Es ist etwas ruhig geworden um die EU-Datenschutzverordnung in der Öffentlichkeit. Gefährlich ruhig, möchte man fast sagen, wenn man sich die Vorschläge des Innenministeriums anschaut mit dem es in die Verhandlungen mit dem EU-Ministerrat treten will und zu denen wir in den vergangenen Wochen Stellung genommen haben.

Kurzer Rückblick

Die Datenschutzverordnung soll ein einheitliches Datenschutzrecht in Europa schaffen, das für uns alle gleichermaßen gilt. Ein Mammutvorhaben, das schon seit 2012 diskutiert wird. Die Kommission und das europäische Parlament haben ihre Meinungsbildung schon abgeschlossen, im Moment diskutiert der Ministerrat noch. Dort sitzen die für den Datenschutz zuständigen Minister der Länder und bringen die Positionen ihrer Länder ein. Für Deutschland sind das BMI und das BMJV zuständig. Danach verhandeln dann alle drei, also Kommission, Parlament und Rat im sogenannten Trilog. Bisher hat sich der Rat allerdings noch nicht auf allzuviel geeinigt, lediglich der Geltungsbereich, umstrittene Ausnahmen für den öffentlichen Sektor und Kapitel 4, das sich mit technischen Schutzmaßnahmen, Auftragsdatenverarbeitung und Dokumentation von Datenverarbeitung befasst, sind im Ministerrat abgestimmt.

Deutschlands Stimme hat im Ministerrat einiges Gewicht, wenn es um Datenschutz geht. Das gilt auch für die Gesetzesregelungen zum „Profiling“ und zur „Zweckänderung“, zu denen wir in den letzten Wochen eine Stellungnahme abgegeben haben. Und wir hatten einiges zu kritisieren an den Vorschlägen der beiden Ministerien. Damit wären nämlich Ausnahmen so groß wie Scheunentore in die Verordnung gekommen.

Zweckbindung oder Zweckänderung?

Stellen Sie sich vor, Sie sind ein großes Unternehmen, das bestimmte Daten sammeln muss, weil Sie dazu gesetzlich verpflichtet sind. Ein großer Versandhändler zum Beispiel. Dann brauchen Sie die Rechnungsadressen ihrer Kundinnen und Kunden und müssen zusätzlich auch deren Bankdaten haben und steuerrechtlich speichern. Soweit, so normal. Diese Daten erheben Sie zu einem bestimmten Zweck, nämlich zur Erfüllung eines Vertrages. Wenn Sie jetzt die Daten Ihrer Kundinnen und Kunden anders verwenden wollen und noch mehr Daten verwenden wollen, etwa um Kundenprofile anlegen zu können, brauchen Sie eigentlich deren Einwilligung. Soweit, so logisch. Nicht aber, wenn es nach dem Innen- und Justizministerium geht, die wollen nämlich den Art. 6 (4), beibehalten und ausweiten. Ein Versandhändler könnte dann einfach ein „berechtigtes Interesse“ an der Weiterverwendung der Daten seiner Kundinnen und Kunden angeben und diese zu Profilen zusammenfassen, für Marketingzwecke verkaufen oder oder oder. Der Phantasie sind da keine Grenzen gesetzt, denn ein „berechtigtes Interesse“ kann ja jeder, der Daten verarbeitet, behaupten.

Übrigens war das EU-Parlament da sehr viel umsichtiger und hat den Artikel 6 (4) ganz gestrichen. Daran sollten sich Deutschland und der Ministerrat ein Beispiel nehmen.

Schutz vor Profiling?

Das Anlegen von Profilen, das sogenannte Profiling, war Gegenstand einer weiteren Stellungnahme. Hier haben die beiden Ministerien einfach das umstrittene „Listenprivileg“ für die deutsche Verlegerbranche wieder eingeführt, von dessen Auswirkungen, nämlich dem Adresshandel und der darausfolgenden Werbung sich laut Wikipedia 95 % aller Menschen in Deutschland belästigt fühlten.

Außerdem sollte das Profiling mit pseudonymen Daten generell erlaubt sein. Also sehr umfassende Auswertungen vom Surfverhalten, Bewegungsprofile und vieles mehr, so lange diese Profile keinen bestimmten Namen von Personen tragen. Aber sowohl Surfverhalten als auch Bewegungsprofile der meisten Menschen ist einzigartig und verrät sehr viel über uns. Deshalb hat auch schon unsere europäische Dachorganisation EDRi den Paragraphen zum Profiling kritisiert: Auf der Basis von 300 Facebook-Likes war es Forschern möglich, die Ergebnisse eines Persönlichkeitstests von Menschen besser vorherzusagen als deren Familienangehörigen oder Ehepartnern. Damit wir in Zukunft weder online noch offline bis in die letzten Winkel unserer Persönlichkeit ausgeforscht werden, vorherbestimmt werden und auf solcher Basis bei Versicherungen, Banken und vielen anderen diskriminiert werden, darf ein Profiling nur nach expliziter Zustimmung erfolgen – und muss genauso gut abgelehnt werden können, ohne Nachteile.

Downloads:

Weiterführende Links:

Autor: Dennis Romberg
Bild: Geralt CC0.


Wir setzen uns für Datenschutz in Berlin und Brüssel ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.

Veröffentlicht am 20.01.2015

Marktstraße 18
33602 Bielefeld

Spendenkonto
IBAN: DE66 4805 0161 0002 1297 99
BIC: SPBIDE3BXXX
Sparkasse Bielefeld