AfD-Meldeplattformen – wo bleibt der Datenschutz im Parlament ?

Das Vorhaben mehrerer AfD-Fraktionen in den Landtagen verschiedener Länder, Online-Plattformen einzurichten, auf denen Schüler dazu aufgerufen werden, Lehrer wegen kritischer Äußerungen zur AfD im Schulunterricht auch anonym anzuschwärzen, hat mit Recht Empörung ausgelöst. Die Brandenburgische Bildungsministerin hat von einem „Angriff auf den Schulfrieden“ gesprochen. Wie ist das Vohaben datenschutzrechtlich zu bewerten ? Welche Regeln gelten überhaupt für die Aktivitäten von Parlamentsfraktionen und wer setzt sie durch ? Diese Fragen sind auch von allgemeiner Bedeutung für den Fall, dass Parlamentsfraktionen künftig seriöse Projekte zur Erhebung von Bürgerdaten für parlamentarische Zwecke verfolgen sollten.
Der Bundestag und die Landtage sind öffentliche Stellen, die ebenso wie die Exekutive und die Gerichte den Bestimmungen der Datenschutzgrundverordnung unterliegen, soweit nicht die Strafjustiz betroffen ist oder andere Spezialvorschriften eingreifen. Einige Länder (z.B. Berlin und Hamburg) haben allerdings die Landtage pauschal vom Anwendungsbereich des Datenschutzrechts ausgenommen. Ob dies mit Europarecht vereinbar ist, kann man durchaus bezweifeln. Immerhin sehen aber einige Landesgesetze (z.B: in Brandenburg) vor, dass die Landesparlamente eigene Datenschutzordnungen erlassen, die auf die Datenverarbeitung zu parlamentarischen Zwecken anzuwenden sind. Das Abgeordnetenhaus von Berlin hat dagegen bisher davon abgesehen, eine entsprechende parlamentsinterne Regelung zu treffen, die von mehreren Berliner Datenschutzbeauftragten in der Vergangenheit vorgeschlagen wurden.

Die Kontrolle der Einhaltung datenschutzrechtlicher Bestimmungen (sei es der Datenschutzgrundverordnung oder einer parlamentarischen Datenschutzordnung) kann allerdings weder durch die jeweiligen Datenschutzbeauftragten des Bundes und der Länder noch gar durch die Exekutive erfolgen, auch wenn die Berliner Senatsbildungsverwaltung jetzt berechtigte Zweifel an der Rechtskonformität der Meldeplattform der AfD-Fraktion im Abgeordnetenhaus angemeldet hat. Das ergibt sich aus der verfassungsrechtlichen Gewaltenteilung. Das Bundesdatenschutzgesetz räumt der Bundesbeauftragten für den Datenschutz daher auch nur eine Beratungs- aber keine Kontrollbefugnis gegenüber den gesetzgebenden Körperschaften ein. Eine parlamentsinterne Kontrolle des Datenschutzes wird z.B. in Hamburg durch ein besonderes Datenschutgremium der Bürgerschaft, in Rheinland-Pfalz durch den Ältestenrat des Landtages gewährleistet.  Im Berliner Abgeordnetenhaus fehlt ein entsprechendes Gremium bisher.

So wichtig es ist, Vorhaben wie das mehrerer AfD-Landtagsfraktionen, mit denen Schüler zur Denunziation aufgefordert werden, politisch zu bekämpfen, so essenziell ist es zugleich, dass der Bundestag und alle Landtage für eine effektive Datenschutzkontrolle im parlamentarischen Bereich sorgen.

Alexander Dix

E-Evidence Regulation: Data supermarket for European Law Enforcement?

The idea is old, but the concrete proposal is rather new: Whereas goods flow freely in the EU internal market and digital services are offered across borders, the competence of law enforcement authorities ends at national borders. A police authority that wants to access data in the course of its investigations – for example in a fraud case – needs to contact the authorities of the state where the data are processed. How the foreign authority deal with such a request depends on the law of the country on whose territory the servers are located. The procedures are governed by the applicable international mutual legal assistance treaties (MLAT).

Such assessment is time-consuming and does not always has the result the requested data may be released to the foreign authority. For this reason the law enforcement and security community have been lobbying since years for easier access. Ideally, authorities should have direct access to data stored abroad. On 18 April 2018, the European Commission presented a draft EU regulation on this issue. The European Production and Preservation Orders for electronic evidence in criminal matters (E-Evidence Regulation) is intended to allow law enforcement authorities of the 28 member states direct cross-border access.

Restriction of fundamental rights by fast-track legislation ?

Since then, the European Parliament and the Council of Ministers have been working on the draft. Last week, the European Parliament published a critical study on the Commission’s draft. The Austrian government recently announced the ambitious goal of concluding negotiations in the Council of Ministers by 31 December 2018, when Austria will hand over the Presidency of the Council to Romania.

This legislative fast-track procedure is explosive in several respects: In contrast to a directive, an EU regulation would be directly applicable law in the member states and would not require transposition into national law. The regulation would mean a considerable restriction of fundamental rights, as issuing orders would have to be directly followed by providers of electronic services without a public authority or a court in the host country having examined whether issuing the order would also be permissible under national law.

On the other hand, the legal systems of the member states are not harmonised. They differ with regard to punishability, the levels of punishment and constitutional safeguards. Activities which are punishable in the issuing state but not in the state in which the processing takes place can thus be subject to an obligation to produce personal data. The European Commission is even conducting two proceedings against Poland and Hungary referring to the violation of the rule of law. The initiation of such proceedings against Romania is currently under discussion because the Romanian government also wants to restrict the independence of the courts in this country.

If the E-Evidence Regulation would be adopted in its proposed version, providers of electronic services (such as cloud providers, network operators, social media, hosting and telecommunications companies) would have to follow production orders of the foreign authorities directly without the chance of carrying out a substantive examination.

Comprehensive scope of application

Production Orders may be issued for any type of offence. The requirement to provide content and transaction data only for offences punishable by a maximum term of imprisonment of at least three years in the issuing State is not likely to dispel concerns. Contrary to what the Commission’s explanations on the E-Evidence Package suggest, the three years are not a minimum penalty, but a minimum maximum penalty. A glance at the German Criminal Code shows that this criterion applies to a large number of offences and not only to serious crimes. 

In Poland, for example, abortion is punishable by imprisonment for up to three years. Therefore the condition for a production order would thus be fulfilled. A Dutch or German provider would have to hand over the e-mails and traffic data to the Polish criminal prosecution authority if the latter were to investigate an abortion case, although in these countries abortion is exempt from punishment. The provider of an electronic accounting service the doctor is using could possibly also be the addressee of a corresponding production order.

This problem also becomes clear in the case of the Catalan exile politician Puigdemont, against whom a Spanish arrest warrant for „riot“ had been issued. According to the decision of the Higher Regional Court of Schleswig, the offence did not constitute a comparable criminal offence under German law. The European arrest warrant issued by Spain could not be executed against him in Germany. According to the draft E-Evidence Regulation, the German providers would nevertheless be obliged to issue corresponding electronic documents if a Spanish court issues a production order, because unlike the European arrest warrant, no review by a court of the target state would be required.

Impositions on providers

The situation for providers is completely unreasonable, too: they woul be subject to obligations they cannot check in a procedure that is in accordance with the rule of law. Not only courts and public prosecutors‘ offices, but any competent authority designated by the issuing state can issue a production order. In the 28 EU Member States, a very large number of authorities, possibly more than a thousand, will be given the power under national law to require companies to disclose data across borders, often without confirmation by a court. It is not even possible for companies to seriously examine whether an authority has the appropriate competence, or even whether it is an authority at all. It is true that the respective authorities are to prove that they have been validated in writing by a court or an other judicial authority. However, the draft regulation provides for it should be sufficient for the issuing authority to send a corresponding document by fax.

In view of the very short deadlines (in certain cases companies are obliged to deliver the data within six hours!), it is hardly possible for the recipient to check whether the fax and the stamp of a judicial authority contained on it is genuine, and it is not even certain whether the letter originates from an authority at all. Accordingly, there is a great risk of being taken in by a fake issuing order and transferring personal data to third parties without justification.

If a provider rejects to comply with a production order, he is threatened with considerable financial and criminal consequences. In addition, the considerable violation of the fundamental rights of the data subject brought about in this way represents a considerable liability risk for the provider for having unlawfully disclosed data.

No examination of legality in the target country

Whereas the European Investigation Order, another EU instrument introduced a few years ago, is subject to enforcement by the authorities in whose territory the processing takes place, the electronic production order is to be issued directly to the foreign provider. The E-Evidence Regulation does not provide for any substantial review by a domestic court or a domestic judicial authority. Procedural safeguards – such as the judge’s approval – might be circumvented if the law of the issuing state does not provide for such. Finally, requirements which the German Federal Constitutional Court has established, e.g. for the protection of the core area of private life, would not be guaranteed.

According to the draft E-Evidence Regulation the main responsibility for the transfer will be subject to the company to which the order is addressed – a problematic delegation to private entities. Companies have only very limited means of reviewing the legality and proportionality of a production order or of refusing to transmit the requested data. According to the draft they may only object to comply with an order if they consider that the information contained in the order indicates that it „manifestly“ infringes the Charter of Fundamental Rights of the European Union or it is manifestly abusive.

Real-time monitoring?

It is subject to the ongoing debate if and to what extent real-time monitoring („live interception“) shall be included in the E-Evidence Regulation in addition to the preservation and production of data already stored. But even if – as is to be expected – corresponding demands of some governments would not be supported by a majority in the European Parliament, the planned regulation would be a profound encroachment on European and national fundamental rights. It would be irresponsible to wave through such a regulation quickly without a thorough debate.

E-Evidence: Kommt jetzt der internationale Daten-Supermarkt der Sicherheitsbehörden?

Die Idee ist alt, aber der konkrete Vorschlag ziemlich neu: Während Waren im EU-Binnenmarkt frei fließen und digitale Dienstleistungen grenzüberschreitend angeboten werden, endet die Kompetenz der Strafverfolgungsbehörden an den nationalen Grenzen. Eine Polizeibehörde, die im Rahmen ihrer Ermittlungen – etwa in einer Betrugssache – auf Daten zugreifen möchte, muss sich bisher an die Behörden des Staates wenden, wo die Daten verarbeitet werden. Wie mit diesem Ersuchen der ausländischen Behörde umgegangen wird, richtet sich nach dem Recht des Staates, auf dessen Territorium die Server stehen. Die Prozeduren hierfür richten sich nach den jeweils anwendbaren internationalen Rechtshilfeabkommen.

Die entsprechenden Prüfungen sind zeitaufwendig und sie führen nicht immer dazu, dass die angeforderten Daten freigegeben werden. Deshalb wird aus Sicherheitskreisen schon seit langem gefordert, den Zugriff zu erleichtern. Idealerweise sollen die Behörden direkt auf die im Ausland gespeicherten Daten zugreifen können. Die Europäische Kommission hat am 18. April 2018 den Entwurf einer entsprechenden EU-Verordnung vorgelegt. Die „Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen“ (E-Evidence-VO) soll den Behörden nun den grenzüberschreitenden Direktzugriff ermöglichen. 

Grundrechtseinschränkung im Schnelldurchgang ?

Seither beschäftigen sich das Europäische Parlament und der Ministerrat mit dem Entwurf. Das Europäische Parlament hat in der letzten Woche eine kritische Studie zum Kommissionsentwurf veröffentlicht.

Die österreichische Regierung hat kürzlich das ambitionierte Ziel verkündet, die Verhandlungen im Ministerrat bis zum 31. Dezember 2018 abzuschließen, wenn Österreich die Ratspräsidentschaft an Rumänien abtritt. 

Dieser gesetzgeberische Schnelldurchgang ist in mehrfacher Hinsicht brisant: Im Unterschied zu einer Richtlinie wäre eine EU-Verordnung direkt anwendbares Recht in den Mitgliedsstaaten und bedürfte keiner Umsetzung in nationales Recht. Sie bedeutet die Verordnung einen erheblichen Einschnitt in die Bürgerrechte, denn Herausgabeanordnungen müssten von den Anbietern elektronischer Dienste unmittelbar befolgt werden, ohne dass eine Behörde oder ein Gericht des Sitzlandes geprüft hat, ob die Herausgabe auch nach nationalem Recht zulässig wäre.

Zum anderen sind aber die Rechtsordnungen der Mitgliedsstaaten nicht harmonisiert; sie unterscheiden sich im Hinblick auf die Strafbarkeit, die Höhe von Strafandrohungen und rechtsstaatliche Sicherungen. Die Europäische Kommission führt  sogar zwei Verfahren gegen die Verletzung der Rechtsstaatlichkeit gegen Polen und Ungarn. Die Einleitung eines entsprechenden Verfahrens gegen Rumänien wird gerade diskutiert, weil auch in diesem Land  nach dem Willen der Regierung die Unabhängigkeit der Gerichte eingeschränkt werden soll. 

Wenn die E-Evidence-Verordnung in der vorgeschlagenen Form beschlossen wird, müssten deutsche Anbieter elektronischer Dienstleistungen (etwa Cloud-Anbieter, Netzbetreiber, Social Media, Hosting- und Telekommunikationsunternehmen) Anordnungen der ausländischen Behörden folgen, ohne eine inhaltliche Prüfung vorzunehmen. Handlungen, die im Anordnungsstaat strafbar sind, nicht aber im Staat, in dem die Verarbeitung stattfindet, können so auch Gegenstand einer Herausgabeverpflichtung sein. 

Umfassender Anwendungsbereich

Anordnungen zur Herausgabe von Teilnehmer- und  Zugangsdaten können für jede Art von Straftaten  erlassen werden. Die Vorgabe, Inhalts- und Transaktionsdaten nur bei Straftaten,  die  im  Anordnungsstaat  mit  einer  Freiheitsstrafe  im Höchstmaß  von  mindestens  drei  Jahren  geahndet  werden, ist wenig geeignet, die Bedenken zu zerstreuen. Anders als es die Erläuterungen der Kommission zum E-Evidence-Paket nahelegen, handelt es sich bei den drei Jahren nicht um eine Mindeststrafe, sondern um eine Mindesthöchststrafe. Ein Blick in das deutsche Strafgesetzbuch zeigt, dass dieses Kriterium auf eine Vielzahl von Straftaten zutrifft und nicht etwa nur auf Verbrechen oder schwere Straftaten. So wird Abtreibung in Polen mit einer Freiheitsstrafe von bis zu drei Jahren bestraft.  Die Voraussetzung zur Herausgabe wäre damit erfüllt. 

Ein deutscher Anbieter müsste die E-Mails und die Verkehrsdaten an die polnische Strafverfolgungsbehörde herausgeben, soweit diese in einem Abtreibungsfall ermittelt. Der Anbieter eines elektronischen Buchhaltungsdienstes, bei dem der Arzt einen Account hat, könnte ggf. auch Adressat einer entsprechenden Herausgabeanordnung sein.

Anschaulich wird diese Problematik auch beim Fall des katalanischen Exilpolitikers Puigdemont, gegen den ein spanischer Haftbefehl wegen „Aufruhr“ ergangen war.

Nach dem Beschluss des OLG Schleswig erfüllte das Tatgeschehen nach deutschem Recht keinen vergleichbaren Straftatbestand. Der von Spanien erlassene Europäische Haftbefehl durfte gegen ihn in Deutschland nicht vollstreckt werden. Nach der E-Evidence-VO wären die deutschen Provider trotzdem zur Herausgabe entsprechender elektronischer Dokumente verpflichtet gewesen, denn anders als beim Eurpäischen Haftbefehl ist hier keine Überprüfung durch ein Gericht desjenigen Staats vorgesehen, in dem die Anordnung vollstreckt werden soll.

Zumutungen für Provider

Völlig unzumutbar ist zudem die Situation für die Provider: Ihnen werden Pflichten auferlegt, die sie in einem rechtsstaatlich einwandfreien Verfahren nicht überprüfen können. Nicht nur Gerichte und Staatsanwaltschaften, sondern jede vom Anordnungsstaat  bezeichneten zuständige  Behörde kann eine entsrechende Anordnung erlassen. Dies können auch Finanz-, Regulierungs- und Verkehrsbehörden oder mit entsprechenden Befugnissen ausgestattete Geheimdienste sein. In den 28 EU-Staaten werden demnach sehr viele, möglicherweise mehr als tausend Behörden nach dem jeweiligen nationalen Recht die Befugnis erhalten, von den Unternehmen grenzüberschreitend die Herausgabe von Daten zu verlangen, vielfach ohne gerichtliche Bestätigung. Den Unternehmen ist es nicht einmal möglich, seriös zu prüfen, ob eine Behörde die entsprechende Befugnis besitzt, ja sogar, ob es sich überhaupt um eine Behörde handelt. Zwar sollen die jeweiligen Behörden eine entsprechende  Validierung durch Schreiben eines Gerichtes oder einer sonstigen Justizbehörde nachweisen. Dafür soll es jedoch ausreichen, wenn der Absender ein entsprechendes Dokument per Fax übermittelt. 

Ob das Fax und der darauf enthaltene Stempel einer Justizbehörde echt ist angesichts der sehr kurzen Fristsetzungen (in bestimmten Fällen sind die Unternehmen verpflichtet, die Daten innerhalb von sechs Stunden zu liefern!) kaum zu überprüfen, ja es ist nicht einmal sicher, ob das Schreiben überhaupt von einer Behörde stammt. Entsprechend groß ist die Gefahr, auf eine gefälschte Herausgabeanordnung hereinzufallen und ohne Rechtfertigungsgrund personenbezogene Daten an Dritte zu übermitteln. 

Bei Nichtbefolgung der Anordnung drohen ihm gleichwohl erhebliche finanzielle und strafrechtliche Konsequenzen. Der so bewirkten erheblichen Verletzung der Grundrechte des Betroffenen entspricht zudem ein erhebliches Haftungsrisiko für den Provider, unrechtmäßig Daten herausgegeben zu haben.

Keine Prüfung der Rechtmäßigkeit

Während bei der Europäischen Ermittlungsanordnung (EEA), einem anderen vor wenigen Jahren einigeführten Instrument, die Vollstreckung den Behörden unterliegt, in dessen Gebiet die Verarbeitung stattfindet, soll die elektronische Herausgabeanordnung soll unmittelbar an den ausländischen Provider ergehen. Irgendeine inhaltliche Überprüfung durch ein inländisches Gericht oder eine inländische Justizbehörde ist in der E-Evidence-VO nicht vorgesehen. Damit werden zukünftig auch Daten an ausländische Stellen übermittelt, bei denen inländischen Behörden eine entsprechende Befugnis nicht zusteht. Auch strafprozessuale Sicherungen – etwa der Richtervorbehalt – werden umgangen, wenn das Recht des Anordnungsstaats solche nicht vorsieht. Schließlich würden Anforderungen, die etwa das Bundesverfassungsgericht aufgestellt hat, z.B. zum Schutz des Kernbereichs privater Lebensgestaltung, nicht gewährleistet.

Die Verantwortung für die Übermittlung unterliegt damit dem Unternehmen, an das sich die Anordnung richtet – letztlich eine Privatisierung der strafprozessualen Verantwortlichkeit. Dabei haben die Unternehmen nur in sehr eigeschränktem Umfang die Möglichkeit, die Rechtmäßigkeit der Anordnung zu überprüfen oder die Übermittlung der angeforderten Daten abzulehnen, wenn er der Ansicht ist,  dass ausschließlich  aus  den  in  der Anordnung enthaltenen Informationen  hervorgeht,  dass  sie „offenkundig“ gegen die Charta der Grundrechte der Europäischen Union verstößt oder offensichtlich  missbräuchlich ist. 

Kommt die Echtzeit-Überwachung?

Strittig ist, inwieweit neben der Herausgabe bereits gespeicherter Daten auch eine Echtzeit-Überwachung („live interception“) in die E-Evidence-VO aufgenommen werden soll. Spätestens hier würden die zum Schutz des Telekommunikationsgeheimnisses bestehenden materiellen und prozessualen Garantien geschleift. Aber selbst wenn – wie zu erwarten – entsprechende Forderungen im Europäischen Parlament keine Mehrheit fänden, wäre die geplante Verordnung ein tiefer Eingriff in die europäischen und nationalen Grundrechte. Es wäre unverantwortlich, eine solche Regelung im Schnelldurchgang ohne gründliche Debatte durchzuwinken.

EMRG: Massenhafte Überwachung durch britischen Geheimdienst verstieß gegen Europäische Menschenrechtskonvention

Am 13. September 2018 hat der Europäische Gerichtshof für Menschenrechte (EGMR) in Straßburg entschieden, dass die massenhafte Überwachung des britischen Geheimdienstes GCHQ (Government Communications Headquarters), die dieser in Zusammenarbeit mit dem US-amerikanischen Computer-Geheimdienst NSA (National Security Agency) durchgeführt hat, die Europäischen Menschenrechtskonvention (EMRK) verletzt.

Das Urteil erging fast auf den Tag genau fünf Jahre nach der Einreichung der Klage durch die Britische Bürgerrechtsorganisation Big Brother Watch und andere, darunter Amnesty International, den britischen PEN-Club und die Sprecherin des deutschen Chaos-Computer-Clubs Constanze Kurz.

 

1. Inhalt der Entscheidung

In dem Kammerurteil (ECHR 299 (2018)) stellte das Gericht fest, dass die Massenüberwachung gegen Artikel 8 EMRK (Recht auf Achtung des Privat- und Familienlebens bzw. der Kommunikation) und gegen Artikel 10 (Meinungs- und Pressefreiheit) verstößt.

Sowohl die Auswahl der überwachten Internetnutzer als auch die Filterung, Suche und Auswahl der abgefangenen Mitteilungen wurden nur unzureichend kontrolliert. Zudem fehlten Garantien für die Auswahl „verbundener Kommunikationsdaten“, insbesondere im Hinblick auf deren Nachprüfbarkeit.

Auch die Mechanismen, derer sich der GCHQ bediente, um an die von Kommunikationsdiensteanbietern gespeicherten Daten zu gelangen, verstößt gegen Artikel 8. Sowohl das Regime der Massenüberwachung als auch die die Beschaffung von Kommunikationsdaten von Kommunikationsdiensteanbietern verstießen zudem gegen Artikel 10 (Presse- und Meinungsfreiheit), da es keine ausreichenden Garantien in Bezug auf vertrauliches journalistisches Material gibt.

Nicht beanstandet hat der Gerichtshof den Austausch der erlangten Daten mit Diensten anderer Staaten. Zurückgewiesen wurden ferner Beschwerden, die sich gegen Mängel in der gerichtlichen Nachprüfbarkeit der Überwachungspraxis und gegen Verstöße gegen das Diskriminierungsverbot richteten.

2. Bewertung 

Es handelt sich um die erste Entscheidung eines höchsten Europäischen Gerichts, die sich direkt mit der durch den Edward Snowden aufgedeckten geheimdienstlichen Überwachungspraxis auseinandersetzt. Zusammen mit früheren Urteilen – etwa der Annullierung des Safe Harbour-Abkommens durch den Gerichtshof der Europäischen Union (EuGH) von 2015 – verdeutlicht die jüngste Entscheidung, dass staatliche Überwachungsmaßnahmen stets dort ihre Grenze finden, wo sie Grund- und Menschenrechte verletzen. Das ist stets dann der Fall, wenn unterschiedlos Daten sehr vieler Menschen betroffen sind, die keinerlei Bezug zu einer schweren Gefährdung der öffentlichen Sicherheit aufweisen. 

Von entscheidender Bedeutung ist auch die effektive Kontrolle des staatlichen Handelns  durch Gerichte, unabhängige Datenschutzbehörden und Parlamente. All dies war bei den 2013 aufgedeckten umfassenden Überwachungsaktivitäten nicht gegeben.

Die Bedeutung der Entscheidung ist erheblich und sie geht weit über die monierte Praxis der britischen Behörden hinaus.  Zwar stellte der Gerichtshof fest, dass nicht jede Regelung, die eine massenhafte Überwachung vorsieht, an sich gegen die EMRK verstößt. Zugleich stellte er aber fest, dass eine solche Regelung die in der EGMR-Rechtsprechung festgelegten Kriterien erfüllen muss. 

Großbritannien ist nun gehalten, die Überwachungspraxis der Geheimdienste deutlich zu begrenzen. Dies ist umso notwendiger, als die Überwachungsbefugnisse durch den Investigative Powers Act 2016 sogar noch ausgeweitet wurden. Seit dem Brexit-Referendum fordern Hardliner, dass das Vereinigte Königreich die EMRK verlässt. Zwar ist die Europäische Union als Institution nicht selbst der EMRK beigetreten, sie unterliegt jedoch den Vorgaben der Grundrechtecharta. Die Europäische Union muss bei den Austrittsverhandlungen klarmachen, dass jedwede „gütliche“ Regelung mit Großbritanniens ausgeschlossen ist, wenn sich das Land nicht mehr an die Menschenrechte gebunden fühlt und weder die Rechtsprechung des EMRG noch des Europäischen Gerichtshofs als bindend anerkennt.

Angesichts der fortdauernden geheimdienstlichen Massenüberwachung ist aber nicht nur in Großbritannien eine deutliche Einschränkung der Befugnisse der Nachrichtendienste erforderlich. Dies betrifft auch Deutschland, wo die Große Koalition mit verschiedenen 2016 beschlossenen Gesetzen die Befugnisse des Verfassungsschutzes ausgeweitet und die bis dahin illegalen Abhörpraktiken des Bundesnachrichtendienstes legalisiert hat.

Die EGMR-Entscheidung ist ein Weckruf, der uns dazu veranlassen sollte, die in den letzten Jahren weitgehend eingeschlafene Diskussion darüber, wieviel Überwachung eine freiheitliche Gesellschaft verträgt, wieder aufzunehmen.

Vier Wochen DSGVO – Plädoyer für einen konstruktiven Dialog

Von Peter Schaar

Dieser Beitrag erschien zuerst in der Zeitschrift BvD-News 2/2018

Der Start des neuen Europäischen Datenschutzrechts verlief holprig, zumindest in Deutschland. Der Datenschutz schaffte es sogar auf die Titelseiten auflagenstarker Tageszeitungen, allerdings vorwiegend mit negativen Schlagzeilen. In kaum einem Lokalblatt fehlten Leidensmeldungen örtlicher Vereinsvorstände, Handwerker und Unternehmer über den mit der Umsetzung verbundenen Aufwand. Auch in Social Media wurden hatten die Kritiker rein zahlenmäßig die Oberhand. Schließlich beschäftigte sich der Deutsche Bundestag genau drei Wochen nach dem Wirksamwerden der Datenschutzgrundverordnung mit der Materie – und auch hier gab es viel Kritik. Irgendetwas ist hier offenbar grundlegend schief gelaufen. Was sind die Ursachen dafür, dass sich jetzt viele überfordert fühlen? Und wie könnte eine Abhilfe aussehen?

Kommunikationsprobleme

Immer wieder hört man die Behauptung, die DSGVO sei am 25. Mai 2018 „in Kraft getreten“. Tatsächlich ist das Regelwerk aber schon seit mehr als zwei Jahren in Kraft, seit Mai 2016. Die Falschaussage belegt, dass sich die wenigsten Entscheidungsträger in der Politik, der Wirtschaft und Gesellschaft rechtzeitig ernsthaft mit dem Datenschutz beschäftigt hatten. Viele Rechtsanwender haben die zweijährige Anpassungszeit bis zum Wirksamwerden der DSGVO ungenutzt verstreichen lassen, wie Umfragen des Digitalverbandes Bitkom belegen. Die wenigsten Unternehmen hatten ihre Vorbereitungen auf das neue Datenschutzrecht fristgerecht abgeschlossen, manche hatten damit sogar erst unmittelbar vor dem 25. Mai begonnen. Noch erheblich gravierender war die Situation in Vereinen, Handwerksbetrieben, Selbstständigen und kleinen Betrieben: Vielfach nahmen Vorstände und andere Verantwortliche erst nach dem Wirksamwerden die Neuregelungen wahr. Umso größer war die Verunsicherung, ja Empörung bei Manchen, denen sehr spät klar wurde, dass sie sich nun ernsthaft mit der Materie auseinandersetzen müssen.

Die vielfach sehr späte Beschäftigung mit den neuen datenschutzrechtlichen Anforderungen ist großen Teils Ergebnis eines gravierenden Kommunikationsproblems: Die Bundesregierung hat dem Thema in ihrer Öffentlichkeitsarbeit kein besonderes Interesse gewidmet. So hat das für den Datenschutz zuständige Bundesinnenministerium erst im April 2018 ein Dokument zu einigen Grundfragen der neuen Datenschutzregeln auf seine Website gestellt, das aber ansonsten sehr allgemein bleibt. Zudem hat das Ministerium einige wenige Informationsveranstaltungen für interessierte Verbände durchgeführt, aber auch diese erst zu einem sehr späten Zeitpunkt.

Auch die Öffentlichkeitsarbeit der unabhängigen Datenschutzbehörden über die Neuregelungen war kein Ruhmesblatt. Die immerhin 18 deutschen Behörden haben zwar einige gemeinsame Positions- und Kurzpapiere zu wichtigen Fragen veröffentlicht. Auf den Websites der Bundes- und Landesdatenschutzbeauftragten findet man darüber hinaus eine zunehmende Zahl von Leitfäden, Handreichungen und Anwendungshilfen. Sie haben allerdings den Nachteil, dass sie vielfach nicht abgestimmt sind und sich in einzelnen Punkten sogar widersprechen. Im Vergleich zu den Informationen, Tools und Medieninformationen der Datenschutzbehörden anderer Mitgliedsstaaten — etwa der britischen ICO oder der französischen CNIL — nimmt sich die Öffentlichkeitsarbeit der deutschen Datenschutzbehörden zum neuen Datenschutzrecht aber eher bescheiden aus.

Interpretationsspielräume

Die DSGVO enthält eine Vielzahl von allgemeinen Rechtsbegriffen und auslegungsbedürftigen Regelungen. Zudem hatten die Regierungen der Mitgliedsstaaten gegenüber der Europäischen Kommission und dem Europäischen Parlament zahlreiche Öffnungsklauseln durchgesetzt, die durch nationales Recht gefüllt werden können oder sogar müssen. Damit wurde das wichtigste Ziel der Neuregelung in Frage gestellt, ein einheitliches Datenschutzrecht in der gesamten EU. Was zu befürchten war, ist inzwischen eingetreten: Die in nationalen Anpassungs- und Umsetzungsgesetze fallen sehr unterschiedlich aus. Dies hat zur Konsequenz, dass sich grenzüberschreitend tätige Unternehmen, anders als versprochen, weiterhin mit den Besonderheiten des nationalen Rechts auseinandersetzen müssen. Für große Unternehmen mit leistungsstarken Rechtsabteilungen ist das kein großes Problem, für kleinere Unternehmen und StartUps schon.

Bei näherem Hinsehen liefert das im Sommer 2017 beschlossene BDSG vor allem zusätzliche Spielräume für die staatliche Datenverarbeitung und schränkt Betroffenenrechte und Kontrollbefugnisse der Datenschutzbehörden ein. Dort, wo konkrete Regelungen erforderlich sind, bleibt das BDSG aber wenig konkret – etwa beim Datenschutz im Beschäftigungsverhältnis. Oder sie fehlen völlig – etwa beim gebotenen Ausgleich von Meinungsfreiheit und Datenschutz. Letzteren wollte die Bundesregierung allem Anschein nach  völlig den Ländern überlassen, obwohl es hier durchaus Regelungsnotwendigkeiten im Bundesrecht gibt. Erst als daran Kritik aufkam, insbesondere im Hinblick auf den Umgang mit digitalen Fotografien, äußerte sich das Bundesinnenministerium dahingehend, dass das Kunsturhebergesetz weiterhin anwendbar sei. Zwar ist diese Klarstellung durchaus vertretbar, sie lässt allerdings weite Aspekte der Nutzung von Social Networks offen. Zudem wäre es durchaus möglich und sinnvoll gewesen, das betagte Gesetz — es stammt aus dem Jahr 1907 — im Sinne der Abwägung der widerstreitenden Grundrechte an die Vorgaben der Datenschutzgrundverordnung anzupassen.

Regelungslücken gibt es auch bei den in Deutschland besonders zahlreichen bereichsspezifischen Gesetzesbestimmungen zum Datenschutz. Eine Reihe davon wurde zwar im letzten Jahr novelliert — aber ohne die gebotene gründliche parlamentarische Beratung. Wie beim BDSG konzentrierte sich die Große Koalition auch hier vor allem darauf, bestehende Befugnisse zur behördlichen Datenverarbeitung abzusichern. Die Chance zu einer echten inhaltlichen Weiterentwicklung wurde verpasst.

Äußerst unklar ist die Rechtslage beim Datenschutz im Internet. So ist fraglich, inwieweit das Telemediengesetz (TMG) noch gilt, denn es ist umstritten, in welchem Verhältnis die Vorgaben der nach wie vor gültigen europäischen E-Privacy-Richtlinie und die Bestimmungen der DSGVO stehen. Die Datenschutzbehörden des Bundes und der Länder vertreten die Position, dass die zentralen TMG-Regelungen zur Zulässigkeit der Verarbeitung nicht mehr angewendet werden dürfen. Vermutlich werden wir auf verbindliche Antworten bis zu einem Beschluss über die diskutierte E-Privacy-Verordnung warten müssen — wenn sie denn überhaupt kommt. Der Brüsseler Trilog darüber verläuft offenbar sehr zäh.

Auch bei der Datenschutzaufsicht bei Telekommunikationsunternehmen besteht große Unsicherheit. Da das Telekommunikationsgesetz (TKG) noch nicht novelliert wurde, stellt sich die Frage nach der Zuständigkeit für die Datenschutzaufsicht und deren Sanktionsbefugnissen. Die Aufgabenzuweisung für die Datenschutzkontrolle an die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) dürfte zwar Bestand haben. Anders sieht es jedoch in Bezug auf die Verfolgung von Ordnungswidrigkeiten und die Verhängung von Bußgeldern aus, die bisher der Bundesnetzagentur (BNA) oblagen. Angesichts der klaren Vorgaben der DSGVO stehen diese Befugnisse seit dem 25. Mai 2018 allein der BfDI zu, denn nur sie ist eine unabhängige Datenschutzbehörde. Sollte die BNA gleichwohl Datenschutzverstöße mit Bußgeldern belegen, würde dies mit einem erheblichen rechtlichen Risiko verbunden sein.

Föderalismus

 Die vom Grundgesetz vorgegebene föderale Struktur Deutschlands wirkt sich auch auf den Datenschutz aus. Dies muss nicht unbedingt schlecht sein, denn die Landesbehörden, denen neben der Datenschutzkontrolle der öffentlichen Stellen der Länder auch die Aufsicht über die Wirtschaft obliegt, sind näher an den Bürgerinnen und Bürgern und an den lokalen Datenverarbeitern, als es eine Bundeszentralbehörde sein könnte. Angesichts der durch die DSGVO bewirkten signifikanten Ausweitung der Aufgaben, zusätzlicher Befugnisse und enger Bearbeitungsfristen sind aber die Nachteile des föderalistisch organisierten Datenschutzes nicht mehr zu übersehen.

Dass die Landesgesetze zum Datenschutz unterschiedliche Vorgaben beinhalten, ist nicht neu. Die DSGVO hätte zum Anlass genommen werden können, diese Differenzen abzubauen oder zu beseitigen. Leider hatten sich die zuständigen Landesministerien aber nicht einmal auf einen Musterentwurf verständigen können. Zudem ist der Gesetzgebungsprozess in den Ländern sehr erst recht spät in Gang gekommen, so dass bis zum 25. Mai 2018 ein Teil der Landesdatenschutzgesetze nicht novelliert war. Das ist ein Problem, denn die alten, als Vollregelungen ausgelegten Gesetze sind nach dem Wirksamwerden der DSGVO zum Teil nicht mehr anzuwenden.

Bei den bereichsspezifischen Bestimmungen der Länder sieht es kaum besser aus. Zwar wurden durch den 21. Rundfunkänderungsstaatsvertrag einige medienrechtliche Regelungen upgedatet, jedoch erfolgte das in einer Weise, die den Vorgaben der DSGVO kaum gerecht zu werden vermochte. Der von der DSGVO erteilte Gesetzgebungsauftrag, für einen Ausgleich zwischen Datenschutz und Informations- und Meinungsfreiheit zu sorgen, wurde von den Ländern einseitig dahingehend interpretiert, den redaktionell-journalistischen Bereich weiterhin pauschal von den wichtigsten Vorgaben des  Datenschutzrechts auszunehmen. In vielen anderen Bereichen haben sich die Länder nicht einmal auf gemeinsame Vorgaben einigen können, etwa im Presserecht. Damit bleibt das Patchwork unterschiedlicher Datenschutzbestimmungen auch hier erhalten.

So stellt sich die Frage, ob das wichtigste zugunsten unterschiedlicher Datenschutzbestimmungen angeführte Argument überhaupt greift: Ein Wettbewerb der Länder um den besten Datenschutz („kompetitiver Föderalismus“). Schon in den letzten zwei Dekaden musste man solche datenschutzrechtlichen Innovationen mit der Lupe suchen. Angesichts der durch die DSGVO eingeschränkten Regelungskompetenzen der Länder werden die Spielräume für  eine kreative Weiterentwicklung des Datenschutzes jedenfalls noch geringer.

Die DSGVO versieht die Datenschutzbehörden mit stärkeren Durchsetzungs- und Sanktionsbefugnissen. Um eine einheitliche Aufsichtspraxis zur gewährleisten, enthält das neue Recht zudem detaillierte Vorgaben zur gegenseitigen Kooperation und zur Kohärenz ihrer Entscheidungen. Eine zentrale Stellung nimmt dabei der Europäische Datenschutzausschuss (EDSA) ein, der von den nationalen Datenschutzbehörden beschickt wird. Es liegt auf der Hand, dass es großer Anstrengungen bedarf, um die Positionen der Vertreter der Aufsichtsbehörden der 28 Mitgliedsländer unter einen Hut zu bringen. In Deutschland mit seinen 18 unabhängigen Datenschutzbehörden — Bundesbeauftragte, Landesbeauftragte und LDA Bayern — (hinzu kommen die Datenschutzbeauftragten der Kirchen und der Landesrundfunkanstalten) besteht zusätzlich die Notwendigkeit zur Vereinheitlichung auf nationaler Ebene.

Die BfDI vertritt Deutschland im EDSA und ist „zentrale Anlaufstelle“ für grenzüberschreitende Datenschutz-Angelegenheiten. Ihre Stellvertreter/in ist vom Bundesrat aus dem Kreis der Leiter/innen der Landesdatenschutzbehörden zu wählen. Leider hat der BR jedoch den bzw. die Ländervertreterin nicht gewählt, so dass die BfDI Deutschland bis auf weiteres allein im EDSA vertritt, aber in Fragen, die in Länderzuständigkeit liegen, an das Votum der Landesdatenschutzbehörden gebunden ist.

Das neue BDSG erklärt die Regelungen der DSGVO für die Zusammenarbeit der Aufsichtsbehörden im EDSA für sinngemäß für die Kooperation der deutschen Datenschutzbehörden untereinander für anwendbar erklärt, allerdings nur, soweit es um Angelegenheiten geht, die im EDSA verhandelt werden. Dies bedeutet, dass die Konferenz der   unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) erheblich aufgewertet wurde und Entscheidungen zur Datenschutzaufsicht per Mehrheitsbeschluss treffen kann. Ob dies generell zu einer Vereinheitlichung der Datenschutzaufsicht in Deutschland führt, bleibt abzuwarten. Absehbar ist aber schon jetzt, dass das zweistufige Verfahren der Meinungsbildung – auf nationaler und auf europäischer Ebene – erheblichen Aufwand erzeugt und die Möglichkeiten Deutschlands, auf die Entscheidungen des EDSA einzuwirken, erheblich einschränkt.

Was jetzt zu tun ist

Angesichts der verbreiteten Verunsicherung brauchen wir zunächst eine Kommunikationsoffensive der Bundesregierung und der Datenschutzbehörden. Es ist Sache insbesondere des Bundesinnenministeriums, den Kenntnisstand in der Bevölkerung über die Bedeutung, die Prinzipien und konkreten Regelungen zum Datenschutz zu verbessern. Besonders gefragt sind die Datenschutzbehörden: Sie müssen unmissverständliche Antworten auf die zentralen Auslegungsfragen geben. Auch wenn sich wirkliche Rechtssicherheit erst mittelfristig einstellen wird, wenn sich eine gefestigte Rechtsprechung herausgebildet hat, brauchen die Bürgerinnen und Bürger, Vereine und Unternehmen und auch die öffentlichen Stellen klare Aussagen der Datenschutzbehörden darüber, wie sie die Rechtsvorschriften verstehen und woran sie sich in ihrer Aufsichtspraxis orientieren werden. Die 19 von der Datenschutzkonferenz bisher veröffentlichten „Kurzpapiere“ sind zwar ein guter Ausgangspunkt, ausreichend sind sie bei weitem nicht. Notwendig sind abgestimmte, zielgruppenorientierte Anwendungshinweise, Musterformulare und elektronische Tools. Statt das Rad immer wieder neu zu erfinden, sehe ich die dringende Notwendigkeit zu gemeinsamen Positionierungen. Wenn nötig, sollte die DSK auch hier mit Mehrheit entscheiden.

Die Gesetzgebung muss auf Bundes- und Landesebene zügig vorangebracht werden. Dies gilt sowohl für die Landesdatenschutzgesetze als auch für die spezialgesetzlichen Datenschutzbestimmungen. Angesichts der verbreiteten Verunsicherung – etwa bei der Benennungspflicht von Datenschutzbeauftragten bei nicht-öffentlichen Stellen – sollte hier eine Präzisierung erfolgen, ebenso hinsichtlich der Bestimmungen zum Ausgleich von Meinungsfreiheit und Datenschutz und beim Datenschutz im Internet und Sozialen Netzwerken. Notwendig sind auch Gesetzeskorrekturen im Wettbewerbsrecht, die sicherstellen, dass Missbräuche von Abmahnmöglichkeiten unterbunden werden.

Schließlich müssen die Datenschutzbehörden besser ausgestattet werden. Die Ausstattung der Datenschutzbehörden mit Personal und Sachmitteln ist in manchen Bundesländern so schlecht, dass sie die vielen ihnen zugewiesenen Aufgaben nicht ansatzweise erfüllen können. Dies hat zur Konsequenz, dass ihre Aufsichtstätigkeit nicht effektiv wahrnehmen können und auch nicht über die notwendigen Beratungskapazitäten für Bürger, Vereine, Unternehmen und Kommunen verfügen.

Es bleibt zu hoffen, dass alle Beteiligten möglichst bald in einen konstruktiven Dialog kommen und die notwendigen Schritte unternehmen, damit das neue Europäische Datenschutzrecht seine zentrale Aufgabe erfüllt: Die datenschutzrechtliche Flankierung der Digitalisierung, die ohne entsprechende Leitplanken sehr schnell zu einer Sackgasse werden könnte. Datenschutz und informationelle Selbstbestimmung sind zentrale Grundrechte des Informationszeitalters – das dürfen wir bei aller Kritik an dieser oder jener Regelung nicht aus dem Auge verlieren!

Zuckerberg und der Zauberlehrlings-Effekt

Der Auftritt von Mark Zuckerberg vor dem US-Kongress hat deutlich gemacht, dass der Erfinder und Chef von Facebook mittlerweile weitgehend die Kontrolle über seine Kreatur verloren hat. Zuckerberg, der den Erfolg seines Unternehmens einmal damit erklärte, dass seine Nutzer „dumb fucks“ (Idioten) seien, hat gegenüber dem Senatsausschuss erklärt, dass sein Unternehmen von der Verbreitung von Fake News durch russische Trolle überrascht worden sei. Ob dies auch für das Absaugen von MIlliarden personenbezogener Daten durch Cambridge Analytica und andere App-Entwickler gilt, blieb unklar.

Dies erinnert an die Tatsache, dass auch die National Security Agency bei der weltweiten flächendeckenden Kommunikationsüberwachung zumindest zeitweise die Kontrolle über ihre eigenen Datenverarbeitungssysteme verloren und deshalb die rechtswidrige Ausspähung von US-Bürgern nicht bemerkt hat. Darin war ein doppelter Zauberlehrlings-Effekt zu sehen, denn der Geheimdienst war zuvor bereits der Kontrolle der dafür vorgesehenen staatlichen Institutionen immer wieder entglitten, was durch die Snowden-Enthüllungen unterstrichen wurde.

Ob Zuckerberg aufgrund seines Geschäftsmodells die massenhafte Nutzung der von seinem „Datenstaubsauger“ gesammelten Daten für demokratiegefährdende Zwecke zunächst billigend in Kauf genommen hat (dann wäre die Metapher vom Zauberlehrling zu freundlich) oder ob er schlicht überfordert ist, wird sich noch zeigen. Jetzt aber genügt es nicht mehr, dass das Unternehmen ganzseitige Anzeigen in deutschen Tageszeitungen schaltet und auf die am 25. Mai in Kraft tretende Europäische Datenschutz-Grundverordnung verweist. Jetzt ist es an der Zeit, dass der US-Kongreß dem europäischen Beispiel folgt und ein Datenschutzgesetz für die gesamte Wirtschaft verabschiedet, dass diesen Namen verdient.

Schon 1976 hat der OECD-Experte Hans-Peter Gassmann darauf hingewiesen, dass der Watergate-Skandal zur Verabschiedung des – nur für die US-Bundesverwaltung geltenden – Privacy Act geführt habe. In Europa – so Gassmann – sei der Datenschutz noch nicht so weit entwickelt, weil es dort seinerzeit an großen publikumswirksamen Skandalen gefehlt habe. Der Skandal um Facebook – immerhin bereits der 12. in der Geschichte diese Unternehmens – sollte dazu führen, dass sich endlich eine Mehrheit im Kongreß für ein umfassendes Datenschutzgesetz – nicht nur eine Lex Facebook – findet.

Alexander Dix

Mehr Sicherheit durch Fingerabdruck im Personalausweis?

Die Europäische Kommission hat für heute einen Vorschlag angekündigt, der vorsieht, dass zukünftig alle von den EU-Staaten ausgestellten Personalausweise mit den elektronisch erfassten und auslesbaren Fingerabdrücken der Inhaber versehen werden müssen. Die neue Regelung wird – wieder einmal – mit der Notwendigkeit begründet, den internationalen Terrorismus wirkungsvoll zu bekämpfen.

Während die Pässe, in denen die Fingerabdrücke bereits seit 2008 obligatorisch gespeichert werden, nur auf Antrag ausgestellt und für Reisen in bestimmte Länder außerhalb der Union benötigt werden, sind die Bürgerinnen und Bürger in den meisten EU-Mitgliedsstaaten verpflichtet, sich einen Personalausweis ausstellen zu lassen und diesen bei Kontrollen – etwa an den EU-Binnen- und Außengrenzen – vorzulegen. Das neue Vorhaben hat deshalb eine ganz andere Breitenwirkung als die Einführung der biometrischen Merkmale bei den EU-Reisepässen vor zehn Jahren.

Umso wichtiger ist die Frage, wie die erweiterte Datenerfassung begründet wird und welche Konsequenzen sie hat. Das zentrale, von EU-Innenkommissar Dimitris Avramopoulos vorgebrachte Argument ist die Erhöhung der Fälschungssicherheit. Nur durch elektronische Fingerabdrücke ließe sich die Fälschung von Ausweisen sicher verhindern. 

Eigentlich würde man erwarten, dass die Kommission dies mit Zahlen über ge- oder verfälschte Identitätspapiere belegen könnte.  Zudem war ja schon die verpflichtende Einführung des elektronisch im Personalausweis gespeicherten Gesichtsbilds mit der Erhöhung der Fälschungssicherheit begründet worden. Da inzwischen die meisten Personalausweise mit einem elektronisch, in einem Chip gespeicherten Passbild versehen sind, müsste sich doch feststellen lassen, wieviele Teil- oder Komplett-Fälschungen es bei diesen Papieren gegeben hat. Werden entsprechende Zahlen vorgelegt? Gibt es auch nur ein einziges Beispiel dafür, dass sich ein Terroranschlag oder eine andere schwere Straftat hätte verhindern lassen, wenn ein mit modernen Sicherheitsmerkmalen ausgestatteter Personalausweis zusätzlich mit Fingerabdrücken versehen gewesen wäre? Wir können gespannt sein, ob die Kommission heute diese Fakten vorlegen wird. Ich bin da eher skeptisch, denn es ist nicht einml plausibel, worin der zusätzliche Fälschungsschutz bestehen würde, wenn auch der Fingerabdruck elektronisch gespeichert würde. Wenn sich der Chip manipulieren lässt, dann gilt dies für das auf ihm bereits gespeicherte Lichtbild und den Fingerabdruck gleichermaßen. Und wenn der Chip manipulationssicher ist, bringt der elektronische Fingerabdruck keine zusätzliche Fälschungssicherheit.

Vieles spricht also dafür, dass die Erhöhung der Fälschungssicherheit ist ein vorgeschobenes Argument ist. Der zentrale „Vorteil“ der zusätzlichen Speicherung des Fingerabdrucks besteht darin, dass dieser sich deutlich besser dazu eignet, mit Datenbanken abgeglichen zu werden. Dieses Argument wurde aber bisher nicht vorgebracht, vielleicht deshalb, weil dann deutlich würde, dass es wieder einmal nur um mehr Überwachung geht, selbst wenn diese ggf. nicht zur Erhöhung der Sicherheit beiträgt.

Zudem würden beiläufig flächendeckende Fingerabdruckdatenbanken entstehen. Zwar schließt das deutsche Recht (bisher) die zentrale Speicherung biometrischer Merkmale aus, die bei der Ausweis- und Passbeantragung anfallen. Allerdings hat der Bundestag im Sommer 2017 die rechtlichen Voraussetzungen dafür geschaffen, dass sämtliche Sicherheitsbehörden online auf die in den dezentralen Pass- und Personalausweisregistern gespeicherten elektronischen Passfotos zugreifen können, und zwar nicht bloß für die Strafverfolgung, sondern für sämtliche von den Behörden wahrgenommenen Aufgaben. Wenn die dezentralen Register online abgefragt werden, degeneriert jedoch das Verbot der zentralen Speicherung zu einem schmückenden Beiwerk, das einzig dem Zweck dient, die Nerven von Skeptikern zu beruhigen.

Der aktuelle Vorschlag der Kommission ist ein weiterer Schritt zum Ausbau einer flächendeckenden Überwachungsinfrastruktur. Auch wenn dabei rechtliche Nutzungsbegrenzungen vorgesehen werden sollten, wissen wir doch aus Erfahrung, dass solche Begrenzungen mit einem Federstrich beseitigt werden können. So wurden bei fast allen größeren Terroranschlägen die rechtlichen Grenzen der Datenerfassung und -Auswertung zurückgenommen. Gerade deshalb lohnt es sich, genau hinzuschauen, wenn die technischen Voraussetzungen zur stärkeren Überwachung ausgebaut werden sollen.

Daten als Einkommensquelle für Städte und Gemeinden ?

Der Hauptgeschäftsführer des Deutschen Städte- und Gemeindebundes, Gerd Landsberg, hat vorgeschlagen, die deutschen Kommunen sollten ihre Datenbestände verkaufen. Selbst wenn dies keine personenbezogenen Daten von Bürgerinnen und Bürgern betrifft, sondern z.B. Daten zur Feinstaubbelastung, widerspricht der Voschlag den Grundsätzen der Open Government Partnership, der die Bundesrepublik beigetreten ist. Derartige Daten sollte prinzipiell für jedermann kostenfrei zugänglich veröffentlicht werden.

Die wichtigsten Argumente gegen die Vermarktung von Daten der Städte und Gemeinden, die diese mit Steuergeldern gesammelt haben, haben Walter Palmetshofer und Michael Peters vom Open Government Netzwerk in diesem Beitrag zusammengestellt:

Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Alexander Dix

Stellungnahme zu den Hamburger Gesetzentwürfen zur Umsetzung der DSGVO und der JI-Richtlinie

 

Der stellvertretende Vorsitzende der EAID, Dr. Alexander Dix, hat am 27. März 2018 zu den beiden Gesetzentwürfen zur Umsetzung der Datenschutz-Grundverordnung und (teilweise) der JI-Richtlinie, im Justizausschuss der Hamburger Bürgerschaft Stellung genommen. Die Texte finden Sie hier:

Stellungnahme-HmbDSG-Justizausschuss-Dix

Drucksache_21-11636_Entwurf_HmbJVollzDSG Drucksache_21-11638_Entwurf_HmbDSG

« Older Entries