Datenschutz
-
: Website gehackt: Der Wortlaut der Mitteilung des Generalbundesanwalts
: Website gehackt: Der Wortlaut der Mitteilung des Generalbundesanwalts Um die Äußerungen des Generalbundesanwalts Harald Range zu den Ermittlungen gegen uns ist ein politischer Streit entstanden. Grünen‑, Linken‑, FDP- sowie SPD-Politiker fordern mittlerweile seinen Rücktritt. Derzeit kann man die Meldung vom Wochenende allerdings nicht aufrufen, daher geben wir den vollständigen Inhalt hier wieder.
Es wurde spekuliert, dass die Pressemitteilung vielleicht zurückgezogen oder anders formuliert werden sollte. Dominik Rzepka aus der ZDF-Hauptstadtredaktion hat aber bereits eine Bestätigung der Bundesanwaltschaft bekommen, dass die Website gehackt worden sind.
Mitteilung des Generalbundesanwalts vom 2. August
Pressemitteilung zum Verfahren aufgrund der Strafanzeigen des Bundesamtes für Verfassungsschutz
Die Bundesanwaltschaft hatte aufgrund der Strafanzeigen des Bundesamtes für Verfassungsschutz (BfV) wegen der Veröffentlichung von als Verschlusssache eingestufter Dokumente auf dem Internet-Blog „Netzpolitik.org“ zunächst lediglich einen Prüfvorgang angelegt. Hintergrund hierfür war, dass eine Zuständigkeit der Bundesanwaltschaft in Fällen von Geheimnisverrat nur gegeben ist, wenn ein Staatsgeheimnis im Sinne des § 93 StGB in Rede steht. Das BfV hat im weiteren Verlauf zu dieser Frage ein ausführliches Rechtsgutachten vorgelegt und darin das Vorliegen eines Staatsgeheimnisses bejaht. Daraufhin hat die Bundesanwaltschaft nach kritischer Prüfung zureichende tatsächliche Anhaltspunkte für eine möglicherweise strafbare öffentliche Bekanntgabe eines Staatsgeheimnisses gesehen. Nach § 152 Abs. 2 StPO war sie daher gehalten, ein Ermittlungsverfahren auch gegen die bislang unbekannten, ihr Dienstgeheimnis verletzenden Geheimnisträger einzuleiten.
Bereits bei der Einleitung des Ermittlungsverfahrens am 13. Mai 2015 hat Generalbundesanwalt Range angewiesen, dass mit Blick auf das hohe Gut der Presse- und Meinungsfreiheit keine Maßnahmen gegen die in den Strafanzeigen des BfV namentlich genannten Journalisten ergriffen werden. Vielmehr hat er entschieden, dass zur Wahrung und Sicherung der Objektivität der Ermittlungen ein externes Gutachten zur Beurteilung des Vorliegens eines Staatsgeheimnisses eingeholt werden soll. Ein solches Gutachten wurde am 19. Juni 2015 in Auftrag gegeben.
Der weitere Gang des Verfahrens wird der vom Bundesministerium der Justiz und für Verbraucherschutz am vergangenen Freitag angekündigten Einschätzung zu den offenen Rechtsfragen vorbehalten bleiben.
-
: Verteidigungsministerium und Bundeswehr kündigen besseren Datenschutz auf Websites an
Das Verteidigungsministerium sieht Mängel hinsichtlich des Datenschutzes auf ihren Websites ein.<br />Bild: bundesregierung.de : Verteidigungsministerium und Bundeswehr kündigen besseren Datenschutz auf Websites an Vor zwei Wochen veröffentlichten wir unsere Recherche zum Thema Tracking auf staatlichen Websites. Es zeigte sich, dass neun von 35 untersuchten Websites klare Mängel aufweisen und den Vorgaben des Telemediengesetzes nicht entsprechen. Das Bundesverwaltungsgericht kündigte als einzige bemängelte Behörde Nachbesserungen an. Bisher fehlte die Stellungnahme des Bundesministeriums der Verteidigung. Diese wurde nun durch die Bundeswehr im Auftrag des Ministeriums nachgereicht. Damit kündigen insgesamt zwei der neun Institutionen Verbesserungen an.
Mehrere Websites des Ministeriums und der Bundeswehr wiesen zum Zeitpunkt der Analyse Mängel auf. Untersucht wurde die Ministeriumswebsite selbst, bundeswehr.de und bundeswehr-karriere.de als die mutmaßlich prominentesten Internetauftritte. Mangelhaft war insbesondere, dass es keine erkennbare Widerspruchsmöglichkeit gab und folglich auch keinen Hinweis darauf. In ihrer Antwort kündigt die Bundeswehr nun an, zukünftig ausdrücklich auf die Verwendung von Cookies hinzuweisen und verspricht auch die Implementierung einer Widerspruchsmöglichkeit. Auch soll die Art der Webanalyse in der Datenschutzerklärung präzisiert werden.
In der Antwort der Bundeswehr offenbaren sich allerdings noch weitere Mängel, die so gar nicht unmittelbarer Bestandteil unserer Recherche waren. So findet, im direkten Widerspruch zum Telemediengesetz, keine Anonymisierung oder Pseudonymisierung der erhobenen IP-Adressen statt. Es soll aber nachgebessert werden.
Es trifft zu, dass bislang keine Anonymisierung und auch keine Pseudonymisierung der dabei erhobenen IP-Adressen statt fand. Eine solche Anonymisierung bzw. Pseudonymisierung der IP-Adressen unter Beibehaltung der o. g. Nutzungsinformationen wird jedoch zeitnah umgesetzt werden. Hierzu wird das BAAINBw die BWI beauftragen, die IP-Adressen im Rahmen der Webanalyse zu pseudonymisieren.
– Bundeswehr am 28.07.2015Das BAAInBw ist das Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr, mit BWI ist die BWI Informationstechnik GmbH gemeint, die die Auswertung vornimmt.
Ein Punkt bleibt in der Antwort auf unsere Anfrage unklar. Es ist fraglich, ob das Verteidigungsministerium, wie vom Telemediengesetz zu Zwecken der Marktforschung gefordert, grundsätzlich eine Pseudonymisierung vornehmen wird oder nur im Falle eines Widerspruchs:
Die Erstellung von Nutzungsprofilen wird im Fall eines Widerspruchs an die Verwendung von Pseudonymen geknüpft.
– Bundeswehr am 28.07.2015Fehlende Sensibilität und Sachkenntnis
Auch in diesem Fall lässt sich also schlussfolgern, dass bestehende Mängel weniger ein Zeichen von Unwillen oder Ignoranz gegenüber den geltenden Bestimmungen ist, als vielmehr ein Zeichen für fehlendes Wissen und fehlende Sensibilität gegenüber dem Thema Datenschutz im Internet. Gerade im Fall der Bundeswehr offenbarten sich vor einiger Zeit die mangelhaften Kenntnisse im Umgang mit Informationstechnologie, als Soldaten im Auslandseinsatz darauf hingewiesen werden mussten, dass sie keine fremden USB-Sticks annehmen sollen und auf die Trennung privater und beruflicher Systeme zu achten haben. Es ist klar Schulungsbedarf erkennbar, insbesondere angesichts der sensiblen Systeme, die der Bundeswehr zur Verfügung stehen.
Erfreulich ist, dass Verbesserungen innerhalb einer festgelegten Frist angekündigt wurden. Aus der Reaktion des Bürgerdialogs der Bundeswehr, der im Auftrag des Verteidigungsministeriums auf unsere Anfrage antwortete, lässt sich das Einsehen klar ablesen. Alle angekündigten Änderungen sollen bis zum 31. August umgesetzt werden.
Vorherige Artikel zum Thema:
- Rechercheergebnis: Benutzerverfolgung auf staatlichen Websites
- Rückmeldungen der betroffenen Stellen
-
: Benutzerverfolgung durch staatliche Websites: Die Antworten
: Benutzerverfolgung durch staatliche Websites: Die Antworten Vor gut einer Woche stellten wir unser Rechercheergebnis zur Benutzerverfolgung auf staatlichen Websites vor. Dabei verglichen wir die Vorgaben des Telemediengesetzes und der Datenschutzbeauftragten mit der Umsetzung auf Websites staatlicher Behörden.
Neun der 35 untersuchten Websites hatten bis zum Zeitpunkt der Recherche ein Trackingtool installiert, boten allerdings keine Widerspruchsmöglichkeit an. Wie das Rechercheergebnis (pdf) darlegt, steht diese Vorgehensweise im klaren Widerspruch zur Vorgabe der Datenschutzbeauftragten von Bund und Ländern auf Grundlage des Telemediengesetzes. Diese neun Websites sind Angebote des Bundestages, der Ministerien der Verteidigung und für Familie, Senioren, Frauen und Jugend und des Bundesverwaltungsgerichts. Das Verteidigungsministerium hat bisher keine Stellungnahme abgegeben.
Alle betroffenen Betreiber haben wir auf unsere Einschätzung hingewiesen und um eine Stellungnahme oder gegebenenfalls um Richtigstellung gebeten. Die Reaktionen fielen sehr gemischt aus und warfen einige Fragen auf.
Definition eines Nutzungsprofils und Nachprüfbarkeit
Das Bundesministerium für Familie, Senioren, Frauen und Jugend (BMFSFJ) setzt einen Tracker der Init AG ein. Uns ist nicht bekannt, wie die Erhebungen dieses Trackers aussehen. Auf unsere Anfrage antwortete das Ministerium:
Die vom BMFSFJ eingesetzte Statistik-Software erstellt keine individuellen Nutzungsprofile. Einzelne Merkmale, insb. die Browserart (Attribut User-Agent) und Betriebssystem, werden zwar erfasst, aber keinem User zugeordnet. Es werden lediglich die kumulierten Zugriffe auf einzelne Dokumente gezählt.
– Bundesministerium für Familie, Senioren, Frauen und Jugend am 20.07.2015Auch werden laut Aussage des Ministeriums keine IP-Adressen gespeichert. Über Hinweise aus der Leserschaft, wie der Tracker der Init AG arbeitet, würden wir uns freuen.
„Do Not Track“-Header als Widerspruchsmöglichkeit
Viele der untersuchten Websites akzeptieren den „Do Not Track“-Header als Widerspruchsmöglichkeit. Dazu schrieb der Berliner Datenschutzbeauftragte im Jahr 2011:
[…] so sind sich die deutschen Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich einig, dass das Setzen der entsprechenden Option durch eine Nutzerin oder einen Nutzer der Erklärung eines Widerspruchs im Sinne von § 15 Abs. 3 TMG gleichkommt. Solche Widersprüche sind von Anbietern von Telemedien zu beachten. Technische Verfahren sind so umzugestalten, dass solche Widersprüche erkannt und umgesetzt werden.
Grundsätzlich ist die Anerkennung des „Do Not Track“-Headers auch sehr begrüßenswert. Es stellen sich lediglich einige Fragen, die es in diesem Zusammenhang zu beantworten gilt:
- Ist diese Form des Widerspruch den Nutzern hinreichend bekannt? Ist davon auszugehen, dass das Gros der Internetnutzer mit dieser Option umzugehen weiß? Schon im Oktober 2012 sorgte sich die ehemalige EU-Kommissarin für die Digitale Agenda, Neelie Kroes, um die zu langsam fortschreitende Standardisierung und mangelnde Information der Browsernutzer.
- Der „Do Not Track“-Header ist noch kein W3C-konformer Standard. Ist wirklich davon auszugehen, dass jeder Internetnutzer Kenntnis davon hat und in der Lage ist, ihn zu setzen? Ist es dabei akzeptabel, dass noch zahlreiche Browser im Einsatz sind, die das Setzen des Headers nicht ermöglichen?
- Das Telemediengesetz spricht von einem Erlaubnis der Erhebung von Nutzungsdaten, sofern der Nutzer nicht widerspricht. Ist es ein aktiver Widerspruch, wenn der Header bereits standardmäßig gesendet wird, wie es beim Internet Explorer 10 der Fall ist? Sind Anbieter immer noch verpflichtet, das als eindeutige Willenserklärung zu verstehen oder wird die Eindeutigkeit des Widerspruchs damit verwässert? (vgl. Telemedicus: Warum „Do not Track“ den Datenschutz nicht retten wird.)
Insbesondere beim Einsatz von Programmen wie Piwik, die weitere Alternativen zum Opt-out anbieten, sollten diese zumindest ergänzend eingesetzt werden. Denn „Do not Track“ ist definitiv nicht als Standard etabliert.
Hinweis auf Widerspruchsmöglichkeit
Eindeutiger wird es beim Hinweis auf die Widerspruchsmöglichkeit.
Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen.
– § 15 Abs. § TMG§ 13 TMG spricht von einer Unterrichtung zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung. Zu Beginn des Benutzervorgangs informierte lediglich das Bundesministerium für Ernährung und Landwirtschaft über das Tracking. Zugegebenermaßen ist es aber auch wenig realistisch, auf jeder Unterseite einer Website darauf hinzuweisen. Doch zumindest ein Hinweis in der Datenschutzerklärung oder auf vergleichbaren Seiten ist leicht umzusetzen.
Auf die Frage, wo der Nutzer auf seine Widerspruchsmöglichkeit hingewiesen wird, antwortete der Bundestag:
In der Datenschutzerklärung für die Apps des Deutschen Bundestages ist ein entsprechender Hinweis bereits enthalten. In der für bundestag.de geltenden Datenschutzerklärung wird dieser Hinweis ebenfalls enthalten sein.
– Bundestag am 14.07.2015Wir konnten nach gründlicher Lektüre der Datenschutzhinweise der Bundestags-Website keinen Hinweis auf Widerspruchsmöglichkeiten entdecken. Für den Fall von Änderungen hier eine Archiv-Version des Datenschutzhinweise des Bundestages. Der Vollständigkeit halber ist an dieser Stelle zu erwähnen, dass die Datenschutzerklärung laut Auskunft des Bundestages derzeit aufgrund der Umstellung auf Piwik überarbeitet und die neue Version in Kürze freigeschaltet wird.
Das Bundesverwaltungsgericht zeigte sich einsichtiger.
Ihre Recherchen sind insoweit korrekt, als dass ein expliziter Hinweis auf die Widerrufsmöglichkeit für das Tracking derzeit nicht besteht.
– Bundesverwaltungsgericht am 20.07.2015Auf die Frage, welche Maßnahmen unternommen werden würden, um den Missstand zu beheben, antwortete das Bundesverwaltungsgericht:
Wir werden in Kürze eine Widerspruchsmöglichkeit unmittelbar im Rahmen der Datenschutzerklärung einbinden, die nicht nur auf die bloße Widerspruchsmöglichkeit hinweist, sondern auch ein unmittelbares „Opt-out“ ermöglicht.
– Bundesverwaltungsgericht am 20.07.2015Eine sehr lobenswerte Reaktion, die von mehr beanstandeten Institutionen wünschenswert gewesen wäre.
Fazit
Die Regelungen des Telemediengesetzes sind immer noch teils uneindeutig, teils schwierig realisierbar. So ist es unklar, wie ein Widerspruch auszusehen hat und wie sich ein aktiver „Do Not Track“-Header als Standardeinstellung eines Browsers auf die Aussagekraft des Widerspruchs nach deutschem Recht auswirkt. Das zeigt sich auch am Ergebnis dieser Recherche. Selbst staatliche Organe erfüllen, aus offenbar unterschiedlichen Gründen, nicht die Vorgaben des Telemediengesetzes. Das ist ein schlechtes Signal für Website-Betreiber, die sich mit der Thematik auseinandersetzen.
Uneinsichtigkeit und fehlende Auseinandersetzung mit dem Thema sind aber auch Gründe für die erkannten Mängel. Die Antwort des Bundestages, dass in der Datenschutzerklärung ein Hinweis auf die Widerspruchsmöglichkeit „ebenfalls enthalten sein“ wird, obwohl das nachweislich nicht ist, ist ein zumindest befremdliches Verhalten.
Lobenswert ist, dass – zumindest bei einigen Institutionen – die Mängel eingesehen werden und die Behebung angekündigt wird.
Ich hoffe, Sie entnehmen meinen Antworten, dass wir uns mit dem Inhalt Ihrer E‑Mail auseinander gesetzt haben und sofern erforderlich, selbstverständlich auch entsprechende Anpassungen vornehmen werden.
– Bundesverwaltungsgericht am 21.07.2015Das entnehmen wir der E‑Mail. Liebe Grüße an das Bundesverwaltungsgericht.
Wir werden die Angelegenheit weiter beobachten.
Nachtrag
Das Bundesministerium der Verteidigung meldete sich am 28.07 ebenfalls zurück. Die Antwort legten wir in einem gesondertem Artikel dar. -
: CNN Money bietet visuelle Aufbereitung zahlreicher Hacks an
: CNN Money bietet visuelle Aufbereitung zahlreicher Hacks an 
Es vergeht selten eine Woche, ohne dass nicht zumindest ein Hack von sensiblen Personendaten bekannt würde. Zuletzt gab die US-amerikanische Behörde für den öffentlichen Dienst (OPM) bekannt, dass 21,5 Millionen Datensätze mit höchst vertraulichen Informationen wie Gesundheitsdaten, finanziellen Informationen und teils sogar mit Fingerabdrücken und anderen biometrischen Daten der Betroffenen kopiert werden konnten. Aber auch viele kommerzielle Unternehmen wie Adobe, Target oder eBay waren nicht in der Lage, die Informationen ihrer Kunden hinreichend zu schützen.CNN Money hat sich diesen Zwischenfällen angenommen und ein Programm erstellt, das Benutzern aufzeigen kann, welche ihrer Daten in die Hände von Hackern gelangt sein könnten. Der Test bezieht sich auf 14 Unternehmen, darunter eBay, AOL, Snapchat, Kickstarter und Adobe. Im Extremfall kann vom Namen über die Adresse bis zur Sozialversicherungsnummer annähernde jede persönliche Information betroffen sein. Der Test ist frei verfügbar.
Vom Klarnamen bis zur Sozialversicherungsnummer
Am Beispiel eines Nutzers, der Adobe- und eBay-Kunde ist sowie Snapchat nutzt, zeigt sich eine überraschend dichte potentielle Masse an Informationen. Name, Adresse, Telefonnummer, Geburtsdatum, E‑Mail-Adresse, Benutzername, verschlüsseltes Passwort und Passworthinweise sind nicht mehr als vertraulich zu betrachten.
Dabei ist zu beachten, dass es sich um den schlimmstmöglichen Unfall handelt und auch nicht von einer zentralen Sammlung der kopierten Daten auszugehen ist. Die Möglichkeit, dass die kopierten Daten zusammengeführt werden, besteht aber. Andere Sicherheitsrisiken, wie zum Beispiel die Benutzung desselben Passworts für mehrere Plattformen, erhöhen das Risiko, dass die kopierten Daten missbraucht werden. Der Zugang zur E‑Mail-Adresse kann genutzt werden, um Zugriff auf weitere vom Betroffenen genutzte Dienste zu erlangen.
Auch bei anderen Vorkommnissen wurden Tools entwickelt, um festzustellen, inwieweit der einzelne Nutzer betroffen ist, so etwa bietet Privacy International die Möglichkeit, herauszufinden, ob man von der Spionage des britischen GCHQ betroffen war. Inwieweit es für diesen Zweck sinnvoll ist, erneut persönliche Daten zu übermitteln, muss jeder für sich selbst entscheiden.
-
: Daten zum Recht auf Vergessenwerden aufgetaucht
by unknown via http://www.digitaltrends.com/web/internet-titans-fight-sopa-with-full-page-ny-times-ad/ : Daten zum Recht auf Vergessenwerden aufgetaucht Im Mai 2014 entschied der Europäische Gerichtshof, dass Bürger das Recht haben, die Entfernung bestimmter Informationen zur eigenen Person aus den Indizes von Suchmaschinen zu fordern. Begründet wurde das Urteil damit, dass Suchmaschinen nicht mehr nur Transporteure von Inhalten, sondern auch als Datenverarbeiter zu betrachten seien und damit für die Inhalte mitverantwortlich seien. Nach dem Urteil richtete Google ein Antragsformular ein, mithilfe dessen man die Entfernung bestimmter Inhalte zur eigenen Person aus den europäischen Suchergebnissen beantragen kann. Dabei werden die gemeldeten Links nicht aus dem Index entfernt, sondern nur ausgeblendet. Wie genau das Urteil durch Google umgesetzt wurde, beschrieben wir in diesem Artikel.
Über den Umfang der Anfragen nach Entfernung und der entfernten Links gibt Google nur sehr eingeschränkt Auskunft. Im Transparenzbericht Googles sind allgemeine Zahlen enthalten, aber keine Aufschlüsselung nach Gründen oder Ländern.
Statistischen Informationen im Quellcode aufgetaucht
Der Guardian und CORRECT!V haben in einer archivierten Version einer Transparenzreport-Seite Googles ein Datenobjekt entdeckt, welches genauere Hinweise auf die Verteilung der Suchanfragen enthält. Dort werden Anfragen nach Ländern und fünf Kategorien eingeteilt: private_personal_info, political, public_figure, serious_crime und cp. Google bestätigte auf Anfrage, dass die Daten von Google seien. Es gibt keine Legende zu den Daten. Daher sind alle folgenden Thesen zwar nach bestem Wissen aufgestellt, haben jedoch keine gesicherte Basis. Alle Leserinnen und Leser sind herzlich eingeladen, aus den Daten ihre eigenen Schlüsse zu ziehen:
Zu den DatenAnfragen von Privatpersonen überwiegen klar
In allen im Datenobjekt aufgeführten Ländern überwiegen klar die Entfernungs-Anfragen aus persönlichen Gründen, bei Google private_personal_info genannt. Der Anteil dieser Kategorie an der Gesamtzahl der Anfragen beläuft sich bei allen Ländern auf 85% oder mehr. Nur in Italien, Ungarn, und Rumänien ist der Anteil unter 90%. Auf Anfragen zur Entfernung persönlicher Informationen folgt public_figure, zu Deutsch Person des öffentlichen Lebens. Die Bitten um Entfernung wegen schwerer Verbrechen (serious_crime), aus politischen Gründen (political) und Schutz von Minderjährigen (cp) sind marginal und nicht selten nur ein- oder zweistellig.
Anders verhält es sich mit den tatsächlich gewährten Anträgen auf Entfernung aus dem Index. Die Anfragen der häufigsten Kategorie private_personal_info werden nur zu 48% positiv beschieden. Die Zustimmungsrate der anderen Kategorien liegt zwischen 60 und 70%.
Länderverteilung erwartungsgemäß
Die Aufschlüsselung der Anfragen nach Nationen ist wenig überraschend: Die Häufigkeit entspricht im Großen und Ganzen der Einwohnerzahl. Frankreich bildet unter den ersten zehn Staaten eine Ausnahme: Franzosen stellen vor deutschen Bürgern häufiger Anfragen an Google. Nach diesem Muster tauschen auch Italien und die Niederlande die Plätze.
Daten (wieder) online
Neben der vom Guardian und CORRECT!V entdeckten Archiv-Version enthält auch die aktuelle Transparenzseite wieder genaueren Daten versteckt im Quellcode. Die Zahlen sind höher, wurden also auch aktualisiert.
Hintergrundwissen
- „Im Zweifel wird gelöscht“ – Google-Expertenbeirat legt Bericht zum Recht auf Vergessen vor
- Recht auf Vergessen von Plagiaten? Verschwundene Links auf das VroniPlag-Wiki
- Die 5 Irrtümer zum Recht auf Vergessenwerden
- Kommentar zum EuGH-Urteil: „Googles Recht auf Vergessen – Fehlinformation im industriellen Maßstab?“
-
: Strafanzeige wegen NSA-Spionage: Die Antwort des Generalbundesanwalts
: Strafanzeige wegen NSA-Spionage: Die Antwort des Generalbundesanwalts Nach den kaum mehr zählbaren Veröffentlichungen zur NSA-Spionage und der anhaltenden Kritik an der Untätigkeit des Generalbundesanwalts Harald Range und seiner Behörde, gibt es nun erstmalig eine Antwort auf die Strafanzeige mehrerer NGOs aus seinem Haus. Der CCC veröffentlicht das Schreiben, zusammen mit einer Pressemitteilung: Generalbundesanwalt verschleppt Ermittlungen wegen NSA-Massenüberwachung.
Um den Geheimdienst-Schattenwelten juristisch beizukommen und die Grenzen von deren rechtsfreien Räumen herauszufinden, hatten bereits im Februar 2014 die Internationale Liga für Menschenrechte, der CCC und Digitalcourage eine Strafanzeige gestellt. Darin werden Ermittlungen gegen US-amerikanische, britische und deutsche Geheimdienstagenten und ihre Vorgesetzten, die BND-Präsidenten, mehrere Bundesminister und die Bundeskanzlerin gefordert. Der Strafanzeige schlossen sechs weitere NGOs und mehr als 1.800 Personen an.
Der Generalbundesanwalt „zögert ein Ermittlungsverfahren weiter hinaus“, konstatiert nun der CCC nach Erhalt des Schreibens der Bundesanwaltschaft.
Range hatte um Juni dieses Jahres mitteilen lassen, die Ermittlungen zum abgeschnorchelten Mobiltelefon von Bundeskanzlerin Merkel einzustellen, denn Dokumente im Original zu beschaffen, war ihm nicht gelungen.
Range schreibt nun in dem Schreiben an die NGOs, es fehle weiterhin „an zureichenden und tatsächlichen Anhaltspunkten“ für strafbare Handlungen sowie an „Zugangsmöglichkeiten zu den von Edward Snowden an verschiedene Medien übergebenen ‚Original‘-Dokumenten“.
Ob sich der Generalbundesanwalt auch in Zukunft weiter schützend vor die Verantwortlichen der Geheimdienstskandale stellen und eine ernsthafte Untersuchung der massenhaften Überwachung sabotieren wird, ist dem Schreiben aber nur mittelbar zu entnehmen. Denn in der Strafanzeige ging es inhaltlich insbesondere um die massenhafte Überwachung der Bevölkerung sowie in einem zweiten Schriftsatz explizit um die Datensammlung der NSA, die auf Tor-Nutzer zielt. Wie mit Hilfe von XKeyscore versucht wird, den Datenverkehr von und zu Tor-Servern zu analysieren, wurde nach der Veröffentlichung in den Medien in diesem zweiten Schreiben dargelegt. Die NGOs hatten den GBA in insgesamt drei Schriftsätzen wegen der anhaltenden Berichterstattung aus den Snowden-Papieren immer wieder neue Erkenntnisse mitgeteilt und ihn aufgefordert, endlich Ermittlungen aufzunehmen.
Der CCC bemängelt daher, dass Ranges Schreiben am Inhalt der Strafanzeige weitgehend vorbeiginge:
„Die in der Strafanzeige und weiteren Schriftsätzen von uns ausführlich dokumentierten Belege für die Totalüberwachung der Bevölkerung waren ihm nur zwei dürftige Absätze wert.“
Range schreibt stattdessen seitenweise über den bedauerlichen Einzelfall Angela Merkel. Dabei geht es doch in Wahrheit um die massenhafte Ausspähung durch die NSA, auch mit Hilfe des BND. Die neuen NSA-Leaks sind allerdings erst nach Absenden des Schreibens von Range öffentlich geworden. Hand hoch, wer von Euch denkt, dass der Generalbundesanwalt die neuen Dokumente von Wikileaks für Ermittlungen nutzt!
Immerhin wissen wir nach dem Schreiben, dass bei der Bundesanwaltschaft überhaupt noch gearbeitet wird.
There is also an English version: Federal Prosecutor General protracts investigations regarding NSA spying
-
: Berliner Senat erklärt die Twitter-Accounts seiner Polizei
: Berliner Senat erklärt die Twitter-Accounts seiner Polizei Seit letztem Jahr ist die Berliner Polizei mit zwei Accounts auf Twitter vertreten. Unter „Polizei Berlin“ werden Meldungen aus dem Polizeialltag kolportiert, der Account „PolizeiBerlinEinsatz“ wird lediglich für größere Lagen genutzt. Bereits zwei Mal hat die Berliner Polizei darüber 24 Stunden lang beinahe alle Einsätze getwittert und dafür bundesweite Aufmerksamkeit eingefahren.Nun hat der Innensenat in der Antwort auf eine Schriftliche Anfrage des Linken-Abgeordneten Hakan Taş seine Grundsätze für die Nutzung von Twitter erklärt. Demnach liegt dem Twitter-Auftritt eine „Gesamt-Social Media-Strategie“ der Polizei Berlin zugrunde. Ansonsten orientiere man sich an den Grundsätzen der „Neutralität und Transparenz“ sowie des „respektvollen, dialogbereiten, offenen Umgangs“. Anspruch der Polizei Berlin sei, „wahrheitsgemäß und neutral“ via Twitter zu informieren und Versammlungen nicht (wie etwa die Frankfurter Polizei) zu kommentieren. Dies sei an den bislang abgesetzten Tweets zu erkennen.
„Transparente Informationsweitergabe“ auch an Versammlungen
Der Kurznachrichtendienst soll laut der Antwort zur „Abwehr von Gefahren“ oder zur „Verhinderung bzw. Beendigung von Gesetzesverstößen“ genutzt werden. Tweets könnten laut dem Senat aber auch Versammlungsauflagen an die Teilnehmenden durchreichen. Dies sei „im Sinne einer transparenten Informationsweitergabe“. Jedoch ersetze die Ankündigung nicht die offizielle, polizeiliche Durchsage bei Versammlungen vor Ort sondern sei lediglich als eine „zusätzliche und ergänzende Umsetzung der Benachrichtigungspflicht“ zu verstehen.
Über Twitter will die Polizei in Veranstaltungs- und Versammlungslagen „direkt und in Echtzeit“ mit den BesucherInnen und TeilnehmerInnen „unmittelbar verbunden bleiben“. Die Einsatzleitung erhofft sich, dass die Zuständigen aus der jeweiligen Veranstaltungsorganisation die Tweets der Polizei retweeten. Auf diese Weise diene Twitter auch der „Lenkung von Besucherströmen“. Dies werde aber nur in Ausnahmefällen umgesetzt.
Außerdem werde Twitter auch als „Kommunikationsmittel zur Ergänzung bereits erfolgter Durchsagen“ von Lautsprecherwagen der Polizei genutzt (die BedienerInnen der Mikrofone werden in der Antwort „EinsatzmoderatorInnen“ genannt). Allerdings werden über Twitter auch Ankündigungen von Übersichtsaufnahmen gepostet. Anders als in einer anderen Antwort behauptet wurden diese nicht immer auf den betreffenden Versammlungen durchgesagt.
Fotos vom „Social Media-Team“ vor Ort
Der Abstimmungsprozess vor dem Absenden eines Tweets oder Re-Tweets wird bei den Accounts unterschiedlich gehandhabt. Unter „Polizei Berlin“ twittern die fünf auf der Twitter-Profilseite namentlich genannten Pressesprecher. Ihre Tweets sind mit Namenskürzel versehen. Der Account „PolizeiBerlinEinsatz“ wird hingegen in die für einen größeren Einsatz zuständige „Besondere Aufbauorganisation“ integriert. Alle Tweets und Retweets sollen dann mit der Einsatzleitung rückgekoppelt werden. Mitunter ist hierfür ein „Social Media-Team“ auch vor Ort unterwegs. Es soll eigentlich keine VersammlungsteilnehmerInnen fotografieren und online stellen, was jedoch in mindestens einem Fall bereits passierte. Es habe sich dabei um einen Einzelfall gehandelt, der „ausgewertet und behoben“ worden sei.
Bislang seien dem Senat keine „nicht wahrheitsgemäßen Tweets“ der Polizei bekannt. Auch würden die Follower stets per „Sie“ angesprochen. Allerdings hatte die Twitter-Abteilung im Rahmen einer „Sportveranstaltung“ die Du-Form genutzt, dies jedoch „nicht weiter verfolgt“. Zu den Gründen äußert sich der Senat nicht. Immer noch werden die Follower aber in „Berufsnachwuchswerbungs-Tweets“ per Du angesprochen.
-
: Benutzerverfolgung durch staatliche Websites
: Benutzerverfolgung durch staatliche Websites Das Verfolgen von Benutzeraktivitäten – auch Tracking genannt – ist das Aufzeichnen seiner Aktivitäten über ein oder mehrere Websites hinweg. Dazu wird entweder eine serverseitige Sprache oder ein beim Client, also beim Besucher, arbeitendes Skript genutzt, zum Beispiel Javascript. Mit Javascript können wesentlich mehr Informationen erhoben werden als bei der Erhebung per serverseitiger Programmiersprache, zum Beispiel die Bildschirmauflösung, Farbprofile oder sogar die Mausbewegungen bzw. die Berührungen auf einem Touchpad. Daraus lassen sich Heatmaps erstellen, die die am häufigsten benutzten Punkte einer Website anzeigen.
Funktion des Trackings
Tracking an sich ist nicht per se schlecht. Es kann dazu dienen, die Benutzung einer Website zu erleichtern, beliebte Inhalte vertieft darzustellen und Systemfehler zu entdecken und in der Folge zu beheben. Für viele Betreiber sind Besucherzahlen auch ein Anreiz weiterzumachen, insbesondere bei privaten Projekten. Trotzdem besteht die Gefahr des Missbrauchs, in besonderem Maße durch Erstellen von nicht anonymisierten Benutzerprofilen und beim Zusammenführen von Benutzerinformationen über verschiedene Websites hinweg. Deswegen sind zentrale Trackinganbieter, die Tracking für viele Websites als Dienstleistung anbieten, besonders kritisch zu betrachten. Daten müssen nicht vom Anbieter selbst missbräuchlich ausgewertet werden, eine zentrale Sammlung von Benutzerinformationen stellt auch ein willkommenes Angriffsziel dar.
Gesetzliche Grundlage
Gesetzliche Grundlage für den Umgang mit Nutzungsdaten ist das Telemediengesetz. In § 15 Abs. 3 des Telemediengesetzes sagt der Gesetzgeber zur Erstellung von Nutzungsprofilen:
Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach §13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.
Vorgaben des Düsseldorfer Kreises
Über den reinen Gesetzestext hinaus gibt es für Websitebetreiber empfehlenswerte weitergehende Literatur, zum Beispiel vom Düsseldorfer Kreis. Der Düsseldorfer Kreis ist ein Gremium aller Datenschutzbeauftragten der Länder und des Bundes. In ihrer „Datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten“ formulieren sie verständlich, welche Vorgaben zu beachten sind. Die Vorgaben des Düsseldorfer Kreises bilden die Grundlage der Analyse der Websites staatlicher Institutionen. Zusammengefasst werden folgende Vorgaben gemacht:
- Es muss eine Widerspruchsmöglichkeit geben.
- Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.
- Es muss deutlich auf die Erstellung der Nutzungsprofile und die Widerspruchsmöglichkeit hingewiesen werden.
- Personenbezogene Daten dürfen nur ohne Einwilligung erhoben werden, wenn dies nötig ist, um Telemedien zu nutzen und abzurechnen.
- IP-Adressen sind personenbezogene Daten und dürfen nur mit Einwilligung gespeichert werden. Ansonsten müssen sie gekürzt oder verändert werden.
Best Practices
Über gesetzliche Vorgaben und die Empfehlungen des Düsseldorfer Kreises hinaus gibt es Vorgehensweisen, die wünschenswerter sind als andere. So ist die datensparsamste und datenschutzfreundlichste Variante, ganz auf Tracking zu verzichten. Wenn getrackt wird, sollten die Daten nicht zentral bei einem Anbieter gespeichert werden, sondern auf dem Server des jeweiligen Anbieters. So kommt es nicht zu einer Sammlung und damit zur Zusammenführung von Benutzerprofilen, das Missbrauchspotential ist geringer. Eine vielfach empfohlene Lösung ist die Open-Source-Software Piwik. Sie ist nach Google Analytics die in Deutschland am häufigsten eingesetzte Software. Die gesammelten Nutzungsdaten verbleiben beim Betreiber, und es ist im Gegensatz zu zentralen kommzerziellen Anbietern wie Google Analytics sicher, dass die IP-Adresse, die laut Düsseldorfer Kreis kein Pseudonym ist, nicht ungekürzt gespeichert wird.
Ein guter Schnitt, ein paar schwarze Schafe
Auf Grundlage des Telemediengesetzes, der Vorgaben des Düsseldorfer Kreises und üblicher Best Practices wurden in einer Analyse die Websites staatlicher Institutionen unter die Lupe genommen. Websites von Bundesministerien, legislativen Organen, Gerichten und andere Informationsseiten bilden den Pool der 35 untersuchten Websites. Über Tracking in der Wirtschaft, auch über verschiedene Websites hinweg, berichteten wir letzte Woche.
Positiv zu vermerken ist, dass keine der untersuchten Websites auf ein US-amerikanisches zentrales Analysetool wie Google Analytics setzt. Dreizehn der untersuchten Websites setzen gar kein Trackingtool im Sinne der Recherche ein. Sechs Websites, darunter die der Bundesregierung und der Bundeskanzlerin, setzen Analysetools ein, erfüllen aber die Vorgaben des Düsseldorfer Kreises, vier davon reagieren sogar auf den „Do Not Track“-Header, durch den Browser Websites signalisieren, dass der Benutzer nicht verfolgt werden möchte.
Sieben weitere Websites, sechs Ministerien und der Bundesfinanzhof binden einen externen Dienstleister für das Tracking ein. Sie bieten keine Widerspruchsmöglichkeit direkt auf der eigenen Website, sondern verweisen auf den Dienstleister, auf dessen Website durch das Setzen eines Cookies das Tracking unterbunden werden soll.
Neun der 35 untersuchten Websites verfolgen den Benutzer und bieten keine Widerspruchsmöglichkeit an. Das steht im direkten Widerspruch zum Telemediengesetz sowie zu den Vorgaben des Düsseldorfer Kreises. Zu diesen neun Websites gehören drei Websites der Bundeswehr respektive des Bundesministeriums der Verteidigung, die des Bundesministeriums für Familien, Senioren, Frauen und Jugend, vier Websites des Bundestages und die des Bundesverwaltungsgerichts.
Bemerkenswert ist die Tatsache, dass es eine Kooperation zwischen dem Bundesverfassungsgericht und dem Bundesamt für Sicherheit in der Informationstechnik gibt. Während der Bundestag beschloss, auf den Anschluss an das relativ sichere Regierungsnetz zu Gunsten seiner Unabhängigkeit zu verzichten, übernimmt das BSI administrative Aufgaben für die Websites des Bundesverfassungsgerichts.
Leider setzt der Bundestag immer noch auf das Content Delivery Network Cloudflare.
Fazit
Etwa ein Viertel der untersuchten Websites verstoßen erkennbar gegen die Vorgaben des Telemediengesetzes, indem sie Nutzungsdaten der Benutzer aufzeichnen, allerdings keine erkennbare Widerspruchsmöglichkeit anbieten.
Andere dagegen weisen vorbildhaft auf die Widerspruchsmöglichkeit hin, insbesondere das Bundesministerium für Ernährung und Landwirtschaft hat einen sehr präsenten Hinweis auf seiner Website eingebunden. Leider ist der Gedanke beim Landwirtschaftsministerium leider nicht zu Ende gedacht worden: Es wird zwar sehr gut erkennbar auf das Anlegen von Nutzungsprofilen hingewiesen, allerdings keine Widerspruchsmöglichkeit direkt auf der eigenen Website angeboten, sondern auf den Dienstleister Etracker verwiesen.In jedem Fall scheint also eine Entwicklung stattzufinden und insbesondere keine zentrale Speicherung über mehrere staatliche Websites hinweg vorgenommen zu werden. Andererseits sollten gerade Websites der Ministerien, Gerichte und Parlamente als Vorbilder fungieren und geltende Regeln einhalten. Wir werden die betroffenen Anbieter über den Sachverhalt informieren und freuen uns auf Rückmeldungen und Verbesserungen.
Übrigens: Netzpolitik.org trackt nicht.
Hintergrundinformationen
-
: Luftsicherheitskontrollen: Flächendeckende Ausrüstung deutscher Flughäfen mit Ganzkörperscannern noch dieses Jahr
: Luftsicherheitskontrollen: Flächendeckende Ausrüstung deutscher Flughäfen mit Ganzkörperscannern noch dieses Jahr 
77 Körperscanner stehen bereits an deutschen Flughäfen, 23 weitere sollen noch in diesem Jahr folgen. So teilte es das Bundesinnenministerium vorvergangene Woche in der Antwort auf eine Kleine Anfrage mit. Letztes Jahr waren erst 14 Geräte aufgestellt worden. Insgesamt hat das Bundesinnenministerium 108 Geräte von der Firma L‑3 bestellt, verkauft werden sie vom Reseller EAS. Sie stehen bereits in Frankfurt/ Main, Stuttgart, Hamburg, Düsseldorf, Köln und Berlin-Schönefeld. Angaben gibt es auch zu den Kosten. Insgesamt schlugen die schon gelieferten Geräte rund 16,5 Millionen Euro zu Buche.
Angeblich weniger Fehlalarme
Frühere Generationen von Nackt- und Körperscannern fielen noch durch zu hohe Fehlermeldungen auf. Hierzu gehörten unnötige Alarme oder auch Fehlalarme. L3 Communications hatte daraufhin eine „verbesserte Detektionssoftware“ aufgespielt, die nach Angaben des Bundesinnenministeriums eine „verbesserte Anzeige des Kontrollergebnisses“ zur Folge hatte.
Die Ganzkörperscanner detektieren laut dem Ministerium „Unregelmäßigkeiten an der Körperoberfläche“. Darunter fielen „Schmuckgegenstände“ und medizinisch-technische Hilfsmittel. Welche weiteren „metallischen und nicht metallischen Gegenstände“ detektiert werden können, wird aus Sicherheitsgründen nicht mitgeteilt.
In der Antwort auf eine frühere Anfrage hatte die Bundesregierung den Einsatz von Körperscannern in der Luftsicherheitskontrolle als einen „deutlichen Sicherheitsgewinn für die Luftsicherheit“ bezeichnet. Die an deutschen Flughäfen eingesetzten Körperscanner seien nunmehr „vollauf praxistauglich“. Gegenüber einer händischen Kontrolle mit Metalldetektorschleusen habe sich die durchschnittliche typische „Prozesszeit“ einer Kontrolle um etwa 40 Prozent verkürzt. „Bauartbedingt“ können kleine und besonders große Personen aber nicht mit den Körperscannern kontrolliert werden.
Kontrollen mit Ganzkörperscannern werden verpflichtend
Die EU-Kommission und die Mitgliedstaaten bewerten den alleinigen Einsatz von Metalldetektorschleusen mittlerweile als nicht mehr ausreichend für die Luftsicherheitskontrolle. Eine entsprechende EU-Verordnung wurde deshalb geändert. Ab 1. September 2015 müssen Passagiere deshalb vorrangig mit Ganzkörperscannern kontrolliert werden. Wenn diese nicht verfügbar sind, müssen zusätzlich zu der Metalldetektorschleuse auch Sprengstoffspurendetektoren eingesetzt werden.
Vielfach werden die Luftsicherheitskontrollen mittlerweile von privaten Sicherheitsdiensten übernommen. Die Bundesregierung bezahlt die Firmen mit Geldern, die durch die Erhebung von Luftsicherheitsgebühren bei den einzelnen Buchungen anfallen. Für die Durchsuchung von Passagieren und ihres Gepäcks wurden laut dem Bundesinnenministerium im Jahr 2014 Luftsicherheitsgebühren in Höhe von 374,6 Millionen Euro eingenommen. Die privaten Sicherheitsdienstleister ließen sich ihre Arbeit mit 324,2 Millionen Euro vergüten. Die Ausgaben für die Beschaffung der Körperscanner und anderer „Luftsicherheitskontrollausrüstung“ betrugen vergangenes Jahr 14,4 Millionen Euro. Für eigenes Personal, gemietete Flächen und „sonstige Aufwendungen“ fielen aber weitere Kosten an.
-
: Größte europäische Polizeidatenbank: Wieder drastischer Anstieg heimlicher Fahndungen im SIS II
: Größte europäische Polizeidatenbank: Wieder drastischer Anstieg heimlicher Fahndungen im SIS II 
Die Agentur für IT-Großsysteme (eu-LISA) hat einen neuen Bericht zum Schengener Informationssystem (SIS II) herausgegeben. Hintergrund ist die Migration der größten europäischen Fahndungsdatenbank auf eine neue Version sowie der damit verbundene Wechsel der Zuständigkeit durch die neu gegründete eu-LISA. Der Bericht beschreibt die Funktionsweise des SIS, das in ein zentrales System (C‑SIS) und die nationalen Subsysteme (N‑SIS) untergliedert ist. Diese Subsysteme werden von den beteiligten Regierungen selbst eingerichtet, Aufträge erfolgen hierzu gewöhnlich an Privatfirmen. Zu den deutschen Zugriffsberechtigten auf das SIS II gehören die Polizeien der Länder, die Dienststellen der Bundespolizei, die Bundestagspolizei, alle Zollfahndungsdienstellen und Hauptzollämter. Über eingeschränkten Zugriff verfügen das Bundesamt für Migration und Flüchtlinge oder die KfZ-Registrierungsstellen.
Auch Großbritannien und Europol nehmen teil
Das SIS in der zweiten Generation verfügt über neue Funktionalitäten. Hierzu gehört die Möglichkeit, Fotografien, Fingerabdruckdaten oder Links zu speichern. Nicht alle EU-Mitgliedstaaten machen hiervon Gebrauch, weshalb die EU-Kommission hierzu Untersuchungen einleitet und Informationen der betreffenden Regierungen anfordert. Im Winter stand beispielsweise die Schweiz als trödelnder Mitgliedstaat im Fokus. Eine ähnliche Untersuchung Polens führte zu einer erneuten Ortsbesichtigung. Im Zuge der Migration über das Mittelmeer muss auch Italien ein Prüfverfahren über sich ergehen lassen.
Im Berichtszeitraum fanden weitere Überprüfungen durch die Kommission statt. Untersucht wurde etwa Großbritannien, das seit April 2015 wieder Daten in das SIS einstellt. Wenn die Überprüfung positiv ausfällt, wird die „vorläufige Beteiligung“ Großbritanniens in eine „dauerhafte Beteiligung“ umgewandelt. Mittlerweile kann auch die EU-Polizeiagentur Europol über einen Direktzugriff Daten im SIS II abrufen.Dem Bericht ist zu entnehmen, dass die Zahl der im Schengener Informationssystem ausgeschrieben Personen und Sachen gegenüber dem Vorjahr um 11% zunahm. Derzeit enthält das SIS II 56 Millionen Personen und Objekte. Zu den Sachfahndungen gehören etwa Banknoten, Fahr- und Flugzeuge oder gestohlene Dokumente. Unter den Personenfahndungen dominieren Ausschreibungen zur Festnahme oder zur Abschiebung.
Zuwachs bei heimlicher „Registrierung“ von rund 70%
Eine der Kategorien zielt auf die „verdeckte Kontrolle“ bzw. „verdeckte Registrierung“. Diese sogenannte Artikel 36-Fahndung ermöglicht es Polizeidienststellen, immer dann eine Meldung zu bekommen wenn eine ausgeschriebene Person oder Sache irgendwo anders im Rahmen einer Kontrolle festgestellt wird. Weitere Maßnahmen erfolgen dabei zunächst nicht, die kontrollierte Person soll davon auch nichts mitbekommen. Früher mussten für eine solche Ausschreibung im SIS II mehrere schwere Straftaten vorliegen, nach einer Änderung der entsprechenden Artikel genügt nun das Vorliegen einer einzigen solchen Straftat.
Schon im vergangenen Jahr stieg die heimliche „Registrierung“ um 30% an. Von 2013 auf 2014 ist sogar ein Zuwachs von rund 70% zu verzeichnen. Vermutlich geht die drastische Steigerung auf neue Methoden gegen die sogenannten ausländischen Kämpfer zurück. Mit den Ausschreibungen nach Artikel 36 sollen ihre Reisebewegungen und Aufenthaltsorte festgestellt werden. Ermittelt werden dabei aber auch Begleitpersonen.
Heimliche Fahndung „grundsätzlich die wichtigste Informationsquelle zum Detektieren von Reisebewegungen“
Letztes Jahr hatte das Bundesinnenministerium erklärt, die heimliche Fahndung sei „grundsätzlich die wichtigste Informationsquelle zum Detektieren von Reisebewegungen beispielsweise des islamistisch-terroristischen Personenpotenzials im europäischen Ausland“. Die verstärkte Nutzung des SIS II war damals in der Abschlusserklärung eines EU-Innenministertreffens gefordert worden. Hintergrund waren Gesetzesänderungen unter anderem in Deutschland, wonach verdächtigen ausländischen Kämpfern der Pass oder Personalausweis entzogen werden kann. Die EU-Kommission hat die „intensivere Nutzung der SIS-Ausschreibungen“ in Ratsarbeitsgruppen und anderen Gremien ebenfalls vorangetrieben und schließlich im Januar in ein entsprechendes Handbuch eingeschrieben. Auch deutsche Polizeibehörden nutzen die heimliche Fahndung immer öfter. Waren 2009 noch 781 Personen nach Artikel 36 zur verdeckten und gezielten Kontrolle ausgeschrieben, lag die Zahl Mitte 2014 bereits bei 2.136.
-
: Datenschutzgrundverordnung: Lobby-Mails zum Durchklicken
Auf den Lobby-Couchen nehmen einige öfter Platz als andere. <a href="https://creativecommons.org/licenses/by-nc-nd/2.0/">CC BY-NC-ND 2.0</a>, via flickr/<a href="https://www.flickr.com/photos/atmtx/4637438403/">Andy</a> : Datenschutzgrundverordnung: Lobby-Mails zum Durchklicken In Kooperation mit OpenDataCity veröffentlichen wir E‑Mails, die Lobbyisten mit Beamten des Innenministeriums austauschten.
Wir erinnern uns: Anfang März berichtete der Spiegel über die Bemühungen von Lobbyisten, Einfluss auf die deutsche Position in den laufenden Verhandlungen zur EU-Datenschutzgrundverordnung zu nehmen. An sich wäre das kein grundlegendes Problem, schließlich ist genau das die Aufgabe von Interessens- und Unternehmensvertretern – wenn diese nur nicht überproportional hohen Einfluss genießen würden, gerade auf EU-Ebene. Diese Nähe äußert sich auch im oft kumpelhaften und vertrauten Ton der E‑Mails.
So begrüßt etwa der Tactum-Geschäftsführer und Lobbyist Peter Bisa die Adressaten im Innenministerium mit „Liebe Mitstreiter“, um in der angehängten Kurzumfrage bei deutschen Unternehmen das Opt-In-Prinzip zu beklagen, das im Falle einer Umsetzung das „Ende des Dialogmarketing (z.B. Werbebriefe)“ einläuten würde. Auch die Zweckbindung angesammelter Daten würde ein „Ende neuer Ideen“ bedeuten. Überhaupt seien zahlreiche geplante Regelungen „kostenintensiv“, „praxisfremd“ und „unrealistisch“. Deutsche Unternehmen hätten demnach international nur dann eine Chance, „wenn wir bei Datenschutz zu einer Umkehr unserer bisherigen Position kommen“.
Die Argumentation erinnert an die Worte von Bundeskanzlerin Angela Merkel, die auf dem Wirtschaftstag 2015 unter anderem forderte, „ein solches Big Data Management zu machen, dass Wertschöpfung hier auch in Europa stattfinden kann.“ In der Kompromissfindung dürfe nicht das Big Data Management gewinnen, „das den restriktivsten Zugang zu den Daten hat, sondern es muss ein fairer Kompromiss gefunden werden“. Neben seiner Lobbyisten-Tätigkeit ist Bisa übrigens Vorstand des „Expertenkreises Internet und Digitale Gesellschaft des Wirtschaftsrat der CDU“. Der familiäre Umgang – und direkte Zugang zu Beamten – sollte also nicht allzu sehr überraschen.
Wortgleiche Stellungnahmen
Andere Akteure wiederum tanzen auf mehreren Hochzeiten und sprechen mit einer Stimme für die Industrie, während die andere als Verfechterin der Zivilgesellschaft auftritt. Der Rechtsanwalt Jan Mönikes etwa arbeitet für die Kanzlei Schalast & Partner, zu deren Tätigkeitsschwerpunkten Beratungsleistungen im Bereich „Telekommunikation und Multimedia“ gehören. Daneben sitzt Mönikes im Vorstand des deutschen Ablegers der Internet Society (ISOC), seine Kanzlei berät aber gleichzeitig die Initiative Europäischer Netzbetreiber (IEN), die Telekom-Riesen wie Verizon, Orange oder Vodafone zu ihren Mitgliedern zählt. Beide Organisationen gaben Stellungnahmen ab, die jeweils am 20. beziehungsweise am 21. März 2012 abgeschickt wurden – und die sich nicht nur inhaltlich weitgehend überlappen, sondern stellenweise wortgleich formuliert sind. So schreibt Mönikes im Namen der Internet Society, benutzt aber seine Kanzlei-Mailadresse als Absender:
Die ISOC.DE hält es für dringend geboten, aus Anlass der Neufassung der europäischen Normen, auch einmal ganz grundsätzlich zu hinterfragen, weshalb der Entwurf der Verordnung mit Art. 6 DSVO eine Perpetuierung des Verbotes mit Erlaubnisvorbehalt vorsieht und ob dieses Prinzip aus analogen Zeiten ins Internetzeitalter übertragen werden sollte. In diesem Zusammenhang sollten auch Vorschläge wie das Recht auf Vergessen (Art. 17 DSVO), die Regelungen zur Portabilität von Daten (Art. 18 DSVO) nachgebessert werden, da die Fragen des Datenschutzrechts deutlich komplexer und weitreichender sind, als dass sie auf Problemfelder der sozialen Netzwerke oder Suchmaschinen reduziert werden dürften.
Einen Tag später meldet sich die Providerinitiative in einer E‑Mail zu Wort, die von der Geschäftsführerin Malini Nanda abgeschickt wurde – eine anwaltliche Kollegin von Mönikes im Berliner Büro von Schalast & Partner:
Die IEN möchte zunächst hinterfragen, weshalb der Entwurf der Verordnung mit Art. 6 DSVO eine Perpetuierung des Verbotes mit Erlaubnisvorbehalt darstellt und dieses Prinzip aus analogen Zeiten ins Internetzeitalter übertragen will. In diesem Zusammenhang sollten auch Vorschläge wie das Recht auf Vergessen (Art. 17 DSVO), die Regelungen zur Portabilität von Daten (Art. 18 DSVO) nachgebessert werden, da die Fragen des Datenschutzrechts deutlich komplexer und weitreichender sind, als dass sie auf Problemfelder der sozialen Netzwerke oder Suchmaschinen reduziert werden könnten.
Das sogenannte Verbot mit Erlaubnisvorbehalt untersagt grundsätzlich jegliche Erhebung, Verarbeitung sowie Nutzung von personenbezogenen Daten und erlaubt die Weiterverarbeitung nur dann, wenn Nutzer ihre ausdrückliche Zustimmung dafür gegeben haben. Tatsächlich ist die explizite Zustimmungspflicht in die Datenverarbeitung im Ratsvorschlag nicht mehr enthalten. Darüber hinaus reicht es in gewissen Fällen aus, ein „berechtigtes Interesse“ an der Nutzung der Daten anzumelden, um sie auch ohne Einwilligung beliebig weiterverarbeiten zu dürfen.
Wie die Plattform LobbyPlag dokumentiert hat (ebenfalls von OpenDataCity realisiert), finden sich viele der Lobbyisten-Vorschläge in der Verhandlungsposition des EU-Rates wieder: Das Opt-In-Prinzip wurde an wesentlichen Stellen ausgehöhlt, die Zweckbindung aufgeweicht und am Prinzip der Datensparsamkeit gerüttelt. Kritik daran übten nicht nur NGOs und Verbraucherschützer, sondern auch die ehemalige Justizkommissarin Viviane Reding, die vor Věra Jourová für die Reform zuständig war.
„Sobald Schutzgesetze greifen, sind sie nicht mehr passend“
Dass sich die Standpunkte von Industrie und Beamten allzu oft gleichen, verwundert den Datenschutzexperten Max Schrems nicht, wie er gegenüber Netzpolitik.org kommentierte: „Die Leute im Ministerium sind ja sowieso der Meinung, dass man gar kein Recht an seinen Daten hat. Die Zweckbindung ist da nur ein Teil von dem, was die als vollkommene systematische Veralterung beziehungsweise Fehlkonzeption des Grundrechts auf Datenschutz sehen. Also haben wir eine Koalition von Industrie und BMI, die fröhlich die Zweckbindung killen wollen.“
An der Argumentation lasse sich ablesen, woher der Wind weht: „Diese Prinzipien wurden in den 70ern und 80ern erfunden, weil man Angst vor Massensammlungen und der Verknüpfung all dieser Daten hin zu einem gläsernen Bürger hatte. Jetzt, wo das technisch möglich wurde („Big Data“), sagt die Industrie, dass die Gesetze, die genau dagegen schützen sollen, nicht mehr aktuell sind. Die Logik dahinter: Sobald Schutzgesetze greifen, sind sie nicht mehr passend“, so Schrems.
Wir wollten uns selbst ein Bild machen und haben diese E‑Mails via Informationsfreiheitsgesetz angefordert. Die haben wir auch erhalten, allerdings in einem Format, das benutzerunfreundlicher kaum sein könnte: Die in eine EXE-Datei verpackten Daten lagerten auf einer CD, die wir in Ermangelung entsprechender Laufwerke und Betriebssysteme nicht ohne Weiteres extrahieren konnten beziehungsweise wollten.
OpenDataCity hat die Mails aus den Containern befreit und sie übersichtlich aufbereitet: Sie lassen sich nun wie in einem Mail-Programm durchklicken und ergeben eine spannende Fallstudie, die darüber Auskunft gibt, wie Lobbyisten Einfluss auf Beamte ausüben.
Wir wünschen viel Spaß beim Stöbern! Sollten wir in der Fülle der Mails etwas Aufsehenerregendes übersehen haben, freuen wir uns auf Hinweise in den Kommentaren.
-
: US-amerikanischer öffentlicher Dienst gehackt: Millionen persönlicher Daten wurden kopiert
Die Präsidentin des Office for Personnel Management Katherine Archuleta Quelle: <a href=" https://www.opm.gov/news/media-center/mediacenterphotos.aspx?vid=7585">opm.org</a> : US-amerikanischer öffentlicher Dienst gehackt: Millionen persönlicher Daten wurden kopiert In letzter Zeit zeigte sich vermehrt die Angreifbarkeit staatlicher Institutionen in Deutschland, zuletzt die Angriffe auf den Bundestag oder das Abhören von Regierungskommunikation. Damit ist Deutschland aber kein Einzelfall.
Gestern wurde bekannt, dass das Office for Personnel Management (OPM), das den öffentlichen Dienst in den Vereinigten Staaten verwaltet, ebenfalls Ziel eines Angriffs war und dabei große Mengen persönlicher Daten der im öffentlichen Dienst Beschäftigten kopiert wurden. Dabei soll es sich nicht nur um die Namen handeln, sondern auch um höchst schützenswerte Informationen wie Sozialversicherungsnummern, Wohnort, Bildungsweg und vorherige Arbeitgeber, familiäres Umfeld, gesundheitliche Informationen, finanzieller Hintergrund, eventuelle Vorstrafen und 1,1 Millionen Fingerabdrücke. Mit den Worten der Washington Post:
In other words, the thieves got damn near everything.
(Mit anderen Worten, die Diebe haben annähernd alles.)Betroffen sind vor allem Personen, die einer Sicherheitsüberprüfung unterzogen wurden (19,7 Millionen Personen). Die Tragweite des Leaks wird insofern nochmal verstärkt, als dass nicht nur die Daten von Millionen im öffentlichen Dienst Beschäftigter gestohlen wurden, sondern auch etwa 1,8 Millionen Datensätze der Angehörigen verloren gegangen sind. Alle Zahlen beziehen sich auf die offiziellen Informationen der OPM.
Nicht der erste Fall von unberechtigtem Zugriff
Der aktuelle Hack ist zwar der umfangreichste, der bis jetzt im Zusammenhang mit der OPM bekannt wurde, aber mitnichten der einzige. In einem separatem Hack wurden zuvor bereits Personaldaten von 4,2 Millionen Personen erbeutet, wie im April dieses Jahres bekannt wurde.
Folgen des Datenlecks
Bis jetzt gerieten noch keine der kopierten Informationen an die Öffentlichkeit. Auch ist noch nicht bekannt, dass es eine Erpressung gegeben hat. Überhaupt gibt es über die Angreifer nur Mutmaßungen. Die Washington Post spricht von der Angst, dass die Informationen von China genutzt werden könnten, um die „nationale Sicherheit“ zu kompromittieren. Dafür führt sie aber weder Anhaltspunkte noch Beweise an.
Auch im OPM wird es wohl zu Umstrukturierungen kommen. Die Forderungen, dass die OPM-Direktorin Katherine Archuleta und andere hohe Vertreter der Behörden zurücktreten sollen, wird immer lauter. So verlautbarte Jason Chaffetz, Mitglied im Kongressausschuss zur Reform der Verwaltung, dass er bei US-Präsident Barack Obama um die Entlassung Archuletas und einer weiteren Person im OPM-Führungsstab gebeten habe. Schon zuvor seien Sicherheitslücken bekannt gewesen, die die OPM-Führung ignoriert hätten, so Archuleta.
Das OPM bietet nun für mindestens drei Jahre ein Online-Portal für die Betroffenen an, was überwachen soll, ob es zu Identitätsdiebstahl, Kreditbetrug oder anderen Straftaten aufgrund der gestohlenen Informationen kommt. Auch soll ein Callcenter eingerichtet werden. Vielen genügt das nicht. So wird unter anderem die Forderung nach einem lebenslangen Schutz der Betroffenen gefordert, da drei Jahre nicht genügen. Verschiedene Senatoren möchten jetzt ein Gesetz auf den Weg bringen, was den Betroffenen lebenslangen Schutz vor Identitätsdiebstahl und eine Versicherung dagegen zusichert. Diese soll pro Betroffenen bis zu fünf Millionen Dollar ausschütten können.
Vertrauen in den staatlichen Schutz persönlicher Informationen erneut erschüttert
Dieses erneute Versagen, Informationen von Bürgern zu schützen, trifft zwar nun unmittelbar zunächst die Betroffenen und deren Verwandte, sollte aber auch hinsichtlich aktueller Debatten zu denken geben. Auch im Rahmen der Diskussion zum die Vorratsdatenspeicherung in Europa und aktuell in Deutschland wird immer wieder betont, dass die aufgezeichneten Informationen sicher seien. Wenn allerdings nicht einmal eine Bundesbehörde der Vereinigten Staaten in der Lage ist, trotz zuvor angemerkter Sicherheitsmängel die Daten ihrer Beschäftigten zu schützen, ist es fraglich, ob deutsche Telekommunikationsunternehmen unter der Aufsicht der Bundesnetzagentur wirklich in der Lage wären, eine ausreichende Sicherheit zu gewährleisten.
-
: Erneut steigende Zahl von Funkzellenabfragen
: Erneut steigende Zahl von Funkzellenabfragen Es gibt Neuigkeiten zur Nutzung von Daten aus der Funkzellenauswertung (FZA), also das Abfragen und Analysieren von Informationen über Mobiltelefone und ähnliche informationstechnische Geräte, die in einem bestimmten Zeitraum in einer Funkzelle angemeldet sind. Auch das Erstellen von Bewegungsprofilen wird dadurch ermöglicht. Die Mobilkommunikationsanbieter sehen sich nach richterlicher Verfügung zur Herausgabe der FZA-Daten verpflichtet.
Wir tragen die Zahlen zur FZA seit Jahren zusammen, um die Größenordnung der Nutzung abschätzen zu können. FZA-Maßnahmen werden meistens auf Ebene der Bundesländer durchgeführt, aber solche Daten werden zunehmend auch von Bundesbehörden wie Bundespolizei, Zollverwaltung und Zollfahndungsdienst eingesammelt.
Einer der Abgeordneten der Piraten im Landtag Schleswig-Holstein, Patrick Breyer, hatte im April eine kleine parlamentarische Anfrage an die Landesregierung zur Funkzellenabfrage (pdf) gestellt. Demnach sind seit 2013 insgesamt 1.010 Funkzellenabfragen in Schleswig-Holstein erfolgt. Ob diese massenhafte Erfassung der Mobilfunkdaten auch zu Verurteilungen führt, und wenn ja, zu wie vielen, wollte Breyer ebenfalls wissen. Das wird statistisch allerdings nicht erfasst, da das zu einem „erheblichen Mehraufwand bei den Staatsanwaltschaften“ führen würde.
Auch für NRW gibt es neue Angaben zur Anzahl der Funkzellenabfragen und der Gründe, warum die Überwachungsmaßnahmen zum Einsatz kamen. Von Anfang Dezember 2010 bis 20. März 2014 kamen in NRW insgesamt 11.474 Funkzellenabfragen zusammen. Die Graphik zeigt die Zuordnung zu den größeren Straftatengruppen, die auf Seite 8 des Dokuments noch genauer aufgelistet sind. Es wird deutlich, dass die FZA ein Ermittlungsinstrument geworden ist, dass mitnichten nur bei schweren Straftaten gegen Leib, Leben und die sexuelle Selbstbestimmung angewendet wird, sondern vor allem bei Raub, Betrug und Diebstahl.
Von April 2014 bis April 2015 hat zudem die Kreispolizeibehörde Düsseldorf (pdf) im Stadtgebiet 144 Funkzellenabfragen durchgeführt. Im selben Zeitraum sind zusätzlich zwei weitere Funkzellenabfragen wegen Straftaten nach dem Betäubungsmittelgesetz durch das Landeskriminalamt (pdf) in Düsseldorf durchgeführt worden. Die Piraten hakten auch für Dortmund nochmal nach (pdf). Demnach sind 58 Funkzellenabfragen von Anfang 2014 bis April 2015 im Dortmunder Stadtgebiet durchgeführt worden.
Was die „Stillen SMS“ in NRW angeht, lassen sich aus der parlamentarischen Anfrage nur Daten bis zum Jahr 2010 entnehmen.
Im Sommer sollte es übrigens den ersten von dann jährlichen Berichten zu Funkzellenabfragen in Berlin geben, der eine bessere statistische Erfassung von Daten für die parlamentarische Kontrolle ermöglichen soll und vom Berliner Parlament angeregt worden war, nachdem der Berliner Generalstaatsanwalt im Jahr 2013 die Rekordzahl von ca. fünfzig Millionen Mobiltelefon-Datensätzen hatte erfassen lassen. Es soll in dem Bericht zum einen statistisch erfasst werden, wie häufig die FZA genutzt wird, zum anderen aber auch, ob und wie häufig die Betroffenen benachrichtigt werden.
Dem Berliner Abgeordnetenhaus sollte hierzu eigentlich bis zum 30. Juni 2015 (pdf) berichtet werden. Das Datum ist mittlerweile verstrichen, so dass seither die Frist des behördlichen Aussitzens läuft.
Wir fordern es schon lange: Selbstverständlich sollte eine solche Benachrichtigung nicht nur in Berlin erfolgen, sondern in allen anderen Bundesländern auch, ebenso bei den FZA der Bundesbehörden. Auch fehlt eine Gesamtstatistik aller Funkzellenabfragen, die es erlauben würde, eine gute Übersicht über alle Behörden hinweg zu bekommen, um sich eine informierte Meinung zu dieser Überwachungsmaßnahme bilden zu können.
-
: Betont lässiger Auftritt der Polizei auf Twitter häufig rechtswidrig
Das "Social Media Team" der Frankfurter Polizei. Foto: Polizei Frankfurt : Betont lässiger Auftritt der Polizei auf Twitter häufig rechtswidrig Unter dem Titel „Offen, transparent, verfassungswidrig“ hat sich die ZEIT heute nochmal der Präsenz der Polizei auf Twitter gewidmet. Immer mehr lokale Polizeibehörden nutzen den Informationsdienst für Kurzmitteilungen bei Demonstrationen.
Den Anfang machte die Polizei Berlin – ausgerechnet bei einer Demonstration gegen Polizeirepression. Es folgte die Frankfurter Polizei mit dem Einsatz bei Protesten gegen die Eröffnung der Europäischen Zentralbank und schließlich die bayerische sowie die Bundespolizei zu Demonstrationen rund um den G7-Gipfel.
Bei allen Twitter-Aktivitäten fällt zunächst der unangenehm, betont lässige Stil auf. Mitunter kommen die Tweets dabei als plumpes Anbiedern rüber.
Die Polizei wendet sich mit Aufforderungen auch direkt an die Teilnehmenden der Demonstrationen („Bitte unterlassen Sie das Anlegen von Vermummung in der Versammlung“).
Ebenfalls springt ins Auge, dass viele Tweets jede höfliche Anrede vermissen lassen („WAS SOLL DAS?!“ , „Lasst das!“).
Der Einsatz bei der EZB-Eröffnung war bereits von John F. Nebel bei metronaut ausführlich besprochen worden. Auch der Artikel von ZEIT hat sich vieler dort gesammelter Zitate bedient und den Rechtswissenschaftler Felix Hanschmann von der Universität Frankfurt hierzu befragt. Sein Urteil: „Das ist rechtswidrig.“ Laut Hanschmann fehlt der Polizei eine Ermächtigungsgrundlage, die Nutzung sozialer Medien ist in keinem Polizeigesetz von Bund und Ländern geregelt.
Häufig werden etwa unverpixelte Fotos der DemonstrantInnen verbreitet, was einen Eingriff in das allgemeine Persönlichkeitsrecht darstellt.
https://twitter.com/Polizei_Ffm/status/578231048221405184/photo/1Wenn komplexe Sachverhalte eiligst in 140 Zeichen gequetscht werden, dürfte auch das Gebot der Richtigkeit und Sachlichkeit verletzt sein. Tatsächlich mussten sowohl bei den EZB-Protesten als auch beim G7-Gipfel Falschmeldungen korrigiert werden. Zu diesem Zeitpunkt liefen die Tweets aber längst über die Nachrichtenticker der Agenturen und wurden dort nur selten richtiggestellt.
Viele Tweets können sogar als Meinung über Protestformen verstanden werden, was die Neutralitätspflicht der Behörden verletzt.
https://twitter.com/Polizei_Ffm/status/578135077256847360/photo/1
Ein viel größeres Problem tut sich aber auf, wenn das Twittern von der Teilnahme an einer Demonstration abschreckt. Bei der EZB-Eröffnung hatte die Frankfurter Polizei am Morgen begangene Straftaten mit dem Hashtag #18M versehen, der zuvor vom linken Vorbereitungsbündnis Blockupy verwendet wurde.https://twitter.com/Polizei_Ffm/status/578072263209000960/photo/1
Ob das Verteilen von Krähenfüssen aber wirklich dem Blockupy-Spektrum zugeordnet werden konnte, dürfte in der kurzen Zeit zwischen Tat und Tweet kaum zu ermitteln gewesen sein. Sofern Personen daraufhin entschieden, der Versammlung fernzubleiben, wurde deren Recht auf Versammlungsfreiheit verletzt. Solch wertende Äußerungen zu Versammlungen seien laut dem Rechtswissenschaftler Hanschmann eigentlich „schlicht verboten“.
-
: UN-Menschenrechtsrat ernennt Sonderberichterstatter für Datenschutz
Professor Joseph Cannataci auf einer Veranstaltung zum Thema Datenschutz : UN-Menschenrechtsrat ernennt Sonderberichterstatter für Datenschutz Im Mai dieses Jahres wurde bekannt, dass der Menschenrechtsrat der Vereinten Nationen beschlossen hat, einen Sonderberichterstatter für Datenschutz einzusetzen. Die Initiative zur Schaffung dieses neuen Amts wurde auch von Deutschland mit eingebracht, ein bemerkenswerter Kontrast zum innenpolitischen Handeln der Bundesregierung wie beispielsweise dem aktuellen Gesetzesentwurf zur Vorratsdatenspeicherung.
Zur Wahl standen zahlreiche Kandidaten, unter anderem hatte sich der ehemalige Bundesdatenschutzbeauftragte Peter Schaar auf den Posten beworben. Es setzte sich der maltesische Professor Joseph Cannataci durch.
Soft Law-Posten
Wie viele Posten der UN, naturgemäß besonders die der Berichterstatter, ist das Amt nicht mit exekutiven Kompetenzen ausgestattet. Zu den Aufgaben Cannatacis wird das Sammeln relevanter Informationen, Identifizierung mölgicher Hemmnisse und das Erstellen von Vorschlägen und Empfehlungen für den Menschenrechtsrat gehören. Auch soll er sich von der regionalen bis zur internationalen Ebene austauschen, um Best Practices zum Schutz der Privatsphäre zu finden. Neben der Teilnahme an internationalen Veranstaltungen zum Thema ist noch die Erstellung eines Jahresberichts sowohl für den Menschenrechtsrat als auch für die UN-Vollversammlung erwähnenswert.
Der Sonderberichterstatten wird kein Gehalt erhalten. Es gibt lediglich ein kleines Budget für Reisekosten und ähnliche Auslagen. Auch wird ihm ein kleines Sekretariat zugeteilt. Das Mandat gilt für drei Jahre.
Erfahrung und sachliche Kompetenz
Joseph Cannataci ist bisher für die Allgemeinheit eher unbekannt. Das tut aber seiner fachlichen Kompetenz keinen Abbruch. Der 54-jährige Malteser begann seine wissenschaftliche Karriere 1986 mit einer Promotion zum Thema Recht in Bezug auf Privatsphäre und Datenschutz und beschäftigt sich mit der Thematik nunmehr seit 30 Jahren. Mittlerweile lehrt er an vier Universitäten weltweit, dadurch stehen im 20 Mitarbeiter zur Verfügung, deren Bedeutung er in seiner Bewerbung hervorhob. Er war schon häufig als Sachverständiger im Einsatz, unter anderem für den Europarat, die Europäische Union und für die UNESCO. Er ist Gründer und auch heute noch beteiligt am LexConverge-Netzwerk, einer Gruppe von Forschungsinstituten und Kanzleien aus mehr als 30 Staaten, die sich mit dem Thema IT-Recht beschäftigen. Das nimmt alles viel Zeit in Anspruch. Laut Bewerbungsschreiben kann er drei Monate pro Jahr unmittelbar in die Arbeit als Sonderberichterstatter investieren.
Seine sprachliche Vielfalt dürfte seiner internationalen Arbeit zugute kommen: Er gibt an, fließend Englisch, Französisch, Italienisch und Maltesisch sprechen zu können. Außerdem beherrscht er fünf weitere Sprachen auf gehobenem Niveau, auch Deutsch.
Persönlichkeit definiert Amt
Das neu geschaffene Amt wird, vergleichbar mit vielen Berichterstatterposten, sich sehr nachgiebig der Persönlichkeit des Amtsinhabers anpassen. Soft Law, also die Arbeit mit Absichtserklärungen statt verbindlicher Verträge, kann erfolgreich sein, weil Beteiligte sich keinen Konsequenzen ausgesetzt sehen und konstruktiver zusammenarbeiten. Es kann aber auch zu folgelosen Absichtserklärungen führen, die das Papier nicht wert sind, auf dem sie gedruckt und im Aktenschrank verstaut werden. Das richtige Maß zwischen Nachdruck und Nachgiebigkeit zu finden, wird Aufgabe von Joseph Cannataci sein.
Fachlich scheint Cannataci geeignet, das Amt auszufüllen.Seine das Amt definierende Persönlichkeit gilt es dagegen erst kennenzulernen. Sie wird den Unterschied zwischen Pöstchen und Position ausmachen. Wir werden die Entwicklung weiter kritisch betrachten.
-
: Ehemalige EU-Kommissarin Reding besorgt um die Zukunft der Datenschutzreform
: Ehemalige EU-Kommissarin Reding besorgt um die Zukunft der Datenschutzreform Die ehemalige Justizkommissarin Viviane Reding kritisiert in einem Gastbeitrag für das Portal Euractiv die Position der Mitgliedsstaaten zu ihrem früheren Hauptprojekt – der EU-Datenschutzreform. Die EU-Staaten hatten sich Mitte Juni nach jahrelangen Verhandlungen auf eine Position geeinigt. Somit konnten in der vergangenen Woche die Trilog-Verhandlungen beginnen, in denen die Mitgliedsstaaten (der „Rat“) mit dem EU-Parlament und der EU-Kommission um einen finalen Kompromiss zur Datenschutzverordnung ringen.Reding, heute Abgeordnete im EU-Parlament, zerpflückt die Ratsposition an vielen Stellen: Sowohl die Abschwächung der Grundprinzipien Datensparsamkeit und Zweckbindung als auch die großzügigeren Regelungen zum Profiling weist sie als unzureichend zurück. Auch wirft sie dem Rat vor, mehr Bürokratie und Rechtsunsicherheit zu verursachen. Ihre Kritikpunkte decken sich damit mit denen von NGOs und Verbraucherschützern.
Der Hinweis, diese Schwächen in den Trilogverhandlungen auszumerzen, richtet sich wohl nicht nur an die Mitgliedsstaaten und Parlamentarier, sondern auch an Redings Nachfolgerin im Amt, Vera Jourova. Diese positioniert sich in Sachen Datenschutzreform weniger bestimmt als Reding zu ihrer Zeit als Kommissarin. Dabei wäre gerade das von Nöten im Trilog, wie Christiane Schulzki-Haddouti in einem lesenswerten Beitrag bemerkt.
-
: Marit Hansen soll neue Landesdatenschutzbeauftragte in Schleswig-Holstein werden
: Marit Hansen soll neue Landesdatenschutzbeauftragte in Schleswig-Holstein werden 
Im vergangenen Sommer wollte der Landtag Schleswig-Holstein den Thilo Weichert vom Unabhängigen Landesdatenschutzzentrum Schleswig-Holstein zum dritten Mal wieder wählen. Das gelang aber nicht, weil aufgrund einer offensichtlichen Intrige eine Stimme aus der Koalition von SPD, Bündnis 90/Die Grünen und SSW fehlte und die Piratenfraktion aus Verfahrenstechnischen Gründen nicht für ihn stimmen wollte. Weichert trat nicht wieder an, aber es dauerte jetzt ein Jahr, um eine Mehrheit für eine Nachfolgerin zu präsentieren: Marit Hansen.Aus ihrem Lebenslauf:
Sie gehört zu den Gründungsmitgliedern von IPEN – Internet Privacy Engineering Network, das vom Europäischen Datenschutzbeauftragten koordiniert wird. Weiterhin ist sie für Deutschland an der Pan-European Personal Data Breach Exercise beteiligt, bei der zusammen mit dem Joint Research Centre Ispra und insgesamt sieben Datenschutzbehörden aus den europäischen Mitgliedstaaten grenzüberschreitende Meldungen von Datenschutzvorfällen erprobt werden. Zudem wird sie regelmäßig als Expertin von der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) engagiert, beispielsweise in der Ad-hoc Working Group Privacy & Technology oder bei der Erstellung der Studie Privacy and Data Protection by Design. Ihre Kompetenz wird von der Wirtschaft, von nationalen und internationalen Forschungsteams sowie europäischen Projektkonsortien nachgefragt.
SPD, Bündnis 90/Die Grünen, SSW und Piraten haben angekündigt, die derzeitige stellvertretende Leiterin des ULD als Nachfolgerin von Thilo Weichert zu wählen. Marit Hansen wäre zwar nicht die erste Frau als Landesdatenschutzbeauftragte, dafür wird sie aber die erste Informatikerin auf diesem Amt, was in der Regel an Juristen vergeben wird. Wir schätzen Marit Hansen für ihre Fachkompetenz und wünschen ihr viel Erfolg und alles Gute bei der Wahl und dann für ihre Amtszeit.
Was fehlt: Natürlich eine Wikipedia-Seite. Ihre letzte wurde selbstverständlich mangels vermeintlich fehlender Relevanz gelöscht, um Platz für anderes zu schaffen.
-
: Trilog zur EU-Datenschutzreform startet heute, Kommission veröffentlicht passende Bürgerumfrage
Erstes Treffen zu den Trilogverhandlungen zur EU-Datenschutzreform - via Twitter/<a href="https://twitter.com/JanAlbrecht/status/613722400660832256/photo/1">JanAlbrecht</a> : Trilog zur EU-Datenschutzreform startet heute, Kommission veröffentlicht passende Bürgerumfrage Heute sind die Trilog-Verhandlungen zur EU-Datenschutzreform gestartet. Dabei verhandeln EU-Kommission, Parlament und Rat die finale Fassung der Datenschutzgrundverordnung.
Alle Vertreter aus Parlament, Kommission und Rat versprechen, dass die Datenschutzreform eine bessere Rechtslage für die Bürger schaffen wird, dabei ist in der Vergangenheit bekannt geworden, dass in allen Institutionen durch Lobbydruck versucht wurde, den Datenschutz eher zu schwächen. Jan Philipp Albrecht von den Grünen im Europaparlament ist jedoch optimistisch:
The devil is in the detail, but I don’t see any real danger in not achieving our aim.
Passend zum Start der Trilog-Verhandlungen wurde heute eine Eurobarometer-Umfrage zu Datenschutzbewusstsein und ‑bedenken in der EU-Bevölkerung veröffentlicht.
Etwa 28.000 Menschen aus allen EU-Mitgliedsstaaten nahmen an der Umfrage teil. Es stellte sich heraus, dass etwa 30 Prozent der Meinung sind, absolut keine Kontrolle über ihre persönlichen Daten zu haben, in Deutschland sogar 45 Prozent. Gleichzeitig gaben über 70 Prozent an, dass sie den Eindruck haben, die Preisgabe von persönlichen Daten sei ein wachsender Teil des Alltagslebens, etwa ein Drittel scheint sich darum aber keine großen Sorgen zu machen.
Laut der Umfrage sollen 18 Prozent der EU-Bürger jedes Mal die Datenschutzbestimmungen von Diensten und Produkten lesen, die sie nutzen. Diese Zahl scheint uns unrealistisch und dürfte sich eher als persönliche Wunschvorstellung einordnen lassen.
Was uns erschreckt: Nur 50 Prozent der Befragten gaben an, „jemals“ von aktuellen Enthüllungen über die Geheimdienstüberwachung der Bevölkerung gehört zu haben. Und 25 Prozent geben an, sozialen Netzwerken zu vertrauen, schon von Anfang an die richtigen Privatsphäre-Einstellungen zu setzen. Es wirkt, als gäbe es massiven Nachholbedarf in der Aufklärung.
-
: Vorratsdatenspeicherung: Erpressung bei den Sozialdemokraten
: Vorratsdatenspeicherung: Erpressung bei den Sozialdemokraten Wir hatten gestern schon kurz berichtet, wie die Diskussion darum, ob man ohne einen konkreten Anlass große Mengen Daten anhäufen sollte, in der SPD vonstatten ging. Heute schrieb Luisa Boos, Juso-Linke aus Baden-Württemberg, einen weiteren Bericht dazu: Wie war es auf dem Parteikonvent?
Sigmar Gabriel bei den Jusos Bild: jusos. Lizenz: Creative Commons BY 2.0.
Nach der Einigung zwischen Innenminister Thomas de Maizière (CDU) und Justizminister Heiko Maas (SPD), die Vorratsdatenspeicherung gesetzlich verpflichtend zu machen, geht die Aufarbeitung der innerparteilichen Meinungsbildung bei den Sozialdemokraten also weiter. Boos schreibt über den Parteikonvent und den Streit über die VDS, aber auch über den von ihr als „absoluten Tiefpunkt des Tages“ empfundenen Rede-Beitrag von Parteichef Sigmar Gabriel als Erwiderung auf Kritik an seiner Rhetorik zur Griechenland-Politik.
Drastisch sind ihre Beobachtungen über die Mittel, die innerhalb der SPD angewendet werden, um abweichendes Verhalten zu unterbinden. Boos berichtet, „in mindestens einem Landesverband“ hätte die Höhe des Zuschusses der Bundes-SPD für anstehende Landtagswahlkämpfe zur Diskussion gestanden. Ein abweichendes Abstimmungsverhalten der Parteikonvent-Delegierten hätte mithin weniger Geld für den eigenen Landesverband bedeuten können.
Sie sieht die Glaubwürdigkeit der Sozialdemokraten nach der Zustimmung zur anlasslosen Vorratsdatenspeicherung erschüttert und nimmt kein Blatt vor dem Mund, wenn es um die Methoden innerhalb der Partei geht, Mitglieder auf Linie zu bringen:
In manchen Landesverbänden wurden Delegierte zu Einzelgesprächen mit prominenten Vertreter*innen der Parteiführung oder der jeweiligen Landes-SPD gebeten, in denen auch ihre persönliche Zukunft in der SPD diskutiert wurde. Mir sind einige begegnet, die explizit froh waren, dass sie die Freiheit genießen „nichts mehr werden zu wollen“. Es ist wichtig, dies mal zu diskutieren, denn wenn nur Menschen in dieser Partei was werden dürfen, die im Zweifelsfall eine sehr flexible Meinung haben, dann brauchen wir auch nie wieder darüber diskutieren, warum wir an Glaubwürdigkeit verlieren.
-
: Nachhilfe der Bundesdatenschutzbeauftragten führt zu 90% Schwund in Polizeidatenbank über linken Aktivismus
Könnten vom Inlandsgeheimdienst als "Extremisten" gespeichert werden: Teilnehmende an einer Anti-Atom-Demo in Berlin. : Nachhilfe der Bundesdatenschutzbeauftragten führt zu 90% Schwund in Polizeidatenbank über linken Aktivismus Mehrfach war hier zu fragwürdigen Speicherungen in der beim Bundeskriminalamt (BKA) zentral geführten Datensammlung „PMK-Links“ lesen. Das Kürzel steht für „Politisch motivierte Kriminalität“, gespeichert werden linke AktivistInnen. Die Bundesbeauftragte für Datenschutz und die Informationsfreiheit (BfDI) hatte das BKA in einem Kontrollbericht mehrfach für die Führung der Datei gerügt. Ausreichend ist allein der Verdacht, der Speicherung muss keine Verurteilung zugrundeliegen.
Die Rüge bezog sich vor allem auf die Sammlung als „Sonstige Personen“. Es handelt sich dabei um eine von fünf möglichen Betroffenenkategorien. Als „Sonstige Personen“ können alle anderen Personen, die im Rahmen der Ermittlungen auftauchen, gespeichert werden. Weitere Datenfelder sind „Beschuldigte“, „Verdächtige“, „Kontakt-/Begleitpersonen“ und „Prüffälle“. Der BfDI hatte nach einer Prüfung in 2012 von einem „gravierenden Verstoß gegen datenschutzrechtliche Vorschriften“ gesprochen. Das BKA musste reagieren und kündigte eine Überprüfung an. danach wurden fast alle „Sonstige Personen“ aus der Datei gelöscht.
Datei 2011 „noch im Aufbau begriffen“
Die Kritik des BfDI bezog sich aber auch auf Speicherungen in der Kategorie „Prüffälle“. Dabei handelt es sich um Personen, bei denen noch ermittelt wird bevor eine endgültige Zuordnung vergeben wird. Sämtliche „Prüffälle“ mussten nach dem Kontrollbesuch abgearbeitet werden und wurden dabei offenbar komplett gelöscht.
Nun hat das Bundesinnenministerium noch einmal Stellung genommen. Demnach ist die Datei nach der Überarbeitung insgesamt um rund 90% geschrumpft. So seien in „PMK-links“ derzeit (Mai 2015) 331 Personendatensätze erfasst. 2012 betrug deren Zahl noch 3.819.
k.A. 2010 2011 2012 2013 2015 Beschuldigte k.A. k.A. 2.038 1.527 136 Verdächtige k.A. k.A. 527 231 197 Hinweisgeber/Zeuge/
sonstige Auskunftspersonenk.A. k.A. k.A. 0 k.A. Kontakt- und Begleitpersonen k.A. k.A. 19 19 10 Sonstige Personen k.A. k.A. 291 0 3 Prüffälle k.A. k.A. 944 k.A. 0 Gesamt 1.389 2.900 3.819 1.723 331 Quelle: Gesammelt auf https://www.datenschmutz.de. Unstimmige Angaben der Gesamtsumme resultieren daraus, dass das BKA Personen in mehreren Kategorien speichern kann.
2010 startete die zwei Jahre vorher per Errichtungsanordnung neu geschaffenen Datensammlung noch mit 1.398 Personen. Der rasche Anstieg von 2010 auf 2011 wurde damit erklärt, „dass es sich um eine relativ junge Datei handelt, die noch im Aufbau begriffen ist“. Ihr Bestand speiste sich damals auch aus der 2011 aufgelösten Datei „International agierende gewaltbereite Störer“ (IgaSt).
Kategorie „Prüffälle“ wird weiter benutzt
Unklar ist, wieso auch die Zahl Beschuldigter und Verdächtiger rapide sank. An der Anzeigebereitschaft der Polizei kann es nicht liegen, denn laut den aktuellen Fallzahlen für die „Politisch Motivierte Kriminalität“ (PMK) im Bereich „links“ ist die Zahl der zur Anzeige gebrachten Straftaten nur um 6,5% gesunken. Allerdings sind die Zahlen mit Vorsicht zu genießen, denn sie geben keinen Aufschluss über die schließliche Verurteilung.
Das BKA gibt den Grund für die Reduzierung mit einer „zwischenzeitlich erfolgte[n] Löschung von Altdatensätzen“ an. Diese sei „aufgrund verkürzter Aussonderungsprüffristen“ notwendig geworden. Wer diese Fristen verkürzte, schreibt das Bundesinnenministerium nicht. Das BKA musste jedoch nach der Nachhilfestunde durch die Datenschutzbeauftragten einige Konsequenzen ziehen. So hat das Amt beispielsweise die Fortbildung für seine MitarbeiterInenn entsprechend „intensiviert“ und neue Broschüren gedruckt. Informiert wurden die zuvor gespeicherten Personen nicht. Laut dem Bundesinnenministerium sehen weder das Bundeskriminalamtgesetz noch das Bundesdatenschutzgesetz eine solche Verpflichtung zur Benachrichtigung über die Löschung fälschlicherweise gespeicherter Daten vor.
Auch der jüngst veröffentlichte Tätigkeitsbericht der Datenschutzbeauftragten für 2013/ 2014 geht noch einmal auf die Datei „PMK-Links“ ein. Demnach habe das BKA gemeldet, die Kategorie „Prüffälle“ werde weiterhin benutzt, bis der jeweilige Sachverhalt, etwa aufgrund der Informationen anderer Polizeibehörden, abschließend beurteilt werden könne. Zu jedem einzelnen Fall nehme das BKA laut der amtierenden Datenschutzbeauftragten nunmehr eine „differenzierte Tatsachenbetrachtung“ vor.
Auch der Inlandsgeheimdienst speichert rechtswidrig
Seit 2006 dürfen Geheimdienste mit Polizeibehörden für bestimmte Themenfelder gemeinsame Dateien führen. Auch hierfür fehlt mitunter jede rechtliche Grundlage. So betreiben das BKA und das Bundesamt für Verfassungsschutz (BfV) eine Projektdatei über „gewaltbereite extremistische Personen“. Auch dort hat die BfDI „schwerwiegende Rechtsverstöße“ festgestellt. Demnach habe der Inlandsgeheimdienst „eine Vielzahl von Personen“ gespeichert, die an einer Anti-Atomkraft-Demonstration teilnahmen.
Dies sei laut dem Tätigkeitsbericht rechtswidrig, denn die Betroffenen hätten von ihrem Grundrecht auf Meinungs- und Demonstrationsfreiheit Gebrauch gemacht. Aus der Teilnahme an einer solchen Demonstration habe das BfV gefolgert, die Nutzung der Kernkraft werde als „Ausdruck des menschenverachtenden kapitalistischen Systems“ kritisiert, dementsprechend wollten die DemonstrantInnen dieses kapitalistische System überwinden. Zu Recht weist die BfDI das BfV darauf hin, dass eine Kritik an potentiellen Risiken der Atom-Technologie oder der ungeklärten Endlagerung nicht gegen die freiheitlich demokratische Grundordnung verstößt. Selbst Personen, die sich an Schienen oder Werkstore oder mit Sitzblockaden den Verkehr behindern dürfen nicht per se in Datenbanken erfasst werden.
Dies habe das BfV laut dem Bericht mittlerweile auch „ausdrücklich eingeräumt“. Die Daten wurden deshalb zunächst gesperrt. Weil die Speicherwut auch andere Projektdateien betraf, bleibt mindestens eine weitere zentrale Bund/ Länder-Datei der Geheimdienste gesperrt. Um welche es sich handelt, ist unklar. Auch seien die enthaltenen Daten noch nicht gelöscht. Dies geschehe erst nach Abschluss eines Prüfungsverfahrens.