Category Archives: Allgemein

America First: Datenschutz nur noch für (US-)Inländer

Die amerikanischen Technologie-Giganten Google, Facebook, Microsoft, Twitter und Amazon  werden womöglich die ersten Opfer der von Präsident Trump verfolgten „America First“- Politik sein. Trump unterzeichnete  am 25. Januar  2017 die Anordnung (Executive Order)  zur Verbesserung der öffentlichen Sicherheit. Schon jetzt ist deutlich, dass die Politik der Trump-Administration  einem gemeinsamen Datenschutz-Verständnis  zwischen den USA und der EU diametral  entgegen laufen.

Section 14 hat folgenden Wortlaut:

„Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“

Auch wenn sich diese Bestimmung vermutlich zunächst gegen diejenigen Personen richten soll, die sich illegal in den Vereinigten Staaten aufhalten, hat sie doch auch erhebliche Auswirkungen auf den transatlantischen Datentransfer. Vor allem das Abkommen zwischen der Europäischen Union und der US-Regierung „Privacy Shield“ ist betroffen. Das  erst im letzten Sommer ausgehandelte  Abkommen gestattet es Unternehmen, welche die Einhaltung der Privacy Shield Prinzipien gewährleisten, personenbezogene Daten aus der Europäischen Union in die USA zu übermitteln.

Voraussetzung für die Übermittlung ist ein „angemessenes Datenschutzniveau“, also ein dem EU-Recht gleichwertiger Schutz für die in die USA transferierten personenbezogenen Daten. Die Europäische Kommission hat am 12. Juli 2016 auf Basis des US-Rechts und der Zusicherungen der Obama-Administration die Existenz eines gleichwertigen  Datenschutzes festgestellt (Angemessenheitsbeschluss). Privacy Shield trat damit an die Stelle des Safe Harbour Arrangements, welches der Europäische Gerichtshof am 6. Oktober 2015 annulliert hatte, da es  den in  Art. 8 der EU-Grundrechtecharta garantierten Schutz personenbezogener Daten nicht gewährleistete.

Zu den Zusicherungen der US-Seite gehörte die Auslegung des US-Rechts in der Weise, dass die US Datenschutzbestimmungen – soweit rechtlich zulässig –  auch für Daten von EU-Bürgern angewandt werden. Damit dürfte jetzt Schluss sein.

Eine wichtige Basis bildete auch der vom US-Kongress im Februar 2016 gebilligte Judicial Redress Act (JRA), der  die Grundlage dafür bereitstellt, dass sich EU-Bürgerinnen und Bürger an US-Behörden wenden können, wenn sie der Auffassung sind, dass US-Behörden ihre Daten zu Unrecht verarbeiten.  Allerdings räumt der JRA den EU-Bürgern solche Klagerechte nicht selbst ein, sondern macht dies von einer Anordnung des US-Justizministers (Attorney General) abhängig. Die scheidende Obama-Administration hat eine entsprechende Erklärung wenige Tage vor der Inauguration Donald Trumps herausgegeben, die neben der Europäischen Union als Ganzes, 26 ihrer Mitgliedstaaten und Zypern umfasst  Die oben zitierte Executive Order  könnte so verstanden werden, dass das Justizministerium die „Privilegierung“ der Bürger anderer Staaten zurücknimmt, welche am 1. Februar 2017 in Kraft treten soll.

Unabhängig davon ist zu befürchten, dass die – nach den Snowden-Enthüllungen   von US-Präsident Obama angeordneten – partiellen Sicherungen des Datenschutzes für Nicht-Amerikaner bei der geheimdienstlichen Überwachung außer Kraft gesetzt werden. Damit würden auch die Erklärungen des US-Geheimdienstkoordinators im Rahmen der Privacy Shield—Verhandlungen obsolet.

Vor diesem Hintergrund muss die EU-Kommission unverzüglich handeln. Sie darf mit der Prüfung, ob die Voraussetzungen für eine Fortgeltung des Angemessenheitsbeschlusses zum Privacy Shield  noch gegeben sind, nicht erst bis zur ersten, im Sommer d.J. vorgesehenen regulären Privacy Shield Review warten. Aber auch die europäischen Datenschutzbehörden sind gefragt. Der Europäische Gerichtshof hat Ihnen in seiner Safe Harbour-Entscheidung auferlegt, Zweifeln an einem angemessenen Datenschutzniveau selbstständig nachzugehen und damit nicht auf eine entsprechende  Feststellung der Kommission zu warten.

Presseerklärung: Alexander Dix ist „International Privacy Champion 2017“

Berlin, den 26. Januar 2017

Presseerklärung

Die einflussreiche US-Datenschutzorganisation EPIC (Electronic Privacy Information Center) hat Dr. Alexander Dix mit ihrem internationalen Datenschutzpreis „International Privacy Champion“ für das Jahr 2017 ausgezeichnet. Dix ist stellvertretender Vorsitzender der Europäischen Akademie für Informationsfreieheit und Datenschutz (EAID) und war bis 2015 langjähriger Landesbeauftragter für Datenschutz und Informationsfreiheit der Länder Brandenburg und Berlin.

Dr. Dix, dem die Auszeichnung in Brüssel übergeben wurde, bedankte sich für den Preis und erklärte: „Ich war und bin der Auffassung, dass Datenschutz und Informationsfreiheit nur auf internationaler Ebene effektiv verteidigt werden können. EPIC hat hier beeindruckende Leistungen vorzuweisen. Internationale Kooperation ist für die Durchsetzung von Datenschutz und Open Government weiterhin von entscheidender Bedeutung.“

Peter Schaar, der die EAID gemeinsam mit Dix leitet, erklärte: „Wir freuen uns sehr über die wichtige Auszeichnung für Dr. Dix. Er hat sich mit großem Einsatz und Erfolg für internationale Lösungen beim Datenschutz und bei der Informationsfreiheit eingesetzt. Als langjähriger Vorsitzender der Internationalen Arbeitsgruppe für den Datenschutz in der Telekommunikation („Berlin Group“) hat er den internationalen Datenschutz wie kaum ein Zweiter geprägt. Ich freue mich darüber, dass ich mit ihm in der EAID weiterhin eng zusammenarbeiten kann.“

Presseerklärung von EPIC: https://epic.org/press/PRESS-Release-EPIC-Dix-24-1-17.pdf

Biographische Angaben zu Dr. Alexander Dix: https://www.eaid-berlin.de/?page_id=1326

Kontakt: Peter Schaar
Tel. +49 30 75449550
psch@eaid-berlin.de
dix@eaid-berlin.de

EU-Datenschutz versus Medien- und Informationsfreiheit

Von Alexander Dix und Peter Schaar
– Bericht über eine Veranstaltung der Europäischen Akademie für Informationsfreiheit und Datenschutz am 1. Dezember 2016 in Berlin – für die Zeitschrift für Datenschutz
Seit jeher gibt es im Datenschutzrecht Sonderregeln für Medienunternehmen (z.B: das Medienprivileg im geltenden BDSG), die für einen Ausgleich zwischen den Grundrechten auf Datenschutz und Meinungs- bzw. Medienfreiheit sorgen sollen. Die mit der Medienfreiheit eng zusammenhängende Informationsfreiheit hat durch die Informationsfreiheitsgesetzgebung ebenfalls größere Bedeutung erlangt. Wie sind diese konkurrierenden Grundrechte in der Datenschutz-Grundverordnung zu einander in Beziehung gesetzt worden und welche Hausaufgaben haben die nationalen Gesetzgeber hier zu erledigen ?      Weiterlesen

Read here the deleted Obama Report on Privacy in our Digital Lives

On January 17th, 2017 US President Barack Obama published a report on digital privacy. Minutes after the transition to Trump on January 20th this report vanished from the White House Website. Nevertheless those who are interested, may read the full text of the report here, because we managed to get a copy (thanks to IAPP!)

 

Privacy_in_Our_Digital_Lives

Tracking und Profiling – online und offline

Dass die Online-Welt immer mehr mit der Offline-Welt zusammenwächst, zeigt sich auch in der immer schnelleren Entwicklung von Techniken zur Beobachtung und Ortung von Menschen und der Verfolgung ihrer Bewegungen zu den verschiedensten Zwecken. Lange Zeit wurde dieses Thema ausschließlich bezogen auf die Internet-Nutzung diskutiert. Inzwischen jedoch haben die Anbieter von Internet-Inhalten erkannt, dass Online-Profile sehr viel aussagekräftiger werden, wenn sie zum einen das Verhalten der Nutzer webseitenübergreifend abbilden und zum anderen auch ihr Verhalten offline miteinbeziehen.

Zu diesem Thema veranstaltete die Europäische Akademie für Informationsfreiheit und Datenschutz am 23. November 2016 im Abgeordnetenhaus von Berlin einen Workshop, an dem auch zahlreiche ausländische Experten teilnahmen, die sich an der vorausgegangenen Herbstsitzung der Internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation (sog. Berlin-Group) beteiligt hatten.

Zunächst berichtete Tobias Judin von der norwegischen Datenschutzaufsichtsbehörde Datatilsynet über die Ergebnisse einer Prüfung diverser Tracking-Technologien, die in Norwegen in öffentlich zugänglichen Bereichen eingesetzt werden. Diese reichen von WiFi-Netzen über Bluetooth-Technologie und den Einsatz von Beacons in Ladengeschäften bis hin zu intelligenter Videoanalyse, die über den Einsatz herkömmlicher Kameras weit hinausgeht. Judin erläuterte die Einordnung dieser Technologien nach norwegischem Recht, die sich durchaus auf andere europäische Länder übertragen lässt. Er bezeichnete die Transparenz beim Einsatz solcher Technik durch Unternehmen als essentiell als notwendig, wenn auch nicht als hinreichend. Darüber hinaus sei die informierte Einwilligung der Betroffenen einzuholen. So ist der Betreiber einer Ladenkette, der seine Kunden in den Geschäften lokalisieren lassen und über eine App gezielte Angebote machen will, dazu verpflichtet, sowohl elektronisch in der App als auch in den jeweiligen Geschäften durch analoge Hinweise auf diese Ortungsmöglichkeit hinzuweisen, um den Kunden eine Entscheidung zu ermöglichen, ob sie davon Gebrauch machen wollen. Für den Einsatz intelligenter Videoanalyse müssen – so Judin – nach norwegischem Recht strengere rechtliche Voraussetzungen erfüllt sein als für WiFi- und Beacon-Technologie.

Achim Klabunde, Leiter des IT-Bereichs beim Europäischen Datenschutzbeauftragten, widmete sich der technisch unterstützten Beobachtung durch öffentliche Stellen. Soweit es sich dabei um EU-Institutionen handelt, werden sie vom Europäischen Datenschutzbeauftragten kontrolliert. Dabei sparte er die öffentliche Sicherheit und Grenzkontrollen aus und konzentrierte sich auf die Beobachtung der Internet-Nutzung durch Unionsbehörden. Er beleuchtete die Reichweiten-Analyse und die Nutzung von sozialen Netzen, wobei er die neueste Entscheidung des EuGH zum Personenbezug von IP-Adressen und die festgestellte Unvereinbarkeit des deutschen Verbots der Speicherung von Nutzungsdaten für Sicherheitszwecke nach dem TMG mit in seine Analyse einbezog.

Die Perspektive der US-Federal Trade Commission beleuchtete in einem Video-Statement der Guilherme Roschke, Counsel for International Consumer Protection der FTC. Er schilderte die umfangreichen Aktivitäten der FTC im Zusammenhang mit verschiedenen Formen des geräteübergreifenden Online-Tracking durch Internet-Unternehmen, die ihre Kunden darüber entweder überhaupt nicht oder irreführend informieren. Dies reicht von „history sniffing“, bei dem die Nutzungshistorie des Browsers ausgelesen wird, bis hin zur unbemerkten Herstellung von Internet-Verbindungen durch moderne Fernsehgeräte, ein Thema, das auch in Deutschland für Diskussionen gesorgt hat. Bemerkenswert war die Aussage, dass die FTC – wie auch die europäischen Datenschutzbehörden – der Auffassung ist, dass Daten, die mittels technischer Identifikationsmerkmale wie der IP- oder der Mac-Adresse zur Personalisierung verwendet werden können, nicht generell als anonyme Daten anzusehen sind.

Abschließend berichtete Frank Wagner von der Deutschen Telekom über den gegenwärtigen Stand der internationalen Diskussion über den Do-Not-Track-Standard. Das World Wide Web Consortium (W3C) hat vor mehreren Jahren hierzu eine Arbeitsgruppe eingesetzt, die inzwischen mehrere Entwürfe für ein browsergestütztes Verfahren vorgelegt hat, mit dem Nutzer den von ihnen besuchten Webseiten mitteilen können, ob sie eine Speicherung ihrer Nutzungsdaten nach Ende der Nutzung akzeptieren oder nicht. Während die US-Internet-Wirtschaft offenbar kein Interesse an einem solchen Standard hat und das W3C deshalb Ende 2016 die Arbeiten daran einstellen wird, erläuterte Wagner die Absicht der Deutschen Telekom, gemeinsam mit anderen europäischen Stakeholdern dafür werben zu wollen, dass die Datenschutzbehörden in der Union den Do-Not-Track-Standard als eine Möglichkeit der informierten Einwilligung nach der Datenschutz-Grundverordnung qualifizieren.

 

Alexander Dix

Presseerklärung: EAID wendet sich gegen die Aufweichung des Europäischen Datenschutzes durch deutsche Gesetze

Berlin, den  1. Dezember 2016

Presseerklärung: EAID wendet sich gegen die Aufweichung des Europäischen Datenschutzes durch deutsche Gesetze

 – Stellungnahme zum Referentenentwurf des BMI für ein neues Bundesdatenschutzgesetz –

Die Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) befürchtet eine deutliche Verschlechterung des Datenschutzes, wenn die Pläne des Bundesministeriums des Innern (BMI) für ein „Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU“ realisiert werden.

In ihrer Stellungnahme kritisiert die EAID, dass viele der im Gesetz vorgesehenen Vorschriften hinsichtlich ihres Schutzniveaus nicht nur hinter dem durch das EU-Datenschutzrecht vorgegebenen Schutzniveau zurückbleiben, sondern sogar unterhalb des bisherigen deutschen Datenschutzniveaus liegen. Auf besondere Kritik stößt dabei das Vorhaben, staatlichen Stellen und Unternehmen weitergehende Befugnisse zur Verarbeitung personenbezogener Daten einzuräumen als im EU-Recht vorgesehen:
„Die für einen bestimmten Zweck erhobenen Daten dürften nahezu uferlos für andere Zwecke verwendet werden, und zwar auch dann, wenn schützenswerte Interessen der Betroffenen entgegenstehen. Das ist nicht nur europarechtswidrig, sondern es senkt auch das jetzige deutsche Datenschutzniveau ab“, kritisiert Peter Schaar, Vorsitzender der EAID.
Nicht akzeptabel ist auch die Aushöhlung der Rechte der Betroffenen auf Information über die Datenverarbeitung, über Auskunft über die zu ihrer Person gespeicherten Daten und auf Widerspruch gegen eine Datenverarbeitung. „Damit würden die in Deutschland lebenden Menschen datenschutzrechtlich schlechter gestellt als die Bürgerinnen und Bürger in anderen Ländern der EU“, führt Dr. Alexander Dix aus, stellvertretender EAID-Vorsitzender.
Die vorgesehenen Regelungen schaden auch den europäischen Unternehmen, die auf Basis des EU-Rechts gleichmäßige Bedingungen für grenzüberschreitende europaweite Geschäftsmodelle brauchen, um so auf Augenhöhe mit der internationalen Konkurrenz agieren zu können. Die vom Entwurf vorgesehenen zahlreichen Abweichungen konterkarieren das vom europäischen Gesetzgeber beabsichtigte Ziel, für alle Bürgerinnen und Bürgern der EU und für die im Europäischen Wirtschaftsraum tätigen Unternehmen einen gleichmäßig wirksamen Datenschutz zu garantieren.
Der Wortlaut der EAID-Stellungnahme ist abrufbar unter www.eaid-berlin.de
Kontakt: Peter Schaar, Tel. 030-754 49 550, psch(a)eaid-berlin.de

Mehr Transparenz und Datenschutz in Rundfunkanstalten

Die norddeutschen Informationsfreiheitsbeauftragten haben vor kurzem gefordert, dass der NDR durch eine Änderung des Staatsvertrages zur Anwendung des Hamburgischen Transparenzgesetzes verpflichtet werden sollte <http://www.heise.de/newsticker/meldung/Datenschuetzer-fuer-Transparenzpflicht-beim-NDR-3332535.html?wt_mc=rss.ho.beitrag.atom> .

Diese Forderung ist berechtigt. Ebenso wichtig ist aber eine Erstreckung des Hamburgischen Datenschutzgesetzes auf den NDR wie auch die Erstreckung des Datenschutzrechts auf all diejenigen Rundfunkanstalten, die bisher im administrativen (also nicht-journalistischen) Bereich von der Geltung der Datenschutzgesetze ausgenommen sind. Dies betrifft alle Rundfunkanstalten mit Ausnahme des Rundfunks Berlin-Brandenburg, Radio Bremen und des Hessischen Rundfunks. Nur in diesen drei Rundfunkanstalten ist eine unabhängige Datenschutzkontrolle z.B. der Verarbeitung von Zuschauerdaten beim Beitragsservice gewährleistet. Auch nach der Europäischen Datenschutz-Grundverordnung ist es nicht länger gerechtfertigt, die Rundfunkanstalten im adminstrativen Bereich von der Geltung der Datenschutzgesetze und der unabhängigen Datenschutzkontrolle auszunehmen.

Rechtsverstöße des BND werden zu Recht veröffentlicht und nicht geheim gehalten

Einer der Väter des Datenschutzes, Adalbert Podlech, hat Geheimdienste als Fremdkörper im Rechtsstaat bezeichnet. In diesem Zusammenhang formulierte Podlech auch den Satz „Nur kontrollierte Macht kann regelgeleitete Macht sein.“. Auch der Bundesnachrichtendienst ist an Gesetz und Recht gebunden. Wie schlecht es um diese Bindung in der Praxis steht, hat jetzt die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit in erfreulicher Deutlichkeit festgestellt. Sie hat – soweit ihr dies gestattet wurde – von ihrem Kontrollrecht Gebrauch gemacht. Dass ihre Kontrolle massiv behindert wurde und deshalb nur unvollständig sein konnte, ist schlimm genug. Aber auch die Kontrollen, die sie durchführen konnte, hatten ein bestürzendes Ergebnis. Der Bundesnachrichtendienst greift bei seiner Überwachung der Telekommunikation und des Internetverkehrs systematisch in die Grundrechte unbescholtener Bürgerinnen und Bürger ein. Darauf hatte es bereits in der Vergangenheit Hinweise gegeben, aber jetzt kann man es Schwarz auf Weiß in nüchtern-juristischer Diktion nachlesen. Der Bundesnachrichtendienst muss die in großem Umfang rechtswidrig erhobenen Daten jetzt löschen. Er sollte nicht darauf vertrauen dürfen, dass der Gesetzgeber rückwirkend oder auch nur für die Zukunft solche Praktiken legalisiert.

Allerdings: In einem Punkt irrt die Bundesbeauftragte für den Datenschutz, die zugleich Bundesbeauftragte für die Informationsfreiheit ist. Ihr „Sachstandsbericht“ über die Rechtsverstöße beim BND ist in seiner Gesamtheit als „GEHEIM“ klassifiziert. Möglicherweise sind einzelne in dem Bericht enthaltene Informationen tatsächlich geheimhaltungsbedürftig (auch wenn der Bericht jetzt in Gänze bei netzpolitik.org abrufbar ist). Aber das Ergebnis ihrer Prüfung, nämlich die festgestellten vielfältigen Rechtsverstöße, und die massive Behinderung ihrer Kontrolltätigkeit darf die Bundesbeauftragte nicht geheimhalten. Sonst würde der Bundesnachrichtendienst endgültig zu einem Fremdkörper in unserem Rechtsstaat.

Staatliche Gesichtserkennung ist etwas anderes als Kennzeichenscanning oder private Selfies

Die Anwendung von Gesichtserkennungstechnik durch den Staat ist nicht – wie der Bundesinnenminister meint – mit der Nutzung durch Private (z.B: beim Posten von Selfies oder dem Durchsuchen von Bildern bei Instagram) vergleichbar. Sie würde zu massiven Eingriffen in die Grundrechte unverdächtiger Menschen führen, die der Rechtfertigung bedürften. Ein solcher Eingriff läge schon in der automatisierten Beobachtung von Passanten mithilfe von Gesichtserkennungssoftware, die im Trefferfall „Alarm schlagen“ würde, wenn eine Person aus dem Fahndungsbestand erkannt würde. Dieser Eingriff wäre durch das geltende Polizei- und Strafverfolgungsrecht nicht gedeckt.

Das Bundesverfassungsgericht hat zwar die kurzzeitige Speicherung von Kfz-Kennzeichen beim automatisierten Kennzeichenscanning durch die Polizei dann nicht als Grundrechtswidrig angesehen, wenn nur die „Treffer-Fälle“ anschließend gespeichert werden. Diese Bewertung wird das Gericht aber aller Voraussicht nach nicht auf die Gesichtserkennung erstrecken, denn: das Kfz-Kennzeichen ist ein bloßer Datensatz, der lediglich eine Information über die Beziehung zwischen dem Kfz und seinem Halter (nicht zu seinem Fahrer) enthält. Das Gesicht (vorausgesetzt, es wird richtig erkannt) enthält zunächst eine (eindeutige) Information über die Identität der Person mit diesem Gesicht, darüber hinaus aber noch eine Vielzahl anderer (Überschuß-)Informationen z.B. über den Gefühlszustand, die ethnische Herkunft und evtl. auch über den Gesundheitszustand der Person. Eine Parallele zur Kfz-Kennzeichenerfassung ließe sich allenfalls dann ziehen, wenn jedes menschliche Gesicht in einem Datensatz verformelt wäre (gewissermaßen in einem öffentlich getragenen Personenkennzeichen). Das aber will hoffentlich niemand.

Außerdem gilt: bevor der Gesetzgeber daran gehen könnte, den Einsatz von Gesichtserkennungstechnik für Fahndungszwecke zu legalisieren, müsste ihre Geeignetheit zweifelsfrei feststehen, anderenfalls würde ein entsprechendes Gesetz den Anforderungen der Verfassung nicht genügen. Zwar ist seit dem Modellversuch am Mainzer Hauptbahnhof einige Zeit vergangen und die Technik dürfte sich weiter entwickelt haben. Noch aber sind keine neueren belastbaren Ergebnisse bekannt geworden, wonach die technikgestützte Gesichtserkennung zuverlässig genug ist, um im Echteinsatz verwendet zu werden.

Alexander Dix

« Older Entries