Thesen

Meine, deine, unsere Privatheit

Wenngleich in den Verhandlungen nicht immer explizit Bezug zur Privatheit genommen wurde, so fanden sich doch häufig implizite Bezüge, die Aufschluss über die unterschiedlichen Vorstellungen über Privatheit in der Arena geben. So fanden sich einerseits individuelle Privatheitsvorstellungen, die Privatheit vor allem als Problem des Einzelnen betrachten. Privatheit wird als ein Aspekt unter vielen betrachtet, den es im unternehmerischen Handeln zu berücksichtigen gilt. Ihm wird aber kein übergeordneter Wert beigemessen. Er stellt lediglich einen Faktor unter vielen dar, der wahlweise hinderlich für den gesellschaftlichen Wohlstand sein kann (Bsp. Datenschutz als Innovationsbremse) oder als ein positiver Aspekt für die Geschäftsinteressen berücksichtigt wird (Bsp. Datenschutz als Wettbewerbsvorteil). In diesem Sinne wird der wirtschaftliche Wohlstand mit gesellschaftlichem Wohlstand gleichgesetzt und als dem Allgemeinwohl dienend gerahmt, während Privatheit letztendlich als persönliche Angelegenheit zu einem gewissen Grad auch abdingbar sei. Privatheit kann aber auch selbst als ein kollektiver Wert betrachtet werden, der dem Allgemeinwohl dient. Als Voraussetzung für eine freie und offene Gesellschaft muss er demnach verteidigt und beschützt werden. Die einzelnen Welten bewegen sich stets innerhalb dieses Kontinuums zwischen Privatheit als individueller Aspekt und Privatheit als Kollektivwert.

Die Verhandlungen über die Datenschutz-Grundverordnung zwischen Sichtbarkeit und Unsichtbarkeit

Die Gesetzgebungsverfahren der Europäischen Union und insbesondere das Trilogverfahren stehen immer wieder in der Kritik, intransparent und undemokratisch zu sein. So kritisierte die Bürgerbeauftragte der Europäischen Union O’Reilly:

It is difficult to find out when trilogues are taking place, what is being discussed and by whom without a great deal of time and effort. (…) Making this information available should enable citizens to hold their representatives to account and to engage effectively in the legislative process.

Bürgerbeauftragte der Europäischen Union O’Reilly, 14.07.2016 1

Insbesondere die intransparente Einflussnahme verschiedener Interessenvertreter*innen auf Politiker*innen wurde kritisiert. Die Lobby der Digitalökonomie versuchte in den Verhandlungen auf Hinterbühnen zu agieren und sich der Sichtbarkeit zu entziehen. Die Lobbyindustrie setzte dabei verschiedene Strategien ein. Zum einen wurde versucht, durch Gespräche mit Politiker*innen Einfluss auf den Prozess zu nehmen. Was zunächst keinen ungewöhnlichen Vorgang darstellt, wird jedoch dann problematisch, wenn es einen Überhang wirtschaftlicher Einflussnahme gibt. Durch das Abwerben von Personen mit zahlreichen Verbindungen in den Politikbetrieb wurde versucht, die Einflussnahme zu verstärken. Dies erfordert einen enormen Mitteleinsatz. Durch die im Vergleich zu zahlreichen Datenschutzorganisationen finanziell weitaus besser ausgestattete Lobbyindustrie kam es zu einem Ungleichgewicht der Einflussnahme. Die Strategie der Wirtschaftsvertreter*innen umfasste auch die Einrichtung eigener Organisationen, die auf den ersten Anschein wie NGOs oder gemeinnützige Vereine wirken (sollen). Unter dem Stichwort „Astroturfing“ bekannt, verbergen sich dahinter Organisationen, die durch große Unternehmen finanziert werden und unter der Hand deren Interessen vertreten.2 Im Bereich Privacy setzen sich diese Organisationen meist für ein moderates Maß an Datenschutz ein, solange es den eigentlichen Geschäftsinteressen der Unternehmen nicht im Wege steht. Zugleich werden Selbstregulierungsmaßnahmen, sei es auf Seiten der Unternehmen oder auf Seiten der Verbraucher*innen im Sinne von Selbstdatenschutz, propagiert. Ebenso werden ein Glaube an Technik und deren gesellschaftlichen Mehrwert sowie die Freiheit des Internets und die Autonomie des Individuums als Werte hervorgehoben.3 Diese Formen der Einflussnahme unterlaufen die institutionellen Mechanismen der demokratischen Entscheidungsfindung: Während die politischen Institutionen formell zu funktionieren scheinen, fallen die eigentlichen Entscheidungen hinter verschlossenen Türen. Wer gehört wird und wessen Stimmen zählen, folgt keinem geregelten Prozess, sondern hängt letztendlich von der Ausstattung mit Ressourcen ab. Wir nennen diesen Modus der Demokratie Postdemokratie. Es gibt aber auch Gegenbewegungen in der Arena.

Datenschützer*innen (insbesondere Aktivist*innen und Verbraucherschützer*innen) versuchten, dieser Unsichtbarkeit im Aushandlungsprozess entgegen zu wirken. Sie plädierten in ihren Stellungnahmen immer wieder für mehr Transparenz in den Verhandlungen rund um die Datenschutz-Grundverordnung. Es blieb aber nicht nur auf der diskursiven Ebene: Durch die Veröffentlichung von Leaks wurde auch auf praktischer Ebene eine Gegenbewegung initiiert. Die Medienöffentlichkeit wurde als Ressource genutzt, nicht nur um öffentlichen Druck auf die Politiker*innen und Akteure der Digitalökonomie zu erzeugen, sondern auch um verschiedene Akteure um das Verhandlungsobjekt der Datenschutz-Grundverordnung versammeln zu können, die sonst nicht Teil des Diskurses gewesen wären. Leaks spielten somit in den Verhandlungen eine zentrale Rolle, dienten sie doch gerade für die Befürworter*innen eines starken Datenschutzes als Möglichkeit, Öffentlichkeit zu erzeugen, in der Debatte Gehör zu finden, und die Routinen der Hinterzimmerpolitik kurzzeitig zu durchbrechen. Das Gesetzgebungsverfahren wurde dabei nicht an sich angezweifelt, sondern die Art und Weise, wie es ausgeführt wurde. Der Hinweis auf interne Probleme demokratischer Verfahrensweisen war eine Art Korrekturversuch. Solch ein konstitutionalistischer Demokratiemodus hält nach wie vor an institutionellen Routinen fest, ist aber um interne Reformen bemüht.

In der Arena der Datenschutz-Grundverordnung finden wir zwei Formen der demokratischen Aushandlung - sowohl postdemokratische Strömungen als auch konstitutionalistische Momente.

Privatheit und Datenschutz

Datenschutz steht in einer immer stärker vernetzten und digitalisierten Welt im Zentrum der Debatte um den Schutz von Privatheit und Selbstbestimmung. In den 1990er Jahren bildeten mit dem „Großen Lauschangriff“ noch optische und akustische Überwachungsmaßnahmen den Schwerpunkt der Debatte um die Privatheit der eigenen Wohnung, während die Debatte um Privatheit in öffentlichen Räumen von der Überwachungskamera dominiert war. Ängste bezogen auf Privatheit und Datenverarbeitung richteten sich vornehmlich gegen den Staat und führten in den 1980ern zu starkem Widerstand gegen eine geplante Volkszählung. Hier spielen nicht zuletzt die Erfahrungen der Deutschen im Nationalsozialismus und die zeitgenössische Wirklichkeit einer umfassenden Überwachung der eigenen Bevölkerung durch das Ministerium für Staatssicherheit in der DDR eine Rolle. Neu belebt wurden diese Ängste durch die Enthüllungen des Whistleblowers Edward Snowden, der die umfangreichen Abhör- und Datensammelaktivitäten anglo-amerikanischer Geheimdienste der breiten Öffentlichkeit bekannt machte. Daneben werden Daten aber vornehmlich von privaten Unternehmen erhoben und ausgewertet. Die Ziele sind hierbei vielfältig und reichen vom Anbieten personalisierter Werbung bis hin zu Marktforschung.

Besonders greifbare Fokuspunkte der Debatte um Privatheit in einer digitalen Welt sind die Zulässigkeit von verschlüsselter Kommunikation ohne Hintertüren für Sicherheitsorgane und die anonyme Nutzung von Dienstleistungen und Kommunikationsplattformen im Internet. Staatliche und privatwirtschaftliche Interessen stehen hier, wie auch in vielen anderen Fällen, in direktem Widerstreit mit den Interessen der Bürger.

Die Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung ist mit den Zielen einer umfassenden Modernisierung und Harmonisierung des Datenschutzes in Europa angetreten. Folgende Probleme sollen durch die Datenschutz-Grundverordnung adressiert werden:

§ Das Datenschutzrecht in Europa gleicht bisher, trotz des durch die Datenschutzrichtlinie bereitgestellten gemeinsamen Rahmens, einem Flickenteppich. Die Datenschutz-Grundverordnung soll hier eine Harmonisierung bewirken.

§ Unternehmen wählten in der Vergangenheit ihre Firmensitze so, dass sie besonders strenge Datenschutzvorschriften umgehen konnten.

§ Neue Technologien lassen das Datenschutzrecht unter erheblichen Druck geraten, denn sie erfordern eine zunehmend schrankenlose Erfassung und Nutzung von Daten.

§ Mit Daten lässt sich viel Geld verdienen. Einige datenverarbeitende Unternehmen haben einen höheren Unternehmenswert als klassische Industriegiganten. Zwischen den Nutzern datengetriebener Dienste und ihren Anbietern besteht ein erhebliches ökonomisches wie auch informationelles Ungleichgewicht.

§ Gesammelte Daten aus den unterschiedlichsten Quellen können zu detaillierten Profilen einzelner Personen verknüpft werden. Oft reicht es sogar aus, über Daten Dritter auf die Lebensumstände und Interessen einer Person zu schließen – mit zunehmender Genauigkeit.

Diese Ziele werden durch die Verordnung jedoch nur teilweise erreicht. Auf der einen Seite macht die Ermöglichung drakonischer Strafen Druck auf Unternehmen, datenschutzrechtliche Vorgaben genau zu beachten. Zudem wird die Stellung der Datenschutzbeauftragten in Europa verbessert und die Rechte und Beschwerdemöglichkeiten des Einzelnen gestärkt. Auf der anderen Seite werden jedoch konzeptionelle Probleme des Datenschutzrechts perpetuiert. Daneben soll das EU-US-Privacy-Shield-Abkommen die Einhaltung europäischer Datenschutzstandards auch bei der Übertragung von Daten in den wohl mit Abstand relevantesten Drittstaat gewährleisten. Schließlich wird auch der bevorstehende Austritt Großbritanniens aus der Europäischen Union Auswirkungen auf den Datenschutz haben.

Konsequenzen für europäische Unternehmen

Durch die Datenschutz-Grundverordnung müssen sich europäische Unternehmen vielen neuen rechtlichen Herausforderungen stellen. Diese sind mit Kosten und einem hohen Planungsaufwand verbunden. Sie führen zu erheblichen Pflichten und zusätzlichen Belastungen wie der Datenschutzfolgenabschätzung, dem Recht der Verbraucher*innen auf Datenübertragbarkeit und mehr Dokumentations- und Informationspflichten. Auch die höheren Bußgelder bei Verstößen gegen die Verordnung bergen für Unternehmen ein größeres wirtschaftliches Risiko. Diesen Herausforderungen müssen sich aber nicht nur europäische Unternehmen stellen, sondern alle in der Europäischen Union agierenden Konzerne. Dies ist auf die Datenschutz-Grundverordnung zurückzuführen, die mit dem Marktortprinzip vorsieht, dass das europäische Datenschutzrecht auch von Unternehmen aus dem EU-Ausland beachtet werden muss, wenn diese innerhalb der Europäischen Union Daten verwenden, erheben und nutzen. Daraus folgt, dass auch auf internationale Unternehmen Veränderungen auf dem deutschen Markt zukommen.

Welche deutschen Unternehmen hiervon betroffen sind, zeigt sich beispielhaft an den Mitgliedern des Digitalverbands „Bitkom e. V.“. Dieser setzt sich für eine innovative Wirtschaftspolitik und eine zukunftsorientierte Netzpolitik ein. Er vertritt mehr als 2400 Unternehmen der digitalen Wirtschaft, davon 1000 Mittelständler und mehr als 300 Start-ups. Hierzu gehören beispielsweise Amazon Deutschland, Deutsche Telekom AG, 1&1 Telecom GmbH oder Deutsche Bahn AG. Darüber hinaus gehören zu dem deutschen Verband auch global agierende Unternehme wie Apple GmbH, SAP SE, Toshiba Europe GmbH, Microsoft Deutschland GmbH oder Facebook Germany GmbH. So vereint der Verband in seinem Netzwerk zahlreiche Firmen im digitalen Bereich. Bitkom versuchte sich bei den Verhandlungen um die Datenschutz-Grundverordnung für eine klarere Ausgestaltung der Verantwortlichkeiten bei der Datenverarbeitung, eine neue Definition des Begriffs „pseudonymisierte Daten“ und einen stärkeren Anreiz für den Umgang mit pseudonymisierten Daten innerhalb der Verordnung einzusetzen. Zu der endgültigen Fassung der Verordnung äußerte sich Susanne Dehmel, Mitglied der Geschäftsleitung Vertrauen und Sicherheit Bitkom e. V., wie folgt:

Viele Regelungen der neuen Datenschutzverordnung sind so allgemein formuliert, dass nicht auf den ersten Blick klar ist, wie sie in der Praxis umgesetzt werden sollen. Das wird in der Anfangszeit zu einer gewissen Rechtsunsicherheit führen.

Noch strikter sieht dies der Bundesverband „Digitale Wirtschaft e. V.“, der die Interessen von Unternehmen der Digitalwirtschaft vertritt und dahingehend im ständigen Dialog mit der Öffentlichkeit und Politik steht. Diese Unternehmen stehen der Datenschutz-Grundverordnung kritisch gegenüber. So zeige die Verordnung, dass es an einem grundlegenden Verständnis der heutigen Informationsgesellschaft fehle und es keine Differenzierung und Risikoabstufung bei dem Umgang mit Daten gebe. Sichtbar werde dies an einer nicht ausreichend implementierten Pseudonymisierung und Verschlüsselung der Daten.4

Leider zeigt der verabschiedete Kompromiss zur Datenschutz-Grundverordnung mit aller Deutlichkeit, dass der europäische Gesetzgeber die Zeichen der Zeit nicht in allen Facetten erkannt hat. Sie stellt einen realitätsfernen, einwilligungsbasierten „One size fits all“-Ansatz dar, der erhebliche Hürden für entgeltfreie Dienste, also den Kern des Internets, schafft.

Thomas Duhr,Vizepräsident Bundesverband Digitale Wirtschaft e. V.5

  1. http://www.politico.eu/article/eus-public-watchdog-calls-for-more-lawmaking-transparency/: Es ist ohne viel Zeit und Mühen schwierig herauszufinden, wann Trilogverhandlungen stattfinden und was von wem besprochen wird. (…) Diese Informationen sollten verfügbar gemacht werden, damit die Bürger in der Lage sind, ihre Vertreter zur Verantwortung zu ziehen und um sich effektiv im Gesetzgebungsprozess einbringen zu können.”(eigene Übersetzung), http://www.politico.eu/article/eus-public-watchdog-calls-for-more-lawmaking-transparency/. ↩︎

  2. http://www.infoworld.com/article/2614554/startups/google--microsoft--and-yahoo-are-secret-backers-behind-european-privacy-association.html. ↩︎

  3. Vgl. https://cdt.org/issue/privacy-data/ oder http://europeanprivacyassociation.eu/mission/. ↩︎

  4. http://www.bvdw.org/medien/bvdw-zur-eu-datenschutzreform-berregulierung-statt-rechtssicherheit?media=7645. ↩︎

  5. Kemper, INTERNET WORLD Business 2/2016, S. 9. ↩︎