Update zum französischen Recht

Auszug aus Bruno DUMAYs Buch: GDPR DECRYPTION – Für Manager, strategische Abteilungen und Mitarbeiter von Unternehmen und Organisationen – Vorwort von Gaëlle MONTEILLER

Die letzten beiden Zeilen der DSGVO, die Artikel 94 der Richtlinie 95/46/EG, also den bisherigen Referenztext zum Datenschutz, aufhebt, lauten wie folgt: „Sie gilt ab dem 25. Mai 2018. Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.“ Eine Umsetzung in nationales Recht ist daher nicht erforderlich. Die Staaten sind jedoch dazu aufgefordert, was der Praxis vieler Staaten entspricht. Europa ist also noch lange keine Föderation, weit davon entfernt.

Frankreich hat daher einen Gesetzesentwurf ausgearbeitet (einen Text, der dem Parlament, dem alleinigen Inhaber der gesetzgebenden Gewalt, vorgelegt, aber von der Regierung vorgeschlagen wird), der die Bestimmungen der europäischen Verordnung zum Schutz personenbezogener Daten (bekannt als „Europapaket“) enthält. Dieser Text, der Mitte Dezember 2017 von Justizministerin Nicole Belloubet vorgelegt wurde, wurde am 13. Februar 2018 von der Nationalversammlung mit sehr großer Mehrheit (505 Ja-Stimmen, 18 Nein-Stimmen und 24 Enthaltungen) angenommen. Damit er in Kraft treten kann, muss er noch vom Senat gebilligt werden, der ihn ab dem 20. März prüfen wird (das Ergebnis ist zum Zeitpunkt der Abfassung dieses Artikels, Anfang März, noch nicht bekannt, es gibt jedoch keinen Grund für die Senatoren, in diesem Punkt anders abzustimmen als ihre Abgeordnetenkollegen).

Gestern galt das Datenschutzgesetz von 1978. Diese Langlebigkeit zeugt von der Intelligenz der damaligen Initiatoren dieses Gesetzes (das Internet gab es noch nicht), auch wenn es heute überholt ist. Das neue Gesetz ersetzt somit das von 1978, so wie die DSGVO die Richtlinie von 1995 auf europäischer Ebene ersetzt. Zu den Bestimmungen der Verordnung, die wir gesehen haben, kommen die Bestimmungen einer Richtlinie für Strafregister hinzu (die insbesondere die nationale Datei genetischer Fingerabdrücke, die Datei für Stadionverbote oder sogar die Verarbeitung von Strafregistern betreffen würde).

„Dabei geht es darum, die vorbereitenden Formalitäten zugunsten eines Prozesses zur Rechenschaftspflicht der Beteiligten und zur Stärkung der individuellen Rechte zu vereinfachen. Im Gegenzug werden die Befugnisse der CNIL gestärkt und die verhängten Strafen erheblich verschärft“, sagte Frau Belloubet und schloss sich damit der Philosophie der europäischen Verordnung an.

Das Gesetz geht in zwei Punkten sogar noch weiter als die DSGVO: beim Alter der „digitalen Volljährigkeit“ und bei Sammelklagen. Zum ersten Punkt sei daran erinnert, dass die DSGVO das Alter auf 16 Jahre festlegt, den Staaten aber erlaubt, es auf 13 Jahre abzusenken. Frankreich hat eine Zwischenposition gewählt: „Ein Minderjähriger kann ab 15 Jahren allein in die Verarbeitung personenbezogener Daten einwilligen“ (diese Absenkung um ein Jahr kam nicht von der Regierung, sondern von den Abgeordneten selbst in Form einer Änderung des ursprünglichen Entwurfs). Zwischen 13 und 15 Jahren ist die Zustimmung der Eltern erforderlich. Unter 13 Jahren ist jegliche Datenerhebung verboten. Doch wie können solche Bestimmungen durchgesetzt werden, wenn wir wissen, dass laut einer CNIL-Studie vom Juni 2017 63 % der 11- bis 14-Jährigen in einem sozialen Netzwerk registriert sind, dass 4 von 10 über ihr Alter lügen und dass Plattformen oder soziale Netzwerke ihre eigenen Regeln festlegen (es ist möglich, sich ab 13 Jahren ohne elterliche Zustimmung bei Facebook zu registrieren)?

Ein weiterer Pluspunkt des neuen Datenschutzgesetzes ist die Möglichkeit von Sammelklagen, die bereits durch die Gesetze von 2014 und 2016 eingeführt wurde. Dieses Mal soll jedoch der Ersatz von Schäden materieller oder moralischer Art möglich sein, während bisher nur wirtschaftliche Schäden berücksichtigt wurden. Trotz der Schwierigkeiten bei der Umsetzung eines solchen Verfahrens stellt das neue französische Gesetz ein zusätzliches Druckmittel für Unternehmen dar.

Der französische Text, der mit der DSGVO übereinstimmt und Ausnahmen für sicherheitsrelevante Bereiche vorsieht, sieht die vorherige Genehmigung für die Verarbeitung „biometrischer Daten vor, die zur Identifizierung oder Überprüfung der Identität von Personen erforderlich sind“. Ebenso gilt das europäische Recht nicht für ein Dutzend sogenannter „Souveränitätsdateien“, wie beispielsweise die Datei mit Warnmeldungen zur Verhinderung terroristischer Radikalisierung (FSPRT).

Ein überraschender Aspekt des Gesetzes scheint kaum Beachtung gefunden zu haben: Der Gesetzentwurf ermächtigt die Regierung, das gesamte Datenschutzgesetz innerhalb von sechs Monaten per Verordnung neu zu schreiben (Artikel 38 der Verfassung besagt, dass die Regierung in einem Bereich tätig wird, der insbesondere dem Parlament obliegt). Dieses neue Datenschutzgesetz hätte also eine begrenzte Geltungsdauer? Dies erscheint nicht nur überraschend, da der Hauptinhalt des Gesetzes die Umsetzung einer wichtigen europäischen Verordnung ist, die auf Dauer angelegt ist. Darüber hinaus fragt man sich, warum das Parlament seine Macht in einer so grundlegenden Frage aufgeben sollte. Und schließlich: Wie können wir von Unternehmen verlangen, sich bis zum 25. Mai 2018 an die Vorschriften zu halten, wenn die Spielregeln in den kommenden Monaten geändert werden?

Der in unserem Land seltene Konsens über die neuen Maßnahmen zum Datenschutz sollte uns nicht davon abhalten, Kritik von Personen mit unbestreitbarer Sachkenntnis zu hören. Wir möchten nur zwei davon erwähnen.

Der erste stammt von Yann Padova, dem ehemaligen Generalsekretär der CNIL und heute Anwalt bei Baker McKenzie. Er schrieb am 29. Januar in Les Échos: „Unsere Welt erlebt eine Datenflut, deren Volumen sich alle 24 Monate verdoppelt. Ihre Analyse zu erleichtern, neue Zusammenhänge zu erkennen und die Entstehung innovativer Dienste zu fördern – das ist die Herausforderung von Big Data heute und künstlicher Intelligenz morgen. Indem der Gesetzentwurf diese Möglichkeit nicht nutzt, entscheidet er sich für Konservatismus. Angesichts der Stärke unserer französischen Industrie und unserer mathematischen Fakultät ist diese Entscheidung bedauerlich. Sie zeigt einmal mehr, wie wenig der Zusammenhang zwischen Innovation, Datenschutz und industrieller Entwicklung berücksichtigt wird.“

Der zweite Beitrag stammt von Laurent Alexandre, einem Spezialisten für künstliche Intelligenz (unter anderem), dessen aufschlussreiche Analysen uns seit Jahren über die Auswirkungen der NBIC-Technologien (Nano-, Bio-, Informatik- und Kognitionswissenschaften) auf unser Leben aufklären. In seiner Kolumne vom 24. Januar 2018 mit dem Titel „Sollte die CNIL abgeschafft werden?“ schreibt er: „… KI findet unerwartete Korrelationen zwischen Daten, die a priori uninteressant erscheinen. Jede Einschränkung der Datenerhebung behindert sicherlich alle Akteure, ermöglicht es aber vor allem chinesischen oder amerikanischen Unternehmen, ohne europäische Konkurrenz zu florieren.“ Und weiter: „In Brüssel brauchen wir eine Thatcher der Daten, um den Technologiekrieg zu führen. Auf französischer Ebene müssen wir die CNIL revolutionieren, die von einem bemerkenswerten Team geleitet wird, aber das falsche Ziel verfolgt. Wir müssen ihre Mission bereichern, indem wir die technologischen Interessen unseres Landes integrieren.“

Dies ist nicht der Ort, um eine Debatte zu eröffnen. Aber diese beiden klugen Perspektiven zeigen uns, dass der legitime Schutz personenbezogener Daten nicht auf Kosten von Innovation und wirtschaftlicher Entwicklung gehen darf, sonst werden wir zum Vasallen.