EU-Datenschutz: Ein schwarzer Blick in die Blackbox des Ministerrats

Die Verhandlungen um die EU-Datenschutzreform im Ministerrat der EU schreiten voran und wenig dringt dabei nach außen. Max Schrems konnte dennoch ein paar Dokumente analysieren. Doch das gibt wenig Grund zur Freude.

Die Verhandlungen um die EU-Datenschutzreform im Ministerrat der EU schreiten voran und wenig dringt dabei nach außen. Max Schrems konnte dennoch ein paar Dokumente analysieren. Doch das gibt wenig Grund zur Freude.

Max Schrems hatte zuletzt auch in unserem Blog den Stand der Datenschutzverordnung analysiert, nun legt er nach und gibt Einblick in einige geleakte Dokumente.

Zunächst einmal muss er den Verhandlungsführern im Ministerrat ein wenig Nachhilfe in Sachen Rechtsprinzipien geben. Das scheint dringen nötig, schaut man sich die neuesten Vorschläge an. Denn die Datenschutzreform muss, wie alle anderen Gesetze der EU auch, vereinbar mit der Grundrechtecharta der Europäischen Union sein. Die Grundrechtecharta geht in Artikel 8 explizit auf den Datenschutz ein, denn darin heißt es:

(1)   Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2)   Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden.

Das klingt gut und vielversprechend, allerdings halten sich die Verhandlungsführer selten an diese Prinzipien und bringen ständig verwässernde Vorschläge ein, die die wichtigen Prinzipien Datensparsamkeit und Zweckgebundenheit faktisch aushebeln sollen. Schrems zitiert aus einem geleakten Entwurf zu Prinzipien der Datenverarbeitung. Danach soll die Datenverarbeitung in Zukunft nicht mehr auf ein Minimum beschränkt werden, sondern nur nicht „exzessiv“ sein. Das stellt den Grundsatz auf den Kopf.

„Personal data must be:
(c) adequate, relevant and limited to the minimum necessary not excessive in relation to the purposes for which they are processed; they shall only be processed if, and as long as, the purposes could not be fulfilled by processing information that does not involve personal data;

Damit möchte der Rat, dass so viele unserer Daten gesammelt werden können, so lange dies nicht „exzessiv“ geschieht. Aber was heißt schon exzessiv? Facebook und Google haben sicherlich eine ganz eigene Definition davon, was eine nicht exzessive Datensammlung ist. Eine, die mehrzahl aller Bürgerinnen und Bürger sicher nicht gutheißt, wenn es um die Daten geht, die über sie gesammelt werden.

Auch zur Zweckbindung gibt Max Schrems dem Rat gerne Nachhilfe. Demnach liegen Vorschläge auf dem Tisch, wonach die Zweckbindung so weich gemacht werden soll, dass sie faktisch nicht mehr existiert. Auch wir haben dazu schon Stellung genommen.Damit könnte jeder alles für jeglichen Zweck sammeln. Nicht zuletzt deshalb fordern wir, und übrigens auch der Verbraucherzentrale Bundesverband die Streichung dieser Schutzlücke. Damit die Daten nicht einfach „umgewidmet“ werden können und dann im Adresshandel oder in Big Data-Datensilos landen, ohne dass wir irgendetwas davon mitbekommen.

Für die Experten: Der Rat möchte zusätzlich zu Artikel 6 Abs. 4 auch noch neuen einen Artikel 6. Abs. 3a einfügen. Dort ist eine nicht abgeschlossene Liste aufgeführt, aus man sich als Datenunternehmen einfach einen neuen Zwecke aussuchen kann, der dann „kompatibel“ mit weiterer Datenverarbeitung ist, so Max Schrems in seinem Blog.

Leaks sind noch nicht das Schlusswort

Natürlich sind geleakte Dokumente häufig nicht mehr als bloße Arbeitspapiereund bis sich alle Mitgliedstaaten geeinigt haben, können die entsprechenden Artikel schon wieder ganz anders aussehen. Aber der Ministerrat scheint gerade eine generell falsche Richtung in vielen Positionen einzuschlagen – und das obwohl die Bundesregierung sich doch nun mehrmals dazu bekannt hat, sich für mehr Datenschutz auf EU-Ebene einzusetzen.

Pseudonymisierung als Allheilmittel?

In einem Tweet vom Donnerstag machte Caspar Bowden auf ein bei Statewatch geleaktes Dokument vom Januar aufmerksam, in dem die Bundesregierung die Stärkung der Pseudonymisierung begrüßt uns ausbauen will. Das klingt erst einmal gut, aber das Problem: Der Re-Identifizierung sind auch nur sehr geringe Hürden gesetzt. So verkommt auch dieser Vorschlag nur zu einem Feigenblatt für den Datenschutz. Denn wenn Profile dann auf Grundlage von „berechtigtem Interessen“ der Datensammler personifiziert werden dürfen, ohne dass die Betroffenen das mitbekommt, ist auch niemandem geholfen. So wird aus Pseudonymisierung bloß ein Pseudo-Schutz.

Autor: Dennis Romberg
Bild: (Maik Meid, Lizenz: cc-by-sa)


Wir setzen uns für Datenschutz in Berlin und Brüssel ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.