Category Archives: EAID-Blog

Mehr Sicherheit durch Fingerabdruck im Personalausweis?

Die Europäische Kommission hat für heute einen Vorschlag angekündigt, der vorsieht, dass zukünftig alle von den EU-Staaten ausgestellten Personalausweise mit den elektronisch erfassten und auslesbaren Fingerabdrücken der Inhaber versehen werden müssen. Die neue Regelung wird – wieder einmal – mit der Notwendigkeit begründet, den internationalen Terrorismus wirkungsvoll zu bekämpfen.

Während die Pässe, in denen die Fingerabdrücke bereits seit 2008 obligatorisch gespeichert werden, nur auf Antrag ausgestellt und für Reisen in bestimmte Länder außerhalb der Union benötigt werden, sind die Bürgerinnen und Bürger in den meisten EU-Mitgliedsstaaten verpflichtet, sich einen Personalausweis ausstellen zu lassen und diesen bei Kontrollen – etwa an den EU-Binnen- und Außengrenzen – vorzulegen. Das neue Vorhaben hat deshalb eine ganz andere Breitenwirkung als die Einführung der biometrischen Merkmale bei den EU-Reisepässen vor zehn Jahren.

Umso wichtiger ist die Frage, wie die erweiterte Datenerfassung begründet wird und welche Konsequenzen sie hat. Das zentrale, von EU-Innenkommissar Dimitris Avramopoulos vorgebrachte Argument ist die Erhöhung der Fälschungssicherheit. Nur durch elektronische Fingerabdrücke ließe sich die Fälschung von Ausweisen sicher verhindern. 

Eigentlich würde man erwarten, dass die Kommission dies mit Zahlen über ge- oder verfälschte Identitätspapiere belegen könnte.  Zudem war ja schon die verpflichtende Einführung des elektronisch im Personalausweis gespeicherten Gesichtsbilds mit der Erhöhung der Fälschungssicherheit begründet worden. Da inzwischen die meisten Personalausweise mit einem elektronisch, in einem Chip gespeicherten Passbild versehen sind, müsste sich doch feststellen lassen, wieviele Teil- oder Komplett-Fälschungen es bei diesen Papieren gegeben hat. Werden entsprechende Zahlen vorgelegt? Gibt es auch nur ein einziges Beispiel dafür, dass sich ein Terroranschlag oder eine andere schwere Straftat hätte verhindern lassen, wenn ein mit modernen Sicherheitsmerkmalen ausgestatteter Personalausweis zusätzlich mit Fingerabdrücken versehen gewesen wäre? Wir können gespannt sein, ob die Kommission heute diese Fakten vorlegen wird. Ich bin da eher skeptisch, denn es ist nicht einml plausibel, worin der zusätzliche Fälschungsschutz bestehen würde, wenn auch der Fingerabdruck elektronisch gespeichert würde. Wenn sich der Chip manipulieren lässt, dann gilt dies für das auf ihm bereits gespeicherte Lichtbild und den Fingerabdruck gleichermaßen. Und wenn der Chip manipulationssicher ist, bringt der elektronische Fingerabdruck keine zusätzliche Fälschungssicherheit.

Vieles spricht also dafür, dass die Erhöhung der Fälschungssicherheit ist ein vorgeschobenes Argument ist. Der zentrale „Vorteil“ der zusätzlichen Speicherung des Fingerabdrucks besteht darin, dass dieser sich deutlich besser dazu eignet, mit Datenbanken abgeglichen zu werden. Dieses Argument wurde aber bisher nicht vorgebracht, vielleicht deshalb, weil dann deutlich würde, dass es wieder einmal nur um mehr Überwachung geht, selbst wenn diese ggf. nicht zur Erhöhung der Sicherheit beiträgt.

Zudem würden beiläufig flächendeckende Fingerabdruckdatenbanken entstehen. Zwar schließt das deutsche Recht (bisher) die zentrale Speicherung biometrischer Merkmale aus, die bei der Ausweis- und Passbeantragung anfallen. Allerdings hat der Bundestag im Sommer 2017 die rechtlichen Voraussetzungen dafür geschaffen, dass sämtliche Sicherheitsbehörden online auf die in den dezentralen Pass- und Personalausweisregistern gespeicherten elektronischen Passfotos zugreifen können, und zwar nicht bloß für die Strafverfolgung, sondern für sämtliche von den Behörden wahrgenommenen Aufgaben. Wenn die dezentralen Register online abgefragt werden, degeneriert jedoch das Verbot der zentralen Speicherung zu einem schmückenden Beiwerk, das einzig dem Zweck dient, die Nerven von Skeptikern zu beruhigen.

Der aktuelle Vorschlag der Kommission ist ein weiterer Schritt zum Ausbau einer flächendeckenden Überwachungsinfrastruktur. Auch wenn dabei rechtliche Nutzungsbegrenzungen vorgesehen werden sollten, wissen wir doch aus Erfahrung, dass solche Begrenzungen mit einem Federstrich beseitigt werden können. So wurden bei fast allen größeren Terroranschlägen die rechtlichen Grenzen der Datenerfassung und -Auswertung zurückgenommen. Gerade deshalb lohnt es sich, genau hinzuschauen, wenn die technischen Voraussetzungen zur stärkeren Überwachung ausgebaut werden sollen.

Stellungnahme zu den Hamburger Gesetzentwürfen zur Umsetzung der DSGVO und der JI-Richtlinie

 

Der stellvertretende Vorsitzende der EAID, Dr. Alexander Dix, hat am 27. März 2018 zu den beiden Gesetzentwürfen zur Umsetzung der Datenschutz-Grundverordnung und (teilweise) der JI-Richtlinie, im Justizausschuss der Hamburger Bürgerschaft Stellung genommen. Die Texte finden Sie hier:

Stellungnahme-HmbDSG-Justizausschuss-Dix

Drucksache_21-11636_Entwurf_HmbJVollzDSG Drucksache_21-11638_Entwurf_HmbDSG

Der Skandal hinter dem Skandal – Facebook, Cambridge Analytica und die hohe Kunst der Manipulation

Medien und Politiker sprechen von einem „Daten-Skandal“ und verlangen Antworten von Facebook und von Cambridge Analytica. Soweit bisher bekannt, hat die unter maßgeblicher Beteiligung des Trump-Vertrauten Stephen Bannon gegründete Firma „Cambridge Analytica“ mittels einer Facebook-App persönliche Daten von ca. 50 Millionen Facebook-Nutzern abgegriffen, um sie im US-Präsidentschaftswahlkampf 2016 zu verwenden. Um an möglichst viele Informationen zu kommen, tarnte sich die Spionage-App mit dem vielsagenden Namen „thisisyourdigitallife“ als psychologischer Persönlichkeitstest. 270.000 Facebook-Nutzer fielen auf die App herein und eröffneten damit nicht nur den Zugang zu ihren eigenen Facebook-Profilen, sondern darüber hinaus auch zu den Profilen ihrer im Durchschnitt jeweils 190 Facebook-„Freunde“. So ergibt sich die in den Medien genannte Zahl von 50 Millionen Betroffenen.

Nach Aussage von Facebook widersprach das weiträumige Abernten („Harvesting“) der Facebook-Profile den internen Richtlinien des Unternehmens. Umso mehr überrascht die Mitteilung, dass Facebook die Geschäftsbeziehungen zu Cambridge Analytica erst jetzt abgebrochen hat, nach dem öffentlichen Bekanntwerden der Praktiken. Dabei war dem Unternehmen der Missbrauch bereits seit langem bekannt, wurde aber vor der Öffentlichkeit und den betroffenen Nutzerinnen und Nutzern geheim gehalten.

Bei genauerem Hinsehen zeigt sich indes, dass Cambridge Analytica mit seinen Praktiken nicht allein stehen dürfte. Im Grunde geht es auch hier um „Micro-Targeting“, das in der Wirtschaft schon seit längerer Zeit, und zunehmend auch im Politik-Business zum Einsatz kommt. Man will die Hintergründe potentieller Kunden möglichst gut kennen, um sie gezielt anzusprechen. Jeder Nutzer erhält die zu seinem persönlichen Profil passenden Werbebotschaften, die vielfach nicht einmal als solche zu erkennen sind.

Auch Wählerinnen und Wähler werden zunehmend als Kunden angesehen und genauso behandelt. Von besonderem Interesse sind dabei diejenigen, die sich noch nicht endgültig für einen Kandidaten oder eine Partei entschieden haben. So werden etwa einem ehemaligen Stahlarbeiter im US „Rust Belt“ andere Nachrichten vermittelt als dem wohlhabenden Rentnerehepaar in Florida. Die Angesprochenen merken nichts davon, dass ihnen maßgeschneiderte Botschaften übermittelt werden, die an ihren Meinungsäußerungen, ihrer persönlichen Lebenssituation oder an ihren heimlichen Wünschen und Ängsten anknüpfen. Intransparenz ist das A & O jeder erfolgreichen Manipulation.

Vieles im Internet läuft im Hintergrund ab, etwa die Einbindung von Diensten, die die „Reichweite“ der Angebote messen oder die Speicherung der „technischen“ Daten, die bei jeder Interaktion – auch beim bloßen Lesen – anfallen: IP-Adressen der verwendeten Rechner, Hard- und Software, Sprach- und Landeseinstellungen, Standortdaten. Die Profilbildung über den Nutzer geschieht im Hintergrund, ohne dass dieser darauf viel Einfluss nehmen kann. Soziale Netzwerke wie Facebook bieten die idealen Datenfelder, die für Micro-Targeting abgeerntet werden. Die Betreiber der Dienste erfahren auf diese Weise sehr viel mehr über die Nutzer, als diese bewusst preisgeben. Sie kennen nicht nur deren Identität, sondern auch deren Gewohnheiten und Aufenthaltsorte: Wann sie Online sind, von welchen Computern und wo sie ins Netz gehen. Sie wissen nicht nur um die vom Nutzer eingegebenen Vorlieben, sondern können auch aus dem Verhalten der „Freunde“ Schlüsse auf ihn ziehen. So haben Studien ergeben, dass das Geschlecht, die ethnische Zugehörigkeit, die sexuelle Orientierung und die religiöse Ausrichtung eines Facebook-Mitglieds mit einiger Sicherheit allein auf Grund seiner „Likes“ und seines Freundeskreises eingeschätzt werden kann, selbst wenn der Betroffene darüber selbst keine Angaben ins Netz stellt. Nicht nur amerikanische Politiker setzen verstärkt darauf, dass ihre Botschaften von möglichst vielen Nutzern geteilt, favorisiert, weitergeleitet oder kommentiert werden. „Making the community spreading the message for you“ beschrieb eine Facebook-Vertreterin schon vor einigen Jahren dieses Vorgehen, das von den Werbern auch „virales Marketing“ genannt wird. Der Wähler müsse das Gefühl haben, in die Diskussion einbezogen zu werden. Dass es sich dabei nicht um einen gleichberechtigten Dialog handelt, in dem der Wahlkämpfer mit dem potentiellen Wähler spricht, liegt auf der Hand.

Das Geschäftsmodell von Facebook & Co basiert ganz wesentlich darauf, Unternehmen, Wahlkämpfern und Regierungen gegen Entgelt an ihrem Wissen partizipieren zu lassen. Vielfach geschieht dies, ohne dass dabei die Identitätsdaten der Facebook-Mitglieder weitergegeben werden. Aber die entsprechenden Werbebotschaften werden gleichwohl maßgeschneidert ausgeliefert und den Auftraggebern ein genaues Feedback darüber gegeben, wie die Botschaften aufgenommen wurden.

Im konkreten Fall scheint die Cambridge Analytica App aber auch die Profildaten der Facebook-Nutzer ausgelesen zu haben, was dem Micro-Targeting weitere Möglichkeiten eröffnet. Erleichtert wird die Datenzusammenführung durch die „Realnamenspflicht“. Nach den Facebook-Richtlinien müssen sich sämtliche Nutzer unter ihrem echten Namen anmelden und dabei auch ihr Geburtsdatum preisgeben. Diese Identitätsdaten ermöglichen es, die aus dem Facebook-Profil gewonnenen Informationen mit Daten aus der „realen Welt“ zu verknüpfen. Derartige Daten sind in den USA noch sehr viel umfangreicher verfügbar als in Europa, weil es in den USA an klaren Datenschutzregeln für den Umgang mit personenbezogenen Daten durch Unternehmen mangelt. Zudem eröffnen die Wählerverzeichnisse – anders als etwa in Deutschland – Einblicke in die individuellen politischen Präferenzen.

Es geht hier um weitaus mehr als um die Aufklärung des aktuellen „Cambridge-Facebook-Skandals“. Vielmehr müssen wir darüber diskutieren, wie viel Datenmacht akzeptabel ist, wie digitale Geschäftsmodelle gestaltet werden und wie dem Datenmachtmissbrauch vorgebeugt werden kann. Umfangreiche Datensammlungen und Mikro-Targeting eröffnen Manipulationsmöglichkeiten und können Ungleichbehandlung und diskriminierende Praktiken verstärken. Der zunehmenden Transparenz des Einzelnen steht eine wachsende Intransparenz der Algorithmen und der im Hintergrund agierenden Interessen gegenüber.

Es geht um mehr als den Schutz der persönlichen Daten und die Wahrung der Privatsphäre. So wichtig die „Privatsphäreneinstellungen“ sein mögen, halte ich es für den falschen Weg, den Nutzern die Hauptverantwortung für den Ge- und Missbrauch ihrer Daten zuzuweisen. Zum einen sind die Voreinstellungen, die der Dienst seinen Nutzern bei der Kontoeröffnung vorgibt, sehr freizügig: Jeder kann das Profil sehen, alle können nach der E-Mail-Adresse und der Telefonnummer suchen, Freundeslisten sind öffentlich, Apps sind aktiviert und können die Profildaten einschließlich der Daten über Aktivitäten und Interessen auslesen. Zugriff haben nicht nur die Apps, die der Nutzer selbst aktiviert, sondern auch solche, die von Freunden verwendet werden. Zum anderen sind diese Einstellungen nicht leicht zu handhaben. Schließlich sind die wichtigsten Profildaten (Namen, Geschlecht, Nutzernamen und die Nutzer-ID und Netzwerke, denen der Nutzer angehört) bei Facebook stets öffentlich, ohne dass die Nutzer etwas daran ändern können.

Datenschutz ist ein wichtiges Element der notwendigen Gegenstrategie. Hier ist zu erwarten, dass die am 25. Mai 2018 voll wirksam werdende Datenschutz-Grundverordnung Fortschritte bringt.
Rechtliche Grenzen sind aber auch darüber hinaus erforderlich, etwa im Hinblick auf den immer weitergehenden Einsatz von Micro-Targeting und auch zur Vermeidung digitaler Diskriminierung.

Ihr Peter Schaar

Fehlstart! Dorothee Bärs eigenartiges Datenschutzverständnis

„Wir brauchen … endlich eine smarte Datenkultur vor allem für Unternehmen. Tatsächlich existiert in Deutschland aber ein Datenschutz wie im 18. Jahrhundert.“ Dieser Satz stammt nicht etwa von dem Vertreter einer der viel gescholtenen Datenkraken aus den USA, sondern von Dorothee Bär (CSU), der designierten Staatsministerin „für Digitales“ der neu aufgelegten großen Koalition. Ihr zentrales Projekt besteht offensichtlich darin, die sensibelsten Daten weltweit verfügbar zu machen, etwa Patientendaten: „Und auch im Gesundheitsbereich liegen so viele Chancen! Könnten Daten deutscher Patienten mit weltweiten Datenbanken abgeglichen werden, wäre eine Diagnose oft schneller da, als sie zehn Ärzte stellen können,“ meinte sie in einem Interview mit der Bild-Zeitung vom 5. März 2018.

Auch wenn das nicht so gemeint war: Datenschutz hat etwas zu tun mit grundlegenden Wertvorstellungen, die im 18. Jahrhundert – formuliert wurden und die, müsste man meinen, auch heute noch das Fundament unserer freiheitlichen Gesellschaft bilden: Die von Jean-Jacques Rousseau geprägte Vorstellung von Menschenrechten, bürgerlicher Freiheit und Selbstbestimmung. Sie sind in die im Jahr 1776 in die Bill of Rights von Virginia und von der französischen Nationalversammlung am 26. August 1789 beschlossene Erklärung der Menschen- und Bürgerrechte eingeflossen. Datenschutz ist nichts anderes als die Gewährleistung des Selbstbestimmungsrechts im digitalen Zeitalter. Nicht umsonst billigt das Bundesverfassungsgericht seit seinem Volkszählungsurteil von 1983 jedem Menschen ein „Grundrecht auf informationelle Selbstbestimmung“ zu. Die Grundrechte auf Wahrung der Privatsphäre und den Schutz der personenbezogenen Daten sind zudem durch Art. 7 und Art. 8 der Charta der Grundrechte der Europäischen Union direkt anwendbares Recht in allen Mitgliedstaaten der EU.

In der regierungsseitig offensichtlich angestrebten „smarten Datenkultur“ ist für Bedenkenträgerei von Datenschützern offensichtlich kein Platz. Während sich sogar bei US-Unternehmen, nicht zuletzt aufgrund der Neuregelungen im europäischen Datenschutzrecht, allmählich die Auffassung durchsetzt, ohne Datenschutz ließen sich in Zukunft keine guten Geschäfte mehr machen, gibt es in der Bundesregierung offensichtlich die Tendenz, den Schutz personenbezogener Daten auf dem Altar der Profitabilität zu opfern. Zudem sei daran erinnert, dass sich maßgebliche Vertreter der bisherigen Bundesregierung, allen voran Bundesinnenminister Thomas de Maizière, massiv dafür eingesetzt haben, sämtliche Verarbeitungsmöglichkeiten, die der Wirtschaft zur Verfügung stehen, auch staatlichen Stellen zu erlauben.

Man darf gespannt sein, wie sich der Koalitionspartner der Unionsparteien, die SPD, zu einer derartigen Marschrichtung stellt – schließlich hatte sie sich ja einiges darauf zugute gehalten, in der Koalitionsvereinbarung die eine oder andere Formulierung zum Schutz der Bürger und Verbraucher vor der Datenübermacht durchgesetzt zu haben.

Eine Digitalisierung, die auf der umfassenden Überwachung und maximalen Ausnutzung persönlicher Daten beruht, wäre ein Fluch und kein Segen. China macht das gerade mit der Einführung eines umfassenden Social Scoring Systems vor. Deshalb gilt es, dafür einzutreten, dass sich die grundlegenden Werte einer freiheitlichen Gesellschaft auch in der Digitalstrategie im 21. Jahrhundert wiederfinden. Dazu gehört auch der Datenschutz.

Ihr Peter Schaar

Eine schicksalhafte Entscheidung – US-Supreme Court verhandelt über exterritorialen Datenzugriff

von Peter Schaar

Morgen, am 27. Februar 2018, beschäftigt sich der Oberste US-Gerichtshof mit einem Fall, der für die transatlantischen Beziehungen – und darüber hinaus für die Zukunft der globalen Informationsgesellschaft – von erheblicher Bedeutung sein wird: Der Supreme Court verhandelt über die Grundrechte und über die Einhaltung rechtsstaatlicher Verfahren – Werte, die Kernanliegen Europas darstellen und die zugleich zum Grundbestand demokratischen Werte Amerikas gehören.

Es geht um die Frage, ob die Strafverfolgungsbehörden der USA Durchsuchungsbefehle erlassen können, um Internetfirmen zu zwingen, die in Europa gespeicherten E-Mails und andere Dokumente  ohne die Erlaubnis oder Beteiligung der betreffenden Personen oder der jeweiligen Regierung herauszugeben.

Der Fall geht auf Dezember 2013 zurück, als ein New Yorker Richter einen Durchsuchungsbefehl gegen Microsoft ausstellte, der die Beschlagnahme von Kundeninformationen in Verbindung mit einem webbasierten E-Mail-Konto anordnete. Microsoft hat die in den USA gespeicherten Metadaten des Accounts an die US-Behörden herausgegeben, aber das Unternehmen verweigerte die Offenbarung der auf Servern in Irland gespeicherten E-Mail-Inhalte, mit der Begründung, dass US-Anordnungen nicht einseitig zur Erlangung von in anderen Ländern E-Mails und sonstigen Dokumenten verwendet werden dürften.

Die Übermittlung von Informationen aus der Europäischen Union in die USA stellt eine Datenverarbeitung dar, und daher gelten dafür die EU-Datenschutzvorschriften. Der Schutz der Privatsphäre und der Schutz personenbezogener Daten gelten in Europa als Grundrechte. Diese Rechte werden durch die Europäische Menschenrechtskonvention und durch die Charta der Grundrechte der Europäischen Union garantiert.

Das europäische Recht verbietet die extraterritoriale Anwendung der von einem Drittland erlassenen Rechtsvorschriften, die sich auf die Tätigkeiten natürlicher und juristischer Personen auswirken, die der Gerichtsbarkeit des Mitgliedstaats unterliegen. Das europäische Recht bietet verschiedene Rechtsinstrumente für die Offenlegung und Übermittlung von für Unternehmenszwecke erhobenen personenbezogenen Daten an ausländische Behörden. In der Datenschutz-Grundverordnung – Art. 48 – wird ausdrücklich betont, dass jedes Urteil eines Gerichts und jede Entscheidung einer Verwaltungsbehörde eines Drittlandes, die von einem Verantwortlichen oder Auftragsverarbeiter die Übermittlung oder Weitergabe personenbezogener Daten verlangt, nur anerkannt oder vollstreckt werden dürfen, wenn sie „auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.“

Der Microsoft-Fall und die rechtlichen Argumente der US-Regierung haben auf der ganzen Welt für Besorgnis gesorgt. Viele internationale Interessengruppen haben „Amicus Briefs“ beim Obersten Gerichtshof eingereicht, darunter Regierungen, Parlamentarier, globale Unternehmen und Organisationen, der UN-Sonderberichterstatter für den Schutz der Privatsphäre, Rechtsexperten, Informatiker und zivilgesellschaftlichen Gruppen. Die Europäische Kommission hat dem Gericht eine „neutrale“ Stellungnahme übermittelt, in der sie das EU-Recht und die Regeln für gültige Datenübertragungen erläutert. Die Artikel-29-Datenschutzgruppe, in der die Datenschutzbehörden aller EU-Mitgliedstaaten und der Europäische Datenschutzbeauftragte zusammenarbeiten, hat erklärt, dass die Position der US-Regierung „einen Eingriff in die territoriale Souveränität eines EU-Mitgliedstaats“ darstelle. Das Justizministerium solle stattdessen die Rechtshilfeverträge (Mutual Legal Assistance Treaty – MLAT) verwenden, welche die USA und Europa ausgehandelt haben, um genau diese Art von Problemen zu lösen, darunter auch ein entsprechendes Abkommen mit Irland.

Die MLATs bieten Möglichkeiten der internationalen Zusammenarbeit in Strafsachen, einschließlich der Sammlung von Beweismitteln. Sie definieren den Rahmen für die Lösung grenzüberschreitender Datenerhebungen und legen geeignete Verfahren für den Umgang mit Anfragen ausländischer Regierungen fest. Insbesondere gewährleisten die Verträge die Rechte der betroffenen Personen und die Berücksichtigung anderer lebenswichtiger nationaler Interessen. Beispielsweise haben die nationalen Behörden zu prüfen, inwieweit eine Übermittlung von Daten für Strafverfahren dem nationalen Recht entspricht. Der direkte Zugriff der US-Behörden auf die Daten würde diese Schutzmaßnahmen umgehen und die Grundrechte der Europäer verletzen. Die Auswirkungen solcher einseitiger Praktiken können nicht überschätzt werden. Es wäre mehr als ein unfreundlicher Akt. Die Europäische Union, europäische Regierungen und europäische Bürger würden sie zu Recht als unzulässig betrachten.

Wenn die Strafverfolgungsbehörden in den USA extraterritorialen Zugang zu Daten erhalten — allein auf Grund amerikanischen Rechts, ohne Zustimmung der zuständigen Behörden des betreffenden Staats – , würde dies die Tür öffnen für die Beschlagnahme von Dokumenten von jedem Ort der Welt.

Es ist nicht überraschend, dass die Haltung der US-Regierung in der europäischen Öffentlichkeit auf scharfe Kritik gestoßen ist. Ulrich Kelber, parlamentarischer Staatssekretär im Bundesjustizministerium, nannte die US – Position eine „Besorgnis erregende Angelegenheit“. Es bestehe die Gefahr, dass dann auch andere Länder einen globalen Zugriff auf die Daten von Unternehmen haben wollten. „Damit ist das Grundprinzip des transatlantischen Datenaustauschs gefährdet“, so Kelber. „Wenn die US-Regierung in Datenschutzfragen nur die Einspruchsrechte von US-Bürgern duldet, dann ist das Privacy Shield tot.“ Dorothee Bär, parlamentarische Staatssekretärin im Ministerium für digitale Infrastruktur (CSU), wies es als „absolut nicht akzeptabel“ zurück, wenn per US-Gerichtsbeschluss Daten aus einem anderen Land abgegriffen werden könnten. „Wäre es das, würden wir in Zukunft auch kein Problem mehr damit haben, wenn China dies tun würde oder die Türkei, um an Daten von in Deutschland lebenden vermeintlichen Staatsfeinden zu gelangen“. Eine derartige Entscheidung zugunsten der US-Regierung würde „zu einem Chaos“ führen. Unternehmen müssten entweder das europäische Recht brechen oder ein amerikanisches Urteil ignorieren. Die hohen Standards der am Mai geltenden EU-Datenschutzgrundverordnung und die praktizierte Rechtshilfe dürften „nicht unilateral durch die Entscheidung des Supreme Courts de facto abgeschafft werden“, meinte Fraktionsvize von Bündnis 90/Die Grünen Konstantin von Notz. Der Grünen-Wirtschaftsexperte Dieter Janecek unterstrich, europäische Unternehmen könnten von US-Behörden nicht gezwungen werden, gegen europäisches Recht zu verstoßen. Ein Zugriffsrecht von ausländischen Ermittlungsbehörden auf in Europa gespeicherte Daten wäre daher „absolut fatal“ für die Grundrechte der Bürger und für die Wirtschaft. (Alle Zitate: Handelsblatt, 16.1.2018)

Ob der Supreme Court diese und andere Warnungen Ernst nimmt, werden wir demnächst wissen. Es ist zu hoffen, dass die Europäische Kommission und die Bundesregierung es nicht mit verbalen Warnungen bewenden lassen, falls die Entscheidung zugunsten der US-Regierung ausfällt.

Vorsicht Grenzüberschreitung – Direkter Datenzugriff gefährdet Grundrechte!

Digitale Globalisierung und nationales Recht stehen in einem zunehmenden Spannungsverhältnis. Nirgends zeigt sich dies so deutlich wie bei der Strafverfolgung. Strafverfolgungsbehörden verlangen in strafrechtlichen Ermittlungen in immer mehr Fällen Zugang zu personenbezogenen Daten, die außerhalb ihrer nationalen Grenzen gespeichert sind. Dies kann angesichts der Tatsache, dass beliebige Datenmengen per Mausklick auf Server in anderen Kontinenten transferiert werden können, eigentlich niemanden verwundern.

Natürlich hat es Fälle, in denen die Strafverfolgung eine grenzüberschreitende Kooperation erforderlich machte, schon früher gegeben. Eine traditionelle Regelung zur Lösung grenzüberschreitender Datenanfragen in Strafsachen bieten die zwischen Staaten geschlossene Rechtshilfevereinbarungen (Mutual Legal Assistance Treaties, MLAT). Sie legen entsprechende Verfahren fest, wie mit Rechtshilfeersuchen aus dem Ausland umzugehen ist. So können die nationalen Behörden überprüfen, inwieweit etwa eine Datenübermittlung zur Durchführung eines Strafverfahrens in Einklang mit dem nationalen Recht steht. Dieses System wird jedoch von der steigenden Häufigkeit und Komplexität grenzüberschreitender Datenanforderungen überfordert. Infolgedessen gibt es erhebliche Verzögerungen bei der Verarbeitung von Anfragen.

Vor diesem Hintergrund fordern nationale Behörden und Gerichte in zunehmendem Maße von Unternehmen die Herausgabe von Daten, die sie außerhalb des eigenen Territoriums speichern. So verlangte ein belgisches Gericht von Microsoft die Herausgabe von Skype-Daten. Eine brasilianische Behörde forderte von Yahoo! die Herausgabe von Internet-Informationen über bestimmte Nutzer und chinesische Behörden verlangen von Internet-Anbietern vielfach die Herausgabe auf ausländischen Servern gespeicherter Daten. Aktuell erregt vor allem ein Fall Aufsehen, bei dem ein Bundesgericht im Bundesstaat New York die Firma Microsoft zur Herausgabe von E-Mails verpflichtet hat, die auf einem Server in Irland gespeichert sind. Der strittige Fall wird demnächst voraussichtlich vom US Supreme Court entschieden.

In derartigen Fällen stellt sich regelmäßig die Frage, inwieweit Grundrechte und andere, im Strafrecht enthaltene Schutzvorschriften verletzt werden. Gerade beim Strafrecht bestehen auf internationaler Ebene gewaltige Unterschiede. Eine Handlung, die in einem Staat strafbar ist, mag woanders erlaubt sein (etwa an die in Deutschland strafbaren Meinungsdelikte, die in den USA unter dem Motto „Freedom of Speech“ akzeptiert werden). Gleiches gilt für das Strafprozessrecht: Wann ein Richter entscheiden muss, welche Vorgaben für Beschlagnahmen und Durchsuchungen gelten, in welchen Fällen Beweisverwertungsverbote und Zeugnisverweigerungsrechte bestehen, unterscheidet sich von Land zu Land.

Soweit es sich bei den angeforderten Informationen um personenbezogene Daten handelt, sind die Grundrechte auf Wahrung der Privatsphäre und auf Datenschutz (Art. 7 und 8 der EU-Grundrechtecharta) direkt betroffen. Nach europäischem Rechtsverständnis ist die Herausgabe personenbezogener Daten an ausländische Behörden nur zulässig, wenn hierfür eine entsprechende Rechtsgrundlage im EU-Recht oder im Recht der Mitgliedstaaten besteht. Art. 48 der im Mai 2018 wirksam werdenden Datenschutzgrundverordnung (DSGVO) unterstreicht diesen Rechtsgrundsatz: Behördliche oder gerichtliche Anordnungen von Staaten außerhalb der EU dürfen nur dann anerkannt werden, wenn sie auf einer internationalen Übereinkunft wie einem Rechtshilfeabkommen beruhen.

Aber auch innerhalb der EU ist der Umgang mit grenzüberschreitenden Datenanforderungen von Strafverfolgungsbehörden anderer Mitgliedstaaten alles andere als unkompliziert. Zwar gibt es hier inzwischen das Instrument der Europäischen Beweisanordnung – EBA, welche die Erlangung von Beweismitteln aus einem anderen Mitgliedstaat erleichtert. Doch erlaubt auch die EBA nicht den direkten Zugriff auf in einem anderen Mitgliedstaat gespeicherte Daten.

Artikel 29 Gruppe nimmt zu E-Evidence Stellung

Vor diesem Hintergrund hat die Europäische Kommission unter der Überschrift „e-Evidence“ verschiedene Initiativen gestartet, die den grenzüberschreitenden Datenzugriff erleichtern sollen. Die Art. 29-Arbeitsgruppe, in der die Datenschutzbehörden der EU zusammenarbeiten, hat nun eine lesenswerte Stellungnahme zu den entsprechenden Vorschlägen veröffentlicht.

Die amtlichen Datenschützer weisen darauf hin, dass der Zugriff der Strafverfolgungsbehörden auf personenbezogene Daten in die durch die Grundrechtecharta garantierten Grundrechte eingreift. Jede Beschränkung dieser Grundrechte müsse deren Kern respektieren und zudem dem Verhältnismäßigkeitsgrundsatz entsprechen. In der Stellungnahme wird ausführlich dargelegt, dass die bisher vorgelegten Vorschläge diesen Anforderungen nicht gerecht werden. Kritisiert wird etwa die Möglichkeit, dass sich der grenzüberschreitende Zugriff nicht auf die Verfolgung schwerer Straftaten beschränken sollen. Zudem bemängelt die Art. 29 Gruppe, dass die bislang vorgelegten Vorschläge zu e-Evidence keine Vorgaben zur Gewährleistung der Transparenz bei grenzüberschreitenden Datenanfragen und keine Verpflichtungen zur (nachträglichen) Benachrichtigung der Betroffenen enthalten.

Als besonders problematisch sehen es die Datenschutzbeauftragten an, dass grenzüberschreitende Datenanforderungen von Behörden der Mitgliedstaaten Daten umfassen sollen, die außerhalb der EU gespeichert sind. Sollte die EU eine entsprechende Regelung treffen, würde dies im Umkehrschluss bedeuten, dass letztlich auch entsprechende unilaterale Vorgaben anderer Staaten, etwa der USA akzeptiert werden müssten. Sie fordern, dass Datenanforderungen zwischen Drittstatten und der EU weiterhin nur auf Basis internationaler Rechtshilfeabkommen nachgekommen werden soll. Dies schließt natürlich nicht aus, dass auch beim Datenaustausch über die EU-Außengrenzen hinaus die entsprechenden Prozeduren verbessert und beschleunigte Entscheidungen herbeigeführt werden.

11. September: Der Kampf gegen den Terrorismus wird im Kopf gewonnen!

Die Anschläge am 11. September 2001 in New York und Washington haben sich in unser kollektives Gedächtnis eingebrannt. Auch wenn seither 16 Jahre vergangen sind, prägen sie unsere Welt bis heute. Der wenige Tage nach den Anschlägen vom damaligen US-Präsidenten George W. Bush ausgerufene „Global War on Terror“ hält bis heute an.
Viele Menschen trieb angesichts der schrecklichen Bilder der einstürzenden Türme des World Trade Centers nicht nur die Frage um, wie man die Anstifter dieses Massenmords zur Verantwortung ziehen könnte. Zugleich befürchteten sie, dass die westlichen Demokratien in Reaktion auf die Herausforderung des islamistischen Terrorismus ihre Grundwerte verraten könnten. Leider hat sich inzwischen bestätigt, wie berechtigt diese Befürchtung war.

Regierungen und Parlamente reagierten – und reagieren bis heute – vielfach genau so auf Anschläge, wie von den Drahtziehern des Terrors beabsichtigt. Polizeibehörden, Geheimdienste und das Militär bekamen den Auftrag, mit nahezu allen Mitteln gegen den Terrorismus vorzugehen. Ihre Befugnisse wurden massiv ausgeweitet und bei Befugnisüberschreitungen wurde Straffreiheit zugesichert. Rechtsstaatliche Sicherungen wurden beiseite geschoben, unterlaufen und gelockert, Menschenrechte spielen im Kampf gegen den Terror eine untergeordnete Rolle. Maßnahmen, die in „normalen“ Zeiten zu Proteststürmen geführt hätten, werden von Parlamenten ohne gründliche Prüfung und kritische Debatte durchgewunken und auch von der Öffentlichkeit weitgehend akzeptiert. Je unsicherer die Zeiten sind, desto eher sind wir bereit, unser Leben nach Regeln zu gestalten, die unseren individuellen Wünschen, Bedürfnissen und Interessen entgegenstehen.

Staatliche und nichtstaatliche Trittbrettfahrer nutzen die Terrorangst: Praktisch jeder Krieg wird heute mit der Terrorbekämpfung gerechtfertigt. Kritiker der jeweiligen Staatsführungen und Journalisten werden unter Terrorismusverdacht gefangen gehalten. Kriminelle nutzen die Terrorangst, um private Geschäfte zu machen, etwa beim Anschlag auf den Mannschaftsbus des Fußballvereins Borussia Dortmund. Auch Rechtsradikale setzen auf diesen Wirkungszusammenhang und versuchen, ihn weiter zu befeuern – etwa indem sie Attentate vorbereiteten, die sie Asylbewerbern zuschreiben wollten, wie eine inzwischen enttarnte rechtsextremistische Zelle in der Bundeswehr. Terroristen beabsichtigen, durch entsprechend terminierte Anschläge Wahlergebnisse zu beeinflussen, zum Glück nicht durchgängig mit dem erwünschten Ergebnis. Es ist aber zu befürchten, dass letztlich diejenigen politischen Strömungen vom Terrorismus profitieren, die einseitig auf „Law and Order” setzen, nationalistische und fremdenfeindliche Parolen propagieren.

Die Terrorangst verschiebt das politische Koordinatensystem in Richtung autoritärer Lösungen und entzieht der Demokratie die Luft zum Atmen. Weil spektakuläre, medial verstärkte terroristische Aktionen ein Gefühl allgemeiner Unsicherheit erzeugen, sehen sich selbst moderate Regierungen einem erheblichen Handlungsdruck ausgesetzt. Parlamente und Regierungen beschließen Programme und Gesetze, die nicht wirklich mehr Sicherheit bringen, um dem Eindruck des Kontrollverlustes entgegenzuwirken. Der nur in wenigen Ländern offiziell erklärte Ausnahmezustand wird auf diese Weise schleichend zur bedrohlichen Normalität.

Ist die Erosion des liberalen Rechtsstaats, die im Ausnahmezustand ihren Kulminationspunkt erreicht, tatsächlich vorgezeichnet? Auch wenn es viele Belege für diese fatale Entwicklung gibt, ist in der Geschichte nichts alternativlos. Die Stärke der Demokratie bemisst sich nicht nach der Größe der Überwachungsapparate oder der Feuerkraft des Militärs. Entscheidend ist, in welchem Maße sie in den Köpfen der Bürgerinnen und Bürger verankert ist. Gerade in diesem Sinne sind die Herausforderungen durch den internationalen Terrorismus besonders gefährlich, denen die liberalen Gesellschaften des Westens wohl noch über Jahre ausgesetzt sind.

Unmittelbar nach Terrorattacken kann man immer wieder feststellen, dass die meisten Menschen zunächst überwiegend gelassen bleiben. Man lasse sich durch ein paar Terroristen den eigenen Lebensstil nicht zerstören. Natürlich sind sie entsetzt, reagieren aber nicht mit Panik und Hass. Wie sich Anschläge längerfristig auf die Gesellschaft auswirken, hängt maßgeblich mit der politischen und medialen Aufarbeitung und Reaktion zusammen. Weil der Terror nur in einer Atmosphäre der Angst wirkt, kommt es darauf an, dass wir uns wieder stärker darauf besinnen, was die Stärke des rechtsstaatlichen Demokratiemodells ausmacht: Gelassenheit und Toleranz sind bei der Bekämpfung des Terrorismus nicht weniger wichtig als effektive behördliche Ermittlungsarbeit.

Auch um letztere scheint es nicht besonders gut bestellt zu sein. Die seit 2001 mit Waffen, Personal und immer neuen Befugnissen aufgerüsteten Sicherheitsbehörden haben es häufig nicht vermocht, Attentatspläne zu erkennen und zu unterbinden. Die meisten terroristischen Attentäter waren den Sicherheitsbehörden bekannt – aber Konsequenzen wurden daraus offensichtlich nicht gezogen. Die unklaren, vielfach parallelen Strukturen und die sich überschneidenden Zuständigkeiten haben in der Vergangenheit immer wieder dazu beigetragen, dass wichtige Spuren und Erkenntnisse nicht zusammengeführt wurden, obwohl die rechtlichen Voraussetzungen dafür durchaus gegeben waren. Die Ermittlungsinstrumente müssen neu justiert werden, und zwar unter Wahrung rechtsstaatlicher Anforderungen. Polizeibehörden und Geheimdienste setzen in aller Welt auf die massenhafte Erhebung und Speicherung von Daten – Vorratsdatenspeicherung von Telefon- Internet- und Reisedaten, umfassende globale Kommunikationsüberwachung. Die Massenregistrierung völlig unverdächtigen Verhaltens und die anlasslose Überwachung sind nicht nur rechtlich höchst problematisch, sie binden auch viele Kapazitäten, die bei der gezielten Strafverfolgung und Gefahrenabwehr besser eingesetzt werden könnten.

Zudem müssen wir den Ursachen des globalen Terrorismus wieder mehr Beachtung widmen. Die zunehmend ungleiche Wohlstandsverteilung im globalen Maßstab und der damit verbundene Verlust der Glaubwürdigkeit der westlichen Staatengemeinschaft ist eine fast unerschöpfliche Quelle des internationalen Terrorismus. Statt auf Entwicklungszusammenarbeit setzen viele Staaten – allen voran die US-Administration unter Donald Trump – auf militärische Mittel und schränken die Entwicklungszusammenarbeit ein. Statt dessen Aufrüstungsforderungen nachzukommen, sollte Deutschland weitaus stärker in Entwicklungszusammenarbeit und Armutsbekämpfung investieren.

Wir müssen der durch Terrorgefahr und Terrorangst bewirkten Erosion der offenen Gesellschaft selbstbewusst entgegentreten, ohne dabei unsere Grundwerte zu verraten. Die mit der Begründung des Kampfes gegen den Terrorismus bis zur Unkenntlichkeit eingeschränkten Grundrechte müssen wieder hergestellt werden. Die Auseinandesetzung mit dem Terrorismus kann nur im Kopf gewonnen werden. Rechtsstaatlichkeit und Grundrechtsschutz sind dabei von entscheidender Bedeutung.

Pressemitteilung: Das bisherige Niveau des Datenschutzes im Sozial- und Steuerbereich erhalten

Berlin, 26. Juni 2017
Das bisherige Niveau des Datenschutzes im Sozial- und Steuerbereich muss beibehalten werden – Keine kontrollfreien Räume in den Finanzämtern !
Nahezu unbemerkt von der Öffentlichkeit bereitet die Bundesregierung gegenwärtig eine weitreichende Absenkung der Datenschutzstandards im Sozial- und Steuerbereich vor. Der Bundestag hat bereits dem Entwurf einer Änderung des Bundesversorgungsgesetzes zugestimmt, in den zuvor nahezu überfallartig in letzter Minute zahlreiche datenschutzrechtliche Regelungen aufgenommen wurden. Der Bundesrat berät voraussichtlich am 7. Juli 2017 abschließend über das Vorhaben. Dr. Alexander Dix, stellvertretender Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz, zu diesem Gesetzesvorhaben: „Es droht eine deutliche Verschlechterung des Datenschutzes im Sozial- und Steuerbereich sowie eine inakzeptable Ausdünnung der Datenschutzkontrolle in den Finanzämtern.“
Der Gesetzentwurf sieht eine Einschränkung der Informations- und Auskunftsrechte der Sozialleistungsempfänger und Steuerzahler in einem Maße vor, das in zahlreichen Punkten  gegen die im kommenden Jahr in Kraft tretende Europäische Datenschutz-Grundverordnung verstößt. Teilweise bleiben die geplanten Bestimmungen sogar noch hinter dem gerade novellierten Bundesdatenschutzgesetz zurück. Statt der behaupteten Anpassung an das Unionsrecht würde eine Verabschiedung des Entwurfs im Gegenteil zu zusätzlicher Rechtsunsicherheit führen, da die betroffenen Bürgerinnen und Bürger ihre weitergehenden Ansprüche nach europäischem Recht häufig erst gerichtlich durchsetzen müssten.
Schließlich will die Bundesregierung die Datenschutzkontrolle in den Finanzämtern bei der Bundesbeauftragten für den Datenschutz zentralisieren. Die Finanzämter sind Behörden der Länder, die bisher – wie alle Landesbehörden – aus gutem Grund und in bürgernaher Weise von den Landesbeauftragten für den Datenschutz kontrolliert werden. Diese föderale Datenschutzaufsicht hat sich bewährt. Wenn die Kontrolle aller deutschen Finanzämter jetzt einer Bundesbehörde übertragen wird, dann drohen kontrollfreie Räume in der Finanzverwaltung, denn selbst bei einer personellen Verstärkung ist nicht zu erwarten, dass eine zentrale Datenschutzbehörde den Beschwerden der Bürgerinnen und Bürger zeitnah nachgehen und darüber hinaus die erforderlichen Kontrollen von Amts wegen gewährleisten kann. 
Der Bundesrat sollte diesem Gesetzentwurf seine Zustimmung verweigern. 
 
Kontakt: Dr. Alexander Dix, stv. Vorsitzender (dix@eaid-berlin.de)

Grundrechtsbeschränkung im Schnelldurchgang: Quellen-Telekommunikationsüberwachung und Online-Durchsuchung

Die Fraktionen der CDU/CSU und SPD im Deutschen Bundestag haben am Freitag, dem 16. Juni 2017 im Rechtsausschuss einen Antrag zur Änderung der Strafprozessordnung
eingebracht, der den Strafverfolgungsbehörden die Befugnis zur „Online-Durchsuchung“ und zur „Quellen-Telekommunikationsüberwachung“ einräumen soll. Er beruht auf einer „Formulierungshilfe“ der Bundesregierung vom 15. Mai 2017.
Dieser Antrag soll nach Presseberichten schon in dieser Sitzungswoche (21.-22. Juni 2017) vom Bundestag beschlossen werden.

Parallel dazu hat die Konferenz der Innenminister der Länder am 14. Juni 2017 gefordert, den Polizeibehörden die Überwachung von verschlüsselten Kommunikationsdiensten wie WhatsApp zu ermöglichen. Der Wortlaut des Beschlusses der Innenministerkonferenz wurde bislang nicht veröffentlicht.

Online-Durchsuchung

 

 

Technische Voraussetzung für eine Online-Durchsuchung ist das Aufspielen einer entsprechenden Software in das zu überwachende System. Dies kann entweder über einen Datenträger (Diskette, CD-ROM, USB-Stick etc.) oder online, d. h. über eine bestehende Internet-Verbindung, z. B. als Anhang an eine E-Mail, geschehen. Der Betroffene merkt nichts hiervon. Er kann sich auch durch sog. Firewalls oder Virenschutzsoftware nicht hiergegen schützen. Mit einer Online-Durchsuchung hat eine Sicherheitsbehörde Zugriff auf sämtliche in dem infiltrierten System vorhandene – auch höchst persönliche – Daten. Angesichts des gewandelten gesellschaftlichen Kommunikations- und Nutzungsverhaltens besteht damit regelmäßig nicht nur Zugriff auf gespeicherte E-Mail, sondern auch auf Gesundheits-, Bank-, Finanz-, Steuer- und privateste Daten. Hierzu zählen beispielsweise auch Tagebücher, die zunehmend nicht mehr in Papierform, sondern elektronisch geführt werden. Aus der Zusammenschau dieser Daten entstehen weit reichende Persönlichkeitsprofile der Betroffenen. (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, 22. TB, S. 45)

Quellen-Telekommunikationsüberwachung

 

 

Bei dieser Maßnahme installieren die Ermittlungsbehörden heimlich eine Software auf dem Computer der Zielperson. Kommuniziert diese mit Hilfe des betroffenen Computers, werden die entsprechenden Daten an die Ermittlungsbehörden ausgeleitet. Dies betrifft beispielsweise verschlüsselt übertragene Gespräche, für die die Zielperson die IP-Telefoniesoftware „Skype“ benutzt. Die Maßnahme muss sich auf die laufende Telekommunikation beschränken. Die von der Polizeibehörde eingesetzte Software darf also nicht sonstige Inhalte des Computers, z. B. gespeicherte Texte, Bilder oder andere Dateien an die Polizeibehörde übertragen. Dadurch unterscheidet sich die Quellen-Telekommunikationsüberwachung von der sog. Onlinedurchsuchung. (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, 24. TB, S. 95)

Die neuen Befugnisse haben erhebliche Auswirkungen auf die Grundrechte und die Sicherheit informationstechnischer Systeme: Der für beide Maßnahmen erforderliche Online-Zugriff setzt voraus, dass auf den Systemen entsprechende Software installiert wurde. Die zum Einsatz kommenden Verfahren ähneln insoweit denjenigen Methoden, die von Kriminellen zur Manipulation von Computern eingesetzt werden. Deshalb spricht man auch von „Staatstrojanern“. Mit dem online-Zugriff greifen Sicherheitsbehörden in die Integrität und in die Vertraulichkeit der entsprechenden IT-Systeme ein. Sie haben damit grundsätzlich Zugriff auf alle Funktionen und Daten des infiltrierten Systems. Aus diesem Grund versteht das Bundesverfassungsgericht die Gewährleistung der Vertraulichkeit und Integrität als Grundrecht, in das nur für den Schutz überragend wichtiger Rechtsgüter (Schutz von Leben, körperlicher Unversehrtheit und Freiheit) eingegriffen werden darf (Urteil v. 27.2.2008).

Zudem nutzen die Sicherheitsbehörden Kenntnisse beziehungsweise Schwachstellen der Systeme, die gegebenenfalls auch von Dritten eingesetzt werden können. Entsprechende Schwachstellen („Zero-Day-Exploits“) werden auf einem grauen Markt gehandelt. Statt diese Sicherheitslücken zu beseitigen, nutzen sie Geheimdienste und Polizeibehörden für Überwachungsmaßnahmen. Dementsprechend ist es nicht verwunderlich, dass dieselben Schwachstellen auch für kriminelle Zwecke weiterhin verwendet werden. Das spektakulärste Beispiel hierfür die selben Schwachstellen auch für kriminelle Zwecke weiterhin verwendet werden. Das spektakulärste Beispiel für hierfür ist die Infiltration zehntausender Computersysteme mit dem Erpressungstrojaner Wannacry, der eine Schwachstelle verwendete, die amerikanischen Geheimdiensten seit langem bekannt war.

Angesichts dieser sehr schwer wiegenden Auswirkungen halte ich es für unverantwortlich, die entsprechenden Überwachungsbefugnisse in einem parlamentarischen Schnelldurchgang ohne Möglichkeit zur gründlichen Prüfung und Debatte zu beschließen.

Mit freundlichen Grüßen

Peter Schaar

Das neue Big Brother-Gesetz (mit Nachtrag v. 18.5.2017)

Nachtrag v. 18. Mai 2017:

Inzwischen liegt der Bericht des Innenausschusses mit dem Beschlussantrag der Regierungsfraktionen CDU/CSU und SPD zum Online-Abruf der Passfotos aus den kommunalen Personalausweisregistern vor (Drs. 18/12417).

Die Regierungsparteien CDU/CSU und SPD wollen den Kreis der Behörden, die im Rahmen ihrer Aufgabenwahrnehmung die biometrische Lichtbilder jederzeit abrufen können, um die Steurfahndungs- und Zollfahndungsämter erweitern. Eine überzeugende Begründung hierfür wird nicht geliefert.

Auch die für die Verfolgung von Ordnungswidrigkeiten zuständigen Behörden sollen die Daten zeitlich unbeschränkt abrufen. Bedeutsam ist auch die Änderung in den Protokollierungsvorschriften: Nur die abrufenden Stellen haben die Abrufe zu protokollieren. Damit ist es etwa den für die Personalausweisregister zuständigen Datenschutzbehörden nicht mehr möglich nachzuvollziehen, welche Behörde in welchem Umfang Lichtbilder abgerufen haben.

Die vorgesehenen Änderungen senken auf ganzer Linie das Datenschutzniveau Beim Umgang mit biometrische Daten weiter ab.

Die Regelungen sollen nun wie folgt lauten:

§ 22a Absatz 2 wird wie folgt geändert:

a) Satz 1 wird wie folgt gefasst: „Im Fall der Übermittlung von Lichtbildern durch Passbehörden nach § 19 Absatz 1 Satz 1 an die Ordnungsbehörden im Rahmen der Verfolgung von Verkehrsordnungs- widrigkeiten kann der Abruf des Lichtbildes im automatisierten Verfahren erfolgen.

b) Nach Satz 4 werden die folgenden Sätze eingefügt: „Die Polizeibehörden des Bundes und der Länder, der Militärische Abschirmdienst, der Bundesnachrichtendienst, die Verfassungsschutzbehörden des Bundes und der Länder, Steuerfahndungsdienststellen der Länder, der Zollfahndungs- dienst und die Hauptzollämter dürfen das Lichtbild zur Erfül- lung ihrer Aufgaben im automatisierten Verfahren abrufen. Die abrufende Behörde trägt die Verantwortung dafür, dass die Voraussetzungen des Absatzes 1 vorliegen.“

c) Nach dem bisherigen Satz 5 wird folgender Satz eingefügt: „Abrufe nach Satz 5 werden nur von der abrufenden Behörde protokolliert.“

 


Originalbeitrag v. 15. Mai 2017:

In dieser Woche, am 18. Mai 2017 wird der Deutsche Bundestag unter Tagesordnungspunkt 23 über ein höchst problematisches Gesetz entscheiden, das am 27. April schon einmal auf der Tagesordnung stand, dann aber überraschend nicht behandelt wurde. In der Vorlage für ein „Gesetz zur Förderung des elektronischen Identitätsnachweises“ (Drucksache 18/11279 ) befindet sich eine datenschutzrechtliche Ungeheuerlichkeit. Offiziell geht es vor allem darum, dass die heute schon im neuen Personalausweis vorhandene (eID-)Funktion bei der Ausstellung eines neuen Personalausweises grundsätzlich freigeschaltet wird und nicht erst dann, wenn der Ausweisinhaber dies wünscht.

Viel gravierender ist jedoch eine Änderung, die im hinteren Teil des Artikelgesetzes versteckt ist:

Artikel 2 (Weitere Änderung des Personalausweisgesetzes zum 1. Mai 2021) sieht eine dramatische Änderung von § 25 des Personalausweisgesetzes vor. Die Vorschrift soll zukünftig so lauten:

„Die Polizeien des Bundes und der Länder, das Bundesamt für Verfassungsschutz, der Militärische Abschirmdienst, der Bundesnachrichtendienst sowie die Verfassungsschutzbehörden der Länder dürfen das Lichtbild zur Erfüllung ihrer Aufgaben im automatisierten Verfahren abrufen.“

Bisher ist der Online-Abruf der biometrische Lichtbilder gem. dem geltenden § 25 Abs. 2 Personalausweisgesetz nur ausnahmsweise zulässig:

„Die Polizei- und Ordnungsbehörden, die Steuerfahndungsstellen der Länder sowie die Behörden der Zollverwaltung dürfen das Lichtbild zum Zweck der Verfolgung von Straftaten und Verkehrsordnungswidrigkeiten im automatisierten Verfahren abrufen, wenn die Personalausweisbehörde auf andere Weise nicht erreichbar ist und ein weiteres Abwarten den Ermittlungszweck gefährden würde. Zuständig für den Abruf sind die Polizeivollzugsbehörden auf Ebene der Landkreise und kreisfreien Städte, die durch Landesrecht bestimmt werden.“

Diese Beschränkung des Online-Abrufs der Lichtbilder war seinerzeit eingeführt worden, um zu verhindern, dass die obligatorisch in Pässe und Personalausweise aufgenommenen biometrische Gesichtsbilder zur Massenüberwachung genutzt werden. Mit der von der Großen Koalition geplanten Gesetzesänderung fällt diese wichtige Restriktion. Nicht nur die Polizei, sondern praktisch alle Sicherheitsbehörden erhalten zukünftig einen unbeschränkten Zugriff auf die digitalisierten Gesichtsbilder. Einzige Bedingung für den Online-Zugriff auf die Lichtbilddateien ist, dass der Abruf „zur Erfüllung ihrer Aufgaben“ erfolgt. Zu diesen Aufgaben gehört nicht nur die Strafverfolgung oder die Abwehr konkreter Gefahren. Polizeibehörden führen Verkehrskontrollen aus und betreiben Videoüberwachungsanlagen. Nachrichtendienste sind sogar weit im Vorfeld des Vorfeldes einer Gefahr tätig und sind nicht unbedingt dafür bekannt, sich bei der Datenerfassung zurückzuhalten.

Es ist damit zu rechnen, dass die umfassenden Abrufmöglichkeiten längerfristig dazu verwendet werden, im Rahmen der „intelligenten Videoüberwachung“ alle Menschen zu identifizieren, die sich in einem Bahnhof, auf einem Flughafen, in einem Einkaufszentrum oder auf einem öffentlichen Platz aufhalten. Nicht umsonst hat die Große Koalition kürzlich die gesetzlichen Befugnisse zur Videoüberwachung so aufgebohrt, dass die Gewährleistung der Sicherheit grundsätzlich schwerer wiegt als die Wahrung der Persönlichkeitsrechte der Betroffenen. Zusammen mit denen neuen automatischen Zugriffsbefugnissen auf die biometrische Daten wird daraus ein Big Brother-Gesetz.

Mit freundlichen Grüßen

Peter Schaar

« Older Entries