Am vergangenen Freitag haben die Innen- und Justizminister der EU über die Ausgestaltung der Datenschutzgrundverordnung debattiert. Wir hatten im Vorfeld über die Statements von Innenminister Friedrich und Justizkommissarin Reding berichtet. Die Ergebnisse der Debatte nehmen sich bescheiden aus. Sie zeugen von der Absicht hinter das Datenschutzniveau des Kommissionsvorschlags zurückzugehen. Im Rahmen eines „risikobasierten Ansatzes“ sollen die Datenschutzvorschriften bei pseudonymisiert vorliegenden Daten sowie der Einhaltung von Verhaltenscodices gelockert werden.
Riskoorientierung und Verhaltenscodices statt verbindlich hoher Vorgaben
the application of approved codes of conduct and the use of approved data protection certification mechanisms should be incentivised by establishing linkages with the risk assessment process; work on the risk-based approach should be continued by further developing criteria for enabling the controller and processor to distinguish risk levels and further exploring the use of pseudonymous
Der Ministerrat will die Einigung auf Zertifizierungsmechanismen und Verhaltenscodices anregen und mit der Risikobewertung von Datenverarbeitung verbinden. Auch im Kommissionsvorschlag ist im Artikel 38 und 39 von „Verhaltensregeln“ und „Zertifizierungen“ die Rede. Die Verhaltenscodices sollen allerdings lediglich „zur ordnungsgemäßen Anwendung“ der Verordnung beitragen und nicht explizit zur Risikobewertung einer Datenverarbeitung.
Die Idee der Minister: Mit der Zertifizierung einer Datenverarbeitung als risikoarm, soll eine Lockerung bestimmter Vorschriften der Verordnung einhergehen. Dies könnte etwa den umkämpften Bereich der Einwilligung durch die Nutzer/in in die Datenverarbeitung treffen. Die Anforderungen an eine Zustimmung könnten mit dem Hinweis auf die geringe Sensibilität der zu verarbeitenden Daten abgesenkt werden.
Hierbei handelt es sich erst einmal um eine Vermutung, da die konkreten Änderungsvorschläge der Mitgliedsstaaten an der Datenschutzverordnung (noch) nicht öffentlich sind. Dass diese Vermutung ihre Berechtigung hat, zeigt sich in Papieren der Wirtschaftslobby, die sich der gleichen Begriffe bedienen, wie etwa diese Stellungnahme des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM):
Insbesondere müssen die Anforderungen an die Einwilligung technische Gegebenheiten und das tatsächliche Risiko für den Betroffenen berücksichtigen.
Für eine weitere Möglichkeit des Einsatzes eines risikobasierten Ansatzes und Verhaltenscodices gibt es im Ministerrat nachweisbar Mehrheiten: Die Absenkung oder Aussetzung von Sanktionszahlungen bei Datenschutzvergehen. Wir haben darüber bereits im Januar berichtet und das entsprechende Ratsprotokoll exklusiv veröffentlicht.
Ein bekanntes Muster: Selbstregulierung
Die Innen- und Justizminister öffnen damit womöglich die Tür für einen Modus der Selbstregulierung, bei dem Unternehmen und Verbände Verhaltenscodices und Zertifikate erarbeiten, die gesetzliche Datenschutzregelungen abschwächen bzw. ersetzen. Die Schlupflöcher dafür sind im Kommissionsentwurf vorhanden und warten darauf genutzt und weiter geöffnet zu werden:
Verbände und andere Einrichtungen, die Kategorien von für die Verarbeitung Verantwortlichen oder Auftragsverarbeitern in einem
Mitgliedstaat vertreten und beabsichtigen, eigene Verhaltensregeln aufzustellen oder bestehende Verhaltensregeln zu ändern oder zu erweitern, können diesbezügliche Vorschläge der Aufsichtsbehörde in dem betreffenden Mitgliedstaat zur Stellungnahme vorlegen. Die Aufsichtsbehörde kann zu der Frage Stellung nehmen, ob der betreffende Entwurf von Verhaltensregeln beziehungsweise der Änderungsvorschlag mit dieser Verordnung vereinbar ist.
Die Aufsichtsbehörde müsste in dieser Formulierung des Kommissionsentwurfs einen entsprechenden Vorschlag nicht zwingend prüfen.
Die Bedenken vor einer Schwächung der Datenschutzverordnung durch Selbstregulierung sind nicht von der Hand zu weisen. Innenminister Friedrich warb im Vorfeld des Ratsgipfels in aller Deutlichkeit für mehr Selbstregulierung in der Datenschutzverordnung:
Eine rechtlich abgesicherte Co-Regulierung, in die die Datenschutzaufsichtsbehörden eingebunden sind, schafft Rechtssicherheit für Unternehmen und Konsumenten“, sagte Bundesinnenminister Friedrich. „Die Kommission muss dabei die Möglichkeit einer Allgemeinverbindlichkeitserklärung solcher Co-Regulierungen erhalten.
Immerhin denkt Herr Friedrich noch an die Datenschutzbehörden. Dass der bekannteste deutsche Selbstregulierungs-Fanclub BITKOM, sich in seiner Stellungnahme auch ausführlichst zu „Selbstverpflichtung und Zertifizierung“ bekennt, versteht sich von selbst.
Das besonders auf EU-Ebene immer wieder kehrende Mantra der Selbstregulierung der Unternehmen soll also verstärkt in die Datenschutzverordnung Einzug halten, wenn es nach den Innen- und Justizministern geht. Problem dabei: Selbstregulierung als „flexible Lösung“ im Sinne der Unternehmen lässt sie ihre eigenen Regeln aufstellen. Im Sinne des Ministerrates könnten Unternehmen so entscheiden, welche Datenverarbeitungen „risikoreich“ sind.
Die Scheidung in risikoreiche und risikoarme Datenverarbeitungen ist generell fragwürdig. In der Verordnung muss klar definiert sein, was persönliche und damit schützenswerte Daten sind. Der „risikobasierte Ansatz“ im Zusammenhang mit Selbstregulierungsmechanismen macht die Definition persönlicher Daten zur fortwährenden Verhandlungsmasse zwischen Unternehmen und – im besten Fall – Datenschutzbehörden.
Pseudonyme Daten dürfen nicht das Trojanische Pferd in der Datenschutzverordnung werden
Der Ministerrat will zudem die Nutzung pseudonymer Daten durch Unternehmen anregen (s.o.). Das ist per se nicht schlecht, solange damit nicht das Schutzniveau massiv abgesenkt wird, da es sich ja „nur “ um pseudonyme Daten handle. In Verbindung mit dem oben beschriebenen „risikobasierten Ansatz“ ist die Absicht im Ministerrat allerdings absehbar: Mit der Einführung pseudonymer Daten in die Verordnung sollen Regelungen der Verordnung abgesenkt und damit Nutzerinnen und Nutzern Datenschutzrechte verwehrt werden, nur weil ihre Daten unter Pseudonym verarbeitet werden. Wie das in Maximalausführung aussehen könnte, zeigt dieses Lobbypapier von Yahoo.
Pseudonyme Daten sind persönliche Daten: Die Nutzer/innen sind zwar nicht mehr mit ihrem Namen identifizierbar, ihre Datensätze können aber von anderen unterschieden werden. Das gilt etwa für trackingbasierte Onlinewerbung, die Nutzer/innen auf verschiedenen Webseiten wiedererkennt und die Surfgewohnheiten erfasst. Auf dieser Basis ist die Erstellung umfassender Persönlichkeitsprofile möglich.
Inwieweit die Nutzung pseudonymer Daten in den „risikobasierten Ansatz“ der Minister einfließen soll, bleibt erstmal offen. Die während der Debatte im Ministerrat anwesende Viviane Reding sprach jedenfalls – vielleicht im Wissen um drohendes Ungemach – mahnende Worte:
Pseudonymous data is personal data. It relates to an identified or identifiable natural person and has to be protected under the Charter and EU law. I am happy to work on the notion of pseudonymous data but I will be vigilant. We need a robust definition and robust safeguards. Pseudonymous data must not become a Trojan horse at the heart of the Regulation, allowing the non-application of its provisions.
Es kommt auf ein starkes Parlament an
Die Mitgliedsstaaten untergraben weiterhin einen starken Datenschutz in Europa. Die beschriebenen Erwägungen des Rates sind, auch aufgrund seiner intransparenten Arbeitsweise, mit vielen Konjunktiven verbunden. Trotzdem liefern die Diskussionsergebnisse berechtigte Gründe zur Sorge und Kritik und fügen sich zu einem Bild: dem risikobasierten Ansatz als Deckmantel für eine unternehmensfreundliche Datenschutzverordnung.
In den nächsten Wochen richtet sich der Fokus erst einmal wieder auf’s Europäische Parlament. Am 18./19. März stimmt der Rechtsausschuss (JURI) über seine Änderungsanträge ab, bevor es dann am 24./25 April zur finalen Abstimmung im Ausschuss für bürgerliche Freiheiten (LIBE) des Europäischen Parlaments kommt. Aber auch der Ministerrat muss sich in nächster Zeit einigen, damit möglichst schnell die Verhandlungen zwischen den Institutionen beginnen können. Hier wird es auf eine starke Position des Parlaments ankommen. Dafür braucht es Eure Überzeugungsarbeit.
So lange die Metadaten eines Benutzers ihn identifizierbar machen, ist die Pseudonymisierung doch ein Witz – und damit sollte auch von jeder Form der Abschwächung von Datenschutz-Vorschriften Abstand gehalten werden.
Die Politik sollten sich auch überlegen, dass es bei dem Datenschutz nicht nur um den Schutz der Persönlichkeitsrechte des Einzelnen geht, sondern auch um die Erhaltung von Marktwirtschaft und Wettbewerb: Der vereinzelte Mensch ist gegenüber der Wirtschaft, die alles über ihn weiß, nicht mehr auf Augenhöhe. Die Folge von der zunehmenden Asymmetrie wird sein, dass Anbieter ihre Interessen gegenüber den Kunden umfangreicher durchsetzen können. Die Folge sind überhöhte Preise, sinkende Qualität und eine immer dümmer gehaltene Gesellschaft. Das mag im Interesse der Wirtschaft liegen, aber definitiv liegt das nicht im Interesse der Bürger, die so nicht nur ihre informationelle Integrität zunehmend in Hände Dritter legen, sondern auch ein großes Stück ihrer privaten und wirtschaftlichen Freiheit verlieren.
Wenn man von staatlicher Seite über Pseudonymisierung redet, dann sollte es eine Pseudonymisierung sein, bei der der Einzelne sich staatlich zertifizierte Pseudonyme (mit falschem Geschlecht, Alter, Adresse, etc ..) erstellen und sie auch wieder sterben lassen kann – ohne dass die Wirtschaft jemals eine Chance auf den Rückgriff auf die reale Person hat. Aber sowie z.B. das Bankkonto die Person im realen Leben identifiziert, oder seine IP, ist Pseudonymisierung lächerlich. Hier muss der Bürger sehr weitreichende Schutzwälle errichten können, um sich vor Identifizierung zu bewahren.
laut eines spiegelartikels sollen 33 byte informationen über eine person ausreichen, um sie vollständig identifizieren zu können ^^