Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

Exklusiv: Wir veröffentlichen Verhandlungsstand der Datenschutzreform im Ministerrat – Minister schützen Markt, aber keine Daten

Die Innen- und Justizminister rütteln weiter an den Grundfesten der Datenschutzverordnung. Sowohl bei den Grundlagen wie der Definition personenbezogener Daten als auch bei Informationspflichten und Betroffenenrechten, schonen die Minister Unternehmen zu Ungunsten der Bürgerinnen und Bürger. Das geht aus einem Dokument der irischen Ratspräsidentschaft hervor, das wir an dieser Stelle exklusiv veröffentlichen.

Deutschland gehört nicht zu den schlimmsten Verwässerern der Reform. Von Innenminister Friedrichs Versprechen „strenger europäischer Datenschutzregeln“ merkt man jedoch auch nicht viel.

Zweifel an der Verordnung, Einigkeit bei Unternehmensfreundlichkeit

Das Dokument vom 6. Mai 2013 gibt den Verhandlungsstand im Ministerrat zu den Kapiteln I-IV des Kommissionsvorschlags wieder. Diese umfassen u.a. die Grundprinzipien der Verordnung (Definitionen, Vorschriften zur Datenerhebung), die Rechte der Betroffenen gegenüber den Datenverarbeitern und die Pflichten Letztgenannter.

Absender ist die irische Ratspräsidentschaft, die auf Basis des Diskussionsstandes im Rat Änderungsvorschläge an der Verordnung zur Diskussion stellt. Aufgrund der Uneinigkeit im Rat wimmelt es in dem Papier von Fußnoten, die Vorbehalte und Änderungswünsche der Mitgliedsstaaten dokumentieren.

Das Papier ergänzt sich mit dem Leak aus dem Ministerrat, den wir jüngst verbloggt haben. Bei diesem handelte es sich um die wenigen Punkte, in denen scheinbar weitgehende Einigkeit zwischen den Staaten bestand.

Das uns nun vorliegende Dokument zeigt, dass Einigkeit über den Kommissionsvorschlag im Ministerrat eher die Ausnahme ist. Die Mitgliedsstaaten machen Vorbehalte über Vorbehalte geltend. Einige, darunter das der Verordnung seit jeher feindlich gesinnte Vereinigte Königreich, zweifeln immer noch am Instrument der Verordnung und wollen lieber eine Richtlinie, die das derzeitige Durchsetzungsdefizit im europäischen Datenschutz aufrecht erhalten würde.

Wie der österreichische Journalist Erich Moechel schreibt, geraten „Länder mit vergleichsweise starken Datenschutzgesetzen wie Deutschland oder Österreich ziemlich in die Defensive“ bei den Ratsverhandlungen. Das kann jedoch keine Ausrede sein. Im Gegenteil: Deutschland sollte im Rat offensiver für eine starke Datenschutzverordnung eintreten. So lesen wir bei den von der irischen Präsidentschaft vorgeschlagenen neuen Einleitungsworten zur Verordnung nichts von einem deutschen Vorbehalt:

Um das Funktionieren des Binnenmarkts zu gewährleisten, ist es erforderlich, dass der freie Fluss personenbezogener Daten zwischen den Mitgliedsstaaten durch den Schutz des Individuums betreffend die Verarbeitung dessen persönlicher Daten nicht beschränkt oder verboten wird.

Welcher europäische Binnenmarkt ist hier gemeint? Gerade im Hinblick auf die derzeit kursierenden Zahlen in industrienahen Studien, könnte der Eindruck entstehen, dass die Direktmarketingindustrie, Scoringdienste und Trackingnetzwerke die Lösung der wirtschaftlichen Probleme Europas oder irgendwie systemrelevant sind.

Definitionen und Grundprinzipien der Datenverarbeitung: Expertise ignoriert

Bei der Definition personenbezogener Daten, verschlimmbessern die Mitgliedsstaaten die Formulierungen der Kommission weiter. Besonders in Onlineumgebungen kommt es eben nicht auf eine wie auch immer geartete „Identifizierung“ der Person an. Entscheidend ist, dass ich in einer bestimmten Gruppe von anderen unterscheidbar bin. Das fordern Bürgerrechtsorganisationen genau so wie die europäischen Datenschützer der Artikel-29-Datenschutzgruppe – und zwar seit 2007.

Bei der Ausweitung des umstrittenen „berechtigten Interesses“, das Datenverarbeitung ohne Zustimmung erlaubt, wollen die Minister eine Ausweitung dieser Rechtsgrundlage auf Dritte, statt bzw. bevor sie die notwendige rechtssichere Begrenzung dessen vorschlagen. Dies unterstützt – in einer etwas anderen Formulierung – auch Deutschland. Wie ein Bericht der Bürgerrechtsorganisation Bits of Freedom zeigt, ist die Datenverarbeitung auf dieser Grundlage rechtlich undurchsichtig. Leidtragende sind die „Datensubjekte“, also wir.

Und ein weiteres Mal ignorieren die Minister datenschutzrechtliche Expertise. Bei der Zweckbindung der erhobenen Daten, führen sie zwar einen Katalog von Faktoren zur Abschätzung der Zweckbindung ein, ähnlich wie es auch die Artikel-29-Datenschutzgruppe in ihrer Stellungnahme dazu vorschlägt. Nur leider vergessen sie den Artikel Schlupfloch-Artikel 6(4), der durch diesen Faktorenkatalog ersetzt werden soll, zu löschen.

Rechte der Betroffenen und Pflichten der Datenverarbeiter: Bloß nicht die Industrie belasten

Umstritten unter den Ministern sind auch die Informationspflichten der Datenverarbeiter gegenüber den Bürgerinnen und Bürgern sowie das Recht auf Datenportabilität, einer der innovativeren Kommissionsvorschläge, der helfen könnte, sogenannte Lock-in-Effekte zu überwinden. Damit würde es etwa möglich, seine Daten von einem Anbieter zum anderen mitzunehmen, etwa von Twitter zu app.net. Sowohl bei den Informationspflichten als auch beim Recht auf Datenportabilität machen sich die Minister sorgen über die Umstände und Kosten, die das bei den Unternehmen verursachen könnte – auch Deutschland. Das Recht auf Datenportabilität betrachten viele Staaten generell nicht als Sache des Datenschutzrechtes – ein guter Vorwand, um es erst mal abzuschmettern. Und natürlich ist man auch um Geschäftsgeheimnisse und geistiges Eigentum besorgt.

Einer der gefährlichsten und absurdesten Textvorschläge: Die sogenannte „Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes ihrer personenbezogenen Daten“, also die Kommunikation von Datenlecks, soll nicht nötig sein, solange der Datenverarbeiter Maßnahmen wie Pseudonymisierung und Verschlüsselung getroffen hat. Der Glaube an technischen Fortschritt und Innovation hat die Minister wohl ausgerechnet hier verlassen. Ein Datenleck ist natürlich auch bei pseudonymen Daten gefährlich. Bei Verschlüsselungen ist die Entschlüsselung nur eine Frage der Zeit. Aber, wenn die Daten fließen ist das ja gut für den Binnenmarkt.

Einmischen!

Der Rat setzt seine unternehmensfreundliche Linie beim Datenschutz fort. Dies geschieht im Sinne von Marketing- und Scoringdiensten, die zu deren Geschäft vor allem, pseudonymisierte Daten gehören, wie Erich Moechel in seiner Analyse des Dokuments betont. Mit der Argumentation pseudonyme Daten, sind keine personenbezogenen Daten, wollen diese Datenschutzregeln unterlaufen. Der Ministerrat fügt sich und schafft Ausnahmen für diese „Datenklasse“ (siehe u.a. Definitionen, Benachrichtigungspflicht). „Pseudonyme Daten dürfen nicht das Trojanische Pferd in der Datenschutzverordnung werden”, mahnte Justizkommissarin Viviane Reding im März wohlweislich an.

Die Idee einer europaweiten Durchsetzung starken Datenschutzrechts behagt den meisten Mitgliedsstaaten wenig. Ähnliche Tendenzen zeichnen sich bei den parallel laufenden Verhandlungen im Europäischen Parlament ab. Das ist nicht ACTA, aber genau so wichtig. Derzeit laufen Aktionen, die sich sowohl an Innenminister Friedrich als auch das Europäische Parlament richten. Letzteres ist erfahrungsgemäß leichter zu beeinflussen. Also nehmt euch ein paar Minuten für euren Datenschutz und kontaktiert eure Volksvertreter/innen in Berlin und Brüssel.

Diese erste spontane Einschätzung der 106 Seiten und 299 Fußnoten freut sich über Ergänzungen in den Kommentaren.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

Reposted by02mydafsoup-01 02mydafsoup-01

Don't be the product, buy the product!

Schweinderl