Überwachungsstaat: Wie in Deutschland EU-Direktiven erweitert werden

Seit wir gestern den Beitrag zur EU-Regulation “REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)” veröffentlicht haben, der “Datenschutzverordnung”, die Ende der Woche in Kraft tritt, haben uns unzählige Anfragen und Hinweise erreicht, die man in zwei Klassen Teilen kann: Klasse 1: Bitten um Rechtsberatung. Das dürfen wir natürlich nicht. In Deutschland dürfen nur Anwälte Recht beraten und sich dafür üppig bezahlen lassen. Das ist eines der Monopole, die es in Deutschland gibt. Wie alle Monopole so wurde auch dieses Monopol vom Staat eingerichtet.

Klasse 2 ist eine Form des Staunens und der Irritation, die sich darin Bahn bricht, dass die EU-Regulation, die doch Grundlage des Bundesdatenschutzgesetzes in seiner Neufassung ist, in allen Mitgliedsstaaten der EU gelte und deshalb in allen Mitgliedsstaaten die gleiche K… am Dampfen sein müsse wie in Deutschland.

Die Lösung für dieses Irritationen ist schnell bei der Hand. EU-Regulationen stellen eine Form des Minimalkonsenses dar. Sie enthalten Regelungen, die in einem Mitgliedstaat vorhanden sein müssen, um eine „Harmonie“ in der Gängelung von Bürgern, denen man erzählt, man habe ihnen gerade neue Rechte geschenkt (wie großzügig), herzustellen. Jenseits dieser Gemeinsamkeit wird kein Mitgliedsstaat daran gehindert, das kleine Quäntchen Mehr in das neue Gesetz zu schreiben, weil die Juristen, deren liebste Tätigkeit darin besteht, sich Regulationen für andere auszudenken, an denen die Juristen-Profession wieder verdienen kann, es so wollen.

Die Veränderung und Erweiterung von EU-Verordnungen kann an zwei Schnittstellen erfolgen. Keine davon hat es bislang in das Bewusstsein von Wissenschaftlern geschafft. Die erste Schnittstelle ergibt sich bei der Übersetzung des englischen Originaltextes der EU-Verordnung in die deutsche Sprache. Wer führt diese Übersetzung durch? Welche Interessen werden mit der Übersetzung bedient? Die zweite Schnittstelle ergibt sich bei der Umsetzung der Übersetzung der EU-Verordnung in deutsches Recht. Hier wird hinzugefügt, ausgelassen, erweitert, gestrichen. Der für uns markanteste Unterschied zwischen der EU-Verordnung und dem Bundesdatenschutzgesetz findet sich darin, dass alle Begriffsbestimmungen, die notwendig sind, um festzulegen, welchen Gegenstand und welchen Zweck das Gesetz haben soll und die notwendig sind, um Willkür im Rahmen zu halten, im Bundesdatenschutzgesetz fehlen (siehe unten). Um dieses Manko auszugleichen, wurde der Anwendungsbereich, der in der EU-Verordnung auf „controller“ und „processor“ persönlicher Daten eingeschränkt ist, in Deutschland auf alle „natürlichen und juristischen Personen“ erweitert.

Dementsprechend finden sich in der deutschen Variante der Umsetzung der EU-Verordnung einige deutsche Sonderwege. Wir haben ein paar zusammengestellt, die deutlich zeigen, wie deutsches Recht vom EU-Recht abweicht, wo die kleine Besonderheit eingebaut wird und wo die Überwachungs-Schraube über die Europäische Norm hinaus angezogen wird.

Vorab, die EU-Verordnung unterscheidet im englischen Original zwischen „processor“ und „controller“. Ersterer ist jemand, der personenbezogene Daten verarbeitet, Letzterer ist jemand, der bestimmt, zu welchem Zweck personenbezogene Daten verarbeitet werden. Die entsprechende Definition findet sich z.B. bei ICO, der Britischen Information Commissioner’s Office, dem unabhängigen Watchdog, der im Vereinigten Königreich u.a. für die Umsetzung der EU-Verordnung zuständig ist. Die Umsetzung erfolgt auf Grundlage der EU-Verordnung, ohne nationale Besonderheiten und in der Anwendung der Verordnung wird zwischen Organisationen und Unternehmen differenziert. Private Blogs und andere Entitäten des öffentlichen Rechts, die nicht der Gewinnerzielung dienen und in privater Initiative betrieben werden, hinter denen also keine Organisation steht, kommen nicht vor. Dies ist auch in der Deutschen Datenschutz-Grundverordnung so, die eine direkte Umsetzung der EU-Verordnung darstellt. Zu dieser Datenschutz-Grundverordnung wird ein Bundesdatenschutzgesetz gesellt, dessen Paragraphen mit Paragraphen der Datenschutz-Grundverordnung verbunden sind, diese aufnehmen und ausweiten. Zwei Gesetze für denselben Regelungsgegenstand: Wozu ist das wohl notwendig?

Die Hauptunterscheidung, auf der die Datenschutz-Grundverordnung, die der deutschen Regierung nicht ausreichend war, basiert, ist in der Formulierung der Britischen ICO die folgende:

• A controller determines the purposes and means of processing personal data.
• A processor is responsible for processing personal data on behalf of a controller.

Der Betreiber eines privaten Blogs, der z.B. das Angebot von WordPress nutzt, kann dieser Definition gemäß kein „controller“ sein, denn er kontrolliert weder den Zweck noch die Mittel der Gewinnung und Verarbeitung von persönlichen Daten, und er kann auch kein „processor“ sein, weil er nicht im Auftrag des controllers tätig ist. Die EU-Verordnung taugt demnach nicht dazu, als Überwachungsinstrument privater Blogs und Initiativen genutzt zu werden. Dazu bedarf es einer Erweiterung des Anwendungsbereichs, wie er unten für das Bundesdatenschutzgesetz dokumentiert wird, eine Ausweitung auf „alle natürlichen und juristischen Personen“, UNABHÄNGIG davon, ob sie tatsächlich „personenbezogene Daten“ verarbeiten. Da die Definition davon, was „Verarbeitung personenbezogener Daten“ denn sein soll, im Bundesdatenschutzgesetz und im Gegensatz zur EU-Verordnung (siehe unten) und zur Datenschutz-Grundverordnung fehlt, ist jegliche Form von Betätigung im Internet durch dieses Überwachungs-Gesetz erfasst. Das an sich ist natürlich blanker Unsinn, denn auf diese Weise kann man jeden Betreiber einer Facebook-Seite dazu zwingen, eine Datenschutzerklärung bereitzuhalten und ein Impressum öffentlich zu machen… Deutschland eben.

Hier also ein paar markante Unterschiede zwischen dem Bundesdatenschutzgesetz und EU-Verordnung. Nun ist das Bundesdatenschutzgesetz nicht die Datenschutz-Grundverordnung, die auf EU-Regulation 2016/679 aufbaut bzw. die EU-Regulation in deutsches Recht überträgt. Aber das macht die Angelegenheit nur noch interessanter: Wozu benötigt man in Deutschland ein Bundesdatenschutzgesetz das über die Datenschutz-Grundverordnung der Europäischen Union hinausgeht, wenn nicht dazu, die eigenen Bürger noch über das EU-Maß hinaus zu gängeln und zu überwachen? (Falls jemand eine alternative Erklärung hat, wir sind gespannt…).

EU-Regulation 2016/679 (englisches Original) EU-Verordnung 2016/679 (deutsche Übersetzung) Bundesdatenschutzgesetz 2018
Article 3 Territorial scope

1.This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.

2.This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: (a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or (b) the monitoring of their behaviour as far as their behaviour takes place within the Union.

3.This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law.

Artikel 3 Räumlicher Anwendungsbereich (1)Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.

2)Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist; b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.

(3)Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt

§ 1 BDSG (neu)Anwendungsbereich des Gesetzes
1. 1Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch
1. öffentliche Stellen des Bundes,
2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie
1. Bundesrecht ausführen oder
2. als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt.
2Für nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.
2. Andere Rechtsvorschriften des Bundes über den Datenschutz gehen den Vorschriften dieses Gesetzes vor. Regeln sie einen Sachverhalt, für den dieses Gesetz gilt, nicht oder nicht abschließend, finden die Vorschriften dieses Gesetzes Anwendung. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.
3. Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.
4. Dieses Gesetz findet Anwendung auf öffentliche Stellen. Auf nichtöffentliche Stellen findet es Anwendung, sofern
1. der Verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Inland verarbeitet,
2. die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer inländischen Niederlassung des Verantwortlichen oder Auftragsverarbeiters erfolgt oder
3. der Verantwortliche oder Auftragsverarbeiter zwar keine Niederlassung in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum hat, er aber in den Anwendungsbereich der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) fällt.
Sofern dieses Gesetz nicht gemäß Satz 2 Anwendung findet, gelten für den Verantwortlichen oder Auftragsverarbeiter nur die §§ 8 bis 21, 39 bis 44.
5. Die Vorschriften dieses Gesetzes finden keine Anwendung, soweit das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679 in der jeweils geltenden Fassung, unmittelbar gilt.
6. Bei Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679 stehen die Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum und die Schweiz den Mitgliedstaaten der Europäischen Union gleich. 2Andere Staaten gelten insoweit als Drittstaaten.
7. Bei Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89) stehen die bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands assoziierten Staaten den Mitgliedstaaten der Europäischen Union gleich. 2Andere Staaten gelten insoweit als Drittstaaten.
8. Für Verarbeitungen personenbezogener Daten durch öffentliche Stellen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten finden die Verordnung (EU) 2016/679 und die Teile 1 und 2 dieses Gesetzes entsprechend Anwendung, soweit nicht in diesem Gesetz oder einem anderen Gesetz Abweichendes geregelt ist.
Article 4 Definitions For the purposes of this Regulation:

(1) ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
(2) ‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;
(3) ‘restriction of processing’ means the marking of stored personal data with the aim of limiting their processing in the future;
(4) ‘profiling’ means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements;
(5) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;
(6) ‘filing system’ means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;
(7) ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;
(8) ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller; …
[…]

Artikel 4 Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
5. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
6. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
8.„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; 9. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten …
[…]
§ 2 BDSG (neu)Begriffsbestimmungen
1. Öffentliche Stellen des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, der Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.
2. Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes oder sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.
3.Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, die Aufgaben der öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung nichtöffentlicher Stellen als öffentliche Stellen des Bundes, wenn
1. sie über den Bereich eines Landes hinaus tätig werden oder
2. dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht.
2Andernfalls gelten sie als öffentliche Stellen der Länder.
4. Nichtöffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nichtöffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.
5. Öffentliche Stellen des Bundes gelten als nichtöffentliche Stellen im Sinne dieses Gesetzes, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. Als nichtöffentliche Stellen im Sinne dieses Gesetzes gelten auch öffentliche Stellen der Länder, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, Bundesrecht ausführen und der Datenschutz nicht durch Landesgesetz geregelt ist.

Während der Schwerpunkt der EU-Verordnung auf der Verarbeitung von Daten liegt, liegt der Schwerpunkt der Bundesdatenschutzverordnung auf denen, die die Daten verarbeiten. Während es in der EU-Verordnung darum geht, die Verarbeitung von Daten zu kontrollieren und zu regeln, geht es in der Bundesdatenschutzverordnung darum, diejenigen, die Daten verarbeiten könnten, zu kontrollieren und zu reglementieren. Es sind wie Bourdieu sagen würde, die feinen Unterschiede, die aus einem Korsett eine Zwangsjacke machen.

Auslassung von Definitionen, damit unklar ist, was mit „Verarbeitung personenbezogener Daten“ genau gemeint ist, und eine Ausweitung auf alle, und schon ist die Willkür-Herrschaft, das Manna aller Totalitaristen, hergestellt. Und einmal im Ernst, hätten Sie von einem Gesetzentwurf, der unter Heiko Maas erarbeitet wurde, etwas anderes erwartet als dass er die Bedürfnisse von Überwachungsfetischisten und Winkeladvokaten befriedigt?

Hat Ihnen der Beitrag gefallen?


Weitere Möglichkeiten, ScienceFiles zu unterstützen

Anregungen? Hinweise? Kontaktieren Sie ScienceFiles
©ScienceFiles

Print Friendly, PDF & Email

About Michael Klein
... concerned with and about science

4 Responses to Überwachungsstaat: Wie in Deutschland EU-Direktiven erweitert werden

  1. Erforderliche Richtigstellungen

    1.Die Datenschutzverordnung ist die Datenschutzgrundverordnung

    2. Eine Datenschutzberatung ist keine Rechtsberatung. Sie ernährt mich und viele Kollegen, wie auch betrieblich bestellte Datenschutzbeauftragte und Datenschutzberater. In gleicher Weise wie sie etwa in UK ein ganze Branche an Privacy Professionals ernährt.

    3. Es gibt auf EU Ebene Richtlinien, die dann in nationales Recht umzusetzen sind. Und es gibt die Verordnung, die unmittelbar gilt. Im Bereich Datenschutz wird eine Richtlinie durch eine Verordnung ersetzt. Populär formuliert: nationale Interpretationen werden durch ein einheitliches, EU-weit geltendes Werk ersetzt. Wer daran Negatives findet, hat die Geschichte deutschen Übereifers verpasst.

    4. Dieses Gesetz (DSGVO) ist kein Krampf, sondern ein Fortschritt wie an anderer Stelle bereits ausgeführt.

    5. Staunen und der Irritation macht sich nicht über das Gesetz breit. Das hat, wie die Kommentare eindeutig belegen, nämlich niemand gelesen. Es bezieht sich auch keiner auf das Gesetz sondern auf seinen persönlichen Glauben, der unterschiedlichsten Quellen (aber nicht dem Gesetz) entstammt.

    6. Die Darstellung wie Rechtsprechung in der EU funktioniert ist falsch

    7. Die Mitgliedsstaaten haben nicht das Recht eine vereinbarte Verordnung – hier der DSGVO – auszuhebeln. Sie müssen einige Öffnungsklauseln regeln (Beispiel: wie lange ein Kind als Kind gilt). Sie können andere Öffnungsklauseln regeln (Beispiel: Bestellpflicht des DSB). Es liegen bereits Rechtsgutachten vor (Beispiel Öffnungsklauseln des BDSG zur Videoüberwachung), die zu dem Ergebnis kommen, dass der nationale Gesetzgeber zu weit gegangen ist. Die Frage werden Gerichte klären, oder auch nicht, wenn sie niemand vor den europäischen Gerichtshof bringt.

    8. Juristen sind auch Menschen. Also solche nicht mehr oder weniger verdammungswürdig als etwa Sozialwissenschaftler.

    9. Die Unterstellung Übersetzer hätten geschlampt oder Verschärfungen wären über die Übersetzung hintenrum eingeführt worden ist unhaltbare Übertreibung. Aber selbst wenn es so wäre gilt vor Gericht nur eine Fassung: die englische. Dies gilt auch für den italienischen Richter.

    10. Begriffsbestimmungen die in der DSGVO ausgeführt sind, darf das BDSG neu (oder jedes andere Gesetz) nicht verändern. Deshalb sind sie auch nicht mehr ausdrücklich aufgeführt; es wird auf die DSGVO verwiesen.

    11. Die Begriffe des „controller“ (Verantwortlicher) „processor“ (Auftragsverarbeiters) sind EU einheitlich definiert. Die Begriffe „natürliche und juristischen Personen“ sind eins-zu-eins Übersetzungen

    12. Der ICO verwendet die gleichen Begriffe, Definitionen wie die deutschen Aufsichtsbehörden. Alle Aufsichtsbehörden (Deutsche, englische, Rest der EU) bilden die „Article 20 working party“ die regelmäßig gemeinsame „working papers“ veröffentlichen, die den Anwendern in den Betrieben Klarstellung liefern. Der zukünftige Name wird europäischer Datenschutzausschuss sein. Wie überall wo Menschen handeln kann es Meinungs- oder Interpretationsunterschiede geben. Wie eng die europäische Zusammenarbeit im Datenschutzbereich zeigt sich z.B. daran dass deutsche Aufsichtsbehörden auf englische (ICO) oder französische (CNIL) Unterlagen verweisen. Konkretes Beispiel Umsetzung einer Datenschutzfolgeabschätzung.

    13. Auch durch Wiederholung wird die nachweisliche falsche Aussage Datenschutz würde etwas spezifisch für Blogs regeln falsch. Genauso wie die Gewinnerzielungsabsicht nicht relevant ist.

    15. Die „Deutsche Datenschutz-Grundverordnung“ ist keine direkte Umsetzung der EU-Verordnung darstellt. Es gibt nur eine Datenschutzgrundverordnung, die in allen Sprachen veröffentlicht wurde und für all EU Länder gilt.

    16. Weder ICO noch deutsche Aufsichtsbehörden oder der deutsche Gesetzgeber können zentrale Definitionen des DSGVO ändern. Das Werk ist von allen zuständigen (EU Parlament, Kommission, Ministerrat, etc.) beschlossen.

    17. Der Betreiber eines privaten Blogs ist unstrittig der controller weil er die Mittel bestimmt die in seinem Blog eingesetzt werden. Welche Daten von Besuchern getrackt werden, wie lange diese aufbewahrt werden, an wen sie weitergeleitet werden, welche Plugins Verwendung finden, wohin diese Plugsins wiederum Daten schaufeln, ob der Besucher über all die technisch möglichen Schweinereien informiert oder gar um seine Einwilligung gefragt wird – all dies und noch einige mehr bestimmt der Controller, der Betreiber des Blogs.

    18. Weder DSGVO noch BDSG neu sind als Überwachungsinstrument gedacht noch dazu zugelassen. Das Gegenteil ist der Fall: millionenfach rechtswidrig eingesetzte Überwachungsinstrumente (Google Analytics, Matomo, Piwik, viele mehr) müssen den Betroffenen (den Besuchern einer Web Seite) angezeigt werden. Und für direktes Tracken der Besucher muss deren Einwilligung eingeholt werden.

    19. DSGVO (europaweit) wie BDSG (nationale, wie andere nationale Gesetze in anderen Ländern) regeln den Umgang mit personenbezogene Daten. Was pb Daten sind ist unstrittig festgelegt. U.a. die Frage ob IP Adressen darunter fallen. Diese Definitionen gelten europaweit einheitlich.

    20. Wenn Sie Unterschiede zwischen der englischen und der deutschen Fassung der DSGVO erkannt haben wollen, sollten Sie sich an den Übersetzungsdienst der EU wenden. Wenn es aber vor Gericht geht, gilt im Zweifel die englische Fassung. Es könnte also vergebliche Liebesmühe sein.

    21. Die Vermutung DSGVO und BDSG würden andere Schwerpunkte setzen haben Sie nicht belegt. Sie haben unterstellt die Übersetzungen würden differieren. Aber auch dazu haben Sie nicht den Nachweis geliefert. War es die Hoffnung es wären genügend Leser nicht der englischen Sprache mächtig um sich hier selbst ein Bild zu machen?

    22. Es ist aber letztlich für Blogger egal, welche Regelungen das BDSG trifft, denn für den Blogger treffen nur Regelungen der DSGVO – und zukünftig der E-Privacy Verordnung (wenn sie 2019 verabschiedet ist) – zu. Auch das dann eine Verordnung, die europaweit einheitlich gelten wird. Welche Räuberpistolen dann ins Land schießen mag ich mir noch nicht ausdenken.

    23. Zur Frage der „Auslassung von Definitionen“ dies habe ich oben erklärt. Aber ja die Willkürdatensammelwut von Bloggern und sonstigen „By default Innocent“ muss aufhören. Dieser Personenkreis (wie kleine und große, nationale wie multinationale Unternehmen) müssen alle den gleichen (nicht komplizierten, wie ich meine) Regeln folgen. Das ist ein Fortschritt für die Demokratie und freie Gesellschaften.

    24. Weder bei DSGVO noch bei BDSG neu hatte Heiko Maas seine Finger im Spiel. Gottseidank.

    25. Die DSGVO setzt Überwachungsfetischisten (privaten [Bloggern], wie den Big Playern [Facebook, Google, dieganzeLitanei]) entgegen Ihrer Unterstellung deutliche Grenzen

    So hart es klingt: 100% der Darstellungen im Artikel sind falsch. In allen denkbaren Facetten von falsch (missverstanden, grundfalsch, böswillig falsch dargestellt). Ich kann mir nicht vorstellen, dass dies die Maßstäbe wissenschaftliches Arbeiten darstellen sollten.

    PS. ich bin kein Wissenschaftler. Bin nur kleiner Datenschutzbeauftragter dessen Kunden immer noch ihre Rechnungen bezahlen. Kann also nicht so falsch sein, was ich ihnen erzähle oder für sie erarbeite. Was ich in und für Vereine (oder auch Bekannte mit einem Blog) ehrenamtlich mache, sollte hier keine Rolle spielen.

    • Michael Klein says:

      Sie sind Datenschutzbeauftragter. Sie verdienen Ihr Geld damit, dass Sie anderen einreden, die Welt sei voller Datendiebe und sie müssten ihre Daten schützen. Na das erklärt einiges, nein, das erklärt alles.

    • Heike Diefenbach says:

      … überaus erforderliche Richtigstellung!:

      “3. Es gibt auf EU Ebene Richtlinien, die dann in nationales Recht umzusetzen sind.”

      Genau! Es freut mich, dass Sie das soweit verstanden haben.

      Aber dann wird’s falsch:

      “… nationale Interpretationen werden durch ein einheitliches, EU-weit geltendes Werk ersetzt.”

      Mit viel gutem Willen betrachtet könnte man sagen, dass das ungefähr, weil rein formal, richtig ist. Aber eben nur mit viel gutem Willen, weil nicht “das” Werk umgesetzt wird, sondern “das Werk” in nationales Recht ÜBERFÜHRT wird. Das haben Sie ja im oben zitierten Vorsatz selbst geschrieben: etwas ist in “nationales Recht umzusetzen”. Und das bedeutet eben nicht, dass in Brüssel irgendein nettes Textchen von irgendwelchen Bürokraten verfasst wird, das dann eben mal in die Sprachen der Mitgliedsstaaten übersetzt wird und dann von den nationalen Parlamenten für nationales Recht erklärt wird. Hier irren Sie sich gewaltig!

      Vielmehr wird, wie Herr Klein und ich nun schon mehrfach aufzuklären versucht haben, die EU-Verordnung als Grundlage für neues nationales Recht benutzt, aber es ist keinem Mitgliedsstaat verboten, die Verordnung zu interpretieren (und dafür gibt es weiß Gott hinreichend Spielraum) oder über sie hinauszugehen.

      Es kann also passieren, dass in jedem Mitgliedsland der EU u.U. etwas auf der derselben Grundlage erstelltes, aber recht unterschiedliches herauskommt.

      Großbritannien z.B. hat eine lange Tradition der Minimalumsetzung von EU-Verordnungen, während Deutschland eine lange Tradition darin hat, in diese Verordnungen alles hineinzupacken, was die jeweilige Regierung gerne durchgesetzt hätte, auch, wenn es weit über die Verordnung hinausgeht. Sie spart sich damit eine echte parlamentarische Auseinandersetzung und vor allem eine öffentliche Diskussion, sondern füllt einfach eine Verordnung nach Gutdünken und erzählt, wenn Kritik kommt, das sei eben EU-Recht.

      Das ist natürlich Unsinn, aber es gibt immer wieder besonders einfältige Leute, die sich damit zufrieden geben.

      Und dies bringt mich zu Ihrem albernen Satz:

      “Wer daran Negatives findet, hat die Geschichte deutschen Übereifers verpasst.”

      Es IST deutscher Übereifer, wenn Deutschland weit über die EU-Verordnung hinausgeht. Wer das nicht bemerkt, verschläft die aktuelle Entwicklung Deutschlands zu einem totalitären Staat. Und das ist sehr gefährlich. Und jede/r, der dieser Entwicklung Vorschub leistet, macht sich in meinen Augen persönlich verantwortlich für die dunkle Zukunft, der Deutschland mit Siebenmeilenstiefeln entgegengeht.

      Versuchen Sie als “kleiner Datenschutzbeauftragter” also doch einmal, sich auch als Bürger zu fühlen und in beiden Rollen, als Bürger und als Datenschutzbeauftragter, tatsächlich im Interesse von Bürgern (also auch in Ihrem eigenen!) zu handeln. Das beginnt m.E. damit, dass man diese unglaubliche Naivität all dem gegenüber ablegt, was von irgendeiner Hanswurst-Verwaltung Bürgern zugemutet werden soll.

      Zu Ihren sonstigen Punkten spare ich mir den Kommentar, sonst muss ich ein mehrbändiges Werk verfassen, und dazu habe ich weder Zeit noch Lust.

  2. Sven Kuchary says:

    Der kritische Punkt ist nicht der rot hervorgehobene Text, der nach meiner Lesart nur abgrenzt, wann “natürliche und juristische Personen” öffentliche Stellen sind und wann nicht. Es ist der Satz in §1,2: “Für nichtöffentliche Stellen gilt dieses Gesetz …., es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.” – Das bezieht sich auf §1,4: “Dieses Gesetz findet Anwendung auf öffentliche Stellen. Auf nichtöffentliche Stellen findet es Anwendung, sofern (Aufzählung)” – In der Aufzählung kommen die im Blogartikel vermissen Begriffe “Verantwortlicher” und “Auftragsverarbeiter” sehr wohl vor, was in Kombination mit “Niederlassung” auf gewerbliche Verarbeitung hindeutet, und eben nicht auf den privaten Blog. – Mein Eindruck ist, dass das Gesetz handwerklich schlecht gemacht ist, weil es den Tatbestand der Gültigkeit für “Nichtöffentliche” mehrfach mit jeweils unterschiedlichen Worten aufgreift. Ob der Gesetzgeber es absichtlich oder aus Inkompetenz wirr formuliert: In jedem Falle ist das eine Zumutung für jeden potentiell Betroffenen.

Bitte keine Beleidigungen, keine wilden Behauptungen und keine strafbaren Inhalte ... Wir glauben noch an die Vernunft!

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Translate »
error: Content is protected !!