EU-Parlament: Erster Ausschuss pfuscht bei Datenschutzreform – weitere Fails verhindern!

Schlimmer geht immer: Als erster mitberatender Ausschuss hat der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) seine Stellungnahme zur Datenschutzgrundverordnung verabschiedet. Diese geht weit hinter den zu schwachen Kommissionsentwurf zurück. Vor allem in den bürgerrechtlich wichtigen Kernpunkten Definition schützenswerter Daten, Einwilligung zur Datenverarbeitung und Restriktionen bei der Datenweitergabe gibt der IMCO-Ausschuss untragbare Empfehlungen, die mit Datenschutz nichts mehr zu tun haben. (Zum weiteren Mitlesen empfiehlt sich die DigiGes-Broschüre mit den wichtigsten Forderungen zur Datenschutzverordnung.)

Wo gepfuscht wurde

Das Prinzip der „expliziten Einwilligung“ der Nutzer/in verwässern die IMCO-Mitglieder durch den Zusatz, dass dieser „angemessen in Anbetracht der Sensibilität der verarbeiteten Daten“ sein soll. Es gibt keine unsensiblen Daten, das wissen wir spätestens seit dem 30 Jahre alten (!) Volkszählungsurteil.

Es kommt noch dicker: Die Datenverarbeitung auf Grundlage „berechtigten Interesses“ weitet die IMCO-Empfehlung gegenüber dem Kommissionsvorschlag aus. Zur Erinnerung: Nur eine Abschaffung dieses Datentrojaners, der Datenverarbeitung ohne ausdrückliche Zustimmung erlaubt, ist sinnvoll. Was der IMCO-Ausschuss dagegen empfiehlt, ist eine Ausweitung des berechtigten Interesses auf Drittparteien ohne Zweckbindung. Praktisch hieße das: Unternehmen A sammelt Daten ohne Zustimmung, gibt diese an Unternehmen B (und C…), welches diese zu einem anderen Zweck als dem erhobenen weiterverarbeiten darf. Das wäre – ohne Übertreibung – das Ende des Datenschutzes, weil wir so nicht mehr kontrollieren können, wer unsere Daten zu welchem Zweck verarbeitet. Noch einmal: Grundlage der Datenverarbeitung muss eine explizite Zustimmung zu einem durchschaubaren Zweck sein.

Die IMCO-Mitglieder erklären uns zudem, dass im Kommissionsentwurf die „positiven Nutzungsmöglichkeiten“ von Profiling übersehen wurden. Deshalb benennen sie den entsprechenden Artikel im Kommissionsentwurf, der Restriktionen für Profiling vorschlägt, einfach um. So bezieht er sich nicht mehr auf Profiling und wird damit unnütz.

Die Definition personenbezogener Daten wurde gegenüber dem Kommissionsentwurf nicht verändert. Das ist schlecht, da so der eindeutige Verweis auf das Identifizieren durch bestimmte Merkmale („singling out“) einer Person fehlt. Diese bei Online-Werbung übliche Art der Identifizierung fiele so aus der Regelung heraus. Eine Verschlimmbesserung ist die Einführung der Kategorie „stark verschlüsselte Daten“. Laut IMCO-Empfehlung können diese nicht Gegenstand von Datenschutzverletzungen sein, weil sie ja bei unbefugtem Zugriff nicht entschlüsselt werden können. Problem dabei: Ab wann sind Daten „stark verschlüsselt“ und wie lange bleiben sie es in Anbetracht technischen Fortschritts?

Weitere Rückschritt macht die Stellungnahme bei den Sanktionen und Meldepflichten bezüglich Datenschutzverletzungen. Stichworte hier sind mal wieder „Angemessenheit“, „Proportionalität“ und „mildernde Umstände“.

Weitere Fails verhindern ist möglich

Hier, wie in der gesamten Stellungnahme, wird die Handschrift einseitiger wirtschaftlicher und nationaler Interessen sichtbar. Dem schwachen Tiger Datenschutzreform sollen die Zähne gezogen. Die Abgeordneten der konservativen EVP-Fraktion machen sich hierbei zu Erfüllungsgehilfen. Scheinbar sind sie bockig, weil sie den Berichterstatterposten nicht bekommen haben und wollen nun über die Ausschussstellungnahmen möglichst viel Einfluss zurückgewinnen. Das können wir verhindern. Ende Februar stehen die Abstimmungen in den anderen mitberatenden Ausschüssen an, bevor es dann auf die Abstimmung im federführenden LIBE-Ausschuss zugeht. Die Abstimmung im IMCO-Ausschuss ist knapp ausgefallen. Mit guten Argumenten ist es möglich, einzelne Abgeordnete zu überzeugen. Das Zünglein an der Waage könnten dabei die Abgeordneten der liberalen Fraktion sein, die an ihre Rolle als Datenschützer/innen erinnert werden müssen. Aber auch Sozialdemokraten und Grüne sollten wir ins Gedächtnis rufen, dass es nicht ihre Aufgabe ist, Kompromisse zu machen, sondern starken Datenschutz. Welche Abgeordneten in welchen Ausschüssen sitzen, zeigt die Kampagnenseite zur Datenschutzreform privacycampaign.eu und liefert auch gleich eine E-Mail-Vorlage. Hier seht ihr auch, welche Änderungsanträge („Amendments“) genau unterstützenswert sind und welche die Abgeordneten besser ablehnen sollten. Also, los!

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

13 Ergänzungen

  1. Den demokratischen Diskurs als „herumpfuschen“ verächtlich zu machen, ist schlechter Stil. netzpolitik.org ist eine Lobby-Organisation, aber andere Lobby-Organisationen haben andere Meinungen. Demokratie ist so.

    Das, was die EU derzeit mit der Datenschutzverordnung plant ist keine Reform des Datenschutzes. Die datenschutzfreien Zonen von SWIFT, PNR, Schilypaketen, Bundestrojaner (in der Justiz als ohne rechtliche Grundlage angesehen, beim Datenschutz durch Weichert und Schaar zur Verschlusssache erklärt), Funkzellenüberwachung sind überhaupt nicht betroffen. Es ist die gleiche EU, die von den Deutschen eine Vorratsdatenspeicherung verlangt und ACTA haben wollte. Und daran soll die Verordnung nichts ändern. Man kann daher beim Tone sachlicher werden.

    Ich finde zum Beispiel die Wiedereinführung der Sippenhaft über die Bußgelder bis zu 2% vom Umsatz für blödsinnig. Anstatt schwere Vergehen als Straftat bei den Tätern zu ahnden, will man nur Bußgelder einkassieren, die von den Aktionären aufgebracht werden: Sippenhaft um Kohle abzuziehen statt Täter zu bestrafen.

    Auch halte ich es für ineffizient, nur die Möglichkeiten einzelner Nutzer detailliert festzulegen (was die Wirtschaft beklagt). Wir haben das bei Facebook Irland gesehen: unser Datenschützer in Bund und Land waren untätig, aber ein unbezahlter Student aus Österreich konnte erreichen, dass der irische Datenschützer Facebook untersucht hat und einen detaillierten Bericht abgeliefert hat, während er grüne Fundi in Kiel nur antiamerikanische Verschwörungstheorien verbreitet, dass die US-Regierung hinter Facebook stecke, wegen de Weltherrschaft oder so was. Am Entsetzlichsten finde ich die Nazisicht des Weichert-Mitarbeiters Martin Rost:
    http://www.tagesspiegel.de/medien/bloggerkolumne-schuetzt-sie-vor-sich-selbst/7569588.html

    Wenn wir uns demokratisch einig sind und wir bei allen stimmberechtigen Gruppen einen Konsens finden, dann könnte ich mir vorstellen, dass wir klare Tatbestände definieren, die wir nicht wollen: z.B. Profilbildung, wenn wir die nicht wollen und nicht wollen, dass Maschinen diese Profile zu Allozierung von Werbung nutzen, dann sollen wir ein Gesetz machen und an einer Stelle durchsetzen. Anstatt das auf 1 Mrd Facebooknutzer feige abzuwälzen und der Datenschutz so wenig weiter kommt wie in Deutschland die letzten Jahre.

    Gestern in der cbase klangen von Markus auch antiamerikanische Töne an. Er würde gerne, dass wir Europäer den Amis unseren Way of Life aufoktroyieren. Mir graut davor, dass die Iran usn miot der gleichen Logik im Internet weltweit die Scharia aufzwingen wollen , weil Iran ans Internet angeschlossen ist. Was wir brauchen, ist ein globaler Datenschutz. Dafür gehen von der EU in ihrem Lex Facebook keinerlei Impulse aus. man hüllt sich in regionale Isolation in einem globalen Medium. Absurd. Es ist ja sogar noch schlimmer: durch die unterlassenen globalen Impulse werden europäische Bürger geschädigt: deutsche Soldaten, die in Afghanistan oder Mali oder der Türkei Dienst mit der Waffe haben, sollen nach dem EU-Entwurf keinen Datenschutz in Facebook haben, sondern nur wenn sie ihre Kriege auf dem Boden der EU führen. Deutsche Urlauber (auch nicht Markus Beckedahl, der gestern sagte, dass er letztes Jahr in USA war, sollen nach dem Entwurf der EU ausserhalb der EU keinen Datenschutz haben, sondern man stellt sich bockig und fordert regionale Isolation und macht die Bedenken der US-Bürger als Lobbyismus verächtlich.

    Wir brauchen besseren Datenschutz. Aber keinen Pseudoschutz, der sich einseitig gegen Facebook und Google richtet, damit grüne Fundis und Alt68er ihren Antiamerikanismus abarbeiten können, und sonst die Bedrohung durch den eigenen Staat außen vor lässt. Auch sollten wir aufhören, die wirkungsarme Rasterfahndung von Horst Herold in den 1980ern, wo er alle Bundesbürger ohne Grund unter Terrorismusverdacht stellte, in einem Atemzug zu nennen, wenn wir personenbezogene Daten in Facebook freiwillig in Wahrnehmung unseres Rechtes auf Meinungsfreiheit veröffentlichen. Wir sollten die größten Risiken kennen, dann mit Entschlossenheit an deren Vermeidung arbeiten. Ich persönlich halte die Schilypakete, um deren Evaluation man sich letzte Woche gedrückt hat, für viel schlimmer als das Facebook-Geplänkel, um mir „passende“ Werbung entgegen zuschleudern. Da muss man in Ruhe drüber reden und neben den Lobbyisten wie netzpolitik.org auch die Bürger zu Wort kommen lassen.

      1. Ein EU-Gesetz, das nur auf EU-Boden gilt und nicht mal EU-Bürger außerhalb der EU schützt, soll den US-NGOs helfen? Ist klar. Warum weigern sich den europäische Institutionen globale Probleme auch global anzugehen und schieben US-NGOs regionale Ausländer vor?

        Bei Genfer Konventionen, WTO und WIPO lösen wir globale Probleme doch auch global und nicht in regionaler Isolation. Die EU-DSVO ist antiamerikanisch gegen Facebook, Google und Twitter gerichtet. Schwere Datenschutzprobleme wie SWIFT, PNR, Schilypakete, Funkzellenabfrage, Bundestrojaner werden nicht angepackt. Das ist kein echter Datenschutz, das ist eine antiamerikanische Mogelpackung.

        Tauss hat es ja auch klar gesagt:
        http://www.tauss-gezwitscher.de/?p=3673

    1. Netzpolitik.org ist keine Lobby-Organisation. Man versteht es als Informatonsmedium und klar haben die Schreiberlinge eigene Meinungen und drücken es auch in deren Berichten aus. Daran ist nichts falsch.
      Es stimmt, dass der Datenschutz in den europäischen Richtlinien nicht klar formuliert ist und man könnte sich von Politikern mehr Seriosität erwarten, aber das spielt es nicht. Da muss man als Bürger was unternehmen, wie du so schön als Beispiel den österreichischen Studenten erwähnt hast.

    2. @Wolfgang Ksoll: Die von Ihnen angesprochenen Beispiele beziehen sich zumeist auf den Polizei- und Justizbereich. Der Richtlinienentwurf in diesem Bereich wird derzeit ebenfalls in den Ausschüssen diskutiert. Beide Gesetzespakete (Veordnung und Richtlinie) sind eng verwandt, etwa bei der Definition, was personenbezogene Daten sind. Es ist daher wichtig, dass beide Entwürfe kohärent und möglichst stark im Sinne des Datenschutzes durchs Parlament gehen, was die beiden Berichterstatter auch beabsichtigen. Ganz davon abgesehen, dass Datenschutz ein Grundrecht ist, gleich ob es von Unternehmen oder staatlichen Akteuren verletzt wird. Ich verweise dazu gerne auf den Kommentar von Kirsten an Herrn Tauss.

      1. Das weiss ich. Aber das Signal, das die EU gibt ist glasklar:Gegen Facebook, Google udn Twitter ziehen wir alle verbindlich an einem Strang (Verordnung). Bei Polizei und Justiz kann jeder machen was er will (Richtlinie). An der EU-Dienstleistungsrichtlinie, die D stolz boykottiert (Art.8) können wir sehen, dass Richtlinien für die Tonnen sind. Bei der Verordnung bleiben EU-Bürger im außereruopäischen Ausland ohne datenschutzrechtlich Rückhalt der EU, weil es keine globale Initiative gibt. Und bei der Forderung nach Vorratsdatenspeicherung sieht man, dass die EU mit Datenschutz nichts am Hut hat. Much ado nothing – Viel Lärm um nichts.

      2. Die geplante Datenschutzverordnung wird fuer alle Datenverarbeiter (ausser Polizei & Justiz, wie erlaeutert) in der EU gelten und richtet sich keineswegs nur an Facebook & Co. Sie richtet sich genauso an Schober, Bertelsmann Arvarto Infoscore und andere Datenkraken in Europa und soll vor allem endlich einheitlichen Rechtsrahmen fuer Unternehmen und BuergerInnen schaffen, da eben nicht jeder wie Max Schrems nach Dublin ziehen kann, um seine Daten von Facebook zu bekommen (oder jeder Ire nach Deutschland zu Arvarto). Dass Polizei & Justiz extra geregelt werden ist bisher auch schon so (Rahmenbeschluss 2008/977), die Richtlinie wurde aber erstmals europaweite Mindeststandards einfuehren. Dass die deutlich besser sein koennten ist klar, dazu muss aber den Regierungen der Mitgliedsstaaten mal Druck gemacht werden – der Fortschritt fuer den Datenschutz im Polizeibereich durch die Richtlinie wird derzeit von ihnen blockiert, nicht von irgendwelchen „EU-Buerokraten“ oder so. Klar fehlt da noch an allen Ecken und Enden was, die EU-Agenturen wie Europol oder Frontex sind z.B. aus dem Anwendungsbereich von Verordnung oder Richtlinie bisher ausgenommen. Um ein Datenschutzabkommen fuer Polizeidaten mit den USA bemueht sich Justizkommissarin Reding seit mehr als zwei Jahren, ohne merkliches Entgegenkommen der USA. (Wer blockiert hier also globale Standards?) Den grossen, alles umfassenden Wurf wird es aufgrund der Komplexitaet des Themas und der politischen Gefechtslage eh absehbar nicht geben koennen. Daher ist es aber m.E. umso wichtiger, bei der Datenschutz-Grundverordnung die entscheidenden Weichen zu stellen, die dann mittelfristig in andere Bereiche abfaerben. Wenn wir (bzw. die Konservativen und Teile der Liberalen) es hier versemmeln, koennen wir allerdings als EU den Anspruch auf hohe Datenschutzstandards in anderen Bereichen und in anderen Teilen der Welt fuer die naechsten 30 Jahre vergessen. Daher ist eine Auseinandersetzung hier immens wichtig. Klar kann man sich auch zurueckziehen und sagen „EU ist eh doof“, aber damit gewinnt man genau was?

      3. Nein.
        a) Aus beiden Teilen der Datenschutzes-EU-Splits offen diskutieren, was umsetzbaren, effektiven Datenschutz bringt und viele Stimmen dazu hören.
        b) Endlich eine globale Initiative aufsetzen, vielleicht bei der UN, damit wir globale Datenschutzprobleme auch global lösen können. Das wäre auch für die USA hilfreich, damit sie weniger Ansprechpartner hat und das wachsende Bedürfnis nach Privacy in USA stillen können sowie Möglichkeiten der Wirtschaft hinterfragen
        c) den deutschen Datenschützern Pain in the Ass machen, dass sie Datenschutz auch risikooreinteirt sehen können und endlich ihre unsinnigen Facebookestspiele ohne jedes Ergebnis beenden.
        – Das Risiko wie Kurat Murnaz jahrelang im rechtsfreien Raum in Guantanamo gefangen gehalten zu werden wegen einer Datenpanne bei den Sicherheitsbehörden ist erheblich höher vom Schadensausmaß als wegen eines besoffenen Bildes bei Facebook einen bestimmten Job nicht zu bekommen. Auch hier können wir uns fragen, ob wir nicht Arbeitgebern verbieten, Soziale Medien als Beurteilungskriterien heranzuziehen, wie wir es vor Gericht auch mit Beweisen machen
        – bei Bundestrojaner möchte ich endlich Aufklärung statt Verschlusssache durch Weichert und Schaar. Der CCC hat behauptet, dass zur Tarnung personenbezogene Daten ind ie USA exportiert worden sind. Es geht nicht, dass wir bei Facebook auf Safe Harbor scheissen und hart sind und beim Trojaner ungeahndet Daten exportieren. Hier muss Transparenz statt Mittäterschaft durch DSB rein. Möglicherweise müssen ein bis zwei Untersuchungsausschüsse her, ob die DBS die Anwendung des Trojaners fördern.
        – SWFT und PNR sind nationale zu überdenken. Anlasslose Vorratsdatenspeicherung wollen wir nicht. Dazu schweigt die EU brutalst möglich bei den Facebookfestspielen der DSVO
        – wenn wir im BDSG dem DSB Strafanzeigerecht einräumen, dass er bei Adressdatenhanel bei Rezeptdaten Strafanzeige stellen kann, dann soll er das auch tun und nicht verzichten, um sich dann den Facebookspektakeln widmen
        – die Funkzellenabfrage muss überprüft werden
        – bei Facebook sollten wir eine offene Diskussion starten, ob wir es erlauben wollen, dass eine Maschine für uns passende Werbung alloziert, ohne dass personenbezogene Daten die Maschine verlassen und soe nur für diesen Zweck gebraucht werden. Wenn wir da zulassen, dann sollten wir ein hartes Durchsetzungsregime gesetzlich machen und nicht wie die EU flüchten und die Arbeit auf eine Milliarde Facebooknutzer verlagern
        – im Punkt 53 des DSVO-Entwurfes steht, das ich kein Recht auf Vergessen habe, wenn andere auf Recht auf Meinungsfreiheit pochen. Das ist absurd.

        Das deutsche Datenschutzsystem muss dringend reformiert werden: sachlich und personell. Datenschutzziel muss sein, Anwendungen mit Datenschutz zu ermöglichen, anstatt wie bisher Anwendungen wegen Datenschutz tatenlos zu bekritteln und erschweren. Dazu gehört auch, die Datenschützer zu evaluieren, z.B. was die Facebookfeierlichkeiten denn nun gebracht haben ausser ständiger Medienpräsenz und Verschreckung alter Omas. Dazu gehört auch, dass es Datenschützern verboten wird, wie in Rheinland-Pfalz das Verwaltungsverfahrensgesetz zu ignorieren und aus Facebookhass oder Inkompetenz willkürliche Verbote (Rückkanalverbot) ohne den Gesetzgeber auszusprechen.

        Dazu gheört auch, dass wir konkrete Maßnahmen planen, dass Health und Cloudcomputing zum Wohle der Bevölkerung mit angemessenem Datenschutz erfolgen kann. Von den Datenschützern kommen da keine Impulse. Vom BMWi auch nicht, das Forschungsprojekt Trusted Cloud verhöhnt alle deutschen datenschutzkonformen Anbieter als untrustworthy. Fünf verlorene Jahre, während in den USA die Behörden Cloud-Computing selbstverständlich seit Jahren nutzen.

        Alle Maßnahmen müssen messbar sein und systematisch durch evaluiert werden. Der Behauptungsjournalismus muss auch beim Gesetzgeber aufhören („Ich mache Maßnahme X und alles wird gut!“). Wenn sich was nicht bewährt, muss es wieder weg wie Gesundheitskarte, Qualifizierte Signatur, De-Mail, eID, mistige Anpassungen von BGB, AO, ZPO, SGB usw. die bei uns elektronsiche Urkundenfälschungen nicht kennen, in der Schweiz aber sehr wohl. Man kann also sehr wohl auch mal mit Ausländern sprechen, was die denn so für Erfahrungen gesammelt haben, da die eh dieselben Probleme haben wir wir.

        Unsere Bürger müssen sich in der elektronischen Welt wohl fühlen und nicht ständig Angst gemacht bekommen.

        Es gibt viel zu tun, Datenschutz herzustellen und zu verbessern. Das kritiklose Durchwinken der EU-DSVO gehört nicht dazu.

        Kann sein, dass ich jetzt noch was vergessen habe ;-)

  2. @Ralf Bendrath
    „Um ein Datenschutzabkommen fuer Polizeidaten mit den USA bemueht sich Justizkommissarin Reding seit mehr als zwei Jahren, ohne merkliches Entgegenkommen der USA. (Wer blockiert hier also globale Standards?)“

    Oh mir kommen die Tränen :-)
    Sprechen wir von der selben Dame Reding, die in Deutschland die Vorratsdatenspeicherung fordert?
    http://www.fr-online.de/datenschutz/viviane-reding-eu-fordert-deutsche-vorratsdatenspeicherung,1472644,8604588.html

    Und das ist die selbe Dame, die mit SWIFT und PNR keine Problem hat?
    http://www.unwatched.org/node/2502

    Mir war eher so, als würde terabyteweise durch diese Dame personenbezogene Daten ohne jeden Datenschutz aus der EU exportiert, ohne mit der Wimper zu zucken. Protagonisten für Datenschutz sehen anders aus.

    Es ist relativ leicht, nach Verhandlungen weinend zurückzukommen. Joschka Fischer kam auch mal und sagte, genug verhandelt mit Jugoslawien. Wir müssen jetzt bomben, Diplomatie funktioniert nicht. Man kann den Ansatz fahren aber es bleibt ein Mangel an Diplomatie. Frau Reding als Zeugin für die Tatkraft des Detsnchutzes an der EU heranzuziehen, ist völlig verfehlt.

    Und EU-Frau Malmström bastelt an einer verdachtslosen Überwachung der europäischen Bürger bei Flügen:
    https://www.unwatched.org/20130115_EU-Fluggastdaten_Kommission_versucht_Tatsachen_zu_schaffen

    Man sollte die Tatsachen nicht so verdrehen. Wir leben in einer Demokratie, wir können uns offen und ehrlich austauschen, wenn wir den für uns besten Datenschutz designen.

  3. gibt es auch irgendeine möglichkeit für dumme menschen wie mich, sich zu beteiligen? zusammenklickbare e-mail-vorlage auf deutsch oder so?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.