Sie kennen die Datenschutz-Grundverordnung? Sie Streber. Macht aber nichts. Die Älteren werden sich vielleicht noch daran erinnern, dass es eine Zeit gab, als der Datenschutz nicht als Verordnung, sondern als Richtlinie daherkam.
Kurz gesagt, gelten Verordnungen der EU direkt und sofort in der ganzen EU und Richtlinien müssen erst noch in nationales Gesetz gegossen werden. Und so war es 1995 mit der Datschutzrichtlinie auch der Fall. Doch der Reihe nach.
Es war die Zeit, in der Kapitäne des Traumschiffs stets am Ende einer Folge großkotzig in ihrer Abschlussrede durchscheinen ließen, dass natürlich eine Vollüberwachung auf dem Schiff erfolgte. Schließlich wusste er stets, wer da mit wem was angefangen hatte und welche Schicksale sich in Wohlbefinden aufgelöst hatten. Und zum Schrecken jedes zuschauenden Datenschützers wurde das auch von den Betroffenen einfach weggelächelt. Der blanke Horror – freigegeben ab 6 Jahren und bezahlt von unseren Gebühren. Das ist heute auch noch immer so. Warum ich das hier erzähle? Weil ich nicht wusste, wo ich den Gag sonst unterbringen sollte.
Doch zurück zur Datenschutzrichtlinie.
Die hört auf den schönen Namen „Richtlinie 95/46/EG“, was einem ja gleich Lust darauf macht, sich mit ihr zu beschäftigen. Die Idee, das Thema Datenschutz auf europäischer Ebene anzugehen, stammt schon aus der Mitte der 70er Jahre. Das Europäische Parlament sah da schon die Gefahr, dass persönliche Daten der Bürger missbraucht werden könnten – von öffentlichen wie privaten Stellen. Die Kommission hingegen war nicht ganz so Feuer und Flamme. Die hatte eher den gemeinsamen Markt und den freien Handel im Blick. Und dafür ist es gut, wenn Daten ungehindert fließen können. Keine Ahnung, ob da schon in der Kantine der Kommission von „Daten als neues Öl“ geschwärmt wurde. Auf jeden Fall brauchte es zwanzig Jahre, bis man über ein eher als Empfehlung anzusehendes Übereinkommen des Europarats hinaus ging und die Datenschutzrichtlinie mit dem tollen Namen erließ.
Mich persönlich nervt es immer wieder in solchen Büchern, wenn alle davon ausgehen, dass man die Institutionen der EU draufhat. Daher hier für das nächste Partygespräch eine kurze Auffrischung. Die haben Sie natürlich nicht nötig. Aber vielleicht ist der folgende Absatz ja gut für den Kollegen, dem Sie das Buch demnächst mal ausleihen wollen.
Das, was wir regelmäßig bei der „Europawahl“ wählen, ist das Europäische Parlament. Das ist ein wenig vergleichbar mit unserem Bundestag, auch wenn es nicht ganz so weitreichende Rechte hat. Aber hier werden die europäischen Rechtsvorschriften gefasst. Die Initiative dafür stammt oft von der Europäischen Kommission. Das ist quasi die Regierung. Und dann gibt es noch etwas wie den Bundesrat, das ist der Rat der Europäischen Union. In dem sitzen die Ministerinnen und Minister der Mitgliedsstaaten. Und schließlich haben wir da noch so etwas wie eine Lenkungsgruppe oder einen Aufsichtsrat, der die EU als Ganzes im Blick hat: der Europäische Rat. Der setzt sich aus den Staats- und Regierungschefs der Mitgliedsstaaten zusammen. Gesetze erlassen ist nicht deren Ding, aber die EU-Verträge haben sie unter ihrer Kontrolle – quasi das Herzstück Europas, das zum Glück die kriegerische Auseinandersetzung ersetzt hat. Großartig, dass es sowohl den „Rat der Europäischen Union“, wie auch den „Europäischen Rat“ gibt. Das hilft sicherlich, dieses Konstrukt über Ratesendungen hinaus populär zu machen. Von solchen Marketingsünden gibt es so einige bei der EU. Neben dem Europäischen Gerichtshof (EuGH, für Gebildete auch Gerichtshof der Europäischen Union genannt) gibt es noch das Gericht der Europäischen Union (EuG), quasi die Vorinstanz des EuGH. Und daneben existiert noch der Europäische Gerichtshof für Menschenrechte, der die Einhaltung der Europäischen Menschenrechtskonvention sicherstellt. Irgendetwas müssen wir Juristen ja im Studium lernen … und ich verspreche Ihnen, mit diesem Wissen sind Sie der Renner bei jedem Speeddating – zumindest, wenn es um die Geschwindigkeit bei dem Wechsel der Gesprächspartner geht.
Die Älteren erinnern sich noch, wir waren bei der Datenschutzrichtlinie. Ich erwähnte, dass Richtlinien erst noch in nationales Recht gepackt werden müssen. Dafür hatten die Mitgliedsstaaten immerhin fast drei Jahre bis zum Herbst 1998 Zeit. Deutschland nahm sich noch ein paar Sabbatjahre zusätzlich und kam dem erst im Mai 2001 mit der Änderung des Bundesdatenschutzgesetzes nach. Das auch erst, nachdem die EU-Kommission ein Vertragsverletzungsverfahren eingeleitet hatte. Und weil man schonmal dabei war, sich ehrenlos zu verhalten, war die Umsetzung der Richtlinie auch noch teilweise Mist, zumindest in den Bundesländern. Denn die Datenschutzaufsichtsbehörden waren nicht ausreichend unabhängig ausgestaltet worden. Teilweise hatte z. B. der Ministerpräsident noch ein Wörtchen mitzureden. Bei einer Behörde, die auch ihn kontrollieren soll, keine gute Lösung. Wieder gab es ein Vertragsverletzungsverfahren. Und 2010 entschied der EuGH, dass die Vorgaben in Deutschland tatsächlich falsch umgesetzt worden waren. Ehre genommen, Danke <Hier Name eines beliebigen Politikers der Zeit einsetzen>!
Inhaltlich war aber ansonsten in der Richtlinie Vieles, was wir in der heutige Datenschutz-Grundverordnung wieder entdecken werden. Zum Beispiel war man schon sehr sensibel, was sensible Daten anging. Kommen wir noch zu. Auch war die Einwilligung die Grundlage von fast allem. Klingt nach Bundesverfassungsgericht und jeder soll gefälligst selbst entscheiden, wer was wann über einen weiß. Ist aber leider dann doch nicht immer die perfekte Lösung. Warum? Hier wird noch nicht gespoilert.
Wie kreativ-zurückhaltend man jedoch bei der Umsetzung von Richtlinien trotz eindeutigem Wortlaut sein konnte, dafür gibt es zur Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) ein prägnantes Beispiel. Das war die Sonder-Datenschutzrichtlinie für den Telekommunikationsbereich von 2002. Immerhin hatte man dafür schnell einen griffigeren Namen bei der Hand: ePrivacy-Richtlinie, oder gehässiger: Cookie-Richtlinie. Funfact: Auch die ePrivacy-Verordnung sollte passend zur Datenschutz-Grundverordnung ebenfalls ab 2018 wirksam sein. Ob es die EU bis heute geschafft hat, diesen nicht ganz banalen Bereich angemessen zu regeln? Bleiben Sie dran und lesen Sie weiter …
Besagte ePrivacy-Richtlinie sah in Art. 5 Abs. 3 vor, dass beim Einsatz von technisch nicht notwendigen Cookies der Nutzer einwilligen muss. Cookies sind kleine Dateien auf dem Rechner des Nutzers, die z. B. eine Webseite dort hinterlegt, um den Nutzer wieder zu erkennen und insbesondere über sein bisheriges Verhalten und seine Eingaben Notizen zu machen. Das klingt erst einmal sehr perfide, schließlich nutzt man die eigene Hardware seines Opfers, um ihn zu zwingen, sich beim Surfen im Internet kenntlich zu machen. Oftmals ist es das auch, etwa wenn Informationen über viele Webseiten hinweg ausgewertet werden, die alle die gleichen Werbenetzwerke nutzen. Es kann aber auch sinnvoll sein, etwa wenn man keinen Bock hat, sich immer wieder bei einer Webseite anzumelden oder man möchte einen Warenkorb beim Bestellen bis zum Gang zur Kasse aufzubewahren. Kurz gesagt, Cookies sind im Guten wie im Bösen aus dem Internet nicht wegzudenken. Gut, wenn man dann eine Regelung macht, die verlangt, dass der Nutzer selber entscheiden soll, ob er das will? Klingt richtig, fühlt sich aber nach wenigen Minuten Surfen im Internet nervig an. Denn Cookies sind überall. Und Webseiten sind schon lange nicht nur einfache Webseiten. Teilweise sind Dutzende oder noch mehr Anbietern involviert. Und alle wollen sie was vom Kuchen … äh Cookie … abhaben. Und dann kommt man ggf. nicht mehr aus dem Einwilligen hinaus. Synonym für diese Einwilligungen sind die sogenannten Cookie-Banner. Aber darüber wollen wir weiter hinten noch reden. Das ist für Internet-Nerds wirklich spannend und herausfordernd. Und für alle anderen ist dann die Zeit schon abgelaufen, wo sie dieses Buch innerhalb der gesetzlichen Widerrufsfrist zurückgeben können.
Einigen wir uns darauf, dass die Idee der Einwilligung in Cookies im Jahr 2002 noch eine gute Idee und die Richtlinie da auch in ihrer Formulierung eindeutig war: „Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“ Wir merken uns also das Wort „Einwilligung“.
Der deutsche Gesetzgeber war nun also aufgefordert, dieses in ein nationales Gesetz zu überführen. Und diese Regelung fand sich in § 15 Abs. 3 Telemediengesetz (TMG). Das Gesetz gibt es heute nicht mehr, sondern ist Teil eines anderen Gesetzes geworden, wo die Wortschöpfungsmafia wirklich ganze Arbeit geleistet hat. Freuen Sie sich auf den Abschnitt zum „TDDDG“. In besagtem § 15 Abs. 3 TMG stand nun Folgendes: „Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.“ Sehen Sie, wo das Wort „Einwilligung“ versteckt ist? Nein? Schauen Sie nochmal ganz genau hin bitte! Denn auf Nachfrage behaupteten die zuständigen Stellen, dass das schon passen würde. Nicht widersprechen sei doch das gleiche wie Einwilligen. Im häuslichen Kontext mag das hinkommen. Wenn mein Sohn spontan mehr Medienzeit familientarifrechtlich auszuhandeln wünscht und ich nicht augenblicklich während meines Toilettengangs durch die gesamte Wohnung brüllend widerspreche, dann nimmt er das auch als Einwilligung. Zu Recht? Wohl eher nicht. Und mit dieser ablehnenden Haltung zu „Einwilligung ist gleich fehlender Widerspruch“ sind wir nicht allein. Das sah auch der EuGH 2019 so (Az. C-673/17): Einwilligungspflicht gilt. Basta! Gefragt hatte der Bundesgerichtshof (BGH) und wer fragt muss mit der Antwort leben. Das führte dazu, dass der BGH entschied, dass der § 15 Abs. 3 TMG richtlinienkonform ausgelegt werden muss und wo „nicht widerspricht“ steht, muss „einwilligt“ gelesen werden. Steht da also doch, man sieht es nur nicht. It’s Magic!
Das also war die Geschichte von der seltsam kreativen Umsetzung einer Richtlinie. Paulanergarten, da kannst Du einpacken, oder?
Podcast: Play in new window | Download
Schreibe einen Kommentar