cloud world blog

Nachrichten, Tipps und Entwicklungen rund um die Cloud

Die Datenschutz-Reform der EU: Industrie vs. Individuum?

von Juliane Waack

17.06.2015 07:00:00

digital_fingerprint_4_3Nachdem eigentlich bereits Anfang des Jahres Nägel mit Köpfen gemacht werden sollten, wurde diese Woche die geplante EU-Datenschutz-Reform positioniert. Damit ist der Anfang gemacht, doch der erweist sich als Streitgut.

Das Ziel: Standards und Sicherheit europaweit

Die aktuelle Datenschutzregelung im europäischen Raum ist von 1995, das – da dürften wir uns alle einig sein – ist im Rahmen der digitalen Entwicklung ein paar Jahre zu alt, um wirklich übergreifend effektiven Datenschutz zu gewährleisten.

Doch diese Regelung spielt dennoch eine große Rolle, denn ihre damals festgelegten Standards sollen mit der Reform, an der bereits seit 2012 gearbeitet wird, nicht unterschritten werden.

Ziel ist ein Datenschutzrecht in Europa, das einerseits die Persönlichkeitsrechte der Europäer schützt – denn deren Daten werden nicht zuletzt durch das Internet und Cloud-Dienste über alle Ländergrenzen transportiert – andererseits der Wirtschaft entgegenkommt, indem in ganz Europa nur ein Datenschutzrecht herrscht – keine Verwirrungen, keine Wettbewerbsvorteile durch eher weiche Datenschutzkontrollen und -anforderungen und keine Probleme bei Server-Standorten.

Industrie vs. Individuum – Ein Überblick

Das Problem, das sich aus der Balance ergibt ist, dass das eine (die Industrie) dem anderen (das Individuum) manchmal im Weg steht und umgekehrt. Im Folgenden eine Aufzählung der kritischsten Punkte in dem aktuellen Vorschlag (Hinweis: diese Regelungen inklusive der Streitpunkte sind noch nicht in Stein gemeißelt).

Zweckbindung

Was bringt uns das?

Die Zweckbindung besagt, dass erhobene Daten nur für einen spezifischen Zweck verwendet werden dürfen, den der Anwender kennt und dem er zustimmt. Die Weitergabe an Drittnutzer – wie aktuell oftmals üblich – sei demnach nicht akzeptabel und unter Umständen rechtswidrig.

Wo wird gestritten?

Das sehen viele Internet-Unternehmen als gefährliche Regelung, da dadurch die Informationsverarbeitung erschwert wird, insbesondere, was das Marketing angeht. Daher soll es etliche Ausnahmen geben, den Zweck im Interesse der Unternehmen auszuweiten.
Gerade Deutschland verdient sich darüber hinaus keine Lorbeeren, da es am „Opt-In“-Prozess zur Datenverwendung herumbasteln will. So sind deutsche Entscheider dafür, dass der Anwender eben nicht mehr aktiv dem Gebrauch und der Speicherung seiner Daten zustimmen muss, sondern dass dies auch passiv reicht, wenn er beispielsweise einer Webseite für den Moment erlaubt, Daten wie den Standort zu verwenden. Zusätzlich soll es – so ein Vorschlag – möglich sein, diese Daten auch an Drittanbieter weiterzugeben, ohne dass der Anwender davon erfährt.  Diese Daten sollen dann auch mehr oder weniger zweckentfremdend genutzt werden können.

Datensparsamkeit

Was bringt uns das?

Wie bereits vor einigen Wochen im Beitrag „Sicher durch Sparsamkeit“ erläutert, sind Unternehmen aktuell angehalten, nur so viele Daten zu sammeln, wie auch wirklich für den entsprechenden Zweck gebraucht werden, die Datensparsamkeit kann also direkt im Tandem mit der Zweckbindung gesehen werden. Eine Diät-App bräuchte und sollte daher nicht zusätzlich neben den Essgewohnheiten sammeln, wann man Geburtstag hat oder ob man verheiratet ist.

Worüber wird gestritten?

Für den Anwender dürfte sich das Thema der Datensparsamkeit jedoch nachteilig auswirken, denn die wird laut heise.de aus der Reform gestrichen und erhält höchstens noch eine Erwähnung, dass persönliche Informationen „nicht exzessiv“ genutzt werden sollen.  

Verbot von Profiling 

Was bringt uns das?

Vor einiger Zeit machte Uber eher negative Schlagzeilen als es anhand seiner Daten herausfand, welche Nutzer Affären oder One-Night-Stands hatten. Neben der eher fragwürdigen Intention dieser Analyse stellte sich besonders für Datenschützer die Frage, wie einfach es eigentlich ist, ein Profil von Nutzern mittels eher unscheinbar und unwichtiger Daten zu kreieren. Zudem können solche Profile unter Umständen nachteilig für den Anwender sein (etwa durch höhere Krankenkassengelder, weil die Krankenkasse sich als Drittanbieter einer Diät-App darüber informieren kann, wie schlecht man sich ernährt).

Worüber wird gestritten?

Anbieter sehen darin einen immensen Vorteil und zwar nicht nur für Marketing-Zwecke. Das Analysieren von Personendaten, um ein Profil zu erstellen, soll auf nationaler Ebene beispielsweise beim präventiven Aufdecken von Betrugsmaßnahmen helfen bzw. für Staaten ermöglicht werden, um vor kriminellen Akten und Terror-Anschlägen zu schützen (die Wirksamkeit des Profiling ist hingegen sehr umstritten).
Datenschützer kritisieren dabei, dass die angebliche Anonymität der gesammelten Daten aufgehoben wird, dass die Analysen auch gängige Vorurteile einfließen lassen (etwa, wenn bestimmte Religionen eher in die Gefahrengruppe terroristischer Aktivitäten gesteckt werden) und dass so wichtige Entscheidungen ausschließlich aufgrund von Algorithmen gefällt werden. 

Das Recht auf Vergessen 

Was bringt es uns?

„Was einmal im Netz ist, kann niemals gelöscht werden?“ Nicht, wenn es nach dem Recht des Vergessens geht, denn dort sollen Individuen, die einst als Personen nachrichtenwürdiger Ereignisse genannt und identifiziert wurden, das Recht haben, dass ihre Information nach dem Verstreichen einer bestimmten Frist gelöscht werden. Dies soll beispielsweise Opfern von Straftaten dabei helfen, nicht auch Jahre später noch mit diesem Verbrechen in Verbindung gebracht werden. Das Gesetz erweist sich schon seit Längerem als schwierig in der Ausführung, da es auch mit dem Informationsgesetz für Journalisten kompatibel sein muss.

Worüber wird gestritten?

Es soll zwar im Gesetzentwurf bleiben, jedoch aus „legitimen Gründen“ außer Kraft gesetzt werden können, wie es in der Position heißt. So sollen das „öffentliche Interesse“ als auch „historische, statistische und wissenschaftliche Zwecke“ Grund genug sein, dem Wunsch auf die Datenlöschung nicht nachzukommen. Hier müsse konkretisiert werden, wie diese Zwecke genau definiert sind, meinen Datenschützer, damit die Klausel am Ende nicht die Türen für alle Fälle offen lässt und das Recht somit eher Schein als Sein ist.

Transparenz

Was bringt es uns?

Der Anwender soll das Recht haben, ohne explizite Aufforderung einsehen zu können, was mit seinen Daten passiert, wie sie genutzt werden und an wen sie weitergeben werden.

Worüber wird gestritten?

Die Anbieter würden sich über weniger konkrete Transparenz-Gesetze freuen, mit der Möglichkeit zu Ausnahmen, denn sie möchten nicht, dass beispielsweise Geschäftsgeheimnisse oder Daten von Drittanbietern dadurch beeinträchtigt werden (wobei sich hier die Frage stellt, warum die Daten von Drittanbietern anscheinend schützenswerter sind als die Daten der Anwender). 

One-Stop-Shop

Was bringt es uns?

Eine Idee, die wahrscheinlich von allen begrüßt wird – die Kommunikation wird zentralisiert. Anstatt sich durch 28 Aufsichtsbehörden wühlen zu müssen, soll es zentrale Anlaufstellen geben, die für alle Belange zuständig sind. Es wird also nationale Zentralen geben, die auch bei Problemen mit Datenschutz in anderen EU-Ländern Hilfe bieten und so auch rechtliche Schritte einleiten, sollte es zu Verstößen kommen.

Worüber wird gestritten?

Nach jüngsten Vorschlägen zufolge, soll jedoch auch diese Vorgehensweise aufgeweicht werden, was sowohl für Unternehmen als auch Anwender in zwei bis drei Anlaufstellen, die in einer bestimmten Reihenfolge besucht werden müssten, resultieren würde.

Einen sehr kritischen (englischen) Vergleich der ursprünglich geplanten Reform und der aktuellen Änderungen findet man übrigens auf edri.org (Link zur PDF).

Für die einen zu schwach, für die anderen zu stark

Wer sich einmal mit Kognition und der Psychologie verschiedener Ansichtspunkte beschäftigen will, der hat mit diesem Entwurf ein Paradebeispiel gefunden. Während beispielsweise die Bürgerrechtsorganisation European Digital Rights erklärt, dass das Ergebnis „Europas weltweit führenden Datenschutzansatz“ zerstören würde, sehen IBM und Co das der Nachrichtenagentur Reuters zufolge wohl nicht so und sehen sogar eine Gefahr darin, dass nun auch Daten-Hoster in der Verantwortung stehen, sollten die Daten missbraucht werden. „Es ist wichtig, dass die Anwender und Unternehmen wissen, wer am Ende für ihre Daten verantwortlich ist“, erklärt Liam Benham, Vice President of Government and Regulatory Affairs bei IBM, gegenüber Reuters. „Mit der neuen Reform könnte es schwammig werden, was am Ende zu langen und kostspieligen Gerichtsverfahren führt, die sowohl für die Anwender als auch die Anbieter frustrierend sein werden.“

Allzu kostspielig sind Kosten für Unternehmen, die gegen Datenschutzgesetze verstoßen, indes nicht, denn wenn es um die Strafgebühren geht, wurden die maximal 100 Millionen Euro oder 5% des Geschäftsvolumens auf verhältnismäßig harmlose 250000 Euro oder 0,5% des Geschäftsvolumens heruntergehandelt. Bleibt es bei diesem Entwurf, werden sich insbesondere große Unternehmen wohl kaum vor Abmahnungen fürchten müssen.

Was ist wichtiger? Der Markt oder der Kunde? Diese Frage müssen sich Politiker (mit den entsprechenden Lobbys im Nacken) in den nächsten Monaten stellen, wenn es darum geht, den Entwurf auszuarbeiten.
Gerade darin sieht Helmut Fallmann, Co-Gründer des oberösterreichischen Cloud-Anbieters Fabasoft, jedoch eine Gefahr, wie er im Interview mit trend.at erläutert. „Wenn wir den Mumm hätten, Europa als europäische Demokratie zu leben, in der das Europäische Parlament rechtsgültige Gesetze beschließen kann, dann gäbe es diese Datenschutzreform bereits.“ So sei der geplante Dialog zwischen Rat, Kommission und Parlament potenziell gefährdend für die Stärke der Reform, da diese sich mit verstreichender Zeit immer weiter aufweiche und mehr zuließe, was ursprünglich nicht erlaubt war. „Und das droht auch Europa wirtschaftlich massiv zu schwächen.“

Denn auch wenn das Gesetz unter anderem dazu da ist, dass internationale Unternehmen in Europa eindeutige Regelungen haben, ohne sich um individuelle Gesetze kümmern zu müssen, so ist der Hauptgrund der Reform auch der, dass die europäische digitale Wirtschaft Grundlagen für sich schafft, um sich stärker auf dem weltweiten Markt zu positionieren.

Zudem soll auch der europäische Anwender davon profitieren, dass er eben nicht zwangsläufig die amerikanischen Gesetze für Facebook und Co anerkennen muss. Stattdessen müssen diese Unternehmen in Europa besondere Vorkehrungen treffen. Hier fürchten selbstverständlich die amerikanischen Unternehmen Kosten, Aufwände und Einschränkungen, doch für den Rechtsraum Europa ergibt sich dadurch neben den benutzerfreundlichen Vorkehrungen auch ein bislang unmöglicher Wettbewerbsvorteil – denn während Facebook beispielsweise bislang erheblich weniger Aufwand hatte, Datenschutzregelungen einzuhalten, waren europäische Unternehmen diesen gegenüber verpflichtet.

Es ist natürlich klar, dass man in Zeiten der Cloud und des Internets der Dinge nicht mehr mit Gesetzen aus dem Jahr 1995 handeln kann. Dass Daten heutzutage innerhalb von Sekunden mehr und längere Wege hinter sich bringen als wir es uns jemals vorstellen konnten, muss in derartigen Regelungen berücksichtigt werden. Ebenso muss klar sein, wer verantwortlich ist, wenn Daten missbraucht wurden und an wen sich die Opfer wenden können.

Wir verarbeiten Daten heutzutage anders als früher. Mit dem Aufkommen von Big Data und dem datenschutzrechtlich eher grauen Data Mining können aus scheinbar anonymen Daten ungemein individuelle Profile erstellt werden – ist das Marketing eines Unternehmens da wirklich wichtiger als die Persönlichkeitsrechte des Kunden?

„Genauso, wie mich Europa vor verdorbenen Lebensmitteln schützt, muss es mich vor der Plünderung und dem Missbrauch meiner Daten schützen“, meint Fallmann.

(Das sehr informative, ausführliche Interview finden Sie übrigens auf trend.at

All das gilt es, möglichst schnell und gründlich in der Datenschutz-Reform auszubalancieren und zwar auf eine Art und Weise, die sowohl wirtschaftlich als auch gesellschaftlich akzeptabel ist und die Datenschutzrechte wahrt, schützt und kontrolliert, während die digitale Wirtschaft gleichzeitig dadurch von der erhofften Vereinfachung europäischer Regularien profitieren kann. Fakt ist: man wird Kompromisse eingehen müssen und man muss sich stark auf beiden Seiten positionieren.

Was bedeutet die Reform für Deutschland?

Damit Deutschland auf dem internationalen Markt vorne an der Spitze mitmischen kann, ist die EU-Datenschutzreform notwendig, denn aktuell positionieren sich viele Unternehmen mit ihren Rechenzentren lieber in Irland, da dort die Datenschutzbestimmungen eher auf der schwachen Seite liegen. Wenn jedoch europaweit dieselben Gesetze herrschen, geht es nicht mehr darum, sich Vorteile in dem Fleckenteppich des EU-Datenschutzes zu suchen, sondern die Standorte zu wählen, deren Infrastrukturen und wirtschaftlichen Ökosysteme am stärksten sind.

Gerade in Hinblick auf die Industrie 4.0 hat Deutschland extreme Vorteile, da die Grundbausteine dafür hier entwickelt und produziert werden. Zusätzlich hat Deutschland als Wirtschaftsstandort trotz eher verhaltener Fortschritte in den Bereichen Infrastruktur weiterhin weltweit einen guten Ruf, den auch internationale Unternehmen zu ihren Gunsten nutzen wollen.

Wichtig für das Ergebnis der Reform ist, dass die Datenschutzrichtlinien nicht unterhalb der aktuellen festgelegt werden. Das sollte das höchste Ziel für die deutsche Politik sein, da Deutschland weltweit den Ruf hat, den Datenschutz ernst zu nehmen. Dieser sollte nicht nur gewahrt, sondern auch wirtschaftlich genutzt werden, denn die Anwender werden sich – sobald das Spielfeld Europa geebnet wurde –wohl auch weiterhin überlegen, wie wichtig der Standort wohl für ihre Daten ist. Nicht zuletzt für deutsche Unternehmen und Anwender sollte Lokalität die attraktivste Option sein, denn das kurbelt den Markt an, fördert die Innovation und sorgt dafür, dass das Outsourcen in die Cloud nicht zu einem Outsourcen aus der deutschen Wirtschaft wird.

Hoffnungsvoll oder resigniert? Wie sehen Sie der Zukunft des Datenschutzes im digitalen Europa entgegen? Sagen Sie es mir in den Kommentaren. 

Auf unserem Marktplatz können Sie die Standorte unserer Anbieter nach Wunsch filtern – wollen Sie eine lokale Cloud? Dann bekommen Sie sie auch.

Ich will gute Cloud-Software finden

Themen: Datenschutz, Nachrichten

Kommentar schreiben