ENDitorial: Datenschutz in der EU: der Stand der Dinge, Raum für Verbesserungen

Dieser Artikel ist auch verfügbar auf:
Englisch: ENDitorial: EU Data Protection: state of the play, potential for enhancements

Am 19. und 20. Mai 2009 hat die Europäische Kommission in Brüssel eine Datenschutzkonferenz unter dem Titel „Persönliche Daten- mehr Nutzen, mehr Schutz?“ organisiert. Der Zweck der Konferenz bestand darin, sich neue Herausforderungen für die Privatsphäre anzusehen und einen Prozess in Richtung einer neuen Qualität im Datenschutz für die Europäische Union in Bewegung zu bringen. Auf Einladung der Europäischen Kommission nahm Andreas Krisch für EDRi an der Konferenz teil.

Die Themen der eineinhalbtägigen Konferenz deckten einen weiten Bereich von Gebieten im Zusammenhang mit Datenschutz ab - unter anderem Datenschutz bei der Strafverfolgung, Vorratsdatenspeicherung, die Rolle von Betrieben sowie Aufsichtsbehörden und Konsumentenschutz.

Nach den Präsentationen über Datenschutz von Kurt Alavaara (Nationale Polizeibehörde, Schweden) und Francis Stoliaroff (Justizministerium, Frankreich) kam es zu einer langen Diskussion über die Legitimität der Richtlinie zur Vorratsdatenspeicherung. Spiros Simits (Goethe-Universität Frankfurt am Main) führte an, dass die Vorratsdatenspeicherung nicht nur einen Verstoß gegen die Grundrechte und gegen die Deutsche Verfassung darstelle, sondern auch gegen grundlegende Prinzipien des Datenschutzes verstoße, besonders gegen das Prinzip der Einschränkung des Verwendungszwecks.

Der Diskussionsteilnehmer Douwe Korff (London Metropolitan University) stimmte zu, dass die Auslegung in den Mitgliedsstaaten für vage Spezifikationen des Verwenungszweckes unterschiedlich ist. Während einige Länder zwischen den Zwecken der Prävention und Verfolgung von Vergehen unterscheiden, fassen andere diese unter dem Begriff „Polizeiverwendungszwecke“ zusammen, was den Zugriff zu gespeicherten Daten massiv beeinflusst. Hinzu komme, dass Verkehrsdaten persönliche Daten darstellen.

Waltraud Kotschy von der Österreichischen Datenschutzkommission erklärte, ihrer Ansicht nach sei es unmöglich, den Zugang zu gespeicherten Daten in Zukunft auf Fälle von Terrorismus und organisiertem Verbrechen zu beschränken. In Österreich käme es bereits zu Diskussionen über den Zugang auf Daten zum Zwecke der Durchsetzung des Urheberrechts. Diese und ähnliche Diskussionen werden an Bedeutung gewinnen, sobald die Vorratsdatenspeicherung in Kraft tritt.

Ein Webcast mit 15 Minuten von Diskussionen aus allen Präsentationen und Diskussionen des ersten Tages ist mit englischer, deutscher und französischer Übersetzung auf der EC-Webseite erhältlich und unbedingt einen Blick wert.

Meine Präsentation beschäftigte sich mit der Rolle von Betrieben und dem Schutz persönlicher Daten. Beginnend mit einem allgemeinen Überblick über die Einholung kommerzieller Daten über Einkaufs- und Kommunikationsgewohnheiten und Informationen über Finanzen, Aufenthaltsort und Bewegungen, zeigte ich auf, dass die Sammlung kommerzieller Daten zum Einsatz dieser Daten durch den Staat führt. Beispiele finden sich unter anderem im SWIFT-Fall, in dem die US-Behörden auf Daten von finanziellen Transaktionen in der EU zugegriffen haben, oder PNRi-Daten, wobei die EU den USA den Zugang auf Passagierdaten zugesteht und selbst darauf zugreifen will, und die verpflichtende Vorratsdatenspeicherung, wobei EU-Mitgliedsstaaten Kommunikationsdaten von 490 Millionen Bürgern speichern und einsehen.

Wenn man diese Praktiken in Betracht zieht, kann man die Bedeutung der Einholung kommerzieller Daten kaum überbewerten; das Urteil des Deutschen Verfassungsgerichtshofes von 1983, in dem es hieß, dass „... an sich belanglose Daten eine neue Bedeutung bekommen können“ und dass „insofern es unter den Bedingungen der modernen Datenverarbeitung keine belanglosen Daten mehr gibt“ ist heutzutage relevanter als je zuvor.

Zur gleichen Zeit werden bedeutende Schwachstellen bei den Gegenstücken dieser Datenkontrolleure erkennbar, bei den Datenschutzbehörden. Einerseits kämpfen sie oft mit sehr beschränkten finanziellen und persönlichen Ressourcen und sind daher auch in ihren Möglichkeiten eingeschränkt, die Gesetzgebungen zum Datenschutz durchzusetzen. Andererseits werden jedoch auch problematische Entscheidungen getroffen – oder jedenfalls problematische Schlussfolgerungen gezogen (siehe Privacy International über den Britischen Informationsminister). Dazu kommt, dass zunehmend deutlich wird, dass traditionelle Aufsichtsmethoden mit der massiven Zunahme bei der Menge der verarbeiteten Daten nicht mehr mithalten werden können. Die aktuellen Mittel zum Schutz persönlicher Daten sind ebenfalls beschränkt und stellen oft relativ hohe finanzielle Risiken für rechtliche Verfahren in Kombination mit relativ geringen potentiellen Gewinnen in einzelnen Fällen dar.

Verbesserungen im Datenschutz und der Gesetzgebung zum Datenschutz können daher dadurch erreicht werden, indem die Möglichkeiten zum (Selbst-)Schutz persönlicher Daten ausgeweitet werden (z.B. einfachere und risikoärmere rechtliche Verfahren, die Evaluation derzeitiger Praktiken in Bezug auf „Einverständniserklärungen" von Betroffenen), durch die Einführung von verpflichtenden Meldungen von Datenverstößen und Strafmaßnahmen auf einer per Daten-Basis in Fällen von Datenlecks. Im Hinblick auf den Bereich der Radio Frequency Identification und dem Internet der Dinge wird es notwendig sein, die Entwicklungen genau zu beobachten und zu ermitteln, ob aktuelle Datenschutzkonzepte noch ausreichende Mittel darstellen, um die Herausforderungen im Datenschutz anzunehmen, die diese Technologien darstellen.

Es gilt jedoch auch, positive Maßnahmen zu ergreifen. Instrumente und Mechanismen, die Betrieben helfen könne, zu beweisen und öffentlich mitzuteilen, dass sie sich an die Gesetzgebung zum Datenschutz halten, wie zum Beispiel das EuroPriSe (European Privacy Seal), sollten in der Gesetzgebung zum Datenschutz in Europa eine starke Basis erhalten. Die Einführung der verpflichtenden Datenschutzbeamten für Unternehmen würde nicht nur den Unternehmen dabei helfen, Datenschutzmechanismen in ihren Organisationen einzuführen und intern an Verbesserungen zu arbeiten, sondern auch positive Auswirkungen auf die Beziehung zwischen den Unternehmen und ihren Kunden haben, da es eine kompetente Kontaktperson gäbe, die Auskunft in Sachen Datenschutz geben könnte.

Schlussendlich brauchen wir besseres Aufklärungsmaterial über den Datenschutz, um sicherzustellen, dass junge Leute Zugang zu relevanten Informationen über Datenschutz aus erster Hand haben und herausfinden können, wie sie ihre Privatsphäre schützen können.

Die Zukunft wird weisen, was dieser Prozess in Richtung einer neuen Qualität im Datenschutz für die Europäische Union bringen wird. In der Zwischenzeit kann man sagen, dass die EU mindestens zwei Gesichter hat, wenn es um Datenschutz geht. Einerseits werden wichtige Schritte im Bereich RFIDi und dem Internet der Dinge unternommen, andererseits zeigen das geplante Stockholm Programm für Justiz und Inneres für die nächsten fünf Jahre einen Weg in eine Überwachungsgesellschaft auf, in der die Flut des digitalen Tsunamis droht, die Rechte des Einzelnen auf Datenschutz in Europa zunichte zu machen.

Conference "Personal data - more use, more protection?" (19-20.05.2009)

Conference Programme "Personal data - more use, more protection?"(19-20.05.2009)

Webcast of the discussion on data retention (Simits, Korff, Kotschy and others) at the conference

Webcast of the presentation by Andreas Krisch "The Role of Business and Personal Data Protection"

PI calls for review of UK privacy regulator following series of failed judgements (23.04.2009)

European Privacy Seal (EuroPriSe)

unwatched: Das Stockholmprogramm – das neue gefährliche Überwachungssystem der EU (17.06.2009)

unwatched: EU unterstützt RFID mit ausreichendem Schutz für die Privatsphäre der Konsumenten (20.05.2009)

unwatched: „Recht auf das Schweigen der Chips“ in der neuen Mitteilung der EC (1.07.2009)

(Beitrag von Andreas Krisch - EDRi)