Verschiedene Organisationen haben heute unserem Bundesinnenminister Dr. Hans-Peter Friedrich einen Offenen Brief zur EU-Datenschutzreform geschickt. Der Tenor ist, dass Friedrich nicht nur erzählen soll, dass ihm Datenschutz wichtig ist, sondern dass er auch einfach diesen durchsetzen soll. Der Offene Brief mit dem Titel “Datenschutz: Einfach. Stark.” wird u.a. unterstützt von Chaos Computer Club eV, Digitalcourage eV, Digitale Gesellschaft und Campact! und kann hier mitgezeichnet werden.

“Sehr geehrter Herr Bundesminister,

als Innenminister vertreten Sie die Bundesrepublik Deutschland im Ministerrat bei der Reform des EU-Datenschutzes. Mit Freude haben wir Ihre Äußerungen in den Medien registriert, dass Sie nicht mehr auf das erfolglose Konzept der „Selbstregulierung“ der Wirtschaft setzen, sondern sich für stärkeren Datenschutz durch gesetzliche Regelung aussprechen.

Demgegenüber hören wir aus Verhandlerkreisen in Brüssel, dass Deutschland hier mitnichten für starken Datenschutz eintritt, sondern tatsächlich das heutige Datenschutzniveau weiter absenken will.

Da in Zukunft die europäische Datenschutzverordnung unser deutsches Datenschutzgesetz direkt ersetzt, betrifft uns eine Verschlechterung des Datenschutzniveaus unmittelbar.

Wir fordern Sie auf: Lassen Sie Ihren Worten Taten folgen. Wir fordern einen einfachen und starken Datenschutz in Europa, mindestens mit folgenden Punkten:

1. Klare Regeln: Unternehmen brauchen eine ausdrückliche Zustimmung der Bürgerinnen und Bürger für die Datenverarbeitung. „Legitime Interessen“, die die Datenverarbeitung auch ohne Zustimmung erlauben, müssen klar begrenzt und streng geregelt werden.
2. Keine Datenveruntreuung: Unternehmen und Behörden dürfen nur Daten sammeln, die sie wirklich brauchen, und sie später nicht für einen anderen Zweck wiederverwenden. Die vorgeschlagene nachträgliche Zweckänderung (z.B. Rechnungsdaten für Marketing oder Scoring nutzen) würde Missbrauch Tür und Tor öffnen.
3. Kein „Wegdefinieren“: Wir fordern klare, umfassende Definitionen und einfache, verständliche Regeln in ganz Europa. Es darf nicht sein, dass Zentralbegriffe wie „Daten“ in der Verordnung so eng oder unklar definiert werden, dass am Ende faktisch keine Datenverwendung mehr darunter fällt.
4. Schlupflöcher stopfen: Datenschutz darf nicht durch zahlreiche Ausnahmen uneffektiv werden. Datenschutz muss für alle Unternehmen gelten, die in Europa Geschäfte machen. Ausnahmeregelungen dürfen es findigen Konzern-Juristen nicht ermöglichen, das Datenschutzrecht faktisch außer Kraft zu setzen.
5. Beschäftigtendatenschutz: Die EU-Verordnung soll als verbindlicher europäischer Mindeststandard auch für Beschäftigte gelten und zusätzlich strengere nationale Gesetze ermöglichen.
6. Wirksame Durchsetzung: Recht und Ordnung müssen auch im Datenschutz gelten. Dazu brauchen wir unabhängige Datenschutzbeauftragte, wirksame Kontrollen und spürbare Strafen bei Verstößen.

Wir bitten Sie als den verantwortlichen Minister, zu diesen Forderungen Stellung zu nehmen und freuen uns auf Ihre Antwort bis zum 29. Mai 2013.

Datenschutz ist unser Grundrecht. Sprechen Sie sich im Ministerrat für einen starken Datenschutz aus. Verteidigen Sie das deutsche Datenschutzniveau als Mindeststandard für Europa und stellen Sie sich gegen den Einfluss der Konzernlobbyisten, die Datenschutz bekämpfen. Schützen Sie unsere Grundrechte und ermöglichen Sie einen fairen Wettbewerb in Europa. ”

Mehr Informationen zum Thema EU-Datenschutzreform gibt es hier.

Dazu passt auch dieses Video der Privacy League.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

Datenschutzreform: Was ist das noch mal?

Die Datenschutzreform besteht aus einer Richtlinie für den Polizei- und Justizbereich sowie aus einer Verordnung für Unternehmen und Behörden, die nichts mit Strafverfolgung zu tun haben. Die Verordnung wird im Wortlaut in allen 27 Mitgliedsstaaten gelten. Sie ist zurecht Dreh- und Angelpunkt der Debatte, da sie den Schutz eurer Daten (nicht nur) im Netz für die nächsten ca. 20 Jahre regeln wird. Worum, es inhaltlich geht hat der Digitale Gesellschaft e.V. hier zusammengefasst. Wem das mit Verordnung, Richtlinie und Co. zu schnell ging, dem seien die 10 Fragen und Antworten zur Datenschutzreform ans Herz gelegt.

Warum ist das wichtig?

Adresshändler sammeln die Adressen von Minderjährigen und schaffen ein Einfallstor für zudringliche Werbung und Hausbesuche. Google erstellt seit der illegalen Änderung seiner Geschäftsbedingungen auf Basis der Daten, die wir ununterbrochen bei seinen circa 60 Diensten hinterlassen, Persönlichkeitsprofile. Facebook löscht Daten einfach nicht, auch wenn wir es verlangen.

Das sind nur wenige Beispiele für unzureichende bzw. unzureichend durchgesetzte europäische Datenschutzgesetze. Mit der zunehmenden Vernetzung der Welt geht eine Goldgräberstimmung in Sachen datenbasierter Geschäftsmodelle einher. Zustimmung zur Datenverarbeitung, Zweckbindung der erhobenen Daten oder gar Löschung von Daten passen nicht immer dazu. Schließlich kann ja jedes Datum irgendwie wertvoll sein. Und natürlich finden auch Staaten diese Datenberge interessant. Dumm nur, dass Datenschutz Grundrecht ist und kein Mensch sich gerne beobachten lässt.

Wirtschaftliche Interessen sind nicht per se schlecht und Datenschutz muss kein Widerspruch zu ihnen sein. Jedoch sollten sie reguliert werden. Das wissen wir spätestens seit der Bankenkrise.

Überzeugt: Wo kann ich anfangen?

Die Europäische Kommission hat ihre Vorschläge zur Datenschutzreform im Januar 2012 vorgestellt. Jetzt arbeiten sich die Innen- und Justizminister der Mitgliedsstaaten (Ministerrat) sowie das Europäische Parlament daran ab. Wenn sie bis zur Sommerpause ihre Vorschläge abgestimmt haben, setzen sie sich mit der Kommission an einen Tisch und einigen sich auf euren neuen Datenschutz. Die Kommission hat eine akzeptabel starke Meinung zum Datenschutz. Der Ministerrat nicht. Beim Parlament ist das noch offen. Da es nicht ohne den Rat geht, muss der Vorschlag des Parlaments stark ausfallen. Der Rat wird noch genug Kompromisse erzwingen, die zulasten des Datenschutzes gehen.

Allerdings arbeitet der Ministerrat traditionell intransparent und ist eher schwer zu beeinflussen. Innenminister Friedrich auf die Füße zu treten, kann trotzdem nichts schaden. Besser ihr wendet euch an die Abgeordneten des Europäischen Parlaments.

Das Europäische Parlament: Was läuft da?

Die Abgeordneten des Europäischen Parlaments haben bereits einige Abstimmungen zur Datenschutzverordnung hinter sich. Diese Abstimmungen der sogenannten meinungsgebenden Ausschüsse sind – bei diesem Lobbyansturm kaum verwunderlich – sehr wirtschaftsfreundlich ausgefallen, auch wenn es am Ende etwas besser wurde. Teilweise wurden Lobbyvorschläge 1:1 übernommen, die Grundprinzipien wie die Zustimmung zur Datenverarbeitung einfach aushebeln wollen. Das Projekt LobbyPlag hat das sehr anschaulich dargestellt.

Derzeit verhandelt der federführende Innenausschuss (LIBE) über Kompromisse, da über 3.000 Änderungsanträge eingereicht wurden, über die – ohne Bündelung und Vorauswahl – nicht sinnvoll abgestimmt werden könnte. Das machen der Berichterstatter und die Schattenberichterstatter/innen. Aber auch die anderen Mitglieder des LIBE-Ausschusses sind einflussreich – schließlich müssen sie den Kompromissen am Ende zustimmen. Die finale Ausschussabstimmung, mit der das Parlament seine Position festlegt, soll noch vor der Sommerpause stattfinden.

Achtung: Ihr dürft euch nicht bis zum Sommer zurücklehnen. Die Kompromisse werden jetzt gemacht. Hier geht es nicht um ein Ja oder Nein. Wenn der LIBE-Ausschuss zur Abstimmung geht, hat er sich bereits geeinigt.

Wer hat welche Positionen im LIBE-Ausschuss?

Berichterstatter für die Datenschutzgrundverordnung ist Jan Philipp Albrecht (Grüne). Er leitet die Kompromissverhandlungen. Er hat eine Stellungnahme zur Verordnung vorgelegt, die immerhin nicht hinter den Kommissionsvorschlag zurückgeht. Die Mehrheitsverhältnisse und die inhaltliche Stoßrichtung im Ausschuss steht allerdings gegen Albrecht.

Schattenberichterstatter für die Konservativen sind der deutsche Europaparlamentarier Axel Voss (CDU) und der Brite Timothy Kirkhope. Die konservativen Änderungsanträge erlauben die Datenverarbeitung ohne Zustimmung auf Basis des „berechtigten Interesses“. Ein „berechtigtes Interesse“ dürfen auch Dritte haben und eure Daten zu einem anderen Zweck weiter benutzen. Was hat das mit Datenschutz zu tun? Nichts. Ohne eure Kontrolle dürften eure Daten also munter von Unternehmen zu Unternehmen gereicht werden. Ohne zu übertreiben scheint es, als würden die Konservativen am industriefreundlichsten verhandeln.

Ebensolche Ideen unterstützt auch die liberale Schattenberichterstatterin Sarah Ludford, die derzeit anstelle von Alexander Alvaro (FDP) verhandelt. Wenn die Liberalen so weiter verhandeln, verspielen sie ihr Image als Bürgerrechtspartei. Jedoch sind die Positionen nicht bei allen festgefahren. Es gibt noch Bürgerrechtler/innen unter ihnen und damit das Potenzial, die Fraktion zumindest zu spalten.

Die Sozialdemokraten im Europäischen Parlament werden durch Dimitrios Droutsas vertreten. Ihre Positionen sind respektabel, jedoch sollten wir die Sozialdemokraten daran erinnern, auch für diese zu kämpfen.

Eine Analyse der bedrohlichsten Änderungsvorschläge, die auf dem Tisch legen, liefert ein Bericht europäischer Bürgerrechtsorganisationen.

Und jetzt? Action!

Ihr solltet euch also vor allem an die liberalen, konservativen und sozialdemokratischen Abgeordneten im LIBE-Ausschuss wenden. Eine Liste der deutschen Abgeordneten im LIBE-Ausschuss findet ihr hier. Auf der europaweiten Kampagnenseite nakedcitizens.eu könnt ihr ihnen eine Postkarte oder eine Mail schicken. Oder einfach mal anrufen. Argumente findet ihr auf den Datenschutzseiten des Digitale Gesellschaft e.V. oder gebündelt in englischer Sprache bei European Digital Rights. Auch auf netzpolitik.org haben wir schon einiges zum Thema geschrieben. Erzählt euren Freunden von der Datenschutzreform. Teilt das Kampagnenvideo in euren Netzwerken. Das ist nicht ACTA, aber genau so wichtig.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

Industriefinanzierte Astroturfing-Organisation verstößt gegen Transparenzregister

Die European Privacy Association ist ein von großen US-amerikanischen Technologieunternehmen finanzierter Thinktank.

Zum Leben erweckt wurde er durch die Washingtoner Public Relations und Consulting-Agentur DCI-Group. Gegen die European Privacy Association läuft derzeit eine Beschwerde, da sie gegen die Regeln des Transparenzregisters der Europäischen Kommission und des Europäischen Parlaments verstößt. Die European Privacy Association veröffentlicht weder ihre Mitglieder noch ihre Einnahmequellen (u.a. aus Bezahlmitgliedschaften) korrekt. Ihre Einordnung in der Sektion der primär forschungsorientierten Organisationen ist schlicht und ergreifend falsch. Hier liegt ein klarer Fall von Astroturfing vor: Ein scheinbar unabhängig und im öffentlichen Interesse agierendes Netzwerk wird ferngesteuert.

Der Datenschutz braucht echte Öffentlichkeit

Die Lobbyeinflussnahme bei der Datenschutzreform hat unvorstellbare Ausmaße angenommen. Dabei kommen die Interessen der Bürgerinnen und Bürger an einem starken Datenschutz zu kurz. Derzeit verhandelt der federführende Innenausschuss (LIBE) des Europäischen Parlaments über unseren Datenschutz für die nächsten 20 Jahre. Die Abgeordneten kontaktieren und an eure Anliegen in Sachen Datenschutz zu erinnern, ist also genau jetzt sinnvoll.

Eine Liste der deutschen Abgeordneten im LIBE-Ausschuss findet ihr hier. Auf der europaweiten Kampagnenseite nakedcitizens.eu könnt ihr ihnen eine Postkarte oder eine Mail schicken. Oder einfach mal anrufen. Argumente findet ihr auf den Datenschutzseiten des Digitale Gesellschaft e.V. oder gebündelt in englischer Sprache bei European Digital Rights. Auch auf netzpolitik.org haben wir schon einiges zum Thema geschrieben.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

The Department obtained telephone toll records for more than 20 separate telephone lines assigned to the AP and its journalists. [...] This action was taken without advance notice to AP or to any of the affected journalists, and even after the fact no notice has been sent to individual journalists whose home phones and cell phone records were seized by the Department. There can be no possible justification for such an overbroad collection of the telephone communications of The Associated Press and its reporters. These records potentially reveal communications with confidential sources across all of the newsgathering activities undertaken by the AP during a two-month period, provide a road map to AP’s newsgathering operations, and disclose information about AP’s activities and operations that the government has no conceivable right to know.

Laut Washington Post könnte der Auslöser für die Bespitzelung ein Bericht über einen vereitelten Bombenanschlag von Al Qaida im Jemen gewesen sein. AP hätte Informationen gehabt, die eventuell auf ein Informationsleck in der Regierung hinweisen. Damit verteidigt auch Justizminister Eric Holder die Bespitzelung. Es habe sich um einen ‘sehr, sehr ernsthaften’ Geheimnisverrat an die Medien gehandelt und auch er selbst sei vom FBI befragt worden. Die Aufsicht über die Ermittlungen habe Holder dann einem anderen Staatsanwalt übertragen und den Zugriff auf die Verbindungsdaten der AP nicht selbst angeordnet.

Jay Carney, Sprecher von US-Präsident Barack Obama, wollte wegen der laufenden strafrechtlichen Ermittlungen keinen Kommentar aus dem weißen Haus abgeben.

Obama sei aber ein Verfechter der Pressefreiheit und glaube daran, dass Journalisten ungehinderten Zugang zu Informationen bekommen müssten. Auf der anderen Seite meine der Präsident aber auch, dass geheime Regierungsinformationen nicht öffentlich gemacht werden dürften. Dies sei wichtig für die nationale Sicherheit und den Schutz der Bürger.

Wie Future Tense gestern schrieb, hat Verizon die Daten ohne weitere Nachfragen rausgerückt. Wie die NY Times am Dienstag berichtete, habe Verizon die Verbindungsdaten von mindestens zwei AP Mitarbeiten weitergegeben, “without any attempt to obtain permission to tell them so the reporters could ask a court to quash the subpoena”. Beim Projekt “Who has your back?” der Electronic Frontier Foundation (EFF), das Unternehmen danach beurteilt ob sie den Datenschutz von Bürgerinnen und Bürgern auch gegen Regierungsbehörden verteidigen, belegt Verizon seit drei Jahren den letzten Platz.

Am Mittwoch wurde dann bekannt, dass die US-Regierung den Whistleblowing-Schutz stärken will, mit einem “Schutzschild für Journalisten”. Das Weiße Haus sei hierfür in Kontakt getreten mit Senator Charles Schumer, der 2009 bereits einen solchen Gesetzentwurf eingebracht hatte, ihn jedoch aufgrund des durch Wikileaks eingeschlagenen schärferen Kurses der US-Regierung gegen Whistleblower wieder zurückziehen musste.

Bürgerrechtsorganisationen begrüßen diesen Schritt zwar, sind jedoch vorsichtig:

Journalism advocacy groups said they welcomed the renewed interest in protecting journalists, though the effectiveness of a shield law would depend on how it is written and how easily the Justice Department could override the protections, citing national-security concerns.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

Während der Entwicklerkonferenz von Google (Google I/O) hat sich gestern das Entwicklerteam von Glass in einem ‘Fireside Chat‘ auch zu Fragen nach Privatsphäre und Datenschutz geäußert. Auf Fragen nach der eingebauten Kamera und wie mit dieser andere Menschen ohne ihr Wissen gefilmt oder fotografiert werden können, antworteten die Entwickler, dass man es merke, wenn man gefilmt werde. Dafür müsse der Glass-Träger jemanden anstarren – “and when someone is staring at you, you have to notice”. Laut The Verge ist das nicht richtig:

The fact is that you can use the headset without looking at someone. Your eyes can be pointed away, or even closed, if that’s what you want to do.

Steve Lee aus dem Entwicklungsteam führte weiter aus, dass zum Fotografieren mit Glass eine Handbewegung oder ein Sprechakt vonnöten ist und das dies ‘sehr deutliche Signale’ für andere Menschen sind. Zudem würde Glass aufleuchten, wenn es aktiv sei:

Our design is to ensure the display is active when Glass is active. That will be part of our GDK and part of our policy, so apps won’t be permitted that don’t do that.

Auch den Datenschutz nehme das Team sehr ernst: “The device won’t easily expose user data” – Vertrauen in Glass und die Zuverlässigkeit der Software seien sehr wichtig.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

Doch das Fazit des Artikels zeichnet auch vom deutschen Rechtssystem kein gutes Bild:

Bei der Strafverfolgung in der Cloud sind derzeit noch mehr Fragen ungeklärt als geklärt. Wann und wo welches Recht gilt, ist bei den grenzüberschreitenden Diensten nicht leicht zu bestimmen.

Dieses liege zu einem Großteil an mittlerweile veralteten Gesetzen. Diese seien noch “aus der Aktenordern-Zeit” und würden in Zeiten der Datensicherung in der Cloud keinen geeigneten rechtlichen Rahmen bieten. Hinzu komme die Schwierigkeit, dass Daten von deutschen Nutzern nicht zwangsläufig auf deutschen Servern gespeichert werden.

Clouddienste operieren über Kontinente hinweg. Welche Daten wo genau liegen und welches Recht für welche Dienste eigentlich gilt, ist häufig noch ungeklärt.

An dieser Stelle ist also sicherlich die Politik gefordert, neue Gesetze zu schaffen. So wie es die EU ja möglicherweise schon vormacht. Doch solange es noch keine neuen Gesetze gibt, sind auch die Nutzer gefordert. Sie sind gefordert zu hinterfragen, welche Daten sie über sich preisgeben können oder auch müssen und welche nur eine Zugabe an geschickte Marketing-Abteilungen ist – in der Cloud wie in sozialen Netzwerken.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

Über die Datenschutzreform, speziell die Verordnung, haben wir hier ausführlich berichtet. Obwohl dieses manchmal abstrakte Paket immense Auswirkungen auf die Rolle von Privatsphäre und Datenschutz in der digitalen Gesellschaft haben wird, ist die öffentliche Aufmerksamkeit bisher eher begrenzt.

Daher hat das EU-Parlament jetzt eine Presse-Offensive zum Thema gestartet: Datenschutz: EU-Parlament möchte Bürgerrechte stärken. In einem Dossier werden Schlüsselthemen des EU-Datenschutz-Pakets aufgelistet.

Heute und morgen findet ein Presse-Seminar statt, in dem ich zusammen mit unserem Autor Benjamin Bergemann sitze. Davon gibt es jetzt einen Video-Livestream (Direktlink), heute noch bis 17:30 und morgen 10 bis 13:30 Uhr.

Gleichzeitig findet ein Barcamp von Aktivist/innen um European Digital Rights (EDRi) statt, um kollektiv Abgeordnete dazu zu ermutigen, sich für ein starkes Datenschutzrecht einzusetzen. Dabei werden unter anderem Postkarten der Aktion NakedCitizens.EU an die Abgeordneten verteilt.

Weitere Hintergründe hat EDRi auf ProtectMyData.EU (für die Verordnung) und PolicingPrivacy.EU (für die Richtlinie) zusammengestellt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

Konkret geht es um das Lesen und Öffnen von Links welche innerhalb des Chats von Skype verschickt werden. Von einem Leser auf das Problem angesprochen, machte heise Security einen Test bei dem eine Vielzahl von https-URLs über den Chat verschickt wurden. Kurze Zeit später seien alle Server von Rechnern aus Redmond besucht worden.

Auf Nachfrage von heise Security was dieses Verhalten zu bedeuten habe, reagierte Skype lediglich mit einer Passage aus seinen Datenschutzrichtlinien:

“Skype nutzt gegebenenfalls innerhalb von Sofortnachrichten und SMS automatisiertes Scannen zur Bestimmung von (a) vermutlichem Spam und/oder (b) URLs, die bereits als Spam-, Betrugs- oder Phishing-Links identifiziert wurden.”

heise Security zweifelt allerdings reine Sicherheitsmaßnahmen seitens Skype an. Einerseits würden Spam- oder Phishing URLs nur selten hinter https-Seiten liegen – und ebenfalls verschickte “normale” http-URLs seien nicht betroffen gewesen. Andererseits wären jeweils nur sogenannte Head-Requests an die Server geschickt worden, welche nur Verwaltungsinformationen der Server abrufen, die Seiten aber nicht auf Spam- oder Phishing-Inhalte überprüfen würden.

Bereits im Januar hatten Bürgerrechtler in einem offenen Brief an Skype und Microsoft in Frage gestellt, wie sicher die Kommunikation über Skype in Zukunft sein werde. Und auch wir berichteten schon über den Wechsel zu offenen Standards zugunsten von Skype.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

Dank verschiedenster Förderungen (u.a. departure oder dem Netidee Award) konnte sich das Team hinter Data Dealer im vergangenen Jahr auf die Entwicklung einer internationalen, d.h. vor allem englischsprachigen, Version konzentrieren. Seit heute ist deshalb auch ein neuer Trailer und eine englischsprachige Demoversion von Data Dealer verfügbar.

Im Laufe der nächsten Wochen ist der Start einer Kickstarter-Kamapagne sowie die Fertigstellung einer Multiplayer-Version geplant. Weitere Hintergründe über das Projekt liefert ein Vortrag von Wolfie Christl, einem der Initiatoren des Projekts, bei der TEDx-Konferenz in Wien Ende letzten Jahres:

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

Wir hatten bereits im Januar über die Bestrebungen des Ministerrats berichtet, die im Kommissionsvorschlag zur Datenschutzverordnung vorgesehenen Strafzahlungen aufzuweichen. Der Ministerrat ist weiterhin auf einem guten Weg, den europäischen Datenschutz zum zahnlosen Tiger zu machen.

Wichtige Richtlinienentscheidung

Absender des öffentlich gewordenen Dokuments ist die irische Ratspräsidentschaft. Datiert ist dieses auf den 24. April 2013. Die Ratspräsidentschaft gibt den derzeitigen Diskussionsstand bestimmter Kernpunkte der geplanten Verordnung wieder und erteilt Umsetzungsrichtlinien an den Ausschuss der Ständigen Vertreter (AstV), in dem dann die Detailverhandlungen stattfinden und die Änderungsvorschläge im Wortlaut entstehen. Das Dokument enthält also entscheidende Weichenstellungen zu zentralen Fragen der Verordnung.

Behandelt werden der Anwendungsbereich der Verordnung, Fragen des Verhältnisses von freier Meinungsäußerung und Datenschutz, die Grundsätze der Datenverarbeitung sowie die Anforderungen an die Zustimmung zur Datenverarbeitung. Besonders bei den beiden letztgenannten Themen zeigt sich, dass die Minister der Mitgliedsstaaten nicht an einer Stärkung des europäischen Datenschutzrechts interessiert sind. Die Grundsätze der Datenverarbeitung und die Anforderungen an die Einwilligung zur Datenverarbeitung sind der Kern der Datenschutzverordnung. Fallen diese schwach aus, wird das ganze Gesetz zur Farce.

Grundsätze der Datenverarbeitung: Datenexzess mit Hintertürchen

Nach welchen Prinzipien sollen Daten erhoben werden? Sie sollen an bestimmte Zwecke gebunden sein, damit für die Nutzerinnen und Nutzer ersichtlich ist, wozu ihre Daten erhoben werden und dem verarbeitenden Unternehmen/Behörde klare Grenzen gesetzt werden. Das findet der Ministerrat auch, macht aber eine folgenreiche Ausnahme: Die Zweckbindung soll nicht für wissenschaftliche, historische oder statistische Zwecke gelten. Statistische Zwecke sind eine breite Ausnahme Hintertür. Die Minister opfern hier unter Umständen (detailliertere Formulierungen könnten das ändern) leichtfertig die Zweckbindung, Kernprinzip deutschen und europäischen Datenschutzrechts.

Im Kommissionsvorschlag zur Datenschutzverordnung taucht explizit das Konzept der Datenminimierung auf. Eine Klarstellung gegenüber der geltenden europäischen Datenschutzrichtlinie von 1995, welche die Kommission wohl nicht umsonst vorgenommen hat. Der Ministerrat findet es nicht wichtig, dass bei der Nutzung von Diensten nur die Daten erhoben werden, die wirklich benötigt werden und diese nur so lange aufbewahrt werden, wie nötig. Aus der Formulierung der Kommission „adequate, relevant, and limited to the minimum necessary“ machen die Minister „adequate, relevant, and not excessive “. Kleines Experiment: Geht auf eine Party und trinkt so wenig wie nötig. Geht noch mal auf eine Party und trinkt lediglich „nicht exzessiv“. Mark Zuckerberg geht schon mal Aspirin kaufen.

Zustimmung zur Datenverarbeitung: Datenschutzexpertise ignoriert

Kern des Reformvorschlags ist die ausdrückliche Einwilligung der Nutzerinnen und Nutzer in die Datenverarbeitung. Die Kommission reagiert damit auf die Unzulänglichkeiten der Zustimmungsbedingungen in der 1995er-Richtlinie, wie sie auch die Artikel-29-Datenschutzgruppe, in ihrem ausführlichen Bericht zum Thema Zustimmung fordert. In einem weiteren Diskussionspapier zur Datenschutzverordnung werden die europäischen Datenschützer noch deutlicher:

The Working Party is of the opinion that the inclusion of the word “explicit” is an important clarification in the text, which is necessary to truly enable data subjects to exercise their rights, especially on the Internet where there is now too much improper use of consent. It would be highly undesirable should this important clarification be deleted from the text.

Und was machen unsere Innen- und Justizminister? Das Wörtchen „explicit“ streichen und gegen die schwächere Formulierung „unambiguous“ ersetzen. Der Ministerrat ignoriert damit mindestens zwei Jahrzehnte Datenschutzdiskussion und konterkariert das Vorhaben, endlich einen zeitgemäßen Datenschutz zu entwerfen. Statt einem klaren „Ja, verarbeite meine Daten“ der Nutzerinnen und Nutzer, will es der Ministerrat weiterhin ermöglichen, die Zustimmung zur Datennutzung in den Geschäftsbedingungen zu verstecken, vorausgewählte Checkboxen anzubieten, oder gar durch die Nutzung eines Dienstes automatisch zuzustimmen.

Das Argument der Minister (wie auch der Industrie): Allumfassende ausdrückliche Einwilligung im Internet sei „unrealistisch“ und führe zu „Klickermattung“. Was sie ignorieren: Es stünden Hilfsmittel bereit, die dem vorbeugen: Die Do Not Track-Funktion des Browser könnte ausdrücklich signalisieren, ob ich trackingbasierte Werbung sehen möchte oder nicht. Datenschutzbestimmungen lassen sich visualisieren und können lange Texte ersetzen.

Mit Friedrichs Hilfe auf dem Weg zum zahnlosen Tiger

Der Ministerrat ist dabei, tragenden Säulen der geplanten Datenschutzverordnung einzureißen. Die industriefreundlichen Gesetzesempfehlungen ähneln den gefährlichen Lobbyänderungsanträgen, die auch im Europäischen Parlament zur Abstimmung gebracht werden. Von einer Verbesserung der geltenden Datenschutzrichtlinie, die das eigentliche Ziel der Reform ist, kann nicht mehr die Rede sein. Viel mehr steht ein Rückschritt hinter das 1995er-Niveau bevor, wenn bürgerrechtliche Bedenken in beiden Institutionen kein Gehör finden.

Unser für die Datenschutzreform zuständiger Innenminister Hans-Peter Friedrich (CSU) hat nach dem offiziellen Scheitern der Verhandlungen zu einem „Verhaltenskodex Sozialer Netzwerke“ angekündigt:

Die Unternehmen haben eine Chance vertan, ihrer Verantwortung für mehr Transparenz bei der Datenverarbeitung und für nutzerfreundlichere Regeln gerecht zu werden. Wir werden jetzt auf europäischer Ebene die erforderlichen Vorgaben machen.

Dies ist nun schon die dritte Ankündigung dieser Art in kürzester Zeit. Solange die konkreten Positionen des Ministerrats Verschlusssache sind, ist es für Friedrich leicht, sich als Retter des europäischen Datenschutzes zu gebärden. Die tröpfchenweise bekannt werdenden Fakten zeigen eine andere Wahrheit: Der Ministerrat arbeitet an der Absenkung des Datenschutzniveaus. Deutschland macht mit und belügt sich selbst: Der nach außen hochgelobte deutsche Datenschutz wird von der Unionsfraktion über die europäische Bande abgesägt. Das gilt für Rat und Parlament.

Die Abstimmungen über die Änderungsanträge zum Kommissionsvorschlag in beiden Institutionen stehen bevor. Der federführende Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) hat aufgrund der Vielzahl der Änderungsanträge, die für Ende Mai anvisierte Abstimmung noch einmal verschoben. Laut Parlaments-Berichterstatter Jan Philipp Albrecht (Grüne), wollen beide Institutionen noch vor der Sommerpause abstimmen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

Gestern Abend fand eine Veranstaltung Digitale Quellen: Wer schützt die (Presse-)Freiheit im Internet? von Reporter ohne Grenzen, dem Bundesver­band Deut­scher Zeitungsverleger und dem Deutschen Jour­nalisten-Verband statt:

Der Quellenschutz ist ein ehernes Prinzip der freien Presse. Doch im digitalen Zeitalter reicht es nicht mehr aus, vertrauliche Papiere sicher zu verwahren und über die Identität von Informanten Stillschweigen zu wahren. Längst erschöpfen sich die Möglichkeiten übereifriger Ermittler oder Geheimdienste nicht mehr darin, Redaktionsräume zu durchsuchen oder Journalisten in Beugehaft zu nehmen. Denn Informationen über deren Quellen finden sie auch anderswo: auf Computerfestplatten und Handys oder in der Datenspur, die Rechercheure im Internet hinterlassen.

Bei der Vorbereitung dazu erfuhr der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar, dass der Quellenschutz nicht für Daten bei Online-Diensten gilt. Gegenüber Daniel Bouhs von der taz sagte Schaar:

Der Quellenschutz, wie er bei uns in der Strafprozessordnung vorgesehen ist, umfasst nur diejenigen Materialien, die sich in Gewahrsam des Journalisten oder der Redaktion befinden. Wenn die Daten ausgelagert sind auf die Cloud ins Internet, dann ist dieser Schutz nicht gegeben. Das heißt, die Daten dürften gegebenenfalls auch von Strafverfolgungsbehörden beschlagnahmt werden.

Zählt eigentlich irgendjemand mit, wie oft berichtet wird, dass “die Cloud” unsicher ist und Daten dort keineswegs privat sind?

Für alle sensiblen Daten sollte gelten: Die gehören nicht auf Speicher, deren Hardware nicht unter der eigenen Kontrolle ist. Diese Erkenntnis wünscht sich Schaar auch von Journalisten. Zudem fordert er einen “gesetzlichen Schutz” auf EU-Ebene.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

Wie in den letzten Jahren hat die Electronic Frontier Foundation wieder AGBs, Datenschutz-Bestimmungen, öffentliche Aussagen und Gerichtsdokumente von Internet-Unternehmen verglichen, um diese zu ermutigen, die Privatsphäre ihrer User ernst zu nehmen. Die vollständigen Ergebnisse gibt’s auf ihrer Seite oder als PDF. Hier die Übersicht:

	Fordert richterliche Anordnung für Inhalte	Informiert Nutzer über staatliche Anfragen	Öffentlicher Transparenz-Bericht	Öffentliche Richtlinien für Behörden	Verteidigt Nutzer vor Gericht	Verteidigt Nutzer im Kongress

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

There is broad consensus on the need for more threat-related information sharing — including among the leading privacy advocates we regularly engage on the issue. The essential question on which people across the spectrum disagree isn’t if we can share cybersecurity information and preserve the principles of privacy and liberty that make the United States a free and open society — but how.

In der Antwort des Weißen Hauses heißt es weiter, dass drei Prinzipien bei jedem Gesetz zum Teilen von Informationen berücksichtigt werden müssten: Der Schutz von Privatsphäre und Bürgerrechten muss gewährleistet sein, es muss sichergestellt werden, dass eine zivile Behörde – und kein Geheimdienst – die primäre Anlaufstelle für Cybersecurity und den Austausch von Informationen ist, und zuletzt muss es Bürgerinnen und Bürgern möglich sein, gegen solche Organisationen, die ihre Daten unsachgemäß teilen, vorzugehen.

Letzte Woche erst hatten Mitglieder des Ausschusses für Handel, Wissenschaft und Transport gesagt, dass CISPA wahrscheinlich im Senat versanden wird, wie auch letztes Jahr. Würde der Senat CISPA zustimmen, müsste der Präsident es noch unterzeichnen. Mit der Antwort auf die Petition hat das Weiße Haus jedoch ziemlich klar gemacht, welche Art von Gesetz es unterstützen wird. Es wird sich zeigen, wie der Senat darauf reagiert.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

Heute hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar seinen 24. Tätigkeitsbericht 2011 – 2012 veröffentlicht. Aus der Pressemitteilung:

Der Tätigkeitsbericht zeigt anhand vieler Beispiele, wie die Bedeutung datenschutz-rechtlicher Fragen in nahezu allen Bereichen unseres Lebens zunimmt. Nicht nur jüngere Menschen können sich ein Leben ohne Smartphone und Internet nicht mehr vorstellen. In vielen Alltagsgegenständen – vom Auto über den Stromzähler bis zum Fernseher – erleichtern Computerchips unser Leben, zugleich erfassen sie aber auch Daten über das Verhalten der Nutzer. Zeitgemäße Regelungen zum Umgang mit der Informationstechnik sind deshalb dringlicher denn je.

Verglichen mit diesen Herausforderungen sind die politischen und rechtlichen Fortschritte beim Datenschutz sehr bescheiden. Die von der Bundesregierung für diese Legislaturperiode angekündigten Verbesserungen sind leider nur ansatzweise realisiert worden:

• Das Beschäftigtendatenschutzgesetz ist in diesem Frühjahr nach Kritik end-gültig ad acta gelegt worden. Beschäftigte bleiben damit weiterhin ohne angemessenen gesetzlichen Schutz gegen die Bespitzelung am Arbeitsplatz.
• Die Modernisierung des deutschen Datenschutzrechts wurde unter Berufung auf die Diskussion auf europäischer Ebene nicht weiter betrieben. Dabei werden die neuen europäischen Regelungen frühestens 2015 in Kraft treten.
• Eine umfassende unabhängige Evaluation der Sicherheitsgesetze hat nicht stattgefunden. Trotzdem wurden die Sicherheitsbehörden im Berichtszeitraum mit zusätzlichen Befugnissen und Dateien ausgestattet.
• Das 2010 angekündigte Rote-Linien-Gesetz zur Begrenzung der Datenerhebung und Profilbildung im Internet hat die Bundesregierung nicht weiter verfolgt. Stattdessen setzt sie nun offenbar alle Hoffnung in die Selbstregulierung der Wirtschaft.
• Die Stiftung Datenschutz, die in diesem Jahr ihre Arbeit aufnehmen soll, ist hinsichtlich ihrer Gremienbesetzung sehr wirtschaftslastig. Der ihr zur Verfügung stehende Finanzrahmen ist so knapp bemessen, dass sie auf Zuschüsse von Unternehmen angewiesen ist. Es stellt sich die Frage, wie sie ihre Aufgaben unter diesen Bedingungen mit der gebotenen Unabhängigkeit wahrnehmen soll.

Der komplette Bericht ist 266 Seiten stark und als PDF erhältlich.

Weitere Themen fasst ebenfalls die Pressemitteilung zusammen:

Google, Facebook und Co.

Internetunternehmen mit Hauptsitz in den USA sammeln weiterhin umfangreiche Daten in Deutschland und Europa, teilweise unter Verstoß gegen das hiesige Datenschutzrecht. Die Datenschutzbehörden mehrerer europäischer Mitgliedstaaten arbeiten in einer gemeinsamen Initiative zusammen, die Verstöße der Firma Google gegen europäische Datenschutzbestimmungen zu ahnden. Zwar hat eine Prüfung des Angebots der Firma Facebook durch die irische Datenschutzbehörde zu einigen Verbesserungen geführt (etwa Abschalten der Gesichtserkennung für alle Nutzerinnen und Nutzer aus den europäischen Mitgliedstaaten) – trotzdem bleiben viele datenschutz-rechtliche Fragen unbeantwortet.

Befugnisse der Sicherheitsbehörden

Der Beauftragte sieht es kritisch, dass die Sicherheitsbehörden auch in dieser Berichtsperiode mit zusätzlichen Befugnissen und Instrumenten ausgestattet wurden, ehe die Aufarbeitung der Ursachen und Fehlentwicklungen abgeschlossen war.

Antiterrordatei

Bereits im Gesetzgebungsverfahren zum Antiterrordateigesetz hat sich der Beauftragte für strengere Datenschutzregelungen eingesetzt, insbesondere zum Schutz unbescholtener („Kontakt“-)Personen. Auf Grund verteilter behördlicher Zuständigkeiten für die Antiterrordatei stoßen datenschutzrechtliche Prüfungen auf erhebliche Schwierig-weiten.

Staatstrojaner

Bei der Quellen-Telekommunikationsüberwachung wurden Mängel bezüglich der technischen Absicherung der Maßnahmen und der Löschungsmechanismen für Erkenntnisse aus dem sogenannten Kernbereich privater Lebensgestaltung festgestellt. Für den Einsatz der Quellen-Telekommunikationsüberwachung zu Zwecken der Strafverfolgung bestehen keine gesetzlichen Befugnisse.

Vorratsdatenspeicherung

Forderungen nach einer Wiedereinführung der durch das Bundesverfassungsgericht gestoppten flächendeckenden und verdachtsunabhängigen Vorratsdatenspeicherung von Telekommunikationsdaten steht der Beauftragte weiterhin kritisch gegenüber. Die Bundesregierung sollte sich für eine Rücknahme der europäischen Richtlinie zur Vorratsdatenspeicherung einsetzen.

Speicherung von Fluggastdaten in der Europäischen Union

Die vorgesehene anlasslose, mehrjährige Vorratsspeicherung von Daten aller Flugpassagiere ist ein weiterer großer Schritt zur lückenlosen Überwachung alltäglichen Verhaltens. Die Befürworter bleiben den Nachweis schuldig, dass sich mit dem System terroristische Anschläge wirksam bekämpfen lassen. Der Bundesbeauftragte hält das Vorhaben deshalb für unverhältnismäßig und hofft, dass das Europäische Parlament den Richtlinien-Vorschlag der Europäischen Kommission stoppt.

Videoüberwachung in der Bundesverwaltung

Eine schriftliche Abfrage hat zahlreiche Mängel beim Einsatz der über 17.500 Videokameras durch 615 öffentliche Stellen des Bundes zur Sicherung der Liegenschaften und zur Zugangskontrolle ergeben. Vielfach fehlte jeder Hinweis auf die Videoüberwachung. In vielen Fällen wurden die Bilddaten viel zu lange gespeichert. Eine Orientierungshilfe soll die öffentlichen Stellen des Bundes nun über den datenschutzkonformen Einsatz der Videotechnik informieren.

Intelligente Stromzähler

Intelligente Energienetze und -zähler sind aufgrund ihrer technischen Möglichkeiten eine Herausforderung für den Datenschutz. Es dürfen keine Rückschlüsse auf das Verhalten der Energienutzer gezogen werden; den gläsernen Verbraucher darf es nicht geben. Die gesetzlichen Vorgaben zum Datenschutz bei intelligenten Stromzählern bedürfen noch der Konkretisierung durch eine Verordnung.

Melderecht

Meldedaten dürfen nach Inkrafttreten des neuen Melderechts von den Meldebehörden zu Zwecken der Werbung oder des Adresshandels nur noch mit Einwilligung des Meldepflichtigen weitergegeben werden. Die Datenschutzbeauftragten von Bund und Ländern haben durch ihre Initiative dazu beigetragen. Im Vorfeld war es dem Bundesbeauftragten zudem gelungen, ein zentrales Bundesmelderegister zu verhindern. Weitere Forderungen zur Stärkung der Betroffenenrechte wurden im Gesetzgebungsverfahren nicht berücksichtigt.

Aufsicht über die Jobcenter als gemeinsame Einrichtungen

Seit dem 1. Januar 2011 ist der Bundesbeauftragte zuständig für die Datenschutzkontrolle bei den Jobcentern. Mit dem Ziel das Datenschutzniveau bei diesen Stellen zu verbessern, begleiten die Beschäftigten des Beauftragten Arbeitskreise, Netzwerke und Dienstbesprechungen der Geschäftsführer oder behördlichen Datenschutzbeauftragten der Jobcenter. Ebenso wichtig sind Eingaben von Bürgerinnen und Bürgern, die dem Beauftragten die Möglichkeit geben, auf individuelle oder strukturelle Probleme hinzuweisen.

Unabhängigkeit der Datenschutzbehörden

Leider hat die Bundesregierung es bisher versäumt, Änderungen im Bundesdatenschutzgesetz zur Unabhängigkeit des Bundesbeauftragten auf den Weg zu bringen. Diese waren nach einer Verurteilung Deutschlands wegen mangelnder Unabhängigkeit der Datenschutzaufsichtsbehörden der Länder durch den Gerichtshof der Europäischen Union im Jahr 2010 erforderlich geworden. Im letzten Jahr hat der Gerichtshof der Europäischen Union in einem weiteren Urteil die mit dem Bundesbeauftragten vergleichbare Rechtsstellung der österreichischen Datenschutzkommission beanstandet. Es ist zu hoffen, dass der deutsche Gesetzgeber nun endlich tätig wird.Google, Facebook und Co.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

Was ist die Antiterrordatei?

Bei der Antiterrordatei handelt es sich um eine Verbunddatei, die von den verschiedenen Sicherheitsbehörden mit Grunddaten wie “Familienname, die Vornamen, frühere Namen, andere Namen, Aliaspersonalien, abweichende Namensschreibweisen, das Geschlecht, das Geburtsdatum, der Geburtsort, der Geburtsstaat, aktuelle und frühere Staatsangehörigkeiten, gegenwärtige und frühere Anschriften, besondere körperliche Merkmale, Sprachen, Dialekte, Lichtbilder” gefüttert wird. Betroffene Personen sind solche, die Bezüge zu einer terroristischen Vereinigung aufweisen oder einer Gruppierung, die diese unterstützt, angehören oder diese unterstützen. Weiterhin solche, die rechtswidrig Gewalt zur Durchsetzung international ausgerichteter politischer/ religiöser Belange anwenden oder eine solche Gewaltanwendung unterstützen, befürworten oder vorsätzlich hervorrufen – sowie Kontaktpersonen, die wie oben genannt, in irgendeiner Weise Kontakt zu den Verdächtigen haben oder hatten.

Was wurde kritisiert?

Die Beschreibung derjenigen Personen, die im Rahmen der Terrorismusbekämpfung in den Datenpool der Behörden aufgenommen werden, ist dehnbar. Der Bundesbeauftragte für Datenschutz, Peter Schaar, warnte, dass bei dünner Faktenlage die Gefahr besteht, im Zweifel eher zu speichern. Zu den gespeicherten Grunddaten kommen laut Gesetz die sogenannten erweiterten Grunddaten hinzu: Dabei handelt es sich um Telekommunikationsanschlüsse und -endgeräte, Bankverbindungen, Volkszugehörigkeit, Religionszugehörigkeit, relevante Fähigkeiten, Ausbildung und Beruf, Tätigkeiten in wichtigen Infrastruktureinrichtungen, Gefährlichkeit, Waffenbesitz und Gewaltbereitschaft, Fahr- und Flugerlaubnisse, sowie besuchte Orte oder Gebiete. Das Bundesverfassungsgericht urteilte nun nicht nur, dass die Daten von Kontaktpersonen nicht ausgelesen werden dürfen, sondern auch, dass die Kriterien, die bestimmen wann jemand in der Datei landet, klarer gefasst werden müssen.

Circa 17.000 Datensätze befinden sich derzeit in der Verbunddatei, über eine Aufnahme wird niemand informiert. Menschen, die sich in der Umgebung der eigentlich verdächtigen Personen befinden oder Kontaktpersonen sein könnten, werden, wenn “tatsächliche Anhaltspunkte” vorliegen, dass sie von den Plänen der Verdächtigen Kenntnis haben, ebenfalls mit den erweiterten Grunddaten in die Antiterrordatei aufgenommen. Wie diese Anhaltspunkte aussehen, wird im Gesetzestext bisher nicht beschrieben. Verzeichnete Personen sind jedoch stigmatisiert und können sich, falls sie je davon erfahren, nicht so leicht aus der Datei löschen lassen. Es gibt zwar einen Paragraphen zur Berichtigung, Löschung und Sperrung von Daten, jedoch stellt sich die Frage, wie diejenigen Daten gelöscht werden sollen, die im Umlauf sind und auf die andere Behörden bereits gespeichert und verknüpft haben. Zudem müsste der Betroffene vorerst herausfinden, welche Behörde die Daten überhaupt eingetragen hat. Kritisiert wurde weiterhin, dass hierdurch das Recht auf informationelle Selbstbestimmung beschnitten wird und die Landesdatenschutzbeauftragten nur in einem sehr begrenzten Rahmen den Umgang mit den Daten kontrollieren können und dürfen.

Die Software, die von den meisten deutschen Polizei- und Geheimdienstbehörden verwendet wird, rsCase, ist ebenfalls problematisch: Der Anbieter rola wirbt mit dieser Software folgendermaßen:

Unterstützen Sie mit rsCASE ® den gesamten „Intelligence Circle“: von der Aufnahme relevanter Informationen und der Zusammenführung in einem Informationsraum über die Datenaufbereitung und das Verknüpfen mit bereits vorhandenem Wissen bis hin zur Analyse und Auswertung sowie der Präsentation der Ergebnisse – dies alles in einem System, aber vernetzt mit anderen. Nach dem Prinzip: Einmal erfassung – Mehrfachnutzung.

Das bedeutet, es handelt sich um integrierte Fahndungssysteme, in die allerlei Daten eingespeist und durch die Anfragen generiert werden können. Durch Schnittstellen in alle relevanten Verbunddateien zusätzlich zur Antiterrordatei ist es ein leichtes, Anfragen an die bereits vorhandenen Datenbanken und Verbunddaten zu senden und deren Daten in die Antiterrordatei aufzunehmen. Die aus rechtlichen Gründen fragmentierte Dateienlandschaft könne so effektiv am Arbeitsplatz zusammengeführt werden. Einerseits geht sie damit über ihre eigentliche Indexfunktion hinaus. Andererseits würde sie dies umso anfälliger für technische Angriffe und umso attraktiver für die Angreifer machen. Zudem konnten bislang Fragen nach den Backups des zentralen Datenbankservers beim BKA, der auch die verdeckt eingegeben Daten der Geheimdienste enthält, nicht ausreichend geklärt werden.

Trennungsgebot

Ein weiterer, großer Kritikpunkt bezieht sich auf das Gebot der Trennung von Polizei und Nachrichtendiensten. Hiergegen werde verstoßen, “indem auch die beteiligten Polizeibehörden Zugriff auf die von den Nachrichtendiensten in die Antiterrordatei eingestellten Daten hätten. [...] Es drohe eine uferlose Ausweitung der polizeilichen Ermittlungsmöglichkeiten.” Die Bundesregierung kommentiert dazu in der Antwort auf eine kleine Anfrage:

Die Bundesregierung sieht im Trennungsgebot von Polizei und Nachrichtendiensten keine Schranke für eine effektive Bekämpfung des Terrorismus; Trennungsgebot und eine effektive Terrorismusbekämpfung bilden keinen Gegensatz

Sowie:

Danach besteht eine funktionale, organisatorische und kompetenzielle Trennung zwischen der Polizei und den Diensten, die unterschiedliche Aufgaben wahrzunehmen haben, organisatorisch getrennt sein müssen und unterschiedliche Befugnisse gegenüber dem Bürger haben. Das Trennungsgebot schließt hingegen nicht aus, dass Polizei und Dienste zusammenarbeiten und Informationen austauschen.

Constanze Kurz vom Chaos Computer Club war Sachverständige im Verfahren um die Antiterrordatei. Sie und Frank Rieger, der ebenfalls bei der Anhörung des Bundesverfassungsgerichts anwesend war, hielten auf dem Chaos Communication Congress, 29c3, einen Vortrag zur Antiterrordatei und ihren Kritikpunkten daran. Sie thematisieren das Gebot der Trennung nochmal detaillierter sowie zusätzlich die Übermittlung der Daten an ausländische Sicherheitsheitsbehörden, die Unbestimmtheit des Terrorbegriffs sowie viele weitere Punkte.

Dieser Artikel ist, ohne die Information zum aktuellen Urteil, so bereits auf dem Sicherheitspolitik-Blog erschienen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.