Geht es um einen modernen Datenschutz im Internet ist es gar nicht so leicht, Aspekte zu finden, bei denen sich praktisch alle einig sind. Eine Ausnahme ist der nahezu unisono ertönende Ruf nach einer internationalen Harmonisierung des Datenschutzrechts, also nach möglichst gleichen Regeln für alle. Unabhängig davon, wo ein Nutzer am Rechner sitzt oder von wo ein Internet-Unternehmen seine Dienste anbietet. Wirtschaft, Verbraucherschützer, Politik – alle scheinen sich im Grunde einig. Ein leichtes Spiel also? Längst nicht so leicht, wie es auf den ersten Blick scheint, denn der Teufel steckt auch hier im Detail.
Verordnung statt Richtlinie
Die Harmonisierungsbemühungen der EU-Kommission fangen mit dem vorgeschlagenen rechtlichen Instrument an. Der Reformentwurf sieht - anders als das geltende europäische Datenschutzrecht - eine „Verordnung“ und keine „Richtlinie“ vor. Während Richtlinien lediglich gesetzgeberische Ziele vorgeben und von den nationalen Staaten erst in eigenen Gesetzen umgesetzt werden müssen, gelten Verordnungen automatisch in allen Mitgliedstaaten – ganz so, als seien es nationale Gesetze. Gegenläufige oder abweichende nationale Bestimmungen sind hier ausgeschlossen. Die Logik der EU-Kommission ist also an sich nachvollziehbar: Ein Gesetz für alle – mehr Harmonisierung geht nicht, oder? Die Antwort lautet: Ja, aber...!
Denn auch eine Verordnung ist nur so präzise wie ihre materiellen Bestimmungen. Eben hier hat der Kommissionstext sein größtes Manko. Viele Bestimmungen sind überaus schwammig und zwingen förmlich zu einer Auslegung und Konkretisierung in der Praxis. Wer ein Beispiel sucht, mag sich die Bestimmung zu „privacy by design“ in Art. 23 des Entwurfs anschauen. Diese enthält nicht einmal einen Hinweis auf die heute wohl gängigsten Verfahren technischen Datenschutzes, nämlich die Anonymisierung und Pseudonymisierung von Daten.
Eine Verordnung schafft außerdem nur soweit Einheitlichkeit, wie sie Dinge auch regelt. Der nationale Gesetzgeber darf also weiter Gesetze erlassen, wenn diese einen Bereich betreffen, den die Verordnung gar nicht berührt. Aber was, wenn die Verordnung zwar Dinge regelt, aber nur ganz oberflächlich? Eine rechtstheoretische Frage? Nein, denn die beschriebene Problematik ergibt sich etwa für den Arbeitnehmerdatenschutz, der in der Verordnung nur in einem einzigen Artikel (82) oberflächlich geregelt wird. Das ist sicherlich zu wenig, um die vielfältigen spezifischen Problemlagen dieses Feldes abschließend abbilden zu können.
Rechtliche Harmonisierung hängt also nicht nur von der Handlungsform des Gesetzgebers ab, sie muss sich auch und vor allem in den materiellen Normen widerspiegeln. Der Griff zur Verordnung ist richtig, jedoch wird das richtige Ziel gefährdet, wenn sich für die Rechtsanwender mehr Fragen als Antworten ergeben. Das Datenschutzrecht wird auf diesem Weg zum Glücksspiel für die Betroffenen und Umsatzbringer für Rechtsanwälte – zu Lasten kleiner Anbieter, für die kostspielige Rechtsberatung am Ende eine Markteintrittshürde bildet.
Bedenken sollte man dabei: „Rechtsanwender“ sind nicht nur Unternehmen oder gar große Konzerne. Auch jeder kleine Shopbetreiber und jeder Blogger muss heute Datenschutz beachten - man denke nur an Website-Analysetools.
Das Marktortprinzip – Harmonisierung global?
Ein zweites wichtiges Instrument der geplanten Verordnung betrifft die Frage, wann überhaupt europäisches Datenschutzrecht gelten soll. Der wichtigste Vorschlag dazu findet sich in Artikel 3 Abs. 2 des Entwurfs. Die Verordnung soll danach künftig immer dann greifen, wenn eine Datenverarbeitung „dazu dient, Personen in der Union Waren oder Dienstleistungen anzubieten“, oder „der Beobachtung ihres Verhaltens dient“.
Um die – immense – Bedeutung dieser Regelung zu verstehen, muss man Problemlagen des geltenden Rechts kennen. Die heute geltende Richtlinie fragt, wo ein Anbieter seinen Sitz hat oder - wenn dieser außerhalb der EU liegt - wo die relevanten Server stehen (Sitzlandprinzip bzw. Territorialitätsprinzip). Anbieter aus Drittstaaten können sich bislang also darauf berufen, dass der Unternehmenssitz außerhalb der EU liege und auch die Datenverarbeitung auf Servern dort stattfinde und damit überhaupt nicht dem – in der Regel strengeren – europäischen Recht unterfalle. Mit dem jetzt vorgeschlagenen „Marktortprinzip“, das heute zum Beispiel schon im Wettbewerbsrecht gilt, soll diese „Hintertür“ geschlossen werden.
Die hier skizzierte Neuerung war überfällig, um Rechtssicherheit und ein einheitliches Regulierungsniveau zu schaffen. Viele der Regelungen des - geltenden wie künftigen - Datenschutzrechts zielen im Endeffekt auf den Schutz des Nutzers. Die Anknüpfung an jenen Ort, wo Nutzer betroffen sind, ist daher die einzig sinnvolle. Art 3 Abs. 2 ist also wirklich ein Stück „Datenschutzmodernisierung“.
Demnächst werden wir uns etwas genauer mit Datenübertragungen in Nicht-EU-Länder beschäftigen.
EU-Kommission, Europaparlament sowie der europäische Rat arbeiten derzeit an einem Gesetzgebungsverfahren, dessen Bedeutung für die digitale Welt kaum unterschätzt werden kann: Die seit 1995 geltende EU-Datenschutzrichtlinie soll durch eine neue Datenschutz-Grundverordnung ersetzt werden. Die Reform fällt in eine Zeit weltweiter Diskussionen um einen angemessenen und praktikablen Datenschutz. Das angedachte Regelwerk ist hochkomplex und trotz medienwirksamer Schlagworte nicht aus sich heraus verständlich. In einer losen Serie im 1&1-Blog beleuchten wir daher künftig einzelne Aspekte der Reform genauer. In den ersten beiden Beiträgen der Reihe geht es um die Frage: Für wen gilt das neue Recht eigentlich?
Unsere Kommentarfunktion ist ein Angebot von DISQUS. Hierzu werden Daten an DISQUS übermittelt und durch diese verarbeitet. Wir binden Ihre Kommentare nur im Auftrag ein und kümmern uns die Darstellung und Moderation der Beiträge. DISQUS respektiert „Do Not Track“ und bietet einen Datenschutz-Modus an, zudem können Sie auch als Gast kommentieren (Anleitung). Weitere Informationen finden Sie in unserer Datenschutzerklärung