Tag Archives: Safe Harbor

Privacy Shield: Zivilgesellschaftliche Koalition fordert erhebliche Nachbesserungen

Anlässlich des heutigen Treffens zwischen der EU-Justizkommissarin Vĕra Jourová und zivilgesellschaftlichen Gruppen in New York haben wir uns gemeinsam mit fast zwei Dutzend weiteren Organisationen in einem offenen Brief an verschiedene Vertreter der EU gewandt und weitreichende Nachbesserungen des sogenannten „Privacy Shield“ gefordert. Die Regelung soll künftig das „Safe Harbor“ Arrangement, welches der Europäische Gerichtshof (EuGH) im vergangenen Oktober aufgehoben hatte, als Rechtsgrundlage für transatlantische Datenflüsse ersetzen. 

Zu den Adressaten des Briefes gehören die Vorsitzende der Artikel 29 Gruppe, der Vorsitzende des EU-Innenausschusses sowie der Ständige Vertreter des Königsreichs Niederlande, welches aktuell die EU-Ratspräsidentschaft innehat. Das EU-Parlament und das Gremium der Datenschutzbeauftragten in der EU, die Artikel 29 Gruppe, müssen jeweils noch unverbindliche Stellungnahmen abgeben, bevor die EU-Kommission dem „Privacy Shield“ wirksam zustimmen kann. Außerdem ist der Artikel 31 Ausschuss, in dem sowohl Vertreter der Mitgliedstaaten als auch der Kommission sitzen, aufgefordert, eine bindende Bewertung abzugeben.

00001-langer-atem-berge_quelle

In dem Schreiben legen wir dezidiert dar, dass das „Privacy Shield“ weder den Vorgaben der „Safe Harbor“ Entscheidung des EuGH noch den Bedingungen, welche die Artikel 29 Gruppe für eine rechtskonforme Vereinbarung aufgestellt hatte, genügt. Zunächst müssten die USA die Überwachungsbefugnisse ihrer Geheimdienste grundlegend reformieren, so dass den massenhaften und faktisch unkontrollierten Zugriffen, Speicherungen und Verarbeitungen von personenbezogenen Daten europäischer Bürgerinnen und Bürger ein Ende bereitet wird. Auch fehlt es der geplanten Stelle des Ombudsmanns, bei dem Verstöße der US-Behörden beim Umgang mit persönlichen Daten geltend gemacht werden können, bislang an Unabhängigkeit und echten Untersuchungsrechten. Nachgebessert werden muss darüber hinaus auch bei den Schutzrechten von Europäerinnen und Europäern im Falle von Datensammlungen durch US-Unternehmen, bei den Rechtsschutzmöglichkeiten und bei Fragen der Transparenz.

Nur wenn es gelingt, diese bestehenden Unzulänglichkeiten zu bereinigen, kann das Privacy Shield künftig als rechtmäßige, vertrauenswürdige und wirksame Grundlage für transatlantische Datenflüsse dienen. Die Unterhändler sind es deshalb den Bürgerinnen, Bürgern und Unternehmen sowohl in der EU als auch in den USA schuldig, die in dem offenen Brief angesprochenen Punkte nachzuverhandeln und eine Lösung im Sinne der Grundrechte zu finden.

Den offenen Brief finden Sie hier im Volltext.

Zum Thema Privacy Shield haben wir übrigens auch in unserer Radiokolumne „In digitaler Gesellschaft“ bei FluxFM schon mehrfach berichtet:

Folge 4: Safe Harbor & Privacy Shield

Folge 8: Privacy Shield – die Überwachung geht weiter

Safe Harbor: Alter Wein in neuen Schläuchen

„Die Probleme, die zur Aufhebung von Safe Harbor geführt haben, sind alles andere als gelöst. Statt sich entschlossen für den Schutz europäischer Daten in den USA einzusetzen, hat sich die EU-Kommission eine Mogelpackung andrehen lassen. Wie schon bei Safe Harbor ist auch beim jetzigen EU-US-Privatsphäre-Schild der Bereich der nationalen Sicherheit von den Regelungen ausgenommen. Wenn die Kommission behauptet, es werde künftig keine Massenüberwachung von Daten aus der EU in den USA geben, ist das nicht mehr als ein schlechter Witz.“, erklärt Alexander Sander, Geschäftsführer des Vereins Digitale Gesellschaft.

Die EU-Kommission hat heute den Abschluss der Verhandlungen um eine Nachfolgeregelung zu Safe Harbor verkündet. Eine solche Neuauflage war erforderlich geworden, nachdem der Europäische Gerichtshof (EuGH) die Safe Harbor-Entscheidung im vergangenen Oktober unter anderem mit Hinweis auf die nahezu unbeschränkten Zugriffsbefugnisse von US-Sicherheitsbehörden auf die Daten von Bürgerinnen und Bürgern der EU aufgehoben hatte. Zukünftig sollen transatlantische Datenflüsse nach dem Willen der EU-Kommission nun auf Grundlage des „EU-US-Privatsphäre-Schilds“ stattfinden. Bisher handelt es sich dabei lediglich um eine politische Einigung mit den USA. Eine detaillierte und juristisch präzise Ausarbeitung werde noch etwa drei Monate in Anspruch nehmen, so die Kommission.

Die konkrete Formulierung dürfte sich als schwierig erweisen, da das „Privatsphäre Schild“ in einigen bereits jetzt bekannten Punkten klar gegen die Vorgaben des EuGH verstößt. So ist der Bereich der nationalen Sicherheit von der Regelung ausgenommen. Gerade dies war aber einer der Hauptkritikpunkte der Luxemburger Richter an Safe Harbor. Ferner soll der Zugriff amerikanischer Sicherheitsbehörden auf die Daten von Europäerinnen und Europäern begrenzt werden. Dies bedeutet vor allem, dass weiterhin Zugriffe stattfinden. Worin die Begrenzung des Zugriffs bestehen soll und wie weit sie genau geht, lässt die Kommission wohlweislich offen. Gänzlich unglaubhaft ist daher auch ihre Behauptung, es werde in den USA künftig keine Massenüberwachung von Daten aus der EU mehr stattfinden. So dürfte es für die NSA bereits technisch schwierig, wenn nicht gar unmöglich sein, etwa im Rahmen der „Upstream Collection“ genannten Massendatenerfassung an Internetknotenpunkten zwischen europäischen und anderen Daten zu unterscheiden. Auch bietet das vorgesehene Ombudsmannverfahren keinen ausreichenden und insbesondere keinen gerichtlichen Schutz gegen Datenschutzverstöße durch US-Behörden. Der Ombudsmann ist selbst Teil der US-Administration und verfügt damit nicht über dieselbe Unabhängigkeit und Durchsetzungskraft wie ein Gericht. Schließlich dürfte auch die vorgesehene jährliche Evaluierung des „Privatsphäre Schilds“ keine substanzielle Verbesserung bringen, da sie allein durch EU-Kommission und Federal Trade Commission und nicht durch unabhängige Stellen erfolgen wird.

00007-protest-gesichter-landesverrat-quelle

Safe Harbor: Reform der geheimdienstlichen Zugriffsbefugnisse ist unausweichlich

„Die angeblich intensiven Verhandlungen um eine neue Safe-Harbor-Regelung haben bislang nicht mehr als vage Ankündigungen hervorgebracht. Statt den Elefanten im Raum klar zu benennen und tiefgreifende Reformen bei den amerikanischen Überwachungsgesetzen einzufordern, eiert die EU-Kommission weiter rum und lässt Verbraucherinnen, Verbraucher und Unternehmen im Stich. Die europäischen Datenschutzbehörden müssen nun den Druck auf die Verhandlungen erhöhen und entschlossen gegen rechtswidrige transatlantische Datentransfers vorgehen.“, fordert Alexander Sander, Geschäftsführer des Vereins Digitale Gesellschaft.

An diesem Wochenende läuft die Schonfrist ab, welche die Artikel 29 Gruppe der EU-Kommission nach der Aufhebung der Safe Harbor Entscheidung durch den Europäischen Gerichtshof (EuGH) eingeräumt hatte. Bis Ende Januar 2016 sollte die Kommission nach Wunsch der europäischen Datenschützer eine neue Rechtsgrundlage für die Übermittlung personenbezogener Daten aus der EU in die USA aushandeln. Ein „Safe Harbor 2.0“ ist trotz angeblich intensiv geführter Verhandlungen, über die stets nur vage Informationen nach außen dringen, derzeit jedoch nicht in Sicht. Zwar berichten die Unterhändler gelegentlich über Fortschritte, etwa dass Bürgerinnen und Bürger der EU ähnliche Rechtsmittel gegen Datenschutzverstöße wie US-Amerikaner erhalten könnten, konkrete Ergebnisse gibt es bislang aber nicht.

Dabei ist seit der Entscheidung des EuGH ist klar, dass das vordergründigste Problem bei der transatlantischen Übermittlung personenbezogener Daten in den nahezu unbeschränkten gesetzlichen Zugriffsbefugnissen der US-Geheimdienste liegt. Obendrein ist es den datenverarbeitenden Unternehmen außerdem verboten, ihre Kundinnen und Kunden über ihre Kooperation mit diesen Behörden zu informieren. Ohne tiefgreifende Änderungen im Recht der US-Geheimdienste wird es nicht möglich sein, die Vorgaben der EuGH-Entscheidung zu erfüllen. Das gleiche gilt für Standardvertragsklauseln und Binding Corporate Rules, die nach dem Luxemburger Richterspruch ebenfalls keine taugliche Rechtsgrundlage für transatlantische Datenübertragungen mehr darstellen. Um den Druck auf die Verhandlungen zu erhöhen, müssen die europäischen Datenschutzbehörden deshalb nun ihren Ankündigungen Taten folgen lassen, und entschlossen rechtswidrige Datenflüsse zwischen der EU und den USA unterbinden. Nur auf diese Weise wird sich in den Safe Harbor Verhandlungen die Einsicht durchsetzen, dass Reformen der geheimdienstlichen Befugnisse unausweichlich sind.

00007-protest-gesichter-landesverrat-quelle

DigiGes Wochenrückblick – Folge 3 #dgw003

Es ist wieder einmal Freitag, Zeit für eine neue Folge unseres DigiGes Wochenrückblicks!
Diesmal unter anderem mit Beiträgen zum neuen VDS-Gesetz in Deutschland und der DigiGes-Aktion für mehr freie WLAN-Zugänge.

Wir danken Euch für das Feedback zu den ersten beiden Folgen und freuen uns weiterhin auf alle Anregungen und Kritikpunkte!

Wenn Euch das Video gefällt, gebt uns einen Daumen nach oben und abonniert unsere Kanäle auf Youtube und Soundcloud, um keine Ausgabe zu verpassen.

Bis nächsten Freitag!

Video:

 

 

 

Soundcloud:

 

 

 

2015_01 foerdermitglied_w

DigiGes Wochenrückblick – Die neue Folge ist da #dgw002

Wir sind zurück mit der zweiten Folge unseres DigiGes Wochenrückblicks!

Auch diese Woche hat sich auf der netzpolitischen Bühne wieder viel getan, wobei insbesondere die Entscheidung des EuGH zu „Safe Harbor“ für Aufsehen gesorgt hat.
Gebt uns gerne auch Feedback, was Ihr von den Änderungen in dieser zweiten Folge des Podcasts haltet und abonniert unseren Youtube– und Soundcloud-Kanal, um keine Ausgabe zu verpassen.

Bis nächsten Freitag!

Video:

 

 

 

Soundcloud:

 

 

 

2015_01 foerdermitglied_w

Kurzanalyse: Standardvertragsklauseln und Binding Corporate Rules als Ausweg nach der „Safe Harbor“-Entscheidung?

Nachdem der Europäische Gerichtshof (EuGH) heute die „Safe Harbor“-Regelung aus dem Jahr 2000 für ungültig erklärt hat, drängt sich die Frage auf, ob dies zugleich das Ende transatlantischer Datenflüsse bedeutet.

Wir hatten bereits gestern darauf hingewiesen, dass dies mit der Ungültigkeit von „Safe Harbor“ nun zwar grundsätzlich der Fall ist, personenbezogene Daten jedoch in bestimmten Ausnahmefällen selbst dann in Drittstaaten übertragen werden dürfen, wenn diese kein angemessenes Datenschutzniveau aufweisen. Diese Ausnahmen erweisen sich im Hinblick auf Datenübermittlungen in die USA bei näherer Betrachtung jedoch allesamt als problematisch.

Die praktisch wichtigste dieser Ausnahmen in der EU-Datenschutzrichtlinie lässt die Übermittlung personenbezogener Daten zu, wenn die Betroffenen ausdrücklich und zweifelsfrei in die Übermittlung eingewilligt haben. Allerdings setzt diese Ausnahme voraus, dass die Betroffenen zuvor über den Zweck der Übermittlung und Verarbeitung, die Weitergabe an Dritte sowie Bedingungen und Reichweite dieser Weitergabe unterrichtet wurden. Nach US-Recht wiederum ist es Unternehmen, die mit den dortigen Nachrichtendiensten wie etwa der NSA zusammenarbeiten, jedoch untersagt, Informationen über diese Zusammenarbeit preiszugeben. Aus diesem Grund dürfte es datenverarbeitende Unternehmen aus den USA vor große Schwierigkeiten stellen, den Anforderungen der EU-Datenschutzrichtlinie in diesem Punkt zu genügen.

Reaktion der EU-Kommission
In einer ersten Reaktion auf die Entscheidung des EuGH ließ die EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung, Vera Jourová, verlauten, dass personenbezogene Daten trotz der Ungültigkeit von „Safe Harbor“ weiterhin in die USA übermittelt werden dürften; Grundlage dafür seien die EU-Standardvertragsklauseln oder die „Binding Corporate Rules“. Diese Auffassung ist aus unserer Sicht jedoch nicht nachvollziehbar.

Spenden

EU-Standardvertragsklauseln
Die Standardvertragsklauseln basieren ebenso wie „Safe Harbor“ auf Entscheidungen der EU-Kommission. Es handelt sich dabei um fest vorgegebene Vertragswerke mit bestimmten Datenschutzgarantien für Datenexporteure und Datenimporteure. Inhaltlich entsprechen die Standardvertragsklauseln den Vorgaben der „Safe Harbor“ Regelung. Der Unterschied zwischen beiden besteht lediglich darin, dass sich „Safe Harbor“ auf das Datenschutzniveau eines ganzen Landes bezieht, die Standardvertragsklauseln hingegen nur auf das Datenschutzniveau innerhalb einzelner Unternehmen. Im Rahmen der Standardverträge muss der Datenimporteur bei Übermittlungen in einen unsicheren Drittstaat wie die USA zusichern, dass dort seines Wissens keine Rechtsvorschriften existieren, die die Garantien aus den Klauseln substanziell beeinträchtigen.

Genau dies hat der EuGH im Rahmen der „Safe Harbor“ Entscheidung in Frage gestellt und moniert, dass sich die Regelung gerade nicht auf die Bereiche der nationalen Sicherheit und der Strafverfolgung in den USA erstreckt. Zudem hat der Gerichtshof klargestellt, dass faktisch unbegrenzte behördliche Zugriffe auf personenbezogene Daten mangels Verhältnismäßigkeit niemals mit dem EU-Datenschutzrecht und den EU-Grundrechten vereinbar sein können. Und tatsächlich erlaubt Sektion 702 des FISA Amendment Act (FAA) von 2008 den US-Geheimdiensten ohne besondere Schranken, die Daten von Nicht-US-Bürgern abzugreifen. Dabei kann die NSA wie im Fall von PRISM mit Online-Unternehmen kooperieren oder wie bei der „Upstream Collection“ genannten Massendatenerfassung direkt selbst an Internetknotenpunkten ansetzen. Die Datenschutzgarantien der Standardvertragsklauseln werden dadurch ebenso unterlaufen wie die Vorgaben von „Safe Harbor“, so dass beide Regelungen letztlich an demselben Fehler leiden. Datenübermittlungen in die USA auf Grundlage der Standardverträge dürften daher ebenso unzulässig sein, wie der EuGH dies heute für Übermittlungen auf der Basis von „Safe Harbor“ angenommen hat.

Binding Corporate Rules
Auch die „Binding Corporate Rules“ bieten hier keinen Ausweg. Im Unterschied zu den Standardvertragsklauseln sind sie nicht fest vorgegeben, sondern können insbesondere von multinationalen Konzernen für Fälle konzerninterner Datenübermittlungen selbst gestaltet werden. Diese Regeln bedürfen der Genehmigung durch eine federführende sowie zwei weitere europäische Datenschutzbehörden, um wirksame Grundlage für die Datenübermittlung in einen unsicheren Drittstaat zu sein. Dabei müssen die Behörden prüfen, ob durch die selbst auferlegten Regeln ein angemessenes Datenschutzniveau innerhalb des jeweiligen Konzerns gewährleistet ist. Spätestens an diesem Punkt kommen wiederum die Überwachungsbefugnisse der US-Nachrichtendienste ins Spiel. Daher können Unternehmen mit Sitz in den Vereinigten Staaten auch im Wege der „Binding Corporate Rules“ ein angemessenes Datenschutzniveau nicht garantieren.

Fazit
Ganz so einfach, wie es EU-Kommission und Unternehmen wie Facebook nun vorgeben, werden die Auswirkungen des EuGH-Urteils nicht zu bewältigen sein. Ein zulässiger Ausweg kann jedenfalls nicht darin bestehen, die Datenübermittlung künftig schlicht auf eine andere formale Grundlage zu stellen. Den materiellen Anforderungen des EU-Datenschutzrechts ist auf diese Weise nicht auszuweichen. Vielmehr bedarf es substanzieller Änderungen bei den Überwachungspraktiken der US-Geheimdienste ebenso wie bei ihrer Aufsicht und den Rechtsmitteln für Personen, die nicht in den USA ansässig sind.

2015_01 foerdermitglied_w

Safe Harbor: Europäischer Gerichtshof setzt historisches Zeichen gegen anlasslose Massenüberwachung

„Der Europäische Gerichtshof hat heute ein historisches Zeichen für den Datenschutz und gegen anlasslose Massenüberwachung gesetzt. Die Safe Harbor-Entscheidung macht unmissverständlich klar, dass geheimdienstliche Spähexzesse den Grundrechten und der Online-Wirtschaft schweren Schaden zufügen und mit freien transatlantischen Datenflüssen schlichtweg unvereinbar sind. Die politisch Verantwortlichen in Europa und den USA stehen nun in der Pflicht, die Missstände abzustellen und die längst überfälligen Reformen bei Aufsicht und Befugnissen der Geheimdienste vorzunehmen.“, kommentiert Alexander Sander, Geschäftsführer des Vereins Digitale Gesellschaft.

In dem Rechtsstreit zwischen dem österreichen Datenschutzaktivisten Max Schrems und Facebook hat der Europäische Gerichtshof (EuGH) heute entschieden, dass die vor rund 15 Jahren ergangene „Safe Harbor“ Entscheidung der EU-Kommission ungültig ist. Die Entscheidung bildete bislang die rechtliche Grundlage für die Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten, wo US-Unternehmen wie Facebook diese Daten speichern und verarbeiten. Sie besagte im Kern, dass in den USA ein angemessenes Schutzniveau für die Daten von Nutzerinnen und Nutzern aus der EU herrsche. Dieser pauschalen Annahme hat der EuGH nun vor dem Hintergrund der anlasslosen Massenüberwachung durch die NSA eine klare Absage erteilt.

Anders als teilweise im Vorfeld der Entscheidung von US-Seite zu vernehmen war, bedeutet das gerichtliche Votum keineswegs das Ende transatlantischer Datenflüsse. So sieht das europäische Datenschutzrecht zahlreiche Ausnahmen für die Übermittlung personenbezogener Daten auch ohne eine „Safe Harbor“ Regelung vor. Diese Ausnahmen greifen allerdings nur dann, wenn Nutzerinnen und Nutzer zunächst umfassend über den Verwendungszweck und die Weitergabe ihrer Daten an Dritte unterrichtet wurden. Datenverarbeitende Unternehmen aus den USA müssen europäische Nutzerinnen und Nutzer daher auch über die geheimdienstlichen Zugriffsmöglichkeiten auf ihre Daten informieren, damit diese weiterhin übermittelt werden dürfen. Aufgrund der Verschwiegenheitseverpflichtungen nach US-Recht dürfte dies für die Unternehmen allerdings kaum möglich sein. Der Ball liegt daher im Spielfeld der politisch Verantwortlichen auf beiden Seiten des Atlantiks. Sie stehen in der Pflicht, der geheimdienstlichen Massenüberwachung und damit einem der größten Hindernisse für freie Datenflüsse zwischen der EU und den USA endlich ein Ende zu bereiten. Online-Unternehmen und Zivilgesellschaft müssen diese Reformen nun selbstbewusst und unnachgiebig einfordern.

Eine ausführliche Analyse zu den Auswirkungen und Implikationen des Urteils finden Sie hier.

Spenden

Safe-Harbor-Entscheidung des Europäischen Gerichtshofs: Das Ende transatlantischer Datenflüsse?

Vor rund 15 Jahren entschied die EU-Kommission, dass die USA ein „sicherer Hafen“ für personenbezogene Daten aus der EU seien. Diese sogenannte „Safe Harbor“ Entscheidung bildet seither die Grundlage für einen ungehinderten transatlantischen Datenfluss. Davon profitieren vor allem US-amerikanische IT-Konzerne wie Google oder Facebook, welche die Daten europäischer Nutzerinnen und Nutzer auf Servern in den Vereinigten Staaten speichern und verarbeiten. Am morgigen Dienstag könnte der Europäische Gerichtshof (EuGH) die „Safe Harbor“ Entscheidung für ungültig erklären. Doch welche Folgen hätte ein solcher Richterspruch für die Datenübermittlung in die USA und für die Nutzung US-amerikanischer Online-Dienste in Europa?

Bei der mit Spannung erwarteten EuGH-Entscheidung in dem Verfahren des österreichischen Datenschutzaktivisten Max Schrems gegen Facebook geht es im Kern um die Frage, ob das Datenschutzniveau in den USA, wo Facebook die Daten seiner Nutzerinnen und Nutzer speichert, gemessen an europäischen Maßstäben als angemessen angesehen werden kann. Nur wenn dies der Fall ist, so schreibt es die EU-Datenschutzrichtlinie von 1995 vor, dürfen personenbezogene Daten überhaupt aus der EU über den Atlantik gesendet werden.

Was ist „Safe Harbor“?

Die Richtlinie sieht außerdem vor, dass die EU-Kommission in Einzelfällen anerkennen kann, dass ein Land über ein angemessenes Datenschutzniveau verfügt. Genau dies hat sie im Fall der USA im Jahr 2000 getan. Datenverarbeitende Unternehmen, die personenbezogene Daten aus der EU in die Vereinigten Staaten übertragen möchten, erklären im Gegenzug gegenüber der US-Handelskommission (Federal Trade Commission, FTC), dass sie bestimmte Datenschutzprinzipien einhalten werden. So müssen die Unternehmen unter anderem versprechen, personenbezogene Daten nur mit Einwilligung der Betroffenen zu sammeln und zu verwenden, diese Daten vor dem Zugriff Dritter zu schützen und sie nicht ohne Zustimmung der Betroffenen an Dritte weiterzugeben.

Ob und inwieweit die Unternehmen diese Versprechen tatsächlich einhalten, wurde von der EU-Kommission allerdings gar nicht und von der zuständigen FTC lediglich lax kontrolliert. Hinzu kommt, dass die Selbstverpflichtung der Unternehmen sich gerade nicht auf Datenübermittlungen in den Bereichen der nationalen Sicherheit und der Strafverfolgung erstreckt. Nicht zuletzt aus diesem Grund kritisieren Datenschutzbehörden und zivilgesellschaftliche Organisationen ebenso wie das EU-Parlament die „Safe Harbor“ Entscheidung schon seit Jahren.

2015_01 foerdermitglied_w

Die Kritik des Generalanwalts

Auch Generalanwalt Yves Bot, Rechtsgutachter in dem nun zur Entscheidung anstehenden EuGH-Verfahren, kam vor knapp zwei Wochen zu dem Ergebnis, dass die „Safe Harbor“ Entscheidung die EU-Grundrechte auf Privatsphäre und den Schutz personenbezogener Daten verletze und daher ungültig sei. Seinen Befund begründete Bot vor allem mit dem Umstand, dass US-amerikanische Geheimdienste wie die NSA faktisch unbeschränkten Zugriff auf die bei den dortigen Unternehmen gespeicherten Daten haben. Darüber hinaus vermisste der Generalanwalt eine wirksame unabhängige Kontrolle dieser Zugriffe ebenso wie effektive Rechtsmittel, mit denen sich Betroffene aus der EU gegen die Verwendung ihrer Daten durch Geheimdienste wehren können. Ein weiteres Indiz für die Unzulänglichkeiten der „Safe Harbor“ Entscheidung sah Bot in den aktuell laufenden Verhandlungen über ein neues Datenschutzabkommen zwischen der EU und den USA.

Das US-Außenministerium reagierte umgehend auf das Votum des Generalanwalts und erklärte, die Vereinigten Staaten seien „nicht dabei, irgendjemanden unüberlegt zu überwachen, auch keine normalen europäischen Bürger“; der Generalanwalt habe hinsichtlich der geheimdienstlichen Massenüberwachung Schlussfolgerungen der gerichtlichen Vorinstanz, dem irischen High Court, lediglich ungeprüft übernommen; das Privacy and Civil Liberties Oversight Board, ein der US-Regierung beigeordnetes Datenschutzgremium, sei nach eingehender Prüfung zu dem Ergebnis gelangt, dass es sich bei dem NSA-Programm PRISM nicht um Massenüberwachung handele. Unerwähnt blieb in der Stellungnahme, dass PRISM nur einen Baustein in der umfangreichen Überwachungsmaschinerie der NSA darstellt und keineswegs die einzige Methode ist, mit welcher der Dienst sich Zugriff auf personenbezogene Daten verschafft. Darüber hinaus darf die Einschränkung, dass die Überwachung nicht „unüberlegt“ sei, durchaus als Eingeständnis einer tatsächlich stattfindenden Überwachung gewertet werden.

Die Entscheidung des EuGH und die Folgen

Der EuGH ist an das Votum des Generalanwalts zwar nicht gebunden, folgt ihm jedoch in den meisten Fällen. Es ist daher durchaus wahrscheinlich, dass der Gerichtshof „Safe Harbor“ als ungültig verwerfen wird. Sollte das tatsächlich geschehen, wären transatlantische Übermittlungen personenbezogener Daten in rechtlicher Hinsicht zwar nicht gänzlich unmöglich, sie würden jedoch deutlich erhöhten Hürden unterliegen. Noch erheblicher könnten die politischen Konsequenzen einer solchen Entscheidung ausfallen.

Ist „Safe Harbor“ ungültig, so würden die USA zunächst nicht mehr als Drittstaat mit angemessenem Datenschutzniveau im Sinne des europäischen Datenschutzrechts gelten. Dies hätte zur Folge, dass personenbezogene Daten grundsätzlich nicht mehr in die Vereinigten Staaten übermittelt werden dürfen. Personenbezogene Daten zeichnen sich dadurch aus, dass sie einer bestimmten Person zugeordnet werden können, dass also die hinter dem jeweiligen Datum stehende Person bestimmbar ist.

Überwachung bekämpfen

Übermittlung nicht personenbezogener Daten

Soweit nur Daten ohne einen solchen Personenbezug übertragen werden sollen, ändert sich für Online-Dienste, Nutzerinnen und Nutzer daher nichts. Anonyme Suchanfragen wären grundsätzlich ebenso weiterhin möglich wie nicht personalisierte Webseitenzugriffe. Als problematisch könnte sich in diesem Zusammenhang allerdings der Umstand erweisen, dass bei jedem Zugriff auf eine Webseite auch die jeweilige IP-Adresse übermittelt wird.

Hier sind sich Juristen uneinig, ob es sich bei einer IP-Adresse um ein personenbezogenes Datum handelt. Manchen reicht für den Personenbezug schon die abstrakte Möglichkeit aus, notfalls unter Heranziehung Dritter, wie etwa dem Telekommunikationsprovider, die dahinter stehende Person zu bestimmen. Nach dieser Ansicht, die auch wir für richtig halten, sind IP-Adressen stets personenbezogene Daten. Andere wollen nur dann den Personenbezug bejahen, wenn die datenverarbeitende Stelle allein mit eigenen Mitteln in der Lage ist, aus der IP-Adresse die betreffende Person abzuleiten. Der EuGH hat sich in einem Urteil von 2011 (Urt. v. 24. November 2011, C-70/10) der erstgenannten Meinung angeschlossen. IP-Adressen, egal ob dynamisch oder statisch, weisen nach Ansicht des Gerichtshofs immer einen Personenbezug auf. Bleibt der EuGH in der morgigen Entscheidung bei dieser Auffassung, so ist jegliche Nutzung US-amerikanischer Online-Dienste stets zwingend mit der Übermittlung personenbezogener Daten verknüpft.

Übermittlung personenbezogener Daten

Zwar verbietet das EU-Recht die Übermittlung personenbezogener Daten in einen Drittstaat ohne angemessenes Datenschutzniveau, jedoch sieht es zugleich eine Reihe von Ausnahmen vor. So dürfen personenbezogene Daten jedenfalls dann in einen solchen Staat versendet werden, wenn dies für die Erfüllung eines Vertrages, für die Wahrung lebenswichtiger Interessen der Betroffenen oder für die gerichtliche Geltendmachung von Ansprüchen erforderlich ist. Bei der Nutzung von Online-Diensten dürften diese Ausnahmen in der Regel jedoch nicht greifen, sieht man einmal von gezielten Einkäufen oder Reisebuchungen ab.

Gerade für die Verwendung von sozialen Netzwerken und Suchmaschinen, deren Geschäftsmodelle im Wesentlichen auf der Verarbeitung und Vermarktung personenbezogener Daten beruhen, dürfte jedoch eine andere Ausnahme wichtig werden: Haben Nutzerinnen und Nutzer der Übermittlung ihrer personenbezogenen Daten zweifelsfrei ausdrücklich zugestimmt, dürfen die Informationen in einen Drittstaat ohne angemessenes Datenschutzniveau übertragen werden. Voraussetzung dafür ist jedoch stets, dass sie vor Abgabe der Einwilligung über die betroffenen Daten, über den genauen Verwendungszweck und die Reichweite der Datenverarbeitung, insbesondere eine eventuelle Weitergabe an Dritte, unterrichtet wurden. Online-Dienste in den USA müssten Nutzerinnen und Nutzer aus der EU daher zunächst darüber aufklären, welche Daten sie genau erheben, was sie mit diesen Daten anstellen und an wen sie die Daten unter welchen Bedingungen weitergeben.

Fazit

Gerade bei sozialen Netzwerken geschieht dies weitestgehend bereits heute im Wege allgemeiner Geschäftsbedingungen (AGB), denen Nutzerinnen und Nutzer vor der Verwendung des Dienstes zustimmen müssen. Bei anderen Diensten, etwa Suchmaschinen, ist das bisher hingegen eher unüblich, so dass sich hier tatsächlich eine Änderung ergeben würde – vor der Eingabe einer Suchanfrage müsste dann zunächst per Mausklick den AGB zugestimmt werden. Zudem müsste in den AGB auch darauf hingewiesen werden, dass und unter welchen Umständen US-Geheimdienste auf die bei den Anbietern gespeicherten personenbezogenen Daten zugreifen können. Dies dürfte für amerikanische Online-Dienste zugleich die heikelste Folge der Ungültigkeit von „Safe Harbor“ sein: Sie wären gezwungen, gegenüber ihren europäischen Nutzerinnen und Nutzern ihre Mithilfe an den Massenüberwachungsprogrammen der NSA offenzulegen. Das könnte sie vor unlösbare Probleme stellen, da es ihnen nach US-amerikanischem Recht untersagt ist, ihre Zusammenarbeit mit der NSA in irgendeiner Form öffentlich zu machen. Selbst die Tatsache, dass den Online-Diensten Äußerungen über die Kooperation verboten sind, dürfen sie der Allgemeinheit nicht mitteilen.

Spätestens an dieser Stelle wird noch einmal besonders deutlich, warum das US-Außenministerium so vehement auf das Votum des Generalanwalts beim EuGH reagiert hat. Eine Ungültigkeit von Safe Harbor würde zwar nicht unbedingt das Ende transatlantischer Datenflüsse bedeuten; im Interesse ihrer eigenen Online-Wirtschaft würde es die USA aber zu politischen Konsequenzen und Reformen im Bereich der geheimdienstlichen Massenüberwachung zwingen. Daher darf sich die europäische Öffentlichkeit auch nicht von der nach der Entscheidung zu erwartenden EuGH-Schelte blenden lassen, sondern muss diese Konsequenzen und Reformen selbstbewusst einfordern. Dadurch könnte sich schließlich die Erkenntnis durchsetzen, dass die geheimdienstlichen Spähexzesse nicht nur Grundrechte verletzen und die Rechtsstaatlichkeit erodieren, sondern auch schwerwiegende wirtschaftliche Schäden nach sich ziehen. Damit wäre ein entscheidender Beitrag zum Beginn eines politischen Umdenkens in Fragen der Massenüberwachung auf beiden Seiten des Atlantik geleistet.

Spenden

Neu: Der DigiGes Wochenrückblick als Audio- und Videopodcast

Wir probieren etwas Neues: Jeden Freitag werden wir zukünftig in einem Podcast auf das zurückblicken, was uns in der Woche netzpolitisch beschäftigt hat.

Helft uns, besser zu werden! Wir freuen uns über Feedback und wenn Ihr unseren Youtube– und Soundcloud-Kanal abonniert, damit ihr auf dem Laufenden bleibt.

Falls ihr euer Datenvolumen schonen wollt, findet ihr die Tondatei auf unserem Soundcloud-Profil: https://soundcloud.com/digiges/

2015_01 foerdermitglied_w

Newsletter September 2015

Auch im September hat sich wieder einiges auf der netzpolitischen Bühne getan: Die Parlamente in Berlin und Straßburg haben ihre Arbeit wieder aufgenommen und schon in den ersten Wochen nach der Sommerpause wurde zu verschiedenen netzpolitischen Themen verhandelt – teilweise mit wichtigen Entscheidungen.

Auf der Tagesordnung der verschiedenen nationalen und europäischen Institutionen standen dabei unter anderem der Entwurf zu einer neuen europäischen Datenschutz-Grundverordnung, deutsche Gesetzesvorhaben zur WLAN-Störerhaftung und zur Wiedereinführung der Vorratsdatenspeicherung sowie eine Vorentscheidung des EuGH-Generalanwalts zum Safe-Harbor-Abkommen zwischen der EU und den USA.

Außerdem wollen wir Euch auf den nächsten Netzpolitischen Abend am 06. Oktober sowie auf die „STOP TTIP & CETA“-Demo am 10. Oktober aufmerksam machen.

1. Europäische Datenschutz-Grundverordnung: Rote Linien der DigiGes
2. WLAN-Störerhaftung: Neues Kampagnentool
3. Wiedereinführung der Vorratsdatenspeicherung: Deutscher Gesetzesentwurf kritisiert
4. Safe Harbor: EU-Generalanwalt hält Abkommen für ungültig
5. „STOP TTIP & CETA“-Demonstration
6. Nächster Netzpolitischer Abend
7. Videos vom letzten Netzpolitischen Abend
8. DigiGes in den sozialen Netzwerken
9. DigiGes in den Medien

2015_01 foerdermitglied_w

1. Europäische Datenschutz-Grundverordnung: Rote Linien der DigiGes

Das Gesetzesvorhaben der EU zu einer neuen Datenschutz-Grundverordnung befindet sich auf der Zielgeraden. Bis zum Ende des Jahres wollen EU-Kommission, Rat und Parlament die laufenden Trilog-Verhandlungen abgeschlossen haben und ein druckreifes Gesetz vorlegen können.

In dem Entwurf, mit dem der Rat in die Verhandlungen getreten ist, sind jedoch grundlegende Datenschutzprinzipien ausgehöhlt. Beispielsweise sieht der Rats-Entwurf vor, dass das Prinzip der Zweckbindung faktisch aufgehoben wird. Dieses Prinzip stellte bisher sicher, dass Daten grundsätzlich nur zu den Zwecken verarbeitet werden dürfen, zu denen sie auch ursprünglich erhoben wurden. Nach dem Entwurf des Rates sollen Unternehmen Daten aber schon dann zu völlig verschiedenen als den die Datenerhebung legitimierenden Gründen verwenden dürfen, wenn sie nur ein „berechtigtes Interesse“ daran haben und dieses als gewichtiger als die Verbraucherinteressen bewerten.

Für die neueste Ausgabe der Datenschutz-Nachrichten (DANA) haben wir unsere Roten Linien für die Datenschutz-Grundverordnung entworfen. Hier gehts zum .pdf.

Weitere Kritik:

2. WLAN-Störerhaftung: Neues Kampagnentool

Bald soll der Bundestag über den Vorschlag der Bundesregierung zur Novellierung des Telemediengesetzes entscheiden. Ziel des Gesetzes ist unter anderem, das Problem der WLAN-Störerhaftung so neu zu regulieren, dass sich im öffentlichen Raum frei zugängliche Hotspots stärker ausbreiten können. Der Entwurf kann nur als misslungen bezeichnet werden: Neben zumindest störenden Entscheidungen, wie der Verpflichtung aller WLAN-Anbieter, für alle Nutzer eine Vorschaltseite einzurichten, könnten Unklarheiten im Entwurf sogar dazu führen, dass WLAN-Anbieter in Zukunft noch leichter für Rechtsverstöße über ihren Zugang haften.
Wir wollen Rechtssicherheit für alle Bürger, die ihren Internet-Zugang für andere öffnen und fordern deshalb die bedingungslose Abschaffung der WLAN-Störerhaftung.
Um dieses Ziel zu erreichen, haben wir gemeinsam mit dem Förderverein Freie Netzwerke e.V. und dem Verbund freier Netzwerke NRW e.V. ein Kampagnentool entwickelt, mit dem Ihr ohne viel Arbeit ein Schreiben an das für Euren Wahlkreis zuständige Bundestagsmitglied schicken könnt, in dem Ihr Euch gegen eine Fortsetzung der WLAN-Störerhaftung aussprecht.

Dieses Kampagnentool findet Ihr unter prgenerator.freifunk.net.

Unsere Pressemitteilung zum Kampagnenstart: „Freifunker und Digitale Gesellschaft starten Kampagne zur WLAN-Störerhaftung“ (24.09.2015): https://digitalegesellschaft.de/2015/09/kampagne-stoererhaftung/

3. Wiedereinführung der Vorratsdatenspeicherung: Deutscher Gesetzesentwurf kritisiert

Auch an anderer Front macht sich die Bundesregierung gegen Grundrechte im digitalen Raum stark: Bereits vor einiger Zeit hat sie einen Entwurf zur Wiedereinführung der Vorratsdatenspeicherung vorgelegt. Dieser Entwurf liegt zur Zeit der EU-Kommission vor, die im sogenannten TRIS-Verfahren prüft, ob  das Vorhaben mit europäischem Recht vereinbar ist. Nachdem die Kommission den Zeitraum zur Prüfung Anfang des Monats ausgeweitet hat, deutet sich an, dass sie Bedenken am Gesetzesentwurf üben wird. Neben negativen Auswirkungen auf den digitalen EU-Binnenmarkt hat sie anscheinend auch grundrechtliche Bedenken gegen das Ermittlungsinstrument, das in älterer Form in der Vergangenheit bereits von Bundesverfassungsgericht und Europäischem Gerichtshof für illegal erklärt wurde.

Unsere Pressemitteilung zur Debatte: „Vorratsdatenspeicherung im Bundestag: Grundrechtliches Fiakso verhindern!“ (21.09.2015): https://digitalegesellschaft.de/2015/09/vds-fiasko-verhindern/

Spenden

4. Safe Harbor: EU-Generalanwalt hält Abkommen für ungültig

Auch im Rechtsstreit zwischen dem österreichischen Datenschutzaktivisten Max Schrems und Facebook gibt es Neues: Nachdem sich die irische Datenschutzbehörde geweigert hatte, die Rechtmäßigkeit der Überführung von persönlichen Daten an die USA durch Facebook zu prüfen, liegt der Fall jetzt vor dem Europäischen Gerichtshof. Nach Ansicht des Generalanwalts des EuGH ist das Safe Harbor-Abkommen der EU mit den USA, auf dem der Datenexport basiert, ungültig und verstößt gegen europäische Grundrechte. Folgt der EuGH der Auffassung seines Generalanwalts, würde dies das Ende des Safe Harbor-Abkommens bedeuten und könnte endlich zu einem besseren Schutz für die Daten europäischer Bürger führen.

Unsere Pressemitteilung dazu: „EU-Generalanwalt: Massenüberwachung durch US-Dienste verletzt Grundrechte“ (23.09.2015):
https://digitalegesellschaft.de/2015/09/generalanwalt-massenueberwachung/

5. STOP TTIP & CETA-Demonstration

Die Handelsabkommen TTIP und CETA zwischen der EU und den USA beziehungsweise Kanada stellen eine Bedrohung für die Grundrechte einer halben Milliarde europäischer Bürger dar. Wir wollen TTIP und CETA stoppen und rufen auch Euch dazu auf, Euch für den Schutz Eurer Rechte einzusetzen.

Engagieren könnt Ihr Euch zum einen, indem Ihr unsere selbstorganisierte Europäische Bürgerinitiative mit einer Unterschrift unterstützt!

Zum anderen findet am 10. Oktober in Berlin die bundesweite Großdemonstration gegen TTIP und CETA statt, mit der Ihr ein starkes Zeichen gegen die Handelsabkommen setzen könnt!

Unser Blogbeitrag dazu: „STOP TTIP / CETA“ (22.09.2015):
https://digitalegesellschaft.de/2015/09/stop-ttip-ceta/

6. Nächster Netzpolitischer Abend 

Der nächste Netzpolitische Abend findet am Dienstag, 6. Oktober, um 20.00 Uhr in der c-base in Berlin statt.

Das Programm:

Laura Linda: „A Rail of One’s Own – Was machen eigentlich die Rails Girls Berlin?“

Nikolaus Huss: „Der Open-Web-Index: Ein europäischer Beitrag für ein transparenteres und partizipativeres Web“

Alexander Sander: „Protest gegen TTIP“

Mushon Zer-Aviv: „AdNauseam – Obfuscation as counter-surveillance-measure“

Sandra Mamitzsch: „Crowdfunding Refugee Emancipation“

Ihr findet die c-base in der Rungestraße 20, 10179 Berlin. Einlass ist wie immer ab 19 Uhr, los geht’s gegen 20 Uhr, selbstverständlich auch im Stream unter http://c-base.org. Der Eintritt ist frei.

#npa041 ist der Hashtag für den Abend – gebraucht ihn gerne und reichlich, auch für Feedback und Fragen, wenn ihr nicht vor Ort sein könnt.

7. Videos vom letzten Netzpolitischen Abend

Cathleen Berger und Lea Gimpel – Netzneutralität: Unterwandert Zero-Rating die Demokratie?

Julian Hauser – Sharing is caring vs. stealing is wrong – Was die Philosophie zur Copyright-Debatte beitragen kann

Lisa Gutermuth – Satellite Imagery in Agriculture: Questioning Privacy, Data Protection, and Autonomy in the Field

8. DigiGes in den sozialen Netzwerken

Wir haben unsere social media-Accounts in den letzten Tagen etwas aufgefrischt.
Auf diesen Kanälen erfahrt Ihr als erste, wenn es Neuigkeiten von uns gibt:
Twitter: https://twitter.com/digiges
YouTube: https://www.youtube.com/user/digitalegesellschaft
Soundcloud: https://soundcloud.com/digiges
Facebook: https://www.facebook.com/DigitaleGesellschaft
Flickr: https://www.flickr.com/people/digitalegesellschaft/

9. DigiGes in den Medien

Die Zeit
Regierung beschließt umstrittenes WLAN-Gesetz
http://www.zeit.de/politik/deutschland/2015-09/wlan-zugaenge-oeffentlich-bundesregierung-telemediengesetz

Tagesschau
Kritik an Facebook: Maas fordert stärkeres Vorgehen gegen Fremdenfeindlichkeit
https://www.youtube.com/watch?v=LUUEuF8ycDU

Tagesschau.de
Regierung will WLAN-Ausbau fördern
https://www.tagesschau.de/inland/wlan-internet-101.html

ZDnet.de
Geplante Änderungen am Telemediengesetz laut Gutachten EU-rechtswidrig
http://www.zdnet.de/88246487/geplante-aenderungen-am-telemediengesetz-laut-gutachten-eu-rechtswidrig/

NationalJournal
Is Germany Building The Next NSA?
http://www.nationaljournal.com/s/58111/is-germany-building-next-nsa

detektor.fm
Datenfluss in die USA soll gestoppt werden
http://detektor.fm/digital/datenschutzabkommen-safe-harbor