EU Datenschutz

ePrivacy: Öffentlicher Nutzen oder private Überwachung?

Im englischen Original von Yannic Blaschke, Übersetzung von Lutz Martiny

92 Wochen nach Veröffentlichung des Vorschlags wartet die EU immer noch auf eine ePrivacy-Verordnung. Die Verordnung soll die geltende Datenschutzrichtlinie für elektronische Kommunikation ersetzen und an die Allgemeine Datenschutzverordnung (GDPR) anpassen.

Während die GDPR die Art und Weise der Verarbeitung personenbezogener Daten im Allgemeinen regelt, regelt die ePrivacy-Verordnung speziell den Schutz der Privatsphäre und die Vertraulichkeit der elektronischen Kommunikation. Zu den betreffenden Daten gehören nicht nur der Inhalt und die „Metadaten“ (Daten darüber, wann, wo und an wen eine Person kommuniziert hat) der Kommunikation, sondern auch andere Identifikatoren wie „Cookies“, die auf den Computern der Benutzer gespeichert werden. Um die Gesetzgebung im Hinblick auf die technologischen Entwicklungen fit zu machen, befasst sich der Vorschlag der Europäischen Kommission (EK) mit einigen der wichtigsten Änderungen in der Kommunikation der letzten zehn Jahre, einschließlich der Nutzung so genannter „over the top“-Dienste wie WhatsApp und Viber.

Die Verordnung stößt derzeit auf heftigen Widerstand aus bestimmten Bereichen der Verlags- und Verhaltenswerbebranche. Nachdem das Europäische Parlament (EP) einen verbesserten Text angenommen hat, verzögert sich dieser nun auf der Ebene des Rates der Europäischen Union, wo die EU-Mitgliedstaaten den Text verhandeln.

Eines der größten Hindernisse bei den Verhandlungen ist die Frage, inwieweit Anbieter wie Telekommunikationsunternehmen Metadaten für andere Zwecke als den ursprünglichen Dienst nutzen können. Einige private Unternehmen – dieselben, die die Notwendigkeit der Zustimmung der Nutzer im GDPR in Frage stellten – haben nun ihr Argument neu formuliert, dass eine „übermäßige Abhängigkeit“ von der Zustimmung zukünftige Technologien erheblich behindern würde. Eine übermäßige Abhängigkeit von irgendetwas ist per Definition nicht gut, ebenso wenig wie eine unterdurchschnittliche Abhängigkeit, aber eine solche Sophistik ist ein Grundpfeiler der Lobbysprache.

Dieser Lobbyangriff lässt jedoch den Hinweis aus, dass eine kompatible Weiterverarbeitung nicht nur zu gutartigen Anwendungen im öffentlichen Interesse führen würde: Da der Vorschlag die Weiterverarbeitung nicht auf statistische oder Forschungszwecke beschränkt, könnte er ebenso gut für kommerzielle Zwecke wie kommerzielle oder politische Manipulationen verwendet werden. Aber auch im Hinblick auf die potenziell wohlwollenderen Anwendungen der KI ist zu bedenken, dass sich die automatisierte Datenverarbeitung in einigen Fällen als sehr nachteilig für Teile der Gesellschaft, insbesondere für gefährdete Gruppen, erwiesen hat. Dies sollte bei der Bewertung der Sicherheit und des Datenschutzes von Gesamtdaten nicht ignoriert werden. Während beispielsweise die Verwendung von Standortdaten für „Smart Cities“ unter bestimmten, eng definierten Umständen sinnvoll sein kann, wenn sie für die Verkehrssteuerung oder das Naturkatastrophenmanagement eingesetzt werden, gewinnt sie erheblich an Bedeutung, wenn sie beispielsweise zu rassistischer Diskriminierung bei Unternehmenslieferdiensten oder Strafverfolgungsmaßnahmen führt. Es ist leicht vorstellbar, dass Metadaten, eine der aufschlussreichsten und am einfachsten zu verarbeitenden Formen personenbezogener Daten, für ebenso grobe oder falsch ausgerichtete Anwendungen verwendet werden könnten, was zu sehr negativen Ergebnissen für gefährdete Gruppen führt. Darüber hinaus wird, wenn aggregierte, pseudonymisierte Daten zu negativen Ergebnissen für eine Person führen, nicht einmal eine Berichtigung oder Löschung der Daten der Person zu einer Verbesserung führen, solange die gesammelten Daten ähnlicher Personen noch verfügbar sind.

Ein weiterer Fallstrick der vermeintlich privaten, scheinbar pseudonymisierten Verarbeitung besteht darin, dass selbst wenn einzelne Nutzer nicht angesprochen werden, Unternehmen möglicherweise die Metadaten von Bürgern in identifizierbarer Form pflegen müssen, um bestehende Datensätze mit neuen zu verknüpfen. Dies könnte im Wesentlichen zu einer Form der freiwilligen Datenspeicherung führen, die bald das Interesse der Akteure der öffentlichen Sicherheit wecken könnte, die raffgierig nach neuen Datenquellen und neuen Befugnissen suchen. Wenn ein solcher Zugang gewährt würde, wären Personen im Wesentlichen identifizierbar. Selbst die Aufbewahrung „nur“ aggregierter Daten für bestimmte gesellschaftliche Gruppen oder Minderheiten reicht oft schon aus, um eine diskriminierende Maßnahmen einzuleiten.

Obwohl die österreichische Präsidentschaft des Rates der Europäischen Union in ihrem jüngsten Kompromissvorschlag einige bemerkenswerte Garantien für eine kompatible Weiterverarbeitung aufgenommen hat, insbesondere die Notwendigkeit, die nationale Aufsichtsbehörde zu konsultieren oder eine Folgenabschätzung zum Datenschutz durchzuführen, wird der Einzelne durch den vorliegenden Vorschlag nicht ausreichend befugt. Da die Auslegung einer „kompatiblen“ Weiterverarbeitung in den einzelnen Mitgliedstaaten sehr unterschiedlich sein kann (was zu jahrelangen Rechtsstreitigkeiten führen würde), sollte es den Bürgern überlassen bleiben zu entscheiden (und der Industrie den Nachweis zu erbringen), welche Formen der Metadatenverarbeitung in der Gesellschaft sicher, fair und vorteilhaft sind.

CC-BY 4.0 Yannic Blaschke (EDRi Praktikant)

0 Kommentare zu “ePrivacy: Öffentlicher Nutzen oder private Überwachung?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.