbedarf haben:

  1. Die Virtualität des Netzes schafft neben der analogen eine digitale Realität, die mit der analogen in einem engen gestaltbaren Wechselspiel steht. Wegen der Auswirkungen dieser digitalen Realität auf das Persönlichkeitsrecht der Menschen kann und muss ordnend bzw. regulierend eingegriffen werden.
  2. Die Globalität des Netzes erschwert eine Lokalisierung informationstechnischer Sachverhalte, die Zuordnung von Verantwortung hierfür und staatliche Interventionen.
  3. Das Netz ist universell und konvergent. Dadurch werden im analogen Raum bestehende Grenzziehungen zwischen Lebens- und Medienwelten, also etwa zwischen privat und öffentlich, Konsument und Produzent, Information und Einwirkung, eingeebnet.
  4. Das Netz ist gekennzeichnet durch den paradox erscheinenden Widerspruch von Intransparenz und Anonymität einerseits und absoluter Kontrollierbarkeit andererseits.

Wir befinden uns in Erkenntnis dieser neuen technischen Qualitäten des Netzes und der sich daraus ergebenden Reglungsnotwendigkeit in einer Umbruchsphase. Bisher dominiert der nationale Regelungsrahmen mit dem BDSG für Inhaltsdaten, dessen Konzept aus den 70er Jahren mehrfach nachgebessert, aber nicht umfassend überarbeitet wurde. Für Telemedien bzw. Dienstanbieter bestehen im Telemediengesetz (TMG) und für Kommunikationsnetze bzw. Zugangsanbieter im Telekommunikationsgesetz (TKG) eher zeitgemäße Regelungen. Neben diesen aus Datenschutzsicht zentralen Gesetzen gibt es eine Vielzahl von flankierenden Normen mit Datenschutzrelevanz, etwa das Verbraucherrecht mit seinen Regelungen zu Allgemeinen Geschäftsbedingungen oder das Recht der immer stärker von Informationstechnik geprägten Arbeitsverhältnisse.

Adäquate Reaktionen auf die Globalisierung der Informationsverarbeitung und des darauf basierenden Marktes im Interesse der Wahrung und Weiterentwicklung eines gemeinsamen europäischen Werterahmens waren die Erarbeitung der Europäischen Datenschutzrichtlinie in den 90er Jahren sowie die überarbeitete E-Privacy-Richtlinie für Netzdienste. Von dieser Zielsetzung ist nun auch der Vorschlag einer Europäischen Datenschutzgrundverordnung (EU-DSGVO) der EU-Kommission im datenschutzrechtlichen Kernbereich vom Januar 2012 geprägt. Europäisiert werden auch flankierende Rechtsgebiete, etwa das Wettbewerbs- und das Verbraucherrecht, erstaunlicherweise noch nicht der Datenschutz im – territorial anknüpfenden – Arbeitsrecht.

Die Eigenschaften des Internet führen zu Fragestellungen, die neuer Antworten bedürfen. Es geht um Neujustierungen in folgenden datenschutzrechtlich zentralen Bereichen: Verantwortlichkeit, Anwendbarkeit des Rechts/Aufsichtszuständigkeit, Konflikt des Datenschutzes mit dem Grundrecht auf Informations-, Presse- und Meinungsfreiheit, Zweckbindung in Hinblick auf Person, Lebensbereich und Rolle, Arbeitgeberkontrolle, Betroffenenrechte (Datenlöschung, Auskunft, Portabilität), Transparenz, Einwilligung aus rechtlicher wie technischer Sicht, Beschwerdemanagement und Sanktionen.

Verantwortlichkeit

Die Auflösung der klaren Rollentrennung zwischen verarbeitender Stelle und Betroffenem, welche die ersten zwei Generationen des Datenschutzrechts (1. Generation: Missbrauchsverhinderung beim Großrechnereinsatz, 2. Generation: Grundrechtsverwirklichung bei komplexer, aber einseitiger Datenverarbeitung) prägte, macht die Festlegung von Rechten und Pflichten aller Beteiligten komplizierter:

Die Netznutzenden werden zumindest im Hinblick auf die von ihnen selbst generierten Inhalte mit Personenbezug selbst verantwortlich. Zugleich entsteht der Bedarf an einem Recht auf Anonymität bzw. Pseudonymität oder auf Identitätsmanagement. Bei den informationstechnischen Dienstleistern findet funktional eine Aufspaltung statt zwischen 1. Anbietern von Inhalten und Diensten bzw. Applikationen, 2. Portalen und 3. Netzen. Die Übergänge zwischen diesen Bereichen sind fließend; einzelne Akteure nehmen alle drei Funktionen wahr. Webseitenbetreiber sind nicht nur für ihre eigenen Inhalte verantwortlich, sondern auch für deren Auswahl von Software, Portaldiensten u.s.w. und damit auch (jedenfalls indirekt) für die Generierung von Nutzungsdaten: Wer z. B. sein Webangebot über Facebook gestaltet, legt damit fest, dass Facebook den Besuch der eigenen Fanpage nachvollziehen und auswerten kann. Auch wer IFrames integriert, etwa in Form von Social Plugins, oder das Setzen von Cookies erlaubt, teilt mit den Anbietern dieser IFrames bzw. Cookies regelmäßig die Nutzungsdaten und evtl. sogar die Inhaltsdaten der Betroffenen.

Intermediäre im Internet, also z. B. Suchmaschinen oder Blogbetreiber, erhalten die technische Souveränität über Inhalts- und Nutzungsdaten und werden dadurch u. U. ausschließlich hierfür verantwortlich, ohne dass eine bewusste Kenntnisnahme von den Daten erfolgt sein müsste. Dieser Umstand wurde in den §§ 7 ff. TMG adäquat rechtlich berücksichtigt. Rechtliche Konsequenzen werden dem gemäß aus der technischen Verantwortlichkeit erst gezogen, wenn der Betreiber einen konkreten Sachverhalt zur Kenntnis genommen und die Möglichkeit zu einem evtl. notwendigen Tätigwerden hatte. Bzgl. der zivilrechtlichen Verantwortlichkeit hat die Rechtsprechung entsprechende Lösungen entwickelt. Die derzeit geltende Datenschutzregelung des § 3 Abs. 7 BDSG enthält keine solche Beschränkung und ignoriert damit diese Problematik.

Zugangs- bzw. Netzanbieter haben grds. die technische Macht und Möglichkeit, sämtliche über ihr Netz vermittelten Daten und Informationen zu speichern und auszuwerten. Dies hat zwei paradox scheinende Folgen: Diese Datenverarbeitung muss im Interesse des Persönlichkeitsschutzes streng begrenzt werden. Andererseits werden die Anbieter zu umfassenden Datenspeicherungen im Interesse staatlicher Rechtsdurchsetzung gezwungen, z. B. durch die Pflicht zur Vorratsdatenspeicherung oder zur Identifizierung der Netznutzenden. Dieser Konflikt kann nur durch diese Schutzziele verfolgende, ausgewogene Regelungen gelöst werden.

Die Art. 4 Abs. 5, 24 EU-DSGVO sehen zur Verantwortlichkeit Klarstellungen vor. Abgestellt wird darauf, dass die Stelle „über die Zwecke, Bedingungen und Mittel der Verarbeitung“ bestimmt, wobei dies allein oder gemeinsam, arbeitsteilig oder in Kooperation erfolgen kann. Während bisher nur bei der klassischen Auftragsdatenverarbeitung eine vertragliche Klärung gefordert wird, soll künftig auch bei gemeinsamer Verarbeitung eine rechtlich belastbare Vereinbarung die Wahrung der Betroffenenrechte sicherstellen.

Anwendbarkeit des Rechts

Das Internet hat einerseits die Anwendbarkeit von nationalen Rechtsbereichen vervielfältigt, andererseits die faktische Anwendung des Rechts reduziert: Gemäß dem bisher geltenden Territorialitätsprinzip gibt es viele Anknüpfungspunkte: der Rechner der Nutzenden, die Weiterleitung im Netz, die Verarbeitung bei den Inhalts- und Dienstanbietern wie die bei den Portal- und den Applikationsanbietern. Damit gibt es potenziell viele Adressaten des Datenschutzrechts und viele zuständige Aufsichtsbehörden.

Die Realität ist jedoch, dass bei internationalen Diensten regelmäßig entweder überhaupt kein Vollzug erfolgt, oder sich ein Verarbeiter das für ihn günstigste Rechtsregime herauspickt. Dies kann in einem Fall das Datenschutzrecht des Unternehmenssitzes sein, das, wie in den USA, nur geringe Anforderungen festlegt. In einem anderen Fall bietet sich ein Mitgliedsstaat an, der möglicherweise national das EU-Recht nur unzureichend umsetzt und möglicherweise ein hohes Vollzugsdefizit aufweist. Letzteres kann an unzureichenden Ressourcen der Aufsichtsbehörde liegen oder daran, dass diese von steuerlichen oder arbeitsmarktpolitischen ökonomischen Interessen leiten lässt.

Diese praktischen Probleme werden teilweise durch die Aktivitäten der Artikel-29-Arbeitsgruppe angegangen, wenn in Arbeitspapieren eine Vereinheitlichung der aufsichtsbehördlichen Sichtweise angestrebt wird oder ein informeller Informations- und Meinungsaustausch zwischen den potenziell zuständigen Behörden erfolgt. Bisher gibt es weder ein formalisiertes Verfahren noch eine realistische Aussicht auf einen flächendeckenden Datenschutzvollzug wegen der absolut unzureichenden Ausstattung der Behörden, ungenügenden Kommunikationsstrukturen und dem fehlenden rechtlichen Zwang zur Abstimmung.

Der Entwurf einer EU-DSGVO will hierzu valide Antworten geben, indem in Art. 4 Abs. 13 der Ort der Grundsatzentscheidungen bzgl. Zweck, Bedingungen und Mittel der Datenverarbeitung zum primären Anknüpfungspunkt gemacht wird und nach Art. 3 über das Marktortprinzip gewährleistet werden soll, dass ein Herauswinden aus der Verantwortlichkeit nicht mehr möglich ist. Zugleich soll über die Umsetzung des One-Stop-Shop-Prinzips die Verlässlichkeit behördlicher Aufsichtsverfahren erhöht werden. Zwecks Vermeidung eines Zuständigkeits-Hoppings bzw. eines Race-to-the-bottom ist ein kompliziertes Abstimmungs- bzw. Kohärenzverfahren in den Art. 55 ff. EU-DSGVO vorgesehen.

Informations-, Presse- und Meinungsfreiheit

Die Informations- und Kommunikations-Grundrechte aus Art. 5 Grundgesetz lebten seit 1983 mit dem damals geschaffenen Grundrecht auf informationelle Selbstbestimmung lange in friedlicher Koexistenz. Selbst das Aufkommen der Informationsfreiheitsgesetze in den 90er Jahren war in Deutschland kein Grund, das Datenschutzrecht zu überarbeiten. Die meinungmachenden Datenverarbeiter mit ihren journalistisch-redaktionellen Zwecken blieben die nach § 41 BDSG privilegierte Ausnahme. Nachdem im Internet die Nutzenden selbst zu Meinungsmachern und Medienproduzenten wurden und das Netz Funktionen von Presse, Rundfunk und Fernsehen übernahm, hat sich die Realität gewandelt: Das Datenschutzrecht benötigt Instrumente zum Ausgleich des Meinungs- und des Persönlichkeitsschutzes. Die alten Grenzen zwischen privilegierter Presse und den nur rezipierenden Pressenutzenden lösen sich immer mehr auf.

Markant hierzu war die Spick-mich-Entscheidung des Bundesgerichtshofes aus dem Jahr 2009, als das Gericht – zu Recht – Regeln des § 29 BDSG für unanwendbar erklärte, weil diese im Rahmen von Lehrkräftebewertungen das Recht der Schüler nach Art. 5 GG beschränkte, anonym ihre Meinung im Internet zum Ausdruck zu bringen. Generell gilt im Interesse eines umfassenden Grundrechtsschutzes im Internet, dass das Datenschutzrecht bei Meinungsveröffentlichungen eine Abwägung ermöglichen muss. Wie eine Regelung hierzu aussehen könnte, wurde vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein 2010 vorgeschlagen mit einer generellen Vermutung zugunsten des Art. 5, materiellen Ausnahmen bei sensiblen Daten und einem Konfliktlösungsverfahren. Die Vorschläge wurden aber von der Politik bis heute nicht aktiv aufgegriffen.

Der Entwurf einer EU-DSGVO ist insofern erschreckend unterbelichtet. In Art. 80 enthält er einen nationalen Regelungsvorbehalt für „journalistische Zwecke“ zum Ausgleich mit der „Freiheit der Meinungsäußerung“. Wenn es einen Bedarf an europäischer Regulierung und Vereinheitlichung im Datenschutzrecht gibt, dann hier beim Ausgleich der seit 2009 europäisierten Grundrechte auf Datenschutz und Meinungsäußerung (Art. 8 und 11 Europäische Grundrechtecharta).

Zweckbindung

Das Datenschutzprinzip der Zweckbindung wird durch das Internet im höchsten Maße herausgefordert. Dies gilt nicht nur wegen der Unmöglichkeit einer Zweckzuweisung bei global veröffentlichten Daten. Eine faktisch größere Gefährdung der Zweckbindung liegt in der extensiven Auswertung von Nutzungsdaten für kommerzielle, insbesondere für Werbe-Zwecke, vor allem durch US-Anbieter, und in Big-Data-Bestrebungen auf allen Ebenen, also in der zweckfreien Auswertung der – nicht nur im Netz anfallenden – digitalen Datenmassen.

Unser TMG sieht hinsichtlich Bestandsdaten in § 14 eine strenge Zweckbindung vor. In § 15 TMG wird die Zweckbindung bei Nutzungsdaten festgelegt verbunden mit einer Ausnahme in Absatz 3 für Zwecke der „Werbung, Marktforschung oder bedarfsgerechter Gestaltung“. Diese Ausnahme setzt voraus, dass die Verarbeitung pseudonym erfolgt, die Betroffenen informiert wurden und ihnen ein Recht auf Widerspruch eingeräumt wurde. Art. 5 Abs. 3 der E-Privacy-Richtlinie engt die Anforderung im Hinblick auf das Setzen von Cookies, die für die Erbringung eines Dienstes nicht erforderlich sind, weiter ein. Dass diese Regeln in der Praxis oft unbeachtet bleiben, liegt nicht an den technischen Gegebenheiten des Netzes, sondern an den Vollzugsproblemen nicht nur deutscher Aufsichtsbehörden im globalen Netz.

Die unzureichende Beachtung der Zweckbindung im gewillkürten Bereich der Internetnutzung, also bei Vertragsgestaltung und -vollzug, ist dem Umstand geschuldet, dass bisher der Grundsatz „Privacy by Default“ nicht gilt, dass uferlose sog. "Privacy Policies" und Nutzungsbestimmungen Anbietern beliebige Zweckänderungen erlauben und dass die Nutzenden keine Informationen, geschweige denn Wahlmöglichkeiten zugestanden bekommen. Dass einmal veröffentlichte Daten im globalen Internet nur begrenzt wieder hinsichtlich Zweck und Lebensdauer eingefangen werden können, ist technisch zwangsläufig.

Dies zwingt aber nicht zur Aufgabe des Prinzips der Zweckbindung. Dieses Signal geht auch vom Entwurf der EU-DSGVO aus, der in Art. 6 Abs. 1 von einem oder mehreren genau festgelegten Zwecken spricht, die sich z. B. aus einem Vertrag oder einem Gesetz ergeben. In Absatz 4 wird die Rechtsprechung des deutschen Bundesverfassungsgerichtes erstmals allgemein in deutsches Recht umgesetzt, indem Zweckunverträglichkeiten verboten werden. Schließlich versucht Art. 20 das Problem von Tracking, Scoring und Profiling aus Big-Data-Beständen in den Griff zu bekommen. Ob dies bisher gut gelungen ist, kann bezweifelt werden.

Arbeitnehmerüberwachung

Ein spezielles Problem der Zweckbindung besteht bei der Nutzung von Internetdaten durch Arbeitgeber für Überwachungs- und Kontrollzwecke. Diese stellen oft die Technik für den Zugang zum Netz zur Verfügung. Die Technik ist grds. zur totalen Überwachung aller informationstechnischer Vorgänge in der Lage. Das Problem wird verschärft bei der nicht getrennten Nutzung von Soft- und Hardware für private und dienstliche Zwecke, etwa durch die dienstliche Nutzung privater Geräte – bring your own Device (BYOD). Insbesondere soziale Netzwerke haben die Tendenz der Verwischung der Grenzen zwischen privaten und dienstlichen Aktivitäten, etwa wenn der Arbeitgeber die Nutzung von solchen Communities erwartet oder gar verlangt. Das Risiko besteht darin, dass dem Arbeitgeber rein private Aktivitäten zur Kenntnis gelangen und diese Informationen dienstlich genutzt werden.

Es gibt keine technischen Zwänge, die eine Trennung von privaten und dienstlichen Aktivitäten verhindern, selbst bei gemeinsam genutzter Hard- und Software. Es gibt keinen gesetzlichen Zwang, dienstlich oder privat Echtnamen zu verwenden. Wohl gibt es aber einen solchen ökonomisch getriebenen Zwang durch Portalanbieter. Auch sonstige zweckübergreifende Identifikatoren (z. B. E-Mail-Adressen, Cookies) können vermieden werden.

Gesetzliche Regelungen wären insofern wünschenswert, sind aber nicht unbedingt nötig. Über technische, organisatorische und andere rechtliche Sicherungen (z. B. über Betriebsvereinbarungen mit dem Betriebsrat) können funktionelle und/oder Rollentrennungen, die Beschränkung der Arbeitgeberkontrolle bei dienstlicher und in stärkerem Maße bei privater Nutzung und weitere Sicherungen realisiert werden.

Betroffenenrechte

Der Kanon der Betroffenenrechte ist derzeit von den Art. 10 ff. der Europäischen Datenschutzrichtlinie vorgegeben und durch das BDSG umgesetzt (Benachrichtigung § 33; Auskunft § 34; Berichtigung, Sperrung, Löschung, Widerspruch § 35; Schadenersatz §§ 7, 8; Anrufung der Aufsichtsbehörde §§ 21, 38). Die geplanten Regelungen in der EU-DSGVO bilden diese Rechtslage erneut ab (Information Art. 14, Auskunft Art. 15, Berichtigung Art. 16, Löschung Art. 17, Widerspruch Art. 19). Die Bezeichnung des Löschanspruchs als „Recht auf Vergessenwerden“ in Art. 17 ist weniger normativ als programmatisch zu verstehen.

Die EU-DSGVO greift in Art. 17 Abs. 2 die internetspezifische Problematik der Datenreplikation auf und verweist sie in den Verantwortungsbereich der verarbeitenden Stelle. Innovativ ist auch die Regelung der Datenübertragbarkeit (Portabilität Art. 18), womit die Möglichkeit der Mitnahme von Nutzerkonten von einem zu einem anderen Anbieter eröffnet werden soll. Eine Funktion dieser Regelung liegt darin, die Abhängigkeit der Nutzenden von einem Anbieter zu reduzieren und Anbieterwechsel zu erleichtern. Wichtiger als dieses Recht wäre es, einen Anspruch für den Nutzer zu eröffnen, umfassende Dienste (z. B. soziale Netzwerke) von außen zu adressieren, um so unabhängig vom Bestehen faktischer Monopole in bestimmten Anwendungsbereichen den Zwang zum Verbleib in den „walled gardens“ eines Anbieters oder einer Anbietergruppe zu reduzieren.

Zu begrüßen sind zudem die sehr weitgehenden Rechtsschutzmöglichkeiten, die Betroffene in den Art. 74, 75 des Entwurfs der EU-DSGVO erhalten sollen – nicht nur gegenüber der verantwortlichen Stelle, sondern auch gegenüber der zuständigen Aufsichtsbehörde. Nicht weiter verfolgt werden offensichtlich weitere Ideen verbraucherrechtlicher Betroffenenrechte, etwa des pauschalisierten Schadenersatzes oder sonstiger zivilrechtlicher Instrumente.

Zu den Rechten der Betroffenen im weiteren Sinne gehören auch deren Transparenzansprüche, also die Informationspflichten der Anbieter und korrespondierende Ansprüche der Nutzenden. Während die Impressumspflichten der §§ 5, 6 TMG inzwischen weitgehend beachtet werden, besteht bei den spezifischen Informationspflichten zu verantwortlichen Stellen, Zwecken, Empfängern, Auslandsübermittlungen, Cookies und Auswertungsformen wie z. B. Profilbildung weiterhin ein großes Vollzugsdefizit (§§ 4 Abs. 2, 33 BDSG, 13 Abs. 1, 15 Abs. 3 S. 2 TMG). Entsprechendes gilt für gesetzliche Informationspflichten zu Betroffenenrechten, etwa hinsichtlich der bestehenden Widerspruchsmöglichkeiten (z. B. §§ 28 Abs. 4 S. 2 BDSG, 15 Abs. 3 S. 2 TMG). Informationen über Betroffenenrechte und wie diese direkt adressiert werden können, zu denen keine gesetzliche Pflicht besteht, werden in der Praxis fast nie gegeben. Entsprechende zusätzliche Verpflichtungen sind im Sinne eines verbesserten Verbraucherdatenschutzes wünschenswert.

Ein bisher völlig vernachlässigter Aspekt der Nutzerinformationen ist neben der Frage des „Ob“ die des „Wie“. Das Zutexten von Nutzenden in Nutzungsbestimmungen (Terms of Use) oder Datenschutzhinweisen (Privacy Policies) führt dazu, dass diese regelmäßig weggeclickt und nicht zur Kenntnis genommen, geschweige denn beachtet werden. Das Problem lässt sich mit durchdachten technisch-organisatorischen Vorkehrungen bewältigen, indem Informationen anlassbezogen kurz und knapp zur Verfügung gestellt werden. Über Hilfefenster können hinter knappe Informationen ausführliche detaillierte Erläuterungen zugänglich gemacht werden. Einheitliche technische Standards würden es den Nutzenden ermöglichen, dienstbezogen oder browserseitig Präferenzen vorzugeben, die von Kommunikationspartnern automatisch berücksichtigt werden (müssen). Datenschutzfreundliche Grundeinstellungen können hierfür eine Grundlage sein. Auch eine verbesserte AGB-Kontrolle könnte insofern eine Beseitigung bestehender Missstände bewirken.

Einwilligung

Die bestehenden Regelungen mit Einwilligungserfordernissen sind vielfältig und betreffen z. B. die Verarbeitung sensibler Daten (§ 28 Abs. 6 BDSG), bestimmte Werbenutzungen (§ 28 Abs. 3 S. 1 BDSG) oder das Setzen nicht zur Diensterbringung nötiger Cookies (Art. 5 Abs. 3 E-Privacy-Richtlinie). Die mehr als berechtigten Versuche, die Einwilligungspflichtigkeit von Werbung zu erweitern (Permission Marketing), waren schon mehrfach wegen massiver Lobbyarbeit der Wirtschaft erfolglos, etwa anlässlich der BDSG-Novelle 2009 und nun auch anlässlich der Vorlage der EU-DSGVO, wo in letzter Sekunde strengere Vorschläge wieder gestrichen wurden.

Die formalen Anforderungen in den §§ 4a BDSG, 13 Abs. 2 TMG sind derzeit nicht konsistent. Die BDSG-Regelungen haben bisher nicht die sich aus elektronischen Einwilligungen ergebenden Notwendigkeiten aufgegriffen. Die ungenügende Berücksichtigung des AGB-Rechts bei Einbindung von Einwilligungen ist dagegen weniger eine Regelungs- als ein Umsetzungsproblem.

Der Entwurf der EU-DSGVO bildet weitgehend die bestehende Rechtslage ab (Art. 4 Abs. 7, 9 Abs. 2 a), geht aber teilweise darüber hinaus. Dies gilt etwa für die Frage der Beweislast für das Vorliegen einer Einwilligung (Art. 7 Abs. 1) oder die Einwilligung durch bzw. für Kinder (Art. 8). Der heftig kritisierte Regelungsvorschlag des Art. 7 Abs. 3, wonach Einwilligungen ungültig sind, „wenn zwischen der Position der betroffenen Person und des für die Verarbeitung Verantwortlichen ein erhebliches Ungleichgewicht besteht", ist entgegen der heftig formulierten Kritik keine massive Beschränkung des Instruments der Einwilligung, sondern nichts anderes als die Umsetzung eines Rechtsprinzips, das von der deutschen Verfassungsrechtsprechung anerkannt ist.

Im Sinne eines effektiven Datenschutzes wäre eine konsequente Einführung des "Privacy by Default" revolutionär, womit technisch das Einholen von Einwilligungen für spezifische Verarbeitungen erzwungen würde. Die konkrete Formulierung in Art. 23 Abs. 2 S. 3 EU-DSGVO ist insofern zu eng geraten. Der zugrunde liegende Regelungsansatz besteht darin, durch Technikgestaltung Grundrechtsverträglichkeit herzustellen. Wünschenswert wäre weiterhin zumindest bei Angeboten ohne reale Wahlmöglichkeiten für die Betroffenen ein Koppelungsverbot zwischen Erbringung von Grund- und Zusatzdiensten. Weitgehend unberücksichtigt blieb bei den bisherigen Regelungsvorschlägen, dass durch technische Gestaltungen die Informationen und die Wahlmöglichkeiten für die Betroffenen verbessert werden können. Insofern gibt es in der Praxis eine Vielzahl von gezielt errichteten Hürden, mit denen heute Internetdatenverarbeiter Opt-ins zu erzwingen bzw. Opt-outs zu verhindern versuchen.

Datenschutzkontrolle

Hinsichtlich der Praxis der Datenschutzkontrolle ist im Internetbereich eine Verbesserung des Workflow und der Kooperation der Aufsichtsbehörden nötig. Diese erfolgt derzeit intuitiv und individuell bzw. aufsichtsbehördlich unterschiedlich. Zwar gibt es eine informelle Kooperation und Koordination der regionalen und nationalen Aufsichtsbehörden in nationalen, europäischen und internationalen Datenschutzkonferenzen bzw. in der Artikel-29-Arbeitsgruppe und deren Untergruppen. Doch sind die Absprachen nicht verbindlich; das Vorgehen ist wenig strukturiert.

Der Entwurf einer EU-DSGVO sieht insofern eine grundlegende Wende vor, indem Amtshilfen (Art. 55), gemeinsame Maßnahmen (Art. 56), ein kompliziertes Kohärenzverfahren mit Handlungspflichten und strengen Fristen (Art. 58, 64 ff.), eine Kommissionsabstimmung (Art. 59) und Dringlichkeitsverfahren (Art. 60, 61) normiert werden. Die Interventionsmöglichkeiten der EU-Kommission würden die Unabhängigkeit der Datenschutzaufsicht beeinträchtigen. Das vorgesehene Verfahren ist zudem äußerst aufwändig und konfliktträchtig. Es bestehen deshalb Zweifel an der Umsetzbarkeit, wenn nicht eine massive Verbesserung der Ausstattung der Aufsichtsbehörden erfolgt. Dass es insofern auch einfacher und möglicherweise ebenso verbindlich geht, legt ein Vorschlag des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit dar.

Unabhängig von den normativen Vorgaben sind Verbesserungen bei der Beschwerdebearbeitung durch eine Standardisierung der Kommunikation zwischen den Beteiligten, unter den Aufsichtsbehörden und mit den verantwortlichen Stellen möglich. Eine Absprache hinsichtlich der Sprache ist nötig: In der Praxis hat sich Englisch als gemeinsame Sprache durchgesetzt; die praktischen Kompetenzen beim Personal der Aufsichtsbehörden ist insofern noch unzureichend. Solange diese Integration nicht weiter fortgeschritten ist, sind Fortbildungsprogramme und Übersetzungshilfen unvermeidlich.

Die Sanktionspraxis bei Datenschutzverstößen bleibt derzeit noch hinter den bestehenden – eingeschränkten – rechtlichen Möglichkeiten zurück. Neben förmlichen Beanstandungen sind Untersagungsverfügungen nach § 38 Abs. 5 BDSG, Bußgeldverfahren mit einer Sanktion bis zu 300.000 Euro und in einem gewissen Maße Strafverfahren von Relevanz. In unserer Rechtskultur werden selbst gezielte Datenschutzverstöße immer noch eher als Bagatellen und Kavaliersdelikte denn als Wirtschaftskriminalität angesehen. Dies mag und muss sich künftig ändern. Förderlich sind insofern die geplanten Regelungen in der EU-DSGVO, die verstärkt gerichtliche Verfahren (Art 73 ff.), Haftungs- und Schadenersatzregeln (Art. 77), nationale Sanktionen sowie Bußgelder in der Höhe bis zu 2% des Jahresumsatzes eines Unternehmens (Art. 79) vorsehen.

Perspektiven

Einige der heute bestehenden Strukturen des BDSG stammen immer noch aus den 70er und 90er Jahren des vorigen Jahrhunderts. TKG und TMG sind als nationale Regelungen von neuerem Datum und technikangepasster. Dessen ungeachtet sind die nationalen Datenschutzgesetze insgesamt nicht mehr mit der modernen digitalen Internettechnik kompatibel. Die bisherigen Modernisierungsbestrebungen scheiterten kläglich: Dies gilt für die Umsetzung des Gutachtens von Roßnagel/Pfitzmann/Garstka aus dem Jahr 2001 ebenso wie für die aktuellen Modernisierungsvorschläge, etwa des ULD aus dem Jahr 2010. Der Rote-Linien-Entwurf aus dem damals von de Maizière geleiteten Bundesinnenministerium aus dem Jahr 2011 war schon im Ansatz völlig ungeeignet. Eine in die richtige Richtung weisende Bundesratsinitiative zur Änderung des TMG wird bisher nicht weiterverfolgt. Derzeit blickt alles gespannt auf die Diskussion zur EU-DSGVO. In direkter Reaktion hierauf legte in den USA, wo der Internetdatenschutz weitgehend ungeregelt geblieben ist, die Obama-Administration im Februar 2012 eine Consumer Privacy Bill of Rights vor, die primär auf Selbstregulierung der Wirtschaft setzt.

Dass dieser Ansatz der unregulierten Selbstregulierung keinen Erfolg verspricht, zeigen die bisherigen Erfahrungen. Eine Selbstregulierung von Internet-Panoramadiensten blieb hinter den gesetzlichen Anforderungen zurück. Entsprechende Bestrebungen zu sozialen Netzwerken verlieren sich in der unterschiedlichen Perspektive von deutschen und US-amerikanischen Anbietern und einem völlig disparaten Verständnis der – zweifellos in vieler Hinsicht ungeklärten – aktuellen Rechtslage.

Der deutsche Gesetzgeber steht in der Pflicht. Er hat teilweise europäisches Recht noch nicht umgesetzt. Ein Inkrafttreten der EU-DSGVO vor 2016 ist unrealistisch. Schon deshalb muss national gehandelt werden. Dies wäre nicht nur eine Überbrückung der Zeit bis zur Geltung einheitlichen europäischen Rechts, sondern auch ein Beitrag zu dessen Gestaltung.

Gefordert sind nicht nur der europäische und der deutsche Gesetzgeber. Es bedarf internationaler, globaler Festlegungen. Gefordert sind zudem vor Ort  die Aufsichtsbehörden, über deren Praxis oft erst Regelungsdefizite erkannt werden können. Gefordert sind zudem die Wirtschaftsverbände, die – in Kooperation mit den Aufsichtsbehörden – Verhaltensregeln erarbeiteten können, die deutsches bzw. europäisches Recht konkretisieren. Gefordert ist die Wirtschaft auch insofern, als sie Standards – in Kooperation mit Wissenschaft und Aufsicht – für datenschutzfreundliche Techniken im Internet entwickeln muss. Gefordert sind letztlich alle beteiligten Unternehmen, indem sie im Wettbewerb untereinander Datenschutz zu einem marktrelevanten Kriterium machen und so Best Practice zu einem Vorteil wird. Hierzu förderlich wären Zertifizierungsmechanismen, wie sie von ULD seit über 10 Jahren praktiziert und in Art. 39 EU-DSGVO vorgesehen sind. Ein weiteres Mal sind die Aktivitäten der deutschen Bundesregierung, hier bei dem untauglichen Versuch eine Stiftung Datenschutz zum Leben zu erwecken, wenig zielführend.

Den unabhängigen Datenschutzaufsichtsbehörden verbleibt eine zentrale Funktion: Nur durch ihre Kontrollpraxis, durch ihre Kommentare und durch ihre Öffentlichkeitsarbeit kann der Handlungsdruck auf Wirtschaft und Politik so groß werden, dass diese geneigt sind, reale Lösungen anzustreben und nicht Scheinlösungen oder symbolische Aktionen, mit denen lediglich der Status Quo verteidigt wird, um weiterhin auf dem Rücken der Betroffenen und unter Missachtung des Grundrechts auf informationelle Selbstbestimmung im Internet viel Geld zu verdienen.