Category Archives: Allgemein

AfD-Meldeplattformen – wo bleibt der Datenschutz im Parlament ?

Das Vorhaben mehrerer AfD-Fraktionen in den Landtagen verschiedener Länder, Online-Plattformen einzurichten, auf denen Schüler dazu aufgerufen werden, Lehrer wegen kritischer Äußerungen zur AfD im Schulunterricht auch anonym anzuschwärzen, hat mit Recht Empörung ausgelöst. Die Brandenburgische Bildungsministerin hat von einem „Angriff auf den Schulfrieden“ gesprochen. Wie ist das Vohaben datenschutzrechtlich zu bewerten ? Welche Regeln gelten überhaupt für die Aktivitäten von Parlamentsfraktionen und wer setzt sie durch ? Diese Fragen sind auch von allgemeiner Bedeutung für den Fall, dass Parlamentsfraktionen künftig seriöse Projekte zur Erhebung von Bürgerdaten für parlamentarische Zwecke verfolgen sollten.
Der Bundestag und die Landtage sind öffentliche Stellen, die ebenso wie die Exekutive und die Gerichte den Bestimmungen der Datenschutzgrundverordnung unterliegen, soweit nicht die Strafjustiz betroffen ist oder andere Spezialvorschriften eingreifen. Einige Länder (z.B. Berlin und Hamburg) haben allerdings die Landtage pauschal vom Anwendungsbereich des Datenschutzrechts ausgenommen. Ob dies mit Europarecht vereinbar ist, kann man durchaus bezweifeln. Immerhin sehen aber einige Landesgesetze (z.B: in Brandenburg) vor, dass die Landesparlamente eigene Datenschutzordnungen erlassen, die auf die Datenverarbeitung zu parlamentarischen Zwecken anzuwenden sind. Das Abgeordnetenhaus von Berlin hat dagegen bisher davon abgesehen, eine entsprechende parlamentsinterne Regelung zu treffen, die von mehreren Berliner Datenschutzbeauftragten in der Vergangenheit vorgeschlagen wurden.

Die Kontrolle der Einhaltung datenschutzrechtlicher Bestimmungen (sei es der Datenschutzgrundverordnung oder einer parlamentarischen Datenschutzordnung) kann allerdings weder durch die jeweiligen Datenschutzbeauftragten des Bundes und der Länder noch gar durch die Exekutive erfolgen, auch wenn die Berliner Senatsbildungsverwaltung jetzt berechtigte Zweifel an der Rechtskonformität der Meldeplattform der AfD-Fraktion im Abgeordnetenhaus angemeldet hat. Das ergibt sich aus der verfassungsrechtlichen Gewaltenteilung. Das Bundesdatenschutzgesetz räumt der Bundesbeauftragten für den Datenschutz daher auch nur eine Beratungs- aber keine Kontrollbefugnis gegenüber den gesetzgebenden Körperschaften ein. Eine parlamentsinterne Kontrolle des Datenschutzes wird z.B. in Hamburg durch ein besonderes Datenschutgremium der Bürgerschaft, in Rheinland-Pfalz durch den Ältestenrat des Landtages gewährleistet.  Im Berliner Abgeordnetenhaus fehlt ein entsprechendes Gremium bisher.

So wichtig es ist, Vorhaben wie das mehrerer AfD-Landtagsfraktionen, mit denen Schüler zur Denunziation aufgefordert werden, politisch zu bekämpfen, so essenziell ist es zugleich, dass der Bundestag und alle Landtage für eine effektive Datenschutzkontrolle im parlamentarischen Bereich sorgen.

Alexander Dix

E-Evidence Regulation: Data supermarket for European Law Enforcement?

The idea is old, but the concrete proposal is rather new: Whereas goods flow freely in the EU internal market and digital services are offered across borders, the competence of law enforcement authorities ends at national borders. A police authority that wants to access data in the course of its investigations – for example in a fraud case – needs to contact the authorities of the state where the data are processed. How the foreign authority deal with such a request depends on the law of the country on whose territory the servers are located. The procedures are governed by the applicable international mutual legal assistance treaties (MLAT).

Such assessment is time-consuming and does not always has the result the requested data may be released to the foreign authority. For this reason the law enforcement and security community have been lobbying since years for easier access. Ideally, authorities should have direct access to data stored abroad. On 18 April 2018, the European Commission presented a draft EU regulation on this issue. The European Production and Preservation Orders for electronic evidence in criminal matters (E-Evidence Regulation) is intended to allow law enforcement authorities of the 28 member states direct cross-border access.

Restriction of fundamental rights by fast-track legislation ?

Since then, the European Parliament and the Council of Ministers have been working on the draft. Last week, the European Parliament published a critical study on the Commission’s draft. The Austrian government recently announced the ambitious goal of concluding negotiations in the Council of Ministers by 31 December 2018, when Austria will hand over the Presidency of the Council to Romania.

This legislative fast-track procedure is explosive in several respects: In contrast to a directive, an EU regulation would be directly applicable law in the member states and would not require transposition into national law. The regulation would mean a considerable restriction of fundamental rights, as issuing orders would have to be directly followed by providers of electronic services without a public authority or a court in the host country having examined whether issuing the order would also be permissible under national law.

On the other hand, the legal systems of the member states are not harmonised. They differ with regard to punishability, the levels of punishment and constitutional safeguards. Activities which are punishable in the issuing state but not in the state in which the processing takes place can thus be subject to an obligation to produce personal data. The European Commission is even conducting two proceedings against Poland and Hungary referring to the violation of the rule of law. The initiation of such proceedings against Romania is currently under discussion because the Romanian government also wants to restrict the independence of the courts in this country.

If the E-Evidence Regulation would be adopted in its proposed version, providers of electronic services (such as cloud providers, network operators, social media, hosting and telecommunications companies) would have to follow production orders of the foreign authorities directly without the chance of carrying out a substantive examination.

Comprehensive scope of application

Production Orders may be issued for any type of offence. The requirement to provide content and transaction data only for offences punishable by a maximum term of imprisonment of at least three years in the issuing State is not likely to dispel concerns. Contrary to what the Commission’s explanations on the E-Evidence Package suggest, the three years are not a minimum penalty, but a minimum maximum penalty. A glance at the German Criminal Code shows that this criterion applies to a large number of offences and not only to serious crimes. 

In Poland, for example, abortion is punishable by imprisonment for up to three years. Therefore the condition for a production order would thus be fulfilled. A Dutch or German provider would have to hand over the e-mails and traffic data to the Polish criminal prosecution authority if the latter were to investigate an abortion case, although in these countries abortion is exempt from punishment. The provider of an electronic accounting service the doctor is using could possibly also be the addressee of a corresponding production order.

This problem also becomes clear in the case of the Catalan exile politician Puigdemont, against whom a Spanish arrest warrant for „riot“ had been issued. According to the decision of the Higher Regional Court of Schleswig, the offence did not constitute a comparable criminal offence under German law. The European arrest warrant issued by Spain could not be executed against him in Germany. According to the draft E-Evidence Regulation, the German providers would nevertheless be obliged to issue corresponding electronic documents if a Spanish court issues a production order, because unlike the European arrest warrant, no review by a court of the target state would be required.

Impositions on providers

The situation for providers is completely unreasonable, too: they woul be subject to obligations they cannot check in a procedure that is in accordance with the rule of law. Not only courts and public prosecutors‘ offices, but any competent authority designated by the issuing state can issue a production order. In the 28 EU Member States, a very large number of authorities, possibly more than a thousand, will be given the power under national law to require companies to disclose data across borders, often without confirmation by a court. It is not even possible for companies to seriously examine whether an authority has the appropriate competence, or even whether it is an authority at all. It is true that the respective authorities are to prove that they have been validated in writing by a court or an other judicial authority. However, the draft regulation provides for it should be sufficient for the issuing authority to send a corresponding document by fax.

In view of the very short deadlines (in certain cases companies are obliged to deliver the data within six hours!), it is hardly possible for the recipient to check whether the fax and the stamp of a judicial authority contained on it is genuine, and it is not even certain whether the letter originates from an authority at all. Accordingly, there is a great risk of being taken in by a fake issuing order and transferring personal data to third parties without justification.

If a provider rejects to comply with a production order, he is threatened with considerable financial and criminal consequences. In addition, the considerable violation of the fundamental rights of the data subject brought about in this way represents a considerable liability risk for the provider for having unlawfully disclosed data.

No examination of legality in the target country

Whereas the European Investigation Order, another EU instrument introduced a few years ago, is subject to enforcement by the authorities in whose territory the processing takes place, the electronic production order is to be issued directly to the foreign provider. The E-Evidence Regulation does not provide for any substantial review by a domestic court or a domestic judicial authority. Procedural safeguards – such as the judge’s approval – might be circumvented if the law of the issuing state does not provide for such. Finally, requirements which the German Federal Constitutional Court has established, e.g. for the protection of the core area of private life, would not be guaranteed.

According to the draft E-Evidence Regulation the main responsibility for the transfer will be subject to the company to which the order is addressed – a problematic delegation to private entities. Companies have only very limited means of reviewing the legality and proportionality of a production order or of refusing to transmit the requested data. According to the draft they may only object to comply with an order if they consider that the information contained in the order indicates that it „manifestly“ infringes the Charter of Fundamental Rights of the European Union or it is manifestly abusive.

Real-time monitoring?

It is subject to the ongoing debate if and to what extent real-time monitoring („live interception“) shall be included in the E-Evidence Regulation in addition to the preservation and production of data already stored. But even if – as is to be expected – corresponding demands of some governments would not be supported by a majority in the European Parliament, the planned regulation would be a profound encroachment on European and national fundamental rights. It would be irresponsible to wave through such a regulation quickly without a thorough debate.

Zuckerberg und der Zauberlehrlings-Effekt

Der Auftritt von Mark Zuckerberg vor dem US-Kongress hat deutlich gemacht, dass der Erfinder und Chef von Facebook mittlerweile weitgehend die Kontrolle über seine Kreatur verloren hat. Zuckerberg, der den Erfolg seines Unternehmens einmal damit erklärte, dass seine Nutzer „dumb fucks“ (Idioten) seien, hat gegenüber dem Senatsausschuss erklärt, dass sein Unternehmen von der Verbreitung von Fake News durch russische Trolle überrascht worden sei. Ob dies auch für das Absaugen von MIlliarden personenbezogener Daten durch Cambridge Analytica und andere App-Entwickler gilt, blieb unklar.

Dies erinnert an die Tatsache, dass auch die National Security Agency bei der weltweiten flächendeckenden Kommunikationsüberwachung zumindest zeitweise die Kontrolle über ihre eigenen Datenverarbeitungssysteme verloren und deshalb die rechtswidrige Ausspähung von US-Bürgern nicht bemerkt hat. Darin war ein doppelter Zauberlehrlings-Effekt zu sehen, denn der Geheimdienst war zuvor bereits der Kontrolle der dafür vorgesehenen staatlichen Institutionen immer wieder entglitten, was durch die Snowden-Enthüllungen unterstrichen wurde.

Ob Zuckerberg aufgrund seines Geschäftsmodells die massenhafte Nutzung der von seinem „Datenstaubsauger“ gesammelten Daten für demokratiegefährdende Zwecke zunächst billigend in Kauf genommen hat (dann wäre die Metapher vom Zauberlehrling zu freundlich) oder ob er schlicht überfordert ist, wird sich noch zeigen. Jetzt aber genügt es nicht mehr, dass das Unternehmen ganzseitige Anzeigen in deutschen Tageszeitungen schaltet und auf die am 25. Mai in Kraft tretende Europäische Datenschutz-Grundverordnung verweist. Jetzt ist es an der Zeit, dass der US-Kongreß dem europäischen Beispiel folgt und ein Datenschutzgesetz für die gesamte Wirtschaft verabschiedet, dass diesen Namen verdient.

Schon 1976 hat der OECD-Experte Hans-Peter Gassmann darauf hingewiesen, dass der Watergate-Skandal zur Verabschiedung des – nur für die US-Bundesverwaltung geltenden – Privacy Act geführt habe. In Europa – so Gassmann – sei der Datenschutz noch nicht so weit entwickelt, weil es dort seinerzeit an großen publikumswirksamen Skandalen gefehlt habe. Der Skandal um Facebook – immerhin bereits der 12. in der Geschichte diese Unternehmens – sollte dazu führen, dass sich endlich eine Mehrheit im Kongreß für ein umfassendes Datenschutzgesetz – nicht nur eine Lex Facebook – findet.

Alexander Dix

Daten als Einkommensquelle für Städte und Gemeinden ?

Der Hauptgeschäftsführer des Deutschen Städte- und Gemeindebundes, Gerd Landsberg, hat vorgeschlagen, die deutschen Kommunen sollten ihre Datenbestände verkaufen. Selbst wenn dies keine personenbezogenen Daten von Bürgerinnen und Bürgern betrifft, sondern z.B. Daten zur Feinstaubbelastung, widerspricht der Voschlag den Grundsätzen der Open Government Partnership, der die Bundesrepublik beigetreten ist. Derartige Daten sollte prinzipiell für jedermann kostenfrei zugänglich veröffentlicht werden.

Die wichtigsten Argumente gegen die Vermarktung von Daten der Städte und Gemeinden, die diese mit Steuergeldern gesammelt haben, haben Walter Palmetshofer und Michael Peters vom Open Government Netzwerk in diesem Beitrag zusammengestellt:

Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Alexander Dix

Stellungnahme zu den Hamburger Gesetzentwürfen zur Umsetzung der DSGVO und der JI-Richtlinie

 

Der stellvertretende Vorsitzende der EAID, Dr. Alexander Dix, hat am 27. März 2018 zu den beiden Gesetzentwürfen zur Umsetzung der Datenschutz-Grundverordnung und (teilweise) der JI-Richtlinie, im Justizausschuss der Hamburger Bürgerschaft Stellung genommen. Die Texte finden Sie hier:

Stellungnahme-HmbDSG-Justizausschuss-Dix

Drucksache_21-11636_Entwurf_HmbJVollzDSG Drucksache_21-11638_Entwurf_HmbDSG

Brauchen wir ein neues Datenrecht?

Die Bundesregierung sendet angesichts der Datenaffäre um Facebook und Cambridge Analytica widersprüchliche Signale aus. Während die neue Justiz- und Verbraucherschutzministerin Katarina Barley darauf setzt, dass die ab Mai EU-weit geltende Datenschutz-Grundverordnung (DSGVO) der exzessiven Datennutzung und dem Datenmissbrauch entgegenwirkt, plädiert Kanzleramtschef Helge Braun für ein „neues Datenrecht“.

Das von einer „Daten-Ethikkommission“ innerhalb eines Jahres auszuarbeite Datenrecht solle mehr Transparenz für die Bürger schaffen, kündigte Braun an. „Dem Bürger muss erstmal immer sehr transparent sein, welche Daten er zur Verfügung stellt. Und er muss das grundsätzlich immer sehr einfach und sehr wirksam unterbinden können. Auf der anderen Seite müsse es für die Wirtschaft klare Regeln geben, welcher Umgang mit Daten erlaubt ist und welcher nicht.“

Nachdem sich seine Kanzleramts-Kollegin Dorothee Bär kürzlich dadurch hervorgetan hat, den Datenschutz zu einem Ansatz aus dem 18. Jahrhundert zu erklären, konzentriert sich der Kanzleramtschef auf einen Ansatz, bei dem es weniger um den Schutz des Grundrechts auf informationelle Selbstbestimmung geht, sondern um die Nutzbarmachung von immer mehr Daten. Dies passt zu den Äußerungen von Bundeskanzlerin Angela Merkel, die in letzter Zeit jede positive Bezugnahme auf den Datenschutz peinlich vermeidet, und stattdessen lieber von „Datensouveränität“, „Datenpolitik“, „Dateneigentum“ und „Datenreichtum“ spricht.

Dass es dabei nicht in erster Linie um die Stärkung der Transparenz der Datenverarbeitungsmodelle und um stregere Regeln zum Umgang mit Daten geht, ist anzunehmen. So hat sich die Große Koalition 2017 bei der Novellierung des Bundesdatenschutzgesetzes infolge des Inkrafttretens der DSGVO eher um eine Entschärfung der europaweiten Datenschutzbestimmungen bemüht. Ihr Gesetzentwurf (Bundestags-Drucksache 18/11325) zeichnete sich dadurch aus, die in der DSGVO vorgesehenen Informationspflichten bei der Erhebung und Verarbeitung personenbezogener Daten einzuschränken. Auch die Auskunftsrechte der von der Datenverarbeitung betroffenen Personen sollten beschnitten werden. Dass die vom Bundestag beschlossenen Einschränkungen der Transparenz der Datenverarbeitung weniger gravierend ausfielen, ist nicht zuletzt dem Widerstand von Verbraucher- und Datenschützern zu danken, und war nicht etwa das Ergebnis des Umdenkens in dem für das Gesetzgebungsvorhaben federführenden Bundesministerium des Innern.

Um es zusammenzufassen: Der Umgang mit personenbezogenen Daten ist in der Datenschutz-Grundverordnung umfassend geregelt. Im Hinblick auf die Vorgaben für Internet-Dienste und Telekommunikationsunternehmen ist zwar eine Überarbeitung der bisherigen Regelungen angebracht, aber auch dabei handelt es sich in erster Linie um ein europäisches Thema (ePrivacy). Deutsche Alleingänge machen da wenig Sinn.

Peter Schaar

Vorsicht Grenzüberschreitung – Direkter Datenzugriff gefährdet Grundrechte!

Digitale Globalisierung und nationales Recht stehen in einem zunehmenden Spannungsverhältnis. Nirgends zeigt sich dies so deutlich wie bei der Strafverfolgung. Strafverfolgungsbehörden verlangen in strafrechtlichen Ermittlungen in immer mehr Fällen Zugang zu personenbezogenen Daten, die außerhalb ihrer nationalen Grenzen gespeichert sind. Dies kann angesichts der Tatsache, dass beliebige Datenmengen per Mausklick auf Server in anderen Kontinenten transferiert werden können, eigentlich niemanden verwundern.

Natürlich hat es Fälle, in denen die Strafverfolgung eine grenzüberschreitende Kooperation erforderlich machte, schon früher gegeben. Eine traditionelle Regelung zur Lösung grenzüberschreitender Datenanfragen in Strafsachen bieten die zwischen Staaten geschlossene Rechtshilfevereinbarungen (Mutual Legal Assistance Treaties, MLAT). Sie legen entsprechende Verfahren fest, wie mit Rechtshilfeersuchen aus dem Ausland umzugehen ist. So können die nationalen Behörden überprüfen, inwieweit etwa eine Datenübermittlung zur Durchführung eines Strafverfahrens in Einklang mit dem nationalen Recht steht. Dieses System wird jedoch von der steigenden Häufigkeit und Komplexität grenzüberschreitender Datenanforderungen überfordert. Infolgedessen gibt es erhebliche Verzögerungen bei der Verarbeitung von Anfragen.

Vor diesem Hintergrund fordern nationale Behörden und Gerichte in zunehmendem Maße von Unternehmen die Herausgabe von Daten, die sie außerhalb des eigenen Territoriums speichern. So verlangte ein belgisches Gericht von Microsoft die Herausgabe von Skype-Daten. Eine brasilianische Behörde forderte von Yahoo! die Herausgabe von Internet-Informationen über bestimmte Nutzer und chinesische Behörden verlangen von Internet-Anbietern vielfach die Herausgabe auf ausländischen Servern gespeicherter Daten. Aktuell erregt vor allem ein Fall Aufsehen, bei dem ein Bundesgericht im Bundesstaat New York die Firma Microsoft zur Herausgabe von E-Mails verpflichtet hat, die auf einem Server in Irland gespeichert sind. Der strittige Fall wird demnächst voraussichtlich vom US Supreme Court entschieden.

In derartigen Fällen stellt sich regelmäßig die Frage, inwieweit Grundrechte und andere, im Strafrecht enthaltene Schutzvorschriften verletzt werden. Gerade beim Strafrecht bestehen auf internationaler Ebene gewaltige Unterschiede. Eine Handlung, die in einem Staat strafbar ist, mag woanders erlaubt sein (etwa an die in Deutschland strafbaren Meinungsdelikte, die in den USA unter dem Motto „Freedom of Speech“ akzeptiert werden). Gleiches gilt für das Strafprozessrecht: Wann ein Richter entscheiden muss, welche Vorgaben für Beschlagnahmen und Durchsuchungen gelten, in welchen Fällen Beweisverwertungsverbote und Zeugnisverweigerungsrechte bestehen, unterscheidet sich von Land zu Land.

Soweit es sich bei den angeforderten Informationen um personenbezogene Daten handelt, sind die Grundrechte auf Wahrung der Privatsphäre und auf Datenschutz (Art. 7 und 8 der EU-Grundrechtecharta) direkt betroffen. Nach europäischem Rechtsverständnis ist die Herausgabe personenbezogener Daten an ausländische Behörden nur zulässig, wenn hierfür eine entsprechende Rechtsgrundlage im EU-Recht oder im Recht der Mitgliedstaaten besteht. Art. 48 der im Mai 2018 wirksam werdenden Datenschutzgrundverordnung (DSGVO) unterstreicht diesen Rechtsgrundsatz: Behördliche oder gerichtliche Anordnungen von Staaten außerhalb der EU dürfen nur dann anerkannt werden, wenn sie auf einer internationalen Übereinkunft wie einem Rechtshilfeabkommen beruhen.

Aber auch innerhalb der EU ist der Umgang mit grenzüberschreitenden Datenanforderungen von Strafverfolgungsbehörden anderer Mitgliedstaaten alles andere als unkompliziert. Zwar gibt es hier inzwischen das Instrument der Europäischen Beweisanordnung – EBA, welche die Erlangung von Beweismitteln aus einem anderen Mitgliedstaat erleichtert. Doch erlaubt auch die EBA nicht den direkten Zugriff auf in einem anderen Mitgliedstaat gespeicherte Daten.

Artikel 29 Gruppe nimmt zu E-Evidence Stellung

Vor diesem Hintergrund hat die Europäische Kommission unter der Überschrift „e-Evidence“ verschiedene Initiativen gestartet, die den grenzüberschreitenden Datenzugriff erleichtern sollen. Die Art. 29-Arbeitsgruppe, in der die Datenschutzbehörden der EU zusammenarbeiten, hat nun eine lesenswerte Stellungnahme zu den entsprechenden Vorschlägen veröffentlicht.

Die amtlichen Datenschützer weisen darauf hin, dass der Zugriff der Strafverfolgungsbehörden auf personenbezogene Daten in die durch die Grundrechtecharta garantierten Grundrechte eingreift. Jede Beschränkung dieser Grundrechte müsse deren Kern respektieren und zudem dem Verhältnismäßigkeitsgrundsatz entsprechen. In der Stellungnahme wird ausführlich dargelegt, dass die bisher vorgelegten Vorschläge diesen Anforderungen nicht gerecht werden. Kritisiert wird etwa die Möglichkeit, dass sich der grenzüberschreitende Zugriff nicht auf die Verfolgung schwerer Straftaten beschränken sollen. Zudem bemängelt die Art. 29 Gruppe, dass die bislang vorgelegten Vorschläge zu e-Evidence keine Vorgaben zur Gewährleistung der Transparenz bei grenzüberschreitenden Datenanfragen und keine Verpflichtungen zur (nachträglichen) Benachrichtigung der Betroffenen enthalten.

Als besonders problematisch sehen es die Datenschutzbeauftragten an, dass grenzüberschreitende Datenanforderungen von Behörden der Mitgliedstaaten Daten umfassen sollen, die außerhalb der EU gespeichert sind. Sollte die EU eine entsprechende Regelung treffen, würde dies im Umkehrschluss bedeuten, dass letztlich auch entsprechende unilaterale Vorgaben anderer Staaten, etwa der USA akzeptiert werden müssten. Sie fordern, dass Datenanforderungen zwischen Drittstatten und der EU weiterhin nur auf Basis internationaler Rechtshilfeabkommen nachgekommen werden soll. Dies schließt natürlich nicht aus, dass auch beim Datenaustausch über die EU-Außengrenzen hinaus die entsprechenden Prozeduren verbessert und beschleunigte Entscheidungen herbeigeführt werden.

Pressemitteilung: Das bisherige Niveau des Datenschutzes im Sozial- und Steuerbereich erhalten

Berlin, 26. Juni 2017
Das bisherige Niveau des Datenschutzes im Sozial- und Steuerbereich muss beibehalten werden – Keine kontrollfreien Räume in den Finanzämtern !
Nahezu unbemerkt von der Öffentlichkeit bereitet die Bundesregierung gegenwärtig eine weitreichende Absenkung der Datenschutzstandards im Sozial- und Steuerbereich vor. Der Bundestag hat bereits dem Entwurf einer Änderung des Bundesversorgungsgesetzes zugestimmt, in den zuvor nahezu überfallartig in letzter Minute zahlreiche datenschutzrechtliche Regelungen aufgenommen wurden. Der Bundesrat berät voraussichtlich am 7. Juli 2017 abschließend über das Vorhaben. Dr. Alexander Dix, stellvertretender Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz, zu diesem Gesetzesvorhaben: „Es droht eine deutliche Verschlechterung des Datenschutzes im Sozial- und Steuerbereich sowie eine inakzeptable Ausdünnung der Datenschutzkontrolle in den Finanzämtern.“
Der Gesetzentwurf sieht eine Einschränkung der Informations- und Auskunftsrechte der Sozialleistungsempfänger und Steuerzahler in einem Maße vor, das in zahlreichen Punkten  gegen die im kommenden Jahr in Kraft tretende Europäische Datenschutz-Grundverordnung verstößt. Teilweise bleiben die geplanten Bestimmungen sogar noch hinter dem gerade novellierten Bundesdatenschutzgesetz zurück. Statt der behaupteten Anpassung an das Unionsrecht würde eine Verabschiedung des Entwurfs im Gegenteil zu zusätzlicher Rechtsunsicherheit führen, da die betroffenen Bürgerinnen und Bürger ihre weitergehenden Ansprüche nach europäischem Recht häufig erst gerichtlich durchsetzen müssten.
Schließlich will die Bundesregierung die Datenschutzkontrolle in den Finanzämtern bei der Bundesbeauftragten für den Datenschutz zentralisieren. Die Finanzämter sind Behörden der Länder, die bisher – wie alle Landesbehörden – aus gutem Grund und in bürgernaher Weise von den Landesbeauftragten für den Datenschutz kontrolliert werden. Diese föderale Datenschutzaufsicht hat sich bewährt. Wenn die Kontrolle aller deutschen Finanzämter jetzt einer Bundesbehörde übertragen wird, dann drohen kontrollfreie Räume in der Finanzverwaltung, denn selbst bei einer personellen Verstärkung ist nicht zu erwarten, dass eine zentrale Datenschutzbehörde den Beschwerden der Bürgerinnen und Bürger zeitnah nachgehen und darüber hinaus die erforderlichen Kontrollen von Amts wegen gewährleisten kann. 
Der Bundesrat sollte diesem Gesetzentwurf seine Zustimmung verweigern. 
 
Kontakt: Dr. Alexander Dix, stv. Vorsitzender (dix@eaid-berlin.de)

Die E-Privacy-Verordnung, eine notwendige Ergänzung der Datenschutz-Grundverordnung

Die Europäische Kommission hat vorgeschlagen, die bisher geltende Richtlinie zum Datenschutz bei der elektronischen Kommunikation (E-Privacy-Richtlinie) von 2002 durch eine Verordnung zu ersetzen, die die Datenschutz-Grundverordnung ergänzen und gleichzeitig mit ihr im Mai 2018 in Kraft treten soll. Die EAID unterstützt diesen Vorschlag, weil die elektronische Kommunikation sowohl zwischen Menschen als auch zwischen juristischen Personen immer bedeutsamer und zudem immer mehr durch die personenbezogene Kommunikation zwischen Maschinen ergänzt wird. Die Datenschutz-Grundverordnung bezieht sich jedoch nur auf den Schutz natürlicher Personen und enthält selbst keine hinreichenden Garantien für die Vertraulichkeit der technisch vermittelten Kommunikation (früher: das „Fernmeldegeheimnis“). Auch regelt die Grundverordnung das Verhältnis zur bisherigen E-Privacy-Richtlinie nicht eindeutig, so dass Eile geboten ist.
Die Bundesregierung sollte sich deshalb dafür einsetzen, dass der Entwurf für eine E-Privacy-Verordnung im EU-Ministerrat so rechtzeitig abschließend und ohne Substanzverlust beraten wird, damit sie gleichzeitig mit der Datenschutz-Grundverordnung 2018 in Kraft treten kann. Erst damit würde der neue Europäische Rechtsrahmen für den Datenschutz komplettiert.

Alexander Dix

« Older Entries