Die EU-Datenschutzrichtlinie – Früher war die Welt noch in Ordnung?

Sie kennen die Datenschutz-Grundverordnung? Sie Streber. Macht
aber nichts. Die Älteren werden sich vielleicht noch daran
erinnern, dass es eine Zeit gab, als der Datenschutz nicht als
Verordnung, sondern als Richtlinie daherkam.


Kurz gesagt, gelten Verordnungen der EU direkt und sofort in der
ganzen EU und Richtlinien müssen erst noch in nationales Gesetz
gegossen werden. Und so war es 1995 mit der Datschutzrichtlinie
auch der Fall. Doch der Reihe nach.


Es war die Zeit, in der Kapitäne des Traumschiffs stets am Ende
einer Folge großkotzig in ihrer Abschlussrede durchscheinen
ließen, dass natürlich eine Vollüberwachung auf dem Schiff
erfolgte. Schließlich wusste er stets, wer da mit wem was
angefangen hatte und welche Schicksale sich in Wohlbefinden
aufgelöst hatten. Und zum Schrecken jedes zuschauenden
Datenschützers wurde das auch von den Betroffenen einfach
weggelächelt. Der blanke Horror – freigegeben ab 6 Jahren und
bezahlt von unseren Gebühren. Das ist heute auch noch immer so.
Warum ich das hier erzähle? Weil ich nicht wusste, wo ich den Gag
sonst unterbringen sollte.


Doch zurück zur Datenschutzrichtlinie.


Die hört auf den schönen Namen „Richtlinie 95/46/EG“, was einem
ja gleich Lust darauf macht, sich mit ihr zu beschäftigen. Die
Idee, das Thema Datenschutz auf europäischer Ebene anzugehen,
stammt schon aus der Mitte der 70er Jahre. Das Europäische
Parlament sah da schon die Gefahr, dass persönliche Daten der
Bürger missbraucht werden könnten – von öffentlichen wie privaten
Stellen. Die Kommission hingegen war nicht ganz so Feuer und
Flamme. Die hatte eher den gemeinsamen Markt und den freien
Handel im Blick. Und dafür ist es gut, wenn Daten ungehindert
fließen können. Keine Ahnung, ob da schon in der Kantine der
Kommission von „Daten als neues Öl“ geschwärmt wurde. Auf jeden
Fall brauchte es zwanzig Jahre, bis man über ein eher als
Empfehlung anzusehendes Übereinkommen des Europarats hinaus ging
und die Datenschutzrichtlinie mit dem tollen Namen erließ.


Mich persönlich nervt es  immer wieder in solchen Büchern,
wenn alle davon ausgehen, dass man die Institutionen der EU
draufhat. Daher hier für das nächste Partygespräch eine kurze
Auffrischung. Die haben Sie natürlich nicht nötig. Aber
vielleicht ist der folgende Absatz ja gut für den Kollegen, dem
Sie das Buch demnächst mal ausleihen wollen.


Das, was wir regelmäßig bei der „Europawahl“ wählen, ist das
Europäische Parlament. Das ist ein wenig vergleichbar mit unserem
Bundestag, auch wenn es nicht ganz so weitreichende Rechte hat.
Aber hier werden die europäischen Rechtsvorschriften gefasst. Die
Initiative dafür stammt oft von der Europäischen Kommission. Das
ist quasi die Regierung. Und dann gibt es noch etwas wie den
Bundesrat, das ist der Rat der Europäischen Union. In dem sitzen
die Ministerinnen und Minister der Mitgliedsstaaten. Und
schließlich haben wir da noch so etwas wie eine Lenkungsgruppe
oder einen Aufsichtsrat, der die EU als Ganzes im Blick hat: der
Europäische Rat. Der setzt sich aus den Staats- und
Regierungschefs der Mitgliedsstaaten zusammen. Gesetze erlassen
ist nicht deren Ding, aber die EU-Verträge haben sie unter ihrer
Kontrolle – quasi das Herzstück Europas, das zum Glück die
kriegerische Auseinandersetzung ersetzt hat. Großartig, dass es
sowohl den „Rat der Europäischen Union“, wie auch den
„Europäischen Rat“ gibt. Das hilft sicherlich, dieses Konstrukt
über Ratesendungen hinaus populär zu machen. Von solchen
Marketingsünden gibt es so einige bei der EU. Neben dem
Europäischen Gerichtshof (EuGH, für Gebildete auch Gerichtshof
der Europäischen Union genannt) gibt es noch das Gericht der
Europäischen Union (EuG), quasi die Vorinstanz des EuGH. Und
daneben existiert noch der Europäische Gerichtshof für
Menschenrechte, der die Einhaltung der Europäischen
Menschenrechtskonvention sicherstellt. Irgendetwas müssen wir
Juristen ja im Studium lernen … und ich verspreche Ihnen, mit
diesem Wissen sind Sie der Renner bei jedem Speeddating –
zumindest, wenn es um die Geschwindigkeit bei dem Wechsel der
Gesprächspartner geht.


Die Älteren erinnern sich noch, wir waren bei der
Datenschutzrichtlinie. Ich erwähnte, dass Richtlinien erst noch
in nationales Recht gepackt werden müssen. Dafür hatten die
Mitgliedsstaaten immerhin fast drei Jahre bis zum Herbst 1998
Zeit. Deutschland nahm sich noch ein paar Sabbatjahre zusätzlich
und kam dem erst im Mai 2001 mit der Änderung des
Bundesdatenschutzgesetzes nach. Das auch erst, nachdem die
EU-Kommission ein Vertragsverletzungsverfahren eingeleitet hatte.
Und weil man schonmal dabei war, sich ehrenlos zu verhalten, war
die Umsetzung der Richtlinie auch noch teilweise Mist, zumindest
in den Bundesländern. Denn die Datenschutzaufsichtsbehörden waren
nicht ausreichend unabhängig ausgestaltet worden. Teilweise hatte
z. B. der Ministerpräsident noch ein Wörtchen mitzureden. Bei
einer Behörde, die auch ihn kontrollieren soll, keine gute
Lösung. Wieder gab es ein Vertragsverletzungsverfahren. Und 2010
entschied der EuGH, dass die Vorgaben in Deutschland tatsächlich
falsch umgesetzt worden waren. Ehre genommen, Danke !


Inhaltlich war aber ansonsten in der Richtlinie Vieles, was wir
in der heutige Datenschutz-Grundverordnung wieder entdecken
werden. Zum Beispiel war man schon sehr sensibel, was sensible
Daten anging. Kommen wir noch zu. Auch war die Einwilligung die
Grundlage von fast allem. Klingt nach Bundesverfassungsgericht
und jeder soll gefälligst selbst entscheiden, wer was wann über
einen weiß. Ist aber leider dann doch nicht immer die perfekte
Lösung. Warum? Hier wird noch nicht gespoilert.


Wie kreativ-zurückhaltend man jedoch bei der Umsetzung von
Richtlinien trotz eindeutigem Wortlaut sein konnte, dafür gibt es
zur Datenschutzrichtlinie für elektronische Kommunikation
(2002/58/EG) ein prägnantes Beispiel. Das war die
Sonder-Datenschutzrichtlinie für den Telekommunikationsbereich
von 2002. Immerhin hatte man dafür schnell einen griffigeren
Namen bei der Hand: ePrivacy-Richtlinie, oder gehässiger:
Cookie-Richtlinie. Funfact: Auch die ePrivacy-Verordnung sollte
passend zur Datenschutz-Grundverordnung ebenfalls ab 2018 wirksam
sein. Ob es die EU bis heute geschafft hat, diesen nicht ganz
banalen Bereich angemessen zu regeln? Bleiben Sie dran und lesen
Sie weiter …


Besagte ePrivacy-Richtlinie sah in Art. 5 Abs. 3 vor, dass beim
Einsatz von technisch nicht notwendigen Cookies der Nutzer
einwilligen muss. Cookies sind kleine Dateien auf dem Rechner des
Nutzers, die z. B. eine Webseite dort hinterlegt, um den Nutzer
wieder zu erkennen und insbesondere über sein bisheriges
Verhalten und seine Eingaben Notizen zu machen. Das klingt erst
einmal sehr perfide, schließlich nutzt man die eigene Hardware
seines Opfers, um ihn zu zwingen, sich beim Surfen im Internet
kenntlich zu machen. Oftmals ist es das auch, etwa wenn
Informationen über viele Webseiten hinweg ausgewertet werden, die
alle die gleichen Werbenetzwerke nutzen. Es kann aber auch
sinnvoll sein, etwa wenn man keinen Bock hat, sich immer wieder
bei einer Webseite anzumelden oder man möchte einen Warenkorb
beim Bestellen bis zum Gang zur Kasse aufzubewahren. Kurz gesagt,
Cookies sind im Guten wie im Bösen aus dem Internet nicht
wegzudenken. Gut, wenn man dann eine Regelung macht, die
verlangt, dass der Nutzer selber entscheiden soll, ob er das
will? Klingt richtig, fühlt sich aber nach wenigen Minuten Surfen
im Internet nervig an. Denn Cookies sind überall. Und Webseiten
sind schon lange nicht nur einfache Webseiten. Teilweise sind
Dutzende oder noch mehr Anbietern involviert. Und alle wollen sie
was vom Kuchen … äh Cookie … abhaben. Und dann kommt man ggf.
nicht mehr aus dem Einwilligen hinaus. Synonym für diese
Einwilligungen sind die sogenannten Cookie-Banner. Aber darüber
wollen wir weiter hinten noch reden. Das ist für Internet-Nerds
wirklich spannend und herausfordernd. Und für alle anderen ist
dann die Zeit schon abgelaufen, wo sie dieses Buch innerhalb der
gesetzlichen Widerrufsfrist zurückgeben können.


Einigen wir uns darauf, dass die Idee der Einwilligung in Cookies
im Jahr 2002 noch eine gute Idee und die Richtlinie da auch in
ihrer Formulierung eindeutig war: „Die Mitgliedstaaten stellen
sicher, dass die Speicherung von Informationen oder der Zugriff
auf Informationen, die bereits im Endgerät eines Teilnehmers oder
Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende
Teilnehmer oder Nutzer auf der Grundlage von klaren und
umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG
u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung
gegeben hat.“ Wir merken uns also das Wort „Einwilligung“.


Der deutsche Gesetzgeber war nun also aufgefordert, dieses in ein
nationales Gesetz zu überführen. Und diese Regelung fand sich in
§ 15 Abs. 3 Telemediengesetz (TMG). Das Gesetz gibt es heute
nicht mehr, sondern ist Teil eines anderen Gesetzes geworden, wo
die Wortschöpfungsmafia wirklich ganze Arbeit geleistet hat.
Freuen Sie sich auf den Abschnitt zum „TDDDG“. In besagtem § 15
Abs. 3 TMG stand nun Folgendes: „Der Diensteanbieter darf für
Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten
Gestaltung der Telemedien Nutzungsprofile bei Verwendung von
Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.“
Sehen Sie, wo das Wort „Einwilligung“ versteckt ist? Nein?
Schauen Sie nochmal ganz genau hin bitte! Denn auf Nachfrage
behaupteten die zuständigen Stellen, dass das schon passen würde.
Nicht widersprechen sei doch das gleiche wie Einwilligen. Im
häuslichen Kontext mag das hinkommen. Wenn mein Sohn spontan mehr
Medienzeit familientarifrechtlich auszuhandeln wünscht und ich
nicht augenblicklich während meines Toilettengangs durch die
gesamte Wohnung brüllend widerspreche, dann nimmt er das auch als
Einwilligung. Zu Recht? Wohl eher nicht. Und mit dieser
ablehnenden Haltung zu „Einwilligung ist gleich fehlender
Widerspruch“ sind wir nicht allein. Das sah auch der EuGH 2019 so
(Az. C-673/17): Einwilligungspflicht gilt. Basta! Gefragt hatte
der Bundesgerichtshof (BGH) und wer fragt muss mit der Antwort
leben. Das führte dazu, dass der BGH entschied, dass der § 15
Abs. 3 TMG richtlinienkonform ausgelegt werden muss und wo „nicht
widerspricht“ steht, muss „einwilligt“ gelesen werden. Steht da
also doch, man sieht es nur nicht. It’s Magic!


Das also war die Geschichte von der seltsam kreativen Umsetzung
einer Richtlinie. Paulanergarten, da kannst Du einpacken, oder?