„Die Menschen sollen das Recht haben zu entscheiden, wie viel von ihren persönlichen Daten sichtbar sein soll.“ So klang der Europaparlamentarier Axel Voss (CDU) kurz vor Annahme der „Entschließung des Europäischen Parlaments vom 6. Juli 2011 zum Gesamtkonzept für den Datenschutz in der Europäischen Union“ (Voss-Bericht), für die er Berichterstatter war.
[Das Europäische Parlament] fordert die Kommission auf, bestehende Grundsätze und Bestandteile auszubauen, wie etwa Transparenz, Datensparsamkeit, Zweckbindung, die vorherige und ausdrückliche Zustimmung in Kenntnis der Sachlage, die Meldung von Verstößen gegen die Datensicherheit und die Rechte der betroffenen Personen, wie sie in der Richtlinie 95/46/EG dargelegt sind, wobei ihre Umsetzung in den Mitgliedstaaten verbessert wird, insbesondere im Hinblick auf das globale Online-Umfeld.
Wir schreiben das Jahr 2013. Der Kommissionsvorschlag wird in den zuständigen Ausschüssen des Europäischen Parlaments diskutiert und überarbeitet. Die meinungsgebenden Ausschüsse haben mit konservativ-liberalen Mehrheiten Stellungnahmen erarbeitet, die alle auf Schwächung statt Stärkung des Kommissionsentwurfs hinauslaufen.
Die finale Abstimmung im federführenden Innenausschuss (LIBE) steht kurz bevor. Das Europäische Parlament bestimmt hier seine Position zum europäischen Datenschutz für die nächsten Jahrzehnte. Voss, Schattenberichter der Konservativen im LIBE-Ausschuss für das Dossier, hat seine Änderungsvorschläge zur finalen Abstimmung vorgelegt und verhandelt auf deren Grundlage über Kompromisse mit den anderen Fraktionen. Vom ambitionierten Voss-Bericht sind diese wirtschaftsfreundlichen Vorstellungen von Datenschutz weit entfernt. Voss ist umgeknickt wie ein Grashalm im Wind.
„Pseudonyme“ Daten brauchen keinen Schutz?
Das trojanische Pferd in Voss´ Änderungsanträgen sind weitreichende Ausnahmen für pseudonyme Daten, wie sie auch in diesem Lobbypapier von Yahoo vorgeschlagen werden.
Pseudonymisierung bezeichnet unterschiedlichste Techniken, mit denen versucht wird, Daten nur in Kombination mit anderen Daten identifizierbar zu machen. Meist geht es darum, den Klarnamen durch eine Nummer o.ä. zu ersetzen. Dies ist ein gängiges Verfahren bei der Datenverarbeitung, das meist weniger aus Sicherheits- denn aus Effizienzgründen angewandt wird. Eine andere Möglichkeit ist das generelle Auftreten unter Pseudonym, etwa in sozialen Netzwerken. Letzteres ist eine durchaus sinnvolle Sicherheitsmaßnahme – mehr nicht. Pseudonyme Daten sind personenbezogene Daten.
Voss sieht das nicht so. Die Zustimmung zur Verarbeitung meiner Daten wäre mit Voss´ Vorschlägen nicht mehr notwendig. Es bestünde immer ein „berechtigtes Interesse“ zur Erhebung und Verarbeitung seitens des Datenverarbeiters (AM 67*). Auch die „Verarbeitung personenbezogener Daten, aus denen die Rasse oder ethnische Herkunft, politische Überzeugungen, die Religions- oder Glaubenszugehörigkeit oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, sowie von genetischen Daten, Daten über die Gesundheit oder das Sexualleben oder Daten über Strafurteile oder damit zusammenhängende Sicherungsmaßregeln“, erlaubt Voss ohne Einwilligung, solange diese „pseudonymisiert“ wird (AM 85).
Auch wichtige Betroffenenrechte existieren in Voss‘ Vorschlägen nicht mehr, solange es sich nur um pseudonyme Daten handelt. Recht auf Information, Auskunft (enthält Datenportabilität), Korrektur und Löschung meiner Daten? Gibt´s nicht! Die sind doch „pseudonym“ (vgl. AM 103, 113, 115, 119).
Des Weiteren ist Profiling in Voss‘ Änderungsanträgen ohne Zustimmung der Betroffenen erlaubt (AM 131), solange dies mit pseudonymisierten Daten geschieht. Profiling bedeutet, Informationen über Personen zu sammeln und zu analysieren, um Annahmen über sie und ihr zukünftiges Verhalten zu machen (z.B. Kreditwürdigkeit).
Doch, brauchen sie!
Herr Voss, warum soll ich, auch wenn ich soziale Netzwerke ohne meinen Klarnamen nutze, keinerlei Betroffenenrechte mehr haben? Warum soll ich gegenüber Marketingfirmen, die mir im Datenberg eine Nummer zugewiesen haben und mich profilen, nicht meine Rechte geltend machen dürfen?
Solange ich von anderen unterschieden und deswegen anders behandelt werden kann, ist mein Name egal. Gerade online spielt das eine große Rolle, wenn etwa Algorithmen bestimmen, dass ich als vermeintlich wohlhabende Applenutzerin, mehr als andere beim Interneteinkauf zahlen muss.
Ob der Klarname von vornherein nicht auftaucht oder während der Datenverarbeitung von den restlichen Datensätzen getrennt wird, ist egal: Die Aggregation schon weniger Daten macht identifizier- und unterscheidbar. Für Dritte, die ja laut Voss ebenfalls „berechtigte Interessen“ haben können (s.u.), sind jegliche Datensammlungen Gold wert, da sie mit bestehenden korreliert werden können (Stichwort: Big Data).
So wie Voss´ Änderungsanträge formuliert sind, könnte im schlimmsten Fall fast die gesamte Datenschutzverordnung umgangen werden. Denn, wo werden Daten zur effizienteren Verarbeitung nicht „pseudonymisiert“ und fallen damit unter die erwähnten Ausnahmen, die Datenschutz im Kern ausmachen?
Datenerhebung ohne zu fragen: Auch für Dritte, Behörden und Three Strikes
Zudem soll nach Voss das berechtigte Interesse auch für Dritte gelten. Wissen und Kontrolle über die Verbreitung persönlicher Daten wären somit passé. Wenn ich Daten an ein Unternehmen gebe, hätte es also immer das Recht diese an drittes Unternehmen weiterzugeben. Das gilt solange die beteiligten Firmen von ihrem berechtigten Interesse überzeugt sind und die Betroffenen nicht das Gegenteil beweisen.
Berechtige Interessen Dritter können Einfallstor für die Privatisierung der Rechtsdurchsetzung durch Rechteinhaber (etwa Plattenfirmen) und Internetprovider sein, wie sie im Mittelpunkt der Kritik des gescheiterten ACTA-Abkommens standen. Rechteinhaber können ohne Zustimmung der Nutzerinnen und Nutzer erfassen lassen, ob sie vermeintlich urheberrechtlich geschützte Werke illegal konsumieren und weitergeben und durch die Internetprovider Warnungen bis hin zu Internetsperren verhängen lassen. Im Klartext heißt das: Die Überwachung des Internetverkehrs würde legalisiert.
Behörden haben in Voss‘ Vorschlägen immer ein berechtigtes Interesse zur Datenverarbeitung. Die Aufregung um den gescheiterten Entwurf des deutschen Meldegesetzes, das die Weitergabe an Adress- und Inkasso-Unternehmen ohne Zustimmung der Betroffenen erlauben sollte, hat Voss scheinbar ignoriert.
Vorschläge mit verheerenden Auswirkungen
Der Autor des Voss-Berichtes ist in diesen Änderungsanträgen nicht mehr wieder zu erkennen. Seine Änderungsanträge zeugen von fehlender Kenntnis darüber, wie Daten im digitalen Zeitalter erhoben und ausgewertet werden können – und welches Machtpotenzial sie bergen.
In diesem Zusammenhang stimmt nachdenklich, dass Voss bekennender Befürworter präventiver staatlicher Datensammlung ist. Er unterstützt ausdrücklich die anlasslose Vorratsdatenspeicherung von Telekommunikations– und Passagiergastdaten. Die Symbiose von staatlicher und privater Überwachung beschäftigt uns dieser Tage immer häufiger. Es sind Politiker wie Voss, die den Paradigmenwechsel zum „Surveillance by Design“ vorantreiben. Ob bewusst oder unbewusst spielt dabei keine Rolle.
2011 war Voss‘ Maxime, dass jede Person Kontrolle über ihre persönlichen Daten haben soll. Was bleibt davon in seinen Gesetzesvorschlägen? Fast nichts. Das Problem an der Datenschutzverordnung ist schon lange nicht mehr der verbesserungswürdige Kommissionsvorschlag. Das Problem sind unter massivem Lobbyeinfluss eingebrachte Änderungsanträge, die den Vorschlag ins Gegenteil verkehren und drohen, Datenschutz de facto abzuschaffen. Und nein, es braucht nicht derlei grundrechtsgefährdende Änderungsvorschläge, damit Dienste „kostenlos“ bleiben.
*Die Nummern der Änderungsanträge (Amendments) beziehen sich zur besseren Übersicht auf das verlinkte Dokument von Axel Voss und entsprechen nicht den offiziellen Nummern der LIBE-Änderungsganträge.
Ich hatte vor Kurzem beruflich selbst mit der Erhebung pseudonymisierter Daten zu tun und nach unserer Einschätzung sind sich Rechtsprechung und juristische Literatur bereits jetzt einig, dass hier kaum Schutz für die betroffenen besteht, weil die einschlägigen Gesetze an die Personenbezogenheit anknüpfen und diese formal (!) nach der Pseudonymisierung gerade nicht mehr gegeben ist.
Ich bin unsicher darüber, ob der hier gebrachte Einwand, tatsächlich sei die Herstellung einer Verknüpfung zu einem echten Menschen möglich, praxistauglich ist. Für ihn streitet zwar, dass das technisch so ist. Gegen seine Berücksichtigung spricht jedoch, dass er im Unklaren lässt, wo eine Grenze zwischen den unzulässig und zulässig erhebbaren Daten zu ziehen ist. Und Uneindeutigkeit könnte noch gefährlicher sein, als die Erhebung pseudoymisierter Daten es ist. Vielleicht kann man auch hier an den Nutzer appelieren, es nicht bei einem Pseudonym zu belassen und sich hierdurch zu schützen. So machen ich das im Social Web jedenfalls.
Tschüß
Ohne Zweifel ist die Debatte über die Stellung der so genannten pseudonymisierten Daten im Verhältnis zu den anderen personenbezogenen Daten eine wichtige Debatte bei der EU-Datenschutzverordnung.
Allerdings muss auch beachtet werden, dass Axel Voss sich als Verhandlungspartner der EVP von Beginn an sehr offen für Kompromisse diesbezüglich geäußert hat. Ich denke schon, dass der Kollege Voss sich hier auch auf die oben genannte Argumente einlassen kann und keine einfache Vertretung von Lobby-Interessen vornimmt. Der Vorwurf des Lobby-Schützers ist daher – zumindest ihm und den meisten Kollegen gegenüber – unangebracht.
Als Berichterstatter im Europäischen Parlament verhandle ich mit ihm derzeit sehr konstruktiv und hoffe, dass wir Kompromisse finden, die den genannten Bedenken weitestgehend entgegenkommt und gleichzeitig die berechtigten Bedenken anderer berücksichtigt.
Es wäre sicher hilfreich, diese Argumente nüchtern – auch gegenüber den Abgeordneten – vorzutragen. Aber ohne sie dabei an den Pranger zu stellen.
Hallo Herr Albrecht,
ich finde es ja immer gut wenn Politiker kommentieren. Auch das Sie ihren Kollegen und politischen Gegner verteidigen, ehrt Sie. Herr Voss Name wird hier ja häufiger erwähnt. So auch am 23.05.2013 (ENDitorial: Die European Privacy Association – gut, böse oder einfach nur falsch verstanden? https://netzpolitik.org/2013/enditorial-die-european-privacy-association-gut-bose-oder-einfach-nur-falsch-verstanden/). Auch Sie hatten einen Termin mit der erwähnten Organisation. Mich würde interessieren, wie solch ein Termin (hier mit der European Privacy Association) abläuft, was man darunter genau zu verstehen hat.