EU-Datenschutz: So nicht, Ministerrat!
Der Ministerrat verhandelt über die Datenschutzreform und kommt zu Ergebnissen, die den Namen „Datenschutz“ nicht mehr verdienen. Neue Leaks und die jüngsten Verhandlungsergebnisse zeigen: Der Ministerrat schützt die Industrielobby und verkauft die Grundrechte.
Bereits vor einem Monat warnten wir, dass die Zweckbindung in der Reform so weit aufgeweicht werden könnte, dass sie praktisch wirkungslos werde. Der Rat hat nun das wichtige Kapitel II, in dem es um die Prinzipien des Datenschutzes geht, fertig verhandelt – und unsere Warnungen blieben leider ungehört.
Vor allem drei Punkte sind angegriffen worden und könnten einen guten und wirksamen Datenschutz in Zukunft verhindern: die Zweckbindung, die Datensparsamkeit und die Definition von persönlichen Daten bei Pseudonymisierung.
Wann ist ein Pseudonym ein Pseudonym?
Beginnen wir mit der Pseudonymisierung. Wenn Sie beim Online-Shopping getrackt werden oder wenn Facebook ein Profil über Sie anlegt, das so gut wie all Ihre Online-Aktivitäten umfasst, dann tun die Datenkraken das nicht unter Ihrem richtigen Namen – etwa Monika Müller – sondern unter einer ID, also einer eindeutigen Nummer. Dies kann die ID des Cookies sein, der auf ihrem Computer gesetzt wird, oder die Device-ID, also die eindeutige Nummer ihres Smartphones. Das hat mit Ihrem echten Namen wenig zu tun. Dennoch ist es sehr eindeutig: Ihr Smartphone geben Sie wahrscheinlich selten aus der Hand. Pseudonyme Daten dürfen deshalb keine Ausrede sein, den Datenschutz dafür zu verwässern, doch genau das soll jetzt eingeführt werden.
Wie sehr der Rat nämlich nicht verstanden hat, was pseudonyme Daten sind und was nicht, zeigen die neuen Erwägungsgründe 23 und 24, die sich inhaltlich komplett widersprechen!
In Erwägungsgrund 23 heißt es:
pseudonymised data, which could be attributed to a natural person by the use of additional information, should be considered as information on an identifiable natural person.
Pseudonyme Daten sollen also genauso zu behandeln sein wie personenbezogene Daten.
Erwägungsgrund 24 sagt dagegen:
When using online services, individuals may be associated with online identifiers provided by their devices, applications, tools and protocols, such as Internet Protocol addresses or cookie identifiers. … Identification numbers, location data, online identifiers or other specific factors as such should not (...) be considered as personal data if they do not identify an individual or make an individual identifiable.
Also ihre IP-Adresse, Cookies, oder andere Nummern und Datenprofile sind keine persönlichen Daten, wenn Sie sie nicht identifizieren. Dabei identifizieren solche Daten doch immer eine Person, die hinter diesen Daten steht. Hier wird aber auch klar, worum es eigentlich geht: Cookies und Profile sollen vom Datenschutz ausgenommen werden, damit unser Verhalten noch besser analysiert werden kann – für bessere Werbung und besseres Tracking.
Der Zweck heiligt die Mittel?
Das Prinzip der Zweckbindung hat der Rat so gut wie verworfen. Dabei geht es um den viel diskutierten Artikel 6. In der neuen Ratsversion soll die Weiterverarbeitung von persönlichen Daten auch dann erlaubt sein, wenn sie mit den zuvor erklärten Gründen unvereinbar ist – und die Unternehmen aber trotzdem ein berechtigtes Interesse daran haben, das unsere Grundrechte in dem Fall überwiegen könnte. Außerdem wird dem Unternehmen, das unsere Daten weiterverarbeiten will, obwohl es dazu ursprünglich keine Erlaubnis hatte, noch ein Katalog mit an die Hand gegeben, aus welchen Gründen eine solche Weiterverarbeitung doch erlaubt sein könnte. (Artikel 6, Abs. 3a). Wenn es diese Gründe berücksichtigt, ist das mit der Weiterverarbeitung schon in Ordnung und man muss nicht nochmal nachfragen, denn das würde ja auch bloß Arbeit machen für die vielen Big Data Firmen.
Hinter dieser Aufweichung steht manchen Beteiligten zufolge auch die Bundesregierung. Verbraucherschützer warnen davor. Die lange schweigende Bundesdatenschutzbeauftragte Andrea Voßhoff sprach von einem „inakzeptablen Rückschritt“ – dieser Meinung schließen wir uns an!
In einem letzten Punkt muss man die Bundesregierung ein wenig loben, wenn das Prinzip der Datensparsamkeit wollte sie erhalten. Doch der Ministerrat hat es gekillt. In Artikel 5 werden die Prinzipien für Datensammlungen wie folgt definiert:
adequate, relevant and not excessive in relation to the purposes for which they are processed (...)
Das Schlüsselwort hierbei ist „nicht exzessiv“ statt „datensparsam“, das dort vorher stand.
Die Pressemitteilung des Ministerrats zur den hier vorgestellten Ergebnissen der Verhandlungsrunde um Kapitel II spricht vom Ziel, den Datenschutz in Europa „strenger und einheitlicher“ und „mit starker Rechtsdurchsetzung“ zu gestalten. Sie erwähnt leider nicht, dass das Ziel mit diesen Ergebnissen verfehlt wird.
Die nächste Verhandlungsrunde steht in dieser Woche an und dreht sich um das Kapitel III – mit wichtigen Paragraphen, die unter anderem das Profiling, das Recht auf Löschen und Auskunftsrechte betreffen. Wir bleiben dran.
Weitere Informationen:
Autor: Dennis Romberg
(Bild: Europaparlament, cc-by-nc-nd)
Widerstand braucht einen langen Atem.
Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.