Tag Archives: EUdataP

Europäische Datenschutzreform: Verabschiedung von Mindeststandards nach jahrelangem Reformprozess

„Nach einer gigantischen Lobbyschlacht um die Reform des Datenschutzes in Europa hat das EU-Parlament heute nur noch über eine stark verwässerte Verordnung abgestimmt. Die ambitionierten Ziele, die zu Beginn des Prozesses ausgerufen wurden, werden damit leider nicht erreicht und teils sogar in ihr Gegenteil verkehrt. In Anbetracht der jahrelangen Versuche der Bundesregierung, die Reform zu verzögern und Schutzmechanismen für Verbraucherinnen und Verbraucher zu torpedieren, muss allerdings das bloße Zustandekommen der Novelle bereits als Erfolg gewertet werden.“, erklärt Alexander Sander, Hauptgeschäftsführer des Vereins Digitale Gesellschaft.

Im Januar 2012 hat die Europäische Kommission nach umfassenden Beratungen einen Vorschlag für eine Verordnung veröffentlicht, mit der ein starkes Datenschutz-Regelwerk zugunsten von Verbraucherinnen und Verbrauchern in der EU etabliert werden sollte. Es sollte ein robuster gesamteuropäischer Rechtsrahmen geschaffen werden, der die bisher gültigen, veralteten Regelungen aus dem Jahr 1995 fit für den digitalen Wandel macht. Ausgangspunkt war das Bestreben, die Rechte von Individuen zu stärken und ihnen eine bessere Kontrolle über ihre persönlichen Informationen zu ermöglichen. Zudem sollte eine effizientere Rechtsdurchsetzung erreicht werden. Beide Punkte stellen große Schwächen der bislang geltenden Gesetzgebung dar.

00005-langer-atem-taucher-quelle

Leider wurde mit der Problematik der Profilbildung eines der zentralen Elemente der Datenschutzmodernisierung nicht gründlich genug bearbeitet. Des Weiteren wird die in der Verordnung angelegte Unterscheidung zwischen der „expliziten“ Zustimmung zur Verarbeitung sensibler Daten und der „Zustimmung“ für anderweitige Verarbeitungen voraussichtlich zu erheblichen Komplikationen bei der Anwendung der Verordnung führen. Auch bedauern wir, dass es nicht gelungen ist, den schwammigen Begriff des „berechtigten Interesses“ für eine Datenverarbeitung schärfer zu konturieren. Wir sind jedoch froh, dass zumindest einige Schutzmaßnahmen ergänzt wurden.

Noch schwerer wiegt jedoch, dass das Vorhaben, den Datenschutz in der EU zu harmonisieren, in sein Gegenteil verkehrt wurde. Die Anzahl der Ausnahmetatbestände in der jetzigen Verordnung ist größer als die der eigentlichen Artikel in der bisher gültigen Richtlinie von 1995. Zudem wurden auch die Möglichkeiten nationaler Ausnahmen in Artikel 21 ausgeweitet.

In den kommenden zwei Jahren werden die Mitgliedstaaten die vorgesehenen Ausnahmen nutzen und entsprechende gesetzliche Regelungen erlassen, bevor die Verordnung im Frühjahr 2018 endgültig in Kraft tritt. Der Digitale Gesellschaft e.V. wird diesen Prozess intensiv begleiten und für eine verbraucherfreundliche Implementierung streiten.

EU-Datenschutzreform – Unsere Roten Linien

In der neusten Ausgabe der „Datenschutz-Nachrichten (DANA)“ zur Europäischen Datenschutzgrundverordnung haben wir gemeinsam mit anderen zivilgesellschaftlichen Gruppen und Akteuren unsere Roten Linien für diesen Gesetzgebungsprozess definiert.

EUDataP stärken

Seit 2012 streitet man auf europäischer Ebene über die Datenschutzreform, um die bestehende Regulierung aus dem Jahr 1995 endlich fit für die digitale Gesellschaft zu machen. Doch was als ambitioniertes Projekt begann, droht in einem Desaster für Verbraucherinnen und Verbraucher zu enden. Unternehmen, die mit unseren Daten Millionen scheffeln, torpedieren seit Jahren durch intensive Lobbybemühungen den Gesetzgebungsprozess – offensichtlich mit Erfolg. Denn nun setzen sich die Mitgliedsstaaten der EU dafür ein, den vom EU-Parlament erzielten Kompromiss für mehr Datenschutz bis zur Unkenntlichkeit aufzuweichen.

Unsere Roten Linien sowie die Beiträge der anderen Autoren findet ihr hier als .pdf.

In der Tagesschau vom 26. August wurden auch einige umstrittene Punkte der Reform thematisiert:

2015_01 foerdermitglied_w

EUDataP: Offener Brief erinnert Kommission an Versprechen zu Datenschutz

Bereits im Jahr 2012 stieß die EU-Kommission eine Reform des noch aus den 90er Jahren stammenden EU-Datenschutzrechts an. Das Europäische Parlament hat diesem längst überfälligen Update schon im vergangenen Jahr zugestimmt.

Nun allerdings hängt das Vorhaben im EU-Ministerrat fest. Aktuell versuchen dort die Mitgliedstaaten, elementare Schutzprinzipien wie die Zweckbindung aufzuweichen. Dabei hatte die Kommission zu Beginn des Gesetzgebungsverfahrens betont, dass das Datenschutzniveau der neuen Regelung keinesfalls hinter die bestehenden Standards zurückfallen wird. Zur Zeit geschieht jedoch genau das.

Gemeinsam mit 65 anderen Organisationen aus Europa, Nord-, Mittel- und Südamerika, Afrika, Asien und Australien haben wir uns deshalb mit einem offenen Brief an den Kommissionspräsidenten Jean Claude Juncker gewandt und ihn aufgefordert, dieses Versprechen zu bekräftigen und einzuhalten.

Wir brauchen endlich ein europäisches Datenschutzrecht, das die Bevölkerung effektiv vor den Gefahren von Big Data, Profilbildung und Online-Tracking schützt, und sie in die Lage versetzt, ihr Recht auf Privatsphäre gegenüber Unternehmen und staatlichen Stellen zu verteidigen.

Den offenen Brief könnt Ihr im Originalwortlaut hier (.pdf) lesen.

2015_01 foerdermitglied_w

45 Jahre Internet: Zeit für Weichenstellungen

“Die großartigen Möglichkeiten zur sozialen Vernetzung und zur Fortentwicklung der Gesellschaft, die uns das Internet eröffnet hat, werden durch den Datenhunger von Staat und Unternehmen zunehmend verspielt. Statt das Netz allein als ökonomische und administrative Sphäre zu betrachten, müssen Politik und Wirtschaft es endlich auch als Stätte der individuellen Entfaltung und der politischen Beteiligung, kurz als eigenständigen Lebensraum begreifen.”, erklärt Markus Beckedahl, Sprecher des Vereins Digitale Gesellschaft.

Mit der Übermittlung der schlichten Textnachricht „lo“ begann heute vor 45 Jahren die Geschichte dessen, was wir heute als Internet kennen. Was als Verbund von damals gerade zwei Rechnern anfing, ist in der Zwischenzeit zu dem weltweiten Netzwerk angewachsen, das heute Menschen rund um den Globus nutzen, um zu kommunizieren, politische Teilhabe auszuüben, sich zu informieren und persönlich zu entfalten. Auch wenn digitale Technologie bereits viele Lebensbereiche durchdrungen hat, steht die Entwicklung hin zu einer digitalen Gesellschaft heute immer noch am Anfang. Obwohl jetzt die Zeit für wichtige Weichenstellungen auf diesem Weg ist, bleiben die Antworten aus Politik und Wirtschaft auf Fragen des digitalen Wandels, wie die Digitale Agenda der Bundesregierung und der Verlauf des Nationalen IT-Gipfels belegen, lückenhaft und eindimensional.

Markus Beckedahl dazu: “Netzneutralität, Breitbandausbau, Urheberrecht, WLAN-Störerhaftung, Massenüberwachung und Datenschutz sind aktuell nur einige der netzpolitischen Großbaustellen, für die der Bundesregierung stimmige und zukunftsfeste Lösungskonzepte fehlen. Für die Versorgung der Bevölkerung mit schnellen und diskriminierungsfreien Netzzugängen muss die Politik staatliches Geld in die Hand nehmen und konsequent auf Glasfaserausbau setzen, statt den Ausbau der Wirtschaft zu überlassen und die Netzneutralität zugunsten eines Zwei-Klassen-Netzes zu opfern. Zu einem flächendeckenden Netzzugang würde auch die in anderen Ländern längst vollzogene, konsequente und bedingungslose Abschaffung der WLAN-Störerhaftung beitragen. Eine an den etablierten Nutzungsgewohnheiten im Internet orientierte Liberalisierung des Urheberrechts wiederum wäre nicht nur zeitgemäß, sondern würde zugleich wichtige Impulse für neue, innovative Geschäftsmodelle geben. Außerdem brauchen wir ein starkes, modernes und europaweit einheitliches Datenschutzrecht, das dem Datenhunger von Unternehmen wirksam Grenzen aufzeigt. Die Bundesregierung muss ihren Lippenbekenntnissen deshalb endlich Taten folgen lassen und die Verabschiedung der Datenschutzgrundverordnung auf EU-Ebene nicht länger blockieren, sondern aktiv vorantreiben. Schließlich müssen auch die Geheimdienste, die völlig den rechtsstaatlichen Boden unter den Füßen verloren haben, in die Schranken gewiesen werden. Schonungslose Aufklärung und eine gesamtgesellschaftliche Debatte über die Frage, ob und in welchem Ausmaß elektronische Überwachung in einem demokratischen Rechtsstaat akzeptabel ist, müssen an die Stelle der bisherigen Vernebelungs- und Beschwichtigungstaktik der Bundesregierung treten.”

100 Tage Voßhoff: Sie war stets bemüht

Heute vor genau 100 Tagen hat die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, ihr Amt angetreten. Damit besteht nun Anlass, die Arbeit der Nachfolgerin des verdienten Peter Schaar einer ersten kritischen Bestandsaufnahme zu unterziehen.

Die Datenschutzbeauftragte hat die gesetzliche Aufgabe, Bundesbehörden und andere öffentliche Stellen des Bundes ebenso wie Telekommunikationsunternehmen und Postdienste in Sachen Datenschutz zu kontrollieren und zu beraten. Bereits quantitativ ist sie diesem Auftrag bisher nur in äußerst geringem Umfang nachgekommen. Ganze drei Pressemitteilungen und zwei Reden kann sie seit dem Beginn ihrer Tätigkeit auf ihrer Homepage vorweisen.

Ähnlich mager fällt die Bilanz der Datenschutzbeauftragten in inhaltlicher Hinsicht aus. Ihre überaus seltenen Äußerungen zu Themen wie der Vorratsdatenspeicherung, dem NSA-Skandal, der Datenschutzgrundverordnung oder dem Informationsfreiheitsgesetz sind durchweg geprägt von sachlichen Unschärfen und mangelndem Engagement für Freiheit und Bürgerrechte. Ein klares Profil lässt sie ebenso wenig zu erkennen wie eigene Akzente, mit denen sie sich in die aktuellen netzpolitischen Debatten zu Themen rund um Datenschutz und Datensicherheit einbringt.

So fordert Frau Voßhoff, anders als ihr Amtsvorgänger Peter Schaar, selbst nach dem vernichtenden Urteil des Europäischen Gerichtshofs zur Vorratsdatenspeicherung nicht etwa die völlige Aufgabe des Vorhabens. Vielmehr mahnt sie die Bundesregierung lediglich dazu, zunächst die weitere Entwicklung auf EU-Ebene abzuwarten. Den NSA-Skandal hält sie nur für “beunruhigend”. Auch fiel ihr zum dazu eingerichteten Untersuchungsausschuss des Bundestages lediglich ein, sich diffus für eine Vernehmung Edward Snowdens auszusprechen. Zu den Modalitäten und der Frage einer Anhörung Snowdens in Deutschland hingegen äußerte sie sich nicht. Mehr als Gemeinplätze sind der Datenschutzbeauftragten auch zu weiteren wichtigen netzpolitischen Feldern nicht zu entlocken. Statt konkrete Vorschläge zu machen und die notwendigen Schritte spezifisch zu benennen und einzufordern, rief sie die Bundesregierung nur allgemein dazu auf, die Verabschiedung einer europäischen Datenschutzgrundverordnung und die Reform des Informationsfreiheitsgesetzes voranzutreiben.

“Frau Voßhoff rennt den aktuellen netzpolitischen Debatten hinterher statt sie aktiv zu prägen und zu befördern. Dass sie in ihrer Funktion als oberste Datenschützerin derart blass bleibt, ist in Zeiten ausufernder Datensammelwut von staatlichen Stellen und Unternehmen mehr als eine lässliche Sünde. Gerade jetzt brauchen wir eine starke Fürsprecherin und Anwältin des Datenschutzes, welche sich gegenüber Staat und Privatwirtschaft tatkräftig für die berechtigten Interessen der Bevölkerung einsetzt. Wir wünschen uns, dass Frau Voßhoff dieser Aufgabe endlich mit dem gebotenen Ernst und der erforderlichen Konsequenz begegnet und sich ein Beispiel an der guten Arbeit ihres Amtsvorgängers nimmt.”, kommentiert Volker Tripp, politischer Referent des Vereins Digitale Gesellschaft.

Unser Brief an den EU-Ministerrat zum Europäischen Datenschutztag

Das EU-Reformpaket für einen einheitlichen europäischen Datenschutz ist noch immer weit davon entfernt, in Kraft zu treten. Grund dafür ist unter anderem der hartnäckige Widerstand der deutschen Regierungsvertreter im EU-Ministerrat gegen die Datenschutzgrundverordnung, die einen zentralen Teil der Reform darstellt. Menschen und Unternehmen in der EU sehen sich daher nach wie vor mit einem Flickenteppich aus 28 unterschiedlichen, je nach Mitgliedsstaat anders ausgestalteten Datenschutzniveaus konfrontiert. Damit diese Nachteile für die Privatsphäre und die Wirtschaft beseitigt werden, brauchen wir ein europaweit einheitliches Datenschutzrecht.

Zum heutigen Europäischen Datenschutztag haben wir uns deshalb gemeinsam mit anderen NGOs wie EDRi, Bit of Freedom, Panoptykum, Privacy International, Access und vielen mehr mit einem offenen Brief an den EU-Ministerrat gewandt, in dem wir bei den dortigen Regierungsvertretern auf eine rasche Verabschiedung der Reform drängen.

Hier findet Ihr unseren offenen Brief als PDF.

January 28, 2014
Greek Presidency of the Council of the European Union Mr. Charalampos Athanasiou
Minister for Justice, Transparency, and Human Rights of the Hellenic Republic

Dear Charalampos Athanasiou,

We, the signatory organisations, are writing to you on the occasion of the Data Protection Day. This day is marked on 28 January each year in commemoration of the opening for signature in 1981 of the Council of Europe’s „Convention for the Protection of individuals with regard to automatic processing of personal data“ (Convention 108). This Convention has been a cornerstone of data protection in Europe and beyond for over 30 years.

Almost three decades after the entry of the Convention into force, under the pressure of unprecedented technological progress and increasing global threats to privacy and data protection, the EU is now more than ever before accountable for its policies and choices regarding the right to privacy and protection of personal data.

The Charter of Fundamental Rights, as part of the primary law of the European Union, is legally binding on its Member States, and includes the right to respect for private and family life (Article 7) and the right to protection of personal data (Article 8). Moreover, the Treaty provides for accession by the Union to the European Convention for the Protection of Human Rights. This instrument also guarantees the right to private and family life (Article 8). Furthermore, all European Union Member States have ratified the Convention 108 of the Council of Europe. All these binding instruments establish a positive obligation in Union and its Member States to protect private life and personal data for everyone.

In this context, we, the undersigned non-profit organisations committed to defending the
individuals’ rights in the online environment, take this opportunity to share with you our deep concerns about the lack of progress concerning data protection in Europe. In our age of fast technological changes, this amounts to retrogression.

The European Commission released a proposal intended to update and modernise the current data protection framework in early 2012, referred to as the Data Protection Reform Package, which includes a proposal for a General Data Protection Regulation and a Directive for the law enforcement sector. We regret that the progress of this dossier so far has been littered with unnecessary barriers, and that, over two years after the initial proposals were made, we are still a considerable distance away from achieving a much-needed update EU data protection legislation.

On 21 October, the Civil Liberties, Justice and Home Affairs (LIBE) Committee of the European
Parliament held its orientation vote on the package. Progress in the Council has been painfully slow. This lack of progress is to the detriment of citizens’ rights, as they are increasingly exposed to the risks associated with data mining, export of their data to countries with inadequate legal protection and profiling. These threats have potentially serious impacts such as discrimination and online fraud. The lack of progress is similarly to the detriment of industry, which still has to cope with 28 different legal regimes, as long as the current framework remains in place.

At the same time we are encouraged by the fact that some progress was made at the meeting in
Athens, Greece on January 23-24, and we strongly encourage the Council representatives build on this progress.

In conclusion, we urge you to take all necessary steps to move forward with this agenda without any further unnecessary delays, in order to restore the trust of European citizens by
supporting a strong and predictable uniform legal framework on data protection across Europe, in full respect of the EU’s legal obligations.

We urge you to take a constructive approach in reviewing this legislation. When the Charter
entered into force, it represented a clear promise to the citizens of the Union. It is time to finally close the loopholes, stop the unnecessary delays and prove that the EU is capable of delivering on its legal obligations.

Sincerely,

Access (International)
Article 19 (International)
Bits of Freedom (The Netherlands)
Digitalcourage (Germany)
Digitale Gesellschaft e.V. (Germany)
Electronic Frontier Finland (Finland)
European Digital Rights (Europe)
Europe-v-facebook.org (Austria)
Initative für Netzfreiheit (Austria)
IT-Political Association of Denmark (Denmark)
La Quadrature du Net (France)
Net Users‘ Rights Protection Association (NURPA) (Belgium)
Open Rights Group (ORG) (United Kingdom)
Panoptykon Foundation (Poland)
Privacy International (International)
Statewatch (United Kingdom)
VIBE (Austria)
Vrijschrift (The Netherlands)

Zum Europäischen Datenschutztag: Datenschutz ist Vertrauenssache

Heute findet zum achten Mal der Europäische Datenschutztag statt. Mit diesem 2007 vom Europarat ins Leben gerufenen Anlass soll das Bewusstsein der Menschen in Europa für den Datenschutz gefördert werden. Von der Datenschutzgrundverordnung über die Vorratsdatenspeicherung bis hin zur Geheimdienst-Spähaffäre läuft die Politik der Bundesregierung diesem Ziel bisher allerdings klar zuwider.

“Datenschutz ist Vertrauenssache.”, sagt Volker Tripp, politischer Referent des Digitale Gesellschaft e.V.. “Die Bundesregierung muss ihre Politik so ausrichten, dass das Vertrauen der Menschen in die Sicherheit ihrer privaten Daten und ihrer Geschäftsgeheimnisse wiederhergestellt und gestärkt wird.”.

EU-Datenschutzgrundverordnung
Bisher hat Bundesregierung ein starkes gesamteuropäisches Datenschutzniveau behindert. Dass die entsprechende EU-Datenschutzgrundverordnung noch immer nicht verabschiedet ist, ist unter anderem dem beharrlichen Widerstand der deutschen Vertreter im EU-Ministerrat geschuldet. Auf diese Weise ermöglicht es die Regierung Unternehmen wie beispielsweise Facebook, sich in EU-Staaten mit besonders laxen Datenschutzbestimmungen niederzulassen. “Es darf in Europa keine Datenschutzinseln mehr geben. Die Bundesregierung muss die Verabschiedung der Datenschutzgrundverordnung jetzt aktiv vorantreiben, um Schlupflöcher zur Umgehung des Datenschutzes in Europa zu schließen.”, kommentiert Volker Tripp.

Vorratsdatenspeicherung
Als wenig vertrauensbildend erweist sich auch das Vorhaben der Bundesregierung, die Vorratsdatenspeicherung in Deutschland gesetzlich zu verankern. “80 Millionen Menschen in Deutschland einem solchen Generalverdacht zu unterwerfen, kommt einem Misstrauensvotum gegenüber der eigenen Bevölkerung gleich.”, so Tripp. “Die Möglichkeit, aus diesen Daten Persönlichkeitsprofile zu erstellen, das soziale Umfeld und die Kommunikations- und Lebensgewohnheiten einzelner Menschen ausforschen, ist dabei mindestens so beunruhigend wie die Speicherung derart sensibler Daten bei privatwirtschaftlichen Unternehmen.”. Zahlreiche Fälle von Datendiebstahl bei Telekommunikationsprovidern wie der Telekom und Vodafone, in denen jeweils mehrere Millionen Nutzerinnen und Nutzern betroffen waren, belegen eindringlich, dass die Daten dort niemals völlig sicher vor dem  Zugriff durch unbefugte Dritte sind. „Statt die privatesten Daten der Menschen in Deutschland einer solchen Missbrauchsgefahr auszusetzen, sollte sich die Bundesregierung auf die Datensparsamkeit als einen der zentralen Grundsätze des Datenschutzes besinnen. Zu einem Verzicht auf die Vorratsdatenspeicherung gibt es aus unserer Sicht daher keine Alternative.”, erklärt Volker Tripp.

Geheimdienst-Spähaffäre
Der Umgang der Bundesregierung mit der Geheimdienst-Spähaffäre nährt zudem massive Zweifel an ihrem politischen Willen, die Bürger vor einer Totalüberwachung zu schützen. „Statt für Aufklärung zu sorgen, hat die Regierung von Anfang an auf eine hilflose Appeasement-Politik gegenüber den USA gesetzt und versucht, den Skandal mit hanebüchenen Beschwichtigungen kleinzureden. Die Bundesregierung zeigte eine höchst bedenkliche Mischung aus fehlendem Problembewusstsein und politischer Ohnmacht. Richtig wäre es gewesen, etwa die Abkommen zum Datenaustausch mit den USA umgehend auszusetzen, die Kontrolle der Geheimdienste zu verbessern, die Entwicklung und Verbreitung von Open Source-Verschlüsselungssoftware zu fördern und die Verteidigung der Grundrechte endlich ernst zu nehmen. Das Krisenmanagement der Bundesregierung hinterlässt ein durchweg verstörendes Bild.“, so Tripp abschließend.

Unser Brief an Bundesminister Friedrich: Für starken Datenschutz in Europa

Am 5. und 6. Dezember 2013 wird der Rat „Justiz und Inneres“ den Vorschlag für die EU-Datenschutzverordnung verhandeln. Die Deutsche Regierung und ihre Beamten bremsen seit Monaten das Reformvorhaben und versuchen den Datenschutz zu verwässern. Daher haben wir gemeinsam mit dem Digitalcourage e.V., dem FIfF und dem CCC einen offenen Brief an den Bundesminister Friedrich geschickt, in dem wir ihn auffordern, sich für einen starken Datenschutz in Europa einzusetzen.


Der Brief als .pdf.


Sehr geehrter Herr Bundesminister Dr. Friedrich,

Am 5. und 6. Dezember 2013 wird der Rat „Justiz und Inneres“ den Vorschlag für die EU-Datenschutzverordnung verhandeln. Die unterzeichnenden Datenschutz- und Bürgerrechtsorganisationen möchten in diesem Zusammenhang darauf hinweisen, dass Datenschutz als Grundrecht in der EU von großer Bedeutung ist und durch den Kommissionsvorschlag praktische Anwendung finden soll.

Der Fortschritt bei den Verhandlungen wurde regelmäßig durch unnötige Hindernisse verzögert, wodurch wir nun, zwei Jahre nach der Veröffentlichung des Kommissionsvorschlags, immer noch weit entfernt von einem Abschluss der dringend notwendigen Datenschutzreform sind. Hierdurch entsteht das Risiko, dass in Europa ineffiziente Datenschutzgesetze zur Geltung kommen. Im Jahr 2009 wurde mit der Charta der Grundrechte der Europäischen Union das Recht auf Privatsphäre verankert. Es wäre nun für die Glaubwürdigkeit der EU katastrophal, diesem Recht im Jahr 2013 noch immer keine praktische Bedeutung zuzugestehen. Gerade in den vergangenen Monaten ließ sich beobachten, wie wichtig und relevant die Kommissionsvorschläge sind – um beispielsweise die Datenerfassung auf das notwendige Minimum zu beschränken, um datenschutzfreundliche Voreinstellungen zu sichern und das Recht auf Löschung zu garantieren.

Wir bitten Sie eindringlich, den Rechten von mehr als 500 Millionen europäischen Bürgerinnen und Bürgern den Respekt entgegenzubringen, den sie verdienen. Wir fordern Sie auf, die Verhandlungen nun wirklich zur „Chefsache“ zu machen und keine weiteren Verzögerungen zuzulassen. Wir brauchen dringend harmonisierte und durchsetzbare Datenschutzregeln in ganz Europa.

Wir fordern Sie daher auf, eine konstruktive Haltung einzunehmen und sich insbesondere für die folgenden Punkte einzusetzen:

Eine starke Definition von personenbezogenen Daten. Der Rat schlägt derzeit eine Definition für „pseudonymisierte“ Daten vor. Diese Definition würde dazu führen, dass eine weitere Kategorie von Daten erschaffen wird, für die es einen weniger hohen Schutz geben soll, zum Beispiel im Kontext von Datenpannen. Diese Rechtslücke muss geschlossen werden, um Bürgerrechte – vor allem im digitalen Umfeld – angemessen zu schützen.

Transparenz und Aufsicht garantieren. Die Verarbeitung personenbezogener Daten wird immer komplexer und umfassender. Daher ist es besonders wichtig, dass über jede Datenverarbeitung transparent und leicht verständlich informiert wird. Bürgerinnen und Bürger müssen das Recht haben, genaue und wahrheitsgetreue Informationen darüber zu erhalten, wie ihre Daten verarbeitet werden. Dies setzt unter anderem voraus, dass sie Informationen erhalten, an wen die Daten weitergegeben werden. Die Definition des “Empfängers”, wie sie vom Rat derzeit vorgeschlagen wird, ist unzureichend. Die Definition darf nicht Behörden in ihrer Amtsausübung ausschließen. Wenn die Weitergabe von Daten an einen bestimmten Empfänger nicht offengelegt werden können, darf dies nur auf den Ausnahmen in Artikel 2 oder 21 des Vorschlags basieren.

Ein Verbot für heimliche Profilbildung. Wir sind zutiefst über die Risiken der Profilbildung besorgt. Wir fordern daher einen wirksamen Schutz der Bürgerinnen und Bürger vor ungewollten Profilbildungen. Der Vorschlag für Artikel 20 ist sehr limitiert: Allein Maßnahmen, die Bürgerinnen und Bürger stark beeinträchtigen können, sollen als verbotene Profilbildungen gelten. Die Formulierung „stark beeinträchtigen“ geht dabei noch einen Schritt weiter als „wesentlich beeinträchtigen“. Insbesondere bedeutet dies, dass die Berufung auf eine „starke Beeinträchtigung“ erst möglich ist, nachdem der Schaden eingetreten ist. Obwohl der Text des Rates einen gewissen Schutz bietet, ist Artikel 20(3) besorgniserregend, da hierdurch die Profilbildung anhand von sensiblen persönlichen Daten zugelassen wird. Dadurch, dass Profiling erlaubt ist sobald Artikel 9(2) Anwendung findet, dürfen sensible Daten zur Profilbildung genutzt werden – was wiederum dazu führt, dass der vorhergesehene Schutz gegen Profilbildung anhand von sensiblen Daten keine praktische Bedeutung hat.

Weitere entscheidende Fragen der Verordnung betreffen unter anderem die Übermittlung von Daten in Drittländer sowie das Recht auf explizite Zustimmung und auf Einspruch, die dem Wesensgehalt der Grundrechte, die im Primärrecht der Union festgeschrieben sind, entsprechen. Die Verordnung kann nur so gut sein wie das schwächste Glied der Kette. Es ist daher unumgänglich, dass alle Lücken, durch die demokratische Rechte unterminiert werden können, geschlossen werden. Wir bitten Sie, Ihren Standpunkt im Hinblick auf die oben genannten Punkte zu überdenken.

Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.

Mit freundlichen Grüßen

Chaos Computer Club
Digitalcourage e. V.
Digitale Gesellschaft e.V.
Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung

Netzpolitische Bilanz der Koalitionsvereinbarung

Zu Beginn der Koalitionsverhandlungen hatte sich der Digitale Gesellschaft e.V. mit einem netzpolitischen Forderungskatalog an die künftigen Regierungsparteien gewandt. Die nunmehr ausgehandelte Koalitionsvereinbarung ist mit 185 Seiten die umfangreichste in der Geschichte der Bundesrepublik. Und obwohl darin auch die Netzpolitik überraschend viel Raum einnimmt, bleibt nach der Lektüre nicht viel mehr als ein schaler Nachgeschmack zurück. Ein großer Wurf ist es nicht geworden, stattdessen viele wolkige Phrasen, widersprüchliche Absichtserklärungen und die erneute Einführung der Vorratsdatenspeicherung. Grund genug für eine netzpolitische Bilanz.

Das finden wir positiv

Überwiegend positiv nehmen sich zunächst die Passagen zu Open Science und Open Data aus. Die digitale Lehrmittelfreiheit, ein bildungs- und forschungsfreundliches Urheberrecht und die Verwendung offener Lizenzen und Formate sollen gestärkt, ein Open Access-Portal für Bund, Länder und Kommunen geschaffen und der Beitritt Deutschlands zur “Open Government Partnership”-Initiative angestrebt werden. Die hier skizzierten Ziele und Maßnahmen decken sich weitestgehend mit den Forderungen des Digitale Gesellschaft e.V., wenngleich die Koalitionsvereinbarung konkrete Zielvorgaben zum zeitlichen, institutionellen und finanziellen Rahmen der Umsetzung vermissen lässt.

Begrüßenswert ist auch das Vorhaben, die WLAN Störerhaftung abzuschaffen, um Rechtssicherheit für die Betreiber von Funknetzen herzustellen, die ihren Netzzugang für Dritte öffnen. Tatsächlich könnte auf diesem Weg ein flächendeckender offener Netzzugang Wirklichkeit werden. Allerdings schweigt sich die Koalitionsvereinbarung darüber aus, wie die angestrebten Rechtsänderungen im Detail aussehen sollen. So hatte der Bundesrat bereits Ende 2012 in einer Stellungnahme (.pdf) empfohlen, die WLAN Störerhaftung nur abzuschaffen, wenn Funknetzbetreiber im Gegenzug zu Schutzmaßnahmen gegen Rechtsverletzungen Dritter verpflichtet werden. Eine solche Schutzmaßnahme könnte beispielsweise die Identifizierung der Nutzerinnen und Nutzer sein. Derartige Pflichten würden WLAN-Betreiber mit großer Wahrscheinlichkeit dazu veranlassen, ihre Zugänge weiterhin zu verschlüsseln. Dem Ziel eines flächendeckenden offenen Netzzugangs wäre damit ein Bärendienst erbracht.

Das finden wir negativ

Eher durchwachsen und teilweise widersprüchlich erscheinen die Entschließungen der Koalitionsparteien zur Netzneutralität. Einerseits erkennt man den diskriminierungsfreien Transport aller Daten als Grundlage von Teilhabe, Meinungsvielfalt, Innovation und Wettbewerb in einem freien und offenen Netz an. Andererseits will man sicherstellen, dass das “Best Effort” Internet nicht durch “eine Vielzahl von ‚Managed Services’” verdrängt wird. Ein Komplettverbot der von der Telekom geplanten priorisierten Dienste wird es demnach nicht geben, sondern im Gegenteil eine Legalisierung des Zweiklassen-Netzes. Auch konnte man sich nicht dazu durchringen, grundsätzlich jeglicher Schlechterstellung des offenen Internet durch “Managed Services” einen Riegel vorzuschieben. Das zeigt sich auch in der ebenfalls geplanten Verpflichtung für Mobilfunkprovider, VoIP-Dienste gegebenenfalls gegen gesondertes Entgelt zu ermöglichen. Dies legt nahe, dass es Netzneutralität im mobilen Netz auch weiterhin nicht geben soll. Wie das wiederum mit dem Versprechen zusammenpasst, Deep Packet Inspection “zur Diskriminierung von Diensten oder zur Überwachung von Nutzerinnen und Nutzern” zu verbieten, bleibt rätselhaft. Erfreuliches gibt es nur beim Thema Endgerätenetzneutralität, der Routerzwang soll abgeschafft werden.

Auch in Sachen EU-Datenschutzgrundverordnung erweist sich die Koalitionsvereinbarung als wenig konsequent. Zwar beteuern die Koalitionsparteien, die Verordnung zügig weiterverhandeln und schnell verabschieden zu wollen, und bekennen sich auch zu den wichtigsten Datenschutzprinzipien wie Zweckbindung, Datensparsamkeit und -sicherheit, Einwilligungsvorbehalt, Recht auf Löschen und Recht auf Datenportabilität. Zugleich enthält diese Passage aber einige versteckte Vorbehalte für die Fortsetzung der bisherigen Verzögerungs- und Blockadepolitik beim europäischen Datenschutz. So will man beispielsweise die deutschen Standards beim Datenaustausch zwischen Bürgern und Behörden bewahren – eine Forderung, die von deutscher Seite bislang benutzt wurde, um die Verabschiedung der EU-Datenschutzgrundverordnung zu verhindern. Gleiches gilt für den Hinweis auf die Einhaltung deutscher Datenschutzstandards bei der europäischen Datenschutzrichtlinie für Strafverfolgungsbehörden und Justiz. Diese bildet mit der Datenschutzgrundverordnung ein Gesamtpaket. Würden die Verhandlungen zur Richtlinie weiter in die Länge gezogen oder sogar abgebrochen, so wäre dadurch auch die Verabschiedung der Datenschutzgrundverordnung gefährdet.

Ein Recht auf Remix, das noch während der Verhandlungen Gegenstand der Koalitionsvereinbarung war, findet sich in der endgültigen Fassung nicht mehr. Auch sonstige Ansätze für ein zeitgemäßes, dem digitalen Wandel angepasstes Urheberrecht (z.B. eine generelle Fair Use Regelung) sucht man vergebens. Stattdessen konnte sich hier offenbar die Verwerterlobby durchsetzen: Sharehoster sollen künftig verschärft für Rechtsverletzungen Dritter haften, internationale Vereinbarungen sollen Urheber- und Markenrechte schützen, die Medienkompetenz von Internetnutzerinnen und -nutzern soll gestärkt werden, so dass sie besser zwischen legalen und illegalen Angeboten im Netz unterscheiden können. Was davon schließlich in welcher Weise in die Tat umgesetzt werden wird, ist zur Zeit völlig offen. Eine Abschaffung der bisherigen Haftungsprivilegierung für Sharehoster wäre nicht nur innovationshemmend, sondern dürfte bereits mit der E-Commerce-Richtlinie unvereinbar und im Übrigen technisch kaum umsetzbar sein. Die erwähnten internationalen Vereinbarungen zum Schutz von Urheber- und Markenrechten deuten auf eine Neuauflage von ACTA im Rahmen von TAFTA/TTIP hin. Die avisierte Steigerung der Medienkompetenz wiederum könnte von Kampagnen im Stil von “Raubkopierer sind Verbrecher!” bis hin zu Warnhinweisen beim Besuch bestimmter Webseiten so ziemlich alles bedeuten.

Beim Export von Überwachungstechnologien in autokratische Staaten soll es offenbar keine verstärkte Kontrolle durch das deutsche oder europäische Außenwirtschaftsrecht geben. Die Koalitionsvereinbarung enthält lediglich explizite Aussagen zu Rüstungsexporten, wozu aber gerade nicht die Ausfuhr von Überwachungstechnologien zählt. Allein die allgemein gehaltene Absichtserklärung, sich für eine möglichst breite Wahrnehmung und Anwendung der OECD-Leitlinien für multinationale Unternehmen einzusetzen, könnte auch Überwachungstechnologien erfassen. Da diese Leitlinien in der Vergangenheit von Unternehmen wie Trovicor oder Gamma jedoch regelmäßig ignoriert wurden, bleibt hier bedauerlicherweise wohl alles beim Alten.

Auch für eine Reform oder Abschaffung der Funkzellenabfrage fehlt es offenkundig an dem politischen Willen. Kein Wort findet sich dazu in der Koalitionsvereinbarung. Nachdem das BVerfG bereits 2003 die gesetzliche Grundlage der Funkzellenabfrage durchgewunken hatte, sieht Schwarz-Rot wohl keinen Handlungsbedarf. Dabei dürfte zumindest die konkrete Exekutivpraxis bei der Funkzellenabfrage, wie z.B. in Dresden oder Berlin, gegen das Grundgesetz und die Vorgaben der Strafprozessordnung verstoßen. In der Dresdner “Handygate-Affäre” sind zur Zeit Verfassungsbeschwerden anhängig, die sowohl die konkrete behördliche Datenabschöpfung als auch deren gesetzliche Grundlage zum Gegenstand haben. Da die Politik in Sachen Funkzellenabfrage also weiterhin untätig bleibt, wird es wieder einmal Aufgabe des Bundesverfassungsgerichts sein, die behördliche Datensammelwut auf ein verfassungskonformes Maß zurecht zu stutzen.

Enttäuschend bis bestürzend sind auch die von der Koalition vorgesehenen Konsequenzen des Geheimdienste-Überwachungsskandals. Abkommen zur Datenübermittlung in die USA wie SWIFT und Safe Harbor sollen nicht etwa ausgesetzt, sondern lediglich nachverhandelt werden. Das Fluggastdatenabkommen (PNR) wird in diesem Zusammenhang nicht einmal erwähnt. Darüber hinaus will man ein “rechtlich verbindliches Abkommen zum Schutz vor Spionage” aushandeln und die Spionageabwehr stärken. Europäische Telekommunikationsanbieter will man verpflichten, ihren Datenverkehr innerhalb der EU zu verschlüsseln und nicht an ausländische Nachrichtendienste weiterzuleiten.

Mit diesen Maßnahmen soll vermutlich das angeschlagene “transatlantische Vertrauensverhältnis” wiederhergestellt werden, was jedoch schon angesichts der Kombination eines “No Spy”-Abkommens mit einem parallelen Ausbau der Spionageabwehr unstimmig wirkt. Die sehr viel wichtigere Frage, wie man nach dem desaströsen Umgang mit der Überwachungsaffäre im Sommer diesen Jahres beabsichtigt, das Vertrauen der Bevölkerung in die deutsche Regierung zu reparieren, beantwortet die Koalitionsvereinbarung hingegen mit keinem Wort. Vielmehr lässt bereits die Überschrift “Konsequenzen aus der NSA Affäre” erkennen, dass die Koalitionsparteien das Problem allein auf amerikanischer Seite verorten. Dass auch andere Nachrichtendienste wie der britische GCHQ an der Totalüberwachung des Kommunikationsgeschehens beteiligt sind, berücksichtigt die Koalitionsvereinbarung ebenso wenig wie die Frage, in welchem Ausmaß der BND den Datenverkehr in Deutschland ausforscht und Erkenntnisse mit ausländischen Diensten austauscht. Unklar bleibt auch, wie genau die Bundesregierung zukünftig verhindern will, dass beispielsweise in Deutschland ansässige britische Unternehmen mit dem britischen Geheimdienst kooperieren.

Statt hier klar Stellung zu beziehen, Transparenz herzustellen und etwa die parlamentarische Kontrolle der Geheimdienste zu stärken, setzt man mit dem Ausbau der Spionageabwehr auf eine Erweiterung der nachrichtendienstlichen Befugnisse. Auch an anderer Stelle in der Koalitionsvereinbarung wird sichtbar, dass Schwarz-Rot aus dem Überwachungsskandal anscheinend keine Lehren gezogen hat und von einem echten Willen zum Schutz der Grundrechte weit entfernt ist: als Konsequenz des Verfassungsschutzskandals um den rechtsterroristischen NSU beabsichtigt man, die Inlandsgeheimdienste stärker zu zentralisieren und deren “technische Analysefähigkeit” zu verbessern. Letzteres deutet darauf hin, dass der Einsatz von Überwachungstools wie der Software XKeyscore, die das Bundesamt für Verfassungsschutz bisher angeblich nur testet, legalisiert werden soll.

Als gleichermaßen lernresistent erweist sich Schwarz-Rot auch beim netzpolitischen Tiefpunkt der Koalitionsvereinbarung, der Wiedereinführung der Vorratsdatenspeicherung. Das Bundesverfassungsgericht hatte 2010 die konkrete deutsche Umsetzung der EU-Vorratsdatenspeicherungsrichtlinie für verfassungswidrig erklärt, dabei aber nicht die Vorratsdatenspeicherung als solche schlechthin verboten. Anstatt nun angesichts des historisch größten Skandals um geheimdienstliche Kommunikationsausforschung auf die erneute Errichtung einer solchen Überwachungsinfrastruktur zu verzichten, verweist die Koalitionsvereinbarung lapidar darauf, dass dies Strafzahlungen wegen Nichtumsetzung der EU-Richtlinie nach sich ziehen würde. Unerwähnt bleibt hingegen, dass der Europäische Gerichtshof im Frühjahr 2014 über die Vereinbarkeit der Richtlinie mit europäischen Grundrechten und damit über ihren Fortbestand entscheiden wird. Ob das europäische Recht künftig also überhaupt eine Einführung der Vorratsdatenspeicherung verlangt, ist zur Zeit mehr als fraglich.

Die Pläne zur Vorratsdatenspeicherung werfen zudem im Abgleich mit anderen Passagen der Koalitionsvereinbarung Widersprüche auf. So heißt es etwa zum Datenschutz auf Seite 148:
“Wir wollen das vom Bundesverfassungsgericht entwickelte Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme mit Leben füllen. Die Nutzung von Methoden zur Anonymisierung, Pseudonymisierung und Datensparsamkeit müssen zu verbindlichen Regelwerken werden. Wir werden den technikgestützten Datenschutz („Privacy by Design“) und den Datenschutz durch Voreinstellungen („Privacy by Default“) ausbauen.”

Die lückenlose Bevorratung von Verbindungsdaten, welche die vollständige Ausforschung der sozialen Vernetzung, des Verhaltens und des Wesens einer Person erlaubt, erodiert jedoch gerade die Vertraulichkeit und Integrität informationstechnischer Systeme, und ist die Antithese zu Anonymität, Datensparsamkeit und technischem Datenschutz.

Bei der gesetzlichen Umsetzung der Vorratsdatenspeicherung will die Koalition offenbar auf Nummer Sicher gehen und sich eng an die Vorgaben des verfassungsgerichtlichen Urteils von 2010 halten. Doch auch hier tun sich Fragen auf. So soll der Zugriff auf die gespeicherten Verbindungsdaten “zur Verfolgung schwerer Straftaten nach richterlichem Beschluss und zur Abwehr von Gefahren für Leib und Leben” zulässig sein. Sollte mit der Formulierung gemeint sein, dass ein Zugriff zur Gefahrenabwehr grundsätzlich ohne richterlichen Beschluss erfolgen kann, widerspräche das dem Urteil des Bundesverfassungsgerichts.

Keine Erwähnung findet auch der dort ausdrücklich angemahnte Schutz von Personen mit Verschwiegenheitspflichten (Anwälte, Ärztinnen, Geistliche, Bundeskanzlerinnen). Hier darf man also gespannt sein, ob und gegebenenfalls wie diese Hürde im Gesetz berücksichtigt werden wird. Den Behörden zu verbieten, die Verbindungsdaten solcher Personen gezielt abzufragen, ist zwar denkbar. Wie man jedoch im Falle der Abfrage von Daten Dritter sicherstellen will, dass deren Verbindungen zu Personen mit Verschwiegenheitspflichten zuvor ausgefiltert werden, bleibt schleierhaft. Müssen sich Personen mit Verschwiegenheitspflichten demnächst als solche bei ihrem Provider registrieren, um ihre Verbindungsdaten vor einem behördlichen Zugriff zu schützen?

tl;dr

Die Bilanz fällt insgesamt ernüchternd aus. Der künftigen Regierung fehlt es sowohl an dem Bewusstsein als auch an der Vision für eine digitale Gesellschaft. Die Koalitionsverhandlungen hätten die Chance geboten, das Internet als Freiheitsraum und Entfaltungssphäre zu begreifen und als soziale Gestaltungsoption zu nutzen. Stattdessen gibt’s ein bisschen mehr Open Access und vielleicht etwas mehr offenes W-LAN, ansonsten viel “weiter wie bisher” und eine überwachte Gesellschaft.

Kanzlerin fordert stärkeren EU-Datenschutz – Ihr eigener Innenminister ist das Problem, nicht die Lösung

Pressemitteilung des Digitale Gesellschaft e.V. vom 14. Juli 2013

Im ARD-Sommerinterview betonte Bundeskanzlerin Angela Merkel, dass sich Deutschland bei Verhandlungen über die europäische Datenschutzgrundverordnung dafür stark machen werde, dass die Internet-Unternehmen Auskunft darüber erteilen, an wen sie Daten weitergeben.

Wir freuen uns über das Signal von Kanzlerin Angela Merkel, dass die Bundesregierung endlich einen strengen Datenschutz auf EU-Ebene anstrebt. Bisher wirkte die Bundesregierung, vertreten durch das Bundesinnenministerium, als starker Bremser bei der laufenden EU-Datenschutz-Reform. „Die Forderung nach mehr Transparenz und Kontrolle beim Datenschutz würde tatsächlich eine Kehrtwende gegenüber der bisherigen Verhandlungsposition Deutschlands im EU-Ministerrat darstellen.“, sagt Markus Beckedahl, Vorstand Digitiale Gesellschaft e.V.

Wie aus geheimen, von der Bürgerrechtsplattform Statewatch veröffentlichten Dokumenten zu den Verhandlungen im Ministerrat hervorgeht, hat Deutschland schon mit den selbstverständlichen Informationspflichten seine Probleme.

„Wenn Deutschland sich schon in der Zeit vor den NSA-Enthüllungen bei den grundlegenden Informationspflichten der Diensteanbieter, Sorgen um die damit verbunden Kosten für die Industrie gemacht hat, wird es schwer werden gegen die Lobbyarbeit der großen US-amerikanischen Internetgigangten.“, so Beckedahl weiter. „Wer schon den Hinweis auf eine Datenverarbeitung überhaupt als Bürde für die Industrie erachtet, dürfte deutliche Hinweise über Datenweitergaben an Unternehmen oder Staaten mit fraglichen Verarbeitungspraxen nicht gut heißen. Es sei denn, Deutschland hat aus den Enthüllungen gelernt und ist sich seiner Rolle in Europa und der Welt bewusst. Der dafür zuständige Innenminister Hans-Peter Friedrich machte nach seiner Rückkehr aus Washington nicht den Eindruck.“

Der Digitale Gesellschaft e.V. fordert Kontrolle und Transparenz bei der Datenverarbeitung: „Wer speichert und verarbeitet, auf welchen Servern, welche Daten von uns. Nach welchen Kritierien werden sie verarbeitet? Wo kann ich mich beschweren und die Daten im Zweifelsfall wieder löschen lassen. Das muss alles klar ersichtlich sein, bevor ich in die Nutzung eines Dienstes einwillige.“, betonte Beckedahl.

„Die dringend nötige europäische Datenschutzreform droht zu einem Desaster für Europa zu werden. Die datenschutzfreundlichen Vorschläge der EU-Kommission finden bislang keine Mehrheiten, weder im Europäischen Parlament, noch im Ministerrat.“ schließt Beckedahl. Diesen Trend zu stoppen, sei Aufgabe der Europaparlamentarier und der Bundesregierung. Wenn Kanzlerin Merkel sage, sie wolle das hohe Schutzniveau des deutschen Datenschutzrechts in Europa gesichert sehen – dann müssten sie und vor allem Innenminister Friedrich nun auch aktiv dafür eintreten.