Datenschutz, Netzpolitik & Grundrechte

Datenschutzreform: Vier wesentliche Schwachstellen sind zu fixen!

Diese Woche war Joe McNamee, Executive Director von European Digital Rights - EDRi bei einer OSZE-Konferenz in Wien. Auf Einladung von VIBE!AT hat er am Rande der Konferenz im Metalab über den aktuellen Stand der EU Datenschutzreform informiert. Vier wesentliche Schwachstellen müssen dabei geschlossen werden. Bleibt eine davon offen, droht eine Verschlechterung des aktuellen Datenschutzniveaus.

Schwachstelle 1: Was sind personenbezogene Daten?
In vielen Fällen – insbesondere im Online-Bereich – werden personenbezogene Daten verarbeitet, ohne dass unmittelbar festgestellt werden kann, wer die Person ist auf die sich die Daten beziehen. Diese Daten werden als indirekt personenbezogene Daten bezeichnet, da der Personenbezug nur über Umwege hergestellt werden kann. Beispielsweise weiß ein Betreiber einer Webseite nicht, wer die Person hinter einer IP-Adresse ist, mit der seine Seite besucht wurde. Der Internet Service Provider (ISP) des Surfers kann aber sehr wohl feststellen, welche konkrete Person zu welchem Zeitpunkt eine bestimmte IP-Adresse verwendet hat.

Es lässt sich also über Umwege (indirekt) ein Personenbezug herstellen, wodurch die Webseitenaufrufe einer bestimmten Person nachvollzogen werden können.

Dieser Zusammenhang besteht im Online-Bereich sehr häufig, ist auch in vielen anderen Bereichen anzutreffen und wird in Zukunft (Stichwort: Internet der Dinge) noch viel mehr Bedeutung zu erlangen.

Um einen effektiven Datenschutz zu erreichen ist es notwendig, den Begriff "personenbezogene Daten" so weit wie möglich zu fassen. Insbesondere müssen darunter auch indirekt personenbezogene Daten und alle Arten von Identifyern (z.B. ID-Nummern auf RFID-Chips) fallen.

Schwachstelle 2: "Berechtigte Interessen"
Gemäß der derzeitigen EU Datenschutzverordnung bestehen vier mögliche Rechtsgrundlagen für die Verarbeitung personenbezogener Daten:
die gesetzliche Verpflichtung bestimmte Daten zu verarbeiten (z.B. Lohnverrechnung, …)
die Notwendigkeit bestimmte Daten zu verarbeiten um einen Vertrag mit dem Betroffenen erfüllen zu können (z.B. zur Verrechnung von Leistungen)
die ausdrückliche informierte Zustimmung des Betroffenen und
überwiegende berechtigte Interessen des Datenverarbeiters.

Während "berechtigte Interessen" in der bestehenden Richtlinie nur für Ausnahmefälle vorgesehen war, werden diese in der Praxis sehr häufig als Rechtfertigung herangezogen. Zu häufig.

"Der Reformvorschlag der EU-Kommission zu dieser Frage ist relativ schwach", sagt Joe McNamee. Die Verhandlungen über den Reformvorschlag können nun in zwei Richtungen gehen: entweder hin zu einer restriktiveren Handhabung dieser Regelung oder sogar hin zu einer noch weiteren Ausweitung dieser Rechtsgrundlage.

Im Sinne eines effektiven Datenschutzes sollte diese Regelung deutlich strikter gehandhabt werden. Derzeit wird es in Irland beispielsweise als berechtigtes Interesse von ISPs gesehen, dass sie öffentlich als rechtstreue Unternehmen erscheinen wollen. Entsprechend dürfen sie dort auf Basis dieser "berechtigten Interessen" an einem rechtlich nicht vorgeschriebenen – also freiwilligen – 3-Strikes-System teilnehmen und die Daten ihrer Kunden dafür verwenden.

Im Ergebnis führt dies dazu, dass personenbezogene Daten für Zwecke verwendet werden können, die mit dem ursprünglichen Zweck, für den die Daten erfasst wurden, nichts mehr zu tun hat. Ebenso können diese Daten auf Basis "legitimer Interessen" von einem Unternehmen zum nächsten weitergereicht werden, ohne dass der Betroffene davon erfährt.

Joe McNamee: "Unbekannte Unternehmen können somit die Daten für unbekannte Zwecke verarbeiten."

In Summe führt eine breite Auslegung von "berechtigten Interessen" also zu einer Aushöhlung von zwei sehr wesentlichen Grundsätzen des Datenschutzes: der strikten Zweckbindung und der Datenminimierung. Dies muss auf möglichst auf wenige besondere Ausnahmen beschränkt werden.

Schwachstelle 3: Erstellung von Profilen (Profiling)
Beim Profiling werden personenbezogene Daten gesammelt und auf Basis dieser Daten Annahmen über bestimmte Eigenschaften getroffen. Dabei wird in Kauf genommen, dass diese Annahmen in einigen Fällen falsch sind und die jeweiligen Betroffenen entsprechend ungerechtfertigt benachteiligen. Ein klassisches Beispiel dafür ist die Abschätzung der Kreditwürdigkeit von Personen aufgrund ihrer Wohnadresse, ihres Kaufverhaltens und anderer Informationen. Die Ergebnisse des Profilings beeinflussen direkt das Verhalten von Unternehmen gegenüber ihren Kunden.

Der Reformentwurf der Kommission sieht ein Verbot des Profilings mit wenigen klar definierten Ausnahmefällen vor. In einem Ausschuss des EU Parlaments wurde jedoch ein Vorschlag mehrheitlich angenommen, der Profiling weitgehend erlaubt und kaum noch regelt.

Da die Ergebnisse des Profilings nicht belegbare Tatsachen sondern vielmehr spekulative Annahmen über die Betroffenen sind, ist es notwendig Profiling auf ein absolutes Mindestmaß zu beschränken.

Schwachstelle 4: Export von Daten in Drittstaaten
"Wenn es rechtlich zu leicht gemacht wird Daten in Drittstaaten zu exportieren, können damit sämtliche Maßnahmen der EU zum Grundrechtsschutz umgangen werden", sagt Joe McNamee.

Der Reformvorschlag der EU Kommission ist in dieser Hinsicht sehr schwach und muss dringend verbessert werden um eine Umgehung des europäischen Datenschutzrechts zu verhindern.

In einem früheren Entwurf des Reformvorschlags der EU Kommission war eine wichtige Bestimmung enthalten, die eine Datenübermittlung an Behörden von Drittstaaten nur nach vorheriger Genehmigung erlaubt hätte. Dieser Artikel 42 wurde auf Druck der USA entfernt und sollte wieder in den Reformvorschlag aufgenommen werden.

Video
Einen Videomitschnitt von Joe McNamees Erklärungen hat @exiledsurfer online gestellt:

@exiledsurfer interviews Joe McNamee of EDRI from exiledsurfer on Vimeo.

Flattr

Zwei Bemerkungen

Zum Profiling:
Es sollte im politischen Diskurs Klarheit darüber geschaffen werden, ob Anwendungen wie Facebook, Profile verwenden dürfen, damit die richtige Werbung alloziert wird. Dürfen die das in der Maschine nicht, müsste der Dienst anders finanziert werden. Das sollte den Bürger klar gesagt werden.

EU-Isolierung:
""Wenn es rechtlich zu leicht gemacht wird Daten in Drittstaaten zu exportieren, können damit sämtliche Maßnahmen der EU zum Grundrechtsschutz umgangen werden", sagt Joe McNamee."

Ein Isolierung der EU in einem globalen Medium wie dem Internet ist technisch nicht machbar. Hier sollte man den Bürgern nichts vorgaukeln. Wenn wir andere globale Phänomene haben, dann regulieren wir die auch global wie bei den Genfer Konventionen, der WTO und der WIPO.

Bei den Genfer Konventionen vereinbaren wir für unsere Soldaten auch nicht Schutz nur für den europäischen Raum. Wenn europäische Touristen in der Türkei sind oder deutsche Soldaten in Mali, dann sollten sie auch durch Datenschutz geschützt werden und nicht durch Versagen der EU ohne Datenschutz dastehen, wenn sie mit ihren Lieben in der Heimat kommunizieren.

Von daher kann man nur zustimmen, dass die Schwachstellen gefixt werden müssen.

Creative Commons Lizenzvertrag