Das neue Datenschutzgesetz der Europäischen Union, die Datenschutz-Grundverordnung (DSGVO / englisch GDPR), wird in ganz Europa getestet. In Rumänien begann der erste GDPR-Datenschutzfall mit einer am 5. November veröffentlichten Untersuchung über einen Korruptionsskandal, in dem es um einen Politiker und dessen enge Beziehungen zu einem des Betrugs verdächtigten Unternehmen ging.
Offener Brief fordert ein ausgewogenes Verhältnis von Datenschutz und Meinungsfreiheit
Die rumänische Datenschutzbehörde (ANSPDCP) stellte eine Reihe von Fragen an die Journalisten, die den Artikel verfasst hatten, und bat um Informationen, welche die Quellen des Artikels offenlegen könnten. Die Datenschutzbehörde erwähnte auch eine Strafe von bis zu 20 Millionen Euro, sollten die Journalisten sich nicht daran halten. Die Datenschutzbehörde besteht darauf, dass sie unabhängig und ohne politische Einmischung handelt und dass ihr Ziel darin besteht, "ein Gleichgewicht zwischen dem Recht auf Schutz personenbezogener Daten, der Meinungsfreiheit und dem Recht auf Information zu gewährleisten".
Die Association for Technology and Internet (ApTI) hat sich zusammen mit 11 weiteren Menschenrechts- und Medienorganisationen in einem offenen Brief an die ANSPDCP gewandt. ApTI ist eine NGO für digitale Rechte und Mitglied von European Digital Rights (EDRi), einer Initiative, die ein freies und offenes Internet, in dem die Menschenrechte garantiert und geschützt sind, fördert. In dem Schreiben wird gefordert, dass ANSPDCP anstehende GDPR-Fälle, die die Meinungsfreiheit gefährden könnten, sorgfältig analysiert, und es wird die Einrichtung eines dringenden und transparenten Mechanismus zur Beurteilung von Ansprüchen im Zusammenhang mit der Datenverarbeitung für journalistische Zwecke gefordert.
Gleichzeitig hat ApTI zusammen mit Privacy International, EDRi und 15 anderen NROs für digitale Rechte ein Schreiben an den Europäischen Datenschutzrat (mit ANSPDCP und der Europäischen Kommission in Kopie) geschickt und gefordert, dass die GDPR nicht missbraucht wird, um die Medienfreiheit in Rumänien zu gefährden.
Rumänische Datenschutzbehörde stellt Facebook-Posts in Frage
Der Hashtag #TeleormanLeaks bezieht sich auf eine Pressegeschichte über den Zusammenhang zwischen Tel Drum, einem Straßenbauunternehmen mit Sitz im Kreis Teleorman, Rumänien, gegen das derzeit wegen Missbrauchs europäischer Gelder ermittelt wird, und Liviu Dragnea, dem Präsidenten der Sozialdemokratischen Partei und Präsidenten der Abgeordnetenkammer, der in dieser Region über ein Wirtschaftsimperium verfügt. Das RISE Project, ein rumänisches Zentrum für investigativen Journalismus, hat den ersten Teil der Untersuchung am 5. November veröffentlicht und mit einem gleichzeitig online gestellten Facebook-Post beworben.
Am 8. November wandte sich ANSPDCP in einer Mitteilung an das RISE Project und stellte Fragen zu den im Facebook-Post enthalten personenbezogenen Daten einschließlich der Frage nach deren Herkunft. Dies sorgte für einen internationalen Aufschrei der Empörung beimOrganised Crime and Reporting Project (OCCRP), bei der Europäischen Kommission und bei Dutzenden von Journalisten und Medien.
Am Tag vor dem Schreiben der Behörde an das RISE-Projekt berichteten rumänische Medien, dass eine der an diesem Skandal beteiligten Schlüsselpersonen, derzeit der kaufmännische Leiter von Tel Drum und ehemaliger Leiter der Abteilung für Finanzkontrolle im selben Unternehmen, beim ANSPDCP eine Klage auf "Recht Vergessen zu werden" eingereicht hatte. Anscheinend basierte die Mitteilung des ANSPDCP an das RISE-Projekt jedoch auf Informationen eines Dritten und nicht auf dieser speziellen Mitteilung.
Aus der Mitteilung geht hervor, dass ANSPDCP sich aufgrund der GDPR berechtigt sieht, zu fragen, woher die auf dem Facebook-Post veröffentlichten Informationen stammen. Sie hat jedoch nicht erklärt, warum dies nicht gegen die rumänischen Gesetze zum Schutz der Meinungsfreiheit verstößt, einschließlich der Verwendung von Daten für journalistische Zwecke. Auch ANSPDCP hat seine Analyse zur Vereinbarkeit der fraglichen Grundrechte nicht geklärt.
GDPR und Meinungsfreiheit
Unter Punkt 153 der GDPR heißt es, dass die Verordnung nicht als Instrument zur Aushöhlung anderer Rechte, einschließlich der journalistischen Meinungsfreiheit, eingesetzt werden darf. Alle Grundrechte sind gleichberechtigt, und wenn ein Konflikt entsteht, muss dieser gelöst werden.
Die Mitgliedstaaten und Regulierungsbehörden müssen den weiter gefassten europäischen Menschenrechtsrahmen anwenden und die Charta der Grundrechte der Europäischen Union, die Europäische Menschenrechtskonvention sowie die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) berücksichtigen.
Rumänien schränkt Artikel 85 des GDPR ein
Die Art und Weise, wie Rumänien die GDPR umgesetzt hat, wirft Fragen auf, da es Ausnahmen von der GDPR für journalistische Zwecke nur in drei, sehr engen, alternativen Szenarien zulässt, die extrem begrenzt sind. Dies wird als Artikel 7 bezeichnet. Die Verarbeitung personenbezogener Daten für journalistische Zwecke ist in der Regel wesentlich umfangreicher. Die Beschränkung von Ausnahmeregelungen für journalistische Zwecke auf drei aufgelistete Optionen bleibt hinter dem zurück, was zum Schutz der Meinungsfreiheit erforderlich ist, insbesondere der journalistischen Freiheit und der Menschenrechtsrechtsprechung.
Die Absichten der Behörde sind undurchsichtig.
Die oben genannte Ausnahme in Artikel 7 sieht vor, dass "die Verarbeitung zu journalistischen Zwecken oder zum Zwecke der akademischen, künstlerischen oder literarischen Meinungsäußerung erfolgen kann, wenn es sich um personenbezogene Daten handelt, die von der betroffenen Person öffentlich bekannt gemacht wurden oder in engem Zusammenhang mit dem öffentlichen Status der Person oder dem öffentlichen Charakter der Tatsachen, an denen sie beteiligt ist, stehen".
Wegen der Korrespondenz mit dem RISE Project gehen wir davon aus, dass ANSPDCP der Ansicht war, dass entweder der Facebook-Post nicht für journalistische Zwecke geschrieben wurde oder dass diese Situation nicht durch eine der engen Ausnahmen in Artikel 7 abgedeckt ist.
Es ist auch möglich, dass ANSPDCP nie beabsichtigte, sich mit der journalistischen Tätigkeit zu befassen, sondern nur an einer möglichen Verletzung der zugrunde liegenden personenbezogenen Daten interessiert war. Aber selbst wenn die Datenschutzbehörde Artikel 7 angewandt hätte, bedeuten seine Mängel, dass nicht gewährleistet ist, dass die Meinungsfreiheit und die journalistischen Quellen angemessen geschützt worden wären.
Die rumänische Datenschutzbehörde war möglicherweise nicht einmal berechtigt, nach den Quellen zu fragen.
Angesichts der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte zur Meinungsfreiheit ist es fraglich, ob der ANSPDCP das Recht hatte, in einer journalistischen Untersuchung nach Quellen zu fragen. Gleichzeitig bleibt der Antrag recht vage. Die Behörde scheint in Fällen des Datenschutzes nach Standardinformationen zu suchen, wie z.B. der Quelle oder der Speicherung der Daten.
Im zweiten Teil der Anfrage erwähnt ANSPDCP jedoch sein Recht auf Zugang zu den elektronischen Speichermedien, auf denen die personenbezogenen Daten gespeichert sind. Dies kann als Aufforderung interpretiert werden, herauszufinden, wo die Daten gespeichert sind, obwohl ein solcher Zugang nur erforderlich sein sollte, wenn dies gemäß dem rumänischen Verfahrensrecht verlangt würde.
Vereinbarkeit von Datenschutz und Meinungsfreiheit
Damit eine Datenschutzbehörde Meinungsfreiheit und Datenschutz in Einklang bringen kann, muss es zunächst eine angemessene Befreiung im Gesetz geben. Wie bereits erwähnt, wirft die enge Ausnahmeregelung in Artikel 7 des rumänischen Gesetzes eine Reihe von Bedenken auf. Damit das Recht dann effektiv und konsequent angewendet wird, sind auch Beratung und Ausbildung wichtig.
Die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) listet die Faktoren auf, die im Zusammenhang mit diesen beiden Grundrechten zu berücksichtigen sind. Dazu gehören der Beitrag des Werkes zum öffentlichen Interesse, die Art und Weise, wie Informationen gewonnen wurden, sowie Inhalt, Form und Folgen der Veröffentlichung des Werkes.
Als Reaktion auf diesen Fall haben Privacy International, EDRi, ApTI und andere Mitglieder des Europäischen Datenschutzrats Leitlinien und Maßnahmen gefordert. Dieses Organ sollte zum Schutz der Rechte genutzt werden und nicht als Instrument, um Journalisten und die Berichterstattung, die im öffentlichen Interesse steht, zum Schweigen zu bringen oder einzuschüchtern.