Datenschutz
-
: Spiegel analysiert Lobby-Mail-Verkehr des Innenministeriums zur EU-Datenschutzreform: Freundliches „Du“ und kurze Wege.
Guter bekannter im Lobby-Geschäft: Peter Bisa - CC BY-SA via cducsu.de : Spiegel analysiert Lobby-Mail-Verkehr des Innenministeriums zur EU-Datenschutzreform: Freundliches „Du“ und kurze Wege. Die aktuelle Ausgabe des Spiegel berichtet darüber, wie Lobbyisten im Bundesinnenministerium versuchen, Deutschlands Position zur EU-Datenschutzreform zu beeinflussen und gegen starken Datenschutz zu argumentieren. Prominent in seinen Bemühungen hervorgehoben wird Peter Bisa, „Vorstand des Expertenkreises Internet und Digitale Gesellschaft des Wirtschaftsrat der CDU“.
Die Erkenntnisse des Spiegel stammen aus Informationsfreiheitsanfragen, die Mailverkehre zwischen Lobbyisten und Beamten des Innenministeriums offenlegen. Der Ton der E‑Mails – vertraut. Die Kommunikation direkt. „Liebe Mitstreiter“ lauten Anreden, das „Du“ bestimmt den Umgangston. Die Wege sind kurz, vor Sitzungen wird nochmal schnell um die Meinung von Firmenvertretern gebeten, zu denen man freundliche Beziehungen pflegt.
Das Ziel der Lobbyisten: Eine Aufweichung des im ursprünglichen Vorschlag angepeilten Datenschutz-Niveaus. Eine Schwächung des Zweckbindungsgrundsatzes beispielsweise, der es erschweren würde, Daten für Ziele weiterzuverarbeiten, in die der Kunde ursprünglich nicht eingewilligt hat. Ähnliches ließ sich auch in der Sitzung des Ausschusses für die Digitale Agenda in dieser Woche von einem Vertreter des Bundesverbandes Deutsche Start-ups hören.
Vorschläge von Firmenvertretern oder Branchenverbänden gehen oftmals ungefiltert in Gesetzesentwürfe bzw. die jeweiligen Länderpositionen ein. Das Prinzip kennen wir bereits aus den bisherigen Verhandlungen zur EU-Datenschutz – Lobby&Paste könnte man die traurige Praxis nennen und die Plattform Lobbyplag hat es sich zur Aufgabe gemacht, mehr Licht in den Lobbydschungel und die Änderungsanträge während der Verhandlungen im EU-Parlament zu bringen.
Letztlich war der vom EU-Parlament abgestimmte Entwurf jedoch weniger schlimm als durch die massive Lobbyschlacht zu befürchten, der Zweckbindungsansatz blieb bestehen. In den letzten Leaks zur Datenschutzreform bei den Verhandlungen im Rat der Innen- und Justizminister sieht es jedoch düster aus. Die Dapix-Gruppe sägt unter anderem am Zweckbindungsansatz, arbeitet an der Aufweichung durch „legitimes Interesse“ der Datenverarbeitung und will Informationspflichten senken.
Wir sehen: Regierung und Kommission hören zu, wenn die Wirtschaftlobbyisten flüstern. Bei den Vertretern der Zivilgesellschaft sieht das leider meist anders aus.
-
: Ausschuss für Digitale Agenda zu Datenschutz im Mittelstand: Wettbewerbsvorteil oder Hindernis?
: Ausschuss für Digitale Agenda zu Datenschutz im Mittelstand: Wettbewerbsvorteil oder Hindernis? Gestern fand ein öffentliches Fachgespräch des Ausschusses für die Digitale Agenda im Bundestag statt. Thema: „Start-ups, Mittelstand und Datenschutz in der digitalen Welt“. Zu Gast waren unsere Bundesdatenschutzbeauftragte Andrea Voßhoff, Sascha Schubert vom Bundesverband Deutsche Start-ups, Stephan Noller, Geschäftsführer einer Targeting-Plattform, Hermann Weiß von naturtrip.org und Dean Ceulic von Posteo.
Datenschutz Wettbewerbsvorteil oder Hemmnis?
Eines der dominanten Themen im Gespräch war die Frage, ob Datenschutz einen Vor- oder Nachteil für die Wettbewerbsfähigkeit deutscher Unternehmen darstellt. Die Meinungen unter den Gästen gingen auseinander. Voßhoff argumentierte sowohl in ihrem Eingangsstatement als auch im weiteren Verlauf der Diskussion immer wieder dafür, dass Datenschutz kein „beliebiges“ Thema sei, sondern Grundrechtsschutz. Daher sei es nicht nur ein Innovationshemmnis. Das Bewusstsein für Datenschutzproblematiken wachse bei den Nutzern und damit auch der potentielle Marktvorteil, auch wenn das noch nicht immer „in der Kasse ankommt“. Ein Unternehmen, bei dem Datenschutz als Geschäftsmodell funktioniert ist Posteo, Ceulic betonte im Verlauf des Gesprächs auch immer wieder, dass man bewusst nach alternativen Geschäftsmodellen schauen müsse und eben nicht nur darauf, Daten „schöner und schneller“ verarbeiten zu können. Uns gegenüber kommentierte Posteo zusätzlich:
Die strengeren europäischen Rahmenbedingungen im Bereich des Datenschutzes stehen der Wirtschaft auch nicht im Wege. Im Gegenteil: Europäische Unternehmen haben die Chance, die strengeren Regelungen zum Datenschutz für sich zu nutzen und sich mit anspruchsvollen Datenschutzkonzepten von Mitbewerbern, zum Beispiel aus dem US-amerikanischen Raum, abzusetzen.
Eine Mittelposition nahm in der Wettbewerbsfrage Noller ein. Er bestätigte, dass man mit starkem Datenschutz wettbewerbsfähig sein könne, erwähnte jedoch auch, dass sich mitunter Potentiale für wirtschaftliches Wachstum in Daten verstecken würden, die bei der Erhebung noch nicht ersichtlich seien. Dafür sei es wichtig, die Verarbeitung anonymisierter und pseudonymisierter Daten ohne Opt-In zuzulassen, anders als bisher in der EU-Datenschutzgrundverordnung vorgesehen. Big Data brauche einen flexibleren Umgang, von Zweckbindung müsse man in gewissen Fällen abrücken.
Ganz egal schien die Frage nach mehr oder weniger Datenschutz Weiß von naturtrip.org zu sein, er verlässt sich wohl blind auf den Markt:
Mehr oder weniger Datenschutz? Man kanns nicht wissen. Das Gesetz schafft nur die Rahmenbedingungen. Der Wirtschaft selber ist das egal. Die ist halt ethisch ziemlich neutral. Die macht halt da ihre Geschäfte, wo’s Geschäfte zu machen gibt.
Auch sonst redete er eher davon, dass sein Unternehmen immer noch nicht die Fahrplandaten der Deutschen Bahn bekäme und trug wenig Konstruktives zu der eigentlichen Debatte um Personendaten bei. Eine Vermischung von offenen, allgemeinen und personenbezogenen Daten, die auch an anderen Punkten des Gesprächs immer wieder auftauchte, wie Ceulic anmerkte.
Schubert von Bundesverband Deutsche Start-ups argumentierte immer wieder, dass die Nutzer Datenschutz nicht derartig wichtig fänden, dass ein Wettbewerbsvorteil entstünde. Amerikanische Unternehmen seien aufgrund der lockeren Bestimmungen im Vorteil. Man müsse die Erkenntnisse nutzen können, die „in den Daten schlummern“ und besser Werbung machen können, indem man Nutzerverhalten auswertet. Daher würden auch immer mehr europäische und deutsche Start-ups in die USA abwandern. Freiheit „bedeutet eben auch, dass man einfach mal loslegen kann“. Der ein oder andere entscheide sich daher für die USA, wo man weniger Probleme habe.
Datenschutzbedingungen sei einer der Punkte, die Europa daran hinderten, digitale Weltmarktführer zu werden:
[Das ist] wie mit einem Zahnstocher da hin zu gehen, wo man eigentlich einen Hammer braucht
Opt-In und Transparenz
Weiteres Thema, das immer wieder aufkam, war die Frage nach der Einwilligung in die Datenverarbeitung, beziehungsweise in die Datenschutzbestimmungen eines Unternehmens generell. Thomas Jarzombek von der CDU/CSU-Fraktion fragte, ob bekannt sei, wie viele Menschen überhaupt Datenschutzbestimmungen lesen würden und ob demnach Zustimmung überhaupt ein relevantes Prinzip sei. Voßhoff kommentierte darauf, dass die Anzahl derer, die wirklich lesen, in was sie einwilligen, vermutlich sehr gering sei und es daher nicht ausreiche, eine Zustimmung einzuholen. Die Information über die Bestimmungen müsse so transparent und umfassend sein, dass auch verstanden werden könne, was sich hinter den Datenschutzbestimmungen verbirgt.
Schubert argumentierte gegen die Einführung eines Opt-Ins bei pseudonymisierten Daten. Bisher habe das deutsche Gesetz „Incentives“, denn pseudonyme Daten seien unkritischer und können einfacher verarbeitet werden. Mit der EU-Datenschutzgrundverordnung würden diese wegfallen, denn der Datenverarbeiter müsse pseudonymisieren und damit seine Daten „schwächen“, gleichzeitig aber immer noch die Zustimmung einholen. Dabei verkennt Schubert, dass die Pseudonymität von Daten an sich bereits ein kritischer Punkt ist. Denn gerade mit den Datenbergen von Big Data ist es oftmals nicht besonders schwierig, durch die Korrelierung verschiedener pseudonymer Daten auf die ursprüngliche Identität des Datensubjekts zu schließen. Und damit nachträglich wieder einen Personenbezug herzustellen.
Safe Harbor
Wenn es um Datenschutz beim Datenaustausch mit den USA geht, ist das Thema Safe Harbor nicht weit. Die Vereinbarung, die eigentlich dazu dienen sollte, europäische Datenschutzstandards für europäische Bürger auch bei der Verarbeitung durch US-Unternehmen zu gewährleisten, kann als gescheitert betrachtet werden. Die EU-Kommission kündigte daher bereits Anfang 2014 an, über eine Revision oder Aufhebung der Vereinbarung zu entscheiden. Bisher ist nichts passiert, das kritisierte vor allem Voßhoff, die Kommission müsse hier deutlich mehr Druck machen. Ceulic bekräftigte, dass Safe Harbor „ein großes Loch in Bemühungen um Datenschutz“ reiße. Doch nicht nur die EU sollte sich deutlicher positionieren, auch von deutscher Seite ist wenig zum dem Thema passiert. Schubert zitierte einen Beamten des Innenministeriums auf die Frage, ob ein Canceln der Einigung geplant sei mit einem „klaren Nein“.
EU-Datenschutzgrundverordnung
Die konkreten Bedingungen an den Datenschutz bei deutschen und europäischen Unternehmen werden in Zukunft durch die kommende EU-Datenschutzgrundverordnung festgelegt sein, daher stand auch sie immer wieder im Mittelpunkt der Kommentare. Dass eine Harmonisierung des europäischen Rechtsrahmens notwendig ist, darin waren sich die Sachverständigen im Wesentlichen einig. Voßhoff kommentierte, dass die lange blockierten Verhandlungen nun „in positivem Sinne Fahrt aufgenommen hätten“. Dennoch, die kürzlich geleakten Papiere zu geplanten Aufweichungen von Datenschutzstandards bei den Diskussionen Rat für Jusitz und Inneres der EU geben Grund zur Sorge. Die geplanten Änderungen müssten daher beim Trilog in der Öffentlichkeit thematisiert werden.
Fazit
Insgesamt enthielt das Gespräch gute Punkte, vor allem die weitgehende Einigkeit, dass ein einheitlicher Rechtsrahmen notwendig ist. Unsere sonst so unsichtbare Bundesdatenschutzbeauftragte äußerte sich angenehm klar dafür, dass Datenschutz durchaus ein Wettbewerbsvorteil sein kann und diesen nicht etwa hemmt. Das stieß auf weitgehende Zustimmung. Nur Schubert argumentierte immer wieder destruktiv, dass man mit europäischen Datenschutzstandards zwangsläufig gegen US-Unternehmen verliere.
Leider wurden von den CDU/CSU-Vertretern primär die Aspekte aus der Debatte herausgepickt, die für weniger Datenschutz sprechen und weiter verdreht. So deklariert Nadine Schön in ihrer Pressemitteilung Opt-In als Datenschutzrisiko:
Auch ist zu bedenken, dass mit Opt-in basierten Geschäftsmodellen auch kritischere, weil personenbezogene Datensätze generiert werden, die bei Hacking größere Probleme verursachen können als pseudonomisierte und anonymisierte Datensätze.
Unterm Strich ist also eine generelle opt-in-Lösung innovations- und datenschutzfeindlich.
Und auch Thomas Jarzombek glänzt auf Twitter durch die Wirtschaftsbrille:
Fachgespräch im #btAda zeigt, dass Datenschutz große Hürde für Startups sein kann. Opt-in und Datensparsamkeit Prinzipien von gestern.
Dem kann man nur mit dem Kommentar von @JoernPL, Mitarbeiter von Konstantin von Notz im Bundestag, begegnen:
@tj_tweets in Schlussstatements haben 4 von 5 Sachverständigen, darunter #BfDi, exakte Gegenteil gesagt. Aber: Nice try ;) #btADA
Offenlegung: Posteo gehört zu unseren regelmäßigen Spendern. Das hat keine Auswirkungen auf unsere Berichterstattung, wir weisen aber aus Transparenzgründen gerne daraufhin.
-
: Studie: Anonyme Nutzung von Smart-TVs kaum möglich
Quelle: BayLDA : Studie: Anonyme Nutzung von Smart-TVs kaum möglich Im Februar haben wir über die Datenschutzbestimmungen von Samsung berichtet, in denen davor gewarnt wurde nichts Privates in Anwesenheit von Smart-TVs zu sagen, wenn man die Sprachsteuerung nutzt. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nun im Rahmen einer bundesweiten Prüfaktion Smart-TVs von 13 Herstellern hinsichtlich datenschutzrelevanter Datenverarbeitungsprozesse untersucht. Dabei ging es weniger um die Nutzung von Sprachsteuerungen, als vielmehr um ganz „normales“ Fernsehgucken. Die Ergebnisse (Zusammenfassung) wurden am 27.02 auf einer Pressekonferenz präsentiert: Bei nahezu jedem Vorgang auf dem TV-Gerät bei bestehender Internetverbindung werden persönliche Daten an Server der TV-Hersteller, Fernsehsender und Drittanbieter gesendet.
Daten werden nicht nur bei der Nutzung von Apps und Zusatzdiensten übermittelt, für die eine Internetverbindung notwendig ist. Auch bei einfachen Vorgängen wie der Inbetriebnahme des Gerätes, der Wiedergabe von externen Inhalten über Speichermedien oder das Wechseln des TV-Senders werden Nutzerinformationen an Server übertragen. Die unterschiedlichen Verbindungen werden dabei nur teilweise verschlüsselt: Lediglich bei sechs der dreizehn Herstellern erhält der Nutzer überhaupt einen Hinweis auf die Datenschutzbestimmungen. Aus diesen geht dann allerdings in der Regel nicht hervor, welche Daten wann genau an welche Server übertragen werden.
Eine anonyme Nutzung von Angeboten sollte jedoch nach Ansicht von Datenschützern auch bei Smart-TVs möglich sein. Leider wurde der komplette 40-seitige Prüfbericht der Datenschutzbehörde laut heise aus Wettbewerbsgründen und aufgrund des Schutzes von Betriebsgeheimnissen nicht veröffentlicht. Wir müssen uns daher mit der Zusammenfassung der Ergebnisse zufriedengeben.
-
: EU-Datenschutzreform: Je länger es dauert, desto mehr wird der Datenschutz aufgeweicht (Update: Mit Dokumenten)
: EU-Datenschutzreform: Je länger es dauert, desto mehr wird der Datenschutz aufgeweicht (Update: Mit Dokumenten) Der Tagesspiegel berichtet über neue Erkenntnisse zum Verhandlungsstand der EU-Datenschutzreform im Rat der Innen- und Justizminister und beruft sich dabei auf Unterlagen der Dapix-Gruppe. [Update] EDRi hat diese mittlerweile veröffentlicht. Die Zusammenfassung: Es sieht nicht gut aus, Deutschland wirkt nicht unwesentlich bei der Unterwanderung wirksamen Datenschutzes mit. Wir haben den Prozess bereits in der Vergangenheit begleitet und die Verschleppung der Reform kritisiert. Den letzten Verhandlungsstand haben wir im Dezember kommentiert, auch damals fanden sich Aufweichungen von Datenschutzbestimmungen.
Unter anderem werde vorgeschlagen, die Zweckbindungspflicht aufzuweichen. Das ist dasjenige Prinzip, das Kunden davor schützen soll, dass ihre Daten für etwas anderes verwendet werden als ursprünglich erklärt und gewollt. Wenn hier die Möglichkeit einer Interessensabwägung zwischen Unternehmen, Dritten und Bürgern eingebracht wird, bietet sich ein optimales Schlupfloch, diese „Interessen“ derartig breit zu interpretieren, dass der Betroffene sich kaum mehr wehren können würde.
Um Interessen geht es auch bei den Ansprüchen von Staatsbehörden. Die dürften Daten den Vorschlägen zufolge nicht mehr nur mit gesetzlicher Grundlage, sondern bei „legitimem“ Interesse verarbeiten. Ebenso sollen Daten nicht mehr nur erhoben werden dürfen, wenn unbedingt notwendig, sondern auch, wenn die Erhebung nicht „exzessiv“ sei. Ein weiterer Gummibegriff, der den Datenkraken Tür und Tor öffnen würde. In beiden Fällen widerspräche Deutschland jedoch dem Vorschlag, so der Tagesspiegel.
Die Abstimmung für das vom Tagesspiegel referenzierte Dokument finden am nächsten Freitag statt, eine Verabschiedung der Reform ist offiziell bis Ende des Jahres angepeilt.
[Update] Die Dokumente weisen noch mehr problematische Stellen auf, als im Tagesspiegel erwähnt. EDRi, Access, Panoptykon Foundation und Privacy
International haben dazu eine ausführliche Analyse mit dem Titel „Data Protection Broken Badly“ angefertigt.Ein zusätzlicher Punkt ist, dass die Informationspflicht gegenüber Nutzern, wie ihre Daten verarbeitet werden, wesentlich geschwächt werden soll. Artikel 11 der künftigen EU-Datenschutzgrundverordnung, der Informationspflichten über die Datenverarbeitung festgelegt hat, würde dafür komplett wegfallen. Ebenso würde die Erstellung von Profilen über Bürger vereinfacht.
Weiterhin soll die Möglichkeit von Massenklagen abgeschafft werden und die maximalen Schwellen für Bußgelder abgesenkt werden, die bisher auf 5% des Jahresumsatzes der Unternehmen festgelegt ist. One-Stop-Shop-Mechanismen, also die Abläufe, wie europäische Datenschutzbehörden zusammenarbeiten können, um auf Datenschutzverstöße zu reagieren, würden mit den aktuellen Vorschlägen komplizierter und die Kompetenzen des European Data Protection Board würden empfindlich reduziert.
Joe McNamee,
Vorsitzendergeschäftsführender Direktor von EDRi, kommentiert:The Regulation is becoming an empty shell […] Not content with destroying key elements of the proposal, the EU Member States are rigorously, systematically and thoroughly undermining the meaning of every article, every paragraph, almost every single comma and full stop in the original proposal.
-
: Datenschutz in den USA: Weißes Haus präsentiert völlig unzureichenden „Consumer Privacy Bill of Rights Act“
Gene Sperling, National Economic Council, präsentierte 2012 die "privacy bill of rights". Bild: <a href="https://www.flickr.com/photos/51005181@N05/6244486290">Daphne Borowski</a>. Lizenz: Creative Commons <a href="https://creativecommons.org/licenses/by/2.0/">BY 2.0</a>. : Datenschutz in den USA: Weißes Haus präsentiert völlig unzureichenden „Consumer Privacy Bill of Rights Act“ Die Obama-Regierung hat am vergangenen Freitagnachmittag einen Gesetzesvorschlag zur Verbesserung der Privatsphäre von US-Amerikanern gegenüber privaten Datenverarbeitern vorgelegt. Das ist bemerkenswert, da die USA kein allgemeines Datenschutzgesetz besitzen, sondern lediglich sektorspezifische Vorschriften und unternehmerische Selbstverpflichtungen – Letztere vor allem im Onlinebereich. Deren Durchsetzung obliegt der Federal Trade Commission (FTC), die über weitaus weniger Befugnisse als die europäischen Datenschutzbehörden verfügt. Der Vorschlag des Weißen Hauses setzt weiterhin auf Selbstregulierung und Kontrolle durch die FTC. Allerdings könnte er diese Regeln und Prozesse grundlegenden Prinzipien unterwerfen. Ist der Entwurf also ein möglicher Fortschritt für die Privatsphäre in den USA?
Der folgende Beitrag erschien zuerst auf bendrath.blogspot.de. Übersetzung und Vorspann: Benjamin Bergemann.
Der US „Administration Discussion Draft: Consumer Privacy Bill of Rights Act of 2015″ wurde gestern veröffentlicht. Er knüpft an Präsident Obamas „Consumer Privacy Bill of Rights“ von 2012 an.
Der Gesetzesentwurf legt einige grundlegende Definitionen und Prinzipien fest, darunter die „angemessene“ Erhebung personenbezogener Daten und Verbraucherrechte, etwa das auf Auskunft über die eigenen Daten. Der Entwurf gibt der Federal Trade Commission (FTC) die Befugnis von der Industrie eingereichte Verhaltenskodizes zu genehmigen und durchzusetzen. Bisher hat die FTC bestimmte Datenschutzvorschriften im Rahmen von Title V des FTC Act durchgesetzt. Dieser verbietet „unfaire und irreführende Handelspraktiken“.
Auf den ersten Blick weist der Entwurf eine Reihe von schweren Problemen auf – vor allem wenn man ihn aus einer EU-Datenschutzperspektive betrachtet. Ein paar erwähnenswerte Punkte:
1) „Cybersecurity data“ fällt aus dem Anwendungsbereich des Textes:
The term “personal data” shall not include cyber threat indicators collected, processed, created, used, retained, or disclosed in order to investigate, mitigate, or otherwise respond to a cybersecurity threat or incident, when processed for those purposes.
Das macht keinen Sinn. Es kann sinnvoll sein, die Verarbeitung personenbezogener Daten für IT-Sicherheitszwecke zu ermöglichen (wie bestimmte Entwürfe der geplanten EU-Datenschutzverordnung das tun), jedoch würden mit obiger Formulierung Dinge wie IP-Adressen dem Anwendungsbereich des Gesetzes entzogen.
2) Der Text ist widersprüchlich. So heißt es in Abschnitt 103:
If a covered entity processes personal data in a manner that is reasonable in light of context, this section does not apply.
und in Abschnitt 104:
Each covered entity may only collect, retain, and use personal data in a manner that is reasonable in light of context.
In meinen Augen ist es völlig unklar, wann Abschnitt 103 überhaupt gelten würde.
3) Titel III des Gesetzentwurfs recycelt den Safe-Harbor-Begriff und die Idee der Selbstzertifizierung, die das Europäischen Parlament und Datenschutzexperten aus der ganzen Welt kritisieren seit die EU-Kommission und das US-Handelsministerium den Safe-Harbor-Ansatz im Jahr 2000 aufbrachten.
Safe Harbor Protection.—In any suit or action brought under Title II of this Act for alleged violations of Title I of this Act, the defendant shall have a complete defense to each alleged violation of Title I of this Act if it demonstrates with respect to such an alleged violation that it has maintained a public commitment to adhere to a Commission-approved code of conduct that covers the practices that underlie the suit or action and is in compliance with such code of conduct.
Die Einhaltung der Regeln („compliance“) ist erforderlich, nicht nur das Bekenntnis („committment“) zu ihnen. Das grundlegende und tiefergehende Problem des Entwurfes besteht jedoch darin, dass die FTC nur in der Lage wäre eingereichte Codes zu überprüfen, nicht aber eigene zu entwickeln und durchzusetzen.
4) Der Entwurf würde Gesetze auf Ebene der US-Bundesstaaten ausbremsen, von denen einige, wie etwa in Kalifornien, stärker sind als der Vorschlag des Weißen Hauses.
5) Der Gesetzentwurf würde Start-ups für die ersten 18 Monate ihres Bestehens von Datenschutzanforderungen befreien. Das wird Praktiken nach dem Prinzip befördern: „Wachse schnell und rücksichtslos, während du so viele Daten wie möglich sammelst und verkaufe nach 18 Monaten an den Meistbietenden.“ Ich glaube nicht, dass das gut ist für eine nachhaltige und langfristige Unternehmensstrategie.
6) Der Abschnitt zu den Strafen (203) ist jedoch ziemlich interessant:
(1) The civil penalty shall be calculated by multiplying the number of days that the covered entity violates the Act by an amount not to exceed $35,000; or
(2) If the Commission provides notice to a covered entity, stated with particularity, that identifies a violation of this Act, the civil penalty shall be calculated by multiplying the number of directly affected consumers by an amount not to exceed $5,000 (…)Das könnte leicht die 5% des jährlichen Gesamtumsatzes eines Unternehmens, die das Europäische Parlament als Höchststrafe in seiner Fassung der kommenden Datenschutzverordnung vorsieht, überschreiten.
Dieser Artikel in der Washington Post gibt einen guten Überblick über die Reaktionen auf den Entwurf (kurz: Die FTC ist nicht zufrieden, die NGOs sind nicht zufriden, die Industrie ist teilweise zufrieden – bis auf die Libertären).
Dem Weißen Haus ist es offenbar nicht gelungen, Sponsoren beider Parteien im Kongress für das Gesetz zu finden. Dieser Aspekt und das Timing (Freitagnachmittag) lässt einige Beobachter schließen, dass der Entwurf bereits tot sei.
Senator Ed Markey, bekannt als starker Privatsphäre-Advokat, hat kritisiert, dass der Entwurf nicht genug für Verbraucher tun würde. Deshalb hat er für die nächste Woche (!) einen eigenen Vorschlag angekündigt.
Für die Delegation des Europäischen Parlaments, die Washington Mitte März besucht, gibt es also viel zu diskutieren. Unter den teilnehmenden Abgeordneten sind Jan Philipp Albrecht (Grüne/EFA), stellvertretender Vorsitzender des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres und Berichterstatter für die EU-Datenschutzverordnung und für das EU-US-Datenschutz-Rahmenabkommen sowie Claude Moraes (S&D), Vorsitzender des gleichen Ausschusses und Berichterstatter des Untersuchungsausschusses zur Massenüberwachung und den dazugehörigen Nachfolgeaktivitäten.
-
: Aufgebohrtes Schengener Informationssystem: EU-weite Fahndung nach Fingerabdrücken geplant
: Aufgebohrtes Schengener Informationssystem: EU-weite Fahndung nach Fingerabdrücken geplant Die EU-Kommission plant die Einrichtung eines automatisierten „Fingerabdruck ldentifizierungssystems“ (AFIS), um auf diese Weise nach Fingerabdrücken fahnden zu können. Das teilte das Bundesinnenministerium auf Nachfrage mit. Die Fähigkeit soll demnach in das Schengener Informationssystem (SIS II) integriert werden. So sollen Personen mit gefälschten Ausweisdokumenten leichter erkannt werden. Erfasst würden Personen, zu denen eine schengenweite Ausschreibung existiert.Im SIS II werden Personen oder Sachen zur Fahndung, Festnahme oder heimlichen Beobachtung ausgeschrieben. Bislang wurde die Datenbank bei Kontrollen über die von Betroffenen vorgezeigten Ausweisdokumente bzw. Kennzeichen abgefragt.
Schon jetzt drei daktyloskopische Datenbanken
Das physisch in Strasbourg befindliche SIS war vor zwei Jahren aufgebohrt und um mehrere Funktionalitäten erweitert worden. Unter anderem ist es in der größten EU-weiten Fahndungsdatenbank nun möglich, Anhänge zu speichern. Hierzu gehören auch Fingerabdruckdaten. Diese können zwar jetzt schon verglichen werden, jedoch lediglich im Einzelfall und nicht über interne Suchmaschinen. Es ist unklar, wie viele Fingerabdrücke derzeit im SIS II gespeichert sind, Schätzungen rangieren zwischen wenigen Tausend und einer sechsstelligen Zahl.
Daktyloskopische Daten spielen in der grenzpolizeilichen Anwendung eine immer größere Rolle. Erhoben und gespeichert werden sie bereits bei der Beantragung von Visa (Visumsdatenbank) oder bei Anträgen auf Asyl (EURODAC). Im derzeit errichteten System „Intelligente Grenzen“ sollen Reisende ebenfalls bis zu zehn Fingerabdrücke abgeben. Dies beträfe alle Einreisenden in die Europäische Union, auch Geschäftsreisende oder TouristInnen. Demnächst beginnt hierzu auch in Frankfurt ein Pilotprojekt.
Für den Austausch biometrischer Daten hatte die EU auf Drängen Deutschlands 2007 den Vertrag von Prüm beschlossen. Dort ist die EU-weite Abfrage von DNA-Daten und Fingerabdrücken geregelt. Allerdings werden Abfragen lediglich im „Hit/ No Hit“-Verfahren ausgeführt: Die fragende Behörde erfährt lediglich, ob in einem anderen Land ein Treffer vorliegt und muss dann ein Ersuchen auf Übermittlung der Informationen stellen. Jeder EU-Mitgliedsstaat benennt hierfür eine nationale Prüm-Kontaktstelle, in Deutschland wird dies vom Bundeskriminalamt (BKA) übernommen. Auch mit den USA ist ein solcher automatisierter Austausch geplant.
Auch Europol will Fingerabdrücke verarbeiten
Anfangs sollen im SIS II-AFIS nur jene Fingerabdruckdaten recherchierfähig genutzt werden, die bereits als Anhang an einem Personendatensatz vorhanden sind. Werden Personen zur Fahndung ausgeschrieben, wollen Behörden entsprechende biometrische Daten aber auch aus anderen Datenbanken kopieren und in das SIS II einstellen. Hierzu bräuchte es aber eine gesetzliche Grundlage.
Im Gegensatz zu Prüm ist das geplante SIS II-AFIS ein zentrales System. Die Kommission will nun prüfen, inwiefern eine solche zentrale Speicherung von Fingerabdrücken datenschutzrechtlich überhaupt rechtlich einwandfrei ist. Hierfür hat die Kommission einen Fragebogen an die Mitgliedsstaaten verteilt, um zunächst den „Anforderungsbedarf“ zu ermitteln.
Im Auftrag der EU-Kommission erörtert ein EU-Forschungszentrum derzeit Umsetzungsmöglichkeiten des SIS II-AFIS, Ergebnisse sollen spätestens Ende 2015 vorliegen. 11 Mitgliedstaaten steuern hierfür Informationen bei. Auch die rechtliche Ausgestaltung ist unklar. Laut dem Bundesinnenministerium ist bislang „nicht definiert“, inwieweit und in welchem Umfang künftig Recherchen in der Datenbank realisiert werden sollen.
Auch die EU-Polizeiagentur Europol plant die Verarbeitung von Fingerabdrücken in einem AFIS. Dadurch sollen Analysemöglichkeiten in Europols Datenbanken verbessert werden. So steht es im diesjährigen Arbeitsprogramm. Demnach plant die Agentur außerdem die Verfahren zur Gesichtserkennung, um in Foto- und Videodaten gezielt nach Personen suchen zu können.
-
: Nordrhein-Westfalen veröffentlicht Ausschreibung für Vorhersagesoftware, als Start gilt der 29. April
: Nordrhein-Westfalen veröffentlicht Ausschreibung für Vorhersagesoftware, als Start gilt der 29. April Schon mehrmals hatten wir hier über die Pläne dreier Landeskriminalämter berichtet, Anwendungen zur polizeilichen Vorhersage von Straftaten zu testen oder sogar einzuführen. In Bayern läuft eine Versuchsreihe zum „Predictive Policing“, Nordrhein-Westfalen und Niedersachsen haben sich noch nicht auf eine konkrete Software festgelegt. Wie das Bundeskriminalamt holen die LKÄ aber Informationen zu Erfahrungen von Polizeibehörden in anderen Ländern ein. Niedersachsen hat überdies eine lesenswerte Studie in Auftrag gegeben.Über Umwege hat uns nun eine Ausschreibung aus Nordrhein-Westfalen erreicht. Das Bundesland definiert dort eine Leistungsbeschreibung für die gewünschte Software, und die ist durchaus interessant. Gesucht wird ein „System zur frühzeitigen Erkennung, Prognose und Darstellung von Kriminalitätsschwerpunkten und Tatorten“. Umgangssprachlich firmiert eine solche Anwendung als Vorhersagesoftware. Nordrhein-Westfalen beschreibt das so:
Das System soll auf der Basis verschiedener, kriminalitätsrelevanter Datenquellen unter Nutzung komplexer mathematischer Verfahren prognostizieren, wo sich in Zukunft Brennpunkte im räumlichen und zeitlichen Kriminalitätsgeschehen entwickeln.
Die Vorhersagen sollen in einem Geoinformationssystems grafisch angezeigt werden. Auch dies gehört zum Leistungsumfang der Ausschreibung. „Wünschenswert“ sei demnach die Software ArcGIS. Die neue Software soll also auf vorhandenen Kapazitäten aufbauen,. Hierzu gehören Crime Mapping-Systeme, die seit den 90er Jahren in den meisten Landeskriminalämtern genutzt werden.
Das zu beschaffende System soll bis auf weiteres nicht in die bestehende „Softwarelandschaft“ der Polizei NRW eingebunden werden, sondern wird in einem „speziell dafür errichteten Sondernetz“ betrieben. Trotzdem werden anfallende Daten „zwingend innerhalb des Rechnerverbunds der Polizei NRW“ gespeichert und verarbeitet. Die „Installation, Inbetriebnahme, Übergabe sowie Einweisung“ soll beim LKA in Düsseldorf erfolgen. Als Angebotsende wird der 19. März angegeben. Spätestens Ende April soll das System betriebsbereit sein.
Wie andere Anwendungen rund um „Big Data“ soll das neue Vorhersagesystem skalierbar sein. Die „predictive Analysen“ sollen maximal 15 Minuten dauern. Die Oberfläche soll deutsch- oder englischsprachig und benutzerfreundlich sein, die Erstellung von Analysen und Prognosen soll einen „wenig geringen Ausbildungsaufwand“ erfordern. Rätselhaft ist allerdings die Beschreibung der Lernfähigkeit des gewünschten Systems:
Aufgrund denkbarer Veränderungen im Täterverhalten während des Analysezeitraums soll das System Möglichkeiten des überwachten, des unüberwachten und des bestärkenden Lernens beinhalten.
In der Ausschreibung wird die Formulierung „Analyse unstrukturierter Daten“ verwendet. Hierunter wird gewöhnlich Data Mining verstanden, also die Auswertung bereits vorhandener Daten und der Versuch, daraus neue Informationen zu gewinnen. Weiter heißt es:
Mit dem zu beschaffenden Analyse- und Prognosesystem „Predictive Policing“ werden auf der Grundlage nicht-personenbezogener Daten und unter Zuhilfenahme modernster Data-Mining-Software, durch Erkennen von Korrelationen und Mustern zukünftige Kriminalitätsbrennpunkte prognostiziert. Die erstellten Prognosen sollen so zu visualisieren sein, dass die Planung zielgerichteter präventiver Maßnahmen durch die Form der Darstellung unterstützt wird. Das System muss so variabel sein, dass Änderungen beim Gegenstand der Analysen keinen anbieterseitigen Programmieraufwand erfordern.
Beim polizeilichen Data Mining bewegen sich die Behörden in einer rechtlichen Grauzone, denn die Polizei wird dadurch zur Daten-Produzentin. Zwar haben sich Gerichte noch nicht mit dem Phänomen befasst, doch kann es sein dass hierfür eigentlich gesetzliche Rahmenbedingungen geschaffen werden müssten. Denn Formulierungen wie „Erkennen von Korrelationen und Mustern“, „erstellte Prognosen“ und „Darstellung erkannter Muster“ ähneln einer Rasterfahndung, die mitunter sogar in Echtzeit vorgenommen wird.
-
: Ab 1. April: Mexiko droht mit Hunderttausenden Euro Strafe pro Flugzeug, wenn zuvor keine Fluggastdaten übermittelt werden
(Bild: EU-Kommission) : Ab 1. April: Mexiko droht mit Hunderttausenden Euro Strafe pro Flugzeug, wenn zuvor keine Fluggastdaten übermittelt werden Die Regierung in Mexiko macht Ernst: Ab 1. April sollen alle europäischen Fluggesellschaften mit hohen Strafzahlungen belegt werden, wenn sie vor einer Landung nicht vorab umfangreiche Informationen über die Reisenden übermitteln. Das geht aus der Antwort auf eine Kleine Anfrage hervor, die das Bundesinnenministerium (BMI) nun beantwortet hat. Demnach betragen die Strafen zwischen 3.500 und 5.200 Euro pro Passagier. Hinzu kommt eine Pauschale, die sich zwischen 9.700 und 14.500 Euro pro Flugzeug bewegt. Auf diese Weise könnten leicht über eine halbe Million Euro pro Flugzeug an Strafzahlungen zustande kommen.
Eine entsprechende Mitteilung erhielt das BMI von der Lufthansa. In einer früheren Anfrage hatte das Ministerium erklärt, die Fluglinie habe hierzu ein Schreiben der mexikanischen Zollbehörde erhalten. Außerdem hätten „auch andere deutsche Luftfahrtunternehmen“ solche Mitteilungen erhalten. Diese seien teilweise über die International Air Transport Association (IATA) verschickt worden.
Weitergabe durch Fluggesellschaften rechtlich nicht möglich
Bislang werden von den meisten europäischen Fluggesellschaften lediglich sogenannte „Advanced Passenger Informations“ (API) genutzt. Dabei handelt es sich um einen schmalen Datensatz von Namen, Meldeadresse und Reiseroute. Deutsche Behörden dürfen API-Daten derzeit noch nicht weitergeben. Deshalb drohen womöglich sogar bald Landeverbote in Großbritannien.
Seit 2012 fordert Mexiko zusätzlich zu den API-Daten die Vorab-Übermittlung von „Passenger Name Records“ (PNR). Diese enthalten bis zu 60 verschiedene Einzelinformationen die beim Buchungsvorgang anfielen, darunter auch IP-Adressen, Mailadressen oder Telefonnummern. Verarbeitet wird auch, wenn Mitreisende bei Zwischenstopps im gleichen Hotelzimmer übernachten.
Eine Übermittlung aus der Europäischen Union an „Drittstaaten“ ist nach Angaben des BMI für Fluggesellschaften rechtlich nicht möglich. Daten dürfen lediglich durch Grenzbehörden weitergegeben werden. In Deutschland werden noch keine PNR-Daten gesammelt. Einzelne EU-Mitgliedstaaten betreiben bereits PNR-Systeme. Großbritannien verfügt über ein fertiges PNR, Frankreich, Spanien, Finnland, Italien und Lettland sind mit dem Aufbau befasst. Die Kommission hatte vergangenes Jahr erklärt, die nationalen Systeme „harmonisieren“ zu wollen.
Bundesregierung hatte für Aufschub gesorgt
Die Problematik einer fehlenden Übermittlungserlaubnis war Mexiko bereits 2012 erklärt worden. Damals hatte die Regierung erstmals bekanntgegeben, auf die Übermittlung von PNR-Daten zu bestehen. Seitdem sind mehrere Aufschübe erreicht worden, die nach Angaben des BMI teilweise von der deutschen Regierung verhandelt wurden. Druck kam demnach sogar über den Europäischen Auswärtigen Dienst, der für die Außen- und Sicherheitspolitik der EU zuständig ist.
Gleichzeitig habe die Bundesregierung die „PNR-Problematik“ mit Mexiko auch bilateral besprochen. Auf Initiative der Bundesregierung habe dann eine Demarche des Leiters der EU-Delegation beim mexikanischen Amt für Steuer- und Zollverwaltung einen Aufschub bis Ende September 2014 besorgt. Diese sei bis Ende 2014 ausgeweitet worden. Nun habe die Regierung eine „letztmalige Verlängerung“ bis zum 31. März 2015 zugestanden.
Führt Druck aus Mexiko, Russland und Süd-Korea zu einer EU-Vorratsdatenspeicherung?
Auch Russland und Süd-Korea fordern seit längerem die Übermittlung von PNR-Daten. Die Länder drohen ebenfalls Sanktionen an. Nach hohem diplomatischem Druck hatte die EU mit Australien und mit den USA ein PNR-Abkommen geschlossen. Vor einem weiteren Abkommen mit Kanada hatte sich das Europäische Parlament eine Prüfung durch den Europäischen Gerichtshof ausbedungen. Dabei geht es auch um die Frage, ob die anlasslose Sammlung von Passagierdaten mit dem Richterspruch zur Vorratsdatenspeicherung kompatibel ist. Denn während Daten aus Telekommunikation nur rückwirkend analysiert werden dürfen, dienen die PNR-Daten zur vorausschauenden Risikoanalyse.
Auch auf Ebene der Europäischen Union soll ein PNR-System errichtet werden. Das Vorhaben schien bis zu den Anschlägen in Paris vom Tisch. Inzwischen hat das EU-Parlament allerdings ein positives Votum abgegeben. Eigentlich sollten nur Flüge von bzw. in die Europäische Union von der Regelung betroffen sein. Geplant ist aber, dass Fluggastdaten auch bei innereuropäischen Flügen verarbeitet würden. Der Druck aus Mexiko, Russland und Süd-Korea zur bilateralen könnte nun weiteren Druck auf die Errichtung eines EU-PNR-Systems aufbauen.
-
: Einfache Auskunftsersuchen nicht nur in Österreich, USA und bei Interpol, sondern jetzt auch bei der Schufa
: Einfache Auskunftsersuchen nicht nur in Österreich, USA und bei Interpol, sondern jetzt auch bei der Schufa Bin ich in Datenbanken deutscher Bundes- oder Landespolizeibehörden gespeichert? Hat mich Europol in seinen IT-Beständen abgelegt? Erscheine ich im Schengener Informationssystem?
Auskunftsersuchen zu polizeilichen Datenbanken können bequem über den Auskunftsgenerator des Projekts Datenschmutz gestellt werden. Der funktioniert mittlerweile sogar für das österreichische Innenministerium sowie diverse Sicherheitsdirektionen. Schon länger ist auch die Möglichkeit von Abfragen bei Interpol und sogar in den USA (etwa beim Heimatschutzministerium“) enthalten.
Neu ist die Möglichkeit, auch private Scoringagenturen abzufragen, darunter Bürgel, Creditreform, Deltavista, Schufa, arvato und infoscore.
Datenschmutz wünscht sich Mithilfe beim Feedback:
Helft uns. Beteiligt euch an an unserem Wiki zu Überwachung und Datenschutz (nutzt auch die Wiki-Seite zum Auskunftsersuchen), teilt uns mit, was aus euren Anfragen geworden ist, verbessert unsere Formbriefe, entwerft neue an Behörden, die wir bisher noch nicht berücksichtigt haben und schickt sie uns. Vielen Dank.
Andere Aktive haben inzwischen einen eigenen Blog für Erfahrungsberichte mit Auskunftsersuchen bei Polizeibehörden eingerichtet. Auch dort freut man sich über Support:
Als politische Aktivist*innen landen wir ziemlich oft in Polizeidatenbanken. Theoretisch sind Behörden dazu verpflichtet, mitzuteilen, was sie gespeichert haben. Deshalb stellen wir Auskunftsersuchen an verschiedene Polizeibehörden und kämpfen um unsere Daten. Dabei gibt es so viele Absurditäten und witzige bis unverschämte Gegebenheiten, dass wir auch andere daran teilhaben lassen wollen. Auch ihr könnt gerne einen Erfahrungsbericht beisteuern an datenschutz[ät]nirgendwo.info.
Eine Übersicht über Polizeidatenbanken findet sich ebenfalls bei Datenschmutz.
Geradezu Legion ist aber die Aufzählung etlicher deutscher großer und kleinteiliger Datensammlungen, die das Innenministerium Niedersachsen 2010 in einer Großen Anfrage der Grünen aufführt und in zahlreichen Anlagen ergänzt (1 | 2 | 3 | 4 | 5 | 6). Lesenswert!
-
: Wir brauchen klare rechtliche Vorgaben für den Einsatz polizeilicher „Body-Cams“
via Innenministerium Hessen : Wir brauchen klare rechtliche Vorgaben für den Einsatz polizeilicher „Body-Cams“ Immer mehr Landespolizeien in Deutschland führen die Nutzung von Bodycams ein, die auf den Schultern des Polizisten filmen, was sich vor ihm abspielt. Das bringt Datenschutzprobleme mit sich, die von Anfang an bedacht und in der Regulierung berücksichtigt werden müssen, damit aus der Body-Cam kein weiteres ausuferndes Überwachungsauge wird.
Dieser Gastbeitrag von Dennis-Kenji Kipker ist eine aktualisierte Kurzfassung des Aufsatzes „Verfassungsrechtliche Anforderungen an den Einsatz polizeilicher ‚Body-Cams’ “ von Dennis-Kenji Kipker und Hauke Gärtner, erstmalig erschienen im Januar 2015 in der Neuen Juristischen Wochenschrift, S. 296 ff.
Dennis-Kenji Kipker ist Jurist und wissenschaftlicher Assistent am Institut für Informations‑, Gesundheits- und Medizinrecht (IGMR) an der Universität Bremen und Mitglied in der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID). Im Rahmen seiner Forschungstätigkeit beschäftigt er sich mit Fragen und Problemen des Datenschutz- und Datensicherheitsrechts, dort schwerpunktmäßig im Polizei- und Nachrichtendienstrecht sowie im Recht der IT-Sicherheit kritischer Infrastrukturen.
Seit 2013 werden in Deutschland Body-Cams eingesetzt. Was bei der hessischen Polizei mit einem Pilotprojekt in Frankfurt a. M. begann, wird sich jetzt und in den kommenden Jahren wohl auf das gesamte Bundesgebiet ausdehnen: So prüfen auch Hamburg, Bremen, Berlin und Baden-Württemberg die Einführung der Miniatur-Körperkameras, die Polizisten auf ihren Schultern tragen, teils sind entsprechende Gesetzgebungsvorhaben bereits auf den Weg gebracht. Die Länder Schleswig-Holstein, Rheinland-Pfalz, Niedersachsen, Nordrhein-Westfalen, Saarland und Bayern haben sich zumindest schon einmal über den Stand des technisch Machbaren informiert. Die Wahrscheinlichkeit ist deshalb hoch, dass die Körperkameras in Zukunft ein Standardinstrument im polizeilichen Einsatz bilden werden. Um den Bürger dabei vor übermäßigen Eingriffen in sein Grundrecht auf informationelle Selbstbestimmung zu schützen, müssen deshalb von Anfang an klare und transparente rechtliche Vorgaben an den Einsatz dieser Überwachungsinstrumente gestellt werden. Nur so kann künftigen Fehlentwicklungen vorgebeugt werden, die dazu führen, dass im Verhältnis Bürger – Polizei eine technische Drohkulisse aufgebaut wird, die allein einseitigen Interessen zu dienen bestimmt ist.
In den USA schon seit Jahren praktiziert – jedoch mit anderer Zwecksetzung
Die Idee, Body-Cams im Polizeidienst einzusetzen, ist keineswegs neu: In den USA werden schon seit Jahren spezielle Schulterkameras verwendet, um konkrete Einsätze zu filmen. Die Zwecksetzung ist in Deutschland jedoch eine völlig andere: Während in den Vereinigten Staaten die Body-Cam in erster Linie den Bürger vor rechtswidrigen Übergriffen von Polizeibeamten schützen soll, dienen die Filmaufnahmen hierzulande primär dem Selbstschutz der Polizeibeamten vor körperlichen Beeinträchtigungen – oder auch nur vor Beleidigungen getreu dem Motto: Nur wer sich als Bürger gegenüber der Polizei stets erwartungsgemäß und widerspruchslos verhält, braucht nichts zu befürchten. Dass dabei letztlich der Polizist aufgrund seiner Gesetzesbindung derjenige ist, der seine Handlungen vor dem Bürger rechtfertigen muss, gerät dabei schnell in Vergessenheit.
Erfordernis für hinreichend bestimmte Eingriffsvorschriften
Ob es zum flächendeckenden Einsatz von Body-Cams im Alltagsbetrieb kommt, ist eine politische Entscheidung. Soweit sich die Länder jedoch dazu entschließen sollten, sind durch den jeweiligen Landesgesetzgeber klare gesetzliche Ermächtigungsgrundlagen für ihren Einsatz zu schaffen. Zuvorderst ist dabei eine strikte Begrenzung der technischen Aufzeichnungsmittel vorzunehmen. So muss ausgeschlossen sein, dass über den Einsatz von Kameras am Körper hinaus weitere Geräte die Videoaufzeichnung vornehmen können, wie beispielsweise Flugdrohnen, die teils ebenfalls schon von den Landespolizeien eingesetzt werden. Jedes Aufzeichnungsmittel bedarf einer eigenständigen, hinreichend bestimmten Ermächtigungsgrundlage.
Deutliche Begrenzung des Einsatzzweckes
Nicht nur die technischen Einsatzmittel, sondern auch die Einsatzbereiche für Body-Cam-Aufzeichnungen sind klar zu umreißen. Grundvorgabe ist hier, im Sinne der Datensparsamkeit die Videoaufnahme auf das zwingend notwendige Maß zu beschränken. Das Einschalten der Kamera darf daher nicht nur dann erfolgen, wenn eine Gefahrensituation vorliegt, sondern es muss darüber hinaus tatsächlich ein erheblicher Nutzen als Abschreckungs- oder Beweismittel erkennbar sein. Eine solche strikte Anlassbezogenheit ist auch deshalb unabdingbar, um einer durch Einschüchterung drohenden Verschlechterung des Vertrauensverhältnisses der Bürger zur Polizei vorzubeugen. Auch in der Zukunft muss es noch möglich sein, Polizeibediensteten gegenüber Kritik zu äußern, ohne allein deshalb mit Ton und Bild aufgenommen zu werden. Der durch Body-Cams vermittelte zusätzliche Schutz auf Seiten der Polizei darf langfristig nicht dazu führen, dass sich Beamte in Konfliktsituationen geringer um verbale Deeskalation als vorrangiges Einsatzmittel bemühen, als dieses sonst der Fall wäre. Gegenseitiges Vertrauen zwischen Bürgern und Behörden stellt trotz der immer größeren Verfügbarkeit moderner Überwachungstechnologien immer noch die Grundvoraussetzung einer erfolgreichen Kooperation dar.
Sicherstellung der Beweisfunktion durch ganzheitliche Aufzeichnung
Dem Grundgedanken einer „Waffengleichheit“ zwischen Polizei und Bürgern beim Einsatz von Body-Cams folgend, ist es zu einer weiteren Voraussetzung zu machen, dass die Polizei nicht nur den ihr gegenüberstehenden Bürger, sondern ebenso das Einsatzverhalten der Beamten selbst mit aufzeichnet. Nur durch eine solche ganzheitliche Aufnahme kann garantiert werden, dass die Kamera ihrer objektiven Beweisfunktion nachkommt. Ein eingeschränktes Aufnahmefeld hingegen, bei dem wesentliche Handlungen der Polizeibeamten nicht dokumentiert werden, kann die Reaktion des gefilmten Bürgers möglicherweise in einem gänzlich anderen Licht erscheinen lassen. Nicht zuletzt wird durch die ganzheitliche Aufzeichnung der Situation der handelnde Beamte ebenfalls zu einem rechtskonformen Verhalten bestimmt.
Bürgertransparenz schon während der Videoaufzeichnung
Der Bürger muss sich grundsätzlich darauf einstellen können, dass er von Polizeibeamten gefilmt wird. Hierzu ist es notwendig, dass er eine stattfindende Videoaufzeichnung deutlich erkennt. Das Wissen um die Aufnahme bildet zugleich den Ausgangspunkt zur Geltendmachung von datenschutzrechtlichen Betroffenenrechten im Hinblick auf das durch die Polizei gewonnene Videomaterial. Zwingende Voraussetzung zur Transparenzherstellung ist zunächst der verbale Hinweis an den Aufgenommenen, dass eine Aufzeichnung stattfindet. Allein ausreichend ist dieser aber nicht, um dem Transparenzgedanken voll zu genügen: So sind Polizisten mit Warnwesten auszustatten, die bereits auf Entfernung deutlich machen, dass hier ein Videoteam im Einsatz ist. Die Kameras sollen über eine auffällige Aufnahmeleuchte verfügen. Damit die vorgenannten Transparenzanforderungen tatsächlich einheitlich in der Praxis realisiert werden, sind sie präzise in den polizeilichen Ermächtigungsgrundlagen festzuschreiben, welche den Einsatz von Body-Cams ermöglichen.
Besondere Transparenzanforderungen für die Phase der Datenauswertung
Die Auswertung der durch Body-Cams aufgezeichneten Videodaten stellt für den betroffenen Bürger die kritischste Phase der polizeilichen Datenverarbeitung dar, denn hier entscheidet sich, ob ihm möglicherweise weitere rechtliche Konsequenzen drohen. Daher sind an die Datenauswertung besonders hohe Transparenzmaßstäbe anzulegen. Die Transparenz schlägt sich dabei in zweierlei Weise nieder:
- Erstens ist rechtsverbindlich sicherzustellen, dass an den Aufnahmen keine nachträglichen, unter Umständen unbefugten Veränderungen vorgenommen werden, die später womöglich nicht mehr nachweisbar sind. Die Datenintegrität muss also gesichert sein. Hierfür besteht auch deshalb ein besonderer Bedarf, weil es in der Vergangenheit schon verschiedene Vorfälle gegeben hat, in denen beispielsweise Polizeigewalt belegendes Videomaterial abhandenkam oder an den entscheidenden Stellen Aufnahmelücken aufwies.
- Zweitens ist es dem Betroffenen zu ermöglichen, seine ihm zustehenden Datenschutzrechte wahrzunehmen. Die jeweiligen Landespolizeigesetze wie auch die allgemeinen Landesdatenschutzgesetze räumen ihm Möglichkeiten zur Berichtigung, Sperrung und Löschung von Daten ein, darüber hinaus verfügt er auch über einen Auskunftsanspruch. Diese allgemeinen Vorschriften sollten speziell auf den Einsatz polizeilicher Body-Cams zugeschnitten werden.
Unabhängige Treuhandstelle als Transparenzgarant
Um den erhöhten Transparenzanforderungen in der Phase der Datenauswertung von Body-Cams gerecht zu werden, ist für das Videomaterial eine unabhängige Treuhandstelle einzurichten. Dieses Organisationskonzept sollte langfristig auf weitere Formen öffentlicher, nicht verdeckt erfolgender Überwachung ausgedehnt und verbindlich in den Landespolizeigesetzen festgeschrieben werden.
Dieser Treuhandstelle kommen dabei vorrangig fünf Aufgaben zur Gewährleistung der Sicherheit polizeilicher Datenverarbeitung zu:
- Vertraulichkeit: Nur Befugte dürfen von den Daten einer polizeilichen Videoüberwachung Kenntnis erlangen.
- Integrität: Die erhobenen Daten müssen während ihrer Verarbeitung unverfälscht, vollständig und widerspruchsfrei bleiben.
- Verfügbarkeit: Wenn Daten erhoben werden sollen, müssen diese zumindest auch zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können – und das für alle Beteiligten.
- Authentizität: Jedes einmal erhobene Datum muss zweifelsfrei seinem Ursprung zugeordnet werden können.
- Revisionsfähigkeit: Es muss ebenso überprüfbar sein, wer wann welche Daten in welcher Weise verarbeitet und damit einhergehend unter Umständen auch verändert hat.
Die Gewährleistung all dieser Datensicherheitsanforderungen durch die Treuhandstelle setzt voraus, dass diese eine von den Polizeibehörden unabhängige Kontrollfunktion wahrnehmen kann. Hierzu bedarf es nicht nur der Weisungsfreiheit der mit dieser Aufgabe befassten Mitarbeiter, sondern auch der institutionellen Unabhängigkeit der Einrichtung in ihrer Gesamtheit. Die Treuhandstelle darf daher den Polizeibehörden nicht untergeordnet sein. Denkbare Alternativen sind hier, die Stelle den Landesdatenschutzbeauftragten oder den Fach- und Dienstaufsichtsbehörden über den Vollzugspolizeidienst zuzuordnen.
Gesicherte Datenverarbeitung der Treuhandstelle von Beginn an
Damit die Treuhandstelle ihrer Aufgabe zur Gewährleistung der Datensicherheit nachkommen kann, muss bereits während des Aufzeichnungsvorgangs garantiert sein, dass der Zugriff auf das Datenmaterial ausgeschlossen ist. Ausschließlich der Treuhandstelle darf es ermöglicht werden, Videoaufnahmen aus den Kameras auszulesen und abzuspielen. Daher ist schon die Aufzeichnung mit einer Verschlüsselung zu versehen, die nur durch die Treuhandstelle rückgängig gemacht werden kann. Den Polizeidienst muss die gesetzliche Verpflichtung treffen, die verschlüsselten Aufnahmen der Treuhandstelle unmittelbar und unverzüglich zuzuleiten. Dort werden die Aufnahmen anschließend gespeichert und stehen für den weiteren Abruf sowohl durch die Polizeibehörden als auch den durch die Aufzeichnung Betroffenen zur Verfügung, die hier zentral ihre gesetzlichen Rechte wie Auskunfts‑, Berichtigungs- und Löschungsansprüche geltend machen können. Nicht mehr zu Beweiszwecken benötigte Videos sind unverzüglich zu löschen, wobei eine Mindestspeicherdauer vorzusehen ist, damit der Bürger seinen Auskunftsanspruch geltend machen kann. Der interne Zugriff auf die Daten ist darüber hinaus zu protokollieren.
Die Treuhandstelle als zentraler Anlaufpunkt für Betroffenenrechte
Dem unmittelbar durch einen Body-Cam-Einsatz Betroffenen dürfte es im Regelfall unklar sein, ob und wie er Einsicht in Videomaterial nehmen kann, auf welchem er aufgezeichnet wurde. Deshalb empfiehlt es sich, ebenfalls gesetzliche Regelungen zu treffen, die dem Bürger nicht nur die Kenntnis über den Überwachungsvorgang vermitteln, sondern ihm ebenso Aufschluss darüber geben, an welche Stelle er sich später wenden kann, um die ihm zustehenden Rechte geltend zu machen. Soweit die Videodaten zentral bei einer Treuhandstelle verarbeitet werden, liegt es nahe, diese auch zum Anlaufpunkt für Betroffene zu machen. Hierzu kann der kameraführende Beamte, soweit es die Situation zulässt, dem Bürger eine „Kontaktkarte“ mit Angaben zur Treuhandstelle und Betroffenenrechten unaufgefordert aushändigen. Eine solche Regelung kann als Wegweiser zur effektiven Wahrnehmung des Rechts auf informationelle Selbstbestimmung verstanden werden.
Wenn schon Body-Cams, dann nur mit einem klaren Regelungsregime
Die zurzeit stattfindende rechtspolitische Entwicklung macht deutlich, dass das Überwachungsinstrument „Body-Cam“ mit großer Wahrscheinlichkeit und in naher Zukunft von zahlreichen Polizeibehörden eingesetzt wird. In ihrer derzeitigen rechtlichen Ausgestaltung jedoch mangelt es der Body-Cam an flankierenden Verfahrensregelungen, die in ausreichender Weise dem Schutz der informationellen Selbstbestimmung betroffener Bürger nachkommen. Die Folge wäre ein unverhältnismäßiger Grundrechtseingriff. Aus diesem Grunde heraus ist es zwingend notwendig, noch vor dem flächendeckenden Body-Cam-Einsatz klare, transparente und vor allem verbindliche Regularien zu bestimmen, welche die Benutzung polizeilicher Body-Cams nur unter engen Voraussetzungen ermöglichen und dabei zugleich die Datenschutzrechte des Bürgers angemessen berücksichtigen. Alles andere wäre wieder einmal der Beginn einer neuerlichen Fehlentwicklung im Bereich staatlicher Sicherheitspolitik.
-
: Bayerischer LfD findet Vorhersagesoftware OK, weil der Computer nicht selbst zum vermuteten Tatort fährt
EIne Analysesoftware wie "Precobs" steigert den polizeilichen Datenhunger. Immer mehr Landeskriminalämter interessieren sich. : Bayerischer LfD findet Vorhersagesoftware OK, weil der Computer nicht selbst zum vermuteten Tatort fährt Als erstes (aber nicht mehr einziges) Bundesland testet Bayern eine Software zur Vorhersage von Straftaten („Predictive Policing“). Das System „Precobs“ wird von einer Firma aus Nordrhein-Westfalen geliefert und verarbeitet statistische Falldaten früherer Straftaten. Zunächst soll es auf Wohnungseinbrüche beschränkt bleiben, später könnten auch Autodiebstähle oder andere Kriminalitätsphänomene hinzukommen. Betrieben wird die Plattform beim Landeskriminalamt (LKA).
Nun hat sich der bayerische Landesbeauftragte für den Datenschutz (LfD) Thomas Petri mit der Software befasst. Sein „Prüfungsergebnis“: Der Einsatz der Software sei „datenschutzrechtlich nicht zu beanstanden“. Und zwar, weil nur anonyme Daten verarbeitet würden:
Das derzeit verwendete Analysesystem ist in der aktuellen Ausgestaltung datenschutzrechtlich nicht zu beanstanden.
Abgesehen von Angaben zum Tatort verwendet das System keine personenbezogenen Daten, um Tatvorhersagen zu treffen.
Das hatte auch niemand behauptet, vielmehr machte die Kritik an den Tests auf den späteren Ausbau des Systems aufmerksam: Einmal eingeführt, können die verarbeiteten Datenquellen Schritt für Schritt erweitert werden. So geschieht es bereits in Großbritannien und den USA, die beide als Vorreiter in Sachen Vorhersagesoftware gelten können. Erst kürzlich hatte die britische Firma Accenture einen Probelauf zur Prognose zukünftiger Straftaten von Gang-Mitgliedern abgeschlossen. Das bayerische LKA trifft in zwei Wochen auf einer europaweiten Verkaufsmesse für Polizeitechnik in Berlin mit Accenture zusammen, um sich über entsprechende Erfahrungen auszutauschen.
Vorhandene Stereotype werden zementiert
Der bayerische LfD findet „Precobs“ auch deshalb unbedenklich, weil „der Polizeibeamte und nicht die Software das letzte Wort hat“. Von der jeweils zuständigen PolizistIn würde das Analyseergebnis anhand der vorliegenden Erkenntnisse „gegenprüft“, bevor weitere Maßnahmen eingeleitet würden. Auch dies kann kaum als Argument für die Unbedenklichkeit der Vorhersagesoftware gelten, denn natürlich fährt nicht der Computer selbst zum vermeintlichen Tatort.
Probematisch an Software wie „Precobs“, aber auch bereits vorhandenen Crime Mapping-Systemen ist die Zementierung vorhandener Stereotype bei der Polizei. Die Anwendung zeigt beispielsweise an, dass in einer bestimmten Straße eines reicheren Wohngebietes rund um bevorstehende Ferien- oder Feiertage Einbrüche vermutet werden und welchen Weg die TäterInnen anhand der Verkehrslage wählen könnten. Sie sagt aber nicht, wie die EinbrecherInnen der Zukunft aussehen werden.
Die Polizei wird also möglicherweise jene Personen besonders kontrollieren, die ohnehin häufig ins Raster geraten. Eine Reportage der ARD in den USA hatte dies eindrücklich belegt: Angehalten wurden Personen, die aufgrund ihrer Kleidung eher unterprivilegierten Verhältnissen zuzuordnen sind.
Bye bye Datensparsamkeit
Trotzdem hat der LfD diesbezüglich keine Bedenken und glaubt daran, dass in Bayern alles mit rechten Dingen zugeht. Demnach würden bei „vermehrten Personenkontrollen in einem bestimmten Gebiet“ die rechtlichen Vorgaben (also auch die Nicht-Diskriminierung) „in jedem Einzelfall strikt durch den Polizeibeamten vor Ort eingehalten“. Das darf allerdings bezweifelt werden.
Eines lässt Petri in seinem „Prüfergebnis“ gänzlich unerwähnt: Dass nämlich das „Predictive Policing“ den polizeilichen Datenhunger steigern wird. Denn eine statistik-basierte Analysesoftware arbeitet umso besser, je mehr Informationen verarbeitet werden. Dass dies dem Grundsatz der Datensparsamkeit widerspricht, ist für den bayerischen Datenschützer offenbar kein Problem.
-
: TTIP und TISA: Die USA wollen Datenschutz wegverhandeln
: TTIP und TISA: Die USA wollen Datenschutz wegverhandeln Dieser Beitrag „TTIP und TISA: Die USA wollen Datenschutz wegverhandeln“ ist zuerst in unserem „Jahrbuch Netzpolitik 2014″ erschienen.
TTIP und TISA: Die USA wollen Datenschutz wegverhandeln
In den Verhandlungen zum transatlantischen Freihandelsabkommen (TTIP) zwischen den USA und der EU wird man sich auch den Themen E‑Commerce und transatlantischen Datenflüssen widmen. In diesem Zusammenhang gibt es immer mehr Hinweise darauf, dass die europäischen Datenschutzstandards durch ein solches Handelsabkommen unterwandert werden könnten. Zivilgesellschaft und Verbraucherorganisationen sowohl in der EU als auch den USA. Privacy International, das Center for Digital Democracy, der Europäische Verbraucherverband BEUC und der US-Verbraucherverband waren darin bislang am aktivsten und warnen, dass die Entwürfe der Kapitel zu E‑Commerce und elektronischen Datenflüssen das Datenschutzgrundrecht in der EU bedrohten.
EU: „Haltet den Datenschutz aus den Handelsgesprächen heraus“
Die Verhandlungsführer der EU-Kommision haben wiederholt öffentlich betont, dass sie nicht über ein Mandat für die Verhandlung von Regeln für den Datenschutz verfügten (so zum Beispiel bei der Anhörung der Grünen/EFA-Fraktion im Europaparlament am 5. März 2014). Auch die damalige EU-Justizkommissarin Viviane Reding hat dies in einer Rede in Washington im Oktober 2013 betont:
[…] Es gibt Themen, die TTIP leicht entgleisen lassen könnten. Eines davon sind Daten und der Schutz persönlicher Daten. In der EU ist dies ein wichtiges Thema, weil Datenschutz ein Grundrecht ist. […] Aus diesem Grund warne ich davor, Datenschutz in die Handelsgespräche einzubeziehen. Datenschutz ist ist kein Verwaltungsaufwand und keine Zollgebühr. Datenschutz ist ein Grundrecht und als solches nicht verhandelbar.
Das Verhandlungsmandat der EU-Kommission bezieht sich stattdessen auf Art. XIV des Allgemeinen Abkommens über Handel mit Dienstleistungen (GATS) der Welthandelsorganisation, welches eine allgemeine Ausnahmeklausel enthält:
Unter der Voraussetzung, daß Maßnahmen nicht in einer Weise angewendet werden, die ein Mittel zu willkürlicher oder unberechtigter Diskriminierung unter Ländern, in denen gleiche Bedingungen herrschen, oder eine verdeckte Beschränkung für den Handel mit Dienstleistungen darstellen würde, darf dieses Übereinkommen nicht dahingehend ausgelegt werden, daß es die Annahme oder Durchsetzung von Maßnahmen eines Mitglieds verhindert […]
die erforderlich sind, um die Erhaltung von Gesetzen oder sonstigen Vorschriften zu gewährleisten, die nicht im Widerspruch zu diesem Übereinkommen stehen, einschließlich solcher: […] zum Schutz der Persönlichkeit bei der Verarbeitung und Weitergabe personenbezogener Daten und zum Schutz der Vertraulichkeit persönlicher Aufzeichnungen und Konten.
Das Verhandlungsmandat der EU-Kommission besagt in Art. 18:
Das Abkommen wird der Durchsetzung von Ausnahmen für die Erbringung von Dienstleistungen nicht entgegenstehen, die nach den einschlägigen WTO-Regeln (Art. XIV und XIV GATS) zu rechtfertigen sind.
Art. XIV des GATS wurde in der Tat wörtlich in einen Textentwurf für das TTIP-Abkommen übernommen, der von den Verhandlungsführern der EU-Kommission im Juli 2013 vorgeschlagen und im Februar 2014 geleakt wurde.
Also ist alles gut? Mit Sicherheit nicht. Dies ist nur das Mandat der EU-Verhandlungsführer. Aber bei jedem internationalen Abkommen gehören zum Tango immer zwei.
Interoperabilität“ oder „Angemessenheit“?
Auf der amerikanischen Seite gab es bereits zahlreiche Versuche, die europäischen Datenschutzregeln im Zusammenhang mit den Handelsgesprächen auszuhöhlen. Neue Lobbyverbände wurden gegründet, wie zum Beispiel die Coalition for Privacy and Free Trade – die Koalition für Privatsphäre und freien Handel, die von der US-Anwaltskanzlei Hogan Lovells gesteuert wird und einige politische Schwergewichte zu seinen Mitgliedern zählen kann. Unter ihnen befinden sich der frühere EU-Botschafter in den USA Hugo Paemen, der frühere US-Handelsvertreter Clayton Yeutter und Daniel Weitzner, der frühere stellvertretende technische Leiter für Internetpolitik.
Ein wiederkehrendes Thema dieser Lobby-Bemühungen war in den letzten Jahren der Versuch, auf die „Interoperabilität“ zwischen den amerikanischen und den europäischen Regel des Datenschutzes zu drängen. Dies würde im Grundsatz eine gegenseitige Anerkennung der jeweiligen Regeln auf der anderen Seite des Atlantiks bedeuten, möglicherweise mit ein paar juristischen Tricks, um es solide erscheinen lassen.
Der Haken: In der Vereinigten Staaten gibt es derzeit keine umfassenden Datenschutzgesetze. Die Safe-Harbor-Entscheidung von 2000, durch welche sich amerikanische Firmen freiwillig den europäischen Standards unterwerfen können, um damit persönliche Daten aus Europa verarbeiten zu dürfen, ist weitgehend wirkungslos. Das Europaparlament hatte Safe Harbor schon zur Zeit seiner Entwicklung im Jahre 2000 kritisiert. Im Abschlussbericht der Untersuchung zu den NSA-Enthüllungen wurde am 12. März 2014 sogar dessen Aufhebung gefordert. Aus europäischer Sicht gibt es also nichts, was als „interoperabel“ zu bezeichnen wäre, mit der Ausnahme freiwilliger Maßnahmen zur Selbstregulierung und den üblichen, nicht durchsetzbaren Verpflichtungen zur Transparenz, die dem Verbraucher „Wahlmöglichkeiten“ geben, die unter langen und unlesbaren Geschäftsbedingungen versteckt sind.
„Interoperabilität“ ist ein Versuch, europäische Datenschutzstandards zu untergraben. Die Anforderungen des Datenschutzes in der EU enthalten weit mehr als „Interoperabilität“. Art. 25 der Datenschutzrichtlinie von 1995 verlangt, dass
[…] die Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung verarbeitet werden sollen, in ein Drittland vorbehaltlich der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet.
Kurz: Die europäische Grundlage für die Übermittlung personenbezogener Daten an Drittländer ist die „Angemessenheit“ von deren Datenschutzsituation. Auf Seiten der USA versucht man, das durch bloße „Interoperabilität“ zu ersetzen.
Einige europäische Datenschutzexperten sind bereits Teil dieses „Interoperabilität“-Manövers. Ende April 2014 haben das Massachusetts Institute of Technology und die Universität Amsterdam eine Reihe von Gesprächsrunden mit dem Titel Privacy bridges – Datenschutzbrücken – veranstaltet.
mit dem Zweck, Rahmenbedingungen für praktische Interoperabilitätsmöglichkeiten zu entwickeln, um die Lücken zwischen den Rechtssystemen der Europäischen Union und der Vereinigten Staaten zu überbrücken. […] In den nächsten 18 Monaten wird die Gruppe ein gemeinsames Weißbuch vorbereiten, das einen Weg nach vorne aufzeigt zwischen der EU und den USA. Die Bestrebungen zielen darauf ab, einen Rahmen praktischer Möglichkeiten zu schaffen, der starke, weltweit akzeptierte Werte der Privatsphäre in einer Weise voranbringt, die Interoperabilität erschafft und die inhaltlichen und prozeduralen Unterschiede zwischen beiden Rechtssystemen respektiert.
Unter den Teilnehmern befinden sich ein paar wohlbekannte Datenschützer und Verfechter der Privatsphäre, wie der frühere Bundesdatenschutzbeauftragte Peter Schaar. Andere haben wiederum enge Verbindungen zur Industrie, die hinter einer universitären Anbindung verschleiert wird, wie z. B. Mitgründer Daniel Weitzner, der in die Industrievereinigung „Coalition for Privacy and Free Trade“ involviert ist. Alles, was in diesem Kontext entwickelt wird, könnte später in TTIP landen. Der Anspruch des „privacy bridges“-Projektes schließt Änderungen in den Gesetzen der USA aus. Ironischerweise stellt sogar das Weiße Haus in seinem etwa gleichzeitig mit dem Start von Privacy Bridges veröffentlichten Big Data Report explizit fest, dass der rechtliche Schutz von Nicht-Amerikanern im US-Datenschutzrecht ausgeweitet werden müssen. Nach der ersten Publikation dieses Artikels im September 2014 als Statewatch-Analyse diskutiert das Projekt „privacy bridges“ nun, den Begriff „Interoperability“ fallen zu lassen.
Ein paar schwergewichtige Industrie-Player gehen noch einen Schritt über „Interoperabilität“ hinaus. Die Business Coalition for Transatlantic Trade, die von der US-Handelskammer gegründet wurde, verlangt nach einem „Rechtsrahmen, der Flexibilität im Umgang mit der Privatsphäre erlaubt und die kooperative Zusammenarbeit in Sicherheitsfragen fortführt.“ – ganz so, als hätte es nie die NSA-Leaks gegeben und als gäbe es in Europa kein Grundrecht auf Datenschutz.
Sind „Schengen-Routing“ und eine „EU-Cloud“ Handelshemmnisse?
Auf amerikanischer Seite hat man nun seit einigen Monaten mit einem semantischen Trick gespielt. Es begann im Kontext der europäischen Reaktionen auf die durch Snowden bekannt gewordene Überwachungsaffäre. Von verschiedenen Seiten wurden Vorschläge zur Änderung des Routings von Internetpaketen gemacht. Diese sollten einem bestimmten Pfad folgen und in der EU verbleiben oder sogar nur in Deutschland, wenn sowohl Sender als auch Empfänger sich dort befänden. Solche Vorschläge wurden – aus unterschiedlichen Motiven – von verschiedenen Seiten gemacht, etwa vom Datenschutzexperten Ian Brown von der Universität Oxford, aber auch von der Deutschen Telekom AG.
Was auf den ersten Blick als vernünftige Idee erscheint – warum sollte eine E‑Mail von Brüssel nach Berlin durch New York oder andere Gegenden mit fragwürdiger Gesetzeslage geleitet werden? – ist technisch nicht einfach und kann sogar durch seine möglichen Nebenwirkungen gefährlich werden. Technisch ist es nicht trivial, weil das Internetprotokoll bei IP-Adressen einen logischen Adressraum verwendet, der nicht weiß, welchen geografischen Standort die IP-Adresse der darunter liegenden physischen Transportebene hat. Dienste, welche die Ortsbestimmung der IP-Adresse ermöglichen, erreichen nur eine Annäherung: Weil es drei offizelle Standorte des Europaparlaments gibt (Brüssel, Luxemburg, Straßburg), sieht meine eigene IP-Adresse im Europaparlament in Brüssel so aus, als wäre ich in Luxemburg.
Aber selbst wenn Geo-Routing technisch machbar wäre, kann es doch nicht unser Ziel sein, die Topologie des transnationalen, weltweiten Internets entlang der Ländergrenzen neu zu formen. Dies würde schnell unerwünschte Folgen nach sich ziehen, beispielsweise Rufe nach „Einwanderungskontrollen“ für Datenpakete, was gleichbedeutend mit Internetzensur wäre. Die Grünen haben im Europaparlament eine Änderung zum Abschlussbericht der NSA-Untersuchung eingereicht, derzufolge der gesamte Internetverkehr Ende-zu-Ende verschlüsselt werden soll, weil es dann nicht länger eine Rolle spielt, wo die Daten entlang fließen. Der Änderungsantrag wurde als Teil eines im Februar 2014 im Ausschuss abgestimmten Kompromisses angenommen und anschließend im März 2014 im Plenum des Parlaments bestätigt.
Nachdem die Debatte über nationales oder zumindest europäisches Routing zu Anfang des Jahres 2014 schon tot geglaubt war, drängte Bundeskanzlerin Angela Merkel in ihrem wöchentlichen Podcast erneut auf ein europäisches Routing. Dies wurde breit in den Medien aufgegriffen – die Debatte köchelt seitdem weiter.
Von amerikanischer Seite wird die Debatte jetzt dazu genutzt, europäische Regeln und Begrenzungen für die Übermittlung personenbezogener Daten an Drittstaaten anzugreifen. Sie werfen Begriffe wie „Schengen-Netzwerk“ und „Cloud Computing“ in einen Topf mit den Drittstaaten-Regeln der EU-Datenschutzrichtlinie und betiteln alles gemeinsam als „Lokalisierung“. Der US-Handelsbeauftragte Michael Froman vertrat dies in der Vorstellung seines Berichts über die Handelsabkommen für den Telekommunikationsmarkt. Er behauptete, die europäischen „Lokalisierungs“-Regeln, die den Datentransport oder die Datenverarbeitung in Europa verlangen, würden ein illegales Handelshemmnis darstellen. Die Business Coalition for Transatlantic Trade argumentiert in die gleiche Richtung. Sie fordert, dass das TTIP-Abkommen „verbietet, dass Dienstleister lokale Server und andere Infrastrukturen verwenden oder eine eine lokale Niederlassung errichten müssen.“
Hier ist es allerdings sehr wichtig, Routing und Datenverarbeitung klar zu trennen. Das ist bereits in Regeln für „reine Durchleitung“ durch Telekommunikationsanbieter enthalten, die nicht für den Inhalt, den sie transportieren, oder die stattfindende Datenverarbeitung bei Sender oder Empfänger verantwortlich gemacht werden können. Während das Aufstellen von Regeln für das Routing von Datenpaketen eine schlechte Idee sein mag, ist es auf der anderen Seite sehr entscheidend, wo die Daten verarbeitet werden – insbesondere wenn es sich dabei um personenbezogene Daten handelt. Auch auf europäischer Seite haben viele noch nicht vollständig verstanden, dass die EU-Regeln des Datenschutzes ganz grundlegend auch Regeln für die Lokalisierung sind. Weil Datenschutz in Europa ein bindendes Grundrecht mit Verfassungsrang in der EU-Charta der Gurndrechte ist, können personenbezogene Daten prinzipiell erst einmal nur in Europa verarbeitet werden. Alle Regeln, die die Übertragung von Daten in Drittländer ermöglichen, stellen Ausnahmen von diesem Prinzip dar und müssen deshalb bestimmte Bedingungen erfüllen – wie beispielsweise ein angemessenes Schutzniveau in dem jeweiligen Drittland.
In Zeiten der Post-Snowden-Ära gibt es in Europa eine eine umfassende Debatte über strengere Bedingungen für die Übermittlung personenbezogener Daten in die USA und andere Drittländer. Das Europaparlament hat einen neuen Art. 43a in seine Version der kommenden Datenschutzverordnung eingeführt, welcher die Behörden von Drittländern davon abhalten soll, ohne ein gegenseitiges Rechtshilfeabkommen Daten von europäischen Datenverarbeitern zu verlangen. Nun wird der Europäische Gerichtshof entscheiden müssen, ob Datenübertragungen in die USA unter dem Safe-Harbor-Abkommen immer noch legal sind, nach einer Vorabentscheidung des Hohen Gerichts Dublin auf Basis einer Beschwerde des Österreichers Max Schrems und seiner Aktivistengruppe Europe vs. Facebook.
Der Digital Trade Act und TTIP
Der amerikanische Handelsbeauftragte Michael Formman steht nicht alleine da. Dem US-Senat wurde im Dezember 2013 ein Entwurf für einen Digital Trade Act vorgestellt. Dieser würde Vertretern der Vereinigten Staaten ein bindendes Mandat für internationale Verhandlungen zum E‑Commerce in die Hand geben. Regelungen zur „Lokalisierung“ würden dann verbannt werden müssen, während die „Interoperabilität“ der Datenverarbeitung als Grundprinzip verankert würde. Dieses Gesetz würde natürlich auch für die Verhandlungen der entsprechenden Kapitel in TTIP angewendet werden. Ähnliche Bestimmungen finden sich auch in dem Entwurf des parteiübergreifenden Trade Priorities Act, der im Januar 2014 im US-Senat vorgestellt wurde.
Entwürfe von Verhandlungsführern der USA zum E‑Commerce in TTIP enthalten bereits diese beiden entscheidenden Aspekte: das Prinzip der „Interoperabilität“ europäischer und amerikanischer Datenschutzbstimmungen und das Verbot der „Lokalisierung“. Es ist offensichtlich, dass die amerikanischen Verhandlungspartner, mit Rückhalt durch die Industrie, massiv darauf drängen, diese Punkte im endgültigen Abkommen zu behalten. Im Oktober 2014 haben dies US-Verhandlungspartner einen konkreten Textvorschlag zu „Datenflüssen“ vorgelegt. Niemand außerhalb der EU-Kommission kann derzeit seine Bedeutung beurteilen. Die Geheimhaltung der Verhandlungen hält sogar den TTIP-Berichterstatter des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (LIBE) im Europaparlament davon ab, die Schriftstücke einzusehen – dabei ist dieser Ausschuss für den Datenschutz zuständig. Informell bestätigen US-Verhandler aber, dass in dem Text genau die beiden Punkte – „Interoperabilität“ und das Verbot von „Lokalisierung“ stehen.
Die EU-Kommission ist durch ihr Verhandlungsmandat verpflichtet, den Forderungen der USA zur Aufweichung des Datenschutzes in keiner Weise entgegenzukommen. Allerdings führen internationale Verhandlungen immer zu Kompromissen. Es ist stark anzunehmen, dass TTIP zumindest in abgeschwächter Form Regulierungen beinhalten wird, die europäische Datenschutzstandards unterwandern, z. B. bei der Limitierung des Interpretationsraumes für die Ausnahmeklausel des GATS auf außergewöhnliche Umstände.
TTIP auf Steroiden: Das Abkommen über den Handel mit Dienstleistungen (TiSA)
Gleichzeitig zu den TTIP-Verhandlugen und ein Jahr lang weitgehend unbemerkt von der Öffentlichkeit, finden die plurilateralen Verhandlungen zum Abkommen über den Handel mit Dienstleistungen statt. Das sogenannte Trade in Services Agreement (TiSA) würde GATS in den beteiligten Ländern ablösen – bis jetzt sind das die USA, die EU und 21 weitere Industrieländer. Unter ihnen befinden sich die Schweiz, Kanada, Japan, Australien, Südkorea, die Türkei und Länder in Lateinamerika und Asien. Die US-Industrie ist durch die in den letzten Monaten zunehmende öffentliche Kritik an TiSA aufgeweckt worden und hat, wie bereits bei TTIP, eine PR-Kampagne zugunsten einer Lockerung von Handelsbeschränkungen begonnen. Die TiSA Business Coalition, auch „Team TiSA“ genannt, wurde am 18. Juni 2014 in Anwesenheit des US-Handelsbeauftragten und des Japanischen Botschafters gestartet.
Ein erklärtes Ziel der Verhandlungen zu TiSA ist es, die Ausnahmen in GATS abzuschaffen, die bestimmte nicht-tarifäre Handelsbeschränkungen schützen, wie unter anderem den Datenschutz. Dies wird durch ein erstes Leak der TISA-Dokumente veranschaulicht. In einem Entwurf für den Finanzdienste-Anhang zu TiSA, der auf Wikileaks am 19. Juni 2014 veröffentlicht wurde, wird es Finanzinstitutionen wie Banken erlaubt, selbst personenbezogenen Daten frei von einem Land ins andere zu übertragen. Dies würde eine radikale Ausnahme von Europäischen Datenschutzregeln bedeuten. Die Übertragung und Analyse von Finanzdaten aus der EU zum „Terrorist Finance Tracking“-Programm (TFTP) in den USA hat bereits einmal die Beziehungen zwischen den Verhandlungspartnern erschüttert und dazu geführt, dass das Europaparlament 2010 sein Veto für das Abkommen einlegte. Der Textentwurf auf dem TISA-Leak würde nun wirklich alle Schleusen öffnen und den Datenschutz den Bach herunter gehen lassen.
Die Schwächung der Datenschutzgesetze der EU in TiSA umfasst noch mehr als „nur“ den Finanzsektor. Quellen zufolge, die in die Verhandlungen involviert sind, enthalte der Entwurf zum Anhang „E‑Commerce und Telekommunikation“ Bestimmungen, die keine Beschränkungen für grenzüberschreitende Informationsflüsse mehr zulassen und auch Lokalisierungsanforderungen für Dienstleister im IKT-Bereich verböten. Von den US-Unterhändlern wurde auch eine Formulierung vorgeschlagen, die jegliche Bedingungen für die Übermittlung personenbezogener Daten an Drittländer, wie sie seit 1995 im europäischen Datenschutzrecht existieren, ausschließen würde. Eine weitere Vorschrift, die ebenfalls von den US-Verhandlern eingebracht wurde, würde jegliche Vorgaben für die elektronische Datenverarbeitung innerhalb des jeweiligen Landes verbieten.
Ortsgebundenheit personengebundener Daten als Grundrecht
Durch die Enthüllungen von Edward Snowden ist offensichtlich geworden, dass Europa dringend in den Wiederaufbau einer eigenständigen IT-Industrie investieren müsste, von der Hardware-Ebene bis hin zu Anwendungen und Diensten, wenn es sich vor der Massenüberwachung der NSA schützen will. Europäische Behörden und Privatunternehmen bestehen immer auf Vorschriften zur Lokalisierung, wenn sie Computerdienste einkaufen, um sicherzugehen, dass ihre sensiblen Daten nicht in Gebieten mit fragwürdiger Gesetzeslage landen.
Sogar der Europäische Gerichtshof hat dies in seinem Grundsatzurteil vom April 2014 hervorgehoben, mit dem die Vorratsdatenspeicherung aufgehoben wurde. Die fehlende Verpflichtung zur Lokalisierung wurde hier offen kritisiert:
Zweitens schreibt die Richtlinie nicht vor, dass die fraglichen Daten im Unionsgebiet auf Vorrat gespeichert werden, sodass es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten.
Auf Deutsch: Kein Handelsabkommen darf solch eine bevorzugte Behandlung von europäischen IKT-Unternehmen unterbinden. Oder in noch einfacherem Deutsch: „Nimm das, US-Handelsbeauftragter“.
Es bleibt abzuwarten, ob Europa seine Datenschutzbestimmungen unter dem Druck einer Einigung über TTIP und TiSA erreichen, aufrecht erhalten oder gar verstärken können wird.
-
: „Im Zweifel wird gelöscht“ – Google-Expertenbeirat legt Bericht zum Recht auf Vergessen vor
Maschinen sollen wie Menschen das Vergessen "erlernen" (CC BY-NC-ND 2.0 Foto:<a href="https://www.flickr.com/photos/_flood_/6732863457">Flood</a>) : „Im Zweifel wird gelöscht“ – Google-Expertenbeirat legt Bericht zum Recht auf Vergessen vor Heute morgen hat ein durch Google initiierter Expertenbeirat seinen Bericht mit Handlungsempfehlungen zum EuGH-Urteil zum „Recht auf Vergessen“ vorgelegt.
Vorab war bereits in der Süddeutschen Zeitung ein Beitrag erschienen, in dem die Ex-Bundesjustizministerin und Gegnerin der Vorratsdatenspeicherung Sabine Leutheusser-Schnarrenberger Kritik an dem finalen Bericht des Beirates äußerte:„Wenn ich bei der Google-Suche in Europa über Google.com die Artikel wiederfinde, auf die sich der Löschungsanspruch bezieht, wird der Anspruch umgangen.“
„EU-Bürger sind in der Lage eine globale Suchanfrage zu starten. Das Internet ist global, der Schutz der Persönlichkeitsrechte muss ebenfalls global sein.“
Als strikter Gegner der Linklöschung durch Suchmaschinen machte auch der Wikipedia-Mitbegründer Jimmy Wales im Anhang des Berichts seiner Unzufriedenheit mit der jetzigen Regelung Luft:
„Ich lehne diesen Rechtszustand entschieden ab, in welchem ein Wirtschaftsunternehmen gezwungen wird, über unsere wichtigsten Grundrechte der Meinungsfreiheit und Privatsphäre zu entscheiden, ohne dass irgendein angemessenes Beschwerdeverfahren für die Urheber der Werke besteht, welche von der Löschung betroffen sind.“
In dem Bericht empfiehlt der Expertenbeirat vier Kritierien, anhand derer die Löschung eines Links bewertet werden soll:
- Die Rolle der Person im öffentlichen Leben
- Die Art der Information
- Information, die das Recht auf Privatsphäre des/der Betroffenen beeinflussen
- Information, die von öffentlichem Interesse sind
- Die Quelle (z.B. Journalistisch, Staatlich)
- Die Zeit (z.b. verjährte Straftaten, verbüßte Haftstrafen)
Bei unklaren Fällen soll der der bekannte Spruch „Im Zweifel für den Angeklagten“ in umgekehrter Form angewendet werden: Im Zweifel für den Betroffenen und für eine Löschung aus den Suchergebnissen.
Falls Google oder andere Suchmaschinenbetreiber sich dafür entscheiden, dem Antrag einer Person auf die Löschung eines oder mehrerer Links aus dem Suchindex stattzugeben, soll ein fünfstufiger Ablaufplan eingehalten werden:
- 1. Eingang des Löschantrag
- 2. Benachrichtigung des Betreibers der betroffenen Website
- 3. Möglichkeit der Anfechtung einer Löschentscheidung
- 4. Geographische Reichweite der Löschung (EU-Domains)
- 5. Transparente Darstellung der Löschung (z.b. mit Verweis auf chillingeffects.org)
Google und die Mitglieder des Beirates stellen in ihrem Bericht deutlich heraus, dass es sich bei der Löschung von Links nicht um ein echtes „Recht auf Vergessen“ handele, wie es das EuGH-Urteil eigentlich einfordere. Die Inhalte selbst bleiben nach der Löschung auf den Websites der Betreiber weiterhin erhalten. Das Urteil wurde von Seiten Googles in den vergangenen Monaten immer wieder kritisiert.
-
: Tracker-Ranking der 50-Top-News-Webseiten
Top-50-Nachrichtenseite und Anzahl der Tracker nach Reichweite : Tracker-Ranking der 50-Top-News-Webseiten Es gibt nur wenige Nachrichtenseiten, die ihre Leser nicht mit Tracker überwachen. Netzpolitik.org gehört dazu. Tracking wird dabei zumeist über Cookies realisiert, die vom Webserver an den Browser gesendet oder durch verschiedene Skripte (oftmals Werbung) auf der Website erzeugt werden. Sie erfüllen dabei im Wesentlichen zwei Zwecke: Zum einen identifizieren sie den Nutzer über eine eindeutige Session-ID. Das kann nützlich sein, wenn beispielsweise eingegebene Passwörter über mehrere Seitenzugriffe gespeichert werden, sodass man sich nicht jedes mal neu anmelden muss. Zum anderen sind sie wesentlicher Bestandteil der Finanzierung des Web-Angebotes, denn über Cookies werden verschiedene Informationen über den Leser an Webseitenbetreiber und auch Drittanbieter übermittelt.
Tracking-Cookies ist es möglich, unseren Weg durchs Netz zu verfolgen und sich zu merken, auf welchen Webseiten wir uns noch so herumtreiben. Durch diese Art dieser Profilbildung ist es zum Beispiel möglich personalisierte Werbung auf den Nachrichtenseiten einzubinden. Mittlerweile gibt es verschiedenste Tools, wie Trackography oder der Datenblume, mit denen man sich anzeigen lassen kann, welche Unternehmen Kenntnis darüber haben, auf welchen Seiten man sich informiert.
Doch auf welche deutschsprachigen Nachrichtenseiten werden die meisten User-Daten getrackt?
Vor einigen Tagen hat dasfilter.com eine Top 22 Liste der vertracktesten Webseiten vorgestellt. In die Analyse wurden wurden relativ beliebige, aber populäre Webseiten einbezogen. Davon haben wir uns inspirieren lassen und ebenfalls Liste erstellt, in der allerdings nur Tracking-Aktivitäten von den 50 reichweitenstärksten News-Webseiten laut der AGOF berücksichtigt wurden.
Wir haben für kurze Zeit unsere Anti-Tracking-Tools deaktiviert und uns mit Hilfe von den Add-Ons Lightbeam und Ghostery für Firefox die gefundenen Tracker auf allen 50 Startseiten der News-Portale anzeigen lassen. Der Vorteil der beiden Tools ist, dass diese in Echtzeit Verbindungen zu Drittanbieter-Seiten anzeigen. Mit beiden ist es möglich diese unbeabsichtigten Verbindungen zu blockieren, jedoch nur Lightbeam kann diese auch in einer Grafik visualisieren. Auf Grundlage der angezeigten Verbindungen von Lightbeam und Ghostery haben wir ein Diagramm erstellt, welches die Nachrichtenseiten geordnet nach Anzahl der Tracker (Lightbeam) darstellt. Hier gibt es diese auch in einer übersichtlicheren und interaktiven Form.
Geordnet nach der Reichweite ergibt sich folgendes Bild. Hier gibt es ebenfalls eine interaktive Grafik.
Unabhängig von der Reichweite nutzen alle 50 Medienseiten Tracker. Lightbeam zeigt dabei generell mehr Verbindungen zu Drittanbieter-Seiten an als Ghostery. Beispielweise stuft Ghostery Google-Fonts nicht als Tracker ein, Lightbeam hingegen schon. Nachfolgend beziehen wir uns auf die Zahlen von Lightbeam und geben die Werte von Ghostery in Klammern an.
Bei den größeren News-Seiten sticht Welt.de mit 30 (17) Trackern besonders hervor, während bei Spiegel-Online immer noch 15 (4) gefunden wurden. Die ad-hoc-news belegen bezüglich der Reichweit nur Platz 27, sind aber mit 33 (16) Verbindungen zu Drittanbietern Spitzenreiter in Sachen Tracking. Das verwundert allerdings wenig, da ebenso die Inhalte der Seite fast ausschließlich von Dritten kommen. Am wenigsten trackt die Hessische/Niedersächsische Allgemeine mit 9 (4) unbeabsichtigten Verbindungen.Die Zeitungsgruppe Thüringen Online verzerrt das Ergebnis, da hier nur die gemeinsame Verlagsseite der Zeitungen in der Analyse berücksichtigt wurde. Zudem sind die Ergebnisse mit Vorsicht zu genießen, da die Anzahl der Tracker beim mehrmaligem Besuchen der Webseite variieren kann.
Allerdings vermittelt die Grafiken einen Eindruck davon, wie Nachrichtenseiten mit der Privatsphäre ihrer Leser umgehen. Dies ist einerseits unbefriedigend, andererseits bei werbefinanziertem Onlinejournalismus wohl kaum zu ändern. Der Einsatz von Anti-Tracking-Tools ist eine Maßnahme seine Privatsphäre ein Stück weit zu wahren und stellt die Finanzierungsart von Nachrichtenwebseiten in Frage. Eine übersichtliche Auflistung verschiedener Anti-Tracking-Plugins findet ihr hier bei den Machern von Trackography.
Wir können nur auf Tracking verzichten, weil unsere Leserinnen und Leser unsere Arbeit mit freiwilligen Abos in Form von Spenden unterstützen.
-
: NSA: Keine „Reformen“ von Obama
Und wir zählen bald auf zwei Jahre hoch. :/ : NSA: Keine „Reformen“ von Obama Einige werden sich erinnern, dass die US-Regierung schon kurz nach Beginn der NSA-GCHQ-Skandale ein bereits seit dem Jahr 2004 bestehendes Gremium gebeten hatte, einen genaueren Blick auf die Machenschaften der NSA zu werfen: das Privacy and Civil Liberties Oversight Board (PCLOB), das als unabhängige Instanz mit fünf Mitgliedern besetzt ist. Dieses Kontrollgremien der Exekutive soll untersuchen, ob die Anti-Terror-Bemühungen der US-Regierung nicht zu stark in grundlegende Freiheitsrechte der Amerikaner eingreifen.
Das PCLOB ist nicht eben das beliebteste Kontrollgremien der Exekutive, wenn es um die Vergabe der Sitze geht: Es blieben mitunter jahrelang Stellen unbesetzt, was die Arbeitsfähigkeit deutlich beschränkte. Der US-Senat brauchte auch für die Besetzung des aktuellen Vorsitzes anderthalb Jahre. Grund ist vor allem das politische Hick-Hack zwischen Republikanern und Demokraten um die Nominierungen passender Personen. Nur wenige Tage nach der Besetzung des jetzigen Vorsitzes mit David Medine am 29. Mai 2013 begannen die NSA-Veröffentlichungen des Guardian, was das öffentliche Interesse an der Arbeit der Mitglieder weckte.
Denn die Mitglieder erhalten „top-secret clearances“ und haben gegenüber den Geheimdiensten das Recht, die Herausgabe von jeglichen Unterlagen an das PCLOB zu fordern. Selbst kommerzielle Partnerfirmen der NSA kann das Gremium mit Hilfe des Justizministers zur Übergabe von Dokumenten zwingen.
Der Missbrauch innerhalb der NSA ist im Laufe der vergangenen Monate mehrfach dokumentiert, etwa beim im August 2013 öffentlich gewordenen LOVEINT-Skandal, bei dem zutage trat, dass NSA-Angestellte frühere und aktuelle Geliebte abgeschnorchelt hatten. Allerdings blieb dieser Missbrauch wohl bisher für die Staatsspione folgenlos.
Im Januar war kurz vor seiner Rede an die Nation noch die Direktive von US-Präsident Barack Obama (Signals Intelligence Activities, PPD-28) ergangen, nebst Bericht. Er betonte dabei die Zusammenarbeit mit dem PCLOB:
I’ve consulted with the Privacy and Civil Liberties Oversight Board.
Da fragt man sich doch: Was empfiehlt angesichts der NSA-Praktiken das PCLOB denn?
Die erste Forderung in ihrem Recommendations Assessment Report (pdf) vom 29. Januar ist ein Ende des „Section 215 program“, da eine ordentliche legalistische Grundlage fehle und außerdem Freiheitsrechte und das Recht auf Privatheit stark bedroht seien.
The Board recommended that the government end the program.
Da haben Obamas Konsultationen wohl nicht gefruchtet, bekanntermaßen hat er es nicht beendet. Und das PCLOB merkt gleich noch an:
The Administration can end the bulk telephone records program at any time, without congressional involvement.
Das PCLOB reibt also nochmal rein, dass die US-Regierung die anlasslose Massenüberwachung der Telekommunikation jederzeit beenden könnte, ohne den US-Kongress überhaupt zu involvieren.
Schon zuvor hatte das PCLOB festgehalten, dass die Massendatensammlung der NSA gemäß Sektion 215 in keinem einzigen Fall („no instance“)..
…directly contributed to the discovery of a previously unknown terrorist plot or the disruption of a terrorist attack.
Aber Wirkungslosigkeit taugt offenbar auch nicht als Argument, um Obama zum Einlenken zu bewegen. Ein Jahr ist jetzt vergangen, seit er wenigstens für amerikanische Inländer versprochen hatte, Geheimdienst-„Reformen“ einzuleiten. Die neuen Empfehlungen des PCLOB hin oder her, keine der bisherigen Reformen beschneidet auch nur die Massenüberwachung inner-amerikanischer Kommunikation.
Da kann man sich der EFF nur anschließen, die festhält, Obama sei daran gescheitert, die NSA irgendwie im Zaum zu halten. Das betrifft sowohl die inner-amerikanische Massenüberwachung als auch den Rest der Welt.
-
Verbandsklagerecht bei Datenschutzverstößen: Bundesregierung verabschiedet Gesetzentwurf
Verbandsklagerecht bei Datenschutzverstößen: Bundesregierung verabschiedet Gesetzentwurf Das Bundeskabinett hat heute den Entwurf eines Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts (PDF) beschlossen.
Bundesminister der Justiz und für Verbraucherschutz Heiko Maas kommentiert in einer Pressemitteilung:
Unternehmen erheben und verarbeiten immer mehr personenbezogene Daten. Daten sind im Internet eine neue Währung. Egal ob wir surfen, eine App herunterladen oder ein Foto posten, bei nahezu jedem Klick und jeder Aktion werden Daten von Verbrauchern gesammelt. Diese Daten werden nicht nur für die Vertragsabwicklung benötigt, sondern zunehmend auch kommerziell verwertet. Ihre missbräuchliche Verwendung kann zu erheblichen Verletzungen des Persönlichkeitsrechts führen. Deshalb ist es wichtig, dass die Datenschutzregeln auch durchgesetzt werden.
Für Verbraucherinnen und Verbraucher ist es schwer, Verstöße der Unternehmen gegen das Datenschutzrecht überhaupt zu erkennen. Viele scheuen zudem die Kosten und Mühen gegen datenschutzrechtliche Verstöße vorzugehen. Viele wagen es nicht, alleine einen Rechtsstreit gegen große Unternehmen mit eigener Rechtsabteilung zu führen. In solchen Situationen brauchen die Verbraucher einen starken Anwalt ihrer Interessen: die Verbraucherorganisationen. Diese werden künftig das Recht haben, Abmahnungen auszusprechen und Unterlassungsklagen zu erheben. Wir stärken damit die Durchsetzung von Verbraucherrechten – auch und gerade gegenüber marktmächtigen Unternehmen im Internet.
Der Verbraucherzentrale Bundesverband (vzbv) freut sich: Erweiterte Verbandsklagebefugnis sorgt für besseren Schutz persönlicher Daten
Der vzbv bewertet den Ansatz der Gesetzesnovelle einer nicht abschließenden Regelung grundsätzlich positiv. Der Gesetzentwurf umfasst auch Verstöße, bei denen Unternehmen Daten ohne Angabe eines bestimmten Zwecks unzulässig erheben oder speichern. So lässt der Entwurf damit Spielraum für Klagen bei Verstößen, die heute noch gar nicht vorstellbar sind – etwa durch neue Erhebungsmethoden oder Geschäftspraktiken.
Laut Gesetz wird es eine gesetzliche Anhörungspflicht der Datenschutzaufsichtsbehörden im Rahmen der Unterlassungsverfahren geben. Das sieht der vzbv als große Chance, vor allem gegenüber Internetgiganten gemeinsam mit den Behörden zu agieren und so effektiver für die Einhaltung geltender Verbraucher- und Datenschutzvorschriften zu sorgen.
Hinweis: Gerd Billen, seit Dezember 2013 Staatssekretär im BMJV, war bis Ende 2013 Vorstand des vzbv.
Update 1: Peter Schaar, ehemaliger Bundesdatenschutzbeauftragter und Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz, kommentiert gegenüber netzpolitik.org:
Die auf Initiative des BMJV beschlossene Erstreckung des Verbandsklagerechts auf datenschutzrechtliche Vorschriften ist überfällig. In meiner früheren Funktion als Bundesdatenschutzbeauftragter habe ich dies gemeinsam mit den Datenschutzbeauftragten der Länder bereits vor Jahren gefordert. So gut es ist, dass nun auch Verbraucher- und Datenschutzverbände die gerichtliche Überprüfung des Umgangs von Unternehmen mit personenbezogenen Daten veranlassen können, so wichtig bleibt die Modernisierung und europaweite Stärkung des Datenschutzrechts. Insbesondere halte ich es für dringend erforderlich, die Transparenz der Datenverarbeitung beim Scoring durch Kreditauskunfteien wie die Schufa zu verbessern und die immer weiter um sich greifende Profilbildung zu besgrenzen. Der Gesetzgeber hat es in der Hand, dafür zu sorgen, dass derartige Verfahren nicht mehr als Betriebs- und Geschäftsgeheimnisse behandelt werden.
Update 2: Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen im Bundestag, kommentiert gegenüber netzpolitik.org:
Wir begrüßen, dass sich die Große Koalition dazu durchringen konnte, den Verbänden ein Klagerecht einzuräumen. Dies ist eine seit Jahren von uns verfolgte Forderung. Die Einführung eines Verbandsklagerechts für Datenschutzansprüche war überfällig. Sie wird zu einer weiteren, notwendigen Stärkung des Datenschutzes führen. Den nun zwischen den Ministerien ausgehandelten Kompromiss werden wir genau auf Verwässerung prüfen, auch, um sicherzustellen, dass die Landesdatenschutzbeauftragten weiterhin ungehindert parallel gemäß ihrer eigenen Befugnisse verfolgen können.
Update 3: Der BITKOM ist dagegen, weil Wirtschaft:
Mit dem Aufbau paralleler Strukturen werde die Stellung der Datenschutzbeauftragten geschwächt. Zudem könnten die Verbraucherschützer schon jetzt gegen Unternehmen klagen, wenn diese in den Allgemeinen Geschäftsbedingungen (AGB) gegen Datenschutzvorschriften verstoßen. Kempf: „Für Unternehmen, die Daten von Kunden verarbeiten, wird die Rechtsunsicherheit steigen, wenn es verschiedene Rechtswege gibt.“
Die Bundesdatenschutzbeauftragte hat es in den letzten beiden Tagen leider nicht geschafft, auf unsere Presseanfrage zum Thema zu antworten. In der Presestelle geht auch gerade niemand ans Telefon.
Update 4: Jetzt endlich meldet sich Andrea Voßhoff:
Das Ziel der Bundesregierung, dem Datenschutz zu mehr Wirksamkeit zu verhelfen, ist dem Grunde nach zu begrüßen. Dass dazu Verbraucherverbände künftig Zuwiderhandlungen von Unternehmen beim Umgang mit zu kommerziellen Zwecken erhobenen, verarbeiteten oder genutzten personenbezogenen Daten von Verbrauchern abmahnen und im Wege der Unterlassungsklage verfolgen können, kann hilfreich sein. Nach europäischem Recht ist es allerdings vorrangig Aufgabe der Datenschutzbehörden, über die Einhaltung der datenschutzrechtlichen Bestimmungen zu wachen. Hierfür stehen den in der Regel zuständigen Landesdatenschutzbehörden gegenüber den Unternehmen umfassende Ermittlungs- und Sanktionsbefugnisse zu. Damit im Interesse der Bürgerinnen und Bürger eine einheitliche Rechtsverfolgung gewährleistet ist, war mir die im Gesetzentwurf vorgesehene Schaffung einer Anhörungspflicht der Datenschutzbehörden im Verbandsklageverfahren als Sicherung des gegenseitigen Informationsaustausches ein wichtiges Anliegen.
Aus gewöhnlich gut unterrichteten Kreisen hörten wir, dass Voßhoff ursprünglich gegen das Verbandsklagerecht war. Das passt zum äußerst zurückhaltenden Ton dieser Pressemitteilung.
-
: Warum AGB kaputt sind und wie wir sie fixen können
: Warum AGB kaputt sind und wie wir sie fixen können Der Journalist und Podcaster Philip Banse hat für das Deutschlandradio Kultur aufgeschrieben, warum die Kontrolle von Allgemeinen Geschäftsbedingungen (AGB) bisher im Bereich Datenschutz weitgehend versagt & was die Politik tun könnte, um daran etwas zu ändern.
Das ist ein wichtiger Beitrag zur Datenschutz-Debatte, insbesondere auch um die Datenschutz-Grundverordnung, die derzeit auf EU-Ebene verhandelt wird. Denn die Inhaltskontrolle von AGB ist eigentlich ein großer Erfolg für den Verbraucherschutz: Viele Klauseln in AGB, die Verbraucher unangemessen benachteiligen, sind inzwischen schlicht und einfach unwirksam. Zuerst haben Gerichte bestimmte Regelungen für ungültig befunden, weil sie erkannt haben, dass kaum jemand AGB wirklich prüft, ehe er/sie einem Vertrag zustimmt, und dass man oft auch gar keine Alternative dazu hat, blind zuzustimmen. Der Gesetzgeber hat dann in den 1970er Jahren die wesentlichen Regeln aus der Rechtsprechung in ein Gesetz gegossen (das „Gesetz zur Regelung des Rechts der Allgemeinen Geschäftsbedingungen“), dessen Regelungen inzwischen im Bürgerlichen Gesetzbuch ihren Platz gefunden haben (§ 307 ff. BGB). Ein schönes Beispiel, wie sich das Recht – wenn auch langsam – in Richtung eines besseren Verbraucherschutzes entwickeln kann, wenn Gerichte progressiv denken und der Gesetzgeber diese Impulse aufnimmt.
Philip Banse meint nun: Aus dieser Erfolgsgeschichte könnte man für den Bereich Datenschutz viel lernen, wo immer noch meist das Motto regiert: Einwilligung abnicken – und praktisch komplett die Kontrolle über die eigenen Daten verlieren. Es müsste aber mehr geklagt werden, und der Gesetzgeber müsste dafür sorgen, dass solche Klagen auch Erfolg versprechen – etwa indem er Regelungen zur Inhaltskontrolle von Daten-Klauseln schafft. Lesenswert.
Transparenzhinweis: Ich habe Philip im Vorfeld Fragen zur Rechtslage beantwortet.
-
: Max Schrems zur Datenschutzreform: Deutschland arbeitet in der EU gegen den Datenschutz
: Max Schrems zur Datenschutzreform: Deutschland arbeitet in der EU gegen den Datenschutz Max Schrems, bekannt durch seine Initiative „Europe vs. Facebook“, kritisiert im Blog von Digitalcourage den aktuellen Verhandlungsstand zur Datenschutzverordnung:
Nun zeigt ein am 19. Dezember 2014 auf dem Blog „Statewatch“ geleaktes Dokument mit der Nummer 15395/14 den aktuellen Verhandlungsstand im Rat, der in vielen Punkten deutlich unter das Niveau der aktuellen Richtlinie (95/46) geht. Also genau das Gegenteil von dem macht, für das die Reform eingeläutet wurde.
Konkret beschreibt Max das an Aufweichungen bei der Zustimmung zur Datenverarbeitung, der Streichung des Prinzips der Datenminimierung, der Schwächung der Zweckbindung, dem Wegfall verpflichtend zu bestellender Datenschutzbeauftragter und anderen Punkten. Aus dem Text schließt er zudem, dass besonders die deutschen Verhandler ihren Anteil an den Aufweichungen haben.
Max bezieht sich dabei auf ein Dokument vom Dezember, das eine konsolidierte Fassung des bisherigen Verhandlungsfortschritts darstellt. Zu ähnlichen Schlüssen auf Basis des selben Dokuments war auch Erich Möchel in seiner Analyse gelangt.
Wichtig zur Einordnung: Nicht alle Teile des Dokuments gelten schon als (vorläufig) abgestimmt unter den Ministern. Während etwa die Aufweichung der Zustimmung und der Datenschutzbeauftragten abgestimmt sind, werden die Prinzipien der Datenverarbeitung noch im Rat diskutiert. Über die Kapitel zu denen es bereits einen „partial general approach“, also eine vorläufige Einigung unter den Regierungen gibt, hatten wir hier jeweils berichtet. Der EU-Rechtsprofessor Steve Peers hat zudem ein Dokument (PDF) gebaut, das nur diese abgestimmten Teile enthält.
-
: Vom Internet der Dinge, algorithmischer Gesetzgebung und dem Ende der Politik
: Vom Internet der Dinge, algorithmischer Gesetzgebung und dem Ende der Politik Dieser Artikel „Vom Internet der Dinge, algorithmischer Gesetzgebung und dem Ende der Politik“ von Kirsten Fiedler ist zuerst in unserem „Jahrbuch Netzpolitik 2014″ erschienen.Das „Internet der Dinge“ war in diesem Jahr ein viel gehypter Begriff, was an der wachsenden Erkenntnis liegen mag, dass es längst nicht mehr Science Fiction sondern allgegenwärtige Realität ist. Wir tragen Computer am Handgelenk, in der Hosentasche, wir bewegen uns in Computern fort und tragen sie in Form von Implantaten im Körper.
Unsere Kommunikation wurde in den letzten zehn Jahren globaler und interaktiver, das Netz wurde gesellschaftlich und wirtschaftlich unumgänglich. Und nun dringt es bis in die letzten Ecken und Dinge unseres Alltag vor. Web‑2.0‑Pionier Tim O’Reilly vertritt die Ansicht, dass Regierungen an dieser „Big Data Revolution“ teilnehmen sollten und fragt in „Beyond Transparency“[1]: Wenn schon so viel in unserem Alltag erfasst und analysiert wird, warum sollte man weiterhin an theoretischen Regulierungsansätzen festhalten? Und warum sollte man schnell überholte Gesetze verabschieden, wenn man heutzutage so viele Sensoren und damit Möglichkeiten für flexiblen Feedback hat? Das Internet der Dinge ist eine Herausforderung für Politik und Gesellschaft, und zwar nicht nur für den Datenschutz und die Sicherheit. O’Reilly’s Vorschläge lassen ahnen, wie tiefgreifend das Internet der Dinge unsere Gesellschaft verändern wird.
In einer Welt von Milliarden vernetzter Geräte, Systeme und Dienstleistungen ist die Frage naheliegend, wie die Regeln für den Umgang mit unseren persönlichen Daten aussehen und Grundrechte gesichert werden. Schon heute sind es nicht mehr nur PCs oder Laptops, die miteinander über das Internet kommunizieren, längst ist das Netz mobil geworden und begleitet uns im Verkehr, in Aufzügen, beim Einkaufsbummel oder auf Partys. Der Kühlschrank warnt, dass mal wieder Milch fehlt, die Zahnbürste erinnert uns ans Zähneputzen, die Herdplatten optimieren den Energieverbrauch, unser Armband wacht über unseren Schlaf und mahnt, heute noch ein paar Schritte mehr zu gehen.
Experten der Investment-Firma Wedbush erklärten die Automatisierung von Haushalten zu einer der größten Geschäftsmöglichkeiten unseres Jahrzehnts. Kein Wunder also, dass Google im Januar 2014 den Thermostat- und Rauchmelderhersteller Nest Labs kaufte und damit den Einzug in unsere intelligenten Häuser vorbereitete. Die private Sammel-Industrie dringt mit dem Internet der Dinge noch viel weiter in unsere Privatsphäre vor, als es derzeit NSA, GCHQ oder BND tun. Der Europäische Datenschutzbeauftragte warnte bereits vor zwei Jahren, dass intelligente Messsysteme “eine massive Erhebung personenbezogener Daten” ermöglichen, “die Rückschlüsse auf häusliche Aktivitäten zulassen”. Kurz gesagt: Es lässt sich leicht herausfinden, welche Fernsehsendungen in einem Haus laufen, wie wohlhabend die Bewohner sind, wie sehr sie sich um die Sauberkeit bemühen, wann die Kinder zu Hause sind und wann nicht.
Das Internet der Dinge rückt den Computer ins Zentrum sozialpolitischer Diskussionen. Wie wird sich Google in unsere Heizgewohnheiten einmischen, wenn das Unternehmen heute schon darüber entscheidet, welche Suchergebnisse wir angezeigt bekommen und welche nicht? Gibt es bald Staatstrojaner für Implantate oder Kühlschränke? Werden Kinder mit Sehstörungen zukünftig nur noch spezielle Implantate bekommen, die nicht jugendfreie Inhalte filtern? Oder werden Hörimplantate billiger angeboten, wenn man sich personalisierte Werbespots ins Ohr säuseln lässt?
Auch unsere Straßen werden schlauer. Im Rahmen eines neuen Mautsystems, das lange diskutiert und nun von Verkehrsminister Dobrindt vorgeschlagen wurde, sollen alle Nummernschilder elektronisch erfasst werden. Im Arbeitsprogramm des technischen Polizeinetzwerks der EU (ENLETS) stand Anfang des Jahres der Wunsch, die Polizei mit technischen Hilfsmittel auszustatten, um Autos per Fernsteuerung anzuhalten. In Wien denkt man seit einigen Jahren über „intelligente Straßen“ nach, um gegen Parkplatznot und Staus vorzugehen und Singapur entwickelt sich mit tausenden Sensoren zur ersten smarten Nation. Es ist also nur eine Frage der Zeit, bevor sich gegenwärtige netzpolitische Diskussionen in die hypervernetzte Welt verlagern: Müssen wir demnächst etwa für eine Verkehrsnetzneutralität kämpfen, damit alle fahrerlosen Autos potentiell gleich schnell ans Ziel kommen und nicht gegen bestimmte Verkehrsteilnehmer diskriminiert wird?
Web‑2.0‑Pionier Tim O’Reilly erklärte auf der SolidCon 2014, dass Versicherungen zum Geschäftsmodell des Internets der Dinge werden – so wie die Werbung bereits das Geschäftsmodell des Internets ist. Je mehr das Internet der Dinge weiß, desto mehr Daten stehen den Versicherungen zur Verfügung, um zu verhindern, dass wir nicht vom rechten Weg abkommen. In den USA wird daher das schlaue Armband Fitbit auf dem amerikanischen Markt massenweise an Firmen verkauft, um bei der Verwaltung der Gesundheitsvorsorge ihrer Angestellten zu helfen. Denn das Programm „Obamacare“ belohnt Arbeitgeber für Initiativen, die zu einem gesünderen Leben ermuntern, mit Prämien und Steuervorteilen. Auch in Europa fasst diese Idee Fuß. Im November 2014 kündigte die Generali-Gruppe an, für die elektronische Kontrolle von Fitness und Ernährung Gutscheine für Reisen und sogar Prämiennachlässen zu gewähren.
Was bedeutet das Internet der Dinge also für die Politik? Tim O’Reilly meint, dass wir uns an einem einzigartigen Zeitpunkt befinden, an dem wir die Anzahl der Gesetze verringern und Regierungen stattdessen von der Datenerhebung profitieren können, um Gesetzgebungsprozesse zu optimieren. Er nennt dies „algorithmische Regulierung“. Ein Beispiel hierfür ist das italienische Data-Mining Programm „redditometro“, welches in der Steuererklärung angegebene Einkommen und Ausgaben mittels Algorithmen abgleicht, um Steuerhinterziehungen aufzudecken.Ein weiteres Beispiel ist ein Bericht des Thinktanks 2020health, in dem der britischen Regierung vorgeschlagen wurde, Steuervorteile für diejenigen einzurichten, die mit dem Rauchen aufhören oder mehr Sport machen. Wie auch bei Obamacare und den Plänen der Generali-Gruppe gilt hier die unausgesprochene Annahme, dass ungesunde Lebensweisen der Gesellschaft zur Last fallen und daher steuerlich benachteiligt werden sollten – nach anderen Ursachen wird nicht gesucht, an der Lobbyarbeit mächtiger Lebensmittelkonzerne oder an wirtschaftlichen Ungerechtigkeiten liegt es natürlich nicht.
O’Reilly trennt mit seinen Thesen das Mittel vom Zweck und vergisst dabei, dass Ersteres in einer demokratischen Gesellschaft fast ebenso wichtig wie das Ergebnis ist. Während wir uns darüber einig sind, dass Bildung, Gesundheit und Sicherheit erstrebenswerte Ziele sind, herrscht keine Einigung darüber, wie wir diese Ziele erreichen. Bisher waren die ideologischen Linien einigermaßen klar – wird die politische Debatte nun im Internet der Dinge überflüssig? Internet-Theoretiker Evgeny Morozov kritisiert[2] den Glauben, dass sich alle Probleme der Welt, vom Übergewicht bis zum Treibhauseffekt, mit ein paar Daten und vernetzten Geräten lösen lassen. Auch Frank Schirrmacher hinterfragte im letzten Jahr diese Entwicklung (wobei man im Hinblick auf O’Reilly den „Markt“ durch „Staat“ ersetzen kann): „Der automatisierte Markt analysiert Präferenzen, und ob es bei der Wahl des Konsumenten um Bücher oder Regierungen geht, ist für diesen Markt nur ein Preisunterschied.“[3]
Edward Snowdens Enthüllungen haben gezeigt, wie gerne sich staatliche Behörden bei den Datenbeständen privater Unternehmen bedienen. Man kann bezweifeln, dass unsere Regierungen der Versuchung von „Big Data“ widerstehen werden. Wenn wir es jetzt nicht schaffen, universell geltende Rechte und Freiheiten zu verankern, riskieren wir womöglich mit einer „algorithmischen Regulierung“ eine politische Ordnung, in der private Unternehmen alles entscheiden. Aber vielleicht behält auch Stanislaw Lem Recht, da die Menschen „gern selbst entscheiden möchten, in welchem System sie leben, welches Wirtschaftsmodell sie verwirklichen und welche Ziele die Gesellschaft verfolgen soll (…); berücksichtigt man das, dann ist die Regelung gesellschaftlicher Systeme mit Hilfe von Maschinen, obwohl möglich, nicht ratsam“.[4]
[1]: Tim O’Reilly: Open Data and Algorithmic Regulation in Brett Goldstein, [et al.] Beyond Transparency, Code for America Press, 2013.
[2]: Evgeny Morozov: To Save Everythig, Click Here, 2013.
[3]: Frank Schirrmacher: Ego – Das Spiel des Lebens, 2013.
[4]: Stanislaw Lem: Summa Technologiae, 1964. -
: Neues zu „personengebundenen Hinweisen“: Schleswig-Holstein und Thüringen machen seltsame Angaben
Wäre wohl mit dem PHW "gewalttätig" versehen worden: Jesus, wie er die Kaufleute aus dem Tempel wirft. (Bild: Wikipedia) : Neues zu „personengebundenen Hinweisen“: Schleswig-Holstein und Thüringen machen seltsame Angaben Mindestens 1,5 Millionen Menschen sind in bundesweit vernetzten deutschen Polizeidatenbanken mit bestimmten Merkmalen versehen. Die Kategorien dieser „personengebundenen Hinweise“ (PHW) sind bundeseinheitlich und werden beim Bundeskriminalamt (BKA) in die Verbunddatei INPOL eingestellt. Hierzu gehören die PHW „Ansteckungsgefahr“, „Ausbrecher“, „bewaffnet“, „Betäubungsmittelkonsument“, „Explosivstoffgefahr“, „Freitodgefahr“, „geisteskrank“, „gewalttätig“, „Rocker“, „Sexualstraftäter“, „Straftäter linksmotiviert“, „Straftäter politisch motivierte Ausländerkriminalität“ und „Straftäter rechtsmotiviert“. Einer Person können mehrere PHW zugeordnet sein.
Einige Bundesländer verwenden darüber hinaus weitere Kategorien. Obwohl z.B. das Berliner Abgeordnetenhaus schon 1988 einen gegenteiligen Beschluss fasste, führte die Senatsinnenverwaltung die Speicherung der internen Merkmale „Ansteckungsgefahr“ und „geisteskrank“ wieder ein. Die Abgeordneten wurden nicht gefragt. Als Grundlage diente ein nicht öffentlicher und nicht bindender Beschluss eines Arbeitskreises der Innenministerkonferenz vom Oktober 2011.
Schleswig-Holstein verschläft Debatte
Baden-Württemberg teilte mit, dass auch Angaben über vermeintliche „Land- oder Stadtstreicher“ und „Konsumenten harter Drogen“ sowie „Fluchtgefahr“ und „wechselt häufig Aufenthaltsort“ erhoben würden. Letztere Kategorie scheint eine Neufassung der früher existierenden Datensammlung „Zigeuner“ zu sein.
Die Piratenfraktion in Schleswig-Holstein wollten nun ebenfalls wissen, welche „personengebundenen Hinweise“ ins bundesweite INPOL-System eingespeist werden und welche PHW die Polizei nur daheim erhebt und speichert. Die Antwort ist verblüffend:
Eine Veröffentlichung der derzeit von der schleswig-holsteinischen Polizei verwendeten PHW kann die Eigensicherung der eingesetzten Beamtinnen und Beamten beeinträchtigen und hierdurch zur Gefährdung von Gesundheit oder Leben von Menschen führen. Darüber hinaus kann eine Veröffentlichung den Erfolg polizeilicher Maßnahmen beeinträchtigen und die Funktionsfähigkeit der Polizei gefährden.
Sämtliche bislang angefragten Bundes- und Länderpolizeien veröffentlichen ihre in INPOL eingestellten PHW-Kategorien, die Regierung in Kiel stuft diese jedoch als „Verschlusssache – Nur für den Dienstgebrauch“ ein. Das ist umso erstaunlicher, als dass es dabei nicht einmal um eigene, nur in Schleswig-Holstein genutzten PHW handelt: Denn solche würden laut der Antwort gar nicht existieren. Die monatelange Debatte um die PHW und die Veröffentlichung der Kategorien hat man im dortigen Innenministerium also schlicht verschlafen.
Thüringen speichert „Prostituierte“? Wozu?
Die angebliche „Eigensicherung” von Polizeikräften entpuppt sich übrigens mittlerweile als vorgeschoben. Das Innenministerium Baden-Württemberg hatte hierzu erklärt, mit den PHW lasse sich „polizeiliches Handeln zielgerichteter steuern bzw. unterstützen“, sie dienten auch einer „Ermittlungsunterstützung”. Mit anderen Worten: Die Polizei kann beispielsweise in Ermittlungen in der Datei nachsehen, ob jemand als „politisch motivierter Straftäter” geführt wird.
Undurchsichtige Angaben zu PHW gibt es nun auch aus Thüringen. Eine Anfrage nach dem Informationsfreiheitsgesetz ergab, dass „unter anderem die Personengebundenen Hinweise (PHW) ‚geisteskrank’, ‚Ansteckungsgefahr’ und ‚Straftäter linksmotiviert’ “ vergeben seien. Weiter heißt es, dass der PHW „Prostitution“ nicht im bundesweiten PHW-Leitfaden verortet sei. Im Herbst hatte das Bundeskriminalamt allerdings erklärt, bei den Kategorien „Fixer“, „Prostituierte“ und „Landstreicher“ handele es sich um bislang nicht aufgefallene „Altbestände“. Diese würden nun umgehend aus INPOL gelöscht.
Das kann also nur so verstanden werden, dass Daten über vermeintliche „Prostitutierte“ in Thüringen weiterhin gesammelt werden. Inwiefern dies der „Eigensicherung“ von PolizistInnen dienen soll, muss das Innenministerium noch erklären.