Wenn die Taschenlampe am Handy zur Spionage-App wird

Am Mittwoch beginnen die abschließenden Verhandlungen zur EU-Datenschutzreform. Vertreter von Kommission, Rat und Parlament werden im so genannten Trilog letzte Hand anlegen an das Reformwerk, wobei es nicht um Petitessen, sondern um fundamentale Fragen gehen wird. Sie werden darüber entscheiden, wie selbstbestimmt Bürger künftig digital leben können.

Wohlfühl-Floskeln

Alle Beteiligten sind derzeit bemüht, den kommenden Kompromiss als Erfolg feiern zu können. So sind seit Tagen Wohlfühl-Floskeln zu hören: Die Justiz-Kommissarin Vera Jourova begrüßte vergangene Woche den Abschluss der Verhandlungen im Rat damit, dass dieser ein „Sprung vorwärts“ für die Reform sei. Kurz darauf twitterte sie in einem Akt der Selbstvergewisserung: „Wie machen das Richtige mit der EU-Datenschutzreform“.

Die Innenminister jubelten vergangene Woche darüber, dass es nun endlich einheitliche Regeln für den Datenschutz in Europa geben werde. Und auch der Berichterstatter des Parlaments, Jan Philipp Albrecht, hört sich an, als hätte er Kreide gefressen: „Nach drei Jahren Debatte im Rat und Parlament kann man sehen, dass vieles in eine ähnliche Richtung geht, obwohl es in manchen Bereichen noch Unterschiede gibt,“ sagte er der futurezone.

Die Unterschiede sind allerdings fundamental, denn sie rühren an den zentralen Stellschrauben des Datenschutzrechts: Sie entscheiden darüber, wie viele Rechte der Bürger gegenüber Behörden und Unternehmen erhält und wie er sie durchsetzen darf. So wird etwa darum gerungen werden, in welchem Umfang der Bürger über die Datenerhebung und –verwendung informiert werden muss. Muss er in jedem Fall informiert werden oder nur manchmal? Und ist seine Einwilligung zwingend? Und was bedeutet es, wenn er nicht zustimmt?

Dürfen Daten einfach für einen anderen Zweck verwendet werden?

Eine weitere Stellschraube ist die Zweckbindung: Datenschützer haben jahrelang dafür gekämpft, dass diese möglichst klar festgelegt wird, um die Datenverarbeitung zu zügeln. So soll eine Taschenlampen-App etwa nur Licht spenden, weil dies ihr Zweck ist. Wenn sie darüber hinaus aber jede Interaktion mit dem Smartphone aufzeichnet und an das Unternehmen weiterleitet, handelt es sich im Kern um eine Spionage-App. Legal wäre diese aber nur, wenn der Nutzer über den Spionage-Charakter klipp und klar aufgeklärt wird. Die „Taschenlampen“-App müsste etwa mindestens „Spionage-App“ heißen. Aber wer will die schon auf seinem Handy?

Dieselbe Logik gilt natürlich auch für staatliche Datenerhebungen: Wenn etwa die Polizei zum Eigenschutz über eine Person notiert, dass diese sich „aggressiv“ verhält, darf daraus nicht eine Datei „Aggressive Menschen“ erstellt werden, die etwa verstärkte Beobachtungen nach sich zieht. Auch darf in einem Unternehmen oder einer Behörde die Gesundheitsakte nicht von der Revision eingesehen werden, weil diese einem Korruptionsverdacht nachgeht.

Der Rat nun will Zweckänderungen im Interesse einer Behörde oder eines Unternehmens erlauben, wenn deren Interesse das Interesse des Betroffenen überwiegt. Die Taschenlampen-App könnte also sich zunächst als Taschenlampe verhalten. Wenn es aber im Interesse des Unternehmens liegt, könnten bestimmte Daten, die bei der Funktion „Licht“ entstehen, an das Unternehmen für weitere Zwecke übermittelt werden: Etwa wann das Licht an und ausgeschaltet wird, um etwas über das Aktivitätsverhalten der Nutzer herauszufinden. Für Organisationen könnte das bedeuten: Die Revision könnte die Gesundheitsakte eines Beschäftigten einsehen, weil sie dem – laut Rat legitimen - Verdacht nachgeht, dass ein korruptes Verhalten durch Alkoholismus oder Depressionen verursacht sein könnte. Das Parlament will daher anders als der Rat, dass bei solchen Zweckänderungen die Zustimmung des Nutzers eingeholt wird.

Wie viel Daten dürfen überhaupt erhoben werden?

Eine weitere zentrale Baustelle ist die Datensparsamkeit: Es dürfen überhaupt nur die Daten verarbeitet werden, die notwendig sind. Für die Taschenlampe-App heißt es: Nur die Lichktfunktion ist relevant, mehr nicht – und sie darf auch nicht an das Unternehmen übertragen werden. Der Rat verlangt die Datensparsamkeit in Hinblick auf Big Data aber gar nicht mehr, Parlament und Kommission sehr wohl. Hier hatte zuletzt der Schattenberichterstatter im Parlament, der Konservative Axel Voss, viel Verständnis für die Big-Data-Industrie gezeigt. Berichterstatter Albrecht zeigt sich jedoch gegenüber Futurezone optimistisch: „Das Parlament ist sich hier einig, dass wir die Datensparsamkeit, wie sie in den Datenschutzgesetzen bislang festgelegt wird, beibehalten.“

Ein weiterer Knackpunkt ist die Verpflichtung, Datenschutzbeauftragte in den Behörden und Unternehmen zu benennen. Dieser also hätte im Fall der App schon bei der Entwicklung darauf hingewiesen, dass nur die Lichtfunktion legal ist. Oder er hätte, wie es eben bei der Deutschen Telekom der Fall war, bei der Entwicklung eines Routers auf den Einsatz von rotierenden IP-Nummern gedrängt. Bislang konnte sich im Rat nur Deutschland so richtig dafür erwärmen, weil sich dieses System dort bereits bewährt hat.

Die Datenschutzbeauftragten vor Ort fungieren ähnlich wie die Sicherheitsbeauftragten, in dem sie dafür sorgen, dass Datenschutz schon in die Prozesse eingebaut und in der Produktentwicklung mitgedacht wird. Das in der Reform verankerte „Privacy by Design“ ist ohne sie gar nicht denkbar. Als weltweites Vorbild gilt hier mittlerweile die Deutsche Telekom, die nach dem Spitzelskandal 2008 den Datenschutzbeauftragten derart in alle Unternehmensprozesse verankerte, dass nicht mehr ohne seine Beteiligung und gegen sein Veto läuft. Ihm unterstehen 63 Mitarbeiter – doppelt so viele, wie etwa die irische Datenschutzaufsichtsbehörde für das ganze Land zur Verfügung hat.

Löchriger als Schweizer Käse

Das Beispiel betriebliche und behördliche Datenschutzbeauftragte ist nur ein Beispiel für eine so genannte Öffnungsklausel, in der also die Mitgliedstaaten zu eigenen Regeln finden wollen. Insgesamt verlangt der Rat 30 Öffnungsklauseln. Von einem einheitlichen europäischen Recht kann daher gar nicht mehr gesprochen werden. Auch Albrecht, der für das Parlament bereits einige Öffnungsklauseln vorgesehen hat, sagt: „Das geht zu weit und gefällt uns überhaupt nicht.“ Das sei, als wenn man in einen Schweizer Käse noch mehr Löcher hineinbohre – und er kündigt an: „Darüber werden wir viel diskutieren, denn es muss ein gewissen Verbindlichkeit geben, um das Recht durchzusetzen.“

Apropos Verbindlichkeit: Dazu gehören auch die Sanktionen. Während das Parlament Bußgeld in der Höhe von bis zu 5 Prozent des Gesamtumsatzes verlangt, hat der Rat dieses auf zwei Prozent heruntergedrückt. Vielleicht auch in Hinblick darauf, dass künftig auch Behörden bei Verstößen Bußgelder zahlen müssen. Nicht zur Verhandlung steht übrigens die Ausstattung der Kontrollinstanzen, die letztlich dafür sorgen müssen, dass das Recht überhaupt wirksam werden kann.

Das Parlament hat dazu keine Vorgaben gemacht, weil dies in die Kompetenzen der Mitgliedstaaten eingreifen würde. Doch es mahnt an, die Ausstattung an die Bevölkerungszahl und die Zahl der zu kontrollierenden Unternehmen anzupassen. Bislang ist nur von Irland eine Reaktion bekannt: Dort wurde das Budget der Aufsichtsbehörde, die US-Giganten wie Facebook, Apple und Twitter kontrollieren soll, gerade verdoppelt. Von Österreich ist noch nichts bekannt.