Datenschutz
-
: Einigung über EU-Datenschutz-Grundverordnung: Reaktionen aus Politik, Verbänden und der Presse (Update)
Die Verhandsführer*innen nach dem letzten Trilogtreffen zur EU-Datenschutzreform - via Twitter/<a href="https://twitter.com/JanAlbrecht/status/676883353132511232">JanAlbrecht</a> : Einigung über EU-Datenschutz-Grundverordnung: Reaktionen aus Politik, Verbänden und der Presse (Update) Gestern Abend haben sich die Verhandlungsführer*innen des Europäischen Parlaments, der EU-Kommission und des Ministerrates über den genauen Wortlaut der EU-Datenschutz-Grundverordnung geeinigt (Finaler Entwurf). Vorraussichtlich Anfang nächsten Jahres wird über den Entwurf im Europäischen Parlament und im Ministerrat abgestimmt; zwei Jahre später soll die Verordnung dann in Kraft treten.
Über vier Jahre sind vergangen, seit die damalige EU-Kommissarin Viviane Reding einen Vorschlag für eine neue Datenschutz-Verordnung der Öffentlichkeit vorstellte und damit jahrelange Diskussionen innerhalb der EU-Institutionen über ein zeitgemäßes und vereinheitlichtes Datenschutzrecht in den Mitgliedstaaten der EU anstieß. Die bisherigen Regeln stammen aus dem Jahr 1995. Wir haben die Debatten in den letzten Jahren intensiv verfolgt, eine Zusammenfassung gab es zuletzt im Rahmen unseres #netzrückblicks hier.
Wir werden uns den Entwurf genau anschauen und auch demnächst kommentieren. Zunächst gibt es hier eine Sammlung von Presseartikeln und Reaktionen von beteiligten Politiker*innen und Verbänden. Im Laufe des Tages wird es Aktualisierungen geben, wir freuen uns aber auch über Hinweise in den Kommentaren oder bei Twitter.
Reaktionen aus dem EU-Umfeld
European Digital Rights (EDRi) – Lacking ambition but saving the basics
Faced with possibly the world’s biggest ever lobbying onslaught, this agreement appears to have saved the essential elements of data protection in Europe. Sadly, there is little left of the initial ambition of the proposals
The European Consumer Organisation (BEUC) – EU data protection law gets much needed update
National data protection bodies will have a key role in making this regulation work for consumers. Vague formulations require further clarification. Businesses might try to misuse broad concepts such as “legitimate interest” to process data without consumer consent. The strength of this new law will hinge on how supervisors do their job and force business to abide by the rules
DigitalEurope (Industrieverband) – Agreement falls short of the stated aim (pdf)
While we acknowledge that the instrument may bring greater consistency to the varied interpretations of data protection laws across Europe, the result fails to strike the proper balance between protecting citizens’ fundamental rights to privacy and the ability for businesses in Europe to become more competitive. We fear that the text agreed upon […] will undermine the ability of businesses in Europe to invest, innovate and create jobs.
Reaktionen aus Deutschland
https://twitter.com/HeikoMaas/status/677062579081056256
https://twitter.com/vzbv/status/677082702701555712EAID – Peter Schaar kommentiert: „Nach der Reform beginnt die Arbeit“
Das häufig beschworene „hohe deutsche Datenschutzniveau“ blieb hier also reine Theorie. In Zukunft gilt aber: Jedes Unternehmen, das in Europa Geschäfte macht, muss sich an die einheitlichen europäischen Datenschutzregeln halten. Das ist ein echter Fortschritt, auch wenn die gemeinsamen europäischen Regeln in bestimmten Bereichen hinter dem nationalen Recht zurückbleiben. Zudem gibt es andere Bereiche – etwa das Melderecht – in denen die neue EU-Regelung strenger ist als der deutsche Gesetzgeber.
Bitkom – Begrüßt einheitliche Regelung, kritisiert Praxisferne
Allerdings bleibt die Verordnung weit hinter dem Anspruch zurück, ein modernes Datenschutzrecht für die digitale Welt zu schaffen. Stattdessen werden viele Regelungen für Unternehmen und Internetnutzer zu mehr Rechtsunsicherheit und zu mehr bürokratischem Aufwand führen.
Patrick Breyer (Piratenpartei, MdL Schleswig Holstein) – EU-Datenschutzreform bedeutet weniger Schutz vor Überwachung und Datensammlung
So wird das bisherige deutsche Verbot einer Protokollierung unseres Surfverhaltens im Netz durch Internet- und Medienkonzerne aufgegeben. Die offene Videoüberwachung von Büros soll weitreichend erlaubt werden – bisher war das in Deutschland nur in engen Grenzen als letztes Mittel zulässig. Außerdem soll gegen die Erstellung von Verbraucherprofilen nur ein Widerspruchsrecht bestehen. Die Piratenpartei fordert stattdessen, dass die Betroffenen in eine derartige Erstellung von Verbraucherprofilen einwilligen müssen.
Prof. Dr. Dieter Kugelmann (Landesdatenschutzbeauftragter Rheinland-Pfalz) kommentiert: „Stärkere Bürgerrechte in der digitalen Welt!“
lles in allem stellt der nach langen Anstrengungen erzielte Kompromiss einen erfolgreichen Kraftakt der EU dar, die damit Handlungsfähigkeit zu Gunsten von Einzelnem und Wirtschaft beweist. Nun liegt der Ball im Feld der einzelnen Staaten, um die neuen Regelungen mit Leben zu erfüllen.
Deutschsprachige Artikel und Kommentare in der Presse
FAZ – EU verschärft Datenschutzstandards im Internet
Die europäischen Verbraucher bekommen damit – vor allem im Internet – mehr Kontrolle über ihre persönlichen Daten. Internetkonzerne wie Google, Facebook oder Amazon müssen die Zustimmung der Nutzer ausdrücklich einholen, wenn sie deren Daten nutzen wollen.
Golem – Friedhelm Greis kommentiert „Ein guter Tag für die Nutzer“
Wichtig ist vor allem, dass es nun einheitliche und einigermaßen klare Regeln für die Datenverarbeitung in ganz Europa gibt. Sicherlich wird es noch einige Zeit dauern, bis dieser Gesetzestext von den Gerichten und Aufsichtsbehörden genauer ausgelegt wird. Schon jetzt ist abzusehen, dass es in vielen Fällen im Ermessen der Unternehmen und öffentlichen Stellen liegt, ob und in welchem Umfang Nutzerdaten verarbeitet werden können.
Tagesschau.de – Gleiches Recht für alle
Deutschlandfunk – Einheitlicher Datenschutz aus Brüssel
Heise – EU-Datenschutzreform: Maas lobt großen Fortschritt, IT-Wirtschaft ist skeptisch
Heise II – Nikolaus Forgó kommentiert:„Nach dem Spiel ist vor dem Spiel“
Legal Tribune Online – Niko Härting kommentiert: „Datenschutzgrundverordnung als Instrument der Bevormundung“
Folgt man dem Text der DSGVO, ist es für den Bürger in vielen Konstellationen nämlich an der Grenze der Unmöglichkeit, seine Daten selbstbestimmt preiszugeben. Ob und wann er wirklich will, was er zu wollen erklärt hat, das weiß er nicht selbst, sondern der Staat im freundlichen Gewand der Datenschutzaufsicht.
Tagesspiegel – Anna Sauerbrey kommentiert: „Schluss mit der Selbstgeißelung“
Doch in den vergangenen Jahren haben Gerichte, Aktivisten und Gesetzgeber Stück für Stück Recht wiederhergestellt oder neu interpretiert, um das Digitale zu fassen. Das Google-Urteil etabliert ein Recht auf Vergessen, der Jurist Max Schrems zog erfolgreich gegen Facebook zu Gericht. Das sah oft kleinlich und nach Ideen-Mörderei aus. Doch es ist nichts weniger als politische Selbstbehauptung. Die Datenschutzreform steht in dieser Reihe, sie verteidigt Standards, indem sie sie reformiert.
Englischsprachige Artikel und Kommentare in der Presse
Politico – EU strikes deal on data protection rules
Marking the biggest changes to privacy laws in the European Union in two decades, negotiators agreed on data protection rules Tuesday night that will give consumers more muscle and threaten companies with hefty fines.
New York Times – Europe Approves Tough New Data Protection Rules
The tough stance on privacy has often put the European Union at odds with large American tech companies like Google and Facebook, which collect and mine data from social media posts and online search results as part of their digital advertising activity.
-
: #netzrückblick: Kommerzielle Überwachung 2015 – Digitales Tracking, Echtzeit-Datenhandel und Scoring-Gesellschaft
campact via <a href="https://www.flickr.com/photos/campact/20015040089/">flickr</a> (<a href="https://creativecommons.org/licenses/by-nc/2.0/">CC BY-NC 2.0</a>) : #netzrückblick: Kommerzielle Überwachung 2015 – Digitales Tracking, Echtzeit-Datenhandel und Scoring-Gesellschaft Datenhandelsfirmen verfolgen uns zunehmend geräteübergreifend und verknüpfen unser Online-Verhalten mit Kundendaten von Unternehmen aus allen Wirtschaftsbereichen, sagt der Netzaktivist Wolfie Christl im Interview. Nicht nur Plattformen wie Facebook stehen für die Informationsreichtümer, die Unternehmen über ihre Nutzer und weit darüber hinaus sammeln. Damit beschäftigte sich die vor genau einem Jahr erschienene Studie zu „kommerzieller digitaler Überwachung“ aus Wien. Wir haben mit dem Studienautor Wolfie Christl über den Aufstieg der Datenhandelsplattformen, Schein-Anonymisierung, Scoring-Gesellschaft, dystopische Überwachungspläne in China und Big Data am Arbeitsplatz gesprochen – und ihn gefragt, welche Bilanz er zum Jahresende 2015 zieht.
Statt eines Jahresrückblicks in Buchform gibt es dieses Jahr jeden Tag im Dezember einen Artikel als Rückblick auf die netzpolitischen Ereignisse des Jahres. Das ist der neunte Beitrag in dieser Reihe.
Der Platzhirsch gab die Richtung vor
Das Informations- und Werbenetzwerk Facebook hatte zu Beginn des Jahres eine neue Datenschutzrichtlinie eingeführt, um sich das Sammeln von Daten, das Verfolgen jedes einzelnen Mausklicks und auch das Beobachten von Usern außerhalb der Plattform absegnen zu lassen. So ganz ging dieser Plan allerdings noch nicht auf: Der Verbraucherzentrale Bundesverband nahm die Herausforderung an und klagt nun gegen Facebook – 2016 könnte es zur Verhandlung vor dem Landgericht Berlin kommen.
Daneben waren 2015 noch weitere Auswüchse der kommerziellen Überwachung und Verarbeitung von Kundendaten Thema bei netzpolitik.org: Smarte Fernseher und andere Haushaltsgeräte wurden vorgestellt, kritisiert und gehackt. Für Aufsehen sorgte auch die Meldung, dass ein Antivirenhersteller künftig Nutzerdaten weiterverkauft. Doch tritt man einen Schritt zurück, wird schnell deutlich, dass es sich bei diesen Meldungen um Fälle handelt, die exemplarisch für einen allgemeinen Trend stehen.
Wir haben mit Wolfie Christl versucht, diese Entwicklungen einzuordnen, um ein Bild davon zu gewinnen, was Unternehmen mit ihren und unseren Daten machen.
Wolfie Christl ist Netzaktivist, Entwickler und Leiter von Cracked Labs in Wien. 2013 hat er das Datenschutz-Spiel „Data Dealer“ initiiert und erfolgreich crowd-finanziert, außerdem ist er Autor der Studie „Kommerzielle digitale Überwachung im Alltag“. Im Mai sprach er bereits auf der re:publica zum Thema „Corporate Surveillance in the Age of Digital Tracking, Big Data & Internet of Things“.
„Hinter den Kulissen tobt ein veritabler Krieg um unsere Daten.“
2015 wurde in Deutschland viel über staatliche Überwachung und die Ausspähaktionen von Geheimdiensten weltweit diskutiert. Welche Entwicklungen und Neuerungen haben wir auf dem Feld der privaten und kommerziellen Überwachung übersehen oder zu wenig beachtet?
Wolfie Christl: Einerseits gab es punktuell immer wieder diese aufmerksamkeitsstarken Geschichten – etwa über Kinderpuppen oder Smart TVs, die unsere Gespräche belauschen und an Dritte übertragen. Auch wenn gerade letzteres besonders schön an die Televisoren aus Orwell’s Roman 1984 erinnert – griffige Stories wie diese kratzen natürlich nur an der Oberfläche. Viele entscheidende Dinge passieren auf einer viel weniger alltäglich fassbaren, technischen Ebene.
Für völlig unterbelichtet halte ich die Entwicklungen rund um Cross-Device-Tracking. Immer mehr Unternehmen arbeiten daran, die NutzerInnen geräteübergreifend und in möglichst jeder Situation als die gleichen Personen wiederzuerkennen – unabhängig davon ob sie einen Computer zu Hause, am Arbeitsplatz, ihr Smartphone oder andere Geräte benutzen. Dabei kommt ein ganzes Arsenal an Technologien zum Einsatz, Cookies funktionieren ja nur im Browser.
Eine wichtige Rolle spielen die User-Accounts auf den großen Plattformen wie Facebook oder Google. Diese Accounts bilden die zentralen Transmissionsriemen in diesen immer unübersichtlicher werdenden Marketingtechnologie-und Tracking-Ökosystemen, bestehend aus tausenden Firmen in Bereichen wie Analytics, Adserver oder Data Management.
Sogenannte Data-Management-Plattformen sorgen als Echtzeit-Handelsmärkte für die Verknüpfbarkeit der unterschiedlichsten Datenbestände und bieten Unternehmen in allen Wirtschaftsbereichen an, entweder Daten von Dritten zu nutzen, oder sogar ihre eigenen Kundendaten zu verwerten. Generell werden die Kooperationen zwischen Tracking-Firmen, den großen Plattformen und alteingesessenen Datenhandelsunternehmen wie zum Beispiel Acxiom immer enger.
Über E‑Mail-Adressen und Telefonnummern werden die an unterschiedlichen Stellen verwalteten Profile über Einzelne in Echtzeit miteinander verknüpft. Durch den Einsatz von Hash-Funktionen werden diese E‑Mail-Adressen und Telefonnummern zwar meistens nicht direkt ausgetauscht, die Profile bleiben aber trotzdem zuordenbar. Die Unternehmen bezeichnen das neusprechartig als „Anonymisierung“. In Wirklichkeit haben diese – von verschiedenen Firmen mit den jeweils gleichen Hash-Funktionen berechneten – Buchstaben-Zahlen-Kombinationen oft schon fast den Charakter von persönlichen Identifikationsnummern.
Schlussendlich geht das so weit, dass zum Beispiel Einkaufstransaktionsdaten aus dem Versandhandel oder aus Kundenkartensystemen dazu genutzt werden können, jemanden via Cookie online beim Besuch einer beinahe beliebigen Website wiederzuerkennen – über die Verkettung von Profiling- und Identifikationstechnologien und über Netzwerke von Tracking-Firmen hinweg.
Nicht nur die User-Accounts bei Google, Facebook, Apple oder Microsoft stehen im Zentrum dieser Tracking-Netzwerke. Auch andere Firmen, die große Mengen an zuverlässigen Identitäten verwalten, bringen sich auf diesen Datenmärkten als zentrale „Hubs“ in Stellung. Telekomkonzerne wie Verizon fügen zum Beispiel Tracking-Header in den HTTP-Datenverkehr ein und verknüpfen die Daten von Mobilfunk-NutzerInnen mit dem Werbenetzwerk von AOL.
Neue Trackingtools, neue Datenschutz-AGB, neue Fälle von Preisdiskriminierung, all das haben wir 2015 erlebt. – Welche Entwicklung hat dich im zurückliegenden Jahr am meisten besorgt?
Wolfie Christl: Drastisch, aber gleichzeitig auch sehr aufschlussreich fand ich die in diesem Jahr diskutierten Entwicklungen in China. Auch wenn dabei immer noch einiges unklar ist: Einerseits ist bekannt geworden, dass die chinesische Regierung ein zentrales Social Credit System plant, das Daten über die gesamte Bevölkerung erfassen soll – von Bonität und Finanzen bis hin zu Online-Aktivitäten. Auf Basis der erstellten Persönlichkeitsprofile sollen diverse Belohnungs- und Bestrafungs-Mechanismen entwickelt werden. Nicht nur Online-Betrug, sondern etwa auch das Verbreiten von „Gerüchten“ und ähnliches abweichendes Verhalten soll sanktioniert werden.
Gleichzeitig arbeiten private chinesische Großkonzerne wie der Social-Media-Betreiber Tecent oder die Online-Handelsplattform Alibaba an Scoring-Systemen, die zur Bewertung von Einzelpersonen umfassende Daten mit einbeziehen – von Zahlungs- und Onlineverhalten bis hin zu Daten aus den hauseigenen sozialen Netzwerken. Inwiefern der chinesische Staat auf diese bereits bestehenden Systeme der privaten Firmen zurückgreifen wird, wird sich zeigen.
Das klingt natürlich alles sehr dystopisch nach digitaler Technokratie, aber wir dürfen nicht vergessen: So viel anders läuft das bei uns im sogenannten „Westen“ auch nicht. Im Unterschied zum staatlich gelenkten Kapitalismus in China funktioniert das bei uns netzwerkartiger. Aber Unternehmen mit flächendeckenden Daten über die Bevölkerung gibt es schon lange. Durch den digitalen Wandel hat sich die Dichte der verfügbaren Informationen über unseren Alltag immens erhöht.
„Marketing, Scoring und Risikomanagement werden immer mehr eins“
Creditscoring unter Einbeziehung von Daten aus sozialen Netzwerken und anderen Online-Quellen boomt – Firmen wie zest finance, Wonga, Lenddo oder auch Kreditech in Deutschland haben jede Menge Kapital bekommen. Generell fließen Milliarden in den sogenannten Fintech-Sektor – also in Startups im Bereich Finanztechnologie. Breiter betrachtet werden Marketing, Scoring und Risikomanagement immer mehr eins. Das früher nur im Bonitätsbereich übliche Scoring hat sich inzwischen auf viele Felder ausgebreitet – von Wahrscheinlichkeitsbewertungen von Charaktereigenschaften wie Loyalität oder Manipulierbarkeit über Bereiche wie Schwangerschaft oder Gesundheit bis hin zu einem Maß dafür, wie stark eine Person ihr eigenes soziales Umfeld zu beeinflussen in der Lage ist. Wir landen immer mehr in einer Art von Scoring-Gesellschaft. Und wie wir insbesondere seit 2013 wissen, greift auch der Staat massiv auf die von privaten Firmen gesammelten Daten zu.
Vor einem Jahr habt ihr bei Cracked Labs eine große Studie über kommerzielle Überwachung veröffentlicht. Sind die Leute inzwischen sensibler geworden bei diesem Thema?
Wolfie Christl: Unsere Studie wurde zwar von Medien über Politik bis Wirtschaft im deutschen Sprachraum sehr gut wahrgenommen, unser Ziel einer so richtig durchdringenden Sensibilisierung haben wir aber dummerweise trotzdem nicht erreicht. Scherz beiseite. Ich würde sagen, es sieht nicht besonders gut aus. Die Thematik ist einfach sehr abstrakt und schwer zu vermitteln. Einer Mehrheit ist überhaupt nicht bewusst, wie flächendeckend unser Verhalten bereits auf Basis digitaler Daten analysiert, eingeordnet und bewertet wird. Mögliche negative Auswirkungen auf Einzelne sind schwer vorstellbar, weil sie zu weit in der Zukunft liegen oder generell zu sehr entkoppelt sind von unserer alltäglichen Nutzung von Web-Browser oder Smartphone-Apps.
Dabei ist vieles schon Alltag. In der Debatte wird oft auf das massive Diskriminierungspotenzial verwiesen, das sich daraus ergeben würde, wenn Banken, Versicherungen, Arbeitgeber oder Wohnungsvermieter hemmungslos auf unsere digitalen Profile zugreifen könnten. Keine Frage, das könnte auf uns zukommen. Außerdem stehen Krankenversicherungstarife unter Einbeziehung von Fitnessdaten auch im deutschen Sprachraum schon in den Startlöchern, und überwachungsbasierte Autoversicherungstarife bereits vor dem Durchbruch.
Viele kleine oder größere personalisierte Diskriminierungen
Aber es gibt noch eine andere Ebene: Schon heute werden an vielen Stellen viele kleine automatisierte Entscheidungen über unser Leben und unsere Möglichkeiten auf Basis digitaler Daten getroffen. Von der Wartezeit in der Telefonhotline über die verfügbaren Bezahloptionen im Online-Shop bis zu individuellen Angeboten und Preisen. Aus meiner Sicht besteht hier die Gefahr vieler kleiner Diskriminierungen, die einzeln betrachtet vielleicht manchmal harmlos wirken, aber in Summe zu einer systematischen Benachteiligung von Einzelnen führen könnten. Dazu kommt, dass beinahe alle diese Vorgänge völlig intransparent sind. Auf dieser Ebene ist die Sensibilisierung der Leute besonders schwierig. Dabei werden sich diese Problematiken mit dem aufstrebenden Internet der Dinge noch multiplizieren. Ich denke, da ist noch sehr viel zu tun.
Ich habe mich 2015 relativ viel mit Überwachung am Arbeitsplatz und dem Aufstieg der sogenannten Workforce Intelligence beschäftigt. Auch hier gibt es unzählige Firmen von kleinen Startup-Klitschen bis zu Giganten wie SAP, die die entsprechenden Technologien weiterentwickeln. Das reicht von GPS und Handscannern in der Logistik über die umfassende Zeit- und Leistungserfassung ganz unterschiedlichen Berufsfeldern bis zur Prognose zukünftiger Arbeitsleistung. Im Arbeitsleben sind die Folgen dieser Art der digitalen Überwachung allerdings für die Einzelnen viel unmittelbarer spürbar. Vielleicht könnte das darum ein guter Ansatzpunkt für die Bewusstseinsarbeit sein?
Beinahe jedes Unternehmen hat Informationen darüber, wo seine Kunden wohnen, wie alt sie sind, ob sie rauchen oder gerne Tomatensaft trinken. Der Datenschatz wächst unablässig, schließlich werden persönliche Daten auch untereinander gehandelt. Wird 2016 das Jahr sein, in dem die Unternehmen aufhören uns zu überwachen, weil sie ohnehin schon alles über uns wissen?
Wolfie Christl: Die Unternehmen wissen zweifellos bereits sehr viel über uns. Aber viele Daten sind fehlerhaft, fragmentarisch und verstreut. Darum versuchen einerseits Beratungsfirmen, Unternehmen in allen Wirtschaftsbereichen davon zu überzeugen, ihre Kundendaten aus den verschiedenen unternehmensinternen „Silos“ zusammenzuführen und zu zentralisieren.
Dazu alle diese Bemühungen rund um geräteübergreifendes Tracking und um die Verknüpfung von Online- und Offline-Daten. Viele Firmen, die solche Dinge können, wurden in den letzten zwei Jahren um Milliarden von den Großen aufgekauft. Nur ein paar Beispiele: Bluekai und Datalogix gehören jetzt zum IT-Riesen Oracle. LiveRamp wurde von Acxiom gekauft, ExactTarget vom Online-CRM-Marktführer Salesforce. Auch so unterschiedliche Firmen wie IBM oder Adobe mischen in diesem Bereich mit und kaufen sich ein. Facebook bringt seine Datenhandelsplattform Atlas in Stellung. Sogar Twitter hat 2015 mit TellApart eine Firma gekauft, die personalisierte Angebote auf Basis von Cross-Device-Tracking und der Verknüpfung von Online- und Offline-Daten anbietet.
„Die einzigen, die nicht mitreden dürfen, sind die NutzerInnen“
Wo nicht gekauft wird, wird kooperiert. Unter welchen Bedingungen die Profile und Echtzeitinformationen über uns ausgetauscht werden, ist zwischen den Firmen umkämpft. Sie versuchen, so weit als möglich zusammenzuarbeiten, ohne ihre Datenbestände komplett der Konkurrenz zu öffnen. Man könnte sagen, hinter den Kulissen tobt ein veritabler Krieg um unsere Daten. Die einzigen, die bei diesen Auseinandersetzungen absurderweise kaum bis gar nicht mitreden dürfen, sind wir. Wie es weitergeht, wird massiv davon abhängen, wieviel wir uns als NutzerInnen gefallen lassen und welche Arten von gesetzlichen Regulierungen geschaffen werden können.
Stichwort „Regulierung“: Können wir uns 2016 zurücklehnen, weil die neue EU-Datenschutzgrundverordnung alles für uns regelt?
Wolfie Christl: Wenn ich mir die öffentlichen Äußerungen von Merkel in letzter Zeit dazu ansehe, bin ich nicht gerade optimistisch. Sie betont äußerst einseitig die Interessen von Wirtschaft und Industrie und verteidigt auf Biegen und Brechen den über weite Strecken desaströsen Entwurf des EU-Rats für die neue europäische Datenschutzverordnung. Ich halte das für kurzsichtig und verantwortungslos. Der mit fraktionsübergreifender Mehrheit beschlossene Entwurf des EU-Parlaments wäre zumindest ein guter Kompromiss. Wenn sich Merkel und der EU-Rat durchsetzen sollten, sehe ich schwarz für unser zukünftiges Grundrecht auf informationelle Selbstbestimmung.
Aber ich will nicht nur pessimistisch sein. Resignation á la „die machen sowieso, was sie wollen“ ist wohl unser schlimmster Feind. Das von Max Schrems erkämpfte Safe-Harbor-Urteil ist echt ein großer Erfolg. Auch das belgische Urteil im November, nach dem Facebook € 250.000 Strafe pro Tag hätte zahlen müssen, wenn es nicht innerhalb von 48h damit aufhört, die Daten von nicht auf Facebook registrierten Menschen zu tracken, gibt Hoffnung. Geht doch! Es braucht aber natürlich viel mehr als nur gesetzliche Regulierung – angefangen von Bewusstseinsarbeit und mehr Transparenz über die Praktiken der Unternehmen bis hin zur Schaffung dezentraler und selbstbestimmt nutzbarer digitaler Informationstechnologie. Es ist viel zu tun.
Die letzten zwei Beiträge in der Reihe #netzrückblick haben sich mit den erfolgreichsten Artikeln im Jahr 2015 sowie mit dem Kampf um Netzneutralität in Europa beschäftigt.
-
: EFF-Bericht: Google trackt Schüler über Chromebooks
Chromebooks werden in den USA bereits in Grundschulen eingesetzt | <a href="https://creativecommons.org/licenses/by-nc-sa/2.0/" >CC BY-NC-SA 2.0</a> by <a href="https://www.flickr.com/photos/rwentechaney/6202676580/" >Rachel Wente-Chaney</a> : EFF-Bericht: Google trackt Schüler über Chromebooks Die Electronic Frontier Foundation (EFF) hat eine Beschwerde bei der US-Handelskommission FTC eingereicht und wirft darin Google vor, in Schulen und Universitäten persönliche Daten von Schüler_innen und Student_innen gespeichert zu haben. Im Rahmen der Kampagne „Spying on Students“ über die Datenschutzrisiken bei Schul-Elektronik und ‑Software prüfte die EFF die Google Chromebooks sowie Google Apps for Education (GAFE) und stellte fest, dass in den Standardeinstellungen die Sync-Funktion aktiviert ist. Dadurch kann Google Suchbegriffe, besuchte Internetseiten, angesehene Youtube Videos sowie Passwörter speichern und Schüler_innen folgen, wenn sie den Chrome-Browser auf dem Tablet ihrer Eltern oder dem Smartphone nutzen und sich darüber bei einem Google-Dienst einloggen.
Während zudem die Bildungsangebote von Google innerhalb der GAFE werbefrei sind und dort auch keine Werbeprofile von Schüler_innen angelegt werden dürfen, weist die EFF darauf hin, dass dies nicht für alle anderen Dienste gilt – dazu gehören die Google Suche, Bookmarks, Maps, News, Photos, Google+, und YouTube. Nutzen Schüler_innen an ihren Schulrechnern und eingeloggt mit ihrem Schulaccount also Dienste außerhalb der GAFE, nutzt Google dies um Werbeprofile anzulegen und Werbung anzuzeigen – obwohl es sich um Schulaccounts zu Bildungszwecken handelt. Eine Erlaubnis zum Speichern der Daten holt Google weder von den Eltern noch Schüler_innen ein.
Das ist unsere wichtigste Beschwerde über die Praktiken von Google – obwohl versprochen wurde, dass Schüler_innen nicht getrackt werden, nutzt Google seine Machtposition als Bereitsteller von Bildungsangeboten aus, um von Schülerdaten zu profitieren, wenn diese andere Google-Dienste nutzen – Dienste, von denen Google willkürlich entschieden hat, dass sie keinerlei Schutz bedürfen.
Google teilte laut EFF mit, die Standard-Sync-Einstellung zeitnah ändern zu wollen, sodass Daten wie der Browserverlauf nicht mehr automatisch mit anderen Google-Services synchronisiert werden. Der EFF geht das nicht weit genug:
Wir loben Schulen dafür, Technologie in die Klassenzimmer zu bringen. Chromebooks und Google Apps for Education bieten enorme Vorteile für die Lehre und die Vorbereitung der Schüler_innen auf die Zukunft. Jedoch müssen Geräte und Cloud-Dienste, die in Schulen verwendet werden, ohne Kompromisse und Schlupflöcher die Privatsphäre der Schüler_innen schützen. […] Wir fordern die FTC auf, das Verhalten von Google zu untersuchen, die Nutzung persönlicher Informationen von Schüler_innen für eigene Zwecke zu unterbinden und das Unternehmen anzuweisen, alle bisher gesammelten Informationen, die nicht zu Bildungszwecken gesammelt wurden, zu zerstören.
-
: Verschlüsselte Bestandsdatenabfrage? „Nur wenn Aufwand in angemessenem Verhältnis zu Schutzzweck steht“
E-Mails statt Fax – sicherer werden Bestandsdatenabfragen dadurch nicht – <a href="https://creativecommons.org/licenses/by-sa/3.0/deed.en">CC BY-SA 3.0</a> via wikimedia/<a href="https://commons.wikimedia.org/wiki/File:Telefax.JPG">Tumi-1983</a> : Verschlüsselte Bestandsdatenabfrage? „Nur wenn Aufwand in angemessenem Verhältnis zu Schutzzweck steht“ Im August wies der E‑Mail-Provider Posteo in seinem Transparenzbericht darauf hin, dass es gravierende Missstände bei Behördenersuchen nach Bestandsdaten gibt. Die Antworten auf eine Kleine Anfrage des linken Abgeordneten Andrej Hunko (unten im OCR-Volltext) bestätigen das. Ausgangspunkt der Kritik von Posteo war, dass Behörden ihre Auskunftsersuche häufig unverschlüsselt übertragen und Daten abfragen, für die keine Befugnis vorliegt:
Meist erhalten wir von den Polizeibehörden E‑Mail-Adressen oder Namen, die in Verbindung mit einem konkreten Tatvorwurf genannt werden. Manchmal enthalten die Ersuchen sogar vollständige Konto- bzw. Zahlungsdaten einer Person. Posteo erhält regelmäßig solche Bestandsdatenabfragen.
Das widerspricht dem besonderen Schutz dieser persönlichen Daten, der gesetzlich vorgeschrieben ist.
Auch Fragesteller Hunko findet die Praxis höchst fragwürdig:
Die Nachlässigkeit des Bundeskriminalamts in Bezug auf die Verschlüsselung sensibler Informationen überrascht nicht. Die Abfrage von Telekommunikationsdaten ist in polizeilichen Ermittlungen inzwischen zur Regel geworden, diese Schwelle liegt schon jetzt zu niedrig. Dass die dort verlangten Bestandsdaten unverschlüsselt übermittelt werden ist ein Skandal und muss von den Datenschutzbeauftragten untersucht werden.
„E‑Mail-Anfragen nur bei Eilbedürftigkeit“
Laut Bundesregierung erfolgten Bestandsdatenabfragen durch den Bundesverfassungsschutz und das BKA „nur im absoluten Ausnahmefall“ per unverschlüsselter Mail, „wenn wegen der Eilbedürftigkeit des zu Grunde liegenden Sachverhalts die Übermittlung der personenbezogenen Daten erforderlich ist und bei der verpflichteten Stelle keine Verschlüsselungsmöglichkeiten per E‑Mail-Kommunikation bestehen bzw. in der Kürze der Zeit nicht zum Einsatz gelangen können.“ Um zu prüfen, ob die Möglichkeit der verschlüsselten Kommunikation besteht, werde in der Regel vorher nachgefragt, welche Verschlüsselungmöglichkeiten bestünden. Auch bei Posteo wurde das gemacht, allerdings erst am 21. Oktober 2015 – nachdem der Transparenzbericht veröffentlicht wurde und bereits mehrere Nachrichten unverschlüsselt gesendet wurden.
Posteo bietet diese Möglichkeit zur verschlüsselten Kontaktaufnahme, genutzt wurde sie nicht. Posteo kommentiert gegenüber netzpolitik.org:
Die Bundesregierung antwortet erneut, das BKA frage nur dann per unverschlüsselter E‑Mail an, wenn erstens Eilbedürftigkeit erforderlich sei und zweitens beim Verpflichteten keine Möglichkeiten zur Verschlüsselung bestehen. Diese Antwort hatte auch der Bundesinnenminister am 5. Oktober schriftlich auf eine Anfrage von Thomas Oppermann gegeben. Diese Aussage der Bundesregierung ist aber nicht zutreffend. Uns wurden z.B. bisher alle Bestandsdatenersuchen des BKA per unverschlüsselter E‑Mail übermittelt, obwohl bei uns Möglichkeiten zur Verschlüsselung bestehen und auch auf unserer Website deutlich sichtbar seit vielen Jahren angegeben sind.
Auch die Eilbedürftigkeit ist kein Argument, denn auf dem Faxweg ist ebenfalls eine unmittelbare Anfrage möglich.
Posteo fragt sich, ob die Anfragen auch in Zukunft unverschlüsselt erfolgen werden – alle bisherigen Anfragen seien vor Oktober gestellt worden. Fraglich ist auch, wie bei anderen Providern vorgegangen werden wird, denn die Anfrage nach Echtheit des Schlüssels von Posteo geschah nur nach öffentlichem Druck.
Auch Hunko glaubt nicht an die Einzelfälle in Eilsituationen:
Ich glaube im Gegensatz zu der Antwort des Bundesinnenministeriums nicht, dass es sich um einen Einzelfall handelt. Die Behörden machen sich nicht einmal die Mühe, PGP-Schlüssel von den auskunftspflichtigen Internetprovidern zu besorgen. Darin zeigt sich die Gutsherrenmentalität deutscher Sicherheitsbehörden: Einerseits werden vom BKA und dem Verfassungsschutz große Anstrengungen darauf verwendet, Möglichkeiten und Werkzeuge zum Abhören digitaler Telekommunikation zu finden und sogar Verschlüsselungsverfahren umgehen zu wollen. Andererseits wird in den Behörden mit Personendaten mitunter sorglos umgegangen, etwa wenn diese auch nach Ablauf der Speicherfristen nicht gelöscht werden oder diese sogar an Private weitergegeben werden.
„Aufwand im Verhältnis zum Schutzzweck“ – Auslegung dehnbar wie Gummi
Die Bundesregierung sieht die Vorgaben aus dem Bundesdatenschutzgesetz (BDSG) dennoch nicht als verletzt an. Es seien nur Maßnahmen erforderlich, „wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“
Darin sehen wir eines der Grundprobleme: Der Auslegungsspielraum von angemessenem Verhältnis zu Schutzzweck wird gedehnt, auch wenn Verschlüsselung – gerade bei Strafverfolgungsbehörden – Standard sein sollte. Und außerdem kann bei Klartext-Übertragung einer Mail in keinem Fall von adäquatem Datenschutz gesprochen werden, wie auch Posteo kritisiert:
Die Bundesregierung kann sich nicht darauf zurückziehen, dass es für die Übermittlung kein gesetzlich vorgeschriebenes Verfahren gibt. Die Pflichten des BDSG bestehen unabhängig davon und es ist allgemein bekannt, dass eine Kommunikation per unverschlüsselter E‑Mail diese nicht gewährleisten kann. Ist eine Kommunikation per verschlüsselter E‑Mail den Behörden nicht möglich, muss der Post- oder der schnelle Faxweg für die Anfrage genutzt werden.
Peinlichkeit darf nicht vor öffentlicher Beantwortung schützen
Besonders verwunderlich an der Antwort der Bundesregierung ist, dass die Beantwortung einiger Fragen in offener Form verweigert wird. Insgesamt sieben Antworten sind als Verschlussache „Nur für den Dienstgebrauch“ eingestuft, da daraus „Rückschlüsse auf den Modus Operandi, die Fähigkeiten und Methoden der Ermittlungsbehörden gezogen werden“ könnten. Diese Argumentation erschließt sich beim Blick auf die Fragen nicht.
Es wird etwa danach gefragt, welche Programme für Auskunftsverlangen genutzt werden, welche Verschlüsselungsverfahren eingesetzt werden und seit wann, beziehungsweise ab wann Behörden PGP-Verschüsselung nutzen können. Die Auskunft, dass und welche Verschlüsselung eingesetzt wird dürfte die Arbeit der Behörden in keiner Weise gefährden. Höchstens die Antwort, dass in manchen Stellen keine Verschlüsselung genutzt wird, würde ein Sicherheitsrisiko und nicht zuletzt eine Peinlichkeit darstellen. Das findet auch Posteo:
- Bestehende Missstände werden nicht eingestanden, stattdessen stuft man sie als „Verschlusssache“ ein. Dabei hat in Berlin erst kürzlich eine Anfrage an den Berliner Senat ergeben, dass die Berliner Polizei bisher nicht über Möglichkeiten zur Ende-zu-Ende-Verschlüsselung verfügt. Und auch an uns haben Ermittlungsbehörden des Bundes und der Länder Anfragen per E‑Mail bisher stets unverschlüsselt übersendet.
- Unabhängig davon muss für Provider und andere Verpflichtete ersichtlich sein, welche Verschlüsselungsmethode für einen sicheren Kontakt mit einer Behörde verwendet werden kann. Macht die Behörde dies nicht transparent, kann keine sichere Kommunikation zustande kommen. Es ist daher absurd, die für die Kommunikation mit Behörden zu verwendenden Verschlüsselungsmethoden als Verschlusssache zu kennzeichnen.
Ohne Protokollierungspflichten und Transparenz wenig Hoffnung auf Besserung
Eines der Grundprobleme bei der Bestandsdatenabfrage ist die mangelnde Protokollierung. Aussagekräftige Statistiken werden nicht angefertigt, die Bundesregierung hat keinen Überblick darüber, welche Behörden wie viele Anfragen stellen und wie vielen davon entsprochen wird. Hunko findet, es müsse dringend mehr Transparenz geben:
Das bedeutet nicht nur die Vorlage regelmäßiger Berichte zu Auskunftsverlangen, sondern auch die ausführliche Darstellung der Fallzahlen von Funkzellenabfragen, Trojaner-Einsätzen und sämtlichen anderen nach §100 StPO vorgenommenen Überwachungsmaßnahmen. Dann würde offensichtlich, wie unsere digitalen Fußabdrücke den polizeilichen Datenhunger immer weiter steigern, während die Privatheit der Telekommunikation zusehends auf der Strecke bleibt.
Wir sind vorerst auf mehr öffentlichen Druck angewiesen. Die Provider tragen eine Mitverantwortung, die zweifelhaften Behördenpraktiken offenzulegen und Zahlen zu eingegangenen Anfragen zu veröffentlichen. Gerade in Zeiten der kommenden Vorratsdatenspeicherung findet Posteo:
Sofern Zahlen überhaupt bekannt werden, stammen diese aus den Transparenzberichten von deutschen Telekommunikationsanbietern, die es erst seit 2014 gibt [z.B mailbox.org, JPBerlin und die Deutsche Telekom], nachdem Posteo als erster deutscher Anbieter einen Transparenzbericht über Behördenersuchen veröffentlicht hatte. Somit kann die Öffentlichkeit nicht nachvollziehen, wie häufig Behörden nach den Bestandsdaten der Bürgerinnen und Bürger ersuchen.
Dies halten wir aus Gründen der demokratischen Kontrolle für verbesserungsbedürftig. In der aktuellen Situation kann z.B. auch nicht evaluiert werden, wie sich die Einführung des Gesetzes zur Vorratsdatenspeicherung konkret auf die Anzahl der Abfragen auswirken wird.
Das würde uns auch interessieren. Also liebe Provider: Geht mit gutem Beispiel voran!
Disclaimer: Posteo ist Sponsor von netzpolitik.org und einige unserer Autorinnen und Autoren sind dort Kunden.
Antwort auf die Kleine Anfrage aus dem PDF befreit
Kleine Anfrage des Abgeordneten Andrej Hunko u. a. und der Fraktion DIE LINKE.
Unverschlüsselte Auskunftsverlangen durch Polizeien und Geheimdienste des Bundes
BT-Drucksache 18/6723
Vorbemerkung der Fragesteller:
Das Bundeskriminalamt (BKA) fragt mitunter ohne die erforderlichen Absicherungen bei Providern Bestandsdaten im Rahmen der Telekommunikationsüberwachung ab (Heise online vom 19. Oktober 2015). Sensible Daten seien laut in einem manuellen Verfahren dem Bundesinnenminister „per unverschlüsselter E‑Mails verschickt worden“. Einschränkend erklärte der Minister, das BKA habe nur dann im Klartext Bestandsdaten begehrt, wenn beim Provider keine Verschlüsselung für die E‑Mail-Kommunikation möglich sei oder der Zugangsanbieter die bei der Polizeibehörde genutzten Methoden nicht unterstütze. Eine Sprecherin des Providers Posteo widersprach den Angaben jedoch. Posteo stelle Schlüssel bereit, mit denen „problemlos mittels PGP oder S/Mime kommuniziert werden“ könne. Das BKA schicke dem Anbieter Ersuchen, die unsicher übermittelt worden seien. Laut einem Transparenzbericht der Firma habe Posteo bislang alle Ersuchen unverschlüsselt erhalten. In den E‑Mails würden teils konkrete Tatvorwürfe oder Zahlungsdaten einer Person aufgeführt. Auch werde unzulässigerweise immer wieder nach dynamischen IP-Adressen gefragt. Auch Polizeibehörden der Länder handelten auf diese Weise.
Posteo hat bereits mit Landesdatenschutzbeauftragten kommuniziert, das Problemsei laut dem Bericht „dort bekannt, aber noch nicht gelöst“. Das BKA verstoße deshalb laut Posteo gegen das Bundesdatenschutzgesetz. Strafverfolger müssten gewährleisten, dass ausgetauschte personenbezogene Daten „nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können Biete ein Provider keine Möglichkeit zur verschlüsselten Kommunikation an, müsse der Fax- oder Postweg verwendet werden. Gremien und Arbeitsgruppen des Bundes und der Bundesländer entwickelten laut heise eine „elektronische Schnittstelle“ für größere Anbieter mit über 100.000 Kunden. Diese seien schon jetzt gesetzlich verpflichtet, eine „automatische Kontaktmöglichkeit“ vorzuhalten.
Vorbemerkung:
Die Bundesregierung ist nach sorgfältiger Abwägung zu der Auffassung gelangt, dass eine Beantwortung der Fragen 1, 2, 3, 4, 5, 6 und 17 in offener Form ganz oder teilweise nicht erfolgen kann. Die erbetenen Auskünfte sind geheimhaltungsbedürftig, weil sie Informationen enthalten, die im Zusammenhang mit der Arbeitsweise und Methodik der von der Kleinen Anfrage betroffenen Behörden und insbesondere deren Aufklärungsaktivitäten, Analyse- und Verschlüsselungsmethoden stehen.Die Antworten auf die Kleine Anfrage beinhalten zum Teil detaillierte Einzelheiten zu den technischen Fähigkeiten und ermittlungstaktischen Verfahrensweisen der Behörden. Aus ihrem Bekanntwerden könnten Rückschlüsse auf den Modus Operandi, die Fähigkeiten und Methoden der Ermittlungsbehörden gezogen werden. Deshalb sind einzelne Informationen gemäß der VSA als „VS-NUR FÜR DEN DIENSTGEBRAUCH“ eingestuft und werden als nicht zur Veröffentlichung in einer Bundestagsdrucksache bestimmte Anlage übermittelt. Dies betrifft im Einzelnen ganz oder teilweise die Antworten zu den Fragen 1, 2, 3, 4, 5, 6 und 17.
1. Welche Anwendungen existieren bei Bundesbehörden zur digitalen Übermittlung von Auskunftsverlangen zur Abfrage von Bestandsdaten im Rahmen der Telekommunikationsüberwachung (bitte sämtliche Programme, Clients und benötigte Plug-ins aller Behörden des Bundesinnenministeriums und des Bundeskanzleramtes aufführen)?
2. Welche Verschlüsselungsverfahren werden von den jeweiligen Anwendungen verwendet (etwa SSL, PGP, S‑MIME)?
3. Seit wann wird bei besagten Behörden zum Versand von Auskunftsverlangen per E‑Mail zur Übertragung das SSL-Verfahren genutzt?
4. Sofern noch nicht alle Behörden über SSL-Verschlüsselung verfügen, wann soll dies bei welchen Behörden verfügbar sein?
5. Seit wann wird bei besagten Behörden zum Versand von Auskunftsverlangen per E‑Mail zur Übertragung PGP-Verschlüsselung genutzt?
6. Sofern noch nicht alle Behörden über PGP bzw. benötigte Plug-ins verfügen, wann soll dies bei welchen Behörden verfügbar sein?
Zu 1. bis 6.
Auf den als „VS – NUR FÜR DEN DIENSTGEBRAUCH“ eingestuften Antwortteil gemäß der Vorbemerkung der Bundesregierung wird verwiesen.
7. In welchem Umfang verschicken Behörden des Bundesinnenministeriums und des Bundeskanzleramtes sensible Daten in einem manuellen Verfahren bezüglich eines Auskunftsverlangens „per unverschlüsselter E‑Mails“?
Zu 7.
Das Bundeskriminalamt versendet Auskunftsverlangen gem. § 113 des Telekommunikationsgesetzes (TKG) standardmäßig per Telefax. Eine Übermittlung personenbezogener Daten im Rahmen von Auskunftsverlangen gem. § 113 TKG erfolgt sowohl durch das Bundeskriminalamt als auch das Bundesamt für Verfassungsschutz nur im absoluten Ausnahmefall, nach Durchführung einer Verhältnismäßigkeitsprüfung unter Abwägung der betroffenen Rechtsgüter im Einzelfall, per unverschlüsselter E‑Mail, wenn wegen der Eilbedürftigkeit des zu Grunde liegenden Sachverhalts die Übermittlung der personenbezogenen Daten erforderlich ist und bei der verpflichteten Stelle keine Verschlüsselungsmöglichkeiten per E‑Mail-Kommunikation bestehen bzw. in der Kürze der Zeit nicht zum Einsatz gelangen können. Die übrigen Behörden des Bundesministeriums des Innern und des Bundeskanzleramtes setzen E‑Mail-Kommunikation für den Versand von Auskunftsverlangen gem. § 113 TKG nicht ein.
8. Welche Datenfelder werden hierbei im Regel- und im Einzelfall verlangt?
Zu 8.
Die Auskunftsverlangen des Bundeskriminalamts beinhalten Name und Anschrift des Anschlussinhabers, ggf. IP-Adressen, Zugangscodes/Sicherungscodes. Sie erfolgen somit entweder nummernbasiert, namensbasiert oder anschriftenbasiert. Bei personenbasierten Auskunftsersuchen des Bundesamtes für Verfassungsschutz werden mindestens Vor- und Nachname, Straße, Hausnummer, PLZ und Ort verlangt. Im Fall von rufnummernbasierten Auskunftsersuchen des Bundesamtes für Verfassungsschutz werden die entsprechenden Rufnummern übermittelt.
9. Inwieweit hält die Bundesregierung diese Praxis für vereinbar mit dem Bundesdatenschutzgesetz, wonach Behörden gewährleisten müssen, dass ausgetauschte personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können?
Zu 9.
Die Abfragen erfolgen unter Beachtung von § 9 des Bundesdatenschutzgesetzes (BDSG), nach dem die verantwortliche Stelle die technischen und organisatorischen Maßnahmen zu treffen hat, die erforderlich sind, um die Umsetzung des Datenschutzrechts, insbesondere die in der Anlage zum BDSG genannten Anforderungen, zu gewährleisten. Die Vorschrift macht keine allgemein gültigen technischen oder organisatorischen Vorgaben für die zu treffenden Maßnahmen. Vielmehr sind nach Satz 2 solche Maßnahmen nur dann erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Daher obliegt es im jeweiligen Einzelfall den verantwortlichen Stellen, das Verhältnis von Aufwand und Schutzbedarf zu prüfen und daran anknüpfend über das Erfordernis konkreter Maßnahmen zu entscheiden.
10. Auf welche Weise werden die Mitarbeiter/Innen entsprechender Behörden darüber informiert, wie Auskunftsverlangen im rechtlich zugelassenen Rahmen durchzuführen sind?
Zu 10.
Die Beschäftigen der in Rede stehenden Behörden werden im Rahmen Ihrer verwendungsbezogenen Aus- und Fortbildung, in Lehrgängen, Dienstkundeveranstaltungen, Dienstvorschriften und/oder durch Informationsschreiben über die rechtskonforme Stellung von Auskunftsersuchen informiert.
11. Inwiefern trifft es zu, dass vom BKA oder anderen Bundesbehörden auch konkrete Tatvorwürfe oder Zahlungsdaten einer Person unverschlüsselt übertragen werden?
Zu 11.
Im Rahmen der Bearbeitung von Auskunftsersuchen nach § 113 TKG durch das Bundeskriminalamt oder andere Bundesbehörden ist nicht vorgesehen, dass konkrete Tatvorwürfe oder Zahlungsdaten einer Person unverschlüsselt übertragen werden.
12. Inwieweit und auf welcher Rechtsgrundlage hält die Bundesregierung die Abfrage dynamischer IP-Adressen im Rahmen eines Auskunftsverlangens für zulässig?
Zu 12.
Im Rahmen einer qualifizierten Bestandsdatenauskunft anhand einer bereits bekannten dynamischen IP-Adresse mit Zeitstempel ist grundsätzlich mittels Anfrage beim Betreiber die Zuordnung der IP-Adresse zu einem konkreten Anschluss möglich und nach Maßgabe der einschlägigen Ermächtigungsgrundlage zulässig. Der für die interne Zuordnung nötige Rückgriff des Providers auf Verkehrsdaten richtet sich (am Beispiel der Strafverfolgung) nach § 1OOj Absatz 2 der Strafprozessordnung i. V. m. § 113 Absatz 1 Satz 3 TKG. Diese retrograde Verknüpfung setzt jedoch das Vorhandensein der Daten beim Provider voraus.
13. Auf welche Weise wird vor der Übersendung eines Auskunftsverlangens geprüft, ob die betroffenen Anbieter eine PGP-Verschlüsselung für die E‑Mail-Kommunikation ermöglichen?
Zu 13.
Die Übermittlung an die Anbieter erfolgt an die bekannten offiziellen und von den Anbietern veröffentlichten bzw. gesondert für Anfragen der Sicherheitsbehörden durch den Anbieter benannten Anschriften, Telefaxnummern und E‑Mail-Adressen. Im Falle der Übersendung eines Auskunftsverlangens via E‑Mail ist durch vorherige (z. B. telefonische) Kontaktaufnahme mit dem Anbieter in der Regel bekannt, welche Verschlüsselungsmöglichkeiten beim Empfang von Auskunftsersuchen via E‑Mail beim Provider bestehen, so dass die dafür notwendigen Vorkehrungen getroffen werden (Austausch von Verschlüsselungsmethode und Chiffre / Schlüsselinformationen). Im Amt für den Militärischen Abschirmdienst erfolgt eine Übersendung per E‑Mail nur nach entsprechender Nachfrage beim verpflichteten Unternehmen.
14. Wann und auf welche Weise hatte das BKA geprüft, ob der Provider Posteo Schlüssel bereitstellt, mit denen mittels PGP oder S/Mime kommuniziert werden kann?
Zu 14.
Am 21. Oktober 2015 bat das Bundeskriminalamt die Firma Posteo per Fax um Prüfung und Bestätigung, ob es sich bei dem im Internet zum Download von Posteo zur Verfügung gestellten Schlüssel auch tatsächlich um den korrekten öffentlichen Schlüssel der Firma Posteo handelt. Die Richtigkeit des Schlüssels wurde am 22. Oktober 2015 seitens der Firma Posteo per Fax bestätigt.
15. Inwiefern trifft es wie von Posteo berichtet zu, dass die Firma Ersuchen des BKA unverschlüsselt erhält und welche Gründe sind hierfür maßgeblich?
Zu 15.
Auf die Antwort zu Frage 7 wird verwiesen.16. Aus welchen Gründen hat das BKA dem Anbieter Ersuchen unsicher übermittelt, obwohl Posteo gut sichtbar einen PGP-Schlüssel zum Download anbietet (https://posteo.de/other/support@posteo.de_pub.asc)?
Zu 16.
Auf die Antworten zu Fragen 7, 14 und 15 wird verwiesen.17. Seit wann verfügen welche Bundesbehörden über eine elektronische Schnittstelle für Abfragen von Telekommunikationskennungen, seit wann wird diese von den einzelnen Behörden genutzt und wo ist diese angesiedelt?
Zu 17.
Auf den als „VS – NUR FÜR DEN DIENSTGEBRAUCH“ eingestuften Antwortteil gemäß der Vorbemerkung wird verwiesen.
18. Welche Gremien und Arbeitsgruppen des Bundes sind in welchen Zusammenarbeitsformen mit Bundesländern damit befasst, eine „elektronische Schnittstelle“ für größere Telekommunikationsdiensteanbieter mit über 100.000 Kunden zu entwickeln bzw. die Provider anzuhalten, diese „automatische Kontaktmöglichkeit“ zu nutzen?
Zu 18.
Die Bundesnetzagentur legt gemäß § 110 Abs. 3 TKG die technischen Einzelheiten zur Auskunftserteilung von Bestandsdaten im Benehmen mit den berechtigten Stellen und unter Beteiligung der Verbände und der Hersteller sowie die erforderlichen technischen Eigenschaften der Empfangsanschlüsse in der „Technische Richtlinie zur Beschreibung der Anforderungen an die Umsetzung gesetzlicher Maßnahmen zur Überwachung der Telekommunikation und zum Auskunftsersuchen für Verkehrsdaten (TR TKÜV)“ fest.
Die Polizei-/Strafverfolgungsbehörden des Bundes, das Bundesamt für Verfassungsschutz, die Bundesnetzagentur sowie Vertreter der Justiz, verschiedener Telekommunikationsanbieter und des Bundesministeriums für Wirtschaft und Energie nehmen an der jährlich stattfindenden „Expertentagung Elektronische Schnittstelle Behörden (ESB)“ teil. Diese Tagung dient dem Austausch von Informationen zwischen den Verpflichteten (Anbieter) und den berechtigen Stellen bezüglich des Umsetzungsstandes der ETSI-ESB Schnittstelle (European Telecommunications Standards Institute). Die Rahmenbedingungen der ETSI-ESB Schnittstelle wurden als ETSI-konformer Standard festgelegt und durch die Bundesnetzagentur im Rahmen der TR TKÜV in einer nationalen Richtlinie umgesetzt.
19. In wie vielen Fällen wurden seit 2010 von Bundesbehörden Auskunftsverlangen nach dem Telekommunikationsgesetz gestellt, und in wie vielen Fällen wurde diesem Auskunftsverlangen von den Anbietern jeweils entsprochen (bitte nach den einzelnen Jahren darstellen)?
Für den Bundesnachrichtendienst kann eine teilweise Beantwortung der Frage nur für einen Zeitraum ab November 2013 erfolgen, da nach geltender Dienstvorschrift zur Umsetzung des Auskunftsersuchens gem. §§ 112, 113 TKG und der Inverssuche nach § 105 TKG entsprechende Unterlagen im Bundesnachrichtendienst nur für die Dauer von zwei Jahren aufzubewahren sind und daher nur noch Unterlagen bis einschließlich November 2013 für die Beantwortung herangezogen werden können. Durch den Bundesnachrichtendienst wurden im Zeitraum November bis Dezember
2013 210, im Jahr 2014 863 und im Jahr 2015 1039 Auskunftsverlangen nach dem Telekommunikationsgesetz gestellt.Hinsichtlich Zahlenangaben zum automatisierten Auskunftsersuchen der berechtigten Stellen gemäß § 112 TKG wird auf die Statistik der Bundesnetzagentur verwiesen, die als Aufsichtsbehörde gemäß § 112 Abs. 4 S. 4 TKG verpflichtet ist, Ersuchen der berechtigten Stellen gemäß § 112 TKG (automatisierte Auskunftsersuchen) zu protokollieren und vorzuhalten. Im Jahresbericht der Bundesnetzagentur wird die Gesamtzahl der von den Sicherheitsbehörden gestellten Auskunftsersuchen nach § 112 TKG veröffentlicht. Eine weitergehende Aufschlüsselung der Gesamtzahlen nach entsprochenen und nicht entsprochenen Auskunftsersuchen sowie behördenspezifische Zahlenangaben zu Auskunftsersuchen gem. § 113 TKG können mangels entsprechender Statistiken in den Sicherheitsbehörden des Bundes nicht erfolgen.
20. Wie viele dieser Auskunftsverlangen wurden unverschlüsselt über eine paketvermittelte Verbindung übertragen?
Zu 20.
Durch den Bundesnachrichtendienst wurde keines dieser Auskunftsverlangen unverschlüsselt über eine paketvermittelte Verbindung übertragen. Für die übrigen Sicherheitsbehörden des Bundes wird auf die Antwort zu Frage 19 verwiesen.
21. Wie viele dieser Auskunftsverlangen wurden über eine gesicherte elektronische Schnittstelle gestellt?
Zu 21.
Durch den Bundesnachrichtendienst wurden im Zeitraum November bis Dezember 2013 210, im Jahr 2014 671 und im Jahr 2015 865 Auskunftsverlangen über eine gesicherte elektronische Schnittstelle gestellt. Für die übrigen Sicherheitsbehörden des Bundes wird auf die Antwort zu Frage 19 verwiesen.
22. Aus welchen Gründen wurden Auskunftsverlangen von den Anbietern zurückgewiesen?
Zu 22.
Die Sicherheitsbehörden des Bundes führen keine Statistik über Gründe, nach denen Auskunftsverlangen von den Anbietern zurückgewiesen wurden.
-
: #netzrückblick: EU-Datenschutz – „Zwischen Horror und ein bisschen besser“ (Max Schrems)
campact via <a href="https://www.flickr.com/photos/campact/20015040089/">flickr</a> (<a href="https://creativecommons.org/licenses/by-nc/2.0/">CC BY-NC 2.0</a>) : #netzrückblick: EU-Datenschutz – „Zwischen Horror und ein bisschen besser“ (Max Schrems) Zum Auftakt des Jahresrückblicks werfen wir einen Blick auf die Ereignisse des vergangenen Jahres im Bereich Datenschutz.
Hierbei geht es besonders um die EU-Datenschutz-Grundverordnung und das Safe-Harbor-Urteil. Dazu haben wir ein Interview mit Max Schrems geführt, auf dessen Klage hin der Europäische Gerichtshof das Safe-Harbor-Abkommen für rechtswidrig erklärt hat.
Statt eines Jahresrückblicks in Buchform gibt es dieses Jahr jeden Tag im Dezember einen Artikel als Rückblick auf die netzpolitischen Ereignisse des Jahres. Das ist der erste Beitrag in dieser Reihe.
Faule Kompromisse im EU-Datenschutz?
Beherrschendes Thema war die EU-Datenschutz-Grundverordnung, die noch in diesem Jahr verabschiedet werden soll. Mit der Grundverordnung soll im Rahmen der EU-Datenschutzreform ein EU-weit geltendes Datenschutzrecht geschaffen werden. Dieses wird die sehr unterschiedlichen nationalen Regelungen vereinheitlichen und die bisher geltende Datenschutzrichtlinie von 1995 ersetzen.
Die genauen Inhalte der Verordnung (und die verwendeten Definitionen) sind dabei besonders wichtig, weil sie gravierende Auswirkungen auf den Umgang mit unseren Daten haben werden. Sei es bei der Bonitätsprüfung, dem Erstellen von Persönlichkeitsprofilen oder dem Adressenhandel: Die Verordnung regelt, welche persönlichen Informationen Unternehmen und Behörden sammeln und (Stichwort „Zweckbindung“) kombinieren dürfen. Datenschützer*innen fordern individuelle Einwilligungen für jede Datennutzung, während von Seiten der Wirtschaft – unter Berufung auf die Big-Data-Phrase – nach schwächeren Datenschutzregeln gerufen wird. Bundeskanzlerin Merkel hat sich dem jüngst angeschlossen und sagte, dass der „Datenschutz nicht die Oberhand über die wirtschaftliche Verarbeitung der Daten gewinn[en]“ dürfe.
Nachdem die Kommission bereits 2012 ihren Gesetzentwurf vorgelegt hatte, einigte sich das Europäische Parlament (EP) 2014 auf eine datenschutzfreundlichere Fassung, die aber von den Mitgliedstaaten im Ministerrat als zu restriktiv kritisiert wurde. Der Film „Democracy – Im Rausch der Daten“ hat diese Vorgänge aus intimer Perspektive dokumentiert.
Seit diesem Sommer verhandeln die drei EU-Institutionen im informellen Trilog-Verfahren über einen Kompromiss. Über den aktuellen Stand der hinter geschlossenen Türen stattfindenden Verhandlungen ist wenig bekannt. Max Schrems sagt im Interview, dass er einen faulen Kompromiss mit vielen Ausnahmeregelungen befürchte, deren genaue Auslegung die Gerichte für Jahrzehnte beschäftigen würde.
Safe, safer, Safe-Harbor. Not.
Dabei ist eigentlich alles klar: Datenschutz ist ein Grundrecht, das in Artikel 8 der EU-Grundrechtecharta festgeschrieben ist. Der Europäische Gerichtshof (EuGH) hat dies in den vergangenen zwei Jahren mehrmals bestätigt, zuletzt durch das Safe-Harbor-Urteil im Oktober.
Zuvor war es den Unternehmen durch die Safe-Harbor-Entscheidung der Kommission aus dem Jahr 2000 erlaubt, personenbezogene Daten in die USA zu übertragen, wenn US-Unternehmen zusicherten, die EU-Standards einzuhalten. Der EuGH stoppte diese Praxis auch unter dem Eindruck der Snowden-Leaks, welche die Massenüberwachung der US-amerikanische Geheimdienste enthüllten. So war es den US-Sicherheitsbehörden erlaubt, Daten einzusehen, wenn die nationale Sicherheit ihrer Meinung nach gefährdet war. Weil zuvor US-Recht über EU-Recht gestellt wurde, war es weder europäischen Bürger*innen noch Datenschützer*innen praktisch möglich zu überprüfen, was in den USA mit den Daten angestellt wurde.
Zwar stellt das Urteil eine schallende Ohrfeige für die EU-Kommission dar, doch feiert sie sich als Siegerin und plant ein Folgeabkommen, welches schnellstmöglich die entstandene Rechtslücke schließen soll. Neben dem eigentlich nur für die Kooperation zwischen den Polizei- und Sicherheitsbehörden gedachten „Umbrella Agreement“ zum transnationalen Datenaustausch zwischen Behörden, bietet sich auch noch das Freihandelsabkommen TTIP als möglicher Ersatz an.
Das Jahr 2015 hat wieder einmal gezeigt: Es sind die Gerichte, die positive Entscheidungen für den Datenschutz fällen und die Grundrechte verteidigen. Demnächst werden sie sich wohl mit der EU-Datenschutz-Grundverordnung auseinandersetzen können. Seitens der EU-Kommission und der nationalen Regierungen sind wohl nur weitere Angriffe auf die informationelle Selbstbestimmung zu erwarten.
Interview mit Max Schrems
Max Schrems ist Initiator der Klage Europe v. Facebook. Hier spricht er über die Schwerpunkte zum Thema Datenschutz, die dieses Jahr besonders wichtig waren. Der österreichische Jurist ist neben seiner laufenden rechtlichen Auseinandersetzung mit Facebook auch an der langfristigen Planung für eine europäische NGO beteiligt, die Bürger*innen bei Datenschutzklagen organisatorisch und finanziell unterstützt.
Was sind aus deiner Sicht die wichtigsten Ereignisse in Sachen Datenschutz in diesem Jahr?
Max Schrems: Ich glaube, das spannendste wird die Datenschutzgrundverordnung und ihr abschließender Gesetzestext sein. Ende des Jahres soll sie kommen, aber wer weiß, was dann genau drinsteht. Natürlich war das Safe-Harbor-Urteil eines der großen Trümmer und die Vorratsdatenspeicherung ist fraglos auch noch spannend.
Was erwartest du dir von der Datenschutzgrundverordnung?
Max Schrems: Da kommt irgendetwas zwischen „Horror“ und „ein bisschen besser“ heraus. Es kommt wirklich auf die Details an, die am Ende hinein- und rausverhandelt werden. Da habe ich etwas Panik, dass man sich auf irgendetwas einigt, nur damit man sich geeinigt hat, aber das Ergebnis am Ende nicht durchsetzbar sein wird. Teilweise versucht man hier Lösungen mit einem generischen Text zu finden, mit dem jeder zufrieden sein soll. Ich sehe die große Gefahr darin, dass wir noch die nächsten fünfzehn Jahre lang zum EuGH pilgern werden müssen, um herauszufinden, was uns dieses Gesetz eigentlich sagen will.
Deine Befürchtung ist also, dass es ein fauler Kompromiss sein wird. Was sind deiner Meinung nach die zentralen Punkte in der Grundverordnung?
Max Schrems: Die Grundsatzfrage ist für mich, ob es ordentliche Strafen [Anm. d. Red: für Datenschutzverstöße] gibt, und wie diese gestaltet und umgesetzt werden. Die Iren wollen bei einem Absatz unbedingt das Wörtchen „können“ unterbringen, damit sie Strafen verhängen dürfen, wenn sie es wollen. Aber wenn Irland Strafen nach Gutdünken gestaltet und Deutschland derweil die ganze Zeit straft, haben wir genau den gleichen Effekt wie heute. Dann gibt es faktisch in dem einen Land eine Strafe und in einem anderen EU-Land eben nicht. Oft ist es eben nur ein kleines Wort, das so weitreichende Auswirkungen haben kann.
Ein anderer Aspekt ist das Prinzip der Datenminimierung. Hier sagt die Industrie, dass sie das Prinzip der Datenminimierung zugunsten von Big Data kippen will. Darunter verstehen sie, so viele Daten zu nutzen wie nur möglich. Aber allein aus grundrechtlicher Sicht ist jede Datensammlung ein Grundrechtseingriff, ergo muss das minimiert werden. Was nicht unbedingt notwendig ist, darf auch nicht gespeichert werden. Es bleibt spannend, ob die Lösungen am Ende gegen Artikel 8 verstoßen, weil sie den Vorgaben in der Grundrechtecharta nicht sorgfältig entsprechen.
Glaubst du, dass der europäische Datenschutz grundsätzlich gestärkt werden wird?
Max Schrems: Es wird eine Mittellösung geben. Die ursprüngliche Idee hinter der Verordnung ist gescheitert. Erstens wird nicht alles wie geplant vereinheitlicht, weil die Mitgliedstaaten viele nationale Ausnahmeregelungen eingebaut haben. Folglich wird es in allen Ländern ein Datenschutzbegleitgesetz geben müssen, um alles entsprechend zu implementieren. Zweitens ist noch unklar, wie durchsetzbar die Regelungen sein werden und wie sie konkret aussehen. Wenn in wesentlichen Punkten keine Einigung erzielt wird, sondern einfach ein generischer Kompromiss festgeschrieben wird, bringt das niemandem etwas.
Ein Meilenstein war sicherlich das von dir schon genannte Safe-Harbor-Urteil. Es gibt Stimmen, die nun einfach eine verbesserte Variante, eine Art Safe-Harbor 2.0 fordern. Wird das deiner Meinung nach im Rahmen der EuGH-Entscheidung überhaupt möglich sein?
Max Schrems: Ich glaube es ist unmöglich, aber es wird trotzdem getan werden. Bisher sieht es so aus, als plane die Politik das zu tun, aber die zuständigen Beamten haben keine Ahnung, wie das gehen soll. Völlig absurd war, wie sich die EU-Kommission hinstellte und erklärte, dass sie sich durch das Urteil bestätigt sieht. In dem Urteil und der Verhandlung ist die EU-Kommission fast acht Stunden lang von den Richtern verbal verprügelt worden. Sie hat das Umbrella-Agreement zwischen USA und EU als Ersatzvereinbarung genannt, aber das ist hier ungeeignet einzuspringen, denn es gilt nur für den Austausch von Daten im behördlichen Bereich. Wenn die Daten erstmal an Facebook gelangen, dann über den Atlantik fließen und in den USA wieder von Behörden abgegriffen werden, ist das Umbrella-Agreement überhaupt nicht anwendbar.
Warum hat es so lange gedauert, bis sich die Gerichte mit Safe-Harbor beschäftigt haben? Warum hat es dich gebraucht, um das anzustoßen?
Max Schrems: Dass Safe-Harbor nicht rechtskonform ist, war schon lange klar. Es war aber einfach politisch nicht gewollt, daran etwas zu ändern. In Brüssel und in Deutschland wird die transatlantische Freundschaft so weit übertrieben, dass man nicht einmal mehr Kritik äußern darf. Im privaten Bereich hat Safe-Harbor schlichtweg keinen Schutz gebracht. Wenn ich mich privat mit irgendeinem US-Unternehmen über meinen Datenschutz streiten müsste, hätte ich unter Safe-Harbor schon verloren, weil die Durchsetzung in den USA schon immer ein Witz war. In den 1990er Jahren haben die USA unglaublich Druck gemacht und ein Abkommen verlangt, ansonsten hätte sie die EU vor der WTO verklagt. Europa ist da eingeknickt. Hier brauchte es anscheinend einfach einen Bürger, der sich aufregt, und ein Gerichtsurteil.
Nun bist du mit dem von dir ausgelösten Urteil vielen Leuten gehörig auf die Füße getreten und hast auch Kritik bekommen. Wie war das für dich?
Max Schrems: Die Kritik hat mich nicht persönlich getroffen, da sie so unsubstanziert und dämlich war, dass es eher unterhaltsam war. Aus den USA kamen Stimmen, die das Urteil als Protektionismus verteufelt haben, der europäische Unternehmen schützen sollte – als ob das im Interesse der beteiligten Richter gewesen wäre. Eher problematisch war die große Öffentlichkeit, die in Österreich schon massiv war. Es ist schon skurril, zum Thema Datenschutz zu arbeiten und dann seine Privatsphäre ein Stück weit zu verlieren.
Wie geht es jetzt mit deiner Klage gegen Facebook weiter?
Max Schrems: Es gibt in Wien eben die Sammelklage gegen Facebook. Hier geht es aber zunächst um prozessrechtliche Fragen. Facebooks Strategie war zu behaupten, dass wir in Österreich überhaupt nicht gegen sie klagen könnten. Bei den Sammelklagen haben wir erstmalig eine etwas neue Version gewählt, die etwas steil ist, aber rechtlich funktionieren müsste. Nun müssen wir schauen, ob die Richter da nicht etwas zu sehr Bauchweh haben, und ob wir die Sache als Musterklage einbringen können. Das Grundproblem besteht wieder darin, dass die Richter diese Klagen loswerden wollen und sich für nicht zuständig erklären. Denn kein Richter will irisches Datenschutzrecht, kalifornisches Zivilrecht, österreichisches Verfahrensrecht und österreichischen Konsumentenschutz auf den Tisch und darin herumrühren. Entweder braucht es hier sehr motivierte Richter oder jemanden, der zwangsverpflichtet wird.
Im letzten Jahr waren Safe-Harbor und die EU-Datenschutz-Grundverordnung die großen Themen. Was wird 2016 im Datenschutzbereich wichtig werden?
Max Schrems: Es wird die Einordnung der Grundverordnung kommen, also um die genauen Details gehen. Das ist eine epochale Entscheidung, die uns die nächsten zehn bis fünfzehn Jahre beschäftigen wird. Spannend wird sicherlich auch, wie es nach den Anschlägen in Paris mit Überwachungsgesetzen weitergeht. Die werden wohl de facto nicht mehr dieses Jahr entschieden werden. Auch die Speicherung von Fluggastdaten (PNR) wird uns im nächsten Jahr begleiten, denke ich.
Vielen Dank an Nikolai Schnarrenberger für die Transkription des Interviews.
-
: Liegt die Zukunft der informationellen Selbstbestimmung in der EU?
: Liegt die Zukunft der informationellen Selbstbestimmung in der EU? Diese Woche fand die vom Forum Privatheit veranstaltete Konferenz zum Thema „Die Zukunft der informationellen Selbstbestimmung“ statt. Das Forum Privatheit ist ein vom Bundesministerium für Forschung und Bildung gefördertes Verbundprojekt, an dem Wissenschaftler_innen verschiedener Disziplinen und Institutionen beteiligt sind. Auszüge wollen wir im Folgenden zusammenfassen. Das vollständige Programm ist hier abrufbar.Konferenzbericht von Ricarda Moll und Andrea Jonjic.
Nach der Eröffnung der Veranstaltung durch den parlamentarischen Staatssekretär des BMBF Stefan Müller sprachen zunächst Eric Clemons, Professor of Operations and Information Management an der Warthon School der Pennsylvania University, und im Anschluss Peter Schaar, der ehemalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.
Eric Clemons forderte die EU auf, eine wirksame und durchsetzungsstarke Datenschutz- und Wettbewerbsschutzgesetzgebung zu implementieren, da nur so die unfairen Wettbewerbsvorteile von US-Firmen – die einen sogenannten first mover advantage hatten – wieder ausgeglichen werden. Einige seiner Hauptargumente kann man hier nachlesen.
Peter Schaar kritisierte unter anderem, dass die EU-Grundrechtecharta den Begriff der informationellen Selbstbestimmung nicht aufgreift, obwohl dieser über den Begriff des Datenschutzes hinausgeht und besonders wichtig sei. Beim Datenschutz stünde nicht der Mensch als Schutzobjekt unmittelbar im Vordergrund, während informationelle Selbstbestimmung unter anderem Kontrolle für das Individuum über seine Informationen fordert. Er kritisierte scharf aktuelle Trends in der Diskussion über Datenschutz und Privatheit, angefangen bei der Vorratsdatenspeicherung, über immer wiederkehrenden Forderungen nach einem Kryptographieverbot, bis hin zu Markern einer Wende in der politischen Denke, wie sie von Merkels und Gabriels Äußerungen zur Anpassung zentraler Datenschutzprinzipien an die BigData Ideologie auf dem 9. IT-Gipfel gezeigt wurden.
Wissenschaftliche Perspektiven
Anschließend wurden in zwei parallelen Tracks verschiedene wissenschaftliche Perspektiven auf den Bereich der informationellen Selbstbestimmung gegeben, darunter juristische, informationstechnologische, medienpädagogische und –psychologische. Einige Highlights:
Marion Albers, Professorin für Öffentliches Recht, Informations- und Kommunikationsrecht, Gesundheitsrecht und Rechtstheorie an der Universität Hamburg forderte ein Umdenken beim Recht auf informationelle Selbstbestimmung. Die aktuelle Konzeption werde der Komplexität des Rechtsgegenstandes nicht gerecht. Daher müsse das Recht auf informationelle Selbstbestimmung einerseits eine grundsätzliche Regulierung vorsehen, und darüber hinaus anerkennen, dass das Konzept ganz verschiedene Schutzgüter miteinbezieht, z.B. den Schutz vor konkreten Überwachungen (z.B. bei Versammlungen), Schutz des guten Rufes und auch Schutz vor Stigmatisierung und Diskriminierung beinhalten.
Arnold Picot, Professor am Center for Digital Technology and Management in München setzte sich mit der Bedeutung ökonomischer Prinzipien für das Verhältnis von Privatssphäre und Freiheit auseinander. Privatheit schließe Freiheit mit ein und ein Einschnitt in die Privatssphäre sei immer ein Einschnitt der eigenen Freiheit. Er argumentierte, dass man zwar mit Freiheit (und damit auch mit der eigenen Privatheit) handeln könne – zum Beispiel indem man einen Vertrag abschließt – der Kern eines jeden Vertrags sei es jedoch, dass er wieder auflösbar, also reversibel ist. Seine Analyse der AGBs großer Player wie Facebook, Amazon, Google zeigt jedoch, dass der jeweilige Handel mit den eigenen Daten eben nicht reversibel ist, und entsprechend die eigene Freiheit maßgeblich beschneidet. Zaghafte Ansätze zur Umsetzung des Reversibilitätsprinzips zeigt nach dieser Analyse übrigens Ebay.
Martin Rost, Mitarbeiter vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein, stellte in Frage, dass es die Aufgabe von Datenschützern sei, Bürger zu verantwortlichem digitalem Handeln zu erziehen. Im Gegenteil sollten sie Organisationen dazu erziehen, verantwortungsvoll mit personenbezogenen Daten umzugehen. Ob Organisationen effektiven Datenschutz eingebaut haben, müsse effizient prüfbar sein.
Wissenschaft trifft Wirtschaft trifft Politik
Am Freitag Nachmittag berichteten Philipp Richter und Tobias Matzner als Rapporteure von den jeweiligen Tracks und gaben neue Impulse. In beiden Tracks schien die Frage zentral gewesen zu sein, welche Verantwortung dem Individuum zukommt. Richter argumentierte, dass das Individuum überfordert sei und den Handlungsrahmen, den die IT vorgibt, kaum beeinflussen könne. Zudem sei es Nachrichtendiensten und großen Unternehmen unterlegen, und vor allem im Falle von Kindern und Jugendlichen werde deutlich, dass das Individuum nicht im Zentrum der Verantwortung stehen könne. Dennoch seien sich die Diskutierenden in den Tracks einig gewesen, dass die Nutzer_innen auch nicht komplett als Verantwortliche aufgegeben werden können. Vielmehr brauche es eine Mischung aus individuellem Schutz und einem kollektiven Schutzeinsatz – hier greife die informationelle Selbstbestimmung, da sie nicht rein individualistisch ist, sondern auch den Schutz des Gemeinwesens im Blick hat. Während Richter betonte, dass zunehmend auch über demokratische Technikgestaltung gesprochen werden müsse, wies Matzner daraufhin, dass die Regulierung von Unternehmen angegangen werden müsse. Starke Datenschutzregeln auf EU-Ebene würden nicht automatisch Nachteile für Unternehmen bedeuten, und der Bedarf sei da: Nutzer_innen verwenden zwar gewisse Dienste – jedoch nicht, weil sie mit ihnen so zufrieden seien, sondern weil schlichtweg keine Alternative gesehen werde.
Konstantin von Notz antwortete als netzpolitischer Sprecher der Grünen im Bundestag, dass vor allem in der Rechtspflege und Gesetzgebung in den vergangenen Jahren geschlafen worden sei. Es gebe kein relevantes Datenschutzgesetz, weder in Deutschland noch auf EU-Ebene, das neuen Veränderungen Raum gebe und die Nutzer_innen stärke.
Gerold Reichenbach von der SPD, stellvertretender Vorsitzender des Ausschusses Digitale Agenda, wunderte sich welche Fragen heutzutage gestellt werden: es werde über Dinge diskutiert, die längst ausgehandelt seien. Nicht erst seit der digitalen Welt sei vieles unkontrollierbar für das Individuum, und nicht erst jetzt stellen sich Fragen nach der Schutzpflicht des Staates. Laut Reichenbach solle sich mehr um technische Fragen gekümmert werden, wie in der „alten, analogen Welt“.
Im Abschlussplenum trafen schließlich Vertreter_innen aus Wirtschaft, Politik und Wissenschaft aufeinander. Stefan Winners von Hubert Burda Media forderte einheitliche Spielregeln auf EU-Ebene, nur so könne die „Vollkatastrophe“ vermieden werden, dass Unternehmen sich selbst ihre Regeln aussuchen können. Es sei nicht verwunderlich, dass es kaum bedeutende europäische Player gebe, wo doch Unternehmen wie Google gravierende strukturelle Vorteile hätten.
Jörn Lamla von der Universität Kassel sah in den Ausführungen von Winners ein Drohszenario und merkte an, dass möglicherweise ein effektives Dohszenario für die Wahrung der Grundrechte fehle. Die Wirtschaftslobby habe schließlich erreicht, dass Merkel von Abwägung zwischen Datenschutz und Big Data spricht und dass Datenschutz nicht „die Oberhand“ gewinnen dürfe – dies zeige, dass das Drohszenario, welches von der Wirtschaft gezeichnet wird, anschlussfähig ist. Aufseiten des Datenschutzes stelle es sich jedoch viel diffuser dar, und dies müsse angegangen werden.
Wolf-Dieter Lukas vom BMBF kitisierte, dass Bürger_innen nicht einmal einfachste Verschlüsselung nutzen, woraufhin von Notz anführte, dass es recht widersprüchlich sei die Anwendung von Verschlüsselung zu fordern, während die Bundesregierung Milliarden darin investiere, ebendiese zu brechen.
Die Landesbeauftragte für Datenschutz in Schleswig Holstein, Marit Hansen, wirft vor allem Merkel und Gabriel vor, mit Begriffen wie „Datensparsamkeitsdiktat“ stark zu polemisieren. Schließlich gebe es nicht einmal Sanktionsmöglichkeiten bei Nicht-Sparsamkeit. Auch sie setzt Hoffnungen auf die Verhandlungen in der EU, vor allem privacy by design müsse in diesem Zusammenhang Beachtung finden.
Lukas, der angab den Begriff „Datensparsamkeit“ mit erfunden zu haben, wiederholte seine Forderung, dass Bürger_innen verschlüsseln sollen. Derzeit würden vor allem diejenigen verschlüsseln, die eigentlich nicht geschützt werden sollten – „Gefährdende“ sollten diesen Schutz nicht genießen können, und hier müsse auch noch „das ein oder andere“ geknackt werden. Dies sei höchst widersprüchlich, merkte von Notz wiederum an. Die Regierung schaffe „Unsicherheit mit Staatsknete“ und beklage dann mangelnde IT-Sicherheit: das zeige, dass „man nicht verstanden hat, was man macht“. Doch auch die Wirtschaft sei ambivalent. Einerseits werde dem Silicon Valley nachgeeifert, andererseits fordere man stärkere europäische Regeln.
Hansen wies zuletzt daraufhin, dass nicht nur die Bürger_innen souverän sein müssten, sondern – vor allem in Hinblick auf den NSA-Skandal – auch die Staaten. Dabei seien Vorbilder wichtig, ob dies nun den Videokanal der Kanzlerin betreffe der nur auf Youtube zu finden sei, oder Software im Öffentlichen Dienst.
In einer letztendlich recht harmonischen Diskussion blieb zuletzt vor allem die Hoffnung aller auf die Datenschutz-Grundverordnung der EU. Darüber, dass diese vor allem in den Trilog-Verhandlungen zwischen Kommission, Rat und Parlament verwässert und aufgeweicht worden ist, fiel leider kein Wort.
-
: Wann kommt ein „sichererer Hafen“ für TTIP? Die Folgen der EuGH-Entscheidung
USA kein sicherer Hafen für europäische Daten? by Old Carissa <a href="https://creativecommons.org/licenses/by/2.0/">(CC BY 2.0) </a>via <a href="https://www.flickr.com/photos/misserion/2275742553/">flickr</a> : Wann kommt ein „sichererer Hafen“ für TTIP? Die Folgen der EuGH-Entscheidung Wenn EU-Kommissarin Vĕra Jourová an diesem Freitag nach Washington reist, sollen dort die Kernpunkte von „Safe-Harbor 2.0“ unter Dach und Fach gebracht werden. Doch diese Aufgabe könnte sich als äußerst schwierig erweisen. Denn wie ein Folgeabkommen zu Safe-Harbor ohne substantielle Gesetzesänderungen in den USA aussehen soll, kann niemand so genau sagen. Wir wollen eine kurze Übersicht zum Stand der Diskussion geben.
Die Safe-Harbor-Entscheidung des EuGH hat einigen Wirbel verursacht. EU-Kommission und Mitgliedsstaaten, sie alle versuchen sich nun als Sieger des Verfahrens darzustellen. Doch zunächst ist das Urteil die erwartete schallende Ohrfeige für die Kommission. Sie hat durch das Safe-Harbor-Abkommen mit den USA, hiesige Daten sehenden Auges in ein System überantwortet, das auf wirkungslose Selbstverpflichtung der Unternehmen setzt und US-Behörden für ihre Massenüberwachungsprogramme Zugriff darauf gewährt.
Natürlich gibt es jetzt Übergangslösungen und andere Rechtsgrundlagen, um die Datenverarbeitung in den USA weiter zu ermöglichen. Max Schrems, der das Verfahren bis vor den Europäischen Gerichtshof angestrengt hatte, kritisierte dieses Problem bereits. Aber es zeichnet sich derzeit ab, dass erst einmal alles beim Alten bleibt. Denn die EU-Kommission beeilt sich fieberhaft, das Loch zu schließen, das die Gerichtsentscheidung in die Komfortzone der Unternehmen gerissen hat. Die Verhandlungen eines neuen Abkommens zum Datentransfers, ein „Safe-Harbor 2.0“, sind gerüchtehalber schon weit fortgeschritten. Also können die Unternehmen wohl aufatmen und eine drängende Dreimonatsfrist der Datenschutzbehörden verstreichen lassen, weil bis dahin der Datentransfer auf einer neuen Rechtsgrundlage möglich sein wird.
Eine Frist der Datenschutzbeauftragten
Mitte Oktober hatte die europäische Artikel-29-Datenschutzgruppe angekündigt, dass bis Ende Januar 2016 eine Lösung gefunden werden müsse. Falls bis dahin keine neue Grundlage für die Datenübermittlung in die USA gefunden werde, drohten die Datenschutzbeauftragten „koordinierte Durchsetzungsmaßnahmen“ und Konsequenzen an. Die Position und die Befugnisse der Datenschutzbeauftragen war durch die Entscheidung des Europäischen Gerichtshofs enorm gestärkt worden.
Denn eine wichtige Konsequenz für das Folgeabkommen ist, dass die Datenschutzbeauftragten tätig werden dürfen, wenn sie mit der nun kommenden neuen Vereinbarung der EU-Kommission über ein „safer Safe-Habor“ nicht einverstanden sind. Das gilt, wenn sie der Meinung sind, dass in einem Drittland kein angemessenes Datenschutzniveau besteht, das mit dem europäischen „essentially equivalent“ ist. Zur Kontrolle der Kommissionsentscheidung können Datenschutzbeauftragte vor dem EuGH respektive den nationalen Gerichten klagen.
Damit die neue Vereinbarung Bestand haben wird, verspricht EU-Vizepräsident Andrus Ansip, eine „kugelsichere Lösung“ zu finden. Wie diese überhaupt aussehen kann wurde in der vergangenen Woche bei einer Pressekonferenz der Kommission maximal unbestimmt skizziert. Das System der Selbstverpflichtung für US-Unternehmen, die sich einfach zu den Safe-Harbor-Bestimmungen bekennen konnten, soll durch ein Verfahren ersetzt werden, „that is more responsive as well as pro-active and back-up by significant enforcement, including sanctions.“ Ob das tatsächlich europäischen VerbraucherInnen ermöglicht, vor US-Gerichten gegen Datenschutzverletzungen von US-Firmen zu klagen bleibt noch fraglich.
Der weitere Kernaspekt der Massenüberwachung liest sich vergleichbar schwammig. Immerhin verspricht die Kommission, sich in den Verhandlungen dafür einzusetzen, dass kein Zugriff auf europäische Daten auf einer „generalised basis“ stattfindet, sondern darüber ausreichende juristische Aufsicht besteht. Das könnte ein entscheidender Punkt bei den Verhandlungen sein, der auch darüber entscheidet, wie einsturzgefährdet ein neues Safe-Harbor-Abkommen sein wird.
Doch wird stark bezweifelt, dass die USA eine Vereinbarung unterzeichnen, die es ihr verbietet, massenhaft auf die dorthin gesendeten Daten zuzugreifen; geschweige denn EU-BürgerInnen einen höheren Datenschutzstandard gewährt, als ihren eigenen EinwohnerInnen. Dieses Fazit zieht jedenfalls Max Schrems nach einer genaueren Analyse der Vorgaben des EuGH-Urteils:
After a second review of the judgment of the CJEU it will be very hard to come up with a solution that addresses all problems identified by the Court, given the US position.
Gerade angesichts des Zeitdrucks, eine Lösung bis Januar zu finden, bezweifelt auch der Europaabgeordnete Jan-Philipp Albrecht, dass darin dem EuGH-Urteil entsprochen werden kann:
How do you want to adopt a new desicion, which is meeting the demands of the court, without beeing able to change the US-legislative framework very soon? The court has been very clear that the legislative arrangements in the USA are not allowing for an essentialy equivalent or adequate protection. There won’t be a new desicision by the EU-commission fixing that problem. (…) The court refered to the revelations by Edward Snowden by the PRISM programm and other mass surveillance programms and therefore dissmissed the adequate protection of the legal framework.
Ähnliche Befürchtungen äußerten auch eine Vielzahl von Organisationen und Einzelpersonen, die sich am Mittwoch vor der USA-Reise von Vĕra Jourová in einem offenen Brief an die Verhandlungsführerinnen über das Folgeabkommen wandten. Darin formulierten sie 13 Forderungen, und appellierten, dass ein Ende der Ende der Massenüberwachung seitens der USA, aber auch durch EU-Mitgliedsstaaten, eine wesentliche Voraussetzung für ein datenschutzfreundliches Transferabkommen sein müsse. Für eine rechtssichere Würdigung der EuGH-Entscheidung seien Gesetzesänderungen unabdingbar, heißt es in dem Brief:
A revised Safe Harbor framework similar to the earlier Safe Harbor framework will almost certainly be found invalid by the national data protection agencies and ultimately by the CJEU. It is impossible to ignore that the Schrems decision requires necessary changes in the “domestic law” and “international commitments.”
Die US-Seite hatte jedoch schon zu Beginn des Monats deutlich gemacht, dass sie keine Gesetzesänderungen in Betracht ziehe und wies den Vorwurf der Massenüberwachung zurück
Was hat das mit TTIP zu tun?
Was bedeutet das Urteil des EuGH unterdessen für die Verhandlungen über das Freihandelsabkommen TTIP? – „Ne’ Menge“, sagen die USA; „Nichts“ meint die Bundesregierung und hält an ihrer Behauptung fest, dass Datenschutz kein Bestandteil der TTIP-Verhandlungen sei. In der Antwort auf eine Kleine Anfrage der Linksfraktion im Bundestag zu den Auswirkungen des Safe-Harbor-Urteils sieht die Bundesregierung daher keinen Handlungsbedarf:
Datenschutzfragen sollen aus Sicht der Bundesregierung und der Europäischen Kommission nicht in TTIP geregelt werden. Die Europäische Kommission hat im November 2013 Empfehlungen zur Verbesserung des Safe-Harbor-Mechanismus vorgeschlagen und verhandelt seitdem mit den USA über ihre Umsetzung. Diese Verhandlungen werden nun unter Berücksichtigung der Entscheidung des EuGH weiter geführt. (Wir haben die kleine Anfrage befreit und unten angehängt)
Jedoch ist es kein Geheimnis mehr, dass die Verhandlungen über das TTIP-Abkommen sehr wohl Daten und den Handel zwischen der EU und den USA zum Gegenstand hat. Durch eine Hintertür im Verhandlungsmandat: TTIP soll nichttarifäre Handelshindernisse abbauen, um den freien Verkehr von Dienstleistungen und Waren zu befördern. Hierunter sind aber natürlich auch Daten zu verstehen. Wo über den freien Verkehr und Handel gesprochen wird, ist auch ungehinderter Datenfluss gemeint. Datenschutz ist eben ein klassisches nichttarifäres Handelshindernis.
Um dieses Schlupfloch im Verhandlungsmandat zu schließen, hatte das EU-Parlament erst im Juli dieses Jahres in der Begründung für die Midterm-Entschließung zu TTIP explizit auf einen „zufriedenstellenden Abschluss“ der Safe-Harbor-Verhandlungen Bezug genommen und gefordert:
(…) über Bestimmungen, die den Fluss personenbezogener Daten berühren, nur zu verhandeln, wenn die uneingeschränkte Anwendung der Datenschutzvorschriften auf beiden Seiten des Atlantik sichergestellt ist und geachtet wird, und zusammen mit den USA darauf hinzuarbeiten, dass Drittländer weltweit für die Einführung ähnlich hoher Datenschutzstandards gewonnen werden;
xiii) im Blick zu behalten, dass die Zustimmung des Europäischen Parlaments zu dem endgültigen TTIP-Abkommen daran scheitern könnte, dass die pauschale Massenüberwachung durch die USA nicht vollumfänglich eingestellt wird und in Bezug auf die Wahrung der Datenschutzrechte der EU-Bürger keine angemessene Lösung (…) zustande kommt;
Diese entscheidenden Punkte werden auch im EuGH-Urteil bestätigt: Einen „der Sache nach gleichwertigen“ Datenschutzstandard, die Anwendung beziehungsweise Durchsetzung dieser Standards und ein Ende anlassloser Massenüberwachung als zentrale Bedingung für das Verhandlungsergebnis. Mit den Vorgaben des EuGH-Urteils liegt also auch zentrale die Bedingung vor, dass die Verhandlungen im TTIP-Kämmerchen zum freien Fluss von Daten nur stattfinden können, wenn ein wesensgleicher Schutzstatus und dessen Anwendung auf beiden Seiten des Atlantiks besteht.
Doch es darf stark bezweifelt werden, dass die US-Verhandlungspartner diese Position teilen und in ein Safe-Harbor-Folgeabkommen aufnehmen. Bereits kurz nach dem Urteil hatte sich US-Handelsministerin Penny Pritzker enttäuscht gezeigt. Bei einer Rede auf der AmCham Germany Annual Transatlantic Business Conference in Frankfurt betonte sie dann, welche enorme Bedeutung Safe-Harbor für den Freihandel einnehme. Sie spricht auch mit Bezug auf TTIP davon, dass das EuGH-Urteil ein ernsthaftes Problem sei:
The [Safe Harbor] framework is based on privacy-protective principles – notice, choice, onward transfer, access, security, data integrity, and enforcement – which have broad consensus support in Germany, the United States, Europe, and around the world. The over 4,400 companies that participate in Safe Harbor have agreed to bind themselves to protect privacy and abide by the Safe Harbor principles. About three weeks ago, the European Court of Justice decision brought great uncertainty to businesses on both sides of the Atlantic. The decision does not give due credit to the steps we, in the United States, have taken at both the executive and legislative levels to protect privacy.
Jedoch lies Pritzker durchblicken, dass bereits beim Besuch der EU-Justiz- und Verbraucherschutzministerin Vĕra Jourová das „Safe-Harbor 2.0“-Abkommen in trockene Tücher gebracht werden soll. Naturgemäß hat Pritzker völlig gegensätzliche Argumente, aber sie stimmt in der Sache mit der Haltung des EU-Parlaments überein, dass ein solides Safe-Harbor-Folgeabkommen von fundamentaler Bedeutung für die TTIP-Verhandlungen ist. Schließlich soll darin die Grundlage gelegt werden, dass die voranschreitende Digitalisierung der Wirtschaft im späteren TTIP-Abkommen mit ungehinderten Datenflüssen rechnen kann. Der gemeinsame Wirtschaftsraum, den TTIP über den Atlantik spannen soll, wird also selbstverständlich auch den Austausch von Daten umfassen.
Safe-Harbor – Die Another Day
Wir dürfen uns also darauf freuen, dass die EU-Kommission sehenden Auges ein „Safe-Harbor 2.0“ vereinbaren wird, das auf dem Fuße den Vorgaben des EuGH-Urteils widerspricht. Ein Schelm, wer sich da nicht an ein Vorgehen der deutschen Bundesregierung erinnert fühlt, als es um die Voratsdatenspeicherung 2.0 ging. Auch hier wurde kaltschnäutzig ein EuGH-Urteil in den Wind geblasen, indem man einer baugleiche Neuauflage einfach einen bunten Anstrich und ein wenig Umbenennung verpasst.
Die politische Begründung für das Save Harbor-Urteil tritt schnell wieder in den Hintergrund. Unter dem wirtschaftlichen Gesichtspunkt soll nach einer möglichst schnellen Lösung gesucht werden, um den Hafen wieder befahrbar zu machen. Dass die Datenschiffe, die dort anlegen, bis auf den hintersten Winkel von der NSA durchsucht werden, darf aber in der Debatte nicht zu kurz kommen.
-
: Polizeiliche Vorhersagesoftware: Neue Testläufe in Nordrhein-Westfalen und Baden-Württemberg
2011 unterzeichneten die Universität Freiburg und IBM ein Kooperationsabkommen, das auch "Predictive Policing" umfasst. Das System wurde bereits einigen Landeskriminämtern vorgeführt. : Polizeiliche Vorhersagesoftware: Neue Testläufe in Nordrhein-Westfalen und Baden-Württemberg Seit zwei Wochen wird auch in Karlsruhe und Stuttgart eine Software zur Vorhersage von Wohnungseinbrüchen ausprobiert. Dabei werden Daten vergangener Einbrüche, Tatorte und ‑zeiten, das Vorgehen der TäterInnen und die erbeuteten Gegenstände miteinander abgeglichen. Ein Algorithmus errechnet dann die Wahrscheinlichkeit neuer Einbrüche und zeigt die wahrscheinliche Gegend an. Die Polizeidirektionen können daraufhin verstärkte Streifenfahrten anweisen.
Für die Prognose von Straftaten können weitere Datenquellen herangezogen werden, etwa der Wetterbericht oder Informationen zu Großereignissen, bei den viele EinwohnerInnen mutmaßlich nicht daheim sind. Der Schweizer Kanton Aargau hat eine App programmieren lassen, die entsprechende Warnungen auf das Mobiltelefon interessierter BürgerInnen pusht.
Der Testlauf der bereits in Bayern und in einigen Schweizer Kantonen erfolgreichen Software „Precobs“ dauert ein halbes Jahr. Anschließend folgt eine Auswertung durch das Max-Planck-Institut für ausländisches und internationales Strafrecht. Dann will das Land Baden-Württemberg über die flächendeckende Einführung des Systems entscheiden.
Nordrhein-Westfalen testet IBM-Software
Wie angekündigt hat auch in Nordrhein-Westfalen der Testbetrieb einer Vorhersagesoftware begonnen. Zum Zuge kommt jedoch ein Produkt des US-Konzerns IBM. Eine „operative Phase“ begann laut der Landesregierung mit einiger Verspätung am 1. November in Duisburg und Köln. Weil die Software komplex sei, habe die Einarbeitung „mehr Zeit in Anspruch genommen, als in der Planungsphase angesetzt worden ist“. Untersucht wird nicht nur die Software, sondern auch der Erfolg sich anschließender „polizeilicher Interventionen“.
Der Zuschlag für das IBM-System erfolgte nach einer landesweiten öffentlichen Ausschreibung. Beschafft wurde schließlich die Statistik- und Analyse-Software „IBM SPSS Modeler“, die IBM nach der Übernahme der bis 2009 eigenständigen Firma SPSS vertreibt. Um mit seiner Polizeisoftware in Deutschland Fuß zu fassen, startete IBM vor vier Jahren eine Kooperation mit der Universität Freiburg.
Für den Verkauf an deutsche Polizeibehörden beauftragt IBM die deutsche Firma SVA System Vertrieb Alexander GmbH mit Sitz in Berlin, die entsprechende Produkte auf einer eigens eingerichteten Webseite bewirbt. Auch der Vertrag zwischen dem Landeskriminalamt NRW und IBM wird über die Berliner Firma abgewickelt. Das Pilotprojekt dauert ebenfalls ein halbes Jahr, für Ende 2016 ist die Vorlage eines Abschlussberichts vereinbart. Nach einer Bewertung der Ergebnisse will die Landesregierung über eine Einführung der Technik entscheiden.
Data Mining mit Abgleich von 200 Datenfeldern
Laut einer Antwort des niedersächsischen Innenministers Boris Pistorius haben die Zentrale Polizeidirektion Niedersachsen, das LKA Niedersachsen und die Polizeidirektion Braunschweig eine Erprobung von vorhersagender Polizeiarbeit mit IBM durchgeführt. Ziel dieses eine Woche dauernden Projekts war demnach, „möglichst treffgenaue Vorhersagen für Straftaten zu generieren“. Für die Entwicklung eines Vorhersagemodells wurden Einbruchsdaten der Stadt Hannover genutzt, auf deren Grundlage eine Software Prognosen errechnete. Die Treffgenauigkeit wurde dann anhand realer Vorkommnisse überprüft.
Das hessische Landeskriminalamt hat ebenfalls Erfahrung mit IBM-Prognosesoftware gesammelt. Die Kriminalistisch-Kriminologische Forschungsstelle nutzte ein SPSS-System, um in einem Forschungsprojekt sogenannte Mehrfach- und IntensivtäterInnen zu ermitteln. Dabei wurden Informationen mittels Data Mining aus mehreren Polizeidatenbanken zusammengeführt und ausgewertet. Mindestens 200 Datenfelder wurden miteinander abgeglichen. Die IBM-SPSS-Linie kann auch sogenannte unstrukturierte Daten verarbeiten. In Hessen wurden hierfür Interviews mit den beforschten StraftäterInnen geführt und als weitere Datenquelle eingespeist.
Ziel des hessischen Projekts war die Erstellung typischer Täterprofile, die etwa Angaben zur ersten begangenen oder ersten registrierten Straftat enthalten. Die Berechnungen sollen die Verhinderung weiterer Straftaten ermöglichen. Ähnliche Forschungen hatte die britische Firma Accenture auf der diesjährigen Polizeimesse „Europäischer Polizeikongress“ vorgestellt. Zusammen mit der britischen Polizei forscht Accenture an der Möglichkeit, die Wahrscheinlichkeit einer Rückfälligkeit von Gang-Mitglieder zu errechnen.
-
: Neue TiSA-Dokumente: Protokolle der Lobby-Treffen seit 2012
Demonstration gegen TiSA, Paradeplatz Zürich. <a href="https://creativecommons.org/licenses/by-nc-nd/2.0/">CC BY-NC-ND 2.0</a> via <a href="https://www.flickr.com/photos/natiez/17188864721/">Christian Natiez</a> : Neue TiSA-Dokumente: Protokolle der Lobby-Treffen seit 2012 Dies ist ein Gastbeitrag von Katharina Nocun. Katharina Nocun ist Campaignerin bei Campact e.V.. Auf dem 31C3 hat sie in einen Vortrag über das Handelsabkommen TTIP und seine Auswirkungen für Datenschutz & Netzpolitik berichtet. An dieser Stelle veröffentlicht sie umfassende Dokumente von Meetings zwischen Lobbyisten und Vertretern der EU-Kommission rund um das derzeit verhandelte Dienstleistungsabkommen TiSA.
„Really good friends of services“ – so lautet der wohlklingende Name einer kleinen eingeschworene Gemeinschaft, die regelmäßig in Genf zusammen kommt. Parallel zum Handelsabkommen TTIP verhandelt diese illustre Runde aus Vertretern von rund 50 Ländern seit 2012 über TiSA. TiSA steht für das „Trade in Services Agreement“ – ein Dienstleistungsabkommen zwischen den Mitgliedsstaaten der EU und 24 weiteren Staaten.
Ebenso wie bei TTIP klopfen seit Beginn der Verhandlungen Unternehmen an die Tür der politischen Entscheider und versuchen Einfluss auf die Verhandlungen zu nehmen. Heute veröffentliche ich 51 Dokumente von Lobbytreffen, die aus einer Informationsfreiheitsanfrage hervorgegangen sind, damit sich jeder selbst ein Bild davon machen kann, wie hier verhandelt wird und welche Gruppen dabei dominieren.
Zunächst: Was ist TiSA?
Das Dienstleistungsabkommen TiSA steht in seiner Bedeutung und Tragweite TTIP in nichts nach. Die am Verhandlungstisch vertretenen Länder kommen zusammen auf fast drei Viertel des globalen Handels mit Dienstleistungen. Der Dienstleistungssektor stellt in Deutschland fast drei Viertel der Arbeitsplätze und erwirtschaftet 69% des Bruttoinlandsprodukts.
Bei der World Trade Organization (WTO) blockieren immer mehr Länder einen pauschalen Privatisierungskurs. Diese schleppenden Verhandlungen sollen durch das neue Abkommen TiSA umgangen werden. Entwicklungs- und Schwellenländer, die bisher einen Liberalisierungskurs blockieren, werden durch dieses Abkommen unter Druck gesetzt. Die ökonomischen Platzhirsche wollen Fakten schaffen – damit die anderen nachziehen müssen.
Iris Gleicke, Parlamentarische Staatssekretärin beim Bundesminister für Wirtschaft und Energie fand im Juli 2014 folgende beschönigende Formulierung für dieses Vorgehen:
TiSA ist das Folgeabkommen des GATS-Abkommens von 1995, und es betrifft eigentlich die Doha-Runde mit 160 Staaten. Nun haben sich 22 Mitglieder, darunter die EU und Deutschland, zusammengefunden, diese Verhandlungen zu führen. Insofern findet das auf einer etwas niedrigeren Ebene statt.
Von Beginn an versuchen Lobbygruppen wie das European Service Forum (ESF) die Verhandlungen zu beeinflussen. Im Juni 2012 warb ein Vertreter des ESF mit folgenden Worten für ein neues Abkommen:
He summarised ESF members’ views as being tired of no progress at WTO, preferring a plurilateral within the WTO system, but as China and India would clearly not come on board soon, they would not want to see negotiation take off without the EU. Jam today was better than caviar tomorrow and countries signing an agreement would be an encouragement in itself.
Im September 2012 gab ein Vertreter von IBM zu verstehen, man wünsche sich eine Aufnahme der Verhandlungen, um den Druck auf bisher blockierende Länder zu erhöhen:
In the same vein, IBM stated that it would support the initiative of a plurilateral service agreement particularly, given that it currently faces more barriers to trade in services than before the crisis and before Doha slowed down, notably in China, Indonesia, Argentina and Brazil. IBM underlined the importance that the EU and the US would take the leadership in such trade initiatives in order to increase pressure on those WTO-members to join at a later stage.
TiSA: Dienstleistungen sind überall
Egal ob Wasser, Stromnetz oder Gesundheit – Die kritische Infrastruktur unserer Gesellschaft hängt in weiten Teilen von Dienstleistungen ab. Diese Bereiche sind aus gutem Grund stark reguliert durch mannigfaltigen Zugangsbeschränkungen für Investoren und staatliche Förderung für ausgewählte Betreiber.
Genau dieser Bereich droht durch TiSA unter Privatisierungsdruck zu geraten – und zwar dann, wenn die Länder-Vertreter hinter verschlossenen Türen gegenüber der Wirtschafts-Lobby einknicken. Statt einer „Positivliste“ wie beim GATS-Abkommen soll bei TiSA in einem hybriden Ansatz auch eine „Negativliste“ zum Einsatz kommen. Bei Negativlisten wird automatisch alles bei der Liberalisierung eingeschlossen, was nicht explizit ausgenommen wird.
Bereits im März 2012 warb man für den Einsatz dieser „Negativlisten“:
Peter Chase (US chamber of commerce) triggered a debate about positive vs. negative listing. All North American Interventions unsurprisingly praised negative listing […].
Mit TiSA droht, dass durch eine „Stillhalte-Klausel“ (Standstill) überall dort der Ist-Zustand der Privatisierung zementiert wird, wo es nicht ausdrücklich anders vermerkt ist. Das kommt einigen Konzernen sehr entgegen. Im Mai 2013 sprach sich ein Lobby-Vertreter der Versicherungswirtschaft für die „Standstill-Klausel“ aus:
In their position paper, they argue for a standstill clause, implementation of the Understanding on Financial services, an enhanced transparency provision and specific rules/disciplines for insurance firms (on licensing, removal of national requirements for board members and of discriminatory collateral requirements for reinsurance placements)
Hinzu kommen soll auch die Ratchet-Klausel, die Länder auf eine Marktöffnung festnagelt. Iris Gleicke, Parlamentarische Staatssekretärin beim Bundesminister für Wirtschaft und Energie erklärt das wie folgt:
Bei der Ratchet-Klausel geht es darum, dass man bestimmte Sachverhalte, die erreicht worden sind, nicht mehr rückgängig machen kann. Das heißt, wenn man bestimmte Bereiche, auf die sich das Abkommen bezieht, zusätzlich aufnimmt, dann kann man dies nicht mehr rückgängig machen. Das scheint mir durchaus sinnvoll zu sein.
Der Rückkauf der Berliner Wasserversorgung oder des Hamburger Stromnetzes wäre mit solchen Klauseln ohne Ausnahmevorbehalt zum Drahtseilakt geworden – und womöglich gar daran gescheitert. Lobbyvertreter wollen daher frühzeitig wissen wo, Ausnahmen vorgesehen sind. In einem Lobby-Dokument vom November 2012 fragt etwa ein Siemens-Vertreter, ob das öffentliche Beschaffenswesen Bestandteil der Verhandlungen sein werde:
Siemens inquired about the objective for including government procurement in this services initiative
Der Konzern Veolia (versorgt schätzungsweise 100 Mio. Menschen auch in Rahmen von privat-öffentlichen Partnerschaften mit Wasser) brachte im September 2014 das Thema Wasser auf die Agenda:
According to Veolia, there are three issues that impact the current situation:
- Confusion between concession contracts and privatisation
- Perception that with water as a public good, also the water management services should be also provided at no cost,
- Public view on private companies- multinational as a threat to national sovereignty
TiSA: Datenschutz als lästiges Handelshemmniss
TiSA soll dabei helfen, tarifäre und nichttarifäre Handelshemmnisse für Dienstleistungen abzubauen. Was nichttarifäre Handelshemmnisse sind liegt dabei im Auge bzw. Rechtsraum des Betrachters. So sehen nicht wenige Unternehmen einen höheren Datenschutzsstandard als lästige Handelsbarriere, der den „freien Datenstrom“ einschränkt und Geschäfte behindert. In einem von netzpolitik.org im Dezember 2014 veröffentlichten TiSA-Verhandlungstext heißt es:
Kein Unterzeichner darf einen Diensteanbieter eines anderen Unterzeichners daran hindern, Informationen zu übertragen, auf sie zuzugreifen, sie zu verarbeiten oder zu speichern. Das schließt persönliche Daten mit ein, wenn der Vorgang in Zusammenhang mit der Ausführung der Geschäfte des Diensteanbieters steht.
Solche Entwürfe kommen nicht von ungefähr. Im Juni 2012 nutzten Vertreter des Finanzsektors ein Treffen, um gegen die EU-Datenschutzverordnung Stimmung zu machen:
CityUK expressed concerns about proposed legislation on data protection which could have negative effects on trade if popular outsourcing destinations for data processing and storage of EU business would no longer be regarded acceptable in terms of data protection standards.
Transparenzinitiative der EU-Kommission: 3 Seiten Text für eine Woche Verhandlung
Ähnlich wie bei TTIP ist der Verhandlungsprozess von TiSA durch Intransparenz gekennzeichnet. Die illustre Runde der „Wirklich guten Freunde der Dienstleistungen“ redet nicht gerne über den Stand der Verhandlungen. Außer mit Lobbyisten – mit denen trifft man sich zum „Luncheon“.
Wohl auch als Folge der massiven Kritik an den TTIP-Verhandlungen stellte die EU-Kommission kürzlich einen Bericht zur der letzten Verhandlungsrunde ins Netz: Fünf Seiten (davon zwei Seiten Zusammenfassung und Deckblatt) für eine fast einwöchige Verhandlungsrunde – also ganze 3 Seiten Text. Die Positionen der einzelnen Ländervertreter lassen sich daraus ebenso wenig ablesen wie ein konkreter Zwischenstand. Der Bericht zeigt dafür, dass über „Datenströme“ und Datenschutz im Rahmen von TiSA bereits verhandelt wird. Doch was „unnötige Barrieren für Datenströme“ und was genau die „Ausnahmen für den Schutz persönlicher Daten“ sein sollen, lässt sich aus den kurzen Notizen der Verhandlungen nicht ablesen. Zwar beteuern die Verhandler der EU, sie hätten den Schutz öffentlicher Infrastruktur im Blick. Was das genau ein- oder ausschließt bleibt aber unklar. Es fehlt eine einheitliche Definition für öffentliche Daseinsvorsorge zwischen den Staaten am Verhandlungstisch. Im Bericht bleibt man gerne vage. Jedenfalls gegenüber der Öffentlichkeit.
TiSA: Welcome to Lobbyist’s Paradise
Lobbyisten sind am liebsten bei den Verhandlungen hautnah dabei. So wurde etwa in einem Treffen mit dem Lobbyverband ESF im März 2014 der Wunsch geäußert, sich in Genf direkt mit den Verhandlern zu treffen. Diesem Wunsch wurde prompt entsprochen:
A meeting with Members of the European Services Forum (ESF) took place on 28 April, in the margins of the TiSA round. During this meeting the EU gave a general read-out of the latest developments of the talks, focusing notably on the next steps regarding market access and discussion on regulatory disciplines.
Im September 2014 nahmen Vertreter der EU-Kommission zusammen mit weiteren Verhandlungsführer an einem informellen „Luncheon“ der Coalition of Service Industries (CSI) teil:
I took part in the TiSA Negotiators Luncheon hosted by CSI ahead of the summit tomorrow. TiSA negotiators from AU, US, NZ (Geneva based) and CO, TW (capital based) were also present. It was rather informal […].
Diese Vorstellung einer Zweiklassen-Informationspolitik zeigt sich auch im Inhalt des Abkommens. Wenn TiSA einmal ausverhandelt ist, wollen US-Vertreter erwirken, dass ihre Verhandlungsdokumente und damit ihre Verhandlungsstrategie noch mindestens für weitere fünf Jahre geheim bleiben. Außerdem sollen Konzerne frühzeitig über neue Gesetze informiert werden – diese können so direkt Einfluss auf die Gesetzgebung nehmen.
Nicht nur Vertreter der EU-Kommission und der Regierungen zeigen mehr Lobby-Nähe als den Bürgern lieb sein sollte. Die Berichterstatterin des Handelsausschusses im EU-Parlament, Viviane Reding, bezieht monatliche Nebeneinkünfte in vierstelliger Höhe von der Bertelsmann-Stiftung – die ihrerseits seit langem aggressiv für TTIP wirbt.
TiSA: Schluss mit der Intransparenz!
TiSA hat gigantische Ausmaße: Die Länder am Verhandlungstisch repräsentieren drei Viertel des globalen Handels mit Dienstleistungen. Die Deutsche Industrie und Handelskammer äußerte in einem Lobby-Meeting im Februar 2015 die Befürchtung, TiSA könnte mehr Kritik einfahren als TTIP. Angesichts der Tragweite des Abkommens und der Intransparenz der Verhandlungen ist diese Befürchtung mehr als berechtigt.
She was concerned that TiSA becomes even more criticised than TTIP and promised to activate the Chambers to pass positive messages. She also promised to get back to us with specific market access barriers as well as possible business case supporting our proposal on GP.
Abkommen wie TTIP, TiSA und CETA schränken unseren Spielraum, demokratisch über unsere Ökonomie zu entscheiden, gravierend ein. Nachdem TTIP durch ausdauernden Protest einer breiten Bewegung einen schweren Stand hat, täten wir gut daran, uns auch TiSA zuzuwenden. Statt eines neues Handelsabkommens wäre es höchste Zeit für ein wirksames Abkommen zu Schutz unserer Daten vor Konzernen und Geheimdiensten. Uruguay und Paraguay sind kürzlich aus den Verhandlungen zu TiSA ausgestiegen. In Deutschland fordern bereits über 280.000 Menschen die Bundesregierung dazu auf, die Verhandlungen zu beenden. Zeit zu handeln!
-
: Wir schulden es Snowden, Datenschutz sexy zu machen – Filmemacher Bernet im Interview
(©David Bernet) : Wir schulden es Snowden, Datenschutz sexy zu machen – Filmemacher Bernet im Interview Mit „Democracy – im Rausch der Daten“ feierte in der vergangenen Woche ein ungewöhnlicher Film Premiere. Einen scheinbar trockenen und schmutzigen EU-Gesetzgebungsprozess in einen spannenden Dokumentarfilm zu verpacken, ist eine große Herausforderung. Dem Regisseur David Bernet ist dieses Kunststück gelungen. Wir haben den Film mit dem sperrigen Titel vorab gesehen und ihn bereits auf netzpolitik.org rezensiert. Zweieinhalb Jahre lang hat sich Bernet mit einem Filmteam ins Innere der EU-Institutionen vorgearbeitet und die Entstehung der neuen Datenschutzrichtlinie begleitet. Was er dabei vorgefunden hat, berichtet er im Interview mit Simon und Nikolai.
Du hast den Gesetzgebungsprozess aus vielen verschiedenen Blickwinkeln von Beginn an verfolgt, was versprichst du dir von der neuen Datenschutz-Grundverordnung?
David Bernet: Was auch immer da rauskommt, es ist natürlich ein Kompromiss. Der Parlamentsvorschlag war sehr bürgerrechtsorientiert. Zwischen Parlament und Rat laufen jetzt die sogenannten Trilog-Gespräche. Es werden Themen verhandelt, die die Verwendung unserer Daten zum Beispiel im Internet betreffen; wie wir darüber gewarnt und informiert werden, was mit unseren Daten geschieht. Letztlich aber wird es auch an uns selbst liegen, wie wir darauf eingehen wollen. Wir werden uns immer noch entscheiden müssen, ob wir den Datenschutzbedingungen eines Unternehmens zustimmen oder nicht, aber das Gesetz sollte uns das Verständnis darüber erleichtern. Firmen sollen gezwungen werden, Informationen auf eine einfache Art und Weise zu liefern, um eine mündige Entscheidung treffen zu können. Wir haben natürlich immer darauf gewartet, dass der Gesetzgebungsprozess fertig wird, aber wir wussten nicht, wann das sein würde. Der Film kommt jetzt heraus, weil wesentliche Punkte bereits geklärt sind und viele rechnen damit, dass das Gesetz bis Dezember durch ist.
Besteht nicht ein Problem darin, dass es erst einen solchen Film braucht um der breiten Öffentlichkeit das Gesetzgebungsverfahren und die Wichtigkeit des Themas verständlich zu machen?
David Bernet: Nur eine sehr kleine gesellschaftliche Gruppe hat verstanden, worum es bei dem Thema Datenschutz wirklich geht. Den meisten Leuten ist es egal, oder sie meinen, nichts zu verbergen zu haben. Das mag manchmal sogar der Fall sein, ist aber eine sehr selbstbezogene Aussage. Es geht nämlich auch um Solidarität gegenüber Leuten, die tatsächlich darauf angewiesen sind, Geheimnisse hüten zu können. Beispielsweise können das Minderheiten oder Journalisten sein. Die Pressefreiheit ist ohne einen Schutz gegenüber digitaler Überwachung undenkbar. Das muss auf verschiedene Weisen ins öffentliche Bewusstsein, der Film ist nur eine davon.
Wie bist Du zu ausgerechnet zu dem speziellen Thema Datenschutz für einen Dokumentarfilm über die EU gekommen?
David Bernet: Die Ursprungsidee hatte mit Datenschutz überhaupt nichts zu tun. Bereits vor zehn Jahren hatte ich die Idee, einen Gesetzgebungsprozess auf EU-Ebene filmisch zu verfolgen. Als ich dann in Brüssel war, um herauszufinden, ob es in irgendeiner Form möglich ist den Zugang dafür zu erhalten, habe ich erfahren, dass so etwas explizit gewollt ist. Die EU-Institutionen haben ein Imageproblem und sie haben große Schwierigkeiten, ihre Arbeits- und Funktionsweise zu vermitteln. Das Klischee ist, dass in Brüssel Bürokraten an ihren Schreibtischen sitzen, dort Gesetze schreiben und sie in die Welt rausschicken. Natürlich ist das nicht wahr, sondern es ist ein sehr dynamischer politischer Prozess. Deswegen teilten viele Leute in Brüssel das Anliegen, dass so ein Film entstehen kann.
Die eigentlichen Recherchen begannen mit der neuen Legislaturperiode 2009. Ich wollte herausfinden, welchen Gesetzgebungsprozess ich verfolgen könnte. Mir wurde schnell klar, dass die Zukunfsthemen mit der digitalen Gesellschaft zusammenhängen. Wie kann man Datenschutz und Privatsphäre, digitale Grundrechte, Pressefreiheit, Urheberrechtsfragen und all das in Zukunft lösen? In der Öffentlichkeit spielten diese Themen noch keine große Rolle, aber in der EU mussten Antworten gefunden werden. Als ich meinen Produzenten mitteilte, dass Datenschutz mein Thema sei, mussten wir erstmal mit den Zweifeln umgehen, ob das nicht zu komplex und zu abstrakt ist. Aber wir spekulierten darauf, dass dieses Thema noch richtig heiß werden wird. Viviane Reding und Jan Philipp Albrecht kannte ich schon aus der Recherche. Dass auch Letzterer eine wichtige Rolle spielen würde, war aber noch keinesfalls gegeben.
Wie hast du dich dann für diese ProtagonistInnen entschieden?
David Bernet: Verschiedene Personen im Parlament wollten den Posten des Berichterstatters des EU-Parlaments für die Datenschutzgrundverordnung. Jan Philipp Albrecht war einer davon, hatte aber zu dem Zeitpunkt keine Chance. Als der aussichtsreichste Kandidat der Sozialdemokraten plötzlich zurück nach Griechenland berufen wurde, haben die Bürgerlichen versucht, jemanden zu platzieren. Niemand wollte, dass dieses Thema in die Hände von kleinen Parteien gerät. Sozialdemokraten oder Konservative wollten dieses Dossier, haben es aber durch einen Verfahrensfehler nicht hingekriegt. Als Jan Philipp Albrecht im Februar 2012 den Posten bekam war das sehr überraschend. Für den Film aber war es eine hervorragende Ausgangslage, weil er zu diesem Zeitpunkt noch sehr neu auf der diplomatischen Bühne war. Allerdings war er sehr engagiert und, ich würde sagen, einer der wenigen, die sich in digitalen Themen auskannten.
Aber es war bestimmt keine Selbstverständlichkeit für PolitikerInnen über den gesamten Gesetzgebungsprozess hinweg begleitet zu werden?
David Bernet: Mir war klar, dass wir sehr viel Zeit brauchen und mit Momentaufnahmen nicht weit kommen würden. Deshalb brauchten wir eine sehr breite Unterstützung innerhalb der europäischen Institutionen und wir brauchten viel Geld. Ein anständiges Budget für diesen Film war notwendig. Weil niemand sagen konnte, was es bedeutet, sich so einem Gesetzgebungsprozess auszuliefern. Es hätte sein können, dass der Prozess innerhalb eines Jahres erledigt sein würde, oder aber erst in zehn Jahren. Hinzu kam, dass die wenigsten Leute innerhalb der Institutionen verstanden, wie ein Dokumentarfilm funktioniert. Die Menschen auf der politischen Bühne sind es gewohnt, ein Mikrophon unter die Nase gehalten zu bekommen und sie geben ein kurzes Statement ab. Genau daran war ich aber überhaupt nicht interessiert. Also hat es lange Erklärungen erfordert, meine Methode zu erläutern. Letztlich aber haben viele verstanden, welches Potenzial in einem Dokumentarfilm stecken kann, der sich dem Gesetzgebungsprozess als Ganzem widmet. Und schließlich wollen Politiker auch gesehen werden.
LobbyistInnen hingegen nicht…
David Bernet: Da war es schwieriger. Ich habe mich sehr bemüht, Vertreter der großen Industrie und Lobbyisten so weit einzubeziehen wie möglich. Aber nur wenige waren bereit dazu. Es liegt gewissermaßen im Interesse vor allem der großen Player, dass ihre Aktivitäten nicht mit Datenschutz in Verbindung gebracht werden. Vor allem dann, wenn gerade eine kritische Diskussion in Gang kommt. Lobbyismus ist ein komplexes Thema, es gibt sehr unterschiedliche Akteure aus Wirtschaft, Anwälten und Thinktanks. Oft ist es unklar, ob jemand eigene oder fremde Interessen vertritt. Einigen geht es auch nur darum, möglichst nah an den Gesetzgebungsprozess zu kommen, um sich mit diesem Wissen einen Wettbewerbsvorteil zu verschaffen. Durch Paolo Balboni, der einen Thinktank gegründet hat, haben wir Zugang erhalten zu vielen Lobbyisten, die plötzlich bei der Arbeit im Privacy-Frühstück beisammen saßen. Das war ein Glücksfall, der einen Eindruck verschafft hat, wie dieser Austausch funktioniert. Aber es gab auch Dinge die wir nicht filmen konnten, zu denen wir keinen Zugang erhalten haben.
Die Aufmerksamkeit für solche Themen, die durch Snowden geschaffen wurde, ist langsam am verebben. Ist es möglich diese durch einen Film über einen Gesetzgebungsprozess wachzuhalten?
David Bernet: Erst dank Snowden haben viele Menschen erfahren, dass Datenschutz uns alle betrifft. Die Enthüllungen von Snowden sind im Film ein Einbruch ins Geschehen. Er überrascht alle. Die Verhandlungen im Ausschuss waren in einer Sackgasse. Snowden war ein Geschenk an die Zivilgesellschaft. Wir schulden ihm etwas. Unsere Regierungen schulden ihm etwas und ich hoffe, dass wir ihm eines Tages Danke sagen können. Der Film kann auch helfen, die Erinnerung an diese offene Rechnung wach zu halten. In der Post-Snowden Ära haben die Menschen nun ein anderes Bewusstsein zum Thema Datenschutz.
Es bleibt aber die Aufgabe der Medien, zu erklären, wie Data Mining funktioniert. Durch die permanente Überwachung durch digitale Vernetzung entstehen neue Machtstrukturen. Natürlich sehe ich auch die Vorteile, die Big Data uns verschafft. Das wird im Film auch sichtbar. Aber jetzt nach Snowden müssen wir in unserem Verständnis weiterkommen, welche Herausforderungen die digitale Welt mit sich bringt. Die Aufmerksamkeit um Snowden hat unter anderem deswegen funktioniert, weil es dabei um Geheimdienste ging. Das ist sexy. Die Aufgabe von uns Medienschaffenden ist nun, die Welt der Daten auch auf andere Art sexy machen. Denn wir alle sollten die Matrix kennen, in der wir stecken.
Der Executive Chairman von Google – heute Alphabet – Eric Schmidt hat in seinem Buch „The New Digital Age“ relativ unverblümt darstellt, wie er sich die Zukunft vorstellt. Seiner Meinung nach gibt es Gewinner und Verlierer in der Datengesellschaft. Die Bürger sind die Verlierer, weil wir nicht in der Lage sein werden, uns zu schützen. Denn Schutz ist eine Frage der Technologie, der Ressourcen und des Wissens. Datenschutz kann zum Luxusgut verkommen, das sich nur die werden leisten können, die die nötigen Ressourcen und das Wissen darüber haben – das sind vornehmlich große Unternehmen. Vielleicht auch noch größere Staaten, aber schon die kleineren werden große Mühen haben, das zu bewältigen. Die einzige Möglichkeit unsere Daten zu schützen, sind also Gesetze.
Hat der Film deine eigene Wahrnehmung von Datenschutz verändert? Schaust du jetzt mehr, wer deine Daten hat und wem du sie gibst?
David Bernet: Mein Verhalten hat sich stark verändert, seitdem ich mich damit befasse. Mir ist bewusst, dass alle meine Bewegungen Datenspuren hinterlassen. Ich bin aber kein Nerd und daher nicht geschult, Kryptoprogramme zu verwenden und habe auch nicht wirklich Lust darauf. Das einzige was ich mache, ist einen VPN zu verwenden. Aber mein Bewusstsein ist extrem gestiegen: Ich tue gewisse Dinge nicht mehr im Netz, die ich früher gemacht habe.
Du hast viel Zeit in Brüssel bei den europäischen Institutionen verbracht. Wie hat das dein Bild von der europäischen Demokratie verändert?
David Bernet: In Brüssel war ich extrem überrascht, weil ich selber vorher dieses Bild vom bürokratischen Apparat hatte, der Gesetze austüftelt. Ich habe festgestellt, dass dem nicht so ist. Ich habe unheimlich smarte, international aufgestellte Menschen getroffen, die mit beiden Füßen im europäischen Denken stehen und sehr offen sind. In Brüssel versammelt sich tatsächlich so etwas wie die europäische Crème de la Crème. Die Kommission selber ist ein relativ kleiner, sehr effizienter Apparat – übrigens kleiner als die Kölner Stadtverwaltung. Ich habe Brüssel auch nicht als Bürokratie erlebt, sondern als eine politische Plattform, auf der sich viele Leute versammeln – natürlich auch die Lobbyisten. Mir kommt Brüssel viel offenerer, dynamischerer und flexibler vor, als jede europäische Regierung. Für mich war das auch eine neue Erfahrung.
-
: ENDitorial: Die Reform der EU-Datenschutzverordnung – eine vergebene Chance?
: ENDitorial: Die Reform der EU-Datenschutzverordnung – eine vergebene Chance? 
Verwässert und ausgehöhlt: Das Trilog-Verfahren hat aus der EU-Datenschutzgrundverodnung einen Schatten ihrer selbst gemacht. Bleibt noch Zeit, das Ruder herumzureißen? Schließlich hat die Richtlinie eine internationale Signalwirkung. Ein Gastkommentar von Diego Naranjo and Joe McNamee zum Stand der Verhandlungen. Die englische Version des Artikels wurde bei European Digital Rights (EDRi) unter CC BY 3.0 veröffentlicht. Übersetzung von Nikolai. Jemand, der Dinge über uns weiß, hat ein gewisses Maß an Kontrolle über uns, und jemand, der alles über uns weiß, hat eine Menge Kontrolle über uns. Überwachung erleichtert diese Kontrolle. (Bruce Schneier, Kryptograph und Sicherheitsexperte)
Die größte Herausforderung für die Modernisierung der EU-Datenschutzregelungen im digitalen Zeitalter ist fraglos „Big Data“; und die größte Herausforderung bei Big Data ist Profiling.
Big Data heißt nicht einfach „mehr Daten“ – Big Data ist das massive Zusammenführen von Daten, um mehr Daten, mehr Schlussfolgerungen und mehr Wissen über Dich und mich zu generieren. Falls Du in diesem Alter bist, jene Website besucht und dieses Produkt gekauft hast, kann Big Data vorausbestimmen, dass Du bereit bist, höhere Preise zu zahlen, dass man Dir keine Haftpflichtversicherung anzubieten braucht, oder dass du diese oder jene Partei wählen wirst. Harmlose Stückchen von persönlichen Daten verknüpfen sich und werden wirkmächtig. Was herauskommt, kann alles andere als harmlos sein. Das „ich habe nichts zu verbergen“-Argument hat nie viel Sinn ergeben, aber es ergibt erst recht keinen einer Welt, in der man nicht die leiseste Ahnung hat, welche Schlussfolgerungen auf der Basis der eigenen Daten gezogen werden.
Unsere Geräte befüttern rund um die Uhr gigantische Datenbanken: Unsere Mobiltelefone sammeln und senden Informationen über unsere Bewegungen, egal wohin wir gehen. Viele der Apps, die auf deinem Smartphone installiert sind, verlangen ohne Notwendigkeit Zugang zu deinem Adressbuch. Die Sensoren unseres smarten Zuhauses wissen, wann wir von der Arbeit heimkommen oder ob wir gerade Gäste haben. Unsere Suchmaschinen speichern unsere Interessen und Ängste. Facebook hat erfolgreich mit der Fähigkeit experimentiert, Menschen glücklicher oder trauriger zu machen; oder ob man sie sogar zum (Nicht-)Wählen bewegen kann. Sogenannte „Daten-Broker“ sammeln und aggregieren persönliche Daten aus einer Vielzahl an Quellen und schaffen detaillierte Profile von Individuen, die dann weiterverkauft werden.
Wie begegnet also die Novelle der EU-Datenschutzrichtlinie diesen riesigen neuen Herausforderungen? Nicht sehr gut. Zunächst war der Artikel, der sich mit Profiling beschäftigt [Artikel 20] schon im ursprünglichen Vorschlag der Europäischen Kommission dürftig, dann wurde er durch das EU-Parlament abgeschwächt und schließlich sinnentleert durch den Rat der Europäischen Union. Der derzeitige Text des Rates besagt, dass die Daten-Subjekte – die Personen auf die sich die gesammelten persönlichen Daten beziehen – dem Profiling nur widersprechen können, wenn es sich um „eine bewusste Verarbeitung zu Profilingzwecken“ handelt. Dementsprechend wäre es unter der neuen Datenschutzrichtlinie nicht möglich zu widersprechen, wenn formales Profiling stattfindet, das aber keiner bewussten Verarbeitung dient, oder wenn die Verarbeitung zwar stattfindet aber nicht Ziel des Gesamtprozesses ist.
Weitere Schutzbestimmungen, auf die man sich normalerweise verlassen kann, sogar wenn die Richtlinien zum Profiling und Verarbeiten schwach wären, wurden auch verwässert: „Datensparsamkeit“ wird zu „nicht exzessives Datenerfassen“. Nachvollziehbarkeit und Nachbesserungen werden dadurch erschwert, dass die Unternehmen ihre Algorithmen als „Geschäftsgeheimnisse“ deklarieren oder sich hinter Pseudonymen verstecken. Der Grundsatz einer zweckgebundenen Erhebung von Daten zu einem festgelegten, begrenzten und rechtmäßigem Anlass, wird aufgeweicht zu „vergleichbare Zwecke“, was auch immer das sein mag. Gleichzeitig kann die Nutzerzustimmung schlichtweg durch das Schlupfloch „legitimer Geschäftsinteressen“ umgangen werden.
Als seien diese Regelungen nicht schon genug ausgehöhlt und damit die Beschränkungen nicht genug abgesenkt, wurde Profiling in jene Liste aufgenommen, für die Mitgliedsstaaten eigene Ausnahmen zum Zwecke der „nationalen Sicherheit“, „Verteidigung“ oder „öffentlichen Sicherheit“ festlegen können. Falls diese Bestimmungen nicht schon ausreichend vage sind, können noch „andere wichtige Ziele von allgemeinem öffentlichen Interesse der EU oder eines Mitgliedsstaates“ als Begründung herangezogen werden. In der Praxis ermöglicht das den nationalen Regierungen, das EU-Datenschutzrecht zu umgehen und Profiling zu betreiben, solange der Zweck mit irgendeinem der hier beschriebenen Aspekte etwas zu tun hat.
Ein einheitliche und zeitgemäße Rechtsbasis für die EU ist notwendiger denn je. Die EU-Datenschutz-Grundverordnung muss zukunftssichere und wirksame Schutzvorkehrungen ohne Schlupflöcher enthalten. Der gegenwärtige Verhandlungstext liest sich so, als würde er genau das auf ganzer Linie verfehlen. Wenn die laufenden Verhandlungen zwischen dem Europäischem Parlament und dem EU-Rat diese Probleme nicht lösen, steht uns der Verlust eines Grundrechts bevor. Der Verlust von Vertrauen und der Verlust von Chancen, die in den Big Data basierten Technologien liegen. Das ist nicht nur besorgniserregend für EU-Bürger: Die EU-Datenschutzrichtlinie ist von entscheidender Bedeutung dafür, einen globalen Standard für Datenschutz und Privatsphäre zu schaffen. Wir haben jetzt die Möglichkeit etwas Besseres zu schaffen, als das was derzeit auf dem Tisch liegt.
Manipulation durch Überwachung: Wie Facebook oder Google Wahlen beeinflussen können (26.12.2015)
http://arstechnica.com/security/2015/02/surveillance-based-manipulation-how-facebook-or-google-could-tilt-elections/Facebook veröffentlicht Studie, wie Emotionen durch Veränderungen im Newsfeed beeinflusst werden können. (30.06.2014)
http://www.theguardian.com/technology/2014/jun/29/facebook-users-emotions-news-feedsEU-Datenschutzrichtline: Übersicht (25.06.2015)
https://edri.org/gdpr-document-pool/Wie eine Spur der Verschleierung gegen Online-Überwachung wirkt (24.10.2015)
http://www.theguardian.com/technology/2015/oct/24/obfuscation-users-guide-for-privacy-and-protest-online-surveillanceDer Hang vergangenes Unrecht zu erklären gefährdet die Meinungsfreiheit (22.10.2015)
http://www.telegraph.co.uk/news/uknews/law-and-order/11947492/Our-obsession-with-explaining-past-atrocities-could-destroy-our-free-speech.html -
: Filmrezension: „Democracy – Im Rausch der Daten“
: Filmrezension: „Democracy – Im Rausch der Daten“ 
„Viele Leute sagen, Daten sind das neue Öl, das Öl des 21. Jahrhunderts. Öl hat unser Leben verändert und Daten werden dasselbe tun“, prophezeit der Industrielobbyist John Boswell zu Beginn des Dokumentarfilms „Democracy – Im Rausch der Daten“, in dem Regisseur David Bernet über zweieinhalb Jahre die Verhandlungen über die EU-Datenschutz-Grundverordnung verfolgt.Hintergrund: Die Datenschutz-Grundverordnung
Seitdem EU-Kommissarin Viviane Reding ihren Vorschlag für eine grundlegende Reform des EU-Datenschutzes im Januar 2012 vorlegte, sind über drei Jahre vergangen, doch die Richtlinie ist immer noch nicht verabschiedet. Worum es bei der Reform geht und warum das wichtig ist, haben wir u. a. hier erklärt. Zurzeit befinden sich EU-Parlament, Kommission und der Rat der Europäischen Union in den Trilog-Verhandlungen über die Verordnung. Dabei handelt es sich um ein informelles Schlichtungsverfahren, welches zum Ziel hat, einen Kompromiss zwischen allen drei Seiten zu schaffen. Der Trilog soll bis Ende des Jahres abgeschlossen sein – in dieser Woche sind Zwischenergebnisse bekannt geworden.
Der Dokumentarfilm
Der Schweizer Regisseur David Bernet begleitet in seinem in schwarz-weiß gehaltenen Film die EU-Kommissarin Viviane Reding und den Grünen-Abgeordneten Jan Philipp Albrecht bei ihren Bemühungen um eine Datenschutzregelung, welche persönliche Daten schützt. Er ist mit seinem Kamerateam dabei, als Reding ihren Vorschlag der Presse präsentiert, der noch unerfahren wirkende Albrecht zum Berichterstatter („Rapporteur“) gewählt und in seinem Büro die Strategie besprochen wird. Es ist das erste Mal, dass ein Kamerateam die sonst hinter verschlossenen Türen stattfindenden Verhandlungen begleiten durfte.
Im Film kommen auch Lobbyisten, Anwälte und NGO-Vertreter zu Wort, welche versuchen, auf die Ausgestaltung der Verordnung Einfluss zu nehmen. Der US-amerikanische Industrielobbyist Boswell argumentiert mit den positiven Seiten von „Big Data“ und warnt vor Arbeitsplatzverlusten, während die Anwältin Katarzyna Szymielewicz versucht, polnische Abgeordnete für die Bürgerrechtssicht zu gewinnen. Besonders ist an diesem Film, dass alle Protagonisten nicht nur interviewt, sondern auch nach den Verhandlungen oder bei sich zu Hause gezeigt werden. So entsteht ein rundes Bild von den Menschen und ihrer Arbeit, die hinter einer EU-Richtlinie stecken.
Dem im Fokus stehenden Albrecht ist seine Begeisterung für das Thema Datenschutz genauso wie seine Niedergeschlagenheit angesichts von 4.000 Änderungsanträgen und dem Lobby-Druck anzumerken. Er glaubt zeitweilig nicht daran, einen Kompromiss zu finden, der im Parlament verabschiedet werden kann. Die Enthüllungen Edward Snowdens im Sommer 2013 kommen da im richtigen Augenblick und bringen neue Fahrt in die Verhandlungen. Der Film schafft es, das zähe Ringen um die genaue Formulierung jedes einzelnen Paragraphen spannend zu erzählen. So freut sich der/die Zuschauer*in am Filmende bei der Abstimmung im Europäischen Parlament mit den Abgeordneten über das Ergebnis.
Abgesehen von wenigen schriftlichen Erläuterungen zu den involvierten Institutionen, gibt es keine Kommentare oder Einordnungen aus dem Off, so dass sich manche von dem komplizierten Gesetzgebungsverfahren der EU vielleicht überfordert fühlen werden. Die Komplexität des Brüsseler Dschungels wird für die Zuschauer*innen erfahrbar, wenn sie sich gemeinsam mit Reding und Albrecht in den Katakomben der EU-Verwaltung verlaufen. Bei soviel Nähe und Mietfiebern wünscht man sich an manchen Punkten eine Einordnung und Sicht von Außen, die über die Architektur-Aufnahmen der EU-Institutionen hinausgeht.
Für Bernet steht im Vordergrund, das bürokratische Verfahren zu dokumentieren. Die genauen Kontroversen um die Richtlinie bleiben dadurch abseits einiger Schlüsselwörter (Big Data, digitale Rechte) unkonkret. Daher handelt es sich bei dem Film weniger um eine inhaltliche Auseinandersetzung mit dem Thema Datenschutz-Grundverordnung, sondern um eine Erzählung über die europäische Demokratie. Dem Film gelingt es, den trockenen Gesetzgebungsprozess der EU auf faszinierende Weise packend zu erzählen.
Es ist zu hoffen, dass der Film es schafft, die relativ unbeachtete Datenschutz-Grundverordnung nun auf die Tagesordnung zu hieven. Über dem gesamten Verhandlungsverlauf schwebt unablässig die Gefahr, dass „einer der üblichen Verdächtigen“, vielleicht ein Mitgliedsstaat, den Gesetzgebungsprozess scheitern lässt. Das Kino-Publikum könnte damit in der kritischen Phase zur Kontrollinstanz werden. Denn gerade jetzt braucht es öffentlichen Druck auf Rat und Kommission, die Richtlinie nicht noch industriefreundlicher zu machen, sondern stattdessen das Recht auf informationelle Selbstbestimmung europaweit festzuschreiben. Umso wünschenswerter wäre es, wenn dieser explizit europäische Film zu diesem Zeitpunkt auch in anderen EU-Ländern in die Kinos kommen würde.
„Democracy – Im Rausch der Daten“ kommt am 12. November bundesweit in die Kinos. Den Trailer gibt es hier:
Vorstellungen in Anwesenheit des Regisseurs finden unter anderem am 4. November in Bonn, am 5. November in Hamburg und am 6. November in Berlin statt.
Mitarbeit: Nikolai Schnarrenberger
-
: Neues Meldegesetz schiebt Adresshandel einen Riegel vor
Proteste gegen einen Entwurf für das Meldegesetz im September 2012 (Foto: Ruben Neugebauer/ Campact) : Neues Meldegesetz schiebt Adresshandel einen Riegel vor Seit dem 1. November gilt bundesweit ein neues Meldegesetz, welches veränderte Regelungen für die Ummeldung bei Umzug und für den Schutz von Adressdaten vor kommerzieller Nutzung festlegt.
Nach dem neuen Gesetz müssen Mieter*innen nun bei Umzug den Meldebehörden ihre neue Anschrift innerhalb von zwei Wochen mitteilen und eine schriftliche Bestätigung des Vermieters vorlegen. Wenn dies nicht geschieht, droht ein Bußgeld. In Städten mit chronisch überlasteten Bürgerämtern wie Berlin, wo freie Termine frühestens in drei Monaten verfügbar sind, ist das wohl nicht in der Praxis umsetzbar.
Außerdem gibt es seit diesem Monat veränderte Regeln für die Auskünfte aus Melderegistern. Es bedarf einer ausdrücklichen Zustimmung der Betroffenen, damit die Meldebehörden deren Adressdaten für Werbezwecke und Adresshandel weitergeben dürfen. Bislang musste der Weitergabe explizit widersprochen werden. Ab sofort sind die Auskünfte auch an einen, im vorne herein abgefragten, Zweck gebunden, dürfen also nicht für andere Belange verwendet werden. Die Ermittlungsbehörden haben weiterhin uneingeschränkten Zugriff auf die Meldedaten. Neu ist, dass es eine zentrale Online-Datenbank mit den Meldedaten aus allen Bundesländern gibt.
Der Berliner Datenschutzbeauftragte Alexander Dix kritisiert, dass es neuerdings keine Widerspruchsmöglichkeit mehr gegen die Erteilung einfacher Melderegisterauskünfte über das Internet gibt. Gegenüber dem RBB sagte er, dass zwar der Adresshandel eingedämmt sei, aber Parteien weiterhin Zugriff auf Meldedaten zu Wahlkampfzwecken hätten. Im Gegensatz zum alten Meldegesetz könnten nun Politiker*innen die Geburts- und Ehedaten von Bürger*innen aus ihrem Wahlkreis ohne deren Einwilligung erfragen, um ihnen zu gratulieren.
-
: Spiegel-Bericht: 70 Prozent der EU-Datenschutz-Grundverordnung in trockenen Tüchern
Erstes Treffen zu den Trilogverhandlungen zur EU-Datenschutzreform - via Twitter/<a href="https://twitter.com/JanAlbrecht/status/613722400660832256/photo/1">JanAlbrecht</a> : Spiegel-Bericht: 70 Prozent der EU-Datenschutz-Grundverordnung in trockenen Tüchern Der Spiegel berichtet in seiner aktuellen Ausgabe vom Stand der Verhandlungen über die neue EU-Datenschutz-Grundverordnung. Der Rat der Europäischen Union, die Kommission und das Parlament hätten bei etwa 70 Prozent der Artikel Kompromisse ausgehandelt.
Erstmals konnte der SPIEGEL nun zahlreiche interne Dokumente einsehen, anhand derer sich der Fortgang der Verhandlungen im Inneren der EU nachzeichnen lässt. Sie ergeben das Bild eines zähen Ringens, in dem viele EU-Mitgliedstaaten wenig unversucht lassen, um für die Internetwirtschaft möglichst viel Spielraum herauszuhandeln.
Da die Mitgliedsstaaten den vom Parlament erarbeiteten Vorschlag im Frühjahr abgelehnt haben, finden seit diesem Sommer die Trilog-Verhandlungen zwischen Rat (also den Mitgliedstaaten), Kommission und Parlament statt. Dabei handelt es sich um ein informelles Schlichtungsverfahren, welches zum Ziel hat, einen Kompromiss zwischen den drei Seiten zu schaffen. Die neue Datenschutz-Grundverordnung soll die technisch überholte Datenschutzrichtlinie von 1995 ersetzen.
Dem Spiegel zufolge steht ein Kompromiss über die Artikel zur Zweckbindung von persönlichen Daten kurz bevor. Der Rat hat lange darauf bestanden, die Zweckbindung abzuschaffen. Erst nach der Drohung des Berichterstatters des Europäischen Parlaments, Jan Philipp Albrecht von den Grünen, die Verhandlungen scheitern zu lassen, habe sich der Rat wieder für Kompromisse offen gezeigt. Die Zweckbindung schreibt vor, dass Unternehmen erhobene persönliche Daten nur zu vorher vereinbarten Zwecken nutzen und keine Persönlichkeitsprofile erstellen dürfen.
Auf anderen Feldern haben sich die industriefreundlichen Mitgliedstaaten laut Spiegel durchgesetzt: So drohe die Abschaffung der Datenschutzbeauftragten in Unternehmen, Do-Not-Track-Aufforderungen müssten weiterhin nicht befolgt werden, und die Meldepflicht bei Datenpannen sei quasi wirkungslos, weil die Firmen selbst entscheiden können, ob es sich um eine schwere und damit meldepflichtige Panne handelt.
Uneinigkeit besteht auch darüber, ob es vereinfachte Einverständniserklärungen mithilfe einer „Datenschutzampel“ geben wird, wie vom Europäischen Parlament gewünscht. Die Verhandlungen über die Datenschutz-Grundordnung sollen bis zum Ende des Jahres abgeschlossen sein.
-
: Deutschlands Datenschutzbeauftragte wollen bis Februar 2016 Datentransfers in die USA prüfen
USA - Kein vermeintlich sicherer Hafen für Datenpakete mehr. <a href="https://creativecommons.org/licenses/by-sa/2.0/deed.en">CC BY-SA 2.0</a> via wikimedia/<a href="https://commons.wikimedia.org/wiki/File:Containerschiff_Hanjin_Chicago.jpg">Oliver Ohm</a> : Deutschlands Datenschutzbeauftragte wollen bis Februar 2016 Datentransfers in die USA prüfen Der Hamburger Datenschutzbeauftragte Johannes Caspar hat mitgeteilt, die deutschen Datenschutzbeauftragten der Länder und des Bundes hätten sich auf eine Strategie nach dem Safe-Harbor-Urteil geeinigt. Mit dem Safe-Harbor-Urteil des Europäischen Gerichtshofes wurde die Safe-Harbor-Entscheidung der EU-Kommission für ungültig erklärt. Damit sind Datenübertragungen in die USA, bzw. zu US-Firmen, die sich als Safe-Harbor-Nutzer registriert hatten, nicht mehr per se für sicher erklärt.
Die Datenschutzbeauftragten wollen nun von sich aus Prüfungen initiieren und nicht auf Beschwerden von Bürgern warten, laut NDR Info soll das bis zum Februar 2016 dauern. Caspar sagt:
Diese Prüfung wird insbesondere bei den Töchterunternehmen von Safe-Harbor-gelisteten US-Firmen erfolgen, die ihren Sitz in Hamburg haben und ihre Daten an die Mutterunternehmen in den USA übersenden. Untersagungsverfügungen können sich daran anschließen.
In Hamburg sitzen etwa die deutschen Tochterfirmen von Facebook und Google. Caspar hatte bereits desöfteren klare Worte gegen deren Datengeschäftsmodelle gefunden. In Irland wird ebenfalls eine Prüfung der Datenübertragung von Facebook, das in Dublin seinen Europasitz hat, geprüft.
Sollte eine Datenübertragung weiterhin nur auf der Safe-Harbor-Entscheidung stattfinden, wäre sie unrechtmäßig. Es gibt jedoch weitere Rechtsgrundlagen – viel genutzt sind etwa Binding Corporate Rules und Standardvertragsklauseln. Auch deren weitere Gültigkeit wird angezweifelt, da aufgrund der Verpflichtung US-amerikanischer Unternehmen, Daten massenhaft an Strafverfolgungsbehörden weiterzugeben, grundsätzlich angezweifelt werden muss, ob dort ein europäisches Schutzniveau erreicht werden kann. Caspar empfiehlt daher, Server in der EU zu nutzen.
-
: Irische Datenschutzbehörde prüft jetzt Datenübermittlung von Facebook in die USA
Facebook-Zentrale in Dublin. : Irische Datenschutzbehörde prüft jetzt Datenübermittlung von Facebook in die USA Nach dem Urteil des Europäischen Gerichtshofes (EuGH) über die Safe-Harbor-Entscheidung kann diese nicht mehr als Blanko-Rechtsgrundlage für die Übermittlung persönlicher Daten in die USA genutzt werden. Daher muss nun die irische Datenschutzbeauftragte Helen Dixon prüfen, ob eine Übermittlung der Daten durch Facebook rechtens ist oder nicht, so wie es Max Schrems forderte.
Vor dem Urteil des EuGH weigerte sich der Vorgänger Dixons und fühlte sich nicht zuständig. Diesem Argument wurde durch das Urteil der Wind aus den Segeln genommen, der EuGH verwies explizit darauf, dass eine EU-Kommissionsentscheidung nationale Aufsichtsbehörden nicht von einer Prüfung auf die Grundrechtskompatibilität dieser abhalten könne. Dixon erklärt sich bereit zu der Prüfung:
My office will now proceed to investigate the substance of the complaint with all due diligence.
Selbst Facebook gibt sich kooperativ und beteuert:
We will respond to inquiries from the Irish Data Protection Commission as they examine the protections for the transfer of personal data under applicable law.
Max Schrems, der Kläger, ist noch skeptisch und hofft, dass das Verfahren nicht in einer jahrelang andauernden, ergebnislosen Ermittlung endet. Fraglich ist, was passiert, wenn die Datenübermittlung und Speicherung von Facebooks Nutzerdaten in die USA tatsächlich als unrechtmäßig befunden werden. Datenschützer gehen davon aus, dass andere Übermittlungsgrundlagen wie Binding Corporate Rules und Standardvertragsklauseln durch die Begründung des Safe-Harbor-Urteils ebenso nicht mehr haltbar sein werden.
Ein zulässiger Ausweg kann jedenfalls nicht darin bestehen, die Datenübermittlung künftig schlicht auf eine andere formale Grundlage zu stellen. Den materiellen Anforderungen des EU-Datenschutzrechts ist auf diese Weise nicht auszuweichen. Vielmehr bedarf es substanzieller Änderungen bei den Überwachungspraktiken der US-Geheimdienste ebenso wie bei ihrer Aufsicht und den Rechtsmitteln für Personen, die nicht in den USA ansässig sind.
-
: Privacy Tools: Anonym surfen mit Tor
: Privacy Tools: Anonym surfen mit Tor Privacy Tools – Digitale Selbstverteidigung
Wie schützt man sich am besten gegen die Massenüberwachung von NSA, GCHQ, BND und Konsorten? Was hilft gegen den Datenberg den Google, Facebook und andere Tracking-Unternehmen über einen anhäufen wollen? Wie kann man sich gegen (staatliche) Überwachungsmaßnahmen wie die Vorratsdatenspeicherung schützen?
Die Reihe Privacy Tools möchte nach und nach verschiedene Programme, Dienste und Praktiken vorstellen, mit deren Hilfe man sich gegen die Datenfresser schützen kann. Los geht’s mit Tor, weitere Tools folgen in unregelmäßigen Abständen.
Wie funktioniert Tor
Der Anonymisierungsdienst Tor besteht zum Einen aus der Tor-Software und zum Anderen aus dem Tor-Netzwerk. Das Tor-Netzwerk besteht aus mehreren Tausend Servern (7000 im Januar 2015), sogenannten Tor-Nodes. Diese werden von den unterschiedlichsten Menschen (Datenschutzorganisationen, Privatpersonen, Geheimdiensten, Firmen, Nerds…) betrieben.
Will man Tor verwenden benötigt man zuerst einmal die Tor-Software. Hat man diese Tor-Software heruntergeladen und installiert, stellt sie zuerst einmal eine Verbindung zum Tor-Netzwerk her und holt sich eine aktuelle Liste der Tor-Nodes im Netzwerk. Aus dieser Liste sucht sich die Software nun genau drei Nodes aus. Surfst du nun über Tor die Webseite example.com an, wird deine Anfrage mit den Schlüsseln der drei Tor Nodes verschlüsselt. Zuerst mit dem Schlüssel des letzten Tor-Rechners, dem sogenannten Exit Node, der im Schaubild hellgrün eingefärbt ist. Als nächstes mit dem zweiten Rechner (dunkelgrün) und zu guter letzt mit dem ersten Rechner (schwarz).
Nun schickt die Tor-Software die 3‑fach verschlüsselte Anfrage an den ersten Server (schwarz), dieser löst die erste Verschlüsselungsschicht und weiß nun, dass die Anfrage von dir kommt und an den zweiten Server (dunkelgrün) weitergeschickt werden soll. Der zweite Node öffnet die nächste Verschlüsselungsschicht und weiß nun, dass die Anfrage von Server 1 kam und an den Exit Node (hellgrün) weitergeleitet werden soll. Der Exit Node öffnet die letzte Schicht und weiß nun, dass die Anfrage von Node 2 kam und an example.com weitergeleitet werden soll. Trudelt die Anfrage bei example.com ein, weiß example.com nur das die Anfrage aus dem Tor-Netzwerk zu example.com kam – und schickt die Antwort zurück an das Tor Netzwerk und das Spiel beginnt von neuem.
Das System funktioniert wie eine Zwiebel in der nach und nach eine Schicht gelöst wird – deshalb wurde Tor früher auch The Onion Router genannt. Das System garantiert, dass kein Tor-Server weiß, dass die Anfrage von dir stammt und an example.com gehen soll. Jeder beteiligte Tor-Server kennt nur einen kleinen Teil der Strecke. Selbst wenn der Betreiber eines Tor-Servers bösartig gesinnt wäre (Kriminelle oder Geheimdienste) und die Verbindungen speichern würde, könnte er nicht herausfinden wer mit wem kommuniziert.
Um das Ganze noch weiter abzusichern wechselt die Tor-Software alle 10 Minuten die Route durch das Tor-Netzwerk. Es werden also alle 10 Minuten drei neue Tor Nodes ausgewählt und als neue Route, für neue Anfragen verwendet.
Doch es gibt auch Fallstricke
Der Betreiber des Exit Nodes könnte bösartig sein und die Daten die du an example.com sendest einfach mitlesen. Aus den Daten könnte sich deine Identität ergeben, wenn du z.B. ein Formular ausfüllst oder deine Login-Daten eingibst – damit bist du nicht mehr anonym. Gibst du deine Zugangsdaten ein, beispielsweise um dich einzuloggen, kann ein Exit Node auch diese mitlesen und sie anschließend (gegen dich) verwenden.
Daher solltest du eine SSL-verschlüsselte Verbindung (https) zu example.com verwenden. Der Betreiber eines Exit Nodes sieht dann nur noch verschlüsseltes Kauderwelsch. Das gilt übrigens nicht nur für das Tor-Netzwerk, sondern auch für das „normale“ Internet – auch hier kann man nicht verschlüsselte Daten abgreifen.Eine mit SSL verschlüsselte Verbindung kannst du an dem Schlosssymbol in der Adressleiste deines Browsers erkennen. Um eine verschlüsselte Verbindung zu einer Webseite herzustellen musst du einfach https:// anstatt http:// in die Adressleiste eingeben. Viele Webseiten unterstützen nur noch verschlüsselte Verbindungen (z.B. netzpolitik.org). Es gibt aber auch Webseiten, die bis heute leider keine SSL-Verschlüsselung anbieten.
Doch auch example.com kann dich erkennen, wenn du dich example.com gegenüber zu erkennen gibst. Beispielsweise wenn du dich dort einloggst, ein Kommentar mit deinem Namen schreibst, deine E‑Mailadresse angibst und und und. Du bist immer nur so anonym, wie das was du von dir preisgibst.
Allerdings macht es trotzdem Sinn, wenn du dich über Tor (mit SSL-Verschlüsselung!) in deinen E‑Mailaccount einloggst. Dein Anbieter kennt dann zwar deine Mailadresse und weiß wahrscheinlich auch wer du bist (und von wo aus du dich sonst immer eingeloggt hast), aber er weiß nicht wo du gerade bist. Man kann Tor also auch einfach „nur“ dazu benutzen, den momentanen Standort zu verschleiern – und dadurch die Erstellung von Bewegungsprofilen zu verhindern. Das wird Location-Privacy genannt.
Ein weiteres Problem ist, das die meisten Programme mit denen man so im Internet unterwegs ist, sehr viel Daten senden (Programmname, Version, Betriebssystem, installierte Schriften, Fensterauflösung, Bildschirmgröße) und speichern (Cookies, DOM, Flash-Cookies…). Aus all diesen Daten lässt sich eine Art Fingerabdruck erstellen, mit dem du identifiziert werden kannst. Manche Plugins (z.B. Flash) können eine direkte Verbindung zu example.com aufbauen und so Tor wieder umgehen. Daher empfiehlt es sich für Anfänger das Tor Browser Bundle zu verwenden, das Tor, einen angepassten Firefox und mehrere Firefox-Addons enthält. Das Tor Browser Bundle sieht für alle Benutzer gleich aus – das hat den Vorteil, dass du nicht so leicht identifiziert werden kannst.
-
: Spiros Simitis: „Man spielt nicht mehr mit dem Datenschutz!“
: Spiros Simitis: „Man spielt nicht mehr mit dem Datenschutz!“ Am heutigen Tag vor 45 Jahren, also am 13. Oktober 1970, trat das hessische Datenschutzgesetz als erstes Datenschutzgesetz der Welt in Kraft. Der intellektuelle Kopf hinter diesem Gesetz und der erste hessische Datenschutzbeauftragte mit einer Amtszeit von sechzehn Jahren war Spiros Simitis. Er ist bis heute einer der Vordenker in Sachen digitaler Privatsphäre, kluger Kommentator politischer Entwicklungen und äußert sich regelmäßig zu aktuellen Datenschutzfragen (pdf). Wir veröffentlichen anlässlich des Jubiläums ein (gekürztes) Transkript eines Gesprächs mit ihm, in dem er über die Entstehung der ersten Datenschutzgesetze und die damals und natürlich auch heute noch diskutierten Fragen in Hessen, Deutschland und Europa spricht.
Spiros Simitis im Interview.
Spiros Simitis studierte von 1952 bis 1956 Jura und hat sich 1962 in Frankfurt/Main habilitiert. Er war nicht nur hessischer Datenschutzbeauftrager, sondern ab 1988 auch ständiger Berater der Europäischen Kommission. Er war außerdem Mitglied im Nationalen Ethikrat, dessen Vorsitz er von 2001 bis 2005 innehatte. Auch im Rahmen des Ethikrates ist Big Data mittlerweile eine Thema.
Wie sind Sie zum Datenschutzthema gekommen? Ihre Doktor- und Habilitationsarbeiten waren ja nicht direkt zu diesem Bereich?
Spiros Simitis: Ende der 1950er und in die 1960er Jahre hinein gab es einen radikalen Wandel. Es ist die Zeit, in der die kybernetischen Maschinen auftauchen, es ist die Zeit Norbert Wieners. Es ist auch die Zeit, in der man meinte, endlich das Maß an Rationalität erreicht zu haben, das es ermöglichen würde, von nun an objektiv und nachprüfbar zu entscheiden. Ich habe dann in der ersten Hälfte der 1960er Jahre die erste Arbeit zu den kybernetischen Maschinen und ihren Konsequenzen publiziert. Danach war ich, wenn Sie so wollen, inmitten dieser Diskussionen, die unmittelbar praktische Folgen hatten. Zum Beispiel, dass Länder wie Baden-Württemberg und Hessen immer lauter darüber nachdachten, zentrale Datenbanken zu errichten, in denen möglichst alle Angaben der Bürger und Bürgerinnen enthalten sein würden, um besser planen zu können, korrektere Entscheidungen, zum Beispiel in der Sozialpolitik, treffen zu können. Und dann, etwa wenn jemandem ein schrecklicher Unfall auf der Autobahn passiert, dank seiner Daten sofort herausfinden zu können, wie man reagieren könnte. Die kybernetischen Maschinen standen im Vordergrund. Sie waren etwas, das auch in der Bundesrepublik in der Wissenschaft viel diskutiert wurden, aber zugleich und je intensiver man darüber sprach, auch Zweifel hervorrief, was denn der Staat alles mit diesen Daten machen könnte.
So wurde dann 1969 in der FAZ ein Leitartikel publiziert, von dem bedeutenden Journalisten Hanno Kühnert, den ich sehr gut kannte. Er richtete an die Landesregierungen die Frage, ob sie sich denn eigentlich überlegt hätten, was man denn alles machen könnte mit diesen Daten, wie man überhaupt Profile aufbauen und Einzelne dazu bringen könnte, sich Maßnahmen zu unterwerfen. Einige Stunden, nachdem der hessische Ministerpräsident Georg-August Zinn den Artikel gelesen hatte, bestellte er den Herr Willi Birkelbach zu sich und erwartete von ihm den Entwurf einer Regelung, die diese Konsequenzen verhindern würde. Das war, wenn Sie so wollen, der Beginn des Datenschutzes.
Die Regelung wurde relativ schnell in der Staatskanzlei ausgearbeitet, leider starb Zinn, sein Nachfolger Albert Osswald hat sich aber auch dafür ausgesprochen. So kam es zu einer, wie ich fand, einmaligen Debatte im hessischen Landtag, weil alle Parteien sofort für diese Regelung waren. Was die Regierung erarbeitet hatte, ging ihnen nicht weit genug, sondern sie wollten viel mehr haben. Das hessische Datenschutzgesetz wurde dann verabschiedet. Es ist allerdings nicht nur das hessische Datenschutzgesetz Gegenstand der Debatte gewesen, weil die Opposition seinerzeit gesagt hat: Wenn die Hypothese stimmt, dass wir zum ersten Mal objektiv entscheiden können, rational vorgehen können und über die Grundlagen dafür verfügen, dann muss sich auch das Verhältnis zwischen Opposition und Regierung verändern. Dann muss die Opposition jederzeit die Möglichkeit haben, an die Daten zu kommen, um ihrerseits ihre Politik definieren zu können. Das war der Anfang des Informationsrechts der Bürgerinnen und Bürger, insbesondere der politischen Parteien gegenüber der Regierung.
Das spielte sich in Frankfurt ab, der Stadt von u. a. Habermas. Spielten die Sozialwissenschaften da eine Rolle?
Spiros Simitis: Nein, Sozialwissenschaftler spielten in diesem Zusammenhang keine besondere Rolle. Es sei denn, es waren Informatiker oder solche, die sich für diese Fragen interessierten.
1972 hat es ein Gutachten gegeben, von Wilhelm Steinmüller und anderen. Wann haben Sie davon erfahren? Das war ja in der Phase, als in Hessen das Datenschutzgesetz schon da war.
Spiros Simitis: Das habe ich sehr früh erfahren, weil Sie folgendes beachten müssen: Hessen war das erste Land, danach Schleswig-Holstein und Schweden. Das war sozusagen der Anfang des Datenschutzes. Parallel aber dazu gab es eine interparlamentarische Gruppe, die sich zum Ziel gesetzt hatte, ein Bundesdatenschutzgesetz zu machen. Die arbeitete an dem Projekt fast parallel zum hessischen Gesetz, daher hatte ich mit denen einen sehr engen Kontakt, weil sie sich immer wieder mit mir unterhalten haben. […] Schließlich war dann 2003 die erste öffentliche Anhörung zum Bundesdatenschutzgesetz, die ich eingeleitet habe.
Was waren da so die Themen?
Spiros Simitis: Es gab da zunächst eine relativ ungläubige Reaktion. In der Ministerialbürokratie war man unsicher, ob man das ernstnehmen soll oder ob es sich um eine Modeerscheinung handelt. Wenn Sie sich die einführenden Bemerkungen zu der Anhörung des Innenministers Hans-Dietrich Genscher durchlesen, werden sie diese Vorsicht sehen. Sie können die Unsicherheit des Ministeriums sehen. Das hat auch damit zutun, dass der damalige Bundeskanzler auch kein besonderer Anhänger des Bundesdatenschutzes war. In der Anhörung selbst wurde aber sofort eines sichtbar: Das hessische und rheinland-pfälzische Gesetz waren zwar unterschiedlich konstruiert, aber beide hatten einen gemeinsamen Gegenstand: den öffentlichen Bereich. Diejenigen, die sich an der öffentlichen Diskussion besonders beteiligten, zum Beispiel ich, haben von Anfang an gesagt, dass alle Daten des öffentlichen und privaten Bereiches betroffen sind. Die Sachverständigen waren zu einem großen Teil aus dem nicht-öffentlichen Bereich und skeptisch gegenüber der Einbeziehung des nicht-öffentlichen Bereiches. Man hat gesagt, dass alle Beispiele sich nur auf den öffentlichen Bereich beziehen würden, weil niemand im privaten Bereich die Mittel hätte, um solche Daten zu sammeln. Konsequenterweise würde es sich deshalb nicht lohnen, im Gesetz auf den privaten Bereich einzugehen.
Ein weiterer Punkt war die Frage der Kontrolle: Wie sie ausgeübt werden soll, von wem und unter welchen Modalitäten. Hessen hat sich für den Datenschutzbeauftragten entschieden, aber ihn erst später der parlamentarischen Kontrolle unterworfen und damit von der Regierung gelöst.
Gab es großen Gegenwind von Lobbyisten aus der Privatwirtschaft gegenüber dem Bundesdatenschutzgesetz (BDSG)?
Spiros Simitis: Das ist eine generelle präventive Reaktion, die dafür sorgen soll, dass man besser die Hände davon lässt. Die gab es auch so. Dafür muss ich etwas zurückgehen. Der Anlass war die Verarbeitungstechnologie, welche sich durch ihren stetigen Wandel auszeichnet, besonders in den 1970er Jahren. Die Datenschutzgesetze waren Reaktionen auf diese Technologie, die gekennzeichnet waren durch einen hohen Mangel an Wissen über diese Technologien selbst. Man wollte also reagieren, wusste aber nicht genau, worauf man reagiert.
Deswegen die Generalklauseln?
Spiros Simitis: Man wählte entweder, wie in Deutschland, Generalklauseln in möglichst allgemeiner Sprache, weil man hoffte, über den Weg der Interpretation nachholen zu können, was man noch nicht während der Entscheidung machen konnte oder aber, wie in Frankreich 1976, keine inhaltlichen Aussagen zu machen, aber Verfahrensvorschriften: eine Kommission, deren Aufgabe es ist einzugreifen, Regeln und Vorgaben zu machen. Das stand hinter der Grundentscheidung des hessischen Gesetzes, die darin bestand, Datenschutz zu akzeptieren. Gleichzeitig wurde aber ein Höchstmaß an Öffentlichkeit angestrebt, weil man in der öffentlichen Diskussion das Korrektiv des Gesetzgebers sah.
Als wir damals unter uns Juristen über Nichteingriffsrechte diskutiert haben, war meine Position, dass es das nicht braucht. Der Grund war ein doppelter. Erstens die Rechtsprechung: Jeder, der sich mit Rechtsprechung auskennt, weiß, wenn etwas Neues auftaucht, versucht die Rechtsprechung es mit den alten Figuren aufzufangen. In dem Maße, indem sie das tut, verkürzt sie auch die Möglichkeit, sich mit dem Neuen auseinanderzusetzen, und fügt es in einen Rahmen, der vielleicht kontraproduktiv ist.
Deshalb haben andere und ich gesagt, dass das nicht in Ordnung ist. Wir wollten erstens einen unabhängigen Datenschutzbeauftragten, zweitens einen Datenschutzbeauftragten, der jederzeit zu jedem Minister Kontakt hat und direkt mit ihm spricht, und drittens einen Datenschutzbeauftragten, der ständig die Öffentlichkeit mobilisiert und in seinem Tätigkeitsbericht die Grundlagen setzt für die weitere Entwicklung des Datenschutzes. […]
Wir haben also die Öffentlichkeit eingespannt und den Datenschutzbeauftragten immer als jemanden angesehen, der Entwicklungen beobachtet, kritisch analysiert und Vorschläge macht, wie man weiterkommt.
Im Privatbereich kann man Bußgelder verhängen, aber im öffentlichen Bereich kann man wohl, wenn überhaupt, nur tadeln. Wie haben Sie Druck ausgeübt?
Spiros Simitis: Ich bin öfters zum Fernsehen gegangen, und das hat immer geholfen. […] Ich habe der öffentlichen Diskussion immer sehr viel Wert beigemessen, gerade auch in Anlehnung an die Vereinigten Staaten, wo diese eine große Rolle spielt.
Warum hat der Datenschutz in Deutschland relativ schnell Form angenommen? In den USA und anderen Ländern sah das ja anders aus.
Spiros Simitis: In den USA war das Bewusstsein für die Technologieveränderungen sehr viel eher als bei uns da, so dass die Möglichkeiten auch schneller wahrgenommen wurden. In der Öffentlichkeit manifestierten sie sich allerdings sehr verschieden: Die ersten Reaktionen waren im Kreditbereich, weil sich der traditionell ausgebildete Konsumentenschutz gegen die Profilierung der Kunden, gegen die Benutzung ihrer Daten bei der Kreditaufnahme wehrte. Es gibt sehr gute Publikationen, welche versuchten, daraus allgemeinere Lehren zu ziehen. Das funktionierte aber nicht, weil die Reaktion der einzelnen Staaten sehr verschieden waren, und wenn überhaupt Folgen aus Berichten gezogen wurden, dies nur einzelne Bereiche wie den Gesundheitsbereich betrafen.
Inwiefern ist Datenschutz auf moderne Gesellschaften angewiesen? Was ist das Moderne an den Gesellschaften, das Datenschutz entstehen lässt? In den USA kristallisierte sich eher der privatrechtliche Konsumentenschutz heraus, während hier in Deutschland das öffentlich-rechtliche Modell genutzt wird. Unter welchen Bedingungen kann Datenschutz entstehen?
Spiros Simitis: Ich werde versuchen, etwas anders zu antworten. In der Volkszählungsentscheidung des Bundesverfassungsgerichts, ich nenne sie mal die „Bibel des Datenschutzes“, geht es in dem Absatz, der mit der Anerkennung der informationellen Selbstbestimmung beginnt, noch weiter. Das Gericht fügt noch einen Satz hinzu: Das Recht, selbst darüber zu entscheiden, wer die Daten des Einzelnen wann, wofür verwendet, ist eine elementare Funktionsbedingung einer demokratischen Gesellschaft.
Genau das ist meiner Überzeugung nach die Grundlage des Datenschutzes. […] Hier wird gesagt, dass die Struktur unser Gesellschaft auf dem Spiel steht, und diese Struktur definiert unsere Aufgabe. Das ist für mich der entscheidende Ansatzpunkt, an dem wir messen müssen, was wir brauchen, wie es aussehen muss und was wir erwarten können.
Was ist denn die Struktur der Gesellschaft?
Spiros Simitis: Es sind nicht nur Daten, die nicht erhoben werden. Alles wird heute erhoben. Es ist so, dass diese Daten, die gesammelt werden, keineswegs nur in einer riesigen Datenbank verarbeitet werden, sondern es gibt ein Netzwerk. Die Technologie ist heute so, dass ich mit den Daten machen kann, was ich will, also auch manipulieren. Ich kann eine Politik entwickeln, die von vorneherein den Einzelnen als steuerbares Objekt ansieht und in diesem Sinne vorgeht. Daran können Sie den Unterschied sehen, zu den 1970er Jahren und den 1980er Jahren, wo wir wollten, dass klar ist, welche Daten erhoben werden, und wir meistens eingreifen, wenn dann etwas mit ihnen geschieht, was wir nicht wollen. Heute ist das anders. Heute ist das eigentliche Stichwort für Datenverarbeitung Prävention. […]
Erstes Beispiel: die britische Biobank, das ist die größte, die es gibt. Sie ist gegründet worden, weil man typische Krankheiten unserer Gesellschaft bekämpfen will, also zum Beispiel Alzheimer. Es werden also Daten von Leuten über vierzig einbezogen, aber nicht, indem ich nur irgendwelche medizinischen Daten abgreife, sondern auch, wo die Leute wohnen, was sie arbeiten, etc. Es entstehen also Profile, wie es sie sonst nirgendwo gibt. Da standen natürlich gleich die Versicherungsgesellschaften und die Sicherheitsbehörden vor der Tür, wobei nur letztere Zugriff erhalten haben.
Zweites Beispiel: In Frankreich werden Kinder von klein auf beobachtet, um herauszufinden, ob sie kriminell werden und wann eingegriffen werden muss.
Drittes Beispiel: Die Bemühungen in Deutschland sind noch nicht soweit, aber in der Krebsbekämpfung geht es auch um Prävention. Es wird früh mit Untersuchungen angefangen, und wenn da was ist, muss gehandelt werden, sonst verliert man die Versicherung. Genau das ist, was ich meine.
Die meisten Daten sind heutzutage bei den privaten Firmen vorzufinden. Es wird also beispielweise zur Telekom gegangen und die Vorratsdatenspeicherung vorgeschrieben. Nicht der Staat sammelt, sondern er nimmt aus den Unternehmen die Daten heraus, die er braucht.
In ihre sechzehnjährige Amtszeit als hessischer Datenschutzbeauftrager fiel auch das Urteil des Bundesverfassungsgerichts zur informationellen Selbstbestimmung. Kann man sagen, dass sich ihre Tätigkeit durch dieses Urteil verändert hat? Machte es vieles einfacher, oder ging es weiter wie gehabt?
Spiros Simitis: Das war ein radikaler Wandel, denn bis zu dieser Entscheidung wurde der Datenschutz nicht wirklich ernstgenommen. Bis dahin hat man immer gemeint, dass der Datenschutz irgendwann aufhört. Von dem Augenblick an veränderte sich die Lage. Das kann man auch daran sehen, dass die erste Reaktion vieler Juristen darin bestand, darüber nachzudenken, was denn diese Entscheidung überhaupt für einen Anwendungsbereich hat. Das wäre vielleicht für öffentliche Stellen relevant, aber nicht für den privaten Bereich. Es wurden dann auch die Reformen hinausgezögert, nur Übergangslösungen geschaffen und ähnliches bis in die 1990er Jahre.
Es war eine Zäsur. Von dann an stand fest: Man spielt nicht mehr mit dem Datenschutz!
Es gibt auch eine Kritik an dem Urteil: Es hätte nur eine Verrechtlichung des Datenschutzes stattgefunden, aber materiell wurde für den Datenschutz nicht viel getan. Was sagen Sie zu dieser Kritik?
Spiros Simitis: Diese Kritik könnte besser sein, wenn sie präziser wäre. Es passierte doch folgendes: Denken Sie an die 1970er Jahre zurück, an unsere Feststellung, dass man in die Generalklauseln geflüchtet ist. An ihrem Ende wussten alle, dass diese Gesetze nichts bringen. Weil durch sie nur reagiert werden kann, wenn der Verwendungskontext bekannt ist. Nur wenn die spezifischen Bedingungen der Sammlung in einem ganz spezifischen Kontext bekannt sind, kann genau gesagt werden, wie vorgegangen werden muss. Deshalb waren sich alle einig, dass zusätzliche Gesetze notwendig sind. Mit jedem Gesetz, das geschaffen wurde, sind aber auch neue Umgehungsmöglichkeiten aufgetreten. Diese Gesetze sind allesamt nicht in einem kohärenten Gesetzeskonstrukt konzipiert, sondern bieten Ausweichmöglichkeiten. […] Es gibt keine Maßstäbe, die die Kohärenz sichern. In dem Maße, indem das fehlt, tritt das ein, was Sie gesagt haben: Die Verrechtlichung unterminiert den Datenschutz, aber nur weil sie sich nicht am Datenschutz entwickeln, sondern ihn immer mit einem Fragezeichen versieht.
Hat sich in den sechzehn Jahren, neben dieser Zäsur, an der praktischen Arbeit als Landesbeauftragter für den Datenschutz etwas geändert? Wurden etwa die Beanstandungen besser oder weniger?
Spiros Simitis: Es ist ein Dilemma aufgetreten. In dem Maße, in dem es Datenschutzbeauftragte gab, die ihre Aufgabe ernstnahmen und intervenierten, verbesserte sich die Lage im öffentlichen Bereich. Je deutlicher aber wurde, dass im öffentlichen Bereich auf diesem Wege etwas zu erreichen war, desto klarer wurde auch, in welchem Zustand sich der nicht-öffentliche Bereich befand. Und da es dort keine parallele Aufsichtsbehörde mit derselben Eingriffsfunktion gab, hatten wir ein immer größeres Ungleichgewicht. Das hat dazu geführt, dass sehr oft, in Hessen beispielsweise, der Datenschutzbeauftragte in seinem Tätigkeitsbericht auch zu Entwicklungen im nicht-öffentlichen Bereich Stellung nahm. Das zeigt Ihnen ein weiteres heutiges Dilemma. Es gibt diese Trennung nicht mehr. Die Anzahl der Beschwerden oder Anfragen hat zugenommen, allerdings immer in dem Maße, in dem der Datenschutzbeauftragte in der Öffentlichkeit präsent war.
Der Deutsche Herbst und die RAF fielen ja auch in Ihre Dienstzeit. Größtenteils waren das zwar Bundesangelegenheiten, aber gab es da auch Berührungspunkte zu Ihrer Arbeit?
Spiros Simitis: Welche Maßnahmen man auch immer traf, wie die Rasterfahndung, es waren Maßnahmen, die einen Datenschutzbeauftragten interessierten und ihn zur Diskussion herausforderten. Doch in dem Maße, in dem sich eine politische Situation zuspitzt und Gefahren auftauchen, in dem Maße pflegt man die Datenverarbeitung – jedenfalls im öffentlichen Bereich – anders zu sehen. Man sieht Informationsquellen, auf die man nicht verzichten kann, darum beginnt man im öffentlichen Bereich, die Zügel immer weiter zu lockern. Da spielt es eine große Rolle, wie das Parlament reagiert, und es spielt eine große Rolle, dass man den Datenschutz als Einheit sehen muss.
Lassen wir den Datenschutz mit 1970 beginnen, und sehen wir die Zeit bis heute an. Es gibt kein Jahrzehnt in der Geschichte der Rechtsprechung des Bundesverfassungsgerichts, in der so viele Entscheidungen zum Datenschutz gefällt worden sind, wie im jetzigen. Das ist kein Zufall, denn die Selbstkontrolle im öffentlichen Bereich funktioniert nicht. Es besteht eher die Überlegung, das Gericht entscheiden zu lassen.
In der Vergangenheit hatten Sie auch die Möglichkeit, Bundesbeauftragter für den Datenschutz zu werden. Warum haben Sie das abgelehnt?
Der ehemalige Bundesinnenminister Gerhart Baum, CC BY-SA 20, Heinrich-Böll-Stiftung.
Spiros Simitis: Ich hatte bis dahin schon Einiges gelernt in Hessen. Ich wusste, wie wichtig es ist, als Datenschutzbeauftragter eine bestimmte Beziehung zum Parlament zu haben und eine genaue Kenntnis der Verwaltung und eine Regierung, die tatsächlich bereit ist, sich dafür einzusetzen. Beim Bund sah das nicht so aus. Die Reaktionen des Bundeskanzlers waren nicht die, die man hätte erwarten können, also dass er im Datenschutz etwas Zentrales sah. Es gab Staatssekretäre und spätere Minister, wie beispielsweise Gerhart Baum oder auch Werner Maihofer, die sich sehr für den Datenschutz einsetzten. Mein Gefühl war aber, dass es keine Bürokratie gab, mit der man etwas hätte anfangen können. Und es gab noch einen Grund, der vielleicht etwas merkwürdig vorkommen mag: Die Zeit damals war eine Zeit, die man als kompetitiven Föderalismus bezeichnen kann. Das heißt, das Land Hessen interessierte sich nicht dafür, was der Bund oder Bayern sagte, sondern sagte, was zu machen sei. Und ich war mir nicht im Klaren, auf welches Klima ich im Parlament stoßen würde. Also sah ich mich besser in Hessen, denn es gab auch Leute, die mir nicht so freundlich gesonnen waren.
Sie haben dann angefangen, einen Kommentar zum Bundesdatenschutzgesetz zu schreiben. Das ist zu einem Standardwerk geworden. Warum haben Sie damals damit begonnen?
Spiros Simitis: Ich überlegte mir: Wie könnte man publizistisch auf die Entwicklung des Datenschutzes reagieren? Also: Welche Art der Veröffentlichung muss man wählen, damit sie gelesen wird und Einfluss auf die Praxis bekommt? Nicht nur bei den Datenschutzbeauftragten, sondern auch Einfluss auf all jene, die im Umgang mit Daten zu tun haben. Das denkbar einflussreichste Mittel unter Juristen ist heute der Gesetzeskommentar. Deswegen habe ich mich dafür entschieden und auch die Mitarbeiter danach ausgewählt, ob sie etwas mit dem Datenschutz zu tun hatten. Die einzige Vorgabe, die heute strikt ist und durchweg beachtet werden muss, ist: In der Interpretation wird immer die datenschutzfreundlichste Auslegung gewählt.
Wo sehen Sie beim Arbeitnehmerdatenschutz das Kernproblem? Es nur auf die Politik zu schieben, dass hier nichts zustande kommt, ist vielleicht ein bisschen billig?
Spiros Simitis: Ja, das klingt so. Aber ich will Sie daran erinnern, dass ich den ersten Entwurf auf Bitten des damaligen Bundesarbeitsministeriums Anfang der 1980er Jahre geschrieben habe. In den 1980ern hat das Parlament mehrmals gefragt, wo das Gesetz bleibt. Die Regierung hat mehrmals geantwortet, dass es kommt. Aber bis heute ist nichts da! Deshalb kann man solche Vorwürfe machen.
[…] Ein Anknüpfungspunkt ist die radikale Feststellung fast aller Datenschutzgesetze: Darin heißt es, die Verarbeitung personenbezogener Daten muss die Ausnahme bleiben, es sei denn der Gesetzgeber billigt sie oder der Betroffene hat eingewilligt. Aber die Einwilligung war damals schon und ist heute noch immer eine Fiktion. Außerdem gibt es im Arbeitnehmerbereich Daten, die wir als besonders sensitiv bezeichnen, etwa Gendaten. Damals habe ich schon ein Gesetz dafür verlangt.Sie waren auch Berater der EG-Kommission im Bereich Datenschutzfragen. Es gab Mitte der 1990er Jahre auch eine Datenschutzrichtlinie, sind Sie damit glücklich im Vergleich zum Bundesdatenschutzgesetz?
Spiros Simitis: Sie müssen bedenken, dass die Kommission in den 1980er Jahren strikt gegen jede Datennutzungsregelung war. Ein Scheingrund war, dass man sich auf die Konvention des Europarats berufen hat. Doch der echte Grund war, dass bei der Generaldirektion Binnenmarkt das Ganze aus einer anderen Perspektive gesehen wurde: aus Wettbewerbssicht. Doch dann sahen sie, dass in immer mehr Ländern Gesetze dazu entstanden sind. Darin sahen sie auch einen Grund, Konsequenzen für den Markt zu befürchten.
Eine Kritik der EU bei der Umsetzung der Richtlinie war, dass in Deutschland die Datenschutzbeauftragten nicht unabhängig genug wären. Wie kann eine solche Unabhängigkeit aussehen?
Spiros Simitis: Durch funktional verstandene Unabhängigkeit. Ich frage nicht, wo der Datenschutzbeauftragte drinsitzt, sondern ich frage, wie seine Kontrolle verläuft. Wenn sie unabhängig ist, können wir das dulden. Die Kommission hat damals zugestimmt. Aber kaum war der Rat vorbei, hat die Kommission eine Klage gegen die Bundesrepublik eingereicht, in der genau das drinsteht, und es steht auch in der zweiten Klage drin. Ich bin jetzt der Meinung, das geht so nicht. Wir brauchen auch eine institutionelle Unabhängigkeit, auch für den privaten Bereich.
Logo der britischen Biobank.
Sie waren auch im Bereich des Nationalen Ethikrates tätig. Wie bringt sich Datenschutz und Ethik zusammen?
Spiros Simitis: Denken Sie an mein Beispiel mit den Biobanken. Die ethische Prämisse ist die Selbständigkeit des Einzelnen, sein Schutz vor Manipulations- und Steuerungsversuchen. Die Datenschutzkonsequenz ist ein neues Geheimnis, nämlich ein Forschungsgeheimnis. Eine Öffnung für solche Versuche kann stattfinden, wenn niemand sonst da ran darf. Auch die Polizei muss vor der Türe bleiben. Also es muss ethisch und datenschutzrechtlich doppelt abgesichert sein: ethisch wegen der Steuerbarkeit und datenschutzrechtlich wegen der Unzugänglichkeit.
Jetzt, wo Sie schon sechs Kommentarauflagen zum Bundesdatenschutzgesetz geschrieben haben, was würden Sie daran ändern, wenn Sie sich ein neues Gesetz wünschen dürften? Es gab zuletzt keine großen Änderungen, doch immer wieder gibt es Forderungen, die ein ganz neues Datenschutzrecht verlangen.
Spiros Simitis: Ich würde das Bundesdatenschutzgesetz abschaffen und an seiner Stelle ein Gesetz machen, in dem die generellen Prinzipien festgehalten werden, nach denen bei der Datenverarbeitung verfahren werden muss. Dann würde ich versuchen, die bereichsspezifischen Regelungen damit zu verbinden und zu integrieren und vor dem Hintergrund der Prinzipien zu präzisieren, und das Ganze befristen.
Stichwort Datenschutz durch Technik: Sehen Sie bei sogenannten Privacy Enhancing Technologies die Chance, dass sich solche Techniken durchsetzen, also einhergehend mit dem Wunsch, dass Firmen erkennen, dass sie besonders datenschutzfreundliche Techniken auch zu Marketingzwecken nutzen können, vielleicht durch Gütesiegel…?
Spiros Simitis: Nein, ich glaube nicht, dass sich das durchsetzt. Wo ist das denn entstanden? In den Vereinigten Staaten, weil man keine Datenschutzgesetze hat, ist man in die Technologie gegangen und hat damit die Hoffnung verbunden, das zu erreichen, was man vielleicht über das Gesetz erreicht hätte. Entscheidend ist, die Technologie ist nicht selbständig. Erst müssen wir uns darüber einigen, was wir wollen und wie weit wir gehen wollen. Dann können Sie anfangen, ihre Maschinen zu entwickeln. Die Maschine als solche reicht nicht, weil sie unter Prämissen entsteht, die nicht unbedingt die Prämissen des Datenschutzes sind.
Wenn man vergleicht, was Ende der 1970er in Deutschland los war, was die Leute beim Datenschutz bewegt hat: Man hatte Angst, vom Staat ausgehorcht zu werden, mit der Volkszählung oder ähnlichem. Nun entwickelt man sich bei den Jüngeren hin zu einer Gesellschaft, die davon geprägt ist, sich über Soziale Netzwerke auszutauschen und Spuren zu hinterlassen, um gefunden zu werden, also konträr zu dem, was Ende der 1970er Jahre da war. Das Datenschutzgesetz hat sich in dieser Zeit allerdings nicht groß geändert. Müsste man hier massiv etwas ändern, oder passt es noch? […] Bricht hier ein Generationskonflikt auf, der sich auch im Datenschutzrecht darstellt?
Spiros Simitis: Ich bin vorsichtig, da etwas zu ändern, weil ich immer noch nicht weiß, wie. Aber dass da etwas geändert werden muss, finde ich richtig. Sicher wird Öffentlichkeit verschieden wahrgenommen in diesem Fall. Was ich bedauere, aber für absolut notwendig halte, ist eine öffentliche Debatte in den Parlamenten über diese Entwicklung, über das Internet. Nicht um gleich zu sagen: Das verbiete ich, sondern erst einmal, um sich gegenseitig zu verstehen und das Phänomen zu analysieren. Diese Debatte ist für den Datenschutz essentiell, aber sie hat nicht stattgefunden und sie findet auch nicht statt. Wenn ich mich heute an ein neues Bundesdatenschutzgesetz machen würde, muss diese Reflektion auch darin eingebunden werden. Ich kann auf das Internet nicht mit meinen merkwürdigen Paragraphen reagieren, die ich im BDSG habe.
Wurden Sie von solchen Gesetzten wie der Vorratsdatenspeicherung überrascht?
Spiros Simitis: Nein, man kann ziemlich genau seit den 1980er oder 1990er Jahren verfolgen, dass es immer wieder solche Tendenzen gibt, und weil auch der Druck zu Prävention sehr groß ist. Wenn das mein Vorzeichen ist, dann gehe ich genau diesen Weg. Der Zweck wird allgemein formuliert und so, dass man möglichst viele und möglichst verschiedene Daten zusammenstellt, um sie vielleicht benutzen zu können, und ich greife steuernd in das Verhalten des Einzelnen ein. Was wir heute immer wieder sehen, ist, dass mit der Zweckbindung sehr merkwürdig umgegangen wird – um es freundlich zu formulieren –, solange man nicht alle Daten bekommt, die man gerne haben möchte.
Das Gespräch führte Martin Rost, der uns die freundliche Genehmigung zur Republikation erteilt hat. Es gibt eine mp3-Audio- sowie eine Video-Aufnahme des Gesprächs, das 2009 entstanden ist.
Transkription von Niko, Simon und Constanze.
-
: Frankreich fordert eine weltweite biometrische Datenbank und begründet dies mit Kostenersparnis
Deutsche Testumgebung für das Pilotprojekt "Intelligente Grenzen". : Frankreich fordert eine weltweite biometrische Datenbank und begründet dies mit Kostenersparnis Die französische Regierung fordert die EU-Mitgliedsstaaten auf, das geplante System „Intelligente Grenzen“ („Smart Borders“) auf Staatsangehörige der Europäischen Union auszuweiten. Dies geht aus einem Papier mit dem Titel „Intelligente Grenzen für alle“ hervor, das die französische Delegation der EU-Ratsarbeitsgruppe „Grenzen“ vorgelegt hat. Die derzeit nur für Angehörige von Drittstaaten geplante Datensammlung würde auf diese Weise zu einer weltweiten biometrischen Datenbank.
Frankreich begründet seinen Vorstoß mit einem gestiegenen Passagieraufkommen, einem „unvorgesehenen Migrationsdruck“ und „erhöhter Bedrohung durch Terrorismus“. Deshalb würden neue Werkzeuge zur Kontrolle der EU-Außengrenzen benötigt. Nur so könne die Freizügigkeit innerhalb des Schengen-Raums aufrechterhalten werden. Während die biometrischen Daten im System „Intelligente Grenzen“ gespeichert blieben, sollen Datum und Ort jedes Grenzübertritts laut dem Papier im Schengener Informationssystem vermerkt werden.
Fingerabdrücke und/ oder Gesichtsbild
Die Einführung der Vorratsdatenspeicherung aller Reisenden aus Drittstaaten wird seit 2008 vorbereitet, 2011 mündeten die Vorbereitungen in die Initiative „Intelligente Grenzen“. Zum Gesamtpaket gehört ein „Ein-/Ausreisesystem“ („Entry/Exit System“, EES), in dem die Ein- und Ausreisen aller Drittstaatsangehörigen erfasst werden – auch wenn diese kein Visum für den Schengen-Raum benötigen.
Die Reisenden werden mithilfe ihrer Fingerabdrücke oder dem Gesichtsbild identifiziert und gespeichert. Sofern die Daten nicht aus biometrischen Reisedokumenten ausgelesen werden können, werden sie vor Ort abgenommen. Derzeit testet die Kommission verschiedene technische Konzepte zur Zahl der abgenommenen Fingerabdrücke bzw. deren Kombination mit dem Gesichtsbild.
„Drittstaatsangehörige mit niedrigem Risikoprofil“ können sich in einem „Registrierungsprogramm für Reisende“ („Registered Travellers Programme“, RTP) vorab in den konsularischen Vertretungen oder den geplanten gemeinsamen Visastellen überprüfen lassen und persönliche sowie biometrische Daten hinterlegen. Voraussetzung ist unter anderem der Nachweis „ausreichender Existenzmittel“ und der Besitz eines biometrischen Passes. Mit diesem Privileg dürfen dann automatisierte Kontrollgates genutzt werden.
Umwidmung für polizeiliche Zwecke
Die neue Datensammlung wird von Agentur für das Betriebsmanagement von IT-Großsystemen (eu-LISA) in Estland betrieben. Mindestens 14 Mitgliedstaaten verfügen bereits über ein nationales Ein- und Ausreisesystem. Hierzu gehören Spanien, Litauen, Polen, Rumänien, Bulgarien, Zypern, Portugal und Großbritannien. Die Systeme könnten später in die geplante europäische Plattform integriert werden.
Anfangs sollte das System „Intelligente Grenzen“ lediglich zur grenzpolizeilichen Ermittlung von „Overstayern“ dienen. Gemeint sind MigrantInnen, die zunächst mit einem gültigen Aufenthaltstitel in die EU einreisen, den Schengen-Raum aber nicht fristgemäß verlassen.
Allein der Start des Systems „Intelligente Grenzen“ würde vermutlich über eine Milliarde Euro kosten. Viele Mitgliedsstaaten meldeten deshalb Bedenken an. Nun ist sogar die Ausweitung der Datensammlung geplant, die fortan auch Polizeibehörden offenstehen soll. Die Bundesregierung befürwortet diese neue Zielsetzung und begründet dies mit einem besseren „Kosten-Nutzen-Verhältnis“. Auch das französische Papier setzt auf einen „Mehrwert“ in Bezug auf die Kosten.
Schon allein die Öffnung des Systems für die Strafverfolgung würde aber höhere Kosten verursachen, denn die Polizeibehörden drängen auf die Abnahme möglichst aller Fingerabdrücke. Dies hätte gegenüber dem Kommissionsvorschlag von lediglich vier Fingerabdrücken eine deutliche Erhöhung der Serverkapazität zur Folge. Würden auch die Daten der rund 500 Millionen EU-BürgerInnen gespeichert, fielen weitere Investitionen an.
Vorratsdatenspeicherung bis zu fünf Jahre
In einer Technischen Studie schreibt die Kommission, die grenzpolizeilichen Zwecke erforderten die Erhebung von 26 Datenfeldern. Der ursprüngliche Vorschlag zur Errichtung des „Intelligente Grenzen“ schlug noch 36 Datenfelder vor, darunter auch solche zu früheren Ein- und Ausreisen. Nehmen die Reisenden das „Registrierungsprogramm“ in Anspruch, werden auch dort erhobene Antragsdaten gespeichert. Hierzu gehören die Telefonnummer, der Reisezweck oder der Beruf. Die Angaben könnten bis zu fünf Jahre lang gespeichert werden.
Die biometrische Vorratsdatenspeicherung würde schnell über eine Milliarde Personen betreffen. Der Verordnungsvorschlag der EU-Kommission ging vor vier Jahren davon aus, dass allein im Luftverkehr bis 2030 eine Zunahme von 400 auf rund 720 Millionen Reisende zu erwarten ist. Ein Drittel aller Einreisen werden „Drittstaatsangehörigen“ zugeschrieben (Frankreich nennt hierzu die Zahl von 43%).
Immerhin ist dem französischen Papier auch von Vergünstigungen die Rede. Einmal komplett biometrisch registriert, könnten dann auch EU-Staatsangehörige die automatischen Kontrollgates des Systems „Intelligente Grenzen“ nutzen. Das Profil der GrenzbeamtInnen würde sich auf diese Weise zu einem „Supervisor“ verändern, der die automatisierten Vorgänge beaufsichtigt und nur wenn notwendig tiefergehende Checks durchführt.
-
: Kein Anschluss unter diesem Flüchtling – Markierung von Rufnummern
<a href="https://creativecommons.org/licenses/by-nc/2.0/">(CC BY-NC 2.0)</a> Rasande Tyskar via <a href="https://www.flickr.com/photos/rasande/14393988547/sizes/l">flickr</a> : Kein Anschluss unter diesem Flüchtling – Markierung von Rufnummern Flüchtlinge, die derzeit in Deutschland ankommen, sind auf einen mobilen Internetzugang mit dem Handy angewiesen. Es ist oft die einzige Kontaktmöglichkeit zu Familienmitgliedern und wichtigste Informationsquelle, um sich in dem fremden Land zurechtzufinden. Dabei müssen Flüchtlinge auf Prepaid-Karten zurückgreifen, denn einen Mobilfunkvertrag zu bekommen, ist für sie äußerst schwierig. Deutsche Behörden nutzen die Gelegenheit, um hinterrücks ihre Überwachung zu intensivieren.
Auch bei Prepaid-Karten sind die Provider nach dem Telekommunikationsgesetz verpflichtet, unter anderem den Namen und die Anschrift des Anschlussinhabers zu speichern. Überprüfen müssen sie diese Daten zwar nicht. Doch wie die taz feststellte, ist den Strafverfolgungsbehörden diese fehlende Pflicht zur Adressprüfung ein Dorn im Auge. Flüchtlinge, die beim Kauf einer Prepaid-Karte die Adresse ihrer Erstaufnahmestelle angeben, erfahren deshalb eine Sonderbehandlung. Ihre Anschlüsse werden von den Mobilfunkbetreibern ausgesondert und markiert. Wenn sie nicht rechtzeitig eine gültige Folgeadresse angeben, droht ihnen sogar die Sperrung der Rufnummer.
Das Problem heißt Kontrolle
Anhand der Markierungen werden die Handynummern von Flüchtlingen identifizierbar; die Mobilfunkanbieter können ihnen also die Anschlüsse zuordnen. Hier wird vorauseilend ein die Flüchtlinge diskriminierendes Verfahren geschaffen, damit die Strafverfolgungsbehörden über penibel genaue und aktuelle Daten zu deren Wohnorten verfügen. Das Bundesinnenministerium (BMI) hat dafür eine Leitlinie gemeinsam mit der Bundesnetzagentur (BNetzA) und dem Wirtschaftsministerium (BMWi) entwickelt.
1. Bei dem Verkauf der Prepaid-Karten an Asylsuchende werden zunächst einmal die bei der Registrierung in der Erstaufnahmeeinrichtung aufgenommenen Angaben erhoben und gespeichert. Neben dem Namen und Geburtsdatum des Asylsuchenden sollte die Adresse der Erstaufnahmeeinrichtung aufgenommen werden.
2. Nach spätestens drei Monaten werden die Nutzer der Prepaid-Karten per SMS (in englischer und arabischer Sprache) aufgefordert, sich mittels einer aktuellen „Bescheinigung über die Meldung als Asylsuchender“ (BüMA) oder einer Aufenthaltsgestattung im Zusammenhang mit der Asylantragstellung neu registrieren zu lassen.
3. Sollte diese Neuregistrierung nicht innerhalb von 14 Tagen erfolgen, werden die jeweiligen Prepaid-Karten abgeschaltet.
Den Schwarzen Peter weitergeben
Fiete Wulff, Sprecher der Bundesnetzagentur, verteidigte dieses Verfahren folgendermaßen: „Keineswegs soll damit eine dauerhafte Kennzeichnung der Kunden verbunden sein.“ Bezeichnend ist darin natürlich das Wort „dauerhaft“, denn eine spezifische Kennzeichnung der Flüchtlinge findet in jedem Fall statt. Zwar bestreitet die BNetzA, dass die Provider zur Speicherung eines Merkmals wie „Migrant“ verpflichtet seien, doch gibt sie den Schwarzen Peter an die Mobilfunkanbieter weiter. Sie spricht explizit von einer Kennzeichnung der entsprechenden Anschlüsse, doch für die Umsetzung der spezifischen Kennzeichnung sind die Provider zuständig:
Wie die Kennzeichnung der Anschlüsse erfolgt, zu denen eine aktuelle Adresse nacherhoben werden soll, bleibt den Unternehmen überlassen.
Einige der Mobilfunkanbieter hatten bei der Bundesnetzagentur erfragt, ob es ein besonderes Verfahren mit den Anschlüssen von Flüchtlingen gebe, und bekamen die Leitlinie als Antwort. Vodafone Deutschland versucht, die diskriminierende Vorgabe der BNetzA einfach zu umschiffen. Der Konzern bietet beispielsweise ein spezielles Prepaid-Produkt für Asylsuchende, das eine eigene Artikelnummer besitzt und darüber die entsprechenden SIM-Karten identifizieren kann.
Wer nicht antwortet, wird gelöscht
Drei Monate nach einer ersten Registrierung wird auch hier per SMS zu einer Aktualisierung der Daten aufgefordert. Wer nicht folgt, dem droht die Sperrung des Anschlusses. Wulff von der BNetzA begründet das Verfahren damit, dass „bereits bei Erwerb der SIM-Karte klar ist, dass die Adressdaten der Erstaufnahmeeinrichtung nur übergangsweise gültig sind“.
Diese Argumentation scheint in mehrfacher Hinsicht absurd. Einerseits verlangt zwar der § 111 TKG, hinter dem sich die BNetzA verschanzt, eine Korrektur der Adressdaten, sobald eine Änderung dem Dienstanbieter bekannt wird. Allerdings verfährt man mit anderen Menschen, deren Adresse volatil ist, nicht so. Beispielsweise müssen Personen, die als Wohnort ein Studentenwohnheim beim Prepaid-Kartenkauf angeben, nicht mit einer gesperrten Rufnummer am Ende des Semesters rechnen. Zwar ist hier ebenfalls beim Erwerb der SIM-Karte klar, dass die KundInnen dort nicht für immer und ewig wohnen werden. Gleiches gilt für Jugendliche, die noch bei den Eltern wohnen, oder für Zeitarbeiter. Aber da die Mobilfunkanbieter nicht verpflichtet sind, die Angaben der KundInnen zu überprüfen, geschweige denn sie zu sanktionieren, behandelt man solche Menschen nicht wie die Flüchtlinge. Der Unterschied ist wohl weniger der erwartbar veränderliche Wohnort, sondern die Tatsache, dass von den Flüchtlingen weniger Widerstand gegen die diskriminierende Behandlung zu erwarten ist.
Die Bundesnetzagentur sieht das naturgemäß anders und legt eine sehr eigenwillige Interpretation des § 111 TKG an den Tag:
Erlangt ein Diensteanbieter Kenntnis davon, dass sich Daten eines Anschlussinhabers geändert haben, ist er gefordert nachzuerheben und zu korrigieren (§ 111 Absatz 1 Satz 4 Telekommunikationsgesetz). In der Regel erfolgt eine Nacherhebung via SMS an die betroffene Rufnummer mit der Bitte um erneute Verifizierung der hinterlegten Anschlussinhaberdaten. Erfolgt dies nicht innerhalb der vorgegeben (sic!) Frist, wird die jeweilige SIM-Karte gesperrt. […] Ein Diensteanbieter darf eine Erstaufnahmeeinrichtung als Anschrift des Anschlussinhabers nicht im Datenbestand belassen, sofern bekannt ist, dass diese zunächst angegebene Anschrift in naher Zukunft unrichtig wird.
Einige Mobilfunkanbieter bestätigten auf Nachfrage, dass diese Regelung in anderen Fällen äußerst selten angewendet werde. Es drängt sich der Verdacht auf, dass bei der Erarbeitung der Verfahrensleitlinie BMI, BMWi und Bundesnetzagentur neben einer „praxisorientierten Lösung für Flüchtlinge“ die Überwachbarkeit sämtlicher Anschlüsse von Flüchtlingen im Hinterkopf hatten. Der „angepasste Zeitrahmen“ zur Neuregistrierung und die drohende Abschaltung des Anschlusses sind wahrlich kein Entgegenkommen gegenüber den Flüchtlingen. Während man ansonsten gern die Willkommenskultur zelebriert, halten die deutschen Behörden hinter dem Rücken schon die Migranten-Markierung und den Off-Button bereit.
Hier telefoniert der Friedhof
Der Skandal bietet eigentlich Anlass dazu, grundlegend darüber zu diskutieren, warum es in Deutschland nicht erlaubt sein soll, Handys ohne Angabe von persönlichen Informationen zu nutzen. Vielfach finden wir uns damit ab, dass Mobilfunkanschlüsse uns zuzuordnen sind. Die Behörden versuchen nun, wegen der vorhersehbaren kurzen Aufenthaltsdauer an einem Ort, das Kontrollnetz engmaschiger zu spinnen. Es ist längst klar, dass sich Personen durch eine Registrierung nicht abhalten lassen, wenn sie anonym telefonieren möchten. Einige Möglichkeiten wurden bei netzpolitik.org bereits vorgestellt.
Stattdessen wird von der BNetzA vorgeschoben, dass die Kartenregistrierung auf eine fiktive Adresse unzulässig sei. Die Mobilfunkbetreiber überprüfen bei der Registrierung von Prepaid-Karten in aller Regel nicht, ob es sich die Adresse eines Friedhofs oder um das Wahlkreisbüro eines Abgeordneten handelt. Die beteiligten Behörden wissen das. Trotzdem sind Menschen, die in einer Erstaufnahmeunterkunft leben, die Einzigen, deren Anschlüsse angezählt werden.