ENDitorial: Die Reform der EU-Datenschutzverordnung – eine vergebene Chance?

EDRi-former_banner-01Verwässert und ausgehöhlt: Das Trilog-Verfahren hat aus der EU-Datenschutzgrundverodnung einen Schatten ihrer selbst gemacht. Bleibt noch Zeit, das Ruder herumzureißen? Schließlich hat die Richtlinie eine internationale Signalwirkung. Ein Gastkommentar von Diego Naranjo and Joe McNamee zum Stand der Verhandlungen. Die englische Version des Artikels wurde bei European Digital Rights (EDRi) unter CC BY 3.0 veröffentlicht. Übersetzung von Nikolai.

Jemand, der Dinge über uns weiß, hat ein gewisses Maß an Kontrolle über uns, und jemand, der alles über uns weiß, hat eine Menge Kontrolle über uns. Überwachung erleichtert diese Kontrolle. (Bruce Schneier, Kryptograph und Sicherheitsexperte)

Die größte Herausforderung für die Modernisierung der EU-Datenschutzregelungen im digitalen Zeitalter ist fraglos „Big Data“; und die größte Herausforderung bei Big Data ist Profiling.

Big Data heißt nicht einfach „mehr Daten“ – Big Data ist das massive Zusammenführen von Daten, um mehr Daten, mehr Schlussfolgerungen und mehr Wissen über Dich und mich zu generieren. Falls Du in diesem Alter bist, jene Website besucht und dieses Produkt gekauft hast, kann Big Data vorausbestimmen, dass Du bereit bist, höhere Preise zu zahlen, dass man Dir keine Haftpflichtversicherung anzubieten braucht, oder dass du diese oder jene Partei wählen wirst. Harmlose Stückchen von persönlichen Daten verknüpfen sich und werden wirkmächtig. Was herauskommt, kann alles andere als harmlos sein. Das „ich habe nichts zu verbergen“-Argument hat nie viel Sinn ergeben, aber es ergibt erst recht keinen einer Welt, in der man nicht die leiseste Ahnung hat, welche Schlussfolgerungen auf der Basis der eigenen Daten gezogen werden.

Unsere Geräte befüttern rund um die Uhr gigantische Datenbanken: Unsere Mobiltelefone sammeln und senden Informationen über unsere Bewegungen, egal wohin wir gehen. Viele der Apps, die auf deinem Smartphone installiert sind, verlangen ohne Notwendigkeit Zugang zu deinem Adressbuch. Die Sensoren unseres smarten Zuhauses wissen, wann wir von der Arbeit heimkommen oder ob wir gerade Gäste haben. Unsere Suchmaschinen speichern unsere Interessen und Ängste. Facebook hat erfolgreich mit der Fähigkeit experimentiert, Menschen glücklicher oder trauriger zu machen; oder ob man sie sogar zum (Nicht-)Wählen bewegen kann. Sogenannte „Daten-Broker“ sammeln und aggregieren persönliche Daten aus einer Vielzahl an Quellen und schaffen detaillierte Profile von Individuen, die dann weiterverkauft werden.

Wie begegnet also die Novelle der EU-Datenschutzrichtlinie diesen riesigen neuen Herausforderungen? Nicht sehr gut. Zunächst war der Artikel, der sich mit Profiling beschäftigt [Artikel 20] schon im ursprünglichen Vorschlag der Europäischen Kommission dürftig, dann wurde er durch das EU-Parlament abgeschwächt und schließlich sinnentleert durch den Rat der Europäischen Union. Der derzeitige Text des Rates besagt, dass die Daten-Subjekte – die Personen auf die sich die gesammelten persönlichen Daten beziehen – dem Profiling nur widersprechen können, wenn es sich um „eine bewusste Verarbeitung zu Profilingzwecken“ handelt. Dementsprechend wäre es unter der neuen Datenschutzrichtlinie nicht möglich zu widersprechen, wenn formales Profiling stattfindet, das aber keiner bewussten Verarbeitung dient, oder wenn die Verarbeitung zwar stattfindet aber nicht Ziel des Gesamtprozesses ist.

Weitere Schutzbestimmungen, auf die man sich normalerweise verlassen kann, sogar wenn die Richtlinien zum Profiling und Verarbeiten schwach wären, wurden auch verwässert: „Datensparsamkeit“ wird zu „nicht exzessives Datenerfassen“. Nachvollziehbarkeit und Nachbesserungen werden dadurch erschwert, dass die Unternehmen ihre Algorithmen als „Geschäftsgeheimnisse“ deklarieren oder sich hinter Pseudonymen verstecken. Der Grundsatz einer zweckgebundenen Erhebung von Daten zu einem festgelegten, begrenzten und rechtmäßigem Anlass, wird aufgeweicht zu „vergleichbare Zwecke“, was auch immer das sein mag. Gleichzeitig kann die Nutzerzustimmung schlichtweg durch das Schlupfloch „legitimer Geschäftsinteressen“ umgangen werden.

Als seien diese Regelungen nicht schon genug ausgehöhlt und damit die Beschränkungen nicht genug abgesenkt, wurde Profiling in jene Liste aufgenommen, für die Mitgliedsstaaten eigene Ausnahmen zum Zwecke der „nationalen Sicherheit“, „Verteidigung“ oder „öffentlichen Sicherheit“ festlegen können. Falls diese Bestimmungen nicht schon ausreichend vage sind, können noch „andere wichtige Ziele von allgemeinem öffentlichen Interesse der EU oder eines Mitgliedsstaates“ als Begründung herangezogen werden. In der Praxis ermöglicht das den nationalen Regierungen, das EU-Datenschutzrecht zu umgehen und Profiling zu betreiben, solange der Zweck mit irgendeinem der hier beschriebenen Aspekte etwas zu tun hat.

Ein einheitliche und zeitgemäße Rechtsbasis für die EU ist notwendiger denn je. Die EU-Datenschutz-Grundverordnung muss zukunftssichere und wirksame Schutzvorkehrungen ohne Schlupflöcher enthalten. Der gegenwärtige Verhandlungstext liest sich so, als würde er genau das auf ganzer Linie verfehlen. Wenn die laufenden Verhandlungen zwischen dem Europäischem Parlament und dem EU-Rat diese Probleme nicht lösen, steht uns der Verlust eines Grundrechts bevor. Der Verlust von Vertrauen und der Verlust von Chancen, die in den Big Data basierten Technologien liegen. Das ist nicht nur besorgniserregend für EU-Bürger: Die EU-Datenschutzrichtlinie ist von entscheidender Bedeutung dafür, einen globalen Standard für Datenschutz und Privatsphäre zu schaffen. Wir haben jetzt die Möglichkeit etwas Besseres zu schaffen, als das was derzeit auf dem Tisch liegt.

Manipulation durch Überwachung: Wie Facebook oder Google Wahlen beeinflussen können (26.12.2015)
http://arstechnica.com/security/2015/02/surveillance-based-manipulation-how-facebook-or-google-could-tilt-elections/

Facebook veröffentlicht Studie, wie Emotionen durch Veränderungen im Newsfeed beeinflusst werden können. (30.06.2014)
http://www.theguardian.com/technology/2014/jun/29/facebook-users-emotions-news-feeds

EU-Datenschutzrichtline: Übersicht (25.06.2015)
https://edri.org/gdpr-document-pool/

Wie eine Spur der Verschleierung gegen Online-Überwachung wirkt (24.10.2015)
http://www.theguardian.com/technology/2015/oct/24/obfuscation-users-guide-for-privacy-and-protest-online-surveillance

Der Hang vergangenes Unrecht zu erklären gefährdet die Meinungsfreiheit (22.10.2015)
http://www.telegraph.co.uk/news/uknews/law-and-order/11947492/Our-obsession-with-explaining-past-atrocities-could-destroy-our-free-speech.html

2 Ergänzungen

  1. die leute von edri und andere in brüssel aktive aktivisten und engagierte müssen sich kritisch die frage stellen lassen, inwiefern das jahrelange (z.t. sehr arbeitskraftintensive) begleiten und lobbying rund um die kommende EU-datenschutzreform den jetzigen status quo mitverschuldet bzw. zu deren scheinlegitimierung beigetragen haben bzw. werden.

    ich sehe das als offene frage, habe keine antwort und muss mich zudem selber dabei an die nase fassen. aber das alles macht mich sehr nachdenklich.

    wer wie wir (wir = bei freiheitsfoo) schon vor 1,5 jahren in der damaligen (noch relativ „guten“) fassung des EU-parlaments konkrete sachkritik am text geäußert hat, wurde nicht nur nicht ernst genommen, sondern bekam auch noch unsubstantiierten gegenwind von bemühten verteidigern des projekts zu spüren.

    vielleicht taugt die jahrelange story wenigstens noch zum „daraus lernen“ für weitere aktivitäten von einzelnen engagierten und bemühten bürgerinitiativen …

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.