DSAnpUG-EU: Datenschutzbehörden müssen zukünftig draußenbleiben

In der heutigen Anhörung des Bundestags-Innenausschusses zum „Datenschutzanpassungs- und Umsetzungsgesetz EU“ (DSAnpUG-EU), mit dem das deutsche Datenschutzrecht an die Vorgaben der neuen europäischen Datenschutzregelungen angepasst werden soll, wurde auch über eine brisante Neuregelung gesprochen, die bisher wenig Aufmerksamkeit hatte, obwohl sie von zentraler Bedeutung für den Schutz der Privatsphäre ist:

Wenn es nach der Bundesregierung geht, wird die Datenschutzkontrolle bei „Berufsgeheimnisträgern“ drastisch eingeschränkt. In § 29 Abs. 3 des Regierungsentwurfs heißt es:

„Gegenüber den in § 203 Absatz 1, 2a und 3 des Strafgesetzbuchs genannten Personen oder deren Auf-tragsverarbeitern bestehen die Untersuchungsbefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 1 Buch-stabe e und f der Verordnung (EU) 2016/679 nicht, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflichten dieser Personen führen würde.“

Die Mitarbeiter der Aufsichtsbehörden hätten keinen Anspruch mehr, Krankenhäuser, Arzt- und Tierarztpraxen, Anwalts- oder Notariatskanzleien, Apotheken, Steuerberatungs- und Buchführungsbüros oder Suchtberatungsstellen zu betreten, um vor Ort die Datenverarbeitung zu prüfen. Nicht mehr effektiv prüfbar wären auch Unternehmen der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle. Die Aufsichtsbehörden hätten auch keinen Zugang mehr zu den sensiblen Daten, die in diesen Bereichen verarbeitet werden. Keine Prüfung soll es auch bei Auftragsdatenverarbeitern dieser Einrichtungen geben, etwa bei Cloud Services, die medizinische Daten verarbeiten, bei der DATEV oder bei Apothekenrechenzentren.

In diesen für den Datenschutz zentralen Bereichen könnten die Datenschutzbehörden nur noch allgemeine Befragungen hinsichtlich der Datenverarbeitung durchführen, aber keinen Einblick in Datenbanken oder übertragene Informationen nehmen und sie könnten Behauptungen der Berufsgeheimnisträger bzw. der Geschäftsleitungen zum konkreten Umgang mit personenbezogenen Daten nicht mehr nachprüfen.

Die von den Regierungsfraktionen vorgesehene Neuregelung wäre ein fatales Signal gegenüber allen, denen ein effektiver Schutz der Privatsphäre wichtig ist. Ein derartiger aufsichtsfreier Raum widerspricht den Vorgaben des Bundesverfassungsgerichts, das eine lückenlose Kontrolle der Einhaltung der datenschutzrechtlichen Vorschriften durch unabhängige Datenschutzbehörden für unverzichtbar hält.

Die Regierungsfraktionen von CDU/CSU und die SPD haben heute überraschend angekündigt, den Gesetzentwurf noch in dieser Woche in 2. und 3. Lesung im Bundestag zu behandeln. Ob und inwieweit  so kurzfristig noch substanzielle Änderungen erfolgen, erscheint mir eher als unwahrscheinlich.

Mit freundlichen Grüßen

Peter Schaar

Welcome to the State of Emergency!

Wenn Angela Merkel am 13. März 2017 in die USA reist, betritt sie ein Land im Ausnahmezustand. Im Ausnahmezustand sind die USA nicht erst seit dem Amtsantritt Donald Trumps, sondern seit dem 11. September 2001, dem Datum der terroristischen Anschläge auf New York und Washington. Am 14. September 2001 ermächtigten Senat und Repräsentantenhaus den US-Präsidenten in einem nur sechzig Worte umfassenden Gesetz, mit „notwendiger und angemessener Gewalt“ gegen Länder, Organisationen und Personen vorzugehen, „welche die Terrorangriffe angezettelt, geplant, autorisiert, begangen, unterstützt und durchgeführt haben oder solchen Personen Zuflucht gewährt haben.“ Am selben Tag erklärte Präsident Bush rückwirkend ab dem 11. September den Ausnahmezustand („state of emergency“).  und daran anknüpfende militärische Anordnungen. Diese Ermächtigungen gelten bis heute. Sie statteten den US-Präsidenten mit zusätzlicher Macht aus, über seine ohnehin schon weitreichenden Befugnisse in „normalen Zeiten“ hinaus.

Viele der Überwachungsmaßnahmen, von denen die Welt erst im Jahr 2013 durch die Enthüllungen Edward Snowdens Kenntnis genommen hat (auch wenn es entsprechende Hinweise schon sehr viel früher gab), basieren auf diesen Notstandsbefugnissen. Genauso wie das Gefangenenlager auf Guantanamo Bay, wo den Gefangenen im „Global War on Terror“ nicht nur jeglicher Rechtsschutz verweigert wird, sondern auch der Status von Kriegsgefangenen nach der Genfer Konvention. Auch die „extralegalen Tötungen“ – man könnte auch sagen: Morde – mittels Drohnenangriffen in Staaten, mit denen die USA nicht im Krieg sind, werden fortgesetzt und vieles spricht dafür, dass in Deutschland gelegene Kommandozentralen des US-Militärs dabei eine wichtige Rolle spielen.

Nicht nur George W. Bush hat die ihn eingeräumten Notstandsbefugnisse genutzt, sondern auch sein Nachfolger Barrack Obama und auch der jetzige Präsident Donald Trump. Seinen „Muslim Ban“ – die Einreisesperre gegen Menschen aus verschiedenen Ländern mit moslemischer Mehrheit – hat Trump als wichtige Maßnahme gegen den Terrorismus gekennzeichnet. Genauso rechtfertigt übrigens der türkische Präsident Recep Tayyip Erdoğan sein rabiates Vorgehen gegen Journalisten und andere Kritiker mit dem „Kampf gegen den Terrorismus“ – nach seinen Maßstäben ist sogar der Bürgermeister der baden-württembergischen Stadt Gaggenau, der ein Wahlkampfveranstaltung eines türkischen Ministers aus Sicherheitsbedenken untersagte, ein Terrorhelfer.

In Frankreich gilt der Ausnahmezustand (état d’urgence) seit November 2015, als die Regierung auf die koordinierten islamistischen Anschläge auf Restaurants und die Konzerthalle Bataclan in Paris reagierte. Die Türkei und Frankreich haben für die Dauer des Ausnahmezustands die Europäische Menschenrechtscharta „suspendiert“. Verhaftungen, Durchsuchungen, Demonstrationsverbote und andere Grundrechtseingriffe sind währenddessen auch ohne richterliche Genehmigung zulässig.

Wird also Angela Merkel mit Präsident Trump darüber sprechen, dass der Ausnahmezustand und die damit verbundenen Grundrechtseinschränkungen und Menschenrechtsverletzungen mit dem westlichen Verständnis von Rechsstaatlichkeit und Demokratie unvereinbar sind? Eher nicht, denn auch Deutschland hat auf terroristische Bedrohungen seit mehr als 15 Jahren mit immer tieferen Grundrechtseinschränkungen reagiert: Polizei und Geheimdienste wurden mit immer weiter gehenden zusätzlichen Befugnissen ausgestattet, sie haben Zugang zu vielfältigen Daten – bei Banken, Reisebüros, Telefongesellschaften. Unsere Telekommunikationsdaten werden auf Vorrat gespeichert, wir reisen mit Pässen und Personalausweisen, in denen biometrische Merkmale gespeichert werden.

Die Aufrüstung des Sicherheitsapparats geht weiter: Nach dem Anschlag auf den Berliner Weihnachtsmarkt am 19. Dezember 2016 hat die Bundesregierung im Schnelldurchgang weitere Gesetze beschlossen. Die Videoüberwachung in „großflächigen Anlagen und im öffentlichen Personenverkehr“ soll ausgeweitet werden. Es soll ein umfassender Datenverbund zwischen den Polizeibehörden des Bundes und der Länder geschaffen werden, bestehende Zweckbegrenzungen für bestimmte Dateien mit besonders sensiblen Daten werden aufgehoben. Fluggesellschaften, Buchungszentralen und Reisebüros müssen zukünftig eine Vielzahl von Passagierdaten an eine neu einzurichtende „Fluggastdatenzentralstelle“ übermitteln, wo die Daten nach verdächtigen „Mustern“ abgeglichen werden. Das Bundesamt für Migration soll den Zugriff auf die informationstechnischen Systeme immer dann verlangen können, wenn sich der zuständige Sachbearbeiter davon nützliche Erkenntnisse“ über den Asylbewerber verspricht, weil sie „für die Feststellung seiner Identität und Staatsangehörigkeit von Bedeutung sein können“. Eine richterliche Anordnung dieses tiefen Eingriffs in die Grundrechte der Asylbewerber ist nicht vorgesehen.

Der Ausnahmezustand ist also längst zum Normalzustand geworden, nicht nur in den USA, sondern auch bei uns. Das ist der eigentliche Grund, warum Angela Merkel den Ausnahmezustand in den USA mit seinen fatalen Folgen wohl nicht mit Donald Trump besprechen wird.

Neues Asylgesetz: Warum das Auslesen von Smartphones ein schwerer Grundrechtseingriff ist

Immer häufiger wird darüber berichtet, dass Behörden Einblick in elektronische Gerätschaften und die darauf gespeicherten Daten nehmen wollen. Dies betrifft zum einen Strafverfahren, aber zunehmend auch andere Bereiche, etwa die Kontrolle von Reisenden durch US-Grenzbehörden oder – jüngstes Beispiel – die Bearbeitung von Asylanträgen und die Durchsetzung der Ausreisepflicht abgelehnter Asylbewerber.

Das Bundeskabinett hat am  20. Februar 2017  den Entwurf eines „Gesetzes zur besseren Durchsetzung der Ausreisepflicht“ beschlossen. Neben anderen Maßnahmen enthält es eine Regelung, die den Asylbewerber dazu verpflichtet,

„ …im Falle des Nichtbesitzes eines gültigen Passes oder Passersatzes an der Beschaffung eines Identitätspapiers mitzuwirken und auf Verlangen alle Datenträger, die für die Feststellung seiner Identität und Staatsangehörigkeit von Bedeutung sein können und in deren Besitz er ist, den mit der Ausführung dieses Gesetzes betrauten Behörden vorzulegen, auszuhändigen und zu überlassen“ (§ 15 Abs. 2 Nr. 6 Asylgesetz).

Die Neuregelung wird wie folgt begründet:

„Die Identitätsprüfung ist bei Personen ohne Ausweisdokumente oft langwierig und fehleranfällig. Um die Identitätsprüfung zu erleichtern, kann die Auswertung von Datenträgern, wie Mobiltelefonen, Tablets und Laptops, wichtige Erkenntnisse liefern. Entsprechende Hinweise lassen sich in zunehmendem Maße nicht nur Mobiltelefonen, sondern auch anderen Datenträgern, die die Betreffenden mit sich führen, entnehmen. So können etwa die Adressdaten in dem Mobiltelefon eines ausreisepflichtigen Ausländers beziehungsweise gespeicherte Verbindungsdaten aufgrund der Auslandsvorwahl wesentliche Hinweise auf eine mögliche Staatsangehörigkeit geben.“

Das Bundesverfassungsgericht hatte bereits in seiner Entscheidung zur „Online-Durchsuchung“ am 22. Februar 2008 (1 BvR 370/07) festgestellt, dass die Nutzung informationstechnischer Systeme für die Persönlichkeitsentfaltung vieler Bürger von zentraler Bedeutung ist und zugleich neuartige Gefährdungen der Persönlichkeit mit sich bringt:

„Eine Überwachung der Nutzung solcher Systeme und eine Auswertung der auf den Speichermedien befindlichen Daten können weit reichende Rückschlüsse auf die Persönlichkeit des Nutzers bis hin zu einer Profilbildung ermöglichen. Hieraus folgt ein grundrechtlich erhebliches Schutzbedürfnis.“

Dieses Schutzbedürfnis ist vergleichbar mit dem durch Art. 10 Grundgesetz geschützten Fernmeldegeheimnis und der durch Art. 13 Grundgesetz garantierten Unverletzlichkeit der Wohnung. Um dem Rechnung zu tragen, hat das Gericht aus dem allgemeinen Persönlichkeitsrecht ein Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme abgeleitet, das so genannte „Computergrundrecht“. Weitere Grundrechtspositionen, die ihr zu beachten sind, ergeben sich aus dem Datenschutz (Grundrecht auf informationelle Selbstbestimmung) und dem Schutz des Kernbereichs der privaten Lebensgestaltung.

Wenn man bedenkt, dass  seit dieser Entscheidung neun Jahre vergangen sind, in denen sich die Informationstechnik dramatisch weiterentwickelt hat, hat die Bedeutung des Schutzes der  technisch generierten und gespeicherten Informationen dramatisch zugenommen. Dies gilt insbesondere für die seinerzeit kaum verbreiteten Smartphones, die inzwischen verschiedenste Funktionen in sich vereinen und die über nahezu unerschöpfliche direkte oder indirekte (Cloud) Speichermöglichkeiten verfügen.

Behörden oder sonstige Stellen, die Einsicht in Smartphones, Laptops und Tablet Computer nehmen, verschaffen sich damit Zugang zum gesamten digitalen Abbild des Lebens der Nutzer.  Im konkreten  Anwendungsfall – im Asylverfahren –  ist damit zu rechnen, dass auf Smartphones und Tablet Computern eine Vielzahl höchst sensibler Informationen gespeichert sind,  welche die Erlebnisse, Kontakte und Gefühle der  Asylbewerber offen legen, genauso wie vielfältige . Zudem befinden sich darauf vielfach  Informationen über anwaltliche Beratungen, die Konsultation von Hilfseinrichtungen für Traumatisierte, zu Menschenrechtsorganisationen oder Flüchtlingsinitiativen.

Das Bundesamt für Migration darf den Zugriff auf die informationstechnischen Systeme nicht nur dann verlangen, wenn dies für die Identitätsfeststellung unabdingbar ist. Die Verpflichtung zur Aushändigung greift immer schon  dann, wenn sich der zuständige Sachbearbeiter davon nützliche Erkenntnisse“ über den Asylbewerber verspricht, weil sie „für die Feststellung seiner Identität und Staatsangehörigkeit von Bedeutung sein können“.

Zwar soll die Auswertung der Daten gemäß dem neuen § 15a Asylgesetz „nur zulässig (sein), soweit dies für die Feststellung der Identität und Staatsangehörigkeit des Ausländers … erforderlich ist und der Zweck der Maßnahme nicht durch mildere Mittel erreicht werden kann.“ Im Hinblick auf das von der Neuregelung verfolgte Ziel ist zu erwarten, dass die Datenauswertung stets dann erfolgt, wenn von dem Asylbewerber kein nachweislich echtes Identitätspapier  vorgelegt werden kann oder Zweifel an der Echtheit der vorgelegten Pässe oder Ausweise bestehen. Dies betrifft mehrere 100.000 Flüchtlinge, die in den letzten Jahren nach Deutschland gekommen sind.

Auch inhaltlich  wird die Auswertung der Datenträger nicht wirksam begrenzt. Prinzipiell kann jedes auf einem Smartphone gespeicherte Datum die Identitätsfststellung erleichtern: Nicht nur Kontaktlisten, das Surfverhalten im Internet, Standortdaten und Verbindungsdaten der Telekommunikation oder die Spracheinstellungen dürfen ausgewertet werden. Auch die Inhalte von E-Mails, Kurz- und Sprachnachrichten oder sonstigen Dokumenten und Fotografien fallen unter die neue Regelung. Mit anderen Worten: Die Neuregelung ermöglicht einen umfassenden Einblick in das Leben der Betroffenen.

Nach der Gesetzesbegründung soll dem vom Bundesverfassungsgericht geforderten absoluten Schutz des Kernbereichs der Privatsphäre dadurch Rechnung getragen werden, dass bei Vorliegen tatsächlicher Anhaltspunkte, dass „allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt würden“,  die Auswertung zu unterbleiben habe. Diese Formel ist nichts anderes als weiße Salbe. Welchem Datenträger sieht man schon an, dass er allein solche höchst privaten Informationen enthält?

Auch wenn der nun von der Bundesregierung beschlossene Zugang zu elektronischen Gerätschaften – anders als bei der Online-Durchsuchung – offen, also in Kenntnis des Betroffenen erfolgen soll, handelt es sich doch um einen schwerwiegenden Eingriff in Grundrechte. Ein solcher Grundrechtseingriff darf gesetzlich nur angeordnet werden, wenn die Verhältnismäßigkeit der Mittel gewahrt bleibt und entsprechende verfahrensmäßigen Sicherungen, etwa eine gerichtliche Anordnung und entsprechende technisch-organisatorische Maßnahmen, gewährleistet sind.

Alle diese Voraussetzungen fehlen bei dem von der Bundesregierung beschlossenen Gesetzentwurf.

Führt das Fehlen von Dateianordnungen beim BND zur Rechtswidrigkeit der Datenverarbeitung?

In der 130. Sitzung des NSA-Untersuchungsausschusses des Deutschen Bundestags am 15.2.2017 ist die Frage angesprochen worden, wie das Fehlen einer im BND-Gesetz vorgesehenen Dateianordnung zu bewerten sei. Der Bundestagsabgeordnete Schipanski wird in einem Beitrag des Blogs Netzpolitik mit der Aussage zitiert, ich hätte als ehemaliger Bundesbeauftragter für den Datenschutz die Auffassung vertreten, dass es sich beim Fehlen einer Dateianordnung bloß um einen „formalen“ Gesetzesverstoß handele, der keine materielle Rechtswidrigkeit der Datei zur Folge habe.

Richtig ist: Nicht jeder Verstoß gegen Verfahrensvorschriften des Datenschutzrechts führt automatisch zur Rechtswidrigkeit der entsprechenden Datei. Aus einem fahrlässigen „Versäumen“ einer gesetzlich vorgesehenen Verpflichtung allein ergibt sich nicht zwingend eine Löschungsverpflichtung der betreffenden Daten. Anders sieht es aber aus, wenn eine Dateianordnung – und damit auch die Meldung gegenüber dem/der Bundesdatenschutzbeauftragten willentlich oder sogar systematisch unterbleibt und somit eine datenschutzrechtliche Prüfung der Datei nicht möglich ist. Zudem muss berücksichtigt werden, dass die Dateianordnung, die von der zuständigen Fachaufsicht (beim BND übt das Bundeskanzleramt diese Funktion aus) zu genehmigen ist, die Zwecke der Verarbeitung und die Voraussetzungen der Speicherung, Übermittlung und Nutzung (betroffener Personenkreis, Arten der Daten) festzulegen hat. Ohne Dateianordnung fehlen diese zentralen verfahrensrechtlichen Sicherungen.

Eine solche Praxis – die es offenbar gegeben hat – ist nicht nur als „minder schwerer“ Formalverstoß zu bewerten, sondern als Aushebelung der unabhängigen Datenschutzkontrolle, die vom Bundesverfassungsgericht in seiner Rechtsprechung seit dem Volkszählungsurteil von 1983 als unabdingbar für die Wahrung der Grundrechte angesehen wird.

Das BVerfG führt dazu in Rz. 207 des Urteils des Ersten Senats vom 24. April 2013 – 1 BvR 1215/07 -(„Antiterrordatei“) aus:

„Die aufsichtliche Kontrolle flankiert die subjektivrechtliche Kontrolle durch die Gerichte objektivrechtlich. Sie dient – neben administrativen Zwecken – der Gewährleistung der Gesetzmäßigkeit der Verwaltung insgesamt und schließt dabei den Schutz der subjektiven Rechte der Betroffenen ein. Dass auch Anforderungen an die aufsichtliche Kontrolle zu den Voraussetzungen einer verhältnismäßigen Ausgestaltung der Datenverarbeitung gehören können (vgl. BVerfGE 100, 313 <361> unter Verweis auf BVerfGE 30, 1 <23 f., 30 f.>; 65, 1 <46>; 67, 157 <185>), trägt dem Umstand Rechnung, dass es sich bei der Speicherung und Verarbeitung von Daten um Eingriffe handelt, die für die Betreffenden oftmals nicht unmittelbar wahrnehmbar sind und deren freiheitsgefährdende Bedeutung vielfach nur mittelbar oder erst später im Zusammenwirken mit weiteren Maßnahmen zum Tragen kommt. Eingriffe in das Recht auf informationelle Selbstbestimmung können deshalb auch dann unverhältnismäßig sein, wenn sie nicht durch ein hinreichend wirksames aufsichtsrechtliches Kontrollregime flankiert sind. Dies hat umso größeres Gewicht, je weniger eine subjektivrechtliche Kontrolle sichergestellt werden kann.“

Die  Umgehung der gesetzlich vorgeschriebenen Kontrollmechanismen und sonstigen verfahrensrechtlichen Sicherungen führt also zur materiellen Rechtswidrigkeit.

„Datenschutzanpassungs- und Umsetzungsgesetz“ – Zu kurz gesprungen

Unhandlich und trotzdem unvollständig  …

Die Bundesregierung hat heute den Entwurf für ein „Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)“ beschlossen. So unhandlich der Titel ist, so unlesbar ist die Vorschrift selbst. Allein die zentrale Vorschrift, das neue Bundesdatenschutzgesetz, umfasst 85 Paragraphen und ist damit doppelt so lang wie das bisherige BDSG. Wer in Zukunft wissen will, welche Datenschutzbestimmungen in Deutschland zu beachten sind, muss die EU-Datenschutzgrundverordnung (DSGVO) und das neue BDSG nebeneinanderlegen. Zudem bleibt völlig unklar, was aus den datenschutzrechtlichen Regelungen in den vielen Spezialgesetzen wird – vom Sozialgesetzbuch über das Telekommunikations- und Medienrecht bis zum Bundesstatistikgesetz -, die (zunächst) in Kraft bleiben, ganz zu schweigen von den vielfältigen Bestimmungen im Landesrecht.

Ohne Rat von auf das Datenschutzrecht spezialisierten Anwälten wird es Unternehmen und Bürgern also auch in Zukunft nicht leicht fallen, sich datenschutzkonform zu verhalten oder Datenschutzrechte – etwa das Recht auf Auskunft oder Löschung – durchzusetzen.

… europarechtswidrig …

Die Unhandlichkeit des Gesetzeswerks ist vor allem der Tatsache geschuldet, dass man in der Bundesregierung mit der von der Europäischen Union beschlossenen Datenschutzreform nicht einverstanden ist, unbeschadet der Tatsache, dass Deutschland der EU-DSGVO (Verordnung (EU) 2016/679) und der Datenschutzrichtlinie für Polizei und Justiz (Richtlinie (EU) 2016/680) zugestimmt hat, die im Mai 2018 wirksam werden. Den ganzen Text durchzieht das Bemühen, soviel vom alten BDSG zu „retten“ wie möglich. Das Ergebnis ist fatal: Das neue BDSG wiederholt viele Vorschriften des DSGVO, unterscheidet sich aber vielfach im Detail. Dies widerspricht zum einen dem „Wiederholungsverbot“ bei direkt anwendbarem EU-Recht. Viel gravierender ist es aber, dass in der Substanz von den europarechtlichen Vorgaben abgewichen wird, insbesondere bei der Verarbeitung personenbezogener Daten für andere Zwecke, bei den Rechten der Betroffenen und bei den Befugnissen der Datenschutzbehörden.

Paradoxer Weise werden trotz der hohen Regelungsintensität die in der DSGVO enthaltenen Gestaltungsspielräume für nationale Datenschutzregelungen nur unzureichend ausgefüllt. So fehlen etwa jegliche Ausführungen zum Ausgleich zwischen den Rechtsgütern Datenschutz und Meinungsfreiheit, die gerade angesichts der aktuellen Diskussionen über Fakenews und Hatespeach dringend erforderlich wären. Diese schwierige Materie will der Bund offenbar den Ländern überlassen – mit ungewissem Ausgang.

… auf reduziertem Datenschutzniveau

Die Frage drängt sich auf: Warum das ganze? Die DSGVO wird ab Mai 2018 als direkt in den Mitgliedstaaten anwendbares Recht gelten und der deutsche Gesetzgeber hätte sich mit einer schlanken Regelung begnügen können, die sich auf die wesentlichen Dinge – etwa die Ausgestaltung der Aufsichtsbefugnisse der Datenschutzbehörden, die Benennung betrieblicher Datenschutzbeauftragter, den Rechtsschutz der Betroffenen und das Füllen der expliziten Regelungsspielräume etwa bei Beschäftigten-, Gesundheits- und Forschungsdaten. Warum also so kompliziert und wortreich, wo es doch einfacher ginge?

Die Antwort erschließt sich erst auf den zweiten Blick: Viele der Regelungen senken das Datenschutzniveau gegenüber der DSGVO ab. So werden die Rechte auf Information, Auskunft und Löschung personenbezogener Daten eingeschränkt. Auf der anderen Seite werden insbesondere den Behörden zusätzliche Befugnisse eingeräumt: Sie dürfen mehr Daten erheben, auswerten und übermitteln als in der DSGVO vorgesehen. Last but not least: Auch die Videoüberwachung soll ausgeweitet werden, wobei im Zweifel die Rechte der Betroffenen zurückzustehen haben.

Fazit

Die Bundesregierung bemüht sich also nach Kräften, die Legende vom „hohen deutschen Datenschutzniveau“ zu entkräften. Dies ist insbesondere deshalb fatal, weil sie zugleich auch einen der größten europapolitischen Erfolge – an dem übrigens auch der neue SPD-Kanzlerkandidat Martin Schulz in seiner Funktion als Präsident des Europäischen Parlaments maßgeblich mitgewirkt hat -, die EU-Datenschutzreform konterkariert. Der deutsche Bundestag und der Bundesrat sollten dieses für die Zukunft der Informationsgesellschaft zentrale Vorhaben nicht durchwinken, sonderm kritisch überprüfen und korrigieren.

America First: Datenschutz nur noch für (US-)Inländer

Die amerikanischen Technologie-Giganten Google, Facebook, Microsoft, Twitter und Amazon  werden womöglich die ersten Opfer der von Präsident Trump verfolgten „America First“- Politik sein. Trump unterzeichnete  am 25. Januar  2017 die Anordnung (Executive Order)  zur Verbesserung der öffentlichen Sicherheit. Schon jetzt ist deutlich, dass die Politik der Trump-Administration  einem gemeinsamen Datenschutz-Verständnis  zwischen den USA und der EU diametral  entgegen laufen.

Section 14 hat folgenden Wortlaut:

„Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“

Auch wenn sich diese Bestimmung vermutlich zunächst gegen diejenigen Personen richten soll, die sich illegal in den Vereinigten Staaten aufhalten, hat sie doch auch erhebliche Auswirkungen auf den transatlantischen Datentransfer. Vor allem das Abkommen zwischen der Europäischen Union und der US-Regierung „Privacy Shield“ ist betroffen. Das  erst im letzten Sommer ausgehandelte  Abkommen gestattet es Unternehmen, welche die Einhaltung der Privacy Shield Prinzipien gewährleisten, personenbezogene Daten aus der Europäischen Union in die USA zu übermitteln.

Voraussetzung für die Übermittlung ist ein „angemessenes Datenschutzniveau“, also ein dem EU-Recht gleichwertiger Schutz für die in die USA transferierten personenbezogenen Daten. Die Europäische Kommission hat am 12. Juli 2016 auf Basis des US-Rechts und der Zusicherungen der Obama-Administration die Existenz eines gleichwertigen  Datenschutzes festgestellt (Angemessenheitsbeschluss). Privacy Shield trat damit an die Stelle des Safe Harbour Arrangements, welches der Europäische Gerichtshof am 6. Oktober 2015 annulliert hatte, da es  den in  Art. 8 der EU-Grundrechtecharta garantierten Schutz personenbezogener Daten nicht gewährleistete.

Zu den Zusicherungen der US-Seite gehörte die Auslegung des US-Rechts in der Weise, dass die US Datenschutzbestimmungen – soweit rechtlich zulässig –  auch für Daten von EU-Bürgern angewandt werden. Damit dürfte jetzt Schluss sein.

Eine wichtige Basis bildete auch der vom US-Kongress im Februar 2016 gebilligte Judicial Redress Act (JRA), der  die Grundlage dafür bereitstellt, dass sich EU-Bürgerinnen und Bürger an US-Behörden wenden können, wenn sie der Auffassung sind, dass US-Behörden ihre Daten zu Unrecht verarbeiten.  Allerdings räumt der JRA den EU-Bürgern solche Klagerechte nicht selbst ein, sondern macht dies von einer Anordnung des US-Justizministers (Attorney General) abhängig. Die scheidende Obama-Administration hat eine entsprechende Erklärung wenige Tage vor der Inauguration Donald Trumps herausgegeben, die neben der Europäischen Union als Ganzes, 26 ihrer Mitgliedstaaten und Zypern umfasst  Die oben zitierte Executive Order  könnte so verstanden werden, dass das Justizministerium die „Privilegierung“ der Bürger anderer Staaten zurücknimmt, welche am 1. Februar 2017 in Kraft treten soll.

Unabhängig davon ist zu befürchten, dass die – nach den Snowden-Enthüllungen   von US-Präsident Obama angeordneten – partiellen Sicherungen des Datenschutzes für Nicht-Amerikaner bei der geheimdienstlichen Überwachung außer Kraft gesetzt werden. Damit würden auch die Erklärungen des US-Geheimdienstkoordinators im Rahmen der Privacy Shield—Verhandlungen obsolet.

Vor diesem Hintergrund muss die EU-Kommission unverzüglich handeln. Sie darf mit der Prüfung, ob die Voraussetzungen für eine Fortgeltung des Angemessenheitsbeschlusses zum Privacy Shield  noch gegeben sind, nicht erst bis zur ersten, im Sommer d.J. vorgesehenen regulären Privacy Shield Review warten. Aber auch die europäischen Datenschutzbehörden sind gefragt. Der Europäische Gerichtshof hat Ihnen in seiner Safe Harbour-Entscheidung auferlegt, Zweifeln an einem angemessenen Datenschutzniveau selbstständig nachzugehen und damit nicht auf eine entsprechende  Feststellung der Kommission zu warten.

Presseerklärung: Alexander Dix ist „International Privacy Champion 2017“

Berlin, den 26. Januar 2017

Presseerklärung

Die einflussreiche US-Datenschutzorganisation EPIC (Electronic Privacy Information Center) hat Dr. Alexander Dix mit ihrem internationalen Datenschutzpreis „International Privacy Champion“ für das Jahr 2017 ausgezeichnet. Dix ist stellvertretender Vorsitzender der Europäischen Akademie für Informationsfreieheit und Datenschutz (EAID) und war bis 2015 langjähriger Landesbeauftragter für Datenschutz und Informationsfreiheit der Länder Brandenburg und Berlin.

Dr. Dix, dem die Auszeichnung in Brüssel übergeben wurde, bedankte sich für den Preis und erklärte: „Ich war und bin der Auffassung, dass Datenschutz und Informationsfreiheit nur auf internationaler Ebene effektiv verteidigt werden können. EPIC hat hier beeindruckende Leistungen vorzuweisen. Internationale Kooperation ist für die Durchsetzung von Datenschutz und Open Government weiterhin von entscheidender Bedeutung.“

Peter Schaar, der die EAID gemeinsam mit Dix leitet, erklärte: „Wir freuen uns sehr über die wichtige Auszeichnung für Dr. Dix. Er hat sich mit großem Einsatz und Erfolg für internationale Lösungen beim Datenschutz und bei der Informationsfreiheit eingesetzt. Als langjähriger Vorsitzender der Internationalen Arbeitsgruppe für den Datenschutz in der Telekommunikation („Berlin Group“) hat er den internationalen Datenschutz wie kaum ein Zweiter geprägt. Ich freue mich darüber, dass ich mit ihm in der EAID weiterhin eng zusammenarbeiten kann.“

Presseerklärung von EPIC: https://epic.org/press/PRESS-Release-EPIC-Dix-24-1-17.pdf

Biographische Angaben zu Dr. Alexander Dix: https://www.eaid-berlin.de/?page_id=1326

Kontakt: Peter Schaar
Tel. +49 30 75449550
psch@eaid-berlin.de
dix@eaid-berlin.de

EU-Datenschutz versus Medien- und Informationsfreiheit

Von Alexander Dix und Peter Schaar
– Bericht über eine Veranstaltung der Europäischen Akademie für Informationsfreiheit und Datenschutz am 1. Dezember 2016 in Berlin – für die Zeitschrift für Datenschutz
Seit jeher gibt es im Datenschutzrecht Sonderregeln für Medienunternehmen (z.B: das Medienprivileg im geltenden BDSG), die für einen Ausgleich zwischen den Grundrechten auf Datenschutz und Meinungs- bzw. Medienfreiheit sorgen sollen. Die mit der Medienfreiheit eng zusammenhängende Informationsfreiheit hat durch die Informationsfreiheitsgesetzgebung ebenfalls größere Bedeutung erlangt. Wie sind diese konkurrierenden Grundrechte in der Datenschutz-Grundverordnung zu einander in Beziehung gesetzt worden und welche Hausaufgaben haben die nationalen Gesetzgeber hier zu erledigen ?      Weiterlesen

Read here the deleted Obama Report on Privacy in our Digital Lives

On January 17th, 2017 US President Barack Obama published a report on digital privacy. Minutes after the transition to Trump on January 20th this report vanished from the White House Website. Nevertheless those who are interested, may read the full text of the report here, because we managed to get a copy (thanks to IAPP!)

 

Privacy_in_Our_Digital_Lives

« Older Entries