Datenschutzreform: Deutsche Datenschützer zerpflücken Position der EU-Regierungen

Kritisiert die Bundesregierung. Der derzeitige Vorsitzender der Konferenz der Datenschutzbeauftragten des Bundes und der Länder Michael Ronellenfitsch. – Screenshot aus Tagesschau vom 26.5 via Youtube/digitalegesellschaft

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder kritisiert in einem aktuellen Kernpunktepapier (pdf) den Stand der Verhandlungen zur Datenschutzverordnung. Im Fokus ihrer Kritik steht dabei der Rat der Europäischen Union, also die EU-Mitgliedsstaaten, die erst vor kurzem eine gemeinsame Verhandlungsposition für die anstehenden Trilogverhandlungen verabschiedet haben. Die Warnung der deutschen Datenschützer kommt daher pünktlich zum Beginn der Verhandlungen zwischen Rat, Parlament und Kommission, an deren Ende die Verordnung stehen soll.

Kritik an Rat und Bundesregierung

In dem Papier beziehen die Datenschützer unmissverständlich Position gegen den Kurs der Mehrheit der EU-Regierungen, die den Entwurf zur Datenschutzverordnung in fast allen wichtigen Punkten geschwächt haben. Wie zuvor bereits Bürgerrechtsorganisationen, warnen die Datenschutzbehörden deshalb vor einem Rückfall hinter die geltende Datenschutzrichtlinie:

Keinesfalls darf die Reform des Europäischen Datenschutzrechts dazu führen, hinter dem geltenden Datenschutzniveau zurückzubleiben.

Während die deutsche Bundesregierung sich im Rat, wahrscheinlich mit der Absicht „internettaugliche“ Regeln zu schaffen, für eine Aufweichung der Zweckbindung ausgesprochen hat, formulieren die Kollegen aus den Landesdatenschutzbehörden und die Bundesdatenschutzbeauftragte Andrea Voßhoff:

Gerade in Zeiten von Big Data und globaler Datenverarbeitung sind die Autonomie des Einzelnen, Transparenz und Rechtmäßigkeit der Datenverarbeitung, die Zweckbindung oder die Verantwortlichkeit des Datenverarbeiters ebenso wichtige Elemente der Grundrechtsgewährleistung wie eine starke Datenschutzaufsicht und wirksame Sanktionen.

In diesem Fenster soll ein YouTube-Video wiedergegeben werden. Hierbei fließen personenbezogene Daten von Dir an YouTube. Wir verhindern mit dem WordPress-Plugin „Embed Privacy“ einen Datenabfluss an YouTube solange, bis ein aktiver Klick auf diesen Hinweis erfolgt. Technisch gesehen wird das Video von YouTube erst nach dem Klick eingebunden. YouTube betrachtet Deinen Klick als Einwilligung, dass das Unternehmen auf dem von Dir verwendeten Endgerät Cookies setzt und andere Tracking-Technologien anwendet, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketing-Zwecken dienen.

Zur Datenschutzerklärung von YouTube/Google

Zur Datenschutzerklärung von netzpolitik.org

Umfassende Liste an Beanstandungen

Interessant an dem Papier sind allerdings weniger die – nichtsdestotrotz wichtigen – Punkte wie Datensparsamkeit, Zweckbindung und Einwilligung, sondern die Schlaglichter auf andere Baustellen der Verordnung, die sonst weniger öffentliche Aufmerksamkeit erfahren. Insgesamt formulieren die Datenschützer 16 Kritikpunkte.

Dazu zählt etwa die Privilegierung der Datenverarbeitung zu statistischen Zwecken in der Ratsfassung der Verordnung, die es Unternehmen erlauben könnte, unter dem Deckmantel der Statistik, die (wenigen verbliebenen) Beschränkungen zur Weiterverarbeitung von Daten zu unterlaufen.

Als unzureichend in den Entwürfen aller drei Gremien (Rat, Parlament, Kommission) rügen die Datenschutzbehörden die Regeln zur Profilbildung. Nicht erst das Fällen von auf Profiling basierenden Entscheidungen, die „rechtliche“ oder „signifikante“ Auswirkungen haben, soll reguliert werden. Bereits das Nutzen von Profilen unterhalb dieser Schwelle sowie das Anlegen der Profile selbst müsse die Verordnung wirksam begrenzen.

Unzulänglich ist insbesondere der Vorschlag des Rates, da er das Phänomen des Profilings in Anlehnung an Art. 15 Abs. 1 der EG-Datenschutzrichtlinie 95/46 auf das Treffen automatisierter Entscheidungen mit Rechtswirkung für den Einzelnen reduziert. Geregelt wird damit lediglich eine spezifische Folge der Datenverarbeitung im Zusammenhang mit der Auswertung von Persönlichkeitsmerkmalen, nicht aber die grundlegende Frage, zu welchen Zwecken und innerhalb welcher Grenzen Persönlichkeitsprofile überhaupt erstellt und genutzt werden dürfen. Zudem beinhaltet dieser Ansatz in der Praxis ein erhebliches Interpretations- und Umgehungspotenzial im Hinblick auf Dienste oder Anwendungen, die keine unmittelbaren Rechtswirkungen gegenüber dem Betroffenen entfalten, wie die Analyse des Nutzerverhaltens im Internet, die Analyse persönlicher Vorlieben durch ein soziales Netzwerk, die Analyse von Bewegungsdaten oder die Analyse der Körperaktivität mittels Apps und Sensoren.

Wenig überraschend widmen sich die Datenschutzbehörden auch dem Bereich ihrer Kernkompetenz, dem technisch-organisatorischen Datenschutz. Über die gravierenden Einschnitte, die der Rat in diesem Abschnitt der Verordnung vorsieht, hatten wir bereits vor einem knappen Jahr berichtet. Nach Ansinnen des Rates müssten Unternehmen betriebliche Datenschutzbeauftragte nicht mehr verpflichtend bestellen. Generell will der Rat mit einem „risikobasierten Ansatz“ die Verantwortlichkeit der Unternehmen je nach Risiko der Datenverarbeitung abstufen. Keine gute Idee, finden auch die Datenschutzbehörden:

Die Konferenz spricht sich für den seitens der Kommission für Art. 22 DSGVO gewählten Ansatz aus, um zu verdeutlichen, dass die Verantwortlichkeit („Accountability“) ein tragendes Grundelement des Datenschutzes ist, das als solches einem risikobasierten Ansatz nicht zugänglich ist.

Interessant im Sinne einer praktischen Umsetzung des Datenschutzes ist auch die Forderung nach Datenschutzzielen, die über die bislang zur Diskussion stehenden Ziele der IT-Sicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) hinausgehen und Nicht-Verkettbarkeit, Intervenierbarkeit und Transparenz in Datenverarbeitungsprozessen verankern sollen.

Das Papier der deutschen Datenschutzbehörden reiht sich in die Fülle von praktikablen Handreichungen zur Verordnung ein. Zuletzt hatte der Europäische Datenschutzbeauftragte Giovanni Buttarelli seine Änderungsvorschläge zur Verordnung veröffentlicht. Umso wichtiger ist es, dass derart kompetente Stimmen auch Gehör in den Trilogverhandlungen finden.

3 Ergänzungen

  1. Wer nichts zu verbergen hat,hat auch wahrheitliche Daten im Internet und Ämtern und Behörden.
    Wer was zu vertuschen sucht ,oder falsche Angaben gemacht hat,hat ein großes Eigeninteresse auf
    Datenschutz,natürlich zum Schutz des Einzelnen und der Gesellschaft.
    Ich persönlich traute meinen Augen nicht, als ich anwaltlich meine Akte vom Bundeszentralregister
    angefordert habe (sowas wie die personenbezogene Stasiakte).Es gibt sie nur zur Einsichtnahme beim
    Amtsgericht,Anfertigen von Kopien verboten,handschriftliche Notizen möglich.
    Ein Wunder,sie bestand aus einer DIN A4 Seite. Mein ganzes Leben und das Erlebte,bis auf die letzte
    Inhaftierung vom 31.März – 19.April 2014 in Bautzen röm.1,habe ich nur geträumt.Das war aber ein böser Traum. Denn ich bin heut real tatsächlich obdachlos.Oder war es gar kein Traum,mein bisheriges
    Leben ? Der Traum geht leider weiter,oder die Ereignisse bis heute sind Realität ,weil ich immer noch
    als DDR Volksverräter geführt werde,obwohl als politisches Opfer der DDR anerkannt und rehabilitiert.
    Wer hat hier Angst vor wem,die Datenschützer vor den Daten und Taten,oder umgekehrt.

  2. Wer die Wahrheit kennt der wird kriminalisiert,damit er sie nicht öffentlich macht.Leider hat die Wahrheit
    aber einen Ewigkeitswert,und Lügen kurze Beine.Wer sich einigermaßen für die Geschehnisse in seinem
    Land interessiert und Fehlentwicklungen benennt,die für die Gegenwart und erst recht für die Zukunft
    negative Folgen hat,der ist schon „Landesverräter“ oder „Staatsfeind Nr. 1“.Ich könnte jetzt,noch viel dazu
    schreiben,aber dafür ist es leider zu spät,die Misere nimmt ihren Lauf,weil Hausgemacht,und Abkehr nicht in Sicht.Dafür gibts wenigsten schönes Wetter und andere Dinge die nicht käuflich sind,noch.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.