Darüber diskutierten im Ausschuss für digitale Agenda des Bundestages unter anderem die Datenschutzbeauftragten Andrea Voßhoff und Dagmar Hartge, Jan Oetjen, Vorstandsmitglied des Internet-Dienstleisters United Internet AG und die österreichische Expertin für Datenschutz Waltraut Kotschy.

Als die EU 1995 die EG- Datenschutzrichtlinie 95 beschloss, war das Internet vielleicht nicht mehr „Neuland“ aber wohin die Entwicklungen der Digitalisierung führen würden, war noch nicht absehbar. Nach fünf Jahren Verhandlungen und Trilogen hat die EU- Kommission nun einen Vorschlag  für eine EU-weite Datenschutzgrundverordnung mit dem Ziel eines einheitlichen Datenschutzes ausgearbeitet. Die intensiv diskutierte Verordnung wird Mitte des Jahres im Amtsblatt der Europäischen Union verkündet werden und 2018 in Kraft treten. Viele Teile der bisherigen Datenschutzrichtlinie werden nur weiterentwickelt, doch es gibt auch neue Passagen.

Neuheiten:

Der wesentliche Unterschied zur EU-Datenrichtlinie und ihrer Ergänzung von 2008 besteht darin, dass es sich um eine Verordnung handelt. Im Gegensatz zu einer Richtlinie, die nur allgemeine Ziele vorgibt und die Umsetzung den Mitgliedstaaten überlässt, regelt eine Verordnung auch Details der Umsetzung.

Eine entscheidende Neuerung ist die Einführung des Marktortprinzips. Wer seine Dienste in der Europäischen Union anbietet, unterliegt fortan den Richtlinien der europäischen Datenschutzgrundverordnung, unabhängig davon, wo der Unternehmenshauptsitz sich befindet. Bei Nichteinhaltung der Datenschutzgrundverordnung drohen den Unternehmen künftig auch empfindliche Strafen. Das Bußgeld kann bis zu 4% des Jahresumsatzes weltweit betragen.

Außerdem soll das One-Stop-Shop-Prinzip gelten: Jeder Bürger und jedes Unternehmen soll sich nur noch an die Datenschutzbehörde seines Landes wenden müssen. Dies bedeutet eine gleichzeitig zentrale und dezentrale Struktur: Jeder Mitgliedsstaat wird eine eigene Aufsichtsbehörde haben und kann weitere auf föderaler Ebene (wie in Deutschland mit den Landesdatenschutzbeauftragten) einführen. Bei übergeordneten Fragen treffen diese dezentralen Behörden dann eine gemeinsame Entscheidung auf EU-Ebene: dem European Data Protection Board. Dieser Rat wird für die gesamte europäische Union verbindliche Entscheidungen treffen.

Wer Deutschland in diesem Gremium vertreten darf, darüber wird schon heute diskutiert. Aufgrund der föderalen Struktur Deutschlands erheben sowohl die Datenschutzbeauftragte des Bundes Andrea Voßhoff, als auch die Datenschutzbeauftragten der Länder Anspruch auf die Vergabe des Platzes.

Erstmals werden Kinder in der Datenschutzgrundverordnung genannt, ihr Schutz wird besonders betont. Unternehmen sollen verpflichtet werden, Informationen und Hinweise in kindgerechter Sprache bereitzustellen, die Zustimmung des Trägers der elterlichen Verantwortung wird  dabei zwingend notwendig sein. Wer noch Kind ist, bleibt aber den Mitgliedstaaten selbst überlassen. Die Altersobergrenze von 16 Jahren, die die EU in der Datenschutzgrundverordnung vorschlägt, kann bis auf 13 Jahre heruntergesetzt werden.

Alles neu?

Nein. Große Teile der schon bestehenden Datenschutzrichtlinie werden nur modernisiert oder ergänzt. Unter anderem das Prinzip der Einwilligung zur Verwendung der Daten. Die Einwilligung muss in Zukunft unzweifelhaft erfolgen, das würde zum Beispiel bedeuten, dass ähnlich wie bei der Zustimmung zu den Allgemeinen Geschäftsbedingungen ein Häkchen gesetzt werden muss. Auch die Information zu welchem Zweck und wie die Daten verarbeitet werden, soll zukünftig ähnlich wie bei den AGB ablaufen: erkennbar, klar, verständlich und ohne unangemessene Klauseln soll die Einwilligungserklärung sein. Das Problem, das Jan Oetjen, Vorstandsmitglied Consumer Applications, United Internet AG, hier beschreibt, sehen wahrscheinlich viele: Ein „Zuviel“ an Transparenz, führt schnell dazu, dass angeklickt wird ohne zu lesen. Wer zu sechs verschiedenen Verwendungszwecken zustimmen muss und jeweils mehrseitige Dokumente lesen soll, wird spätestens ab dem dritten Kreuz einfach nur zustimmen.

Die EU schreibt auch fest, dass es keine „Globalzustimmung“ für weitere Verarbeitungen der Daten geben darf. Für jede neue Verarbeitung, die nicht in direktem Zusammenhang mit dem ursprünglichen Grund steht, muss eine neue Einwilligung erfragt werden.

Modernisiert wurde auch das “Betroffenenrecht”: Die Verarbeiter haben nun eine „Informations- und Transparenzpflicht“ gegenüber dem Betroffenen. Es muss klar erkennbar sein wer, wo, zu welchem Zweck, wann, welche Daten verarbeitet. Zudem wurde das sogenannte „Recht auf Vergessenwerden“ in der Datenschutzgrundverordnung noch einmal aufgegriffen. Personenbezogene Daten sollen nicht dauerhaft zur Verfügung stehen und auf Verlangen des Betroffenen gelöscht werden.

Zukünftig kann ein Nutzer auch der Verarbeitung seiner Daten für Werbung, Statistiken und zu Zwecken der historischen und wissenschaftlichen Forschung widersprechen. Während in Deutschland die Möglichkeit zur Abmeldung von Werbe-Newslettern schon rechtlich verbindlich ist, stellt das eine Neuerung in manchen EU-Staaten dar.
Um künftig den Wechsel von einem Anbieter zu einem anderen zu erleichtern, soll die Datenportabilität vereinfacht werden, d.h., wer von einem E-Mailanbieter zu einem anderen wechseln möchte, soll zukünftig zum Beispiel einfacher sein Adressbuch übertragen können.

Künftig wird es auch eine neue Art der Selbstregulierung geben: Statt Vorgaben durch die Politik sollen die Unternehmen einen Code of Conduct, also Verhaltensregeln für sich selbst entwickeln und eine Art Zertifizierung für die Datenverarbeitungsvorgänge erarbeiten. Genau diesen Code of Conduct kritisierte allerdings die österreichische Datenschutzexpertin Waltraut Kotschy im öffentlichen Fachgespräch des Ausschusses für die Digitale Agenda im Bundestag. In Österreich hätte man die Erfahrung gemacht, dass  Code of Conducts von der Wirtschaft eher als „Fremdkörper“ empfunden würden und kein Enthusiasmus der Unternehmen zu erwarten wäre, solche Verhaltensregeln zu entwickeln.

Des Weiteren wird der Artikel zur Übermittlung von Daten an Drittstaaten geändert. Besonders Artikel 43a stellt eine Neuerung dar. Dieser legt fest, dass personenbezogene Daten künftig nur dann an Drittstaaten weitergegeben werden dürfen, wenn dies im Zuge einer internationalen Übereinkunft, wie etwa einem Rechtshilfeabkommen zwischen dem Drittstaat und einem Staat der Europäischen Union geschieht. Von eben jener Klausel fordert Großbritannien nun für sich eine Ausnahme. Demnach sein die Folgen eines solchen Bail Opt-Outs [korr., 07.03.2016]  laut der Experten nicht abschätzbar.

Woran die EU nicht rührt

Die Datenschutz-Grundverordnung bezieht sich auf die Verarbeitung von personenbezogenen Daten durch Unternehmen und öffentliche Stellen, nicht aber auf die Verarbeitung durch Ermittlungsbehörden. Für die Polizei und Strafverfolgung gilt weiterhin der Rahmenbeschluss von 2008, der jedoch novelliert werden soll. Auch die ePrivacy Richtlinie, die telekommunikationsspezifische Regelungen zum Datenschutz zwischen Privatpersonen betrifft, wird vorerst bleiben, soll aber ebenfalls erneuert werden.
Ebenso bleiben die Prinzipien Rechtmäßigkeit, Transparenz, Fairness, Zweckbindung, Datensparsamkeit, Richtigkeit und Begrenzung der Speicherdauer bestehen. Sie wären in Brüssel „zu keiner Zeit umstritten“ gewesen, wie Peter Schantz beteuert, der die Verhandlungen für das Bundesministerium des Inneren begleitet hat. Ergänzt werden diese Prinzipien zukünftig durch die Punkte Integrität, Vertraulichkeit und Verantwortlichkeit.

Glänzende Datenschutzzukunft?

Das steht noch nicht fest. Vor allem die vielen Öffnungsklauseln, die den Mitgliedstaaten eigene Regelungen erlauben, werden kritisch gesehen. Was einerseits eine Möglichkeit für Deutschland ist, seine hohen Standards im Datenschutz beizubehalten, steht möglicherweise einer Umsetzung des ursprünglichen Zieles im Wege: ein einheitliches europäisches Datenschutzrecht.

Wichtige andere Punkte, wie die Pseudonymisierung von Daten, werden in der Datenschutzgrundverordnung nur punktuell aufgegriffen, auch Waltraut Kotschy bemängelt dies. Pseudonymisierungsverfahren seien nicht einfach und für Anbieter teuer und aufwendig. Ohne klare Anreize sei eine Ausbreitung der Verfahren eher unwahrscheinlich.

Ähnlich sieht es mit Profiling aus. Bei Profiling werden verschiedenste Informationen zusammengetragen um daraus ein detailliertes Profil zu Nutzerpräferenzen, aber auch finanziellen Verhältnissen oder ähnlichem zu erstellen. Außer einer eher symbolischen Erwähnung im Text findet sich wenig zu Profiling. Auf eine Definition wird gänzlich verzichtet und es wird letztlich wohl bei der Fortführung der Einzelfallentscheidung, wann Profiling angemessen ist und wann nicht, bleiben. Gleichzeitig hat Deutschland, wie auch beim Arbeitnehmerschutz und vielen anderen Themen, die Möglichkeit eigene nationale Gesetze zu erlassen bzw. zu bestätigen.

Wohin die Reise der Datenschutzgrundverordnung also noch führen wird, bleibt offen. Der Grundton der Aussagen scheint bisher verhalten positiv, abzuwarten ist, wie die Öffnungsklauseln von den einzelnen Staaten genutzt werden. Das Ziel eines einheitlichen europäischen Datenschutzes wird wohl nur bedingt erreichbar sein. Die schier unendliche Zahl der unbestimmten Rechtsbegriffe, die von den Mitgliedstaaten zu definieren sind, erschweren dieses Ziel noch weiter. Vieles, wie das erwähnte Profiling, muss individuell von den Mitgliedstaaten in Balance gebracht werden. Und angesichts des schnellen technologischen Wandels, den die Datenschutzgrundverordnung reglementieren soll, bleiben die Worte der Landesbeauftragten für Datenschutz in Brandenburg Dagmar Hartge präsent: „Was heute eine schöne Lösung ist, kann morgen schon keine mehr sein“.

Bild: EDPS 2011 unter Lizenz: CC BY-SA 4.0

Beim Einkaufen im Internet, der Eingabe in das Navigationssystem, einer Überweisung vom Konto, einem Telefonat mit dem Geschäftspartner oder der Interaktion in sozialen Netzwerken. Bei fast allen Tätigkeiten der Moderne entstehen große Daten-Mengen, die zu groß oder zu komplex sind, um sie mit klassischen Methoden der Datenverarbeitung auszuwerten. Es entsteht Big Data. Akteure wie staatliche Einrichtungen, Geheimdienste aber auch Wirtschaftsunternehmen, die Zugriff auf solche Datenmengen haben, können Rückschlüsse auf die Menschen und ihr Verhalten ziehen. Es besteht ein Machtgefälle zwischen Staat und BürgerInnen, ebenso wie zwischen Unternehmen und VerbraucherInnen, sagte Peter Schaar, Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz, in der Berliner Datenschutzrunde am 24. März in Berlin. Das erwartete „Internet der Dinge“ würde die Möglichkeit, sich dieser Datensammlung zu entziehen, erschweren oder wohl gänzlich verhindern. Eine Rückkehr zu einem Datenaufkommen von 1969 (Mikrozensusbeschluss) oder 1983 (Volkszählungsurteil) ist ausgeschlossen und ein Rückbau nicht mehr möglich. Deshalb benötige es eine gute Moderation und Regelung der Daten und ihrer Verwendung.

Profilbildung ist alltäglich und sollte nicht dämonisiert werden, forderte der Jurist Niko Härting. Bei der Speicherung der Daten gelte grundsätzlich das deutsche Datenschutzrecht. Wichtig bei der Auswertung der Daten seien jedoch Regulierungen für die Auswertenden. Es müssten klare Transparenzanforderungen an die Verarbeitung gestellt werden, auf der anderen Seite aber bei den kontrollierenden (Datenschutz-)Behörden auch entsprechender Sachverstand angesiedelt sein. Weiterhin müsse der Verbraucherschutz gesichert sein und Schutz vor Diskriminierung und Manipulation bestehen. Das soziale Netzwerk Facebook hat beispielsweise Anfang 2013 die Nutzereinträge vorgefiltert, um die Ausbreitung von Emoticons zu testen. Dafür wurden Nachrichtenströme hunderttausender NutzerInnen modifiziert. Die Datenverwendungsregeln von Facebook lassen ein solches Vorgehen zu.

Ohne Big Data keine wirtschaftliche Prosperität

Auch im Bereich der Medizin und der Mobilität spielen Daten in Zukunft eine wichtige Rolle. Moderne Autos sammeln bereits jetzt eine Vielzahl an Daten, ob beim Multimediasystem oder der Einparkhilfe. „Ohne Big Data wird es keine wirtschaftliche Prosperität geben!“, betonte der parlamentarische Staatssekretär des Bundesinnenministeriums Ole Schröder. Er ist mitverantwortlich für das IT-Sicherheitsgesetz, das zurzeit erarbeitet wird. Für die Bildung von Profilen seien keine gesonderten Regelungen vorgesehen. Man müsse jedoch die Nutzung reglementieren. Die alten Datenschutzrichtlinien der Datensparsamkeit und –Vermeidung seien in Gänze nicht mehr zeitgemäß und müssten um neue Ansätze der Anti-Diskriminierung und –Manipulation sowie Transparenzregeln ergänzt werden.

„Einwilligung ist der Fetisch des Datenschutzes“

Grundsätzliche Kritik bereits an der Bildung von Profilen übte Michaela Schröder von der Verbraucherzentrale Bundesverband. Bisher fehle es an konkreten Definitionen von privaten und öffentlichen Daten. NutzerInnen hätten keinen Überblick mehr, wer auf ihre Daten zugreifen kann und wie diese genutzt werden. Viele Menschen sehen Facebook als privaten Raum an, Informationen von dort sind jedoch zum Teil über Suchmaschinen zu finden. Es gibt bereits die juristische Unterscheidung zwischen unsensiblen und sensiblen Daten (wie z. B. zu Gesundheit oder Sexualleben). Letztere unterliegen strengen Schutzbestimmungen. Jedoch ermöglich unsensible Daten den Schluss auf sensible. So konnten Analysten einer Einzelhandelskette durch das Kaufverhalten einer Kundin darauf schließen, dass diese schwanger war. Zusätzlich zu technischen Schutzregelungen bedürfe es deshalb der Einwilligung der NutzerInnen über die Profilbildung. Diese müsse dabei jedoch so erklärt sein, dass die Personen verstünden, was sie zustimmen und welchen Nutzen sie daraus ziehen. Dem widersprach Härting: Für ihn ist die „Einwilligung der Fetisch des Datenschutzes“, denn sie habe nicht den Effekt, den sie verspreche.

Grundsätzlich würden sehr wenige NutzerInnen auf darauf achten, wie Unternehmen ihre Daten verwenden. Die NutzerInnen würden den Dienst auswählen, der ihnen den größten Vorteil bringt und den besten Service bietet, der Datenschutz sei dabei nachrangig. Neben der Wirtschaft erhebt auch die Öffentliche Verwaltung eine Vielzahl und in großen Mengen Daten. Diese sollen nun unter anderem zur Vorhersage von Verbrechen genutzt werden – Predictive Policing genannt. Der Berliner Datenschutzbeauftragte Alexander Dix mahnte deshalb auch, dass nur weil Profilbildung vielerorts möglich sei, man dies nicht zwangsläufig auch zulassen müsse. Für Bedingungen und Regelung zur Datensammlung müsse der Gesetzgeber tätig werden.

Bild: mikael altemark