Der Entwurf einer EU-Datenschutzverordnung in der Kritik

Der vorzeitig geleakte erste Entwurf einer EU-Datenschutzverordnung bietet reichlich Diskussionsbedarf. Johannes Masing, Richter am Bundesverfassungsgericht, hat den Entwurf vor allen Dingen mit Blick auf grundrechtliche und rechtsstaatliche Defizite kritisiert. Simon Möller formuliert bei Telemedicus nunmehr fünf Thesen zur geplanten Datenschutzverordnung, die die Kernprobleme zutreffend umreißen.

Neben der berechtigten Befürchtung des Verlusts von Grund- und Bürgerrechten muss der Entwurf der EU-Kommission auch deshalb kritisch betrachtet werden, weil er ein Datenschutzmodell fortschreibt, das aus den 70′er und 80′er Jahren stammt und im Internetzeitalter nicht mehr funktioniert. Der Entwurf ignoriert damit auch weitgehend die aktuelle rechtswissenschaftliche Diskussion über eine grundlegende und strukturelle Reform des Datenschutzrechts.

Wir befinden uns derzeit in einer Situation, in der wir zwar scheinbar und formal über ein hohes Datenschutzniveau verfügen, das aber in Wirklichkeit sehr niedrig ist, weil das Recht den Praxistest nicht mehr besteht und nicht zuletzt deshalb fast zwangsläufig massenhaft ignoriert wird. Infolge dieser Situation wird in der Rechtswissenschaft die Forderung nach einer grundlegenden Reform des Datenschutzrechts immer lauter. Warum das Grundkonzept des geltenden Datenschutzrechts, das auf dem Verbotsprinzip fußt, sich nicht mit der Funktionsweise der Internetkommunikation verträgt, habe ich in einem älteren Beitrag erläutert. Das geltende Datenschutzrecht muss ständig gebogen werden, um es überhaupt noch halbwegs internetkompatibel aussehen zu lassen. Der Umstand, dass die Auslegung des Datenschutzrechts in der Praxis von der Sichtweise der Datenschutzbehörden dominiert wird, die überwiegend eine enge Auslegung bevorzugen, kommt erschwerend hinzu. Dass man Cloud Computing, Hosting, den Betrieb von Facebook-Fanseiten oder auch die Nutzung von Google-Analytics als Auftragsdatenverarbeitung betrachten kann, mag nach geltendem Recht vertretbar sein. Diese Betrachtungsweise hat zu Ende gedacht aber zur Konsequenz, dass eine datenschutzkonforme Ausgestaltung tatsächlich nicht mehr in Betracht kommt. Nachdem man diese Konsequenz aber auch nicht ziehen kann, behilft man sich mit Placebo-Lösungen, die nicht geeignet sind, das Datenschuzniveau tatsächlich zu verbessern. Wie solche Scheinlösungen der Datenschutzbehörden aussehen, lässt sich sehr anschaulich anhand der Diskussion um Google Analytics nachvollziehen. Dem Datenschutz ist damit in der Sache natürlich nicht geholfen. Manchmal führen derartige Scheinlösungen der Datenschutzbehörden sogar zu einem Mehr an Datenerhebung. Es hat sich auch gezeigt, dass die Datenschutzaufsichtsbehörden teilweise selbst nicht mehr in der Lage sind, die Vorgaben zu erfüllen, deren Einhaltung sie von anderen verlangen. Auch die politische Diskussion, selbst bei den sich gerne progressiv gebenden Grünen, ähnelt in dies…