Category Archives: PETER SCHAAR. Der Blog.

Montblanc, der Bundestag und Informationsfreiheit

Die sog. „Monblanc-Affäre“ beschäftigt derzeit die Medien (vgl. etwa den Artikel im Berliner Tagesspiegel).

Die eigentliche Angelegenheit liegt schon mehr als sieben Jahre zurück. Im Jahr 2009 war bekannt geworden, dass Abgeordnete  des Deutschen Bundestags einen Teil ihrer jährlichen Pauschale für die Beschaffung von Bürobedarf  für die Anschaffung von Digitalkameras und wertvoller Schreibgeräte verwendet hatten. In den letzten Tagen nannten Medien die Namen von angeblich betroffenen Abgeordneten und die dabei verausgabten Summen – Angaben, die bisher unter Verschluss gehalten worden waren.

Die umstrittene Beschaffung war schon 2009 Gegenstand eines Antrags auf Informationszugang nach dem Informationsfreiheitsgesetz.

Der Deutsche Bundestag verweigerte den Informationszugang zu den Beschaffungsunterlagen. Die Ablehnung des Antrags erfolgte zunächst unter Hinweis darauf, dass dadurch die Betriebs- und Geschäftsgeheimnisse des Lieferanten betroffen sein könnten. Dieses Argument überzeugte mich als damaligen  Bundesbeauftragten für die Informationsfreiheit nicht, wie in dem 3. Tätigkeitsbericht zur Informationsfreiheit auf Seite 46 nachzulesen ist. Insbesondere erschien es mir fragwürdig, ob der Einzelpreis eines Füllers als Geschäftsgeheimnis des Lieferanten anzusehen sei. Schließlich hatte das Bundesverwaltungsgericht bereits im Jahr 2009 klargestellt, dass kein schutzwürdiges Geheimhaltungsinteresse vorliege, wenn die Offenbarung der Informationen nicht geeignet sei, exklusives kaufmännisches Wissen den Konkurrenten am Markt zugänglich zu machen und so die Wettbewerbsposition des Unternehmens nachhaltig zu beeinflussen.

Auch die daraufhin angerufenen Gerichte – bis hin zum Oberverwaltungsgericht Berlin-Brandenburg – folgten nicht dem Argument, dass hier ein Geschäftsgeheimnis gefährdet sei. Allerdings handele es sich bei den begehrten Informationen um Daten, die in  Zusammenhang mit der Wahrnehmung des Bundestagsmandats stünden (§ 5 Abs. 2 IFG). Die Herausgabe dieser Informationen sei deshalb nur mit Zustimmung der betreffenden Abgeordneten zulässig. Der Bundestag hatte daraufhin alle Abgeordneten der 16. Wahlperiode angeschrieben und für den Fall, dass Sie ein oder mehrere Schreibgeräte bzw. Digitalkameras bestellt hätten, um ihr Einverständnis zur Herausgabe der entsprechenden Dokumente aus den Akten ersucht. Lediglich drei der 620 Mitglieder des Deutschen Bundestages hatten sich seinerzeit mit der Weitergabe dieser Informationen einverstanden erklärt.

Die jetzige Diskussion macht deutlich, dass die zahlreichen Ausnahmebestimmungen des Informationsfreiheitsgesetzes auf den Prüfstand gehören. Dazu gehören auch die sehr weit gehenden Privilegierungen der Mitglieder des Deutschen Bundestages und seiner Gremien. So unverzichtbar es ist, den Kernbereich der parlamentarischen Tätigkeit vor Ausforschung zu schützen, so notwendig ist es aber auch, dass Angaben, die in keinem direkten Zusammenhang mit der parlamentarischen Meinungsbildung stehen, in stärkerem Maße als bisher  transparent gemacht werden. Dazu gehören etwa die Kosten von Delegationsreisen ins Ausland oder eben auch die Verausgabung von Sachmitteln. Es bleibt abzuwarten, ob der Deutsche Bundestag, der im nächsten Jahr neu gewählt wird, die Kraft dazu aufbringt, auch in eigener Sache für mehr Durchblick zu sorgen.

 

Terrorismusbekämpfung: Hände weg von der ärztlichen Schweigepflicht

Wenn es nach dem Willen der Innenminister geht, die der CDU/CSU angehören, soll es also schon wieder ein neues „Anti-Terror-Paket“ geben, das zweite in diesem Jahr.

Der bizarrste, aber auch gefährlichste Vorschlag kommt dabei vom Bundesinnenminister: Nach übereinstimmenden Medienberichten fordert Thomas de Maizière eine Aufweichung der ärztlichen Schweigepflicht. So berichtet die Süddeutsche Zeitung, dass die geplante Gesetzesänderung es Ärzten künftig ermöglichen solle, die Behörden über geplante Straftaten ihrer Patienten rechtzeitig zu informieren.

Dabei müsste eigentlich jedem halbwegs Informierten klar sein, dass die ärztliche Schweigepflicht mehr ist als eine beliebige Regelung, die man je nach politischer Lage zur Disposition stellen darf. Auch und gerade weil es zutrifft, dass viele Amoktäter mit und ohne terroristischen Hintergrund psychisch krank waren, bedürfen Menschen mit schweren psychischen Problemen der ärztlichen Hilfe, ohne befürchten zu müssen, dass das, was sie ihrem Therapeuten anvertrauen, an staatliche Stellen oder sonstige Dritte weitergegeben wird. Die ärztliche Schweigepflicht schützt das Vertrauensverhältnis zwischen Arzt und Patienten.Wer Hand an sie legt, gefährdet nicht nur das Grundrecht auf informationelle Selbstbestimmung, sondern unterminiert zugleich auch das Arztgeheimnis und damit die seit Jahrtausenden gewachsene Voraussetzung für ärztliche Hilfestellung. Es ist eine geradezu absurde Vorstellung, dass nach einer solchen Gesetzesänderung noch ein amokgefährdeter Mensch mit seinem Arzt über seine Ängste und Phantasien reden würde. Das Ergebnis wäre eine erhöhte Gefährdung der Allgemeinheit und nicht die Gefahrenvermeidung.

Der Essayist Alfred Polgar hat in Bezug auf staatliches Handeln einmal festgestellt, dass Gesetze das Einzige sind, „das auch ein armer, gehemmter Staat aus eigener Kraft und beliebiger Menge herstellen kann.“ Dass dies auch beim Kampf gegen den Terrorismus zutrifft, lässt sich gerade erneut besichtigen. Zu erwarten ist aber mindestens, dass die Regierungsverantwortlichen in einer rechtsstaatlichen Demokratie bei ihren Forderungen nach Gesetzesänderungen verantwortlich handeln. Es könnte nämlich passieren, dass sie sich mit diesen Vorschlägen durchsetzen.

Mit freundlichen Grüßen, Peter Schaar

Soziale Netzwerke sind keine Hilfsorgane der Sicherheitsbehörden

Innenpolitiker verschiedener Parteien, Vertreter des Bundesinnenministeriums und der Chef des Bundesamts für Verfassungsschutz fordern dieser Tage einen verbesserten Zugriff auf Daten aus sozialen Netzwerken. Sie berufen sich dabei auf den Amoklauf in München und auf terroristisch motivierte Straftaten in den letzten Wochen.

Facebook – so der Vorwurf – arbeite nur zögerlich mit den deutschen Sicherheitsbehörden zusammen. Deshalb seien Gesetzesänderungen notwendig, um etwa das Unternehmen zur Herausgabe von Nutzerdaten zwingen zu können. Unklar bleibt dabei, worauf sich diese Forderung im einzelnen bezieht: Auf die Herausgabe der Bestands- und Nutzungsdaten des Netzwerks oder auf die dort verbreiteten Informationen? Oder geht es um die vertrauliche Kommunikation mittels Messenger-Diensten wie Skype oder WhatsApp und die dabei ausgetauschten Inhalte?

Manchmal erleichtert ja ein Blick in die Gesetze die Rechtsfindung. Denn selbstverständlich sind die Betreiber sozialer Netzwerke an Recht und Gesetz gebunden und sie dürfen bzw. müssen Daten an Ermittlungsbehörden herausgeben, wenn die rechtlichen Voraussetzungen dafür gegeben sind. Bei sozialen Netzwerken handelt es sich um so genannte „Telemedien“ oder „Teledienste“ – für sie ist das Telemediengesetz (TMG) einschlägig, das Regeln für die Datenherausgabe an Behörden enthält. Zudem brauchen die Behörden eine gesetzliche Befugnis, die den Rahmen für deren Auskunftsverlangen absteckt, denn jede Übermittlung dieser Daten ist ein Eingriff in das Grundrecht auf informationelle Selbstbestimmungsrecht. Das Bundesverfassungsgericht spricht in diesem Zusammenhang von einem „Doppeltürmodell“, denn es verlangt sowohl eine gesetzliche Erlaubnis zur Datenherausgabe durch die Unternehmen als auch eine entsprechende Befugnis zur behördlichen Datenabfrage.

In § 14 Abs. 2 und § 15 Abs. 5 TMG ist festgelegt, dass Diensteanbieter wie Facebook den Polizeibehörden und den Nachrichtendiensten im Einzelfall Auskunft über bestimmte Daten des Nutzers erteilen dürfen, soweit dies für die Erfüllung der Zwecke der Strafverfolgung, zur Gefahrenabwehr und zur Terrorismusabwehr erforderlich ist und eine entsprechende Anordnung vorliegt. Die Anordnungsbefugnis ist in den für die jeweiligen Behörden geltenden Gesetzen festgelegt, insbesondere in der Strafprozessordnung, den Polizeigesetzen des Bundes und der Länder und im Bundesverfassungsschutzgesetz.

Die Strafprozessordnung und die Polizeigesetze von Bund und Ländern enthalten bereits umfangreiche Befugnisse zur Erhebung personenbezogener Daten, soweit es um die Aufklärung und Verhütung von Straftaten geht. Eine Regelungslücke kann ich hier nicht erkennen.

Auch der Verfassungsschutz darf gem. § 8a Bundesverfassungsschutzgesetz im Einzelfall Merkmale zur Identifikation des Nutzers eines Teledienstes, Angaben über Beginn und Ende sowie über den Umfang der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Teledienste verlangen. Die Auskünfte dürfen aber nur verlangt werden, soweit dies im Einzelfall für die Aufgabenwahrnehmung erforderlich ist. Sie dürfen sich nur gegen Personen richten, bei denen tatsächliche Anhaltspunktre vorliegen, dass von ihnen schwerwiegende Gefahren ausgehen. Auch hier sehe ich keinen Bedarf für das weitere Aufbohren der Überwachungsbefugnisse.

Soweit die Behörden die direkte, vertrauliche Kommunikation zwischen Nutzern sozialer Netzwerke bzw. Messenger-Diensten überwachen wollen, müssen sie sich an die Regeln zur Telekommunikationsüberwachung halten. Diese Kommunikationsvorgänge sind durch das Fernmeldegeheimnis (Art. 10 GG) geschützt. Deshalb sind die rechtlichen Hürden hier höher als bei den sozialen Medien. Gleichwohl ist der Zugriff auf Verkehrsdaten der Telekommunikation und sogar die Überwachung der übertragenen Inhalte zur Bekämpfung schwerer Straftaten oder zur Abwehr schwerwiegender Gefährdungen – etwa bei einem angekündigten Amoklauf – zulässig. Die Behörden müssen auch hier ein rechtsstaatliches Verfahren einhalten, was im konkreten Fall bedeuten kann, dass sie eine richterliche Überwachungsanordnung benötigen. Ein solches rechtsstaatliches Verfahren mag lästig sein, ist aber unverzichtbar, wenn man die Grundrechte ernst nimmt.

Die Forderung nach einer darüber hinausgehenden allgemeinen ‚Kooperationspflicht‘ der Internetunternehmen mit Geheimdiensten oder Polizeibehörden würde dazu führen, dass die sozialen Netzwerke zu einer Art Hilfsorgan der Sicherheitsbehörden würden. Keineswegs hinzunehmen wäre etwa die Weitergabe persönlicher Daten bloß auf „Zuruf“ oder die Auswertung und Weitergabe von Massendaten. Die Enthüllungen Edward Snowdens haben gezeigt, welche Konsequenzen ein solcher Kuschelkurs haben kann.

Dagegen halte ich die Forderung für sinnvoll, dass Facebook und andere international agierende soziale Netzwerke Ansprechpartner für Auskunftsersuchen der Sicherheitsbehörden zu bestellen haben. Allerdings wird damit nicht das Problem gelöst, dass beim Zugriff auf Daten, die ein soziales Netzwerk auf Servern außerhalb Deutschlands speichert, auch die gesetzlichen Vorgaben des jeweiligen Staates zu beachten sind. Eine ähnliche Frage – allerdings mit umgekehrten Vorzeichen – wird ja derzeit in den USA diskutiert. Dort fordern Sicherheitsbehörden von Microsoft die Herausgabe von Daten, die auf Servern außerhalb der USA gespeichert werden. Der Ausgang dieses Verfahrens ist bis heute offen. Auch und gerade für den Zugriff auf Daten bei transnationalen Internetangeboten müssen die Grundsätze der Rechtsstaatlichkeit und Verhältnismäßigkeit gelten.

Wer dies aus tagespolitischen Motiven ignoriert, könnte sich schon bald die Augen reiben. Mit welcher Begründung sollte ein Internetdienst etwa die Forderung einer türkischen Behörde nach der Herausgabe der Daten von Kritikern des türkischen Staatspräsidenten ablehnen, wenn andererseits eine sehr weitgehende Kooperation der Unternehmen mit den deutschen Behörden eingefordert wird? Und was sagen wir dem chinesischen Dissidenten, den ein Internetdienst den dortigen Behörden ausliefert?

Wir brauchen internationale Standards, die rechtsstaatlichen Grundsätzen entsprechen – bei der Strafverfolgung und auch beim Datenschutz im Internet. Was wir dagegen nicht brauchen, ist eine „lex München“ oder eine „lex Würzburg“, so schlimm die dortigen Amokläufe auch waren.

Mit freundlichen Grüßen

Peter Schaar

Nachtrag (16. August 2016)

In einer Stellungnahme betont eco, Verband der Internetwirtschaft e.V., er sehe keine Notwendigkeit, Telemediendienstanbieter, insbesondere Social Media Plattformen, dazu zu verpflichten, Nutzerdaten im Rahmen von Terror-Abwehr- oder –Ermittlungsmaßnahmen schneller an Behörden zu übergeben. Eine solche neue Herausgaberegelung sei „überflüssig und darüber hinaus aus datenschutzrechtlicher Perspektive problematisch“, betonte eco Vorstand Politik & Recht Oliver Süme.

Privacy Shield: „Wir brauchen viel engere Grenzen“

Interview des EAID-Vorsitzenden Peter Schaar für die Zeitschrift Der Spiegel (Nr. 29/2016/16.7.2016 http://www.spiegel.de/spiegel/)
„Wir brauchen viel engere Grenzen“

„Pri­va­cy Shield“ heißt eine neue Da­ten­schutz­ver­ein­ba­rung zwi­schen der EU und den USA. Sie er­setzt die Ab­ma­chung „Safe Har­bor“, die der Eu­ro­päi­sche Ge­richts­hof (EuGH) 2015 kas­siert hat­te. Sind eu­ro­päi­sche Da­ten in den USA nun bes­ser vor Miss­brauch ge­schützt? Pe­ter Schaar, 61, Vor­sit­zen­der der Eu­ro­päi­schen Aka­de­mie für In­for­ma­ti­ons­frei­heit und Da­ten­schutz, hat Zwei­fel.

SPIEGEL: Herr Schaar, ist „Pri­va­cy Shield“ ein Schutz­schirm für die Pri­vat­sphä­re?

Schaar: Es gibt ei­ni­ge Ver­bes­se­run­gen, aber US-Be­hör­den wer­den wei­ter­hin in gro­ßem Um­fang auf Da­ten von EU-Bür­gern zu­grei­fen kön­nen. Zwar wird von Maß­kon­fek­ti­on ge­spro­chen, aber über­all, wo US-Ge­heim­diens­te ter­ro­ris­ti­sche Ge­fah­ren be­fürch­ten, be­hal­ten sie sich eine mas­sen­haf­te Da­ten­samm­lung vor. Dies kann den kom­plet­ten eu­ro­päi­schen Raum um­fas­sen.

SPIEGEL: Klingt nicht nach Ver­bes­se­rung.

Schaar: Neu ist, dass sich Be­trof­fe­ne an ei­nen Om­buds­mann und an US-Ge­rich­te wen­den kön­nen. Um vor ei­nem US-Ge­richt Recht zu be­kom­men, muss man sich aber wei­ter­hin durch et­li­che In­stan­zen kla­gen.

SPIEGEL: Ist das Ab­kom­men denn mit EU-Recht ver­ein­bar?

Schaar: Ob die vom EuGH auf­ge­stell­ten Da­ten­schutz­kri­te­ri­en er­füllt wer­den, hal­te ich für frag­wür­dig.

SPIEGEL: Wel­che Nach­tei­le dro­hen EU-Bür­gern?

Schaar: Die zen­tra­le Fra­ge ist, was die US-Be­hör­den mit eu­ro­päi­schen Da­ten an­stel­len. Wird es auch in Zu­kunft Ein­rei­se­sper­ren in die USA ge­ben, al­lein auf­grund der Da­ten­la­ge? Und wer­den die ge­sam­mel­ten Da­ten zur Droh­nen­pro­gram­mie­rung ver­wen­det in Staa­ten, ge­gen die Ame­ri­ka Krieg führt? Man hät­te hier viel en­ge­re Gren­zen zie­hen müs­sen. Aber da ver­hält sich Eu­ro­pa auch nicht vor­bild­haft, wenn man sich etwa die Prak­ti­ken des Bun­des­nach­rich­ten­diens­tes an­schaut.

SPIEGEL: Die Be­hör­den sa­gen, sie müss­ten auf­grund der Be­dro­hungs­la­ge in­ten­si­ver Da­ten aus­tau­schen.

Schaar: Wenn die­ser Da­ten­aus­tausch sich im Rah­men von in­ter­na­tio­na­len Rechts­hil­fe­ab­kom­men be­wegt, wenn er ei­ner um­fas­sen­den Kon­trol­le un­ter­liegt und sich auf kon­kre­te Ver­däch­ti­ge be­zieht, kann man nichts da­ge­gen sa­gen. Pro­ble­ma­tisch wird es, wenn die Da­ten­samm­ler die Kri­te­ri­en selbst fest­le­gen. Dar­an än­dert sich auch mit dem Pri­va­cy Shield nichts.

SPIEGEL: Der EuGH for­dert, dass ein Da­ten­aus­tausch in der bis­he­ri­gen Form nur statt­fin­den darf, wenn dies­seits wie jen­seits des At­lan­tiks ein „der Sa­che nach gleich­wer­ti­ger“ Da­ten­schutz exis­tiert.

Schaar: Ich sehe nicht, dass der in ab­seh­ba­rer Zeit ga­ran­tiert wer­den kann. Aber es gibt eben auf bei­den Sei­ten ein im­men­ses wirt­schaft­li­ches In­ter­es­se an ei­nem mög­lichst un­ge­hin­der­ten Da­ten­aus­tausch. Dem wer­den Da­ten­schutz­be­den­ken un­ter­ge­ord­net.

DER SPIEGEL 29/2016″

Konsultation der EU-Kommission zur ePrivacy-Richtlinie: Vertraulichkeit und Sicherheit der elektronischen Kommunikation stärker schützen

Presseerklärung

Europa muss die Vertraulichkeit und Sicherheit der elektronischen Kommunikation stärker schützen

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) ist der Auffassung, dass es weiterhin besonderer Regelungen bedarf, die den Datenschutz für die elektronische Kommunikation in Europa sicherstellen. Darauf weisen der ehemalige Berliner Datenschutzbeauftragte Alexander Dix und der ehemalige Bundesdatenschutzbeauftragte Peter Schaar hin, jetzt Vorstandsmitglieder der Europäischen Akademie für Informationsfreiheit und Datenschutz. Die EAID-Stellungnahme erfolgte im Rahmen einer von der EU-Kommission durchgeführten Konsultation zur Evaluierung der Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie,  2002/58/EC). Die Kommission hat für Mitte 2017 einen entsprechenden Reformvorschlag angekündigt.

Angesichts der zentralen Bedeutung der elektronischen Kommunikation und der zunehmenden Risiken ihrer Überwachung und der umfassenden Registrierung des Kommunikationsverhaltens muss die Europäische Union dafür sorgen, dass die Vertraulichkeit und Sicherheit von technisch vermittelter Kommunikation stärker und effektiver als bisher geschützt wird.

Die Datenschützer betonen, dass europarechtliche Vorgaben zum Datenschutz bei elektronischen Kommunikationsdiensten durch den Erlass der Datenschutzgrundverordnung nicht überflüssig geworden sind. Die gegenwärtigen Vorgaben bedürfen allerdings einer grundlegenden Überarbeitung. Nur so lassen sich der Schutz der Kommunikationsdaten und des Fernmeldegeheimnisses auch in Zukunft auf hohem Niveau gewährleisten.

Es muss sichergestellt werden, dass die künftige Regelung zum Datenschutz bei der elektronischen Kommunikation auch für die Anbieter von sog. „Over-The-Top“ (OTT-)-Diensten wie Internet-Telefonie und Instant Messaging und anderen Diensten der Informationsgesellschaft gilt. Auch sollte das Telefonmarketing europaweit ebenso die Einwilligung des Angerufenen voraussetzen wie die Versendung von kommerziellen Nachrichten in sozialen Netzwerken, die nicht anders als Werbe-Mails behandelt werden dürfen (Opt-In-Prinzip). Schließlich muss jeder das Recht haben, seinen Kommunikationsverkehr (sein Heimnetzwerk, seine E-Mails, Smartphones und Datenträger) durch Passörter und Verschlüsselung zu sichern. Anbieter von Kommunikationsdiensten sollten verpflichtet werden, entsprechende Sicherheitsmaßnahmen zumindest anzubieten.
Angesichts der zunehmenden Bedeutung vermeintlich „kostenloser“ Dienste, welche die Nutzer tatsächlich mit ihren personenbezogenen bezahlen, verweisen die Datenschützer auf die Gefahr, dass der Datenschutz zum Luxusgut für Vermögende wird. Deshalb sollten existenziell bedeutsame Dienste im Sinne eines Universaldienstes kostenlos und ohne überschießende Datensammlung angeboten werden. Die Verarbeitung personenbezogener Daten muss sich hier ausschließlich auf das zu ihrer Erbringung erforderliche Maß beschränken. Cookies von Drittanbietern sollten stets standardmäßig deaktiviert und auch andere Techniken zum Tracking und Targeting nur mit ausdrücklicher Zustimmung der Nutzer eingesetzt werden.
Zur Sicherung einer einheitlichen Rechtsdurchsetzung sollten in allen Mitgliedstaaten die Datenschutzbehörden für die Umsetzung des künftigen Rechtakts zum Datenschutz bei elektronische Kommunikation zuständig sein, die im Europäischen Datenschutzausschuss für eine einheitliche Rechtsanwendung sorgen. Damit würden die bisherigen  Zuständigkeitsprobleme und Rechtsunsicherheiten behoben, die weder für die Nutzer noch für die Unternehmen nachvollziehbar sind.

Kontakt: dix@eaid-berlin.de

V.i.S.d.P.: Dr. Alexander Dix, Europäische Akademie, für Informationsfreiheit und Datenschutz, Bismarckallee 46/48, 14193 Berlin

Brexit and Data Protection: Out Is Out

By Peter Schaar, Chairman, European Academy for Freedom of Information and Data Protection, Berlin

 

What the consequences of the the UK Brexit referendum are for data protection currently cannot be said conclusively. Considerable uncertainties remain until the end of the upcoming exit negotiations at least. Unless specific arrangements on data protection are made between the EU and the UK, the United Kingdom will be seen from the EU perspective as a regular third country like any other non-member state, such as Japan or South Africa.

 

At best, the country gets a status like Norway, which belongs to the European Economic Area and is thus largely obliged to apply EU law, without, however – as the EU member states – to have effective decision power and participation rights, in particular in the European Data Protection Board set up by the EU General Data Protection Regulation (GDPR).

 

I am sceptical that the UK Parliament will implement the GDPR completely by changing the British law by May 2018 when the GDPR starts to be applicable. This seems to be very unlikely, especially since the United Kingdom has already struggled with the adoption of the new EU privacy rules. For example the British Government “opted out” from Art. 48 of the GDPR, the so-called „NSA clause“ that is to protect European citizens against third country government access to personal data. Nevertheless the provisions of Art. 48 would probably apply in future to the United Kingdom after the leave from the EU. The transmission of personal data to government authorities protected by the GDPR based on British court rulings or administrative orders will be legal then only within the framework of mutual legal assistance agreements between the UK and the EU or its member states. This is particularly important because the British Parliament has recently stepped up drastically the already strong surveillance powers of security agencies and its corresponding obligations of companies with the amended „Investigatory Powers Bill“. The “national security exemption” of article 4 TFEU will not longer be applicable for the UK. The practices of GCHQ and other government agencies will have to be taken into account even in the assessment of the EU Commission about a possible adequacy decision for the UK (see below).

 

It seems likely to me that the very requirements of the GDPR provisions on transfer of personal data to third countries (art. 44 and following) will apply in the future on the UK. Thereafter, any transfer of personal data will be permissible only if the data controller and the data processor comply with the conditions laid down in the GDPR. This also concerns the possible onward transfer of personal data to another third country or to an international organization. The GDPR allows the transmission on the basis of „adequacy decisions“ of the European Union or other appropriate safeguards, in particular on the basis of standard contractual clauses or under a system of binding corporate rules(BCR).

 

The UK Information Commissioner (ICO) already pointed out that the United Kingdom continues to need clear and effective privacy laws, irrespective of the question of EU membership (https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2016/04/statement-on-the-implications-of-brexit-for-data-protection/). If the British legislator follows this advice, the European Commission could make a decision under article 45 on the existence of an „adequate level of data protection“ in the UK. However, such a finding is not supposed to run by itself and it would require negotioations and a thorough examination and assessment of the British data protection system. This could hardly be managed within the available two-year period for the implementation of the EU exit.

 

In the light of the above companies running business in the UK as well as public bodies of member states and EU institutions have to prepare for the situation that the transmission of personal data from the EU to the UK (including the hosting of personal data on the British soil) will be much more difficult in the future as it is today. This concerns in particular those companies with business processes which are based on combining personal data of various member states or using servers or switching centers located in the UK.

 

Peter Schaar

 

Datenschutz-Brexit: out is out

Von Peter Schaar, Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz

Die Frage nach den Folgen des Brexit-Volksentscheid für den Datenschutz kann derzeit nicht abschließend beantwortet werden. Zumindest bis zum Ergebnis der anstehenden Austrittsverhandlungen bleiben erhebliche Unsicherheitsfaktoren. Sofern  keine besonderen Vereinbarungen zum Datenschutz getroffen werden, wird Vereinigten Königreich ab dem Datum des Austritts zu einem Drittstaat wie jeder andere, etwa Japan oder Südafrika.

Im günstigsten Falle bekommt das Land einen Status wie Norwegen, das dem europäischen Wirtschaftsraum angehört und damit weitgehend zur Anwendung des EU-Rechts verpflichtet ist, ohne jedoch – wie die EU-Mitgliedstaaten – über effektive Mitspracherechte und Mitwirkungsmöglichkeiten im Europäischen Datenschutzausschuss zu verfügen.

Dass sich die britische Regierung und das Parlament darauf einlassen werden, die in der ab Mai 2018 anwendbaren Datenschutzgrundverordnung 1:1 anzuerkennen, erscheint äußerst unwahrscheinlich, zumal Großbritannien sich schon mit deren Verabschiedung schwergetan hat. Hinzuweisen ist etwa  auf die Erklärung der britischen Regierung, Art. 48 der Grundverordnung, die so genannte „NSA-Klausel“ nicht anzuerkennen, die die europäischen Bürgerinnen und Bürger vor drittstaatlichen Überwachungsmaßnahmen  schützen soll. Unabhängig davon, dass die Wirksamkeit dieser Erklärung („Opt Ourt“) europarechtlich zweifelhaft ist, würde Art. 48 nach dem EU-Austritt wohl auch auf das Vereinigte Königreich anwendbar sein, sofern die britische Regierung die Anerkennung dieser Vorschrift weiterhin verweigert. Damit würde die Datenübermittlung  bzw. die Datenhherausgabe an britische Behörden oder Gerichte nur noch im Rahmen von Rechtshilfeabkommen erfolgen können. Dies ist insbesondere deshalb von Bedeutung, weil das britische Parlament kürzlich die ohnehin schon starken Überwachungsbefugnisse  der Sicherheitsbehörden und die damit korrespondierenden Verpflichtungen von Unternehmen  mit dem „Investigatory Powers Bill“  drastisch ausgeweitet hat.

Wahrscheinlicher ist, dass auf Großbritannien zukünftig die Vorgaben  der Datenschutzgrundverordnung zur Übermittlung personenbezogener Daten an Drittstaaten (Art. 44 ff)  Anwendung finden. Danach ist jedwede Übermittlung personenbezogener Daten nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in der Grundverordnung festgelegten Bedingungen einhält; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten an ein anderes Drittland oder an eine internationale Organisation. Die Datenschutzgrundverordnung erlaubt die Übermittlung auf der Basis eines „Angemessenheitsbeschlusses“ der Europäischen Union oder sonstiger geeigneter Garantien, insbesondere auf der Grundlage von Standardvertragsklauseln oder im Rahmen eines Systems verbindlicher Unternehmensregeln (Binding Corporate Rules).

Der britische Information Commissioner (ICO) hat bereits  darauf hingewiesen, dass das Vereinigte Königreich  weiterhin klare und effektive Datenschutzgesetze benötige, unabhängig von der Frage der EU-Zugehörigkeit (https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2016/04/statement-on-the-implications-of-brexit-for-data-protection/).  Sollte der britische Gesetzgeber diesem Ratschlag folgen, könnte die europäische Kommission gemäß Art. 45 der Datenschutzgrundverordnung das Bestehen eines „angemessenen Datenschutzniveaus“  feststellen. Eine solche Feststellung ist jedoch kein Selbstgänger und bedürfte gründlicher Prüfungen und Vorbereitungen, die innerhalb der zur Verfügung stehenden Zweijahresfrist für die Umsetzung des EU-Austritts kaum bewältigt werden könnten.

Vor diesem Hintergrund müssen  die Unternehmen aber auch staatliche Stellen der EU-Staaten und EU-Institutionen Vorsorge dafür treffen, dass die Datenübermittlung in das Vereinigte Königreich zukünftig erheblich erschwert wird. Dies trifft insbesondere solche Unternehmen hart, bei denen im Rahmen  eingespielter Geschäftsprozesse europaweit erhobene Daten in Großbritannien zusammengeführt und verarbeitet werden.

Peter Schaar

Nichts gelernt: BND-Gesetzentwurf enthält verfassungswidrige Elemente

Der Blog netzpolitik.org hat am 6. Juni 2016 einen offenbar geleakten Entwurf eines geänderten BND-Gesetzes veröffentlicht.

Der Gesetzentwurf vermittelt den Eindruck, als sollten die   inzwischen aufgedeckten zweifelhaften Praktiken des BND nachträglich legalisiert werden. Insbesondere der Aufklärungsarbeit des BND-Untersuchungsausschusses des Deutschen Bundestags verdanken wir die Erkenntnis, dass der deutsche Auslandsgeheimdienst nicht nur bei seinen Aktivitäten im Ausland weitgehend in einem gesetz- und kontrollfreien Raum agiert, sondern auch bei der Erfassung von über deutsche Netzknoten geleiteter Telekommunikations- und Internetverbindungen. Parlamentarische und datenschutzrechtliche Aufsichts- und Kontrollmechanismen wurden systematisch umgangen, teilweise sogar unter Bruch gesetzlicher Vorgaben.

Statt sich ernsthaft mit den Problemen der offenbar außer Kontrolle geratenen Überwachung auseinanderzusetzen, wollen die Autoren des Gesetzentwurfs dem BND zusätzliche allgemeine Überwachungsbefugnisse gegeben. Die Erfassung der Telekommunikation soll sich erkennbar nicht auf terroristische Gefährder oder internationale Waffenhändler beschränken, sondern sämtliche nicht-deutschen Telekommunikationsteilnehmer und Internetnutzer betreffen.

Ignoriert werden dabei die durch die jüngste Rechtsprechung des Bundesverfassungsgerichts zum BKA-Gesetz festgelegten Grenzen bei der Erfassung unverdächtiger Personen. Ihre Daten sollen nach dem Gesetzentwurf nicht nur vom BND selbst erfasst, sondern – nicht nur im Einzelfall – auch automatisiert an ausländische Geheimdienste übermittelt werden, soweit ‚die sofortige Übermittlung erforderlich ist, um die Kooperationsziele zu erreichen‘. Dies wäre ein glatter Verstoß gegen das durch unser Grundgesetz geforderte Verhältnismäßigkeitsprinzip.

Skandalös ist die vorgesehene Einschränkung der Kontrollbefugnisse der Bundesbeauftragten für den Datenschutz, deren Kontrollrecht bei vom BND gemeinsam mit ausländischen Diensten geführten Dateien auf die durch den BND eingespeicherten Daten beschränkt werden soll. Daten ausländischer Geheimdienste, die der BND aus gemeinsamen Dateien erhält und nutzt, würden damit der datenschutzrechtlichen Kontrolle entzogen – ein evident verfassungswidriger Vorschlag.

Peter Schaar

Tag der Pressefreiheit: Publizistischer Landesverrat führt zur Abwertung Deutschlands

Die  UN-Generalversammlung hat in einer am 20. Dezember 1993 verabschiedeten Entschließung den 3. Mai  zum „internationalen Tag der Pressefreiheit“  erklärt. Bezugspunkt war die „Deklaration von Windhuk“ der UNESCO, in der „die Schaffung einer unabhängigen pluralistischen und freien Presse“ als „Eckstein für Demokratie und wirtschaftliche Entwicklung“ bezeichnet und gefordert wurde. In ihrer Rangliste der Pressefreiheit  für das Jahr 2016  hat die Organisation „Reporter ohne Grenzen“  Deutschland gegenüber dem Vorjahr um vier Plätze auf Rang 16 herabgestuft. Unser Land wird danach schlechter bewertet als etwa in Finnland (Platz  1), Costa Rica ( 6)  oder Jamaika (10). Auch wenn Deutschland damit immer noch zu den Staaten gehört, in denen die Pressefreiheit relativ wenig bedroht ist, lohnt  sich ein Blick auf die Gründe für die Herabstufung.

Ausschlaggebend dafür ist neben Übergriffen auf Journalisten aus dem  militant rechten Milieu die staatliche Überwachung publizistischer Tätigkeit. Zu erinnern ist in diesem Zusammenhang vor allem an das Verfahren der Generalbundesanwaltschaft gegen netzpolitik.org wegen vermeintlichen Landesverrats.

Der internationale Tag der Pressefreiheit ist ein guter Anlass, zu fragen, was aus dieser Affäre geworden ist, die im Sommer  2015 die Gemüter bewegt hat (vgl. meinen Blog Post v. 31.7.2015). Der Generalbundesanwalt hatte gegen zwei Journalisten, die für den Blog netzpolitik.org schreiben, ein Verfahren wegen Verdachts auf Verstoß gegen  § 94 Abs. 1 Nr. 2 StGB  (öffentliches Bekanntmachen eines Staatsgeheimnisses – „publizistischer Landesverrat“) eingeleitet.  Ihnen wurde vorgeworfen, vertrauliche Unterlagen aus dem Bundestags Untersuchungsausschuss zur NSA-Affäre veröffentlicht zu haben. Angestoßen wurden die Ermittlungen durch eine Anzeige des Chefs des Bundesamtes für Verfassungsschutz Maaßen. Auch wenn sich die Anzeige nicht allein gegen Journalisten richtete, sondern auch oder in erster Linie gegen Bundestagsabgeordnete, wie der Rechercheverbund correctiv kürzlich herausgefunden hat, bei denen der Verfassungsschutz eine undichte Stelle vermutete, waren die Blogger doch die einzigen, gegen die schließlich ein Ermittlungsverfahren wegen Verdachts des Landesverrats eingeleitet wurde.

Das Verfahren stieß auf breite Kritik in der Öffentlichkeit. Es erinnerte an Praktiken des wilhelminischen Obrigkeitsstaats und der Weimarer Republik, mit der  Keule des  angeblichen Staatsverbrechens  gegen unliebsame Kritiker vorzugehen.  Prominentestes Opfer war der  – später mit dem Friedensnobelpreis ausgezeichnete – Carl von Ossietzky, der Herausgeber der „Weltbühne“, die über geheime Rüstungshilfe der Reichswehr berichtet hatte. Auch wenn seither  immer wieder über die Streichung des „publizistischen Landesverrats“ diskutiert wurde, hat sich hier bis heute nichts getan. So sehr es zu begrüßen ist, dass das Landesverratsverfahren gegen die Blogger nach Intervention des Bundesjustizministeriums schließlich eingestellt wurde, so wenig ist es hinzunehmen, dass die freie journalistische Berichterstattung durch den Landesverratsparagraphen weiterhin bedroht bleibt.

Wenn heute angesichts der Causa Böhmermann zu Recht darüber diskutiert wird, obrigkeitsstaatliche Überbleibsel wie die „Beleidigung von Organen und Vertretern ausländischer Staaten“ (§ 103 StGB)   aus dem Strafgesetzbuch zu streichen, sollte auch die Strafbarkeit des „publizistischen Landesverrats“  beseitigt werden, die eine unvergleichlich gefährlichere Keule gegen die Pressefreiheit darstellt.

Mit freundlichen Grüßen, Peter Schaar

Europäischer Datenschutz: Ende gut, alles gut?

Nachdem das EU-Reformpaket zum Datenschutz die letzten Hürden genommen hat, müsste man eigentlich erleichtert aufatmen. Die Datenschutz-Grundverordnung hat den Trilog von Rat, Kommission und Parlament überraschend gut überstanden. Auch die überzeugenden Voten im Europäischen Parlament und im Rat waren ein deutliches Signal für die Handlungsfähigkeit Europas beim Datenschutz – eine Handlungsfähigkeit, die man derzeit in anderen Bereichen, etwa der Flüchtlings- und Finanzpolitik, schmerzlich vermisst.

Wesentliche Elemente der von der Kommission angestoßenen Reform, die während des mehr als vierjährigen Verhandlungsmarathons immer wieder in Frage gestellt worden waren, blieben erhalten oder wurden sogar gegenüber dem Entwurfstext stärker akzentuiert. Dies gilt etwa für die Ausdehnung des Anwendungsbereichs auf Anbieter elektronischer Dienste mit Sitz in einem Drittland („Marktortprinzip“, Art. 3 Abs. 3 DS-GVO) oder die sehr deutliche Verschärfung der Sanktionen bei Datenschutzverstößen (Art. 83). Auch die Forderungen nach einer radikalen Aufweichung der Zweckbindung personenbezogener Daten blieben im Ergebnis erfolglos ebenso wie der Versuch, den Anwendungsbereich der europäischen Vorschriften drastisch einzuschränken.

Die Europäische Union hat also die (rechtlichen) Herausforderungen an das Datenschutzrecht angenommen und Konflikte zunächst durchgestanden. Die EU-weite Harmonisierung des Datenschutzrechts erfolgt auf verhältnismäßig hohem Level und schreibt nicht bloß einen kleinsten gemeinsamen Nenner fest.

Durchaus ambivalent ist es hingegen, dass der Verordnungstext den Mitgliedstaaten erhebliche Gestaltungsmöglichkeiten belässt. Dies eröffnet den nationalen Gesetzgebern zum einen die Chance, in bestimmten Bereichen über die in der Verordnung europaweit festgeschriebenen Mindeststandards hinauszugehen bzw. diese zu konkretisieren. Dies ist der Fall etwa beim Schutz von Gesundheitsdaten (Art. 9 Abs. 4 lit. a), beim Beschäftigtendatenschutz (Art. 88) und dies gilt auch für die Regelungen zur obligatorischen Benennung betrieblicher Datenschutzbeauftragter (Art. 37). Andererseits ist zu befürchten, dass die nationalstaatlichen Regelungsspielräume auch dazu herhalten müssen, bestehende Datenschutz-Schwachstellen beizubehalten  – etwa das deutsche Meldegesetz, das eine generelle Meldepflicht mit sehr freizügigen Übermittlungsmöglichkeiten ohne angemessene Zweckbindung kombiniert. Auch in anderen Mitgliedstaaten gibt es solche fragwürdigen Bestimmungen, die so eine zweite Chance bekommen haben.

Die Konferenz der Datenschutzbeauftragte des Bundes und der Länder hat jüngst gefordert, die von der Datenschutz-Grundverordnung eingeräumten nationalen Spielräume im Sinne eines möglichst hohen Datenschutzniveaus zu nutzen. Wem an einem starken deutschen Datenschutz gelegen ist, der kann diese Position nur unterstützen. Manche Äußerungen von Regierungsvertretern, etwa von Bundeswirtschaftsminister Gabriel und Bundesverkehrsminister Dobrint gegen die angeblich weltfremde und wirtschaftsfeindliche Maxime der „Datensparsamkeit“, lassen aber befürchten, dass in dieser Frage noch ein hartes Ringen bevorsteht.

Neues deutsches Zwei-Phasen-Modell?

Das Bundesinnenministerium hat inzwischen angekündigt, die erforderlichen Änderungen des deutschen Rechts in einem Zwei-Phasen-Modell zu realisieren. In einem ersten Schritt sollen die unbedingt erforderlichen Gesetzesänderungen erfolgen; in einem zweiten Schritt sollen dann weitere Anpassungen stattfinden. Zu der ersten Phase soll die Ausgestaltung der Befugnisse der Datenschutzaufsichtsbehörden und die Einpassung ihrer Sanktionsbefugnisse ins deutsche Rechtssystem gehören (Art. 51-59), auch im Hinblick auf den Rechtsschutz der Betroffenen und die gerichtliche Überprüfung der Aufsichtsmaßnahmen. Unbedingt erforderlich ist es auch, die Zusammenarbeit der deutschen Datenschutzbehörden und die Außenvertretung des deutschen Datenschutzes im neu einzurichtenden Europäischen Datenschutzausschuss zu klären. Die Gesetzgebungskompetenz für derartige Zuständigkeitsfragen liegt jedoch nicht ausschließlich beim Bund. Vielmehr muss hier eine gemeinsame Rechtsvorschrift von Bund und Ländern erlassen werden, etwa in Form eines noch auszuhandelnden Staatsvertrags. Schließlich gehört noch die Ausgestaltung des Verhältnisses von Datenschutz einerseits und der Freiheit der Meinungsäußerung und Informationsfreiheit andererseits (Art. 85 DS-GVO) zum Pflichtprogramm.

Das vom Bundesinnenministerium angekündigte Phasenmodell löst bei mir negative Assoziationen aus, erinnert es doch an die im Jahr 2000 ebenfalls in zwei Phasen angekündigte grundlegende Modernisierung des deutschen Datenschutzrechts: Nahezu sämtliche angekündigten, etwas ambitionierten Änderungen bleiben dabei auf der Strecke, denn die versprochene zweite Phase hat es nie gegeben. Auch damals saßen die Erfinder im Bundesinnenministerium.

Kompetenzfragen als Machtfragen

Bekanntlich gehören Kompetenzfragen zu den am schwierigsten zu lösenden Problemen. Anders als die bisherige Artikel-29-Gruppe wird der Europäische Datenschutzausschuss (Art. 60-67) im Falle eines Dissenses zwischen Datenschutzbehörden entscheiden. Dagegen bleibt es den Mitgliedstaaten überlassen, die jeweiligen Zuständigkeiten und die Außenvertretung der Datenschutzbehörden abzugrenzen, wenn – wie in Deutschland – mehr als eine Datenschutzbehörde eingerichtet wurde.

Eine Weile hatte man den Eindruck, Datenschutz sei aus Sicht der Politik ein gestriges Thema, von dem man sich am besten fern hält. Seit einiger Zeit hat sich der Wind aber gedreht: Niemand kann heute ernsthaft bestreiten, dass der Datenschutz eng mit der Digitalisierung der gesamten Gesellschaft verbunden ist und dass mit der datenschutzrechtlichen Kompetenzverteilung auch darüber entschieden wird, wer die Weichen in die Informationsgesellschaft stellt.

Das Bundesinnenministerium scheint davon auszugehen, dass die allermeisten datenschutzrechtlichen Spezialgesetze zunächst nicht geändert werden müssen. Ich halte diese Position für risikoreich: Zwar ist es richtig, dass die Grundverordnung für bestimmte Felder, insbesondere im Bereich der staatlichen Datenverarbeitung, weiterhin Regelungsspielräume enthält. Anderseits muss auch in diesen Bereichen die Einhaltung der europäischen Standards gewährleistet sein. Dies gilt zum Beispiel für das Sozialrecht: So sind im zehnten Buch des Sozialgesetzbuchs (SGB X) die derzeitigen Regelungen des Bundesdatenschutzgesetzes praktisch gedoppelt – etwa im Hinblick auf die Anforderungen an die Auftragsdatenverarbeitung. Es ist kaum vorstellbar, dass diese unverändert Bestand haben können, ohne bei den Rechtsanwendern zu unlösbaren Konflikten zu führen. Vergleichbare Konstellationen gibt es auch in vielen anderen Bereichen.

Betrieblichen Datenschutz und Beschäftigtendatenschutz nicht auf lange Bank schieben

Besonders intensiv waren die Diskussionen vor der Verabschiedung der Datenschutzgrundverordnung über die betrieblichen Datenschutzbeauftragten und über den Beschäftigtendatenschutz. In beiden Bereichen haben die Mitgliedsstaaten weiterhin Gestaltungsspielraum.

Bei den betrieblichen Datenschutzbeauftragten hatte Bundesregierung in letzter Sekunde im Trilog eine nationale Öffnungsklausel (Art. 37 Abs. 4) durchgesetzt, die das derzeitige deutsche Modell großenteils bewahren könnte – vorausgesetzt, eine entsprechende deutsche Bestimmung wird rechtzeitig – vor dem Inkrafttreten der DS-GVO in zwei Jahren – beschlossen. Nimmt man die Absicht des Bundesministeriums beim Wort, zunächst nur das „Unabweisbare“ gesetzlich neu zu regeln, dann würden die Regeln zum betrieblichen Datenschutzbeauftragten nicht dazu gehören.

Beim Datenschutz im Beschäftigungsverhältnis (Art. 88) stellt sich nicht nur die Frage nach einem deutschen Beschäftigten-Datenschutzgesetz. Auch die Zukunft der bisherigen Regelung des § 32 BDSG zum Umgang mit Beschäftigtendaten steht zur Disposition. Schon sind aus der Wirtschaft Warnungen zu vernehmen, hier einen „deutschen Sonderweg“ einzuschlagen. Es ist leider zu befürchten, dass derartige Meinungsäußerungen in der Politik ohne Wirkung bleiben werden. Angeblich soll es zwischen den Regierungsfraktionen der CDU/CSU und der SPD schon verabredet zu sein, in dieser Legislaturperiode auf ein Beschäftigtendatenschutzgesetz zu verzichten – ein klarer Bruch der Zusagen aus dem Koalitionsvertrag.

Anmerkung: Dieser Beitrag ist für das demnächst erscheinende Schwerpunktheft der Datenschutz-Nachrichten (DANA) vorgesehen, das sich mit der EU-Datenschutzreform beschäftigt.

« Older Entries