04.12.2016 18:35

Entwurf klopft bereits an die Türen der Verbindlichkeit

Hanebüchene systematische und inhaltliche Fehlgriffe

Digitalcharta und Datenschutzrecht

Art. 11 (Datenschutz und Datensouveränität)



(1) Jeder hat das Recht auf den Schutz seiner Daten und die Achtung seiner Privatsphäre.



(2) Jeder hat das Recht, über seine Daten selbst zu bestimmen. Personenbezogene Daten dürfen nur nach Treu und Glauben und für festgelegte Zwecke erhoben und verarbeitet werden, wenn dies für das jeweilige Nutzungsverhältnis erforderlich ist und eine vorherige Einwilligung erfolgt ist oder auf gesetzlicher Grundlage. Die Einwilligung muss ausdrücklich und informiert erfolgen. Nutzungsverhältnisse müssen fair und transparent gestaltet werden.



(3) Die Einhaltung dieser Rechte wird von einer unabhängigen Stelle überwacht.



(4) Anbieter von Diensten oder Produkten dürfen nur solche Daten erheben und verarbeiten, welche für den Zweck der Benutzung erforderlich sind. Die Grundsätze von privacy by design und privacy by default sind einzuhalten.

Art. 11 glänzt mit einem Schrotflintenansatz

Die Freiwilligkeit der Einwilligung wurde vergessen

Artikel 12 (Informationelle Selbstbestimmung)

(1) Die Unversehrtheit, Vertraulichkeit und Integrität informationstechnischer Systeme ist sicherzustellen.

(2) Jeder hat ein Recht auf Verschlüsselung seiner Daten.

Auch Art. 13 bringt keinen Datenschutzfrieden

Art. 13 (Datensicherheit)



(1) Jeder hat ein Recht auf Sicherheit von informationstechnischen Systemen und der durch sie verarbeiteten Daten. Dabei ist höchstmöglicher Schutz zu gewährleisten.



(2) Identitätsdiebstahl und Identitätsfälschung sind zu bekämpfen.

Failed Build

Ein Gastbeitrag von Dr. Malte EngelerDie mit reichlich Presseunterstützung und prominenten Fürsprecher_innen am 30. November veröffentlichte Charta der Digitalen Grundrechte der Europäischen Union ist seit dem 03. Dezember nur noch eine BETA , eine Version 0.8, ein „Aufschlag“.Es war also alles nicht so gemeint?Angesichts der zumeist vernichtenden Kritik überrascht diese abschwächende Klarstellung nicht. Ein Innehalten wäre geboten, aber davon will weiterhin niemand etwas wissen , jedenfalls nicht die Mit-Initiatoren Sascha Lobo und Juli Zeh. Und damit erklärt sich auch dieser Beitrag: Wer die bisherigen Stellungnahmen und Kommentare aus der (juristischen) Fachwelt überfliegt, der mag sich nämlich in der Tat fragen, ob nicht bereits alles gesagt wurde. Kaum eine Bestimmung der Digitalcharta, die nicht bereits säuberlich zerlegt wurde. Und doch ist dieser Beitrag dringend nötig: Einerseits, weil eben nicht alle Probleme angesprochen wurden. Und andererseits, weil die bisherige Kritik scheinbar keinerlei Umdenken hinsichtlich der Roadmap der Initiatoren hervorgerufen hat.Noch immer soll der Entwurf am 05. Dezember im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments diskutiert werden und zwar scheinbar auch weiterhin mit dem Ziel , dem EU-Parlament den Vorschlag zu unterbreiten, eine verfassungsgebende Versammlung einzuberufen. Kaum eine Woche nachdem der Entwurf überhaupt der interessierten Öffentlichkeit bekannt gemacht wurde, klopfen die Macher_innen also bereits an den Türen der Verbindlichkeit. Versuchen kann man es ja mal; Auch gegen alle Widerstände aus der Fachwelt, wie es den Anschein hat.Aus diesem Grund will auch dieser Beitrag dem Aufruf der Initiatoren folgen, mitzudiskutieren und mitzudenken. Der Schwerpunkt dieses Beitrags soll dabei primär auf die Art. 11 bis 13 der Version 0.8 des Entwurfs der Digitalcharta (DG-E) gelegt werden, also jenem Bereich, in dem sich das Datenschutz-Verständnis der Macher_innen am Deutlichsten manifestiert.Die hiermit angebotene konstruktive Kritik soll die vielerorts geäußerte Enttäuschung, Verwunderung und Entrüstung über die teilweise hanebüchenen systematischen und inhaltlichen Fehlgriffe aber nicht ersetzen, sondern ergänzen. Zu nennen wäre da insbesondere die umfassende Kritik von Jürgen Geuter an den vielen nicht zu Ende gedachten Regelungen, die die Version 0.8 seiner Ansicht nach schlicht unrettbar machen. Im Detail hinterfragt auch Markus Kompa sehr treffend, wer denn das für Art. 5 DG-E fast unvermeidbare „Wahrheitsministerium“ besetzen soll. Einhellig demontieren zudem viele Stellungnahmen, etwa jene von Niko Härting , die mit erstaunlicher Selbstverständlichkeit formulierte Idee, Grundrechte würden auch (private) Unternehmen unmittelbar binden. Zu Recht muss hier gefragt werden, was die ( zugegeben wenigen ) Verfassungsrechtler unter den Initiator_innen und Unterstützer_innen trieben, als ihnen genau dort die Alarmsirenen hätten schrillen müssen. Genauso berechtigt ist schließlich der Hinweis (abermals von Härting ) darauf, dass Grundrechten grundsätzlich eine Einordnung in analog oder digital fremd ist. Grundrechte sind stets der Versuch der Formalisierung subjektiver Rechtspositionen, sei es in Form von Abwehr gegen staatliche Eingriffe oder auf Teilhabe sowie Leistung an staatlichem Handeln. Vor diesem Hintergrund ist übrigens ganz besonders interessant, was Art. 1 Abs. 2 DG-E überhaupt für eine Rechtsnatur haben soll. Wird hier gar eine neue Gattung des „Feststellungs-Grundrechts“ erschaffen? Digitale Grundrechte jedenfalls gibt es schon rein sprachlich genauso wenig wie es motorisierte Grundrechte oder belesene Grundrechte gibt.Eine gewisse Berechtigung hat die Formulierung „digitale Grundrechte“ dann aber doch, denn sie drückt aus, dass die Bedrohungen, denen individuelle Freiheiten ausgesetzt sind, abhängig sind von den technischen Möglichkeiten einer Gesellschaft. Die verfassungsrechtliche Regulierung etwa der Kernenergie (Art. 73 Abs. 1 Nr. 14 GG) wäre in einer nicht-atomisierten Welt genauso entbehrlich wie der Schutz der körperlichen Integrität (Art. 2 Abs. 2 GG) in einem Gespenster-Staat.Zu den verfassungsrechtlichen Herausforderungen, die sich erst durch die Veränderung gesellschaftlicher Realitäten ergaben, gehört insbesondere das Datenschutzrecht. Seine Regelungsnotwendigkeit entstand mit der Entwicklung und Nutzung automatisierter Datenverarbeitung und dem daraus resultierenden Konflikt, der sich aus der Informationskonzentration bei staatlichen Stellen und dem dadurch begünstigten Machtungleichgewicht zwischen Organisation und Individuum ergibt. Es ist deshalb mit aller Deutlichkeit zu begrüßen, dass sich die Macher_innen der Digitalcharta diesem Konflikt gleich mit drei ausdrücklichen Artikeln widmen. Damit schaffen sie rein tatsächlich schon einmal mehr als es das deutsche Grundgesetz explizit formuliert. Im Grundgesetz nämlich findet sich bis heute keine Spur von Datenschutz, sondern nur Ansätze von Persönlichkeitsrechten, auf dessen Schutz sich das deutsche Datenschutzrecht noch immer beschränkt. Selbst das (Grund-) Recht auf informationelle Selbstbestimmung (die bisher greifbarste Ausformung eines deutschen Datenschutz-Grundrechts) muss nach wie vor abgeleitet werden aus dem Allgemeinen Persönlichkeitsrecht, welches seinerseits nur über juristische Verrenkungen aus dem Zusammenspiel des Art. 2 Abs. 1 GG und Art. 1 Abs. 1 GG kreiert wurde. Datenschutz ist aber mehr als nur der Schutz von Persönlichkeitsrechten.Stattdessen versucht die Digitalcharta zu den bereits bekannten Regelungsinhalten im Datenschutz nun also gleich dreifach einen Näherungsversuch, nämlich in Art. 11 DG-E (Datenschutz und Datensouveränität), Art. 12 DG-E (Informationelle Selbstbestimmung) und Art. 13 DG-E (Datensicherheit). Das Bild, das sich dort aber dem geübten Datenschützer bietet, ist in erster Linie unsystematisch und bar jedem Grundverständnis. Statt eines klug und kühn weitergedachten Datenschutzverständnisses findet sich nur ein heilloses Durcheinander aus Buzzwords, unvollständigen Begriffssammlungen und ungenutzten Chancen. Im Einzelnen:Der Kernartikel zum Datenschutzverständnis der Digitalcharta gibt sich selbst die Überschrift „Datenschutz und Datensouveränität“ und startet damit denkbar gruselig in den gesamten Abschnitt. Angesichts der Tatsache, dass der Begriff Datensouveränität aufs Engste mit der vielfach kritisierten Aufweichung des Datenschutzes verbunden ist, die sich mit dem deutschen Umsetzungsgesetz zur Datenschutz-Grundverordnung andeutet , muss man fragen: Wissen die Macher_innen der Digitalcharta, mit welchen Begriffen sie dort spielen? Oder wollte man einfach auf Nummer Sicher gehen und hat lieber gleich SEO-optimiert für alle denkbaren Positionen ein Schlagwort aufgenommen?In Absatz 1 setzt sich dieses offenbar fehlende Grundverständnis fort. Die in Absatz 1 formulierte Dichotomie aus „Schutz seiner Daten“ und „Achtung seiner Privatsphäre“ erinnert zwar an Art. 8 und Art. 7 der Charta der Grundrechte der Europäischen Union (GRCh) , die GRCh erfasst beide Schutzbereiche aber zurecht in getrennten Artikeln. Nicht jede Datenverarbeitung verletzt schließlich die Persönlichkeitsrechte und nicht alle Persönlichkeitsrechtsverletzungen geschehen mithilfe automatisierter Datenverarbeitung. Zu Recht regelt die GRCh daher die Privatsphäre und den Datenschutz getrennt. Was aber genau ist dann der Schutzbereich des „Datenschutzsupergrundrechts“ des Art. 11 Abs. 1 DG-E? Man hätte stattdessen beispielsweise ein Grundrecht auf informationelle Unversehrtheit formulieren oder die Gelegenheit ergreifen können, sich klar gegen das Konzept des „Dateneigentums“ zu positionieren. Zukunftsweisende Ideen gibt es in der Literatur zuhauf, aber die Digitalcharta verpasst die Chance, sie aufzugreifen und wirft lieber alle bisher als „Datenschutz“ gehandelten Schlagworte in einen Topf.In Absatz 2 weist man stattdessen pflichtbewusst auch auf das Recht auf (informationelle) Selbstbestimmung hin. Dieses mit dem Volkszählungsurteil 1983 geframte Recht ist aber nichts anderes als eine Untermenge des Allgemeinen Persönlichkeitsrechts, das bereits in Absatz 1 geschützt wird. Es darf gefragt werden, welchen weitergehenden Schutz die in Absatz 1 formulierte „Achtung der Privatssphäre“ mit Blick auf Datenschutzfragen denn bieten soll. War den Autor_innen dieses verfassungsrechtliche Geflecht gar unbekannt? Datenschutz, Persönlichkeitsschutz, informationelle Selbstbestimmung: Statt Klarheit glänzt Art. 11 DG-E mit einem Schrotflintenansatz: Den eigentlich beabsichtigten Schutz (wenn man überhaupt eine klare Vorstellung von ihm hatte), wird man mit dieser vollen Breitseite schon abdecken. Irgendwie.In Absatz 2 zeigt sich dann vor allem in Satz 2, wie es um den Datenschutz in der Digitalcharta bestimmt ist. Wie auch Martin Rost kritisiert, erreicht Art. 11 Abs. 2 S. 2 DG-E nichts anderes, als am Kern des europäischen Datenschutzverständnisses zu kratzen: Dem Verbot mit Erlaubnisvorbehalt. Der derzeit in § 4 Abs. 1 BDSG und in Art. 6 Abs. 1 DSGVO verankerte Grundsatz untersagt zunächst jede Datenverarbeitung und erlaubt sie nur ausnahmsweise durch Erlaubnistatbestände. Hintergrund dieser Regelung ist die Annahme, dass der grundrechtliche Eingriff bereits in jeder Datenerhebung selbst liegt, nicht erst in der späteren Datenverarbeitung und -nutzung. Diesen Ansatz kehrt Art. 11 Abs. 2 S. 2 DG-E um und schreibt den Grundsatz von „Treu und Glauben“ gleichrangig in den Kanon der Erlaubnistatbestände.Der Grundsatz von Treu und Glauben ist aber vor allem ein schuldrechtlicher Ansatz, der die äußersten Grenzen des Zulässigen erfasst. Demnach ist grundsätzlich jede Vertragspartei entsprechend ihrer Privatautonomie berechtigt, ihre Verhältnisse nach eigenen Vorstellungen zu regeln, es sei denn einzelne Rechtsverhältnisse verstoßen ausnahmsweise gegen Treu und Glauben. Das Verbot mit Erlaubnisvorbehalt im datenschutzrechtlichen Sinne ist mit dem Regelungsprinzip von Treu und Glauben daher nur sehr schwer vereinbar. Natürlich kann argumentiert werden, dass der Hinweis auf Treu und Glauben in Art. 11 Abs. 2 S. 2 DG-E nur eine der genannten (kumulativen) Erlaubnisvoraussetzungen ist. Tatsächlich findet sich auch in Art. 5 Abs. 1 Buchst. a) DSGVO ein ähnlicher Hinweis auf den Grundsatz von Treu und Glauben. Beidem muss man aber entgegnen, dass die DSGVO mit gutem Grund den Grundsatz nicht in die konkreten Erlaubnistatbestände des Art. 6 DSGVO aufgenommen hat. Die Erwägungsgründe 39 und 45 der DSGVO zeigen vielmehr, dass der Grundsatz von Treu und Glauben in der DSGVO ein Fallback ist, ein Sicherheitsnetz, das das Gebot der rechtmäßigen Datenverarbeitung im Sinne der Betroffenen ergänzt. Die Digitalcharta hingegen erklärt den Grundsatz von Treu und Glauben zu einem Erlaubnistatbestand mit Verfassungsrang. Ein nationaler Gesetzgeber, der in Umsetzung von Art. 11 Abs. 2 S. 2 DG-E eine einfachgesetzliche Regelung für Datenverarbeitung schaffen wollte, könnte so auf die Idee kommen, eine Norm zu verabschieden, die schlicht lautet „Zulässig ist, was nicht gegen Treu und Glauben verstößt“. Damit öffnet sich die Digitalcharta gefährlich weit für die anhaltenden Bestrebungen, das Verbot mit Erlaubnisvorbehalt zugunsten eines risikobasierten Ansatzes aufzuweichen.Aber Art. 11 DG-E hat durchaus noch mehr zu bieten. Dass in Abs. 2 S. 3 kurzerhand die Freiwilligkeit der Einwilligung vergessen wurde, mag man noch als Versehen abtun. Nicht hinzunehmen ist aber, dass die Einwilligung scheinbar für den gesamten Absatz 11 gelten soll. In Fortführung der oben kritisierten fehlenden Trennung zwischen Datenschutz und Persönlichkeitsschutz bleibt aber offen, welche Wirkung eine wirksame Einwilligung denn eigentlich für die jeweiligen grundrechtlichen Positionen haben soll. Eine auf einer Einwilligung basierte Datenverarbeitung könnte man so beispielsweise mit guten Gründen gerade als Ausübung des Rechts auf informationelle Selbstbestimmung verstehen, nicht als Rechtfertigung für einen Eingriff in dieses. Als Erlaubnistatbestand wird die Einwilligung vor allem dann interessant, wenn man Datenschutz und Privatsphäre sauber zu trennen vermag. Das tut die Digitalcharta aber gerade nicht. So bleibt die datenschutzrechtliche Einwilligung weiter jenes unbestimmte Ding zwischen Formalität und Placebo.In Abs. 4 schließlich wird kurzerhand der Verhältnismäßigkeitsgrundsatz abgeschafft. In vertraglichen Nutzungsbeziehungen soll stattdessen nur der Erforderlichkeitsgrundsatz gelten. Dies wird weder dem über allem stehenden Verfassungsprinzip der praktischen Konkordanz gerecht, noch jüngster Rechtsprechung des EuGH. Zugegeben: Jedenfalls das Urteil des EuGH in Sachen Breyer zur Europarechtswidrigkeit des § 15 Abs. 1 TMG wäre unter Geltung der Digitalcharta so wohl nicht gefällt worden. Ob die Initiatoren der Digitalcharta dies gar beabsichtigt haben? Ob sie sich überhaupt etwas bei Art. 11 DG-E gedacht haben?Artikel 12 führt die konzeptionelle Irrfahrt bewundernswert konsequent fort und formuliert unter der Überschrift „Informationelle Selbstbestimmung“ tatsächlich die drei Schutzziele der IT-Sicherheit. Spätestens hier hätte jeder Datenschützer seine minimal in dieser Rechtsmaterie bewanderten Stirn in die vor Lachen zitternde Handfläche stürzen müssen. Als wäre es das Ziel gewesen, möglichst alles zu ignorieren, was moderner Datenschutz an Grundsätzen zu bieten hat, wird nicht nur Datenschutz mit Datensicherheit gleichgesetzt, sondern auch 30 Jahre Rechtsprechung des Bundesverfassungsgerichts ignoriert. Das Recht auf informationelle Selbstbestimmung ist – wie bereits erwähnt – ein 1983 aus dem Allgemeinen Persönlichkeitsrecht abgeleitetes Grundrecht. Es schützt den Einzelnen vor Eingriffen in seine Persönlichkeitsrechte, die durch die Verarbeitung von Daten entstehen können. Die in Art. 12 Abs. 1 DG-E aufgezählten Ziele der Unversehrtheit, Vertraulichkeit und Integrität hingegen dienen dem Schutz von technischen Systemen und liegen etwa der Prüfstruktur der IT-Sicherheit nach BSI-Grundschutz zugrunde. Datenschutz und Datensicherheit sind aber keinesfalls identisch. Datensicherheit ist stattdessen vielmehr auf gleiche Weise nur ein kleiner Bestandteil von gutem Datenschutz, wie baurechtliche Sicherheitsvorschriften für Atomreaktoren Teil eines umfassenden Umweltschutzes sind. Das eine mit dem anderen gleichzusetzen, wie es Art. 12 Abs. 1 DG-E tut, führt stets zu bedrohlichen Ergebnissen. Das weiß sogar das Bundesamt für Sicherheit in der Informationstechnik. Dieser selbst Anfängern kaum zu verzeihende Fehlgriff ist dabei nicht nur peinlich, sondern vergibt abermals eine wertvolle Chance. Hier hätte sich doch die grandiose Gelegenheit geboten, nicht nur die drei klassischen Ziele der IT-Sicherheit mit Verfassungsrang zu versehen, sondern die seit Jahren unter den Aufsichtsbehörden diskutierten und seit November 2016 endgültig etablierten sechs Gewährleistungsziele des Standard-Datenschutzmodells aufzugreifen. Nun kann man von dem Standard-Datenschutzmodell und insbesondere seiner Reife sicher halten was man will. Dass aber die sechs Schutzziele zur Gewährleistung der Grundrechte für die Ziele der Digitalcharta mehr als gewinnbringend aufgenommen werden könnten, ist kaum zu bestreiten. Was wäre beispielsweise Art. 8 DG-E („Künstliche Intelligenz“) ohne Intervenierbarkeit? Gerade die unkontrollierbar und nicht abschaltbare KI ist doch das dystopische Horrorszenario schlichthin. Eine KI, deren Daten stets vertraulich, integer und verfügbar sind (so die klassischen IT-Schutzziele), würde sich zwar über maximale Funktionsfähigkeit freuen, bliebe im Sinne der Betroffenen aber vollkommen unbeherrschbar. Ein klassischer Fall, in dem IT-Sicherheitsprüfer befriedigt, Datenschützer aber entsetzt wären.Wer nun hofft, zumindest in Art. 13 DG-E ein wenig Datenschutzfrieden zu finden, wird enttäuscht.Auch bei Versuch Nr. 3, einen brauchbaren Datenschutz-Artikel zustande zu bringen, tappen die Initiator_innen gekonnt in jedes Fettnäpfchen. Mit der Formulierung des Art. 13 Abs. 1 DG-E bezieht man sich offenbar auf das Urteil des Bundesverfassungsgerichts vom 27. Februar 2008 . Das darin geprägte „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ war als Abwehr gegen heimliche Infiltration informationstechnischer System erdacht worden. Wer dabei nun ganz im Sinne der Überschrift des Artikel 13 DG-E an IT-Sicherheit denkt, offenbart jedoch erneut nur, wie wenig Mühe sich scheinbar bei der Erstellung der Artikel 11 bis 13 DG-E gemacht wurde. Genau wie das Recht auf informationelle Selbstbestimmung (Art. 12 Abs. 1 DG-E) stellt das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme einen Unterfall des Rechts auf Achtung der Privatsphäre im Sinne des Art. 11 Abs. 1 DG-E dar. Fast so, als wäre es Absicht, schließen die Macher_innen der Digitalcharta hier also den Kreis des Datenschutz-Unfugs, den sie mit Art. 11 DG-E begannen.Stattdessen wäre es in Art. 13 DG-E denkbar, die drei IT-Schutzziele des Art. 12 DG-E zu erfassen. Ohne Nennung aller sechs Gewährleistungsziele des Datenschutzes (siehe Ausführung zu Art. 12 DG-E) wäre die Digitalcharta dann zwar immer noch unvollständig, aber es würden Inhalt und Überschrift jedenfalls ausnahmsweise zueinander passen.Wie auch bei vielen der übrigen Abschnitte der Digitalcharta offenbaren die Art. 11 bis 13 DG-E daher nicht bloß Verbesserungsbedarf, sondern eine bemerkenswerte Abwesenheit jedes fundamentalen Verständnisses von Datenschutz, Persönlichkeitsschutz und der zugehörigen deutschen und europäischen verfassungsrechtlichen Vorgaben. Es ist dabei mehr als bedauerlich, dass die in diesem Beitrag geäußerte Kritik in dieser Schärfe nötig geworden ist. Zu groß ist die Gefahr, die Version 0.8 könnte sich auch nur ansatzweise in den Köpfen irgendwelcher Unterstützer_innen (oder gar Parlamentarier_innen) festsetzen. Zu grundlegend falsch ist das formulierte Datenschutzverständnis und zu ungeduldig wirkt das Vorgehen der Initiator_innen, als das noch Zeit für eine zurückhaltendere Bewertung bliebe.In seiner jetzigen Form ist die Digitalcharta, mindestens hinsichtlich seiner Datenschutz-Artikel, keine BETA, sondern ein failed build. Eine Unstable-Version, die ohne lauffähiges Datenschutz-Fundament einen gesellschaftlichen Bluescreen verursachen würde.Dr. Malte Engeler ist stellvertretender Leiter des aufsichtsbehördlichen Bereichs im Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein. Privat bloggt er zu Alltagstechnik und digitalem Leben unter www.DeathMetalMods.de . Der Beitrag spiegelt ausschließlich die persönlichen Ansichten des Autors wieder.