Tag Archives: Facebook

America First: Datenschutz nur noch für (US-)Inländer

Die amerikanischen Technologie-Giganten Google, Facebook, Microsoft, Twitter und Amazon  werden womöglich die ersten Opfer der von Präsident Trump verfolgten „America First“- Politik sein. Trump unterzeichnete  am 25. Januar  2017 die Anordnung (Executive Order)  zur Verbesserung der öffentlichen Sicherheit. Schon jetzt ist deutlich, dass die Politik der Trump-Administration  einem gemeinsamen Datenschutz-Verständnis  zwischen den USA und der EU diametral  entgegen laufen.

Section 14 hat folgenden Wortlaut:

„Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“

Auch wenn sich diese Bestimmung vermutlich zunächst gegen diejenigen Personen richten soll, die sich illegal in den Vereinigten Staaten aufhalten, hat sie doch auch erhebliche Auswirkungen auf den transatlantischen Datentransfer. Vor allem das Abkommen zwischen der Europäischen Union und der US-Regierung „Privacy Shield“ ist betroffen. Das  erst im letzten Sommer ausgehandelte  Abkommen gestattet es Unternehmen, welche die Einhaltung der Privacy Shield Prinzipien gewährleisten, personenbezogene Daten aus der Europäischen Union in die USA zu übermitteln.

Voraussetzung für die Übermittlung ist ein „angemessenes Datenschutzniveau“, also ein dem EU-Recht gleichwertiger Schutz für die in die USA transferierten personenbezogenen Daten. Die Europäische Kommission hat am 12. Juli 2016 auf Basis des US-Rechts und der Zusicherungen der Obama-Administration die Existenz eines gleichwertigen  Datenschutzes festgestellt (Angemessenheitsbeschluss). Privacy Shield trat damit an die Stelle des Safe Harbour Arrangements, welches der Europäische Gerichtshof am 6. Oktober 2015 annulliert hatte, da es  den in  Art. 8 der EU-Grundrechtecharta garantierten Schutz personenbezogener Daten nicht gewährleistete.

Zu den Zusicherungen der US-Seite gehörte die Auslegung des US-Rechts in der Weise, dass die US Datenschutzbestimmungen – soweit rechtlich zulässig –  auch für Daten von EU-Bürgern angewandt werden. Damit dürfte jetzt Schluss sein.

Eine wichtige Basis bildete auch der vom US-Kongress im Februar 2016 gebilligte Judicial Redress Act (JRA), der  die Grundlage dafür bereitstellt, dass sich EU-Bürgerinnen und Bürger an US-Behörden wenden können, wenn sie der Auffassung sind, dass US-Behörden ihre Daten zu Unrecht verarbeiten.  Allerdings räumt der JRA den EU-Bürgern solche Klagerechte nicht selbst ein, sondern macht dies von einer Anordnung des US-Justizministers (Attorney General) abhängig. Die scheidende Obama-Administration hat eine entsprechende Erklärung wenige Tage vor der Inauguration Donald Trumps herausgegeben, die neben der Europäischen Union als Ganzes, 26 ihrer Mitgliedstaaten und Zypern umfasst  Die oben zitierte Executive Order  könnte so verstanden werden, dass das Justizministerium die „Privilegierung“ der Bürger anderer Staaten zurücknimmt, welche am 1. Februar 2017 in Kraft treten soll.

Unabhängig davon ist zu befürchten, dass die – nach den Snowden-Enthüllungen   von US-Präsident Obama angeordneten – partiellen Sicherungen des Datenschutzes für Nicht-Amerikaner bei der geheimdienstlichen Überwachung außer Kraft gesetzt werden. Damit würden auch die Erklärungen des US-Geheimdienstkoordinators im Rahmen der Privacy Shield—Verhandlungen obsolet.

Vor diesem Hintergrund muss die EU-Kommission unverzüglich handeln. Sie darf mit der Prüfung, ob die Voraussetzungen für eine Fortgeltung des Angemessenheitsbeschlusses zum Privacy Shield  noch gegeben sind, nicht erst bis zur ersten, im Sommer d.J. vorgesehenen regulären Privacy Shield Review warten. Aber auch die europäischen Datenschutzbehörden sind gefragt. Der Europäische Gerichtshof hat Ihnen in seiner Safe Harbour-Entscheidung auferlegt, Zweifeln an einem angemessenen Datenschutzniveau selbstständig nachzugehen und damit nicht auf eine entsprechende  Feststellung der Kommission zu warten.

Soziale Netzwerke sind keine Hilfsorgane der Sicherheitsbehörden

Innenpolitiker verschiedener Parteien, Vertreter des Bundesinnenministeriums und der Chef des Bundesamts für Verfassungsschutz fordern dieser Tage einen verbesserten Zugriff auf Daten aus sozialen Netzwerken. Sie berufen sich dabei auf den Amoklauf in München und auf terroristisch motivierte Straftaten in den letzten Wochen.

Facebook – so der Vorwurf – arbeite nur zögerlich mit den deutschen Sicherheitsbehörden zusammen. Deshalb seien Gesetzesänderungen notwendig, um etwa das Unternehmen zur Herausgabe von Nutzerdaten zwingen zu können. Unklar bleibt dabei, worauf sich diese Forderung im einzelnen bezieht: Auf die Herausgabe der Bestands- und Nutzungsdaten des Netzwerks oder auf die dort verbreiteten Informationen? Oder geht es um die vertrauliche Kommunikation mittels Messenger-Diensten wie Skype oder WhatsApp und die dabei ausgetauschten Inhalte?

Manchmal erleichtert ja ein Blick in die Gesetze die Rechtsfindung. Denn selbstverständlich sind die Betreiber sozialer Netzwerke an Recht und Gesetz gebunden und sie dürfen bzw. müssen Daten an Ermittlungsbehörden herausgeben, wenn die rechtlichen Voraussetzungen dafür gegeben sind. Bei sozialen Netzwerken handelt es sich um so genannte „Telemedien“ oder „Teledienste“ – für sie ist das Telemediengesetz (TMG) einschlägig, das Regeln für die Datenherausgabe an Behörden enthält. Zudem brauchen die Behörden eine gesetzliche Befugnis, die den Rahmen für deren Auskunftsverlangen absteckt, denn jede Übermittlung dieser Daten ist ein Eingriff in das Grundrecht auf informationelle Selbstbestimmungsrecht. Das Bundesverfassungsgericht spricht in diesem Zusammenhang von einem „Doppeltürmodell“, denn es verlangt sowohl eine gesetzliche Erlaubnis zur Datenherausgabe durch die Unternehmen als auch eine entsprechende Befugnis zur behördlichen Datenabfrage.

In § 14 Abs. 2 und § 15 Abs. 5 TMG ist festgelegt, dass Diensteanbieter wie Facebook den Polizeibehörden und den Nachrichtendiensten im Einzelfall Auskunft über bestimmte Daten des Nutzers erteilen dürfen, soweit dies für die Erfüllung der Zwecke der Strafverfolgung, zur Gefahrenabwehr und zur Terrorismusabwehr erforderlich ist und eine entsprechende Anordnung vorliegt. Die Anordnungsbefugnis ist in den für die jeweiligen Behörden geltenden Gesetzen festgelegt, insbesondere in der Strafprozessordnung, den Polizeigesetzen des Bundes und der Länder und im Bundesverfassungsschutzgesetz.

Die Strafprozessordnung und die Polizeigesetze von Bund und Ländern enthalten bereits umfangreiche Befugnisse zur Erhebung personenbezogener Daten, soweit es um die Aufklärung und Verhütung von Straftaten geht. Eine Regelungslücke kann ich hier nicht erkennen.

Auch der Verfassungsschutz darf gem. § 8a Bundesverfassungsschutzgesetz im Einzelfall Merkmale zur Identifikation des Nutzers eines Teledienstes, Angaben über Beginn und Ende sowie über den Umfang der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Teledienste verlangen. Die Auskünfte dürfen aber nur verlangt werden, soweit dies im Einzelfall für die Aufgabenwahrnehmung erforderlich ist. Sie dürfen sich nur gegen Personen richten, bei denen tatsächliche Anhaltspunktre vorliegen, dass von ihnen schwerwiegende Gefahren ausgehen. Auch hier sehe ich keinen Bedarf für das weitere Aufbohren der Überwachungsbefugnisse.

Soweit die Behörden die direkte, vertrauliche Kommunikation zwischen Nutzern sozialer Netzwerke bzw. Messenger-Diensten überwachen wollen, müssen sie sich an die Regeln zur Telekommunikationsüberwachung halten. Diese Kommunikationsvorgänge sind durch das Fernmeldegeheimnis (Art. 10 GG) geschützt. Deshalb sind die rechtlichen Hürden hier höher als bei den sozialen Medien. Gleichwohl ist der Zugriff auf Verkehrsdaten der Telekommunikation und sogar die Überwachung der übertragenen Inhalte zur Bekämpfung schwerer Straftaten oder zur Abwehr schwerwiegender Gefährdungen – etwa bei einem angekündigten Amoklauf – zulässig. Die Behörden müssen auch hier ein rechtsstaatliches Verfahren einhalten, was im konkreten Fall bedeuten kann, dass sie eine richterliche Überwachungsanordnung benötigen. Ein solches rechtsstaatliches Verfahren mag lästig sein, ist aber unverzichtbar, wenn man die Grundrechte ernst nimmt.

Die Forderung nach einer darüber hinausgehenden allgemeinen ‚Kooperationspflicht‘ der Internetunternehmen mit Geheimdiensten oder Polizeibehörden würde dazu führen, dass die sozialen Netzwerke zu einer Art Hilfsorgan der Sicherheitsbehörden würden. Keineswegs hinzunehmen wäre etwa die Weitergabe persönlicher Daten bloß auf „Zuruf“ oder die Auswertung und Weitergabe von Massendaten. Die Enthüllungen Edward Snowdens haben gezeigt, welche Konsequenzen ein solcher Kuschelkurs haben kann.

Dagegen halte ich die Forderung für sinnvoll, dass Facebook und andere international agierende soziale Netzwerke Ansprechpartner für Auskunftsersuchen der Sicherheitsbehörden zu bestellen haben. Allerdings wird damit nicht das Problem gelöst, dass beim Zugriff auf Daten, die ein soziales Netzwerk auf Servern außerhalb Deutschlands speichert, auch die gesetzlichen Vorgaben des jeweiligen Staates zu beachten sind. Eine ähnliche Frage – allerdings mit umgekehrten Vorzeichen – wird ja derzeit in den USA diskutiert. Dort fordern Sicherheitsbehörden von Microsoft die Herausgabe von Daten, die auf Servern außerhalb der USA gespeichert werden. Der Ausgang dieses Verfahrens ist bis heute offen. Auch und gerade für den Zugriff auf Daten bei transnationalen Internetangeboten müssen die Grundsätze der Rechtsstaatlichkeit und Verhältnismäßigkeit gelten.

Wer dies aus tagespolitischen Motiven ignoriert, könnte sich schon bald die Augen reiben. Mit welcher Begründung sollte ein Internetdienst etwa die Forderung einer türkischen Behörde nach der Herausgabe der Daten von Kritikern des türkischen Staatspräsidenten ablehnen, wenn andererseits eine sehr weitgehende Kooperation der Unternehmen mit den deutschen Behörden eingefordert wird? Und was sagen wir dem chinesischen Dissidenten, den ein Internetdienst den dortigen Behörden ausliefert?

Wir brauchen internationale Standards, die rechtsstaatlichen Grundsätzen entsprechen – bei der Strafverfolgung und auch beim Datenschutz im Internet. Was wir dagegen nicht brauchen, ist eine „lex München“ oder eine „lex Würzburg“, so schlimm die dortigen Amokläufe auch waren.

Mit freundlichen Grüßen

Peter Schaar

Nachtrag (16. August 2016)

In einer Stellungnahme betont eco, Verband der Internetwirtschaft e.V., er sehe keine Notwendigkeit, Telemediendienstanbieter, insbesondere Social Media Plattformen, dazu zu verpflichten, Nutzerdaten im Rahmen von Terror-Abwehr- oder –Ermittlungsmaßnahmen schneller an Behörden zu übergeben. Eine solche neue Herausgaberegelung sei „überflüssig und darüber hinaus aus datenschutzrechtlicher Perspektive problematisch“, betonte eco Vorstand Politik & Recht Oliver Süme.

Tagungsbericht vom Steinmüller Workshop 2016: Informatisierung der Welt

Von Hansjürgen Garstka,
– Gründer und Ehrenvorsitzender der EAID,
Berliner Beauftragter für Datenschutz und Informationsfreiheit a.D. –

Informatisierung der Welt. Steinmüller Workshop 2016
Europäische Akademie für Informationsfreiheit und Datenschutz
Berlin, 19. Mai 2016

Link zur pdf-Version

Tagungsbericht

Im Gedenken an Wilhelm Steinmüller, den am 1. Februar 2013 verstorbenen Wegbereiter der Auseinandersetzung mit den gesellschaftlichen Auswirkungen der Elektronischen Datenverarbeitung in Deutschland, trafen sich im Rahmen der Europäischen Akademie für Informationsfreiheit und Datenschutz Berlin  am 19. Mai 2016 zum vierten Mal Weggefährten, Schüler und Freunde, um aktuelle Probleme der Informationsgesellschaft zu diskutieren. Das diesjährige Thema lehnte sich an den Wortgebrauch Steinmüllers an, der richtigerweise nicht von der Digitalisierung, sondern von der Informatisierung der Welt sprach. In seinem Lebenswerk „Informationstechnologie und Gesellschaft“  handelte er unter diesem Thema Probleme der „Informatisierten Wirtschaft und Sozialwelt“, des „Informierten Staates“, der „Informatisierten Arbeit“ und der „Informatisierten Weltgesellschaft“ ab (S. 547 ff.). Die Beiträge zu dem Workshop folgten diesem Schema.

Zu Beginn jedoch erinnerte Wolfgang Kilian an den im Oktober 2015 verstorbenen Herbert Fiedler, einem weiteren Protagonisten der juristischen Informatik, wie er, sich abgrenzend von Steinmüllers Rechtsinformatik, dieses Gebiet nannte. Kilian hob die Bedeutung der juristischen Logik und der mathematischen Betrachtungsweise in Fiedlers Werk hervor, die auch in seiner langjährigen Funktion als Leiter der Forschungsstelle für Juristische Informatik und Automation bei der vormaligen Gesellschaft für Mathematik und Datenverarbeitung in Sankt Augustin zum Ausdruck kam. Auch sein Engagement im Fachbereich Recht und Verwaltung der Gesellschaft für Informatik sowie in der Gesellschaft für Rechts- und Verwaltungsinformatik haben viel zur Fortentwicklung des Gebietes beigetragen.

Als Paradigma für die „Informatisierte Wirtschaft“ zeigte zunächst Joachim Rieß auf, wohin der Weg von „Industrie 4.0“ führt. Dieser nur in Deutschland gebräuchliche Begriff (Wolfgang Coy wird ihn in einem späteren Diskussionsbeitrag als zu einseitig bezeichnen) markiere die auf Mechanisierung, Elektrifizierung und Automatisierung folgende Autonomisierung und Vernetzung als nächste Stufe der ökonomischen Entwicklung. Nahe liegender Weise erläuterte der Konzerndatenschutzbeauftragte von Daimler-Benz diesen Schritt anhand der „Digitalen Transformation des Fahrzeugs“, die auf Miniaturisierung, Fließbandtechnik und Entwicklung hoher Sicherheitstechnik folge. Mobile, ständig im on-line-Modus befindliche Geräte, der Einsatz einer Vielzahl von Sensoren, simultane Lokalisierbarkeit, das Entstehen „cyber-physischer Systeme“ kennzeichneten die Entwicklung.  Hinzu komme die Individualilisierung der Produkte. Der „Datenmensch“ entstehe als „alter ego“, die Welt werde für unsere Bedürfnisse gefiltert, neue Erlebensräume würden eröffnet (z.B. durch 3-D-Visualisierung). Risiken sah Rieß im Hoheitsanspruch über die Filterprozesse, der nationalen Abschottung und der Nationalisierung des Internets, der Entstehung asymmetrischer Kriege, der anschwellenden digitalen Kriminalität. Neue Herausforderungen für den Datenschutz entstünden, wie die Frage des Eigentums an Daten und Informationen, neue Verantwortlichkeits- und Haftungsfragen.

Wolfgang Schimmel wandte sich dem Problem des „Bezahlens mit – anonymen? – Daten“ zu. Er wies darauf hin, dass Daten etwa im Adresshandel schon immer Handelsware waren. Das Kunsturhebergesetz kenne den Geldwert von Bildern. Schadensersatzforderungen beim Missbrauch von Informationen oder Lizenzgeschäfte seien weitere Beispiele für die Monetarisierung. Internetanbieter nutzten die Daten dagegen aufgrund Allgemeiner Geschäftsbedingungen gratis, Facebook lasse sich sogar eine „uneingeschränkte Lizenz“ erteilen. Die kostenlose Preisgabe der Daten werde durch die Drohung mit der Zurückweisung der Anmeldung erzwungen, die Nutzung der Daten bleibe im Dunkeln. Auf diese Weise verkauften die Nutzer „ihre Seele“ als „Schnäppchen“. An Hand der Sage vom Regensburger „Bruckmandl“ erläuterte Schimmel das Problem, seine Seele zurückzuholen – gegen die teuflischen Internetgiganten wie in der Sage zwei Hähne und einen Hund loszuschicken, wird wohl nicht ausreichen.

Der „Verfügungsbefugnis über marktfähige personenbezogene Daten“ widmete sich auch Wolfgang Kilian. Zunächst müsse die Frage gestellt werden, was informationelle Selbstbestimmung mit Marktprozessen zu tun hat. Jedenfalls sei eine unmittelbare Drittwirkung nicht möglich. International werde das deutsche Verständnis des Allgemeinen Persönlichkeitsrechts nicht verstanden. Kilian stellte sodann 13 Thesen zur Erstellung der Marktfähigkeit von Daten auf. Darunter: Zu berücksichtigen seien die Funktionsdefizite der Einwilligung, die Problematik müsse vielmehr auf die Vertragsebene übergeleitet werden. Zivilrechtliche Verfügungsbefugnisse setzten eine Zuordnung zu Eigentum bzw. property rights voraus. Parallelen zum Immaterialgüterrecht müssten gezogen werden. Das Immaterialgut müsste hierzu neu definiert werden, u.U. könnten aus dem Zollrecht Anregungen gewonnen werden. Der Lizenznehmer sei als Nießbraucher zu betrachten. Die Rechte müssten durch Privacy by design und Privacy by default durchgesetzt werden. Auch spezielle Verwertungsgesellschaften seien denkbar. Die Schranken der Rechte etwa im Hinblick auf Nutzung, Fairness, Forschung, öffentliche Sicherheit seien zu bestimmen, die Rolle von Anonymisierungspflichten sei zu bedenken.

Zur Informatisierung in der Sozialwelt steuerte Alexander Dix einen Beitrag zur „Entsolidarisierung durch die Digitalisierung des Menschen“ bei. Er verwies auf den wachsenden Markt von Gesundheitsapps und Trackinggeräten. Schlaf, Schweiß, Laufstrecken würden gemessen. Krankenkassen würden bei bestimmten Werten Prämien gewähren. Die Kfz-Versicherer interessierten sich mehr und mehr für den Fahrstil der versicherten Personen. Es stellten sich Fragen nach der Qualität und der Aussagekraft der gesammelten Daten, es könne zu Risikoverschiebungen kommen (beim Laufen Risiken für die Knochen statt für das Herz), es gebe Überlistungsmöglichkeiten. Vor allem liege in der Berücksichtigung der Daten bei der Prämengestaltung ein Verstoß gegen das Solidaritätsprinzip. So lasse das SGB V keine Bevorzugung gesund Lebender zu. Auch die Freiwilligkeit stehe in Frage, das Koppelungsverbot von Art. 7 Datenschutz-Grundverordnung sei zu beachten. Insgesamt könne  in der Sammlung dieser Gesundheitsdaten eine Vorstufe zur zentralen Gesundheitssteuerung gesehen werden, wie sie in China mit dem „citizen score“ derzeit aufgebaut wird.

Der informatisierte Staat wird vor allem durch die Sicherheitsbehörden mit ihren Überwachungsmaßnahmen repräsentiert. Hansjörg Geiger zeigte hierzu die „Verfassungsrechtlichen Grenzen der Überwachung der internationalen Telekommunikation durch den BND“ auf. Ausgangspunkt sei die Erkenntnis der Vorratsdatenspeicherungs-Entscheidung des Bundesverfassungsgerichts, nach der jede Kenntnisnahme, Auswertung und Verwendung von Kommunikationsdaten einen Grundrechtseingriff darstelle. Grenzen könnten nur ein Gesetz bestimmt werden, das besonderen Anforderungen an die Verhältnismäßigkeit und Normenklarheit genügen muss. Geiger erläuterte sodann die „strategischen“ Beschränkungen des G-10-Gesetzes, nach dem die Überwachungsbefugnisse auf den Telekommunikationsverkehr von und nach Deutschland beschränkt seien. Nur 20 % des Verkehrs dürfe einbezogen werden. Im Ergebnis sei eine flächendeckende Überwachung nach dem G-10-Gesetz nicht gestattet. In Diskussion sei die Frage nach der Zulässigkeit der Überwachung in einem Drittland oder zwischen Drittländern. Die Bundesregierung vertrete die These des „offenen Himmels“ und halte sie für zulässig. Dagegen sei zu halten, dass Art. 1 Absatz 3 Grundgesetz zwar keine Aussage zum räumlichen Geltungsbereich mache, aber Völkerrecht, v.a. die Allgemeine Erklärung der Menschenrechte zu beachten sei. Auch sei der Gebietskontakt durch Empfangs- und Auswertungsgeräte zu berücksichtigen. Das Bundesverfassungsgericht selbst lasse Art. 10 eingreifen, sobald Telekommunikationsdaten von deutschen Behörden in Deutschland erhoben, wie auch immer verarbeitet oder übermittelt werden. Im Ergebnis müsse Art. 10 daher auch für den „offenen Himmel“ grundsätzlich immer gelten. Allerdings könnten die Regelungen hier großzügiger ausgelegt werden. Jedenfalls dürfe der BND nicht weiterhin in einer Grauzone arbeiten.

Carl-Eugen Eberle befasste sich, angeregt durch einen Zeitungsbeitrag über die Nutzung der Sozialen Medien durch die Partei AfD, mit der allgemeinen Frage nach dem  Einfluss der Sozialen Medien auf die öffentliche Meinungsbildung. Dabei sei auffällig, dass der dort verbreitete Vorwurf der „Lügenpresse“, der sich auch gegen den Rundfunk richte, gerade in einem Medium erhoben werde, das selbst lügenanfällig ist. Die Selbstreferenzialität durch Likes bei Facebook spiele ebenso eine Rolle wie die Erzeugung von Entrüstungspotential durch Gerüchte und falsche Tatsachenbehauptungen. All dies werde noch begünstigt durch anonym oder gar automatisch generierte Beiträge. Im Gegensatz zum öffentlichen Rundfunk, der strengen journalistischen Regeln unterworfen ist, unterlägen diese Aktivitäten keinerlei Kontrolle. Das stelle die Frage, „ob wir nicht die falschen Türen überwachen“. Es sei notwendig, dass das Medienrecht auf diese Situation reagiere.

Im Rahmen des Bereichs „Informatisierte Arbeit“ trug Klaus Fuchs-Kittowski zur „Digitalisierung der Arbeitswelt – zur Stellung und Verantwortung des Menschen in hochkomplexen informationstechnologischen Systemen“ bei. Ausgangspunkt müsse sein, dass der Mensch im Mittelpunkt der Wirtschaftsinformatik stehen müsse. In der Auseinandersetzung mit den Propagandisten der Vollautomatisierung müsse die „technische Immunität“ angegriffen werden. Der Leitsatz müsse sein: „Gebt dem Automaten, was des Automaten ist, gebt dem Menschen, was des Menschen ist“ und nicht „…gebt dem Menschen, was übrig ist“. Die weitgehende Automatisierung führe zu einer Entwertung der menschlichen Arbeit. Der Druck, mit elektronischen Medien arbeiten zu müssen, führe zu einer immer stärkeren Arbeitsverdichtung. Die Bedeutung des Menschen sehe man besonders in riskanten Situationen, in denen der Mensch einen größeren Spielraum habe als eine Maschine. Dies sei wichtig besonders im Hinblick auf die Störanfälligkeit von Maschinen, die sich auch beim „ubiquitous computing“ zeigen werde: Je mehr Informationsquellen genutzt werden, desto größer werde die Störanfälligkeit („Paradoxie der Sicherheit“). Anzustreben sei nicht Vollautomation, sondern ein verantwortliches Zusammenwirken zwischen Mensch und Maschine.

Zum Themenbereich „Informatisierte Weltgesellschaft“ erläuterte Peter Schaar zunächst „Das regulatorische Territorialdilemma der globalen Informationsgesellschaft“.  Die Globalisierung habe seit 1995 deutliche Veränderungen hinsichtlich ihrer Auswirkungen auf die Datenverarbeitung verursacht. Während in jener Zeit umfangreiche Datenübermittlungen eher die Ausnahme und lokale Regelungen angemessen gewesen wären, seien dezentrale Verfahren heute eher die Ausnahme. Nicht nur von Institutionen wie dem US-Geheimdienst NSA, sondern auch von Wirtschaftsunternehmen gingen globale Bedrohungen aus. Unsere jetzigen Regelungen bezögen sich aber immer noch auf die frühere Situation. Die weltweit erhobene Forderung nach einer „digitalen Souveränität“ führe zu einer Daten-Relokalisierung, wie sie die USA bereits seit langem praktiziere. Erforderlich sei dagegen eine Globalisierung der rechtlichen Vorgaben. Durch UN-Aktivitäten seien deutliche Grenzen zu setzen. Die Menschenrechtsbindung müsse unabhängig von Hoheitsgebieten und der Nationalität der Betroffenen durchgesetzt werden. Schaar verwies auf den Bericht der Hohen Kommissarin für Menschenrechte der UN, Navi Pillay, nach dem Menschenrechte nur durchgesetzt werden könnten, wenn die einzelnen Staaten sich verpflichten, sie auch außerhalb ihrer eigenen Landesgrenzen zu beachten  (The Right to Privacy in the Digital Age, Juli 2014).

Schließlich beschrieb Klaus Lenk „Die Herausbildung einer weltweiten privaten Rechtsordnung: Akteure und ihre Gestaltungsspielräume“. Diese von zivilen Einrichtungen geschaffenen Rechtsordnungen, die in Konkurrenz zur staatlichen stehen,  würden Oberhand gewinnen. Kennzeichnend für sie sei die folgenreiche Nutzung von vier Steuerungsinstrumenten: (1) Imperatives Recht werde durch zwingende Technikregulierung abgelöst. (2) Eine unsichtbare Rekonfigurierung der physischen und informationellen Umgebung des Menschen führe zu einer „gebremsten Individuation“. (3) Entscheidungen beruhten auf einem „maschinellen“ Anfangsverdacht. (4) Diffuse, feingranulare nicht-staatliche Überwachungsszenarien entstünden. Dahinter stehe die „kalifornische Ideologie“, die geprägt sei durch Weltverbesserungsstreben, Technikgläubigkeit und Geschäftemacherei. Folgende staatliche Spielräume verblieben:  Entnetzung (Dinge müssen isoliert funktionieren), Resilienz (Gestaltung robuster, verantwortbarer Strukturen), Herstellung von Nachvollziehbarkeit. Insgesamt seien die Handlungsspielräume größer als vermutet. Hierzu müsse der „Enteignung des Willens durch Digitalisierung“ begegnet, der damit zusammenhängende Fatalismus überwunden und die Frage gestellt werden, „ob wir noch Alternativen denken können“.

EuGH zu Safe Harbor: Kein Grundrechterabatt beim internationalen Datentransfer

Das Urteil des Europäischen Gerichtshofs (EuGH) in der Sache Schrems gegen den Irischen Datenschutzbeauftragten wirkt weit über den eigentlichen Streitgegenstand hinaus. Die Irische Datenschutzbebehörde muss der Frage nachgehen, ob Facebook Irland die personenbezogenen Daten seiner Nutzer in die Vereinigten Staaten weitergeben darf. Die Entscheidung betrifft auch die deutschen Facebook-Nutzer, denn Facebook Ireland ltd. mit Sitz in Dublin bietet seinen Service für die meisten Länder – mit Ausnahme Nordamerikas – rechtlich von Irland aus an. Deren Daten werden aber gleichwohl in den USA verarbeitet – im Wege der „Datenverarbeitung im Auftrag“.

Die für die Datenschutzkontrolle bei Facebook Irland zuständige Irische Datenschutzbeauftragte kann sich einer solchen Überprüfung nicht mit dem Hinweis darauf entziehen, dass die EU-Kommission  in ihrer „Safe Harbour“-Entscheidung vom 26. Juli 2000 den Vereinigten Staaten ein angemessenes Datenschutzniveau bescheinigt hat, jedenfalls soweit sich die Datenempfänger zu den „Grundsätzen eines sichern Hafens“ bekennen, wie dies seitdem mehr al 3000 US-Unternehmen getan haben.

Das höchste EU-Gericht hat festgestellt, dass die Safe-Harbour-Vereinbarung nicht den Anforderungen von Art. 7 und 8 der EU-Grundrechtecharta genügt, die die Grundrechte auf Datenschutz und Privatsphäre garantieren. Letztlich unbegrenzte Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten europäischer Herkunft verletzten den Kernbereich der Grundrechte. Ihre sehr weit gehenden Befugnisse widersprächen zudem den grundlegenden Anforderungen an ein rechtsstaatliches Verfahren, denn Betroffene EU-Bürger hätten keinen Anspruch darauf, in den USA Auskunft über die Datenverarbeitung staatlicher Stellen zu erlangen und die entsprechenden Zugriffe und die anschließende Datenverarbeitung gerichtlich überprüfen zu lassen. Das Safe Harbour Abkommen sei deshalb ungültig.

Für Facebook und die übrigen Unternehmen, die sich in den vermeintlich sicheren Hafen geflüchtet haben, bedeutet das Urteil zunächst, dass die Verarbeitung personenbezogener Daten, die aus der EU übermittelt wurden, nicht mehr der Vermutung unterliegen, sie würden in Übereinstimmung mit dem EU-Datenschutzrecht verarbeitet (Art. 25 der EU-Datenschutzrichtlinie von 1995). Sie benötigen für den Datentransfers grundsätzlich die Genehmigung durch die zuständigen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten. Die Datenschutzbehörden dürfen diese Genehmigung nur erteilen, wenn der Datenempfänger – bezogen auf die jeweiligen personenbezogenen Daten – ein angemessenes Datenschutzniveau gewährleistet. Dieser Nachweis dürfte insbesondere denjenigen Unternehmen schwer fallen, die an der Massenüberwachung durch US-Geheimdienste mitgewirkt haben.

Schwer vorstellbar ist, dass Facebook, Microsoft, Google & Co. einfach auf ein anderes Instrument „umschalten“ können, das die Angemessenheit des Datenschutzes garantieren soll, etwa auf die sog. „Standardvertragsklauseln„, die ebensowenig wie der „sichere Hafen“ vor staatlicher Überwachung schützen. Die vom EuGH formulierten Anforderungen sind auch auf sie anwendbar.

Auch die Änderung der Vertragsbestimmungen mit den Nutzern in der Weise, dass diese in die mögliche Überwachung durch die NSA und andere Behörden einwilligen, wäre keine Lösung. Zwar haben Betroffene grundsätzlich die Möglichkeit, in das Eingehen besonderer Risiken einzuwilligen, auch soweit diese den Umgang mit ihren Daten betreffen. Die Einwilligung kann jedoch nur dann eine wirksameRechtsgrundlage für die Verarbeitung personenbezogener Daten sein, wenn die Nutzer der Tragweite der Einwilligung bewusst sind (Transparenz), sie frei von jedem Zwang erfolgt (tatsächliche Freiwilligkeit) und sie jederzeit zurückgenommen werden kann.

Eine pauschale Einwilligung in umkfassende staatliche Überwachung durch einen Drittstaat, verbunden mit dem Verzicht auf Rechtsschutz und auf das nach EU-Recht unabdingbare Auskunftsrecht bezüglich der eigenen Daten wäre deshalb unwirksam.

Wie könnte also eine Lösung aussehen?

Kurzfristig müssen die betroffenen Unternehmen – sowohl die Absender als auch die Empfänger personenbezogener Daten – dafür sorgen, dass die ihnen anvertrauten Daten nicht weiter Gegenstand der Massenüberwachung sind: Durch Kryptographie, Standortenscheidungen für Server und anderer Netzkomponenten und ggf. durch Wechsel von Geschäftspartnern, etwa bei der Auftragsdatenverarbeitung oder bei der Erbringung sonstiger IT-Dienstleistungen.

Längerfristig besteht der einzige Weg darin, den in Art. 12 der UN-Menschenrechtserklärung, in der EU-Grundrechtecharta und in vielen Verfassungen demokratischer Staaten garantierten Grund- und Menschenrechte auf Privatsphäre und Datenschutz endlich global durchzusetzen. Die notwendigen Änderungen beschränken sich dabei nicht auf die Vereinigten Staaten, sie betreffen auch Europa. Auch hier folgen Geheimdienste der absurden Vorstellung, möglichst alles zu wissen und deshalb alles und jeden zu überwachen, um damit vermeintlich mehr Sicherheit zu schaffen (was bekanntlich nicht einmal in autoritären Regimes jemals geklappt hat).

Nicht ein angeblich „überzogener“ Datenschutz gefährdet den Welthandel und die Informationsgesellschaft, sondern überbordende Massenüberwachung!

Mit freundlichen Grüßen, Peter Schaar

Vgl. auch meinen Blog-Eintrag zum Votum des Generalanwalts

Datenschutz? Ist mir doch egal!

(Bei diesem Text handelt es sich um die Langfassung eines Gastbeitrags, der im Juli 2015 in verschiedenen deutschen Zeitungen erschienen ist)

Obwohl wir heute jeden Tag ungeheure Mengen digitaler Daten produzieren, reagieren die meisten Menschen auf die damit einhergehenden Gefahren eher gleichgültig. Eine Mischung aus  Verdrängung und Resignation. Datenschutz? Darum sollen sich doch die Datenschutzbehörden kümmern, die werden schließlich dafür bezahlt! Und immer noch hören wir den dummen Satz:  „Ich habe doch nichts zu verbergen!“

Fast täglich lesen wir Berichte über gestohlene Daten, Cyberangriffe und Datenschutzverletzungen. Facebook ändert seine Nutzungsbedingungen und schaut uns laufend  beim Surfen über die Schulter? Na wenn schon! Die NSA liest unsere E-Mails mit? Der amerikanische Geheimdienst interessiert sich doch nicht für mich! Vorratsdatenspeicherung? Davor haben doch nur Kriminelle und Terroristen Angst!

Es ist zu befürchten, dass wir unsere Ignoranz teuer bezahlen müssen. Viele werden sich demnächst Vorwürfe machen, warum sie sich nicht rechtzeitig um ihren digitalen Schatten gekümmert haben. Gefahren drohen nicht nur von Kriminellen und Cyberterroristen. Schmerzhaft wird es auch dann, wenn wenn ich sehr viel mehr Zinsen zahlen muss als die Nachbarin, obwohl ich doch bisher alle Kredite zurückgezahlt habe. Oder wenn ich die beantragte Versicherung nicht bekomme oder wenn mir die Auszahlung der Versicherungssumme unter Hinweis auf widersprüchliche Daten verweigert wird. Allgegenwärtige Datenverarbeitung heißt zugleich auch umfassende, permanente Beobachtung – ohne Vergessen und Vergeben.

Vieles von dem, was mit unseren Daten geschieht, spielt sich hinter unserem Rücken ab. die Datensammler sind längst in unseren Alltag eingesickert, ohne dass wir dies bemerkt haben. Fast jeder rechnet heute damit, dass jede  Aktivität im Internet Spuren hinterlässt und vielen ist bewusst, dass das Smartphone unseren Aufenthaltsort ausplaudert. Aber dass unser Auto  immer mehr Daten sammelt  und die so gewonnenen Informationen über unseren Fahrstil demnächst an die Versicherung weiterleitet, ist weniger bekannt. Und an die Videokameras an allen möglichen und unmöglichen Orten haben wir uns fast gewöhnt. Dass die Überwachungssysteme allerdings  zunehmend die aufgenommenen Bilder auswerten und Personen anhand ihres Gesichts identifizieren können, wissen die wenigsten. Überwachung bestimmt immer größere Teil unseres Alltags, im Büro, auf der Straße und auch im häuslichen Wohnzimmer per Smart TV.

Andererseits möchten die Wenigsten auf die Bequemlichkeiten verzichten, die es ohne Technik nicht geben würde: Computerspiele, Internet, Navigationssysteme, elektronisches Bestellen und Bezahlen, um nur einige Beispiele zu nennen. Und die Geschäftsmodelle von Google, Facebook & Co. haben uns daran gewöhnt, dass wir selbst für hochwertige Leistungen und Informationen kein Geld zahlen müssen. Aber auch im Internet gilt der Satz: Nichts ist umsonst! Selbstverständlich bezahlen wir für die „kostenlosen“ Dienste – aber die Währung sind unsere Daten. Im Unterschied zu den Frühstücksbrötchen, die wir beim Bäcker kaufen, können wir den wirklichen Preis nicht abschätzen, den wir für viele elektronische Dienstleistungen bezahlen.

Wie teuer die elektronischen Dienste  in Wirklichkeit sind, merken zunächst diejenigen, die kreativ sind und die Informationen produzieren. Die Erlöse der elektronischen Verbreitung landen zum größten Teil bei den  Betreibern von Internet-Plattformen und Suchmaschinen und nicht bei den Journalisten, Musikern und Künstlern. Aber auch die Nutzer werden zunehmend zur Finanzierung herangezogen, indem sie umfassend in ihrem Verhalten, ihren Interessen und persönlichen Eigenschaften registriert und laufend bewertet werden. Die so gewonnenen Persönlichkeitsprofile sind nicht nur die Grundlage für maßgeschneiderte Werbebotschaften sondern zunehmend auch für alltägliche Entscheidungen, etwa darüber, wer wie lange in einer telefonischen Warteschleife zu verharren hat oder wer einen Mietvertrag bekommt.

Es stimmt schon: Big Data schafft neue Erkenntnisgrundlagen, aber die Kenntnisse sind ungleich verteilt. Die meisten datengetriebenen Geschäftsmodelle gleichen einem venezianischen Spiegel,  der nur einseitig durchsichtig ist. Die großen privatwirtschaftlichen und staatlichen Datensammler wissen alles über die Nutzer, aber sie hüten Ihre Datenschatz wie einen Augapfel. Wer von ihnen, die doch alles über uns wissen wollen und vieles erfahren, umfassende Transparenz fordert, dem werden allzu häufig Staats- und Geschäftsgeheimnisse entgegenhalten.

Es stimmt schon: Der Weg in die digitale Gesellschaft ist unumkehrbar. Und trotzdem können wir  darauf einwirken, wie unser Leben in 10 oder 20 Jahren aussehen wird. Hätte man vor 150 Jahren der Industrialisierung freien Lauf gelassen, gäbe es bei uns immer noch Kinderarbeit und Arbeitsschutz wäre ein Fremdwort. Ohne den im 19. Jahrhundert begonnenen Kampf von Frauen gäbe es bis heute kein Frauenwahlrecht. Nur durch das Engagement von Bürgerrechtlern ist in den 1960er Jahren in den USA die Rassentrennung gefallen. Und der Umweltschutz wird heute nur deshalb sehr viel ernster genommen, weil sich viele Menschen dafür eingesetzt haben. Genau so müssen wir uns für eine demokratische, menschenfreundliche Gestaltung der Informationsgesellschaft stark machen.

Viele schrecken angesichts der Größe der Aufgabe davor zurück. Andererseits möchte ich an den Satz des großen chinesischen Gelehrten Konfuzius erinnern: „Jede große Reise beginnt mit einem kleinen Schritt“: Privatsphäre ernst nehmen, nachfragen, technische Schutzmöglichkeiten nutzen – angesichts der Herausforderungen erscheint dies nicht viel. Aber selbst kleinste eigene Schritte tragen zu dem notwendigen Stimmungs- und Meinungswandel bei.

Die Informationsgesellschaft ist kein virtueller Vergnügungspark, sie ist aber auch nicht der Friedhof der Demokratie. Gleichgültigkeit, Lethargie und Resignation sind das letzte, was wir brauchen. Auch die Informationsgesellschaft lebt von engagierten Bürgerinnen und Bürgern, die sich auskennen und die sich einsetzen. Die neuen Informationstechnologien erleichtern es, sich bürgerschaftlich zu vernetzen, unerwünschte Informationen öffentlich zu machen und Diskussionen anzustoßen. Deshalb wäre es auch nicht richtig, die Diskussion über die digitale Zukunft wenigen Spezialisten zu überlassen, Informatikern, Nerds oder – naja – auch den Datenschützern. Vor allem aber  dürfen wir nicht dem Irrtum erliegen, der Weg in die Überwachungsgesellschaft sei ein unbeeinflussbares Schicksal.

Facebook: Jede große Reise beginnt mit einem kleinen Schritt

Zunächst einmal herzlichen Dank für die Kommentare zu meiner Ankündigung, Facebook zu verlassen, die ich inzwischen umgesetzt habe.

Ich will hier eine kurze Erläuterung nachreichen: Es war immer mein Anliegen, nicht nur über den Datenschutz zu theoretisieren, sondern auch praktische Erfahrungen zu sammeln. Manches stellt sich nunmal aus der User-Sicht anders dar als von den rechtlichen Höhen der Datenschutzaufsicht. Dabei war mir natürlich seit langem klar, dass die Praxis von Facebook zur Realnamenspflicht und die Profilbildung  den Vorgaben des deutschen Telemediengesetzes nicht entspricht.

Die geänderten FB-Nutzungsbedingungen gehen jedoch darüber hinaus, denn FB räumt sich darin das Recht ein, uns auch außerhalb  seines Dienstes zu beobachten, unser Surfverhalten zu registrieren und sich auf dem den von uns verwendeten Geräten nach anderen Apps umzuschauen. Dies überschreitet aus meiner Sicht jedes akzeptable Maß und entspricht auch nicht den Vorgaben des Europäischen Datenschutzrechts, zu dessen Einhaltung sich FB eigentlich verpflichtet hat – und verpflichtet ist (Sitz der FB Inc.: Dublin). Dies gilt auch für die  „Einwilligung“, die dann als erteilt gilt, wenn man den Dienst nach dem Inkrafttreten der geänderten Regeln weiter nutzt. Diese Einwilligung ist aus meiner Sicht unwirksam, denn gerade bei einem marktbeherrschenden Unternehmen kann von der durch die EG-Datenschutzrichtlinie Freiwilligkeit der Einwilligung keine Rede sein. Auch die Vorstellung, allein durch die Dienstenutzung mit allem einverstanden zu sein, erscheint mir – insb. angesichts der Komplexität der Datensammlungen und -verarbeitungsvorgänge – nicht tragbar.

Daran ändert auch die neu eingeführte Wahlmöglichkeit nichts, keine verhaltensspezifisch personalisierte Werbung mehr zu erhalten. Dies ist lediglich ein Opt Out bezüglich der Werbezusendungen, ändert aber nichts an der Beobachtung und Profilbildung. Und die Möglichkeit, bestimmte Werbung „abzuwählen“, führt nicht etwa zu weniger Beobachtung und Registriereung sondern fügt unserem Profil weitere Elemente hinzu.

Für mich war mit den neuen Nutzungsbedingungen eine rote Linie überschritten. Ich werde also in Zukunft ohne FB auskommen müssen, jedenfalls solange der Dienst seine Praxis nicht wesentlich ändert, woran ich derzeit eher zweifele. Schön wären allerdings auch die hier im Forum diskutierten Projekte datenschutzgerechter Alternativen. Ich habe vor, mich demnächst etwas intensiver im Netz umzusehen – es würde mich wundern, wenn es derartige Ansätze noch nicht gibt. Von einigen, etwa Diaspora, hat man ja schon gehört. Vielleicht kann ja jemand von Erfahrungen berichten.

Mir ist völlig klar, dass mein individueller Austritt aus dem Dienst nicht viel ändert. Diese Erfahrung hatte vor einigen Jahren schon die damalige Verbraucherschutzministerin Ilse Aigner machen müssen. Andererseits möchte ich an den Satz des großen chinesischen Gelehrten Konfuzius erinnern: „Jede große Reise beginnt mit einem kleinen Schritt“.

Mit freundlichen Grüßen

Peter Schaar