Tag Archives: USA

Welcome to the State of Emergency!

Wenn Angela Merkel am 13. März 2017 in die USA reist, betritt sie ein Land im Ausnahmezustand. Im Ausnahmezustand sind die USA nicht erst seit dem Amtsantritt Donald Trumps, sondern seit dem 11. September 2001, dem Datum der terroristischen Anschläge auf New York und Washington. Am 14. September 2001 ermächtigten Senat und Repräsentantenhaus den US-Präsidenten in einem nur sechzig Worte umfassenden Gesetz, mit „notwendiger und angemessener Gewalt“ gegen Länder, Organisationen und Personen vorzugehen, „welche die Terrorangriffe angezettelt, geplant, autorisiert, begangen, unterstützt und durchgeführt haben oder solchen Personen Zuflucht gewährt haben.“ Am selben Tag erklärte Präsident Bush rückwirkend ab dem 11. September den Ausnahmezustand („state of emergency“).  und daran anknüpfende militärische Anordnungen. Diese Ermächtigungen gelten bis heute. Sie statteten den US-Präsidenten mit zusätzlicher Macht aus, über seine ohnehin schon weitreichenden Befugnisse in „normalen Zeiten“ hinaus.

Viele der Überwachungsmaßnahmen, von denen die Welt erst im Jahr 2013 durch die Enthüllungen Edward Snowdens Kenntnis genommen hat (auch wenn es entsprechende Hinweise schon sehr viel früher gab), basieren auf diesen Notstandsbefugnissen. Genauso wie das Gefangenenlager auf Guantanamo Bay, wo den Gefangenen im „Global War on Terror“ nicht nur jeglicher Rechtsschutz verweigert wird, sondern auch der Status von Kriegsgefangenen nach der Genfer Konvention. Auch die „extralegalen Tötungen“ – man könnte auch sagen: Morde – mittels Drohnenangriffen in Staaten, mit denen die USA nicht im Krieg sind, werden fortgesetzt und vieles spricht dafür, dass in Deutschland gelegene Kommandozentralen des US-Militärs dabei eine wichtige Rolle spielen.

Nicht nur George W. Bush hat die ihn eingeräumten Notstandsbefugnisse genutzt, sondern auch sein Nachfolger Barrack Obama und auch der jetzige Präsident Donald Trump. Seinen „Muslim Ban“ – die Einreisesperre gegen Menschen aus verschiedenen Ländern mit moslemischer Mehrheit – hat Trump als wichtige Maßnahme gegen den Terrorismus gekennzeichnet. Genauso rechtfertigt übrigens der türkische Präsident Recep Tayyip Erdoğan sein rabiates Vorgehen gegen Journalisten und andere Kritiker mit dem „Kampf gegen den Terrorismus“ – nach seinen Maßstäben ist sogar der Bürgermeister der baden-württembergischen Stadt Gaggenau, der ein Wahlkampfveranstaltung eines türkischen Ministers aus Sicherheitsbedenken untersagte, ein Terrorhelfer.

In Frankreich gilt der Ausnahmezustand (état d’urgence) seit November 2015, als die Regierung auf die koordinierten islamistischen Anschläge auf Restaurants und die Konzerthalle Bataclan in Paris reagierte. Die Türkei und Frankreich haben für die Dauer des Ausnahmezustands die Europäische Menschenrechtscharta „suspendiert“. Verhaftungen, Durchsuchungen, Demonstrationsverbote und andere Grundrechtseingriffe sind währenddessen auch ohne richterliche Genehmigung zulässig.

Wird also Angela Merkel mit Präsident Trump darüber sprechen, dass der Ausnahmezustand und die damit verbundenen Grundrechtseinschränkungen und Menschenrechtsverletzungen mit dem westlichen Verständnis von Rechsstaatlichkeit und Demokratie unvereinbar sind? Eher nicht, denn auch Deutschland hat auf terroristische Bedrohungen seit mehr als 15 Jahren mit immer tieferen Grundrechtseinschränkungen reagiert: Polizei und Geheimdienste wurden mit immer weiter gehenden zusätzlichen Befugnissen ausgestattet, sie haben Zugang zu vielfältigen Daten – bei Banken, Reisebüros, Telefongesellschaften. Unsere Telekommunikationsdaten werden auf Vorrat gespeichert, wir reisen mit Pässen und Personalausweisen, in denen biometrische Merkmale gespeichert werden.

Die Aufrüstung des Sicherheitsapparats geht weiter: Nach dem Anschlag auf den Berliner Weihnachtsmarkt am 19. Dezember 2016 hat die Bundesregierung im Schnelldurchgang weitere Gesetze beschlossen. Die Videoüberwachung in „großflächigen Anlagen und im öffentlichen Personenverkehr“ soll ausgeweitet werden. Es soll ein umfassender Datenverbund zwischen den Polizeibehörden des Bundes und der Länder geschaffen werden, bestehende Zweckbegrenzungen für bestimmte Dateien mit besonders sensiblen Daten werden aufgehoben. Fluggesellschaften, Buchungszentralen und Reisebüros müssen zukünftig eine Vielzahl von Passagierdaten an eine neu einzurichtende „Fluggastdatenzentralstelle“ übermitteln, wo die Daten nach verdächtigen „Mustern“ abgeglichen werden. Das Bundesamt für Migration soll den Zugriff auf die informationstechnischen Systeme immer dann verlangen können, wenn sich der zuständige Sachbearbeiter davon nützliche Erkenntnisse“ über den Asylbewerber verspricht, weil sie „für die Feststellung seiner Identität und Staatsangehörigkeit von Bedeutung sein können“. Eine richterliche Anordnung dieses tiefen Eingriffs in die Grundrechte der Asylbewerber ist nicht vorgesehen.

Der Ausnahmezustand ist also längst zum Normalzustand geworden, nicht nur in den USA, sondern auch bei uns. Das ist der eigentliche Grund, warum Angela Merkel den Ausnahmezustand in den USA mit seinen fatalen Folgen wohl nicht mit Donald Trump besprechen wird.

America First: Datenschutz nur noch für (US-)Inländer

Die amerikanischen Technologie-Giganten Google, Facebook, Microsoft, Twitter und Amazon  werden womöglich die ersten Opfer der von Präsident Trump verfolgten „America First“- Politik sein. Trump unterzeichnete  am 25. Januar  2017 die Anordnung (Executive Order)  zur Verbesserung der öffentlichen Sicherheit. Schon jetzt ist deutlich, dass die Politik der Trump-Administration  einem gemeinsamen Datenschutz-Verständnis  zwischen den USA und der EU diametral  entgegen laufen.

Section 14 hat folgenden Wortlaut:

„Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“

Auch wenn sich diese Bestimmung vermutlich zunächst gegen diejenigen Personen richten soll, die sich illegal in den Vereinigten Staaten aufhalten, hat sie doch auch erhebliche Auswirkungen auf den transatlantischen Datentransfer. Vor allem das Abkommen zwischen der Europäischen Union und der US-Regierung „Privacy Shield“ ist betroffen. Das  erst im letzten Sommer ausgehandelte  Abkommen gestattet es Unternehmen, welche die Einhaltung der Privacy Shield Prinzipien gewährleisten, personenbezogene Daten aus der Europäischen Union in die USA zu übermitteln.

Voraussetzung für die Übermittlung ist ein „angemessenes Datenschutzniveau“, also ein dem EU-Recht gleichwertiger Schutz für die in die USA transferierten personenbezogenen Daten. Die Europäische Kommission hat am 12. Juli 2016 auf Basis des US-Rechts und der Zusicherungen der Obama-Administration die Existenz eines gleichwertigen  Datenschutzes festgestellt (Angemessenheitsbeschluss). Privacy Shield trat damit an die Stelle des Safe Harbour Arrangements, welches der Europäische Gerichtshof am 6. Oktober 2015 annulliert hatte, da es  den in  Art. 8 der EU-Grundrechtecharta garantierten Schutz personenbezogener Daten nicht gewährleistete.

Zu den Zusicherungen der US-Seite gehörte die Auslegung des US-Rechts in der Weise, dass die US Datenschutzbestimmungen – soweit rechtlich zulässig –  auch für Daten von EU-Bürgern angewandt werden. Damit dürfte jetzt Schluss sein.

Eine wichtige Basis bildete auch der vom US-Kongress im Februar 2016 gebilligte Judicial Redress Act (JRA), der  die Grundlage dafür bereitstellt, dass sich EU-Bürgerinnen und Bürger an US-Behörden wenden können, wenn sie der Auffassung sind, dass US-Behörden ihre Daten zu Unrecht verarbeiten.  Allerdings räumt der JRA den EU-Bürgern solche Klagerechte nicht selbst ein, sondern macht dies von einer Anordnung des US-Justizministers (Attorney General) abhängig. Die scheidende Obama-Administration hat eine entsprechende Erklärung wenige Tage vor der Inauguration Donald Trumps herausgegeben, die neben der Europäischen Union als Ganzes, 26 ihrer Mitgliedstaaten und Zypern umfasst  Die oben zitierte Executive Order  könnte so verstanden werden, dass das Justizministerium die „Privilegierung“ der Bürger anderer Staaten zurücknimmt, welche am 1. Februar 2017 in Kraft treten soll.

Unabhängig davon ist zu befürchten, dass die – nach den Snowden-Enthüllungen   von US-Präsident Obama angeordneten – partiellen Sicherungen des Datenschutzes für Nicht-Amerikaner bei der geheimdienstlichen Überwachung außer Kraft gesetzt werden. Damit würden auch die Erklärungen des US-Geheimdienstkoordinators im Rahmen der Privacy Shield—Verhandlungen obsolet.

Vor diesem Hintergrund muss die EU-Kommission unverzüglich handeln. Sie darf mit der Prüfung, ob die Voraussetzungen für eine Fortgeltung des Angemessenheitsbeschlusses zum Privacy Shield  noch gegeben sind, nicht erst bis zur ersten, im Sommer d.J. vorgesehenen regulären Privacy Shield Review warten. Aber auch die europäischen Datenschutzbehörden sind gefragt. Der Europäische Gerichtshof hat Ihnen in seiner Safe Harbour-Entscheidung auferlegt, Zweifeln an einem angemessenen Datenschutzniveau selbstständig nachzugehen und damit nicht auf eine entsprechende  Feststellung der Kommission zu warten.

Was bedeutet der Wahlsieg von Donald Trump für den Datenschutz?

Um es vorwegzunehmen: Es ist mir auch nach längerer Recherche nicht gelungen, auf diese Frage eine überzeugende Antwort zu finden. So findet sich im Wahlprogramm von Donald Trump keine Aussage zu diesem Themenkomplex. Offensichtlich hat auch kein Journalist ernsthaft beim Kandidaten nachgefragt, was er für den Fall eines Wahlsiegs in Sachen Überwachung, Datenschutz und Privatsphäre plant. Was bleibt, sind einige Nachrichtenschnipsel, die ein eher widersprüchliches Bild zeichnen.

Im Hinblick auf die Überwachungsaktivitäten der US-Geheimdienste und anderer Sicherheitsbehörden plädierte der künftige Präsident für mehr Härte, wobei die entsprechenden Bemerkungen eher beiläufig und reaktiv waren:

Er stellte sich beim Streit zwischen dem FBI und Apple über die Entschlüsselung eines beschlagnahmten iPhones auf die Seite der Bundespolizei, die den Zugang zu den Daten forderte.
Edward Snowden ist für ihn ein Verräter, bei dem man über die Verhängung der Todesstrafe nachdenken sollte.
Der umfassenden Speicherung von Metadaten durch die NSA begegnete er mit Verständnis und Sympathie. Ggf. Müssten die entsprechenden Gesetze verschärft werden.

Bezogen auf die Weitergabe von Daten Studierender sprach Trump sich für eine Verbesserung des Datenschutzes und entsprechende Verbesserungen des US Privacy Act aus.

Als Randnotiz sei noch erwähnt, dass ein Trump gehörendes Golf-Ressort in Großbritannien beschuldigt wurde, gegen britisches Datenschutzrecht zu verstoßen.

Angesichts dieser mageren Informations-Ausbeute bleibt uns beim Datenschutz – wie in vielen anderen Politikfeldern – nichts anderes übrig, als abzuwarten, welchen Kurs die neue Administration einschlagen wird. Alles andere wäre hoch spekulativ …

Ihr

Peter Schaar

Tagungsbericht vom Steinmüller Workshop 2016: Informatisierung der Welt

Von Hansjürgen Garstka,
– Gründer und Ehrenvorsitzender der EAID,
Berliner Beauftragter für Datenschutz und Informationsfreiheit a.D. –

Informatisierung der Welt. Steinmüller Workshop 2016
Europäische Akademie für Informationsfreiheit und Datenschutz
Berlin, 19. Mai 2016

Link zur pdf-Version

Tagungsbericht

Im Gedenken an Wilhelm Steinmüller, den am 1. Februar 2013 verstorbenen Wegbereiter der Auseinandersetzung mit den gesellschaftlichen Auswirkungen der Elektronischen Datenverarbeitung in Deutschland, trafen sich im Rahmen der Europäischen Akademie für Informationsfreiheit und Datenschutz Berlin  am 19. Mai 2016 zum vierten Mal Weggefährten, Schüler und Freunde, um aktuelle Probleme der Informationsgesellschaft zu diskutieren. Das diesjährige Thema lehnte sich an den Wortgebrauch Steinmüllers an, der richtigerweise nicht von der Digitalisierung, sondern von der Informatisierung der Welt sprach. In seinem Lebenswerk „Informationstechnologie und Gesellschaft“  handelte er unter diesem Thema Probleme der „Informatisierten Wirtschaft und Sozialwelt“, des „Informierten Staates“, der „Informatisierten Arbeit“ und der „Informatisierten Weltgesellschaft“ ab (S. 547 ff.). Die Beiträge zu dem Workshop folgten diesem Schema.

Zu Beginn jedoch erinnerte Wolfgang Kilian an den im Oktober 2015 verstorbenen Herbert Fiedler, einem weiteren Protagonisten der juristischen Informatik, wie er, sich abgrenzend von Steinmüllers Rechtsinformatik, dieses Gebiet nannte. Kilian hob die Bedeutung der juristischen Logik und der mathematischen Betrachtungsweise in Fiedlers Werk hervor, die auch in seiner langjährigen Funktion als Leiter der Forschungsstelle für Juristische Informatik und Automation bei der vormaligen Gesellschaft für Mathematik und Datenverarbeitung in Sankt Augustin zum Ausdruck kam. Auch sein Engagement im Fachbereich Recht und Verwaltung der Gesellschaft für Informatik sowie in der Gesellschaft für Rechts- und Verwaltungsinformatik haben viel zur Fortentwicklung des Gebietes beigetragen.

Als Paradigma für die „Informatisierte Wirtschaft“ zeigte zunächst Joachim Rieß auf, wohin der Weg von „Industrie 4.0“ führt. Dieser nur in Deutschland gebräuchliche Begriff (Wolfgang Coy wird ihn in einem späteren Diskussionsbeitrag als zu einseitig bezeichnen) markiere die auf Mechanisierung, Elektrifizierung und Automatisierung folgende Autonomisierung und Vernetzung als nächste Stufe der ökonomischen Entwicklung. Nahe liegender Weise erläuterte der Konzerndatenschutzbeauftragte von Daimler-Benz diesen Schritt anhand der „Digitalen Transformation des Fahrzeugs“, die auf Miniaturisierung, Fließbandtechnik und Entwicklung hoher Sicherheitstechnik folge. Mobile, ständig im on-line-Modus befindliche Geräte, der Einsatz einer Vielzahl von Sensoren, simultane Lokalisierbarkeit, das Entstehen „cyber-physischer Systeme“ kennzeichneten die Entwicklung.  Hinzu komme die Individualilisierung der Produkte. Der „Datenmensch“ entstehe als „alter ego“, die Welt werde für unsere Bedürfnisse gefiltert, neue Erlebensräume würden eröffnet (z.B. durch 3-D-Visualisierung). Risiken sah Rieß im Hoheitsanspruch über die Filterprozesse, der nationalen Abschottung und der Nationalisierung des Internets, der Entstehung asymmetrischer Kriege, der anschwellenden digitalen Kriminalität. Neue Herausforderungen für den Datenschutz entstünden, wie die Frage des Eigentums an Daten und Informationen, neue Verantwortlichkeits- und Haftungsfragen.

Wolfgang Schimmel wandte sich dem Problem des „Bezahlens mit – anonymen? – Daten“ zu. Er wies darauf hin, dass Daten etwa im Adresshandel schon immer Handelsware waren. Das Kunsturhebergesetz kenne den Geldwert von Bildern. Schadensersatzforderungen beim Missbrauch von Informationen oder Lizenzgeschäfte seien weitere Beispiele für die Monetarisierung. Internetanbieter nutzten die Daten dagegen aufgrund Allgemeiner Geschäftsbedingungen gratis, Facebook lasse sich sogar eine „uneingeschränkte Lizenz“ erteilen. Die kostenlose Preisgabe der Daten werde durch die Drohung mit der Zurückweisung der Anmeldung erzwungen, die Nutzung der Daten bleibe im Dunkeln. Auf diese Weise verkauften die Nutzer „ihre Seele“ als „Schnäppchen“. An Hand der Sage vom Regensburger „Bruckmandl“ erläuterte Schimmel das Problem, seine Seele zurückzuholen – gegen die teuflischen Internetgiganten wie in der Sage zwei Hähne und einen Hund loszuschicken, wird wohl nicht ausreichen.

Der „Verfügungsbefugnis über marktfähige personenbezogene Daten“ widmete sich auch Wolfgang Kilian. Zunächst müsse die Frage gestellt werden, was informationelle Selbstbestimmung mit Marktprozessen zu tun hat. Jedenfalls sei eine unmittelbare Drittwirkung nicht möglich. International werde das deutsche Verständnis des Allgemeinen Persönlichkeitsrechts nicht verstanden. Kilian stellte sodann 13 Thesen zur Erstellung der Marktfähigkeit von Daten auf. Darunter: Zu berücksichtigen seien die Funktionsdefizite der Einwilligung, die Problematik müsse vielmehr auf die Vertragsebene übergeleitet werden. Zivilrechtliche Verfügungsbefugnisse setzten eine Zuordnung zu Eigentum bzw. property rights voraus. Parallelen zum Immaterialgüterrecht müssten gezogen werden. Das Immaterialgut müsste hierzu neu definiert werden, u.U. könnten aus dem Zollrecht Anregungen gewonnen werden. Der Lizenznehmer sei als Nießbraucher zu betrachten. Die Rechte müssten durch Privacy by design und Privacy by default durchgesetzt werden. Auch spezielle Verwertungsgesellschaften seien denkbar. Die Schranken der Rechte etwa im Hinblick auf Nutzung, Fairness, Forschung, öffentliche Sicherheit seien zu bestimmen, die Rolle von Anonymisierungspflichten sei zu bedenken.

Zur Informatisierung in der Sozialwelt steuerte Alexander Dix einen Beitrag zur „Entsolidarisierung durch die Digitalisierung des Menschen“ bei. Er verwies auf den wachsenden Markt von Gesundheitsapps und Trackinggeräten. Schlaf, Schweiß, Laufstrecken würden gemessen. Krankenkassen würden bei bestimmten Werten Prämien gewähren. Die Kfz-Versicherer interessierten sich mehr und mehr für den Fahrstil der versicherten Personen. Es stellten sich Fragen nach der Qualität und der Aussagekraft der gesammelten Daten, es könne zu Risikoverschiebungen kommen (beim Laufen Risiken für die Knochen statt für das Herz), es gebe Überlistungsmöglichkeiten. Vor allem liege in der Berücksichtigung der Daten bei der Prämengestaltung ein Verstoß gegen das Solidaritätsprinzip. So lasse das SGB V keine Bevorzugung gesund Lebender zu. Auch die Freiwilligkeit stehe in Frage, das Koppelungsverbot von Art. 7 Datenschutz-Grundverordnung sei zu beachten. Insgesamt könne  in der Sammlung dieser Gesundheitsdaten eine Vorstufe zur zentralen Gesundheitssteuerung gesehen werden, wie sie in China mit dem „citizen score“ derzeit aufgebaut wird.

Der informatisierte Staat wird vor allem durch die Sicherheitsbehörden mit ihren Überwachungsmaßnahmen repräsentiert. Hansjörg Geiger zeigte hierzu die „Verfassungsrechtlichen Grenzen der Überwachung der internationalen Telekommunikation durch den BND“ auf. Ausgangspunkt sei die Erkenntnis der Vorratsdatenspeicherungs-Entscheidung des Bundesverfassungsgerichts, nach der jede Kenntnisnahme, Auswertung und Verwendung von Kommunikationsdaten einen Grundrechtseingriff darstelle. Grenzen könnten nur ein Gesetz bestimmt werden, das besonderen Anforderungen an die Verhältnismäßigkeit und Normenklarheit genügen muss. Geiger erläuterte sodann die „strategischen“ Beschränkungen des G-10-Gesetzes, nach dem die Überwachungsbefugnisse auf den Telekommunikationsverkehr von und nach Deutschland beschränkt seien. Nur 20 % des Verkehrs dürfe einbezogen werden. Im Ergebnis sei eine flächendeckende Überwachung nach dem G-10-Gesetz nicht gestattet. In Diskussion sei die Frage nach der Zulässigkeit der Überwachung in einem Drittland oder zwischen Drittländern. Die Bundesregierung vertrete die These des „offenen Himmels“ und halte sie für zulässig. Dagegen sei zu halten, dass Art. 1 Absatz 3 Grundgesetz zwar keine Aussage zum räumlichen Geltungsbereich mache, aber Völkerrecht, v.a. die Allgemeine Erklärung der Menschenrechte zu beachten sei. Auch sei der Gebietskontakt durch Empfangs- und Auswertungsgeräte zu berücksichtigen. Das Bundesverfassungsgericht selbst lasse Art. 10 eingreifen, sobald Telekommunikationsdaten von deutschen Behörden in Deutschland erhoben, wie auch immer verarbeitet oder übermittelt werden. Im Ergebnis müsse Art. 10 daher auch für den „offenen Himmel“ grundsätzlich immer gelten. Allerdings könnten die Regelungen hier großzügiger ausgelegt werden. Jedenfalls dürfe der BND nicht weiterhin in einer Grauzone arbeiten.

Carl-Eugen Eberle befasste sich, angeregt durch einen Zeitungsbeitrag über die Nutzung der Sozialen Medien durch die Partei AfD, mit der allgemeinen Frage nach dem  Einfluss der Sozialen Medien auf die öffentliche Meinungsbildung. Dabei sei auffällig, dass der dort verbreitete Vorwurf der „Lügenpresse“, der sich auch gegen den Rundfunk richte, gerade in einem Medium erhoben werde, das selbst lügenanfällig ist. Die Selbstreferenzialität durch Likes bei Facebook spiele ebenso eine Rolle wie die Erzeugung von Entrüstungspotential durch Gerüchte und falsche Tatsachenbehauptungen. All dies werde noch begünstigt durch anonym oder gar automatisch generierte Beiträge. Im Gegensatz zum öffentlichen Rundfunk, der strengen journalistischen Regeln unterworfen ist, unterlägen diese Aktivitäten keinerlei Kontrolle. Das stelle die Frage, „ob wir nicht die falschen Türen überwachen“. Es sei notwendig, dass das Medienrecht auf diese Situation reagiere.

Im Rahmen des Bereichs „Informatisierte Arbeit“ trug Klaus Fuchs-Kittowski zur „Digitalisierung der Arbeitswelt – zur Stellung und Verantwortung des Menschen in hochkomplexen informationstechnologischen Systemen“ bei. Ausgangspunkt müsse sein, dass der Mensch im Mittelpunkt der Wirtschaftsinformatik stehen müsse. In der Auseinandersetzung mit den Propagandisten der Vollautomatisierung müsse die „technische Immunität“ angegriffen werden. Der Leitsatz müsse sein: „Gebt dem Automaten, was des Automaten ist, gebt dem Menschen, was des Menschen ist“ und nicht „…gebt dem Menschen, was übrig ist“. Die weitgehende Automatisierung führe zu einer Entwertung der menschlichen Arbeit. Der Druck, mit elektronischen Medien arbeiten zu müssen, führe zu einer immer stärkeren Arbeitsverdichtung. Die Bedeutung des Menschen sehe man besonders in riskanten Situationen, in denen der Mensch einen größeren Spielraum habe als eine Maschine. Dies sei wichtig besonders im Hinblick auf die Störanfälligkeit von Maschinen, die sich auch beim „ubiquitous computing“ zeigen werde: Je mehr Informationsquellen genutzt werden, desto größer werde die Störanfälligkeit („Paradoxie der Sicherheit“). Anzustreben sei nicht Vollautomation, sondern ein verantwortliches Zusammenwirken zwischen Mensch und Maschine.

Zum Themenbereich „Informatisierte Weltgesellschaft“ erläuterte Peter Schaar zunächst „Das regulatorische Territorialdilemma der globalen Informationsgesellschaft“.  Die Globalisierung habe seit 1995 deutliche Veränderungen hinsichtlich ihrer Auswirkungen auf die Datenverarbeitung verursacht. Während in jener Zeit umfangreiche Datenübermittlungen eher die Ausnahme und lokale Regelungen angemessen gewesen wären, seien dezentrale Verfahren heute eher die Ausnahme. Nicht nur von Institutionen wie dem US-Geheimdienst NSA, sondern auch von Wirtschaftsunternehmen gingen globale Bedrohungen aus. Unsere jetzigen Regelungen bezögen sich aber immer noch auf die frühere Situation. Die weltweit erhobene Forderung nach einer „digitalen Souveränität“ führe zu einer Daten-Relokalisierung, wie sie die USA bereits seit langem praktiziere. Erforderlich sei dagegen eine Globalisierung der rechtlichen Vorgaben. Durch UN-Aktivitäten seien deutliche Grenzen zu setzen. Die Menschenrechtsbindung müsse unabhängig von Hoheitsgebieten und der Nationalität der Betroffenen durchgesetzt werden. Schaar verwies auf den Bericht der Hohen Kommissarin für Menschenrechte der UN, Navi Pillay, nach dem Menschenrechte nur durchgesetzt werden könnten, wenn die einzelnen Staaten sich verpflichten, sie auch außerhalb ihrer eigenen Landesgrenzen zu beachten  (The Right to Privacy in the Digital Age, Juli 2014).

Schließlich beschrieb Klaus Lenk „Die Herausbildung einer weltweiten privaten Rechtsordnung: Akteure und ihre Gestaltungsspielräume“. Diese von zivilen Einrichtungen geschaffenen Rechtsordnungen, die in Konkurrenz zur staatlichen stehen,  würden Oberhand gewinnen. Kennzeichnend für sie sei die folgenreiche Nutzung von vier Steuerungsinstrumenten: (1) Imperatives Recht werde durch zwingende Technikregulierung abgelöst. (2) Eine unsichtbare Rekonfigurierung der physischen und informationellen Umgebung des Menschen führe zu einer „gebremsten Individuation“. (3) Entscheidungen beruhten auf einem „maschinellen“ Anfangsverdacht. (4) Diffuse, feingranulare nicht-staatliche Überwachungsszenarien entstünden. Dahinter stehe die „kalifornische Ideologie“, die geprägt sei durch Weltverbesserungsstreben, Technikgläubigkeit und Geschäftemacherei. Folgende staatliche Spielräume verblieben:  Entnetzung (Dinge müssen isoliert funktionieren), Resilienz (Gestaltung robuster, verantwortbarer Strukturen), Herstellung von Nachvollziehbarkeit. Insgesamt seien die Handlungsspielräume größer als vermutet. Hierzu müsse der „Enteignung des Willens durch Digitalisierung“ begegnet, der damit zusammenhängende Fatalismus überwunden und die Frage gestellt werden, „ob wir noch Alternativen denken können“.

Doch (k)ein sicherer Hafen? (mit Update vom 02.02.2016, 17:15)

Bis zum vergangenen Wochenende hielten sich Gerüchte, dass die Verhandlungen zwischen der Europäischen Kommission und der US-Regierung über eine Nachfolgevereinbarung für das vom Europäischen Gerichtshof am 6. Oktober 2015 annullierte Safe Harbour-Abkommen kurz vor einem erfolgreichen Abschluss stünden. Inzwischen ist die von den Datenschutzbehörden der EU-Mitgliedstaaten in der Art. 29-Gruppe mehrheitlich beschlossene „Stillhaltefrist“ bis Ende Januar 2016 verstrichen, ohne dass eine Einigung erzielt wurde.

Einen aktuellen Einblick in den Stand der Verhandlungen gab EU-Justizkommissarin Vera Jourová bei der Sitzung des Ausschusses für bürgerliche Freiheitsrechte, Justiz und Inneres des europäischen Parlaments (LIBE-Ausschuss) am 1. Februar 2016. Der Kommission gehe es in erster Linie darum, das Grundrecht auf Datenschutz auch für den Fall zu sichern, dass personenbezogene Daten ins Ausland transferiert werden und zugleich die Voraussetzungen dafür zu schaffen, dass die transatlantischen Datenflüsse mit entsprechenden Sicherheitsvorkehrungen fortgesetzt werden können. Die Kommission habe sich unmittelbar nach der EuGH-Entscheidung vorgenommen, innerhalb von drei Monaten nach dem EuGH-Urteil einen entsprechenden robusten Rahmen zu schaffen. Eine solche Neuregelung müsse sich fundamental von dem durch den EuGH annullierten Safe Harbour-System unterscheiden. Inzwischen ist es sehr unwahrscheinlich, das sich dieses Ziel in dieser Frist erreichen lässt.

Zur Erinnerung: Kernstück des Safe Harbour-Systems war eine Entscheidung der EU-Kommission aus dem Jahr 2000, dass Unternehmen, die sich zur Einhaltung der mit dem US-Handelsministerium ausgehandelten „Safe Harbour-Prinzipien“ bekennen, ein angemessenes Schutzniveau für die in die USA übermittelten personenbezogenen Daten garantieren. Der EuGH hat in seinem Urteil, mit dem er diese Angemessenheitsentscheidung annullierte, deutlich gemacht, dass die durch die EU Grundrechte-Charta garantierten Grundfreiheiten, insbesondere die Grundrechte auf Gewährleistung der Privatsphäre (Art. 7), auf Datenschutz (Art. 8) und die Rechtsschutzgarantie (Art. 47) den entscheidenden Maßstab für die Angemessenheit des Schutzniveaus im Empfängerland bilden.

Fraglich ist bis heute, ob auf US-Seite wirklich die Bereitschaft besteht, sowohl die materiellen Datenschutzanforderungen für die aus Europa übermittelten Daten zu gewährleisten als auch einen diskriminierungsfreien Rechtsschutz für diejenigen Personen garantieren, deren Daten transferiert werden.

So muss eine rechtlich belastbare Beschränkung der Überwachungsaktivitäten der US-Sicherheitsbehörden erfolgen; eine anlasslose Überwachung der grenzüberschreitenden Kommunikation und ein umfassender Zugriff auf personenbezogene Daten von Personen, die weder US-Bürger sind, noch sich dauerhaft in den Vereinigten Staaten aufhalten („US persons“) darf es nach den Vorgaben des EuGH nicht geben, denn eine solche umfassende Überwachung würde den Wesensgehalt der Grundrechte verletzen. Ob diese  Anforderungen durch die inzwischen erfolgten Gesetzesänderungen in den USA (US Freedom-Act)  erfüllt werden, ist mehr als zweifelhaft, denn im wesentlichen beschränken sich dessen Regelungen auf die Daten amerikanischer Bürger.

Hinsichtlich der ebenfalls durch den EuGH eingeforderten unabhängigen Datenschutz-Kontrollstellen, die individuellen Beschwerden gegen die Verwendung personenbezogener Daten durch Unternehmen und durch US-Behörden nachzugehen, scheinen sich die Positionen zwar angenähert zu haben. Auch in der Frage des gerichtlichen Rechtsschutzes hat es in den letzten Monaten durchaus Bewegung gegeben. Ob die geplanten Änderungen des US-Rechts indes ausreichen, wird zu Recht infrage gestellt (etwa durch die US-Privacy Gruppe EPIC). Von einer rechtlichen Gleichstellung der EU-Bürgerinnen und -Bürger mit US-Bürgern kann nicht die Rede sein, wie ein Blick in den noch nicht abschließend vom US-Kongress gebilligten Entwurf des Judicial Redress Act (JRA) zeigt. So müssen EU-Bürger – anders als US-Personen – zunächst versuchen, ihre Datenschutzrechte auf dem Verwaltungsweg durchzusetzen. Erst wenn sie damit endgültig gescheitert sind, dürfen sie ein US-Gericht anrufen. Zudem sind die vorgesehenen Klagemöglichkeiten auf die Rechte auf Auskunft und Korrektur der jeweiligen personenbezogener Daten beschränkt. EU-Bürger sollen – anders als US-Bürger – weiterhin keine Möglichkeiten haben, die Rechtmäßigkeit des gesamten Verfahrens der Datenverarbeitung gerichtlich überprüfen zu lassen.

Der JRA garantiert den EU-Bürgern zudem nicht einmal diese Datenschutzrechte, sondern er ermächtigt den US-Generalstaatsanwalt (zugl. Justizminister, PSch) lediglich dazu, im Einvernehmen mit anderen Ministerien den Bürgern eines Staates oder eines Wirtschaftsraums, die beschriebenen Rechte einzuräumen. Der Justizminister kann die Entscheidung jederzeit widerrufen, etwa wenn der jeweilige Staat die Datenweitergabe an US-Behörden verweigert oder diese erschwert.

Schließlich werden selbst diese unzureichenden Rechte durch eine in der letzten Woche durch den Rechtsausschuss des US-Senats verabschiedete Änderung weiter relativiert. Danach sollen nur solche Staaten die durch den JRA formulierten Ansprüche erhalten können, die den kommerziellen Datentransfer in die USA erlauben und deren nationalen Sicherheitsinteressen nicht behindern („in order to qualify as a covered country, a foreign country must permit commercial data transfers with the United States and may not impede the national security interests of the United States”). Letztlich bleibt es – mit oder ohne die im Senat vorgeschlagene Änderung – dabei, dass die US-Administration darüber entscheidet, ob und welche Bürger Anspruch auf rechtliches Gehör bekommen. Ein robuster Grundrechtsschutz sieht anders aus.

Sollte die Europäische Kommission auf dieser Basis gleichwohl eine neue Angemessenheitsentscheidung für den Datentransfer in die USA treffen, würde sie ein großes Risiko eingehen, dass auch dieser neue Rahmen für die Datenübermittlung in die USA  die Prüfung durch den Europäischen Gerichtshof nicht übersteht. Ein derartiges, nur leicht angereichertes Safe Harbour-System würde den erforderlichen Grundrechtsschutz der Bürgerinnen und Bürger nicht gewährleisten und wäre letztlich auch nicht im Interesse der europäischen oder amerikanischen Wirtschaft.

Update (02.02.2016, 17:15):

Die Europäische Kommission hat auf einer Pressekonferenz in Brüssel den erfolgreichen Abschluss der Verhandlungen mit der US-Regierung bekanntgegeben. Nach den Worten der Justizkommissarin Vera Jourová soll die neue Vereinbarung belastbare Garantien der US-Seite enthalten, sowohl im Hinblick auf den Umgang der Unternehmen mit personenbezogenen Daten aus der EU als auch zum Zugriff von US-Sicherheitsbehörden. EU-Bürger bekämen das Recht, gegen jede Art der Datenschutzverletzung rechtlich vorzugehen. Die Kommission werde in den nächsten Wochen eine neue Angemessenheitsentscheidung vorlegen. Nach den Worten von EU-Vizepräsident Ansip soll das neue Arrangement wesentlich besser sein als das Safe Harbor System aus dem Jahr 2000. Durch eine jährliche „Joint Review“, an der auch die Datenschutzbehörden beteiligt würden, soll die Umsetzung der Vereinbarung überprüft werden.

Löchriger Datenschutz-Schirm

Vor gut einer Woche, am 8. September 2015, gab die Europäische Kommission den erfolgreichen Abschluss der Verhandlungen mit den USA über ein Datenschutz-Rahmenabkommen („Umbrella Agreement“), das für die Kooperation zwischen Strafverfolgungsbehörden gelten soll. Das Abkommen werde nach seinem Inkrafttreten „ein hohes Datenschutzniveau für alle personenbezogenen Daten garantieren, die von den Strafverfolgungsbehörden über den Atlantik gesandt werden. Insbesondere wird es  garantieren, dass alle EU-Bürger das Recht haben, den Schutz Ihrer Daten bei US-Gerichten durchzusetzen“, führte die zuständige EU-Justizkommissarin Věra Jourová aus. Voraussetzung für die Unterzeichnung der Vereinbarung sei jedoch, dass der US-Kongress möglichst bald die erforderlichen Gesetzesänderungen („Judicial Redress Bill“) beschließe.

Obwohl die Kommission den vereinbarten Text zunächst nicht veröffentlichen wollte, ist dieser inzwischen  – auf welchen Wegen auch immer – ins Internet gelangt und ermöglicht so eine Detailprüfung, ohne die eine verlässliche Bewertung der Verhandlungsergebnisse nicht möglich ist. Ich möchte den Leserinnen und Lesern meine Eindrücke nicht vorenthalten, die ich bei der ersten Durchsicht des Abkommenstextes  gewonnen habe.

Zunächst die gute Nachricht: Das Abkommen enthält in der Tat substantielle Zugeständnisse der US-Seite, die von vielen Beobachtern vor Jahresfrist kaum für möglich gehalten wurden. Zu nennen ist in erster Linie, dass  EU-Bürger zukünftig vor US-Gerichten überhaupt einklagbare  Datenschutz-Rechte erhalten sollen. Gegen eine derartige Regelung hatte sich die US-Regierung während er sich über fünf Jahre hinziehenden Verhandlungen lange gewehrt. Statt eines  einklagbaren Rechtsanspruches sollten EU-Bürgern Datenschutzrechte nur durch eine Verwaltungsvereinbarung eingeräumt werden. Dass eine – letztlich vom Goodwill der US-Administration abhängige  – Zusicherung kein angemessenes Datenschutzniveau gewährleisten kann, wurde zu Recht von EU-Seite immer wieder betont. Insofern ist es positiv, dass die entsprechenden Rechtsansprüche in einem formellen, durch den US-Kongress zu beschließendes Gesetz, gesichert werden sollen.

Positiv ist auch, dass sich beide Seiten zu den Grundsätzen der Verhältnismäßigkeit, Erforderlichkeit und Zweckbindung bekennen und dass  sie sich verpflichten, die Verwendung und die Dauer der Speicherung personenbezogener Daten entsprechend dieser Grundsätze durch Rechtsvorschriften festzulegen.

Bei Durchsicht des Abkommenstextes wird jedoch deutlich, dass von einer rechtlichen Gleichstellung der EU-Bürgerinnen und Bürger nicht die Rede sein kann. Dabei hätte sich dies sehr leicht in die bestehenden US-Datenschutzvorschriften einfügen lassen: So hätte es genügt, die Regelungen – etwa des US Privacy Act von 1974 -, die sich bisher auf US-Bürger und dort rechtmäßig ansässige Ausländer beschränken, auf EU-Bürger zu erweitern. Stattdessen enthält der Abkommenstext komplizierte Regelungen, welche im Ergebnis die Gleichstellung nicht gewährleisten. So müssen EU-Bürger – anders als US-Bürger – zunächst versuchen, ihre Datenschutzrechte auf dem Verwaltungsweg durchzusetzen. Erst wenn sie damit endgültig gescheitert sind, dürfen sie ein US-Gericht anrufen. Zudem beschränken sich die in Art. 18 des Abkommens vorgesehenen Klagemöglichkeiten auf die ausdrücklich im Abkommen genannten Rechte auf Auskunft und Korrektur der jeweiligen personenbezogener Daten. EU-Bürger haben – anders als US-Bürger – weiterhin keine darüber hinausgehenden Möglichkeiten, die Rechtmäßigkeit des gesamten Verfahrens der Datenverarbeitung gerichtlich überprüfen zu lassen.

Ferner ist darauf hinzuweisen, dass das Abkommen nur für Strafverfolgungs- und Polizeibehörden  gelten soll, nicht jedoch für Behörden, die für die Gewährleistung der „nationalen Sicherheit“ zuständig sind. In diesem Zusammenhang ist darauf hinzuweisen, dass US-Nachrichtendienste wie die NSA und die CIA ihre Erkenntnisse, auch sofern sie diese von Behörden anderer Staaten erhalten haben, durchaus mit den Strafverfolgungsbehörden teilen. Sollte also der Bundesnachrichtendienst auch zukünftig – wie in der Vergangenheit in beachtlichem Umfang geschehen – personenbezogene Daten an US-Dienste übermitteln, welche die Informationen an das FBI weitergeben, wären darauf die Vorgaben des Rahmenabkommens nicht anwendbar. Nicht anwendbar ist das Abkommen auch bezüglich solcher Datensammlungen von US Behörden, die auf Basis anderer US-Vorschriften  –  etwa des Foreign Intelligence Surveillance Act (FISA) –  erfolgen.

Eine weitere Beschränkung soll nicht unerwähnt bleiben: Während nach dem europäischen  Datenschutzrecht sämtliche personenbezogenen Daten unabhängig von der Nationalität der Betroffenen geschützt werden, sollen die begrenzten, durch das Abkommen vorgesehenen Datenschutzrechte nur für Daten über EU-Bürger gelten, die von europäischen Behörden oder Unternehmen auf Basis von bi- oder multilateralen Vereinbarungen an US- Strafverfolgungsbehörden übermittelt wurden.
Schließlich bleibt der Abkommenstext (Art. 21) hinsichtlich der Datenschutzaufsicht hinter
dem EU-Recht (insb. Art. 8 Abs. 3 der EU-Grundrechte-Charta) zurück: Es fehlt eine ausdrückliche Verpflichtung beider Vertragsparteien, für eine unabhängige Datenschutzaufsicht zu sorgen.  Während sich die Europäische Union in dem Abkommen dazu verpflichtet, dass die unabhängigen Datenschutzbehörden die Rechtmäßigkeit der Datenverarbeitung überprüfen können, verweist das Abkommen hinsichtlich der USA auf eine Vielzahl, teils nicht unabhängiger Kontrollinstitutionen, welche die Datenschutzkontrolle „kumulativ“ ausüben sollen.

Angesichts dieser Defizite erscheint mir der Jubel über die Verhandlungsergebnisse verfrüht.  Die europäischen Gremien, die der Ratifizierung des Abkommens zustimmen müssen, allen voran das Europäische Parlament und die Parlamente der Mitgliedstaaten, sind aufgerufen, das Abkommen gründlich zu prüfen und dabei insbesondere seine Vereinbarkeit mit den Vorgaben der EU-Grundrechtecharta unter die Lupe zu nehmen. Gegebenenfalls muss eben nachverhandelt werden.

Mit freundlichen Grüßen

Peter Schaar

Facebook: Jede große Reise beginnt mit einem kleinen Schritt

Zunächst einmal herzlichen Dank für die Kommentare zu meiner Ankündigung, Facebook zu verlassen, die ich inzwischen umgesetzt habe.

Ich will hier eine kurze Erläuterung nachreichen: Es war immer mein Anliegen, nicht nur über den Datenschutz zu theoretisieren, sondern auch praktische Erfahrungen zu sammeln. Manches stellt sich nunmal aus der User-Sicht anders dar als von den rechtlichen Höhen der Datenschutzaufsicht. Dabei war mir natürlich seit langem klar, dass die Praxis von Facebook zur Realnamenspflicht und die Profilbildung  den Vorgaben des deutschen Telemediengesetzes nicht entspricht.

Die geänderten FB-Nutzungsbedingungen gehen jedoch darüber hinaus, denn FB räumt sich darin das Recht ein, uns auch außerhalb  seines Dienstes zu beobachten, unser Surfverhalten zu registrieren und sich auf dem den von uns verwendeten Geräten nach anderen Apps umzuschauen. Dies überschreitet aus meiner Sicht jedes akzeptable Maß und entspricht auch nicht den Vorgaben des Europäischen Datenschutzrechts, zu dessen Einhaltung sich FB eigentlich verpflichtet hat – und verpflichtet ist (Sitz der FB Inc.: Dublin). Dies gilt auch für die  „Einwilligung“, die dann als erteilt gilt, wenn man den Dienst nach dem Inkrafttreten der geänderten Regeln weiter nutzt. Diese Einwilligung ist aus meiner Sicht unwirksam, denn gerade bei einem marktbeherrschenden Unternehmen kann von der durch die EG-Datenschutzrichtlinie Freiwilligkeit der Einwilligung keine Rede sein. Auch die Vorstellung, allein durch die Dienstenutzung mit allem einverstanden zu sein, erscheint mir – insb. angesichts der Komplexität der Datensammlungen und -verarbeitungsvorgänge – nicht tragbar.

Daran ändert auch die neu eingeführte Wahlmöglichkeit nichts, keine verhaltensspezifisch personalisierte Werbung mehr zu erhalten. Dies ist lediglich ein Opt Out bezüglich der Werbezusendungen, ändert aber nichts an der Beobachtung und Profilbildung. Und die Möglichkeit, bestimmte Werbung „abzuwählen“, führt nicht etwa zu weniger Beobachtung und Registriereung sondern fügt unserem Profil weitere Elemente hinzu.

Für mich war mit den neuen Nutzungsbedingungen eine rote Linie überschritten. Ich werde also in Zukunft ohne FB auskommen müssen, jedenfalls solange der Dienst seine Praxis nicht wesentlich ändert, woran ich derzeit eher zweifele. Schön wären allerdings auch die hier im Forum diskutierten Projekte datenschutzgerechter Alternativen. Ich habe vor, mich demnächst etwas intensiver im Netz umzusehen – es würde mich wundern, wenn es derartige Ansätze noch nicht gibt. Von einigen, etwa Diaspora, hat man ja schon gehört. Vielleicht kann ja jemand von Erfahrungen berichten.

Mir ist völlig klar, dass mein individueller Austritt aus dem Dienst nicht viel ändert. Diese Erfahrung hatte vor einigen Jahren schon die damalige Verbraucherschutzministerin Ilse Aigner machen müssen. Andererseits möchte ich an den Satz des großen chinesischen Gelehrten Konfuzius erinnern: „Jede große Reise beginnt mit einem kleinen Schritt“.

Mit freundlichen Grüßen

Peter Schaar

„US-Freedom Act“ gescheitert: Vertane Chance

„US-Freedom Act“ gescheitert:  Vertane Chance

Das Gesetz zur Reform der Befugnisse der US-Geheimdienste, der „Freedom Act“ ist gestern im US-Senat knapp gescheitert. Die Republikaner brachten das durch die Demokraten eingebrachte und auch von Präsident Obama unterstützte Gesetzgebungsvorhaben – zunächst – zu Fall, indem sie die Abstimmung über das Gesetz mit ihrer Sperrminorität verhinderten.

Auch wenn der abgelehnte Gesetzentwurf aus Datenschutz- und Bürgerrechtssicht in mancher Hinsicht verbesserungsbedürftig erscheint, hätte er die Geheimdienstaktivitäten gegen US-Amerikaner (und dort lebende Ausländer) deutlich begrenzt und die öffentliche Kontrolle gestärkt. Sein Scheitern zeigt, dass die politischen Entscheidungsträger der USA offensichtlich nicht in der Lage (oder bereit) sind, die notwendigen Konsequenzen aus den auf Edward Snowden zurückgehenden Diskussionen über die außer Kontrolle geratene geheimdienstliche Überwachung zu ziehen. Schade!

Immerhin ist das letzte Wort in Sachen Geheimdienstreform nicht gesprochen. Die zuletzt 2008 verschärften FISA-Regelungen, auf deren Basis die US-Geheimdienste agieren, enthalten eine „Sunset Clause“ und laufen im Juni 2015 aus, wenn der US-Kongress keine neuen Regelungen beschließt. Manche Bürgerrechtler setzen darauf, dass dann die Chance besteht, die Befugnisse der NSA & Co noch weiter zu beschneiden, als im abgelehnten Gesetzentwurf vorgesehen. Es ist zu hoffen, dass sie Recht behalten – für sehr wahrscheinlich halte ich dies angesichts der politischen Situation in den USA aber nicht.

Um was ging es im Einzelnen?

Nach dem Gesetzentwurf sollten insbesondere diejenigen Regelungen des Gesetzes zur Auslandsüberwachung (FISA – Foreign Intelligence Surveillance Act) verschärft werden, die zur innerstaatlichen Überwachung und zum behördlichen Zugriff auf Daten herangezogen werden können. Bekanntlich wurden seit 2001 alle Telefongesellschaften verpflichtet, ihre Verkehrsdaten an den Geheimdienst NSA (National Security Agency) zu übermitteln, wo sie über viele Jahre gespeichert und aufbereitet wurden.

  • Zwar stellte der Gesetzentwurf die mehrjährige Speicherung von Telekommunikationsdaten selbst nicht in Frage, doch sollten diese Daten in Zukunft nicht mehr bei der NSA, sondern bei den Telekommunikationsunternehmen selbst gespeichert werden. Die Herausgabe von Daten sollte an eine richterliche Anordnung geknüpft werden, für die deutlich strengere Anforderungen als bisher vorgesehen waren. Die massenhafte, im einzelnen nicht zu begründende Sammlung von Gegenständen („tangible things“) sollte unterbleiben.
  • Eine zweite wichtige Änderung betrifft den FISA-Court, also das Gericht, das über gezielte Überwachungsmaßnahmen und über die Herausgabe von Daten durch Unternehmen zu entscheiden hat. Während das Gericht seine Entscheidungen bisher nach Anhörung der Regierungs- bzw. Behördenvertreter trifft, sollten zukünftig auch spezielle, auf Datenschutz und Bürgerrechte spezialisierte Anwälte gehört werden. Damit wäre einer der wesentlichen Konstruktionsfehler der Geheimdienstkontrolle – die einseitige Beeinflussung der Entscheidungen durch die Dienste und durch die Regierung – angegangen worden. Zudem sollten die Entscheidungen des FISA-Courts selbst einer gerichtlichen Überprüfung durch einen „ Court of Review“ und letztlich durch den Obersten Gerichtshof zugänglich werden. Schließlich sollten die bisher strikt geheim zu haltenden Entscheidungen des FISA-Courts verstärkt auch der Öffentlichkeit zugänglich werden.
  • Das Instrument der „National Security Letters“ (NSL) sollte reformiert werden. Seit 2001 kann praktisch jeder FBI Agent Unternehmen und öffentliche Stellen ohne gerichtliche Anordnung zur Herausgabe von Daten und sonstigen Informationen verpflichten. Die Empfänger haben die Tatsache und den Gegenstand der Herausgabeanordnung geheim zu halten. Wie inzwischen bekannt ist, wurden NSL in zehntausenden Fällen eingesetzt. Zukünftig sollten NSL nur noch zur gezielten Recherche nach identifizierten Personen ausgestellt werden dürfen. Zudem sollten die Regeln zur Geheimhaltung der Anfragen gelockert werden.
  • Schließlich enthielt der Entwurf  detaillierte Berichtspflichten für die Regierung zu den einzelnen Überwachungsmaßnahmen und die Erlaubnis für die Adressaten von Überwachungsanordnungen – also im wesentlichen für die Telekommunikations- und Internetfirmen -, über den Umfang und die Art der Herausgabeverpflichtungen öffentlich zu berichten.

Mit freundlichen Grüßen

Peter Schaar

Gleiche Datenschutzrechte für EU-Bürger in den USA?

Gleiche Datenschutzrechte für EU-Bürger in den USA?

Die gestrige Ankündigung des US-Justizministers Eric Holder, die Obama-Administration werde sich dafür einsetzen, dass EU-Bürger zukünftig ihre  Datenschutzrechte auch vor amerikanischen Gerichten einklagen können, ist ein Schritt in die richtige Richtung. Während bisher sämtliche Nicht-Amerikaner ohne gesicherten Aufenthaltsstatus in den USA keine Möglichkeit haben, vor US-Gerichten gegen den Umgang von US-Behörden mit ihren Daten zu klagen, soll dies nun – bezogen auf die Bürgerinnen und Bürger der EU-Staaten – anders werden. Umgekehrt haben US-Bürger und andere  Bürger von Drittstatten seit eh und je die Möglichkeit, ihre Datenschutzrechte vor europäischen Gerichten geltend zu machen – schon deshalb wäre eine entsprechende Änderung des US-Rechts eigentlich eine Selbstverständlichkeit.

Ob die Ankündigung allerdings umgesetzt wird, hängt letztlich vom US-Kongress ab, denn eine entsprechende Gesetzesänderung bedarf seiner Zustimmung – und die ist alles andere als sicher. Selbst wenn der Senat und das Repräsentantenhaus die Gesetzesänderungen beschließen, werden damit jedoch nicht alle Probleme gelöst.

Maßstab der gerichtlichen Überprüfung sind weiterhin die US-Gesetze – wie etwa der Foreign Intelligence Surveillance Act (FISA), die einen riesigen Unterschied machen zwischen  US-Bürgern und  Ausländern. Die maßlosen Überwachungspraktiken werden unter Hinweis auf diesen Unterschied gerechtfertigt. So ist für die massenhafte Sammlung so genannter „Metadaten“ von nicht-Amerikanern nicht einmal ein Gerichtsbeschluss erforderlich, selbst wenn die entsprechenden Aktivitäten auf amerikanischem Boden ausgeübt werden. Auch die  Lausch- und Spähaktivitäten außerhalb des US-Territoriums, die sich auf Nicht-Amerikaner beziehen, bedürfen  weiterhin keiner gerichtlichen Genehmigung.

Immerhin: Sollte das US-Recht –  wie jetzt von Eric Holder angekündigt – geändert werden, wäre dies eine beachtenswerte Verbesserung für die EU-Bürger. Diese Änderung wirft neben den bereits erwähnten Problemen aber die Frage auf, warum die für die 28 EU-Staaten angekündigten Verbesserungen nicht auch dem Rest der Welt eingeräumt werden sollen. Es wäre ein gutes Zeichen, wenn die US-Administration die Rechte der Bürgerinnen und Bürger aller 193 Staaten dieser Welt gleichermaßen ernst nehmen würde.

Mit freundlichen Grüßen

Peter Schaar

Mazzini und Snowden

1844 bewegte eine Abhöraffäre die Londoner Öffentlichkeit – ein Skandal, der interessante Parallelen zu der aktuellen Snowden-Affäre aufweist. Der italienische Polit-Aktivist Giuseppe Mazzini setzte sich von seinem Londoner Wohnort aus für die staatliche Einigung Italiens ein und korrespondierte intensiv mit Gleichgesinnten im In- und Ausland. Diese Aktivitäten erregten das Misstrauen des österreichisch-ungarischen Kaiserreichs, das Teile Italiens besetzt hielt. Um dem für die Donaumonarchie abträglichen Treiben entgegenzuwirken, wandte sich der österreichische Botschafter in London an die britische Regierung und verlangte, die Post Mazzinis zu überwachen – mit Erfolg. Die von Mazzini geschriebenen und die an gerichteten Briefe wurden im Royal Post Office geöffnet, kopiert und der Inhalt den Österreichern mitgeteilt.

Die Überwachung flog auf, nachdem Mazzini und seine Freunde misstrauisch geworden waren und durch einige Tricks herausfanden, dass ihre Briefe geöffnet wurden. Mazzini ging an die britische Öffentlichkeit. Die Empörung war groß – Politiker verlangten von der Regierung eine Erklärung, die diese zunächst unter Berufung auf das Staatswohl und die notwendige Geheimhaltung ablehnte. Das britische Parlament gab sich mit dieser Erklärung nicht zufrieden und richtete einen Untersuchungsausschuss ein, der das ganze Ausmaß der Überwachung sichtbar machte: Nicht nur Mazzini, sondern auch viele andere Personen standen unter Überwachung. Ihre Briefe wurden ausgesondert und geöffnet.

Warum regte sich die Öffentlichkeit auf? War nicht aus der britischen Vergangenheit durchaus bekannt, dass in Großbritannien wie in vielen anderen Staaten Postsendungen überwacht wurden? Die Kritik war besonders deshalb so scharf, weil wenige Jahre zuvor die „Penny Post“ – ein allgemein gegen geringes Entgelt zugänglicher Dienst der Royal Mail eingeführt worden war. Der Umfang des Brieftransports war daraufhin stark angestiegen und die Fernkorrespondenz gehörte inzwischen zum Alltag vieler Menschen und beschränkte sich nicht mehr auf Aristokraten, Fernhändler, Diplomaten und sonstige herausgehobene Persönlichkeiten. Die Überwachung der Briefpost, die man zuvor hinzunehmen bereit gewesen war, war damit zu einem Massenphänomen geworden, das prinzipiell jeden betraf.

Die Affäre hatte schließlich ein Happy End: Angesichts der anhaltenden Empörung wurde das für die Überwachung verantwortliche „Inner Office“ aufgelöst und die britische Regierung versprach, das Postgeheimnis zukünftig einzuhalten. Jedenfalls wurde die Überwachung drastisch reduziert und britische Briefschreiber konnten über Jahrzehnte in aller Regel sicher sein, dass ihre mit der Royal Post abgewickelte Korrespondenz nicht von Dritten mitgelesen oder kopiert wurde.

Bei der heutigen Überwachung durch den britischen Geheimdienst GCHQ und die amerikanische NSA sind wir von einem solchen Happy End noch weit entfernt. Die Mazzini-Affäre, wie bedeutsam eine kritische Öffentlichkeit ist, wenn es um die Bewahrung von Bürgerrechten geht. Dies gilt auch heute – für Großbritannien wie für den Rest der Welt!

Mit freundlichen Grüßen

Peter Schaar

P.S. Auf die Mazzini-Affäre hat mich – am Rande einer Konferenz zum Datenschutz und zur IT-Sicherheit – Reinhard Posch hingewiesen, der im österreichischen Bundeskanzleramt als CIO tätig ist. Herzlichen Dank!

« Older Entries