Meike Kamp: "DSGVO-Änderungen rütteln an den Grundpfeilern des Datenschutzes"
Über die Schwächung des Personenbezugs und welche Gefahren der digitale Omnibus noch birgt, darüber sprachen Experten auf einer Veranstaltung der LDI Berlin.
Auf dem Europäischen Datenschutztag drehte sich alles um Anonymisierung und Pseudonymisierung.
(Bild: Marie-Claire Koch / heise medien)
Die Berliner Datenschutzbeauftragte Meike Kamp hat die Reformvorschläge der EU-Kommission zur Datenschutz‑Grundverordnung (DSGVO) scharf kritisiert. Die geplanten Änderungen an der Definition personenbezogener Daten griffen den Kern des europäischen Datenschutzrechts an. Zudem gingen sie über die bisherige Rechtsprechung des Europäischen Gerichtshofs hinaus, sagte Kamp, die am Mittwoch zu einer Veranstaltung anlässlich des EU-Datenschutztags nach Berlin einlud.
„Über allem hängt die Frage, wann sind Daten noch personenbezogen und ist die Datenschutz-Grundverordnung anwendbar oder nicht mehr“, so Kamp. Über viele Jahre habe sich die Diskussion „vom absoluten Personenbezug und hin zu den Fragen, wer über Mittel zur Identifizierung verfügt, welche Perspektive für die Beurteilung des Personenbezugs relevant ist und wie hoch das Risiko der Re-Identifizierung sein darf“.
Unternehmen müssen Verantwortung bei Datenhaltung tragen
Dabei verwies Kamp auch auf das SRB-Urteil des Europäischen Gerichtshofs. Dieses werde aus ihrer Sicht häufig verkürzt gelesen. „Dieser Befürchtung tritt der EuGH im SRB‑Urteil entgegen und sagt, dass diese Übermittlung an den ,unwissenden‘ Empfänger sich insbesondere im Zusammenhang mit einer etwaigen späteren Übermittlung an Dritte nicht auf die Beurteilung der Personenbezogenheit der Daten auswirkt“, sagte Kamp.
Die EU‑Kommission ziehe daraus jedoch andere Schlüsse: „Die Kommission formuliert, vereinfacht gesprochen, dass Informationen nicht allein deshalb personenbezogen werden, weil ein potenzieller nachfolgender Empfänger über Mittel verfügt, die betroffene Person zu identifizieren“, so Kamp. Mit dem Entwurf eines neuen Erwägungsgrundes werde erläutert, „dass eine mögliche Weitergabe an ,wissende‘ Dritte die Informationen nur für diejenigen Dritten zu personenbezogenen Daten machen“.
Nach dieser Lesart wären die Daten beim Empfänger nicht mehr als personenbezogen einzustufen und würden aus dem Datenschutzrecht herausfallen. „Das hätte gravierende Folgen“, sagte Kamp mit Blick auf datengetriebene Geschäftsmodelle wie die Online‑Werbung.
Videos by heise
Kritik an geplanten Änderungen beim Personenbezug
Am Beispiel von Real‑Time‑Bidding bei Werbeplätzen auf Websites verdeutlichte Kamp das Dilemma. Grundlage seien „eine Vielzahl von Akteuren in einer verzweigten Datenverarbeitungskette“. Mithilfe von Cookies oder Werbe‑IDs sei es möglich, Daten einzelner Nutzer zusammenzuführen.
„Die geplanten Änderungen dürfen nicht dazu führen, dass künftig zahlreiche Datenverarbeitungen aus dem Anwendungsbereich des Datenschutzrechts herausfallen“, warnte Kamp. „Die EU‑Kommission rüttelt mit der Änderung der Definition personenbezogener Daten an den Grundpfeilern des Datenschutzes. Das halte ich nicht für den richtigen Weg.“
Diese Einschätzung teilte auch der neue Vorsitzende der Datenschutzkonferenz, Prof. Tobias Keber. Der Eindruck, der digitale Omnibus gieße lediglich die bestehende EuGH‑Rechtsprechung in Gesetzesform, sei aus seiner Sicht irreführend. „Wenn man nicht nur das SRB‑Urteil, sondern mehrere Entscheidungen des EuGH betrachtet, etwa auch zur Fahrzeugidentifikationsnummer, dann geht der Kommissionsvorschlag über die Rechtsprechung hinaus“, sagte Keber gegenüber heise online.
Digitale Omnibus‑Reform „nicht der richtige Rahmen“
Zudem kritisierte Keber das Verfahren. „Eine so weitreichende Änderung wie die Definition personenbezogener Daten ist keine kleine Stellschraube“, sagte er. „Für solche grundlegenden Eingriffe ist ein auf Geschwindigkeit angelegtes Omnibus‑Verfahren aus Sicht der Datenschutzkonferenz nicht der richtige Platz.“
Die DSGVO sei ein abstraktes Regelwerk, dessen Teile ineinandergreifen. „Wenn man an einer so zentralen Stelle etwas ändert, hat das in der Regel Auswirkungen an vielen anderen Stellen, das betrifft auch weitere Digital- und Rechtsakte der EU. Es bräuchte mehr Zeit, um genau zu analysieren, was diese Änderungen bewirken“, so Keber.
Forderung nach solider Pseudonymisierung
Statt einer Einschränkung des Anwendungsbereichs sprach sich Kamp für eine Stärkung von Pseudonymisierung und Anonymisierung aus. „Wir sollten den Anwendungsbereich der Datenschutz‑Grundverordnung erhalten“, sagte sie. Für Datenverarbeitungen mit guter Pseudonymisierung und geringen Auswirkungen für Betroffene solle es Erleichterungen geben. „Nicht nach dem Unerreichbaren streben oder Begrifflichkeiten aufweichen, sondern solide Pseudonymisierung wagen.“
Die Rolle von Anonymisierung und Pseudonymisierung steht im Mittelpunkt der Veranstaltung, mit der Kamp den Abschluss ihres Vorsitzes der Datenschutzkonferenz markiert. Vorgestellt wurde unter anderem ein Zwischenstand zu geplanten Anwendungshinweisen der Datenschutzkonferenz. Zudem präsentierten Forschungsprojekte aus Bereichen wie Gesundheitswesen, Mobilität und Webstatistiken praktische Ansätze zum datenschutzgerechten Umgang mit personenbezogenen Daten.
Metadaten und Sonderfälle
Darüber hinaus wurde deutlich, dass bereits Metadaten heikel sein können. Zeitstempel, Häufigkeiten, räumliche Muster oder technische Begleitinformationen können ausreichen, um Personen einzugrenzen oder erneut identifizierbar zu machen. Metadaten seien daher kein bloßer Beifang, sondern müssten bei der Bewertung von Anonymisierung und Pseudonymisierung ausdrücklich berücksichtigt werden.
Dr. Jan Daldrop von der Berliner Beauftragten für Datenschutz und Informationsfreiheit stellte den Arbeitsstand eines gemeinsamen Projekts der Datenschutzkonferenz vor, das Anwendungshinweise zur Anonymisierung und Pseudonymisierung erarbeiten soll. Anhand von Mobilitätsdaten zeigte er, dass selbst bei stark vergröberten Datensätzen Restrisiken verbleiben können – etwa bei besonderen Ereignissen wie einem Hochzeitskorso, der durch eine ungewöhnliche Kombination aus Route, Zeitpunkt und Fahrverhalten auch in anonymisierten Daten erkennbar sein könne.
Einig waren sich die Beteiligten darin, dass Anonymisierung kein Selbstläufer ist und eine fortlaufende Bewertung erfordert. Keber fasste zusammen: „Rechtssicherheit entsteht nicht durch pauschale Annahmen, sondern durch sorgfältige Einzelfallprüfung.“
(mack)
