Es war ein merkliches Aufatmen Ende vergangenen Jahres. Nach mehr als drei Jahren Verhandlungen hatten sich Vertreter*innen der EU-Staaten im Rat auf eine gemeinsame Position zur sogenannten Chatkontrolle geeinigt, einem der weitreichendsten Überwachungsprojekte der EU.

Hinter der Chatkontrolle stecken Pläne der EU-Kommission, Anbieter von Messengern wie Signal oder WhatsApp auf Anordnung dazu verpflichten zu können, die Kommunikation von Nutzer*innen zu durchleuchten. Vertrauliche Nachrichten müssten sie dann in großem Stil nach sogenannten Missbrauchsdarstellungen durchsuchen – ein fundamentaler Angriff auf sicher verschlüsselte Kommunikation. Anlass ist der Vorschlag für eine Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern, kurz: CSA-VO.

Fachleute aus unter anderem Kinderschutz, Wissenschaft, Zivilgesellschaft sind gegen das Vorhaben Sturm gelaufen. Mit dem Nein von Rat und EU-Parlament dürfte die Chatkontrolle vom Tisch sein. Kaum beachtet geblieben ist dabei jedoch ein weiteres Überwachungsvorhaben im Vorschlag der Kommission, und zwar die Einführung von Alterskontrollen.

Die EU-Kommission möchte Anbieter nämlich auch dazu verpflichten dürfen, das Alter ihrer Nutzer*innen zu überprüfen. Betroffen sind Dienste, die Erwachsene nutzen können, um sexuelle Kontakte zu Minderjährigen anzubahnen. Das nennt sich Grooming.

Alterskontrollen laufen oftmals auf invasive Maßnahmen heraus. Nutzer*innen müssten dann zum Beispiel ihr Gesicht biometrisch vermessen lassen, damit eine Software ihr Alter schätzt, oder mithilfe von Dokumenten wie dem Ausweis belegen, dass sie erwachsen sind. Mindestens würde es damit für Millionen Nutzer*innen schwerer, sich frei im Netz zu bewegen. Wenn es nicht gelingt, solche Kontrollen sicher zu gestalten, drohen Datenschutz-Verletzungen und massenhafte Überwachung.

Kommission, Rat und Parlament haben teils widersprüchliche Positionen zu den Alterskontrollen. Aktuell verhandeln sie im sogenannten Trilog über die Verordnung – und damit auch über die Zukunft von Alterskontrollen in der EU. Wir liefern die Übersicht über die zentralen Positionen und die Risiken dahinter.

Das will die EU-Kommission

Der Vorschlag der EU-Kommission sieht eine Verpflichtung zu Alterskontrollen bei „interpersonellen Kommunikationsdiensten“ vor, einfach ausgedrückt: Anbietern mit Chatfunktion.

Sie sollen zunächst selbst das Risiko für Grooming einschätzen, also ob ihre Dienste zum Zweck des „sexuellen Kindesmissbrauchs“ eingesetzt werden könnten. Dabei spielt etwa eine Rolle, wie viele Kinder den Dienst überhaupt verwenden, wie leicht sie von Erwachsenen auf der Plattform kontaktiert werden können und welche Möglichkeiten es gibt, solche Kontakte zu melden.

Potenziell von Grooming betroffene Anbieter sollen dann das Alter ihrer Nutzer*innen überprüfen, um Minderjährige „zuverlässig“ zu identifizieren. Die Konsequenz sollen Maßnahmen zur Risikominderung sein. Zwar nennt der entsprechende Artikel im Entwurf kein konkretes Beispiel – denkbar wären aber zum Beispiel eingeschränkte Chat-Funktionen, die keine Gespräche mit Fremden erlauben.

Vergangene Recherchen über Grooming legen nahe: Diese Regelung könnte viele populäre Plattformen treffen, etwa TikTok, Instagram und Roblox oder das unter Gamer*innen beliebte Discord. Auch Messenger wie WhatsApp oder Signal könnten dazu verpflichtet werden, das Alter ihrer Nutzer*innen zu prüfen.

Entscheidend sind hier die Worte „zuverlässig identifizieren“. Eine schlichte Altersabfrage dürfte kaum genügen. Es geht auch nicht bloß darum, dass Anbieter Schutzfunktionen für Minderjährige bereithalten müssen, damit betroffene Minderjährige (oder ihre Aufsichtspersonen) sie einsetzen können. Stattdessen könnte es sein, dass Nutzer*innen in großem Stil beweisen sollen, dass sie schon erwachsen sind.

Zusätzlich sieht die Kommission eine weitere Altersschranke vor, die noch einen Schritt früher ansetzt, und zwar bei „Stores für Software-Anwendungen“. Darunter dürften mindestens der Google Play Store und Apples App Store fallen, je nach Auslegung auch Spiele-Marktplätze wie Steam. Auch dort müssten Nutzer*innen demnach ihr Alter nachweisen, bevor sie Zugang bekommen.

Das will der Rat der EU

Der Rat der EU vertritt die Regierungen der Mitgliedstaaten. Geht es um Alterskontrollen, deckt sich die Ratsposition weitgehend mit dem Vorschlag der Kommission. Auch der Rat will, dass Anbieter, die ein Risiko zur Kontaktaufnahme mit Kindern bei sich feststellen, das Alter ihrer Nutzer*innen kontrollieren. Das Gleiche will der Rat für App Stores.

Für die Ausgestaltung dieser Kontrollen stellt der Rat weitere Anforderungen auf. Demnach sollen die Maßnahmen Privatsphäre und Datenschutz wahren, transparent, akkurat und dabei auch zugänglich und diskriminierungsfrei sein. Der Rat spricht damit Aspekte an, die sich auch an anderer Stelle in EU-Regeln finden, etwa in den Leitlinien zum Jugendschutz im Netz auf Grundlage des Gesetzes über digitale Dienste (DSA).

Der Knackpunkt: Keine Technologie wird all diesen Anforderungen gerecht. Um den Anspruch zu erfüllen, akkurat zu sein, müssten Prüfungen wohl invasiv sein – sonst lassen sie sich täuschen. Typisch sind Kontrollen mit biometrischen Daten oder auf Basis von Dokumenten wie Ausweispapieren. Erstere können Menschen diskriminieren, die nicht ausreichend in den Trainingsdaten eines KI-Systems repräsentiert sind, etwa Women of Color. Letztere können Menschen ausschließen, die keine Papiere haben.

Das will das EU-Parlament

Das EU-Parlament will bei Alterskontrollen einen anderen Weg einschlagen, wie dessen Position zeigt. Streichen will das Parlament demnach die Pflichten für Alterskontrollen auf der Ebene von App-Stores.

Die Marktplätze sollen demnach bloß deutlich ausweisen, wenn Apps erst ab einem bestimmten Alter vorgesehen sind. Zudem sollen sie bei Apps, die das verlangen, die Zustimmung von Erziehungsberechtigten sicherstellen. Diese Maßnahmen könnten etwa Apple und Google bereits umgesetzt haben: Dort gibt es entsprechende Vorkehrungen für Accounts von Minderjährigen, die an Eltern-Accounts gekoppelt sind.

Für die Anbieter von Kommunikationsdiensten will das Parlament im Gegensatz zu Rat und Kommission keine verpflichtenden Alterskontrollen, sondern optionale. Risiken mindern müssen betroffene Anbieter dennoch; sie hätten allerdings die Wahl, auf welche Weise sie das tun.

Weniger invasive Methoden zur Altersprüfung haben einige Plattformen bereits heute im Einsatz. So will TikTok das Verhalten von Nutzer*innen auf Signale untersuchen, die auf ein zu geringes Alter hindeuten, etwa, mit welchen Accounts sie interagieren.

Das Parlament fordert zudem eine Reihe von Auflagen für Alterskontrollsysteme und wird dabei konkreter als der Rat. Demnach soll es für Nutzer*innen weiterhin möglich sein, anonyme Accounts einzurichten, und es sollen keine biometrischen Daten verarbeitet werden dürfen. Zudem sollen Kontrollen nach dem Zero-Knowledge-Prinzip erfolgen. Praktisch heißt das: Anbieter, bei denen man das eigene Alter nachweist, sollen nichts weiter erfahren, außer ob man die nötige Altersschwelle überschreitet. Ein mögliches Werkzeug dafür ist die von der EU in Auftrag gegebene Alterskontroll-App, die künftig Teil der digitalen Brieftasche (EUDI-Wallet) werden soll.

Für Dienste, die sich an Kinder unter 13 Jahren richten, fordert das Parlament zusätzlich, dass sie standardmäßig in ihren Funktionen hohe Sicherheitsstandards wählen. Sie sollen etwa verhindern, dass Nutzer*innen persönliche Daten teilen oder Screenshots machen können.

Gesondert verlangt das Parlament außerdem Regeln für Pornoplattformen. Diese besondere Gruppe von Anbietern soll verpflichtend das Alter von Nutzer*innen kontrollieren. Das entspräche jedoch im Tenor den Anforderungen aus bereits bestehenden EU-Gesetzen wie der Richtlinie über audiovisuelle Mediendienste und dem DSA.

Das steht auf dem Spiel

Alterskontrollen sind nicht nur ein Thema für Kinder und Jugendliche – es geht nämlich darum, alle Nutzer*innen zu kontrollieren, um Minderjährige herauszufiltern. Die deutsche Europa-Abgeordnete Birgit Sippel (SPD) warnt: „Eine verpflichtende Altersverifikation würde eine Ausweispflicht für weite Teile des Internets bedeuten, und zwar vor allem auch für Erwachsene.“ Diese Warnung würde jedoch voraussetzen, dass die EU eine Pflicht zu Alterskontrollen sehr streng auslegt.

Wenn bei Alterskontrollen die Plattformen zum Türsteher werden und Daten auch für andere Zwecken nutzen können, wäre das „höchst problematisch“, so Sippel weiter. Deshalb brauche es Safeguards wie das Zero-Knowledge-Prinzip. „Schließlich darf die Anonymität und Nutzung von Pseudonymen nicht gefährdet werden.“ Außerdem warnt die Abgeordnete davor, Alterskontrollen als Allheilmittel zu betrachten. „Um Kinder effektiv zu schützen, braucht es eine strukturelle Reform der Plattformen, damit Profit nicht mehr aus dem Geschäft mit missbräuchlichen Inhalten geschlagen werden kann.“ Abgeordnete aus anderen Fraktionen haben sich auf Anfrage von netzpolitik.org nicht geäußert.

Für European Digital Rights (EDRi), dem Dachverband von Organisationen für digitale Freiheitsrechte, beobachtet Politikberater Simeon de Brouwer das Gesetzesvorhaben. „Verpflichtende Altersverifikation bei Diensten für zwischenmenschliche Kommunikation ist gefährlich, weil sie die freie Rede unterdrückt“, warnt er. Je nach Art der Kontrollen könnten ganze Gesellschaftsgruppen ausgeschlossen werden – etwa Menschen ohne Papiere. Außerdem warnt er vor Einschüchterung („chilling effects“), wenn der Zugang zu sicherer Kommunikation hinter verpflichtenden Kontrollen steht.

Auch Alterskontrollen auf App-Marktplätzen lehnt de Brouwer ab. „Ein derartiges Maß an Kontrolle und aufdringlicher Datenverarbeitung sollte nicht normalisiert werden – besonders nicht an einem solchen Nadelöhr.“ Es entstehe keine Sicherheit, sondern Kontrolle, wenn der Zugang zu digitalen Werkzeugen vom Überwinden zentraler Prüfsysteme abhängig gemacht wird.

Svea Windwehr ist Co-Vorsitzende des Vereins für progressive Digitalpolitik D64. „Alle bekannten Technologien zur Altersbestimmung im Netz weisen signifikante Schwächen auf“, schreibt sie auf Anfrage. So seien etwa KI-gestützte Altersschätzungen häufig ungenau und „bergen massive Diskriminierungspotenziale, da ihre Leistung stark von Geschlecht, Alter, Hautfarbe und anderen Merkmalen abhängt“. Verifikation anhand von Ausweisdokumenten wiederum könne „eine signifikante Barriere für gesellschaftliche Teilhabe darstellen“.

Unterm Strich würden neue Pflichten zur Altersverifikation „einen Bärendienst für die Privatsphäre von jungen Menschen im Netz“ darstellen, warnt Windwehr. Vor allem würden sie nichts an den strukturellen Problemen ändern, die Plattformen zu unsicheren Räumen für Kinder machen können. „Der politische Anspruch sollte darin bestehen, an der Wurzel des Problems anzusetzen und Plattformen für ihre Produkte zur Verantwortung zu ziehen, statt vulnerable Nutzende auszuschließen.“

So geht es jetzt weiter

Beim Gesetz steht die EU unter gewissem Zeitdruck. Obwohl viele Dienstleister wie etwa Meta bereits jetzt eine freiwillige Chatkontrolle durchführen, fehlt dafür eine dauerhafte Rechtsgrundlage. Möglich ist die Maßnahme nur durch eine vorübergehende Ausnahmeregelung mit Blick auf die Datenschutz-Richtlinie für elektronische Kommunikation. Die Frist dafür endet jedoch im April 2026. Zumindest Kommission und Rat wollen sie um zwei Jahre verlängern; das Parlament müsste dem noch zustimmen.

Weil der Rat sich jahrelang nicht auf eine Position zur Chatkontrolle einigen konnte, war das ganze Gesetzesvorhaben für lange Zeit blockiert. Erst mit der Einigung auf die Ratsposition Ende November wurde der Weg frei für die informellen Trilog-Verhandlungen zwischen Kommission, Rat und Parlament. Beim Trilog versuchen die drei EU-Organe einen Kompromiss zu finden. Verhandelt wird hinter verschlossenen Türen. Dauer: ungewiss; ein Ergebnis ist nicht garantiert.

„Trotz der Differenzen zeigen das Europäische Parlament und der Rat die feste Absicht, intensiv an dem Vorschlag zu arbeiten und so schnell wie möglich eine Einigung zu erzielen“, sagte jüngst der spanische Abgeordnete Javier Zarzalejos (EVP) während einer Ausschuss-Sitzung am 27. Januar. Er ist der zuständige Berichterstatter der konservativen Fraktion im Parlament.

Nach dem ersten Verhandlungstermin am 9. Dezember sollen Verhandlungen auf technischer Ebene am 15. Januar begonnen haben. Aus diesen bis dato zwei Terminen könne Zarzalejos von „guter Atmosphäre und beachtlichem Fortschritt“ berichten. Diskutiert habe man bisher insbesondere das neue EU-Zentrum – das ist die geplante zentrale Anlaufstelle zur Umsetzung der Verordnung. Der nächste Trilog-Termin soll der 26. Februar sein.

Das Weiße Haus hebt Vorgaben für IT-Sicherheit bei US-Bundesbehörden auf. Die in Folge des Solarwinds-Desasters erstellten Regeln für behördlich genutzte Software sind nicht länger bindend. Wesentlicher Bestandteil war, dass Behörden erheben, von welchen Bibliotheken, Programmen und Diensten ihre Software abhängt (SBOM, Software Bill of Materials). Wer diese Information hat, kann leichter erkennen, ob seine Software von bekannt gewordenen Sicherheitslücken betroffen ist.

Vergangenen Freitag hat das Office of Management and Budget (OMB), eine Abteilung des Weißen Hauses, die Aufhebung der bisherigen Sicherheitsregeln für Beschaffung und Einsatz von Software aufgehoben (M-26-05). Fortan soll jede Behörde für sich entscheiden, welchen Risiken sie ausgesetzt ist und wie sie diesen zu begegnen hat. Dies ist Ausfluss der Deregulierungspolitik des republikanischen US-Präsidenten Donald Trump.

Ab sofort ist Bundesbehörden freigestellt, ob sie das NIST Secure Software Development Framework (SSDF), SP 800-218 und die NIST Software Supply Chain Security Guidance einhalten möchten oder nicht. Diese Regeln werden in dem neuen Erlass als „unbewiesen und mühsam” bezeichnet, die „Compliance über echte Sicherheitsinvestitionen gestellt” hätten. Was er als echte Sicherheitsinvestitionen erachtet, lässt OMB-Chef Russell Vought offen.

„Jede Behörde soll die Sicherheit ihrer Lieferanten validieren, indem sie sichere Programmierprinzipien anwendet, basierend auf einer umfassenden Risikoeinschätzung”, gibt er allgemein gehalten vor. Zwar sollen Behörden ein Verzeichnis der bei ihnen eingesetzten Soft- und Hardware führen sowie jeweils eigene Richtlinien und Prozesse für Hard- und Software ausarbeiten, aber nur soweit dies „ihre Risikoeinschätzung und Aufgabenstellungen” erfordern. Was das in der Praxis heißt, bleibt den einzelnen Behörden überlassen.

Solarwind, Biden und NIST

Die jetzt aufgehobenen Sicherheitsvorkehrungen haben eine Vorgeschichte: 2019 gelang es mutmaßlich staatlichen Angreifern Russlands, Solarwinds‘ Orion-Plattform zu kompromittieren und einen Trojaner in offizielle Updates einzuschmuggeln. Solarwinds vertreibt Netzwerk- und Sicherheitsprodukte, die damals mehr als 300.000 Kunden weltweit eingesetzt haben. Darunter befinden sich viele Fortune 500-Unternehmen sowie Regierungsbehörden wie das US-Militär, das Pentagon und das Außenministerium. Durch das Einspielen der Updates wurden ihre Systeme ab März 2020 kompromittiert. Ende 2020 entdeckte Fireeye die Hintertüren, weil die Angreifer das Arsenal an Hack-Software geplündert hatten. Fireeye gehörte zum Teil der CIA. Im Februar 2021 sprach Microsoft-Manager Brad Smith vom „größten und raffiniertesten Angriff, den die Welt je gesehen hat“.

Nach diesem schweren Schlag ergriff der damalige US-Präsident Joe Biden Maßnahmen, die im Mai 2021 in einem Erlass für IT-Sicherheit in Bundesbehörden (Executive Order 14028 Improving the Nation’s Cybersecurity) verdichtet wurden. Dazu gehörte die Absicherung der Lieferkette für Software. Das NIST (National Institute for Standards an Technology), eine Abteilung des US-Handelsministeriums, schritt zur Tat und arbeitete die erwähnten Secure Software Development Framework und Software Supply Chain Security Guidance aus. Zeitgemäß, denn inzwischen ist fast jedes dritte Unternehmen von Angriffen auf seine Software-Lieferkette betroffen.

Umsetzung in US-Behörden ab 2022

Die Einhaltung dieser NIST-Empfehlungen wurde durch OMB-Erlass M-22-18 für Bundesbehörden ab September 2022 verpflichtend. Lieferanten mussten zeigen, dass sie ihre Software unter Einhaltung von Sicherheitsprinzipien entwickeln und welche Komponenten enthalten sind (SBOM). Ausgenommen waren behördliche Eigenentwicklungen, die sich jedoch tunlichst an den gleichen Regeln orientieren sollten.

Im Juni 2023 verlängerte OMB-Erlass M-23-16 bestimmte Übergangsfristen bis Dezember des Jahres und stellte klar, dass Open Source Software nicht erfasst ist. Schließlich gibt es dort keinen zentralen Lieferanten, der die Entwicklung überwacht. Außerdem wurde proprietäre frei verfügbare Software ausgenommen, beispielsweise Webbrowser. Denn Anbieter kostenloser Software setzen meist auf „friss oder stirb” – sie sind schwer dazu zu bewegen, Zertifizierungen zu durchlaufen und Abhängigkeiten offenzulegen.

Entwicklungen im Behördenauftrag waren so weit ausgenommen, als die Behörde die Entwicklung bestimmt und beaufsichtigt, denn das galt dann als Eigenentwicklung. Die Einschränkungen des Jahres 2023 gehen der amtierenden US-Regierung nicht weit genug. Sie hebt beide OMB-Erlässe aus der Amtszeit Bidens auf.

(ds)

Die Berliner Datenschutzbeauftragte Meike Kamp hat sich kritisch zu Plänen der EU-Kommission für eine Anpassung der Datenschutzgrundverordnung positioniert. „Die EU-Kommission rüttelt an den Grundpfeilern des Datenschutzes“, sagte sie gestern auf einer Veranstaltung ihrer Behörde zum Europäischen Datenschutztag in Berlin. Kamp kritisierte insbesondere den Vorschlag, pseudonymisierte Daten unter Umständen von der Datenschutzgrundverordnung (DSGVO) auszunehmen.

Mit dem sogenannten digitalen Omnibus will die EU-Kommission Teile ihrer Digitalgesetzgebung in den Bereichen Daten, KI und IT-Sicherheit überarbeiten. Die Kommission betont, es gehe ihr bei dem Sammelgesetz nur um Vereinfachungen und eine Zusammenlegung sich überlappender Rechtsakte. Kritiker:innen wenden ein, dass es sich dabei auch um einen Rückbau von Schutzstandards und den Auftakt einer umfassenden Deregulierung handelt.

Tatsächlich enthält der Gesetzesvorschlag beides. Er fasst mehrere Datennutzungsgesetze zusammen und vereinfacht Meldewege für IT-Sicherheitsvorfälle. Gleichzeitig schiebt er aber auch zentrale Regeln der noch jungen KI-Verordnung auf. Im Datenschutzbereich sollen außerdem Auskunftsrechte von Betroffenen eingeschränkt werden und sensible personenbezogene Daten sollen leichter für das Training von KI-Modellen genutzt werden können. Ebenfalls enthalten sind neue Regeln für Cookie-Banner.

Wann gelten pseudonymisierte Daten als personenbezogen?

In der datenschutzrechtlichen Fachdebatte kristallisiert sich inzwischen vor allem ein Vorschlag als Streitpunkt heraus: Die Kommission will verändern, was überhaupt als personenbezogene Daten gilt. Genauer gesagt will sie erreichen, dass pseudonymisierte Daten unter bestimmten Umständen gar nicht mehr als personenbezogen gelten und somit nicht mehr der DSGVO unterliegen.
Pseudonymisierung bedeutet, dass Daten sich nicht mehr einer Person zuordnen lassen, ohne weitere Informationen hinzuzuziehen. In der Praxis heißt das oft: Statt mit dem Namen Namen oder der Telefonnummer einer Person werden ihre Daten mit einer Nummer versehen, die als Identifikator fungiert. Durch komplexe Verfahren kann man die Re-Identifikation erschweren, doch bislang gelten auch pseudonymisierte Daten oft als personenbezogen. Jedenfalls so lange, bis eine Rückverknüpfung gänzlich ausgeschlossen ist, denn dann gelten sie als anonymisiert.

Die EU-Kommission will nun einen relativen Personenbezug einführen. Vereinfacht gesagt heißt das: Wenn jemand bei der Verarbeitung von pseudonymisierten Daten nicht ohne Weiteres in der Lage ist, die Person dahinter zu re-identifizieren, sollen die Daten nicht mehr als personenbezogen gelten. Bei der Weitergabe pseudonymisierter Daten sollen diese nicht allein deshalb als personenbezogen gelten, weil der Empfänger möglicherweise über Mittel der Re-Identifikation verfügt.

Die Neudefinition soll es erleichtern, Daten zu nutzen und weiterzugeben. Das soll Innovationen ermöglichen. Wie eine Analyse von Nichtregierungsorganisationen kürzlich gezeigt hat, hatten vor allem große US-Tech-Konzerne Schritte in diese Richtung vehement gefordert.

Ringen um EuGH-Urteil

Meike Kamp sieht darin eine gravierende Einschränkung der Datenschutzgrundverordnung, wie sie bei der Eröffnungsrede [PDF] der Veranstaltung ihrer Behörde zu den Themen Anonymisierung und Pseudonymisierung darlegte.

Verdeutlich hat sie ihre Befürchtung am Beispiel Online-Tracking. Denn bei der Versteigerung von Werbeplätzen für zielgerichtete Werbung im Internet werden pseudonymisierte Daten an zahlreiche Firmen verschickt. „Verfügen diese Stellen nun über die Mittel, die natürlichen Personen zu identifizieren, oder gilt das nur für die eine Stelle, die die Webseite betreibt?“, so Kamp. Mit dem digitalen Omnibus sei es jedenfalls schwer zu argumentieren, dass sie von der DSGVO umfasst werden.

Schon heute tun sich Datenschutzbehörden schwer damit, die komplexen Datenflüsse im undurchsichtigen Ökosystem der Online-Werbung zu kontrollieren und Datenschutzverstöße zu ahnden. Die Databroker-Files-Recherchen von netzpolitik.org und Bayerischem Rundfunk hatten erst kürzlich erneut gezeigt, dass unter anderem Standortdaten aus der Online-Werbung bei Datenhändlern angeboten werden und sich damit leicht Personen re-identifizeren lassen – auch hochrangige Beamte der EU-Kommission. Zahlreiche zivilgesellschaftliche Organisationen hatten in einem offenen Brief die Sorge geäußert, dass die Praktiken der außer Kontrolle geratetenen Tracking-Industrie legitimiert werden könnten.

Die EU-Kommission beruft sich bei ihrem Vorschlag auch auf jüngste Rechtsprechung des Europäischen Gerichtshofes (EuGH) zum Thema Pseudonymisierung. Kamp kritisierte, dass dies auf einer Fehlinterpretation oder selektiven Lesart eines Urteils beruhe. Tatsächlich habe das Gericht klargestellt, dass pseudonymisierte Daten nicht immer personenbezogen seien, so Kamp. Wohl aber führe laut EuGH bereits die potenzielle Re-Identifizierbarkeit bei einem künftigen Empfänger dazu, dass die Daten als personenbezogen gelten müssen.

Auch Alexander Roßnagel übt Kritik

Kamps Einlassung ist die erste klare Äußerung einer deutschen Datenschutzbeauftragten zu dem Streitthema. Dem Vernehmen nach teilen nicht alle ihre Kolleg:innen ihre kritische Auffassung zur Pseudonymisierungsfrage. Eine offizielle Positionierung der Datenschutzkonferenz, deren Vorsitz Meike Kamp bei der Veranstaltung gestern turnusgemäß an ihren baden-württembergischen Kollegen Tobias Keber abgegeben hat, wird deshalb mit Spannung erwartet. Auch der Europäische Datenschutzausschuss hat sich noch nicht zum digitalen Omnibus positioniert.

Auf einer anderen Veranstaltung am gestrigen Mittwoch äußerte jedoch bereits einer von Kamps Kollegen ebenfalls deutliche Kritik: Der hessische Datenschutzbeauftragte Alexander Roßnagel. Er bezeichnete den Pseudonymisierungsvorschlag der Kommission als zu undifferenziert, sodass die Gefahr bestehe, dass das Schutzniveau der DSGVO deutlich sinke. Roßnagel hatte vor seiner Amtsübernahme lange eine Professur für Datenschutzrecht inne und ist einer der anerkanntesten Datenschutzjuristen des Landes.

Während der Datenschutzaktivist Max Schrems auf der Veranstaltung der Europäischen Akademie für Datenschutz und Informationsfreiheit ebenfalls heftige Kritik äußerte, verteidigte Renate Nikolay die Vorschläge. Als stellvertretende Generaldirektorin der EU-Generaldirektion für Kommunikationsnetze, Inhalte und Technologien trägt sie maßgebliche Verantwortung für den digitalen Omnibus.

Nikolay beharrte darauf, dass die Kommission beim Thema Pseudonymisierung lediglich die Rechtsprechung des EuGH umsetze. Der Vorschlag senke das Schutzniveau der Datenschutzgrundverordnung nicht ab. Zudem sei nicht zu befürchten, dass Datenhändler sich auf den relativen Personenbezug berufen und sich somit der Aufsicht entziehen könnten.

Kamp: Lieber Pseudonymisierung voranbringen, als Begriffe aufzuweichen

Grundsätzlich zeigte sich die EU-Beamtin jedoch offen für Nachbesserungen am digitalen Omnibus. Die Kommission habe einen Aufschlag gemacht und es sei klar, dass dieser verbessert werden könne. Derzeit beraten das EU-Parlament und der Rat der Mitgliedstaaten über ihre Positionen zu dem Gesetzespaket. Es wird erwartet, dass die Beratungen aufgrund des hohen Drucks aus der Wirtschaft schnell vorangehen.

Die Botschaft der Berliner Datenschutzbeauftragten für die Verhandlungen ist jedenfalls klar: Der Vorschlag der EU-Kommission zur Pseudonymisierung ist „der falsche Weg“. Stattdessen sprach Kamp sich für eine Stärkung von Verfahren der Pseudonymisierung und Anonymisierung aus.

Wie das konkret aussehen, zeigte die Veranstaltung ihrer Behörde zu Anonymisierung und Pseudonymisierung. Dort stellten Forscher:innen und Datenschützer:innen Projekte aus der Praxis vor. So etwa einen Ansatz zur Anonymisierung von Daten beim vernetzen Fahren oder ein Projekt, das maschinelles Lernen mit anonymisierten Gesundheitsdaten ermöglicht. Kamps Fazit: „Statt Begrifflichkeiten aufzuweichen, sollten wir solide Pseudonymisierung wagen.“