Überwachungsstaat: Wie in Deutschland EU-Direktiven erweitert werden

Seit wir gestern den Beitrag zur EU-Regulation “REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)” veröffentlicht haben, der “Datenschutzverordnung”, die Ende der Woche in Kraft tritt, haben uns unzählige Anfragen und Hinweise erreicht, die man in zwei Klassen Teilen kann: Klasse 1: Bitten um Rechtsberatung. Das dürfen wir natürlich nicht. In Deutschland dürfen nur Anwälte Recht beraten und sich dafür üppig bezahlen lassen. Das ist eines der Monopole, die es in Deutschland gibt. Wie alle Monopole so wurde auch dieses Monopol vom Staat eingerichtet.

Klasse 2 ist eine Form des Staunens und der Irritation, die sich darin Bahn bricht, dass die EU-Regulation, die doch Grundlage des Bundesdatenschutzgesetzes in seiner Neufassung ist, in allen Mitgliedsstaaten der EU gelte und deshalb in allen Mitgliedsstaaten die gleiche K… am Dampfen sein müsse wie in Deutschland.

Die Lösung für dieses Irritationen ist schnell bei der Hand. EU-Regulationen stellen eine Form des Minimalkonsenses dar. Sie enthalten Regelungen, die in einem Mitgliedstaat vorhanden sein müssen, um eine „Harmonie“ in der Gängelung von Bürgern, denen man erzählt, man habe ihnen gerade neue Rechte geschenkt (wie großzügig), herzustellen. Jenseits dieser Gemeinsamkeit wird kein Mitgliedsstaat daran gehindert, das kleine Quäntchen Mehr in das neue Gesetz zu schreiben, weil die Juristen, deren liebste Tätigkeit darin besteht, sich Regulationen für andere auszudenken, an denen die Juristen-Profession wieder verdienen kann, es so wollen.

Die Veränderung und Erweiterung von EU-Verordnungen kann an zwei Schnittstellen erfolgen. Keine davon hat es bislang in das Bewusstsein von Wissenschaftlern geschafft. Die erste Schnittstelle ergibt sich bei der Übersetzung des englischen Originaltextes der EU-Verordnung in die deutsche Sprache. Wer führt diese Übersetzung durch? Welche Interessen werden mit der Übersetzung bedient? Die zweite Schnittstelle ergibt sich bei der Umsetzung der Übersetzung der EU-Verordnung in deutsches Recht. Hier wird hinzugefügt, ausgelassen, erweitert, gestrichen. Der für uns markanteste Unterschied zwischen der EU-Verordnung und dem Bundesdatenschutzgesetz findet sich darin, dass alle Begriffsbestimmungen, die notwendig sind, um festzulegen, welchen Gegenstand und welchen Zweck das Gesetz haben soll und die notwendig sind, um Willkür im Rahmen zu halten, im Bundesdatenschutzgesetz fehlen (siehe unten). Um dieses Manko auszugleichen, wurde der Anwendungsbereich, der in der EU-Verordnung auf „controller“ und „processor“ persönlicher Daten eingeschränkt ist, in Deutschland auf alle „natürlichen und juristischen Personen“ erweitert.

Dementsprechend finden sich in der deutschen Variante der Umsetzung der EU-Verordnung einige deutsche Sonderwege. Wir haben ein paar zusammengestellt, die deutlich zeigen, wie deutsches Recht vom EU-Recht abweicht, wo die kleine Besonderheit eingebaut wird und wo die Überwachungs-Schraube über die Europäische Norm hinaus angezogen wird.

Vorab, die EU-Verordnung unterscheidet im englischen Original zwischen „processor“ und „controller“. Ersterer ist jemand, der personenbezogene Daten verarbeitet, Letzterer ist jemand, der bestimmt, zu welchem Zweck personenbezogene Daten verarbeitet werden. Die entsprechende Definition findet sich z.B. bei ICO, der Britischen Information Commissioner’s Office, dem unabhängigen Watchdog, der im Vereinigten Königreich u.a. für die Umsetzung der EU-Verordnung zuständig ist. Die Umsetzung erfolgt auf Grundlage der EU-Verordnung, ohne nationale Besonderheiten und in der Anwendung der Verordnung wird zwischen Organisationen und Unternehmen differenziert. Private Blogs und andere Entitäten des öffentlichen Rechts, die nicht der Gewinnerzielung dienen und in privater Initiative betrieben werden, hinter denen also keine Organisation steht, kommen nicht vor. Dies ist auch in der Deutschen Datenschutz-Grundverordnung so, die eine direkte Umsetzung der EU-Verordnung darstellt. Zu dieser Datenschutz-Grundverordnung wird ein Bundesdatenschutzgesetz gesellt, dessen Paragraphen mit Paragraphen der Datenschutz-Grundverordnung verbunden sind, diese aufnehmen und ausweiten. Zwei Gesetze für denselben Regelungsgegenstand: Wozu ist das wohl notwendig?

Die Hauptunterscheidung, auf der die Datenschutz-Grundverordnung, die der deutschen Regierung nicht ausreichend war, basiert, ist in der Formulierung der Britischen ICO die folgende:

• A controller determines the purposes and means of processing personal data.
• A processor is responsible for processing personal data on behalf of a controller.

Der Betreiber eines privaten Blogs, der z.B. das Angebot von WordPress nutzt, kann dieser Definition gemäß kein „controller“ sein, denn er kontrolliert weder den Zweck noch die Mittel der Gewinnung und Verarbeitung von persönlichen Daten, und er kann auch kein „processor“ sein, weil er nicht im Auftrag des controllers tätig ist. Die EU-Verordnung taugt demnach nicht dazu, als Überwachungsinstrument privater Blogs und Initiativen genutzt zu werden. Dazu bedarf es einer Erweiterung des Anwendungsbereichs, wie er unten für das Bundesdatenschutzgesetz dokumentiert wird, eine Ausweitung auf „alle natürlichen und juristischen Personen“, UNABHÄNGIG davon, ob sie tatsächlich „personenbezogene Daten“ verarbeiten. Da die Definition davon, was „Verarbeitung personenbezogener Daten“ denn sein soll, im Bundesdatenschutzgesetz und im Gegensatz zur EU-Verordnung (siehe unten) und zur Datenschutz-Grundverordnung fehlt, ist jegliche Form von Betätigung im Internet durch dieses Überwachungs-Gesetz erfasst. Das an sich ist natürlich blanker Unsinn, denn auf diese Weise kann man jeden Betreiber einer Facebook-Seite dazu zwingen, eine Datenschutzerklärung bereitzuhalten und ein Impressum öffentlich zu machen… Deutschland eben.

Hier also ein paar markante Unterschiede zwischen dem Bundesdatenschutzgesetz und EU-Verordnung. Nun ist das Bundesdatenschutzgesetz nicht die Datenschutz-Grundverordnung, die auf EU-Regulation 2016/679 aufbaut bzw. die EU-Regulation in deutsches Recht überträgt. Aber das macht die Angelegenheit nur noch interessanter: Wozu benötigt man in Deutschland ein Bundesdatenschutzgesetz das über die Datenschutz-Grundverordnung der Europäischen Union hinausgeht, wenn nicht dazu, die eigenen Bürger noch über das EU-Maß hinaus zu gängeln und zu überwachen? (Falls jemand eine alternative Erklärung hat, wir sind gespannt…).

EU-Regulation 2016/679 (englisches Original) EU-Verordnung 2016/679 (deutsche Übersetzung) Bundesdatenschutzgesetz 2018
Article 3 Territorial scope

1.This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.

2.This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: (a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or (b) the monitoring of their behaviour as far as their behaviour takes place within the Union.

3.This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law.

Artikel 3 Räumlicher Anwendungsbereich (1)Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.

2)Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist; b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.

(3)Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt

§ 1 BDSG (neu)Anwendungsbereich des Gesetzes
1. 1Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch
1. öffentliche Stellen des Bundes,
2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie
1. Bundesrecht ausführen oder
2. als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt.
2Für nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.
2. Andere Rechtsvorschriften des Bundes über den Datenschutz gehen den Vorschriften dieses Gesetzes vor. Regeln sie einen Sachverhalt, für den dieses Gesetz gilt, nicht oder nicht abschließend, finden die Vorschriften dieses Gesetzes Anwendung. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.
3. Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.
4. Dieses Gesetz findet Anwendung auf öffentliche Stellen. Auf nichtöffentliche Stellen findet es Anwendung, sofern
1. der Verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Inland verarbeitet,
2. die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer inländischen Niederlassung des Verantwortlichen oder Auftragsverarbeiters erfolgt oder
3. der Verantwortliche oder Auftragsverarbeiter zwar keine Niederlassung in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum hat, er aber in den Anwendungsbereich der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) fällt.
Sofern dieses Gesetz nicht gemäß Satz 2 Anwendung findet, gelten für den Verantwortlichen oder Auftragsverarbeiter nur die §§ 8 bis 21, 39 bis 44.
5. Die Vorschriften dieses Gesetzes finden keine Anwendung, soweit das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679 in der jeweils geltenden Fassung, unmittelbar gilt.
6. Bei Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679 stehen die Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum und die Schweiz den Mitgliedstaaten der Europäischen Union gleich. 2Andere Staaten gelten insoweit als Drittstaaten.
7. Bei Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89) stehen die bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands assoziierten Staaten den Mitgliedstaaten der Europäischen Union gleich. 2Andere Staaten gelten insoweit als Drittstaaten.
8. Für Verarbeitungen personenbezogener Daten durch öffentliche Stellen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten finden die Verordnung (EU) 2016/679 und die Teile 1 und 2 dieses Gesetzes entsprechend Anwendung, soweit nicht in diesem Gesetz oder einem anderen Gesetz Abweichendes geregelt ist.
Article 4 Definitions For the purposes of this Regulation:

(1) ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
(2) ‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;
(3) ‘restriction of processing’ means the marking of stored personal data with the aim of limiting their processing in the future;
(4) ‘profiling’ means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements;
(5) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;
(6) ‘filing system’ means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;
(7) ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;
(8) ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller; …
[…]

Artikel 4 Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
5. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
6. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
8.„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; 9. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten …
[…]
§ 2 BDSG (neu)Begriffsbestimmungen
1. Öffentliche Stellen des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, der Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.
2. Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes oder sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.
3.Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, die Aufgaben der öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung nichtöffentlicher Stellen als öffentliche Stellen des Bundes, wenn
1. sie über den Bereich eines Landes hinaus tätig werden oder
2. dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht.
2Andernfalls gelten sie als öffentliche Stellen der Länder.
4. Nichtöffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nichtöffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.
5. Öffentliche Stellen des Bundes gelten als nichtöffentliche Stellen im Sinne dieses Gesetzes, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. Als nichtöffentliche Stellen im Sinne dieses Gesetzes gelten auch öffentliche Stellen der Länder, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, Bundesrecht ausführen und der Datenschutz nicht durch Landesgesetz geregelt ist.

Während der Schwerpunkt der EU-Verordnung auf der Verarbeitung von Daten liegt, liegt der Schwerpunkt der Bundesdatenschutzverordnung auf denen, die die Daten verarbeiten. Während es in der EU-Verordnung darum geht, die Verarbeitung von Daten zu kontrollieren und zu regeln, geht es in der Bundesdatenschutzverordnung darum, diejenigen, die Daten verarbeiten könnten, zu kontrollieren und zu reglementieren. Es sind wie Bourdieu sagen würde, die feinen Unterschiede, die aus einem Korsett eine Zwangsjacke machen.

Auslassung von Definitionen, damit unklar ist, was mit „Verarbeitung personenbezogener Daten“ genau gemeint ist, und eine Ausweitung auf alle, und schon ist die Willkür-Herrschaft, das Manna aller Totalitaristen, hergestellt. Und einmal im Ernst, hätten Sie von einem Gesetzentwurf, der unter Heiko Maas erarbeitet wurde, etwas anderes erwartet als dass er die Bedürfnisse von Überwachungsfetischisten und Winkeladvokaten befriedigt?

Hat Ihnen der Beitrag gefallen?


Weitere Möglichkeiten, ScienceFiles zu unterstützen

Anregungen? Hinweise? Kontaktieren Sie ScienceFiles
©ScienceFiles

Print Friendly, PDF & Email
5 Comments

Bitte keine Beleidigungen, keine wilden Behauptungen und keine strafbaren Inhalte ... Wir glauben noch an die Vernunft!

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Translate »