Erstellt am: 27. 5. 2013 - 11:00 Uhr
EU-Ministerrat demontiert Datenschutzpaket
Das EU-Datenschutzpaket wurde im EU-Ministerrat in allen vorher auch im Parlament umstrittenen Punkten stark verändert. Aus der verpflichtenden Bestellung eines Datenschutzbeauftragten für Firmen ab 250 Mitarbeiter bzw. wenn dort sensible, personenbezogene Datensätze verarbeitet werden, wurde - wie berichtet - eine bloße Option.
Das diesbezügliche Ratsdokument vom 6. Mai, das ORF.at vorliegt, bestätigt diesen Sachverhalt nicht nur. Tiefgreifende Änderungen, die oft nur durch die Substitution eines einzigen Worts durch ein anderes erfolgen - aus "muss" wird "kann" - ziehen sich durch den gesamten, vom Ministerrat bearbeiteten Parlamentsentwurf.
xxx
"Legitime Interessen"
Österreich und eine Reihe weiterer Staaten haben gegen die gesamten ersten vier Kapitel des veränderten Entwurfs (Artikel 1 bis 37), Generalvorbehalt angemeldet. Von Frankreich abgesehen, sind das kleinere Staaten wie Finnland, Litauen und Schweden. Der auch im EU-Parlament bereits heftig umstrittene Artikel 38 (Verhaltensregeln) wurde in Anbetracht der "speziellen Bedürfnisse von Mikro- und Kleinunternehmen, sowie von mittelständischen Betrieben" im Rat überhaupt vollständig umgeschrieben.
"Um die Anwendung der in der Verordnung vorgesehenen Maßnahmen zu spezifizieren, sollen diese Verhaltensregeln durch Assoziationen und andere Körperschaften erarbeitet werden" heißt es denn im neuen Absatz 1a zu Artikel 38. Das betreffe "die legitimen Interessen des Datenhalters in bestimmtem Kontext" (aa) ebenso wie den "Gebrauch pseudonymer Daten" (ba).
xxx
Bäcker und Datenhändler
Mit "Datenhalter" ist hier nicht etwa der vielzitierte Bäcker um die Ecke oder ein mittelständischer Maschinenbauer gemeint. Hier geht es um Datenhändler, die Datensätze verschiedenen Ursprungs zu persönlichen Profilen zusammenführen. Es sind Adressverlage, Direktmarketer, Bonitätsauskunftsbüros, Kreditschutzverbände - also kleine bis mittelständische europäische Unternehmen, die im organisierten Handel mit personenbezogenen Daten tätig sind.
Das Ratsdokument 8004-13-2 wurde heute samt einer Analyse vom Nachrichtenportal Netzpolitik.org veröffentlicht. Alle Veränderungen durch den Rat sind durch Unterstreichungen gekennzeichnet, der generelle Prüfungsvorbehalt Österreichs findet sich auf Seite zwei.
Pseudonymisierte Datensätze gehören essenziell zu diesem Geschäft. Um Daten aus mehreren Quellen automatisch zusammenzuführen, werden in der Regel für personenbezogene Datensätze eigenen Ordnungszahlen vergeben.
Personenbezogene Pseudonyme
Besonders bei der Verarbeitung großer Datensätze ist eine Verknüpfung über eine individuell zugeordnete Identifikationsnummer wesentlich präziser, als eine Verknüpfung über Vor- und Nachnamen. Dabei handelt es sich weiterhin um personenbezogene Daten, auch wenn der Name der Person im Datensatz direkt nicht sichtbar ist.
Mit dieser Praxis werden schon seit Jahren die bestehenden Datenschutzgesetze systematisch unterlaufen, indem behauptet wird, diese Datensätze seien "anonymisiert" und fielen deshalb nicht unter den Datenschutz. Verkauft werden jedoch pseudonymisierte Daten, die über einen mitgelieferten Katalog von Ordnungszahlen in der Regel per Knopfdruck wieder personalisierbar sind.
Lobbys entwerfen Verhaltensregeln
Auch ohne diese ID sind personenbezogene Datensätze zu einem sehr hohen Prozentsatz wieder sicher zuordenbar. Wenn genug Einzeldaten pro Datensatz vorhanden sind, funktioniert ein solcher Abgleich ebenfalls.
Hinter diesem Beschluss, aus der verpflichtenden Bestellung eines Datenschutzbeauftragten eine bloße Möglichkeit zu machen, stehen - wie berichtet - Frankreich, Großbritannien, Holland, Italien, Polen, Spanien und mehrere kleinere Mitgliedsstaaten.
Die wolkig gehaltenen Formulierungen im neuen Text sagen einfach aus, dass die Datenhändler sämtliche Verhaltensregeln im Umgang mit den persönlichen Daten der EU-Bürger selbst ausarbeiten sollten. Diese von "Assoziationen" also den Lobbys erstellten "Regeln sollen dann den nationalen Datenschutzbehörden zur Überprüfung vorgelegt werden."
Meinungsabgabe statt Sanktionen
Im ebenfalls neu eingefügten Absatz 2 von Artikel 38 heißt es wörtlich: "Die Aufsichtsbehörde kann eine Meinung dazu abgeben, ob die (...) Verhaltensregeln dieser Verordnung entsprechen". Bei grenzüberschreitendem Datenhandel werden die Verhaltensregeln dem Beauftragten für Datenschutz der Union vorgelegt, der ebenfalls eine Meinung abgeben kann.
Nach Willen einer offenbaren Mehrheit im Ministerrat sollen die Datenhändler ihre Verhaltensregeln selbst bestimmen, national wie EU-weit wird den Datenschutzbehörden dabei statt Sanktionsmöglichkeiten ein Anhörungsrecht eingeräumt. Diese Tendenz zieht sich durch die gesamte Bearbeitung der Parlamentsvorlage durch den Ministerrat.
Einmalige Zustimmung zu allem
Von "verwässern" kann hier nicht mehr die Rede ein. Hier soll eine Regelung, die angesichts des unkontrollierten Wachstums im Handel mit personenbezogenen Daten dem Eigentümer dieser Daten ein Mitsprache- und Kontrollrecht einräumt, in ihr Gegenteil verkehrt werden.
Parallel zum Ministerrat wird das Richtlinienpaket auf parlamentarischer Ebene im dabei federführenden Innenausschuss behandelt. Für die Entscheidung Anfang Juni müssen dort 4.000 Änderungsanträge eingearbeitet werden.
Eine Mehrheit im EU-Ministerrat ist offenbar auch der Meinung, dass eine einmalige Zustimmung das Dateneigentümers - das ist eine natürliche Person - zu einer bestimmten Art der Verarbeitung der eigenen Daten genügt, um auch alle weiteren Datenmanipulationen automatisch zu genehmigen.
Am Beispiel eines Webshops
Bei der Bestellung in einem Webshop stimmt man zu, dass man in die Kundendatenbank des Shopbetreibers aufgenommen und benachrichtigt wird, sobald etwa Produkte, die den eigenen Interessen entsprechen, gerade im Sonderangebot erhältlich sind.
So weit stimmt denn auch noch die Analogie zum Bäcker um die Ecke, der eine Excel-Kundenliste führt, in der die Vorlieben des Kunden für bestimmte Backwaren vermerkt sind. So der Webshopbetreiber diese Datensätze jedoch noch völlig anders verwenden will, indem er sie samt den Daten aus dem Cookie im Browser seines Kunden mit anderen Anbietern "poolt", damit ein umfassendes Kundenprofil erstellt werden kann, dann ist der Sachverhalt völlig anders.
Dieser andere Anbieter kann ebenso auch ein großer Internetkonzern aus den USA sein, der weltweit Zigtausende solcher Webshops in seiner Cloud hostet.
Bäcker, Fleischhauer und Greißler
Das ist die Grundlage des Datenhandels im Web, während man doch eher selten davon hört, dass ein Bäcker, ein Greißler und ein Fleischhauer ihre Kundenlisten zusammenlegen, um einmal zu sehen, wie sich dieser oder jener gemeinsame Kunde denn insgesamt so ernährt.
Dass sich die vom Ministerrat solchermaßen umgestaltete parlamentarische Verordnung zu einer europäischen Datenschutzregelung streckenweise wie ein Anleitung zur Einrichtung einer Datenfreihandelszone liest, ist offenbare Absicht.
"Der freie Fluss personenbezogener Daten"
Eine weit vorne eingefügte Präambel sagt unmissverständlich, wie die Prioritäten gesetzt werden. Das in der EU-Charta und in fast jeder nationalen Verfassung garantierte Grundrecht jeder Person auf Kontrolle über die eigenen Datensätze wird gegenüber den Partikularinteressen eines obendrein relativ kleinen Teils der Gesamtwirtschaft hintangestellt.
Auf Seite sieben heißt es, ebenso wörtlich übersetzt: "Um ein richtiges Funktionieren des Binnenmarkts zu gewährleisten, ist erforderlich, dass der freie Fluss personenbezogener Daten unter den Mitgliedsstaaten in Bezug auf den Schutz des Individuums betreffend die Verarbeitung seiner persönlichen Daten, nicht beschränkt oder verboten wird."