Tag Archives: NSA

EMRG: Massenhafte Überwachung durch britischen Geheimdienst verstieß gegen Europäische Menschenrechtskonvention

Am 13. September 2018 hat der Europäische Gerichtshof für Menschenrechte (EGMR) in Straßburg entschieden, dass die massenhafte Überwachung des britischen Geheimdienstes GCHQ (Government Communications Headquarters), die dieser in Zusammenarbeit mit dem US-amerikanischen Computer-Geheimdienst NSA (National Security Agency) durchgeführt hat, die Europäischen Menschenrechtskonvention (EMRK) verletzt.

Das Urteil erging fast auf den Tag genau fünf Jahre nach der Einreichung der Klage durch die Britische Bürgerrechtsorganisation Big Brother Watch und andere, darunter Amnesty International, den britischen PEN-Club und die Sprecherin des deutschen Chaos-Computer-Clubs Constanze Kurz.

 

1. Inhalt der Entscheidung

In dem Kammerurteil (ECHR 299 (2018)) stellte das Gericht fest, dass die Massenüberwachung gegen Artikel 8 EMRK (Recht auf Achtung des Privat- und Familienlebens bzw. der Kommunikation) und gegen Artikel 10 (Meinungs- und Pressefreiheit) verstößt.

Sowohl die Auswahl der überwachten Internetnutzer als auch die Filterung, Suche und Auswahl der abgefangenen Mitteilungen wurden nur unzureichend kontrolliert. Zudem fehlten Garantien für die Auswahl „verbundener Kommunikationsdaten“, insbesondere im Hinblick auf deren Nachprüfbarkeit.

Auch die Mechanismen, derer sich der GCHQ bediente, um an die von Kommunikationsdiensteanbietern gespeicherten Daten zu gelangen, verstößt gegen Artikel 8. Sowohl das Regime der Massenüberwachung als auch die die Beschaffung von Kommunikationsdaten von Kommunikationsdiensteanbietern verstießen zudem gegen Artikel 10 (Presse- und Meinungsfreiheit), da es keine ausreichenden Garantien in Bezug auf vertrauliches journalistisches Material gibt.

Nicht beanstandet hat der Gerichtshof den Austausch der erlangten Daten mit Diensten anderer Staaten. Zurückgewiesen wurden ferner Beschwerden, die sich gegen Mängel in der gerichtlichen Nachprüfbarkeit der Überwachungspraxis und gegen Verstöße gegen das Diskriminierungsverbot richteten.

2. Bewertung 

Es handelt sich um die erste Entscheidung eines höchsten Europäischen Gerichts, die sich direkt mit der durch den Edward Snowden aufgedeckten geheimdienstlichen Überwachungspraxis auseinandersetzt. Zusammen mit früheren Urteilen – etwa der Annullierung des Safe Harbour-Abkommens durch den Gerichtshof der Europäischen Union (EuGH) von 2015 – verdeutlicht die jüngste Entscheidung, dass staatliche Überwachungsmaßnahmen stets dort ihre Grenze finden, wo sie Grund- und Menschenrechte verletzen. Das ist stets dann der Fall, wenn unterschiedlos Daten sehr vieler Menschen betroffen sind, die keinerlei Bezug zu einer schweren Gefährdung der öffentlichen Sicherheit aufweisen. 

Von entscheidender Bedeutung ist auch die effektive Kontrolle des staatlichen Handelns  durch Gerichte, unabhängige Datenschutzbehörden und Parlamente. All dies war bei den 2013 aufgedeckten umfassenden Überwachungsaktivitäten nicht gegeben.

Die Bedeutung der Entscheidung ist erheblich und sie geht weit über die monierte Praxis der britischen Behörden hinaus.  Zwar stellte der Gerichtshof fest, dass nicht jede Regelung, die eine massenhafte Überwachung vorsieht, an sich gegen die EMRK verstößt. Zugleich stellte er aber fest, dass eine solche Regelung die in der EGMR-Rechtsprechung festgelegten Kriterien erfüllen muss. 

Großbritannien ist nun gehalten, die Überwachungspraxis der Geheimdienste deutlich zu begrenzen. Dies ist umso notwendiger, als die Überwachungsbefugnisse durch den Investigative Powers Act 2016 sogar noch ausgeweitet wurden. Seit dem Brexit-Referendum fordern Hardliner, dass das Vereinigte Königreich die EMRK verlässt. Zwar ist die Europäische Union als Institution nicht selbst der EMRK beigetreten, sie unterliegt jedoch den Vorgaben der Grundrechtecharta. Die Europäische Union muss bei den Austrittsverhandlungen klarmachen, dass jedwede „gütliche“ Regelung mit Großbritanniens ausgeschlossen ist, wenn sich das Land nicht mehr an die Menschenrechte gebunden fühlt und weder die Rechtsprechung des EMRG noch des Europäischen Gerichtshofs als bindend anerkennt.

Angesichts der fortdauernden geheimdienstlichen Massenüberwachung ist aber nicht nur in Großbritannien eine deutliche Einschränkung der Befugnisse der Nachrichtendienste erforderlich. Dies betrifft auch Deutschland, wo die Große Koalition mit verschiedenen 2016 beschlossenen Gesetzen die Befugnisse des Verfassungsschutzes ausgeweitet und die bis dahin illegalen Abhörpraktiken des Bundesnachrichtendienstes legalisiert hat.

Die EGMR-Entscheidung ist ein Weckruf, der uns dazu veranlassen sollte, die in den letzten Jahren weitgehend eingeschlafene Diskussion darüber, wieviel Überwachung eine freiheitliche Gesellschaft verträgt, wieder aufzunehmen.

Was bedeutet der Wahlsieg von Donald Trump für den Datenschutz?

Um es vorwegzunehmen: Es ist mir auch nach längerer Recherche nicht gelungen, auf diese Frage eine überzeugende Antwort zu finden. So findet sich im Wahlprogramm von Donald Trump keine Aussage zu diesem Themenkomplex. Offensichtlich hat auch kein Journalist ernsthaft beim Kandidaten nachgefragt, was er für den Fall eines Wahlsiegs in Sachen Überwachung, Datenschutz und Privatsphäre plant. Was bleibt, sind einige Nachrichtenschnipsel, die ein eher widersprüchliches Bild zeichnen.

Im Hinblick auf die Überwachungsaktivitäten der US-Geheimdienste und anderer Sicherheitsbehörden plädierte der künftige Präsident für mehr Härte, wobei die entsprechenden Bemerkungen eher beiläufig und reaktiv waren:

Er stellte sich beim Streit zwischen dem FBI und Apple über die Entschlüsselung eines beschlagnahmten iPhones auf die Seite der Bundespolizei, die den Zugang zu den Daten forderte.
Edward Snowden ist für ihn ein Verräter, bei dem man über die Verhängung der Todesstrafe nachdenken sollte.
Der umfassenden Speicherung von Metadaten durch die NSA begegnete er mit Verständnis und Sympathie. Ggf. Müssten die entsprechenden Gesetze verschärft werden.

Bezogen auf die Weitergabe von Daten Studierender sprach Trump sich für eine Verbesserung des Datenschutzes und entsprechende Verbesserungen des US Privacy Act aus.

Als Randnotiz sei noch erwähnt, dass ein Trump gehörendes Golf-Ressort in Großbritannien beschuldigt wurde, gegen britisches Datenschutzrecht zu verstoßen.

Angesichts dieser mageren Informations-Ausbeute bleibt uns beim Datenschutz – wie in vielen anderen Politikfeldern – nichts anderes übrig, als abzuwarten, welchen Kurs die neue Administration einschlagen wird. Alles andere wäre hoch spekulativ …

Ihr

Peter Schaar

Tagungsbericht vom Steinmüller Workshop 2016: Informatisierung der Welt

Von Hansjürgen Garstka,
– Gründer und Ehrenvorsitzender der EAID,
Berliner Beauftragter für Datenschutz und Informationsfreiheit a.D. –

Informatisierung der Welt. Steinmüller Workshop 2016
Europäische Akademie für Informationsfreiheit und Datenschutz
Berlin, 19. Mai 2016

Link zur pdf-Version

Tagungsbericht

Im Gedenken an Wilhelm Steinmüller, den am 1. Februar 2013 verstorbenen Wegbereiter der Auseinandersetzung mit den gesellschaftlichen Auswirkungen der Elektronischen Datenverarbeitung in Deutschland, trafen sich im Rahmen der Europäischen Akademie für Informationsfreiheit und Datenschutz Berlin  am 19. Mai 2016 zum vierten Mal Weggefährten, Schüler und Freunde, um aktuelle Probleme der Informationsgesellschaft zu diskutieren. Das diesjährige Thema lehnte sich an den Wortgebrauch Steinmüllers an, der richtigerweise nicht von der Digitalisierung, sondern von der Informatisierung der Welt sprach. In seinem Lebenswerk „Informationstechnologie und Gesellschaft“  handelte er unter diesem Thema Probleme der „Informatisierten Wirtschaft und Sozialwelt“, des „Informierten Staates“, der „Informatisierten Arbeit“ und der „Informatisierten Weltgesellschaft“ ab (S. 547 ff.). Die Beiträge zu dem Workshop folgten diesem Schema.

Zu Beginn jedoch erinnerte Wolfgang Kilian an den im Oktober 2015 verstorbenen Herbert Fiedler, einem weiteren Protagonisten der juristischen Informatik, wie er, sich abgrenzend von Steinmüllers Rechtsinformatik, dieses Gebiet nannte. Kilian hob die Bedeutung der juristischen Logik und der mathematischen Betrachtungsweise in Fiedlers Werk hervor, die auch in seiner langjährigen Funktion als Leiter der Forschungsstelle für Juristische Informatik und Automation bei der vormaligen Gesellschaft für Mathematik und Datenverarbeitung in Sankt Augustin zum Ausdruck kam. Auch sein Engagement im Fachbereich Recht und Verwaltung der Gesellschaft für Informatik sowie in der Gesellschaft für Rechts- und Verwaltungsinformatik haben viel zur Fortentwicklung des Gebietes beigetragen.

Als Paradigma für die „Informatisierte Wirtschaft“ zeigte zunächst Joachim Rieß auf, wohin der Weg von „Industrie 4.0“ führt. Dieser nur in Deutschland gebräuchliche Begriff (Wolfgang Coy wird ihn in einem späteren Diskussionsbeitrag als zu einseitig bezeichnen) markiere die auf Mechanisierung, Elektrifizierung und Automatisierung folgende Autonomisierung und Vernetzung als nächste Stufe der ökonomischen Entwicklung. Nahe liegender Weise erläuterte der Konzerndatenschutzbeauftragte von Daimler-Benz diesen Schritt anhand der „Digitalen Transformation des Fahrzeugs“, die auf Miniaturisierung, Fließbandtechnik und Entwicklung hoher Sicherheitstechnik folge. Mobile, ständig im on-line-Modus befindliche Geräte, der Einsatz einer Vielzahl von Sensoren, simultane Lokalisierbarkeit, das Entstehen „cyber-physischer Systeme“ kennzeichneten die Entwicklung.  Hinzu komme die Individualilisierung der Produkte. Der „Datenmensch“ entstehe als „alter ego“, die Welt werde für unsere Bedürfnisse gefiltert, neue Erlebensräume würden eröffnet (z.B. durch 3-D-Visualisierung). Risiken sah Rieß im Hoheitsanspruch über die Filterprozesse, der nationalen Abschottung und der Nationalisierung des Internets, der Entstehung asymmetrischer Kriege, der anschwellenden digitalen Kriminalität. Neue Herausforderungen für den Datenschutz entstünden, wie die Frage des Eigentums an Daten und Informationen, neue Verantwortlichkeits- und Haftungsfragen.

Wolfgang Schimmel wandte sich dem Problem des „Bezahlens mit – anonymen? – Daten“ zu. Er wies darauf hin, dass Daten etwa im Adresshandel schon immer Handelsware waren. Das Kunsturhebergesetz kenne den Geldwert von Bildern. Schadensersatzforderungen beim Missbrauch von Informationen oder Lizenzgeschäfte seien weitere Beispiele für die Monetarisierung. Internetanbieter nutzten die Daten dagegen aufgrund Allgemeiner Geschäftsbedingungen gratis, Facebook lasse sich sogar eine „uneingeschränkte Lizenz“ erteilen. Die kostenlose Preisgabe der Daten werde durch die Drohung mit der Zurückweisung der Anmeldung erzwungen, die Nutzung der Daten bleibe im Dunkeln. Auf diese Weise verkauften die Nutzer „ihre Seele“ als „Schnäppchen“. An Hand der Sage vom Regensburger „Bruckmandl“ erläuterte Schimmel das Problem, seine Seele zurückzuholen – gegen die teuflischen Internetgiganten wie in der Sage zwei Hähne und einen Hund loszuschicken, wird wohl nicht ausreichen.

Der „Verfügungsbefugnis über marktfähige personenbezogene Daten“ widmete sich auch Wolfgang Kilian. Zunächst müsse die Frage gestellt werden, was informationelle Selbstbestimmung mit Marktprozessen zu tun hat. Jedenfalls sei eine unmittelbare Drittwirkung nicht möglich. International werde das deutsche Verständnis des Allgemeinen Persönlichkeitsrechts nicht verstanden. Kilian stellte sodann 13 Thesen zur Erstellung der Marktfähigkeit von Daten auf. Darunter: Zu berücksichtigen seien die Funktionsdefizite der Einwilligung, die Problematik müsse vielmehr auf die Vertragsebene übergeleitet werden. Zivilrechtliche Verfügungsbefugnisse setzten eine Zuordnung zu Eigentum bzw. property rights voraus. Parallelen zum Immaterialgüterrecht müssten gezogen werden. Das Immaterialgut müsste hierzu neu definiert werden, u.U. könnten aus dem Zollrecht Anregungen gewonnen werden. Der Lizenznehmer sei als Nießbraucher zu betrachten. Die Rechte müssten durch Privacy by design und Privacy by default durchgesetzt werden. Auch spezielle Verwertungsgesellschaften seien denkbar. Die Schranken der Rechte etwa im Hinblick auf Nutzung, Fairness, Forschung, öffentliche Sicherheit seien zu bestimmen, die Rolle von Anonymisierungspflichten sei zu bedenken.

Zur Informatisierung in der Sozialwelt steuerte Alexander Dix einen Beitrag zur „Entsolidarisierung durch die Digitalisierung des Menschen“ bei. Er verwies auf den wachsenden Markt von Gesundheitsapps und Trackinggeräten. Schlaf, Schweiß, Laufstrecken würden gemessen. Krankenkassen würden bei bestimmten Werten Prämien gewähren. Die Kfz-Versicherer interessierten sich mehr und mehr für den Fahrstil der versicherten Personen. Es stellten sich Fragen nach der Qualität und der Aussagekraft der gesammelten Daten, es könne zu Risikoverschiebungen kommen (beim Laufen Risiken für die Knochen statt für das Herz), es gebe Überlistungsmöglichkeiten. Vor allem liege in der Berücksichtigung der Daten bei der Prämengestaltung ein Verstoß gegen das Solidaritätsprinzip. So lasse das SGB V keine Bevorzugung gesund Lebender zu. Auch die Freiwilligkeit stehe in Frage, das Koppelungsverbot von Art. 7 Datenschutz-Grundverordnung sei zu beachten. Insgesamt könne  in der Sammlung dieser Gesundheitsdaten eine Vorstufe zur zentralen Gesundheitssteuerung gesehen werden, wie sie in China mit dem „citizen score“ derzeit aufgebaut wird.

Der informatisierte Staat wird vor allem durch die Sicherheitsbehörden mit ihren Überwachungsmaßnahmen repräsentiert. Hansjörg Geiger zeigte hierzu die „Verfassungsrechtlichen Grenzen der Überwachung der internationalen Telekommunikation durch den BND“ auf. Ausgangspunkt sei die Erkenntnis der Vorratsdatenspeicherungs-Entscheidung des Bundesverfassungsgerichts, nach der jede Kenntnisnahme, Auswertung und Verwendung von Kommunikationsdaten einen Grundrechtseingriff darstelle. Grenzen könnten nur ein Gesetz bestimmt werden, das besonderen Anforderungen an die Verhältnismäßigkeit und Normenklarheit genügen muss. Geiger erläuterte sodann die „strategischen“ Beschränkungen des G-10-Gesetzes, nach dem die Überwachungsbefugnisse auf den Telekommunikationsverkehr von und nach Deutschland beschränkt seien. Nur 20 % des Verkehrs dürfe einbezogen werden. Im Ergebnis sei eine flächendeckende Überwachung nach dem G-10-Gesetz nicht gestattet. In Diskussion sei die Frage nach der Zulässigkeit der Überwachung in einem Drittland oder zwischen Drittländern. Die Bundesregierung vertrete die These des „offenen Himmels“ und halte sie für zulässig. Dagegen sei zu halten, dass Art. 1 Absatz 3 Grundgesetz zwar keine Aussage zum räumlichen Geltungsbereich mache, aber Völkerrecht, v.a. die Allgemeine Erklärung der Menschenrechte zu beachten sei. Auch sei der Gebietskontakt durch Empfangs- und Auswertungsgeräte zu berücksichtigen. Das Bundesverfassungsgericht selbst lasse Art. 10 eingreifen, sobald Telekommunikationsdaten von deutschen Behörden in Deutschland erhoben, wie auch immer verarbeitet oder übermittelt werden. Im Ergebnis müsse Art. 10 daher auch für den „offenen Himmel“ grundsätzlich immer gelten. Allerdings könnten die Regelungen hier großzügiger ausgelegt werden. Jedenfalls dürfe der BND nicht weiterhin in einer Grauzone arbeiten.

Carl-Eugen Eberle befasste sich, angeregt durch einen Zeitungsbeitrag über die Nutzung der Sozialen Medien durch die Partei AfD, mit der allgemeinen Frage nach dem  Einfluss der Sozialen Medien auf die öffentliche Meinungsbildung. Dabei sei auffällig, dass der dort verbreitete Vorwurf der „Lügenpresse“, der sich auch gegen den Rundfunk richte, gerade in einem Medium erhoben werde, das selbst lügenanfällig ist. Die Selbstreferenzialität durch Likes bei Facebook spiele ebenso eine Rolle wie die Erzeugung von Entrüstungspotential durch Gerüchte und falsche Tatsachenbehauptungen. All dies werde noch begünstigt durch anonym oder gar automatisch generierte Beiträge. Im Gegensatz zum öffentlichen Rundfunk, der strengen journalistischen Regeln unterworfen ist, unterlägen diese Aktivitäten keinerlei Kontrolle. Das stelle die Frage, „ob wir nicht die falschen Türen überwachen“. Es sei notwendig, dass das Medienrecht auf diese Situation reagiere.

Im Rahmen des Bereichs „Informatisierte Arbeit“ trug Klaus Fuchs-Kittowski zur „Digitalisierung der Arbeitswelt – zur Stellung und Verantwortung des Menschen in hochkomplexen informationstechnologischen Systemen“ bei. Ausgangspunkt müsse sein, dass der Mensch im Mittelpunkt der Wirtschaftsinformatik stehen müsse. In der Auseinandersetzung mit den Propagandisten der Vollautomatisierung müsse die „technische Immunität“ angegriffen werden. Der Leitsatz müsse sein: „Gebt dem Automaten, was des Automaten ist, gebt dem Menschen, was des Menschen ist“ und nicht „…gebt dem Menschen, was übrig ist“. Die weitgehende Automatisierung führe zu einer Entwertung der menschlichen Arbeit. Der Druck, mit elektronischen Medien arbeiten zu müssen, führe zu einer immer stärkeren Arbeitsverdichtung. Die Bedeutung des Menschen sehe man besonders in riskanten Situationen, in denen der Mensch einen größeren Spielraum habe als eine Maschine. Dies sei wichtig besonders im Hinblick auf die Störanfälligkeit von Maschinen, die sich auch beim „ubiquitous computing“ zeigen werde: Je mehr Informationsquellen genutzt werden, desto größer werde die Störanfälligkeit („Paradoxie der Sicherheit“). Anzustreben sei nicht Vollautomation, sondern ein verantwortliches Zusammenwirken zwischen Mensch und Maschine.

Zum Themenbereich „Informatisierte Weltgesellschaft“ erläuterte Peter Schaar zunächst „Das regulatorische Territorialdilemma der globalen Informationsgesellschaft“.  Die Globalisierung habe seit 1995 deutliche Veränderungen hinsichtlich ihrer Auswirkungen auf die Datenverarbeitung verursacht. Während in jener Zeit umfangreiche Datenübermittlungen eher die Ausnahme und lokale Regelungen angemessen gewesen wären, seien dezentrale Verfahren heute eher die Ausnahme. Nicht nur von Institutionen wie dem US-Geheimdienst NSA, sondern auch von Wirtschaftsunternehmen gingen globale Bedrohungen aus. Unsere jetzigen Regelungen bezögen sich aber immer noch auf die frühere Situation. Die weltweit erhobene Forderung nach einer „digitalen Souveränität“ führe zu einer Daten-Relokalisierung, wie sie die USA bereits seit langem praktiziere. Erforderlich sei dagegen eine Globalisierung der rechtlichen Vorgaben. Durch UN-Aktivitäten seien deutliche Grenzen zu setzen. Die Menschenrechtsbindung müsse unabhängig von Hoheitsgebieten und der Nationalität der Betroffenen durchgesetzt werden. Schaar verwies auf den Bericht der Hohen Kommissarin für Menschenrechte der UN, Navi Pillay, nach dem Menschenrechte nur durchgesetzt werden könnten, wenn die einzelnen Staaten sich verpflichten, sie auch außerhalb ihrer eigenen Landesgrenzen zu beachten  (The Right to Privacy in the Digital Age, Juli 2014).

Schließlich beschrieb Klaus Lenk „Die Herausbildung einer weltweiten privaten Rechtsordnung: Akteure und ihre Gestaltungsspielräume“. Diese von zivilen Einrichtungen geschaffenen Rechtsordnungen, die in Konkurrenz zur staatlichen stehen,  würden Oberhand gewinnen. Kennzeichnend für sie sei die folgenreiche Nutzung von vier Steuerungsinstrumenten: (1) Imperatives Recht werde durch zwingende Technikregulierung abgelöst. (2) Eine unsichtbare Rekonfigurierung der physischen und informationellen Umgebung des Menschen führe zu einer „gebremsten Individuation“. (3) Entscheidungen beruhten auf einem „maschinellen“ Anfangsverdacht. (4) Diffuse, feingranulare nicht-staatliche Überwachungsszenarien entstünden. Dahinter stehe die „kalifornische Ideologie“, die geprägt sei durch Weltverbesserungsstreben, Technikgläubigkeit und Geschäftemacherei. Folgende staatliche Spielräume verblieben:  Entnetzung (Dinge müssen isoliert funktionieren), Resilienz (Gestaltung robuster, verantwortbarer Strukturen), Herstellung von Nachvollziehbarkeit. Insgesamt seien die Handlungsspielräume größer als vermutet. Hierzu müsse der „Enteignung des Willens durch Digitalisierung“ begegnet, der damit zusammenhängende Fatalismus überwunden und die Frage gestellt werden, „ob wir noch Alternativen denken können“.

Cybersicherheit und Datenschutz in den USA – der Cybersecurity Information Sharing Act (CISA)

Vor in etwa einem Monat – am 18. Dezember 2015 – unterzeichnete der US-amerikanische Präsident Barack Obama den Cybersecurity Information Sharing Act (CISA) als Bestandteil des US-Haushalts für 2016 (consolidated spending bill). Wie es der Name bereits vermuten lässt, handelt es sich beim CISA um ein Bundesgesetz, das sich der Förderung der Cybersicherheit in den USA verschrieben hat, vorrangig geschehen soll dies durch einen erweiterten Informationsaustausch über Bedrohungen der IT-Sicherheit. Soweit wenig Überraschendes – gerade wenn es um die Förderung der allgemeinen IT-Sicherheit geht, liegt nichts näher, als Informationen über aktuelle Gefahren- und Bedrohungslagen zu sammeln und auszuwerten. Insbesondere das deutsche IT-Sicherheitsgesetz sowie die europäische NIS-Richtlinie verfolgen einen ebensolchen Ansatz. Deutlich interessanter ist da schon der Verlauf des Gesetzgebungsverfahrens für den CISA: Ursprünglich im Juli 2014 dem Kongress vorgestellt, scheiterte er zunächst an ausreichenden Stimmen des Senats, weswegen der Entwurf des CISA im März 2015 erneut in den Kongress eingebracht wurde. Nachdem hierauf der Versuch scheiterte, das Gesetz als Zusatz zum „National Defense Authorization Act“ zu verabschieden, wurde es schließlich in den Bundeshaushalt für 2016 integriert – mit der Folge, dass für die Abgeordneten kaum mehr eine andere Möglichkeit bestand, als das Gesetz zu verabschieden, sollte der Haushalt für das neue Jahr nicht blockiert werden.

Dass ein Gesetz zur Förderung der Cybersicherheit – was ja grundsätzlich zu begrüßen ist – unter derart widrigen Umständen zustande kommen musste, ist darauf zurückzuführen, dass das Gesetz nicht allein das Ziel verfolgt, US-amerikanische IT-Systeme sicherer zu machen, sondern dem Gesetzgeber vorgeworfen wird, unter dem Deckmantel der IT-Sicherheit lediglich ein neues Überwachungsgesetz zu schaffen. So argumentiert die Bürgerrechtsorganisation „Electronic Frontier Foundation“ (EFF), dass es sich beim CISA letztlich gar nicht um ein Cybersicherheits-Gesetz handle, sondern lediglich erleichterte Voraussetzungen geschaffen werden sollen, um in die Privatsphäre der Bürger einzugreifen. Bei näherer Betrachtung der gesetzlichen Ermächtigungen liegt ein solcher Verdacht auch nahe: So können Angaben zu IT-Sicherheitsrisiken nicht nur an das Department of Homeland Security (DHS), sondern ebenso unmittelbar an den Nachrichtendienst NSA, die Bundespolizeibehörde FBI oder an das Verteidigungsministerium (Pentagon) übermittelt werden. Darüber hinaus soll es die Möglichkeit für Unternehmen geben, den Behörden über Datenrelaisstationen einen unmittelbaren Zugriff auf Datenbestände zu gewähren. Die Datennutzung soll dabei ohne zeitliche Einschränkungen erfolgen dürfen. Auch personenbezogene Daten dürfen zwischen den Sicherheitsbehörden übermittelt werden, um diese bei einem Verdacht auf die Begehung von Straftaten fruchtbar machen zu können. Doch nicht nur die Behörden sollen davon profitieren können, im Namen der IT-Sicherheit in großem Umfang personenbezogene Daten ohne vorherige richterliche Anordnung auswerten zu können – auch Unternehmen wird laut EFF die Möglichkeit gewährt, unter der Zwecksetzung der Cybersicherheit Einblick in Nutzerdaten zu nehmen.

Die US-amerikanische Gesetzgebung macht dabei vor allem eines deutlich: Wie überall müssen auch zur Gewährleistung der Cybersicherheit die behördlichen Kompetenzen, Verfahren und Ermächtigungsgrundlagen durch den Gesetzgeber transparent und normenklar schon im Vorfeld festgelegt werden. So kann es grundsätzlich auch möglich sein, dass für die Gewährleistung von IT-Sicherheit personenbezogene Daten ausgewertet werden müssen. Wenn dies jedoch geschieht, muss eine derartige Datennutzung stets auf gut begründete Ausnahmefälle begrenzt bleiben. Keinesfalls darf die Cybersecurity zu einem bloßen Vorwand werden, um die Überwachung zu Zwecken der allgemeinen Gefahrenabwehr weiter auszubauen. Ein solches Vorgehen schadet nicht nur den Bürgerrechten, sondern beeinträchtigt auch nachhaltig die Förderung der IT-Sicherheit – was ein mindestens genauso wichtiges Ziel darstellt, will man personenbezogene Daten effektiv schützen.

EuGH zu Safe Harbor: Kein Grundrechterabatt beim internationalen Datentransfer

Das Urteil des Europäischen Gerichtshofs (EuGH) in der Sache Schrems gegen den Irischen Datenschutzbeauftragten wirkt weit über den eigentlichen Streitgegenstand hinaus. Die Irische Datenschutzbebehörde muss der Frage nachgehen, ob Facebook Irland die personenbezogenen Daten seiner Nutzer in die Vereinigten Staaten weitergeben darf. Die Entscheidung betrifft auch die deutschen Facebook-Nutzer, denn Facebook Ireland ltd. mit Sitz in Dublin bietet seinen Service für die meisten Länder – mit Ausnahme Nordamerikas – rechtlich von Irland aus an. Deren Daten werden aber gleichwohl in den USA verarbeitet – im Wege der „Datenverarbeitung im Auftrag“.

Die für die Datenschutzkontrolle bei Facebook Irland zuständige Irische Datenschutzbeauftragte kann sich einer solchen Überprüfung nicht mit dem Hinweis darauf entziehen, dass die EU-Kommission  in ihrer „Safe Harbour“-Entscheidung vom 26. Juli 2000 den Vereinigten Staaten ein angemessenes Datenschutzniveau bescheinigt hat, jedenfalls soweit sich die Datenempfänger zu den „Grundsätzen eines sichern Hafens“ bekennen, wie dies seitdem mehr al 3000 US-Unternehmen getan haben.

Das höchste EU-Gericht hat festgestellt, dass die Safe-Harbour-Vereinbarung nicht den Anforderungen von Art. 7 und 8 der EU-Grundrechtecharta genügt, die die Grundrechte auf Datenschutz und Privatsphäre garantieren. Letztlich unbegrenzte Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten europäischer Herkunft verletzten den Kernbereich der Grundrechte. Ihre sehr weit gehenden Befugnisse widersprächen zudem den grundlegenden Anforderungen an ein rechtsstaatliches Verfahren, denn Betroffene EU-Bürger hätten keinen Anspruch darauf, in den USA Auskunft über die Datenverarbeitung staatlicher Stellen zu erlangen und die entsprechenden Zugriffe und die anschließende Datenverarbeitung gerichtlich überprüfen zu lassen. Das Safe Harbour Abkommen sei deshalb ungültig.

Für Facebook und die übrigen Unternehmen, die sich in den vermeintlich sicheren Hafen geflüchtet haben, bedeutet das Urteil zunächst, dass die Verarbeitung personenbezogener Daten, die aus der EU übermittelt wurden, nicht mehr der Vermutung unterliegen, sie würden in Übereinstimmung mit dem EU-Datenschutzrecht verarbeitet (Art. 25 der EU-Datenschutzrichtlinie von 1995). Sie benötigen für den Datentransfers grundsätzlich die Genehmigung durch die zuständigen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten. Die Datenschutzbehörden dürfen diese Genehmigung nur erteilen, wenn der Datenempfänger – bezogen auf die jeweiligen personenbezogenen Daten – ein angemessenes Datenschutzniveau gewährleistet. Dieser Nachweis dürfte insbesondere denjenigen Unternehmen schwer fallen, die an der Massenüberwachung durch US-Geheimdienste mitgewirkt haben.

Schwer vorstellbar ist, dass Facebook, Microsoft, Google & Co. einfach auf ein anderes Instrument „umschalten“ können, das die Angemessenheit des Datenschutzes garantieren soll, etwa auf die sog. „Standardvertragsklauseln„, die ebensowenig wie der „sichere Hafen“ vor staatlicher Überwachung schützen. Die vom EuGH formulierten Anforderungen sind auch auf sie anwendbar.

Auch die Änderung der Vertragsbestimmungen mit den Nutzern in der Weise, dass diese in die mögliche Überwachung durch die NSA und andere Behörden einwilligen, wäre keine Lösung. Zwar haben Betroffene grundsätzlich die Möglichkeit, in das Eingehen besonderer Risiken einzuwilligen, auch soweit diese den Umgang mit ihren Daten betreffen. Die Einwilligung kann jedoch nur dann eine wirksameRechtsgrundlage für die Verarbeitung personenbezogener Daten sein, wenn die Nutzer der Tragweite der Einwilligung bewusst sind (Transparenz), sie frei von jedem Zwang erfolgt (tatsächliche Freiwilligkeit) und sie jederzeit zurückgenommen werden kann.

Eine pauschale Einwilligung in umkfassende staatliche Überwachung durch einen Drittstaat, verbunden mit dem Verzicht auf Rechtsschutz und auf das nach EU-Recht unabdingbare Auskunftsrecht bezüglich der eigenen Daten wäre deshalb unwirksam.

Wie könnte also eine Lösung aussehen?

Kurzfristig müssen die betroffenen Unternehmen – sowohl die Absender als auch die Empfänger personenbezogener Daten – dafür sorgen, dass die ihnen anvertrauten Daten nicht weiter Gegenstand der Massenüberwachung sind: Durch Kryptographie, Standortenscheidungen für Server und anderer Netzkomponenten und ggf. durch Wechsel von Geschäftspartnern, etwa bei der Auftragsdatenverarbeitung oder bei der Erbringung sonstiger IT-Dienstleistungen.

Längerfristig besteht der einzige Weg darin, den in Art. 12 der UN-Menschenrechtserklärung, in der EU-Grundrechtecharta und in vielen Verfassungen demokratischer Staaten garantierten Grund- und Menschenrechte auf Privatsphäre und Datenschutz endlich global durchzusetzen. Die notwendigen Änderungen beschränken sich dabei nicht auf die Vereinigten Staaten, sie betreffen auch Europa. Auch hier folgen Geheimdienste der absurden Vorstellung, möglichst alles zu wissen und deshalb alles und jeden zu überwachen, um damit vermeintlich mehr Sicherheit zu schaffen (was bekanntlich nicht einmal in autoritären Regimes jemals geklappt hat).

Nicht ein angeblich „überzogener“ Datenschutz gefährdet den Welthandel und die Informationsgesellschaft, sondern überbordende Massenüberwachung!

Mit freundlichen Grüßen, Peter Schaar

Vgl. auch meinen Blog-Eintrag zum Votum des Generalanwalts

Safe Harbor – No Future?

Keynote on the conference „New Directions in Cyber Security“

Berlin, 1 October 2015

Safe Harbor – No Future? How the General Data Protection Regulation and the rulings of the Court of Justice of the European Union (CJEU) will influence transatlantic data transfers
Ladies and gentlemen,

One week ago, the Advocate General at the Court of Justice of the European Union (CJEU) issued his vote on the Safe Harbor case of Max Schrems vs. the Irish Data Protection Commissioner.

Since 1995 when the General European Directive on Data Protection came into force, data transfers from the European Union and its member states to non-EU countries have been subject to specific privacy and security restrictions. Such restrictions do not exist only in Europe.

For example in the US several legal acts and decisions of regulatory authorities constitute the obligation to store specific data in the own country, in particular data, which have been generated by public bodies and providers of critical infrastructures. The US Federal Trade Commission has stated that a company subject to privacy obligations under US law is not allowed to avoid such obligations by outsourcing their data processing activities to offshore service providers.

The key message of Art. 25 of the 1995 GD is that transfer of personal data to a third country may take place only if the recipient in question ensures an adequate level of data protection. The adequacy shall be assessed in the light of all the circumstances surrounding the data transfer operation.

The main road to adequacy are the so-called adequacy decisions of the European Commission, that the said country ensures an adequate level of data protection. These decisions are binding for the member states. They shall take the measures necessary to comply with the Commission’s decision.

One of the most discussed adequacy decisions concerns the United States – the decision on Safe Harbor, although the Commission was of the opinion, that the US in general failed to provide an adequate level of data protection for the private sector, because of the lack of any comprehensive data protection legislation.

The Safe Harbor principles, negotiated between the Commission and the US government in the late 1990s should bridge this obstacle. The SH arrangement has been aimed at guaranteeing the adequate level of protection required by EU law for those companies, committing themselves to comply with the SH principles.

From the beginning, since the Safe Harbor was agreed in the year 2000 there has been some criticism against it. The main critical argument was that the principles do not meet the high EU data protection standards defined by the General Directive.

A scientific implementation study on SH done 2004 on behalf of the Commission came to the result that „Key concepts such as ‚US organization‘, ’personal data’,’deceptive practices’ lack clarity. Moreover, the jurisdiction of the FTC with regard to certain types of data transfers is dubious.“ (p.18)

It also has been criticized, that companies which declare compliance with the principles at once may profit from the Safe Harbor privileges, even if their privacy practices were not yet subject to an independent audit.

These issues remain important until our days. But after the vote the Advocate General at the CJEU (GA) issued recently, the focus lays on another question: How far practices and powers of US authorities have been ignored in the adequacy assessments.

At the first glance, law enforcement authorities, police and intelligence do not fall within the scope of the Safe Harbor agreement and therefore they do not have to be subject to the assessment. But this first impression is wrong.

As Art. 25 of the GD is pointing out, the assessment is to be done in the light of „all circumstances“ surrounding a data transfer to the third country. Even activities of authorities in the third country have to be examined. It is unclear how far this happened during the Safe Harbor assessment in the late 1990s.

But even if such assessment once took place, the result may be invalid today, because things changed dramatically after 9/11 2001. As we have learnt from Edward Snowden and other whistleblowers, US government has obtained broad access to private companies’ databases, telecommunications and Internet services.

Many companies which have co-operated with the NSA – voluntarily or based on legal obligations – have been safe harborists and there is no doubt that NSA and other services have got access to big amounts of data stemming from Europe or related to EU citizens.

The USA PATRIOT ACT and secret Presidential Orders, issued after 9/11 provided intelligence and law enforcement agencies with a lot of new powers and simultaneously demolished many safeguards which have been introduced in the 1970s to protect civil rights and privacy.

For years it seemed that many of these changes were not on the screen of the European Commission and other European stakeholders. The implementation study on SH of 2004 came to the conclusion: „Since the new US legislation only rarely contradicts the SH principles for data covered by SH, these conflicts do not appear to undermine the level of protection for any significant flows of personal data to the United States. The controversial provisions of the USA PATRIOT ACT are essentially irrelevant for SH data flows.“ (p. 101)

But 2013, after the the beginning of the Snowdon revelations, nobody can ignore any more, that the practices of NSA, CIA and FBI introduced after 9/11 have impact on the level of data protection in the United States: The legal provisions on Government access to personal information, especially the Foreign Intelligence Surveillance Act (FISA), do not meet the basic standards of the rule of law at least so far data of non-US-persons are concerned. The practices disclosed in the last two years and the commitments of US officials on mass surveillance provided the public with loads of evidence that the NSA and others are involved in bulk collection of personal data coming from Europe. Therefore it seems evident, that these practices have to be taken into account by the CJEU.

Another change happened in Europe: The Lisbon Treaty came into force in 2009, and at least since then privacy and data protection, including the independent oversight, have been fundamental rights of the European Union, as parts of the European primary law. European secondary law and European Commission’s decisions have to fulfill these requirements. Even older legislation, agreements with third countries as to PNR or TFTP and Commission’s decisions have to be reviewed in the light of Art. 7 and 8 of the EU Charter of Fundamental Rights.

Acknowledging this, the vote of Advocate General Bot (AG) in the case of Maximilian Schrems versus the Irish Data Protection Commissioner, issued last week, is not really surprising. The vote touches two big points:

Even if the Commission decides that the level of data protection in a country is adequate, this does not prevent national data protection authorities from suspending the transfer of the data, it they are of the opinion, that in the concrete case adequacy criteria are not met by the recipient. As we have learnt from the Snowden revelations, Facebook and other Internet companies cooperated closely with the NSA and provided them with broad access to personal data stored on their servers.
The AG is of the opinion that the Safe Harbor arrangement itself is invalid, because the US, especially the intelligence services, do not provide adequate protection for the personal data coming from Europe. Therefore he proposes to suspend the Safe Harbor.

Nobody knows how the European Court of Justice will decide the case. The ruling is expected on 6 October. Perhaps you know the sentence „How the judge decides depends what he ate for breakfast“. It is correct: The vote of the advocate general is only an opinion and it does not bind anybody.

But for me it seems likely that the judges will acknowledge the vote, at least in the result. In two earlier cases, the court decided last year, on data retention and on the right to be forgotten, the judges underlined the high importance of European fundamental rights on privacy and data protection. In these cases the court went beyond the Advocate general’s vote. In the Schrems’ case the AG adapted this recent orientation of the judges.

If the CJEU will decide as proposed by the AG, this does not mean automatically the end of Safe Harbor. But the Safe Harbor arrangement must be renegotiated and at the end there might be a better safe Harbor System, meeting the principles of fundamental rights and complying with the new EU Data Protection Regulation.

Art. 41 of the Commissions proposal contains criteria, conditions and procedures for adequacy assessments, more specific than the current Art. 25 of the GD from 1995: The criteria which shall be taken into account for the Commission’s assessment of an adequate or not adequate level of protection include expressly the rule of law, judicial redress and independent supervision. The new article confirms explicitly the possibility for the Commission to assess the level of protection afforded by a territory or a processing sector within a third country.

My conclusion for today: Safe Harbor will be possible even in the future. But such a „happy end“ requires changes in the SH arrangement. And it requires effective legal guarantees for EU citizens in the US.

Also necessary is a new thinking in Europe, in particular on the fields of law enforcement and intelligence. If we urge the US to respect our privacy, European secret services have to respect fundamental rights of all EU citizens and citizens of third countries as well.

Leaky Umbrella

Update on the Legal opinion of the Legal Service of the EP (18 February 2016)

The Legal Service of the European Parliament issued on 14 February 2016 a legal opinion on the draft EU-US Umbrella agreement concerning the protection of personal data and cooperation between law enforcement authorities in the EU and the US. In this paper, published recently on the Website of Statewatch the Legal Service expressed serious doubts whether the agreement, referring to the US Judicial Redress Act (JRA) would be in line  the Charter of Fundamental rights of the European Union. The experts underline, that Art. 8 of the Charter is addressed to everyone while the Agreemnent and the JRA will limit the right to legal remedies in the USA to Citizens of the EU („This then opens a significant ‚gap‘ in the protection of the personal data of individuals covered by EU law“). The Legal Service comes to the conclusion, that „The EU-US Umbrella agreement is not compatible with primary EU law and the respect for fundamental rights“.

P.Sch.

 

Original Blog Post (18 September 2015)

On 8 September 2015, the European Commission announced the successful completion of the negotiations with the US on a framework agreement („Umbrella Agreement“), that shall apply to the co-operation between law enforcement authorities. „Once in force, this agreement will guarantee a high level of protection of all personal data when transferred between law enforcement authorities across the Atlantic. It will in particular guarantee that all EU citizens have the right to enforce their data protection rights in US courts“, said the competent EU Commissioner Věra Jourová. Prerequisite for the signing of the agreement will be, however, that the US Congress will have approved the necessary legislative changes („Judicial Redress Bill“).

Although the Commission initially did not want to publish the agreement, the text – how ever – has found it’s way into the Internet, enabling the assessment.

First the good news: The agreement contains, in fact, substantial concessions from the US side. It has to be highlighted, that the US shall even provide EU citizens with a right to seek judicial redress if they are of the opinion that their privacy rights have been violated in the context of processing information the respective US authorities have received from the EU. Over years, the US government insisted on granting EU citizens only administrative redress. For Europe such limited redress – ultimately depending on the goodwill of the US administration – would not have provided an adequate level of data protection.

Another positive aspect is that both sides have agreed to commit to the principles of proportionality, necessity and purpose limitation and that they have to determine the use and duration of storage of personal information in accordance with these principles. The concrete purposes of data processing and the retention periods have to be determined by the specific legal acts.

However, although the agreement improves the legal status of EU citizens whose data are transferred to the US, it would be a misperception that the agreement provides EU citizens with the same privacy rights as US persons. If this would have been intended, the rights provided by US Privacy Act of 1974 and other laws, currently limited to US citizens and residents, could have been extended to EU citizens. Instead, the agreement text contains complicated rules, which do not ensure equality in the result. EU citizens have first to seek administrative redress. They may call a US court only after administrative redress definitely was exhausted. In addition, administrative and judicial redress are limited to those privacy rights explicitly specified in the Agreement, as the right to access and correction of the personal information. The agreement will not grant EU citizens – unlike US citizens – further rights to challenge the lawfulness of the entire process of data processing before a US court.

Furthermore, it should be noted that the agreement shall apply only to judicial and police authorities, but not to authorities with the task to guarantee the „national security“. US intelligence agencies like the NSA and the CIA share personal data with law enforcement agencies, even if they have received these information from their European partners. The provisions of the umbrella agreement would not apply in these cases. Last but not least the agreement does not cover data US and European authorities collect on the basis of national laws, i.e. the Foreign Intelligence Surveillance Act (FISA) or similar European legislation.

Another limitation of the umbrella: While according to the European data protection law, all personal data will be protected regardless of the nationality of the persons concerned, the agreement should apply only to data on EU citizens which have been transferred to the US by European authorities or companies based on bilateral or multilateral agreements. So data relating to citizens of third countries remain unprotected.

Finally, the agreement (Art. 21) falls short, however, with regard to the data protection oversight. It lacks an explicit commitment of both parties to ensure an independent data protection supervision. While the European Union commits that the independent data protection authorities shall be competent to check the provisions, the agreement refers with respect to the United States on a variety of oversight institutions, some of them not independent, which are to exercise the supervision of data protection „cumulatively“.

Given these shortcomings, to me the exultation of the agreement seem premature. The European legal bodies which need to approve the ratification of the agreement, in particular the European Parliament and the parliaments of the Member States are called upon to thoroughly examine the agreement, in particular, its compatibility with the provisions of the EU Charter of Fundamental Rights. Depending on the results of such assessment it might be necessary to renegotiating and caulking the umbrella.

Best regards

Peter Schaar

Löchriger Datenschutz-Schirm

Vor gut einer Woche, am 8. September 2015, gab die Europäische Kommission den erfolgreichen Abschluss der Verhandlungen mit den USA über ein Datenschutz-Rahmenabkommen („Umbrella Agreement“), das für die Kooperation zwischen Strafverfolgungsbehörden gelten soll. Das Abkommen werde nach seinem Inkrafttreten „ein hohes Datenschutzniveau für alle personenbezogenen Daten garantieren, die von den Strafverfolgungsbehörden über den Atlantik gesandt werden. Insbesondere wird es  garantieren, dass alle EU-Bürger das Recht haben, den Schutz Ihrer Daten bei US-Gerichten durchzusetzen“, führte die zuständige EU-Justizkommissarin Věra Jourová aus. Voraussetzung für die Unterzeichnung der Vereinbarung sei jedoch, dass der US-Kongress möglichst bald die erforderlichen Gesetzesänderungen („Judicial Redress Bill“) beschließe.

Obwohl die Kommission den vereinbarten Text zunächst nicht veröffentlichen wollte, ist dieser inzwischen  – auf welchen Wegen auch immer – ins Internet gelangt und ermöglicht so eine Detailprüfung, ohne die eine verlässliche Bewertung der Verhandlungsergebnisse nicht möglich ist. Ich möchte den Leserinnen und Lesern meine Eindrücke nicht vorenthalten, die ich bei der ersten Durchsicht des Abkommenstextes  gewonnen habe.

Zunächst die gute Nachricht: Das Abkommen enthält in der Tat substantielle Zugeständnisse der US-Seite, die von vielen Beobachtern vor Jahresfrist kaum für möglich gehalten wurden. Zu nennen ist in erster Linie, dass  EU-Bürger zukünftig vor US-Gerichten überhaupt einklagbare  Datenschutz-Rechte erhalten sollen. Gegen eine derartige Regelung hatte sich die US-Regierung während er sich über fünf Jahre hinziehenden Verhandlungen lange gewehrt. Statt eines  einklagbaren Rechtsanspruches sollten EU-Bürgern Datenschutzrechte nur durch eine Verwaltungsvereinbarung eingeräumt werden. Dass eine – letztlich vom Goodwill der US-Administration abhängige  – Zusicherung kein angemessenes Datenschutzniveau gewährleisten kann, wurde zu Recht von EU-Seite immer wieder betont. Insofern ist es positiv, dass die entsprechenden Rechtsansprüche in einem formellen, durch den US-Kongress zu beschließendes Gesetz, gesichert werden sollen.

Positiv ist auch, dass sich beide Seiten zu den Grundsätzen der Verhältnismäßigkeit, Erforderlichkeit und Zweckbindung bekennen und dass  sie sich verpflichten, die Verwendung und die Dauer der Speicherung personenbezogener Daten entsprechend dieser Grundsätze durch Rechtsvorschriften festzulegen.

Bei Durchsicht des Abkommenstextes wird jedoch deutlich, dass von einer rechtlichen Gleichstellung der EU-Bürgerinnen und Bürger nicht die Rede sein kann. Dabei hätte sich dies sehr leicht in die bestehenden US-Datenschutzvorschriften einfügen lassen: So hätte es genügt, die Regelungen – etwa des US Privacy Act von 1974 -, die sich bisher auf US-Bürger und dort rechtmäßig ansässige Ausländer beschränken, auf EU-Bürger zu erweitern. Stattdessen enthält der Abkommenstext komplizierte Regelungen, welche im Ergebnis die Gleichstellung nicht gewährleisten. So müssen EU-Bürger – anders als US-Bürger – zunächst versuchen, ihre Datenschutzrechte auf dem Verwaltungsweg durchzusetzen. Erst wenn sie damit endgültig gescheitert sind, dürfen sie ein US-Gericht anrufen. Zudem beschränken sich die in Art. 18 des Abkommens vorgesehenen Klagemöglichkeiten auf die ausdrücklich im Abkommen genannten Rechte auf Auskunft und Korrektur der jeweiligen personenbezogener Daten. EU-Bürger haben – anders als US-Bürger – weiterhin keine darüber hinausgehenden Möglichkeiten, die Rechtmäßigkeit des gesamten Verfahrens der Datenverarbeitung gerichtlich überprüfen zu lassen.

Ferner ist darauf hinzuweisen, dass das Abkommen nur für Strafverfolgungs- und Polizeibehörden  gelten soll, nicht jedoch für Behörden, die für die Gewährleistung der „nationalen Sicherheit“ zuständig sind. In diesem Zusammenhang ist darauf hinzuweisen, dass US-Nachrichtendienste wie die NSA und die CIA ihre Erkenntnisse, auch sofern sie diese von Behörden anderer Staaten erhalten haben, durchaus mit den Strafverfolgungsbehörden teilen. Sollte also der Bundesnachrichtendienst auch zukünftig – wie in der Vergangenheit in beachtlichem Umfang geschehen – personenbezogene Daten an US-Dienste übermitteln, welche die Informationen an das FBI weitergeben, wären darauf die Vorgaben des Rahmenabkommens nicht anwendbar. Nicht anwendbar ist das Abkommen auch bezüglich solcher Datensammlungen von US Behörden, die auf Basis anderer US-Vorschriften  –  etwa des Foreign Intelligence Surveillance Act (FISA) –  erfolgen.

Eine weitere Beschränkung soll nicht unerwähnt bleiben: Während nach dem europäischen  Datenschutzrecht sämtliche personenbezogenen Daten unabhängig von der Nationalität der Betroffenen geschützt werden, sollen die begrenzten, durch das Abkommen vorgesehenen Datenschutzrechte nur für Daten über EU-Bürger gelten, die von europäischen Behörden oder Unternehmen auf Basis von bi- oder multilateralen Vereinbarungen an US- Strafverfolgungsbehörden übermittelt wurden.
Schließlich bleibt der Abkommenstext (Art. 21) hinsichtlich der Datenschutzaufsicht hinter
dem EU-Recht (insb. Art. 8 Abs. 3 der EU-Grundrechte-Charta) zurück: Es fehlt eine ausdrückliche Verpflichtung beider Vertragsparteien, für eine unabhängige Datenschutzaufsicht zu sorgen.  Während sich die Europäische Union in dem Abkommen dazu verpflichtet, dass die unabhängigen Datenschutzbehörden die Rechtmäßigkeit der Datenverarbeitung überprüfen können, verweist das Abkommen hinsichtlich der USA auf eine Vielzahl, teils nicht unabhängiger Kontrollinstitutionen, welche die Datenschutzkontrolle „kumulativ“ ausüben sollen.

Angesichts dieser Defizite erscheint mir der Jubel über die Verhandlungsergebnisse verfrüht.  Die europäischen Gremien, die der Ratifizierung des Abkommens zustimmen müssen, allen voran das Europäische Parlament und die Parlamente der Mitgliedstaaten, sind aufgerufen, das Abkommen gründlich zu prüfen und dabei insbesondere seine Vereinbarkeit mit den Vorgaben der EU-Grundrechtecharta unter die Lupe zu nehmen. Gegebenenfalls muss eben nachverhandelt werden.

Mit freundlichen Grüßen

Peter Schaar

Datenschutz? Ist mir doch egal!

(Bei diesem Text handelt es sich um die Langfassung eines Gastbeitrags, der im Juli 2015 in verschiedenen deutschen Zeitungen erschienen ist)

Obwohl wir heute jeden Tag ungeheure Mengen digitaler Daten produzieren, reagieren die meisten Menschen auf die damit einhergehenden Gefahren eher gleichgültig. Eine Mischung aus  Verdrängung und Resignation. Datenschutz? Darum sollen sich doch die Datenschutzbehörden kümmern, die werden schließlich dafür bezahlt! Und immer noch hören wir den dummen Satz:  „Ich habe doch nichts zu verbergen!“

Fast täglich lesen wir Berichte über gestohlene Daten, Cyberangriffe und Datenschutzverletzungen. Facebook ändert seine Nutzungsbedingungen und schaut uns laufend  beim Surfen über die Schulter? Na wenn schon! Die NSA liest unsere E-Mails mit? Der amerikanische Geheimdienst interessiert sich doch nicht für mich! Vorratsdatenspeicherung? Davor haben doch nur Kriminelle und Terroristen Angst!

Es ist zu befürchten, dass wir unsere Ignoranz teuer bezahlen müssen. Viele werden sich demnächst Vorwürfe machen, warum sie sich nicht rechtzeitig um ihren digitalen Schatten gekümmert haben. Gefahren drohen nicht nur von Kriminellen und Cyberterroristen. Schmerzhaft wird es auch dann, wenn wenn ich sehr viel mehr Zinsen zahlen muss als die Nachbarin, obwohl ich doch bisher alle Kredite zurückgezahlt habe. Oder wenn ich die beantragte Versicherung nicht bekomme oder wenn mir die Auszahlung der Versicherungssumme unter Hinweis auf widersprüchliche Daten verweigert wird. Allgegenwärtige Datenverarbeitung heißt zugleich auch umfassende, permanente Beobachtung – ohne Vergessen und Vergeben.

Vieles von dem, was mit unseren Daten geschieht, spielt sich hinter unserem Rücken ab. die Datensammler sind längst in unseren Alltag eingesickert, ohne dass wir dies bemerkt haben. Fast jeder rechnet heute damit, dass jede  Aktivität im Internet Spuren hinterlässt und vielen ist bewusst, dass das Smartphone unseren Aufenthaltsort ausplaudert. Aber dass unser Auto  immer mehr Daten sammelt  und die so gewonnenen Informationen über unseren Fahrstil demnächst an die Versicherung weiterleitet, ist weniger bekannt. Und an die Videokameras an allen möglichen und unmöglichen Orten haben wir uns fast gewöhnt. Dass die Überwachungssysteme allerdings  zunehmend die aufgenommenen Bilder auswerten und Personen anhand ihres Gesichts identifizieren können, wissen die wenigsten. Überwachung bestimmt immer größere Teil unseres Alltags, im Büro, auf der Straße und auch im häuslichen Wohnzimmer per Smart TV.

Andererseits möchten die Wenigsten auf die Bequemlichkeiten verzichten, die es ohne Technik nicht geben würde: Computerspiele, Internet, Navigationssysteme, elektronisches Bestellen und Bezahlen, um nur einige Beispiele zu nennen. Und die Geschäftsmodelle von Google, Facebook & Co. haben uns daran gewöhnt, dass wir selbst für hochwertige Leistungen und Informationen kein Geld zahlen müssen. Aber auch im Internet gilt der Satz: Nichts ist umsonst! Selbstverständlich bezahlen wir für die „kostenlosen“ Dienste – aber die Währung sind unsere Daten. Im Unterschied zu den Frühstücksbrötchen, die wir beim Bäcker kaufen, können wir den wirklichen Preis nicht abschätzen, den wir für viele elektronische Dienstleistungen bezahlen.

Wie teuer die elektronischen Dienste  in Wirklichkeit sind, merken zunächst diejenigen, die kreativ sind und die Informationen produzieren. Die Erlöse der elektronischen Verbreitung landen zum größten Teil bei den  Betreibern von Internet-Plattformen und Suchmaschinen und nicht bei den Journalisten, Musikern und Künstlern. Aber auch die Nutzer werden zunehmend zur Finanzierung herangezogen, indem sie umfassend in ihrem Verhalten, ihren Interessen und persönlichen Eigenschaften registriert und laufend bewertet werden. Die so gewonnenen Persönlichkeitsprofile sind nicht nur die Grundlage für maßgeschneiderte Werbebotschaften sondern zunehmend auch für alltägliche Entscheidungen, etwa darüber, wer wie lange in einer telefonischen Warteschleife zu verharren hat oder wer einen Mietvertrag bekommt.

Es stimmt schon: Big Data schafft neue Erkenntnisgrundlagen, aber die Kenntnisse sind ungleich verteilt. Die meisten datengetriebenen Geschäftsmodelle gleichen einem venezianischen Spiegel,  der nur einseitig durchsichtig ist. Die großen privatwirtschaftlichen und staatlichen Datensammler wissen alles über die Nutzer, aber sie hüten Ihre Datenschatz wie einen Augapfel. Wer von ihnen, die doch alles über uns wissen wollen und vieles erfahren, umfassende Transparenz fordert, dem werden allzu häufig Staats- und Geschäftsgeheimnisse entgegenhalten.

Es stimmt schon: Der Weg in die digitale Gesellschaft ist unumkehrbar. Und trotzdem können wir  darauf einwirken, wie unser Leben in 10 oder 20 Jahren aussehen wird. Hätte man vor 150 Jahren der Industrialisierung freien Lauf gelassen, gäbe es bei uns immer noch Kinderarbeit und Arbeitsschutz wäre ein Fremdwort. Ohne den im 19. Jahrhundert begonnenen Kampf von Frauen gäbe es bis heute kein Frauenwahlrecht. Nur durch das Engagement von Bürgerrechtlern ist in den 1960er Jahren in den USA die Rassentrennung gefallen. Und der Umweltschutz wird heute nur deshalb sehr viel ernster genommen, weil sich viele Menschen dafür eingesetzt haben. Genau so müssen wir uns für eine demokratische, menschenfreundliche Gestaltung der Informationsgesellschaft stark machen.

Viele schrecken angesichts der Größe der Aufgabe davor zurück. Andererseits möchte ich an den Satz des großen chinesischen Gelehrten Konfuzius erinnern: „Jede große Reise beginnt mit einem kleinen Schritt“: Privatsphäre ernst nehmen, nachfragen, technische Schutzmöglichkeiten nutzen – angesichts der Herausforderungen erscheint dies nicht viel. Aber selbst kleinste eigene Schritte tragen zu dem notwendigen Stimmungs- und Meinungswandel bei.

Die Informationsgesellschaft ist kein virtueller Vergnügungspark, sie ist aber auch nicht der Friedhof der Demokratie. Gleichgültigkeit, Lethargie und Resignation sind das letzte, was wir brauchen. Auch die Informationsgesellschaft lebt von engagierten Bürgerinnen und Bürgern, die sich auskennen und die sich einsetzen. Die neuen Informationstechnologien erleichtern es, sich bürgerschaftlich zu vernetzen, unerwünschte Informationen öffentlich zu machen und Diskussionen anzustoßen. Deshalb wäre es auch nicht richtig, die Diskussion über die digitale Zukunft wenigen Spezialisten zu überlassen, Informatikern, Nerds oder – naja – auch den Datenschützern. Vor allem aber  dürfen wir nicht dem Irrtum erliegen, der Weg in die Überwachungsgesellschaft sei ein unbeeinflussbares Schicksal.

Mehr Transparenz im Geheimen!

Das vom Deutschen Bundestag im Sommer 2005 kurz vor Toresschluss mit Mehrheit der seinerzeitigen rot-grünen Koalition beschlossene Informatinsfreiheitsgesetz enthält einen blinden Fleck: Die Geheimdienste. § 3 IFG nimmt die Nachrichtendienste ausdrücklich vom gegenüber allen Bundesbehörden bestehenden Anspruch auf Informationen aus. Während also jedermann – ohne Nachweis einer persönlichen Betroffenheit – vom Verkehrsministerium, dem Bundeskanzleramt und auch von der Bundespolizei Einblick in deren Akten oder den Zugang zu elektronisch gespeicherten Daten verlangen kann, besteht ein solcher Anspruch nicht gegenüber den Nachrichtendiensten. Sicher – auch ansonsten werden viele Anträge auf Informationszugang abgelehnt – aber jede Ablehnung muss begründet werden und die Antragsteller können die ablehnenden Entscheidungen gerichtlich überprüfen lassen – in vielen Fällen mit Erfolg. Bei den Nachrichtendiensten – dem Bundesamt für Verfassungsschutz, dem Bundesnachrichtendienst und dem Militärischen Abschirmdienst – hätten sie auch vor Gericht keinen Erfolg, denn hier greift die einzige „Bereichsausnahme“ des IFG: Hier und nur hier laufen Informationsbegehren stets gegen die Wand.

Warum enthält das deutsche Informationsfreiheitsgesetz – anders als etwa der US-amerikanische Freedom of Information Act – eine solche generelle Ausnahmebestimmung gegen die Transparenz von Geheimdiensten? Als das Gesetz formuliert wurde, bestanden das von Otto Schily geführte Bundesinnenministerium und das Bundeskanzleramt Gerhard Schröders darauf. Ohne den Welpenschutz für die Geheimdienste hätte es kein Informationsfreiheitsgesetz gegeben.

Es ist an der Zeit, diesen besonderen Schutzschirm für die Geheimdienste endlich einzuklappen. Seitdem der Bundestags-Untersuchungsausschuss zur NSA-Affäre immer mehr Einzelheiten über die Verwicklung deutscher Geheimdienste in die globalen Überwachungsaktivitäten ans Licht bringt, wird immer deutlicher, dass hier vor allem zwei Dinge nötig sind: Mehr Transparenz und bessere rechtsstaatliche Kontrolle. Ein erster Schritt könnte darin bestehen, endlich die generelle Ausnahmeregelung im IFG für die Geheimdienste zu streichen. Dort, wo vitale Sicherheitsinteressen entgegenstehen, müssten die Dienste auch dann keine Interna herausgeben – das mag man bedauern oder auch nicht. Trotzdem ginge von einer solchen Änderung das wichtige Signal aus, dass sich auch deutsche Geheimdienste innerhalb unserer Rechtsordnung bewegen. Es würde klargestellt, dass sie sich nicht mit irgendwelchen abstrusen Konstruktionen wie der „Weltraumtheorie“ der Geltung der Grundrechte des Grundgesetzes und der Gesetze entziehen können – nach dieser offenbar vom BND vertretenen Theorie gilt das Grundrecht auf Fernmeldegeheimnis nicht für im Ausland gesammelte Telekommunikationsdaten und für den Datentransit durch Deutschland, soweit keine deutschen Teilnehmer betroffen sind.

Der Bundestag hat es in der Hand, dieses Signal zu setzen, und er sollte dies tun.

Mit freundlichen Grüßen

Peter Schaar

« Older Entries