Category Archives: PETER SCHAAR. Der Blog.

Gibt es Datenschutz auf Jamaika?

Wer im Internet nach „Datenschutz auf Jamaika“ suchte, landete bis vor kurzem auf einer Website der Regierung des karibischen Inselstaates. Offensichtlich arbeitet man dort schon seit längerer Zeit an dem Entwurf eines „Data Protection Bill“, dessen öffentliche Vorlage „demnächst“ erfolgen soll. Spätestens seit der Bundestagswahl am 24. September 2017 assoziieren wir „Jamaika“ nicht mehr im erster Linie mit dem mehr als 8000 km entfernten Eiland, dessen Landesfarben zufällig die politische Konstellation abbilden, mit der die Bundesrepublik in den nächsten vier Jahren möglicherweise regiert wird. Deshalb macht es Sinn zu fragen, was in Sachen Datenschutz von Jamaika zu erwarten ist.

Anders als in der Großen Koalition, deren Fortsetzung die SPD eine kategorische Absage erteilt hat, würden in einem Jamaika-Bündnis zwei Parteien mitwirken, die im Wahlkampf für die Verteidigung von Bürgerrechten eingetreten sind. FDP und Bündnis 90/Die Grünen lehnen die anlasslose Vorratsdatenspeicherung von Kommunikationsdaten ab, sie stehen der lückenlosen Videoüberwachung kritisch gegenüber und sie haben sich für eine unabhängige Überprüfung der vielen, seit den Terroranschlägen von 2001 beschlossenen Anti-Terror-Gesetze stark gemacht.

Insofern ist die Konstellation zunächst einmal günstiger als bei einem erneuten Zusammengehen der abgeschmolzenen „Volksparteien“, die sich in der Vergangenheit einen Wettlauf darum geliefert hatten, wer die jeweils härteren Positionen in der Innenpolitik vertritt. Weder die Liberalen noch die Grünen können es sich leisten, dass eine Bundesregierung, an der sie beteiligt sind, den Law & Order-Kurs der großen Koalition einfach fortsetzt.

Andererseits werden die Unionsparteien versuchen, nach rechts abgewanderte Wählerinnen und Wähler zurückzugewinnen, und es ist nicht zu bestreiten, dass die Kriminalitätsangst bei dieser Zielgruppe besonders ausgeprägt ist. Allerdings hat die von Bundesinnenminister de Maizière und seinem bayerischen Amtskollegen Herrmann in den letzten Jahren verfolgte „harte Linie“ offensichtlich nicht verfangen. Die immer neuen Sicherheitsgesetze, deren unterschwellige Botschaft war, dass der Staat die Bürger nicht effektiv vor Kriminalität schützt, haben im Gegenteil das weit verbreitete Unsicherheitsgefühl noch verstärkt. Eine Politik des „Mehr hilft mehr“ ist in ihrem Kern unmäßig, denn absolute Sicherheit lässt sich niemals garantieren.

Wie könnte ein neuer innenpolitischer Ansatz aussehen, der den Bürgerrechten Rechnung trägt und zugleich die öffentliche Sicherheit stärkt? Zunächst einmal sollten alle Beteiligten einen nüchternen Blick auf die Realität werfen. Dabei wird man sich sehr schnell darüber einig werden, dass beide Güter – Freiheit und Sicherheit – ihre Berechtigung haben. Auf dieser Basis gilt es, vorbehaltlos zu analysieren, wie sich die vielen in den letzten Jahrzehnten beschlossenen Sicherheitsgesetze wirklich auswirken. Dabei wird sich zeigen, dass manche Maßnahmen nicht im Ansatz den versprochenen Sicherheitsgewinn gebracht haben. Zugleich sollte die neue Koalition zügig die tatsächlichen Defizite angehen, die seit langem bekannt sind, die aber aus Rücksichtnahme auf Befindlichkeiten unterschiedlicher Art nicht behoben wurden.

Wichtig ist insbesondere die Überprüfung der Sicherheitsstrukturen. Parallele und sich überschneidende Zuständigkeiten einer Vielzahl von Behörden waren etwa ursächlich für das Versagen bei der Aufdeckung der rechtsextremistischen Terrorzelle NSU und im Fall des Berliner Weihnachtsmarkt-Attentäters Amri. Ein weiterer Aspekt ist die nach wie vor unzureichende Zusammenarbeit innerhalb der Europäischen Union bei der Terrorismusbekämpfung. Dass entsprechende Informationen in der Vergangenheit nicht weitergegeben wurden, hat mitnichten Datenschutzgründe, sondern lag im wesentlichen an der Haltung der EU-Regierungen, die „Innere Sicherheit“ als nationale Domäne anzusehen.

Jamaika wird in der Innenpolitik nur punkten können, wenn sich die Beteiligten darauf verständigen, an Stelle der Symbolpolitik der Vergangenheit einen nüchternen und unaufgeregten Blick zu entwickeln. Dazu gehört auch der Mut, auf Maßnahmen zu verzichten und Gesetze zurückzunehmen, die ineffektiv waren und mit denen die Grundrechte unverhältnismäßig eingeschränkt wurden.

Auch ansonsten ist in dieser Legislaturperiode in Sachen Datenschutz einiges zu tun. Deutschland sollte sich dafür einsetzen, dass die derzeit in Brüssel verhandelte Datenschutzverordnung für die elektronische Kommunikation (ePrivacy-Verordnung) ein hohes Schutzniveau für die Verbraucherinnen und Verbraucher garantiert. Auch nach der (teilweise verunglückten) Konkretisierung der EU-Datenschutzgrundverordnung durch das neue BDSG hängen viele bereichsspezifische Datenschutzregelungen des deutschen Rechts in der Luft und bedürfen dringend einer Überarbeitung. Die Datenschutzaufsicht muss gestärkt werden, und zwar rechtlich und tatsächlich. Dazu gehört etwa die Rücknahme der in der letzten Legislaturperiode beschlossenen Einschränkung der Befugnisse der Datenschutz-Aufsichtsbehörden im Gesundheitsbereich. Datenschutz ist ein eminent politisches Thema. Deshalb gehört der Dienstsitz der Bundesdatenschutzbeauftragten nach Berlin.

Um auf die Eingangsfrage zurückzukommen: Ja, Jamaika kann gute Chancen für den Datenschutz bringen – wenn es denn dazu kommt!

Mit freundlichen Grüßen, Peter Schaar

11. September: Der Kampf gegen den Terrorismus wird im Kopf gewonnen!

Die Anschläge am 11. September 2001 in New York und Washington haben sich in unser kollektives Gedächtnis eingebrannt. Auch wenn seither 16 Jahre vergangen sind, prägen sie unsere Welt bis heute. Der wenige Tage nach den Anschlägen vom damaligen US-Präsidenten George W. Bush ausgerufene „Global War on Terror“ hält bis heute an.
Viele Menschen trieb angesichts der schrecklichen Bilder der einstürzenden Türme des World Trade Centers nicht nur die Frage um, wie man die Anstifter dieses Massenmords zur Verantwortung ziehen könnte. Zugleich befürchteten sie, dass die westlichen Demokratien in Reaktion auf die Herausforderung des islamistischen Terrorismus ihre Grundwerte verraten könnten. Leider hat sich inzwischen bestätigt, wie berechtigt diese Befürchtung war.

Regierungen und Parlamente reagierten – und reagieren bis heute – vielfach genau so auf Anschläge, wie von den Drahtziehern des Terrors beabsichtigt. Polizeibehörden, Geheimdienste und das Militär bekamen den Auftrag, mit nahezu allen Mitteln gegen den Terrorismus vorzugehen. Ihre Befugnisse wurden massiv ausgeweitet und bei Befugnisüberschreitungen wurde Straffreiheit zugesichert. Rechtsstaatliche Sicherungen wurden beiseite geschoben, unterlaufen und gelockert, Menschenrechte spielen im Kampf gegen den Terror eine untergeordnete Rolle. Maßnahmen, die in „normalen“ Zeiten zu Proteststürmen geführt hätten, werden von Parlamenten ohne gründliche Prüfung und kritische Debatte durchgewunken und auch von der Öffentlichkeit weitgehend akzeptiert. Je unsicherer die Zeiten sind, desto eher sind wir bereit, unser Leben nach Regeln zu gestalten, die unseren individuellen Wünschen, Bedürfnissen und Interessen entgegenstehen.

Staatliche und nichtstaatliche Trittbrettfahrer nutzen die Terrorangst: Praktisch jeder Krieg wird heute mit der Terrorbekämpfung gerechtfertigt. Kritiker der jeweiligen Staatsführungen und Journalisten werden unter Terrorismusverdacht gefangen gehalten. Kriminelle nutzen die Terrorangst, um private Geschäfte zu machen, etwa beim Anschlag auf den Mannschaftsbus des Fußballvereins Borussia Dortmund. Auch Rechtsradikale setzen auf diesen Wirkungszusammenhang und versuchen, ihn weiter zu befeuern – etwa indem sie Attentate vorbereiteten, die sie Asylbewerbern zuschreiben wollten, wie eine inzwischen enttarnte rechtsextremistische Zelle in der Bundeswehr. Terroristen beabsichtigen, durch entsprechend terminierte Anschläge Wahlergebnisse zu beeinflussen, zum Glück nicht durchgängig mit dem erwünschten Ergebnis. Es ist aber zu befürchten, dass letztlich diejenigen politischen Strömungen vom Terrorismus profitieren, die einseitig auf „Law and Order” setzen, nationalistische und fremdenfeindliche Parolen propagieren.

Die Terrorangst verschiebt das politische Koordinatensystem in Richtung autoritärer Lösungen und entzieht der Demokratie die Luft zum Atmen. Weil spektakuläre, medial verstärkte terroristische Aktionen ein Gefühl allgemeiner Unsicherheit erzeugen, sehen sich selbst moderate Regierungen einem erheblichen Handlungsdruck ausgesetzt. Parlamente und Regierungen beschließen Programme und Gesetze, die nicht wirklich mehr Sicherheit bringen, um dem Eindruck des Kontrollverlustes entgegenzuwirken. Der nur in wenigen Ländern offiziell erklärte Ausnahmezustand wird auf diese Weise schleichend zur bedrohlichen Normalität.

Ist die Erosion des liberalen Rechtsstaats, die im Ausnahmezustand ihren Kulminationspunkt erreicht, tatsächlich vorgezeichnet? Auch wenn es viele Belege für diese fatale Entwicklung gibt, ist in der Geschichte nichts alternativlos. Die Stärke der Demokratie bemisst sich nicht nach der Größe der Überwachungsapparate oder der Feuerkraft des Militärs. Entscheidend ist, in welchem Maße sie in den Köpfen der Bürgerinnen und Bürger verankert ist. Gerade in diesem Sinne sind die Herausforderungen durch den internationalen Terrorismus besonders gefährlich, denen die liberalen Gesellschaften des Westens wohl noch über Jahre ausgesetzt sind.

Unmittelbar nach Terrorattacken kann man immer wieder feststellen, dass die meisten Menschen zunächst überwiegend gelassen bleiben. Man lasse sich durch ein paar Terroristen den eigenen Lebensstil nicht zerstören. Natürlich sind sie entsetzt, reagieren aber nicht mit Panik und Hass. Wie sich Anschläge längerfristig auf die Gesellschaft auswirken, hängt maßgeblich mit der politischen und medialen Aufarbeitung und Reaktion zusammen. Weil der Terror nur in einer Atmosphäre der Angst wirkt, kommt es darauf an, dass wir uns wieder stärker darauf besinnen, was die Stärke des rechtsstaatlichen Demokratiemodells ausmacht: Gelassenheit und Toleranz sind bei der Bekämpfung des Terrorismus nicht weniger wichtig als effektive behördliche Ermittlungsarbeit.

Auch um letztere scheint es nicht besonders gut bestellt zu sein. Die seit 2001 mit Waffen, Personal und immer neuen Befugnissen aufgerüsteten Sicherheitsbehörden haben es häufig nicht vermocht, Attentatspläne zu erkennen und zu unterbinden. Die meisten terroristischen Attentäter waren den Sicherheitsbehörden bekannt – aber Konsequenzen wurden daraus offensichtlich nicht gezogen. Die unklaren, vielfach parallelen Strukturen und die sich überschneidenden Zuständigkeiten haben in der Vergangenheit immer wieder dazu beigetragen, dass wichtige Spuren und Erkenntnisse nicht zusammengeführt wurden, obwohl die rechtlichen Voraussetzungen dafür durchaus gegeben waren. Die Ermittlungsinstrumente müssen neu justiert werden, und zwar unter Wahrung rechtsstaatlicher Anforderungen. Polizeibehörden und Geheimdienste setzen in aller Welt auf die massenhafte Erhebung und Speicherung von Daten – Vorratsdatenspeicherung von Telefon- Internet- und Reisedaten, umfassende globale Kommunikationsüberwachung. Die Massenregistrierung völlig unverdächtigen Verhaltens und die anlasslose Überwachung sind nicht nur rechtlich höchst problematisch, sie binden auch viele Kapazitäten, die bei der gezielten Strafverfolgung und Gefahrenabwehr besser eingesetzt werden könnten.

Zudem müssen wir den Ursachen des globalen Terrorismus wieder mehr Beachtung widmen. Die zunehmend ungleiche Wohlstandsverteilung im globalen Maßstab und der damit verbundene Verlust der Glaubwürdigkeit der westlichen Staatengemeinschaft ist eine fast unerschöpfliche Quelle des internationalen Terrorismus. Statt auf Entwicklungszusammenarbeit setzen viele Staaten – allen voran die US-Administration unter Donald Trump – auf militärische Mittel und schränken die Entwicklungszusammenarbeit ein. Statt dessen Aufrüstungsforderungen nachzukommen, sollte Deutschland weitaus stärker in Entwicklungszusammenarbeit und Armutsbekämpfung investieren.

Wir müssen der durch Terrorgefahr und Terrorangst bewirkten Erosion der offenen Gesellschaft selbstbewusst entgegentreten, ohne dabei unsere Grundwerte zu verraten. Die mit der Begründung des Kampfes gegen den Terrorismus bis zur Unkenntlichkeit eingeschränkten Grundrechte müssen wieder hergestellt werden. Die Auseinandesetzung mit dem Terrorismus kann nur im Kopf gewonnen werden. Rechtsstaatlichkeit und Grundrechtsschutz sind dabei von entscheidender Bedeutung.

Grundrechtsbeschränkung im Schnelldurchgang: Quellen-Telekommunikationsüberwachung und Online-Durchsuchung

Die Fraktionen der CDU/CSU und SPD im Deutschen Bundestag haben am Freitag, dem 16. Juni 2017 im Rechtsausschuss einen Antrag zur Änderung der Strafprozessordnung
eingebracht, der den Strafverfolgungsbehörden die Befugnis zur „Online-Durchsuchung“ und zur „Quellen-Telekommunikationsüberwachung“ einräumen soll. Er beruht auf einer „Formulierungshilfe“ der Bundesregierung vom 15. Mai 2017.
Dieser Antrag soll nach Presseberichten schon in dieser Sitzungswoche (21.-22. Juni 2017) vom Bundestag beschlossen werden.

Parallel dazu hat die Konferenz der Innenminister der Länder am 14. Juni 2017 gefordert, den Polizeibehörden die Überwachung von verschlüsselten Kommunikationsdiensten wie WhatsApp zu ermöglichen. Der Wortlaut des Beschlusses der Innenministerkonferenz wurde bislang nicht veröffentlicht.

Online-Durchsuchung

 

 

Technische Voraussetzung für eine Online-Durchsuchung ist das Aufspielen einer entsprechenden Software in das zu überwachende System. Dies kann entweder über einen Datenträger (Diskette, CD-ROM, USB-Stick etc.) oder online, d. h. über eine bestehende Internet-Verbindung, z. B. als Anhang an eine E-Mail, geschehen. Der Betroffene merkt nichts hiervon. Er kann sich auch durch sog. Firewalls oder Virenschutzsoftware nicht hiergegen schützen. Mit einer Online-Durchsuchung hat eine Sicherheitsbehörde Zugriff auf sämtliche in dem infiltrierten System vorhandene – auch höchst persönliche – Daten. Angesichts des gewandelten gesellschaftlichen Kommunikations- und Nutzungsverhaltens besteht damit regelmäßig nicht nur Zugriff auf gespeicherte E-Mail, sondern auch auf Gesundheits-, Bank-, Finanz-, Steuer- und privateste Daten. Hierzu zählen beispielsweise auch Tagebücher, die zunehmend nicht mehr in Papierform, sondern elektronisch geführt werden. Aus der Zusammenschau dieser Daten entstehen weit reichende Persönlichkeitsprofile der Betroffenen. (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, 22. TB, S. 45)

Quellen-Telekommunikationsüberwachung

 

 

Bei dieser Maßnahme installieren die Ermittlungsbehörden heimlich eine Software auf dem Computer der Zielperson. Kommuniziert diese mit Hilfe des betroffenen Computers, werden die entsprechenden Daten an die Ermittlungsbehörden ausgeleitet. Dies betrifft beispielsweise verschlüsselt übertragene Gespräche, für die die Zielperson die IP-Telefoniesoftware „Skype“ benutzt. Die Maßnahme muss sich auf die laufende Telekommunikation beschränken. Die von der Polizeibehörde eingesetzte Software darf also nicht sonstige Inhalte des Computers, z. B. gespeicherte Texte, Bilder oder andere Dateien an die Polizeibehörde übertragen. Dadurch unterscheidet sich die Quellen-Telekommunikationsüberwachung von der sog. Onlinedurchsuchung. (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, 24. TB, S. 95)

Die neuen Befugnisse haben erhebliche Auswirkungen auf die Grundrechte und die Sicherheit informationstechnischer Systeme: Der für beide Maßnahmen erforderliche Online-Zugriff setzt voraus, dass auf den Systemen entsprechende Software installiert wurde. Die zum Einsatz kommenden Verfahren ähneln insoweit denjenigen Methoden, die von Kriminellen zur Manipulation von Computern eingesetzt werden. Deshalb spricht man auch von „Staatstrojanern“. Mit dem online-Zugriff greifen Sicherheitsbehörden in die Integrität und in die Vertraulichkeit der entsprechenden IT-Systeme ein. Sie haben damit grundsätzlich Zugriff auf alle Funktionen und Daten des infiltrierten Systems. Aus diesem Grund versteht das Bundesverfassungsgericht die Gewährleistung der Vertraulichkeit und Integrität als Grundrecht, in das nur für den Schutz überragend wichtiger Rechtsgüter (Schutz von Leben, körperlicher Unversehrtheit und Freiheit) eingegriffen werden darf (Urteil v. 27.2.2008).

Zudem nutzen die Sicherheitsbehörden Kenntnisse beziehungsweise Schwachstellen der Systeme, die gegebenenfalls auch von Dritten eingesetzt werden können. Entsprechende Schwachstellen („Zero-Day-Exploits“) werden auf einem grauen Markt gehandelt. Statt diese Sicherheitslücken zu beseitigen, nutzen sie Geheimdienste und Polizeibehörden für Überwachungsmaßnahmen. Dementsprechend ist es nicht verwunderlich, dass dieselben Schwachstellen auch für kriminelle Zwecke weiterhin verwendet werden. Das spektakulärste Beispiel hierfür die selben Schwachstellen auch für kriminelle Zwecke weiterhin verwendet werden. Das spektakulärste Beispiel für hierfür ist die Infiltration zehntausender Computersysteme mit dem Erpressungstrojaner Wannacry, der eine Schwachstelle verwendete, die amerikanischen Geheimdiensten seit langem bekannt war.

Angesichts dieser sehr schwer wiegenden Auswirkungen halte ich es für unverantwortlich, die entsprechenden Überwachungsbefugnisse in einem parlamentarischen Schnelldurchgang ohne Möglichkeit zur gründlichen Prüfung und Debatte zu beschließen.

Mit freundlichen Grüßen

Peter Schaar

Das neue Big Brother-Gesetz (mit Nachtrag v. 18.5.2017)

Nachtrag v. 18. Mai 2017:

Inzwischen liegt der Bericht des Innenausschusses mit dem Beschlussantrag der Regierungsfraktionen CDU/CSU und SPD zum Online-Abruf der Passfotos aus den kommunalen Personalausweisregistern vor (Drs. 18/12417).

Die Regierungsparteien CDU/CSU und SPD wollen den Kreis der Behörden, die im Rahmen ihrer Aufgabenwahrnehmung die biometrische Lichtbilder jederzeit abrufen können, um die Steurfahndungs- und Zollfahndungsämter erweitern. Eine überzeugende Begründung hierfür wird nicht geliefert.

Auch die für die Verfolgung von Ordnungswidrigkeiten zuständigen Behörden sollen die Daten zeitlich unbeschränkt abrufen. Bedeutsam ist auch die Änderung in den Protokollierungsvorschriften: Nur die abrufenden Stellen haben die Abrufe zu protokollieren. Damit ist es etwa den für die Personalausweisregister zuständigen Datenschutzbehörden nicht mehr möglich nachzuvollziehen, welche Behörde in welchem Umfang Lichtbilder abgerufen haben.

Die vorgesehenen Änderungen senken auf ganzer Linie das Datenschutzniveau Beim Umgang mit biometrische Daten weiter ab.

Die Regelungen sollen nun wie folgt lauten:

§ 22a Absatz 2 wird wie folgt geändert:

a) Satz 1 wird wie folgt gefasst: „Im Fall der Übermittlung von Lichtbildern durch Passbehörden nach § 19 Absatz 1 Satz 1 an die Ordnungsbehörden im Rahmen der Verfolgung von Verkehrsordnungs- widrigkeiten kann der Abruf des Lichtbildes im automatisierten Verfahren erfolgen.

b) Nach Satz 4 werden die folgenden Sätze eingefügt: „Die Polizeibehörden des Bundes und der Länder, der Militärische Abschirmdienst, der Bundesnachrichtendienst, die Verfassungsschutzbehörden des Bundes und der Länder, Steuerfahndungsdienststellen der Länder, der Zollfahndungs- dienst und die Hauptzollämter dürfen das Lichtbild zur Erfül- lung ihrer Aufgaben im automatisierten Verfahren abrufen. Die abrufende Behörde trägt die Verantwortung dafür, dass die Voraussetzungen des Absatzes 1 vorliegen.“

c) Nach dem bisherigen Satz 5 wird folgender Satz eingefügt: „Abrufe nach Satz 5 werden nur von der abrufenden Behörde protokolliert.“

 


Originalbeitrag v. 15. Mai 2017:

In dieser Woche, am 18. Mai 2017 wird der Deutsche Bundestag unter Tagesordnungspunkt 23 über ein höchst problematisches Gesetz entscheiden, das am 27. April schon einmal auf der Tagesordnung stand, dann aber überraschend nicht behandelt wurde. In der Vorlage für ein „Gesetz zur Förderung des elektronischen Identitätsnachweises“ (Drucksache 18/11279 ) befindet sich eine datenschutzrechtliche Ungeheuerlichkeit. Offiziell geht es vor allem darum, dass die heute schon im neuen Personalausweis vorhandene (eID-)Funktion bei der Ausstellung eines neuen Personalausweises grundsätzlich freigeschaltet wird und nicht erst dann, wenn der Ausweisinhaber dies wünscht.

Viel gravierender ist jedoch eine Änderung, die im hinteren Teil des Artikelgesetzes versteckt ist:

Artikel 2 (Weitere Änderung des Personalausweisgesetzes zum 1. Mai 2021) sieht eine dramatische Änderung von § 25 des Personalausweisgesetzes vor. Die Vorschrift soll zukünftig so lauten:

„Die Polizeien des Bundes und der Länder, das Bundesamt für Verfassungsschutz, der Militärische Abschirmdienst, der Bundesnachrichtendienst sowie die Verfassungsschutzbehörden der Länder dürfen das Lichtbild zur Erfüllung ihrer Aufgaben im automatisierten Verfahren abrufen.“

Bisher ist der Online-Abruf der biometrische Lichtbilder gem. dem geltenden § 25 Abs. 2 Personalausweisgesetz nur ausnahmsweise zulässig:

„Die Polizei- und Ordnungsbehörden, die Steuerfahndungsstellen der Länder sowie die Behörden der Zollverwaltung dürfen das Lichtbild zum Zweck der Verfolgung von Straftaten und Verkehrsordnungswidrigkeiten im automatisierten Verfahren abrufen, wenn die Personalausweisbehörde auf andere Weise nicht erreichbar ist und ein weiteres Abwarten den Ermittlungszweck gefährden würde. Zuständig für den Abruf sind die Polizeivollzugsbehörden auf Ebene der Landkreise und kreisfreien Städte, die durch Landesrecht bestimmt werden.“

Diese Beschränkung des Online-Abrufs der Lichtbilder war seinerzeit eingeführt worden, um zu verhindern, dass die obligatorisch in Pässe und Personalausweise aufgenommenen biometrische Gesichtsbilder zur Massenüberwachung genutzt werden. Mit der von der Großen Koalition geplanten Gesetzesänderung fällt diese wichtige Restriktion. Nicht nur die Polizei, sondern praktisch alle Sicherheitsbehörden erhalten zukünftig einen unbeschränkten Zugriff auf die digitalisierten Gesichtsbilder. Einzige Bedingung für den Online-Zugriff auf die Lichtbilddateien ist, dass der Abruf „zur Erfüllung ihrer Aufgaben“ erfolgt. Zu diesen Aufgaben gehört nicht nur die Strafverfolgung oder die Abwehr konkreter Gefahren. Polizeibehörden führen Verkehrskontrollen aus und betreiben Videoüberwachungsanlagen. Nachrichtendienste sind sogar weit im Vorfeld des Vorfeldes einer Gefahr tätig und sind nicht unbedingt dafür bekannt, sich bei der Datenerfassung zurückzuhalten.

Es ist damit zu rechnen, dass die umfassenden Abrufmöglichkeiten längerfristig dazu verwendet werden, im Rahmen der „intelligenten Videoüberwachung“ alle Menschen zu identifizieren, die sich in einem Bahnhof, auf einem Flughafen, in einem Einkaufszentrum oder auf einem öffentlichen Platz aufhalten. Nicht umsonst hat die Große Koalition kürzlich die gesetzlichen Befugnisse zur Videoüberwachung so aufgebohrt, dass die Gewährleistung der Sicherheit grundsätzlich schwerer wiegt als die Wahrung der Persönlichkeitsrechte der Betroffenen. Zusammen mit denen neuen automatischen Zugriffsbefugnissen auf die biometrische Daten wird daraus ein Big Brother-Gesetz.

Mit freundlichen Grüßen

Peter Schaar

Schicksalswoche für den Datenschutz

In dieser Woche beschäftigt sich der Deutsche Bundestag mit einer Reihe von Vorhaben, die große Bedeutung für den Schutz der Privatsphäre und die Gewährleistung des Rechts auf informationelle Selbstbestimmung haben. Gleich fünf gravierende Gesetzesänderungen stehen am 27 April 2017 zur Entscheidung an:

  • Das Datenschutz-Anpassungs- und -Umsetzungsgesetz (Drucksachen 18/11325, 18/11655, 18/11822) soll das deutsche Recht an die Vorgaben der europäischen Datenschutzgrundverordnung anpassen, deren Regelungen am 20. Mai 2018 wirksam werden. Neben einigen notwendigen Rechtsanpassungen enthält der Gesetzentwurf jedoch schwerwiegende Mängel, insbesondere im Hinblick auf die Aufweichung der strikten Zweckbindungsregelungen für öffentliche Stellen, hinsichtlich der Rechte der Betroffenen auf Auskunft und Löschung ihrer Daten und bezüglich der Kontrolle der Datenschutzbehörden bei Daten, die einem besonderen Berufsgeheimnis unterliegen.
  • Durch die Änderung des Bundeskriminalamtsgesetzes (Drucksache 18/11163) soll die polizeiliche Informationsverarbeitung grundlegend umgebaut werden. Formaler Ausgangspunkt ist dabei ein Urteil des Bundesverfassungsgerichts, das von der großen Koalition beschlossene Befugniserweiterungen für das BKA für verfassungswidrig erklärt hatte. Der Gesetzentwurf trägt diesen Bedenken zwar formell Rechnung, weitet die Datenerfassung und den Zugriff der Polizeibehörden allerdings erheblich aus. Im Mittelpunkt steht ein zentrales Datenbanksystem, bei dem bisherige strikte Zweckbindungsregelungen wegfallen oder abgesenkt werden.
  • Das neue Fluggastdatengesetz (Drucksache 18/11501) verpflichtet die Fluggesellschaften und Reiseveranstalter dazu, eine Vielzahl von Informationen (u.a. email-Adressen und Zahlungsinformationen) über ihre Kunden an eine staatliche „Fluggastdatenzentrale“ zu übermitteln, wo sie fünf Jahre lang gespeichert bleiben. Anders als das bisherige System zur obligatorischen Fluggastdatenübermittlung (Advanced Passenger Information System – APIS) beschränkt sich die Datensammlung nicht auf bestimmte Reiserouten oder Zielländer. Die Daten dienen zur Profilbildung, um mögliche Gefährder oder Straftäter zu erkennen. Im Grunde handelt es sich um eine permanente Rasterfahndung sämtlicher Flugpassagiere.
  • Mit dem Gesetz zur Ausweitung des Maßregelrechts bei extremistischen Straftätern (Drucksachen 18/11162 und 18/11584) soll die elektronische Fußfessel erstmals nicht als Alternative zu einer Inhaftierung eingesetzt werden, sondern als Maßnahme zur zur Aufenthaltskontrolle von „extremistischen Gefährdern“ nach einer Verurteilung wegen eines Vergehens im Zusammenhang mit extremistischen bzw. terroristischen Aktivitäten und deren Unterstützung.
  • Mit dem Gesetzes zur Förderung des elektronischen Identitätsnachweises (Drucksache 18/11279 ) sollen die entsprechenden (eID-)Funktionen bei der Ausstellung eines neuen Personalausweises nicht erst dann aktiviert werden, wenn der Ausweisinhaber dies wünscht, sondern grundsätzlich freigeschaltet sein, soweit der Ausweisinhaber nicht widerspricht. Damit soll darauf reagiert werden, dass bei zwei Dritteln der bisher rund 51 Millionen ausgegebenen Ausweise die eID-Funktion deaktiviert blieb.

Speziell die vorgesehenen Neuregelungen im Datenschutzanpassungsgesetz, die im BKA-Gesetz vorgesehene zentrale Datenbank mit umfassenden Nutzungsmöglichkeiten und die fünfjährige Vorratsdatenspeicherung von Daten über Flugpassagiere begegnen erheblichen verfassungsrechtlichen und datenschutzrechtlichen Bedenken. Sie sind sind Ausdruck einer Einstellung, dass Grund- und Freiheitsrechte weniger Wert haben als vermeintliche Sicherheitsgewinne. Es ist abzusehen, dass das Bundesverfassungsgericht und der Europäische Gerichtshof den Gesetzgeber erneut korrigieren müssen.

Mit freundlichen Grüßen, Peter Schaar

Update (27.4.2017) Der Bundestag hat die Abstimmung des Gesetzes zur Förderung des elektronischen Identitätsnachweises (Drucksache 18/11279 ) von der Tagesordnung der heutigen Plenarsitzung genommen. Offenbar waren Abgeordnete der Regierungsfraktionen von kritischen Kommentaren überrascht worden.

 

DSAnpUG-EU: Datenschutzbehörden müssen zukünftig draußenbleiben

In der heutigen Anhörung des Bundestags-Innenausschusses zum „Datenschutzanpassungs- und Umsetzungsgesetz EU“ (DSAnpUG-EU), mit dem das deutsche Datenschutzrecht an die Vorgaben der neuen europäischen Datenschutzregelungen angepasst werden soll, wurde auch über eine brisante Neuregelung gesprochen, die bisher wenig Aufmerksamkeit hatte, obwohl sie von zentraler Bedeutung für den Schutz der Privatsphäre ist:

Wenn es nach der Bundesregierung geht, wird die Datenschutzkontrolle bei „Berufsgeheimnisträgern“ drastisch eingeschränkt. In § 29 Abs. 3 des Regierungsentwurfs heißt es:

„Gegenüber den in § 203 Absatz 1, 2a und 3 des Strafgesetzbuchs genannten Personen oder deren Auf-tragsverarbeitern bestehen die Untersuchungsbefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 1 Buch-stabe e und f der Verordnung (EU) 2016/679 nicht, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflichten dieser Personen führen würde.“

Die Mitarbeiter der Aufsichtsbehörden hätten keinen Anspruch mehr, Krankenhäuser, Arzt- und Tierarztpraxen, Anwalts- oder Notariatskanzleien, Apotheken, Steuerberatungs- und Buchführungsbüros oder Suchtberatungsstellen zu betreten, um vor Ort die Datenverarbeitung zu prüfen. Nicht mehr effektiv prüfbar wären auch Unternehmen der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle. Die Aufsichtsbehörden hätten auch keinen Zugang mehr zu den sensiblen Daten, die in diesen Bereichen verarbeitet werden. Keine Prüfung soll es auch bei Auftragsdatenverarbeitern dieser Einrichtungen geben, etwa bei Cloud Services, die medizinische Daten verarbeiten, bei der DATEV oder bei Apothekenrechenzentren.

In diesen für den Datenschutz zentralen Bereichen könnten die Datenschutzbehörden nur noch allgemeine Befragungen hinsichtlich der Datenverarbeitung durchführen, aber keinen Einblick in Datenbanken oder übertragene Informationen nehmen und sie könnten Behauptungen der Berufsgeheimnisträger bzw. der Geschäftsleitungen zum konkreten Umgang mit personenbezogenen Daten nicht mehr nachprüfen.

Die von den Regierungsfraktionen vorgesehene Neuregelung wäre ein fatales Signal gegenüber allen, denen ein effektiver Schutz der Privatsphäre wichtig ist. Ein derartiger aufsichtsfreier Raum widerspricht den Vorgaben des Bundesverfassungsgerichts, das eine lückenlose Kontrolle der Einhaltung der datenschutzrechtlichen Vorschriften durch unabhängige Datenschutzbehörden für unverzichtbar hält.

Die Regierungsfraktionen von CDU/CSU und die SPD haben heute überraschend angekündigt, den Gesetzentwurf noch in dieser Woche in 2. und 3. Lesung im Bundestag zu behandeln. Ob und inwieweit  so kurzfristig noch substanzielle Änderungen erfolgen, erscheint mir eher als unwahrscheinlich.

Mit freundlichen Grüßen

Peter Schaar

Welcome to the State of Emergency!

Wenn Angela Merkel am 13. März 2017 in die USA reist, betritt sie ein Land im Ausnahmezustand. Im Ausnahmezustand sind die USA nicht erst seit dem Amtsantritt Donald Trumps, sondern seit dem 11. September 2001, dem Datum der terroristischen Anschläge auf New York und Washington. Am 14. September 2001 ermächtigten Senat und Repräsentantenhaus den US-Präsidenten in einem nur sechzig Worte umfassenden Gesetz, mit „notwendiger und angemessener Gewalt“ gegen Länder, Organisationen und Personen vorzugehen, „welche die Terrorangriffe angezettelt, geplant, autorisiert, begangen, unterstützt und durchgeführt haben oder solchen Personen Zuflucht gewährt haben.“ Am selben Tag erklärte Präsident Bush rückwirkend ab dem 11. September den Ausnahmezustand („state of emergency“).  und daran anknüpfende militärische Anordnungen. Diese Ermächtigungen gelten bis heute. Sie statteten den US-Präsidenten mit zusätzlicher Macht aus, über seine ohnehin schon weitreichenden Befugnisse in „normalen Zeiten“ hinaus.

Viele der Überwachungsmaßnahmen, von denen die Welt erst im Jahr 2013 durch die Enthüllungen Edward Snowdens Kenntnis genommen hat (auch wenn es entsprechende Hinweise schon sehr viel früher gab), basieren auf diesen Notstandsbefugnissen. Genauso wie das Gefangenenlager auf Guantanamo Bay, wo den Gefangenen im „Global War on Terror“ nicht nur jeglicher Rechtsschutz verweigert wird, sondern auch der Status von Kriegsgefangenen nach der Genfer Konvention. Auch die „extralegalen Tötungen“ – man könnte auch sagen: Morde – mittels Drohnenangriffen in Staaten, mit denen die USA nicht im Krieg sind, werden fortgesetzt und vieles spricht dafür, dass in Deutschland gelegene Kommandozentralen des US-Militärs dabei eine wichtige Rolle spielen.

Nicht nur George W. Bush hat die ihn eingeräumten Notstandsbefugnisse genutzt, sondern auch sein Nachfolger Barrack Obama und auch der jetzige Präsident Donald Trump. Seinen „Muslim Ban“ – die Einreisesperre gegen Menschen aus verschiedenen Ländern mit moslemischer Mehrheit – hat Trump als wichtige Maßnahme gegen den Terrorismus gekennzeichnet. Genauso rechtfertigt übrigens der türkische Präsident Recep Tayyip Erdoğan sein rabiates Vorgehen gegen Journalisten und andere Kritiker mit dem „Kampf gegen den Terrorismus“ – nach seinen Maßstäben ist sogar der Bürgermeister der baden-württembergischen Stadt Gaggenau, der ein Wahlkampfveranstaltung eines türkischen Ministers aus Sicherheitsbedenken untersagte, ein Terrorhelfer.

In Frankreich gilt der Ausnahmezustand (état d’urgence) seit November 2015, als die Regierung auf die koordinierten islamistischen Anschläge auf Restaurants und die Konzerthalle Bataclan in Paris reagierte. Die Türkei und Frankreich haben für die Dauer des Ausnahmezustands die Europäische Menschenrechtscharta „suspendiert“. Verhaftungen, Durchsuchungen, Demonstrationsverbote und andere Grundrechtseingriffe sind währenddessen auch ohne richterliche Genehmigung zulässig.

Wird also Angela Merkel mit Präsident Trump darüber sprechen, dass der Ausnahmezustand und die damit verbundenen Grundrechtseinschränkungen und Menschenrechtsverletzungen mit dem westlichen Verständnis von Rechsstaatlichkeit und Demokratie unvereinbar sind? Eher nicht, denn auch Deutschland hat auf terroristische Bedrohungen seit mehr als 15 Jahren mit immer tieferen Grundrechtseinschränkungen reagiert: Polizei und Geheimdienste wurden mit immer weiter gehenden zusätzlichen Befugnissen ausgestattet, sie haben Zugang zu vielfältigen Daten – bei Banken, Reisebüros, Telefongesellschaften. Unsere Telekommunikationsdaten werden auf Vorrat gespeichert, wir reisen mit Pässen und Personalausweisen, in denen biometrische Merkmale gespeichert werden.

Die Aufrüstung des Sicherheitsapparats geht weiter: Nach dem Anschlag auf den Berliner Weihnachtsmarkt am 19. Dezember 2016 hat die Bundesregierung im Schnelldurchgang weitere Gesetze beschlossen. Die Videoüberwachung in „großflächigen Anlagen und im öffentlichen Personenverkehr“ soll ausgeweitet werden. Es soll ein umfassender Datenverbund zwischen den Polizeibehörden des Bundes und der Länder geschaffen werden, bestehende Zweckbegrenzungen für bestimmte Dateien mit besonders sensiblen Daten werden aufgehoben. Fluggesellschaften, Buchungszentralen und Reisebüros müssen zukünftig eine Vielzahl von Passagierdaten an eine neu einzurichtende „Fluggastdatenzentralstelle“ übermitteln, wo die Daten nach verdächtigen „Mustern“ abgeglichen werden. Das Bundesamt für Migration soll den Zugriff auf die informationstechnischen Systeme immer dann verlangen können, wenn sich der zuständige Sachbearbeiter davon nützliche Erkenntnisse“ über den Asylbewerber verspricht, weil sie „für die Feststellung seiner Identität und Staatsangehörigkeit von Bedeutung sein können“. Eine richterliche Anordnung dieses tiefen Eingriffs in die Grundrechte der Asylbewerber ist nicht vorgesehen.

Der Ausnahmezustand ist also längst zum Normalzustand geworden, nicht nur in den USA, sondern auch bei uns. Das ist der eigentliche Grund, warum Angela Merkel den Ausnahmezustand in den USA mit seinen fatalen Folgen wohl nicht mit Donald Trump besprechen wird.

Neues Asylgesetz: Warum das Auslesen von Smartphones ein schwerer Grundrechtseingriff ist

Immer häufiger wird darüber berichtet, dass Behörden Einblick in elektronische Gerätschaften und die darauf gespeicherten Daten nehmen wollen. Dies betrifft zum einen Strafverfahren, aber zunehmend auch andere Bereiche, etwa die Kontrolle von Reisenden durch US-Grenzbehörden oder – jüngstes Beispiel – die Bearbeitung von Asylanträgen und die Durchsetzung der Ausreisepflicht abgelehnter Asylbewerber.

Das Bundeskabinett hat am  20. Februar 2017  den Entwurf eines „Gesetzes zur besseren Durchsetzung der Ausreisepflicht“ beschlossen. Neben anderen Maßnahmen enthält es eine Regelung, die den Asylbewerber dazu verpflichtet,

„ …im Falle des Nichtbesitzes eines gültigen Passes oder Passersatzes an der Beschaffung eines Identitätspapiers mitzuwirken und auf Verlangen alle Datenträger, die für die Feststellung seiner Identität und Staatsangehörigkeit von Bedeutung sein können und in deren Besitz er ist, den mit der Ausführung dieses Gesetzes betrauten Behörden vorzulegen, auszuhändigen und zu überlassen“ (§ 15 Abs. 2 Nr. 6 Asylgesetz).

Die Neuregelung wird wie folgt begründet:

„Die Identitätsprüfung ist bei Personen ohne Ausweisdokumente oft langwierig und fehleranfällig. Um die Identitätsprüfung zu erleichtern, kann die Auswertung von Datenträgern, wie Mobiltelefonen, Tablets und Laptops, wichtige Erkenntnisse liefern. Entsprechende Hinweise lassen sich in zunehmendem Maße nicht nur Mobiltelefonen, sondern auch anderen Datenträgern, die die Betreffenden mit sich führen, entnehmen. So können etwa die Adressdaten in dem Mobiltelefon eines ausreisepflichtigen Ausländers beziehungsweise gespeicherte Verbindungsdaten aufgrund der Auslandsvorwahl wesentliche Hinweise auf eine mögliche Staatsangehörigkeit geben.“

Das Bundesverfassungsgericht hatte bereits in seiner Entscheidung zur „Online-Durchsuchung“ am 22. Februar 2008 (1 BvR 370/07) festgestellt, dass die Nutzung informationstechnischer Systeme für die Persönlichkeitsentfaltung vieler Bürger von zentraler Bedeutung ist und zugleich neuartige Gefährdungen der Persönlichkeit mit sich bringt:

„Eine Überwachung der Nutzung solcher Systeme und eine Auswertung der auf den Speichermedien befindlichen Daten können weit reichende Rückschlüsse auf die Persönlichkeit des Nutzers bis hin zu einer Profilbildung ermöglichen. Hieraus folgt ein grundrechtlich erhebliches Schutzbedürfnis.“

Dieses Schutzbedürfnis ist vergleichbar mit dem durch Art. 10 Grundgesetz geschützten Fernmeldegeheimnis und der durch Art. 13 Grundgesetz garantierten Unverletzlichkeit der Wohnung. Um dem Rechnung zu tragen, hat das Gericht aus dem allgemeinen Persönlichkeitsrecht ein Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme abgeleitet, das so genannte „Computergrundrecht“. Weitere Grundrechtspositionen, die ihr zu beachten sind, ergeben sich aus dem Datenschutz (Grundrecht auf informationelle Selbstbestimmung) und dem Schutz des Kernbereichs der privaten Lebensgestaltung.

Wenn man bedenkt, dass  seit dieser Entscheidung neun Jahre vergangen sind, in denen sich die Informationstechnik dramatisch weiterentwickelt hat, hat die Bedeutung des Schutzes der  technisch generierten und gespeicherten Informationen dramatisch zugenommen. Dies gilt insbesondere für die seinerzeit kaum verbreiteten Smartphones, die inzwischen verschiedenste Funktionen in sich vereinen und die über nahezu unerschöpfliche direkte oder indirekte (Cloud) Speichermöglichkeiten verfügen.

Behörden oder sonstige Stellen, die Einsicht in Smartphones, Laptops und Tablet Computer nehmen, verschaffen sich damit Zugang zum gesamten digitalen Abbild des Lebens der Nutzer.  Im konkreten  Anwendungsfall – im Asylverfahren –  ist damit zu rechnen, dass auf Smartphones und Tablet Computern eine Vielzahl höchst sensibler Informationen gespeichert sind,  welche die Erlebnisse, Kontakte und Gefühle der  Asylbewerber offen legen, genauso wie vielfältige . Zudem befinden sich darauf vielfach  Informationen über anwaltliche Beratungen, die Konsultation von Hilfseinrichtungen für Traumatisierte, zu Menschenrechtsorganisationen oder Flüchtlingsinitiativen.

Das Bundesamt für Migration darf den Zugriff auf die informationstechnischen Systeme nicht nur dann verlangen, wenn dies für die Identitätsfeststellung unabdingbar ist. Die Verpflichtung zur Aushändigung greift immer schon  dann, wenn sich der zuständige Sachbearbeiter davon nützliche Erkenntnisse“ über den Asylbewerber verspricht, weil sie „für die Feststellung seiner Identität und Staatsangehörigkeit von Bedeutung sein können“.

Zwar soll die Auswertung der Daten gemäß dem neuen § 15a Asylgesetz „nur zulässig (sein), soweit dies für die Feststellung der Identität und Staatsangehörigkeit des Ausländers … erforderlich ist und der Zweck der Maßnahme nicht durch mildere Mittel erreicht werden kann.“ Im Hinblick auf das von der Neuregelung verfolgte Ziel ist zu erwarten, dass die Datenauswertung stets dann erfolgt, wenn von dem Asylbewerber kein nachweislich echtes Identitätspapier  vorgelegt werden kann oder Zweifel an der Echtheit der vorgelegten Pässe oder Ausweise bestehen. Dies betrifft mehrere 100.000 Flüchtlinge, die in den letzten Jahren nach Deutschland gekommen sind.

Auch inhaltlich  wird die Auswertung der Datenträger nicht wirksam begrenzt. Prinzipiell kann jedes auf einem Smartphone gespeicherte Datum die Identitätsfststellung erleichtern: Nicht nur Kontaktlisten, das Surfverhalten im Internet, Standortdaten und Verbindungsdaten der Telekommunikation oder die Spracheinstellungen dürfen ausgewertet werden. Auch die Inhalte von E-Mails, Kurz- und Sprachnachrichten oder sonstigen Dokumenten und Fotografien fallen unter die neue Regelung. Mit anderen Worten: Die Neuregelung ermöglicht einen umfassenden Einblick in das Leben der Betroffenen.

Nach der Gesetzesbegründung soll dem vom Bundesverfassungsgericht geforderten absoluten Schutz des Kernbereichs der Privatsphäre dadurch Rechnung getragen werden, dass bei Vorliegen tatsächlicher Anhaltspunkte, dass „allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt würden“,  die Auswertung zu unterbleiben habe. Diese Formel ist nichts anderes als weiße Salbe. Welchem Datenträger sieht man schon an, dass er allein solche höchst privaten Informationen enthält?

Auch wenn der nun von der Bundesregierung beschlossene Zugang zu elektronischen Gerätschaften – anders als bei der Online-Durchsuchung – offen, also in Kenntnis des Betroffenen erfolgen soll, handelt es sich doch um einen schwerwiegenden Eingriff in Grundrechte. Ein solcher Grundrechtseingriff darf gesetzlich nur angeordnet werden, wenn die Verhältnismäßigkeit der Mittel gewahrt bleibt und entsprechende verfahrensmäßigen Sicherungen, etwa eine gerichtliche Anordnung und entsprechende technisch-organisatorische Maßnahmen, gewährleistet sind.

Alle diese Voraussetzungen fehlen bei dem von der Bundesregierung beschlossenen Gesetzentwurf.

Führt das Fehlen von Dateianordnungen beim BND zur Rechtswidrigkeit der Datenverarbeitung?

In der 130. Sitzung des NSA-Untersuchungsausschusses des Deutschen Bundestags am 15.2.2017 ist die Frage angesprochen worden, wie das Fehlen einer im BND-Gesetz vorgesehenen Dateianordnung zu bewerten sei. Der Bundestagsabgeordnete Schipanski wird in einem Beitrag des Blogs Netzpolitik mit der Aussage zitiert, ich hätte als ehemaliger Bundesbeauftragter für den Datenschutz die Auffassung vertreten, dass es sich beim Fehlen einer Dateianordnung bloß um einen „formalen“ Gesetzesverstoß handele, der keine materielle Rechtswidrigkeit der Datei zur Folge habe.

Richtig ist: Nicht jeder Verstoß gegen Verfahrensvorschriften des Datenschutzrechts führt automatisch zur Rechtswidrigkeit der entsprechenden Datei. Aus einem fahrlässigen „Versäumen“ einer gesetzlich vorgesehenen Verpflichtung allein ergibt sich nicht zwingend eine Löschungsverpflichtung der betreffenden Daten. Anders sieht es aber aus, wenn eine Dateianordnung – und damit auch die Meldung gegenüber dem/der Bundesdatenschutzbeauftragten willentlich oder sogar systematisch unterbleibt und somit eine datenschutzrechtliche Prüfung der Datei nicht möglich ist. Zudem muss berücksichtigt werden, dass die Dateianordnung, die von der zuständigen Fachaufsicht (beim BND übt das Bundeskanzleramt diese Funktion aus) zu genehmigen ist, die Zwecke der Verarbeitung und die Voraussetzungen der Speicherung, Übermittlung und Nutzung (betroffener Personenkreis, Arten der Daten) festzulegen hat. Ohne Dateianordnung fehlen diese zentralen verfahrensrechtlichen Sicherungen.

Eine solche Praxis – die es offenbar gegeben hat – ist nicht nur als „minder schwerer“ Formalverstoß zu bewerten, sondern als Aushebelung der unabhängigen Datenschutzkontrolle, die vom Bundesverfassungsgericht in seiner Rechtsprechung seit dem Volkszählungsurteil von 1983 als unabdingbar für die Wahrung der Grundrechte angesehen wird.

Das BVerfG führt dazu in Rz. 207 des Urteils des Ersten Senats vom 24. April 2013 – 1 BvR 1215/07 -(„Antiterrordatei“) aus:

„Die aufsichtliche Kontrolle flankiert die subjektivrechtliche Kontrolle durch die Gerichte objektivrechtlich. Sie dient – neben administrativen Zwecken – der Gewährleistung der Gesetzmäßigkeit der Verwaltung insgesamt und schließt dabei den Schutz der subjektiven Rechte der Betroffenen ein. Dass auch Anforderungen an die aufsichtliche Kontrolle zu den Voraussetzungen einer verhältnismäßigen Ausgestaltung der Datenverarbeitung gehören können (vgl. BVerfGE 100, 313 <361> unter Verweis auf BVerfGE 30, 1 <23 f., 30 f.>; 65, 1 <46>; 67, 157 <185>), trägt dem Umstand Rechnung, dass es sich bei der Speicherung und Verarbeitung von Daten um Eingriffe handelt, die für die Betreffenden oftmals nicht unmittelbar wahrnehmbar sind und deren freiheitsgefährdende Bedeutung vielfach nur mittelbar oder erst später im Zusammenwirken mit weiteren Maßnahmen zum Tragen kommt. Eingriffe in das Recht auf informationelle Selbstbestimmung können deshalb auch dann unverhältnismäßig sein, wenn sie nicht durch ein hinreichend wirksames aufsichtsrechtliches Kontrollregime flankiert sind. Dies hat umso größeres Gewicht, je weniger eine subjektivrechtliche Kontrolle sichergestellt werden kann.“

Die  Umgehung der gesetzlich vorgeschriebenen Kontrollmechanismen und sonstigen verfahrensrechtlichen Sicherungen führt also zur materiellen Rechtswidrigkeit.

„Datenschutzanpassungs- und Umsetzungsgesetz“ – Zu kurz gesprungen

Unhandlich und trotzdem unvollständig  …

Die Bundesregierung hat heute den Entwurf für ein „Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)“ beschlossen. So unhandlich der Titel ist, so unlesbar ist die Vorschrift selbst. Allein die zentrale Vorschrift, das neue Bundesdatenschutzgesetz, umfasst 85 Paragraphen und ist damit doppelt so lang wie das bisherige BDSG. Wer in Zukunft wissen will, welche Datenschutzbestimmungen in Deutschland zu beachten sind, muss die EU-Datenschutzgrundverordnung (DSGVO) und das neue BDSG nebeneinanderlegen. Zudem bleibt völlig unklar, was aus den datenschutzrechtlichen Regelungen in den vielen Spezialgesetzen wird – vom Sozialgesetzbuch über das Telekommunikations- und Medienrecht bis zum Bundesstatistikgesetz -, die (zunächst) in Kraft bleiben, ganz zu schweigen von den vielfältigen Bestimmungen im Landesrecht.

Ohne Rat von auf das Datenschutzrecht spezialisierten Anwälten wird es Unternehmen und Bürgern also auch in Zukunft nicht leicht fallen, sich datenschutzkonform zu verhalten oder Datenschutzrechte – etwa das Recht auf Auskunft oder Löschung – durchzusetzen.

… europarechtswidrig …

Die Unhandlichkeit des Gesetzeswerks ist vor allem der Tatsache geschuldet, dass man in der Bundesregierung mit der von der Europäischen Union beschlossenen Datenschutzreform nicht einverstanden ist, unbeschadet der Tatsache, dass Deutschland der EU-DSGVO (Verordnung (EU) 2016/679) und der Datenschutzrichtlinie für Polizei und Justiz (Richtlinie (EU) 2016/680) zugestimmt hat, die im Mai 2018 wirksam werden. Den ganzen Text durchzieht das Bemühen, soviel vom alten BDSG zu „retten“ wie möglich. Das Ergebnis ist fatal: Das neue BDSG wiederholt viele Vorschriften des DSGVO, unterscheidet sich aber vielfach im Detail. Dies widerspricht zum einen dem „Wiederholungsverbot“ bei direkt anwendbarem EU-Recht. Viel gravierender ist es aber, dass in der Substanz von den europarechtlichen Vorgaben abgewichen wird, insbesondere bei der Verarbeitung personenbezogener Daten für andere Zwecke, bei den Rechten der Betroffenen und bei den Befugnissen der Datenschutzbehörden.

Paradoxer Weise werden trotz der hohen Regelungsintensität die in der DSGVO enthaltenen Gestaltungsspielräume für nationale Datenschutzregelungen nur unzureichend ausgefüllt. So fehlen etwa jegliche Ausführungen zum Ausgleich zwischen den Rechtsgütern Datenschutz und Meinungsfreiheit, die gerade angesichts der aktuellen Diskussionen über Fakenews und Hatespeach dringend erforderlich wären. Diese schwierige Materie will der Bund offenbar den Ländern überlassen – mit ungewissem Ausgang.

… auf reduziertem Datenschutzniveau

Die Frage drängt sich auf: Warum das ganze? Die DSGVO wird ab Mai 2018 als direkt in den Mitgliedstaaten anwendbares Recht gelten und der deutsche Gesetzgeber hätte sich mit einer schlanken Regelung begnügen können, die sich auf die wesentlichen Dinge – etwa die Ausgestaltung der Aufsichtsbefugnisse der Datenschutzbehörden, die Benennung betrieblicher Datenschutzbeauftragter, den Rechtsschutz der Betroffenen und das Füllen der expliziten Regelungsspielräume etwa bei Beschäftigten-, Gesundheits- und Forschungsdaten. Warum also so kompliziert und wortreich, wo es doch einfacher ginge?

Die Antwort erschließt sich erst auf den zweiten Blick: Viele der Regelungen senken das Datenschutzniveau gegenüber der DSGVO ab. So werden die Rechte auf Information, Auskunft und Löschung personenbezogener Daten eingeschränkt. Auf der anderen Seite werden insbesondere den Behörden zusätzliche Befugnisse eingeräumt: Sie dürfen mehr Daten erheben, auswerten und übermitteln als in der DSGVO vorgesehen. Last but not least: Auch die Videoüberwachung soll ausgeweitet werden, wobei im Zweifel die Rechte der Betroffenen zurückzustehen haben.

Fazit

Die Bundesregierung bemüht sich also nach Kräften, die Legende vom „hohen deutschen Datenschutzniveau“ zu entkräften. Dies ist insbesondere deshalb fatal, weil sie zugleich auch einen der größten europapolitischen Erfolge – an dem übrigens auch der neue SPD-Kanzlerkandidat Martin Schulz in seiner Funktion als Präsident des Europäischen Parlaments maßgeblich mitgewirkt hat -, die EU-Datenschutzreform konterkariert. Der deutsche Bundestag und der Bundesrat sollten dieses für die Zukunft der Informationsgesellschaft zentrale Vorhaben nicht durchwinken, sonderm kritisch überprüfen und korrigieren.

« Older Entries