Abstimmung über Datenschutz – Es bleibt viel zu tun

Das Parlament hat den ersten Teil geleistet und gestern über das Datenschutzpaket abgestimmt. Die Abstimmung war lange erwartet und mehrmals verschoben worden. Nun ist der Ministerrat am Zug.

Das Gewimmel im Raum war groß, Fernsehteams drängten sich und wollten den ersten Meilenstein auf dem Weg zur EU-Datenschutzreform in Bildern festhalten. Aber die Freude ist nicht so ganz berechtigt. Denn die Datenschutzreform ist wie eine Kette: Durch ein kaputtes Glied reißt sie und wird komplett nutzlos. Beim Datenschutz, wie ihn das Parlament angenommen hat, haben wir gleich zwei kaputte Artikel:

Profiling und Pseudonymisierung

Die gestern abgestimmte Fassung erlaubt es Unternehmen, uneingeschränkt Profile von „pseudonymisierten Daten“ anzulegen. Pseudonymisiert klingt erst einmal gut, meint man. Aber mit durchschnittlich zwei Datensätzen lassen sich die Daten einer Person wieder eindeutig zuordnen. Damit sind die Daten mit wenig Aufwand personalisierbar, was auf dem Datenmarkt eine deutliche Wertsteigerung bringt. Leider hat das Parlament sich nicht dazu durchringen können, Profiling generell nur mit dem von uns schon lange gefordertem "Opt-In" zuzulassen. Man kann dem Profiling jetzt zwar widersprechen, aber das muss man erst einmal wissen – und auch wirklich tun.

Ganz ähnlich schätzt Joe McNamee von EDRi den Kompromiss zum Profiling ein:

Wenn dieses Ergebnis abgesegnet wird, würde das ein Jagdfieber bei Onlinefirmen auslösen, insgeheim unsere Daten zu sammeln, Profile über Menschen anzulegen und unsere Persönlichkeiten an den Höchstbietenden zu verkaufen. Das ist umso enttäuschender, da es einen Großteil der guten Arbeit, die bisher getan wurde, untergräbt und negiert.

Auch der in Verhandlungskreisen „berüchtigte“ Artikel 6 ist ein großes Schlupfloch. Wer Daten verarbeiten will, muss bestimmte Gründe ins Feld bringen. Etwa die Ausführung eines Vertrages oder die explizite Zustimmung. Oder eben, so der Artikel weiter, sein so genanntes „berechtigtes Interesse“. Das werden Firmen, die Daten von mir verarbeiten wollen, natürlich immer tun. Und sogar andere Firmen, die diese Daten bekommen haben, dürfen diese Daten dann legal weiterverarbeiten, wenn man als Betroffener „vernünftigerweise davon ausgesehen muss“, dass sie das tun werden. Ein Beispiel: Sie sind bei einem sozialen Netzwerk angemeldet, das ihre Daten an eine Werbefirma weiterverkauft. Diese Werbefirma wird sie nun beim Surfen auf ziemlich jeder Webseite verfolgen können, da das nun mal „das berechtigte Interesse“ von Werbefirmen ist.

Innenminister Friedrich ist am Zug

Auch wenn diese Nachrichten erst einmal düster klingen, gibt es zwei Hoffnungsschimmer am Gesetzeshimmel über Brüssel. In der Datenschutzreform wurden – auch im Lichte der Snowden-Enthüllungen – die Strafzahlungen für Unternehmen auf 5 % des weltweiten Jahresumsatzes erhöht. Was Datenkraken in Zukunft vielleicht doch zweimal nachdenken lässt, weiter systematisch gegen europäisches Datenschutzrecht zu verstoßen.

Außerdem ist das letzte Wort noch nicht gesprochen. Das gestern abgestimmte Paket bietet die Grundlage des Parlaments für die Verhandlungen im Ministerrat. Dieser kann also noch Verbesserungen Vorschlagen. Hans-Peter Friedrich, bisher als Innenminister zuständig für diese Verhandlungen, sagte der Süddeutschen Zeitung, er wolle die Vorlage noch verbessern. Hoffen wir, dass das er das diesmal ernst meint. Denn wenn er behauptet, „Deutschland war von Anfang an treibende Kraft, um die Verordnung voranzubringen“, dann meint er jedenfalls nicht damit, mit uns über die Verordnung reden zu müssen.

Mehr Informationen zum Thema finden Sie auch bei Access und der Initiative für Netzfreiheit.

[Aktualisierung]: Jan Philipp Albrecht hat die aktualisierte, inoffizielle Fassung der Datenschutzverordnung auf Englisch herausgegeben.

(Foto: Verena Hornung, cc-by. Übergabe unseres Offenen Briefes für mehr Datenschutz in Europa. Innenminister Friedrich hatte keine Zeit an diesem Tag.)