EU-Datenschutzverordnung: So nicht!

Die europäische Datenschutz-Grundverordnung wird die Zukunft des Datenschutzes in der Europäischen Union bestimmen. Die Verordnung wird direkt maßgeblich für den Datenschutz aller Länder der EU sein, denn sie gilt unmittelbar und soll noch dieses Jahr verabschiedet werden. EU-Kommissarin Viviane Redding hatte im Januar 2012 einen grundsätzlich positiven Vorschlag vorgelegt. Die Idee war es den Datenschutz deutlich zu verbessern und europaweit endlich ordentlich durchzusetzen.

Deutschland hat im Ministerrat eine entscheidende Rolle

Das EU-Parlament hat schon 2013 seine Änderungen eingebracht. Die Mitgliedsstaaten (im Rahmen des Rats) haben lange nichts weiter gebracht. Gerade Deutschland (zuständig war Innenminister Friedrich) hat laut allen bekannten Aussagen „blockiert“ und versucht das Datenschutz-Niveau zu senken, während öffentlich von der Notwendigkeit des Schutzes des „hohen deutschen Datenschutzniveaus“ gesprochen wurde.

Nun zeigt ein am 19. Dezember 2014 auf dem Blog "Statewatch" geleaktes Dokument mit der Nummer 15395/14 den aktuellen Verhandlungsstand im Rat, der in vielen Punkten deutlich unter das Niveau der aktuellen Richtlinie (95/46) geht. Also genau das Gegenteil von dem macht, für das die Reform eingeläutet wurde. Aus den Fußnoten ergibt sich, dass gerade die Beamten des deutschen Innenministeriums, welche die Verhandlungen für Deutschland führen, durch besonders viele und tiefgreifende Absenkungen des Datenschutzniveaus auffallen.

Die EU-Kommission, das Parlament und der Rat müssen sich, sobald der Rat mit seinem Vorschlag fertig ist, im Rahmen des „Trilogs“ auf die finale Version einigen. Der Rat ist hier besonders stark.

Beispiele für Veränderungen in der Datenschutzverordnung:

• Die bisher vorgesehene „explizite“ Zustimmung („Opt-In“) wurde durch eine Definition ersetzt, bei der auch eventuell sogar nur durch die „Nutzung einer Webseite“ oder durch eine, vielleicht sogar nur versteckt angebrachte, Klausel eine Nutzerin oder Nutzer „zustimmen“ kann.
• Das Prinzip der „Datenminimierung“ stellte bisher sicher, dass Daten, wenn diese nicht mehr gebraucht werden gelöscht werden. Das Prinzip wurde vollkommen gestrichen. Damit ist dem hemmungslosen Verarbeiten von insbesondere „Big Data“ Anwendungen, welche unzählige Daten verketten könnten, Tür und Tor geöffnet.
• Die „Zweckbindung“ stellte bisher sicher, dass Daten immer nur für jenen Zweck verwendet werden, für den Betroffene diese übergeben haben (z.B. Gesundheitsdaten für die Behandlung, nicht für Werbung). Das Prinzip ist mit einer großen Ausnahme versehen worden, das eine Weiterverwendung der Daten für sachfremde Zwecke explizite erleichtet macht. Auch hier könnten vor allem „Big Data“ Anwendungen Daten weiter verketten.
• Die Informationspflichten und viele anderen Pflichten von Unternehmen sollen nur noch „risikobasiert“ gelten. Dabei bleibt es den Unternehmen überlassen das „Risiko“ ihrer Tätigkeiten selbst einzuschätzen.
• Das Auskunftsrecht der Nutzerinnen und Nutzer, erlaubte bisher kostenlos einen Überblick über die Datenverwendung eines Unternehmens zu bekommen und Fehlverhalten aufzudecken. Unternehmen dürfen dafür fortan vollen Kostenersatz verlangen. Nur wenn die Daten strukturiert, in einem allgemein genutzten Format vorliegen (was bei großen Datenhändlern selten der Fall sein wird) bleibt die Auskunft kostenlos. Hier werden sich Menschen eher scheuen, nach der Speicherung und Verwendung ihrer Daten anzufragen.
• Die bisher gesetzlich vorgeschriebenen Datenschutzbeauftragten werden freiwillig.
• In vielen Bereichen wird durch sehr vage, in der Praxis undurchführbare, Bestimmungen („Gummiparagraphen“) die Rechte der Nutzer massiv beschränkt. Selbst Juristen können nicht erklären, was hier legal und illegal ist – noch weniger können das einfache Nutzerinnen und Nutzer. Der "billig und gerecht denkende Mensch" wird abgehängt.
• Durch massive und großzügige Ausnahmebestimmungen, wird Unternehmen erlaubt, selbst die noch existenten Rechte im Einzelfall unanwendbar zu machen.

Vieles davon ergibt sich leider erst durch einen aufwendigen Vergleich mit dem ursprünglichen Vorschlag der „Datenschutzgrundverordnung“, mit dem BDSG oder der aktuellen Datenschutzrichtlinie aus 1995, da in den geleakten Dokument Löschungen nur mit „…“ verzeichnet sind und Ersetzungen ohne Darstellung des Originaltexts erfolgen.

Hier zeigt sich, dass die Öffentlichkeit in Deutschland verstärkt den Blick nicht nur nach Europa, sondern auch auf das Geschehen in deutschen Ministerien richten muss. Hier ist öffentlicher Druck notwendig.

Wir danken Max Schrems für die Recherche.
Website „Europe versus Facebook“.

Weitere Informationen

Profite und Profiling auf Kosten des Datenschutzes.

[Text aktualisiert am 29.01.2015: Teaser geändert und Text aktualisiert am 30.01.2015: Änderung der 1. Überschrift von: "Deutschland arbeitet in der EU gegen den Datenschutz"]