Category Archives: PETER SCHAAR. Der Blog.

Brexit and Data Protection: Out Is Out

By Peter Schaar, Chairman, European Academy for Freedom of Information and Data Protection, Berlin

 

What the consequences of the the UK Brexit referendum are for data protection currently cannot be said conclusively. Considerable uncertainties remain until the end of the upcoming exit negotiations at least. Unless specific arrangements on data protection are made between the EU and the UK, the United Kingdom will be seen from the EU perspective as a regular third country like any other non-member state, such as Japan or South Africa.

 

At best, the country gets a status like Norway, which belongs to the European Economic Area and is thus largely obliged to apply EU law, without, however – as the EU member states – to have effective decision power and participation rights, in particular in the European Data Protection Board set up by the EU General Data Protection Regulation (GDPR).

 

I am sceptical that the UK Parliament will implement the GDPR completely by changing the British law by May 2018 when the GDPR starts to be applicable. This seems to be very unlikely, especially since the United Kingdom has already struggled with the adoption of the new EU privacy rules. For example the British Government “opted out” from Art. 48 of the GDPR, the so-called „NSA clause“ that is to protect European citizens against third country government access to personal data. Nevertheless the provisions of Art. 48 would probably apply in future to the United Kingdom after the leave from the EU. The transmission of personal data to government authorities protected by the GDPR based on British court rulings or administrative orders will be legal then only within the framework of mutual legal assistance agreements between the UK and the EU or its member states. This is particularly important because the British Parliament has recently stepped up drastically the already strong surveillance powers of security agencies and its corresponding obligations of companies with the amended „Investigatory Powers Bill“. The “national security exemption” of article 4 TFEU will not longer be applicable for the UK. The practices of GCHQ and other government agencies will have to be taken into account even in the assessment of the EU Commission about a possible adequacy decision for the UK (see below).

 

It seems likely to me that the very requirements of the GDPR provisions on transfer of personal data to third countries (art. 44 and following) will apply in the future on the UK. Thereafter, any transfer of personal data will be permissible only if the data controller and the data processor comply with the conditions laid down in the GDPR. This also concerns the possible onward transfer of personal data to another third country or to an international organization. The GDPR allows the transmission on the basis of „adequacy decisions“ of the European Union or other appropriate safeguards, in particular on the basis of standard contractual clauses or under a system of binding corporate rules(BCR).

 

The UK Information Commissioner (ICO) already pointed out that the United Kingdom continues to need clear and effective privacy laws, irrespective of the question of EU membership (https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2016/04/statement-on-the-implications-of-brexit-for-data-protection/). If the British legislator follows this advice, the European Commission could make a decision under article 45 on the existence of an „adequate level of data protection“ in the UK. However, such a finding is not supposed to run by itself and it would require negotioations and a thorough examination and assessment of the British data protection system. This could hardly be managed within the available two-year period for the implementation of the EU exit.

 

In the light of the above companies running business in the UK as well as public bodies of member states and EU institutions have to prepare for the situation that the transmission of personal data from the EU to the UK (including the hosting of personal data on the British soil) will be much more difficult in the future as it is today. This concerns in particular those companies with business processes which are based on combining personal data of various member states or using servers or switching centers located in the UK.

 

Peter Schaar

 

Nichts gelernt: BND-Gesetzentwurf enthält verfassungswidrige Elemente

Der Blog netzpolitik.org hat am 6. Juni 2016 einen offenbar geleakten Entwurf eines geänderten BND-Gesetzes veröffentlicht.

Der Gesetzentwurf vermittelt den Eindruck, als sollten die   inzwischen aufgedeckten zweifelhaften Praktiken des BND nachträglich legalisiert werden. Insbesondere der Aufklärungsarbeit des BND-Untersuchungsausschusses des Deutschen Bundestags verdanken wir die Erkenntnis, dass der deutsche Auslandsgeheimdienst nicht nur bei seinen Aktivitäten im Ausland weitgehend in einem gesetz- und kontrollfreien Raum agiert, sondern auch bei der Erfassung von über deutsche Netzknoten geleiteter Telekommunikations- und Internetverbindungen. Parlamentarische und datenschutzrechtliche Aufsichts- und Kontrollmechanismen wurden systematisch umgangen, teilweise sogar unter Bruch gesetzlicher Vorgaben.

Statt sich ernsthaft mit den Problemen der offenbar außer Kontrolle geratenen Überwachung auseinanderzusetzen, wollen die Autoren des Gesetzentwurfs dem BND zusätzliche allgemeine Überwachungsbefugnisse gegeben. Die Erfassung der Telekommunikation soll sich erkennbar nicht auf terroristische Gefährder oder internationale Waffenhändler beschränken, sondern sämtliche nicht-deutschen Telekommunikationsteilnehmer und Internetnutzer betreffen.

Ignoriert werden dabei die durch die jüngste Rechtsprechung des Bundesverfassungsgerichts zum BKA-Gesetz festgelegten Grenzen bei der Erfassung unverdächtiger Personen. Ihre Daten sollen nach dem Gesetzentwurf nicht nur vom BND selbst erfasst, sondern – nicht nur im Einzelfall – auch automatisiert an ausländische Geheimdienste übermittelt werden, soweit ‚die sofortige Übermittlung erforderlich ist, um die Kooperationsziele zu erreichen‘. Dies wäre ein glatter Verstoß gegen das durch unser Grundgesetz geforderte Verhältnismäßigkeitsprinzip.

Skandalös ist die vorgesehene Einschränkung der Kontrollbefugnisse der Bundesbeauftragten für den Datenschutz, deren Kontrollrecht bei vom BND gemeinsam mit ausländischen Diensten geführten Dateien auf die durch den BND eingespeicherten Daten beschränkt werden soll. Daten ausländischer Geheimdienste, die der BND aus gemeinsamen Dateien erhält und nutzt, würden damit der datenschutzrechtlichen Kontrolle entzogen – ein evident verfassungswidriger Vorschlag.

Peter Schaar

Die Kontaktschuld und die NSA

Viele kennen aus  Facebook die Frage, wer denn auf die eigenen Daten zugreifen können soll: nur „Freunde“ oder auch „Freunde von Freunden“. Ich habe z.B. 1.735 „Freunde“ auf Facebook. Wenn jeder dieser Freunde nur 50 eigene Freunde hat, die nicht mit mir und die nicht untereinander befreundet sind, würde diese Einstellung die Zahl der Personen, die meine Seite sehen können, auf mehr als 86.000 erhöhen. Und wenn Facebook auf die Idee kommen würde, als weitere Kategorie die „Freunde der Freunde von Freunden“ einzuführen, könnten mehr als 4 Millionen Nutzer auf meine Daten zugreifen.

Wohlbemerkt, das sind fiktive Zahlen, aber sie verdeutlichen, wie die NSA mit Metadaten umgeht, das wissen wir direkt von Präsident Obama. Er hat es  in seiner Rede am 17. Januar gesagt.

Er versprach, dass die amerikanischen Metadaten zukünftig nicht mehr – wie bisher – in einem dreischrittigen Verfahren ausgewertet werden sollen. Es solle nach zwei Schritten Schluss sein. Dieser Hinweis ist unter zwei Gesichtspunkten bedeutsam:

Zum ersten Mal wird die Öffentlichkeit damit von offizieller Seite über die Art und Intensität der Auswertung der Daten informiert – bisher war man hier nur auf Aussagen von NSA-Aussteigern angewiesen. Der Beruhigung dienten bisher die Versicherungen, von den Metadaten sämtlicher in den USA geführten Nah- und Ferngespräche würden ja nur die wenigsten angefasst. Lediglich wer selbst Terrorist ist oder von diesem kontaktiert worden sei, gerate ins Visier der Terrorfahnder. Diese Versicherung hat sich am vergangenen Freitag „in Luft aufgelöst“, um einen ehemaligen deutschen Minister zu zitieren.

Das angewendete Verfahren zeugt von der Maßlosigkeit der Überwachung. Eine Person gerät als Terrorverdächtiger ins Blickfeld der Sicherheitsbehörden. Die NSA wertet nun sämtliche Telefondaten dieser Person aus den letzten fünf Jahren aus und identifiziert die Kommunikationspartner (Schritt 1). Dabei kann es sich um „Mitverschwörer“ handeln, aber auch um Verwandte, Bekannte oder Geschäftspartner. Der Klempner, der einmal im Haus der Zielperson ein Rohr repariert hatte, gehört genauso dazu wie die Lehrerin seines Kindes. Je nach Größe des Bekanntenkreises handelt es sich um mehrere Hundert oder tausend Personen, und das wohlbemerkt nur als erster Schritt. In dem zweiten Schritt werden sämtliche Kommunikationspartner der Kommunikationspartner ausgeforscht. Selbst bei einem verhältnismäßig kleinen Bekanntenkreis von 100 Personen sind dies schon 10.000 Betroffene, bei kommunikationsfreudigeren Teilnehmern deutlich mehr. Wenn dann – wie bisher – ein dritter Schritt folgt, also die Auswertung der Telefondaten der Kontakte der Kontakte, ist man schnell bei Millionen Betroffenen, und dies – wohl bemerkt – nur bezogen auf einen Verdächtigen. Die Behauptung, nur ein winziger Teil der US-Bürger sei von der Metadatensammlung betroffen, ist so „vom Tisch“.

So sehr es zu begrüßen ist, dass Obama hier (bezogen auf „American Persons“) Einschränkungen ankündigt: Das Hauptproblem ist und bleibt die umfassende verdachtslose Speicherung von Daten auf Vorrat, die zu tiefen Eingriffen in Persönlichkeitsrechte führt.

Mit freundlichen Grüßen

Peter Schaar