EU Pläne zum Datenschutz

Die europäische Justizkommissarin Juliane Reding arbeitet seit einige Zeit an einem Entwurf für eine Europäische Datenschutzverordnung. Einen ersten Draft kann man hier runterladen, Anna Sauerbrey, fasst die Eckpunkte allerdings dankbarerweise hier zusammen.

Nun ist eine Homogenisierung der gesetzlichen Lage absolut begrüßenswert, wenn nicht sogar notwendig in einem immer stärker zusammenwachsenden Europa: Die unterschiedlichen gesetzlichen Rahmenbedingungen machen es sowohl für kommerzielle Anbieter als auch für die Nutzer schwer, sich gegenseitig zu verstehen und gerecht zu werden. Oder wer hier aus Deutschland weiß eigentlich genau wie die österreichischen Datenschutzbestimmungen aussehen und was das für ihn oder sie beim Nutzen österreichischer Dienste bedeutet?

Doch leider stößt Frau Reding sehr schnell an genau dieselben Grenzen, an die die nationalstaatsbasierte Politik beim Umgang mit dem Internet schon so oft gestoßen ist. Obendrauf gibts dann noch ein paar generelle Fails, die wir auch im Folgenden betrachten wollen.

(Die folgenden Zitate entstammen Anna Sauerbrey’s Artikel.)

„Vorgesehen ist, dass das europäische Recht auch dann gelten soll, wenn ein Unternehmen seinen Sitz außerhalb der EU hat, seine Angebote und Aktivitäten sich aber an europäische Verbraucher richten, etwa indem sie die Zahlung in Euro anbieten oder Seiten in europäischen Landessprachen.“

Das Problem, welches hier gelöst werden soll ist ein altes und eines, an dem wir schon häufig standen: Welche Datenschutzgesetze gelten eigentlich, gerade, wenn ich beispielsweise als Europäer mit einer amerikanischen Firma einen Deal mache? Frau Reding wählt den hack über die Adressierung: Wenn die Zahlung in Euro angeboten wird oder die Seiten in Europäischen Landessprachen sind, dann gilt das Europäische Recht. Das klingt erstmal ganz griffig, doch bei kurzen Nachdenken werde ich stutzig. Sicherlich gibt es Unterschiede zwischen amerikanischem und britischem Englisch, doch sind die trennscharf genug um bei einer englischen Seite festhalten zu können, welche Datenschutzgesetzgebung gilt? Spricht Brasilien nicht auch Portugisisch und der Rest Südamerikas Spanisch? Bis auf einige Bereiche in Asien und Afrika fällt es mir schwer, Orte auf der Welt zu finden, in denen keine europäische Landessprache gesprochen wird (Konsequenz der europäischen Invasionsgeschichte).

Dieser Ansatz masst sich also entweder an, auf großen nichteuropäischen Teilen der Welt Gesetze machen zu dürfen (was sich mit dieser Demokratie und Staatssouveränität ja nun so gar nicht mehr vereinbahren lässt) oder ist dermaßen Gummi, dass man sich im Zweifelsfall nicht drauf zurückziehen kann. Wieder mal ein Ansatz, der irgendwie gut klingt und europäische Befindlichkeiten aufgreift, in der Realität aber keine Durchsetzungsfähigkeit besitzt.

„Die Verbraucher sollen das Recht auf eine Kopie ihrer sämtlichen Daten in elektronischer Form erhalten. So wäre es möglich, den Anbieter zu wechseln und das eigene „Profil“ ohne Verluste mitzunehmen.“

Auch wieder ein Ansatz, den man zwar so aufschreiben kann, der dadurch aber noch lange nicht umsetzbar wird. Denn was genau habe ich denn davon, wenn mir Facebook nen Datendump gibt? Einen großen Blob aus IDs und ein paar Textfetzen von mir. Dann korrekterweise kann Facebook mir ja nicht die Daten meiner Freude geben, denn das sind ja deren Daten. Und so bin ich dann mit 11663714112837213 befreundet und 149724238421, die natürlich in keinem anderen Netzwerk auf der Welt dieselben IDs haben. Die Portabilität, die hier proklamiert wird, ist eine Forderung, die theoretisch toll klingt, mit der technischen Umsetzung hingegen nichts mehr zu tun hat. Klar kann man das, wie beim Europe-vs-Facebook PR Stunt, fordern und umsetzen, man läßt aber Menschen dadurch auch nicht souveräner zurück sondern nur mit mehr Datenmüll, der ihnen kein Stück weiterhilft.

Das „Profiling“ hingegen, also das Erstellen detaillierter Nutzerprofile durch soziale Netzwerke oder Online-Shopping-Anbieter wird erschwert. Gar nicht mehr erlaubt soll es in Zukunft sein, die Daten von Jugendlichen unter 18 Jahren zum „Profiling“ zu verwenden.

Auch hier finden wir wieder eine Scheinlösung. Wo genau Profiling anfängt und wo es aufhört, halte ich für eine definitorische Herkulesleistung, für die uns gerade aber kein Halbgott zur Verfügung steht. Was für den einen Profiling sein mag, ist für den SysAd vielleicht auch nur eine grobe Verhaltensanalyse um den Dienst in seiner Skalierbarkeit und seinem Nutzen zu verbessern.

Ausserdem wird der Nutzen des Profilings für den Nutzer selbst mal wieder vergessen. Ich persönlich weiß es sehr zu schätzen, dass Amazon mir Artikel vorschlägt, die mich interessieren könnten statt – wie die Fernsehwerbung – auf sexistischen Annahmen wie „der ist Mann, der mag Bier, Fussball und Autos“ aufzusetzen. Wir gehen vom mündigen Bürger aus, vom mündigen Kunden, aber sobald Profiling betrieben wird um dem Kunden bessere Angebote zu machen, wird von Datenschützerseite so getan, als wären wir alle nur unreflektiertes Klickvieh.

Und warum ein junger Mensch in der Ausbildung mit 16 solche Vorteile nicht für sich nutzen darf, will sich mir auch nicht erschließen.

Sicherlich ist Profiling, gerade wenn es intransparent stattfindet, manchmal problematisch, gerade wenn der Kunde plötzlich in einer schublade klassifiziert wird, in die er/sie sich selbst nicht einordnen würde, aber gerade die großen Player wie Amazon leben davon, dass ich jeden Vorschlag verstehen kann („sie sehen dieses Angebot, weil Sie X kauften“) und ich direkt eingreifen kann („das Dingsi, was ich als Geschenk für meine Nichte kaufte ignorieren“).

Die Verbraucher erhalten außerdem das Recht, „vergessen zu werden“, also das Recht darauf, dass ihre Daten gelöscht werden, wenn der Grund für die Speicherung erlischt.

Das gute alte Recht auf Vergessen, kein Text mehr ohne dieses mytische Recht (es entwickelt sich mehr und mehr zum Datenschutz-Äquivalent des „Internet darf kein rechtsfreier Raum sein“ Memes). Zu diesem Recht wurde schon viel gesagt, auch Anna Sauerbrey selbst merkt viele der Probleme an (zum Beispiel, dass der Anbieter plötzlich in den Daten Fremder rumlöschen und editieren muss, um mich komplett zu vergessen). Doch auch ganz schlichte technische Probleme entstehen hier: Jeder verlässliche Dienst schreibt Backups, um einen zu einem bestimmten Zeitpunkt als valide bekannten Zustand zu fixieren. Müsste mich der Anbieter dann auch aus allen Backups löschen? Neben der technischen Komplexität dieser Aufgabe (die ja die Integrität der Backups, die die Daten aller Nutzer sichern sollen, nicht verletzen darf), hat dann der Anbieter später ne Menge neuer Probleme: Ich nutze Facebook, um urheberrechtlich geschützte Texte zu verbreiten. Dann lösche ich mein Profil und Facebook muss alle Zeugnisse meiner Existenz löschen. Wie können denn jetzt die armen Rechteverwerter mich belangen? Alle Beweise meiner Straftaten sind hinfort.

Generell dürfen Daten nicht länger gespeichert werden als unbedingt nötig.

Wer definiert denn die Notwendigkeit? Wer legt fest, was nicht mehr notwendig ist? Auch hier wieder: Was ist eigentlich mit Backups?

Anbieter werden verpflichtet, die datensparsamste Einstellung zur Voreinstellung zu machen (privacy by default) und bei neuen Technologien Gefahren für den Datenschutz bereits in der Entwicklungsphase zu berücksichtigen (privacy by design).

Ich halte „privacy by default“ zwar auch für einen Holzweg, aber das kann man meiner Einschätzung nach schon fordern ohne zu viel kaputt zu machen, die meisten Nutzer werden das dann binnen Kürze offener einstellen, um Dienste überhaupt sinnvoll nutzen zu können.

Doch „privacy by design“ ist wieder ein gutes Beispiel für klingt gut und ist gut gemeint, hat aber keinen Wert: Technikfolgenabschätzung ist keineswegs immer trivial (bei der Erfindung des WWWs hatten die Ingenieure sich beispielsweise auch nicht träumen lassen, dass Menschen darüber irgendwann ihr Leben verdaten), und ich kann letzten Endes immer sagen: „Jau, wir haben drüber nachgedacht“. Ich halte diese Forderung für nicht durchsetzbar.

Fazit

Insgesamt ist dieser Entwurf sicherlich für viele deutsche Datenschützer ein großer Wurf. Alle bekannten Datenschutzmeme wurden untergebracht und der Text strotzt nur vor gut gemeinten Forderungen. Leider sind sie zum übermäßigen Teil nicht durchsetzbar und realitätsfern, so dass letzten Endes für den Nutzer kein Mehrwert entsteht.

Ich würde mir wünschen, dass beim Entwurf solcher Verordnungen auch Menschen beteiligt werden, die mit der technischen Umsetzung von sozialen Netzwerken und online Shops zu tun hatten, so dass zumindest die vollständig nichtumsetzbaren Forderungen gestrichen werden können.

Advertisements

Über tante

Chimpanzee that!
Dieser Beitrag wurde unter Uncategorized veröffentlicht. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu EU Pläne zum Datenschutz

  1. Wolfgang Erdbeerbaeumle schreibt:

    * „Vorgesehen ist, dass das europäische Recht auch dann gelten soll, wenn ein Unternehmen seinen Sitz außerhalb der EU hat, seine Angebote und Aktivitäten sich aber an europäische Verbraucher richten, etwa indem sie die Zahlung in Euro anbieten oder Seiten in europäischen Landessprachen.“

    Finde ich nicht so schlecht. In der Praxis bedeutet das, dass Online-Shop/-Dienste außerhalb der EU sich bei EU-Bürgern entweder an das europäische Datenschutzrecht halten oder eben keine EU-Kunden haben. Dieses Prinzip ist auf vielen Rechtsgebieten durchaus recht erfolgreich (siehe zuletzt bei Patentrechtsstreitigkeiten Smartphones). Das Problem beim Datenschutz dürfte eher darin liegen, dass es zu wenig wirtschaftlich potente Interessenten gibt, das dann durchsetzen.

    * „Das „Profiling“ hingegen, also das Erstellen detaillierter Nutzerprofile durch soziale Netzwerke oder Online-Shopping-Anbieter wird erschwert. Gar nicht mehr erlaubt soll es in Zukunft sein, die Daten von Jugendlichen unter 18 Jahren zum „Profiling“ zu verwenden.“

    Hmm, ja, was sind Nutzerprofile. Und wann sind sie gefährlich? Bei Amazon sehe ich kein Problem, solange sie nur ihre selbst erfassten Daten und diese nur selbst und nur zum Vorschlagen anderer Bücher nutzen. Kritischer wird es schon, wenn sie damit Preisdiskriminierung betreiben würden. Etwa wenn sie wissen, dass du Medizin studierst und du auf Prüfungen lernen musst und deshalb bereit bist, höhere Preise für bestimmte Standardwerke zu zahlen. Das klingt vielleicht etwas verrückt, aber es gibt mindestens einen großen Verlag (bzw. eine Tochterfirma), der das als Vorteil elektronischer Bücher gesehen hat: man kann sie nicht durch einen dritten kaufen lassen, weil man keine Sache erwirbt, sondern nur ein Nutzungsrecht.

    Das Scoring und Bewerten von Menschen halte ich für das gefährlichste. Solange jeder Shop und Dienst seine eigenen Algorithmen und nur seine eigenen Daten nutzt, werden Personen wenigstens nicht überall diskriminiert. Sobald aber wenige Dienstleister das Feld dominieren, dann haben wir eine Art elektronische Vorteile: und zwar gerade dann, wenn wir kategorisiert werden und somit auch nach den Daten anderer beurteilt werden. Selbst wenn diese Vorurteile irgendwie stimmen, sind sie im Einzelfall oft ungerecht und benachteiligend und verfestigen gesellschaftliche Zustände zusätzlich.

    * „Generell dürfen Daten nicht länger gespeichert werden als unbedingt nötig.“

    Das ist jetzt schon so im deutschen Datenschutzrecht, und leider wirklich nur wenig wert. Das ist so unbestimmt, wer will da vor Zivilgerichte ziehen? Das einzige, was das erreicht, ist, dass überhaupt Fristen festgelegt und begründet werden müssen.
    Im hoheitlichen Bereich funktioniert das natürlich deutlich besser.
    Außerdem begründen viele Firmen die Notwendigkeit in vielen Fällen mit den gesetzlichen Aufbewahrungspflichten aus HGB, AO und diversen gesetzlicher Compliance-Anforderungen: die sind sehr schwammig darin, was man eigentlich elektronisch aufheben muss. Und da darf man dann gleich mal 6 oder 10 Jahre aufheben. Der Staat in Gestalt des Finanzamts ermuntert das, ja macht es sogar riskant für Firmen, hier kürzer zu speichern oder zu anonymisieren.

    * (privacy by default)

    Nicht unbedingt schlecht. Eine Gefahr, die ich dabei sehe: es könnte die Situation real verschlechtern. Denn man ist ja nicht verpflichtet, sich am datensparsamsten vergleichbaren Dienst zu orientieren. Vielleicht bietet so mancher neuer Dienst privatere Einstellungen gar nicht mehr zu, die früher – wenn vielleicht auch versteckt – angeboten wurden.

    Man braucht hier mehr was wie im Vertragsrecht für AGBs: keine überraschenden Klauseln.

    * (privacy by design)

    Hmm, naja. Würde ich jetzt mal vom Staat verlangen. Wenn der einen MUSS-Dienst einführt (z.B. Personalausweis, Gesundheitskarte (die eigentlich Krankenkarte heißen sollte, so es früher Krankenscheine waren…) oder ein Mautsystem), dann muss das natürlich die Richtschnur sein. Und für andere Quasi-Muss-Dienste sollte das auch gelten (Fernmeldewesen, Postdienste, …)

    Fazit: manches wird besser, vieles ist schon heute Stand in Deutschland, es bleibt wohl alles, wie es ist. Wer dem Datenschutz im privatwirtschaftlichen Bereich Zähne verleihen will, sollte ihn auch im Wettbewerbsrecht verankern und abmahnbar machen. Das würde aber ein Blutbad zur Folge haben :-). Man könnte vielleicht auch einfach eine Datensteuer für Unternehmen einführen: zahlbar jedes Jahr pro vorgehaltener Speicherkapazität :-).

  2. Wolfgang Erdbeerbaeumle schreibt:

    P.S: Rene Meissner weißt noch auf einen sehr problematischen Punkt hin:

    http://qrios.de/2012/01/eu-datenschutzverordnung-sollbruchstelle-jugendschutz/

  3. Pingback: EU Pläne zum Datenschutz | tante's blog

  4. Für die grundrechtlichen Implikationen dieser Datenschutzverordnung sollte man auch http://www.internet-law.de/2012/01/abschied-von-den-deutschen-grundrechten.html lesen:

    Masing erläutert zunächst, dass die geplante Verordnung in ihrer Wirkung einem europäischen Gesetz entspricht, also anders als eine Richtlinie unmittelbar in den Mitgliedsstaaten gilt und keiner Umsetzung in nationales Recht bedarf. Das hat laut Masing zur Folge, dass damit jede Form des mitgliedschaftlichen Rechts verdrängt wird und damit auch das deutsche Grundgesetz einschließlich der Grundrechte. Masing wörtlich:

    Auch die Grundrechte des Grundgesetzes sind nicht mehr anwendbar.

    […]

    Masing erläutert anschließend, dass er die europäische Grundrechtscharta nicht “ansatzweise” als gleichwertigen Ersatz für die deutschen Grundrechte ansieht. Dies vor allem deshalb, weil die Gerichte der Gemeinschaft eine Gerichtsbarkeit ohne Unterbau darstellen würden. Außerdem, so Masing, sei der EuGH gerade nicht auf Grundrechte spezialisiert und der Einzelne könne die europäischen Gerichte auch überhaupt nicht anrufen.

  5. MCBuhl schreibt:

    Back-Ups… Wie lange hält eine Firma wohl Back-Ups vor? Die täglichen eine Woche? Zwei? Das sog. „Große“ Back-Up dann vielleicht 5 Jahre?
    Die Back-Ups müssen nämlich auch irgendwo gelagert werden. Nehmen wir mal Videoaufzeichnungen, z.B. bei Banken. Je nach Anzahl der Kameras, sagen wir mal 10, und bei einer vernünftigen Auflösung, sowie Speichern alle Sekunde stossen wir da schnell in den Bereich von 1 TB/Monat vor. Da kommen sogar die derzeitigen Dateisysteme an Grenzen (aber man arbeitet kontinuierlich daran).
    Am Ende hilft das Vergessen auch der Wirtschaftlichkeitsrechnung, da der vorzuhaltende Speicherplatz begrenzt wird.

  6. Pingback: Stellungnahme zu Viviane Redings Datenschutzvorstößen | Die datenschutzkritische Spackeria

  7. Pingback: Open in Public Day | Die datenschutzkritische Spackeria

  8. Pingback: Kristian Köhntopp - nackt! (oder: Open in Public Day) - Die wunderbare Welt von Isotopp

  9. schmollti schreibt:

    Denn Text kann man auch kürzer fassen: „Facebook darf alles und macht alles richtig und man soll das nicht immer kritisieren, sondern da einfach mitmachen. Und alle so yeah.“

  10. Pingback: Das Web nach der EU-Datenschutzverordnung | Die datenschutzkritische Spackeria

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s