Die Innen- und Justizminister rütteln weiter an den Grundfesten der Datenschutzverordnung. Sowohl bei den Grundlagen wie der Definition personenbezogener Daten als auch bei Informationspflichten und Betroffenenrechten, schont der Ministerrat die Unternehmen zu Ungunsten der Bürgerinnen und Bürger. Das geht aus einem geheimen Dokument der irischen Ratspräsidentschaft hervor, das wir an dieser Stelle exklusiv veröffentlichen. Der Ministerrat verhandelt traditionell hinter verschlossenen Türen.
Deutschland gehört nicht zu den schlimmsten Verwässerern der Reform. Von Innenminister Friedrichs Versprechen „strenger europäischer Datenschutzregeln“ merkt man jedoch auch nicht viel. Einen Generalvorbehalt, weil der Verordnungsentwurf nicht mehr wiederzuerkennen ist, legt Deutschland nicht ein. Länder wie Österreich und Frankreich haben von dieser Möglichkeit Gebrauch gemacht.
Uneiniger Zweifel bei der Verordnung, Einigkeit bei Unternehmensfreundlichkeit
Das Dokument vom 6. Mai 2013 gibt den Verhandlungsstand im Ministerrat zu den Kapiteln I-IV des Kommissionsvorschlags wieder. Diese umfassen u.a. die Grundprinzipien der Verordnung (Definitionen, Vorschriften zur Datenerhebung), die Rechte der Betroffenen gegenüber den Datenverarbeitern und die Pflichten Letztgenannter. Das Papier ergänzt einen Leak aus dem Ministerrat, den wir jüngst verbloggt haben. Bei diesem handelte es sich um die wenigen Punkte, in denen wohl weitgehende Einigkeit zwischen den Staaten besteht.
Absender ist die irische Ratspräsidentschaft, die – auf Basis des Diskussionsstandes im Rat – Änderungsvorschläge an der Verordnung zur Diskussion stellt. Aufgrund der Uneinigkeit im Rat wimmelt es im Dokument von Fußnoten, die Vorbehalte und Änderungswünsche der Mitgliedsstaaten dokumentieren.Einigkeit über den Kommissionsvorschlag ist im Ministerrat also eher die Ausnahme. Einige Länder, darunter das der Verordnung seit jeher feindlich gesinnte Vereinigte Königreich, zweifeln immer noch am Instrument der Verordnung und wollen lieber eine Richtlinie. Damit würde das derzeitige Durchsetzungsdefizit im europäischen Datenschutz aufrecht erhalten.
Wie der österreichische Journalist Erich Moechel schreibt, geraten „Länder mit vergleichsweise starken Datenschutzgesetzen wie Deutschland oder Österreich ziemlich in die Defensive“ bei den Ratsverhandlungen. Das kann jedoch keine Ausrede sein. Im Gegenteil: Deutschland sollte im Rat offensiver für eine starke Datenschutzverordnung eintreten. So lesen wir bei den von der irischen Präsidentschaft vorgeschlagenen neuen Einleitungsworten zur Verordnung nichts von einem deutschen Vorbehalt:
Um das Funktionieren des Binnenmarkts zu gewährleisten, ist es erforderlich, dass der freie Fluss personenbezogener Daten zwischen den Mitgliedsstaaten durch den Schutz des Individuums betreffend die Verarbeitung dessen persönlicher Daten nicht beschränkt oder verboten wird.
Welcher europäische Binnenmarkt ist hier gemeint? Gerade im Hinblick auf die derzeit kursierenden Zahlen in industrienahen Studien, ensteht der Eindruck, dass die Direktmarketingindustrie, Scoringdienste und Trackingnetzwerke irgendwie systemrelevant sind.
Definitionen und Grundprinzipien der Datenverarbeitung: Expertise ignoriert
Bei der Definition personenbezogener Daten, verschlimmbessern die Mitgliedsstaaten die Formulierungen der Kommission weiter. Besonders in Onlineumgebungen kommt es eben nicht auf eine – wie auch immer geartete – „Identifizierung“ der Person an. Entscheidend ist, dass ich in einer bestimmten Gruppe von anderen unterscheidbar bin. Das fordern Bürgerrechtsorganisationen genau so wie die europäischen Datenschützer der Artikel-29-Datenschutzgruppe – und zwar seit 2007.
Bei der Ausweitung des umstrittenen „berechtigten Interesses“, das Datenverarbeitung ohne Zustimmung erlaubt, wollen die Minister eine Ausweitung dieser Rechtsgrundlage auf Dritte, statt bzw. bevor sie die notwendige rechtssichere Begrenzung dessen vorschlagen. Dies unterstützt – in einer etwas anderen Formulierung – auch Deutschland. Wie ein Bericht der Bürgerrechtsorganisation Bits of Freedom zeigt, ist die Datenverarbeitung auf dieser Grundlage rechtlich undurchsichtig. Leidtragende sind die „Datensubjekte“, also wir.
Und ein weiteres Mal ignorieren die Minister datenschutzrechtliche Expertise. Bei der Zweckbindung der erhobenen Daten, führen sie zwar einen Katalog von Faktoren zur Abschätzung der Zweckbindung ein, ähnlich wie es auch die Artikel-29-Datenschutzgruppe in ihrer Stellungnahme dazu vorschlägt. Nur leider vergessen sie den Artikel Schlupfloch-Artikel 6(4), der durch diesen Faktorenkatalog ersetzt werden soll, zu löschen.
Rechte der Betroffenen und Pflichten der Datenverarbeiter: Bloß nicht die Industrie belasten
Umstritten unter den Ministern sind auch die Informationspflichten der Datenverarbeiter gegenüber den Bürgerinnen und Bürgern sowie das Recht auf Datenportabilität, einer der innovativeren Kommissionsvorschläge, der helfen könnte, sogenannte Lock-in-Effekte zu überwinden. Damit würde es etwa möglich, seine Daten von einem Anbieter zum anderen mitzunehmen, etwa von Twitter zu app.net. Sowohl bei den Informationspflichten als auch beim Recht auf Datenportabilität machen sich die Minister sorgen über die Umstände und Kosten, die das bei den Unternehmen verursachen könnte – auch Deutschland. Das Recht auf Datenportabilität betrachten viele Staaten generell nicht als Sache des Datenschutzrechtes – ein guter Vorwand, um es erst mal abzuschmettern. Und natürlich ist man auch um Geschäftsgeheimnisse und geistiges Eigentum besorgt.
Einer der gefährlichsten und absurdesten Textvorschläge: Die sogenannte „Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes ihrer personenbezogenen Daten“, also die Kommunikation von Datenlecks, soll nicht nötig sein, solange der Datenverarbeiter Maßnahmen wie Pseudonymisierung und Verschlüsselung getroffen hat. Der Glaube an technischen Fortschritt und Innovation hat die Minister wohl ausgerechnet hier verlassen. Ein Datenleck ist natürlich auch bei pseudonymen Daten gefährlich. Bei Verschlüsselungen ist die Entschlüsselung nur eine Frage der Zeit. Aber, wenn die Daten fließen ist das ja gut für den Binnenmarkt.
Einmischen!
Der Rat setzt seine unternehmensfreundliche Linie beim Datenschutz fort. Dies geschieht im Sinne von Marketing- und Scoringdiensten, zu deren Geschäft vor allem pseudonymisierte Daten gehören, wie Erich Moechel in seiner Analyse des Dokuments betont. Mit der Argumentation, pseudonyme Daten seien keine personenbezogenen Daten, sollen Datenschutzregeln unterlaufen werden. Der Ministerrat fügt sich und schafft Ausnahmen für diese Daten (siehe u.a. Definitionen, Benachrichtigungspflichten). „Pseudonyme Daten dürfen nicht das Trojanische Pferd in der Datenschutzverordnung werden“, mahnte Justizkommissarin Viviane Reding im März wohlweislich an.
Die Idee einer europaweiten Durchsetzung starken Datenschutzrechts behagt den meisten Mitgliedsstaaten wenig. Ähnliche Tendenzen zeichnen sich bei den parallel laufenden Verhandlungen im Europäischen Parlament ab. Das ist nicht ACTA, aber genau so wichtig. Unterzeichnet den offenen Brief an Innenminister Friedrich und kontaktiert eure Abgeordneten im Europäischen Parlament. Letztere sind erfahrungsgemäß leichter zu beeinflussen. Also nehmt euch ein paar Minuten Zeit für euren Datenschutz und kontaktiert eure Volksvertreter/innen in Berlin und Brüssel.
Diese erste Einschätzung der 106 Seiten und 299 Fußnoten freut sich über Ergänzungen in den Kommentaren.
Dem deutschen Innenminister kann man hier auch die Meinung sagen:
https://digitalcourage.de/im-briefen
Damit der Ministerrat den Datenschutz nicht völlig abschafft….