Datenschutz-Kompromisse öffnen Einfallstor für Profiling und Zustimmungsaushebelung

eudatap_amsAm Montag ist es endlich soweit: Der Innenausschuss des Europaparlaments wird über die neuen Datenschutzregeln abstimmen. Dem Berichterstatter Jan Philipp Albrecht (Grüne) und den Schattenberichterstattern der anderen Fraktionen ist es gelungen, mehrere tausend Änderungsanträge für den Kommissionsentwurf einzudämpfen auf 105 Komprommissanträge, die European Digital Rights (EDRi) veröffentlicht hat. Diese werden von allen Fraktionen getragen, womit die Abstimmung zur Formsache werden dürfte.

Der Haken an der Sache

In die Medien schaffen es im Moment vor allem positive Aspekte wie die Erhöhung der möglichen Sanktionen bei Verstoß gegen die Datenschutzregeln oder die Aufnahme des früheren Artikels 42, mit dem ein Transfer von Daten in unsichere Drittstaaten (sprich auf die NSA-Server) erschwert werden soll (was dafür aber bei weitem nicht ausreicht). Das große Problem: Einzelne Schlupflöcher können die komplette Regelung zu einem Einfallstor machen und zur weiteren Erosion von Grundrechten beitragen. Und leider ist der Text nicht frei davon. Besonders fatal, da er zur Grundlage für Verhandlungen mit den Nationalstaaten dient, die mit der deutschen Regierung an der Spitze bisher nicht gerade durch flammenden Einsatz für den Schutz unserer Rechte aufgefallen sind, um es mal vorsichtig auszudrücken.

Interesse von Unternehmen schlägt Zustimmung der Person

Das größte dieser Tore: Die hochgradig gefährliche Formulierung „berechtigtes Interesse“ hat es in den Kompromiss geschafft – ohne genauere Definition, stattdessen wird sie sogar noch auf Dritte ausgeweitet. Dabei handelt es sich um eine der in Artikel 6 festgelegten Bedingungen, die es Unternehmen ermöglichen sollen, persönliche Daten auch ohne Zustimmung zu verarbeiten. Diese wurde nicht wirksam eingeschränkt auf bestimmte Fälle. Damit bleibt es im Zweifelsfall dem Datenverarbeiter oder später den Juristen überlassen zu entscheiden, wo nun ein „berechtigtes Interesse“ besteht.

Auf die Probleme dieser undefinierten Berechtigung zur Datenverarbeitung wurde von vielen Seiten mehrmals und wiederholt hingewiesen, ausführlich beispielsweise von Bits of Freedom. Leider ohne Erfolg.

Gestrichen wurde die Verhinderung von erzwungener Zustimmung bei einem bestehenden starken Machtverhältnis (etwa zwischen Arbeitgeber und Arbeitnehmer). Hier hieß es ursprünglich in Artikel 7:

Consent shall not provide a legal basis for the processing, where there is a significant, imbalance between the position of the data subject and the controller

Lobbyismus-Artefakte der unschönen Art

Nach wie vor finden sich ausserdem Regelungen, die an die Bedürfnisse amerikanischer Konzerne angepasst sind. Die relativ willkürlich wirkende Altersgrenze von 13 Jahren, ab der ein Kind ohne Zustimmung der Eltern in die Verarbeitung seiner Daten einwilligen kann, ist beispielsweise ein solches Lobbyismus-Artefakt. Eine in Europa üblichere Definition findet sich noch in den Definitionen von Artikel 4:

(18) ‚child‘ means any person below the age of 18 years

Artikel 8 ignoriert diese Definition einfach.

Profiling – what could possibly go wrong?

Und so verwundert es schließlich auch nicht mehr, dass die Regelung für Profiling (Artikel 20) nun statt eines Opt-ins ein Opt-out vorsehen. Über pseudonyme Daten heisst es in Erwägungsgrund 58a ausserdem:

Profiling based solely on the processing of pseudonymous data should be presumed not to significantly affect the interests, rights or freedoms of the data subject.

Damit werden pseudonyme Daten unter schwächeren Schutz gestellt, womit Einschränkungen wie die aus Artikel 20 (2) nicht für sie gelten dürften. Anschließend heisst es, dass in dem Moment, in dem durch Zusammenführen mit anderen Daten oder Anfallen von genügend Daten die „pseudonymen Daten“ einer Person zuzuordnen sind, diese Daten nicht mehr pseudonym seien (tata!). Damit sind sie solange nicht wirklich geschützt, bis es eh zu spät ist. In den Datenbanken der Nachrichtendienste wird aber sicherlich darauf geachtet, die von Privatunternehmen abgeschöpften Daten da klar zu trennen und im Fall der Fälle umgehend zu löschen. Oder auch nicht.

Die genauere Analyse des Kompromisses wird noch ein wenig dauern. Der benötigte große Wurf, der als starke Verhandlungsbasis mit den Nationalstaaten dient, scheint er aber nicht zu sein.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

29 Ergänzungen

  1. Dank an Jan Philipp Albrecht, auch wenn er im EP immer etwas sehr vorsichtig wirkt. Das Gesetzt zeigt doch schön wie EU mal wieder nicht funktioniert. Das Gesetz zu groß und viel zu unübersichtlich.

    Bitte auch verlinken:

    http://lobbyplag.eu/map

    Und nicht vergessen, die PR Frau von Facebook ist Erika Mann (EP, SPD).
    Leute

    1. Gibts auch irgendwo einen kurzen Hinweis zu all den Tortenstückchen die da präsentiert werden? Oder muss man sich das Methods durchlesen?

      1. Ich glaube, wenn ich Dich richtig verstehe, hast Du die Antwort ja schon selbst mitgegeben. Man muss das Tortenstückchen anclicken, dann gibt es eine Übersicht. Aber die Zeit ist ja eh fast um.

        Wie bewertet wird, findet sich hier:
        http://lobbyplag.eu/map/methods

        Wenn man denke etwas wurde falsch eingeschätzt, kann man den „report“ button nutzen.

      2. genau schrieb:

        Ich glaube, wenn ich Dich richtig verstehe, hast Du die Antwort ja schon selbst mitgegeben. Man muss das Tortenstückchen anclicken, dann gibt es eine Übersicht. Aber die Zeit ist ja eh fast um.

        Man sieht beim hovern über die Torten drei Zahlen, aber was die bedeuten kann man – so wie ich Dich jetzt verstehe – nur verstehen, wenn man sich das Methods durchliest, was so ein bisschen nach tl;dr aussieht.

      3. Ja, bei so einer komplexen Materie ist das nicht so einfach.

        Man muss nun mal leider das Gesetz lesen, damit man auch weiß worum es in dem jeweiligen Abschnitt geht und wie man nun die Änderungen des jeweiligen Politikers interpretiert.

        Trotzdem kann man nur durch die Zahlen Tendenzen sehen, die auch wichtig sind z. B.:

        Die Liberalen sind wie immer eher wirtschaftsliberal, Sophia in ‚t Veld ist da eher eine nette Ausnahme.

        Schlimmer als die FDP ist bei den deutschen EP trotzdem die SPD …
        http://lobbyplag.eu/map/countries/de

        Die dt. CDU ist im EP gegen den Datenschutz auch gut dabei, dass sollte man auch mal wieder deutlich machen so kurz vor der EP Wahl.
        http://lobbyplag.eu/map/groups/epp

        Am besten selber nachprüfen! Ich bin kein Mitglied von LP und kann mich auch irren :)

      4. Was erklären? Warum die SPD als datenschutzfreundlicher eingestuft wird als die FDP? Oder das System an sich? Bei letzterem versteh ich ehrlich gesagt das Problem nicht so ganz, da ist einfach jedem eingereichten Änderungsantrag von LobbyPlag ein Wert zugewiesen worden (+/-/neutral), womit man dann Datenbankabfragen und Diagramme basteln kann.

      5. Also, ich bin in Eile, daher hatte ich auch den Hinweis geschrieben. Bei der SPD habe ich mit vermutlich verguckt und die Vorurteile, die ich mittlerweile in NP gegen die SPD entwickelt habe sind wohl durchgeschlagen. :) Vielleicht mag ja mal jemand die wenigen SPD Änderungen und Enthaltungen durchgehen, ich hatte zumindest das Gefühl das einige Änderungen ziemliche Löcher aufreißen.

        Eine schönes Erklaerbild zu lobbyplag gibt es hier:
        http://gutjahr.biz/wp-content/uploads/2013/06/lobbyplag-expl2.jpg
        (aus: http://gutjahr.biz/2013/06/lobbyplag-ranking/)

        Ich kenne die Seite nicht, habe sie nur auf die Schnelle gefunden, das Bild hilft aber evlt. den TL;DR Lesern.

      6. Ich habe den Fehler gefunden, die SPD ist diesmal unschuldig.

        1) Die Auswertungstabelle entspricht nicht der Rangfolge, sonder der Verteilung im EP. (Sorry, großer Fehler von mir)
        2) Die Änderung mit der ich ein Problem hatte, war von einer Dame von der Linkspartei mit:

        (ENTFERNT:) 2. Where personal data are processed for direct marketing purposes, the data subject shall have the right to object free of charge to the processing of their personal data for such marketing. This right shall be explicitly offered to the data subject in an intelligible manner and shall be clearly distinguishable from other information.

        Wobei ich jetzt erst noch mal in Ruhe (die ich nicht habe) suchen muss, ob er evtl. woanders wieder eingeführt wird …

        Wiederhole: DIe SPD hat diesmal nicht verraten, ich war zu hastig.

      7. Naja, in dem Artikel wird eine Opt-out-Regelung für Direktmarketing vorgeschlagen. Wenn man kein riesengroßer Fan davon ist, dass Leute solange ungefragt zugespamt werden können bis sie sich aktiv wehren, dann macht das schon Sinn das zu streichen und sich in anderen Änderungsanträgen für bessere Konzepte einzusetzen.

      8. @Kilian Froitzhuber: War aus den Tabs die ich gerade offen hatte, man sollte es nicht nebenbei machen, eigentlich war es nur als schneller Hinweis an @nad gedacht um zu zeigen was man aus der Seite so rausholen kann, auch ohne zu stark ins Detail zu gehen.

        Wobei der Teufel in EU Gesetzen meist nur im Detail liegt …

        Ich hoffe, der SPD oder Josef Weidenholzer ist damit nichts passiert, ich lasse dies hier jetzt mal ruhen, empfehle die aber Webseite aber sehr.

      9. War aus den Tabs die ich gerade offen hatte, man sollte es nicht nebenbei machen, eigentlich war es nur als schneller Hinweis an @nad gedacht um zu zeigen was man aus der Seite so rausholen kann

        Also ich habe es mittlerweile gewagt den „more“ button bei dem overview zu klicken und die einzelnen tabs ein bisschen durchzugehen, den tl;dr text habe ich immer noch nicht gelesen, man ist ja auch schon so gut damit beschäftigt zu gucken was diese ganzen tabs beinhalten. Aber durch rumklicken kann man sich einiges erschliessen. Also die Zahlen unter den Torten sind wohl die Anzahl von Änderungen oder Vorschlägen (also amendments) zu dem Gesetzestext, die von den jeweiligen Leuten oder Gruppen eingebracht worden sind.
        In den Amendments finden sich farbig markierte Stellen, die wohl eine Einschätzung darstellen ob ein Text mehr Datenschutz oder weniger bietet. Nach denen richtet sich dann wohl die Gesamteinschätzung (Farbe) des Amendments. Leider habe ich den Gesetzestext selbst bisher nirgends gefunden und daher ist die Einordnung und der Vergleich eines Amendments mit dem Grundentwurf (oder wie das heisst) so ein bisschen schwierig. Aber wenn es sowieso zu spät ist, dann ist das ja auch egal.

      10. @nad: Ja, man muss da etwas unterscheiden.

        Hätte man besser machen können, zeigt aber damit leider auch, wie wenig Leute die Seite vermutlich nutzen. Ich mag den Unix diff Stil, da packt man einfach ein Plus oder ein Minuszeichen vor den Satz.

        Ich finde diese Übersicht für den Start am besten:
        http://lobbyplag.eu/map/articles

        Da kann man sich die von Kilian Froitzhuber gennaten Artikel (6,7 und 20) ja einfach mal genauer ansehen.

        http://lobbyplag.eu/map/article/20

        Sehr spannend ist auch der ganze Kram mit „pseudonymous data“ wo kommt das her, wer vertritt das und warum. Andere Suchwörter gehen natürlich auch.

        http://lobbyplag.eu/search?q=+pseudonymous

        Alles in allen eine tolle Sache.

      11. Da kann man sich die von Kilian Froitzhuber gennaten Artikel (6,7 und 20) ja einfach mal genauer ansehen.

        Ja aber wo ist denn der Artikel, ich sehe hier nur:

        Profiling and targeting is a very hot topic. Article 20 is regulating when and how companies can profile people for marketing or credit ranking.

        und bei der pseudonymous search sehe ich nur 404

        Alles in allen eine tolle Sache.

        bis auf die Bugs finde ich auch , dass die Lobbyplag Übersicht schon ein ganzer Schritt weiter ist, um zu verstehen, was da eigentlich abläuft.

      12. Als Einstieg einfach mal:

        https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung

        besuchen. Dort gibt es auch ein altes PDF.

        Zu den spannenden Artikel kann man sich auch:
        http://www.edri.org/eudatap-leak

        ansehen.

        Zur Suche wo etwas herkommt kann man:
        http://lobbyplag.eu/research

        nutzen.

        Du kannst ja Dein Problem mal den Bereibern der Seite mitteilen, evtl. kann so etwas verbessert werden? Spätestens beim nächsten Gesetz wäre eine noch bessere Seite prima.

        http://lobbyplag.eu/map/about

  2. Die genauere Analyse des Kompromisses wird noch ein wenig dauern. Der benötigte große Wurf, der als starke Verhandlungsbasis mit den Nationalstaaten dient, scheint er aber nicht zu sein.

    Wie endgültig ist diese Abstimmung eigentlich ?
    Gibt es da noch Termine für Änderungen?

      1. Ich meinte nicht jetzt diese Abstimmung sondern wann das nächstemal abgestimmt wird. Ich meine da werden ja wohl erwartungsgemäß doch noch so einige Änderungen nachträglich notwendig werden, wann wird denn über die abgestimmt? Gibt es da irgendeinen regelmäßigen Turnus?

      2. Mir ist nicht genau bekannt wann es weiter geht. Ich denke, dies wird alles noch von Frau Reding verzögert -> EU-US Abkommen …

        Aber evtl. denke ich da zu paranoid. Am besten mal die EU Webseiten durchforsten, evtl. postet Kilian Froitzhuber ja noch ein Update.

      3. Wieso EU-US Abkommen? Was ist denn da los?
        Auf die Berichte hierzu von Kilian Froitzhuber muss man dann wohl gespannt sein.

      4. Naja, es soll zwischen den US und der EU ein großes WIrtschaftsabkommen geben … (Stichwort ist: TAFTA).

        Und US Firmen (Amazon, google, facebook, apple you name it) haben im Datenschutz halt ziemlich andere Vorstellungen als die EU.

        Vermutlich wird man versuchen dies alles zusammen zu erschlagen, damit es kompatibel bleibt. Was aber nicht einfach sein wird.

        Und wenn man sich das Safe Habour Abkommen und andere Dinge anguckt, hat es auch vorher nie funktioniert …

    1. Zum Zeitplan:

      „Sobald sich der Rat auf eine gemeinsame Position geeinigt hat:
      Beginn der Trilog-Verhandlungen zwischen Europäischem Parlament, Rat der Europäischen Union (Ministerrat) und Europäischer Kommission. Der Europäische Rat wird am 24./25. Oktober zum Thema „Digitale Agenda“ tagen.“
      aus: http://www.janalbrecht.eu/fileadmin/material/Dokumente/161013_DS-Pressebriefing_Dt..pdf

      Ich fand heute auf der europäische Rat Seite übrigens keine Details zum EU-Datenschutzreform während der „Digitale Agenda“ am 24/25.10.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.