Startseite

 

 

Vom Sinn und Unsinn einer Datenschutzerklärung

 

 

Gliederung:

 

1. Das Problem

2. Erhöhte außerordentliche Kosten

3. Falsche Anreize

4. Geringe Erfolgsaussichten

5. Anreiz zu unproduktiven Beschäftigungen

6. Verletzung bisheriger Rechtsgrundsätze

 

 

1. Das Problem

 

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung der Europäischen Union in Kraft, welche die Regeln zur Verarbeitung personenbezogener Daten durch private Personen und öffentliche Stellen EU-weit festlegt.

 

Ziel dieser Verordnung ist es, den Schutz personenbezogener Daten innerhalb der Europäischen Union sicherzustellen sowie den freien Datenverkehr innerhalb des Europäischen Binnenmarktes zu garantieren.

 

Diese Verordnung tritt an die Stelle der aus dem Jahre 1995 stammenden Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

 

Im Gegensatz zur bisherigen Richtlinie gilt die jetzt gültige Datenschutz-Grundverordnung unmittelbar in allen EU-Mitgliedstaaten, während die bisherige Richtlinie von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden musste.

 

Die Mitgliedstaaten haben allerdings auf dem Wege von Rechtsvorschriften dafür zu sorgen, dass das Recht auf den Schutz personenbezogener Daten mit dem durch die Verfassung geschützten Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang steht.

 

Die Mitgliedstaaten haben weiterhin nicht das Recht, den in der Grundverordnung festgelegten Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken. Allerdings kennt diese Grundverordnung trotzdem verschiedene Öffnungsklauseln, aufgrund derer es den einzelnen Mitgliedstaaten ermöglicht wird, bestimmte Aspekte des Datenschutzes auch im nationalen Alleingang zu regeln.

 

Die für diese Grundverordnung verantwortlichen Politiker betonen die Vorteile der Datenschutzverordnung: Mit dieser Grundverordnung sei ein Gesetz geschaffen, das Verbrauchern bessere Kontrolle über ihre persönlichen Informationen gebe und das gestatte, Verstöße gegen den Datenschutz konsequenter als bisher zu ahnden. Vor allem die vorgesehenen hohen Geldbußen sollen eine abschreckende Wirkung zeigen. Es wird von einem Meilenstein mit weltweiter Strahlkraft gesprochen, eine Art Blaupause für den Datenschutz.

 

Es fragt sich allerdings, ob diese positive Beurteilung dieser Datenschutzverordnung berechtigt ist und ob nicht in Wirklichkeit diese Verordnung auf der einen Seite ihr Ziel, eine Verbesserung des Datenschutzes zu erreichen, verfehlt und auf der anderen Seite im Hinblick auf andere Ziele und Grundsätze großen Schaden verursacht.

 

Anstatt dass man zunächst über eine lange Periode von mehreren Jahren hinweg eine Richtlinie vorsieht, deren Einhaltung von den nationalen Regierungen nahezu kaum kontrolliert wurde, wäre es sehr viel besser gewesen, dass man zunächst einmal auf freiwilliger Grundlage ein Pilotprojekt durchgeführt hätte, bei denen sich die Teilnehmer verpflichtet hätten, die Bestimmungen genauestens einzuhalten, weiterhin von den Behörden kontrolliert und eventuell auch für die entstandenen Kosten entschädigt worden wären. Auf der Grundlage dieser Erfahrungen hätte man dann ein Gesetz verabschieden können, das die zahlreichen und schwerwiegenden Schwierigkeiten bereits berücksichtigt hätte.

 

Vor allem ist zu kritisieren, dass sich auch bei dieser Verordnung wie bei vielen anderen Gesetzen der Staat darauf beschränkt, zur Kenntnis zu nehmen, dass Missstände auftreten und dass dann per Gesetz bestimmte Verhaltensweisen angeordnet oder verboten werden.

 

Auf einem solchen Wege kann es jedoch nicht gelingen, in einer sehr komplexen Welt, in welcher die einzelnen Teilbereiche vielfältig mit einander verflochten sind, Probleme sachgerecht zu lösen. Eine sachgerechte Lösung setzt stets voraus, dass man sich in einem ersten Schritt darum bemüht, die eigentlichen Ursachen eines Missstandes zu ergründen, um dann in einem zweiten Schritt nach Maßnahmen Ausschau zu halten, welche in der Lage sind, diese Ursachen zu beseitigen oder zumindest abzumildern. Solange die Ursachen weiter bestehen, kann man auch nicht erwarten, dass ihre Folgen nicht mehr eintreten.

 

Vor allem wird bei einem solchen Vorgehen übersehen, dass sich die vom Gesetz Betroffenen keineswegs widerspruchsfrei fügen werden und sich deshalb auch nicht wie Lämmer zur Schlachtbank führen lassen. Sie werden vielmehr nach Wegen suchen, um die aufgrund der neuen Gesetze eingetretenen Beeinträchtigungen zu umgehen. Wenn also z. B. der Staat aufgrund eines neuen Gesetzes die Möglichkeit erhält, Handys zu überwachen, werden diejenigen, welche gesetzeswidrige Handlungen planen, nach neuen Möglichkeiten der Kommunikation Ausschau halten.

 

Vor allem wird man nicht davon ausgehen können, dass die Bedrohung der privaten Intimsphäre von fast allen Millionen Bürgern der Europäischen Union ausgeht und dass es deshalb notwendig erscheint, das Verhalten der Gesamtheit der Bürger per Gesetz zu korrigieren.

 

In Wirklichkeit wird die persönliche Intimsphäre via Internet vorwiegend von drei Gruppen ernsthaft bedroht. Erstens sind es die Geheimdienste insbesondere der ausländischen Großmächte, welche in massiver Weise in die Intimsphäre auch der normalen, gesetzestreuen Bürger eindringen und – so wird vermutet – auch das Schließen von Sicherheitslücken der wichtigsten Betriebssysteme wiederholt behindert haben, um auf diese Weise den Zugang zu diesen Daten nicht zu verlieren. Mit Hilfe der neuen Datenschutzverordnung können diese Aktivitäten in keinster Weise unterbunden werden.

 

Zweitens wird die persönliche Intimsphäre unserer Bürger von einer Reihe von kleinen und großen Hackern bedroht, welche von sicheren Ländern aus, mit denen wir keine Abkommen über gegenseitigen Datenschutz haben, ihre Angriffe vornehmen. Auch in diesen Fällen kann mit Hilfe dieser neuen Datenschutzverordnung keinerlei Einfluss auf das Verhalten dieser Gruppe ausgeübt werden.

 

Drittens wurde in jüngster Vergangenheit von einigen wenigen großen Unternehmungen bzw. sozialen Einrichtungen wie Facebook oder Wikileaks massenweise persönliche Daten zum Schaden anderer an Dritte weiterverkauft. So wird z. B. vermutet, dass auf diesem Wege die letzte Wahl zum Präsidenten der USA maßgeblich beeinflusst wurde.

 

Es ist völlig unklar, wie der Zwang, in Zukunft eine Datenschutzerklärung abzugeben, diese Organisationen veranlassen sollte, auf die Weitergabe persönlicher Daten zu verzichten. Der Grund dafür, dass diese Unternehmungen persönliche Daten weitergeben, liegt ja nicht darin, dass sie bisher keine solche Erklärung abgegeben haben oder dass ihnen nicht bewusst war, dass eine solche Handlung die Intimsphäre der Betroffenen gravierend verletzt und dass damit durch die Verfassung geschützte Grundrechte missachtet werden.

 

Der eigentliche Grund dafür, dass Organisationen persönliche Daten an Dritte weitergeben, hängt vielmehr mit der Art und Weise, wie diese Organisationen ihre Leistungen anbieten, zusammen. Wenn diese Unternehmungen ihren Kunden Leistungen anbieten, ohne dass diese Kunden für diese Leistungen einen in Geld gerechneten Preis entrichten müssen, erfolgt dies ja nicht aus caritativer Absicht.

 

Diese Unternehmungen wollen wie alle anderen Unternehmungen auch mit ihrer Aktivität Gewinne erzielen, nur dass eben der Erlös ihrer Aktivitäten nicht dadurch erfolgt, dass diejenigen, welche ihre Leistungen nachfragen, einen Geldpreis zu zahlen haben.

 

Der Erlös erfolgt vielmehr auf eine andere indirekte Weise und es gibt im Grunde nur zwei solcher alternativer Geldquellen: Entweder werden die unentgeltlich angebotenen Leistungen dadurch finanziert, dass die Nutznießer dieser Leistungen Werbung über sich ergehen lassen müssen oder aber die Unternehmung erhebt persönliche Daten, welche dann gegen Geld an Dritte verkauft werden.

 

Werbung kann natürlich in gewissen Fällen dem Nutznießer dieser Leistungen zugute kommen. Damit der Konsument entscheiden kann, ob ein bestimmtes Produkt seinen Konsumwünschen entspricht, muss er zuvor wissen, über welche Eigenschaften dieses Produkt verfügt. Dies könnte im Rahmen einer Werbung in der Tat erfolgen. In einzelnen Fällen ist es sogar denkbar, dass in der Werbung Verwendungsmöglichkeiten aufgezeigt werden, welche dem Käufer Nutzen verschaffen, diese Möglichkeiten jedoch dem Käufer bisher unbekannt waren.

 

In aller Regel bemüht sich die Werbung jedoch, den potentiellen Kunden zu einem Kauf dieser Waren zu bewegen und bei diesem Versuch werden ganz bewusst sehr häufig Methoden eingesetzt, die den Kunden zu überlisten versuchen und in eine Lage versetzen, bei denen sich der Käufer selbst wiederum nicht mehr in der Lage sieht, seine Entscheidung rational und bewusst zu seinem wahren Nutzen zu fällen.

 

In diesem Falle wird jedoch das wichtigste Ziel einer Marktwirtschaft, dass nämlich der Konsument die Entscheidung darüber zu fällen hat, welche Produkte gekauft werden, verletzt. Werbung in der Art, wie sie heute mehrheitlich eingesetzt wird, schadet also dem Interesse der Konsumenten.

 

Aber selbst die verbleibende an und für sich positive Informationsfunktion der Werbung wird durch die bestehende Gesetzgebung auch noch behindert. Um diffamierende Werbung zu Lasten einzelner Konkurrenten möglichst zu verhindern, hat der Gesetzgeber in der BRD verboten, dass in der Werbung ex pressis verbis das eigene Produkt mit den Produkten der Konkurrenten verglichen wird und Eigenschaften des vom Konkurrenten angebotenen Gutes als schlecht und minderwertig dargestellt werden.

 

Damit hat jedoch der Gesetzgeber gewissermaßen das Kind mit dem Bade ausgeschüttet. Denn der Konsument kann natürlich nur dann unter den in Konkurrenz zueinander stehenden Waren eine rationale Entscheidung fällen, wenn ihm die unterschiedlichen Eigenschaften der einzelnen Produkte bekannt sind. Der Konsument ist also darauf angewiesen, dass ihm die Unterschiede der einzelnen Produkte bekannt gegeben werden.

 

Inwieweit werden nun die Interessen der kostenlos angebotenen Leistungen verletzt, wenn sich die Anbieter dieser Leistungen der zweiten Methode bedienen und dadurch Erlöse erzielen, dass sie Informationen der Nutznießer dieser Leistungen an Dritte weiterverkaufen.

 

Natürlich gibt es auch hier vereinzelt Fälle, bei denen die Weitergabe dieser persönlichen Daten an Dritte auch den hiervon betroffenen Personen zugute kommen. Wenn z. B. diese Daten an potentielle Anbieter von Konsumgütern weitergegeben werden, kann der hiervon Betroffene über eine Zusendung von Werbung unter Umständen auf Produkte hingewiesen werden, welche ihm bisher unbekannt waren, aber ihm einen hohen Nutzen bringen könnten. Die betroffene Person profitiert hier sogar von der Weitergabe ihrer persönlichen Daten und gegen eine solche Weitergabe ist sicherlich nichts einzuwenden.

 

Aber auch dann, wenn der betreffende Kunde auf diese Weise mit Reklame für Produkte, welche er nicht benötigt, überschüttet wird und diese als lästig empfindet, wird man trotzdem davon ausgehen können, dass der Schaden relativ gering und deshalb auch vernachlässigbar ist.

 

Solche Emails können mit Hilfe des Löschknopfes ohne großen Aufwand gelöscht werden, besonders lästige Reklame kann sogar dadurch unterbunden werden, dass man bestimmte E-Mail-Adressen als Junk einstuft und diese vom E-Mail-Programm automatisch löschen lässt.

 

Es gibt aber zahlreiche Informationen, welche in gravierendem Maße die persönliche Intimsphäre der Betroffenen verletzen und deshalb erheblichen Schaden verursachen. So können z. B. angeborene Schwächen Versicherungen oder Arbeitgebern übermittelt werden und damit die Startchancen der Betroffenen erheblich schwächen.

 

Auch der mögliche Hinweis, dass doch aus der Sicht der Arbeitgeber und Versicherungen eine Offenlegung dieser persönlichen Daten erwünscht und sogar notwendig sei, kann nicht überzeugen. Da eine solche Offenlegung nicht allgemein, sondern nur im Einzelfall erfolgt, wird auf diese Weise die Startchancengleichheit und damit grundgesetzlich geschützte Menschenrechte in gravierendem Umfang verletzt.

 

Fassen wir zusammen: Solange die den sozialen Medien zugrundeliegenden Geschäftsmodelle (Erlös über Reklame oder Verkauf persönlicher Daten) nicht verändert werden, kuriert die vorliegende Datenschutzverordnung am Symptom und ist deshalb nicht geeignet, die persönliche Intimsphäre der Bürger besser als bisher zu schützen.

 

Unternehmungen, welche ihren Gewinn nicht dadurch erzielen, dass sie für ihre Leistungen einen Verkaufspreis verlangen, werden immer bemüht sein, Daten an Dritte weiter zu verkaufen, weil gerade in diesem Verkauf die eigentliche Erwerbsquelle dieser Unternehmungen liegt.

 

Und wir können auch nicht darauf vertrauen, dass diese Unternehmungen nur solche Daten an Dritte weitergeben, welche zum Nutzen dieser Betroffenen dienen oder diesen zumindest keinen Schaden verursachen. Wir haben hierbei zu berücksichtigen, dass es ja auch nicht in der Willkür dieser Unternehmungen liegt, welche Daten sie verkaufen.

 

Auch hier gelten die Marktgesetze, auch hier können nur solche Daten gewinnbringend verkauft werden, nach denen auch ein Bedarf besteht und dieser Bedarf bezieht sich nun einmal in erster Linie auf Daten, welche ohne diese Weitergabe geheim wären. 

 

 

2. Erhöhte außerordentliche Kosten

 

Die Einführung der neuen europäischen Datenschutzordnung hat auch hohe Kosten fast für die gesamte Bevölkerung zur Folge. Dies mag für einen kleinen Teil der Unternehmungen, nämlich der großen Konzerne nicht gelten, welche ohnehin zu ihrem eigenen Schutz gegen Hackerangriffe einen Datenschutzbeauftragten vorgesehen haben, welcher sich in dieser Materie bestens auskennt und der die Entwicklung laufend verfolgt hat.

 

Hier bedarf es für die Anfertigung einer Datenschutzerklärung keiner spürbaren Bereitstellung weiterer finanziellen Mittel. Ausgaben für Datenschutz erlangen in diesen Unternehmungen den Charakter von Fixkosten, welche gerade deshalb zur Folge haben, dass diesen Unternehmungen im Zusammenhang mit der Datenschutzverordnung auch keine größeren zusätzlichen Kosten erwachsen.

 

Dies gilt jedoch nicht für die Masse der kleineren und mittleren Unternehmungen, weder für die Einzelhandelsgeschäfte noch für die Handwerker oder Arztpraxen, schon gar nicht für die vielen Bürger, welche lediglich als eine Art Hobby eine eigene Homepage betreiben.

 

Diese große Gruppe von Personen kennt sich in dieser Materie überhaupt nicht aus und infolgedessen kommt auf diese Gruppe von Individuen im Zusammenhang mit dieser Datenschutzverordnung ein erheblicher finanzieller Aufwand zu.

 

Folgerichtig werden im Internet auch Mustererklärungen angeboten, von 500 € aufwärts. Wer eine solche Mustererklärung herunterlädt und zu übernehmen versucht, hat jedoch damit nicht bereits seiner Pflicht Genüge getan. Da nahezu jede Homepage eine individuelle Ausgestaltung aufweist, kann auch keine für alle Homepages einsetzbare Mustererklärung ausgearbeitet werden. Deshalb zeigen diese Mustererklärungen in Wirklichkeit auch nur auf, welche Fragen im Einzelnen in dieser Datenschutzerklärung aufgeführt werden müssen.

 

Diese Mustererklärungen sind darüber hinaus voll gepackt mit Spezialbegriffen, mit denen sich der Großteil der Betreiber einer Homepage nicht auskennt und aufgrund dessen eine zeitraubende Beschäftigung mit diesen Inhalten notwendig wird, bevor die Datenschutzerklärung einen korrekten Inhalt aufweist. So wird z. B. von Internet Protocol Address, kurz IP-Adresse, von Domain Name System (DNS) oder Ipv4, Network Address Translation (NAT) sowie Geolocation und Tracking gesprochen.

 

Natürlich entscheidet nicht die absolute Höhe der Kosten, welche bei Einführung eines neuen Gesetzes entstehen, über den Erfolg und die Berechtigung einer Gesetzesvorlage. Es ist stets das Verhältnis von Kosten und Nutzen, welche mit einem Gesetz verbunden sind, die über die Erwünschtheit eines neuen Gesetzes entscheidet.

 

Da wir aber gesehen haben, dass diese neue Datenschutzverordnung gar nicht die eigentlichen Ursachen eines mangelnden Schutzes der persönlichen Intimsphäre bekämpft und gerade deshalb sein Ziel verfehlt und keinen größeren zusätzlichen Nutzen bringt, muss auch der im Zusammenhang mit der Datenschutzverordnung entstandene Kostenaufwand als Misserfolg bewertet werden.

 

 

3. Falsche Anreize

 

Die Art und Weise, wie die europäische Datenschutzverordnung eingeführt wurde, trug zusätzlich dazu bei, den zahlreichen Hackern neue Anreize zu geben. Zumindest nahm seit Einführung dieser Datenschutzordnung die Zahl der Versuche, Emails zu verschicken, welche im Namen der einzelnen Firmen die einzelnen Email-Benutzer auffordern, zur Durchführung der Datenschutzverordnung gewisse persönliche Daten zu bestätigen, bedeutend zu .

 

Diese Versuche sind nicht neu. Vor einigen Jahren waren diese Versuche jedoch relativ leicht zu erkennen. Die angegebenen E-Mail-Adressen trugen Phantasie-Namen, aus denen schon allein hervorgehen musste, dass sie nicht von den Firmen versandt wurden, welche angeblich diese Emails geschrieben haben.

 

Und obwohl die seriösen Firmen wiederholt betont haben, dass sie ihre Kunden immer mit Namen ansprechen und niemals per Email persönliche Daten abfragen, blieben die gefälschten Emails zunächst ohne namentliche Ansprache.

 

Vor allem aber wimmelten die Texte nur so von Schreibfehlern, sodass schon aus diesen Gründen es eigentlich Jedem klar sein musste, dass diese Emails nicht von den genannten Firmen, sondern von Hackern aus dem Ausland versandt wurden.

 

Seit längerer Zeit haben sich jedoch diese Hackerangriffe so verbessert, dass es kaum mehr möglich war, die echten Nachrichten von den fingierten zu unterscheiden. Da man aber wusste, dass Firmen niemals per Email persönliche Daten abfragen und da man im Zweifelsfalle fast immer Hinweise im Internet fand, ob bei bestimmten E-Mail-Adressen ein Betrug vorliegt, konnte man noch einigermaßen sicher diese Hackerangriffe mit Erfolg abwehren.

 

Die Einführung der neuen Datenschutzverordnung hat nun hier einen entscheidenden Wandel gebracht. Es wurde im Internet wiederholt darauf hingewiesen, dass jeder Betreiber einer Webseite ihre Benutzer um Erlaubnis bitten muss, wenn er persönliche Daten erhebt, speichert und an Dritte weitergibt. Da lag es dann nahe, dass die Vielzahl von eingehenden Emails, welche angeblich von den einzelnen Webseitenbetreibern abgeschickt wurden, eben diesem Ziel dienen und deshalb bedenkenlos beantwortet werden können.

 

Aber gerade diese Annahme war falsch, da wohl viele Hacker eben die Einführung der Datenschutzverordnung zum Anlass nahmen, in großem Stile abzukassieren. Und es ist zu befürchten, dass auf diese Weise europaweit Millionen und Abermillionen Gelder abgezockt wurden.

 

Dabei wäre es für die Regierungen ein leichtes gewesen, diese Abzockerei weitgehend zu verhindern. Die Regierungen hätten ja einfach ohne großen materiellen Aufwand an alle Besitzer von E-Mail-Konten eine Email versenden können, in denen sie dringend davor warnen, persönliche Daten per Email preiszugeben.

 

Die Regierungen hätten weiterhin darauf aufmerksam machen können, dass die notwendig gewordenen Zustimmungen der einzelnen Benutzer von Webseiten diese Erklärungen auch beim ersten nächsten Aufruf dieser Webseiten vorgenommen werden könnten, dass in einem ersten Schritt die Sicherheit dieser Webseite überprüft werden sollte (die Webseite muss z. B. mit https beginnen und diese Angabe ist relativ sicher, sodass in den meisten Fällen auch davon ausgegangen werden kann, dass tatsächlich die gewünschte Webseite vorliegt.

 

Und in diesem Falle ist es ein leichtes, in dem jeweiligen Konto des Besuchers die erforderlichen Zustimmungen zu erteilen.

 

 

4. Geringe Erfolgsaussichten

 

Kommen wir nun zu der entscheidenden Frage, inwieweit denn damit gerechnet werden kann, dass aufgrund dieser Datenschutzverordnung tatsächlich die persönliche Intimsphäre besser als bisher geschützt wird.

 

Wir hatten bereits im 1. Abschnitt dieses Artikels festgestellt, dass diese Verordnung überhaupt nicht die eigentlichen Ursachen für die bisherigen Verletzungen der persönlichen Intimsphäre bekämpft und schon aus diesen Gründen geringe Erfolgsaussichten aufweist.

 

Es ist völlig unklar, warum die Abgabe einer Datenschutzerklärung die einzelnen Betreiber einer Webseite veranlassen soll, in geringerem Maße als bisher die persönliche Intimsphäre ihrer Nutzer zu verletzen.

 

Wir haben bereits festgestellt, dass der größte Teil der Betreiber von Webseiten ohnehin keine persönlichen Daten an Dritte weiter verkauft, sodass schon aus diesen Gründen unklar ist, weshalb diese Personen zu der Abgabe einer Datenschutzerklärung verpflichtet werden sollen und warum auf diesem Wege Missbrauch bei der Weitergabe solcher persönlicher Daten verhindert bzw., zumindest vermindert werden soll.

 

Auch bei sonstigen Vergehen wird ja nicht von den einzelnen Individuen eine Gesetzestreueerklärung abverlangt und darauf gehofft, dass auf diesem Wege tatsächlich der Umfang der Vergehen spürbar verringert werden kann.

 

So wäre es ja z. B. geradezu lächerlich, wollte man vom potentiellen Dieb verlangen, öffentlich zu erklären, dass er keinen Diebstahl plane und wenn doch, dass er dann zunächst den Besitzer der Wohnung, welche er auszurauben plane, um dessen Einwilligung bitten müsse.

 

Eine solche Gesetzestreueerklärung würde keinerlei Änderung am Verhalten potentieller Diebe auslösen, weil der eigentliche Grund, weshalb der Dieb einen Diebstahl begeht, auf diesem Wege in keinster Weise beseitigt oder auch nur vermindert werden würde. Warum nur sind die Gesetzesgeber dieser Verordnung der Überzeugung, dass im Hinblick auf die Verletzung der persönlichen Intimsphäre die bloße Abgabe einer solchen Erklärung bereits den Umfang der Vergehen vermindert?

 

Machen wir uns klar, worin denn der eigentliche Schaden im Hinblick auf Datenschutz besteht? Es ist die Tatsache, dass wiederholt höchst persönliche Daten zum Schaden dieser Personen an Dritte weitergegeben werden. Der Schaden beginnt also nicht bereits dann, wenn persönliche Daten erhoben oder gespeichert werden. Erst die Weitergabe dieser Daten an Dritte kann zum Schaden führen.

 

Selbst die Weitergabe an Dritte kann ja im Einzelfall durchaus zum Nutzen der betroffenen Personen erfolgen. Wenn z. B. die Kaufwünsche eines Besuchers einer Webseite an potentielle Verkäufer bestimmter Produkte weitergegeben werden, dann kann auf diese Weise der Dritte durchaus dadurch profitieren, dass er überhaupt erst von neuen Produkten erfährt und deshalb durchaus auch vermehrten Nutzen erfahren kann.

 

Wichtig ist, dass er nicht zum Kauf gezwungen werden kann und dass er dann, wenn er diese Reklame lästig findet, mit relativ geringem Aufwand diese Werbung ohne Anzusehen und Zeit zu verlieren, mit einem Klick löschen kann.

 

Er kann sogar – wie bereits erwähnt – in seinem E-Mail-Programm besonders lästige Webseiten auf die Junkseite verbannen und alle Emails dieser Art sofort löschen lassen. Er kann weiterhin den Betreiber der Werbung auffordern, die Werbung zu unterlassen, wohlbemerkt auch ohne dass eine Datenschutzerklärung zuvor abgegeben wurde.

 

Überhaupt hat der Verbraucher in einer freien Marktwirtschaft die Möglichkeit, sich gegen zu aggressive Werbung einfach dadurch zu wehren, dass er zu einem Konkurrenten überwechselt. Würden viele Verbraucher von ihren Rechten Gebrauch machen, würden sich auch die Produzenten sehr schnell auf die Kundenwünsche einstellen.

 

Dass Webseitenvertreiber, welche Produkte verkaufen, zwecks Bezahlung der gekauften Waren, persönliche Daten wie Adresse, eventuell Kontonummer erfragen müssen, liegt in der Natur der Sache und erfolgt wiederum im Allgemeinen zum Nutzen des Käufers und braucht deshalb nicht eigens durch vorherige Abgabe einer Datenschutzerklärung angekündigt werden.

 

Im Übrigen bieten viele Internetverkäufer den potentiellen Kunden die Möglichkeit an, als Gast zu kaufen, für den keine zusätzliche Daten für zukünftige Käufe gespeichert werden müssen. Und wenn ein Verkäufer diese Möglichkeit nicht vorsieht, könnte dieser Zustand sehr schnell dadurch beseitigt werden, dass der Käufer zur Konkurrenz überwechselt, die Verkäufer würden sich dann sehr schnell anpassen und die Wünsche der Käufer erfüllen.

 

Schaden durch Weitergabe persönlicher Daten an Dritte entsteht allerdings dann, wenn höchstpersönliche Daten wie z. B. der Gesundheitszustand Mitbewohnern, den Arbeitskollegen oder den Versicherungen bekannt werden.

 

Hierbei liegt der eigentliche Schaden nicht etwa darin, dass Arbeitgeber oder Versicherungen von Schäden erfahren, welche der Arbeitnehmer oder Versicherte eigentlich hätte bekannt geben müssen, die Erfüllung dieser Verträge setzt ja eigentlich die Kenntnis dieser Daten voraus.

 

Ein gesellschaftlich unerwünschter Zustand entsteht vielmehr dadurch, dass auf diese Weise Dritten die Möglichkeit erpresserischen Verhaltens und Mobbing eingeräumt wird und dass vor allem das Gebot der Gleichbehandlung in starkem Maße verletzt wird, da ja diese Offenheit der persönlichen Daten immer nur für einige wenige gegeben sein wird. Auf diese Weise würden Einzelne unberechtigter Weise benachteiligt und Andere begünstigt werden.

 

Halten wir also fest, dass der Datenschutz eigentlich nicht bereits dann verletzt wird, wenn persönliche Daten erhoben oder gespeichert werden, sondern erst dann, wenn diese Daten unberechtigter Weise an Dritte weitergegeben werden.

 

Nun wird oftmals eingewandt, dass auch dann, wenn der eigentliche Schaden im Hinblick auf den Datenschutz erst dann eintritt, wenn Daten an Dritte weitergegeben werden, es doch notwendig oder erwünscht sei, dass diese Daten gar nicht gespeichert werden oder sogar gar nicht erhoben werden, falls die Betroffenen nicht eigens dieser Speicherung zugestimmt haben. Gespeichert würden Daten ja im Grunde nur deshalb, damit sie im Bedarfsfalle auch eingesetzt und dies bedeutet in unserem Falle an Dritte weitergegeben werden.

 

So einleuchtend dieser Einwand auf den ersten Blick auch erscheinen mag, er geht trotzdem an dem eigentlichen Problem vorbei. Er wäre nur dann berechtigt, wenn das Problem des Datenschutzes isoliert bestehen würde und kein Zusammenhang zu anderen genauso  wichtigen gesellschaftlichen Aufgaben bestünde.

 

In Wirklichkeit haben wir aber davon auszugehen, dass ein Zielkonflikt zwischen den einzelnen politischen Zielen besteht und zwar in dem Sinne, dass in dem Umfang, in dem man das eine Ziel zu realisieren versucht, gleichzeitig ein anderes Ziel beeinträchtigt wird.

 

Dieser Zielkonflikt gilt für viele Ziele bereits aufgrund eines unmittelbaren Zusammenhanges. So sind z. B. die Interessen der Käufer und der Verkäufer von Natur aus konträr, der Verkäufer hat ein Interesse daran, bei gleicher Qualität einen möglichst hohen Preis zu erzielen, während der Käufer bei gleicher Qualität einen möglichst niedrigen Preis anstrebt.

 

Aber auch in den Fällen, in denen kein solcher in der Natur der Sache liegender Zielkonflikt besteht, stehen ausnahmslos alle politischen Ziele in einem indirekten Konfliktverhältnis und zwar dadurch, dass jedes Ziel den Einsatz knapper Ressourcen erfordert und dass eben in dem Maße, in dem man für das eine Ziel mehr knappe Ressourcen einsetzt, gleichzeitig für die anderen Ziele weniger Ressourcen zur Verfügung stehen.

 

In diesem Sinne steht das Ziel des Schutzes der persönlichen Intimsphäre stets in Konflikt z. B. mit den Sicherheitsbedürfnissen eines Staates. Und dies bedeutet, dass es niemals erwünscht ist, das mögliche Höchstmaß der Realisierung eines Zieles zu erreichen, dass auf diese Weise die jeweils anderen Ziele in zu starkem Maße beeinträchtigt würden, dass vielmehr gerade in der Beschränkung aller Ziele der erwünschte Kompromiss herbeigeführt wird.

 

Im Hinblick auf die Speicherung persönlicher Daten seitens des Staates sieht dieser Kompromiss so aus, dass der Staat zwar das Recht erhält, persönliche Daten zu erheben und auch zu speichern, dass aber diese Speicherung zeitlich begrenzt sein muss und dass die Notwendigkeit und Berechtigung der Nutzung der gespeicherten Daten in jedem Einzelfall von einem Richter und damit von einer dritten unabhängigen Instanz überprüft werden muss.

 

Im Hinblick auf die Weitergabe persönlicher Daten seitens großer Unternehmungen und sozialen Medien bedürfte es ebenfalls einer solchen Sicherheitsüberprüfung seitens einer unabhängigen Instanz.

 

Es wäre nämlich keine befriedigende Lösung, die Überprüfung, ob eine konkrete Weitergabe von Daten an Dritte diesen schadet, den Unternehmungen selbst zu überlassen, diese verfolgen Gewinninteressen, die sehr wohl im Einzelfall die berechtigten Interessen derjenigen, deren Daten weitergegeben werden sollen, verletzen.

 

Mit einer Absichtserklärung im Rahmen einer Datenschutzerklärung ist somit keinerlei Gewähr gegeben, dass auch ein befriedigender Kompromiss zwischen den konfligierenden Interessen erreicht wird.

 

 

5. Anreiz zu unproduktiven Beschäftigungen

 

Die neue Datenschutzverordnung sieht nun zu den bisherigen Strafen vor, dass Betreiber von Internetseiten nicht erst dann strafrechtlich belangt werden können, wenn sie persönliche Daten zum Schaden der Betroffenen ohne deren Einwilligung an Dritte weitergeben, sondern bereits dann, wenn ein Betreiber keine Datenschutzerklärung abgibt oder die gesetzlich vorgeschriebenen Merkmale nicht beachtet.

 

Die nationalen Aufsichtsbehörden können oder müssen nach der Datenschutz-Grundverordnung Bußgelder für bestimmte Datenschutzverstöße verhängen. Für die im Gesetz unter Art. 83 Abs. 5 DSGVO aufgelisteten, besonders gravierenden Verstöße beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist.

 

Aber auch der Katalog von weniger gewichtigen Verstößen (Art. 83 Abs. 4) führt Geldbußen von bis zu  10000000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs an, je nachdem, welcher der Beträge höher ist.

 

Es ist zwar richtig, dass die durch Weitergabe von persönlichen Daten Geschädigten bisher in unzureichendem Maße die Möglichkeit hatten, sich gegen diese Weitergabe gerichtlich zur Wehr zu setzen und dass es deshalb in hohem Maße erwünscht war, diesen Schutz zu verstärken und jedem Betroffenen die Möglichkeit einzuräumen, gerichtlich solche Handlungen zu verbieten und Ersatz für etwaigen hierdurch entstandenen Schaden zu fordern.

 

Dadurch, dass nun jedoch bereits eine fehlende oder fehlerhafte Datenschutzerklärung den Betroffenen die Möglichkeit eröffnet, Strafen, sogar sehr hohe Strafen zu verlangen, ist aus mehreren Gründen äußerst fragwürdig.

 

Erstens wird hier ein sonst gültiger Rechtsgrundsatz, wonach eine Strafverfolgung nicht bereits dann, wenn eine Tat beabsichtigt ist, sondern erst dann, wenn  eine Tat begangen bzw. vorbereitet wird, strafrechtlich verfolgt werden darf. Hier beginnt die Strafverfolgung sogar nicht nur erst, wenn eine Straftat beabsichtigt wird, sondern auch dann, wenn überhaupt keine Weitergabe persönlicher Daten gegen den Willen der Betroffenen beabsichtigt ist.

 

Wir haben oben bereits festgestellt, dass die Abgabe einer Datenschutzerklärung und die unerlaubte Weitergabe persönlicher Daten keinen direkten Zusammenhang aufweisen. Ein Betreiber einer Webseite kann auf eine Datenschutzerklärung verzichten und trotzdem in keinster Weise persönliche Daten Dritter erheben, speichern und schon gar nicht an Dritte weitergeben. Und umgekehrt kann ein anderer Betreiber einer Webseite vollkommen korrekt eine Datenschutzerklärung abgeben und trotzdem de facto in großem Maße persönliche Daten der Betroffenen zu deren Schaden weitergeben.

 

Zweitens erweitert diese Bestimmung die Möglichkeit zu unfairem Wettbewerb, in dem ein Unternehmer gegen seine Konkurrenten auch schon dann vorgehen kann, wenn dieser sich ansonsten ihm gegenüber vollkommen korrekt verhält.

 

Drittens schließlich trägt diese Datenschutzordnung dazu bei, die ohnehin bestehende Notlage zu vergrößern, die darin besteht, dass die Strafbehörden und Gerichte schon seit langem die Strafverfolgung nicht mehr zeitnah abwickeln können. Da aber Gerechtigkeit nur dann sowohl für die Belasteten wie auch für die Straftäter verwirklicht werden kann, wenn die Strafverfolgung unmittelbar nach der begangenen Straftat einsetzt, wird auf diesem Wege diese ohnehin bestehende Notlage unberechtigter Weise vergrößert.

 

Entweder zieht der Staat die Konsequenz, das Personal der Strafbehörden und der Gerichte drastisch zu erhöhen. In diesem Falle gilt jedoch der oben bereits angeführte Einwand, dass über diese Datenschutzverordnung vermehrt Ressourcen von anderen Verwendungsarten abgezogen werden müssen und da der Zusatznutzen einer Datenschutzerklärung ohnehin – wie gezeigt – gering ist, bedeutet dies auf jeden Fall eine Verringerung der Gesamtwohlfahrt.

 

Oder aber der Staat sieht sich außerstande, sein Personal aufzurüsten, dann tritt die Verfolgung der Straftaten im Zusammenhang nicht erfolgter Datenschutzerklärungen in Konkurrenz zu der Verfolgung der anderen Straftaten und da diese sonstigen Verfolgungen zumeist eine wesentlich höhere Dringlichkeit aufweisen, liegt auch dann eine zusätzliche Belastung vor.

 

Schließlich besteht drittens die Möglichkeit, dass die staatlichen Strafbehörden mangels ausreichendem Personal de facto auf die Strafverfolgung von Vergehen im Zusammenhang mit der Abgabe einer Datenschutzerklärung verzichten. In diesem Falle wäre es jedoch wesentlich besser, wenn auf das Erfordernis einer Datenschutzerklärung ganz verzichtet worden wäre.

 

Es bestünde nämlich in diesem Falle die Gefahr, dass Wettbewerbsverzerrungen entstehen würden zwischen denen, welche ihrer Verpflichtung auch dann nachkommen, wenn Vergehen in diesem Bereich nicht geahndet werden und denen, welche gerade deshalb, weil keine Strafverfolgung erfolgt, diese Gesetze auch nicht beachten und deshalb gegenüber ihren Konkurrenten Kosten einsparen.

 

 

6. Verletzung bisheriger Rechtsgrundsätze

 

Die europäische Datenschutzverordnung unterliegt noch aus einem weiteren Grund der Kritik, da sie zwar nicht de jure, aber dennoch de facto von gültigen Grundsätzen unseren allgemeinen Rechtsordnung abweicht.

 

Der Warenverkehr ist in der Zwischenzeit aufgrund der Globalisierung der Weltwirtschaft so komplex geworden, dass der normale Konsument nicht mehr in der Lage ist, den Gesamtkomplex eines Kaufvertrages zu überblicken und überfordert wäre, wollte man die gleichen strengen Vorschriften beim Abschluss eines Kaufvertrages wie bei Geschäften Gewerbetreibender durchsetzen.

 

Da in diesem Falle eines der wichtigsten Grundsätze jeder Marktwirtschaft: nämlich die Souveränität des Konsumenten ernsthaft gefährdet wäre, hat der Gesetzgeber vorgesehen, dass beim Abschluss von Kaufverträgen nur diejenigen, welche den Kaufakt erwerbsmäßig durchführen, die strengen Vorschriften einzuhalten haben, dass aber für diejenigen, welche diesen Kaufakt lediglich als Konsumenten ausüben, vereinfachte Regelungen gelten und dass sie somit einem zusätzlichen Schutz unterliegen.

 

Dieser Grundsatz ist nun zwar nicht de jure, doch aber de facto bei der Durchführung der Datenschutzverordnung aufgegeben. Es wird von der Fiktion ausgegangen, dass die Betreiber von Webseiten wie bei normalen Geschäften dem Webhoster (also der Unternehmung, welche Speicherplätze zur Verfügung stellt und damit dem Betreiber einer Webseite überhaupt erst den Zugang zum Internet ermöglicht) einen Auftrag erteilen, in dem jeweils die vom Webhoster durchzuführenden Leistungen in Auftrag gegeben werden und deshalb auch etwaige Verletzungen des Datenschutzes vom Webbetreiber zu verantworten sind.

 

Diese Auffassung entspricht jedoch keineswegs den üblichen Gewohnheiten beim Abschluss eines Hostingvertrages der Webbetreiber mit der Hostingfirma.

 

Der einzelne Webbetreiber hat nämlich in aller Regel gar nicht die Möglichkeit, selbst festzulegen, welche Leistungen er vom Webhoster verlangt und auf welchem Wege der Webhoster diese Leistung zu erbringen hat. Zumeist hat der Webbetreiber das vom Webhoster angebotene Paket von Leistungen zu übernehmen oder ganz auf die Dienste der Webhoster zu verzichten.

 

Er hat zum Beispiel nicht die Möglichkeit, die Analyse der Webkontakte bei Nichtbedarf abzuwählen, zumeist finden sich die einzelnen Leistungen nur im Kleingedruckten, für einen Laien ohnehin weitgehend schwer verständlich. Und da die meisten anderen Anbieter von Webhosting ebenfalls ihren Kunden nicht die Möglichkeit anbieten, diese Leistungen abzuwählen, hat der einzelne Webbetreiber auch nicht die Möglichkeit, bei Bedarf zu einem anderen Webhoster zu wechseln.

 

In der Vergangenheit hatte der normale Webbetreiber auch gar nicht die Möglichkeit, die genaue vorgesehene Vorgehensweise bei der Erhebung der persönlichen Daten zu erfragen. Hier mag die neue Datenschutzerklärung eine gewisse Besserung bringen, da ja nun die Webhoster ebenfalls zu einer Datenschutzerklärung verpflichtet sind, aus der dann auch die genaue Vorgehensweise bei der Erhebung persönlicher Daten einzusehen sind.

 

Trotzdem ist die in der neuen Datenschutzverordnung vorgesehene Praxis aus zweierlei Gründen unbefriedigend. Sie verlangt erstens, dass sich jeder, auch der Laie, mit Fachwissen befasst, während es eigentlich erwünscht wäre, dass sich auch nur Sachverständige mit diesen Fragen auseinandersetzen müssen.

 

Zweitens muss sich bei der jetzigen Regelung jeder einzelne Webbetreiber mit diesen komplexen Fragen auseinandersetzen, während dann, wenn jeweils die Webhoster und nicht die Webbetreiber unmittelbar für die Vorgehensweise verantwortlich wären, sich der Webbetreiber nur in den Fällen, in denen ein Rechtsstreit ansteht, mit diesen Erhebungsmethoden beschäftigten müsste.