Spenden

Datenschutz

Verwandte Begriffe
  • : Wir veröffentlichen Zwischenbericht zur IT-Sicherheit im EU-Parlament: Es ist wenig passiert
    Plenarsaal des Europäischen Parlaments in Straßburg. Bild: <a href="https://de.wikipedia.org/wiki/Benutzer:J._Patrick_Fischer">J._Patrick_Fischer</a>. Creative Commons <a href="https://creativecommons.org/licenses/by-sa/3.0/de/">BY-SA 3.0</a>.
    Wir veröffentlichen Zwischenbericht zur IT-Sicherheit im EU-Parlament: Es ist wenig passiert

    Wenn es um IT-Sicherheit im Europäischen Parlament geht, ist seit Beginn der NSA-Affäre nicht viel passiert. Das zeigt ein interner Zwischenbericht der Generaldirektion Innovation und technologische Unterstützung (ITEC), den wir an dieser Stelle veröffentlichen.

    Der Ausschuss des EU-Parlaments für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) hat im Januar einen Folgebericht zu ihrem Abschlussbericht zum Überwachungsskandal herausgegeben, in dem deutlich die Unzufriedenheit mit den Aktionen geäußert wurde, die seit Beginn des NSA-Skandals von der EU unternommen wurden. Dieser Bericht bezieht sich auch auf das uns vorliegende Dokument:

    IT-Sicherheit in EU-Institutionen

    Paragraph 101 der Resolution bezieht sich auf IT-Sicherheit im EU-Parlament und der Entwicklung von Empfehlungen, die IT-Sicherheit in EU-Institutionen zu stärken, sowie eine gründliche Prüfung und Bewertung der Zuverlässigkeit der IT-Sicherheit des Parlamentes.

    Diesbezüglich hat die Begleitgruppe einen Zwischenbericht von DGITEC erhalten mit einer Strategie und einem Maßnahmenplan für die Sicherheit der IT. [s. S. 11 des Folgeberichtes]

    Open Source verbindlich machen? Nicht möglich.

    Der LIBE-Ausschuss hat gefordert, dass Software Open Source sein muss, wenn es um sensible, sicherheitrelevante Bereiche geht. DGITEC weist diese Forderung zurück:

    Ausschreibungen müssen strikt den Vorschriften für öffentliche Beschafftung folgen und die Prinzipien der Gleichbehandlung respektieren. Daher können solche Limitierungen nicht in die Spezifikationen aufgenommen werden.

    Bei gleicher Eignung von Open-Source-Software soll diese jedoch bevorzugt werden.

    Firmen, die mit der NSA zusammenarbeiten, können nicht ausgeschlossen werden.

    Gleiches gilt für die Auftragsvergabe an IT-Firmen, über die eine Kooperation mit der NSA bekannt ist. Der LIBE-Ausschuss forderte, dass evaluiert wird ob andere Firmen, vorzugsweise europäische, die gleichen Leistungen erbringen könnten. Auch das wird abgelehnt. Sonst müsste man die Vorschriften für die öffentliche Beschaffung ändern oder „im Gesetz Prozesse etablieren, die Blacklists von Unternehmen enthalten.“

    Die Europäische Zentralbank bezieht unterdessen fröhlich weiter Internetdienstleistungen des US-Anbieters Verizon, dessen Zusammenarbeit mit der NSA bekannt ist. Trotz der Tatsache, dass sich im Juli 2014 Hacker Zugang zu E‑Mail-Adressen und Kontaktdaten im EZB-Netz verschafft hatten – dem Bereich, den Verizon betreut.

    IT-Sicherheit vs. Performance?

    LIBE verlangte außerdem die Überprüfung der Kommunikationssicherheit zwischen den Arbeitsplätzen des Parlamentes und der IT-Systeme. Die Antwort mutet seltsam an:

    Eine Risikoabwägung muss durchgeführt werden, da der aktuelle Provider behauptet, dass die NSA nicht auf seine Kommunikationsnetze zugegriffen habe. Das Ausrollen von Verschlüsselungslösungen bräuchte eine sorgfältige Analyse, um eine Verschlechterung des Services bei den Hochleistungslinks zwischen den Arbeitsplätzen des Parlaments zu vermeiden.

    Es wäre schade, wenn die Risikoabwägung hier einen Service-Engpass attestieren würde, denn – wenn dieses Szenario ansatzweise realistisch wäre – sollte eigentlich eine Erhöhung der Kapazitäten die Konsequenz sein und nicht das Weglassen von Sicherheit.

    Es scheint, als habe man vollständig vergessen, dass vor etwa 1,5 Jahren massenweise Mail-Accounts von EU-Parlamentariern gehackt worden sind, laut Berichterstattung ohne größere Anstrengungen. Schon damals wurden die laxen Sicherheitsmaßnahmen im EU-Parlament angeprangert, Sophie in’t Veld von ALDE etwa monierte, die Schwächen des hauseigenen IT-Systems seien seit Jahren bekannt. Mittlerweile kann man noch 1,5 Jahre aufaddieren.

    Mit einer Haltung wie der obigen ist es nur eine Frage der Zeit, bis sich ein Sicherheitsvorfall wie der des Mail-Hacks wiederholt.

    Verschlüsselung, Signaturen, sicheres Instantmessaging – „Sobald Bedarf besteht.“

    Bei E‑Mail-Verschlüsselung und Signaturen scheint man noch in den Kinderschuhen zu stecken. Es seien geeignete Produkte ausgewählt worden, die zur Verfügung standen. Man habe sich für den PGP- und SMIME-Standard entschieden und könne das Ausrollen starten, sobald „Bedarf da ist und Lizenzen vorliegen.“ Dass Bedarf da ist, sollte doch mittlerweile eigentlich zweifelsfrei geklärt sein, oder?

    Bei elektronischen Signaturen habe es zwar ein erfolgreiches Pilotprojekt gegeben, aber um alle EP-Nutzer miteinzubeziehen bedürfe es einer „strategischen Entscheidung“ oder „neuen Pilotstudie,“ um zu evaluieren, wie die Lösung generalisiert werden könne. Beim Einrichten von sicherem Instant Messaging müsse noch genau analysiert werden, „um Kompatibilitätsprobleme zu vermeiden, die eine Service-Störung hervorrufen könnten.“

    Was bisher möglich ist.

    Leider sind die Abgeordneten darauf angewiesen, dass sie Software zum Verschlüsseln, Signieren und sicheren Kommunizieren installiert bekommen, denn selbst dürfen sie keine installieren. Standardmäßig gibt es Windows 7, Outlook und Internet Explorer sowie neuerdings Firefox – ohne Plugins. Wunschsoftware kann bei DGITEC beantragt werden. Uns sind jedoch nur zwei negative Antworten von DGITEC bekannt, nachdem Abgeordnetenbüros nach gpg4win gefragt hatten. Es wurde auf andere Programme verwiesen – wie etwa die eingebaute Verschlüsselung in Office, 7zip und PDF. Das tröstet uns jetzt nicht unbedingt.

    Gemischtes & Fazit

    Auch die Serverstandorte sollten evaluiert werden. Diese befänden sich laut Antwort primär in zwei großen Datencentern, beide davon außerhalb der EU-Liegenschaften. Sie seien jedoch abgesichert und gegen unbefugten Zutritt geschützt. Ergebnisse zur Sicherheit und Datenschutzproblemen bei der Verwendung von Cloud-Lösungen durch das Parlament sollen im Laufe von 2015 veröffentlicht werden.

    Alles in allem klingt der Zwischenbericht wie Ankündigungs- und Vertröstungspolitik. Doch das soll keine reine Anklage an DGITEC werden, denn die sind, in Relation zu der Masse an Abgeordneten und Mitarbeitern, die sie betreuen müssen, deutlich unterbesetzt. Doch hier liegt es an den verantwortlichen Stellen, die Kapazitäten für IT-Sicherheit aufzustocken, um weitere peinliche und – hinsichtlich der im EU-Parlament übertragenen Informationen – fatale Sicherheitslücken zu vermeiden.

    von Anna Biselli 22. April 2015
  • : Urteil des Europäischen Gerichtshofes zu biometrischen Personalausweisen ignoriert Datenschutz
    Sensibles biometrisches Merkmal: Fingerabruck in Ausweisen - CC <a href="http://creativecommons.org/licenses/by-sa/3.0">BY-SA 3.0</a> via <a href="https://en.wikipedia.org/wiki/Ninhydrin#/media/File:Ninhydrin_staining_thumbprint.png">wikimedia</a>
    Urteil des Europäischen Gerichtshofes zu biometrischen Personalausweisen ignoriert Datenschutz

    Letzte Woche hat der Gerichtshof der EU ein medial weitgehend unbeachtetes Urteil zu biometrischen Daten veröffentlicht. Das Urteil ist mehr als bedenklich, da es komplett den Einfluss des Datenschutzes auf die Erstellung biometrischer Ausweise verkennt.

    Zur Vorgeschichte: Der Niederländer W. P. Willems hatte die Ausstellung eines Reisepasses beantragt. Dieser wurde ihm jedoch verweigert, da er nicht bereit war, seine Fingerabdrücke zur Verfügung zu stellen. Einer seiner Mitantragssteller versuchte selbiges für einen niederländischen Personalausweis – auch dieser wurde verweigert. Dagegen hat Willems geklagt und kritisierte insbesondere die Verletzung seines Rechts auf körperliche Unversehrheit und Privatspäre sowie die ungeklärte Frage, wer Zugang zu den gespeicherten Daten erhalte und ob eine strenge Zweckbindung durchgesetz wird. Nach Abweisung des Verfahrens durch niederländische Gerichte wurde die Klage dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt. Dabei ging es vor allem um die Frage, ob die EU-Verordnung 2252/2004 für „Normen für Sicherheitsmerkmale und biometrische Daten in von den Mitgliedstaaten ausgestellten Pässen und Reisedokumenten“ Anwendung findet. Sie regelt unter anderem die explizite Zweckbindung der biometrischen Daten.

    Die Verordnung greift dem Wortlaut nach aber nur auf …

    […] von den Mitgliedstaaten ausgestellte Pässe und Reisedokumente Anwendung. Sie findet keine Anwendung auf Personalausweise, die Mitgliedstaaten eigenen Staatsangehörigen ausstellen, oder auf vorläufige Pässe und Reisedokumente mit einer Gültigkeitsdauer von zwölf Monaten oder weniger.

    Da ein Personalausweis jedoch das Reisen in der EU ermöglicht, ist diese Definition schwierig. Der Gerichtshof gelangt allerdings zu der Auffassung das ein niederländischer Personalausweis trotzdem nicht in den Anwendungsbereich von 2252/2004 fällt. Die daraus gezogenen Schlüsse sind erschreckend:

    Folglich ist auf die gestellten Fragen zu antworten, dass Art. 4 Abs. 3 der Verordnung Nr. 2252/2004 dahin auszulegen ist, dass er die Mitgliedstaaten nicht dazu verpflichtet, in ihren Rechtsvorschriften zu garantieren, dass die aufgrund der Verordnung erhobenen und gespeicherten biometrischen Daten nicht zu anderen Zwecken als zur Ausstellung eines Reisepasses oder Reisedokuments erhoben, verarbeitet und verwendet werden, da ein solcher Aspekt nicht in den Anwendungsbereich dieser Verordnung fällt.

    Das ist ungemein kurzsichtig – eine Betrachtung des europäischen Datenschutzrechts wird vollständig außer Acht gelassen und verkennt damit dessen fundamentale Rolle bei der Erhebung, Speicherung und Verarbeitung biometrischer Daten, die übrigens in der kommenden EU-Datenschutzgrundverordung als besonders sensible Daten eingestuft werden sollen. Dabei findet europäisches Datenschutzrecht auch da Anwendung, wo die Passregulierung keine Anwendung auf Mitgliedsstaaten findet. Insbesondere in Hinblick auf ein Urteil des EuGH von 2013, das die Rechtmäßigkeit von biometrischen Merkmalen in Reisepässen vor allem dadurch legitimiert, dass…

    […] die Fingerabdrücke nur zu dem Zweck verwendet werden dürfen, die Authentizität des Reisepasses und die Identität seines Inhabers zu überprüfen. Außerdem sieht sie die Speicherung der Fingerabdrücke nur im Pass selbst vor, der im ausschließlichen Besitz seines Inhabers bleibt.

    In den Niederlanden erfolgt die Speicherung auf zwei, beziehungsweise zukünftig drei verschiedenen Medien. Neben der Speicherung auf dem Pass selbst werden die Daten aktuell in einem dezentralen Register vorgehalten. Zukünftig ist die Speicherung in einem Zentralregister vorgesehen.

    Schade, dass der Gerichtshof trotz dieses Hintergrundes diesmal mit so viel Ignoranz reagiert.

    von Anna Biselli 21. April 2015 23
  • : Big Brother Awards 2015 – „Kontrolle ist Vertrauen“
    <a href="https://creativecommons.org/licenses/by-nc-nd/2.0/">CC BY-NC-ND 2.0</a> via flickr/<a href="https://www.flickr.com/photos/timrich26/3048134488/in/photolist-5DmubU-6CGrhN-mXrUt-kuQvkH-a3Jzrr-fd4yF8-BnMqG-aJFqz4-qyT6i9-NWN9r-8FAVqN-7QymRd-aBAdHB-DXp9-6ZjX7u-6Z26FQ-a1wTa8-5NJtj-gk28ZX-9oV1TT-gk26a8-eR4Cbf-5ogoFj-gk2kPE-4oAnvt-btgQJf-gjPrkc-5eYj4T-eQ2C44-fg1dig-7NDcV8-2ZuaSm-jGkgr-aa9TcS-4H1hGC-f7hkES-jWgLUW-nPKVuN-7EXvDV-4kkwjR-aJpjTZ-ft1GH8-auajvj-ek5Amn-85XNKE-cHb5cQ-5bEQQP-8Pud4h-6S9HY1-gjWT4G">timrich26</a>
    Big Brother Awards 2015 – „Kontrolle ist Vertrauen“

    Heute Abend wird in Bielefeld zum 16. Mal der Big Brother Award an „Firmen, Organisationen und Personen verliehen, die in besonderer Weise und nachhaltig die Privatsphäre von Menschen beeinträchtigen oder persönliche Daten Dritten zugänglich machen.“ Hier gehts direkt zum Livestream.

    Die Awards werden in folgenden sieben Kategorien vergeben:

    • Technik
    • Behörden/Verwaltung
    • Wirtschaft
    • Arbeitswelt
    • Verbraucherschutz
    • Politik
    • Neusprech-Award

    Der BBA2015 in der Kategorie Technik geht an die „Hello Barbie“ von den Firmen Mattel und Toytalk. Hierbei handelt es sich um eine datensammelnde Puppe fürs Kinderzimmer, die, ausgestattet mit Mikrofon und WLan, Gespräche aufzeichnen kann. Diese werden dann zur Analyse in die Cloud geladen, die anschließend eine – mehr oder weniger passende – Antwort formuliert. Selbstverständlich wird es den Eltern ermöglicht, die durch die Puppe gewonnenen Erkenntnisse abzurufen. Die von einer Serverfarm gehostete Cloud macht’s möglich.

    Die lieben Eltern sorgen sich, was ihre Kinder der Puppe, pardon, Serverfarm so alles über sich erzählen? Kein Problem! Selbstverständlich lässt Mattel Sie an den gesammelten Daten teilhaben: In einer täglichen oder wöchentlichen E‑mail erhalten Sie das Protokoll der Sorgen, Träume und Geheimnisse, die Ihr Kind seiner besten Freundin, der Serverfarm von Mattel und Toytalk, anvertraut.

    Den Award für Behörden/Verwaltung kann der nicht nur bei Datenschützern und Netzaktivisten äußerst beliebte Bundesnachrichtendienst (BND) gewinnen. Weil der BND, wie wir hier oder auch hier berichteten, bei den von Snowden aufgedeckten Machenschaften der NSA mit eben dieser sehr eng zusammengearbeitet hat, und in diesem Zusammenhang übrigens grundrechtlich geschützte Daten von Bundesbürgern lieferte, ist der BBA2015 zweifelsohne verdient.

    Die „sog. strategischen Überwachung der grenzüberschreitenden Telekommunikation“ und die „Informationsblockade und dreisten Vertuschungen geheimdienstlicher Praktiken gegenüber dem NSA-Untersuchungsausschuss des Bundestags“ sind nur einige der Gründe, die den Sieg in der Kategorie Behörden/Verwaltung unterstreichen.

    Amazons „Mechanical Turk“ und „Elance-oDesk“ sind Sieger in der Kategorie Wirtschaft. Für die Umsetzung des digitalen Tagelöhnertums, bei dem „Job-Häppchen ohne Mindestlohn, ohne Krankenversicherung, ohne Urlaubsanspruch und ohne Solidarität … als ‚Freiheit’, ‚Flexibilität’ und ‚flache Hierarchien’ verkauft [werden]“, hat sich Mechanical Turk den Preis redlich verdient. Elance-oDesks permanente Überwachung der Mausbewegungen und Tastenanschläge des Arbeitnehmers, inklusive der automatisierten, regelmäßigen Sendung eines Screenshots wird von Elance-oDesk Deutschland-Chef Nicolas Dittberner fast schon romantisch als das „Aufbau[en] von Vertrauen“ bezeichnet.

    Kontrolle ist Vertrauen.

    Somit hat auch hier der BBA2015 einen würdigen Abnehmer gefunden.

    Einen weiteren Award konnte Amazons Logistik GmbH in Bad Hersfeld und die Amazon Koblenz GmbH gewinnen. Die von beiden Unternehmen ausgestellten Arbeitsverträge enthalten Klauseln, „die die Persönlichkeitsrechte der Arbeitnehmer.innen verletzen“. Zum Beispiel müssen potentielle Arbeitnehmer der Übersendung der persönlichen Daten – zum Zweck der Verarbeitung – in die USA zustimmen.

    Außerdem behält sich Amazon das Recht vor, den Gesundheitszustand seiner Beschäftigten praktisch jederzeit feststellen zu lassen, und zwar von Ärzt.innen, die das Unternehmen benennt.

    In der Kategorie Verbraucherschutz gelingt es dem Bundesministerium für Gesundheit und im Speziellen dem dortigen Minister Herrmann Gröhe, mit Hilfe der Einführung diverser eHealth-Projekte die Vertraulichkeit zwischen Arzt und Patient massiv zu erschüttern und so die Trophäe abzugreifen. Als netter Nebeneffekt der Projekte ergaben sich übrigens lukrative Aufträge für z.B. die folgenden Nutznießer:

    die Hersteller von Plastikkarten, Anbieter von digitalen Signaturen, die Telematikindustrie (wie z.B. T‑Systems und die Firma Arvato des Bertelsmannkonzerns) und natürlich Unternehmen, die Kartenlesegeräte herstellen. … Nicht Diagnostik und Heilbehandlung – Ausbildung der Ärzte, Zeit für Gespräche mit der Ärztin oder dem Arzt oder bessere Personalausstattung in Kliniken – werden gestärkt, sondern die Lobbyisten haben gewonnen, die Signaturen, Chip-Karten und technische Infrastruktur verkaufen wollen.

    Und wers soll’s bezahlen? Die Krankenkassen, also die Beitragszahlenden, also wir alle.

    Ein anderes Duo konnte in der Kategorie Politik die prestigeträchtige Trophäe einsammeln: Bundesinnenminister Thomas de Maizière und Ex-Bundesinnenminister Hans-Peter Friedrich. Der Preis wird ihnen für nichts Geringeres als „für die systematische und grundlegende Sabotage der geplanten Europäischen Datenschutzgrundverordnung“ verliehen – zweifelsohne zurecht. Besonders verdient ist der Preis auch, weil die Vorratsdatenspeicherung jetzt in neuem Gewand und neuem Schirmherr – aber immer noch mit den gleichen Fehlern - gesetzlich legitimiert werden soll.

    vds_verstoss_grundrechte_nporg

    Last, but not at all least, geht auch der Neusprech-Award an die Vorratsdatenspeicherung, bzw. an die der CSU entsprungenen Wortschöpfung „digitale Spurensicherung“. Es könnte der Eindruck erweckt werden, die „digitale Spurensicherung“ würde dabei helfen, Spuren, die Täter im Verlauf ihrer Tat hinterlassen, aufzudecken. Problematischerweise soll jedoch genau das Gegenteil gemacht werden, Vorsichtshalber sollen nämlich alle potentiellen „Spuren“ – also Daten – gesammelt werden. So ist dann auch automatisch jeder prinzipiell verdächtigt, irgendwann irgendeine Straftat zu verüben, die dann mit Hilfe der „digitalen Spurensicherung“ aufgedeckt werden könnte.

    von Adrian.Schultze 17. April 2015 4
  • : BKA-Datenbank: Laut Bundesdatenschutzbeauftragtem „gravierender Verstoß gegen datenschutzrechtliche Vorschriften“
    Anwendungen von rola Security Solutions verknüpfen bei Polizei, Militär und Diensten Personendaten mit Ereignissen. Beim BKA fand der BfDI hierzu zahlreiche datenschutzrechtliche Verstöße.
    Anwendungen von rola Security Solutions verknüpfen bei Polizei, Militär und Diensten Personendaten mit Ereignissen. Beim BKA fand der BfDI hierzu zahlreiche datenschutzrechtliche Verstöße.
    BKA-Datenbank: Laut Bundesdatenschutzbeauftragtem „gravierender Verstoß gegen datenschutzrechtliche Vorschriften“

    Zahlreiche beim Bundeskriminalamt (BKA) vorgenommen Speicherungen von Personendaten waren rechtswidrig. Dies geht aus einem Kontrollbericht (pdf) des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) hervor, der nun mittels einer Anfrage nach dem Informationsfreiheitsgesetz befreit wurde.

    Untersucht wurde die seit 2008 bei der Staatsschutzabteilung des BKA geführte Zentraldatei „PMK-links‑Z“. Der damals noch amtierende BfDI, Peter Schaar, hatte hierzu einen „Beratungs- und Kontrollbesuch“ in der Abteilung Staatsschutz in Meckenheim vorgenommen. Der Bericht datiert auf September 2012, rund vier Jahre nach Errichtung der Datei „PMK-links‑Z“.

    Zweifelhafte Praxis kam erst über IFG-Anfragen ans Licht

    „PMK“ steht für „Politisch motivierte Kriminalität“. Verarbeitet werden Daten über linken politischen Aktivismus. Auch die Landeskriminalämter liefern hierzu Informationen. Der Zweck der Zentraldatei ist die „vorbeugende Strafverfolgungsvorsorge“ bzw. „vorbeugende Gefahrenabwehr“.

    Auch die Errichtungsanordnung der Datei wurde erst über eine IFG-Anfrage öffentlich. Demnach werden außer Personen- und Sachdaten auch Örtlichkeiten und Institutionen gespeichert. Ebenfalls gesammelt werden Ereignisse oder Daten aus der Telekommunikationsüberwachung. Soweit bekannt, basiert die Datei auf einem System der Firma rola Security Solutions, die inzwischen von T‑Systems aufgekauft wurde.

    Geprüft wurden 33 stichprobenartig ausgewählte Fälle. Aufmerksam wurde der ehemalige oberste deutsche Datenschützer erst durch eine Eingabe eines Petenten, der sich widerrechtlich gespeichert sah und dessen Fall ebenfalls geprüft wurde. Die Ergebnisse dieses Einzelberichts werden in einem gesonderten Bericht festgehalten.

    Etliche Speicherungen zu weitgehend oder zweifelhaft

    In der Datei „PMK-links‑Z“ sind Personen in unterschiedliche Betroffenenkategorien unterteilt. Hierzu gehören „Beschuldigte“, „Verdächtige“, „Kontakt-/Begleitpersonen“, „Sonstige Personen“ und „Prüffälle“. Bei letzteren wird noch ermittelt, bevor eine endgültige Zuordnung vergeben wird.

    Der BfDI hat in sämtlichen Kategorien Mängel gefunden. Speicherungen seien zu weitgehend oder zweifelhaft, etwa wenn keine ausreichende Tatsachengrundlage für eine „Negativprognose“ oder „Gefahrenprognose“ vorlag. Teilweise seien sogar Personen gespeichert gewesen, die lediglich „im Zusammenhang mit Versammlungen“ aufgefallen sind.

    Bei „sonstigen Personen“ fehlte laut dem Bericht in allen geprüften Fällen eine Speicherungsgrundlage. Dies habe der Staatsschutz selbst zugegeben:

    Das BKA räumte bereits während des Prüfgespräches ein, dass alle in dieser Betroffenenkategorie während des Kontrollbesuchs betrachteten Personendatensätze nicht hätten gespeichert werden dürfen und kündigte eine unverzügliche Prüfung aller gespeicherten Personen dieser Betroffenenkategorie an. Nach Mitteilung des behördlichen Datenschutzbeauftragten hat das BKA im Nachgang nunmehr nahezu sämtliche Speicherungen dieser Kategorie gelöscht.

    Gespeicherte nicht immer dem Phänomenbereich „links“ zuzuordnen

    Die Verarbeitung von „Prüffällen“ sei aus datenschutzrechtlicher Sicht grundsätzlich kritisch und führe laut dem BfDI zur Gefahr, dass Personen gespeichert werden, die an der Begehung von Straftaten nicht beteiligt oder womöglich nur zufällig an bestimmten Orten anwesend waren. Auch würden Informationen ausländischer Behörden gespeichert. In einem geprüften Fall sei eine Person bei einem bestimmten Ereignis im Ausland anwesend gewesen, ein konkreter Vorwurf gegen den Betroffenen wurde aber nicht mitgeteilt.

    Soweit personenbezogene Daten aber keine Informationen zu Straftaten oder Gefahrenlagen enthielten, dürften diese „nicht dauerhaft aufbewahrt und erst recht nicht mit Dateien verknüpft werden“. Außerdem sei in vielen Fällen zu hinterfragen, ob die Gespeicherten tatsächlich zwingend dem Bereich der PMK „links“ zuzuordnen seien. So seien in manchen Fällen die Personalien Hunderter Personen festgestellt worden, bei denen gar nicht zweifelsfrei festgestellt werden könne, ob eine „Negativprognose“ vorliegt.

    Überarbeitungsbedarf bei den Ländern

    Ein wesentlicher Teil der Speicherungen beruht laut dem BfDI auf Meldungen innerhalb des sogenannten Kriminalpolizeilichen Meldedienstes (KPMD). Sie werden von Landespolizeibehörden in „kriminaltaktischen Anfragen“ übermittelt und enthalten „Erkenntnisse, die bestimmte Ereignisse und Personen betreffen“. Die „kriminaltaktischen Anfragen“ werden von den Landeskriminalämtern dem Bereich der politisch motivierten Kriminalität durch ein Ankreuzfeld zugeordnet.

    Hinsichtlich dieser Praxis habe laut dem BfDI „dringender Überarbeitungsbedarf“ bestanden, insbesondere in den Ländern. Das BKA solle „genauere Lagemeldungen einfordern“, um eine bessere Sachverhaltsgrundlage zu erhalten. Nur so könnten die Voraussetzungen der Speicherung überhaupt beurteilt werden. Die Prüfung der Zulässigkeit der Datenübermittlungen liege jedoch im Verantwortungsbereich der Länder. Im Bericht wird angekündigt, hierzu die zuständigen Landesbeauftragten für den Datenschutz zu informieren.

    Sogar Anfragen ans BKA werden aufbewahrt

    Die „sehr weitgehende Übermittlungspraxis der Länder“ führe laut dem BfDI häufig zu weiteren rechtswidrigen Speicherungen beim BKA. So würden vor Veranstaltungen Informationen an das BKA übermittelt, um dieses um eine Einschätzung der bestehenden Gefahrenlage zu bitten. Mitunter werden diese Anfragen dann „dauerhaft für Zwecke der Gefahrenvorsorge aufbewahrt“.

    Vielfach erhält das BKA auch keine Informationen über den Ausgang offener Verfahren. So bleibt unklar, ob Daten wegen eines Freispruchs eigentlich gelöscht werden müssten. Wenn das BKA von den Staatsanwaltschaften der Länder diesbezüglich nichts erfährt, können auch andere Behörden nicht darüber unterrichtet werden.

    Extra hohe Fristen zur Löschung angekreuzt

    Bei einigen der überprüften Speicherungen fiel auf, dass nicht für jede einzelne Eintragung wie vorgeschrieben eine Aussonderungsprüffrist vergeben wurde. Stattdessen hatte das BKA einfach die „höchst mögliche Prüffrist“ von zehn Jahren angekreuzt. Bei Prüffällen darf diese aber beispielsweise maximal zwei Jahre betragen.

    Sind Betroffene mehrfach gespeichert (etwa als „Beschuldigte“ und „Prüffälle“) richtet sich die Aussonderungsprüffrist oft nach dem neuesten Ereignis. Alte Daten werden dann nicht wie vorgeschrieben gelöscht („Mitzieheffekt“). Das BKA habe dies mit den Systemeinstellungen der rola-Datei erklärt. Das von rola verwendete Dateisystem sei laut dem BfDI „in rein technischer Hinsicht“ für Verknüpfungen von Personen und Ereignissen „besonders gut geeignet“ und daher bei falscher Handhabung problematisch.

    „Auch provokante Formen des Protests grundgesetzlich geschützt“

    In „PMK-links‑Z“ werden auch Daten zu Versammlungen verarbeitet. Gespeichert werden AnmelderInnen und TeilnehmerInnen gleichermaßen. Der BfDI sieht hierfür keine Rechtsgrundlage, denn sofern die Versammlungsteilnahme nicht im Zusammenhang mit einer Straftat oder einer polizeirechtlichen Gefahr gestanden hat, dürfe sie laut dem Kontrollbericht niemals erfasst werden. Dies wiege umso schwerer, wenn die Versammlungen störungsfrei verlaufen seien. Dass die Betroffene dennoch in BKA-Dateien landen, betrachtet der BfDI als „gravierenden Verstoß gegen datenschutzrechtliche Vorschriften“. Dies gelte nicht nur für die geprüfte Zentraldatei:

    Auch außerhalb der Zentraldatei „PMK-links‑Z“ sehe ich es kritisch, wenn beispielsweise die Meldung einer Polizeidienststelle vom [geschwärzt] im Vorgangsbearbeitungssystem gespeichert wird, die Informationen über eine Anmeldung einer Kundgebung des Vereins [geschwärzt] betrifft.

    Ähnliche Bedenken äußerte der BfDI bereits bei der Prüfung der inzwischen aufgelösten und in „PMK-links‑Z“ überführten Datei „IgaSt – international agierende gewaltbereite Störer“. Sie diente dazu, die bei Staatsschutzabteilungen der Kriminalämter anfallenden Daten „im Themenzusammenhang ‚Globalisierung’ “ zu sammeln. Gemeint waren Personen, von denen bekannt war, dass sie zu Protesten auch ins Ausland reisen. Sie wurden auch dann gespeichert, wenn keine Verurteilung vorlag. Auch dies war rechtswidrig. Im neuen Bericht heißt es dazu:

    Ich sehe mich daher in meinen Ausführungen im Kontrollbericht zur Prüfung der Zentraldatei „lgaSt“ bestätigt, wonach auch provokante Formen des Protests grundgesetzlich geschützt sind und daher die Teilnehmer nicht gespeichert werden dürfen.

    von Matthias Monroy 14. April 2015 6
  • : Kommentar: Fehlgeleitete Diskussion um Datenschutz in der Causa Germanwings
    <a href="https://creativecommons.org/licenses/by/2.0/">CC BY 2.0</a> via flickr/<a href="https://www.flickr.com/photos/v1ctor/8325573561/in/photolist-dFGJXK-6gPX3K-5CuWjv-d3hHtj-68JuuP-dWc8ck-8qefgJ-8djX17-gTSYuR-gTRXRS-nhRkoY-gTRXiL-5JLemg-7HwiR3-9VTTtu-jSQRwD-Tnyq-ptZFqE-8rTDgK-gTSmKL-oahEi-72F69f-uh66-mgc2Bt-4nHKBe-dVmXg6-gPDja5-aizeTt-jsZp4A-j9HbdW-zDr6c-9xxpeK-gPST7H-HdEYX-gTScLJ-gPUoTx-dXT5Yb-2CWpnK-4NWvnA-dVsx8Y-gTTyUH-FE7JK-gPUoDK-8pW797-ceUgoW-qacJD2-6h7GZp-gTSdGn-iXpabs-R52d">v1ctor</a>
    Kommentar: Fehlgeleitete Diskussion um Datenschutz in der Causa Germanwings

    Die Diskussion um die Ursachen des Germanwings-Absturzes sind bei der Beschuldigung des deutschen Datenschutzes angekommen. Das ist falsch und verkennt das echte Problem: Den Umgang mit der Behandlung psychischer Erkrankungen. Ein Kommentar.

    Einem Bericht der Sunday Times zufolge bereitet die EU-Kommission in der Sache Germanwings-Absturz rechtliche Schritte gegen Deutschland vor. Deutsche Datenschutzregelungen widersprächen Sicherheitsregelungen in der EU, die Ärzte und Fluggesellschaften dazu verpflichten, Gesundheitsdaten von Piloten zu teilen, die deren Flugtauglichkeit betreffen.

    Der Pilot der abgestürzten Maschine hatte psychische Probleme und ließ die Maschine mit Selbstmordabsichten abstürzen. Seine Depressionen waren seit 2009 bekannt, das Luftfahrtbundesamt (LBA) wurde jedoch nicht informiert. Die Antwort in der Schuldfrage scheint nun auf den deutschen Datenschutz gefallen zu sein. Die Behörde hätte informiert werden müssen, heißt es. Schon Ende 2014 habe die EU-Luftfahrtagentur Easa bemängelt, dass das LBA zu wenig Zugang zu medizinischen Akten habe.

    Berufsverbot für Depressive

    Bayerns Innenminister Joachim Herrmann hat die Diskussion noch einen Schritt weiter ins Absurde getrieben und die Forderung nach einem Berufsverbot für Depressive aufgebracht:

    [Wenn eine medizinische Untersuchung zu dem Ergebnis kommt,] dass etwa ein Pilot, ein Busfahrer oder ein Taxifahrer dauerhaft nicht mehr geeignet ist, Menschen oder sonstige Güter zu transportieren, ohne dass Gefahr für Leib und Leben anderer besteht, dann kann solchen Personen auch der Führerschein beziehungsweise die Lizenz entzogen werden.

    Die Verflachung der Diskussion ist fatal. Denn es gibt schon heute die Möglichkeit und die Pflicht, Berufsverbote zu erteilen oder Lizenzen zu entziehen, wenn eine konkrete Gefährdung durch eine Person vorliegt. Wenn ein solcher Vorgang durch Nachlässigkeit der zuständigen Stellen und Behörden nicht angestoßen wird, ist das kein Versagen deutscher Datenschutzgesetze, sondern ein Einzelfall. Die Krankheit des Piloten war dem Arbeitgeber seit sechs Jahren bekannt, Folgeuntersuchungen fanden statt.

    Deutsche Befindlichkeiten?

    Desweiteren wird Deutschland als Exot hingestellt, die Washington Post unterstellt eine Art Privacy-Neurose und sucht Gründe in der Vergangenheit.

    Rather than chasing every angle, many media outlets here seem to be acting as the guardians of cherished privacy — a notion that is strong here in part due to the prying eyes of the state during the Nazi and Cold War eras.

    Stigmatisierung statt Behandlung

    Doch das Wichtigste: Diejenigen, die Berufsverbote und stärkere Überwachung des geistigen Zustandes von Arbeitnehmern fordern, bewirken, dass sie damit die Gesamtsituation nicht verbessern, sondern zur Eskalation bringen. Die Diskussion hat bisher vor allem eines gebracht: Die Stigmatisierung von Menschen mit psychischen Problemen. Das ist absurd, besonders wenn man sich Statistiken anschaut: Die Deutsche Depressionshilfe spricht von vier Millionen Menschen mit behandlungsbedürftigen Depressionen in Deutschland und davon, dass ein Fünftel der Bevölkerung einmal in ihrem Leben an einer Depression erkrankt. Die Techniker Krankenkasse stellte fest, dass pro Arbeitnehmer durchschnittlich ein Krankheitstag pro Jahr aufgrund einer Depression anfällt. Eine Studie von 2011 spricht davon, dass jährlich etwa 38 Prozent der EU-Bevölkerung von einer psychischen Krankheit betroffen ist. Erhebungen kommen zu dem Ergebnis, dass nur etwa ein Viertel der Erkrankten angemessen behandelt wird.

    Wir reden also nicht von einem Randphänomen, wir reden von einer gesamtgesellschaftlichen Fragestellung. Und man braucht nicht besonders viel Abstraktionsvermögen, um sich vorzustellen, dass die Hürde, sich vertrauensvoll an einen Arzt zu wenden sich signifikant vergrößert, wenn befürchtet werden muss, dass dieser sich sofort an den Arbeitgeber oder eine entsprechende Aufsicht wenden muss. Und ebenso wenig Abstraktion braucht es, um einzusehen, dass eine unbehandelte psychische Erkrankung viel weitreichendere negative Folgen hat als eine behandelte.

    Die eigentlichen Kernprobleme

    Was es braucht, anstelle eines Zeigefingers der auf die deutschen Datenschutzbefindlichkeiten zeigt, ist eine Debatte um die Versorgung von Menschen mit psychischen Problemen. Je nach Bundesland müssen ein Drittel bis die Hälfte der Hilfesuchenden über sechs Monate auf einen Therapieplatz warten. Das ist bei akuten Problemen vollständig indiskutabel und schreckt noch dazu viele vollständig ab und treibt sie in die Resignation.

    Vielleicht sollten Politiker und Medien darüber nachdenken, wie hoch die Inzidenz für eine Depression ist, bevor sie von dem Ross der eigenen Unantastbarkeit Datenschutzsenkungen und Berufsverbote propagieren. Und sich selbst mal untersuchen lassen.

    von Anna Biselli 13. April 2015 27
  • : „It’s a bug, not a feature“ – Sagt Facebook zum Tracking von Nicht-Usern…
    via troll.me
    „It’s a bug, not a feature“ – Sagt Facebook zum Tracking von Nicht-Usern…

    Facebook behauptet, das Tracking von Nichtnutzern über Social Plugins und Co. sei unbeabsichtigt. Ende März hatten Forscher der Universität Leuven und der Vrije Universiteit Brüssel Ergebnisse veröffentlicht, die zeigten, dass Facebook über Cookies auf Webseiten mit Social Plugins Profile von Menschen anlegt – egal ob sie Facebook-Nutzer sind, eingeloggt oder nicht, egal ob sie Tracking explizit widersprochen haben oder nicht.

    Das widerspricht EU-Datenschutzregeln und lässt Facebook schlecht dastehen. Deshalb dementierte Richard Allan, Facebooks Cheflobbyist für Europa, dass das Tracking von Nicht-Nutzern absichtlich geschehen sei:

    The researchers did find a bug that may have sent cookies to some people when they weren’t on Facebook. This was not our intention – a fix for this is already under way.

    Darüberhinaus beklagt Facebook, dass der Forschungsbericht zu falschen Ergebnissen gekommen sei. Und dass die Forscher Tracking nicht verstanden hätten:

    Facebook does receive standard „web impressions,“ or website visit information, when people visit sites with our plugins or other integrations. The authors misleadingly call this „tracking.“

    Natürlich ist die einzelne Information, dass eine Seite besucht wurde, kein Tracking. Tracking wird es dann, wenn der Nutzer über mehrere dieser Seiten nachverfolgbar wird. Der Informationsgewinn entsteht über die Kombination von Daten, nicht über den einzelnen Datensatz. Facebook definiert sich hier seine Welt schön – so wie man es auch von anderen Datenhungrigen kennt, die meinen, die Öffentlichkeit habe ein vollkommen falsches Verständnis von Überwachung.

    Fast unterhaltsam ist auch, dass sich das Soziale Netzwerk darauf beruft, man sei ja durch die irische Datenschutzbehörde auditiert worden. Diese, so wissen wir, nimmt den Datenschutz nicht so genau und ist unter anderem der Ansicht, dass das Überwachungsprogramm PRISM in Einklang mit der Safe-Harbor-Vereinbarung stehe. Die laxen Datenschutzauffassung sind neben Steuerkalkulationen einer der Hauptgründe, warum sich in dem Land die EU-Firmensitze vieler US-Datenriesen befinden – neben Facebook unter anderem Twitter, Amazon und Dropbox.

    Ob Facebook mit derart fadenscheinigen Ausreden davonkommt und ob der „Bug“ wirklich gefixt ist, muss sich zeigen. Am 29. April entscheidet die belgische Datenschutzbehörde, ob sie in Bezug auf den Bericht Schritte einleiten wird.

    von Anna Biselli 10. April 2015 7
  • : Big Data kommt im stationären Einzelhandel an
    Die Qual der Wahl: Bald auch Dauerzustand bei Lebensmittelpreisen.
    Big Data kommt im stationären Einzelhandel an

    Die Frankfurter Allgemeine Sonntagszeitung hat am Wochenende ein interessantes Stück über Dynamische Preise veröffentlicht. Darin wird beschrieben, wie Geschäftsmodelle, die sich auf Big Data stützen, langsam auch für Endverbrauchende sichtbar werden.

    Denn auch im stationären Einzelhandel finden sich nun immer häufiger digitale Preisschilder, die aufgrund von sonstwo und sonstwie erworbenen Kundendaten oder bei aktivierten Smartphone-Gimmicks wie NFC en passant Preise ändern.

    Der Wissenschaftler Gerrit Kahl vom Deutschen Forschungszentrum für künstliche Intelligenz geht sogar davon aus, dass der Browser und das Gerät, mit dem Konsumenten ins Internet gehen, bereits heute von den Online-Shops ausgelesen werden – um die Daten in die Preisbildung einfließen zu lassen. Besucht ein Kunde die Website also über ein teures Mac-Book, zahlt er mehr. Teilweise werden Interessenten auch höhere Preise angezeigt, wenn durch die Ortungsfunktion klar wird, dass sie sich fern einem Geschäft aufhalten und deshalb auf den Internethandel angewiesen sind.

    Abgesehen davon wird durch diese Umstellungen eine weitere Grundproblematik etabliert: Nämlich, dass man Zeit braucht, um Angebote zu vergleichen, die sich ständig ändern. Das betrifft dann nicht mehr nur Ausgaben, die man nicht jeden Tag hat, wie für technische Geräte oder Reisen, sondern auch die für Kaviar und Dosenbier bei Kaiser’s.

    Darüber hinaus wird auch der Aspekt einer eigentlich eher abstrakten „Preisdiskriminierung“ zu einer ziemlich konkreten: Bisher orientiert sich beispielsweise der Preis an der Tankstelle noch am Ölpreis. Bald könnte dort in der Preisgestaltung jedoch berücksichtigt werden, ob man im Käfer oder im Rolls-Royce vorfährt.

    Eine Transparenzoffensive zu diesen Umstellungen existiert übrigens leider nicht, wie in diesem Artikel vom manager magazin klar wird. Dunja Riehemann, Marketingverantwortliche bei laut Eigenaussage einem der größten Dienstleistungsanbieter im Vorhersage-Markt, meint dort: „Mit dem Thema muss man in der Öffentlichkeit sehr vorsichtig umgehen. Die Deutschen sind da sehr skeptisch.“

    von Kathrin Maurer 9. April 2015 41
  • : Europe vs. Facebook: Max Schrems ist kein „Verbraucher“
    Europe vs. Facebook: Max Schrems ist kein „Verbraucher“

    Der Prozessaufktakt in Wien, bei dem Max Schrems wegen diversen Verstößen gegen das EU-Recht gegen Facebook klagt, geht nach dem jetzigen Zeitpunkt erwartungsgemäß ohne ein klares Ergebnis zu Ende. Das Gericht muss in einem ersten Schritt entscheiden, ob es zuständig für die vorliegende Klage ist. Um das zu beurteilen, ist zunächst die Frage zu klären, ob dem Kläger die Rolle eines „Verbrauchers“ zugesprochen werden kann. Nur dieser hat das Recht auf einen Prozess in seinem Heimatland.
     
     
    Wird also festgestellt, dass Max Schrems kein „Verbraucher“ ist, würde die Klage nach Irland verlegt. Problematisch für die Anklage wären dann die dort deutlich höheren Prozesskosten.

    Am ersten Prozesstag versuchten Facebooks Anwälte, die Rechtmäßigkeit der Klage zu diskreditieren. Nach Berichterstattung von futurezone wiesen die Anwälte Facebooks darauf hin, dass es in Österreich keinen „US-Style Class Action“ wie in den Vereinigten Staaten gibt und bezeichneten die vorliegende Klage folglich als „Pseudo-Sammelklage“.

    Ebenfalls angezweifelt wurde die „Geschäftsfähigkeit“ der Teilnehmenden der Sammelklage. Paradoxerweise sind Facebook-User aber sehr wohl geschäftsfähig, wenn sie den AGBs auf Facebooks Website zustimmen.

    Die vorerst entscheidende Frage, ob der Kläger ein „Verbraucher“ ist und er demnach rechtmäßig vor dem Wiener Gericht klagen kann, verneint Facebook klar. Herr Schrems würde in „eigenem beruflichen und unternehmerischen Interesse“ agieren. Zudem gebe es „kein Datenschutz-Panel, wo Schrems nicht am Podium sitzt“. Da Schrems’ Motivation für das Verfahren also monetärer Natur sei, wäre dieser auch kein Verbraucher und das österreichische Gericht demnach nicht zuständig.

    Durch Belege wie z.B. Kontoauszüge kann Schrems aber nachweisen, dass er aus seinen Aktivitäten als Datenschützer keinen Lebensunterhalt bestreiten kann und will und betont, dass er für die Sache „brennt und lebt“, aber nicht von der Sache selbst lebt.

    In der Gesamtheit gesehen ist Facebooks Argumentation schon fast komisch. Der Klagende, damals noch Otto-Normal-„Verbraucher“ von Facebook, wollte sein Recht auf Datenschutz gegenüber Facebook durchsetzen. Da Facebook ihm dies verwehrte, begab sich Herr Schrems in die Öffentlichkeit, und trat erst in Folge dessen auf mehreren Datenschutz-Panels auf. Dass Facebooks Anwälte ihm jetzt vorwerfen, diese Aktivitäten würden dem Ziel der Erwirtschaftung von Kapital dienen und dieser Umstand würde ihm seinen „Verbraucher“-Status entziehen, ist eine mehr als fragwürdige Vorgehensweise.

    Lesefaulen und sonstigen Interessierten sei noch dieses Interview bei radioeins von Markus ans Herz gelegt.

    von Adrian.Schultze 9. April 2015 18
  • : Berliner Datenschutzbericht: Neues Polizeigesetz ist „verfassungsrechtlich bedenklich“
    Berliner Datenschutzbericht: Neues Polizeigesetz ist „verfassungsrechtlich bedenklich“

    datenschutzbericht

    Vor kurzem stellte der langjährige Berliner Beauftragte für Datenschutz und Informationsfreiheit seinen Jahresbericht 2014 im Rahmen einer Pressekonferenz vor. Dabei wurde deutlich, dass auch in der Hauptstadt an diversen Stellen erhebliche Risiken für das Grundrecht auf informationelle Selbstbestimmung bestehen bzw. drohen. Dieser Artikel soll einige Fälle exemplarisch zusammenfassen, wobei der Schwerpunkt auf dem Bereich „Inneres und Justiz“ liegt. Interessierten LeserInnen sei neben dem eigentlichen Dokument auch die regelmäßige Lektüre der verschiedenen Datenschutzberichte empfohlen.

    Dies ist ein Gastbeitrag von Hanns Suchi.

    Ein Schwerpunkt der Kontrolltätigkeit des Beauftragten lag 2014 bei den sogenannten „gemeinsamen Terrorabwehrzentren“ (GTAZ und GETZ), die mittlerweile die Zusammenarbeit zwischen den Polizeien (BKA, Europol, Bundes- und Landespolizeien), Geheimdiensten (BfV, BND, MAD, LfVs) und weiteren Behörden (GBA, ZKA, Bundesamt für Migration und Flüchtlinge) auf informationeller Ebene erheblich prägen. Dabei stellte er im Rahmen seiner Prüfung u.a. fest, dass hierfür gar „keine gesetzlichen Organisationsregelungen“ oder öffentlich-rechtliche Vereinbarungen getroffen seien. Das führe dann dazu, dass der dort stattfindende Datenaustausch das Trennungsgebot und andere verfassungsrechtliche Garantien erodiert, weil die fachgesetzlichen Datenschutzvorschriften für ein solches „Feilbieten“ von Informationen nicht ausgelegt seien. Als Beispiel nennt der Beauftragte die bestehenden Übermittlungspflichten für „Delikte der Allgemeinkriminalität (z.B. Diebstahl oder Sachbeschädigung)“, wenn sie „nur einen sehr entfernten Zusammenhang mit den Staatsschutzdelikten“ aufweisen. Seine abschließende Bewertung der Praxis der Berliner Polizei- und Geheimdienstbehörden steht zwar noch aus, soll aber noch in diesem Jahr erfolgen.

    Als weiterer Schwerpunkt wurde der Schutz von Mandatsgeheimnissen im Rahmen von Ermittlungsverfahren gegen Abgeordnete genannt. Konkreter Anlass waren die Ermittlungen gegen einen ehemaligen Justizsenator, der zugleich als Rechtsanwalt und Notar tätig gewesen ist. In dessen Kanzleigemeinschaft waren von der Staatsanwaltschaft erhebliche Aktenbestände beschlagnahmt worden, wobei offenbar auch Unterlagen von anderen Berufsgeheimnisträgern betroffen waren, die nicht Ziel des eigentlichen Durchsuchungsbeschlusses waren. Eine ähnliche Problematik gibt es nach Aussage von Dr. Dix auch bei Ermittlungsverfahren gegen Ärzte, die ihren Beruf ebenfalls zusammen mit anderen in Praxisgemeinschaften ausüben.

    Das derzeit im Abgeordnetenhaus beratene Gesetz zur Änderung des Allgemeinen Sicherheits- und Ordnungsgesetzes (ASOG) wird vom Beauftragten als „verfassungsrechtlich bedenklich“ eingeschätzt. Mit dieser Änderung soll die automatische Kennzeichenfahndung durch die Polizei sowie eine erweiterte Datenübermittlung von der Polizei an die Geheimdienste im Rahmen der so genannten Anti-Terrordatei (ATD) bzw. der Rechtsextremismusdatei (RED) erlaubt werden. Bei letzterer steht insbesondere die Meldung von „Kontaktpersonen“ in der Kritik des Datenschutzbeauftragten, da diese meist von einem „Terrorismusbezug der Hauptperson“ nichts ahnen und damit aber selbst von weiteren Überwachungsmaßnahmen betroffen sein könnten.

    Auch die „Novelle zum Bundesmeldegesetz“ stößt auf erhebliche Kritik: Dort soll nämlich ein einmaliger Meldedatenabgleich personenbezogener Daten von Mitgliedern öffentlich-rechtlicher Religionsgemeinschaften sowie deren Familienangehörigen verankert werden, was natürlich den Grundsätzen der Datensparsamkeit und der Erforderlichkeit widerspricht. Schließlich erheben diese Religionsgemeinschaften selbst umfangreich Daten von ihren Mitgliedern, so dass die geplante stichtagsbezogene Übermittlung des Gesamtbestandes mithin entbehrlich erscheint. Außerdem erhalten die Religionsgemeinschaften bereits heute umfangreiche Aktualisierungsmeldungen, sobald eines ihrer Mitglieder umzieht. Bereits bei der Neuordnung der Rundfunkfinanzierung hatte es einen solchen Meldedatenabgleich gegeben, so dass viele Menschen ohne Zahlungspflicht in den Fokus der Gebühreneinzugsstellen (GEZ) geraten sind.

    Die Auffassung des Datenschutzbeauftragten zur „Stadtweiten Veranstaltungsdatenbank (VDB)“ ist ambivalent: Eine Diskussion im Abgeordnetenhaus zu dieser seit über 10 Jahren bestehenden langjährigen Erfassung von AnmelderInnen politischer Versammlungen war erst durch einen Artikel auf netzpolitik.org ins Rollen gekommen. Darin war auch aufgezeigt, dass die Auskunftsrechte der Betroffenen von der Berliner Polizei jahrelang missachtet worden waren. Im Jahresbericht 2014 wird dieser Punkt nun endlich kritisiert, stellt jedoch nur eine besonders eklatante Komponente dieser verfassungsrechtlich bedenklichen Vorratsspeicherung dar. Der Datenschutzbeauftragte regt zwar ein differenziertes Löschkonzept und kürzere Fristen für die Speicherung personenbezogener Daten an, hält die Veranstaltungsdatenbank aber nicht für „per se unrechtmäßig“. Damit bleiben allerdings Einschüchterungs- und Abschreckungseffekte (chilling effects) hinsichtlich des Grundrechts auf Versammlungsfreiheit weitgehend unberücksichtigt, denn für jede öffentliche Versammlung unter freiem Himmel besteht hierzulande eine Anzeigepflicht (vgl. § 14 VersammlG). Wer befürchtet, durch seine politische Betätigung oder sein gesellschaftliches Engagement jahrelang in polizeilichen Datenbanken erfasst zu werden, wird möglicherweise auf die Ausübung seines Grundrechts in Berlin verzichten.

    Ein besonders erschreckender Fall von Überwachung und Datenerfassung wird im Zusammenhang mit Asylsuchenden thematisiert: In einem Neuköllner Wohnheim wurde der „Heimausweis“ der BewohnerInnen bei jedem Betreten/Verlassen des Geländes gescannt und diese Informationen zusammen mit einem Zeitstempel gespeichert, so dass ein lückenloses Bewegungsprofil entstand. Diese Daten waren durch die Heimleitung zehn Jahre lang einsehbar, was der Datenschutzbeauftragte als „unzulässig“ erachtete. Durch den Betreiber wurde dieser massive Eingriff in die informationelle Selbstbestimmung (u.a. aus der Menschenwürde des Art. 1 GG abgeleitet) damit gerechtfertigt, dass für jede Person entsprechende Unterbringungsleistungen mit dem Land Berlin abgerechnet werden müssen. Jedoch ist dafür eigentlich nur eine banale Aufstellung erforderlich, an wievielen Tagen die jeweiligen BewohnerInnen im Wohnheim untergebracht worden sind. Die Totalerfassung der Bewegungen der Asylsuchenden passt in das stigmatisierende Bild, welches Berlin diesen Menschen oft auch an anderen Stellen entgegenbringt. Außerdem wurde ebenfalls von allen BesucherInnen protokolliert, wer wann zu wem wollte. Auch diese Informationen wurden durch den Betreiber zu lange gespeichert und nur unregelmäßig gelöscht. Hier konnte der Beauftragte durchsetzen, dass diese Daten zukünftig beim Verlassen des Wohnheims wieder gelöscht werden. Zusätzlich waren in den Fluren des Gebäudes und vereinzelt im Hofbereich insgesamt noch 33 Videokameras installiert, deren Betrieb mit Sachbeschädigungen, Überfällen und Diebstählen begründet wurde. Da es aber seit einiger Zeit zu keinen solchen Vorfällen mehr kam, müssten die Überwachungskameras demnächst eigentlich abgeschaltet werden.

    Ein längerer Abschnitt beschäftigt sich mit dem Polizeiarbeitsplatz in der BVG-Sicherheitsleitstelle, worüber die BeamtInnen auf die umfangreichen Videoüberwachungsanlagen der BVG zugreifen können. Dabei gibt es zwei Differenzierungen: Nach Eingang einer Meldung zu einer „Straftat auf einem U‑Bahnhof“ wird durch BVG-Personal der Zugriff auf die betreffende Live-Videosequenz gewährt. Die Bilder sollen vermeintlich zur Unterstützung der Einsatzkräfte vor Ort und zur Koordinierung von Maßnahmen dienen. Diese anlassbezogene Variante kommt dann auch bei „Sondereinsätzen und Großlagen, z.B. Demonstrationen“ zum Einsatz, wobei die Nutzung dabei auf Grundlage der einschlägigen Gesetze (ASOG, VersammlG, StPO) erfolgen solle. Hingegen haben die BeamtInnen bei der anlassunabhängigen Videoüberwachung „uneingeschränkten Zugriff auf die Live-Bilder ausgewählter U‑Bahnhöfe, die als kriminalitätsbelastete Schwerpunktbahnhöfe gelten“. Solche Orte werden in Berlin geheim gehalten und nur im sogenannten „Kriminalitätslagebild“ vermerkt. Eine Datenspeicherung durch die Polizei soll angeblich nicht erfolgen.

    Kurz nach Bekanntwerden der NSU-Verbrechen fanden bei den Geheimdiensten umfangreiche Vernichtungsaktionen von Akten statt. In Berlin führte eine Verwechslung von Kartons zu dieser Behinderung der Aufklärungsarbeit von Untersuchungsausschüssen und Gerichten. Schließlich musste sogar die Leiterin des Berliner Verfassungsschutzes wegen dieser Eigenmächtigkeiten von ihrem Amt zurücktreten. Im Zuge dieser Skandale kam es dann zur Einleitung verschiedener Löschmoratorien bei den Berliner Sicherheitsbehörden, für deren Fortsetzung der Datenschutzbeauftragte allerdings die „Verabschiedung eines Einzelfallgesetzes“ für „vorzugswürdig“ erachtet. Bisher unbekannt war jedoch, dass es auch im Rahmen des NSA-Untersuchungsausschusses zu einem Löschmoratorium kam, infolge dessen „zu löschende personenbezogene Daten weiter entgegen der Rechtslage aufgehoben werden sollten“. Dafür hat Dr. Dix keine Zustimmung erteilt, da der Bundestagsuntersuchungsausschuss den Berliner Geheimdienst überhaupt nicht um die Übermittlung von Daten gebeten hatte.

    Eine skurrile Mitteilung betrifft die Kontrolle auf elektronisches Doping beim Schach. Der Deutsche Schachbund e.V. hatte den SpielerInnen der 2. Bundesliga eine Vereinbarung zur Unterzeichnung vorgelegt, in der sie sich „auch ohne Anfangsverdacht mit der Überprüfung ihrer elektronischen Geräte einverstanden“ erklären mussten. Die datenschutzrechtliche Problematik einer solchen Durchsuchung von privaten Geräten war dem Schachbund offenbar nicht bewusst, weshalb der Datenschutzbeauftragte zu einer pragmatischen Lösung riet, dem generellen „Verbot des Beisichführens technischer Geräte während eines Turniers“.

    Die Berliner Polizei hat 2014 mit der Öffentlichkeitsfahndung bei Facebook begonnen: Auf einer sogenannten „Fanpage“ werden zunächst „anonymisierte Fahndungshinweise“ veröffentlicht, die mögliche InteressentInnen sodann auf eine polizeieigene Seite verweisen (erinnert sei in diesem Zusammenhang an die Fahndung im Rahmen der Muppet Show des BKA), auf der sich schließlich die personenbezogenen Informationen befinden. Die Datenschutzbeauftragten der Länder stehen einer solchen Nutzung sozialer Netzwerke durch die Polizei skeptisch gegenüber, denn einmal im Internet veröffentlichte Fahndungsdaten lassen sich weltweit leicht auffinden und sind praktisch kaum noch zu löschen. Ein weiteres Problem stellen Mutmaßungen und Beleidigungen durch Kommentare dar, welche die Berliner Polizei durch eine „redaktionelle Betreuung ihrer Fanpage“ in den Griff bekommen will.

    Eine erfreuliche Meldung zum Schluss: Auch der Berliner Beauftragte für Datenschutz und Informationsfreiheit hält nach dem Urteil des EuGH die ursprüngliche Vorratsdatenspeicherung von Telekommunikations-Verkehrsdaten rechtlich für nicht mehr durchführbar. Treffend wählte er deshalb im Jahresbericht als Zwischenüberschrift „Ende der Vorratsdatenspeicherung“ – ohne Fragezeichen. Leider hält selbst eine solch klare Aussage unsere uneinsichtigen Politiker, Branchenverbandspräsidenten und Polizeigewerkschaftsfunktionäre nicht von ihren verfassungsfeindlichen Bestrebungen ab.

    von Gastbeitrag 7. April 2015 2
  • : IT-Sicherheitsrichtlinie des Bundesinnenministeriums: Keine Kettenmails! Und zentrale Verschlüsselung!
    Geplante Cybersicherheitsstrategie für Deutschland - noch will sich die Regierung nicht äußern.
    IT-Sicherheitsrichtlinie des Bundesinnenministeriums: Keine Kettenmails! Und zentrale Verschlüsselung!

    Über eine Informationsfreiheitsanfrage zu den Blackberry-Kryptophones haben wir erfahren, dass es im Bundesinnenministerium (BMI) mit Anweisungen zur verschlüsselten Kommunikation ziemlich mau aussieht. Aber wir wollten wissen, wie mau genau und haben die Hausanordnung zum Einsatz von Informationstechnik im BMI per IFG-Anfrage angefordert und erhalten.

    Zurück in die 90er

    Bei ersten Durchlesen fällt auf: Das Dokument liest sich an manchen Stellen wie ein Relikt aus den 90ern. „E‑Mail ist elektronische Post“, wird an einer Stelle erklärt, „das personenbezogene Postfach ist täglich mehrfach auf neue Posteingänge zu überprüfen“, an einer anderen. Auch wird dem geneigten Leser erklärt, wie man E‑Mails adressieren kann und was „An“, „Cc“ und „Bcc“ bedeuten. Darüberhinaus wird der klassische Internet-Ausdrucker aufgefordert, dass Dokumente „möglichst am Bildschirm zu lesen“ sind. Beinahe charmant wirkt auch Absatz 6.2.8:

    Untersagung von Kettenbriefen

    Als Kettenbriefe werden insbesondere E‑Mails bezeichnet, die die Aufforderung enthalten, der Empfänger solle sie an eine Reihe weiterer Empfänger weiterleiten. Der Versand oder die Weiterleitung von Kettenbriefen ist untersagt.

    Wer denkt dabei nicht an die Zeiten von „Durchlesen und Weiterleiten!!! Wichtig!!! Dies ist kein Scherz!!1elf“ und schlechten, pseudowitzigen Power-Point-Präsentationen, die in Büros hin- und hergeschickt wurden? Im Innenministerium sind diese Zeiten vorbei.

    IT-Sicherheit mit sechs Zeichen

    Weniger lustig wird es bei den IT-Sicherheitsvorkehrungen. „Das Passwort muss eine Länge von mindestens sechs Zeichen haben“, heißt es. Doch schon 2011 gab das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Pressemitteilung heraus, die Passwörter mit mindestens acht Zeichen empfahl, die „nicht im Wörterbuch stehen“ und „neben Buchstaben […] auch Ziffern und Sonderzeichen enthalten“ sollen. Eigentlich sollte doch das BMI ein Interesse daran haben, die Mindestempfehlung der ihm selbst unterstellten Behörde umzusetzen. Könnte man meinen.

    Nach „starken Sicherheitsvorkehrungen“ hört es sich jedoch erst einmal an, wenn vom „Umgang mit beweglichen Datenträgern“ geredet wird – also allem von Disketten bis USB-Sticks. Hier wird davon geredet, dass sowohl optische Laufwerke als auch USB-Ports standardmäßig deaktiviert seien und zum Transport von Daten personalisierte USB-Sticks mit „biometrischem Zugangsschutz (Fingerabdruckscan)“ beantragt werden müssten. Schön und gut – von der oftmals nachgewiesenen Unsicherheit biometrischer Zugangssysteme mal abgesehen –, doch die Regel erinnert unschön an eine parallele Regelung bei der Polizei Niedersachsen. Wir haben vor einiger Zeit durch interne Quellen erfahren, dass dort die Sperrung von USB-Ports und CD-Laufwerken von den Mitarbeitern dadurch umgangen wird, indem sie schlichtweg mit anderen Rechnern arbeiten, die keine Einschränkungen aufweisen und von der lästigen internen Sicherheitsarchitektur kaum befleckt sein dürften.

    Verschlüsselung durch die Virtuelle Poststelle

    Zu VS-Daten, also Verschlusssachen, Personalaktendaten oder „besonderen Arten“ personenbezogener Daten, gibt es zusätzliche Sicherheitshinweise. Diese dürfen zum Beispiel nicht auf Mobiltelefonen gespeichert werden, die ja „systembedingt nur über schwache Sicherheitsmechanismen“ verfügen. Ebenso dürfen sie nicht per SMS [sic] versandt werden; mit speziellen Kryptohandys dürfen zumindest Daten bis zum Verschlussgrad VS-NfD – nur für den Dienstgebrauch – übermittelt werden.

    Auch das sorglose Hin- und Herschicken per Mail ist untersagt. Intern dürfen sie zwar „ohne zusätzliche Sicherungsmaßnahmen“ versandt werden, aber sie müssen, damit man gleich weiß, welche Mails interessant sind, mit dem Hinweis „VS-NfD“ im Betreff gekennzeichnet werden. Auch die Anweisung, dass der Inhalt nur im Anhang – keine Rede von verschlüsseltem Anhang – gesendet werden darf, ist hinsichtlich der Sicherheitssteigerung zumindest fragwürdig.

    Schickt man eine vertrauliche Mail nach außen, wird es kompliziert. Eine Bereitstellung von Ende-zu-Ende-Mailverschlüsselung wäre wohl sinnvoll, immerhin hat das BMI die Entwicklung von „frei verfügbarer Verschlüsselungssoftware für jedermann“ auf Basis von GnuPG gefördert. Aber davon keine Spur, es wird ein bürokratischer Prozess in Gang gesetzt:

    Zum Schutz der Vertraulichkeit des elektronischen Schriftverkehrs ist besonders bei der Kommunikation im Behördenumfeld der Einsatz der sogenannten Virtuellen Poststelle, die an zentraler Stelle die Ver- und Entschlüsselung des externen E‑Mail-Verkehrs automatisiert vornehmen kann, zu empfehlen.

    Eine zentrale Stelle, die ver- und entschlüsselt? Erinnert ein wenig an den Entwurf für De-Mail, bei dem auch der De-Mail-Server für den Schlüssel verantwortlich ist und damit echte Ende-zu-Ende-Verschlüsselung ad Absurdum geführt wird. Aber an diesem Punkt hat die „Arbeitsgemeinschaft De-Mail“ mittlerweile eingelenkt und will ein Browser-Plugin für PGP-Verschlüsselung anbieten.

    Auch von verschlüsselten https-Verbindungen scheint man im BMI nicht viel zu halten. Die werden nämlich „zur Prüfung der übertragenen Daten auf einen eventuell enthaltenen Schadcode“ vor der Firewall des BMI entschlüsselt und wiederverschlüsselt. Das BMI nennt es SSL-Proxy, man könnte es aber auch als per Dekret vertrauenswürdigen „Man-in-the-middle“ bezeichnen. Es wird jedoch zugesichert, dass keine weiteren Protokolldateien anfallen würden, denn sonst könnte man mit Leichtigkeit Online-Passwörter oder sonstige sensible Daten der Mitarbeiter abgreifen.

    VDS im Kleinen

    Keine weiteren Protokolldaten heißt aber auch nur, dass es reguläre Protokolldaten gibt, die gespeichert werden, und zwar im Falle der regulären Internetnutzung maximal sechs Monate und im Fall von E‑Mail- und Fax-Verkehr 90 Tage. Das betrifft Verbindungsdaten, Datum/Uhrzeit, Absender und Empfänger sowie das übertragene Datenvolumen.

    Erinnert an unsere Recherchen zur Bundestags-VDS, nur dass sich dort in der gut verborgenen Dienstvereinbarung zur „Nutzung elektronischer Medien“ wenigstens noch ein Begründungsversuch für die Notwendigkeit der Speicherung finden ließ.

    Was am Rande auch noch sauer aufstößt, ist die Windows-Zentriertheit im Leitfaden. Vorlagen im „Textverarbeitungsprogramm Word“ sind zu nutzen, als Beispielformate sind „MS-Word“ und „MS-Excel“ aufgeführt. Open Source wird nicht mit einem einzigen Wort erwähnt.

    Fazit: Unbefriedigend. Besonders zu kritisieren ist neben der zu vermissenden Zeitgemäßheit die Zwischenschaltung zentraler Ver- und Entschlüsselungsinstanzen, die den Mitarbeitern in vielen Fällen jegliche Möglichkeit zu echter Ende-zu-Ende- und Transport-Verschlüsselung verwehrt.

    von Anna Biselli 2. April 2015 13
  • : Facebook trackt alle, auch mit explizitem Widerspruch
    Facebook trackt alle, auch mit explizitem Widerspruch

    Facebook trackt alle – mit eigenem Account oder ohne, mit Zustimmung oder explizitem Opt-Out. Das haben Nachforschungen der Universität Leuven und der Vrije Universiteit Brüssel ergeben. Die Veröffentlichung ist eine Ergänzung zu den Ergebnissen, die bereits Ende Februar veröffentlicht wurden. Sie beziehen sich auf die viel kritisierten, seit Januar neuen Datenschutzbedingungen von Facebook. Es heißt:

    We collect information when you visit or use third-party websites and apps that use our services (like when they offer our Like button or Facebook Log In or use our measurement and advertising services). This includes information about the websites and apps you visit, your use of our services on those websites and apps, as well as information the developer or publisher of the app or website provides to you or us

    Facebooks Ziel ist ganz klar das Schalten personalisierter Werbung. Über Cookies verfolgt das Soziale Netzwerk, welche anderen Seiten mit Facebooks Social Plugins wie dem Like-Button besucht werden und erstellt so ein Profil über die Interessen eines Nutzers. Datenschutzregelungen in der EU zufolge braucht es dazu die Einwilligung des Nutzers. Bei Facebook fehlt diese und auch ein explizites Widersprechen wie die „Do Not Track“-Einstellung wird ignoriert. Auch Nicht-Facebook-Nutzer und ausgeloggte Nutzer sind nicht von dem Tracking ausgenommen.

    Abhilfe schaffen folgende Empfehlungen des Forschungsteams:

    Q: I’m an end user, how can I easily protect myself against social plug-in tracking?

    A: You may use browser add-ons that block tracking such as:

    Privacy Badger
    Ghostery
    Disconnect

    Q: I’m an online publisher/blogger/webmaster. How can I prevent tracking of my visitors without removing my social plug-ins?

    A: Use Social Share Privacy. In this case, the plug-ins will not connect to the third-party servers of social plug-ins until the user clicks on them.

    Q: I use WordPress/Joomla. Is there a plug-in I can use to enable privacy friendly sharing on my website?

    A: Check the following WordPress and Joomla plug-ins

    2 Click Social Media Buttons for WordPress
    2 Click Social Media Buttons for Joomla!

    von Anna Biselli 31. März 2015 16
  • : Sonderberichterstatter für Privatsphäre in der UN beschlossen – Hoffnung auf Seiten der Zivilgesellschaft
    UN-Sitz in Genf - CC BY-SA 3.0 via wikimedia/Wimox
    Sonderberichterstatter für Privatsphäre in der UN beschlossen – Hoffnung auf Seiten der Zivilgesellschaft

    Deutschland und Brasilien haben mit 55 Unterstützern im der 28. Sitzung des UN-Menschenrechtsrates in Genf die Etablierung eines Sonderberichterstatter für das „Recht auf Privatsphäre“ vorgeschlagen. Die Resolution wurde ohne Abstimmung im Konsensverfahren angenommen. Der Berichterstatter hat zunächst für die nächsten drei Jahre die Aufgabe, einen Bericht über die Lage in den Mitgliedstaaten anzufertigen und Empfehlungen auszusprechen, um die Durchsetzung des Rechts auf Privatsphäre in der digitalen Welt zu sichern. Er soll seine Arbeit schon ab Juni aufnehmen.

    The Council reaffirms the right to privacy, according to which no one shall be subjected to arbitrary or unlawful interference with his or her privacy, family, home or correspondence, and the right to the protection of the law against such interference, as set out in article 12 of the Universal Declaration of Human Rights and article 17 of the International Covenant on Civil and Political Rights; recognizes the global and open nature of the Internet and the rapid advancement in information and communications technology as a driving force in accelerating progress towards development in its various forms; and affirms that the same rights that people have offline must also be protected online, including the right to privacy.

    Der Berichterstatter soll sich nicht nur um die Privatsphäre gegenüber Firmen, sondern auch um staatliche Überwachungspraktiken kümmern. Bürgerrechtsorganisationen weltweit haben die Nachricht positiv aufgenommen und versichern, den Berichterstatter unterstützen zu wollen. Die American Civil Liberties Union sieht einen besonderen Bezug zu den Überwachungspraktiken der USA, die Electronic Frontier Foundation lobt insbesondere, dass ein Sonderberichterstatter eine unabhängige Stelle ist, die nicht zum regulären Personalapparat der UN gehört.

    Die Einsetzung eines Sonderberichterstatters ist ohne Zweifel ein gutes Zeichen, es bleibt aber noch abzuwarten, wer die Stelle einnehmen wird und inwieweit die Nationen, die der Einrichtung des Berichterstatters negativ gegenüberstanden – beispielsweise Südafrika, Bahrein, Saudi Arabien und partiell die USA -, dessen Arbeit zu behindern versuchen werden. Andrew Smith von Article19 ist jedoch optimistisch, dass der Berichterstatter wirksam werden kann: „Das ist viel mehr als eine Geste“, erklärte er gegenüber heise online. Wir hoffen, dass er Recht behält.

    von Anna Biselli 27. März 2015 1
  • : Berlin konkretisiert Schritte zur Einführung von „Predictive Policing“ – Auch Brandenburg interessiert sich
    EIne Analysesoftware wie "Precobs" steigert den polizeilichen Datenhunger. Immer mehr Landeskriminalämter interessieren sich.
    EIne Analysesoftware wie "Precobs" steigert den polizeilichen Datenhunger. Immer mehr Landeskriminalämter interessieren sich.
    Berlin konkretisiert Schritte zur Einführung von „Predictive Policing“ – Auch Brandenburg interessiert sich

    Auch das Land Berlin hat sich die Vorhersagesoftware „Precobs“ vom Institut für musterbasierte Prognosetechnik (IfmPt) vorführen lassen. Dies geht aus der Antwort auf eine Anfrage der Piratenfraktion vor. Demnach war die Firma am 2. März von der Senatsverwaltung für Inneres und Sport zu einer Präsentation eingeladen worden.

    Die Informationsveranstaltung stand im Kontext einer „fortgesetzten Marktschau“ der Berliner Behörde. Die womöglich zu beschaffende Software soll zunächst bei „Wohnraumeinbruch“ genutzt werden, weitere Anwendungsgebiete, darunter Kraftfahrzeug-Diebstahl bzw. Diebstähle aus Fahrzeugen könnten folgen.

    Bayern als Motor für andere Bundesländer

    Denkbar sei der Einsatz grundsätzlich in allen Dienststellen, die sich „mit Aufgaben der Kriminalitätsanalyse und Lageauswertung“ befassen. Konkrete Pläne zur Einführung hege das Landeskriminalamt (LKA) Berlin nach eigener Auskunft noch nicht. Allerdings tauscht die Polizei bereits rege Informationen mit Polizeidienststellen in anderen Bundesländern aus. Entsprechende Absichten waren bislang nur aus Bayern, Nordrhein-Westfalen und Niedersachsen bekannt; nach Medienberichten interessierten sich aber auch Baden-Württemberg und Brandenburg.

    Im vergangenen November waren BeamtInnen des Berliner LKA-Analysezentrums und der Abteilung Verbrechensbekämpfung nach Bayern gereist und hatten sich das dort genutzte „Precobs“ vorführen lassen. Laut dem Senat nahmen an der Veranstaltung auch jeweils ein Vertreter des LKA Brandenburg und des Polizeipräsidiums Potsdam teil.

    Ähnliche Treffen fanden bereits seit 2011 statt. So nahm die Berliner Polizei zwei Mal an der „Europäischen Konferenz für räumliche Kriminalitätsanalyse“ beim LKA Bayern teil. 2012 habe das Thema „Predictive Policing“ dort einen Themenschwerpunkt dargestellt. Anlässlich einer dort durchgeführten „Simulationsstudie“ sei damals auch die Stadtpolizei Zürich eingeladen worden. Auf der Webseite des Herstellers von „Precobs“ wird dies bestätigt, demnach war die Firma aus Oberhausen ebenfalls mit einer Präsentation anwesend. Auch in Zürich kommt „Precobs“ zum Einsatz.

    LfDI hat kein Problem

    Die „Predictive-Policing“-Software generiere laut dem Berliner Senat lediglich „empirische Erkenntnisse“, die sich kaum von „kriminalistischkriminologischen Grundannahmen“ unterschieden. Denn bereits fußten die polizeilichen Maßnahmen auf Kriminalitätsanalyse und Lageauswertung. Ausschlaggebend für eine mögliche Einführung sind vielmehr die „sich technisch ergebenden Möglichkeiten“ effektiver Arbeitsabläufe.

    Ähnlich hatten sich bereits eine Studie des Landeskriminalamtes Niedersachsen geäußert. Demnach sei „Predictive Policing“ eine Weiterentwicklung von Geoinformationssystemen (GIS), die seit rund 20 Jahren bei fast allen westlichen Polizeibehörden weltweit Einzug hielten. Laut der Studie habe das „Crime Mapping“ mit Geoinformationssystemen bereits viele Eigenschaften des „Predictive Policing“. Allerdings hätten die frühen Geoinformationssysteme keine Prognosen erstellen können, da die Rechnerleistung damals schlicht zu gering gewesen sei.

    Vor einer Entscheidung über den Einsatz einer Vorhersagesoftware will Berlin eine „sorgfältige rechtliche Vorbewertung“ unter Beteiligung des Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) vornehmen. Eine Firewall gegen die Einführung der teilautomatisierten Strafverfolgung ist das nicht: Der Bayerische LfDI findet „Precobs“ beispielsweise in Ordnung, solange keine personenbezogenen Daten verarbeitet werden.

    von Matthias Monroy 24. März 2015 4
  • : Live vom EuGH: „Europe vs. Facebook“
    Foto: <a href="https://www.flickr.com/photos/mikecogh/8035396680/sizes/m/">Michael Coghlan</a>, CC BY-SA 2.0
    Live vom EuGH: „Europe vs. Facebook“

    Heute findet die Anhörung vor dem EuGH in der Sache „Europe vs. Facebook“ in Luxemburg statt. Max Schrems twittert live aus dem Gerichtssaal. Der Jurist und Aktivist hatte im vergangenen Jahr beim Handelsgericht Wien eine Zivilklage gegen die irische Tochter des US-Konzerns Facebook eingereicht, die ihren Weg bis nach Luxemburg gemacht hat. Mit seiner freundlichen Genehmigung spiegeln wir seine Tweets.

    von Max Schrems 24. März 2015 1
  • : „Europe vs. Facebook“ am Dienstag vor dem EuGH
    „Europe vs. Facebook“ am Dienstag vor dem EuGH

    Am morgigen Dienstag, 24. März, wird der Gerichtshof der Europäischen Union in Luxemburg eine mündliche Anhörung in der Sache Europe vs. Facebook (pdf), Aktenzeichen C‑362/14, durchführen, die von dem Juristen Max Schrems ins Rollen gebracht wurde.

    Es geht um die Frage, ob große US-amerikanische Konzerne und ihre Tochterunternehmen – in diesem Fall Facebook Ireland Ltd. – im Einklang mit inneramerikanischen Bestimmungen und Gesetzen an der Massenüberwachung europäischer Nutzer im Rahmen des PRISM-Programms mitgewirkt haben und dies gegen EU-Datenschutzregelungen und grundlegende Rechte der Europäer verstößt. Nach einigen Verzögerungen verspricht die Anhörung nun Bewegung in dieser Rechtsfrage.

    Der Fall dürfte über die konkrete Frage in Bezug auf Facebook Ireland Ltd. hinaus interessant sein, denn die NSA-Kooperation und generell das Durchreichen von Nutzerdaten an Geheimdienste wird damit erstmals vor einem hohen europäischen Gericht zum Thema. Das eröffnet zumindest eine Chance, den permanenten Datenabfluss zu stoppen. Zwölf Stellungnahmen sind beim Gericht eingegangen, darunter von sieben EU-Mitgliedsländern, der Europäischen Kommission sowie vom Europäischen Parlament, die in der Anhörung verlesen werden.

    von Constanze 23. März 2015 3
  • Data Analytics: Nürnberger Nahverkehr beendet Pilotprojekt zur Rasterung von Mobilfunk-Vorratsdaten
    Logo der Telekom für das Mobilfunk-Überwachungs-Projekt in Nürnberg.
    Data Analytics Nürnberger Nahverkehr beendet Pilotprojekt zur Rasterung von Mobilfunk-Vorratsdaten

    Die Nürnberger Verkehrsbetriebe haben die Rasterfahnung von Handy-Daten für Verkehrsstatistiken vorerst gestoppt. VAG und Telekom hatten Mobilfunk-Vorratsdaten von 13.000 Menschen gerastert und vermessen – ohne Benachrichtigung oder Opt-In. Laut Telekom war das Verfahren mit der Bundesdatenschutzbeauftragten abgesprochen, die streitet eine konkrete Zusammenarbeit ab.

    von Andre Meister 23. März 2015 12
  • Data Analytics: Deutsche Telekom rastert Mobilfunk-Vorratsdaten zu kommerziellen Zwecken
    Screenshot aus dem <a href="http://tv.telekom.com/index.php/lang/de_DE/embed/9280">Werbe-Video der Telekom</a>.
    Data Analytics Deutsche Telekom rastert Mobilfunk-Vorratsdaten zu kommerziellen Zwecken

    Die Deutsche Telekom macht ihre eigene Vorratsdatenspeicherung, um Mobilfunkdaten ihrer Kunden zu rastern und daraus neue Erkenntnisse zu generieren. In einem ersten Schritt sollen Verkehrsstatistiken den Nahverkehr optimieren, andere Mobilfunkanbieter nutzen und verkaufen diese Daten zu kommerziellen Zwecken. Den Datenschutz will man durch eine angebliche „Anonymisierung“ der Daten realisieren – eine ganze Reihe an Studien hat dessen Wirksamkeit jedoch längst „zerstört“.

    telekom-nuernberg-motionlogic-730

    Die Deutsche Telekom hat zur CeBIT eine Pressemappe veröffentlicht, deren Mitteilungen vor Bullshit-Bingo nur so triefen: Hilfe gegen die digitale Sitzblockade, Wirtschaftswunder 4.0, David gegen Cyber-Goliath, Impulse aus der Cloud.

    Handy-Tracking der Telekom

    Eine ist uns aber besonders ins Auge gestochen: Anonymisierte Mobilfunkdaten helfen Verkehrs-Aktiengesellschaft Nürnberg bei Optimierung des öffentlichen Nahverkehrs.

    In einem Pilotprojekt nutzt die VAG Verkehrs-Aktiengesellschaft Nürnberg als erstes Verkehrsunternehmen Deutschlands anonymisierte Mobilfunkdaten der Deutschen Telekom, um eine bessere Datenbasis zur Optimierung ihres Verkehrsangebots zu erhalten. Die anonymisierten Mobilfunkdaten werden als aggregierte Schwarm- und Massendaten für die Verkehrsstatistik verwendet.

    Dazu gibt es auch ein Werbe-Video (Direktlink):

    Hier klicken, um den Inhalt von tv.telekom.com anzuzeigen.

    Inhalt direkt öffnen

    Verbindungsdaten aussagekräftiger als Inhalte

    Seit Jahren berichten wir darüber, wie aussagekräftig diese Metadaten sind. Unser meistgelesener Artikel im letzten Jahr war: Wie dein unschuldiges Smartphone fast dein ganzes Leben an den Geheimdienst übermittelt. Angeblich harmlose Verbindungsdaten sind in Wahrheit noch aussagekräftiger sind als Kommunikations-Inhalte. Bereits vor zwei Jahren berichteten wir über Studien, die folgende Details aus „Mobilfunkdaten“ extrahieren konnten:

    Einzigartig in der Masse

    Juli 2012: Kaufkraft-Bestimmung durch Geodaten: Wie Mobilfunkbetreiber mit Vorratsdaten Geld verdienen

    Nicht nur der Staat will die Standort- und Verbindungsdaten von Mobilfunk-Kommunikation. Die riesigen Datenberge werden auch ausgewertet, um die Anschlussinhaber in Kategorien einzuteilen – und ihnen anschließend zielgenau Werbung verkaufen zu können.

    September 2012: Dein Telefon weiß, wo du nächsten Sonntag sein wirst

    Aus den Bewegungsdaten eines Mobiltelefons lässt sich errechnen, wo man in Zukunft sein wird – auf bis zu drei Meter genau. Das haben drei britische Informatik-Studenten an einem Datensatz von gerade einmal 25 Freiwilligen demonstriert. Die Forscher wollen Behörden bei der Überwachung helfen – und der Werbewirtschaft.

    März 2013: Aus Mobilfunk-Bewegungsdaten können ganz einfach Einzelpersonen identifiziert werden

    Die Art und Weise, wie sich Menschen bewegen, ist sehr einzigartig. Einem Forscherteam ist es gelungen, Einzelpersonen in großen Datensätzen von Bewegungsdaten zu identifizieren, wie diese von Mobilfunk-Anbietern gespeichert werden. Statt immer weitere Datenberge anzuhäufen, plädieren sie für weitere Forschung, da Bewegungsdaten nur noch wichtiger und aussagekräftiger werden.

    Datenschutz: „Anonymisierung im Hochsicherheits-Rechenzentrum“

    Das weiß auch die Telekom, daher ist sie peinlich darauf bedacht, einen Absatz zum Datenschutz zu liefern:

    Das zugrundeliegende Verfahren zur Anonymisierung der Mobilfunkdaten wurde von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Andrea Voßhoff eingehend geprüft und als datenschutzkonform und rechtlich einwandfrei bewertet. Der Anonymisierungsprozess läuft in einem Hochsicherheits-Rechenzentrum der Deutschen Telekom ab. Eine Weitergabe von personenbezogenen Daten an Dritte findet nicht statt. Die anonymisierten und aggregierten Daten werden ausschließlich an Motionlogic, ein Tochterunternehmen der Deutschen Telekom, übergeben. Motionlogic ist auf Datenanalysen spezialisiert und verfügt über das nötige Know-how, um auf der Basis großer Mengen anonymer Daten belastbare Aussagen über Verkehrs- und Bewegungsströme zu erstellen.

    2009: „Glauben in Datenschutz durch Anonymisierung zerstört“

    Ebenfalls bereits 2012 berichteten wir:

    Eine nicht umkehrbare Anonymisierung wird im Zeitalter von „Big Data“ immer schwieriger. Bereits in den Neunziger Jahren gelang es Forschern, aus einem „anonymisierten“ Datensatz mit Krankendaten die Krankenakte des Gouverneurs von Massachusetts herauszufinden, der vorher Anonymität versicherte. Vor fünf Jahren haben Forscher der Universität Texas die Anonymisierung eines ganzen Datensatzes von Netflix gebrochen und rückgängig gemacht. Die Studien zum Thema De-Anomisierung häufen sich:

    Informatiker haben unseren Glauben in den Schutz des Datenschutzes durch Anonymisierung, also den Schutz der Privatsphäre durch das Entfernen von persönlichen Informationen wie Namen oder Sozialversicherungsnummer in großen Datensätzen, zerstört. Diese Wissenschaftler haben gezeigt, dass sie Einzelpersonen oft mit erstaunlicher Leichtigkeit aus anonymen Datensätzen „re-identifizieren“ oder „de-anonymisieren“ können.

    Auch die Königliche Gesellschaft Großbritanniens kam kürzlich in einem Bericht Science as an open enterprise zum Schluss:

    In der Vergangenheit wurde davon ausgegangen, dass die Privatsphäre von Menschen in Datensätzen durch Prozesse der Anonymisierung, wie der Entfernung von Namen oder Anschrift, geschützt werden könnte. Allerdings haben eine beträchtliche Menge an Studien in der Informatik nun gezeigt, dass die Sicherheit von persönlichen Daten in Datenbanken durch Anonymisierung nicht garantiert werden kann, wenn aktiv nach Identitäten gesucht wird.

    Opt-Out, aber nicht vollständig

    sensenetworks-3Als wäre das nicht schon pikant genug, schreibt die Telekom direkt hinterher:

    Die Datenanalysen können mit drei zusätzlichen, ebenfalls anonymisierten Informationen zu Kunden – sogenannten CRM-Daten – ergänzt werden: Geschlecht, Altersgruppe in 10-Jahresschritten und Heimatregion. Für Verkehrsunternehmen beispielsweise kann diese Datenkombination hilfreich sein, um besser zu verstehen, welche Kundengruppen wann und wo am Verkehr teilnehmen und darauf basierend neue Angebote zu entwickeln.

    Immerhin bietet man ein Opt-Out an, aber nicht für die Rasterfahndung an sich, sondern nur für die Nutzung dieser zusätzlichen Datentypen:

    Den Kunden wird bis zum 01.06.2015 unter www.telekom.de/opt-out und 0800/0005608 ein „Ausschaltknopf“ zur Verfügung stehen. Damit können sie die Verwendung der drei einzigen persönlichen Daten im Modell der Deutschen Telekom – Geschlecht, Altersgruppe und Postleitzahl – abstellen.

    Viele Fragen bleiben

    Wir haben folgende Fragen an die Telekom gestellt:

    1. Welche einzelnen Datentypen werden in diesem Verfahren verwendet?
    2. Wie funktioniert die Anonymisierung genau?
    3. Wie wird eine De-Anonymisierung ausgeschlossen?
    4. Welche Datensätze werden an Motionlogic übermittelt?
    5. Wie erstellt Motionlogic Aussagen aus diesen Daten?
    6. Wie lange werden diese Daten bei Telekom und Motionlogic gespeichert?
    7. Warum gilt das Opt-Out nur für die CRM-Daten, nicht generell?
    8. Wurden Telekom-Datenschutzbeauftragter, Datenschutzbeirat und Compliance-Management involviert?
    9. Wie viel Geld zahlt die Verkehrs-Aktiengesellschaft Nürnberg dafür?

    Zudem haben wir „sämtliche Dokumente zum Verfahren zur Anonymisierung der Mobilfunkdaten der Telekom“ bei der Bundesdatenschutzbeauftragten auf FragDenStaat.de angefragt.

    Wir werden die Antworten nachtragen.

    von Andre Meister 17. März 2015 30
  • : Vorratsdatenspeicherung in den Niederlanden erstmal gekippt
    Bei Bits of Freedom wird das Urteil gefeiert.
    Vorratsdatenspeicherung in den Niederlanden erstmal gekippt

    Gratulation, die nationale Umsetzung der Vorratsdatenspeicherung in den Niederlanden ist tot! Das hat das Gericht Den Haag heute beschlossen. Die Klage war von verschiedenen niederländischen NGOs und einem Internetservice-Provider ausgegangen, darunter Bits of Freedom und Privacy First. Bisher mussten niederländische ISPs Verkehrsdaten für ein Jahr speichern. Diese Regelung wurde von dem niederländischen Datenschutzbeauftragten, NGOs und ISPs gleichermaßen viel kritisiert, nach dem Urteil des Europäischen Gerichtshofes vor fast einem Jahr hatten viele andere europäische Staaten ihre nationalen Vorratsdatenspeicherungsregelungen für ungültig erklärt.

    Ein Anwalt im Verfahren, Otto Volgenant, kommentiert das Urteil:

    Die Entscheidung ist keine Überraschung. Die niederländische Gesetzgebung hat dem Europarecht widersprochen. Es wäre besser gewesen, wenn das Kabinett die Regelung von sich aus angepasst hätte. Aber wenn die Regelungen bestehenbleiben, kann das Gericht eben eingreifen, so läuft das in einem Rechtsstaat. Es ist ein Sieg für Journalisten und Anwälte, die sich auf die Vertraulichkeit ihrer Kommunikation verlassen müssen. Und vor allem ist es ein Sieg für die Privatsphäre aller Bürger.

    Böhre Vincent von Privacy First:

    Es passiert nur sehr selten, dass ein Richter ein Gesetz für ungültig erklärt. Das ist eine ungemein wichtige Entscheidung und gibt den Ton für die Debatte in der Zweiten Kammer vor.

    Denn trotz aller positiver Signalwirkung: Ganz vom Tisch ist die Vorratsdatenspeicherung in den Niederlanden noch nicht. Im Februar hatte sich der Minister für Sicherheit und Justiz noch für die Notwendigkeit einer Vorratsdatenspeicherung ausgesprochen. Zufälligerweise ist der aber seit gestern nicht mehr im Amt: Er ist wegen Verwicklungen in einen Drogenschmuggelskandal von seinem Amt zurückgetreten.

    von Anna Biselli 11. März 2015 8
  • : EU-Datenschutzreform: Datenschlussverkauf in Brüssel
    EU-Datenschutzreform: Datenschlussverkauf in Brüssel

    In Brüssel tobt seit Jahren ein erbitterter Kampf um die geplante EU-Datenschutzverordnung. Das Team von LobbyPlag hat über 10.000 Seiten interner Dokumente in die Hände bekommen, aus denen hervorgeht, wie das ambitionierte Datenschutz-Projekt in den vergangenen Jahren zerschossen wurde. Allen voran durch eine Nation, von der man das wohl am wenigsten erwartet hätte…

    Dieser Beitrag „EU-Datenschutzreform: Datenschlussverkauf in Brüssel“ von Richard Gutjahr ist zuerst in seinem Blog erschienen und wurde mit freundlicher Genehmigung hier gespiegelt.

    dataleaks

    Was bisher geschah

    Vor zwei Jahren hatten wir mit LobbyPlag den Färbetest gemacht: Mithilfe einer Datenbank aus Lobbypapieren konnten wir nachweisen, dass unzählige Gesetzvorlagen zur geplanten Datenschutzreform gar nicht von Parlamentariern, sondern von der Industrie und Lobbyverbänden geschrieben worden sind. Ganze Absätze wurden von unserern Volksvertretern per Copy & Paste übernommen und unter eigenem Namen in das Gesetzgebungsverfahren aufgenommen (Presseberichte Teil 1 und Teil 2).

    Nachdem EU-Kommission (2012) und Parlament (2014) ihre Vorschläge eingebracht haben, ist nun der Rat, also die EU-Mitgliedsländer an der Reihe, seine Änderungswünsche vorzubringen. Und die haben es in sich: Aus über 10.000 Seiten zum Teil interner Berichte lässt sich rekonstruieren, wie einzelne EU-Länder den Datenschutz ihrer Bürger Stück für Stück den Interessen großer IT-Unternehmen und Datenhändlern geopfert haben.

    LegitimesInteresseDE

    Bei der Analyse der entscheidenden drei Kapitel hat LobbyPlag feststellen müssen, dass 132 der 151 (87%) Änderungsanträge durch den EU-Rat das Datenschutzniveau gesenkt haben, 40 davon (26%) fielen sogar unter das Datenschutzniveau von vor 1995 zurück. Lediglich 19 (13%) Vorschläge führten zu einer Verschärfung des Datenschutzes.

    Angela Merkel:

    „Wir müssen durchsetzen, dass es keine qualitativen Abstriche von unseren Standards gibt, sondern ein qualitativ hochwertiger gemeinsamer anspruchsvoller EU-Datenschutzstandard entsteht, der für uns von hohem Wert wäre.“

    Die Mär vom Datenschutz aus Deutschland

    Vor allem ein EU-Land taucht eher unerwartet in den Unterlagen immer wieder auf, wenn es um die Absenkung des Datenschutzniveaus geht: Deutschland. Entgegen öffentlicher Bekenntnisse für einen starken Datenschutz „Made in Germany“, sind es gerade die Eingaben deutscher Ministerien, die unter Verbraucherschützern in Brüssel für Kopfschütteln sorgen. Das geht aus den rund 500 Seiten geheimer deutscher Cables („Drahtberichte“) zwischen Brüssel und Berlin unmissverständlich hervor.

    ZweckbindungLobbyPlagDEU

    So soll auf Wunsch Deutschlands etwa die Zweckbindung der Datenerhebung entfallen. Auch die Speicherung und Weitergabe von Daten soll in Zukunft relativ problemlos möglich sein. Wenn es um unsere Grundrechte geht, macht sich Deutschland gar für eine Selbstregulierung durch die Datensammler stark. Also das exakte Gegenteil von dem, was im Koalitionsvertrag steht und was deutsche Minister und die Bundeskanzlerin gerne vollmundig in BILD und Tagesschau behaupten.

    Aus dem Koalitionsvertrag CDU, CSU, SPD, S. 104

    „(…) Die Grundsätze der Zweckbindung, der Datensparsamkeit und -sicherheit, der Einwilligungsvorbehalt, das Recht auf Löschen und das Recht auf Datenportabilität müssen in der Verordnung gewahrt bleiben. (…)“

    SensitiveLobbyPlagDEU

    Geheimverhandlungen im Hinterzimmer

    Möglich ist dieser Unterschied zwischen „Sein und Schein“, weil die Verhandlungen der sogenannten „DAPIX“-Gruppe geheim stattfinden. In einem Hinterzimmer in Brüssel sägen die Beamten der 31 Mitgliedsstaaten von EU und EWR ohne öffentliche Kontrolle an unseren Grundrechten. Neben Deutschland sind hier vor allem Großbritannien und Irland zu erwähnen, die das Datenschutz-Niveau innerhalb der EU deutlich absenken wollen. Aktive Gegenwehr betreibt vor allem Ungarn, Österreich, sowie die EU-Kommission.

    Wir von LobbyPlag möchten dabei helfen hier für Transparenz zu sorgen, die wesentlichen Änderungsanträge zu identifizieren und einzelnen Ländern und Ministern zuzuordnen. Weil die Zeit drängt und die wichtigsten Entscheidungen des EU-Rates in den kommenden Tagen fallen, haben wir uns bei unserer Analyse auf die wesentlichen Kapitel (I bis III) des Gesetzesvorhabens konzentriert.

    lobbyplag2
    Die neue LobbyPlag-Datenbank zeigt alle von den EU-Ländern eingebrachten Änderungsanträge.

    Bei der EU-Datenschutzrefom handelt es sich eine der größten Gesetzesreformen seit Bestehen des Staatenbundes. Ein Projekt, das die Privatsphäre von rund 500 Millionen Bürgern betrifft und damit die Spielregeln für die digitale Zukunft unserer Gesellschaft definiert. Dabei geht es nicht nur um Konsumentenrechte, sondern um unsere Grundrechte gegenüber dem Staat, denn die neue Datenschutz-Verordnung regelt auch die staatliche Datenverwendung.

    Thomas de Maizière, Bundesinnenminister:

    „Das Internet ist ein Raum zur freien Persönlichkeitsentfaltung und genießt damit besonderen Schutz. (…) Privatsphäre ist im digitalen Zeitalter wichtiger denn je.“

    DatenbergeLobbyPlagDEU

    Fazit

    Zusammenfassend lässt sich sagen: Die unzähligen Änderungen, von der Erfassung, über die Verarbeitung, von der Analyse bis zur Weitergabe von Daten, senkt den Datenschutz in Europa auf ein Niveau, das zum Teil sogar noch unter die Regelung von 1995 zurückfällt. Big Data würde demnach nicht reguliert, sondern viel mehr Tür und Tor geöffnet.

    ProfilingLobbyPlagDE

    Es ist wichtig, dieses mächtige Gesetzesprojekt nicht allein den Politikern und den Lobbyisten im fernen Brüssel zu überlassen, sondern möglichst breit und transparent in aller Öffentlichkeit zu diskutieren.

    Wir hoffen, dass wir mit den Datenschutz-Leaks einen Beitrag zu dieser Diskussion leisten können.

    EnterLobbyPlag
    Die neue LobbyPlag-Datenbank – alle Länder, alle verantw. Minister, alle Original-Dokumente zur Einsicht

    von Markus Beckedahl 10. März 2015 4
  • : Besorgte Reaktionen auf Leaks zur EU-Datenschutzreform
    Artikel aus dem aktuellen Spiegel.
    Besorgte Reaktionen auf Leaks zur EU-Datenschutzreform

    In der vergangenen Woche haben European Digital Rights und andere Bürgerrechtsorganisationen Dokumente zum aktuellen Verhandlungsstand der EU-Datenschutzverordnung veröffentlicht (wir berichteten). Im Mittelpunkt des Interesses steht dabei das Dokument (PDF) mit den Positionen der Mitgliedsstaaten zu den Grundsätzen der Datenverarbeitung, d.h. wer darf in welchem Umfang welche Daten verarbeiten. Eine ganze Reihe von Datenschützern hat sich besorgt über die Formulierungen darin geäußert. Besonders pikant aus deutscher Sicht ist, dass die Bundesregierung am Prinzip der Zweckbindung, dem Grundpfeiler des Datenschutzes, rüttelt.

    Beunruhigte Datenschützer

    Alexander Sander vom Digitale Gesellschaft e.V. warnt vor einem Verstoß gegen die Europäische Grundrechtecharta:

    Diese Aufhebung der sogenannten Zweckbindung stellt einen klaren Verstoß gegen das Grundrecht auf informationelle Selbstbestimmung und die europäische Grundrechtecharta dar. Die Zielsetzung der europäischen Datenschutzreform, einen angemessenen Datenschutz auch im Internetzeitalter zu ermöglichen, wird unter deutscher Mitwirkung ins Gegenteil verkehrt. Deutschland opfert den Datenschutz dubiosen Geschäftsmodellen.

    (Lesenswert zum Verhältnis von Zweckbindung und Europäischer Grundrechtecharta ist auch Max Schrems’ Analyse.)

    Klaus Müller vom Verbraucherzentrale Bundesverband (vzbv) mahnt die Einhaltung des Koalitionsvertrages an:

    Sollten die Prinzipien der Zweckbindung und der Datensparsamkeit fallen, ist das ein Ausverkauf des Datenschutzes. Das Prinzip der Zweckbindung ist einer der Grundpfeiler des Datenschutzes und in der EU-Grundrechtecharta festgeschrieben. Bundesinnenminister de Maizière und Bundesjustizminister Maas müssen diesen Vorschlägen im Rat vehement entgegentreten.

    In diesem Sinne findet auch Gerold Reichenbach, für den Datenschutz zuständiger Berichterstatter der SPD-Bundestagsfraktion, deutliche Worte:

    Wir erwarten, dass die Bundesregierung allen Versuchen im Rat entgegentritt, Grundprinzipien des Datenschutzes zu Lasten der Nutzer und Verbraucher aufzuweichen. Wir haben im Koalitionsvertrag vereinbart, dass die Grundsätze der Zweckbindung, der Datensparsamkeit und der Einwilligungsvorbehalt in der Verordnung gewahrt bleiben müssen. Die nun auf dem Tisch liegenden Änderungswünsche zu diesen in der Verordnung enthaltenen Grundsätzen widersprechen dem absolut.

    Jan Philipp Albrecht (Grüne/EFA), Berichterstatter des Europäischen Parlaments für die Datenschutzgrundverordnung, kommentiert gegenüber dem Tagesspiegel:

    Die Entwürfe des Rates übertreten eindeutig die rote Linie von Europäischem Parlament und EU-Kommission.

    Schließlich zeigen sich auch mehrere Datenschutzbeauftragte besorgt. Deutschlands oberste Datenschützerin, Andrea Voßhoff (CDU), kritisiert die eigene Partei indirekt im Tagesspiegel:

    Insbesondere darf das wichtige Prinzip der Zweckbindung nicht ausgehöhlt werden.

    Ulrich Lepper, Landesdatenschutzbeauftragter von Nordrhein-Westfalen, sorgt sich nicht erst seit den aktuellen Leaks:

    Wichtige Prinzipien dürfen bei allem Zeit- und Verhandlungsdruck nicht über Bord gehen. Entwicklungen zum Abbau von Datenschutz sehe ich schon seit langem mit Sorge.

    Alexander Dix, Berliner Beauftragter für Datenschutz und Informationsfreiheit ist

    höchst beunruhigt, was die Zweckbindung anbelangt.

    In einem Artikel der Irish Times fügt selbiger hinzu:

    There appears to be a gap between what German officials say and what is now happening at working group level.

    Die Irish Times zitiert aus Brüsseler Verhandlerkreisen, dass der Eindruck einer wirtschaftsfreundlich verhandelnden Bundesregierung keine Paranoia hiesiger Datenschützer zu sein scheint:

    Let’s just put it this way: Germany has a thriving market economy with big companies that all want freedom to process data,” said the senior negotiator, who asked not to be named.

    Zwischentöne: Falscher Alarmismus?

    IT-Law-Anwalt und Blogger Thomas Stadler kritisiert die seiner Meinung nach „alarmistische Berichterstattung“ zu den Leaks. Er weist daraufhin, dass sich ähnliche Formulierungen zum Zweckbindungsgrundsatz, wie sie jetzt kritisiert würden, auch im Bundesdatenschutzgesetz fänden. Mit diesem Argument rechtfertigt die deutsche Bundesregierung ihre Verhandlungsposition, wie in der aktuellen Ausgabe des SPIEGEL zu lesen ist (leider noch hinter einer Bezahlschranke):

    Ein Sprecher des Innenministeriums bestreitet, dass bestimmte Interessengruppen „in unangemessener Weise berücksichtigt werden“. Die Bundesregierung habe sich in Brüssel stets für den Status quo des Bundesdatenschutzgesetzes eingesetzt.

    Lesenswert ist in diesem Zusammenhang die Twitter-Diskussion zwischen Max Schrems, Kopf hinter der Initiative Europe vs. Facebook und Winfried Veil, Mitarbeiter der Projektgruppe „Reform des Datenschutzes in Deutschland und Europa“ im verhandlungsführenden Innenministerium:

    In diesem Fenster soll ein Twitter-Post wiedergeben werden. Hierbei fließen personenbezogene Daten von Dir an Twitter. Aus technischen Gründen muss zum Beispiel Deine IP-Adresse übermittelt werden. Twitter nutzt die Möglichkeit jedoch auch, um Dein Nutzungsverhalten mithilfe von Cookies oder anderen Tracking-Technologien zu Marktforschungs- und Marketingzwecken zu analysieren.

    Wir verhindern mit dem WordPress-Plugin „Embed Privacy“ einen Abfluss deiner Daten an Twitter so lange, bis Du aktiv auf diesen Hinweis klickst. Technisch gesehen wird der Inhalt erst nach dem Klick eingebunden. Twitter betrachtet Deinen Klick als Einwilligung in die Nutzung deiner Daten. Weitere Informationen stellt Twitter hoffentlich in der Datenschutzerklärung bereit.

    Zur Datenschutzerklärung von Twitter

    Zur Datenschutzerklärung von netzpolitik.org

    Erfahre mehr in der Datenschutzerklärung von X.

    tweet direkt öffnen

    Angesichts der Vielzahl besorgter kompetenter Stimmen (siehe oben), erscheint es verkürzt, die Kritik an der Bundesregierung als Panikmache abzutun. Und unabhängig davon, ob die Bundesregierung tatsächlich 1:1 Regelungen aus dem Bundesdatenschutzgesetz in die Verordnung einschreibt, was wohl einer genaueren juristischen Prüfung bedürfte, ist der vorliegende Verhandlungstext inakzeptabel. Gefälligkeiten für Wirtschaftsauskunfteien, Direktvermarkter und Verlage können im Big-Data-Zeitalter wesentlich weitreichendere Konsequenzen haben.

    Ende der Woche wollen die EU-Innen- und Justizminister das umstrittene Kapitel 2 der Datenschutzverordnung verabschieden. Aus Brüssel heißt es, dass die Kontroverse um die Leaks bereits für Diskussionen um nochmaligen Änderungsbedarf am zweiten Kapitel gesorgt hat. In puncto Zweckbindung liegt die Lösung auf der Hand: Wie empfohlen von Europas obersten Datenschutzgremien, dem Europäischen Datenschutzbeauftragten (PDF, S. 5) und der Artikel-29-Datenschutzgruppe (PDF, S. 37), sollte der Rat den umstrittenen Artikel 6(4) streichen und damit die Zweckbindung wahren. Das ist auch die Position, die das Europäische Parlament in seiner ersten Lesung zur Datenschutzverordnung verabschiedet hat.

    von Benjamin Bergemann 9. März 2015