Themenüberblick

Größte Hürde ist Profiling

Es ist keine Übertreibung, die neue EU-Datenschutzverordnung als eines der derzeit wichtigsten europäischen Gesetzesvorhaben zu bezeichnen. Sie beeinflusst entscheidend die künftigen Spielregeln in der europäischen digitalen Welt, für große Unternehmen - ob Google und Facebook oder Klein- und Mittelbetriebe - genauso wie für die mehr als 500 Millionen EU-Bürger.

Dieser Artikel ist älter als ein Jahr.

Über kaum ein EU-Gesetz wurde daher in jüngerer Vergangenheit ähnlich lange gestritten. Wie „heiß“ das Thema ist, zeigt die Reaktion Googles: Der IT-Konzern, der seit Jahren eine große Vertretung in Brüssel hat, um seine Interessen zu vertreten, wollte sich zu dem Thema gegenüber ORF.at trotz mehrmaliger Nachfrage nicht äußern.

„In vielen Ländern Verbesserungen“

Der „Berichterstatter“, also der Chefverhandler des EU-Parlaments, der deutsche Grünen-Abgeordnete Jan Philipp Albrecht, zeigt sich im Interview mit ORF.at aber optimistisch, dass nun ein Ende in Sicht ist und im seit Sommer laufenden Trilog (Verhandlungen zwischen Parlament und Rat unter Beisein der Kommission, Anm.) eine politische Einigung noch heuer erreicht wird. 2012 hatte die damalige EU-Kommissarin Viviane Reding einen Gesetzesentwurf vorgelegt, die Verhandlungen hatten aber bereits 2009 begonnen.

Jan Philipp Albrecht

ORF.at/Guido Tiefenthaler

Ein entspannter Chefverhandler

Und für Albrecht wird die neue Verordnung - sie tritt spätestens zwei Jahre nach dem offiziellen Beschluss durch Parlament und Rat in allen EU-Staaten in Kraft - „in vielen Ländern Verbesserungen bringen. Auch in Ländern mit hohem Niveau, wie Deutschland, Österreich und Spanien.“ Verbesserungen vor allem insofern, als die derzeit gültigen Regeln für die Erfordernisse des digitalen Zeitalters fit gemacht würden.

Aber Albrecht stellt klar, dass die Verordnung nicht alles regeln wird. Sie „wird uns nicht aus der Verantwortung entlassen, uns selbst ein Stück weit zu schützen“ - und er vergleicht das mit dem Straßenverkehr. Trotz Straßenverkehrsordnung müsse man als Fußgänger ja auch schauen, bevor man eine Straße überquere. Wichtig sind für Albrecht, der Mitglied des Ausschusses für Bürgerrechte und Justiz ist, daher „Methoden, das eigene Persönlichkeitsrecht und die Selbstbestimmung im Informationszeitalter ein bisschen kreativ zu erhalten“.

„Stück weit entziehen“

Man müsse sich mit mehr Energie der Frage widmen: „Wie können wir Methoden entwickeln, mit denen der Einzelne sich der Überwachung, die immer stärker wird - ob im gesellschaftlichen, geschäftlichen, aber auch privaten Bereich -, ein Stück weit entziehen kann?“ Das könne „durch Verschlüsselung, Pseudonyme, Vermeidung von Daten oder aber das Produzieren von Datenmüll, der letztlich das Gesamtbild verändert“, geschehen.

Mit Letzterem verweist Albrecht auf einen neuen Trend zum Schutz der Privatsphäre, im Englischen Obfuscation genannt. Mit Hilfe von Plugins - etwa im Browser - werden permanent falsche Daten produziert, die die persönliche Datenspur im Netz verfälschen und so Überwachung und Profiling erschweren.

Verhandlungsfinale

Seit Sommer wird intensiv verhandelt. Etwa alle 14 Tage wird seither ein bis zwei Tage verhandelt. Für die Luxemburger Ratspräsidentschaft wäre eine Einigung ein großer Erfolg.

„Gesellschaftliche Aufklärung“

Sich mit eigenen Mitteln möglichst wenig „trackbar“ zu machen - das ist für Albrecht kein Widerspruch zu einem geregelten Datenschutz. Die Verordnung sei nötig, um einen "gesetzlichen Rahmen zu schaffen, „in dem wir eindeutig und vertrauensvoll miteinander agieren und wirtschaften können“. Auf der anderen Seite gehe es darum, „ein Stück weit an der gesellschaftlichen Aufklärung zu arbeiten“.

Diese ist in Albrechts Augen angesichts des rasanten „Transformationsprozesses“, den die Welt derzeit angesichts der neuen Technologien durchlaufe, unerlässlich. Und dazu gehöre vor allem das Erlernen eines „selbstverständlichen Umgangs mit technischen Vorrichtungen, um beispielsweise unsere Privatsphäre besser zu schützen“. Bei der Wirtschaft wird Albrecht mit seiner Position nicht auf Zustimmung stoßen. Denn massenhaftes Verschleiern oder Vernebeln von Daten könnte digitale Geschäftsmodelle empfindlich treffen.

„Privacy by default“

Als konkrete Verbesserungen nennt Albrecht etwa standardisierte Symbole neben Datenschutzerklärungen, um sie einfacher verständlich zu machen, weiters dass man Widerspruch - ein Opt-out durch eine Voreinstellung - möglich macht und schließlich das Prinzip „Privacy by default“ durchsetzt - dass Datenschutz die Grundeinstellung sein muss und der User aktiv das Sammeln von Daten, das über den eigentlichen Zweck des jeweiligen digitalen Dienstes hinausgeht, freigeben muss. Damit bleibe die Entscheidung über die Freigabe von Daten weitgehend beim Verbraucher.

Größter Knackpunkt

Einer der umstrittensten Punkte ist das Profiling - also das Erstellen von „Profilen“, etwa durch Versicherungen oder Kreditabschätzungsfirmen, aufgrund persönlicher Daten. Diese Profile werden dann aber zur Produktion neuer Daten benutzt - ein Prozess, über den User derzeit völlig im Dunkeln gelassen werden. Datenschützer sprechen in dem Zusammenhang von „schwangeren Daten“, da aus solchen Profildaten neue Daten generiert werden.

Hier beharrt das Parlament in den Trilog-Verhandlungen darauf, dass Verbraucher der Profilbildung widersprechen können dürfen. Das heißt, Unternehmen müssten User erstmals auch darüber - und zwar vorab - informieren, dass sie Profildaten verwenden (wollen). Die Mitgliedsländer würden sich hier bisher dagegen wehren, darüber werde noch verhandelt, so Albrecht.

Doku „Im Rausch der Daten“

Die Doku „Democracy - im Rausch der Daten“ verfolgt das jahrelange Ringen von EU-Parlament, Nationalregierungen und Lobbyisten um neue Datenschutzregeln. Der Film hatte Anfang November Deutschland-Premiere, im Jänner läuft er auch in Österreich an.

Wirtschaft: Profiling auch Chance

Auch für die Unternehmensseite ist das einer der Knackpunkte, wie Guido Lobrano von BusinessEurope gegenüber ORF.at betont: Profiling dürfe man nicht automatisch negativ sehen, es könne in vielen Fällen von Vorteil für die Nutzer sein. Generell warnt er davor, die Bedingungen in der Datenschutzverordnung zu eng zu definieren. Man müsse diese für künftige technische Entwicklungen offen lassen.

Einzelne Bereiche sollten klar reguliert werden, etwa wann wer haftet. Als konkretes Beispiel nennt Lobrano hier eine Bank und ein Unternehmen, das im Auftrag der Bank die Kundendaten verarbeitet. Andererseits will die Wirtschaftsseite möglichst viel Flexibilität - etwa bei den sogenannten Data Protection Impact Assessments, kurz DPIA (etwa: Einschätzung der Auswirkungen auf den Datenschutz). Diese sollen bei Datenprofiling vorgeschrieben werden - hier will die Wirtschaft aber, so wie der Rat, eine Einschränkung auf „hohe Risiken“ für die Bürger. Darunter versteht Businesseurope etwa ID-Diebstahl, finanzielle Verluste oder Rufschädigung. Das EU-Parlament will hier weiter mehr Rechte für die Nutzer.

Fall für den EuGH?

Hinter dem Streit über Profiling verbirgt sich also generell eine der wohl heikelsten Fragen des Lebens und Geschäftemachens im digitalen Europa, nämlich: Wann kann ein Unternehmen Daten verarbeiten, ohne die betroffenen Personen zu fragen? Wann gibt es hierfür ein „legitimes Geschäftsinteresse“, so die juristische Formulierung, und welche Rechte haben dann die Betroffenen? Gut möglich, dass letztlich - so wie in vielen anderen tiefgehenden Interessenkonflikten - auch hier der Europäische Gerichtshof (EuGH) die konkreten Maßstäbe festlegen wird müssen.

Guido Tiefenthaler, ORF.at, aus Brüssel

Links: