Kommentare zur EU Datenschutzverordnung

Zusammenfassung

Nachdem wir uns den einzelnen Artikeln im Detail zugewandt haben hier eine kurze Zusammenfassung und nochmal die Links auf einige - wie ich  finde - spannende Artikel der VO (in der Form wie sie mir zum Zeitpunkt des Schreibens vorlag). 

Insgesamt ist festzustellen, dass die VO das Datenschutzniveau in Deutschland senken wird. Insbesondere die weitreichende Ausklammerung von Behörden ist hierbei eine Abkehr vom deutschen Verständnis des Datenschutzes als Abwehrrecht der Bürger gegen den Staat.

Auch kann nicht ignoriert werden, dass die VO ein klares Ziel hat: Und das ist es, Daten beweglicher zu machen. Im Moment können Daten aus Deutschland nicht so leicht legal exportiert werden, genau das will die VO ändern. Datenverarbeitung soll Grenzfrei in ganz Europa laufen. Dabei wird natürlich der Zugriff der Betroffenen auf die Verarbeitenden schon alleine wegen Distanz und Sprachbarrieren schwieriger.

Der Kommission werden weitreichende - viel zu weitreichende - Kompetenzen zugesprochen die VO durch Rechtsakte “auszugestalten” und umzubiegen, ohne dass es starke, demokratische Legitimation für diese Macht gibt. Das ist bei der EU nicht unüblich, aber gerade bei etwas das angeblich für die Bürger wichtig ist, besonders unangenehm. Hier gehört viel mehr Gestaltungs- und Korrektivmacht ans Parlament.

Alle beliebten Datenschützermeme werden aufgegriffen und ins Gesetz geschrieben (Recht auf Vergessen, Einwilligung, Datensparsamkeit usw) doch werden sie dadurch eben oft auch nicht realistisch durchsetzbar (für die Details verweise ich auf die relevanten Artikel, die ich unten zusammenstelle). 

Insbesondere beim Geltungsbereich merkt man schnell wie die VO zum Papiertiger wird. Die EU reguliert innerhalb der EU und kann die relevanten Player da auch belangen, aber bei Firmen, die nicht innerhalb der EU sind, wird das schnell ein Schildbürgerstreich. Denn entweder tangieren die Sanktionen die globalen Player nicht oder sie entziehen sich dem ganzen Spiel per Checkbox beim Anmelden, die User dazu bringt zu bestätigen, dass sie nicht in der EU wohnen. Geofilter kennen wir von Youtube und anderen Diensten, die kommen bei Nutzern nicht nur super an sondern sind natürlich auch schnell umgangen. Es ist absurd zu glauben, dass die EU Gesetze gibt, die für Firmen in Hongkong gelten, nur weil sich potentiell ein Nutzer in der EU befindet. Und damit ergibt sich schnell ein massives Problem: Wie viele wirklich relevanten Dienstanbieter in Europa kennen wir? Klar gibt es immer ein paar Datenverarbeiter, aber die “Horrorgeschichten”, die wir über soziale Netzwerke und Google und “Datenkraken” hören, beschäftigen sich nicht mit Europäischen Diensten (außer vielleicht wenn es deutsche Samwer-Klone gibt). 

Es wird versucht, diese dann zu retten, indem “Europäischer Datenschutzstandard” zum “Wettbewerbsvorteil” hochgejazzt wird, aber wir haben aus der Geschichte absolut keinerlei Bestätigungen für diese Behauptung. StudiVZ hatte sogar nen TÜV Siegel für guten Datenschutz und hatte trotzdem keine Chance gegen Facebook. Die üblichen Verdächtigen (Google, Facebook und wie sie alle heißen) können sich wirklich nicht über allzu rosige Presse hier beschweren und trotzdem, obwohl es Alternativen gibt, werden sie benutzt. Datenschutz ist kein Benefit, der Menschen interessiert.

Die Homogenisierung der Datenschutzregeln in der EU ergibt eine Menge Sinn, gerade wo die EU sonst schon an so vielen Stellen zusammenwächst. Doch die VO sticht zu viele Löcher in ihren Schutzschild, der es den einzelnen Ländern erlaubt dann doch irgendwie einen eigenen Kurs zu verfolgen, was natürlich nur zu einem Race to the Bottom führt (die Länder mit den schwachen Regeln und Regelauslegungen bekommen Ansiedlungen neuer Firmen, die anderen eben nicht, wie wir das schon im Falle der Umsatzsteuern sehen konnten).

Den Menschen das Recht auf den elektronischen Export ihrer Daten zu geben halte ich für einen guten Ansatz, den man aber noch stärker hätte machen müssen, wenn dieses Recht auch zu mehr Portabilität führen soll. Im Moment kann der Anbieter auch Formate rausgeben, die von den Nutzern nicht weiter genutzt werden können. Hier wäre mehr Mut gut gewesen.

Das Projekt EU Datenschutz Grundverordnung war und ist ambitioniert, scheitert aber vor allem einerseits am Widerstand der Regierungen sich selbst zu reglementieren und andererseits daran die Lebenslügen der Datenschutzszene nicht kritisch zu reflektieren und zu überwinden. 

Im Folgenden möchte ich noch auf einige spannende Artikel hinweisen, die ich für lesenswert halte (selbst wenn keine Zeit ist, alle Kommentare und Artikel zu browsen)

• Artikel 2 beschreibt, welche Daten überhaupt betroffen sind (und platzt dabei)
• Artikel 3 legt fest, wo auf der Welt die VO gelten soll (irgendwie überall auch außerhalb der EU)
• Artikel 5 beschreibt die Grundsätze der Datenverarbeitung und ist grundsätzlich gummiartig
• Artikel 7 versucht irgendwie Abzugrenzen, wie Einwilligung in Datenverarbeitung funktionieren kann und darf.
• Artikel 17 formuliert das Recht auf Vergessenwerden und ist so erheiternd, wie die Überschrift andeutet.
• Artikel 18 beschreibt das Recht auf Datenübertragbarkeit, der gut ist, aber nicht konsequent genug ist
• Artikel 20 beschäftigt sich mit Profiling. Und geht schief.
• Artikel 21 beschreibt, wie einzelne Länder Löcher in die VO stanzen können. Große Löcher.
• Artikel 25 konstruiert dann blühende Landschaften aus Briefkastenfirmen in der EU (“Vertreter”)
• Artikel 34 konstruiert implizit ein Datenverarbeitungsverbot
• Artikel 53 beschreibt die sehr, sehr, sehr, sehr  weitreichenden Eingriffsmöglichkeiten der Aufsichtsbehörden.

Auch die anderen Artikel sind natürlich spannend, aber das ist doch ziemlich das best-of des Scheiterns.

Artikel 91

Inkrafttreten und Anwendung

1. Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
2. Ihre Anwendung beginnt [zwei Jahre nach dem in Absatz 1 genannten Zeitpunkt].

Wann gilt die Datenschutz VO eigentlich? Sie tritt am 20. Tag nach Veröffentlichung in Kraft. Kraft ist dabei aber eher homöopathisch zu sehen, denn “angewandt” wird sie erst 2 Jahre später. 

Eine Übergangszeit vorzusehen, in der gerade auch die Länder, die bestimmte Regelungen noch nicht erfüllen können, die notwendigen Institutionen einrichten können, klingt sinnvoll. Aber 2 Jahre sind (insbesondere bei der immer wieder zitierten Wichtigkeit der Regulierung und der ebenso evidenten rapiden Veränderungen, denen die technologische Landschaft unterworfen ist) eine zu große Zeitspanne in der die VO trotz Gültigkeit keine Anwendung findet.

An dieser Stelle wäre es eher sinnvoll, schneller angewendet zu werden und bestimmte Paragraphen wie z.B. die detaillierte Ausgestaltung der Aufsichtsbehörden etwas später einzuführen. Bei fehlenden nationalen Aufsichtsbehörden könnte die EU außerdem eine Zentralstelle zur Überbrückung einrichten (die dann “nebenher” sogar noch die zukünftigen Aufsehenden in den Mitgliedsstaaten ausbilden/einarbeiten kann) um deutlich schneller Ergebnisse zu produzieren.

Artikel 90

Bewertung

Die Kommission legt dem Europäischen Parlament und dem Rat regelmäßig einen Bericht zur Bewertung und Überprüfung dieser Verordnung vor. Der erste Bericht wird spätestens vier Jahre nach Inkrafttreten dieser Verordnung vorgelegt. Danach wird alle vier Jahre ein weiterer Bericht vorgelegt. Die Kommission legt geeignete Vorschläge zur Änderung dieser Verordnung und zur Anpassung anderer Rechtsinstrumente vor, die sich insbesondere unter Berücksichtigung der Entwicklung der Informationstechnologie und der Arbeiten über die Informationsgesellschaft als notwendig erweisen können. Die Berichte werden veröffentlicht.

Die VO sieht sich nicht in Stein gemeißelt, das ist sehr zu begrüßen (ich habe ja schon die ersten notwendigen Änderungen angerissen). Die Kommission erstattet dem Rat und dem Parlament alle 4 Jahre Bericht darüber, wie sich die VO so schlägt, ob es aufgrund veränderter Technologien Änderungen geben sollte usw.

Das ist zu begrüßen und auch wenn 4 Jahre in Technologiezyklen gedacht eine Ewigkeit sind, so stellen sie doch einen guten Kompromiss aus Leistbarkeit und Reaktionsfähigkeit dar. Außerdem verhindern sie hektische Überreaktionen wie wir sie gerade bei Googles Project Glass sehen. In 4 Jahren können die wirklichen Konsequenzen einer neuen Technologie sinnvoller evaluiert werden (und wahrscheinlich eben doch auf bestehende Regeln zurückgeführt werden).

Auch dass die Berichte öffentlich gemacht werden ist ein guter Schritt, um den Bürgern und Medien zu erlauben, die Position der Kommission besser einzuschätzen.

Guter Artikel. Finde ich sinnvoll.

Artikel 89

Verhältnis zur Richtlinie 2002/58/EG und Änderung dieser Richtlinie

1. Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen  Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/85/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.
2. Artikel 1 Absatz 2 der Richtlinie 2002/58/EG wird gestrichen.

Auch hier geht es um bestehende Regelungen. Richtline 2002/58/EG beschäftigt sich mit dem Datenschutz für elektronische Kommunkation. Und hat einige surreale Komponenten.

(1) stellt erstmal fest, dass man ja eh keine neuen Regelungen in die VO geschrieben hätte. Das sorgt natürlich schon für die Frage warum man dann ca. 90 Artikel in eine VO gegossen hat. Antwort ist klar: Absatz eins des Artikels ist faktisch nicht richtig.

Denn z.B. das Recht auf Vergessenwerden ist in jedem Falle eine neue Anforderung die umgesetzt werden muss. Denn Facebook beispielsweise ist natürlich auch ein Kommunikationsnetz (im Text der Richtline ein “Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Gemeinschaft.” Der Artikel ist also in seiner Aussage so eher sehr gewagt formuliert.

Die VO streicht aus dem Artikel 1 Absatz 2 der Richtlinie 2002/58/EG den Verweis auf die überholte Richtline 95/46/EG (siehe Artikel 88 der Grundverordnung). Das ist konsequent. Warum derselbe Verweis in Artikel 2 der Richtlinie 2002/58/EG bestehen bleiben soll bleibt wohl eines der unergründlichen Rätsel des Universums. 

Ich habe ein wenig den Eindruck, dass diese “Schlussbestimmungen” der VO irgendwie bisher niemand gelesen hat. Ist jetzt auch nur Formalkram, trotzdem ist der erweckte Eindruck nicht positiv, wenn bei so Trivialitäten, über die ich, der die Richtlinien bisher nicht kannte, direkt stolpere, schon die Sorgfalt fehlt.

Artikel 88

Aufhebung der Richtlinie 95/46/EG

1. Die Richtlinie 95/46/EG wird aufgehoben.
2. Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. Verweise auf die durch Artikel 29 der Richtlinie 95/46/EG eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten gelten als Verweise auf den kraft dieser Verordnung errichteten Europäischen Datenschutzausschuss.

Die neue Datenschutz Grundverordnung ersetzt vollständig die alte Richtlinie. Das ergibt Sinn.

Inwieweit es möglich ist, dass Verweise auf ein Dokument automagisch auf ein neues, anders strukturiertes Dokument umgebogen werden, müssen die Anwälte klären. Was bei generischen “wie es in der Richtlinie” steht problemlos ist, ist im Falle eines speziellen Bestandteils natürlich nicht ganz trivial.

Artikel 87

Ausschussverfahren

1. Die Kommission wird von einem Ausschuss unterstützt. Bei diesem Ausschuss handelt es sich um einen Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.
2. Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.
3. Wird auf diesen Absatz Bezug genommen, so gilt Artikel 8 der Verordnung (EU) Nr. 182/2011 in Verbindung mit deren Artikel 5.

Für die Erstellung ihrer delegierten Rechtsakte wird die Komission von einem Ausschuss unterstützt. Für Ausschüsse gibt es die Verordnung EU 182/2011, die man sich hier herunterladen kann und die die Spielregeln vorgibt.

Kurzfassung: Der Ausschuss hat Mitglieder aus den Mitgliedsstaaten und wird von einem Vertreter der Komission geleitet. Der Ausschuss nimmt Stellung zu dem Rechtsakt, verhandelt ggflls. mit der Komission Änderungen. Die Komission kann zwar gegen den Ausschuss in Ausnahmefällen trotzdem Erlasse … erlassen, das Verfahren zielt aber eher auf ein vermittelndes Vorgehen ab, bei dem der Ausschuss der Komission hilft eine tragbare Lösung zu finden. Das Verfahren ist nicht unkompliziert und es würde hier zu weit führen das zu analysieren, dazu sei den geneigten Lesern das verlinkte PDF ans Herz gelegt.

Joah. Komission kriegt Beratung und ein Ausschuss hilft dabei die Komission etwas auf Kurs zu halten. Das ist erstmal nicht komplett bekloppt auch wenn es nur am Symptom der zu starken Komission rumdoktert und damit an sich nicht zielführend ist.

Artikel 86

Befugnisübertragung

1. Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.
2. Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 6 Absatz 5, Artikel 8, Absatz 3, Artikel 9 Absatz 3, Artikel 12 Absatz 5, Artikel 14 Absatz 7, Artikel 15 Absatz 3, Artikel 17 Absatz 9, Artikel 20 Absatz 6, Artikel 22 Absatz 4, Artikel 23 Absatz 3, Artikel 26 Absatz 5, Artikel 28 Absatz 5, Artikel 30 Absatz 3, Artikel 31 Absatz 5, Artikel 32 Absatz 5, Artikel 33 Absatz 6, Artikel 34 Absatz 8, Artikel 35 Absatz 11, Artikel 37 Absatz 2, Artikel 39 Absatz 2, Artikel 43 Absatz 3, Artikel 44 Absatz 7, Artikel 79 Absatz 6, Artikel 81 Absatz 3, Artikel 82 Absatz 3 und Artikel 83 Absatz 3 wird der Kommission auf unbestimmte Zeit ab Inkrafttreten dieser Verordnung übertragen.
3. Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 6 Absatz 5, Artikel 8 Absatz 3, Artikel 9 Absatz 3, Artikel 12 Absatz 5, Artikel 14 Absatz 7, Artikel 15 Absatz 3, Artikel 17 Absatz 9, Artikel 20 Absatz 6, Artikel 22 Absatz 4, Artikel 23 Absatz 3, Artikel 26 Absatz 5, Artikel 28 Absatz 5, Artikel 30 Absatz 3, Artikel 31 Absatz 5, Artikel 32 Absatz 5, Artikel 33 Absatz 6, Artikel 34 Absatz 8, Artikel 35 Absatz 11, Artikel 37 Absatz 2, Artikel 39 Absatz 2, Artikel 43 Absatz 3, Artikel 44 Absatz 7, Artikel 79 Absatz 6, Artikel 81 Absatz 3, Artikel 82 Absatz 3 und Artikel 83 Absatz 3 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Der Beschluss wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem darin angegebenen späteren Zeitpunkt wirksam. Er berührt nicht die Gültigkeit von bereits in Kraft getretenen delegierten Rechtsakten.
4. Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.
5. Ein delegierter Rechtsakt, der gemäß Artikel 6 Absatz 5, Artikel 8 Absatz 3,  Artikel 9 Absatz 3, Artikel 12 Absatz 5, Artikel 14 Absatz 7, Artikel 15 Absatz 3, Artikel 17 Absatz 9, Artikel 20 Absatz 6, Artikel 22 Absatz 4, Artikel 23 Absatz 3, Artikel 26 Absatz 5, Artikel 28 Absatz 5, Artikel 30 Absatz 3, Artikel 31 Absatz 5, Artikel 32 Absatz 5, Artikel 33 Absatz 6, Artikel 34 Absatz 8, Artikel 35 Absatz 11, Artikel 37 Absatz 2, Artikel 39 Absatz 2, Artikel 43 Absatz 3, Artikel 44 Absatz 7, Artikel 79 Absatz 6, Artikel 81 Absatz 3, Artikel 82 Absatz 3 und Artikel 83 Absatz 3 erlassen worden ist, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb von zwei Monaten nach Übermittlung des Rechtsakts Einwände erhoben haben oder wenn vor Ablauf dieser Frist sowohl das Europäische Parlament als auch der Rat der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Veranlassung des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.

Heute gehts um die Blankovollmachten für die Kommission. Diese werden auf unbestimmte Zeit gewährt (1), können aber vom Parlament oder dem EU Rat widerrufen werden (2). Dabei werden aber nur neue weitere delegierte Rechtsakte unterbunden, die bestehenden bleiben in Kraft.

Die Rechtsakte haben allerdings doch eine kleine Hürde: Sie treten nur in Kraft wenn werder Rat noch Parlament innerhalb von 2 (bzw. 4) Monaten keinen Widerspruch einlegt (5).

Die Blankovollmachten, die ich immer wieder kritisierte werden hier ein wenig eingeschränkt, in der Form, dass das Parlament oder der Rat unter Umständen einen Rechtsakt verhindern kann. Doch ist das genug?

Die Macht, die hier der (demokratisch auf EU Ebene eher dürftig legitimierten) Kommission gegeben wird ist viel zu groß; denn die Mehrheiten zusammen zu bekommen um im Parlament einen Rechtsakt zu verhindern ist alles andere als trivial. 

Das Vorgehen müsste anders laufen, wenn die Kommission hier überhaupt agieren darf, dann sollte sie immer Mehrheiten im Parlament für ihre Änderungen an der VO (die ziemlich integral sein können) benötigen. Die würde nicht nur die legitimierten Volksvertretenden aufwerten sondern auch ein deutlich besseres Korrektiv für die Kommission darstellen.

Die Kommission nicht komplett frei agieren zu lassen ist ja gut, aber die Verhinderungshürden sind massiv zu hoch, die Kontrolle ist eher pro Forma.

Artikel 85

Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften

1. Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten an, dürfen diese Regeln weiter angewandt werden, sofern sie mit dieser Verordnung in Einklang gebracht werden.
2. Kirchen und religiöse Vereinigungen oder Gemeinschaften, die gemäß Absatz 1 umfassende Datenschutzregeln anwenden, richten eine unabhängige Datenschutzaufsicht im Sinne des Kapitels VI ein.

Wie siehts eigentlich mit Kirchenrecht aus? Dieses Überbleibsel aus dem Mittelalter, welches den Kirchen an vielen Stellen de facto eine Staat-im-Staat Position gibt wird doch sicher der Homogenisierung halber abgeschafft und durch diese VO ersetzt, richtig?

Nicht ganz. Wenn die Kirche oder religiöse Gemeinschaft “umfassende Regeln” hat zum Datenschutz dann gelten die weiter falls “sie mit der Verordnung in Einklang gebracht werden”. 

Das ist eine schön kuschelige Larifari-Aussage: Ja irgendwie muss das passen, aber eben nicht exakt. Das Datenschutzniveau von personenbezogenen Daten innerhalb religiöser Institutionen (und da schon die Religionszugehörigkeit als besonders schützenswert gilt, sitzen sie ja quasi auf Datenbomben) kann also durchaus schlechter sein als sonstwo. 

Das Ziel der VO wäre ja ganz klar, das sich Menschen auf ein eindeutiges Niveau in ganz Europa verlassen können. Hier Sonderregelungen für religiöse Institutionen zu erlassen ist Unfug, es ergibt keinen Sinn, dass sie nicht auch von den normalen zivilgesellschaftlichen Aufsichtsbehörden mitbertreut werden. Artikel ist ersatzlos zu streichen oder durch “Kirchenrecht? ROFLCOPTER GTFO” zu ersetzen.

Artikel 84

Geheimhaltungspflichten

1. Die Mitgliedstaaten können in den Grenzen dieser Verordnung die Untersuchungsbefugnisse der Aufsichtsbehörden im Sinne des Artikels 53 Absatz 2 gegenüber den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeitern, die nach einzelstaatlichem Recht oder nach von den zuständigen einzelstaatlichen Stellen erlassenen Regelungen dem Berufsgeheimnis oder einer gleichwertigen Geheimhaltungspflicht unterliegen, regeln, soweit dies notwendig und verhältnismäßig ist, um das Recht auf Schutz der personenbezogenen Daten mit der Pflicht zur Geheimhaltung in Einklang zu bringen. Diese Vorschriften gelten nur in Bezug auf personenbezogene Daten, die der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter bei einer Tätigkeit erlangt oder erhoben hat, die einer solchen Geheimhaltungspflicht unterliegt.
2. Jeder Mitgliedstaat teilt der Kommission bis spätestens zu dem in Artikel 91 Absatz 2 genannten Zeitpunkt die Vorschriften mit, die er nach Absatz 1 erlässt, und setzt sie unverzüglich von allen weiteren Änderungen dieser Vorschriften in Kenntnis.

Es gibt in unserer Gesellschaft Berufsstände, die Geheimhaltungspflichten haben. Ärzte, Anwälte, Steuerprüfer zum Beispiel, aber auch Polizisten, Soldaten und sogar Priester müssen über personenbezogene Inhalte, über die sie der Ausübung ihres Jobs stolpern Verschwiegenheit bewahren. Auch in anderen Jobs können solche Geheimnispflichten Teil des Verhältnisses sein.

Die können Einzelstaaten per Gesetz ( wenn sie das für “notwendig und verhältnismäßig” halten) die Möglichkeiten ihrer Aufsichtsbehörden, in diese Geheimnissituation einzugreifen regeln. Je nach Mitgliedsstaat sind also die von Menschen als geheim eingeschätzten intimen Vertrauensverhältnisse vor dem Zugriff durch Aufsichtsbehörden geschützt oder auch nicht. (Die Regelungen darf der Mitgliedsstaat auch jederzeit ändern).

What could possibly go wrong? Missbrauch durch Datenschutzaufsichtsbehörden ist ja komplett undenkbar. 

Ich halte hier das Rütteln an den Vertraulichkeitsregeln zwischen Menschen und bestimmten Berufsgruppen (selbst wenns nur gut gemeint™) ist, für ein fatales Signal: Gerade von Datenschützern würde man erwarten, dass diese intimen Schutzräume geachtet und nicht plötzlich überwacht werden. 

Artikel 83

Datenverarbeitung zu historischen oder statistischen Zwecken sowie zum Zwecke der wissenschaftlichen Forschung

1. In den Grenzen dieser Verordnung dürfen personenbezogene Daten nur dann zu historischen oder statistischen Zwecken oder zum Zwecke der wissenschaftlichen Forschung verarbeitet werden, wenn
   a) diese Zwecke nicht auf andere Weise durch die Verarbeitung von Daten erfüllt werden können, die eine Bestimmung der betroffenen Person nicht oder nicht mehr ermöglichen;
   b) Daten, die die Zuordnung von Informationen zu einer bestimmten oder bestimmbaren betroffenen Person ermöglichen, von den übrigen Informationen getrennt aufbewahrt werden, sofern diese Zwecke in dieser Weise erfüllt werden können.
2. Einrichtungen, die Arbeiten für historische oder statistische Zwecke oder zum Zwecke der wissenschaftlichen Forschung durchführen, dürfen personenbezogene Daten nur dann veröffentlichen oder auf andere Weise bekannt machen, wenn
   a) die betroffene Person nach Maßgabe von Artikel 7 ihre Einwilligung erteilt hat,
   b) die Veröffentlichung personenbezogener Daten für die Darstellung von Forschungsergebnissen oder zur Unterstützung der Forschung notwendig ist, soweit die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person diese Interessen nicht überwiegen oder
   c) die betroffene Person die Daten veröffentlicht hat.
3. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen für die Verarbeitung personenbezogener Daten für die Zwecke der Absätze 1 und 2, etwaige erforderliche Beschränkungen der Rechte der betroffenen Person auf Unterrichtung und Auskunft sowie die unter diesen Umständen geltenden Bedingungen und Garantien für die Rechte der betroffenen Person festzulegen.

Heute gehts um Wissenschaft.

Personenbezogene Daten dürfen für wissenschaftliche, historische oder statistische Untersuchungen nur dann benutzt werden wenn die Untersuchung ohne den Personenbezug nicht zielführned wäre und wenn die Daten, die ein Matching von physikalischer Person zu Datensatz ermöglichen getrennt vom Datensatz aufbewahrt werden. (1)

Das klingt gut, wenn wir aber den aktuellen Stand der Deanonymisierungsforschung betrachten ist es eine eher triviale Hürde, die aufgebaut wird. Es ist beeindruckend, wie wenig Daten notwendig sind, um beispielsweise einen Bundesbürger aus einem Datensatz heraus zu identifizieren, insbesondere, wenn noch Informationen wie z.B. ungefährer Wohnort dabei sind. Die Trennung kann man einfordern, man sollte sich nur ob der Wirksamkeit keine allzu großen Hoffnungen machen.

(2) wiederum ist ein guter Absatz: Es geht darum, wann Wissenschaftler die Daten veröffentlichen dürfen. Es gibt genau 3 Gründe, aus denen heraus das legal ist: a) Die Person willigt ein, b) die Forschungsergebnisse sind ohne die Daten wertlos und das öffentliche Interesse ist größer als das Schutzbedürfnis des einzelnen oder c) die Person hatte es ursprünglich selbst veröffentlicht.

Mit solchen Regeln kann man arbeiten und sinnvoll operieren, insbesondere 2c) ist spannend, da die von Menschen in sozialen Netzen veröffentlichten Daten damit für die Wissenschaft zu verfügung gestellt werden. Das ist bisher nicht so bzw. nicht so eindeutig. Wie sich das dann allerdings mit nachträglich gelöschten Informationen darstellt? Müssen Ergebnisse dann wieder zurückgezogen werden? Das wäre noch klarzustellen.

Insgesamt aber (bis auf die in 3) formulierte Blankovollmacht) einer der besseren Artikel.