Tag Archives: Datenschutz

ePrivacy: Europäisches Parlament stimmt gegen Ausverkauf des Datenschutzes

„Mit der heutigen Abstimmung zur ePrivacy-Reform hat das Europäische Parlament in erfreulicher Deutlichkeit zugunsten der Grundrechte entschieden. Damit haben die Abgeordneten eine gute Grundlage geschaffen, um dem Ausverkauf des Datenschutzes auch in den nun folgenden Trilog-Verhandlungen entschlossen entgegentreten zu können. Anders als von Industrielobbyisten immer wieder behauptet, ist ein starkes Datenschutzniveau kein Hindernis für innovative Geschäftsmodelle, sondern ein potenzieller Standortvorteil für die europäische Digitalwirtschaft.“, erklärt Volker Tripp, politischer Geschäftsführer des Vereins Digitale Gesellschaft.

Mit einer klaren Mehrheit von 318 zu 280 Stimmen hat heute das Plenum des Europäischen Parlaments für die Beschlussempfehlung des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres zur ePrivacy-Reform votiert. Der Ausschuss hatte sich zuvor unter anderem dafür ausgesprochen, den Schutz vor Tracking online und offline zu stärken und die Verarbeitung von Daten, die bei der Nutzung von Kommunikationsdiensten anfallen, strikt von der Einwilligung der Betroffenen abhängig zu machen. Außerdem empfahl der Ausschuss, datenschutzfreundliche Voreinstellungen bei Browsern und Endgeräten verpflichtend zu machen und ein Recht auf Verschlüsselung einzuführen.

Die Verhandlungsführer des Parlaments werden nun auf Grundlage des heutigen Abstimmungsergebnisses mit dem Ministerrat und der Kommission in den Trilog-Prozess eintreten. Einige der im Ministerrat vertretenen Mitgliedstaaten, so auch Deutschland, stehen der datenschutzfreundlichen Position des Parlaments kritisch gegenüber. Statt die Einwilligungsrechte der Betroffenen zu stärken, wollen sie der Werbebranche und den Kommunikationsdiensten weitgehend freie Hand beim Tracking und bei der kommerziellen Verwertung von Verkehrs- und Standortdaten lassen.

Datenschutz: Bundesrat stimmt über deutschen Sonderweg ab

„Das Gesetz zur Anpassung des deutschen Datenschutzrechts unterläuft das europäische Harmonisierungsziel und verstößt insbesondere bei den Betroffenenrechten und der Zweckbindung gegen die EU-Vorgaben. Mit der ebenfalls enthaltenen Ausweitung der Videoüberwachung spielt der Gesetzgeber Attentätern geradezu in die Hände. Der Bundesrat hat heute die Chance, diesen Irrweg zu beenden.“, erklärt Volker Tripp, politischer Geschäftsführer des Vereins Digitale Gesellschaft.

Heute wird der Bundesrat über das Gesetz zur Anpassung des deutschen Datenschutzrechts an die EU-Datenschutzgrundverordnung beraten. Stimmt er dem Vorhaben zu, so macht er nicht nur den Weg für zahlreiche Abweichungen von den europäischen Vorgaben zum Datenschutz frei, sondern schafft auch die Voraussetzungen für die Ausweitung der Videoüberwachung öffentlich zugänglicher Orte und Verkehrsmittel.

Das Gesetz, welches der Bundestag bereits vor gut zwei Wochen verabschiedet hatte, beschreitet in zentralen Punkten wie den Betroffenenrechten auf Auskunft, Information und Löschung, der Zweckbindung und der Aufsicht über Datenverarbeitungen, die dem Schutz des Berufsgeheimnisses unterliegen, nationale Sonderwege. Damit unterläuft es nicht nur das Ziel der Datenschutzgrundverordnung, den Datenschutz in Europa zu harmonisieren und zu vereinheitlichen, sondern überschreitet zugleich deutlich die in der Verordnung enthaltenen nationalen Ausnahmetatbestände. Bereits deswegen wird das Gesetz einer gerichtlichen Überprüfung nicht standhalten. Die ebenfalls in dem Gesetz geregelte Ausweitung der Videoüberwachung verstößt bereits kompetenzrechtlich gegen die Vorgaben des Grundgesetzes und verkürzt darüber hinaus in unverhältnismäßiger Weise das Grundrecht auf informationelle Selbstbestimmung. Da Videoaufnahmen terroristischer Anschläge überdies als Multiplikatoren des Schreckens fungieren, spielt der vermehrte Einsatz von Überwachungskameras Attentätern sogar in die Hände und erhöht die Attraktivität öffentlich zugänglicher Orte als Anschlagsziel. Der Sicherheit der Bevölkerung wird mit derartigen Gesetzen ein Bärendienst erwiesen.

Gesetzesvorlagen der Bundesregierung: Bundestag muss Ausverkauf des Datenschutzes stoppen

„Die Bundesregierung treibt den Ausverkauf des Datenschutzes weiter voran. Wichtige Errungenschaften wie die Betroffenenrechte auf Auskunft und Löschung oder der Zweckbindungsgrundsatz sollen sehenden Auges und unter Verstoß gegen das EU-Recht bis zur Unkenntlichkeit verwässert werden. Mit der verfassungswidrigen Ausweitung der Videoüberwachung spielt die Bundesregierung obendrein terroristischen Tätern in die Hände und gefährdet die Sicherheit der Bevölkerung in unverantwortlicher Weise. Wir appellieren daher mit Nachdruck an die Abgeordneten des Bundestages, diesen Vorhaben Einhalt zu gebieten.“, erklärt Volker Tripp, politischer Geschäftsführer des Vereins Digitale Gesellschaft.

Der Bundestag wird heute über zwei Gesetzesvorlagen der Bundesregierung beraten, die mit empfindlichen Einbußen beim Schutz der Privatsphäre und personenbezogener Daten einhergehen. So wird das Parlament zunächst in erster Lesung über das Gesetz zur Anpassung des deutschen Datenschutzrechts an die ab Mai 2018 geltende EU-Datenschutzgrundverordnung debattieren. In diesem Gesetz wird unter anderem auch die Ausweitung der Videoüberwachung öffentlich zugänglicher großflächiger Anlagen und Verkehrsmittel geregelt. Die Videoüberwachung ist zudem Gegenstand eines weiteren Gesetzentwurfs, mit dem sich die Abgeordneten heute bereits in zweiter und dritter Lesung befassen werden. Damit soll die Ausweitung der Videoüberwachung im gegenwärtig noch gültigen Bundesdatenschutzgesetz verankert werden.

Beide Gesetzentwürfe verstoßen in den vorliegenden Fassungen gegen die Vorgaben des EU- und Verfassungsrechts. Mit dem Gesetz zur Anpassung der deutschen Datenschutzbestimmungen an die Datenschutzgrundverordnung werden die Betroffenenrechte auf Auskunft, Berichtigung und Löschung weit über das europarechtlich zulässige Maß hinaus eingeschränkt. Ferner soll auch der Zweckbindungsgrundsatz insbesondere bei der Datenverarbeitung durch öffentliche Stellen deutlich stärker als in der Datenschutzgrundverordnung vorgesehen aufgeweicht werden. In videoüberwachten Bereichen soll zudem nicht mehr zwingend mit Beginn des Kameraeinsatzes, sondern nur noch „zum frühestmöglichen Zeitpunkt“ auf den Umstand der Überwachung hingewiesen werden müssen. Auch diese wenig präzise Regelung widerspricht den klaren und unmissverständlichen Vorgaben des EU-Rechts.

Die in beiden Vorlagen enthaltene Ausweitung der Videoüberwachung verkürzt in unverhältnismäßiger Weise das Grundrecht auf informationelle Selbstbestimmung und wäre im Hinblick auf die Sicherheit der Bevölkerung sogar kontraproduktiv. Je flächendeckender Überwachungstechnik zum Einsatz kommt, desto weniger Orte gibt es, an denen die Menschen sich unbeobachtet fühlen und von ihren grundrechtlich garantierten Freiheiten unbefangenen Gebrauch machen können. Für terroristische Täter hingegen, die nach medialer Aufmerksamkeit suchen, stellen gerade videoüberwachte Orte besonders attraktive Anschlagsziele dar. Wie zahllose Beispiele aus den vergangenen Jahren zeigen, fungieren Videos von Terrorattentaten als Multiplikatoren des Schreckens. Des Weiteren werden sich insbesondere Täter, die den eigenen Tod billigend in Kauf nehmen, kaum von dem Umstand abschrecken lassen, dass sie bei der Tatbegehung gefilmt werden. Die Ausweitung der Videoüberwachung ist daher lediglich ein weiteres Sicherheitsplacebo, das im besten Fall wirkungslos bleiben, in jedem Fall aber zu einer weiteren Aushöhlung der Grundrechte beitragen wird.

Der Digitale Gesellschaft e.V. hatte bereits die Referentenentwürfe zur Anpassung des deutschen Datenschutzrechts sowie zur Ausweitung der Videoüberwachung scharf kritisiert:
Stellungnahme (.pdf) und Blogbeitrag zum Entwurf des Datenschutzanpassungsgesetzes
Stellungnahme (.pdf) und Blogbeitrag zum Entwurf des Videoüberwachungsverbesserungsgesetzes

Auch in unserer Reihe „In digitaler Gesellschaft“ beim Berliner Radiosender FluxFM haben wir uns in dieser Woche mit den beiden Gesetzesvorhaben auseinandergesetzt.

Analyse: Entwurf der ePrivacy-Verordnung stärkt Rechte von Endnutzerinnen und Endnutzern

Die EU-Kommission hat einen Entwurf für eine ePrivacy-Verordnung erarbeitet. Trotz vereinzelter Schwächen stärkt der Entwurf die Rechte und Interessen der Nutzerinnen und Nutzer elektronischer Kommunikationsdienste. Nun bleibt zu hoffen, dass die positiven Ansätze nicht im Rahmen des Gesetzgebungsverfahrens durch die Mitgliedstaaten zerrieben werden.


Über den Entwurf für eine ePrivacy-Verordnung sprachen wir am Mittwoch auch in unserer Reihe „In digitaler Gesellschaft“ beim Berliner Radiosender FluxFM.

Seit 2002 schützt die sogenannte ePrivacy-Richtlinie die Grundrechte und die Privatsphäre von EU-Einwohnern bei der elektronischen Kommunikation. Zuletzt wurde sie 2009 durch die Cookies-Richtlinie geändert. Seitdem haben sich die Kommunikationsmittel und -kanäle erheblich und nachhaltig gewandelt. Messenger-Dienste, Video-Telefonie, Kurznachrichtendienste oder Photosharing-Apps treten zunehmend an die Stelle des klassischen Telefonanrufs, der E-Mail oder der SMS. Im Internet der Dinge kommunizieren außerdem auch immer mehr Maschinen untereinander.

Höchste Zeit also die ePrivacy-Richtlinie an die veränderten Bedingungen anzupassen und fit für die digitale Gegenwart zu machen. Zu diesem Zweck hatte die EU-Kommission von April bis Juni 2016 eine Konsultation durchgeführt, an der sich neben Datenschutzbehörden und NGOs auch Unternehmen und Handelsverbände beteiligten. Am vergangenen Montag Abend schließlich hat das Online-Magazin Politico.eu einen ersten Entwurf der Kommission für das lang erwartete Update geleakt.

Obwohl insbesondere die Online-Wirtschaft sich in der Konsultation vehement gegen eine Regulierung aussprach, ist der Entwurf trotz vereinzelter Schwächen insgesamt vergleichweise grundrechts- und verbraucherfreundlich ausgefallen.

Verordnung mit Ausnahmen: Abstriche bei der Harmonisierungswirkung

Erfreulich ist bereits die Entscheidung der Kommission, die Rechte der EU-Bevölkerung bei der elektronischen Kommunikation künftig nicht mehr durch eine Richtlinie, sondern im Wege einer Verordnung zu schützen. Im Gegensatz zu einer Richtlinie bedarf eine Verordnung nicht der Umsetzung in nationales Recht, sondern gilt in den Mitgliedstaaten stets unmittelbar. Auf diese Weise wird der Weg hin zu einem europaweit einheitlichen Datenschutzniveau, welcher mit der Datenschutzgrundverordnung eingeschlagen wurde, weiter verfolgt.

Leider weicht die Kommission diesen eigentlich begrüßenswerten Ansatz zu einem guten Teil auch gleich wieder auf, indem sie die Verordnung mit weitreichenden Ausnahmen und Öffnungsklauseln versieht. Strafverfolgungs- und Gefahrenabwehrbehörden etwa sind vom Anwendungsbereich der Verordnung pauschal ausgenommen. Außerdem erhalten die EU-Mitgliedstaaten ausdrücklich die Möglichkeit, bei allen wesentlichen Betroffenenrechten abweichende Regelungen zu treffen, um „die nationale Sicherheit, die Verteidigung, die öffentliche Sicherheit und die Verhinderung, Aufklärung, Entdeckung oder Verfolgung von Straftaten oder der Vollstreckung von Strafsanktionen oder der unauthorisierten Nutzung elektronischer Kommunikationssysteme zu gewährleisten“. Damit spielt die Kommission Überwachungshardlinern wie Bundesinnenminister Thomas de Maizière in die Hände. Der machte bereits im vergangenen August seine Pläne öffentlich, künftig sämtliche elektronischen Kommunikationsdienste der Vorratsdatenspeicherung zu unterwerfen.

Abgesehen davon bergen derart weit gefasst Öffnungsklauseln stets die Gefahr, dass das Datenschutzniveau im Ergebnis weiter abgesenkt statt erhöht wird. Eindrucksvoll ließ sich dies etwa an dem Ende November veröffentlichten Referentenentwurf des Bundesinnenministeriums (BMI) zur Anpassung des deutschen Datenschutzrechts an die Datenschutzgrundverordnung ablesen. Dort wurden die europarechtlichen Öffnungsklauseln dazu genutzt, die Datenschutzregeln sogar hinter den Stand des geltenden Rechts zurückzudrehen. Dem Ziel eines europaweit einheitlichen Grundrechtschutzes wird mit solchen Abweichungsoptionen also tendenziell ein Bärendienst erwiesen.

00002-langer-atem-marathon-quelle

Geltungsbereich: Alle in der EU verfügbaren Dienste, alle Daten

Abgesehen davon sind Geltungsbereich und Reichweite der Verordnung nicht zu beanstanden: Sie soll für die Verarbeitung sowohl von Inhalts- als auch von Metadaten durch jegliche elektronischen Kommunikationsdienste gelten, die in der EU verfügbar sind. Dabei ist es gleichgültig, ob die Datenverarbeitung innerhalb oder außerhalb der Union stattfindet.

Das Territorialprinzip, das der EuGH in seiner Entscheidung zum „Recht auf Vergessenwerden“ begründete und das nun auch in der Datenschutzgrundverordnung festgeschrieben ist, wird hier also noch einmal und sogar in besonders scharfer Form konstituiert: Wer in der EU Kommunikationsdienste anbietet, die anfallenden Daten aber außerhalb der EU verarbeitet, muss sich an die Regeln der geplanten ePrivacy-Verordnung halten. Außerdem muss ein solches Unternehmen in mindestens einem EU-Mitgliedstaat, in dem der Dienst verfügbar ist, schriftlich einen konkreten Verantwortlichen benennen. Diese Person muss den Aufsichtsbehörden, Gerichten sowie Endnutzerinnen und Endnutzern zu allen Fragen im Zusammenhang mit der Datenverarbeitung Rede und Antwort stehen können.

Verarbeitung von Metadaten: Viel Licht und etwas Schatten

Einige erfreuliche Neuerungen sieht der Entwurf auch bei den eigentlichen Regeln für die Verarbeitung von Kommunikationsdaten vor. So soll es grundsätzlich verboten werden, in Kommunikationsvorgänge einzugreifen oder Daten aus solchen Vorgängen zu verarbeiten. Abweichungen von diesem Grundsatz sind nur erlaubt, soweit sie in der Verordnung ausdrücklich vorgesehen sind. Während das Verbot für die Inhalte elektronischer Kommunikation unbeschränkt gilt, sind für Metadaten, also Informationen über den Kommunikationsvorgang selbst wie zum Beispiel Ort, Zeit, Dauer, Teilnehmer, Telefonnummer und IP-Adresse, verschiedene Ausnahmen vorgesehen.

Metadaten dürfen danach nur verarbeitet werden, um die Qualitätsanforderungen einzelner Dienste oder die Sicherheit von Netzwerken und Kommunikationsdiensten zu gewährleisten. Zulässig ist die Verarbeitung des Weiteren auch für Notfalldienste oder schlicht dann, wenn Endnutzerinnen und Endnutzer eingewilligt haben. Soweit keine dieser Ausnahmen greift, müssen die Metadaten außerdem unmittelbar nach dem Ende eines Kommunikationsvorgangs gelöscht oder zumindest anonymisiert werden. Speziell für Rechnungszwecke dürfen die Daten darüber hinaus auch so lange aufbewahrt werden, wie noch eine Rechnung gestellt oder durchgesetzt werden kann – also bis zum Ablauf der Verjährung der Zahlungsansprüche beziehungsweise der Vollstreckungstitel.

Zwar werden auch durch diese Ausnahmen die grundsätzlich strikten Regeln zum Umgang mit Metadaten in gewisser Weise aufgeweicht; angesichts der bisherigen Praxis vieler Kommunikationsdienste, solche Daten auch weit über die Abrechnungszeiträume hinaus zu bevorraten, stellt insbesondere die diesbezügliche Regelung jedoch durchaus einen Fortschritt dar.

Endlich: Privacy by design wird Gesetz

Privacy by design soll zwingende Vorgabe für sämtliche am Markt verfügbaren Endgeräte und Browser werden. Laut Entwurf müssen alle Hardwarekomponenten ab Werk so konfiguriert sein, dass Dritte davon abgehalten werden, Informationen über die Hardware zu speichern, darauf gespeicherte Informationen zu verarbeiten oder die Verarbeitungskapazitäten der Geräte zu nutzen. Softwarekomponenten wie etwa Browser wiederum müssen so voreingestellt sein, dass sie es Dritten nicht erlauben, Informationen auf den Endgeräten zu speichern oder dort gespeicherte Informationen zu verarbeiten. Mit dieser Vorgabe leistet der Entwurf einen wesentlichen Beitrag zur Verbesserung des Datenschutzes und der Privatsphäre, zumal Ausnahmen oder Abweichungen von dieser Anforderung nicht vorgesehen sind.

Der Verordnungsentwurf verbietet es unbefugten Dritten außerdem, Informationen über fremde Endgeräte oder Software zu sammeln oder deren Rechen- und Speicherkapazitäten auszunutzen. Damit werden etwa der Betrieb von Botnetzen oder die Anwendung invasiver Tracking-Praktiken wie Browser-Fingerprinting pauschal untersagt. Bislang waren diese Techniken zumindest in Deutschland nicht zwingend illegal. Das war nur dann der Fall, wenn die betroffenen Endnutzerinnen und Endnutzer spezifische Vorkehrungen gegen derartige Fremdzugriffe getroffen hatten. Neben einigen aus Praktikabilitätsgründen durchaus sinnvollen Ausnahmen von dem Verbot regelt der Entwurf allerdings auch, dass Daten über die Endgeräte jedenfalls dann gesammelt werden dürfen, wenn Endnutzerinnen und Endnutzer zunächst klar und deutlich auf die Datenerhebung hingewiesen worden sind. Ihrer ausdrücklichen Einwilligung bedarf es dann nicht mehr. Die Daten dürfen außerdem im Direktmarketing und zu Profilingzwecken verwendet werden. Den Betroffenen steht in diesem Fall nur ein Widerspruchsrecht nach der Datenschutzgrundverordnung zu.

Diese Aussicht wiederum ist gerade in Deutschland wenig tröstlich. Das BMI möchte nämlich genau dieses Widerspruchsrecht, noch dazu ausgerechnet im Hinblick auf Profiling, beseitigen. Dies geht aus einem kürzlich veröffentlichten Referentenentwurf des BMI zur Anpassung des deutschen Datenschutzrechts an die Datenschutzgrundverordnung hervor. Dringt das BMI mit seinen Plänen durch, so würde das bedeuten, dass die ePrivacy-Verordnung auf ein Widerspruchsrecht in der Datenschutzgrundverordnung verweist, welches wiederum für Betroffene in Deutschland nicht verfügbar ist. An dieser Stelle wird einmal mehr deutlich, wie das Ziel, das Datenschutzniveau in Europa flächendeckend zu verbessern, durch Öffnungsklauseln für nationale Sonderwege schnell ausgehebelt und ins Gegenteil verkehrt werden kann. Es wäre daher wünschenswert, dass die ePrivacy-Verordnung an dieser Stelle eine eigene Regelung zum Widerspruchsrecht ohne Hintertüren für abweichende Regelungen der Mitgliedstaaten vorsehen würde, statt auf die Datenschutzgrundverordnung zu verweisen.

00006-protest-gesichter-fawks-quelle2

Telefonische Kommunikation: Mehr Souveränität für Endnutzerinnen und Endnutzer

Speziell für die „nummernbasierte interpersonale Kommunikation“, also Telefongespräche, verankert der Entwurf einige wichtige Kontrollrechte für Endnutzerinnen und Endnutzer. Anrufende und Angerufene können danach verlangen, dass ihre Rufnummern kostenlos verborgen werden. Ausnahmen bestehen bei Notfalldiensten und abweichenden Regelungen durch die Mitgliedstaaten. Außerdem müssen sie die Möglichkeit haben, Anrufe von bestimmten Nummern zu blocken und automatische Anrufweiterleitungen durch Dritte effektiv zu beenden. Bevor ihre Kontaktdaten in öffentliche, durchsuchbare Telefonbücher aufgenommen werden, müssen Endnutzerinnen und Endnutzer informiert und ihre ausdrückliche Einwilligung eingeholt werden.

Auch telefonisches Direktmarketing darf nur mit vorheriger Einwilligung der Betroffenen stattfinden. Dabei muss die Identität des Anschlusses, von dem aus der Kontakt aufgenommen wurde, erkennbar sein. Außerdem muss kenntlich gemacht werden, dass es sich um einen Direktmarketing-Anruf handelt. Leider erlaubt der Entwurf den Mitgliedstaaten an dieser Stelle Abweichungen zuungunsten der Betroffenen. So können nationale Regelungen vorsehen, dass Sprachanrufe nur bei Personen zulässig sind, die nicht ausdrücklich widersprochen haben. Statt des eigentlich vorgesehenen Opt-In-Modells können die Mitgliedstaaten sich hier also auch für eine Opt-Out-Lösung entscheiden.

Kein zahnloser Papiertiger: Diensteanbieter in der Pflicht

Der Entwurf der ePrivacy-Verordnung ist jedoch weit davon entfernt, ein bloßer zahnloser Papiertiger zu sein. So belässt er es nicht dabei, die Anbieter von Kommunikationsdiensten dazu zu verpflichten, Nutzerinnen und Nutzer über Risiken für die Sicherheit der Netzwerke und der Dienste zu informieren und, soweit das Risiko außerhalb ihres Einflussbereiches liegt, auf Abhilfemöglichkeiten sowie die dafür voraussichtlich anfallenden Kosten hinzuweisen. Vielmehr sieht er zur Durchsetzung von Betroffenenrechten und Anbieterpflichten ein umfangreiches rechtliches Instrumentarium vor.

Für Verstöße gegen die Vorgaben der Verordnung können die Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes eines Unternehmens verhängen. Diensteanbieter haften außerdem für alle materiellen und immateriellen Schäden, die Endnutzerinnen und Endnutzer durch die Verletzung der Verordnung erleiden, es sei denn, der Anbieter kann beweisen, dass er in keiner Weise für die Schäden verantwortlich ist.

Doch damit nicht genug: Gegen Verletzungen ihrer Rechte können Endnutzerinnen und Endnutzer Beschwerde bei den Aufsichtsbehörden einlegen. Gegen rechtlich bindende Entscheidungen der Behörden steht ihnen außerdem effektiver Rechtsschutz zu. Auch Dritte, die durch Verletzungen der Verordnung betroffen sind und ein berechtigtes Interesse daran haben, dass die Verletzung beendet oder verboten wird, können Rechtsmittel einlegen. Außerdem sieht der Entwurf vor, dass Endnutzerinnen und Endnutzer die Verteidigung ihrer Rechte nicht selbst in die Hand nehmen müssen, sondern eine gemeinnützige Organisation, die sich für den Datenschutz einsetzt, damit beauftragen können, in ihrem Namen Beschwerde einzulegen, Klage zu erheben oder Schadensersatz zu verlangen. Schließlich stellt es der Entwurf den Mitgliedstaaten auch noch frei, solchen Organisationen zu erlauben, unabhängig von Beauftragung durch Endnutzer Rechtsmittel gegen Verstöße einzulegen.

Fazit: Gute Ansätze verteidigen und ausbauen

Der Entwurf einer ePrivacy-Verordnung enthält viele gute Ansätze, die es im weiteren Gesetzgebungsverfahren gegen die erwartbaren Widerstände insbesondere von Seiten der Mitgliedstaaten zu verteidigen und auszubauen gilt. Gelingt dies, so wäre ein wichtiger Beitrag geleistet, um das Vertrauen in elektronische Kommunikationsdienste zu stärken. Dies würde nicht nur dem Schutz der Grundrechte und der Verbraucherinteressen dienen, sondern zugleich einheitliche Marktbedingungen für europäische und nicht-europäische Kommunikationsanbieter herstellen.

Entwurf zur Datenschutz-Reform: Mehr Daten, weniger Schutz

Seit dem 25. Mai dieses Jahres sind die europäische Datenschutzgrundverordnung (DSGVO) sowie die Datenschutz-Richtlinie (DSRL) in Kraft. Die Regelungen sollen das bislang geltende Datenschutzrecht der EU, das noch aus den 90er Jahren stammt, ablösen und fit für das digitale Zeitalter machen. Während eine Richtlinie noch der Umsetzung in nationales Recht bedarf, hat eine Verordnung in den Mitgliedstaaten grundsätzlich unmittelbare Geltung. Die Datenschutzgrundverordnung enthält allerdings zahlreiche Öffnungsklauseln, die es den einzelnen Mitgliedstaaten erlauben, von den EU-Vorgaben abzuweichen und nationale Sonderwege einzuschlagen.

Von dieser Möglichkeit will Deutschland nun offenbar reichlich Gebrauch machen. Das Bundesinnenministerium hat Ende November einen Referentenentwurf für die Anpassung des deutschen Datenschutzrechts an die neuen EU-Regeln vorgelegt und dazu verschiedene Interessenvertreter und Verbände angehört. Im Zentrum des Vorhabens steht die Neufassung des Bundesdatenschutzgesetzes. Neben Vorschriften zur Umsetzung der Datenschutz-Richtlinie sollen auch eine Reihe von Bestimmungen auf Grundlage der Öffnungsklauseln der Datenschutzgrundverordnung in das Gesetz aufgenommen werden.

Auch wir haben uns der ganze 126 Seiten umfassenden Referentenentwurf angesehen und innerhalb der äußerst knapp bemessenen Frist von nur zwei Wochen eine schriftliche Stellungnahme dazu abgegeben. Tatsächlich birgt der Entwurf eine Menge Sprengstoff.

Rote Linien überschritten: Datenschutzprinzipien und Betroffenenrechte werden aufgeweicht

Zentrale Prinzipien des Datenschutzes, insbesondere die Zweckbindung, sollen bis zur Unkenntlichkeit aufgeweicht werden. Der Zweckbindungsgrundsatz besagt, dass Daten grundsätzlich nur zu dem Zweck verwendet werden dürfen, zu dem sie auch erhoben wurden. Nach den Plänen des Bundesinnenministeriums soll das künftig beispielsweise dann nicht mehr gelten, wenn eine nachträgliche Zweckänderung „im berechtigten Interesse“ des Verantwortlichen liegt. Wann ein solches „berechtigtes Interesse“ gegeben ist, definiert der Entwurf hingegen nicht. Betroffene Personen können unter diesen Umständen kaum absehen, was mit ihren personenbezogenen Daten passieren wird, nachdem sie in eine Datenverarbeitung eingewilligt haben. Die Einwilligung, bislang eines der wichtigsten Instrumente zur Sicherung der Datensouveränität, wird auf diese Weise weitgehend entwertet.

Ähnlich besorgniserregend sieht es auch bei den Informationspflichten der Datenverarbeiter und den zentralen Betroffenenrechten wie den Rechten auf Auskunft, Widerspruch und Löschung aus. In all diesen Punkten fällt der Entwurf hinter das Niveau des geltenden deutschen Datenschutzrechts zurück. Die geplanten Regelungen überdehnen außerdem an vielen Stellen die europarechtlichen Öffnungsklauseln und stehen deshalb in offenem Widerspruch zu den EU-Vorgaben. Der Entwurf überschreitet damit klar die roten Linien, die während der „Trilog“ genannten Dreiecksverhandlungen zwischen Europäischem Parlament, Ministerrat und EU-Kommission vereinbart wurden. Außerdem torpediert er das Kernziel der Datenschutzgrundverordnung, den Datenschutz in Europa zu harmonisieren und ein EU-weit einheitliches Datenschutzniveau zu schaffen.

00004-langer-atem-taucherin2-quelle

Neues Credo der Bundesregierung: Datenreichtum statt Datensparsamkeit

Schon während der Verhandlungen um die Datenschutzgrundverordnung hatte Deutschland sich im EU-Ministerrat für Schwächungen der Betroffenenrechte eingesetzt. Durchsetzbar waren im Ergebnis jedoch nur die bereits erwähnten Öffnungsklauseln. Der jetzige Vorstoß des Bundesinnenministeriums erweckt den Eindruck, dass genau die Verschlechterungen des Datenschutzes, welche die Bundesregierung auf EU-Ebene bislang nicht durchdrücken konnte, nun auf dem Umweg über das nationale Recht verankert werden sollen.

Dieser Eindruck wird unter anderem auch dadurch bestärkt, dass etwa Bundeswirtschaftsminister Gabriel, Bundesverkehrsminister Dobrindt und Bundeskanzlerin Merkel in den vergangenen Wochen und Monaten immer wieder eine Abkehr vom Grundsatz der Datensparsamkeit propagiert haben. An dessen Stelle soll nach ihrer Vorstellung das Prinzip des „Datenreichtums“ treten. Für sie sind personenbezogene Daten weniger ein schützenswertes Gut als vielmehr Roh- und Treibstoff für die Digitalwirtschaft. Neue datenbasierte Geschäftsmodelle sollen entstehen, weshalb personenbezogene Daten in möglichst großem Umfang anfallen und Unternehmen möglichst freie Hand beim Umgang mit diesen Daten erhalten sollen.

Fazit: In der gegenwärtigen Fassung europarechtswidrig

Bereits im Januar 2017 soll das Bundeskabinett mit dem Entwurf befasst werden. Noch vor dem Ende der Legislaturperiode soll das Gesetz dann auch den Bundestag passiert haben. Inwieweit das Bundesinnenministerium auf die Kritik an dem Referentenentwurf eingehen wird, wird also Anfang kommenden Jahres feststehen. Eine echte Kehrtwende ist angesichts des datenschutzunfreundlichen Kurses der Bundesregierung eher nicht zu erwarten. In der gegenwärtigen Fassung wird das Gesetz jedoch einer europarechtlichen Überprüfung kaum standhalten. Das sollten sich auch die Parlamentarier vor Augen halten, die im kommenden Jahr über das Gesetz abstimmen werden. Eine Aufhebung des Gesetzes durch den Europäischen Gerichtshof stünde gerade Deutschland als Mutterland des Datenschutzes äußerst schlecht zu Gesicht.

Über den Referentenentwurf haben wir in dieser Woche auch auf FluxFM im Rahmen unserer Reihe „In digitaler Gesellschaft“ gesprochen:

Umbrella Agreement: Grundrechtswidriger Datenaustausch auf Jahre zementiert

„Das Umbrella-Agreement nach fast sechsjährigen Verhandlungen trotz schwerwiegender Bedenken übereilt durchzuwinken, ist schlicht verantwortungslos. Statt den transatlantischen Austausch von Bank- und Reisedaten endlich auf ein solides rechtliches Fundament zu stellen, lässt sich das Europäische Parlament mit faktisch wirkungslosen Garantien für die Grundrechte und völlig unzulänglichen Bestimmungen zum Rechtsschutz abspeisen. Indem es sich einer Überprüfung durch den Gerichtshof in den Weg stellt, spielt das Parlament auf Zeit und zementiert auf Jahre hinaus Verletzungen der Privatsphäre von 500 Millionen Menschen in Europa.“, erklärt Alexander Sander, Hauptgeschäftsführer des Vereins Digitale Gesellschaft.

Heute hat das Europäische Parlament (EP) seine Zustimmung zum Datenschutz-Rahmenabkommen zwischen der EU und den Vereinigten Staaten beschlossen. Zuvor waren die Fraktionen der Linken und der Liberalen mit Anträgen gescheitert, dieses sogenannte Umbrella-Agreement durch den Europäischen Gerichtshof (EuGH) auf die Vereinbarkeit mit EU-Grundrechten überprüfen zu lassen. Mit dem Abkommen soll der transatlantische Austausch von Daten zum Zweck der Strafverfolgung einen neuen Rechtsrahmen erhalten. Die Regelungen, auf deren Grundlage die USA bislang auf die Bank- und Reisedaten europäischer Bürgerinnen und Bürger zugreifen, sehen keine besonderen Vorkehrungen zum Schutz personenbezogener Daten vor.

Mit der heutigen Verabschiedung des Umbrella-Agreements hat das EP die letzte Gelegenheit verstreichen lassen, endlich Bestimmungen für einen effektiven transatlantischen Daten- und Rechtsschutz zu verankern. In der nun beschlossenen Fassung enthält das Abkommen weder konkrete Speicherfristen, noch klare Bedingungen für die Verwendung und Weitergabe der Daten durch US-Behörden. Der Text verlangt lediglich in allgemeiner Form, dass die Aufbewahrung und Nutzung der Daten notwendig und angemessen sein muss. Die ohnehin löchrigen, mit umfangreichen pauschalen Ausnahmen für den Bereich der inneren Sicherheit versehenen Rechtsschutzgarantien gelten zudem nur für Bürgerinnen und Bürger der EU. Menschen, die lediglich in der EU ansässig sind, ohne eine Unionsbürgerschaft zu besitzen, sind bei Datenschutzverstößen durch US-Stellen faktisch rechtlos gestellt. In Anbetracht der strengen Anforderungen, die der EuGH in seiner „Safe Harbor“ Entscheidung für transatlantische Datenflüsse zwischen privaten Akteuren formuliert hatte, hätte das jetzige Abkommen daher vor seiner Ratifizierung unbedingt höchstrichterlich überprüft werden müssen. Nachdem das EP hier keine Farbe bekennen wollte, droht nun ein jahrelanger grundrechtswidriger Austausch von Bank- und Reisedaten zwischen der EU und den USA. Dieser könnte, wie im Fall von Safe Harbor, wiederum erst durch ein nachträgliches Urteil des EuGH gestoppt werden.

00004-langer-atem-taucherin2-quelle

In der aktuellen Folge unseres Podcasts sprechen Alexander Sander und Winson über das Umbrella Agreement mit den USA und die Auswirkungen auf unsere Grundrechte.

Die Ergebnisse zur namentlichen Abstimmung über den Antrag, das Abkommen durch den EuGH überprüfen zu lassen, findet ihr hier.

Die Ergebnisse zur namentlichen Abstimmung über das Abkommen findet ihr hier.

Newsletter Mai 2016

Die Meldung von Vertretern der Großen Koalition, man habe sich auf eine Abschaffung der WLAN-Störerhaftung geeinigt, sorgte für viele begeisterte Kommentare und Zustimmung. Auch wir begrüßten die Einigung grundsätzlich, gaben uns jedoch skeptisch im Hinblick auf die Details der geplanten Regelung – zu Recht, wie sich mittlerweile herausstellte.

Die TTIP-Leaks, die Greenpeace Anfang Mai veröffentlicht haben, zeigen, dass die USA in den Verhandlungen massiven Druck auf die EU ausüben, um wichtige rechtsstaatliche Schutzmechanismen auszuhebeln. Wir haben uns genauer angeschaut, welche Auwirkungen im Bereich Datenschutz und Telko-Regulierung zu erwarten sind.

Noch bis August verhandeln das Gremium Europäischer Regulierungsbehörden für elektronische Kommunikation (BEREC) und die 28 nationalen Regulierer über Leitlinien, die viele offene Fragen des im Oktober 2015 beschlossenen EU-Gesetzes zur Netzneutralität klären sollen. Noch vor den öffentlichen Konsultationen haben sich 72 zivilgesellschaftliche Organisationen aus 31 Ländern, darunter auch wir, an die europäischen Telekom-Regulierer gewandt, um ein Statement für Netzneutralität zu setzen.

1. Abschaffung der WLAN-Störerhaftung
2. TTIP-Leaks
3. Netzneutralität
4. „In digitaler Gesellschaft“ bei FluxFM
5. Netzpolitischer Abend
6. Video vom letzten Netzpolitischen Abend
7. DigiGes in den Medien

006-protest-gesichter-fawks-quelle2

1. Abschaffung der WLAN-Störerhaftung

Die Meldung von Vertretern der Großen Koalition, man habe sich auf eine Abschaffung der WLAN-Störerhaftung geeinigt, sorgte für viele begeisterte Kommentare und Zustimmung. Auch wir begrüßten die Einigung grundsätzlich, gaben uns jedoch skeptisch im Hinblick auf die Details der geplanten Regelung – zu Recht, wie sich mittlerweile herausstellte.

Das von Vertretern von Union und SPD in den vergangenen anderthalb Jahren immer wieder geäußerte Bekenntnis zu offenen Funknetzen wird sich daran messen lassen müssen, mit welcher rechtlichen Reichweite und Konsequenz die Große Koalition die Abschaffung der Störerhaftung nun tatsächlich angeht.

Ob die Große Koalition ihr Versprechen tatsächlich hält, hängt entscheidend davon ab, ob sich die Haftungsfreistellung auch auf Unterlassungsansprüche erstreckt. Am 2. Juni wird der Bundestag abschließend über einen Gesetzentwurf zur Änderung des Telemediengesetzes beraten. Wenige Tage vor der entscheidenden Abstimmung im Bundestag rufen der Digitale Gesellschaft e.V. und der Förderverein Freie Netzwerke e.V. daher gemeinsam zur Unterzeichnung einer Online-Petition für offene Netze auf.

Online-Petition für die grenzenlose Abschaffung der WLAN-Störerhaftung:

https://www.change.org/p/stoppt-die-abmahnindustrie-wlan-st%C3%B6rerhaftung-abschaffen-mehrinternet/u/16638533

Unsere Pressemitteilungen zur Abschaffung der WLAN-Störerhaftung:

WLAN-Störerhaftung: Petition fordert Abschaffung ohne Hintertüren für Abmahnindustrie (30.05.2016)
https://digitalegesellschaft.de/2016/05/wlan-stoererhaftung-petition/

Offene Netze: Große Koalition einigt sich auf bedingungslose Abschaffung der WLAN-Störerhaftung (11.05.2016)
https://digitalegesellschaft.de/2016/05/offene-netze-groko-einigt-sich/

Offene Netze: Union gibt Widerstand gegen Abschaffung der WLAN-Störerhaftung auf (04.05.2016)
https://digitalegesellschaft.de/2016/05/offene-netze-union-gibt-widerstand-auf/

Unser Blogbeitrag zur Abschaffung der WLAN-Störerhaftung:

Abschaffung der WLAN-Störerhaftung: Koalition darf nicht auf halber Strecke Halt machen (12.05.2016)
https://digitalegesellschaft.de/2016/05/wlan-koalition-halbe-strecke/

Unser Gesetzesentwurf zur Abschaffung der WLAN-Störerhaftung:

Gesetzesentwurf Haftungsfreistellung für öffentliche Funknetzwerke (2012)
https://digitalegesellschaft.de/wp-content/uploads/2012/06/Digitale-Gesellschaft-Gesetzentwurf-Haftungsfreistellung-fur-offentliche-Funknetzwerke.pdf

Die FluxFM-Sendung zur WLAN-Störerhaftung:

Ende der WLAN-Störerhaftung?: DigiGes @ FluxFM (11.05.2016)

2. TTIP-Leaks

Anfang Mai hat Greenpeace geheime TTIP-Dokumente veröffentlicht, die deutlich machen, dass den Beschwichtigungen der EU-Kommission, TTIP führe nicht zu einer Verwässerung rechtsstaatlicher Standards, kein Glauben geschenkt werden darf. Damit ist spätestens jetzt das Vertrauen in ihre Fähigkeit ein Abkommen auszuhandeln, welches den Interessen von 500 Millionen Menschen in Europa gerecht wird, irreparabel beschädigt.

Wie sich zeigt, waren die Bedenken hinsichtlich des Verbraucherschutzes und im Hinblick auf netzpolitische Themen durchaus berechtigt. Es finden sich keine konkreten Hinweise auf Datenschutz. Zudem haben amerikanische Firmen nach bisherigem Verhandlungsstand die Möglichkeit, über die Regulierungsbehörden EU-Gesetze zu ändern beziehungsweise zu umgehen. Das könnte beispielsweise im Bezug auf Netzneutralität schädliche Folgen haben.

Unsere Pressemitteilung zu den TTIP-Leaks:

TTIP-Leaks: Transparenz und Beteiligung statt Beschwichtigungen und Geheimniskrämerei (02.05.2016)
https://digitalegesellschaft.de/2016/05/ttip-leaks/

TTIP beim Netzpolitischen Abend auf der re:publica 2016:

Netzpolitischer Abend des Digitale Gesellschaft e.V. (04.05.2016)
https://re-publica.de/en/16/session/netzpolitischer-abend-des-digitale-gesellschaft-ev

Die FluxFM-Sendung zu den TTIP-Leaks:

TTIP-Leaks: DigiGes @ FluxFM (04.05.2016)

3. Netzneutralität

In einem gemeinsamen offenen Brief haben sich 72 zivilgesellschaftliche Organisationen aus 31 Ländern, darunter auch der Digitale Gesellschaft e.V., an die europäischen Telekom-Regulierer gewandt. Darin fordern sie eine starke Absicherung der Netzneutralität bei der Umsetzung der EU Telekommunikationsmarkt-Verordnung. Von diesen neuen Regeln wird abhängen, ob Internetanbieter in Europa künftig bezahlte Überholspuren ermöglichen, einzelne Dienste blockieren, verschüsselte Verbindungen pauschal benachteiligen und den Inhalt der Datenpakete ihrer Kunden inspizieren dürfen. Noch besteht für die Zivilgesellschaft die Möglichkeit, sich in den laufenden Prozess einzubringen und der eigenen Stimme auf www.SaveTheInternet.eu Gehör zu verschaffen!

Das Gremium Europäischer Regulierungsbehörden für elektronische Kommunikation (BEREC) und die 28 nationalen Regulierer verhandeln zurzeit über Leitlinien, die viele offene Fragen des im Oktober 2015 beschlossenen EU-Gesetzes zur Netzneutralität klären sollen. Bis August sollen die endgültigen Leitlinien stehen. Zuvor soll in der Zeit von Juni bis Juli 2016 noch eine öffentliche Konsultation durchgeführt werden.

Unsere Pressemitteilung zum offenen Brief:

Gemeinsames Statement der Zivilgesellschaft für Netzneutralität in Europa (02.05.2016)
https://digitalegesellschaft.de/2016/05/nn-brief/

Der offene Brief:

Global open civil society letter to the Body of European Regulators of Electronic Communication (BEREC) in support of strong net neutrality guidelines (02.05.2016)
https://digitalegesellschaft.de/wp-content/uploads/2016/05/20160502_NN_BEREC_CivilSocietyletter_signed.pdf

Die FluxFM-Sendung zu Zero-Rating:

Zero-Rating: DigiGes @ FluxFM (18.05.2016)

4. „In digitaler Gesellschaft“ bei FluxFM

Seit Januar 2016 berichten wir in der Reihe „In digitaler Gesellschaft“ beim Berliner Radiosender FluxFM über das netzpolitische Thema der Woche. In kurzen Gesprächen erläutern wir aktuelle Entwicklungen im Feld der Netzpolitik. Das Themenspektrum reicht von tagespolitischen Ereignissen auf lokaler sowie globaler Ebene bis hin zu längerfristigen Projekten, welche wir als DigiGes kritisch begleiten. Als gemeinnütziger Verein, der sich für Grundrechte und Verbraucherschutz im digitalen Raum einsetzt, möchten wir nicht zuletzt auch die Fragen aufwerfen, warum die angesprochenen Themen uns alle betreffen und welchen Beitrag jeder einzelne zum Erhalt und zur Fortentwicklung einer freien und offenen digitalen Gesellschaft leisten kann.

Die Sendung könnt Ihr euch jeden Mittwoch um 16:10 Uhr live bei 100,6 FluxFM anhören.
Diesen Monat haben wir über die Themen TTIP-Leaks (Folge 17), Ende der WLAN-Störerhaftung? (Folge 18), Zero Rating (Folge 19) und Was verraten Metadaten? (Folge 20) gesprochen.

Sämtliche Video-Aufzeichnungen findet Ihr hier:
https://www.youtube.com/playlist?list=PLMoiP4YfunXJcELmvFy9cdxx2d6mN0s3Q
Sämtliche Audiomitschnitte findet Ihr hier: https://soundcloud.com/digiges/

00002-langer-atem-marathon-quelle

5. Netzpolitischer Abend

Der nächste Netzpolitische Abend findet am Dienstag, 07. Juni, wie gewohnt um 20.15 Uhr, in der c-base in Berlin statt.

Programm

Maria Xynou (Tactical Technology Collective) und Naomi Colvin (Courage Foundation): „Surveillance Without Borders: the Snowden Archives, Data Visualizations and a Call to Action“

Alexander Sander (Digitale Gesellschaft e.V.): EU-Überwachungsfantasien – Die Terrorismus-Richtlinie der EU

Volker Tripp (Digitale Gesellschaft e.V.): Abschaffung der WLAN-Störerhaftung – Endlich offene Netzzugänge?

Organisatorisches
Ihr findet die c-base in der Rungestraße 20, 10179 Berlin. Einlass ist wie immer ab 19:15 Uhr, los geht’s um 20:15 Uhr, selbstverständlich auch im Stream unter http://c-base.org. Der Eintritt ist frei.

Hashtag:
Der Hashtag für den nächsten Abend ist #npa049 – gebraucht ihn gerne und reichlich, auch für Feedback und Fragen, wenn ihr nicht vor Ort sein könnt.

6. Video vom letzten Netzpolitischen Abend

Am 4. Mai fand unser 48. Netzpolitischer Abend in bei der rpTEN statt. Für diejenigen unter Euch, die nicht live dabei sein konnten, gibt es hier die Videos der Vorträge zum Nachschauen:

Volker Tripp und Alexander Sander vom Digitale Gesellschaft e.V. haben über die bedingungslose Abschaffung der WLAN-Störerhaftung, die Vorratsdatenspeicherung von Reisedaten, die EU-Urheberrechtsreform und die internationalen Handelsabkommen CETA und TTIP berichtet. Zudem ging es um Wege, wie sich die Zivilgesellschaft engagieren kann.

7. DigiGes in den Medien

DigiGes im TV:

heute.de
Freies WLAN: Koalition schafft Störerhaftung ab
http://www.heute.de/wlan-und-hotspots-koalition-schafft-stoererhaftung-ab-43474914.html

n24.de
GroKo einigt sich: WLAN in Deutschland wird freier
http://www.n24.de/n24/Mediathek/videos/d/8505046/wlan-in-deutschland-wird-freier-.html

DigiGes im Radio:

WDR 5
Auf dem Weg in die digitale Welt?
http://www1.wdr.de/mediathek/audio/wdr5/wdr5-morgenecho-interview/audio-auf-dem-weg-in-die-digitale-welt-100.html

Ö1 – ORF
Datenschützer fürchten Einschränkungen durch TTIP
http://orf.at/stories/2339366/

DigiGes in den Print- und Onlinemedien:

süddeutsche.de
WLAN-Hotspots: Verein warnt vor «Hintertüren»
http://www.sueddeutsche.de/news/service/internet-wlan-hotspots-verein-warnt-vor-hintertueren-dpa.urn-newsml-dpa-com-20090101-160530-99-119807

heise.de
re:publica: Die Zukunft des offenen Netzes steht auf dem Spiel
http://www.heise.de/newsticker/meldung/re-publica-Die-Zukunft-des-offenen-Netzes-steht-auf-dem-Spiel-3195890.html?wt_mc=rss.ho.beitrag.rdf

zdnet.de
Weg frei für Abschaffung der WLAN-Störerhaftung: Union gibt Widerstand auf
http://www.zdnet.de/88268268/weg-frei-fuer-abschaffung-der-wlan-stoererhaftung-union-gibt-widerstand-auf/

computerbase.de
Störerhaftung soll noch vor der Sommerpause fallen
http://www.computerbase.de/2016-05/offene-wlans-stoererhaftung-soll-noch-vor-der-sommerpause-fallen/

Die Zeit
Die schönste Beerdigung des Jahres
http://www.zeit.de/digital/internet/2016-05/stoererhaftung-wlan-hotspots-gesetzentwurf-kommentar

meinungsbarometer.info
Digitale Gesellschaft kritisiert schwammige Begriffe im neuen EU-Datenschutzrecht
https://meinungsbarometer.info/beitrag/Digitale-Gesellschaft-kritisiert-schwammige-Begriffe-im-neuen-EU-Datenschutzrecht_1331.html

wired.de
Terror und Urheberrecht: Die Bundesregierung will Zensur privatisieren
https://www.wired.de/collection/life/die-deutsche-regierung-will-zensur-privatisieren

Europäische Datenschutzreform: Verabschiedung von Mindeststandards nach jahrelangem Reformprozess

„Nach einer gigantischen Lobbyschlacht um die Reform des Datenschutzes in Europa hat das EU-Parlament heute nur noch über eine stark verwässerte Verordnung abgestimmt. Die ambitionierten Ziele, die zu Beginn des Prozesses ausgerufen wurden, werden damit leider nicht erreicht und teils sogar in ihr Gegenteil verkehrt. In Anbetracht der jahrelangen Versuche der Bundesregierung, die Reform zu verzögern und Schutzmechanismen für Verbraucherinnen und Verbraucher zu torpedieren, muss allerdings das bloße Zustandekommen der Novelle bereits als Erfolg gewertet werden.“, erklärt Alexander Sander, Hauptgeschäftsführer des Vereins Digitale Gesellschaft.

Im Januar 2012 hat die Europäische Kommission nach umfassenden Beratungen einen Vorschlag für eine Verordnung veröffentlicht, mit der ein starkes Datenschutz-Regelwerk zugunsten von Verbraucherinnen und Verbrauchern in der EU etabliert werden sollte. Es sollte ein robuster gesamteuropäischer Rechtsrahmen geschaffen werden, der die bisher gültigen, veralteten Regelungen aus dem Jahr 1995 fit für den digitalen Wandel macht. Ausgangspunkt war das Bestreben, die Rechte von Individuen zu stärken und ihnen eine bessere Kontrolle über ihre persönlichen Informationen zu ermöglichen. Zudem sollte eine effizientere Rechtsdurchsetzung erreicht werden. Beide Punkte stellen große Schwächen der bislang geltenden Gesetzgebung dar.

00005-langer-atem-taucher-quelle

Leider wurde mit der Problematik der Profilbildung eines der zentralen Elemente der Datenschutzmodernisierung nicht gründlich genug bearbeitet. Des Weiteren wird die in der Verordnung angelegte Unterscheidung zwischen der „expliziten“ Zustimmung zur Verarbeitung sensibler Daten und der „Zustimmung“ für anderweitige Verarbeitungen voraussichtlich zu erheblichen Komplikationen bei der Anwendung der Verordnung führen. Auch bedauern wir, dass es nicht gelungen ist, den schwammigen Begriff des „berechtigten Interesses“ für eine Datenverarbeitung schärfer zu konturieren. Wir sind jedoch froh, dass zumindest einige Schutzmaßnahmen ergänzt wurden.

Noch schwerer wiegt jedoch, dass das Vorhaben, den Datenschutz in der EU zu harmonisieren, in sein Gegenteil verkehrt wurde. Die Anzahl der Ausnahmetatbestände in der jetzigen Verordnung ist größer als die der eigentlichen Artikel in der bisher gültigen Richtlinie von 1995. Zudem wurden auch die Möglichkeiten nationaler Ausnahmen in Artikel 21 ausgeweitet.

In den kommenden zwei Jahren werden die Mitgliedstaaten die vorgesehenen Ausnahmen nutzen und entsprechende gesetzliche Regelungen erlassen, bevor die Verordnung im Frühjahr 2018 endgültig in Kraft tritt. Der Digitale Gesellschaft e.V. wird diesen Prozess intensiv begleiten und für eine verbraucherfreundliche Implementierung streiten.

Anschläge von Brüssel: Weniger Datenschutz bedeutet nicht mehr Sicherheit

Die Anschläge von Brüssel haben uns die Verwundbarkeit der offenen Gesellschaften in Europa erneut schmerzlich vor Augen geführt. Wieder hat eine Mörderbande inmitten einer europäischen Großstadt zugeschlagen, um Angst und Schrecken zu verbreiten. Wieder haben verblendete Fanatiker ihre menschenfeindliche Ideologie in die Tat umgesetzt, um den freiheitlichen Charakter und den Zusammenhalt unserer Gesellschaften zu zerstören. Und als wäre all das noch nicht entsetzlich und unerträglich genug, scheinen insbesondere konservative Politiker und Vertreter der Sicherheitsbehörden im Angesicht solcher Verbrechen vor allem eine gute Gelegenheit zu wittern, um den Datenschutz kaputt zu reden und im Hau-Ruck-Verfahren soweit wie möglich abzuschaffen.

So sagte etwa Bundesinnenminister Thomas de Maizière gestern in den ARD-Tagesthemen: „Datenschutz ist schön, aber in Krisenzeiten und darüber hinaus – und wir sind in Krisenzeiten! – hat die Sicherheit Vorrang.“ Auch sein Parteifreund, der Bundestagsabgeordnete Armin Schuster (CDU), verkündete heute morgen im Interview mit dem Deutschlandfunk, strengere Sicherheitsgesetze würden die Freiheit der Bürger nicht einschränken, vielmehr werde die Freiheit der Deutschen durch mehr Druck auf die Terroristen erhöht. Wie auch die beiden CDU-Politiker verlangte zudem der Vorsitzende der Deutschen Polizeigewerkschaft, Rainer Wendt, einen verstärkten Datenaustausch zwischen den Sicherheitsbehörden der EU-Mitgliedstaaten untereinander und mit der europäischen Polizeibehörde Europol.

„Either you’re with us, or you’re with the terrorists.“

Neu sind diese Forderungen als solche keineswegs. Schon unmittelbar nach den Anschlägen von Paris riefen Law-and-Order-Hardliner nach mehr Befugnissen für Polizei und Geheimdienste. Und auch beim heutigen Sondertreffen der EU-Innen- und Justizminister in Brüssel werden im Ergebnis wohl Verschärfungen der Sicherheitsgesetze und ein intensiverer Datenaustausch verlangt werden. Was dabei allerdings neu ist, ist das Holzschnittartige, geradezu Binäre, mit dem der Öffentlichkeit dieses Narrativ eingebläut werden soll: Wer für den Datenschutz ist, ist gegen die Sicherheit und damit für die Terroristen. Der stumpfe Gegensatz zwischen Datenschutz und Sicherheit, den insbesondere de Maizière hier versucht aufzubauen, erinnert fatal an das Diktum des ehemaligen US-Präsidenten George W. Bush, mit dem dieser die Menschen nach den Anschlägen vom 11. September 2001 auf den Afghanistan-Krieg und den massiven Abbau der Bürgerrechte durch den Patriot Act einstimmen wollte: „Either you’re with us, or you’re with the terrorists.“

Eine besonnene und sachlich angemessene Reaktion auf die jüngsten terroristischen Gewalttaten sähe gewiss anders aus. Richtigerweise würde sie damit beginnen, zunächst einmal zu erforschen, warum die Sicherheitsbehörden die Anschläge von Brüssel nicht haben verhindern können. Lag es wirklich daran, dass im Vorfeld zu wenig Daten über die Attentäter verfügbar waren oder zu wenig Daten zwischen europäischen Sicherheitsbehörden ausgetauscht wurden? Oder ist die Ursache vielleicht doch eher in dem Umstand zu suchen, dass die Polizeibehörden der belgischen Hauptstadt stark fragmentiert sind, miteinander konkurrieren und sich gegenseitig schlicht in ihrer Arbeit behinderten? Würde es nicht vielmehr zur Sicherheit beitragen, Struktur und Zuständigkeiten der Brüsseler Polizei zu reformieren und sie so in die Lage zu versetzen, effektive reguläre Polizeiarbeit zu betreiben, anstatt Europa in einen überwachten Kontinent zu verwandeln und dabei genau die Freiheiten zu opfern, die man angeblich gegen die Terroristen verteidigen will? Ein Blick nach Frankreich, wo es schon seit 2006 Vorratsdatenspeicherung, Videoüberwachung öffentlicher Plätze und Fluggastdatenspeicherung gibt, und wo sich im vergangenen Jahr gleichwohl zwei terroristische Mordanschläge ereigneten, zeigt jedenfalls, dass mehr Datenerhebung keineswegs mit einem Mehr an Sicherheit verbunden sein muss.

00007-protest-gesichter-landesverrat-quelle

Wer die Nadel im Heuhaufen sucht, tut sich keinen Gefallen damit, den Heuhaufen zu vergrößern.

Bezeichnend ist in diesem Zusammenhang, dass die Brüsseler Attentäter den Behörden wie schon bei den Anschlägen von Paris, Mumbai oder Boston bereits seit geraumer Zeit bekannt waren – teils als gewöhnliche Kriminelle, teils als Terroristen. Gleichwohl konnten sie offenbar ungehindert quer durch Europa und in Ausbildungslager im Nahen Osten reisen, Bomben bauen, Mordpläne schmieden und sie in die Tat umsetzen. Nun wäre es natürlich naheliegend, gerade diese Menschen näher zu beobachten, um ihnen rechtzeitig das Handwerk zu legen. Für eine gezielte, dauerhafte Überwachung solcher Personen fehle aber das nötige Personal, beklagen demgegenüber Vertreter der Sicherheitsbehörden wie beispielsweise Rainer Wendt. Vor diesem Hintergrund leuchtet es umso weniger ein, wenn nun noch mehr Daten ausgetauscht und womöglich auch erhoben werden sollen und die Datenberge bei den Behörden auf diese Weise noch weiter anwachsen. Anders gesprochen: wer die Nadel im Heuhaufen finden will, tut sich keinen Gefallen damit, den Heuhaufen immer weiter zu vergrößern.

Politiker wie de Maizière und Schuster betreiben ein ebenso schamloses wie falsches Spiel mit der Bevölkerung. Indem sie bei jedem neuen Terroranschlag reflexartig ihre politische Agenda aus der Schublade ziehen und den Menschen einreden, dass Datenschutz ein Sicherheitshindernis sei, täuschen sie nicht nur Handlungsstärke vor, sondern nähren zugleich ein trügerisches Sicherheitsempfinden, das schon beim nächsten Attentat erneut erschüttert wird. Wenn die vergangenen Jahre uns eines gelehrt haben, dann doch dies: kein noch so engmaschiges Überwachungssystem und keine noch so lückenlose Datenspeicherung wird zu allem entschlossene, fanatisierte Täter von der Begehung ihrer widerwärtigen Mordtaten abhalten. Nun gleichermaßen im Handstreich den Datenschutz für irgendwie gefühlte Sicherheit zu opfern, hieße das Kind mit dem Bade auszuschütten. Effektive Terrorbekämpfung kann hingegen nur im Wege evidenzbasierter Maßnahmen und auf der Grundlage präziser Erforschung der sozialen, psychologischen und politischen Ursachen menschenfeindlicher Radikalisierung gelingen.

Dieser Weg mag das hier und da vorhandene Bedürfnis nach schnellen und einfachen Antworten zwar nicht befriedigen; er ist jedoch der einzige, mit dem wir nicht Freiheit, Rechtsstaatlichkeit und Grundrechte, mithin den Identifikationskern unserer Gesellschaft preisgeben.

Privacy Shield: Zivilgesellschaftliche Koalition fordert erhebliche Nachbesserungen

Anlässlich des heutigen Treffens zwischen der EU-Justizkommissarin Vĕra Jourová und zivilgesellschaftlichen Gruppen in New York haben wir uns gemeinsam mit fast zwei Dutzend weiteren Organisationen in einem offenen Brief an verschiedene Vertreter der EU gewandt und weitreichende Nachbesserungen des sogenannten „Privacy Shield“ gefordert. Die Regelung soll künftig das „Safe Harbor“ Arrangement, welches der Europäische Gerichtshof (EuGH) im vergangenen Oktober aufgehoben hatte, als Rechtsgrundlage für transatlantische Datenflüsse ersetzen. 

Zu den Adressaten des Briefes gehören die Vorsitzende der Artikel 29 Gruppe, der Vorsitzende des EU-Innenausschusses sowie der Ständige Vertreter des Königsreichs Niederlande, welches aktuell die EU-Ratspräsidentschaft innehat. Das EU-Parlament und das Gremium der Datenschutzbeauftragten in der EU, die Artikel 29 Gruppe, müssen jeweils noch unverbindliche Stellungnahmen abgeben, bevor die EU-Kommission dem „Privacy Shield“ wirksam zustimmen kann. Außerdem ist der Artikel 31 Ausschuss, in dem sowohl Vertreter der Mitgliedstaaten als auch der Kommission sitzen, aufgefordert, eine bindende Bewertung abzugeben.

00001-langer-atem-berge_quelle

In dem Schreiben legen wir dezidiert dar, dass das „Privacy Shield“ weder den Vorgaben der „Safe Harbor“ Entscheidung des EuGH noch den Bedingungen, welche die Artikel 29 Gruppe für eine rechtskonforme Vereinbarung aufgestellt hatte, genügt. Zunächst müssten die USA die Überwachungsbefugnisse ihrer Geheimdienste grundlegend reformieren, so dass den massenhaften und faktisch unkontrollierten Zugriffen, Speicherungen und Verarbeitungen von personenbezogenen Daten europäischer Bürgerinnen und Bürger ein Ende bereitet wird. Auch fehlt es der geplanten Stelle des Ombudsmanns, bei dem Verstöße der US-Behörden beim Umgang mit persönlichen Daten geltend gemacht werden können, bislang an Unabhängigkeit und echten Untersuchungsrechten. Nachgebessert werden muss darüber hinaus auch bei den Schutzrechten von Europäerinnen und Europäern im Falle von Datensammlungen durch US-Unternehmen, bei den Rechtsschutzmöglichkeiten und bei Fragen der Transparenz.

Nur wenn es gelingt, diese bestehenden Unzulänglichkeiten zu bereinigen, kann das Privacy Shield künftig als rechtmäßige, vertrauenswürdige und wirksame Grundlage für transatlantische Datenflüsse dienen. Die Unterhändler sind es deshalb den Bürgerinnen, Bürgern und Unternehmen sowohl in der EU als auch in den USA schuldig, die in dem offenen Brief angesprochenen Punkte nachzuverhandeln und eine Lösung im Sinne der Grundrechte zu finden.

Den offenen Brief finden Sie hier im Volltext.

Zum Thema Privacy Shield haben wir übrigens auch in unserer Radiokolumne „In digitaler Gesellschaft“ bei FluxFM schon mehrfach berichtet:

Folge 4: Safe Harbor & Privacy Shield

Folge 8: Privacy Shield – die Überwachung geht weiter