EDSB: Die enormen Anstrengungen in Sachen Datenschutzreform müssen einen starken und effektiven Schutz für EU-Bürger liefern
Letzte Woche hat der EDSB mit Hinblick auf die heutige Debatte im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) zusätzliche Kommentare zur Reform der EU-Datenschutzregeln an das Europäische Parlament, die Kommission und den Rat geschickt. Diese Kommentare betreffen ausgewählte Bereiche, in denen Klarstellungen notwendig sind und reagieren auf Änderungsanträge, die in verschiedenen Ausschüssen, den LIBE-Ausschuss eingeschlossen, vorgelegt wurden.
Peter Hustinx, EDSB, sagte hierzu: "In unserer Gesellschaft sind wir immer mehr auf Technologien, die gewaltige Mengen unserer persönlichen Daten verarbeiten, angewiesen. Elektronische Überwachung ist gang und gäbe; Profilbildung und 'Big Data' strapazieren unsere Privatsphäre. Die Reform des EU-Rechtsrahmens für den Datenschutz ist eine wichtige Gelegenheit, die Balance wiederherzustellen und dieses Grundrecht für alle EU-Bürger auf Generationen hinaus zu sichern. Am Ende der Verhandlungen im Europäischen Parlament und im Rat muss das Ergebnis unbedingt ein Reformpaket mit einem hohen Datenschutzniveau sein."
In unserem Alltag geben wir oft unsere persönlichen Daten preis: sei es durch Kundenkarten, Formulare in Hotels oder für Bewerbungen, oder etwa durch die Teilnahme an klinischen Studien. Online ist Datennutzung auf e-Commerce-Seiten, in Sozialen Netzwerken und in mobilen Apps allgegenwärtig, sei es via PCs, oder auch via Smartphones und Tablets. "Big Data"-Firmen sind in der Lage, Informationen über uns aus einer Reihe von Quellen – on- und offline – zusammenzuführen und miteinander in Beziehung zu setzen; häufig verdienen sie mit den so gewonnenen Profilen Geld.
Mit komplexer, allgegenwärtiger und nie abgeschalteter Technologie konfrontiert, sollten EU-Bürger in der Lage sein, zu bestimmen, wie ihre persönlichen Daten genutzt werden. Aus diesem Grund fordert der EDSB, dass die Definition der expliziten Einwilligung – anders gesagt: eine klare und eindeutige Erlaubnis der betroffenen Person, ihre persönlichen Daten zu nutzen – als einer der Ecksteine des Rechtsrahmens für den Datenschutz beibehalten wird.
Zusätzlich macht es die enorme Rechenleistung, die auf wachsende Mengen von Daten, die aus verschiedenen Quellen stammen, angewendet wird, immer schwieriger, sicherzustellen, dass die Mittel, die personenbezogene Daten anonymisieren oder die Identität einer Person verschleiern sollen (etwa Pseudonyme) auch wirklich wirksam sind. Jegliche Definition anonymer oder pseudonymer Daten sollte vollständig mit der Definition personenbezogener Daten kohärent sein und darf nicht dazu führen, dass bestimmte Kategorien von Daten unangemessenerweise aus dem Anwendungsbereich des Datenschutzrechts ausgenommen werden. Insbesondere ist zu beachten, dass pseudonymisierte Daten personenbezogene Daten bleiben und als solche geschützt werden sollten.
Die Kommentare des EDSB sprechen auch andere Aspekte des Rechtsrahmens für den Datenschutz an. Abschließend warnt der EDSB den EU-Gesetzgeber vor unangemessenem Druck aus der Wirtschaft, der auf eine Absenkung des bestehenden Datenschutzniveaus abzielt. Der Gesetzgeber sollte sich vor solchem Druck schützen und stattdessen die Gelegenheit ergreifen, einen stärkeren und effektiveren Schutz für Bürger in der gesamten EU zu gewährleisten.
Hintergrundinformationen
EU-Datenschutzreformpaket: Am 25. Januar 2012 hat die Kommission ihr Reformpaket vorgestellt. Es besteht aus zwei Rechtsetzungsvorschlägen: einer Grundverordnung zum Datenschutz und einer spezifischen Richtlinie zum Datenschutz im Polizei- und Justizbereich. Am 7. März 2012 hat der EDSB eine Stellungnahme veröffentlicht, in der er seine Position zu den beiden Vorschlägen erläutert. Die beiden Vorschläge wurden im Europäischen Parlament und im Rat ausgiebig diskutiert und haben die Aufmerksamkeit zahlreicher Interessensgruppen aus dem öffentlichen Sektor, der Privatwirtschaft und der Zivilgesellschaft auf sich gezogen. Die Lobbyaktivitäten in diesem Rechtsetzungsverfahren waren außergewöhnlich.
Personenbezogene Daten: Alle Informationen über eine bestimmte oder bestimmbare natürliche Person, wie zum Beispiel Namen, Geburtsdaten, Fotos, E-Mail-Adressen und Telefonnummern. Andere Details, wie z.B. Gesundheitsdaten, für Beurteilungszwecke verwendete Daten und Verkehrsdaten beim Gebrauch von Telefon, E-Mail oder Internet werden ebenfalls als personenbezogene Daten angesehen.
Pseudonymisierte Daten sind per Definition Daten, die zu einer bestimmbaren Person zurückverfolgt werden können, da eine Verbindung zwischen dem Pseudonym und den Daten, die eine Identifikation ermöglichen (z.B. Vor- und Zuname, Adresse, usw.) verfügbar ist, entweder für die Stelle, die die Daten gesammelt hat oder für einen Dritten. Selbst wenn das Pseudonym und seine Verbindung zur echten Identität nur einer einzigen Stelle (sei es die verarbeitende Stelle oder ein vertrauenswürdiger Dritter) bekannt ist und an niemanden weitergegeben wird, bleiben pseudonymisierte Daten personenbezogene Daten.