Category Archives: EAID-Blog

Brauchen wir eine Digitalcharta?

Am 1. Dezember 2016 veröffentlichten verschiedene Zeitungen ganzseitige Anzeigen unter der Überschrift „Wir fordern digitale Grundrechte – Charta der digitalen Grundrechte der Europäischen Union“. Bei dieser „Digitalcharta“ handelt es sich um die Zusammenstellung von Forderungen bzw. Vorschlägen, die sich nicht auf reine Individualrechte beschränken, sondern auch staatliches und unternehmerisches Handeln umfassen. Das erkennbare Ziel der Autorinnen und Autoren ist es, eine Diskussion darüber anzustoßen, wie unsere grundlegenden Werte, Grund- und Menschenrechte in einer zunehmend durch digitale Technik geprägten Welt bewahrt werden können. Sie greifen damit ein weit verbreitetes Unbehagen auf, das nicht auf die überschaubare Netzcommunity beschränkt ist. Zugleich setzen sie einen Kontrapunkt zu unreflektierter Technikbegeisterung und weltfremden Versprechungen einer Rückkehr in eine vermeintlich gute alte Zeit ohne Globalisierung und Digitaltechnik.

Immer lauter hört man aus dem Silicon Valley das hohe Lied der „Disruption“, die Begeisterung über die revolutionäre Veränderung der Wirtschaft und unserer Lebensverhältnisse durch digitale Technik. In der Tat lässt sich kaum leugnen, dass die von der Digitalisierung bewirkten Veränderungen vergleichbar sind mit denjenigen der industriellen Revolution des 18. und 19. Jahrhunderts. Bestehende gesellschaftliche Ungleichheiten und Konflikte verschärfen sich und sie werden überlagert von neuen, bisher unbekannten Fragestellungen.

Die mit der Digitalisierung verbundenen Problemstellungen gehen weit über den Datenschutz hinaus, der bereits in der EU verfassungs- und einfachgesetzlich normiert ist (Art. 8 EU-Grundrechtecharta, Datenschutzgrundverordnung). So wichtig der Datenschutz weiterhin bleibt, so bedeutsam ist es, dass wir uns – wie die Digitalcharta es tut – auch mit den anderen Folgen der Digitalisierung auseinandersetzen.

In den letzten Jahren ist es zu einer in der Geschichte unvergleichlichen auf Informationen und Daten basierenden globalen Machtkonzentration bei Unternehmen und staatlichen Stellen gekommen, welche die ungeheuren Informations- und Datenbestände kontrollieren. Gefahren für Freiheits- und Menschenrechte gehen längst nicht mehr allein vom staatlichen „Leviathan“ aus. Auch weltweit agierende Internetunternehmen setzen nach eigenen Interessen Regeln über den Zugang zu Informationen und den Umgang mit ihnen. Sie nutzen dabei Unterschiede zwischen den Rechtsordnungen und Steuersystemen aus.

Spätestens seit den Enthüllungen Edward Snowden ist nicht mehr zu leugnen, dass auch staatliche Stellen, insbesondere aus dem Kreis der Sicherheitsbehörden, an den enormen privatwirtschaftlich angehäuften Informations- und Datenschätzen partizipieren. Viele nachrichtendienstliche Überwachungsaktivitäten erfolgen im Ausland, um der Rechtsbindung durch nationale Verfassungen und Gesetze und der gerichtlichen und parlamentarischen Kontrolle zu entgehen. Grund zum Handeln gibt es also genug.

Dass kollektive Erfahrungen und neue Probleme zur Überprüfung gesellschaftlicher Sichtweisen und Regeln führen, ist kein einmaliges Phänomen. Zahlreiche Aufrufe, Verfassungsdokumente und Grundrechtskataloge belegen dies, etwa die Magna Charta aus dem Jahr 1215, die US-Verfassung von 1788, das westdeutsche Grundgesetz von 1949 bis hin zur Charta der Grundrechte der Europäischen Union aus dem Jahr 2001. Alle diese Dokumente sind in erster Linie (in juristische Sprache gekleidete) politische Manifeste, die teils fundamental mit der vorigen Rechtsordnung brechen oder sie fortschreiben sollen. In dieser Tradition versteht sich offenbar die Digitalcharta.

Ob die Vorschläge in absehbarer Zeit vom Europäischen Parlament beschlossen und Eingang in die EU-Grundrechtecharta finden werden, ist höchst unsicher. Unabhängig davon ist es aber an der Zeit, dass unser politisches System die digitalen Herausforderungen aktiv bearbeitet. Die Debatte darüber ist jedenfalls eröffnet!

Sollen Grundrechte auch vor Machtmissbrauch durch Private schützen?

Die Digitalcharta ist unmittelbar nach ihrer Veröffentlichung heftig kritisiert worden. Eine besonders heiß diskutierte Frage ist, ob Grundrechte nicht nur gegenüber staatlichen Stellen sondern auch gegenüber privaten Stellen gelten sollen, wie dies Art. 1 Abs. 3 vorsieht.

„(3)  Die Rechte aus dieser Charta gelten gegenüber staatlichen Stellen und Privaten.“

Juristen sprechen in diesem Zusammenhang von „Drittwirkung“. Die traditionelle deutsche Verfassungslehre verneint eine direkte Drittwirkung der Grundrechte des Grundgesetzes.

Historisch wurden die Grund- und Menschenrechte als Instrumente gegen staatliche Willkür erkämpft. Sie begrenzen staatliche Machtausübung gegenüber den Bürgern. Diese Funktion als „Abwehrrechte“  gegenüber dem Staat ist auch heute noch von herausragender Bedeutung. Aber sie wird überlagert von objektiv-rechtlichen Aspekten, insbesondere dem Menschen- und Gesellschaftsbild des Grundgesetzes, das selbst eine Drittwirkung nicht explizit ausschließt.

Die Rechtsprechung des Bundesverfassungsgerichts zur Menschenwürde und zum allgemeinen Persönlichkeitsrecht belegt die überragende Bedeutung des Grundgesetzes und insbesondere der Grundrechte bei der einfachen Gesetzgebung und bei der Auslegung von Gesetzen, die „im Lichte der Grundrechte“ zu erfolgen hat.

Besonders deutlich wird die Absicht des Grundgesetzes, privates Handeln zu steuern, beim Grundrecht auf Eigentum:

„Eigentum verpflichtet. Sein Gebrauch soll zugleich dem Wohle der Allgemeinheit dienen.“ (Art. 14 Abs. 2 GG)

Mir erscheint es sinnvoll, die Sozialpflichtigkeit des Eigentums im Hinblick auf die digitalen Herausforderungen zu konkretisieren. Wenn man den ungeheuren Einfluss und die überragende Definitionsmacht heutiger digitaler Plattformen berücksichtigt, wäre ist geradezu fahrlässig, die durch Grundrechte beabsichtigte Machtbegrenzung nur auf staatliche Akteure zu beziehen. Auch Unternehmen haben die Menschenwürde zu achten, sie haben bei den der Allgemeinheit zur Verfügung gestellten Diensten die Meinungsfreiheit zu garantieren, Diskriminierung zu unterlassen und für Transparenz zu sorgen.

Allerdings lassen sich derartige Rechtsfortbildungen sinnvollerweise nicht mehr allein durch nationales Recht realisieren, sondern auf internationaler oder zumindest europäischer Ebene. Deshalb halte ich es für richtig, dass die Digitalcharta einen EU-weiten Regelungsanspruch formuliert. Der Blick über den deutschen Tellerrand zeigt zudem, dass die Diskussion über die Drittwirkung von Grundrechten in der Europäischen Union weitaus weniger intensiv geführt wird als in der deutschen Rechtswissenschaft. Unter dem Begriff der „horizontalen Wirkung“ bejaht etwa der Europäische Gerichtshof die direkte Anwendbarkeit von EU-Recht – auch von Grundrechten – auf das Verhältnis zwischen Privaten, soweit eine EU-Rechtsvorschrift hinreichend präzise formuliert ist. Eine entsprechende Klausel, die klarstellt, dass bestimmte digitale Rechte (und Pflichten) auch gegenüber Privaten anzuwenden sind, wäre also durchaus konsequent und zulässig.

Verbesserungsbedarf

Die Autoren der Digitalcharta haben zur Diskussion ihrer Vorschläge aufgerufen. In der Tat sind nicht alle Artikel der vorgeschlagenen Digitalcharta gleichermaßen gelungen. Kritisch sehe ich insbesondere die widersprüchlichen Ausführungen zur Meinungsfreiheit und Öffentlichkeit in Art. 5:

„(1) Jeder hat das Recht, in der digitalen Welt seine Meinung frei zu äußern. Eine Zensur findet nicht statt.
(2) Digitale Hetze, Mobbing sowie Aktivitäten, die geeignet sind, den Ruf oder die Unversehrtheit einer Person ernsthaft zu gefährden, sind zu verhindern.
(3) Ein pluraler öffentlicher Diskursraum ist sicherzustellen.
(4) Staatliche Stellen und die Betreiber von Informations- und Kommunikationsdiensten sind verpflichtet, für die Einhaltung von Abs. 1, 2 und 3 zu sorgen.“

Für bedenklich halte ich die im zweiten Absatz vorgesehenen Einschränkungen der Meinungsfreiheit und des Zensurverbots. Es stellt sich die Frage, wie die Tatbestände der digitalen „Hetze und Mobbing sowie Aktivitäten, die geeignet sind, den Ruf oder die Unversehrtheit einer Person ernsthaft zu gefährden“ zu verstehen sind.

Wer einmal Ziel aggressiver Kritik, Anmache bis hin zum Shitstorm geworden ist, empfindet eine solche Situation als unangenehm. Trotzdem wäre es falsch, darauf mit einem generellen Verbot zu reagieren. In einer pluralen Demokratie müssen wir auch unsachliche Äußerungen und Wut anderer ertragen, ohne nach dem Staatsanwalt oder Foren-Zensor zu rufen.

Zudem darf nicht außer Acht gelassen werden, dass die Meinungsfreiheit vor dem Hintergrund unterschiedlicher historischer Erfahrungen international verschieden eingeschätzt wird. Die vorgeschlagenen Regelungen implizieren, dass nicht nur unzulässige, sondern auch nicht strafbare Meinungsäußerungen in der digitalen Welt zu verhindern seien. Dies wird der überragenden Bedeutung der Informations- und Meinungsfreiheit in der demokratischen Gesellschaft nicht gerecht.

Verschärft wird dieses Problem dadurch, dass nicht etwa eine nachträgliche Löschung verlangt wird, sondern die generelle Verhinderung solcher Äußerungen. Dies würde letztlich doch auf Zensur hinauslaufen.

Zudem sind die Adressaten entsprechender Verpflichtungen nicht zu Ende gedacht. So sollen nicht nur „staatliche Stellen“, sondern auch die Betreiber von Kommunikations- und Informationsdiensten für die Durchsetzung sorgen. Ich kann mir nicht vorstellen, dass die Autoren einer durchgängigen Inhaltskontrolle im Sinne von „deep packet inspection“ das Wort reden, aber leider lassen sich die Formulierungen genau so auslegen.

An Stelle der missverständlichen Regelungen sollte Art. 5 daher umformuliert werden:

„…(2) Dieses Recht kann durch gesetzliche Bestimmungen beschränkt werden, soweit dies zum Schutz berechtigter persönlicher oder gesellschaftlicher Interessen unerlässlich ist. … (4)

Die Betreiber von Plattformen, die dem öffentlichen Informations- und Meinungsaustausch dienen, sind verpflichtet, unzulässige Beiträge zu löschen, sobald sie von ihnen Kenntnis erlangt haben.“

Peter Schaar

Tracking und Profiling – online und offline

Dass die Online-Welt immer mehr mit der Offline-Welt zusammenwächst, zeigt sich auch in der immer schnelleren Entwicklung von Techniken zur Beobachtung und Ortung von Menschen und der Verfolgung ihrer Bewegungen zu den verschiedensten Zwecken. Lange Zeit wurde dieses Thema ausschließlich bezogen auf die Internet-Nutzung diskutiert. Inzwischen jedoch haben die Anbieter von Internet-Inhalten erkannt, dass Online-Profile sehr viel aussagekräftiger werden, wenn sie zum einen das Verhalten der Nutzer webseitenübergreifend abbilden und zum anderen auch ihr Verhalten offline miteinbeziehen.

Zu diesem Thema veranstaltete die Europäische Akademie für Informationsfreiheit und Datenschutz am 23. November 2016 im Abgeordnetenhaus von Berlin einen Workshop, an dem auch zahlreiche ausländische Experten teilnahmen, die sich an der vorausgegangenen Herbstsitzung der Internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation (sog. Berlin-Group) beteiligt hatten.

Zunächst berichtete Tobias Judin von der norwegischen Datenschutzaufsichtsbehörde Datatilsynet über die Ergebnisse einer Prüfung diverser Tracking-Technologien, die in Norwegen in öffentlich zugänglichen Bereichen eingesetzt werden. Diese reichen von WiFi-Netzen über Bluetooth-Technologie und den Einsatz von Beacons in Ladengeschäften bis hin zu intelligenter Videoanalyse, die über den Einsatz herkömmlicher Kameras weit hinausgeht. Judin erläuterte die Einordnung dieser Technologien nach norwegischem Recht, die sich durchaus auf andere europäische Länder übertragen lässt. Er bezeichnete die Transparenz beim Einsatz solcher Technik durch Unternehmen als essentiell als notwendig, wenn auch nicht als hinreichend. Darüber hinaus sei die informierte Einwilligung der Betroffenen einzuholen. So ist der Betreiber einer Ladenkette, der seine Kunden in den Geschäften lokalisieren lassen und über eine App gezielte Angebote machen will, dazu verpflichtet, sowohl elektronisch in der App als auch in den jeweiligen Geschäften durch analoge Hinweise auf diese Ortungsmöglichkeit hinzuweisen, um den Kunden eine Entscheidung zu ermöglichen, ob sie davon Gebrauch machen wollen. Für den Einsatz intelligenter Videoanalyse müssen – so Judin – nach norwegischem Recht strengere rechtliche Voraussetzungen erfüllt sein als für WiFi- und Beacon-Technologie.

Achim Klabunde, Leiter des IT-Bereichs beim Europäischen Datenschutzbeauftragten, widmete sich der technisch unterstützten Beobachtung durch öffentliche Stellen. Soweit es sich dabei um EU-Institutionen handelt, werden sie vom Europäischen Datenschutzbeauftragten kontrolliert. Dabei sparte er die öffentliche Sicherheit und Grenzkontrollen aus und konzentrierte sich auf die Beobachtung der Internet-Nutzung durch Unionsbehörden. Er beleuchtete die Reichweiten-Analyse und die Nutzung von sozialen Netzen, wobei er die neueste Entscheidung des EuGH zum Personenbezug von IP-Adressen und die festgestellte Unvereinbarkeit des deutschen Verbots der Speicherung von Nutzungsdaten für Sicherheitszwecke nach dem TMG mit in seine Analyse einbezog.

Die Perspektive der US-Federal Trade Commission beleuchtete in einem Video-Statement der Guilherme Roschke, Counsel for International Consumer Protection der FTC. Er schilderte die umfangreichen Aktivitäten der FTC im Zusammenhang mit verschiedenen Formen des geräteübergreifenden Online-Tracking durch Internet-Unternehmen, die ihre Kunden darüber entweder überhaupt nicht oder irreführend informieren. Dies reicht von „history sniffing“, bei dem die Nutzungshistorie des Browsers ausgelesen wird, bis hin zur unbemerkten Herstellung von Internet-Verbindungen durch moderne Fernsehgeräte, ein Thema, das auch in Deutschland für Diskussionen gesorgt hat. Bemerkenswert war die Aussage, dass die FTC – wie auch die europäischen Datenschutzbehörden – der Auffassung ist, dass Daten, die mittels technischer Identifikationsmerkmale wie der IP- oder der Mac-Adresse zur Personalisierung verwendet werden können, nicht generell als anonyme Daten anzusehen sind.

Abschließend berichtete Frank Wagner von der Deutschen Telekom über den gegenwärtigen Stand der internationalen Diskussion über den Do-Not-Track-Standard. Das World Wide Web Consortium (W3C) hat vor mehreren Jahren hierzu eine Arbeitsgruppe eingesetzt, die inzwischen mehrere Entwürfe für ein browsergestütztes Verfahren vorgelegt hat, mit dem Nutzer den von ihnen besuchten Webseiten mitteilen können, ob sie eine Speicherung ihrer Nutzungsdaten nach Ende der Nutzung akzeptieren oder nicht. Während die US-Internet-Wirtschaft offenbar kein Interesse an einem solchen Standard hat und das W3C deshalb Ende 2016 die Arbeiten daran einstellen wird, erläuterte Wagner die Absicht der Deutschen Telekom, gemeinsam mit anderen europäischen Stakeholdern dafür werben zu wollen, dass die Datenschutzbehörden in der Union den Do-Not-Track-Standard als eine Möglichkeit der informierten Einwilligung nach der Datenschutz-Grundverordnung qualifizieren.

 

Alexander Dix

Presseerklärung: EAID wendet sich gegen die Aufweichung des Europäischen Datenschutzes durch deutsche Gesetze

Berlin, den  1. Dezember 2016

Presseerklärung: EAID wendet sich gegen die Aufweichung des Europäischen Datenschutzes durch deutsche Gesetze

 – Stellungnahme zum Referentenentwurf des BMI für ein neues Bundesdatenschutzgesetz –

Die Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) befürchtet eine deutliche Verschlechterung des Datenschutzes, wenn die Pläne des Bundesministeriums des Innern (BMI) für ein „Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU“ realisiert werden.

In ihrer Stellungnahme kritisiert die EAID, dass viele der im Gesetz vorgesehenen Vorschriften hinsichtlich ihres Schutzniveaus nicht nur hinter dem durch das EU-Datenschutzrecht vorgegebenen Schutzniveau zurückbleiben, sondern sogar unterhalb des bisherigen deutschen Datenschutzniveaus liegen. Auf besondere Kritik stößt dabei das Vorhaben, staatlichen Stellen und Unternehmen weitergehende Befugnisse zur Verarbeitung personenbezogener Daten einzuräumen als im EU-Recht vorgesehen:
„Die für einen bestimmten Zweck erhobenen Daten dürften nahezu uferlos für andere Zwecke verwendet werden, und zwar auch dann, wenn schützenswerte Interessen der Betroffenen entgegenstehen. Das ist nicht nur europarechtswidrig, sondern es senkt auch das jetzige deutsche Datenschutzniveau ab“, kritisiert Peter Schaar, Vorsitzender der EAID.
Nicht akzeptabel ist auch die Aushöhlung der Rechte der Betroffenen auf Information über die Datenverarbeitung, über Auskunft über die zu ihrer Person gespeicherten Daten und auf Widerspruch gegen eine Datenverarbeitung. „Damit würden die in Deutschland lebenden Menschen datenschutzrechtlich schlechter gestellt als die Bürgerinnen und Bürger in anderen Ländern der EU“, führt Dr. Alexander Dix aus, stellvertretender EAID-Vorsitzender.
Die vorgesehenen Regelungen schaden auch den europäischen Unternehmen, die auf Basis des EU-Rechts gleichmäßige Bedingungen für grenzüberschreitende europaweite Geschäftsmodelle brauchen, um so auf Augenhöhe mit der internationalen Konkurrenz agieren zu können. Die vom Entwurf vorgesehenen zahlreichen Abweichungen konterkarieren das vom europäischen Gesetzgeber beabsichtigte Ziel, für alle Bürgerinnen und Bürgern der EU und für die im Europäischen Wirtschaftsraum tätigen Unternehmen einen gleichmäßig wirksamen Datenschutz zu garantieren.
Der Wortlaut der EAID-Stellungnahme ist abrufbar unter www.eaid-berlin.de
Kontakt: Peter Schaar, Tel. 030-754 49 550, psch(a)eaid-berlin.de

Wird Deutschland zum Schlusslicht beim Europäischen Datenschutz?

Das Bundesministerium des Innern (BMI) hat am 23. November 2016 den Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) – zitiert als E-BDSG – an die Verbände versandt. Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) wird innerhalb der kurzen für das Anhörungsverfahren vorgesehenen Frist bis zum 7. Dezember zu dem Entwurf offiziell Stellung nehmen. Der vorliegende Beitrag ist insofern eine vorläufige Einschätzung, die allein vom Autor verantwortet wird.

Nachdem bereits Ende August ein Vorentwurf bekannt geworden war, der zu erheblicher Kritik Anlass gab (vgl. etwa meinen Blogpost), hat das BMI zwar einige der gröbsten handwerklichen Fehler abgemildert. Bereits eine erste Durchsicht des umfangreichen Gesetzentwurfs offenbart aber eine Reihe von inhaltlichen und formalen Schwachpunkten und Mängeln, von denen zu hoffen ist, dass sie im weiteren Gesetzgebungsverfahren (Ressortabstimmmung, Beratung im Deutschen Bundestag und im Bundesrat) ausgebessert und beseitigt werden.

Das E-BDSG weicht in verschiedenen Feldern von den Vorgaben der Datenschutzgrundverordnung (DSGVO) ab, und zwar nicht nur dort, in denen der europäische Gesetzgeber Raum für nationale Regelungen gelassen hat, etwa beim Schutz von Beschäftigtendaten oder bei den Vorschriften zu den betrieblichen Datenschutzbeauftragten.

In zentralen Punkten – insbesondere bei den Betroffenenrechten – werden die Vorgaben der DSGVO aufgeweicht mit dem Ergebnis, dass deutsche Bürgerinnen und Bürger zukünftig weniger Datenschutzrechte haben als die übrigen Europäer.

Schließlich ist zu fragen, ob auf diesem Wege Regelungen, mit denen die Bundesregierung bei den Verhandlungen der Datenschutzreform im Rat und im Europaparlament keine Mehrheiten gefunden hat, nun auf dem Umweg eines „Datenschutzanpassungsgesetzes“ doch noch realisiert werden sollen – zum Schaden Europas.

 

EU-weites „level playing field“?

Niemandem wäre damit gedient, wenn ab 25. Mai 2018, wenn die DSGVO wirksam wird – an die Stelle der 28 nationalen Datenschutzgesetze 28 neue, unterschiedliche „Ausführungsgesetze“ treten, wie es dem Ministerium offenbar vorschwebt: Mit verschiedenen Regelungen zur Datenerhebung, Speicherung und Verwendung, mit unterschiedlichen nationalen Vorgaben zu den Rechten auf Auskunft, Löschung und Widerspruch der Betroffenen, ergänzt um Sonderregelungen, die teils deutlich hinter dem EU-Recht zurückbleiben.

Die vorgesehenen Regelungen schaden auch den europäischen Unternehmen, die auf Basis des EU-Rechts gleichmäßige Bedingungen für grenzüberschreitende europaweite Geschäftsmodelle brauchen, um so auf Augenhöhe mit der internationalen Konkurrenz agieren zu können. Die vom Entwurf vorgesehenen zahlreichen Abweichungen konterkarieren das vom europäischen Gesetzgeber beabsichtigte Ziel, für alle Bürgerinnen und Bürgern der EU und für die im Europäischen Wirtschaftsraum tätigen Unternehmen einen gleichmäßigen wirksamen Datenschutz zu garantieren.

Große Unternehmen, die sich umfangreiche Rechtsabteilungen und teure Anwälte leisten können, werden auch in Zukunft mit einer solchen unübersichtlichen Situation umgehen können. Dies gilt aber nicht für kleinere und mittlere Unternehmen, die nicht über derartige Ressourcen verfügen. Neben den Bürgerinnen und Bürgern, deren Datenschutz ausgehöhlt wird, wären sie die Hauptleidtragenden des deutschen Sonderwegs.

 

Absenkung der Betroffenenrechte

Art. 23 DGSVO räumt den von der Datenverarbeitung betroffenen Personen ein Auskunftsrecht über die zu ihnen gespeicherten Daten ein. Nach Art. 14 DSGVO müssen Behörden und Unternehmen die Betroffenen informieren, wenn sie personenbezogene Daten verarbeiten.

Wenn es nach dem BMI geht, müssten davon abweichend gemäß § 32 i.V.m. § 31 E-BDSG öffentliche Stellen die Betroffenen nicht informieren bzw. ihnen keine Auskunft erteilen, wenn „die Information die ordnungsgemäße Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgaben“ gefährden oder „die Information die öffentliche Sicherheit oder  Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würden“. Eine solche Regelung überlässt es weitgehend den Behörden, welche Auskünfte gegeben werden, denn schließlich gibt es viele Gründe, weshalb die Informationsherausgabe die ordnungsgemäße Aufgabenerfüllung gefährden könnte. Unternehmen müssten keine Auskunft erteilen, wenn „die Information die Geschäftszwecke des Verantwortlichen erheblich gefährden würde“. Damit würden Geschäftsinteressen generell über den Schutz persönlicher Daten gestellt. Zudem müssten Unternehmen keine Auskunft erteilen, wenn „die zuständige öffentliche Stelle gegenüber dem Verantwortlichen (Unternehmen) festgestellt hat, dass das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde.“ Auch diese Bestimmung lässt viel Interpretationsspielraum.

Nach Art. 17 DSGVO haben die betroffenen Person das Recht, von Behörden und Unternehmen die Löschung von zu Unrecht gespeicherten oder nicht mehr benötigten Daten zu verlangen. In Deutschland soll jedoch kein Recht auf Datenlöschung bestehen, „wenn eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.“ (§ 33 E-BDSG) Eine solche Vorschrift wäre geradezu eine Einladung an Unternehmen und staatliche Stellen, ihre Daten so zu speichern, dass eine Löschung nur unter größerem Aufwand möglich ist. Sie müssten die Daten selbst dann nicht löschen, wenn ihre Speicherung rechtswidrig war.

Gemäß Art. 21 DSGVO haben die Betroffenen das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit der Verarbeitung ihrer personenbezogenen Daten zu widersprechen, wenn die Verarbeitung im Interesse einer verantwortlichen Stelle (Behörde bzw. Unternehmen)  oder eines Dritten erfolgt und keine ausdrückliche gesetzliche Regelung die Datenverarbeitung erlaubt. Der Gesetzentwurf schränkt dieses Widerspruchsrecht erheblich ein (§ 34 E-BDSG).

Die für die Absenkung der Betroffenenrechte angeführten Begründungen, das geringere Datenschutzniveau liege im öffentlichen Interesse oder diene dem Schutz der Freiheitsrechte anderer Personen (Art. 23 DSGVO), ist selbst bei wohlwollender Auslegung der Datenschutzgrundverordnung abwegig. Die Absenkung des Datenschutzniveaus unter das EU-Level ist mit dem deutschen Grundrecht auf informationelle Selbstbestimmung und dem durch Art. 8 der EU-Grundrechtecharta garantierten Grundrecht auf Schutz personenbezogener Daten nicht zu vereinbaren. Das BMI bleibt jede Begründung schuldig, warum Geschäftsinteressen etwa von Auskunfteien oder Inkassounternehmen schwerer wiegen als die Datenschutzrechte der betroffenen Bürgerinnen und Bürger.

 

Fallbeispiele

Ein Kunde verlangt von seiner Bank aussagekräftige Informationen über das zur automatisierten Bewertung seiner Kreditwürdigkeit verwendete Scoring-Verfahren.

Europa: Die Bank erteilt diese Auskünfte, denn sie ist dazu gem. Art. 15 der Datenschutzgrundverordnung (DSGVO) verpflichtet.

Deutschland: Die Bank lehnt die Auskunft zu den Details des Bewertungsverfahrens ab, denn nach § 32 E-BDSG würden die erfragten Information die eigenen Geschäftszwecke „erheblich gefährden“; sie seien zudem Betriebs- und Geschäftsgeheimnisse des Unternehmens.

Die Besucherin eines Einkaufszentrums erkundigt sich nach dem Umfang und der genauen Speicherungsdauer der Videoaufnahmen der installierten Überwachungskameras.

Europa: Der Betreiber teilt ihr mit, wo die Kameras installiert sind und dass die Aufnahmen nach drei Tagen gelöscht werden. So sieht es die EU-Datenschutzverordnung vor.

Deutschland: Der Betreiber verweigert die erbetene Informationen mit der Begründung, die zuständige Behörde sehe darin eine Gefährdung der öffentlichen Sicherheit und Ordnung.

Ein Versicherungsnehmer verlangt von der Versicherung die Löschung unzulässig gespeicherter Gesundheitsdaten.

Europa: Nach Art. 17 der EU-Datenschutzverordnung hat er ein Recht dazu. Die Versicherung muss die Daten löschen.

Deutschland: Die Versicherung lehnt die Löschung der Daten ab. Gemäß § 33 E-BDSG müsse sie die Daten nicht löschen, denn „wegen der besonderen Art der Speicherung“ sei die Löschung nur mit unverhältnismäßig hohem Aufwand möglich.

 

Exzessive Videoüberwachung

Europa- und verfassungsrechtlich nicht akzeptabel ist auch der deutsche Sonderweg bei der Videoüberwachung: Künftig soll hier – nicht nur für öffentliche Stellen, sondern auch im privatwirtschaftlichen Bereich – die Maxime gelten: Sicherheit geht vor Datenschutz.

Damit soll ein entsprechendes Vorhaben der Bundesregierung fortgeschrieben werden, das auch nach derzeitiger Rechtslage verfassungsrechtlich problematisch ist (vgl. Stellungnahme der EAID zum „Videoüberwachungsverbesserungsgesetz“ v. 6. November 2016)  Die in der Datenschutzgrundverordnung vorgesehene Interessenabwägung müsste so einseitig zu Lasten der Grundrechte erfolgen – ein klarer Verstoß gegen Art. 8 EU-Grundrechtecharta.

 

Beschäftigtendaten

Im Hinblick auf den Beschäftigtendatenschutz begnügt sich das E-BDSG mit einem Minimalprogramm, indem es den alten § 32 BDSG unverändert übernimmt.

Erhebliche Zweifel sind angebracht, ob diese Vorschrift den Vorgaben aus Art. 88 Abs. 2 DSGVO entspricht. Eine solche nationale Regelung soll nämlich „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz“ umfassen.

Davon findet sich nichts im BMI-Entwurf, der deshalb erneut nicht die Erwartungen an einen dringend erforderlichen modernen Beschäftigtendatenschutz erfüllt. Dies ist besonders bedauerlich, weil im Zuge der Digitalisierung der Arbeitswelt hier klare Grenzen der Datenerfassung und -verwendung immer dringlicher werden.

 

Europarechtsbruch mit Ansage

Schließlich wiederholt der Entwurf an vielen Stellen die Vorgaben der Datenschutzgrundverordnung (DSGVO) und wandelt diese Bestimmungen teils in schwer nachvollziehbarer Weise ab. Damit verstößt der Entwurf gegen das europarechtliche Wiederholungsverbot bei direkt anwendbaren EU-Verordnungen, das Abweichungen des nationalen Rechts von EU-rechtlichen Vorgaben verhindern soll.

Als Randnote sei darauf hingewiesen, dass das neue BDSG am 25. Mai 2018 in Kraft treten soll, dem Datum des Wirksamwerdens der Datenschutzgrundverordnung. Da das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ aber auch die Richtlinie für die Bereiche Justiz und Polizei umsetzen soll, deren Umsetzung bis zum 6. Mai 2018 zu erfolgen hat (Art. 63 Abs. 1 RL (EU) 2016/680), handelt es sich sozusagen um einen Europarechtsverstoß mit Ansage – ein ziemlich einmaliger Vorgang.

Datenreichtum statt Datensparsamkeit?

Beim diesjährigen „Nationalen IT-Gipfel“, der am 16. und 17. November 2016 in Saarbrücken stattfindet, geht es auch um die Zukunft des Datenschutzes. Zeitgleich mit der Europäischen Datenschutzreform, die den Schutz der Privatsphäre und der personenbezogenen Daten verbessern soll, wird von Politikern und Unternehmensverbänden das im deutschen und europäischen Datenschutzrecht verankerte Prinzip der „Datensparsamkeit“ unter Beschuss genommen.

Schon in den zum IT-Gipfel 2015 vom Bundesministerium für Wirtschaft und Energie zum IT-Gipfel 2015 veröffentlichten „Leitplanken Digitaler Souveränität“ warnte das Bundeswirtschaftsministerium davor, datenbasierte digitale Geschäftsmodelle würden „durch ein unzeitgemäßes Datensparsamkeitsdiktat verhindert … Bisherige Grundprinzipien des Datenschutzes wie Datensparsamkeit und Zweckbindung müssen überprüft und durch Prinzipien der Datenvielfalt und des Datenreichtums ergänzt und ersetzt werden.“

Im Vorfeld des diesjährigen IT-Gipfels sehen manche PolitikerInnen gar den Wohlstand  unserer Gesellschaft gefährdet, sollten wir an dem Konzept der „Datensparsamkeit“ festhalten:. „Wer Datensparsamkeit predigt, riskiert nicht nur wirtschaftlichen Stillstand und gefährdet damit unseren Wohlstand, sondern er verhindert auch neue Entwicklungen zum Wohle der Menschen“, zitiert etwa das Handelsblatt die stellvertretende Vorsitzende der CDU/CSU-Bundestagsfraktion, Nadine Schön.

Nun ist der Begriff „Datensparsamkeit“ – genauso wie sein Pendant „Datenreichtum“ – durchaus ambivalent. Zum einen handelt es sich dabei nicht wirklich um Gegensätze, denn die Negationen von Sparsamkeit sind – positiv – Großzügigkeit oder – negativ – Verschwendung. Und das Gegenteil von Reichtum ist Armut. Ob Sparsamkeit eine Tugend ist, wie sie der schwäbischen Hausfrau zugeschrieben wird, oder aber in ihrer übersteigerten Form im Sinne von Geiz  eine der sieben Todsünden, mag dahingestellt bleiben.

Bei genauerer Betrachtung zeigt sich, dass hier ein Popanz aufgebaut wird, um den ohnehin löcherigen Schutz personenbezogener Daten weiter abzusenken. § 3a Bundesdatenschutzgesetz verpflichtet die für die Datenverarbeitung verantwortlichen Stellen dazu, die Ausrichtung der Auswahl, der Gestaltung und des Betriebs von Datenverarbeitungssystemen an der Maxime auszurichten, „so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen“. Insbesondere sind die Daten zu anonymisieren oder zu pseudonymisieren, „soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.“

Datenüberfluss

Das empirisch belegte „Moore’sche Gesetz“, wonach sich die Leistungsfähigkeit der IT-Komponenten alle 18 bis 24 Monate verdoppelt, legt nahe, dass die technologische Realität von immer größeren Datenmengen geprägt ist. Den nächsten Quantensprung bringt das Internet of Things, das unsere Lebensumwelt auch in Bereichen digitalisiert, die bisher durch analoge Techniken geprägt waren. Die Datenverarbeitungsprozesse sind dabei funktional in die Gegenstände, Prozesse und Interaktionen integriert. Daten sind nicht mehr allein „Werkstoff“, sondern sowohl Voraussetzung als auch Ergebnis des Verarbeitungsprozesses, und sie fallen in bislang unbekanntem Umfang an. Insofern stimmt es schon, dass unsere hochtechnisierten Gesellschaften zunehmend „Datenreichtum“ produzieren.

Damit ist allerdings nicht gesagt, dass das Konzept der Datensparsamkeit auf den Müllhaufen der IT-Geschichte gehört. Um im Bild zu bleiben: Es gibt es auch in reichen Gesellschaften durchaus Gründe, sparsam zu handeln, sei es beim Umgang mit natürlichen Ressourcen oder auch als Vorsorge für Notsituationen. Dass materieller Reichtum bisweilen auch zu Lasten wichtiger anderer Güter – etwa der Umwelt – geht oder dass die ihm zu Grunde liegenden Prozesse vielfach Ungleichheit und Ausbeutung voraussetzen oder erzeugen, kann heute niemand mehr bestreiten. Auch bei dem Umfang gespeicherter Daten und der Verfügung über sie muss die Frage erlaubt sein, ob es hier zu vergleichbaren negativen externen Effekten kommt. Sofern man nicht der maßlosen Datenerzeugung das Wort redet, was ich nicht einmal den Befürwortern des „Datenreichtums“ unterstellen würde, stellt sich die Frage des rechten Maßes, und zwar nicht nur in Bezug auf Datenvolumina, sondern auch im Hinblick auf die Rahmenbedingungen ihrer Verarbeitung, der Transparenz der Prozesse und Strukturen und der Verwendung der einzelnen Daten oder der aus großen Datenmengen gewonnenen Erkenntnisse.

Es geht um die sehr bedeutsame Frage, inwieweit es überhaupt wünschenswert ist, Informationstechnik datenschutzgerecht zu gestalten, denn die kritisierten Begriffe stehen im Zusammenhang des übergreifenden Konzepts „Privacy by Design“ (PbD), das heute zu den unbestrittenen Werkzeugen im globalen Datenschutz-Instrumentenkasten gehört und auch die im Jahr 2018 in Kraft tretende EU-Datenschutzgrundverordnung prägt. Wer diese Frage verneint, stellt nicht nur Privacy by Design infrage, sondern den Datenschutz überhaupt. Denn das PbD-Konzept ist letztlich nichts anderes als die Operationalisierung der verfassungsrechtlich begründeten Prinzipien der Erforderlichkeit und der Zweckbindung. Erforderlichkeit und Zweckbindung ergeben nur zusammen einen Sinn, denn ohne Zweckfestlegung lässt sich die Erforderlichkeit der Daten nicht beurteilen. Die Speicherung von Daten ohne vorgegebenen Zweck stellt eine Vorratsspeicherung dar, die nur in besonderen Verarbeitungskontexten überhaupt zulässig sein kann (Statistik, Wissenschaft). Insofern würde mit dem Abgehen von der Zweckbindung zwangsläufig auch der Erforderlichkeitsgrundsatz entsorgt.

Grundrecht auf informationelle Selbstbestimmung

Zweckbindung und Erforderlichkeit sind – ebenso wie der Schutz der Privatsphäre – nicht deshalb überholt, weil sich die Technologie rasant weiterentwickelt. Das Bundesverfassungsgerihct hatte 1983 in seinem Volkszählungsurteil das Konzept eines Grundrechts auf informationelle Selbstbestimmung entwickelt, wonach unter den „Bedingungen der modernen Datenverarbeitung … der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG umfaßt“ werde (BVerfGE 65, 1, S.1). Das Grundrecht gewährleiste insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Gerade die potentielle Unbegrenztheit der elektronischen Datenverarbeitung mache den Schutz des Einzelnen erforderlich und verpflichte den Staat zur Gewährleistung der entsprechenden Rahmenbedingungen.
Das Bundesverfassungsgericht folgt einem risikobasierten Ansatz: Je stärker die Gefährdungen, desto höher sind die Anforderungen an den Schutz. Das Gericht hatte dabei im Blick, dass sich die Informationstechnologie weiterentwickelt und immer leistungsfähiger wird. Die Befugnis zur Datenverarbeitung bedürfe „unter den heutigen und künftigen Bedingungen der automatischen Datenverarbeitung in besonderem Maße des Schutzes.“ Personenbezogene Daten seien technisch gesehen unbegrenzt speicherbar und könnten jederzeit ohne Rücksicht auf Entfernungen in Sekundenschnelle abgerufen werden und sie „können darüber hinaus – vor allem beim Aufbau integrierter Informationssysteme – mit anderen Datensammlungen zu einem teilweise oder weitgehend vollständigen Persönlichkeitsbild zusammengefügt werden, ohne daß der Betroffene dessen Richtigkeit und Verwendung zureichend kontrollieren kann.“ (BVerfG, a.a.O. S. 42)

Big Data

„Big Data“ steht wie kein anderer Begriff für den Übergang zu einem neuen Modell des Umgangs mit Informationen. Der Begriff umschreibt den Umgang mit riesigen Datenmengen, und zwar im wesentlichen im Rahmen einer Zweitverwertung zu anderen als den ursprünglichen Erhebungszwecken. „Big Data“-Ansätze“ folgen dem Paradigma, immer größere Datenberge anzuhäufen in der Hoffnung, durch den Einsatz immer leistungsfähigerer Hard- und Software neue Erkenntnisse zu gewinnen. Gemäß diesem Paradigma handeln auch die erfolgreichen globalen Internetunternehmen, allen voran Google und Facebook. Je umfangreicher die aus dem Nutzungsverhalten gewonnenen Erkenntnisse sind, desto zielgenauer lassen sich Werbebotschaften adressieren und desto genauer passen sich die den Nutzern dargebotenen Informationen deren vermeintlichen oder tatsächlichen individuellen Interessen an. Bezogen auf das jeweilige Nutzerprofil für weniger relevant gehaltene Informationen werden ihnen nicht präsentiert oder nur nachrangig verfügbar gemacht. Je zielgenauer die entsprechende Werbebotschaft platziert wird, desto geringer ist der Streuverlust und desto höher ist der Preis, den der jeweilige Werbetreibende zu bezahlen hat.

Das einzelne Datum, das nach klassischem Datenschutzverständnis danach bewertet wird, ob es für die eigentliche Aufgabenerfüllung erforderlich ist oder eben nicht, verliert aus Sicht der Plattformbetreiber an Bedeutung. Gefragt sind immer größere, möglichst aus unterschiedlichen Quellen und Verarbeitungskontexten stammende Daten, die miteinander korreliert werden und dadurch Hinweise auf Zusammenhänge liefern können.

Die nicht unbedeutenden Kosten der – nur vordergründig kostenlosen – Suchmaschinen, sozialen Netzwerke, und anderer Internetdienste werden zum größten Teil  mit  einer Art Umwegfinanzierung über die werbende Wirtschaft aufgebracht, die ihre Aufwendungen den Kundinnen und Kunden natürlich über den Preis in Rechnung stellt. Auch Vermittlungsplattformen wie Uber oder Airbnb sind für den Nutzer nicht wirklich kostenlos. Letztlich bezahlen sie sogar doppelt: Durch ihre persönlichen Daten, die sie dem Anbieter der Vermittlungsplattform zur Verfügung stellen und durch die in den Kaufpreis eines Produkts oder in die Nutzungsgebühr für kostenpflichtige Dienstleistungen einkalkulierte Vermittlungsprovision. Die genaue Höhe oder auch nur die Größenordnung des durch die Datennutzung erzielten Mehrwerts bleibt dem Verbraucher bzw. Nutzer verborgen. Deshalb ist e auch konsequent, dass Verbraucherschützer hier mehr Transparenz fordern.

 

Anonymisierung und Pseudonymisierung
Datenschützer würden sich  bei dem Versuch überheben, Big Data oder das Internet of Things zu verhindern. Auch um dem falschen Eindruck zu begegnen, sie kämpften als moderne Don Quijotes gegen die informationstechnischen „Windmühlen“ des 21. Jahrhunderts, müssen sie sich auf die Gestaltungsmöglichkeiten von Big Data, Cloud-Diensten und des IoT konzentrieren. Die Herausforderung besteht also darin, die Möglichkeiten einer rechts- und sozialverträglichen Technikgestaltung und -verwendung zu erkennen und zu aktivieren. Bereits jetzt lassen sich eine Reihe von Stellschrauben erkennen, mit denen sich Datenschutzanforderungen auch angesichts neuer Paradigmen der Informationsgewinnung und sich schnell entwickelnder Technologien durchsetzen lassen. Die Sammlung, Aufbereitung und Auswertung der Daten sollte so gestaltet werden, dass sie grundsätzlich ohne Personenbezug erfolgen. Bei einem solchen zeitgemäßen Datenschutzansatz geht also nicht darum, das Datenaufkommen insgesamt zu minimieren, sondern die Menge der auf einzelne natürliche Personen beziehbaren Daten. Dabei  sollte der Charakter der personenbezogenen Daten und ihr Verwendungskontext beachtet werden.

Sowohl die Aussagekraft von Daten als auch die mit ihrer Verwendung verbundenen Risiken hängen vielfach mit der Speicherungsdauer zusammen. Von zentraler Bedeutung bleibt deshalb die Festlegung der entsprechenden Fristen, bei deren Erreichen Daten gelöscht bzw. anonymisiert werden.

Zunächst sollte die Verarbeitung großer Datenmengen so kanalisiert werden, dass der Umfang und die Menge direkt auf einzelne Personen bezogener Daten von Beginn an  so gering wie möglich bleibt. Schon bei der Erhebung sollte stets geprüft werden, ob tatsächlich eine Vollerhebung aller in Frage kommenden personenbezogenen Daten erforderlich ist und für welchen Zeitraum. Dies gilt speziell für die Prozessdaten (Meta Data), die zur Ausführung einer spezifischen Transaktion (Informationsabfrage im Internet, Steuerung eines technischen Geräts, Positionsbestimmung usw.) benötigt werden. Diese Daten weisen zwar im Regelfall bei isolierter Betrachtung eine geringe Sensitivität auf, ermöglichen aber – wenn sie massenhaft gespeichert werden – datenschutzrechlich problematische -detaillierte Persönlichkeitsprofile.

Bei der Speicherung sollten die Identifikationsangaben (Name, Anschrift usw.) von den Nutz- (bzw. Inhalts-)daten getrennt werden. In vielen Anwendungsfeldern lässt sich durch die Absonderung und ggf. Löschung der Identifikationsdaten eine hinreichende Anonymisierung erreichen.

Sofern Daten einer Person, die aus verschiedenen Bereichen oder aus unterschiedlichen Zeitpunkten stammen, für rechtmäßige Zwecke zusammengeführt werden sollen, ist darauf zu achten, dass die Zusammenführung nicht mittels der persönlichen Identifikationsdaten, sondern unter Pseudonym erfolgt. Die Pseudonymisierung führt zwar vielfach nicht zur Aufhebung des Personenbezugs, vermindert aber die Eingriffstiefe in das Recht auf informationelle Selbstbestimmung und das Risiko des Datenmissbrauchs bei unrechtmäßigem Zugriff. Mit der Verwendung kryptographischer Verfahren kann den Risiken für die Vertraulichkeit und Integrität der Daten entgegenwirken.

 

Datenschutz-Empowerment
Schließlich geht es darum, den Einzelnen wieder verstärkt zu befähigen, die Kontrolle über die ihn betreffenden Daten auszuüben. Inwieweit dies gelingt, ist ebenfalls eine Frage der Technikgestaltung. Digitale Systeme, deren Funktionsweise durch Hard- und Software determiniert ist, bestimmen mindestens in demselben Ausmaß wie rechtliche Vorgaben darüber, welche Einflussmöglichkeiten der Einzelne hat, wenn er sie selbst nutzt oder ob er Objekt der Verarbeitung seiner Daten durch Dritte ist.

Dabei kommt Ansätzen, die Nutzerpräferenzen bzw. rechtliche Vorgaben technisch abbilden, besondere Bedeutung zu. Angesichts der Komplexität der technischen Systeme und der tendenziell unbegrenzten Nutzungsmöglichkeiten der Daten läuft das informationelle Selbstbestimmungsrecht leer, wenn letztlich der komplette Datenverarbeitungsprozess allein auf pro forma-Einwilligungen beruht, die den für die Verarbeitung verantwortlichen Stellen de facto freie Hand lassen. Vor diesem Hintergrund sind technische Ansätze wie P3P (Platform for Privacy Preferences) heute notwendiger denn je.

Bei Beachtung dieser Maximen steht der Datenschutz nicht in unauflösbarem Widerspruch zu Geschäftsmodellen, die auf der Auswertung großer Datenmengen beruhen.

Zugleich muss deutlich mehr Augenmerk auf die Verwendung der Daten gelegt werden: Weil Big und Smart Data-Ansätze  – auch bei Verwendung anonymisierter Daten – mächtige Werkzeuge zur Auswertung, Bewertung und Prognose menschlichen Verhaltens zur Verfügung stellen, bedarf es auch hierfür klarer Regeln und Grenzen, die technisch operationalisiert werden müssen. Ansonsten droht eine an vermeintlich objektiven Kriterien orientierte systematische Diskriminierung einzelner Personen und von Gruppen, die allein aufgrund ihres Datenprofils als besonders risikoträchtig angesehen werden. Dies zu verhindern ist eine Aufgabe, die weit über den am Schutz der informationellen  Selbstbestimmung orientierten Datenschutz hinausgeht, die aber ohne zeitgemäße Datenschutztechniken nicht zu bewältigen sein wird.

Datenschutzkonferenz lehnt geplante Ausweitung der Videoüberwachung ab

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat auf ihrer 92. Konferenz am 9. November 2016 gefordert, den vom Bundesinnenministerium vorgelegten Entwurf eines „Videoüberwachungsverbesserungsgesetzes“ zurückzuziehen. In der Entschließung, die bei Enthaltung der für die Bundesgesetzgebung zuständigen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit beschlossen wurde, bezweifelt die Datenschutzkonferenz, dass sich irrational handelnde Einzeltäter, die ihren eigenen Tod bei Anschlägen bewusst in Kauf nehmen, von ihren Taten durch Videokameras abschrecken ließen.

Die Betreiber von Videoüberwachungsanlagen seien bereits  heute meist nicht in der Lage, ein Live-Monitoring durchzuführen und die Bilder der vielen Kameras durch ihr eigenes Personal auszuwerten. Deshalb könne schon jetzt bei Gefahren nicht direkt und schnell eingegriffen werden. In der Praxis  bleibe die Bedeutung der Kameras daher auf eine Speicherung auf Vorrat und für die spätere Strafverfolgung beschränkt. Die mögliche Erhöhung eines faktisch ungerechtfertigten subjektiven Sicherheitsgefühls könnte  Grundrechtseingriffe aber nicht rechtfertigen.

Auch der Verlagerung der Verantwortung für die Gewährleistung der öffentlichen Sicherheit auf die privaten Betreiber von Einkaufszentren und öffentlichem Personennahverkehr stehen die Datenschutzbeauftragten kritisch gegenüber. Die Gewährleistung der Sicherheit der Bevölkerung obliege den Sicherheitsbehörden, die über ausreichende landes- und bundesgesetzliche Grundlagen sowohl für die Gefahrenabwehr
als auch für die Strafverfolgung verfügen.

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) hat am 4. November 2016 zu dem vom BMI vorgelegten „Videoüberwachungsverbesserungsgesetz“ ähnlich kritisch Stellung genommen.

Wortlaut des Gesetzentwurfs des BMI

Was bedeutet der Wahlsieg von Donald Trump für den Datenschutz?

Um es vorwegzunehmen: Es ist mir auch nach längerer Recherche nicht gelungen, auf diese Frage eine überzeugende Antwort zu finden. So findet sich im Wahlprogramm von Donald Trump keine Aussage zu diesem Themenkomplex. Offensichtlich hat auch kein Journalist ernsthaft beim Kandidaten nachgefragt, was er für den Fall eines Wahlsiegs in Sachen Überwachung, Datenschutz und Privatsphäre plant. Was bleibt, sind einige Nachrichtenschnipsel, die ein eher widersprüchliches Bild zeichnen.

Im Hinblick auf die Überwachungsaktivitäten der US-Geheimdienste und anderer Sicherheitsbehörden plädierte der künftige Präsident für mehr Härte, wobei die entsprechenden Bemerkungen eher beiläufig und reaktiv waren:

Er stellte sich beim Streit zwischen dem FBI und Apple über die Entschlüsselung eines beschlagnahmten iPhones auf die Seite der Bundespolizei, die den Zugang zu den Daten forderte.
Edward Snowden ist für ihn ein Verräter, bei dem man über die Verhängung der Todesstrafe nachdenken sollte.
Der umfassenden Speicherung von Metadaten durch die NSA begegnete er mit Verständnis und Sympathie. Ggf. Müssten die entsprechenden Gesetze verschärft werden.

Bezogen auf die Weitergabe von Daten Studierender sprach Trump sich für eine Verbesserung des Datenschutzes und entsprechende Verbesserungen des US Privacy Act aus.

Als Randnotiz sei noch erwähnt, dass ein Trump gehörendes Golf-Ressort in Großbritannien beschuldigt wurde, gegen britisches Datenschutzrecht zu verstoßen.

Angesichts dieser mageren Informations-Ausbeute bleibt uns beim Datenschutz – wie in vielen anderen Politikfeldern – nichts anderes übrig, als abzuwarten, welchen Kurs die neue Administration einschlagen wird. Alles andere wäre hoch spekulativ …

Ihr

Peter Schaar

Stellungnahme der EAID zum Referentenentwurf eines „Videoüberwachungsverbesserungsgesetzes“

Die Europäische Akademie für Informationsfreiheit und Datenschutz bewertet den vom Bundesministerium des Innern (BMI) vorgelegten Gesetzentwurf zur Ausweitung der Videoüberwachung kritisch.

In der Stellungnahme äußert die EAID erhebliche Zweifel daran, ob die mit dem Gesetzentwurf beabsichtigte systematische Höhergewichtung der öffentlichen Sicherheit gegenüber dem Grundrecht auf informationelle Selbstbestimmung dem verfassungsrechtlichen Grundsatz der Verhältnismäßigkeit entspricht. Zweifelhaft sei schon, inwieweit die zusätzliche Videoüberwachung sich überhaupt zur Abwehr von Terroraschlägen eigne. Es sei nicht erkennbar, wie dadurch Anschläge wie in Ansbach und München im Sommer 2016 verhindert werden könnten, wie das BMI erwarte.

Hierzu führt die EAID aus: „Eine präventive Abschreckungswirkung dürfte von der Videoüberwachung und -aufzeichnung im Hinblick auf die terroristischen Anschläge jedenfalls nicht zu erwarten sein. Attentäter, die bewusst ihr eigenes Leben opfern („Selbstmordattentäter“) und die mit ihnen verbundenen Organisationen streben möglichst breite mediale Wirkung an. Videoaufzeichnungen und die Verbreitung der Aufnahmen sind insofern in ihrem Interesse. Im Hinblick auf die zur Begründung angeführten Anschläge in München und Ansbach sind keine Anhaltspunkte erkennbar, dass sich diese durch umfangreichere Videoüberwachung hätten verhindern, in ihren Auswirkungen begrenzen oder effektiver aufklären lassen.“

Bei der Videoüberwachung würden regelmäßig ganz überwiegend Personen erfasst, von denen keine Gefahr für die öffentliche Sicherheit ausgeht und die keine Straftaten begangen haben. „Eine dauerhafte, nicht anlassbezogene Videoüberwachung hat deshalb stets den Charakter einer Datenerhebung und -speicherung auf Vorrat“, die nach der Rechtsprechung des Bundesverfassungsgerichts und des Europäischen Gerichtshofs nur ausnahmsweise zulässig ist und jedenfalls einer nachprüfbaren und überzeugenden Begründung bedürfe, führt die EAID aus.

Selbst unter der Prämisse, dass sich die in der Gesetzesbegründung genannten Ziele durch vermehrte Videoüberwachung erreichen ließen, wäre deren verfassungsrechtliche Zulässigkeit auch im Hinblick auf die Vielzahl zusätzlicher Überwachungs- und Speicherungsbefugnisse zu beurteilen, die in den letzten Jahren eigeführt wurden oder die geplant sind, etwa die Vorratsdatenspeicherung von Telekommunikationsdaten, die umfassende Speicherung der Daten von Flugreisenden und das auf EU-Ebene geplante Ein- und Ausreiseregister. Eine solche, auch vom Bundesverfassungsgericht geforderte „Überwachungsgesamtrechnung“ verstärke die verfassungsrechtlichen Zweifel an dem Gesetzgebungsvorhaben.

Internationale Datenschutzkonferenz fordert „neue Metrik“ im Datenschutz

Die Vertreter von Datenschutzbehörden aus aller Welt haben sich bei ihrer 38. Konferenz in Marokko mit Fragen der Künstlichen Intelligenz, des „social roboting“ und der Kryptographie befasst. Sie beschlossen Entschließungen zur Messung des Datenschutzniveaus, zur digitalen Bildung, zur Bedeutung der Menschenrechte und zur grenzüberschreitenden  Kooperation der Datenschutzbehörden. Alle Ergebnisse sind abrufbar auf der Website der internationalen Datenschutzkonferenz.

Angesichts immer neuer Forderungen aus dem Kreis der Sicherheitsbehörden und ihrem Umfeld nach umfassenderen Maßnahmen zur Kommunikationsüberwachung ist bedeutsam, dass die meisten auf der Konferenz angehörten Experten aus der Wissenschaft und Wirtschaft sich gegen Hintertüren und eingebaute Schwachstellen in Krypto-Systemen aussprachen, mit denen sich verschlüsselte Verbindungen überwachen Lassen. Es sei nicht auszuschließen, dass die für die Sicherheitsbehörden eingebauten Schnitt- und Schwachstellen auch außerhalb der rechtlich zulässigen Schranken verwendet und auch für Dritte zugänglich sein würden. Zudem könnten kriminelle und terroristische Netzwerke eigene, sichere Kryptomechanismen einsetzen, während die IT-Sicherheit normaler Nutzer geschwächt würde. In dem Kommuniqué des Exekutivkommitees der Konferenz heißt es dazu:

„Conference members heard that most industry and technical experts do not favour the introduction of selective vulnerability to cryptographic programmes, to enable properly authorised law enforcement access, because such solutions introduce complexity, and complexity reduces security for everyone. Nor are regulated solutions of commercially available products likely to prevent bad actors from “going dark”, given that many of those most motivated to protect their communications from law enforcement and intelligence agencies have the capability to access or develop their own strong crypto.“

In einer Entschließung forderte die Internationale Datenschutzkonferenz die Entwicklung einer „neuen Metrik“ für den Datenschutz. Ausgehend von Forderungen der OECD sollten Maßstäbe entwickelt werden, mit denen das Datenschutzniveau auf internationaler Ebene gemessen und vergleichbar gemacht werden kann.

In einer weiteren Entschließung betont die Konferenz die Notwendigkeit zur Verteidigung der Menschenrechte, speziell des Menschenrechts auf Wahrung der Privatsphäre. Im Einzelnen fordert die Konferenz:

„1. Acknowledge that the work of human rights defenders is important to building a solid, lasting democratic society, and that rights defenders play a significant role in the process of fully achieving the rule of law and the strengthening of democracy.
2. Promote a greater awareness of the Declaration on Human Rights Defenders.
3. Encourage governments to give better effect to the Declaration domestically.
4. Continue to promote transparency and independent supervision in areas of government surveillance to support democratic institutions and an informed civil society.
5. Encourage governments to provide and promote safe and effective channels for individuals to report poor privacy practices, to seek redress for breach of data protection rules, or disproportionate action against the rights to privacy and data protection.
6. Acknowledge that independent and sufficiently empowered privacy and data protection authorities are essential to protect human rights defenders.
7. Support efforts by the UN Human Rights Council and the UN Special Rapporteur on the right to privacy concerning the promotion, protection and enjoyment of human rights, in particular on the Internet.
8. Promote cooperation between privacy and data protection authorities and International, Regional and National Human Rights Institutions.“

Soll vor dem Bargeld das anonyme Bezahlen im Internet verboten werden?

Der von der Europäischen Kommission am 5. Juli 2016 vorgelegte Vorschlag zur Überarbeitung der Vierten EU-Geldwäscherichtlinie (2015/849 v. 20.5.2015 – GW-RL) begegnet erheblichen datenschutzrechtlichen Bedenken. Die im Entwurf vorgesehene ausnahmslose Identifikationspflicht der Nutzer von Online-Bezahlverfahren widerspricht dem in Art. 8 EU-Grundrechtecharta verbürgten Grundrecht auf Datenschutz. Sie verfehlt insbesondere die Vorgaben des Europäischen Gerichtshofs zur Vorratsdatenspeicherung (EuGH, 08.04.2014 – C-293/12 und C-594/12).

Zudem bestehen erhebliche Zweifel, inwieweit der vorgeschlagene Wegfall anonymer Bezahlmöglichkeiten im Internet kompatibel ist mit dem durch die Datenschutzgrundverordnung (2016/697 – DS-GVO) und der Datenschutzrichtlinie für Polizei und Justiz (RL 2016/680 – DS-JI-RL) vorgegebenen Rahmen.

Schließlich widerspricht die Änderung den Vorgaben des Bundesverfassungsgerichts zum Grundrecht auf informationelle Selbstbestimmung, indem sie den deutschen Gesetzgeber daran hindern würde, die europarechtlichen Vorgaben verfassungskonform umzusetzen.

Bemerkenswert ist auch, dass die vorgesehene Verschärfung des EU-Rechtsrahmens erfolgen soll, ehe die einschlägigen Regelungen der erst im vergangenen Jahr novellierten Geldwäscherichtlinie in nationales Recht umgesetzt worden sind – deren Umsetzungsfrist endet am 26. Juni 2017. Angesichts fehlender Erfahrungen mit deren Vorgaben sind Aussagen darüber nicht möglich, wie sich die verschärften Identifikationspflichten und die mitgliedsstaatlichen Gestaltungsmöglichkeiten bei deren Umsetzung auswirken. Dies gilt insbesondere für den sogenannten „risikobasierten Ansatz“, wonach die Verpflichteten bestimmte Vorgaben unter in § 12 Abs. 1 der GW-RL spezifizierten Voraussetzungen nicht anzuwenden haben.

Vorgaben aus der Vierten Geldwäscherichtlinie (RL 2015/849)

Die Verhinderung der Geldwäsche und die Bekämpfung der Terrorismusfinanzierung sind zweifellos legitime Ziele. Dementsprechend betrachtet der Europäische Gesetzgeber E-Geld-Produkte „als Ersatz für Bankkonten“ und unterwirft sie den Verpflichtungen zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung, insbesondere durch Transparenzvorgaben und Identifikationspflichten bezüglich deren Nutzern. Allerdings können die Mitgliedstaaten in Fällen, in denen erwiesenermaßen ein geringes Risiko besteht, und sofern strikte risikomindernde Maßnahmen ergriffen werden, E-Geld von der Pflicht zur Feststellung und Überprüfung der Identität des Kunden und des wirtschaftlichen Eigentümers freistellen (Art. 12 Abs. 1 GW-RL).

Zu den risikomindernden Voraussetzungen zählt, dass die ausgenommenen E-Geld-Produkte ausschließlich für den Erwerb von Waren oder Dienstleistungen genutzt werden und dass der elektronisch gespeicherte Betrag so gering sein muss, dass eine Umgehung der Vorschriften über die Bekämpfung der Geldwäsche und der Terrorismusfinanzierung ausgeschlossen werden kann. Die Kommission will die ohnehin niedrig bemessene Höchstgrenze des in anonymen Prepaid-Produkten zu speichernden Betrags weiter begrenzen, was den Einsatzbereich von anonymen Zahlungsmitteln auch außerhalb des Online-Bereichs weiter einschränken würde.

Generelle Identifikationspflichten

Nach dem Kommissionsvorschlag zur Änderung von Art. 12 Abs. 2 GW-RL („ … either of online payment …“) sollen E-Geldprodukte, die für Online-Zahlungen verwendet werden, ausnahmslos von diesem risikobasierten Ansatz ausgenommen werden. Damit könnten die Mitgliedstaaten – anders als bisher – bei derartigen E-Geld-Produkten generell keine Ausnahmen von der Identifizierungspflicht mehr vorsehen.

Nach Art. 12 (neu) müsste sich jede Person, die ein entsprechendes E-Geld-Produkt erwirbt, identifizieren, z.B. mit ihren Ausweisdokumenten. Unklar ist in diesem Zusammenhang, inwieweit die nach Art. 15 GW-RL weiterhin möglichen „vereinfachten Sorgfaltspflichten“ auch die Kundenidentifizierung umfassen können, etwa im Hinblick auf die zum Nachweis der Identität erforderlichen Unterlagen bzw. die zur Identifikation eingesetzten Verfahren und die Dokumentations- und Aufbewahrungspflichten. Sofern hier eine Minderung der Sorgfaltspflichten nicht greifen sollte, wären etwa die Emittenten eines Prepaid-Zahlungsmittels zukünftig verpflichtet, eine Kopie der erhaltenen Dokumente und Informationen mindestens für die Dauer von fünf Jahren aufzubewahren (Art. 40 Abs.1 GW-RL). Sämtliche Online-Transaktionen – auch die Zahlung von kleinsten Beträgen – könnten über viele Jahre namentlich nachvollzogen werden.

Eine generelle Identifizierungspflicht würde dazu führen, dass anonymes Einkaufen und Bezahlen im Internet selbst bei Bagatellbeträgen praktisch ausgeschlossen werden. Anonyme Bezahlsysteme im Internet bieten ihren Nutzern jedoch Möglichkeiten, die Risiken eines Missbrauchs ihrer Finanzdaten beispielsweise durch IT-Spionage unter Ausnutzung unzureichend gesicherter IT-Systeme zu minimieren. Zahlreiche Fälle belegen, dass Systeme, in denen zahlungsrelevante personenbezogene Daten gespeichert werden, entsprechenden Angriffen in besonderem Maße ausgesetzt sind. Durch die Verpflichtung zur namentlichen Nutzer-Identifikation und die damit verbundenen Speicherungspflichten würden diesen Angriffen neue Ziele geboten.

Anonyme Bezahlmöglichkeiten im Internet sind zugleich ein wichtiger Baustein, um die Möglichkeit zum anonymen Medienkonsum zu erhalten, da Online-Medien, Apps und Spiele zunehmend gegen Bezahlung angeboten werden. Auf jeden Fall muss verhindert werden, dass detaillierte personenbeziehbare Nutzungsdaten – etwa bei Streaming-Diensten – immer dann entstehen, wenn eine Nutzung entgeltpflichtig ist. Die datenschutzfreundliche, dem Grundsatz der Minimierung entsprechende, Gestaltung interaktiver Dienste setzt insofern voraus, dass anonyme Bezahlmöglichkeiten bei Klein- und Kleinstbeträgen möglich bleiben.

Schließlich wäre bei der vorgeschlagenen Neuregelung zu befürchten, dass Nutzer, die weiterhin einer lückenlosen Registrierung entgehen wollen, auf Online-Bezahlverfahren ausweichen, die keinerlei wirksamen Regulierung unterliegen. Ein solches Förderprogramm international verfügbarer unkontrollierbarer Transaktionsplattformen würde letztlich die Geldwäsche und die Terrorismusfinanzierung erleichtern und nicht unterbinden. Die gegen die Umgehung des EU-Rechts gerichtete Regelung im Kommissionsvorschlag (neuer Art. 12 Abs. 3) dürften schon deshalb weitgehend leer laufen, weil sie die Geldinstitute zur lückenlosen und detaillierten Prüfung der Zulassungsvoraussetzungen für Drittstaats-Dienste verpflichten würde, was aus hiesiger Sicht unrealistisch erscheint. Der Ausschluss einzelner aus Drittstaaten angebotener Dienste (Blacklisting) würde diese Anforderung nur unzureichend erfüllen.

Unzulässige Vorratsdatenspeicherung

Unter Berufung auf den legitimen Zweck der Geldwäsche-Richtlinie, nämlich der Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung, würden durch den vorgesehenen Wegfall anonymer Online-Bezahlmöglichkeiten anlasslos massenhaft personenbezogene Daten erfasst, die mit derartigen Praktiken in keinerlei Zusammenhang stehen.

Eine derartige anlass- und schwellenlose Identifikations- und Speicherungsverpflichtung widerspricht den Vorgaben der Europäischen Grundrechtecharta. Dies ergibt sich aus dem Urteil des Europäischen Gerichtshofs, mit dem er die Richtlinie 2006/24/EG zur Vorratsspeicherung von Telekommunikationsdaten annullierte (Urteil v. 8. April 2014, C‑293/12 u. C‑594/12).

Der EuGH stellte fest, dass eine solche Verpflichtung zur Datenspeicherung in Art. 8 der Charta eingreift, der das Grundrecht auf Datenschutz garantiert. Eine solche Einschränkung von Grundrechten dürfe nur unter Wahrung des Grundsatzes der Verhältnismäßigkeit vorgenommen werden. Gesetzliche Vorgaben zur Datenspeicherung sind nur zulässig, soweit sie den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen tatsächlich entsprechen, erforderlich und verhältnismäßig sind. Die obligatorische Datenspeicherung darf nicht die Grenzen dessen überschreiten, was zur Erreichung dieser Ziele geeignet und erforderlich ist und muss sich auf das absolut Notwendige beschränken.

Der EuGH bemängelte, dass sich die Richtlinie 2006/24 generell auf alle Personen und alle elektronischen Kommunikationsmittel erstreckte, „ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen.“ Sie betreffe „zum einen in umfassender Weise alle Personen, …, ohne dass sich jedoch die Personen, deren Daten auf Vorrat gespeichert werden, auch nur mittelbar in einer Lage befinden, die Anlass zur Strafverfolgung geben könnte. Sie gilt also auch für Personen, bei denen keinerlei Anhaltspunkt dafür besteht, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten stehen könnte.“ Die annullierte Richtlinie verlangte „keinen Zusammenhang zwischen den Daten, deren Vorratsspeicherung vorgesehen war, und einer Bedrohung der öffentlichen Sicherheit; insbesondere beschränkt sie die Vorratsspeicherung weder auf die Daten … eines bestimmten Personenkreises, der in irgendeiner Weise in eine schwere Straftat verwickelt sein könnte, noch auf Personen, deren auf Vorrat gespeicherte Daten aus anderen Gründen zur Verhütung, Feststellung oder Verfolgung schwerer Straftaten beitragen könnten.“ Das Gericht stellte deswegen fest, dass die angegriffene RL zur Vorratsdatenspeicherung unverhältnismäßig in das durch Art. 8 EuGrCh garantierte Grundrecht auf Datenschutz eingriff und deshalb ungültig war.

Diese Kritik lässt sich auf die von der Kommission mit der Änderung der GW-RL verfolgte generelle Identifikationspflicht bei Online-Transaktionen übertragen. Auch die Neuregelung betrifft sämtliche Fälle, völlig unabhängig von einem damit verbundenen Risiko. Die dabei erfassten Daten beschränken sich nicht auf Personen, „die auch nur mittelbar in einer Lage befinden, die Anlass zur Strafverfolgung geben könnte,“ wie der EuGH in seinem Vorratsdaten-Urteil ausführt. Zudem sind – wie bei der Vorratsspeicherung von Telekommunikationsdaten – die Zwecke, zu denen die Daten verwendet werden dürfen, nicht hinreichend präzise gefasst und die Stellen, die auf die Daten zugreifen können, nicht hinreichend genau bestimmt. Im Ergebnis ist deshalb festzustellen, dass die vorgesehenen Änderungen zur Europarechtswidigkeit der GW-RL führen würden.

Eine durch EU-Recht festgelegte generelle Identifikationspflicht wäre auch nicht vereinbar mit dem durch das Grundgesetz garantierte Recht auf informationelle Selbstbestimmung. In seinem Urteil zur Vorratsdatenspeicherung von Telekommunikationsdaten v. 2. März 2010 (1 BvR 256/08) hat das Bundesverfassungsgericht gemahnt, dass Gesetze, die auf eine möglichst flächendeckende vorsorgliche Speicherung aller für die Strafverfolgung oder Gefahrenprävention nützlichen Daten zielen, mit der Verfassung unvereinbar sind.

Fehlende Kompatibilität mit dem neuen EU-Datenschutzrecht

Die Europäische Kommission ist der Auffassung, dass ihre Vorschläge konsistent mit dem neuen EU-Rechtsrahmen für den Datenschutz seien, namentlich mit der Datenschutzgrundverordnung 2016/679 (DS-GVO) und der Datenschutzrichtlinie für Polizei und Justiz 2016/680 (DS-JI-RL). An dieser Aussage sind erhebliche Zweifel angebracht.

Entsprechend der Vorgaben in Art. 8 EUGrCh folgt die Datenschutzgrundverordnung dem Grundsatz der Datenminimierung. Die personenbezogenen Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Zudem müssen die Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Art. 5 Abs. 1 DS-GVO). Zwar ist die Verarbeitung personenbezogener Daten für die Erfüllung rechtlicher Verpflichtungen zulässig, denen der Verantwortliche unterliegt, namentlich für die Wahrnehmung einer Aufgabe im öffentlichen Interesse (Art. 6 Abs.1 c,e DS-GVO). Die entsprechenden Rechtsvorschriften müssen jedoch ebenfalls den Vorgaben der Grundrechtecharta genügen und insbesondere in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

Der Vorschlag, die Emittenten von für Online-Transaktionen geeignetem E-Geld zur namentlichen Identifikation der Nutzer zu verpflichten, unabhängig von irgendwelchen Risiken oder Schwellenwerten, und die Identifikationsdaten und die getätigten Transaktionen für mindestens 5 Jahre aufzubewahren, widerspricht den im neuen EU-Datenschutzrecht festgelegten Geboten der Verhältnismäßigkeit und der Datenminimierung.

Der Vorschlag ist auch im Hinblick auf die Datenschutz-Richtlinie für Polizei und Justiz problematisch. Die DS-JI-RL verpflichtet die Mitgliedstaaten zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 a DS-JI-RL). Hierfür legt sie Mindestanforderungen fest. Jedoch hindert sie die Mitgliedstaaten nicht daran, bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden Garantien festzulegen, die strenger sind als die Garantien der DS-JI-RL. Insbesondere dürfe die Angleichung der Rechtsvorschriften der Mitgliedstaaten nicht zu einer Lockerung des Schutzes personenbezogener Daten in diesen Ländern führen (EG 15 DS-JI-RL).

Möglichkeiten, über die datenschutzrechtlichen Vorgaben der DS-JI-RL im Sinne eines effektiven Grundrechtsschutzes hinauszugehen, sind in Deutschland geboten, weil der deutsche Gesetzgeber an die strikten Vorgaben des Bundesverfassungsgerichts zum informationellen Selbstbestimmungsrecht gebunden ist, die dieses im Volkszählungsurteil von 1983 entwickelt und seither in einer Vielzahl von Entscheidungen fortgeschrieben hat. Von daher ist es zwingend, dass der deutsche Gesetzgeber von den in § 12 GW-RL vorgesehenen Möglichkeiten Gebrauch macht, entsprechend des dort vorgesehenen risikobezogenen Ansatzes von einer generellen Identifikationspflicht der Nutzer von Online-Payments abzusehen, indem er insbesondere Schwellenwerte festlegt, unterhalb derer keine Verpflichtung zur namentlichen Registrierung besteht.

Wenn den Mitgliedstaaten die Möglichkeit genommen würde, bestimmte für Online-Transaktionen geeignete E-Geldprodukte mit niedrigem Risikopotential von der Identifikationspflicht auszunehmen, wäre dem deutschen Gesetzgeber eine verfassungskonforme Umsetzung der GW-Richtlinie nicht mehr möglich.

« Older Entries Recent Entries »