Die Datenschutzverordnung und risikobasierte Grundrechte
Deutschland „begrüßt die Entwicklung eines risiko-basierten Ansatzes für den Datenschutz“ – das trockene Juristendeutsch ist gefährlich für uns alle. Denn ein risiko-basierter Ansatz ist die Einfallstür für einen schwachen Datenschutz und weniger Regularien für die großen Dienste und Datensammler.
Am vergangenen Donnerstag und Freitag tagte der Justiz- und Innenministerrat der EU, um über ein weiteres Kapitel der anstehenden Datenschutzreform zu beraten. Themen waren dabei vor allem das Profiling und der eingangs erwähnte risikobasierte Ansatz in der Datenverarbeitung. Hinter dem Wort verbirgt sich die Vorstellung, dass personenbezogene Daten verschiedene Risiken mit sich brächten. Nun ist Privatsphäre aber ein Grundrecht, und als solches nicht verhandel- oder einteilbar. Nach dem Motto: „Ein bisschen Privatsphäre bei den Gesundheitsdaten, ein bisschen weniger bei den Profildaten und gar keine bei den Meldedaten.“ So funktioniert das bei Grundrechten aber nicht.
Grundrechte müssen immer gleich gelten
Der risikobasierte Ansatz, den die deutsche Delegation ausdrücklich begrüßt, ist eine Gefahr für die Privatsphäre. Und er ist heftig ins Gesetz lobbyiert worden. Man muss sich nur mal anschauen, wie die Stellungnahme der deutschen Delegation weiter geht:
It is necessary to carry out a multi-level assessment of the risks, especially with regard to measures that create major administrative burdens for the controller and from which the data subject does not benefit. (Es ist notwendig, eine Beurteilung der Risiken auf mehreren Ebenen durchzuführen, und dabei besonders die Maßnahmen zu beachten, die einen Verwaltungsaufwand für die Datenverarbeiter darstellen und von denen die betroffenen Personen nicht profitieren.)
– auf Deutsch: Weniger strenge Regeln für diejenigen, die die Daten verarbeiten, und das alles zum angeblichen Vorteil für uns.
Harmlose Profile?
Aber es gibt keine harmlosen personenbezogenen Daten bei der Profilbildung. Alles ist interessant, alles ist wichtig für die Datensammler. Aber alles ist schützenswert für uns. Oder welche Schlüsse würden Sie aus diesen zwei scheinbar harmlosen Daten ziehen: „Max Müller hat die Nummer eines Scheidungsanwalts angerufen.“ und „Max Müller sucht nach einem Hotel im Internet.“ Richtig. Schaut man sich die Vorschläge der deutschen Delegation genauer an, merkt man, dass dieser risikobasierte Ansatz alles verwässert und die Verfasser der Stellungnahme deutlich schwimmen lässt. Allenthalben wird gesagt, man müsse Daten, die einem „hohen“ oder einem „spezifischen“ Risiko ausgesetzt sind, noch näher definieren.
Auch die Meldepflichten bei Datenpannen sollen angepasst werden an das Risiko, dass von den Daten, die kompromittiert wurden, ausgeht. Nur wenn ein hohes Risiko für die betroffenen des Datenverlusts ausgeht, sollen diese in Zukunft informiert werden. Wer kann das schon entscheiden? Ähnlich sieht man das auch bei Edri. Deren Analyse bringt außerdem zu Tage, dass die deutsche Delegation weiter verzögert und so viele Bedenken und Anmerkungen hat, wie alle anderen Delegationen zusammen.
Risikobasierter Ansatz muss verhindert werden
Umso weniger passt all das mit dem zusammen, das Heiko Maas vor der Sitzung versprach: „Es kann nicht sein, dass ungehindert Profile von Nutzern gemacht werden, die dann im Internet kursieren.“ Richtig, Herr Maas. Aber dann verhindern Sie den risikobasierten Ansatz und das Profiling ohne Zustimmung! Und auch die zügige Verabschiedung, die Heiko Maas für die Bürgerinnen und Bürger fordert, klingen angesichts der Kommentare und Einwände der deutschen Delegation nur wie Lippenbekenntnisse.
Rat macht weiter, Trilog muss es richten
Im Ergebnis einigten sich die Delegationen darauf, das vierte Kapitel der Verordnung nun abgeschlossen zu haben – zumindest im Rat, im bald folgenden Trilog stehen aber genau wegen der Unwägbarkeiten des risikobasierten Ansatzes noch zähe Verhandlungen an, in denen Deutschland seine Position definitiv überdenken muss. Auch die von Deutschland immer noch geforderten Ausnahmen für die Datenverarbeitung durch Behörden darf es nicht geben. Warum sollten Behörden andere, womöglich weniger strenge Regeln befolgen müssen als Unternehmen?
Recht auf Löschen
Ein zweites Thema, das wir bei Digitalcourage ebenfalls schon häufiger kommentierten und das auch die EU-Minister bewegt, ist das Recht auf Löschen oder Vergessenwerden. Das viel beachtete Google-Urteil muss auf die eine oder andere Weise auch Eingang in die Datenschutzverordnung finden, ohne dabei die Pressefreiheit zu beschneiden. Ob zum Beispiel Google oder andere Suchmaschinen selbst die Kriterien vorgeben können, nach denen sie etwas löschen, oder ob im Einzelfall die Gerichte entscheiden müssen, wird derzeit hartnäckig diskutiert. Hier scheint vor allem Innenminister Thomas de Maizière die Möglichkeit zu sehen, sich zu profilieren. Anfang des Monats lud er Experten ein, darüber zu diskutieren – und saß wohl nicht zufällig neben Fátima González-Torres von Ecosia, einer Google-Alternative.
Verzögerung nicht mehr hinnehmbar
Sowohl Heiko Maas als auch Thomas de Maizière fordern, dass die Datenschutzverordnung 2015 verabschiedet werden muss. Mit ihrer Verzögerungstaktik haben die beiden für den Datenschutz zuständigen Minister den Reformprozess schon über ein Jahr verzögert. Die Stimmen mehren sich zwar, dass sie es diesmal Ernst meinen könnten. Aber die Taten, die daraus folgen müssen, sind die klare Streichung des risikobasierten Ansatzes, ein Profiling nur mit expliziter Zustimmung im Vorfeld und die Datenverarbeitung durch Behörden muss genauso durch die Verordnung geregelt werden wie die von Unternehmen. Dafür müssten sich die Minister einsetzen, dann klappt’s auch 2015.
Weitere Analysen:
Auf Twitter:
Offizielle Dokumente
- Pressemitteilung des Rats
- Statements der Delegationen zum risikobasierten Ansatz
- Entwurf des Rats zu Kapitel vier der Datenschutzverordnung
(Bild: Jean-Etienne Minh-Duy Poirrier cc-by-sa 2.0)