Standort: fm4.ORF.at / Meldung: "EU-Ministerrat zerpflückt Datenschutzverordnung"

Musik, Film, Heiteres

Erich Möchel

Netzpolitik, Datenschutz - und Spaß am Gerät.

6. 1. 2015 - 19:00

EU-Ministerrat zerpflückt Datenschutzverordnung

Ein von der Öffentlichkeit weitgehend unbeachtetes Leak zeigt im Volltext den aktuellen Verhandlungsstand zur neuen Datenschutzverordnung im EU-Ministerrat.

Der "ambitionierte Zeitplan" der neuen EU-Kommission für die Finalisierung der Datenschutzverordung wird nicht halten. Wie der kurz vor Jahreswechsel geleakte Verhandlungsstand im EU-Ministerrat zeigt, herrscht dort alles andere als Einigkeit. Die neue Version des Ministerrats enthält so viele nationale Vorbehalte, dass eine schnelle Einigung unwahrscheinlich ist. Alleine Österreich hat mehr als zwei Dutzend grundsätzlicher Vorbehalte zu einer ganzen Reihe von Passagen angemeldet.

Zu den seit Anbeginn besonders umstrittenen Strafmaßnahmen bei wiederholten und schweren Datenschutzverstößen gibt es noch überhaupt keine brauchbare Textvorlage, sondern nur Bruchstücke. Was den konsolidierten Teil des nun geleakten Texts betrifft, so zeichnet sich jedoch bereits eine Linie ab. Anders als der vom EU-Parlament im Frühjahr mit großer Mehrheit akkordierte Text weist die neue Ministerratsversion mittlerweile erste Schlupflöcher für den Datenhandel durch Telekoms und Internetkonzerne auf.

Start der Trilog-Verhandlungen gefährdet

Angesichts von 232 Seiten Text, der mit Vorbehalten aus den verschiedensten Mitgliedstaaten nur so gespickt ist, steht der für das zweite Quartal 2015 geplante Start der Trilog-Verhandlungen sehr in Frage. Im sogenannten Trilog werden unter Beiziehung der Kommission jene legistischen Vorhaben behandelt, auf die sich Rat und Parlament nicht einigen konnten. Der Trilog kann allerdings erst starten, wenn eine Ratsversion fertig vorliegt, und das kann dauern.

Im Oktober hatte der Ministerrat in einer öffentlichen Sitzung seine Version von Kapitel vier der Verordung präsentiert. Die neue EU-Kommission hatte zur selben Zeit bei ihrem Amtsantritt eine Frist bis zur Behandlung im Trilog von nur sechs Monaten angegeben.

Gleich der erste vom Rat in den Parlamentstext eingefügte Satz in den einleitenden "Recitals", die Ziel und rechtlichen Rahmen der Verordung schildern, ist sypmtomatisch. "Das Recht auf den Schutz der persönlichen Daten ist kein absolutes Recht", heißt es da, vielmehr müsse dieses Recht in seiner gesellschaftlichen Funktion gesehen und mit anderen Grundrechten abgewogen werden. (Rec 3a, S. 3).

Ministerratsversion der Datenschutzzverordnung Recital drei

Public

Grundrechte und Ökonomie

Welche anderen Grundrechte da dem Recht auf die eigenen persönlichen Daten entgegenstehen könnten, wird nicht näher ausgeführt. Allerdings findet sich in der anschließenden Aufzählung der Grundrechte wie dem auf freie Meinungsäußerung auch das Recht darauf "ein Geschäft zu betreiben". Und gegen dieses Recht auf Geschäftemacherei wird das Grundrecht auf Schutz und Integrität der persönlichen Daten in Folge abgewogen. Um einen funktionierenden Binnenmarkt zu gewährleisten, dürfe der freie Fluss persönlicher Daten aus Gründen des Datenschutzes weder beschränkt, noch verboten werden, heißt es weniger abwägend als apodiktisch in Recital 11.

Ratsdokument mit dem Verhandlungsstand zur Datenschutzverordnung

Public

Die unterstrichenen Passagen wurden vom Ministerrat mehrheitlich akkordiert und neu hinzugefügt, der übrige Text stammt aus der Parlamentsversion.

Pseudonymisierte Daten

In Recital 23 wiederum wird zwar richtig erkannt, dass pseudonymisierte Daten durch weitere Abgleichung wieder einer Person zugeordnet werden könnten. Im organisierten Datenhandel war dies lange systematisch ausgenützt worden, indem pseudonymisierte einfach zu "anonymisierten Daten" erklärt wurden. Die europäischen Datenschutzgesetze wurden damit systematisch umgangen, da anonyme Daten ja nicht darunter fallen.

EU-Ministerrat Definition von Pseudonymisierten Daten. Artikel 4, 3b

Public

Auch diese Definition von pseudonymisierten Daten in Artikel vier, Absatz 3b, ist großteils fett gedruckt, also nicht akkordiert.

Rund um die Speicherung der Daten von Flugpassagieren wurde mit der Pseudonymisierung besonders viel Schindluder getrieben. In den als "maskiert" bezeichneten Datensätzen wurden nur Namen und Adressen der Passagiere nach 30 Tagen nicht mehr automatisch angezeigt, sondern mussten extra abgerufen werden.

Doch auch 2014 soll diese Möglichkeit, pseudonymisierte Datensätze unter bestimmten Umständen wie anonyme Datzensätze zu behandeln, nach Willen des Ministerrats bestehen bleiben. Dazu wird "identifizierbar" als neues Kriterium eingeführt und ein wirtschaftliches Argument bemüht. Für die Beurteilung, ob die jeweiligen pseudonymisierten Datensätze einer Person zuordenbar sind, müssten "alle objektiven Faktoren" einbezogen werden, namentlich "Kosten- und Zeitaufwand für eine solche Identifikation". Im nächsten Satz werden dann Daten, die nicht "identifizierbar" sind, zu "anonymen Daten" erklärt, die nicht unter die Datenschutzverordung fallen. (Rec 23)

Zustimmung und Stillschweigen

Anders als in den einleitenden "Recitals", die rechtlich zwar nicht bindend sind, aber einen Eindruck vermitteln, in welche Richtung das gesamte Vorhaben geht, ist die Ratsversion des eigentlichen Texts der Datenschutzverordung noch nicht stabil genug, um durchgehend eindeutige Aussagen darüber zu treffen. Anhand der Anhäufungen von Vorbehalten zu bestimmten Passagen lässt sich allerdings schon absehen, dass es weitgehend die gleichen Abschnitte sind, an denen sich schon die Kontroversen im Parlament entzündet hatten.

Ein besonders wichtiger Punkt der Verordnung ist die Zustimmung des Inhabers zur Verarbeitung seiner Daten, im Parlament gab es hier mehrere Versuche, die einmalige Zustimmung zu einer bestimmten Art von Verarbeitung zu pauschalisieren und sillschweigend auf die Erstellung von Benutzerprofilen sowie deren Verkauf auszuweiten.

Im Mai 2013 war die EU-Datenschutzreform in ihre heiße Phase getreten. Im federführenden parlamentarischen Innenausschuss LIBE mussten die Berichterstatter insgesamt 4.000 Änderungsanträge auf einen brauchbaren Umfang reduzieren.

Was Profiling ist

In Artikel 20 zeigt sich die Instabilität des Verordnungstexts bereits im Schriftbild ganz deutlich, nicht einmal die grundsätzliche Definition von Profiling ist derzeit akkordiert. Die fett und unterstrichen markierten Teile des Texts sind neu und noch nicht abgestimmt, die unterstrichenen Passagen haben eine Mehrheit im Ministerrat, die nicht markierten Wörter stammen aus der Parlamentsversion.

EU Ministerrat Datenschutzverordnung Artikel 20

Public

Gegen den gesamten Artikel gibt es acht nationale Vorbehalte, neben Österreich haben auch Deutschland, Spanien, Frankreich, Polen, Schweden und Großbritannien hier Prüfvorbehalte eingelegt. Das Urteil der Kommission über die Qualität von Artikel 20 ist ziemlich eindeutig: "Das Datenschnutzniveau diese Artikelentwurfs fällt hinter jenes der Datenschutzrichtlinie von 1995 zurück" (Fußnote 204 zu Artikel 20).

Kapitel vier kaum verändert

Das bereits im Oktober offiziell veröffentlichte Kapitel vier, das die Verpflichtungen der Datenverarbeiter regelt, ist anscheinend nicht oder kaum verändert worden. Die Einschätzung, wie mit "hochriskanten Daten" umzugehen ist - vor allem Gesundheitsdaten fallen in diese Kategorie -, bleibt nach dem Willen einer Mehrheit im Ministerrat weitgehend dem Datenverarbeiter selbst überlassen. Auf den Schwarzmärkten der Kriminellen im Netz sind Gesundheitsdaten mittlerweile die begehrteste Ware und werden um ein Vielfaches höher gehandelt als die üblichen Kreditkartendaten. Gesundheitsdaten haben eine hohe Haltbarkeit, Sozialversicherungsnummern lassen sich nicht sperren, Kreditkarten sehr wohl.

Auch für die Artikel 31 bis 33 zur Meldepflicht von Datenlecks gilt dieselbe Risikoabwägung, nicht ganz überraschend erfolgt sie vornehmlich im Sinn der Industrie. Nur wenn durch den Datenverlust ein "hohes Risiko" durch nachfolgenden Identitätsdiebstahl, Betrug usw. anzunehmen sei, müsse der Datenhalter dies der Datenschutzbehörde "ohne ungebührliche Verzögerung" melden, heißt es in der Ratsversion von Artikel 31. Angesichts dessen, dass der kriminelle Untergrund nahe an der Echtzeit operiert, sind Meldefristen von fast drei Tagen gerade bei Hochrisikofällen absurd hoch angesetzt.

EU Ministerrat Artikel 78 Penalties

Public

"Penalties" und die Hierarchie

Wie angesichts der heftigen Diskussionen im Vorfeld zu erwarten war, liegen die Ansichten zum Thema "Geldstrafen" besonders weit auseinander, was dazu führte, dass es im Ratsentwurf noch überhaupt keine Zahlen dazu gibt. Ganz offensichtlich will man es hier deutlich billiger geben als das Parlament, das eine dreistufige Skala mit einer Höchststrafe von drei Prozent für schwere, systematische und wiederholte Verstöße durch die Datenhändler vorsieht. Der ursprünglich für sich stehende Artikel 78 "Penalties" wurde schon einmal in der Hierarchie zurückgestuft und als Artikel 79b unter "administrative Bußgelder" subsummiert.

Neben Großbritannien erweis sich vor allem Irland im Vorfeld als Blockadestaat. Wie interne Dokumente der damaligen irischen EU-Ratspräsidentschaft im Jänner 2013 zeigten, wollten die Iren Geldstrafen für Datenschutzverstöße überhaupt durch "Rügen" ersetzen.

Der neue Artikel 79b steht zwar unter dem Titel "Penalties", ist aber weitgehend inhaltsleer und soll nur auf nationaler Ebene gelten. Die EU-weit harmonisierten Strafen etwa für Internetkonzerne sollen im Rahmen von "administrativen Bußgeldern" behandelt werden. Auch wenn es hier noch keine Prozente oder Zahlen zur Höhe gibt, so sind jedenfalls auf EU-Ebene keinerlei strafrechtlichen Maßnahmen etwa gegen notorische und gezielte Datenschutzverstöße zum Zwecke der Bereicherung vorgesehen.

Ausblick

Angeführt von Deutschland, das strafrechtliche Maßnahmen "expressis verbis" festgeschrieben wissen will, haben insgesamt zehn Staaten hierzu Vorbehalte angemeldet. Ohne Prophezeiungen zu strapazieren, lässt sich jetzt schon sagen, dass dieser wohl als einer der letzten Punkte der EU-Novelle zum Datenschutz akkordiert werden wird.

Haftungsausschluss

Die ORF.at-Foren sind allgemein zugängliche, offene und demokratische Diskursplattformen. Die Redaktion übernimmt keinerlei Verantwortung für den Inhalt der Beiträge. Wir behalten uns aber vor, Werbung, krass unsachliche, rechtswidrige oder beleidigende Beiträge zu löschen und nötigenfalls User aus der Debatte auszuschließen. Es gelten die Registrierungsbedingungen.

Forum

Zum Eingabeformular Kommentieren

  • cyana | vor 506 Tagen, 7 Stunden, 15 Minuten

    Zum Fürchten

    Danke für die Veröffentlichung des Leaks. Ein Albtraum mehr, den die EU-Kommission über uns Bürger breitet.

    Dass Gesundheitsdaten begehrt sind ist klar. Sie machen jede Person erpressbar. Günstigstenfalls für die Versicherung, schlimmstenfalls für Kriminelle. Man kann nur davor warnen, Gesundheits-Apps zu verwenden. Löschen lässt sich Apple Health leider nicht vom iPhone.

    Auf dieses Posting antworten
    • tantejutta | vor 506 Tagen, 7 Stunden, 8 Minuten

      Net die Kommision, der Rat der

      nationalen Minister. Die Kommissioon hat durchaus im Sinne der Parlamentsmehrheit gespielt.

    • cyana | vor 506 Tagen, 6 Stunden, 48 Minuten

      Ooops richtig. Mein ungutes Gefühl bleibt aber. Es gibt keine Fitnessuhr mehr ohne Auswertung via web. Das hat System. Das iPhone tracked ungefragt die Anzahl meiner Schritte. Irgendwann wirst du dazu genötigt werden, das Teil ständig bei dir zu tragen. Damit ja kein Schritt unaufgezeichnet bleibt. Sonst gibt es eine Rüge wegen Bewegungsmangel. Und zusammen mit den GPS-Daten ist dein Bewegungsprofil offen für jedweglichen Ge- und Missbrauch. Hey, schau rein in Tony's Backstube. Liegt am Weg, hat gerade frische Semmeln. Und vorne beim Billa sind Miesmuscheln in Aktion. Die isst du doch so gerne. Dabei könntest du noch Waschpulver mitnehmen, 3 zum Preis von zwei.

      Vielleicht werden das sogar viele als praktisch empfinden. Für mich bleibt es ein Albtraum.

    • rober7777 | vor 505 Tagen, 14 Stunden, 42 Minuten

      ok,...

      war jetzt Skifahren und hatte angeblich an diesem Tag 10250 Schritte (Rekord). Also so viel zu diesen blöden Apps...