Europas Regierungen wollen Datenschutzreform aushöhlen
Prinzipien wie Datensparsamkeit sollen nach Ansicht der EU-Regierungen gestrichen, Interessen zum Datenverarbeiten von Firmen oder Behörden für unbestimmte Zwecke schwerer wiegen als das Schutzbedürfnis der Bürger.
(Bild: dpa, Christian Charisius/Symbolbild)
Die Regierungen der EU-Mitgliedsstaaten arbeiten daran, die seit über drei Jahren geplante Datenschutz-Grundverordnung deutlich aufzuweichen. Vorgaben zum sparsamen Umgang mit personenbezogenen Informationen im Sinne des Prinzips der "Datenminimierung" sollen ihrer Ansicht nach aus dem Entwurf gestrichen werden. Auch den essenziellen Grundsatz der Zweckbindung einer Datenverarbeitung wollen die Regierungen durchlöchern. Dies geht aus einem als vertraulich eingestuften Dokument der Arbeitsgruppe Dapix des EU-Rats hervor, das die britische Bürgerrechtsorganisation Statewatch veröffentlicht hat.
Nach der bestehenden Datenschutzrichtlinie von 1995 dürfen Unternehmen oder Behörden persönliche Informationen nur verarbeiten, wenn das für spezielle Zwecke erforderlich ist oder wenn die Betroffenen ausdrücklich in einen solchen Prozess einwilligen. Dazu kommt ein weiterer Grund, der bereits seit Langem zu Rechtsunsicherheiten geführt hat: Organisationen dürfen demnach auch aus eigenen "legitimen Interessen" Daten erheben, speichern oder auswerten. Dafür müssen die Zwecke aber wiederum klar eingegrenzt werden: Ein Händler, der Kaufgewohnheiten seiner Kunden etwa über eine Bonuskarte analysiert, darf die Kenntnisse etwa nicht an eine Versicherungsgesellschaft weitergeben.
Freibrief zum Datensammeln
Mit Artikel 6.4 aus Kapitel 2 zu Grundsatzprinzipien der im Raum stehenden Verordnung wollen die Regierungsvertreter nun sicherstellen, dass Firmen, öffentliche Verwaltungen und sogar "Drittparteien" persönliche Informationen schon dann für weitere Zwecke verarbeiten können, wenn deren legitime Interessen "schwerer wiegen" als die des Betroffenen. Einen weiter gehenden Freibrief zum Datensammeln kann man sich kaum vorstellen. Dem Vernehmen nach soll sich vor allem die Bundesregierung für diese Änderung stark gemacht haben.
Ende vergangenen Jahres hatte die damalige italienische Ratspräsidentschaft vorgeschlagen, dass die Datennutzung für Zwecke des Direktmarketings im Einklang mit der geplanten Verordnung stehen sollte. Nutzer, die etwa von personalisierter Werbung verschont bleiben wollen, hätten sich ausdrücklich per "Opt-out" dagegen aussprechen müssen. Diese Klauseln fehlen in dem neuen Papier, dürften von der umfassenden neuen Passage aber im Kern erfasst werden.
Allgemein soll laut einem Erwägungsgrund eine Datenverarbeitung schon rechtmäßig sein, wenn der Zweck dafür durch andere Mittel nicht "angemessen" erfüllt werden könnte. Werden personenbezogene Informationen innerhalb einer "Gruppe von Unternehmungen" erhoben, wird von einem legitimen Interesse ausgegangen, diese auch an alle Bereiche oder Niederlassungen des Konglomerats übermitteln zu dürfen.
Datenverarbeitung für verschiedenste Zwecke
Als "Rechtsgrundlage" für Datenverarbeitungen sollen dem Vorstoß nach generell nicht nur Gesetze der Mitgliedsstaaten gelten, sondern auch andere "klare" und in ihren Folgen vorhersehbare staatlichen Akte. Deutschland hat sich zudem dafür stark gemacht, dass ein Heranziehen persönlicher Informationen immer als rechtmäßig anzusehen ist, wenn dies "im öffentlichen Interesse" ist oder zum Erfüllen einer offiziellen Befugnis einer Behörde erfolgt. Auch ein Verarbeiten zu "wissenschaftlichen, statistischen oder historischen Zwecken" soll für legal erklärt werden.
Von einer Zustimmung etwa zum Online-Tracking wird ausgegangen, wenn der Nutzer die Browser-Voreinstellungen nicht entsprechend abändert. Das Erheben von Daten soll generell immer möglich sein, wenn es nicht "exzessiv" ist. Über die Empfehlungen der federführenden Beratergruppe sollen die Innen- und Justizminister der EU-Länder just am Freitag, den 13., in anderthalb Wochen abstimmen.
"Massive Untergrabung" des Datenschutzes
Die vier Bürgerrechtsorganisationen Access, European Digitals Rights (EDRi), Panoptykon und Privacy International haben die geplanten Änderungen analysiert und kommen zu dem Ergebnis, dass das bestehende Datenschutzniveau damit massiv untergraben würde. Ferner dränge der Rat auf weitere Verschlechterungen etwa über einen "risikobasierten Ansatz" bei der Auferlegung besonderer Sicherheitsanforderungen an Firmen oder Ämter, eine weite Klausel zum Profilerstellen und bürokratische Regeln für die Zuständigkeit von Kontrollbehörden.
"Die Verordnung wird zu einer leeren Hülle", fürchtet daher Joe McNamee von EDRi. Die Mitgliedsstaaten gäben sich nicht damit zufrieden, Schlüsselelemente des ursprünglichen Vorschlags der EU-Kommission zu zerstören, sondern unterwanderten "rigoros, systematisch und nachdrücklich die Bedeutung jeden Artikels und Paragraphen". Sollte sich der Rat durchsetzen, bräuchte es eine absolute Mehrheit im EU-Parlament, damit dieses seine ursprüngliche Position durchbringen könnte. (mho)
