DSGVO und Uploadfilter: Stoppt das Internet – zurück zur Silberfotografie!

Die Mittelstands- und Wirtschaftsvereinigung der CDU/CSU (MIT) kritisiert gemeinsam mit den Wirtschaftsvereinigungen von SPD und FDP das neue Datenschutzrecht. In einer gemeinsamen Erklärung, vom 12. Juni, wenden sich die Vereinigungen „gegen unpraktikable Lösungen und deutsche Sonderwege, die deutsche Unternehmen stärker belasten als Unternehmen in anderen EU-Ländern.“

Das ist eine Klatsche für die Bundesregierung, die ein verkorkstes Gesetz aus Europa verschlimmbessert hat. Konkret heißt die Forderung von CDU/SPD/FDP: Unzulässigkeit von Abmahnungen wegen Datenschutzverstößen und Schaffung von schnellen Lösungen für eine Entlastung von Unternehmen und Ehrenamtler sollen die schlimmsten Auswirkungen verhindern. Schnellstmöglich soll die entstandene Rechtsunsicherheit beendet werden. Auflagen, die über die europäische Datenschutzgrundverordnung hinausgingen und die es nur im deutschen Recht gebe, sollten wieder abgeschafft werden. „Bei leichten erstmaligen Verstößen“ sollten keine Bußgelder erhoben werden. Weitere Nachbesserungen werden auch im europäischen Recht gefordert.

Die DSGVO-Abmahngebühren sollten zumindest durch eine Klausel im Gesetzesentwurf zur sogenannten Musterfeststellungsklage vorerst ausgesetzt werden. Doch CDU/CSU sind nur einen Tag später am 13. Juni, an der SPD gescheitert, der dieser erste Schritt nicht weit genug ging. Die Abgeordneten haben der Regierung eine Frist bis zum 1. September gesetzt, um einen Gesetzentwurf gegen Abmahnmissbrauch im Rahmen der DSGVO vorzulegen.

Das wäre wenigstens ein Versuch, das Schlimmste zu verhindern. Doch in der Zwischenzeit stimmte, am 20. Juni, der EU-Ausschuss für die Pflicht zum Uploadfilter und Leistungsschutzrecht. Und damit wird es wiederum ein Stück dunkler in Deutschland. Denn die Überbürokratisierung durch die DSGVO, eine Steuer auf Links, wie sie Uploadfilter von demjenigen kassieren soll, der gewerblich verlinkt und ein restriktives, aus der Gutenberg-Zeit orientiertes Urheberrecht werden die Entwicklung des Internets in Europa blockieren. Vor allem aber in Deutschland.

Die Renaissance der Silberfotografie

Denn es ist mal wieder eine Meisterleistung deutscher Gesetzgebung: Eine europäische Regelung für mehr Einheitlichkeit im Datenschutz, die DSGVO, wird für Deutschland so umgebaut, dass Bürger, Vereine und Unternehmen darunter leiden – und der gute Grundgedanke des Datenschutzes zur Totalüberwachung zu werden droht.

Wohl noch nie gab es ein Gesetz mit so vielen Tätern und noch mehr Unklarheit: Schon eine simple Digitalfotografie ist über Nacht das „unerlaubte Anlegen eines personenbezogenen Datenspeichers“. Müssen wir deswegen unseren Nachkommen nun menschenleere Bilddokumente hinterlassen, Fotos von Schulklassen ohne Kinder, Fußballmannschaften ohne Spieler? Klar: Verboten ist es, dass Bilder im Internet zu kommerziellen Zwecken veröffentlicht werden. Aber wann gelten Ausnahmerechte?

Auch der bekannte Hamburger Beauftragte für Datenschutz und Informationsfreiheit Professor Johannes Caspar, ist ratlos. Er gibt deshalb nur unverbindliche Ratschläge, wie mit Fotografien von Personengruppen umgegangen werden „kann, bis ein Gericht künftig Klarheit schafft“. Unterschieden werden müssten rein private von kleinen Menschengruppen oder größeren Gruppen. Wieder anders sei es mit zufällig ins Bild huschenden Personen: mal Einwilligung, mal nicht, auch Professor Datenschutz weiß es nicht.

Verunsicherung, Kuriositäten und Absurditäten, nicht geschäftsförderndes Verdrehen von Tatsachen und im schlimmsten Fall: Abmahnungen, Bußgeld, Strafen, Prozesse. Berlin hat alles getan, um bloß keine Klarheit zu schaffen. Dabei wurde in einer Öffnungsklausel „dem nationalen Gesetzgeber explizit eine Regelungsmöglichkeit eingeräumt“, die solche Fragen hätte klären können. Doch der damalige Justizminister Heiko Maas hat dies nicht umgesetzt, „sodass es an einer einfach-gesetzlichen Rechtsgrundlage mangelt“. Caspar folgert: erst mal weitermachen, bis es Klarheit gibt. Sein Rat: „Bis dahin ist es möglich, die Datenerhebung in den meisten Fällen über Art. 6 Abs. 1 lit. f DSGVO zu rechtfertigen. Eine Informations-pflicht gegenüber den Abgelichteten besteht nicht. Dies ergibt sich aus Art. 11 Abs. 1 DSGVO, hilfsweise aus Art. 14 Abs. 5 lit. b DSGVO.“ Alles klar? Alles bedacht, in jener kurzen Sekunde, ehe Sie auf den Auslöser drücken?

Maas ohne Augenmaß

Zur Rechtsfalle auch für gutwillige Fotografen, Unternehmer, Handwerker wird, dass Berlin versäumt hat, den an sich sympathischen europäischen Grundgedanken der Datensouveränität verständlich und anwenderfreundlich in deutsches Gesetz umzusetzen: Mit aller Macht wurde der ohnehin, bis dato schon sehr hohe deutsche Datenschutzgrundsatz mit der Europäischen Datenschutzgrundverordnung zusammengeschweißt, zurechtgebogen und verkompliziert. Dazu noch eine unsaubere Übersetzung, und fertig ist das Chaos. Nun will es keiner gewesen sein, ganz besonders nicht Heiko Maas. Der mutierte zum Außenminister. Dabei ist er es, der zu verantworten hat, dass – ganz nebenbei – 2015 versucht wurde, die Betroffenenrechte und Datenschutzprinzipien massiv zulasten der Bürger aufzu-weichen: für mehr Datenreichtum anstatt Datensparsamkeit.

Daten dienen eigentlich als Roh- und Treibstoff der Digitalwirtschaft. „Neue datenbasierte Geschäftsmodelle sollen entstehen, weshalb personenbezogene Daten in möglichst großem Umfang anfallen und Unternehmen möglichst freie Hand beim Umgang mit diesen Daten erhalten sollen“, so die Digitale Gesellschaft e.V. über den Referentenentwurf der Bundesregierung. Das Ergebnis wirren Regierens: Berlin hat die Europäische Verordnung pervertiert, überreizt und damit sowohl den Grundgedanken der Datensouveränität als auch die europäische Einheitlichkeit zerstört. Entschuldigend wird jetzt behauptet, dass die Verordnung bereits 2016 in Kraft getreten sei; doch Gesetz wurde sie erst mit der Zustimmung im Bundesrat am 12. Mai 2017.

Ja, nicht alles war neu, viele Regelungen waren schon länger gültig – aber ohne derartig vernichtende Strafandrohung und ohne Beweislastumkehr; ohne schwammige Rechtsformulierung und die stillschweigende Erwartung, dass im Lauf vieler Jahre Gerichte langsam Klarheit schaffen, was der Gesetzgeber nicht geklärt hat. Die europäische Idee war, ein einheitliches Recht zu schaffen, um das Vertrauen der EU-Bürger zu gewinnen und damit überhaupt erst Digitalisierung möglich zu machen: Ohne Vertrauen gibt es keine digitale Wirtschaft, denn die Währung eines digitalen Geschäftsmodells sind Daten.

Jan Philip Albrecht, als Europaabgeordneter der Grünen im EU-Parlament, spricht von Daten als dem Öl des 21. Jahrhunderts – und Datenschutz als dem neuen Umweltschutz. Hehre Worte. Doch das von ihm betriebene Vorhaben verstopft die Quellen zukünftigen Wohlstands. Was sich noch zeigt, ist die Gier der Politik: Kaum zeigte die DSGVO ihr hässliches Gesicht, forderte Bundeskanzlerin Merkel, man solle Daten künftig besteuern. Das erinnert an Thomas Edison, den Erfinder der Glühbirne und moderner Elektrizität: Auf die Frage, was man mit dem Strom alles anfangen könne, soll er geantwortet haben: „Das weiß ich nicht – ich weiß nur, dass er besteuert werden wird.“ Mit der DSGVO hat Merkel dieses Vorurteil bestätigt: Internet ist für sie „Neuland“ – aber sie hält die Hand auf.

Dabei hat alles so schön angefangen. 2012, als die damalige Vizepräsidentin der EU- Kommission und Justizkommissarin Viviane Reding der Kommission einen Gesetzesvorschlag zum europaweiten Datenschutz vorlegte. Getrieben wurde sie dabei von dem Grundanspruch, dass personenbezogene Daten einzig und allein der betreffenden Person gehören sollen. Befeuert wurde die Auseinandersetzung 2012 durch den größten Datenskandal der Nachkriegszeit in der Pharmaindustrie – mehrere deutsche Rechenzentren sollen illegal mit Daten aus Millionen von Rezepten gehandelt, diese gespeichert und ausgewertet haben, um sie dann an die Pharmaindustrie zu verkaufen; in der Snowden-Affäre im Juni 2013 begannen amerikanische Medien mit der Veröffentlichung von geheimen NSA-Dokumenten, die ein weltweites Netz von Spionagesystemen enthüllten, und zeigten, dass auch Deutsche massenhaft von der Datensammelei betroffen waren.

Tatsächlich verhandelten, rangen und diskutierten die Teilnehmer des Ausschusses vier lange Jahre intensiv – und wurden von der Schnelligkeit der Entwicklung überrollt. Soziale Netzwerke und Plattformen wuchsen zu einem Datenmeer mit Untiefen, gierigen Datenkraken und neuen, digitalen Kontinenten – gespeist von der Bereitschaft der Menschen, (zumeist unbedacht) ihre persönlichen Daten offen-zulegen, ohne sich damit auseinanderzusetzen, was mit ihnen geschehen würde. Die rasante Zunahme des E-Commerce und damit die ständige Aufforderung, Kontod-aten und andere hochsensible Daten im Netz zu hinterlegen, brachte eine neue, genau gegenläufige Dimension ins Netz: Klar ist, ohne Datenschutz kann die Daten-wirtschaft nicht wachsen.

Zu viel des Guten

Damit ist die DSGVO ein klarer Fall von „Gut gemeint heißt nicht gut gemacht“. Spätestens bei der Eindeutschung vermurkste dann Heiko Maas das Vorhaben: peinlich, wie Berlin jetzt den Unschuldigen spielt. Das eminent politische Geschehen, die Umkehr der Beweislast etwa zu Ungunsten der Unternehmen und aller davon Betroffenen, die monströse Aufblähung der Bürokratie und die Genehmigungsflut sowie Kontrollpflichten und Dokumentationsnotwendigkeit werden einseitig auf Brüssel abgewälzt. Maas war es, der anders als sein österreichischer Amtskollege beispielsweise darauf verzichtet, Ausnahmen für Kleinunternehmen einzubauen oder die Öffnungsklausel für Berufsfotografen zu nutzen. Schlimmer: Berlin hat die EU-Vorgaben benutzt, um daraus ein Datenüberwachungsgesetz zu basteln: Denn kommt es zu einer Beschwerde bei einer Datenaufsichtsbehörde, so ist das beschuldigte Unternehmen gezwungen, seine technischen und organisa-torischen Schutzmaßnahmen offenzulegen und sämtliche Verarbeitungsprozesse mit den Personen, die Zugang zu den personenbezogenen Daten haben, zu dokumentieren.

Im Rahmen der Beweislastumkehr müssen nun Nachweise für Datenschutz-schulungen der Mitarbeiter, aber auch für eingeholte und erteilte Einwilligungen der Kunden erbracht werden. Diese Verordnung zwingt alle dazu, sich mit der Ent-stehung, der Verwendung, der Nutzung und der Speicherung von personen-bezogenen Daten auseinanderzusetzen – und das immer wieder von vorn, mit jedem Kunden, bei jedem Geschäft. Das bringt mit sich, dass faktisch jegliche Betätigung im Internet zu erfassen ist, um die Datenströme verfolgen zu können. Die Totalüber-wachung ist damit einen Schritt näher gerückt – und wird als „Datensouveränität“ getarnt. Der Grundgedanke wird somit in sein Gegenteil verkehrt. Zwar haben Datenkraken wie Google und Facebook sich bislang maßlos bedient und bereichert und die einzige Maßgabe, dem Einhalt zu gebieten, sind Transparenz und schmerzhafte Geldstrafen. Doch getroffen werden, wie mit einem Schrotschuss, auch kleinste Anbieter, Vereine, Schulen, Klubs. Sie alle unterliegen den Regeln der Giganten, allerdings ohne deren Technik- und Rechtsabteilungen.

Die Größe schützt vor Strafe nicht

Die Großen kommen durch oder stecken die Strafe weg, die Kleinen werden gehängt: Danach klingen die Formulierungen, wenn mit „Bußgeldern von bis zu vier Prozent des Jahresumsatzes“ gedroht wird. Datenschutz in Deutschland ist eben sehr gründlich, und ganz anders als in Malta oder Irland – auch wenn es nun eine europäische Verordnung und Aufsichtsbehörde gibt. Facebook jedenfalls wusste seine Chance zu nutzen: Es lässt jetzt in Irland die Daten ungehindert zwischen Whatsapp und Facebook hin und her fließen, um Benutzerprofile abzugleichen: Das war bislang durch den Hamburger Datenschutz verboten – die DSGVO made in Irland macht’s möglich. Facebook oder Microsoft mit Linkedin wandern zum für sie datenschutzrechtlich günstigsten Standort – der Optiker ums Eck verreckt. Volkswirtschaftlich haben die letzten Wochen das Gegenteil von dem bewirkt, was Berlin in seinen Sonntagsreden fordert: Unternehmen waren blockiert, ganze Abteilungen lahmgelegt, Anwälte und Unternehmensberatungen fuhren Sonderschichten. Doch für interne Projekte können keine Rechnungen geschrieben werden.

Entwicklungshindernis Regulierung

Verlage rechnen mit bis zu 30 Prozent Einbußen für ihre Onlineportale, die eigentlich das wegbrechende Printgeschäft ersetzen sollen. Zukünftig ist Internetwerbung erschwert. Sicher, das befreit von oft als lästig empfundener Werbung. Aber auch hier wird der Händler am nächsten Eck mit einem Onlineangebot hinter dem Ladentisch behandelt wie Amazon.

Bremst die DGSVO die digitale Wirtschaft? Vermutlich. Am Anfang steht nicht mehr Innovation, sondern Regulierung. Das wird die Weiterentwicklung von Künstlicher Intelligenz (KI) in Deutschland blockieren, denn KI braucht jede Menge Daten. Deren Nutzung und Weitergabe wird durch die DSVGO massiv erschwert und jeder Fehler kann zu katastrophalen Strafen führen.

Für Fotografen jedenfalls gibt es einen Ausweg. Die gute alte Spiegelreflexkamera mit Film. Denn die klassische Silberfotografie ist keine Datenverarbeitung und unterliegt deshalb nicht der Datenschutzgrundverordnung.