25 Thesen wo Michael Klein falsch liegt


Auf https://sciencefiles.org/2018/05/21/uberwachungsstaat-wie-in-deutschland-eu-direktiven-erweitert-werden/ stellt Michael Klein – den ich für seine Artikel sehr schätze einige abenteuerliche Behauptungen auf.

Diese erfordern einige Richtigstellungen.

  1. Die Datenschutzverordnung ist die Datenschutzgrundverordnung
  2. Eine Datenschutzberatung ist keine Rechtsberatung. Sie ernährt mich und viele Kollegen, wie auch betrieblich bestellte Datenschutzbeauftragte und Datenschutzberater. In gleicher Weise wie sie etwa in UK ein ganze Branche an Privacy Professionals ernährt.
  3. Es gibt auf EU Ebene Richtlinien, die dann in nationales Recht umzusetzen sind. Und es gibt die Verordnung, die unmittelbar gilt. Im Bereich Datenschutz wird eine Richtlinie durch eine Verordnung ersetzt. Populär formuliert: nationale Interpretationen werden durch ein einheitliches, EU-weit geltendes Werk ersetzt. Wer daran Negatives findet, hat die Geschichte deutschen Übereifers verpasst.
  4. Dieses Gesetz (DSGVO) ist kein Krampf, sondern ein Fortschritt wie an anderer Stelle bereits ausgeführt.
  5. Staunen und der Irritation macht sich nicht über das Gesetz breit. Das hat, wie die Kommentare eindeutig belegen, nämlich niemand gelesen. Es bezieht sich auch keiner auf das Gesetz sondern auf seinen persönlichen Glauben, der unterschiedlichsten Quellen (aber nicht dem Gesetz) entstammt.
  6. Die Darstellung wie Rechtsprechung in der EU funktioniert ist falsch
  7. Die Mitgliedsstaaten haben nicht das Recht eine vereinbarte Verordnung – hier der DSGVO – auszuhebeln. Sie müssen einige Öffnungsklauseln regeln (Beispiel: wie lange ein Kind als Kind gilt). Sie können andere Öffnungsklauseln regeln (Beispiel: Bestellpflicht des DSB). Es liegen bereits Rechtsgutachten vor (Beispiel Öffnungsklauseln des BDSG zur Videoüberwachung), die zu dem Ergebnis kommen, dass der nationale Gesetzgeber zu weit gegangen ist. Die Frage werden Gerichte klären, oder auch nicht, wenn sie niemand vor den europäischen Gerichtshof bringt.
  8. Juristen sind auch Menschen. Also solche nicht mehr oder weniger verdammungswürdig als etwa Sozialwissenschaftler.
  9. Die Unterstellung Übersetzer hätten geschlampt oder Verschärfungen wären über die Übersetzung hintenrum eingeführt worden ist unhaltbare Übertreibung. Aber selbst wenn es so wäre gilt vor Gericht nur eine Fassung: die englische. Dies gilt auch für den italienischen Richter.
  10. Begriffsbestimmungen die in der DSGVO ausgeführt sind, darf das BDSG neu (oder jedes andere Gesetz) nicht verändern. Deshalb sind sie auch nicht mehr ausdrücklich aufgeführt; es wird auf die DSGVO verwiesen.
  11. Die Begriffe des „controller“ (Verantwortlicher) „processor“ (Auftragsverarbeiters) sind EU einheitlich definiert. Die Begriffe „natürliche und juristischen Personen“ sind eins-zu-eins Übersetzungen
  12. Der ICO verwendet die gleichen Begriffe, Definitionen wie die deutschen Aufsichtsbehörden. Alle Aufsichtsbehörden (Deutsche, englische, Rest der EU) bilden die „Article 20 working party“ die regelmäßig gemeinsame „working papers“ veröffentlichen, die den Anwendern in den Betrieben Klarstellung liefern. Der zukünftige Name wird europäischer Datenschutzausschuss sein. Wie überall wo Menschen handeln kann es Meinungs- oder Interpretationsunterschiede geben. Wie eng die europäische Zusammenarbeit im Datenschutzbereich zeigt sich z.B. daran dass deutsche Aufsichtsbehörden auf englische (ICO) oder französische (CNIL) Unterlagen verweisen. Konkretes Beispiel Umsetzung einer Datenschutzfolgeabschätzung.
  13. Auch durch Wiederholung wird die nachweisliche falsche Aussage Datenschutz würde etwas spezifisch für Blogs regeln falsch. Genauso wie die Gewinnerzielungsabsicht nicht relevant ist.
  14. Die „Deutsche Datenschutz-Grundverordnung“ ist keine direkte Umsetzung der EU-Verordnung darstellt. Es gibt nur eine Datenschutzgrundverordnung, die in allen Sprachen veröffentlicht wurde und für all EU Länder gilt.
  15. Weder ICO noch deutsche Aufsichtsbehörden oder der deutsche Gesetzgeber können zentrale Definitionen des DSGVO ändern. Das Werk ist von allen zuständigen (EU Parlament, Kommission, Ministerrat, etc.) beschlossen.
  16. Der Betreiber eines privaten Blogs ist unstrittig der controller weil er die Mittel bestimmt die in seinem Blog eingesetzt werden. Welche Daten von Besuchern getrackt werden, wie lange diese aufbewahrt werden, an wen sie weitergeleitet werden, welche Plugins Verwendung finden, wohin diese Plugsins wiederum Daten schaufeln, ob der Besucher über all die technisch möglichen Schweinereien informiert oder gar um seine Einwilligung gefragt wird – all dies und noch einige mehr bestimmt der Controller, der Betreiber des Blogs.
  17. Weder DSGVO noch BDSG neu sind als Überwachungsinstrument gedacht noch dazu zugelassen. Das Gegenteil ist der Fall: millionenfach rechtswidrig eingesetzte Überwachungsinstrumente (Google Analytics, Matomo, Piwik, viele mehr) müssen den Betroffenen (den Besuchern einer Web Seite) angezeigt werden. Und für direktes Tracken der Besucher muss deren Einwilligung eingeholt werden.
  18. DSGVO (europaweit) wie BDSG (nationale, wie andere nationale Gesetze in anderen Ländern) regeln den Umgang mit personenbezogene Daten. Was pb Daten sind ist unstrittig festgelegt. U.a. die Frage ob IP Adressen darunter fallen. Diese Definitionen gelten europaweit einheitlich.
  19. Wenn Sie Unterschiede zwischen der englischen und der deutschen Fassung der DSGVO erkannt haben wollen, sollten Sie sich an den Übersetzungsdienst der EU wenden. Wenn es aber vor Gericht geht, gilt im Zweifel die englische Fassung. Es könnte also vergebliche Liebesmühe sein.
  20. Die Vermutung DSGVO und BDSG würden andere Schwerpunkte setzen haben Sie nicht belegt. Sie haben unterstellt die Übersetzungen würden differieren. Aber auch dazu haben Sie nicht den Nachweis geliefert. War es die Hoffnung es wären genügend Leser nicht der englischen Sprache mächtig um sich hier selbst ein Bild zu machen?
  21. Es ist aber letztlich für Blogger egal, welche Regelungen das BDSG trifft, denn für den Blogger treffen nur Regelungen der DSGVO – und zukünftig der E-Privacy Verordnung (wenn sie 2019 verabschiedet ist) – zu. Auch das dann eine Verordnung, die europaweit einheitlich gelten wird. Welche Räuberpistolen dann ins Land schießen mag ich mir noch nicht ausdenken.
  22. Zur Frage der „Auslassung von Definitionen“ dies habe ich oben erklärt. Aber ja die Willkürdatensammelwut von Bloggern und sonstigen „By default Innocent“ muss aufhören. Dieser Personenkreis (wie kleine und große, nationale wie multinationale Unternehmen) müssen alle den gleichen (nicht komplizierten, wie ich meine) Regeln folgen. Das ist ein Fortschritt für die Demokratie und freie Gesellschaften.
  23. Weder bei DSGVO noch bei BDSG neu hatte Heiko Maas seine Finger im Spiel. Gottseidank.
  24. Die DSGVO setzt Überwachungsfetischisten (privaten [Bloggern], wie den Big Playern [Facebook, Google, dieganzeLitanei]) entgegen Ihrer Unterstellung deutliche Grenzen

 

So hart es klingt: 100% der Darstellungen im Artikel sind falsch. In allen denkbaren Facetten von falsch (missverstanden, grundfalsch, böswillig falsch dargestellt). Ich kann mir nicht vorstellen, dass dies die Maßstäbe wissenschaftliches Arbeiten darstellen sollten.

PS. ich bin kein Wissenschaftler. Bin nur kleiner Datenschutzbeauftragter dessen Kunden immer noch ihre Rechnungen bezahlen. Kann also nicht so falsch sein, was ich ihnen erzähle oder für sie erarbeite. Was ich in und für Vereine (oder auch Bekannte mit einem Blog) ehrenamtlich mache, sollte hier keine Rolle spielen.

Schreiben Sie einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Wechseln )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Wechseln )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Wechseln )

Verbinde mit %s