Die EU-Kommission will pseudonymisierte Daten teilweise von der Datenschutzgrundverordnung ausnehmen. Jetzt äußert sich erstmals eine deutsche Datenschutzbeauftragte. Meike Kamp übt deutliche Kritik an den Plänen und glaubt, die Kommission habe ein Urteil des Europäischen Gerichtshofes missverstanden.

Die Berliner Datenschutzbeauftragte Meike Kamp hat sich kritisch zu Plänen der EU-Kommission für eine Anpassung der Datenschutzgrundverordnung positioniert. „Die EU-Kommission rüttelt an den Grundpfeilern des Datenschutzes“, sagte sie gestern auf einer Veranstaltung ihrer Behörde zum Europäischen Datenschutztag in Berlin. Kamp kritisierte insbesondere den Vorschlag, pseudonymisierte Daten unter Umständen von der Datenschutzgrundverordnung (DSGVO) auszunehmen.

Mit dem sogenannten digitalen Omnibus will die EU-Kommission Teile ihrer Digitalgesetzgebung in den Bereichen Daten, KI und IT-Sicherheit überarbeiten. Die Kommission betont, es gehe ihr bei dem Sammelgesetz nur um Vereinfachungen und eine Zusammenlegung sich überlappender Rechtsakte. Kritiker:innen wenden ein, dass es sich dabei auch um einen Rückbau von Schutzstandards und den Auftakt einer umfassenden Deregulierung handelt.

Tatsächlich enthält der Gesetzesvorschlag beides. Er fasst mehrere Datennutzungsgesetze zusammen und vereinfacht Meldewege für IT-Sicherheitsvorfälle. Gleichzeitig schiebt er aber auch zentrale Regeln der noch jungen KI-Verordnung auf. Im Datenschutzbereich sollen außerdem Auskunftsrechte von Betroffenen eingeschränkt werden und sensible personenbezogene Daten sollen leichter für das Training von KI-Modellen genutzt werden können. Ebenfalls enthalten sind neue Regeln für Cookie-Banner.

Wann gelten pseudonymisierte Daten als personenbezogen?

In der datenschutzrechtlichen Fachdebatte kristallisiert sich inzwischen vor allem ein Vorschlag als Streitpunkt heraus: Die Kommission will verändern, was überhaupt als personenbezogene Daten gilt. Genauer gesagt will sie erreichen, dass pseudonymisierte Daten unter bestimmten Umständen gar nicht mehr als personenbezogen gelten und somit nicht mehr der DSGVO unterliegen.
Pseudonymisierung bedeutet, dass Daten sich nicht mehr einer Person zuordnen lassen, ohne weitere Informationen hinzuzuziehen. In der Praxis heißt das oft: Statt mit dem Namen Namen oder der Telefonnummer einer Person werden ihre Daten mit einer Nummer versehen, die als Identifikator fungiert. Durch komplexe Verfahren kann man die Re-Identifikation erschweren, doch bislang gelten auch pseudonymisierte Daten oft als personenbezogen. Jedenfalls so lange, bis eine Rückverknüpfung gänzlich ausgeschlossen ist, denn dann gelten sie als anonymisiert.

Die EU-Kommission will nun einen relativen Personenbezug einführen. Vereinfacht gesagt heißt das: Wenn jemand bei der Verarbeitung von pseudonymisierten Daten nicht ohne Weiteres in der Lage ist, die Person dahinter zu re-identifizieren, sollen die Daten nicht mehr als personenbezogen gelten. Bei der Weitergabe pseudonymisierter Daten sollen diese nicht allein deshalb als personenbezogen gelten, weil der Empfänger möglicherweise über Mittel der Re-Identifikation verfügt.

Die Neudefinition soll es erleichtern, Daten zu nutzen und weiterzugeben. Das soll Innovationen ermöglichen. Wie eine Analyse von Nichtregierungsorganisationen kürzlich gezeigt hat, hatten vor allem große US-Tech-Konzerne Schritte in diese Richtung vehement gefordert.

Ringen um EuGH-Urteil

Meike Kamp sieht darin eine gravierende Einschränkung der Datenschutzgrundverordnung, wie sie bei der Eröffnungsrede [PDF] der Veranstaltung ihrer Behörde zu den Themen Anonymisierung und Pseudonymisierung darlegte.

Verdeutlich hat sie ihre Befürchtung am Beispiel Online-Tracking. Denn bei der Versteigerung von Werbeplätzen für zielgerichtete Werbung im Internet werden pseudonymisierte Daten an zahlreiche Firmen verschickt. „Verfügen diese Stellen nun über die Mittel, die natürlichen Personen zu identifizieren, oder gilt das nur für die eine Stelle, die die Webseite betreibt?“, so Kamp. Mit dem digitalen Omnibus sei es jedenfalls schwer zu argumentieren, dass sie von der DSGVO umfasst werden.

Schon heute tun sich Datenschutzbehörden schwer damit, die komplexen Datenflüsse im undurchsichtigen Ökosystem der Online-Werbung zu kontrollieren und Datenschutzverstöße zu ahnden. Die Databroker-Files-Recherchen von netzpolitik.org und Bayerischem Rundfunk hatten erst kürzlich erneut gezeigt, dass unter anderem Standortdaten aus der Online-Werbung bei Datenhändlern angeboten werden und sich damit leicht Personen re-identifizeren lassen – auch hochrangige Beamte der EU-Kommission. Zahlreiche zivilgesellschaftliche Organisationen hatten in einem offenen Brief die Sorge geäußert, dass die Praktiken der außer Kontrolle geratetenen Tracking-Industrie legitimiert werden könnten.

Die EU-Kommission beruft sich bei ihrem Vorschlag auch auf jüngste Rechtsprechung des Europäischen Gerichtshofes (EuGH) zum Thema Pseudonymisierung. Kamp kritisierte, dass dies auf einer Fehlinterpretation oder selektiven Lesart eines Urteils beruhe. Tatsächlich habe das Gericht klargestellt, dass pseudonymisierte Daten nicht immer personenbezogen seien, so Kamp. Wohl aber führe laut EuGH bereits die potenzielle Re-Identifizierbarkeit bei einem künftigen Empfänger dazu, dass die Daten als personenbezogen gelten müssen.

Auch Alexander Roßnagel übt Kritik

Kamps Einlassung ist die erste klare Äußerung einer deutschen Datenschutzbeauftragten zu dem Streitthema. Dem Vernehmen nach teilen nicht alle ihre Kolleg:innen ihre kritische Auffassung zur Pseudonymisierungsfrage. Eine offizielle Positionierung der Datenschutzkonferenz, deren Vorsitz Meike Kamp bei der Veranstaltung gestern turnusgemäß an ihren baden-württembergischen Kollegen Tobias Keber abgegeben hat, wird deshalb mit Spannung erwartet. Auch der Europäische Datenschutzausschuss hat sich noch nicht zum digitalen Omnibus positioniert.

Auf einer anderen Veranstaltung am gestrigen Mittwoch äußerte jedoch bereits einer von Kamps Kollegen ebenfalls deutliche Kritik: Der hessische Datenschutzbeauftragte Alexander Roßnagel. Er bezeichnete den Pseudonymisierungsvorschlag der Kommission als zu undifferenziert, sodass die Gefahr bestehe, dass das Schutzniveau der DSGVO deutlich sinke. Roßnagel hatte vor seiner Amtsübernahme lange eine Professur für Datenschutzrecht inne und ist einer der anerkanntesten Datenschutzjuristen des Landes.

Während der Datenschutzaktivist Max Schrems auf der Veranstaltung der Europäischen Akademie für Datenschutz und Informationsfreiheit ebenfalls heftige Kritik äußerte, verteidigte Renate Nikolay die Vorschläge. Als stellvertretende Generaldirektorin der EU-Generaldirektion für Kommunikationsnetze, Inhalte und Technologien trägt sie maßgebliche Verantwortung für den digitalen Omnibus.

Nikolay beharrte darauf, dass die Kommission beim Thema Pseudonymisierung lediglich die Rechtsprechung des EuGH umsetze. Der Vorschlag senke das Schutzniveau der Datenschutzgrundverordnung nicht ab. Zudem sei nicht zu befürchten, dass Datenhändler sich auf den relativen Personenbezug berufen und sich somit der Aufsicht entziehen könnten.

Kamp: Lieber Pseudonymisierung voranbringen, als Begriffe aufzuweichen

Grundsätzlich zeigte sich die EU-Beamtin jedoch offen für Nachbesserungen am digitalen Omnibus. Die Kommission habe einen Aufschlag gemacht und es sei klar, dass dieser verbessert werden könne. Derzeit beraten das EU-Parlament und der Rat der Mitgliedstaaten über ihre Positionen zu dem Gesetzespaket. Es wird erwartet, dass die Beratungen aufgrund des hohen Drucks aus der Wirtschaft schnell vorangehen.

Die Botschaft der Berliner Datenschutzbeauftragten für die Verhandlungen ist jedenfalls klar: Der Vorschlag der EU-Kommission zur Pseudonymisierung ist „der falsche Weg“. Stattdessen sprach Kamp sich für eine Stärkung von Verfahren der Pseudonymisierung und Anonymisierung aus.

Wie das konkret aussehen, zeigte die Veranstaltung ihrer Behörde zu Anonymisierung und Pseudonymisierung. Dort stellten Forscher:innen und Datenschützer:innen Projekte aus der Praxis vor. So etwa einen Ansatz zur Anonymisierung von Daten beim vernetzen Fahren oder ein Projekt, das maschinelles Lernen mit anonymisierten Gesundheitsdaten ermöglicht. Kamps Fazit: „Statt Begrifflichkeiten aufzuweichen, sollten wir solide Pseudonymisierung wagen.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU-Kommission verspricht, dass Daten von EU-Bürger:innen in den USA ähnlich geschützt sind wie in der EU. Diese Zusage hatten ihr Fachleute nie so recht abgenommen. Nun stellt Donald Trump die rechtliche Grundlage für den transatlantischen Datenaustausch schon in seinen ersten Tagen als US-Präsident auf die Probe.

Eine entscheidende rechtliche Stütze für den transatlantischen Datenverkehr gerät ins Wanken. Die in den USA dafür zuständige Aufsichtsbehörde, das „Privacy and Civil Liberties Oversight Board“, droht mit Ende der Woche handlungsunfähig zu werden, wie die New York Times berichtet. Das könnte der erste Schritt dazu sein, die rechtliche Grundlage für den Datenaustausch zwischen der EU und den USA bereits zum dritten Mal zum Einsturz zu bringen.

US-Geheimdienste haben noch weitreichendere Zugriffsmöglichkeiten auf Daten als solche in Ländern der Europäischen Union. Das gilt insbesondere für Daten von Nicht-US-Bürger:innen, die beispielsweise von sozialen Netzwerken oder Mailanbietern in den USA gespeichert werden. Faktisch sind also weite Teile der Digitalwirtschaft betroffen. Im Anschluss an die Enthüllungen des NSA-Whistleblowers Edward Snowden hat dieses Ungleichgewicht zu Grundsatzurteilen des Europäischen Gerichtshofs (EuGH) geführt, die der österreichische Jurist und Datenschutzaktivist Max Schrems angestrengt hatte.

Ringen um rechtskonformen Datenaustausch

Grundsätzlich ist es weitgehend untersagt, personenbezogene Daten von EU-Bürger:innen ins EU-Ausland zu transferieren – es sei denn, dort besteht ein mit EU-Gesetzen vergleichbares Datenschutzniveau. Dies ist in den USA allerdings nicht der Fall, entschied der EuGH mittlerweile zwei Mal und kippte die jeweiligen Angemessenheitsbeschlüsse der EU-Kommission. Mit solchen Beschlüssen legalisiert die Kommission den Datenaustausch, indem sie offiziell festhält, dass das Datenschutzniveau in dem anderen Land EU-Standards entspricht.

Nach dem letzten einschlägigen EuGH-Urteil im Jahr 2020 setzte sich die EU-Kommission erneut daran, gemeinsam mit der US-Regierung endlich eine tragfähige Basis für den wirtschaftspolitisch wichtigen Datenaustausch zu finden. Die Verhandlungen mündeten in das sogenannte EU-U.S. Data Privacy Framework, welches den Datenschutzrahmen vorgibt. Dieses war flankiert von einer präsidentiellen Verfügung (Executive Order) des damaligen US-Präsidenten Joe Biden. Darin waren eine erweiterte und mehrstufige Aufsicht über die US-Geheimdienste sowie Beschwerdemöglichkeiten für EU-Büger:innen festgeschrieben.

Unabhängige Aufsicht ausgehebelt

Zu einem der Sicherungsmechanismen zählt besagtes „Privacy and Civil Liberties Oversight Board“ (PCLOB). Das aus fünf Mitgliedern bestehende Aufsichtsgremium soll eigentlich unabhängig agieren können und unter anderem jährlich bestätigen, dass US-Geheimdienste rechtskonform mit sensiblen Daten aus der EU umgehen. Die Behörde ist zwar gesetzlich abgesichert, die Kontrollbefugnisse für den Datenschutzrahmen erteilte ihr Joe Biden allerdings erst nachträglich.

Der New York Times zufolge haben nun die drei der PCLOB-Mitglieder, die von den Demokraten in das Gremium entsandt wurden, einen Brief der Trump-Administration erhalten. Demnach sollen sie bis Ende der Woche von ihrem Amt zurücktreten, sonst werden sie entlassen. Unvollständig besetzt kann das PCLOB allerdings seinen Aufgaben nicht nachkommen, genauso wie sich Fragen nach dessen Unabhängigkeit stellen, wenn Trump so einfach ein Schlupfloch im entsprechenden Gesetz nutzen kann.

Dass Executive Orders ohnehin ein schwaches Instrument sind, weil sie im Unterschied zu vom Kongress verabschiedeten Gesetzen von Nachfolgeregierungen leicht außer Kraft gesetzt werden können, hatte auf europäischer Seite schon vor Jahren zu Kritik geführt. EU-Abgeordnete sprachen anlässlich des damals von EU-Kommissionspräsidentin Ursula von der Leyen erreichten Deals von „Augenwischerei“ und „leeren Worten“.

Möglicher Startschuss für Erosion

Die Warnungen scheinen sich nun zu bewahrheiten. „Dieses Abkommen war schon immer auf Sand gebaut, aber die EU-Wirtschaftslobby und die Europäische Kommission wollten es trotzdem“, sagt Max Schrems in einem Blogbeitrag seiner Datenschutz-NGO noyb (None Of Your Business). Statt eines stabilen rechtlichen Rahmens habe sich die EU auf die Versprechen des damaligen Präsidenten verlassen, die in Sekundenschnelle ausgehebelt werden können.

Zwar sei das PCLOB nur ein „Puzzleteil“ des Datenschutzrahmens, argumentiert Schrems, vollständig aufgelöst sei er noch nicht. Mit der Abberufung von Mitgliedern könnte jedoch der Startschuss für die Erosion des gesamten rechtlichen Konstrukts gefallen sein. So genieße der ebenfalls wichtige, wenngleich schwache „Data Protection Review Court“ eine noch schlechtere rechtliche Verankerung als das PCLOB. Zudem habe Trump angekündigt, binnen 45 Tagen sämtliche Verfügungen von Joe Biden zu prüfen und gegebenenfalls zu widerrufen.

„Es gab lange Diskussionen über die Funktionsfähigkeit und Unabhängigkeit dieser Kontrollmechanismen“, sagt Schrems. Nun sehe es danach aus, als würden sie nicht einmal den ersten Tagen einer Trump-Präsidentschaft standhalten. „Das ist der Unterschied zwischen solidem Rechtsschutz und Wunschdenken – die Europäische Kommission hat sich ausschließlich auf Wunschdenken verlassen“, warnt der Datenschützer.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.