Bericht zur Tagung 2014 des Instituts für Rundfunkrecht
„Datenschutz im digitalen Zeitalter – global, europäisch, national“ – 48. Tagung des Instituts für Rundfunkrecht an der Universität zu Köln am 16. Mai 2014
Man könnte meinen, dass der Europäische Gerichtshof mit der Entscheidung im Fall Google Spain (C-131/12) die diesjährige Tagung des Instituts für Rundfunkrecht an der Universität zu Köln unterstützen wollte. Die Veranstaltung im Kleinen Sendesaal des WDR-Funkhauses gewann in den ohnehin spannenden Zeiten von Big Data durch die aktuelle Rechtsprechung des EuGH an besonderer Brisanz. 
Am 8. April dieses Jahres erklärte der EuGH die EU-Richtlinie zur Vorratsdatenspeicherung wegen Verstoßes gegen die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten für ungültig und unterband die anlasslose Speicherung von Telekommunikationsdaten. Am 13. Mai urteilte der EuGH, dass Google als verantwortliche Suchmaschine zur Löschung von personenbezogenen Suchergebnissen verpflichtet ist und lieferte damit nur wenige Tage vor der Veranstaltung eine datenschutzrechtliche Überraschung. Beide Urteile sollten für zusätzlichen Diskussionsstoff auf der Tagung sorgen, die in Kooperation und mit Unterstützung der Fritz Thyssen Stiftung für Wirtschaftsförderung und unter Leitung des geschäftsführenden Direktors des Instituts für Rundfunkrecht, Professor Dr. Karl-Eberhard Hain, stattfand. Dieser machte in seinen einleitenden Worten seinen Standpunkt gleich dahingehend deutlich, dass die Utopie vom Internet als perfektes Mittel der Demokratie und Freiheit schon immer naiv gewesen und in Zeiten des NSA-Skandals durch die Nutzung der Telekommunikation als Instrument von Kontrolle und Machtausübung entkräftet sei.
Diese Probleme beleuchtete auch Professor Dr. Matthias Cornils (Johannes Gutenberg-Universität Mainz). Er verzichtete bewusst auf eine Darstellung der üblichen Gefährdungsszenarien im Datenraum, die er für offensichtlich erachtete, und widmete sich einer rein grundrechtlichen Betrachtung des (trans-)nationalen Datenschutzrechts im digitalen Zeitalter. Anhand der neuen Rechtsprechung des EuGH betonte er, dass der EuGH immer häufiger zu Grundrechtsfragen Stellung nimmt und gerade beim Datenschutz nicht nur mit dem Bundesverfassungsgericht gleichzieht, sondern sogar den Eindruck erweckt kompromissloser zu sein. Darin liege eine Kompetenzverschiebung, die Cornils mit dem Hinweis kritisierte, dass Effizienz keine (Grundrechts-)Kompetenz verschaffe, denn zur angemessenen Beurteilung der unterschiedlich ausgeprägten Grundrechtsdogmatik aller Mitgliedsstaaten sehe er den EuGH nicht in der Lage. Sinnvoller sei es, dass das Gericht maßgebliche Abwägungskriterien vorgebe, die Abwägung selbst aber den Mitgliedstaaten überlasse. Der europäische Grundrechtsschutz sei zudem aufgrund seiner verschiedenen Säulen sehr kompliziert und werde auch im Google-Urteil vom EuGH selbst nicht sauber angewandt, weshalb Cornils zur weiteren Herausbildung des unionsrechtlichen Grundrechtsschutzes noch viel dogmatische Feinarbeit für erforderlich hält. Kritisch äußerte sich Cornils aber auch gegenüber der Behandlung des Datenschutzes auf nationaler verfassungsrechtlicher Ebene. Weil es kein belangloses Datum mehr gebe, werde hier ein Vorfeldschutz gewährleistet, der die zweifelhafte Wirkung eines „vorsorglichen Allroundschutzes“ habe. Cornils betrachtet es als Dilemma, dass die Begrenzung des Datenschutzes auf spezifische Gefahren gerade die Möglichkeit des Datenschutzrechts behindert, auf diffuse Gefährdungslagen zu reagieren. Das erfordere eine Ergänzung des Individualschutzes um einen technikbezogenen Systemschutz durch Stärkung von Stabilität, Integrität und Vertraulichkeit der Datennetze.
Mit dem europäischen und deutschen Datenschutz beschäftigte sich Professorin Dr. Indra Spiecker gen. Döhmann, LL.M. (Direktorin der Forschungsstelle Datenschutz an der Goethe-Universität Frankfurt am Main). Unter der Überschrift „Architektonik des Datenschutzes“ erläuterte sie allgemeine Problemlagen des Datenschutzrechts im IT-Zeitalter. Das besondere Gefährdungspotential im Datenraum sieht Spiecker in der Qualität von Information, bei der ein Eingriff – anders als beim „Brötchen-Klau“ – regelmäßig weder spürbar noch rückholbar sei. Die Gefahrenlage beginne schon mit dem Besitz von Information, weshalb auch ein frühes Ansetzen des Schutzes beim Sammeln der Daten in Form des Vorfeldschutzes notwendig sei. Dies stehe mit dem Charakter des Datenschutzrechts als Technologierecht im Einklang. Allein den Umgang mit den Daten zu regulieren, greife dagegen zu spät. Große Probleme des Datenschutzes lastete Spiecker jedoch weniger dem Datenschutzrecht selbst an, sondern dessen Vollzug. Zum einen sei die Rechtslage insbesondere im Hinblick auf die Anforderungen an Einwilligungen unklar, sodass selbst gutwillige Unternehmen sich kaum datenschutzkonform verhalten könnten. Bezüglich der uneinheitlichen Datenschutzlage in der EU seien nun neue Entwicklungen zu erwarten. Zum anderen fehlten immer noch ausreichende Anreize zur Beachtung des Datenschutzes in Form angemessener Sanktionen für Verstöße. Angesichts neuer Problemlagen durch Big-Data-Analysen und die Entwicklung automatischer Entscheidungssysteme machte Spiecker deutlich, dass es eines ganzheitlichen Informationskonzeptes zur Abwehr der vielfältigen Gefahren für personenbezogene Daten dringend bedarf.
Professor of Law Paul M. Schwartz vom Berkeley Center for Law & Technology
an der University of California erläuterte sodann die Architektonik des Datenschutzes in den USA. Grundlegende Unterschiede liegen darin, dass es in den USA nur bereichsspezifische Regelungen, nicht aber einen umfassenden Schutz wie in Europa („Omnibus-Approach“) gibt. Einem generellen Verbot mit Erlaubnisvorbehalt – wie es das deutsche Recht kennt ? steht das „First Amendment“ im Wege. Außerdem verlangen die amerikanischen Gerichte für individuellen Rechtsschutz den Nachweis eines Schadens – stuften eine Verletzung der Privatsphäre durch staatliche Datenüberwachung aber noch wenige Monate vor den Snowden-Enthüllungen als rein hypothetische Gefahr und „hochspekulative Angst“ ein (Clapper v. Amnesty International USA, S. Ct. 2013). Beim Vollzug des Datenschutzrechts wird dagegen härter durchgegriffen: Die Federal Trade Commission agiert als „Datenschutz-Polizei“ mit einschneidenden Durchsetzungsbefugnissen. Aus Sicht der Amerikaner, bei denen das EU-Datenschutzrecht vielfach als „Papiertiger“ gilt, das in der Realität nicht umgesetzt werde, hat man damit bereits eine Antwort auf die Frage – die Schwartz führenden Datenschutzrechtlern gestellt hat ?, warum die Amerikaner den europäischen Datenschutz nicht mögen. Ihnen sei das EU-Recht zu vage und es berge die Gefahr, das gesamte Internet als „illegal“ zu deklarieren. Datennutzung bringe der Gesellschaft aber beachtliche Vorteile, die man nicht preisgeben sollte. Frustrierend seien für die US-Amerikaner im Übrigen die dauernden Revierkämpfe zwischen Datenschutzbehörden und Gerichten verschiedener Länder und nicht zuletzt die in Europa immer noch verbreitete Auffassung, dass die Geheimdienstüberwachung allein ein Problem der USA darstelle.
Die Problematik der Geheimdienste sprach auch Ralf Bendrath, wissenschaftlicher Mitarbeiter im Büro von MdEP Jan Philipp Albrecht, bei seinem Bericht über den Stand der europäischen Datenschutzreform an. Zwar brachte die Geheimdienstaffäre den Datenschutz in aller Munde. Dass dieser aber schon vorher von großem Interesse war, zeige der „Lobbying-Tsunami“, der in 2012 auf Brüssel zurollte. Allein Albrechts Büro traf sich in diesem Jahr über 168 Mal mit Lobbyisten, es wurden insgesamt 3999 Anträge auf Änderung des Entwurfs für die europäische Datenschutz-Grundverordnung gestellt und die Plattform Lobbyplag.eu zeigt, dass zahlreiche Papiere von Lobbyisten über Änderungsanträge von Abgeordneten direkt ins EU-Parlament gelangten. Ein besonderer „Snowden-Effekt“ auf die Kernthemen der Datenschutz-Grundverordnung war dagegen nicht zu verzeichnen. Ebenso wenig Neues zum Thema #EUdataP brachte nach Ansicht von Bendrath das Google-Urteil des EuGH – ein R2BF (right to be forgotten) und R2E (right to erasure) seien in der Grundverordnung bereits vorgesehen. Auch die Definition personenbezogener Daten (einschließlich Personenbestimmbarkeit), die Anforderungen an eine Einwilligung (ohne Zwang, explizit) und eine „One-Stop-Shop“-Regelung im Bereich der Datenschutzaufsicht seien fest verankert. Durch letztere sollen Schlupflöcher nach Luxemburg oder Irland mit einem schwächer ausgebauten Datenschutzrecht in Zukunft verschlossen sein. Es fehlt die Abstimmung durch den Ministerrat, die bisher auch durch Deutschland verzögert werde.
Deutschland als Stolperstein in der europäischen Datenschutzreform ist eine Vorstellung, die auch Dr. Thilo Weichert, dem Landesbeauftragten für den Datenschutz Schleswig-Holstein und Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, missfällt. Er befasste sich mit der Kontrolle von Datenerhebung und -nutzung durch global agierende soziale Netzwerke und erläuterte Probleme insbesondere durch kurzfristige Regelungsänderungen aufgrund rasanter technischer Entwicklungen, die lange Dauer von Gerichtsverfahren, begrenzte Sanktionsmöglichkeiten sowie Zuständigkeits- und Sprachenprobleme im grenzüberschreitenden Bereich. Im internationalen Datenschutz sieht Weichert das größte Konfliktpotential. Während in Europa ein beachtlicher digitaler EU-Grundrechtsstandard bestehe, fehlten in den USA ausreichende Bemühungen zur Einführung
digitaler Grundrechte. Insbesondere würden die großen amerikanischen Unternehmen Facebook und Google nicht genügend kontrolliert, deren Geschäftsmodelle Weichert scharf kritisierte. Er plädierte daher für die zeitnahe Schaffung einheitlicher Mindeststandards, um Wettbewerbsnachteile für deutsche gegenüber amerikanischen Unternehmen zu vermeiden. Das Google-Urteil des EuGH und eine zügige Verabschiedung der europäischen Datenschutz-Grundverordnung seien dabei wichtige Schritte.
Zum Abschluss der Tagung des Instituts für Rundfunkrecht wurden die Themen des Tages in einer Podiumsdiskussion mit den Referenten unter Leitung der Professoren Dr. Karl-Eberhard Hain und Dr. Karl-Nikolaus Peifer, Dir ektor und Leiter der zivilrechtlichen Abteilung des Instituts für Rundfunkrecht, rekapituliert. 
Insbesondere im Dialog zwischen Schwartz und Weichert zeigten sich noch einmal die erheblichen Unterschiede zwischen den Datenschutzsystemen. Sowohl das deutsche Datenschutzrecht als auch die europäischen Regelungen nehmen bereits das Erheben von Daten in den Blick, in den USA dagegen ist erst die schadenverursachende Datennutzung relevant, was nach Meinung der Mehrheit auf dem Podium wegen des bereits nach Erhebung möglichen Missbrauchs zu spät ansetzt. Einigkeit fehlt außerdem noch in der Frage, ob es zu weit reicht, jedes personenbeziehbare Datum unter den Schutz des Datenschutzrechts zu stellen – wäre damit nicht jedes Datum relevant, da in Zeiten von Big Data selbst bei anonymen Daten die Gefahr einer Reidentifizierung besteht? Der Frage, ob ein globales Datenschutzrecht schnell erreichbar ist, begegnete das Podium mit Skepsis. Auch Paul Schwartz wies aber mit Blick auf
das in den USA vielfach als Vorbild wirkende kalifornische Datenschutzrecht auf einen „California Effect“ hin, der zusammen mit einem „Brussels Effect“ weltweite Standards setzen könnte.
Die Vorträge und Diskussionsbeiträge werden in einem Tagungsband veröffentlicht, der in der Schriftenreihe des Instituts für Rundfunkrecht erscheint.
Wiss. Mit. Anke Imgrund, Institut für Medienrecht und Kommunikationsrecht der Universität zu Köln