Category Archives: Allgemein

Mehr Transparenz und Datenschutz in Rundfunkanstalten

Die norddeutschen Informationsfreiheitsbeauftragten haben vor kurzem gefordert, dass der NDR durch eine Änderung des Staatsvertrages zur Anwendung des Hamburgischen Transparenzgesetzes verpflichtet werden sollte <http://www.heise.de/newsticker/meldung/Datenschuetzer-fuer-Transparenzpflicht-beim-NDR-3332535.html?wt_mc=rss.ho.beitrag.atom> .

Diese Forderung ist berechtigt. Ebenso wichtig ist aber eine Erstreckung des Hamburgischen Datenschutzgesetzes auf den NDR wie auch die Erstreckung des Datenschutzrechts auf all diejenigen Rundfunkanstalten, die bisher im administrativen (also nicht-journalistischen) Bereich von der Geltung der Datenschutzgesetze ausgenommen sind. Dies betrifft alle Rundfunkanstalten mit Ausnahme des Rundfunks Berlin-Brandenburg, Radio Bremen und des Hessischen Rundfunks. Nur in diesen drei Rundfunkanstalten ist eine unabhängige Datenschutzkontrolle z.B. der Verarbeitung von Zuschauerdaten beim Beitragsservice gewährleistet. Auch nach der Europäischen Datenschutz-Grundverordnung ist es nicht länger gerechtfertigt, die Rundfunkanstalten im adminstrativen Bereich von der Geltung der Datenschutzgesetze und der unabhängigen Datenschutzkontrolle auszunehmen.

Rechtsverstöße des BND werden zu Recht veröffentlicht und nicht geheim gehalten

Einer der Väter des Datenschutzes, Adalbert Podlech, hat Geheimdienste als Fremdkörper im Rechtsstaat bezeichnet. In diesem Zusammenhang formulierte Podlech auch den Satz „Nur kontrollierte Macht kann regelgeleitete Macht sein.“. Auch der Bundesnachrichtendienst ist an Gesetz und Recht gebunden. Wie schlecht es um diese Bindung in der Praxis steht, hat jetzt die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit in erfreulicher Deutlichkeit festgestellt. Sie hat – soweit ihr dies gestattet wurde – von ihrem Kontrollrecht Gebrauch gemacht. Dass ihre Kontrolle massiv behindert wurde und deshalb nur unvollständig sein konnte, ist schlimm genug. Aber auch die Kontrollen, die sie durchführen konnte, hatten ein bestürzendes Ergebnis. Der Bundesnachrichtendienst greift bei seiner Überwachung der Telekommunikation und des Internetverkehrs systematisch in die Grundrechte unbescholtener Bürgerinnen und Bürger ein. Darauf hatte es bereits in der Vergangenheit Hinweise gegeben, aber jetzt kann man es Schwarz auf Weiß in nüchtern-juristischer Diktion nachlesen. Der Bundesnachrichtendienst muss die in großem Umfang rechtswidrig erhobenen Daten jetzt löschen. Er sollte nicht darauf vertrauen dürfen, dass der Gesetzgeber rückwirkend oder auch nur für die Zukunft solche Praktiken legalisiert.

Allerdings: In einem Punkt irrt die Bundesbeauftragte für den Datenschutz, die zugleich Bundesbeauftragte für die Informationsfreiheit ist. Ihr „Sachstandsbericht“ über die Rechtsverstöße beim BND ist in seiner Gesamtheit als „GEHEIM“ klassifiziert. Möglicherweise sind einzelne in dem Bericht enthaltene Informationen tatsächlich geheimhaltungsbedürftig (auch wenn der Bericht jetzt in Gänze bei netzpolitik.org abrufbar ist). Aber das Ergebnis ihrer Prüfung, nämlich die festgestellten vielfältigen Rechtsverstöße, und die massive Behinderung ihrer Kontrolltätigkeit darf die Bundesbeauftragte nicht geheimhalten. Sonst würde der Bundesnachrichtendienst endgültig zu einem Fremdkörper in unserem Rechtsstaat.

Staatliche Gesichtserkennung ist etwas anderes als Kennzeichenscanning oder private Selfies

Die Anwendung von Gesichtserkennungstechnik durch den Staat ist nicht – wie der Bundesinnenminister meint – mit der Nutzung durch Private (z.B: beim Posten von Selfies oder dem Durchsuchen von Bildern bei Instagram) vergleichbar. Sie würde zu massiven Eingriffen in die Grundrechte unverdächtiger Menschen führen, die der Rechtfertigung bedürften. Ein solcher Eingriff läge schon in der automatisierten Beobachtung von Passanten mithilfe von Gesichtserkennungssoftware, die im Trefferfall „Alarm schlagen“ würde, wenn eine Person aus dem Fahndungsbestand erkannt würde. Dieser Eingriff wäre durch das geltende Polizei- und Strafverfolgungsrecht nicht gedeckt.

Das Bundesverfassungsgericht hat zwar die kurzzeitige Speicherung von Kfz-Kennzeichen beim automatisierten Kennzeichenscanning durch die Polizei dann nicht als Grundrechtswidrig angesehen, wenn nur die „Treffer-Fälle“ anschließend gespeichert werden. Diese Bewertung wird das Gericht aber aller Voraussicht nach nicht auf die Gesichtserkennung erstrecken, denn: das Kfz-Kennzeichen ist ein bloßer Datensatz, der lediglich eine Information über die Beziehung zwischen dem Kfz und seinem Halter (nicht zu seinem Fahrer) enthält. Das Gesicht (vorausgesetzt, es wird richtig erkannt) enthält zunächst eine (eindeutige) Information über die Identität der Person mit diesem Gesicht, darüber hinaus aber noch eine Vielzahl anderer (Überschuß-)Informationen z.B. über den Gefühlszustand, die ethnische Herkunft und evtl. auch über den Gesundheitszustand der Person. Eine Parallele zur Kfz-Kennzeichenerfassung ließe sich allenfalls dann ziehen, wenn jedes menschliche Gesicht in einem Datensatz verformelt wäre (gewissermaßen in einem öffentlich getragenen Personenkennzeichen). Das aber will hoffentlich niemand.

Außerdem gilt: bevor der Gesetzgeber daran gehen könnte, den Einsatz von Gesichtserkennungstechnik für Fahndungszwecke zu legalisieren, müsste ihre Geeignetheit zweifelsfrei feststehen, anderenfalls würde ein entsprechendes Gesetz den Anforderungen der Verfassung nicht genügen. Zwar ist seit dem Modellversuch am Mainzer Hauptbahnhof einige Zeit vergangen und die Technik dürfte sich weiter entwickelt haben. Noch aber sind keine neueren belastbaren Ergebnisse bekannt geworden, wonach die technikgestützte Gesichtserkennung zuverlässig genug ist, um im Echteinsatz verwendet zu werden.

Alexander Dix

Consultation on ePrivacy Directive: Confidentiality and security of electronic communications in Europe need better protection

Press Release

Confidentiality and security of electronic communications in Europe need better protection

EAID Opinion in the course of a consultation procedure of the EU Commission on the evaluation ePrivacy Directive

The European Academy for Freedom of Information and Privacy (EAID) takes the view that  the privacy of electronic communications needs better protection  by European law . This is suggested by the former Berlin Data Protection Commissioner Alexander Dix and former Federal Data Protection Commissioner Peter Schaar, now board members of the European Academy for Freedom of Information and Data Protection. The opinion of the EAID was delivered in the course of a consultation procedure on the evaluation of the Directive on privacy and electronic communications (ePrivacy Directive – 2002/58/EC) conducted by the European Commission. The Commission plans to table  a legislative proposal to reform the ePrivacy directive in mid-2017.

The privacy advocates emphasize that electronic communications are increasingly exposed to risks of monitoring and comprehensive registration of the communications behavior of  users. Therefore the European Union must strengthen the protection of confidentiality and security of technologically mediated communications.The  specific European legal requirements on data protection in electronic communications services will not become obsolete when the General Data Protection Regulation (GDPR) comes into force. However, the current provisions require a fundamental overhaul. The rights to secrecy and privacy of electronic communications can only be guaranteed at a high level on the basis of specific data protection provisions for this sector.

It must be ensured that the future regime for data protection in electronic communications is not limited to classical telecommunications services. It must also apply to the providers of so-called „over-the-top“ (OTT) services as Internet telephony and instant messaging, and other services of the information society. The telemarketing should be allowed only on the basis of the consent of the person being called. The same provision should apply to the sending of commercial messages via social networks, which must not be treated differently from promotional emails (opt-in principle). Finally, everyone must have the right to protect his or her communications (email, home networks, mobile phones, storage media) by using passwords and encryption. The communications service providers should be obliged to provide to their customers appropriate safety measures .

Given the increasing importance of supposedly „free“ services (actually payed by user’s personal data), the EAID emphasizes  the risk that privacy may become a luxury item for the wealthy who can afford to pay with money instead of data. It is therefore existentially important, that basic services within the meaning of universal service should be offered for free and without excessive data collection. The processing of personal data must be strictly limited to what is necessary for the provision of such services.Third-party cookies should always disabled by default. Even other tracking and targeting techniques should require the explicit and unambiguous consent of the user.

To ensure uniform enforcement of the new legal instrument on data protection in electronic communications the oversight competence should be assigned in all Member States to the data protection authorities, ensuring that the European Data Protection Board will guarantee a uniform and consistent application throughout Europe. Thus the current jurisdictional problems and legal uncertainties which are comprehensible neither for users nor for  companies, could be resolved.

contact: dix@eaid-berlin.de

V.i.S.d.P.: Dr. Alexander Dix, Europäische Akademie, für Informationsfreiheit und Datenschutz, Bismarckallee 46/48, 14193 Berlin

Konsultation der EU-Kommission zur ePrivacy-Richtlinie: Vertraulichkeit und Sicherheit der elektronischen Kommunikation stärker schützen

Presseerklärung

Europa muss die Vertraulichkeit und Sicherheit der elektronischen Kommunikation stärker schützen

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) ist der Auffassung, dass es weiterhin besonderer Regelungen bedarf, die den Datenschutz für die elektronische Kommunikation in Europa sicherstellen. Darauf weisen der ehemalige Berliner Datenschutzbeauftragte Alexander Dix und der ehemalige Bundesdatenschutzbeauftragte Peter Schaar hin, jetzt Vorstandsmitglieder der Europäischen Akademie für Informationsfreiheit und Datenschutz. Die EAID-Stellungnahme erfolgte im Rahmen einer von der EU-Kommission durchgeführten Konsultation zur Evaluierung der Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie,  2002/58/EC). Die Kommission hat für Mitte 2017 einen entsprechenden Reformvorschlag angekündigt.

Angesichts der zentralen Bedeutung der elektronischen Kommunikation und der zunehmenden Risiken ihrer Überwachung und der umfassenden Registrierung des Kommunikationsverhaltens muss die Europäische Union dafür sorgen, dass die Vertraulichkeit und Sicherheit von technisch vermittelter Kommunikation stärker und effektiver als bisher geschützt wird.

Die Datenschützer betonen, dass europarechtliche Vorgaben zum Datenschutz bei elektronischen Kommunikationsdiensten durch den Erlass der Datenschutzgrundverordnung nicht überflüssig geworden sind. Die gegenwärtigen Vorgaben bedürfen allerdings einer grundlegenden Überarbeitung. Nur so lassen sich der Schutz der Kommunikationsdaten und des Fernmeldegeheimnisses auch in Zukunft auf hohem Niveau gewährleisten.

Es muss sichergestellt werden, dass die künftige Regelung zum Datenschutz bei der elektronischen Kommunikation auch für die Anbieter von sog. „Over-The-Top“ (OTT-)-Diensten wie Internet-Telefonie und Instant Messaging und anderen Diensten der Informationsgesellschaft gilt. Auch sollte das Telefonmarketing europaweit ebenso die Einwilligung des Angerufenen voraussetzen wie die Versendung von kommerziellen Nachrichten in sozialen Netzwerken, die nicht anders als Werbe-Mails behandelt werden dürfen (Opt-In-Prinzip). Schließlich muss jeder das Recht haben, seinen Kommunikationsverkehr (sein Heimnetzwerk, seine E-Mails, Smartphones und Datenträger) durch Passörter und Verschlüsselung zu sichern. Anbieter von Kommunikationsdiensten sollten verpflichtet werden, entsprechende Sicherheitsmaßnahmen zumindest anzubieten.
Angesichts der zunehmenden Bedeutung vermeintlich „kostenloser“ Dienste, welche die Nutzer tatsächlich mit ihren personenbezogenen bezahlen, verweisen die Datenschützer auf die Gefahr, dass der Datenschutz zum Luxusgut für Vermögende wird. Deshalb sollten existenziell bedeutsame Dienste im Sinne eines Universaldienstes kostenlos und ohne überschießende Datensammlung angeboten werden. Die Verarbeitung personenbezogener Daten muss sich hier ausschließlich auf das zu ihrer Erbringung erforderliche Maß beschränken. Cookies von Drittanbietern sollten stets standardmäßig deaktiviert und auch andere Techniken zum Tracking und Targeting nur mit ausdrücklicher Zustimmung der Nutzer eingesetzt werden.
Zur Sicherung einer einheitlichen Rechtsdurchsetzung sollten in allen Mitgliedstaaten die Datenschutzbehörden für die Umsetzung des künftigen Rechtakts zum Datenschutz bei elektronische Kommunikation zuständig sein, die im Europäischen Datenschutzausschuss für eine einheitliche Rechtsanwendung sorgen. Damit würden die bisherigen  Zuständigkeitsprobleme und Rechtsunsicherheiten behoben, die weder für die Nutzer noch für die Unternehmen nachvollziehbar sind.

Kontakt: dix@eaid-berlin.de

V.i.S.d.P.: Dr. Alexander Dix, Europäische Akademie, für Informationsfreiheit und Datenschutz, Bismarckallee 46/48, 14193 Berlin

Tagungsbericht vom Steinmüller Workshop 2016: Informatisierung der Welt

Von Hansjürgen Garstka,
– Gründer und Ehrenvorsitzender der EAID,
Berliner Beauftragter für Datenschutz und Informationsfreiheit a.D. –

Informatisierung der Welt. Steinmüller Workshop 2016
Europäische Akademie für Informationsfreiheit und Datenschutz
Berlin, 19. Mai 2016

Link zur pdf-Version

Tagungsbericht

Im Gedenken an Wilhelm Steinmüller, den am 1. Februar 2013 verstorbenen Wegbereiter der Auseinandersetzung mit den gesellschaftlichen Auswirkungen der Elektronischen Datenverarbeitung in Deutschland, trafen sich im Rahmen der Europäischen Akademie für Informationsfreiheit und Datenschutz Berlin  am 19. Mai 2016 zum vierten Mal Weggefährten, Schüler und Freunde, um aktuelle Probleme der Informationsgesellschaft zu diskutieren. Das diesjährige Thema lehnte sich an den Wortgebrauch Steinmüllers an, der richtigerweise nicht von der Digitalisierung, sondern von der Informatisierung der Welt sprach. In seinem Lebenswerk „Informationstechnologie und Gesellschaft“  handelte er unter diesem Thema Probleme der „Informatisierten Wirtschaft und Sozialwelt“, des „Informierten Staates“, der „Informatisierten Arbeit“ und der „Informatisierten Weltgesellschaft“ ab (S. 547 ff.). Die Beiträge zu dem Workshop folgten diesem Schema.

Zu Beginn jedoch erinnerte Wolfgang Kilian an den im Oktober 2015 verstorbenen Herbert Fiedler, einem weiteren Protagonisten der juristischen Informatik, wie er, sich abgrenzend von Steinmüllers Rechtsinformatik, dieses Gebiet nannte. Kilian hob die Bedeutung der juristischen Logik und der mathematischen Betrachtungsweise in Fiedlers Werk hervor, die auch in seiner langjährigen Funktion als Leiter der Forschungsstelle für Juristische Informatik und Automation bei der vormaligen Gesellschaft für Mathematik und Datenverarbeitung in Sankt Augustin zum Ausdruck kam. Auch sein Engagement im Fachbereich Recht und Verwaltung der Gesellschaft für Informatik sowie in der Gesellschaft für Rechts- und Verwaltungsinformatik haben viel zur Fortentwicklung des Gebietes beigetragen.

Als Paradigma für die „Informatisierte Wirtschaft“ zeigte zunächst Joachim Rieß auf, wohin der Weg von „Industrie 4.0“ führt. Dieser nur in Deutschland gebräuchliche Begriff (Wolfgang Coy wird ihn in einem späteren Diskussionsbeitrag als zu einseitig bezeichnen) markiere die auf Mechanisierung, Elektrifizierung und Automatisierung folgende Autonomisierung und Vernetzung als nächste Stufe der ökonomischen Entwicklung. Nahe liegender Weise erläuterte der Konzerndatenschutzbeauftragte von Daimler-Benz diesen Schritt anhand der „Digitalen Transformation des Fahrzeugs“, die auf Miniaturisierung, Fließbandtechnik und Entwicklung hoher Sicherheitstechnik folge. Mobile, ständig im on-line-Modus befindliche Geräte, der Einsatz einer Vielzahl von Sensoren, simultane Lokalisierbarkeit, das Entstehen „cyber-physischer Systeme“ kennzeichneten die Entwicklung.  Hinzu komme die Individualilisierung der Produkte. Der „Datenmensch“ entstehe als „alter ego“, die Welt werde für unsere Bedürfnisse gefiltert, neue Erlebensräume würden eröffnet (z.B. durch 3-D-Visualisierung). Risiken sah Rieß im Hoheitsanspruch über die Filterprozesse, der nationalen Abschottung und der Nationalisierung des Internets, der Entstehung asymmetrischer Kriege, der anschwellenden digitalen Kriminalität. Neue Herausforderungen für den Datenschutz entstünden, wie die Frage des Eigentums an Daten und Informationen, neue Verantwortlichkeits- und Haftungsfragen.

Wolfgang Schimmel wandte sich dem Problem des „Bezahlens mit – anonymen? – Daten“ zu. Er wies darauf hin, dass Daten etwa im Adresshandel schon immer Handelsware waren. Das Kunsturhebergesetz kenne den Geldwert von Bildern. Schadensersatzforderungen beim Missbrauch von Informationen oder Lizenzgeschäfte seien weitere Beispiele für die Monetarisierung. Internetanbieter nutzten die Daten dagegen aufgrund Allgemeiner Geschäftsbedingungen gratis, Facebook lasse sich sogar eine „uneingeschränkte Lizenz“ erteilen. Die kostenlose Preisgabe der Daten werde durch die Drohung mit der Zurückweisung der Anmeldung erzwungen, die Nutzung der Daten bleibe im Dunkeln. Auf diese Weise verkauften die Nutzer „ihre Seele“ als „Schnäppchen“. An Hand der Sage vom Regensburger „Bruckmandl“ erläuterte Schimmel das Problem, seine Seele zurückzuholen – gegen die teuflischen Internetgiganten wie in der Sage zwei Hähne und einen Hund loszuschicken, wird wohl nicht ausreichen.

Der „Verfügungsbefugnis über marktfähige personenbezogene Daten“ widmete sich auch Wolfgang Kilian. Zunächst müsse die Frage gestellt werden, was informationelle Selbstbestimmung mit Marktprozessen zu tun hat. Jedenfalls sei eine unmittelbare Drittwirkung nicht möglich. International werde das deutsche Verständnis des Allgemeinen Persönlichkeitsrechts nicht verstanden. Kilian stellte sodann 13 Thesen zur Erstellung der Marktfähigkeit von Daten auf. Darunter: Zu berücksichtigen seien die Funktionsdefizite der Einwilligung, die Problematik müsse vielmehr auf die Vertragsebene übergeleitet werden. Zivilrechtliche Verfügungsbefugnisse setzten eine Zuordnung zu Eigentum bzw. property rights voraus. Parallelen zum Immaterialgüterrecht müssten gezogen werden. Das Immaterialgut müsste hierzu neu definiert werden, u.U. könnten aus dem Zollrecht Anregungen gewonnen werden. Der Lizenznehmer sei als Nießbraucher zu betrachten. Die Rechte müssten durch Privacy by design und Privacy by default durchgesetzt werden. Auch spezielle Verwertungsgesellschaften seien denkbar. Die Schranken der Rechte etwa im Hinblick auf Nutzung, Fairness, Forschung, öffentliche Sicherheit seien zu bestimmen, die Rolle von Anonymisierungspflichten sei zu bedenken.

Zur Informatisierung in der Sozialwelt steuerte Alexander Dix einen Beitrag zur „Entsolidarisierung durch die Digitalisierung des Menschen“ bei. Er verwies auf den wachsenden Markt von Gesundheitsapps und Trackinggeräten. Schlaf, Schweiß, Laufstrecken würden gemessen. Krankenkassen würden bei bestimmten Werten Prämien gewähren. Die Kfz-Versicherer interessierten sich mehr und mehr für den Fahrstil der versicherten Personen. Es stellten sich Fragen nach der Qualität und der Aussagekraft der gesammelten Daten, es könne zu Risikoverschiebungen kommen (beim Laufen Risiken für die Knochen statt für das Herz), es gebe Überlistungsmöglichkeiten. Vor allem liege in der Berücksichtigung der Daten bei der Prämengestaltung ein Verstoß gegen das Solidaritätsprinzip. So lasse das SGB V keine Bevorzugung gesund Lebender zu. Auch die Freiwilligkeit stehe in Frage, das Koppelungsverbot von Art. 7 Datenschutz-Grundverordnung sei zu beachten. Insgesamt könne  in der Sammlung dieser Gesundheitsdaten eine Vorstufe zur zentralen Gesundheitssteuerung gesehen werden, wie sie in China mit dem „citizen score“ derzeit aufgebaut wird.

Der informatisierte Staat wird vor allem durch die Sicherheitsbehörden mit ihren Überwachungsmaßnahmen repräsentiert. Hansjörg Geiger zeigte hierzu die „Verfassungsrechtlichen Grenzen der Überwachung der internationalen Telekommunikation durch den BND“ auf. Ausgangspunkt sei die Erkenntnis der Vorratsdatenspeicherungs-Entscheidung des Bundesverfassungsgerichts, nach der jede Kenntnisnahme, Auswertung und Verwendung von Kommunikationsdaten einen Grundrechtseingriff darstelle. Grenzen könnten nur ein Gesetz bestimmt werden, das besonderen Anforderungen an die Verhältnismäßigkeit und Normenklarheit genügen muss. Geiger erläuterte sodann die „strategischen“ Beschränkungen des G-10-Gesetzes, nach dem die Überwachungsbefugnisse auf den Telekommunikationsverkehr von und nach Deutschland beschränkt seien. Nur 20 % des Verkehrs dürfe einbezogen werden. Im Ergebnis sei eine flächendeckende Überwachung nach dem G-10-Gesetz nicht gestattet. In Diskussion sei die Frage nach der Zulässigkeit der Überwachung in einem Drittland oder zwischen Drittländern. Die Bundesregierung vertrete die These des „offenen Himmels“ und halte sie für zulässig. Dagegen sei zu halten, dass Art. 1 Absatz 3 Grundgesetz zwar keine Aussage zum räumlichen Geltungsbereich mache, aber Völkerrecht, v.a. die Allgemeine Erklärung der Menschenrechte zu beachten sei. Auch sei der Gebietskontakt durch Empfangs- und Auswertungsgeräte zu berücksichtigen. Das Bundesverfassungsgericht selbst lasse Art. 10 eingreifen, sobald Telekommunikationsdaten von deutschen Behörden in Deutschland erhoben, wie auch immer verarbeitet oder übermittelt werden. Im Ergebnis müsse Art. 10 daher auch für den „offenen Himmel“ grundsätzlich immer gelten. Allerdings könnten die Regelungen hier großzügiger ausgelegt werden. Jedenfalls dürfe der BND nicht weiterhin in einer Grauzone arbeiten.

Carl-Eugen Eberle befasste sich, angeregt durch einen Zeitungsbeitrag über die Nutzung der Sozialen Medien durch die Partei AfD, mit der allgemeinen Frage nach dem  Einfluss der Sozialen Medien auf die öffentliche Meinungsbildung. Dabei sei auffällig, dass der dort verbreitete Vorwurf der „Lügenpresse“, der sich auch gegen den Rundfunk richte, gerade in einem Medium erhoben werde, das selbst lügenanfällig ist. Die Selbstreferenzialität durch Likes bei Facebook spiele ebenso eine Rolle wie die Erzeugung von Entrüstungspotential durch Gerüchte und falsche Tatsachenbehauptungen. All dies werde noch begünstigt durch anonym oder gar automatisch generierte Beiträge. Im Gegensatz zum öffentlichen Rundfunk, der strengen journalistischen Regeln unterworfen ist, unterlägen diese Aktivitäten keinerlei Kontrolle. Das stelle die Frage, „ob wir nicht die falschen Türen überwachen“. Es sei notwendig, dass das Medienrecht auf diese Situation reagiere.

Im Rahmen des Bereichs „Informatisierte Arbeit“ trug Klaus Fuchs-Kittowski zur „Digitalisierung der Arbeitswelt – zur Stellung und Verantwortung des Menschen in hochkomplexen informationstechnologischen Systemen“ bei. Ausgangspunkt müsse sein, dass der Mensch im Mittelpunkt der Wirtschaftsinformatik stehen müsse. In der Auseinandersetzung mit den Propagandisten der Vollautomatisierung müsse die „technische Immunität“ angegriffen werden. Der Leitsatz müsse sein: „Gebt dem Automaten, was des Automaten ist, gebt dem Menschen, was des Menschen ist“ und nicht „…gebt dem Menschen, was übrig ist“. Die weitgehende Automatisierung führe zu einer Entwertung der menschlichen Arbeit. Der Druck, mit elektronischen Medien arbeiten zu müssen, führe zu einer immer stärkeren Arbeitsverdichtung. Die Bedeutung des Menschen sehe man besonders in riskanten Situationen, in denen der Mensch einen größeren Spielraum habe als eine Maschine. Dies sei wichtig besonders im Hinblick auf die Störanfälligkeit von Maschinen, die sich auch beim „ubiquitous computing“ zeigen werde: Je mehr Informationsquellen genutzt werden, desto größer werde die Störanfälligkeit („Paradoxie der Sicherheit“). Anzustreben sei nicht Vollautomation, sondern ein verantwortliches Zusammenwirken zwischen Mensch und Maschine.

Zum Themenbereich „Informatisierte Weltgesellschaft“ erläuterte Peter Schaar zunächst „Das regulatorische Territorialdilemma der globalen Informationsgesellschaft“.  Die Globalisierung habe seit 1995 deutliche Veränderungen hinsichtlich ihrer Auswirkungen auf die Datenverarbeitung verursacht. Während in jener Zeit umfangreiche Datenübermittlungen eher die Ausnahme und lokale Regelungen angemessen gewesen wären, seien dezentrale Verfahren heute eher die Ausnahme. Nicht nur von Institutionen wie dem US-Geheimdienst NSA, sondern auch von Wirtschaftsunternehmen gingen globale Bedrohungen aus. Unsere jetzigen Regelungen bezögen sich aber immer noch auf die frühere Situation. Die weltweit erhobene Forderung nach einer „digitalen Souveränität“ führe zu einer Daten-Relokalisierung, wie sie die USA bereits seit langem praktiziere. Erforderlich sei dagegen eine Globalisierung der rechtlichen Vorgaben. Durch UN-Aktivitäten seien deutliche Grenzen zu setzen. Die Menschenrechtsbindung müsse unabhängig von Hoheitsgebieten und der Nationalität der Betroffenen durchgesetzt werden. Schaar verwies auf den Bericht der Hohen Kommissarin für Menschenrechte der UN, Navi Pillay, nach dem Menschenrechte nur durchgesetzt werden könnten, wenn die einzelnen Staaten sich verpflichten, sie auch außerhalb ihrer eigenen Landesgrenzen zu beachten  (The Right to Privacy in the Digital Age, Juli 2014).

Schließlich beschrieb Klaus Lenk „Die Herausbildung einer weltweiten privaten Rechtsordnung: Akteure und ihre Gestaltungsspielräume“. Diese von zivilen Einrichtungen geschaffenen Rechtsordnungen, die in Konkurrenz zur staatlichen stehen,  würden Oberhand gewinnen. Kennzeichnend für sie sei die folgenreiche Nutzung von vier Steuerungsinstrumenten: (1) Imperatives Recht werde durch zwingende Technikregulierung abgelöst. (2) Eine unsichtbare Rekonfigurierung der physischen und informationellen Umgebung des Menschen führe zu einer „gebremsten Individuation“. (3) Entscheidungen beruhten auf einem „maschinellen“ Anfangsverdacht. (4) Diffuse, feingranulare nicht-staatliche Überwachungsszenarien entstünden. Dahinter stehe die „kalifornische Ideologie“, die geprägt sei durch Weltverbesserungsstreben, Technikgläubigkeit und Geschäftemacherei. Folgende staatliche Spielräume verblieben:  Entnetzung (Dinge müssen isoliert funktionieren), Resilienz (Gestaltung robuster, verantwortbarer Strukturen), Herstellung von Nachvollziehbarkeit. Insgesamt seien die Handlungsspielräume größer als vermutet. Hierzu müsse der „Enteignung des Willens durch Digitalisierung“ begegnet, der damit zusammenhängende Fatalismus überwunden und die Frage gestellt werden, „ob wir noch Alternativen denken können“.

Hansjürgen Garstka – Big Data: Auf dem Weg in die Datendiktatur?

Tagungsbericht zum Steinmüller Workshop 2015

Zum dritten Mal trafen sich am 27. Mai Freunde und Kollegen des vor zwei Jahren verstorbenen Datenschutzapologeten Wilhelm Steinmüller in der Europäischen Akademie Berlin, um Fragen der Beziehung von Informatik und Gesellschaft zu diskutieren. Das Thema des diesjährigen Workshops „Big Data: Auf dem Weg in die Datendiktatur“ knüpft an einen Begriff an, den Steinmüller in seinem Lebenswerk „Informationstechnologie und Gesellschaft“ als Synonym für die Gefahren der Informatisierung der Gesellschaft geprägt hatte.

Vollständiger Tagungsbericht (pdf)

EAID lehnt Gesetz zur Vorratsdatenspeicherung (VDS) und zur Strafbarkeit der „Datenhehlerei“ ab

Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) hat am 15. Mai 2015 den Entwurf eines „Gesetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“ vorgelegt, mit dem die Vorratsdatenspeicherung von Telekommunikations- und Internetdaten wieder eingeführt werden soll, die seit dem Urteil des Bundesverfassungsgerichts vom 2. März 2010 in Deutschland nicht mehr zulässig ist. Seit dem Urteil des Europäischen Gerichtshofs (EuGH) vom 8. April 2014, in der der EuGH die Vorratsdatenspeicherungs-Richtlinie 2006/24/EG für unvereinbar mit Art. 7 und Art. 8 der Charta der Europäischen Grundrechte erklärte, ist auch die rechtliche Verpflichtung für den deutschen Gesetzgeber entfallen, die Speicherung von Daten aus der Telekommunikation und dem Internet auf Vorrat gesetzlich anzuordnen.

Die Europäische Akademie für Informationsfreiheit und Datenschutz hat zu dem Gesetzentwurf gegenüber dem BMJV Stellung genommen. Darin werden die folgenden wesentlichen Forderungen aufgestellt:

1. Die mit dem Gesetzentwurf vorgesehene Wiedereinführung der Vorratsdatenspeicherung hätte erhebliche Auswirkungen auf die Grundrechte. Betroffen wären sämtliche Nutzer von Telekommunikationsdiensten und des Internets, mithin nahezu die gesamte Bevölkerung. Aus diesem Grund tritt die EAID nachdrücklich dafür ein, ein solches Gesetzesvorhaben einer ausführlichen parlamentarischen und verfassungsrechtlichen Prüfung zu unterziehen, in der die Argumente, die für und gegen das Vorhaben sprechen, gründlich erörtert und abgewogen werden können. Die Verabschiedung eines derart eingriffsintensiven Gesetzespakets ohne ausführliche öffentliche Debatte quasi im Schnelldurchgang wäre unverantwortlich.

2. Die im Gesetzentwurf vorgesehene anlasslose und flächendeckende Speicherung von Telekommunikations- und Internetdaten ist gemessen an den Vorgaben der zitierten höchstrichterlichen Urteile unverhältnismäßig. Zudem widerspricht die Vorgabe, auch die Daten von Berufsgeheimnisträgern zu speichern und Schutzvorkehrungen erst bei dem Datenzugriff und der Verwertung dieser Daten vorzusehen, gegen die ausdrücklichen Forderungen des EuGH, der entsprechende Ausnahmen bereits bei der Speicherung der Daten verlangt. Schließlich haben die Befürworter der Vorratsdatenspeicherung bisher keine überzeugenden Nachweise dafür erbracht, dass die Vorratsdatenspeicherung schwerste terroristische Straftaten verhindert hätte oder sigfnifikant zu ihrer Aufklärung beigetragen hätte. Vor diesem Hintergrund hat die EAID schwer wiegende verfassungs- und europarechtliche Bedenken gegen den Gesetzentwurf und regt an, auf die Wiedereinführung der Vorratsdatenspeicherung zu verzichten.

3. Die vorgeschlagene neue Strafvorschrift § 202d StGB (Datenhehlerei) steht in keinem erkennbaren Zusammenhang mit den sonstigen durch das Gesetzesvorhaben verfolgten Zweck. Sie würde einerseits zur Kriminalisierung von Whistleblower-Plattformen, Bloggern oder Medien führen, die dem Ziel dienen, Informationen über rechtswidriges Verhalten von Amtsträgern oder Organisationen zu sammeln oder aufzudecken. Im Ergebnis wäre sogar eine Schwächung des journalistischen Quellenschutzes zu befürchten und mithin eine Beeinträchtigung von Art. 5 Abs. 1 GG. Würde es den im Entwurf formulierten Straftatbestand schon heute geben, würde eine Vielzahl der in diesen Tagen erfolgenden Berichte und Blogs über illegale Aktivitäten von Geheimdiensten strafrechtlich erfolgt. Zudem würde die vorgesehene generelle Privilegierung von Amtsträgern oder deren Beauftragten, mit denen Daten „der Verwertung in einem Besteuerungsverfahren, einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren zugeführt werden sollen“ den durch § 44 BDSG gewährleisteten Schutz personenbezogener Daten aushöhlen und andere gesetzliche Verwertungsverbote unterlaufen. Die EAID wendet sich deshalb gegen die im Gesetzentwurf vorgesehene neue Strafvorschrift zur „Datenhehlerei“. Sie regt die gründliche Prüfung der Frage an, wie ein besserer strafrechtlicher Schutz personenbezogener Daten gewährleistet werden kann.

Den Wortlaut der EAID-Stellungnahme finden Sie hier

Mit freundlichen Grüßen

Peter Schaar (Vorsitzender der EAID)

Links:
Gesetzentwurf gem. Kabinettsbeschluss vom 27.5.2015
Referentenentwurf des BMJV vom 15.5.2015
Stellungnahme der EAID vom 25.5.2015
Blog zum Gesetzentwurf
Blog zum neuen Straftatbestand der Datenhehlerei

Hansjürgen Garstka zum Regierungsentwurf zur Stärkung der Unabhängigkeit der BfDI

Prof. Dr. Dr. Hansjürgen Garstka, Ehrenvorsitzender der Europäischen Akademie für die Informationsfreiheit und den Datenschutz (EAID), hat bei der mündlichen Anhörung des Innenausschusses des Deutschen Bundestags  1. Dezember 2014 zum Entwurf der Bundesregierung eines Zweiten Gesetzes zur Änderung des Bundesdatenschutzgesetzes – Stärkung der Unabhängigkeit der Datenschutzaufsicht im Bund durch Errichtung einer obersten Bundesbehörde zur Stärkung der Unabhängigkeit der/des Bundesbeauftragten
die folgende mündliche Stellungnahme abgegeben (es gilt das gesprochene Wort):

„Im Hinblick auf die Ihnen vorliegenden Papiere, insbesondere desjenigen von Herrn Prof. Roßnagel, dem ich mich weitgehend anschließe, möchte ich mich beschränken auf wenige Punkte, die sich auch auf die Praxis in meiner Zeit als Berliner Datenschutzbeauftragter zwischen 1989 und 2005 beziehen.

Der vorliegende Gesetzesentwurf setzt Vorgaben der Europäischen Datenschutzrichtlinie sowie der Rechtsprechung des Europäischen Gerichtshofs um. Zur Gewährleistung der „völligen Unabhängigkeit“ der „Kontrollstelle für den Schutz von Personen bei der Verarbeitung personenbezogener Daten“ (so der Text der Richtlinie, die Genderfrage vermeidend) werden Rechtsaufsicht durch die Bundesregierung (§ 22 Abs. 4 S. 4 BDSG) sowie Dienstaufsicht  durch den Bundesminister des Innern (§ 22 Abs. 5 S. 2) abgeschafft. Letzteres ist übrigens auch deswegen sachdienlich, weil das Instrument der Dienstaufsicht nach Erfahrungen von Datenschutzbeauftragten zunehmend als Versuch zur Revision missliebiger Entscheidungen genutzt wird.

Dies ist zweifellos zu begrüßen, wenn es auch erst der genannten Rechtsprechung des EuGH bedurfte, diesen seit Inkrafttreten der Europäischen Richtlinie im Jahr 1995 erforderlichen und vielfach angemahnten Schritt zu vollziehen.

Gleichwohl lässt der Entwurf die letzten Konsequenzen zur Unabhängigstellung der Datenschutzkontrolle vermissen. Vielmehr sind noch immer Aspekte zu erkennen, einerseits der Exekutive einen Rest an Einflussnahme zu bewahren, andererseits der stärkeren Anbindung an die Legislative, also an dieses Haus, entgegenzuwirken.

Im Einzelnen:

Die Bundesbeauftragte (angesichts der derzeitigen personellen Konstellation beschränke ich mich auf die feminine Form auch im Hinblick auf meine kurze Redezeit) wird als Oberste Bundesbehörde eingerichtet (im Übrigen eine Organisationsform, die der Berliner Landesgesetzgeber als erster von vornherein gewählt hat).

Der Bundestag wählt, nach wie vor die Bundesbeauftragte auf Vorschlag der Bundesregierung (§ 22 Abs. 1 S. 1). Auch wenn davon auszugehen ist, dass es dabei im Vorfeld zu einem Benehmen zwischen Bundesregierung und Bundestag kommen wird, bleibt es gleichwohl dabei, dass die zu kontrollierende Institution – die Bundesexekutive – sich ihren Kontrolleur selbst aussucht. Angemessener und der gebotenen Unabhängigkeit gemäßer wäre es, wenn, wie gemäß dem Berliner Datenschutzgesetz praktiziert (wenn auch nicht ausdrücklich formuliert), die Kandidatin aus der Mitte des Bundestages benannt würde und dies im BDSG seinen Niederschlag fände. Dass die Wahl ohne Aussprache stattfinden soll, nimmt dem Parlament zudem die Möglichkeit, der Vorgabe der Bundesregierung  kritische Einwände entgegenzubringen.
Auch die Eidesleistung vor dem Bundespräsidenten (statt vor dem Bundestagspräsidenten) bringt das gewollte Heranrücken an die Exekutive zum Ausdruck.

Die vom EuGH einforderte Unabhängigkeit in haushalts- und dienstrechtlichen Fragen kommt zwar in der Stellung als Oberste Bundesbehörde zum Ausdruck. Gleichwohl ist der unmittelbare Zugang der Bundesbeauftragten zum Bundestag als Budgetherr nicht gewährleistet, da mangels Änderung der Bundeshaushaltsordnung eine Vorlage der eigenen Haushaltsanschläge beim Parlament bei Einwänden der Finanzverwaltung (wie z.B. beim Bundesrechnungshof) nicht vorgesehen wird. In Berlin, wo dies seit Beginn an anders geregelt ist, hat es mit der unmittelbaren Haushaltsbefassung des Parlaments nie Probleme gegeben.

Ein nicht unwesentlicher Aspekt der organisatorischen Unabhängigkeit der Bundesbeauftragten ist die Frage des Dienstsitzes. Es ist nicht ersichtlich, wieso dies bereits im Gesetz geregelt werden muss. Zwar ist dies im Bundesrechnungshofgesetz ebenfalls derart geschehen, dass Bonn als Dienstsitz festgelegt wird. Allerdings sind die Aufgaben der Bundesbeauftragten insbesondere im Hinblick auf die Gesetzgebung, erheblich mehr vom Kontakt zu Bundestag und Bundesregierung geprägt. Dies gilt auch für die Beratungstätigkeit gegenüber weitgehend in Berlin angesiedelten Institutionen. Wenn überhaupt läge eine Festlegung für Berlin nahe, unbeschadet natürlich der Möglichkeit, Außenstellen einzurichten

Bei der Regelung zur Leitenden Beamtin besteht ein Widerspruch zwischen Gesetzestext und -begründung: Nach der Gesetzesbegründung soll die Bundesbeauftragte zwar ihre leitende Beamtin nicht selbst ernennen können, das Gesetz besagt aber nicht, wer dies ansonsten tut; von einer „gesetzlichen Vertretungsregelung“  kann daher keine Rede sein. Vielmehr ergibt sich nach dem Gesetzestext die Befugnis der Beauftragten, als Oberste Bundesbehörde ihre Stellvertreterin selbst zu benennen: Zudem sollte eine funktional geteilte Stellvertreterinnenregelung nicht ausgeschlossen werden (und war auch viele Jahre Praxis beim Berliner Datenschutzbeauftragten).

Eine wesentliche materielle Einschränkung der gebotenen Unabhängigkeit der Bundesbeauftragten sehe ich in den Regelungen zur Verschwiegenheitspflicht und dem Recht auf bzw. der Pflicht zur Zeugenaussage.

Zwar ist entsprechend des Entwurfs geboten, der Bundesbeauftragten ein eigenes pflichtgemäßes Ermessen einzuräumen, ob und inwieweit sie vor Gericht oder außergerichtlich aussagt oder Erklärungen abgibt (§ 23 Abs. 5 S. 3). Dass allerdings ihre Nachfolgerin ihrer Genehmigung bedarf, von diesem Recht Gebrauch zu machen, macht die Unabhängigkeit der Vorgängerin vom Urteil der Nachfolgerin abhängig. Dies scheint mir mit dem Ziel nicht vereinbar, die jeweiligen Amtsträgerinnen von Einflüssen von welcher Seite auch immer freizuhalten. Besonders heikel ist, dass diese Bestimmung auch die einfache Abgabe von Erklärungen umfasst. Da die Nachfolgerin nicht wissen kann, welche Informationen die Vorgängerin als „keiner Geheimhaltung bedürftig“ einstuft, würde diese Bestimmung zu einem permanenten Redevorbehalt der Vorgängerin führen.

Die vorgesehenen gesetzlichen Einschränkungen der Berechtigung zur Zeugenaussage (§ 23 Abs. 6) sind teils redundant und überflüssig, teils der unabhängigen Stellung  der Beauftragten kontrovers:

Die Beauftragte soll ihr pflichtgemäßes Ermessen ausüben: Das bedeutet (zumindest !) die Berücksichtigung des Staatswohles. Einer Erwähnung dessen bedarf es nicht.

Der Ausschlussgrund, eine Zeugenaussage der Beauftragten könnte Grundrechtsverletzungen zur Folge haben, ist abwegig: Diese Bestimmung impliziert eine mögliche Grundrechtsverletzung durch die Amtsinhaberin. Ich kann mir keinen anderen Anwendungsfall vorstellen als denjenigen, dass sich Unternehmen wie Facebook oder Google vor Gericht auf ihr Grundrecht auf Eigentum oder Berufsfreiheit berufen und damit die Aussage der Bundesbeauftragten über ihre Prüfergebnisse blockieren. Eine solche Mutmaßung sollte in das  Gesetz keinen Eingang finden.  Die Bundesbeauftragte wird in der Lage sein, in einer solchen Situation zu einer angemessenen Entscheidung zu kommen.

Zu der Einschränkung des Kernbereichs exekutiver Eigenverantwortung hat Herr Roßnagel hinreichende Darlegungen vorgelegt, denen ich mich voll anschließe.

Im Hinblick auf die  besondere Verantwortlichkeit dieses Hauses für die Wahrung der informationellen Selbstbestimmung möchte ich noch einen im Gesetzentwurf nicht enthaltenen Punkt eingehen:

Nach § 26 Abs. 2 S. 3 kann sich die Bundesdatenschutzbeauftragte jederzeit an den Deutschen Bundestag wenden. In welcher Form das geschehen kann, wird bisher nicht geregelt. Angesichts der entscheidenden Rolle, die dieses Haus für die Fortentwicklung des Datenschutzes spielt, möchte ich empfehlen,  über den Entwurf hinausgehend entsprechend dem Berliner Datenschutzgesetz zu bestimmen., daß die Datenschutzbeauftragte außer der Verpflichtung hierzu berechtigt ist, „vor dem Parlament oder dem betreffenden Ausschuss zu erscheinen und zu reden“.“

Betrifft Internet-Sicherheit

Auf Initiative des Europäischen Datenschutzbeauftragten (EDPS) Peter Hustinx wurde in diesem Jahr das Internet Privacy Engineering Network (IPEN) gegründet. Länderübergreifend sollen IT-Spezialisten zusammengebracht werden, die sich mit Fragen des Datenschutzes im Internet beschäftigen. IPEN soll eine Infrastruktur für Projekte und Arbeitsgruppen bereit stellen, die praktikable und Design-Prinzipien, wiederverwendbare Komponenten und Werkzeuge entwickeln, welche die Privatsphäre effektiv schützen.

Auch die Europäische  EAID, Europäischem Datenschutzbeauftragten (Brüssel), Berliner Beauftragten für Datenschutz und Informationsfreiheit, Commission Nationale de l’Informatique et des Libertés CNIL (Frankreich), Unabhängiges Datenschutzzentrum Schleswig-Holstein ULD, Information Commissioner ICO (Großbritannien), Irish Data Protection Commissioner (Irland), College Bescherming Persoonsgegevens (Niederlande)

Ein erster IPEN Workshop: „Engineering Privacy into Internet Services and Applications“ findet am Freitag, 26. September 2014, 9.30 – 17:00 im Berliner Abgeordnetenhaus
Niederkirchnerstr. 5, 10111 Berlin-Mitte (Nähe Potsdamer Platz) statt.

 

Über IPEN Programm Kontakt

« Older Entries Recent Entries »