Datenschutz

Reihe zur EU-Datenschutzverordnung – Kurzdarstellungen

Dies ist ein Gastbeitrag von EDRi, die eine Reihe an Kurzdarstellungen zu kritischen Punkten der EU-Datenschutzreform erklären. Den englischsprachigen Originaltext findet ihr hier.


netzpolitik.org - unabhängig & kritisch dank Euch.

Am 21. Oktober wird der Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) des Europäischen Parlaments über ein außerordentlich wichtiges Dossier abstimmen: die europäische Datenschutzgrundverordnung.

Dieser sehr lange Gesetzestext soll sicherstellen, dass unser Recht auf den Schutz der Privatsphäre und Datenschutz im täglichen Leben wirksam durchgesetzt wird. Eines der Hauptziele der Verordnung ist es, Bürgern bessere Kontrolle über ihre persönlichen Daten zu geben und dabei die Prinzipien der Datenschutzrichtlinie von 1995 beizubehalten. Gerade die jünsten Überwachungs-Enthüllungen haben gezeigt, wie wichtig das ist.

Da dem Europäischen Parlament mehr als 4.000 Änderungsanträge vorgelegt wurden, veröffentlichen wir nun eine Reihe von Dokumenten, die jeweils eine Seite lang sind und die wichtigsten Punkte der Verordnung erklären. Diese Kurzdarstellungen zeigen, welche Änderungen sich positiv auf den Datenschutz auswirken und welche eine Menge Schaden verursachen könnten.

Schaut immer mal wieder hier nach, wir werden alle zwei Werktage neue Dokumente veröffentlichen! Wir werden sie natürlich auch den Ausschussmitgliedern zur Verfügung stellen.

Über die Kurzdarstellungen – eine Einleitung von Prof. Douwe Korff
01 – Definitionen
02 – Einwilligung
03 – Berechtigtes Interesse
04 – Datenminimierung
05 – Recht auf Vergessenwerden und auf Löschung
06 – Datenportabilität

Über die Kurzdarstellungen – eine Einleitung von Prof. Douwe Korff

Der Vorschlag für eine EU-Datenschutzverordnung, die die EU-Datenschutzrichtlinie (Richtlinie 95/46/EC) ersetzen wird, wartet auf seine Verabschiedung. Die Verordnung wird einen großen Einfluss auf die digitale Umwelt der Bürger, Unternehmen und öffentlichen Einrichtungen haben. EDRi und seine 35 Mitgliedsorganisationen in 21 europäischen Ländern sind besorgt, dass die empfindliche Schwächung der europäischen Datenschutzregelungen und -richtlinien die Rechte und Freiheiten der Bürger, ob innerhalb der EU oder international, untergraben wird. Denn die EU nimmt in Datenschutzbelangen eine Vorreiterrolle ein. Der anhaltende Skandal um PRISM,Tempora und Co. zeigt, wie maßgeblich starke Datenschutzregeln für einzelne Bürger, Nichtregierungsorganisationen und Firmen sind.

Die Kurzdarstellungen sollen den Mitgliedern des EU-Parlaments bündige Erklärungen der Kernpunkte der Verordnung an die Hand geben. Sie beschränken sich deshalb auf eine Seite pro Thema.

Es gibt einen Punkt, den wir in dieser Eingangsnotiz besonders betonen sollten: die weitreichenden Ausnahmeregelungen zu „nationaler Sicherheit“, die in den wichtigsten EU-Abkommen enthalten sind. Es soll betont werden, dass diese nicht absolut sind und den Mitgliedsstaaten keine vollständige Ausnahme einer gründlichen Überprüfung in dieser Angelegenheit erlauben. Die Charta der Grundrechte der Europäischen Union, die innerhalb der EU fundamentalen Status hat und ausdrücklich den vollständigen Schutz persönlicher Daten verlangt, kann nicht einfach ignoriert werden.

Zuletzt liegt es am Europäischen Gerichtshof, die Weite der Ausnahmen festzulegen. Es ist bereits klar, dass die Geheimdienstaktivitäten der USA offensichtlich nicht auf nationale Sicherheit beschränkt sind, so wie es internationales Recht festlegt. Dasselbe scheint für die Aktivitäten einiger Einrichtungen innerhalb der EU zu gelten, etwa das britische GCHQ. Aktivitäten von „Inlandsgeheimdiensten“ der Mitgliedsstaaten, die nicht auf die Erhaltung der nationalen Sicherheit beschränkt sind, werden von den Ausnahmen in den EU-Abkommen nicht abgedeckt und das sollte in der Verordnung klar festgelegt werden. So legt es auch internationales Recht fest.

Zweitens, appelieren wir an das Europäische Parlament, darauf zu pochen, dass jegliche Weitergabe persönlicher Daten an eine nationale Sicherheitsbehörde, bei der die Daten unter EU-Datenschutzrecht fallen, etwa Fluggastdaten oder Daten über Finanztransaktionen Einzelner, den EU-Regelungen für die Verarbeitung persönlicher Daten unterliegen – und weiterhin unterliegen werden. Ihre Weitergabe ist ausdrücklich als Form der Verarbeitung bezeichnet, sowohl in der Datenschutzrichtlinie als auch im Entwurf für die Datenschutzverordnung, und unterliegt deren Vorschriften. Selbst wenn die Verarbeitung von Daten durch nationale Sicherheitsbehörden nach der Weitergabe außerhalb der EU-Gesetzgebung liegen könnte (angenommen, dass es wirklich um klardefinierte Angelegenheiten der nationalen Sicherheit geht), ist es die Weitergabe nicht: Sie ist Gegenstand – und muss es auch bleiben – der Grundprinzipien des Europäischen Datenschutzrechts. Das beinhaltet Zweckdefinition und -bindung, Transparenz und grenzüberschreitenden Datenverkehr. Darüberhinaus müssen die Aktivitäten der nationalen Sicherheitsbehörden der EU-Mitgliedsstaaten zumindest den minimalen europäischen Standards für staatliche Überwachung genügen, die vom Europäischen Gerichtshof für Menschenrechte eingeführt wurden (wie in einem aktuellen Beitrag von EDRi zur Angelegenheit aufgeführt).

 

01- Definitionen

Was wird gebraucht?

Die wachsenden Möglichkeiten, Daten aus großen Datensätzen zu extrahieren und verschiedene Typen von Daten zu verknüpfen, machen es einfacher, Einzelpersonen aufgrund vermeintlich unzusammenhängender Informationen zu identifizieren und zu analysieren. Die Definition „persönlicher Daten“ muss das berücksichtigen. Eine unvollständige Definition würde den gesamten Gesetzesvorschlag untergraben. Wenn eine Gesetzgebung für persönliche Daten nicht alle persönlichen Daten abdeckt, ist sie zum Scheitern verurteilt.

Vor allem in der Onlinewelt sind die Daten eines Nutzers nicht direkt identifizierbar. Firmen, die das Onlineverhalten von Nutzern verfolgen, müssen und wollen nicht den Namen der Einzelperson kennen. Für sie ist interessant, was die Person ist und nicht wer. Benutzer werden danach ausgewählt, ob sie es verdient haben, ein bestimmtes Produkt zu kaufen oder eine spezielle Dienstleistung zu einem speziellen Preis in Anspruch nehmen dürfen – oder auch nicht. Das passiert unabhängig davon, wie die Daten gespeichert werden: Das Anlegen eines „Pseudonyms“ wird das Nachverfolgen und Analysieren persönlicher Daten nicht verhindern, genausowenig wie die Entscheidungen, die aufgrund dieser Daten getroffen werden.

Um einen gründlichen Schutz der Privatsphäre zu gewährleisten, müssen alle persönlichen Daten, auch wenn sie nicht direkt zur Identifizierung verwendet werden können (wie eine Menge an Mobilfunknummern) gleichwertig geschützt werden. Sogenannte „pseudonymisierte Daten“ sollten nicht anders behandelt werden. Die bloße Tatsache, dass Daten (wie deine Mobilfunknummer) dich nicht direkt identifizieren, sollte nicht bedeuten, dass sie nicht genauso schutzwürdig sind wie dein Name oder deine Adresse.

Schlechte Änderungsanträge

Diese fallen in zwei Kategorien: Zuerst die Änderungsanträge, die die Definition von ‚persönlichen Daten‘ einengen wollen. Zur Zeit werden alle Daten, die mit einer Person verknüpft sind als persönliche Daten angesehen. Die Änderungsanträge schränken die Definitionsbreite von persönlichen Daten ein, indem sie festlegen, dass Daten nur für die Organisation als persönlich gelten, die sie verarbeitet (den „Datenverarbeiter“) oder für eine Drittpartei, die „mit dem Datenverarbeiter zusammenarbeitet“. Außerhalb dieser Parteien werden personenbezogene Daten nicht als „persönliche Daten“ betrachtet und sind nicht geschützt. Die Änderungsanträge 715 und 716 (ALDE), 717 (EPP) und 720 (unabhängig) fallen in diese Kategorie.

Eine zweite Reihe an Änderungsanträgen versucht „pseudonymen“ Daten weniger Schutz zu geben, das heißt jenen Daten, bei denen der Teil der Daten, der dich identifiziert, durch ein Pseudonym ersetzt wurde. Diese Absenkung des Schutzniveaus schließt alle Daten mit ein, die ‚pseudonymisiert‘ worden sind, auch jene, die beispielsweise durch eine Profilbildung über die eigene Persönlichkeit in Onlinenetzwerken entstanden sind. Beispiele für solche Anträge sind:

  • ALDE: 726, 728, 729, 732, 851, 887, 897, 904, 1542, 1568
  • EPP: 730, 898, 921, 922, 1543, 1585, 1630

Gute Änderungsanträge

Gute Änderungsanträge stellen klar, dass jedes ‚Herausgreifen‘ von Einzelpersonen persönliche Daten erzeugt und halten an der Intention des ursprünglichen Kommissionsvorschlags fest. Das sind solche wie:

  • ALDE: 714
  • S&D: 719
  • EPP: 721

Zugriff auf Daten zu Zwecken der Strafverfolgung

Der PRISM-Skandal zeigt uns, dass pseudonyme Daten mit einem beträchtlichen Risiko von jedem eingesehen und identifiziert werden können, der Zugriff auf mehrere Datenbanken hat. Da pseudonymisierte Daten oftmals von Online-Werbeunternehmen zur Erstellung detaillierter Persönlichkeitsprofile benutzt werden, sind die möglichen Auswirkungen einer Re-Identifikation dieser Daten enorm groß. Dass Teile der Daten nur indirekt identifizierbar oder pseudonymisiert sind, schmälert den Eingriff in die persönliche Privatsphäre und die Kommunikationsfreiheit in keinster Weise.

 

02 – Einwilligung

Was wird gebraucht?

Einwilligung ist eine wichtige rechtliche Grundlage für die Verwendung persönlicher Daten. Sie ist eine der sechs rechtlichen Grundlagen für die Datenverarbeitung und daher ist es wichtig, „Einwilligung“ richtig zu definieren.

Die Einwilligung sollte unter allen Umständen ausdrücklich, spezifisch und informiert erfolgen. In der Praxis heißt das, dass Einwilligung immer strikt mit derjenigen Datenverarbeitung verknüpft ist, über die der Nutzer informiert wurde und keine anderen Formen der Nutzung seiner persönlichen Daten einschließt.

In der Praxis sollten Datenverarbeiter weder die Möglichkeit haben, standardmäßig aktivierte Checkboxen zu verwenden, um die Einwilligung des Nutzers zur Datenverarbeitung zu erhalten, noch die Einwilligung von anderen Handlungen ableiten dürfen, etwa der Zustimmung zu den Allgemeinen Geschäftsbestimmungen.

Schlechte Änderungsanträge

Eine Reihe von Änderungsanträgen versucht das Prinzip der Einwilligung zu unterlaufen, indem sie eine implizite Einwilligung möglich machen, statt den Nutzern eine echte Wahl zu ermöglichen.

  • Änderungsanträge 757 (ALDE), 758 (ALDE), 762 (ALDE)
  • 760 (S&D),
  • 764 (ECR) und
  • 765 (EPP) verfolgen diese Ansatz.

Implizite Einwilligung bietet weniger Schutz, da sie einfach als vorhanden angenommen oder in die allgemeinen Geschäftbedingungen integriert werden kann. Nutzer werden keine echte Wahl haben, wie ihre Daten verarbeitet werden.

Andere Änderungsanträge führen ein neues und schwammiges Konzept von „pauschaler Einwilligung“ ein. Dieser neue Begriff könnte Rechtssicherheit für Datenverarbeiter unterlaufen und würde ein Schlupfloch erzeugen, indem Nutzer etwas zustimmen, was sie nicht vollständig verstehen, wie in:

  • 3066 (EPP),
  • 3067 (ALDE), 3069 (ALDE), 3076 (ALDE), 3079 (ALDE)
  • 3068 (S&D) and 3084 (S&D).

Gute Änderungsanträge

Änderungsanträge, die einen klaren Zusammenhang von Einwilligung und Zweck der Datenverarbeitung bieten, sind sehr zu begrüßen und führen zu mehr Rechtssicherheit. Solche Änderungsanträge sind AMs 89 (Grüne), 763 (GUE-NGL) und 1000 (EPP).

Eine klare Definition, dass Einwilligung sowohl explizit als auch informiert erfolgen sollte, wäre auch eine gute Ergänzung, wie beispielsweise in Änderungsantrag 854 (S&D).
Es wäre auch sinnvoll, hinzuzufügen, dass Einwilligung nicht nur auf einen bestimmten Zweck beschränkt sein sollte, sondern auch automatisch ungültig werden kann, wenn die aufgeführte Datenverarbeitung zu allgemein und abstrakt, unspezifisch und unabschätzbar ist.

Zugriff auf Daten zu Zwecken der Strafverfolgung

Aktuelle Enthüllungen, wie das PRISM-Programm, zeigen, dass die schiere Existenz einer Datenbank ein Risiko für deren Missbrauch erzeugt. Daher ist es wesentlich, dass die Entscheidung, dieses Risiko eingehen zu wollen, in der Hand der Nutzer liegt. Einwilligung in Kombination mit Datenminimierung ist essentiell, um Datensubjekten die Kontrolle über Sammlung und Verwendung ihrer persönlichen Daten zu geben.

 

03 – Berechtigtes Interesse

Was wird gebraucht?

Es scheint plausibel, dass Einwilligung, Notwendigkeit oder Rechtsgründe vorliegen sollten, wenn Unternehmen oder andere Organisationen persönliche Daten verarbeiten wollen. Dennoch gibt es Fälle, in denen Datenverarbeitung zulässig sein kann auch wenn keines dieser Kriterien zutrifft. In diesen Fällen kann ein „berechtigtes Interesse“ der datenverarbeitenden Stellen als Basis für die Datenverarbeitung dienen. Das sollte jedoch die Ausnahme und nicht die Regel sein. Daher müssen solche Ausnahmefälle klar definiert und auf abschätzbare, gründlich geregelte und eng abgesteckte Umstände beschränkt sein. So wird das „berechtigte Interesse“ nicht zum Schlupfloch, das die Glaubwürdigkeit der Verordnung und das Vertrauen der Bürger untergräbt. Vor allem muss die Gesetzgebung verbieten, dass Daten für einen anderen Zweck genutzt werden, als für den ihrer ursprünglichen Erhebung.

Schlechte Änderungsanträge

Die schlechten Änderungsanträge zu diesem Thema versuchen, den Umfang des ursprünglichen Kommissionsvorschlags auszuweiten, indem sie Drittparteien mitaufnehmen (das heißt, Dritte dürften Daten einer Person verarbeiten, die niemals mit ihnen in Kontakt stand, wenn sie daran interessiert sind). Außerdem erlauben manche Änderungsanträge das Verarbeiten von Daten zu Zwecken, die nicht mit dem ursprünglichen Zweck einhergehen. Wenn die Verordnung es erlaubt, dass Firmen, von denen eine Person noch nie gehört hat, Daten aus Gründen denen sich diese Person nicht bewusst ist, verarbeiten zu dürfen, würde das die Verordnung für die Bürger nutzlos machen. Änderungsantrag 890 von Parlamentsmitgliedern der EPP schlägt sogar vor, dass persönliche Daten einfach abgefragt und weiterverarbeitet werden dürfen, nur weil sie online sind – egal ob sie das aus legalen Gründen sind oder nicht.

  • ALDE: 873, 880, 887, 888, 895, 896, 897, 899, 904, 943, 948, 949.
  • EPP: 882, 883, 890, 898, 900, 901, 945.
  • ECR: 891, 892, 893, 894.
  • Unabhängige: 947.

Gute Änderungsvorschläge

Einige Änderungsanträge zielen mit unterschiedlichem Erfolg darauf ab, den Anwendungsbereich von Ausnahmen aus berechtigtem Interesse klarer zu definieren und den Gebrauch von Daten für nicht vorgesehene Zwecke zu minimieren oder eliminieren.

  • S&D: 872, 875, 885, 940, 941,
  • ALDE: 879, 939,
  • GUE/NGL: 881, 942,
  • Green: 100

Zugriff auf Daten zu Zwecken der Strafverfolgung

Es ist wesentlich, dass die Ausnahme „berechtigtes Interesse“ nicht als Rechtfertigung für ausländische Strafverfolgungsbehörden dient, um demokratisch legitimierte Datenzugriffsverfahren zu umgehen. Es gibt eine klare Rechtsgrundlage für
Zugriff auf Daten zu Zwecken der Strafverfolgung in Artikel 6.1.c der Verordnung. Folglich gibt es für diesen Zweck keine Rechtfertigung, die Ausnahme „berechtigtes Interesse“ zum Zugriff auf Daten heranzuziehen. Es sollte klar sein, dass diese Rechtsgrundlage nicht genutzt werden darf, um anderen Zugriffsanfragen nachzukommen, außer denen, die die Bedingungen aus Artikel 6.3. erfüllen.

 

04 – Datenminimierung

Was wird gebraucht?

Die Kapazitäten zur Speicherung und Verarbeitung von (persönlichen) Informationen haben sich sukzessive vervielfacht. Mit der Masse der gespeicherten persönlichen Daten, vergrößern sich auch die damit verbunden Risiken für die Sicherheit und Privatsphäre.

Datenminimierung, so der Ausdruck im deutschen Kommissionsentwurf, ist ein grundlegendes Prinzip des Datenschutzes. Es schreibt fest, dass Daten nur zu klar im Voraus kommunizierten Zwecken gespeichert und verarbeitet werden. Bevor Unternehmen Daten verarbeiten, sollten sie sich fragen: „Brauchen wir diese Daten? Wofür? Wie lange?“ Die geltende Datenschutzrichtlinie von 1995 enthält bereits den Passus, dass Daten nicht über die eigentlichen Zwecke ihrer Erhebung „hinaus“ erhoben werden dürfen (Artikel 6c). Jedoch er wird nicht gut durchgesetzt. Das Prinzip der Datenminimierung wird in Artikel 5(c) der Datenschutzgrundverordnung präzisiert und gestärkt.

Schlechte Änderungsanträge

Die Änderungsanträge 824, 825, 826 und 827 wollen das ausdrückliche Prinzip der Datenminimierung streichen und gegen die schwächere Formulierung der alten Datenschutzrichtlinie ersetzen, die sich wesentlich unklarer ausnimmt und nicht für die so dringende benötigte Verbesserung der gegenwärtigen Gesetzeslage sorgen wird. Das vage Konzept der alten Richtlinie ist nur schwer durchsetzen und öffnet die Tür für unbegrenzte Speicherfristen und unerwünschte Formen der Wiederbenutzung und des Missbrauchs von Daten.

Gute Änderungsanträge

Die Änderungsanträge 752 und 753 führen neue Bedingungen zur Definition des Prinzips „Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen“ ein, die das Prinzip der Datenminimierung einschließen.

Gerade im Fall von persönlichen und intimen Informationen über uns, die Unternehmen speichern, ist es essentiell, dass diese Daten in so minimalem Umfang wie möglich gespeichert werden. Sonst riskieren wir Missbrauch und den Verlust der Kontrolle darüber, wie unsere Daten genutzt, weitergeben und gespeichert werden.

Zugriff auf Daten zu Zwecken der Strafverfolgung

Die europäischen Datenshcutzregelungen sind anwendbar auf alle Firmen, die ihre Dienste in der EU anbieten. Datenminimierung kann daher ein guter Schritt auf dem Weg zu weniger gespeicherten personenbezogenen Daten, mehr Kontrolle über Daten und Datenbanken, sowie zur Minimierung des Missbrauchs dieser Daten für staatliche Überwachung sein.

 

05 – Recht auf Vergessenwerden und auf Löschung

Was wird gebraucht?
Der Artikel 17 des Verordnungsentwurfs zum „Recht auf Vergessenwerden und auf Löschung“ beschreibt die Pflicht von Datenverarbeitern, wie sozialen Netzwerken, Nutzeranträgen auf Löschung dessen, was sie über sich selbst online veröffentlicht haben, nachzukommen. Dieses Recht existiert bereits in der Datenschutzrichtlinie von 1995 und ist von großer Bedeutung, um Datenverarbeiter auf den korrekten Umgang mit den von ihnen verarbeiteten Daten zu verpflichten. Es ermöglicht Nutzern, die Kontrolle über ihre eigenen Daten zu behalten.

An dieser Stelle ist es wichtig anzumerken, dass dieser Artikel kein endloses Recht auf die Löschung von Artikeln oder Blogbeiträgen einführt und ebenso keine gesetzlichen Verpflichtungen für Unternehmen, bestimmte Daten über längere Zeit vorzuhalten, außer Kraft setzt. Eine spezifische Ausnahme vom Recht auf Löschung ist im Artikel 80 festgeschrieben. Dieser Artikel soll weiter gestärkt und präzisiert werden, um Missverständnissen vorzubeugen. Dazu sollte die Formulierung „Recht auf Vergessenwerden“ generell durch „Recht auf Löschung“ ersetzt werden. Erstere Formulierung hat an vielen Stellen für Missverständnisse gesorgt.

Schlechte Änderungsanträge

Viele Änderungsanträge drohen, das Recht auf Löschung einzuschränken und verhindern so Rechtssicherheit. So ergibt beispielsweise ein „Antrag“ auf Löschung rechtlich keinen Sinn. Änderungsanträge, die eine Löschung nur wenn es „angemessen“ ist erlauben, ergeben ebenso wenig Sinn. Andere Änderungsanträge beziehen sich auf eine nicht näher definierte „Speicherfrist“ und sorgen so für weitere Rechtsunsicherheit. Im Folgenden eine kleine Auswahl schlechter Änderungsanträge:

  • ALDE: 1386, 1388, 1390, 1391,1393, 1395, 1396, 1397, 1399, 1400, 1401, 1405
  • EPP: 1392
  • ECR: 1389
  • S&D: 1398, 1402, 1418, 1419

Gute Änderungsanträge

Es wurden einige Änderungsanträge eingebracht, die sich für die deutlichere Bennung des Artikels als ein „Recht auf Löschung“ aussprechen (vgl. ALDE: 1380, 1383; EPP: 1381; S&D: 1382).

Es wurden einige Änderungsanträge eingebracht, die die Löschung von Paragraf 2 des Artikels 17 im Kommissionsvorschlag empfehlen. Dieser Paragraf war unklar formuliert und hätte die Haftbarkeit von Intermediären erhöhen und ebenjene zu Überwachung, Vorhaltung und Löschung von Informationen, über die sie keine Kontrolle haben, zwingen können (vgl. ECR: 1411 – EPP: 1412 – ALDE: 1413, 1414).

Zugriff auf Daten zu Zwecken der Strafverfolgung

Die jüngsten Überwachungs-Enthüllungen haben gezeigt, dass Datenbanken, die große Mengen an Daten beherbergen, Risiken für die Privatsphäre bergen können. Es ist deshalb nur angemessen, dass Individuen ein Recht auf Löschung ihrer Daten haben.

 

06 – Datenportabilität

Was wird gebraucht?

Datenportabilität ist das Recht, die eigenen Daten von einem Ort oder Dienst zu einem anderen zu bewegen. Es ist ein Schlüsselrecht um eine effektive Kontrolle über personenbezogene Daten zu gewährleisten.

Dieses Recht wird es Nutzern einfacher machen, Dienste zu wechseln und sie vor „Lock-In-Effekten“ schützen, die Verbraucher und Wettbewerb zugleich schädigen. Falls z.B. ein Nutzer eines Sozialen Netzwerkes mit dem Service der Plattform unzufrieden wäre, könnte er seine Daten zu einer anderen Plattform kopieren, anstatt alle Daten zu löschen und von vorn zu beginnen.

Datenportabilität würde den Wettbewerb fördern, indem die Markteintrittsbarrieren für neue Unternehmen gesenkt werden und Nutzer motivierter werden, diese Dienste zu nutzen, weil es einfacher wird.Es würde außerdem Möglichkeiten für innovative neue Dienste eröffnen. Zum Beispiel ein Dienst, der den Energieverbrauch eines Nutzers analysiert, um herauszufinden, ob ein anderer Anbieter günstiger wäre oder wie er seine Energie effizienter nutzen kann.

Die Formate, in denen die Daten bereitgestellt werden, sollten untereinander kompatibel sein. Sonst wäre das Recht auf Datenportabilität wenig sinnvoll, denn Daten ließen sich nicht einfach von einem Service zu einem anderen übertragen.

Zuletzt sollte klargestellt werden, dass Datenverarbeiter keine Daten speichern sollten, die nicht mehr erforderlich sind, nur um eventuell zukünftigen Anfragen nach einem Umzug der Daten gerecht werden zu können.

Schlechte Änderungsanträge

Einige Änderungsanträge schlagen vor, den Artikel zur Datenportabilität vollständig aus dem Vorschlag zu entfernen. Das ist nur akzeptabel, wenn das Recht auf Datenportabilität stattdessen in den Artikel zum Auskunftsrecht (Artikel 15) verschoben wird. Änderungsanträge, die das vorschlagen, sind AM 1495 (S&D) and AM 1496 (ALDE).

Eine Reihe von Änderungsanträgen führt wage Ausnahmen ein, die es Datenverarbeitern erlauben würden, die Verpflichtung zur Datenportabilität zu umgehen (vgl. AMs 1497 [ALDE], 1498 [EPP] und 1505 [ALDE]). Eine Gebühr für Datenportabilität würde Hürden errichten, die es Nutzern erschwert, von ihrem Recht auf Datenschutz Gebrauch zu machen.

Datenportabilität sollte nicht mit geistigen Eigentumsrechten oder Geschäftsgeheimnissen in Verbindung gebracht werden, sowie es die Änderungsanträge 1504 (ECR) und 1512 (EPP) machen. Auch der öffentliche Sektor sollte nicht von der Verpflichtung zur Datenportabilität ausgeschlossen werden.

Gute Änderungsanträge

Die generelle Einführung eines Interoperabilitätskriteriums und die Ausweitung des Rechts auf Datenportabilität über vertragliche und auf Einwilligung basierende Datenerhebungen hinaus würde es erlauben, Datenportabilität vollständig zu realisieren. Die Änderungsanträge 1503 und 1511 (ALDE) setzen dahingehend positive Zeichen.

Der Berichterstatter hat außerdem einen Änderungsantrag eingebracht, der absichert, dass Datenportabilität nicht etwaigen Löschungspflichten im Weg steht (vgl. Änderungsantrag 143)

Zugriff auf Daten zu Zwecken der Strafverfolgung

Die in den PRISM-Skandal verwickelten US-Unternehmen haben Daten von EU-Bürgern gesammelt und an US-Geheimdienste übermittelt. Wenn Personen in Europa die Möglichkeit hätten, ihre Daten zu sicheren Diensten zu transferieren, hätten sie wesentlich mehr Kontrolle über ihre Daten. Ein starkes Recht auf Datenportabilität würde es ermöglichen, sogenannte „Lock-In-Effekte“ bei unsicheren Diensten zu überwinden und stattdessen zu einfach zu bedienenden, privatsphärefreundlichen Plattformen zu wechseln.

0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.