Big Data Report des Weißen Hauses – ein Überblick

Am 1. Mai 2014 hat eine durch den amerikanischen Präsidenten eingesetzte Arbeitsgruppe zu den Auswirkungen und möglichen Regulierungsansätzen rund um das Thema Big Data und Privatsphäre ihren Bericht vorgestellt (“Big Data:
Seizing Opportunities, Preserving Values”
, PDF). Gleichzeitig hat auch ein Beratergremium des Präsidenten für Technologie und Wissenschaft (President’s Council of Advisors on Science and Technology (PCAST)) einen eigenen Bericht zum Thema Big Data vorgelegt (“Big Data: A Technological Perspective“, PDF). Im nachfolgenden möchte ich einen kurzen (sicherlich nicht vollständigen) Überblick über einige der Ergebnisse des erstgenannten Berichtes geben. Für Informationen zu dem Bericht des PCAST sei das offizielle Fact Sheet (PDF) empfohlen.

Der Grundtenor des Berichts ist sicherlich zu begrüßen: die massenhafte Analyse und Auswertung von Daten, sowohl im öffentlichen als auch im privaten Bereich, schaffen die Grundlage für zukünftiges wirtschaftliches Wachstum und gesellschaftlichen Nutzen und sollte daher unterstützt und gefördert werden. Dabei dürfe jedoch nicht übersehen werden, dass die derzeitigen gesetzlichen Vorgaben entweder überholt oder noch gar nicht vorhanden sind, um einen verhältnismäßigen Ausgleich zwischen den betroffenen Interessen aller Beteiligten zu schaffen.

Zunächst geht der Bericht auf den Begriff “Big Data”, die diesem zugrunde liegende massenhafte Erzeugung von Daten und wie er sich in Zukunft entwickeln wird, ein. Stichworte sind hier insbesondere das Internet der Dinge, tragbare Technologie oder intelligente Autos. Eines ist gewiss: es werden täglich mehr und mehr Daten erzeugt.

Die Frage, die man sich bei einer Untersuchung des Phänomens “Big Data” stellen muss, sind seine Einsatzmöglichkeiten und Auswirkungen. Sowohl rechtlich, ethisch als auch gesellschaftlich und ob die bestehenden Vorgaben ausreichen. Die Möglichkeit, immer mehr Daten zu speichern und auszuwerten birgt die Gefahr eine “Daten-Asymmetrie” zu erzeugen, aus der notwendigerweise eine Macht-Asymmetrie hervorgeht. Daten und Informationen sind Macht.

Danach geht der Bericht auf einige Bereiche ein, in denen Big Data bereits heute erfolgreich eingesetzt wird (industrielle Produktion, Gesundheitswesen, Energieversorgung).

Bei Big Data geht es darum, die bekannte Nadel im Heuhaufen zu suchen, wobei der Heuhaufen die Daten sind und die Nadel ein bestimmtes Muster oder eine Anomalie. Datenschutzrechtlich ist freilich der Heuhaufen relevant, wenn es also darum geht, eine gewisse Masse an Daten zu sammeln.

Big Data betrifft häufig Techniken, an deren Ende es um die möglichst genaue Individualisierung von Betroffenen geht. Der Bericht zeigt sowohl die Vorteile (bessere Werbung; bessere Gesundheitsvorsorge) als auch die Nachteile (Ungleichbehandlung bestimmter Personen oder Gruppen) auf. Problematisch seien insofern auch die sog. “filter bubbles”, wenn also einer Person einer bestimmten Gruppe zugeordnet wird und dann entsprechend nur noch mit auf diese Gruppe zugeschnitten Informationen versorgt wird.

Techniken der Anonymisierung von Daten helfen bereits heute, datenschutzrechtlichen Gesichtspunkten Rechnung zu tragen. Die Betroffenen sind dann nicht mehr erkennbar. Diese Techniken der “De-Identifizierung” bewirken andererseits jedoch, dass die Möglichkeiten von Datenanalysen und ihr Potential teilweise nicht voll ausgeschöpft werden kann. Zudem lässt sich nicht vorhersagen, wie sich die Methoden zur “Re-Identifizierung” in Zukunft entwickeln werden. Hierdurch entsteht jedoch Unsicherheit darüber, wie Betroffene in Zukunft die auf sie bezogenen Informationen kontrollieren können und wie sie etwa aus Datenanalysen abgeleiteten Entscheidungen widersprechen können.

Der Bericht analysiert im folgenden die derzeit bestehenden gesetzlichen Vorgaben und politischen Initiativen in den USA im Bereich von Open Data und der Nutzung von Big Data im öffentlichen Bereich. Essentiell wird hierbei in der Zukunft die Schaffung von Vertrauen in das Handeln der Regierung und der öffentlichen Stellen sein. Auch der Zugang zu Informationen, die über die eigene Person gespeichert sind, muss eine wichtige Rolle spielen. Gerade in diesem Bereich lässt sich die Gefahr eines Machtungleichgewichts aufgrund von gesammelten Daten und ihrer Analyse durch staatliche Stellen erkennen. Wichtig seien hier für die Zukunft Regelungen, die eine effiziente Überwachung des staatlichen Handelns garantieren.

Ein möglicher Lösungsansatz zur Etablierung datenschutzrechtlicher Sicherungen beim Umgang mit Daten könnten dabei “Datenmarkierungen” darstellen. Hierbei werden Informationen nach einem festgelegten Schema markierte (“tagged”), woraus sich verschiedene Verwendungsmöglichkeiten und Zugriffsrechte für die Behörden ergeben. Manche Behörden benötigen etwa nur den Namen, die Anschrift und das Geburtsdatum, andere öffentliche Stellen jedoch zusätzlich etwa Zugriff auf Steuerinformationen. Die Tags bestimmen, wer auf die Daten Zugriff hat und für welche Zwecke sie verwendet werden können. Dieses System wird derzeit bereits beim amerikanischen Heimatschutzministerium verwendet.

Ein weiterer Untersuchungsbereich betrifft die Datenanalyse durch Strafverfolgungsbehörden. Hier geht der Bericht etwa auf die Möglichkeit der Vorhersage von Verbrechen in besonders gefährdeten Gebieten ein. Zudem untersucht er die Frage, wann staatliche Stellen auf Daten zugreifen können, die durch Betroffene an Dritte preisgegeben und von diesen gespeichert werden (“third-party-doctrine”). Ob also etwa Strafverfolgungsbehörden ohne richterliche Anordnung auf Daten bei einem Telekommunikationsunternehmen zugreifen können, wie die Verbindungsdaten von Telefonaten. Hierbei geht es vor allem um die Frage der technischen Entwicklung und wie historische Schutzbereiche (private Wohnung) auf diese Übertragen werden können (Speicherung in der Cloud). Der Schutz von Metadaten wird in dem Bericht speziell angesprochen und es wird geraten, diesen Schutz zu stärken, da auch diese Daten sensible Informationen über Betroffene preisgeben können.

Danach untersucht der Bericht Big Data im privat-wirtschaftlichen Bereich. Auch hier bestehe die Gefahr einer Machtasymmetrie zwischen Verbrauchern und Unternehmen, wobei der Einsatz von Big Data freilich auch hier immense Vorteile bereit halte. Etwas genauer untersucht der Bericht den Bereich der Online-Werbung. Internetdienste sind auf diese Art der Einnahmequellen angewiesen. Dabei spielen viele Parteien eine Rolle bei der Darbietung von Werbung. Problematisch hierbei ist aus der Sicht des Berichts, dass die Verbraucher meist nur mit dem Webseitenbetreiber selbst in Kontakt kommen, jedoch nicht mit den dahinter stehenden Werbenetzwerken und anderen Beteiligten, die eventuell auch Informationen über sie speichern. Dadurch verstehen sie auch zumeist nicht, welche Rolle sie und ihre Daten in diesen Verarbeitungsprozessen spielen.

In Zukunft wird es besonders wichtig sein, den Verbrauchern mit der erforderlichen Transparenz in Bezug auf Datenverarbeitung zu begegnen und sinnvolle Wahlmöglichkeiten zur Verfügung zu stellen. Der Bericht zeigt dabei auch, dass allein ein “Mehr” an Informationen nicht unbedingt der beste Weg ist. Denn obwohl die Werbeindustrie teilweise freiwillig Maßnahmen ergriffen hat, um Nutzer besser zu informieren (Icons auf der Webseite), wurden diese Hinweise von Verbrauchern kaum verstanden oder genutzt.

Danach befasst sich der Bericht mit Datendiensteanbietern, den sog. data brokers. Diese Unternehmen sammeln und analysieren Daten aus verschiedenen Quellen und bieten ihre Dienste (z. B. Nutzerprofile, Produktmarketing) anderen Unternehmen an, ohne jedoch meist direkten Kontakt mit den Verbrauchern zu besitzen. Vorteil ihrer Arbeit ist etwa die möglichst genaue Ausspielung von Werbung oder Anpassung von Angeboten auf die Bedürfnisse des Verbrauchers, was jedoch zugleich die machtvolle Möglichkeit bietet, Daten der Nutzer ohne ihr Wissen algorithmisch zu analysieren.

In diesem Zusammenhang geht der Bericht auf den Einsatz von Algorithmen und die Gefahr einer Diskriminierung der Betroffenen durch automatische Entscheidungen ein. Hier bestehe noch der Bedarf nach weiterer Offenheit der Analysemethoden und auch die Frage der Verantwortlichkeit für Entscheidungen von Algorithmen müsse untersucht werden. Betroffene sollten Zugang zu gespeicherten Informationen erhalten, um so etwa falsche Daten korrigieren zu können.

Durch den Trend, dass immer mehr Geräte Daten erzeugen und miteinander kommunizieren, wird das Prinzip der Datenminimierung an die Grenze seiner Belastbarkeit geführt, ja wenn nicht sogar obsolet. Daten, ob sie nun analog oder digital entstehen, werden analysiert und kombiniert. Aufgrund der geringen Kosten für Speicherplatz ist diese Entwicklung auch nicht unbedingt überraschend.

Der Bericht regt vor diesem Hintergrund dazu an, über die Wertigkeit der Einwilligung und vorheriger Informationen nachzudenken. Sich auf die Kontrolle der Datenerhebung und die Umstände der Speicherung zu fokussieren könnte für einen wirksamen Schutz der Privatsphäre nicht mehr ausreichend sein. Das Konstrukt der Einwilligung mag noch in der Beziehung zwischen dem Verbraucher und z. B. dem Webseitenbetreiber den nötigen Nutzen bringen, da hier eine direkte Verbindung besteht. Da Daten jedoch immer mehr von Dritten analysiert und gespeichert werden, sollte man darüber nachdenken, sich regelungstechnisch auf die Kontrolle des Datenumgangs fokussieren. Der Vorteil hiervon wäre unter anderem, dass die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung dann von dem Betroffenen (der heutzutage sowieso allenfalls eine deklaratorische Einwilligung abgibt, da er die Informationen der Datenverarbeitung erst gar nicht lies oder nicht versteht) auf die verarbeitende Stelle übergeht.

Fazit
Dies sind nur einige der in dem wirklich lesenswerten Bericht angesprochenen Themenfelder. Am Ende listet der Bericht seine konkreten Empfehlungen noch einmal auf. Darunter findet sich auch der Vorschlag, Ausländern in den USA dieselben oder zumindest ähnliche Rechte in Bezug auf ihre Daten einzuräumen, wie den amerikanischen Bürgern. Dieser Vorschlag ist gerade vor dem Hintergrund der andauernden Verhandlungen der EU mit den USA um ein Rahmenabkommen beim Datenschutz im Bereich der Strafverfolgung interessant. Denn dort war und ist bisher immer noch die Frage strittig, ob europäische Bürger Rechtsschutzmöglichkeiten in den USA erhalten sollen, wenn ihre Daten rechtswidrig verarbeitet wurden. Vielleicht zeichnet sich hier also ein Umdenken ab. Insgesamt stellt der Big Data Bericht sicherlich einen wichtigen Beitrag zur Diskussion um eine Regulierungsnotwendigkeit vor dem Hintergrund neuer technologischer Entwicklungen dar und sollte auch in Deutschland und Europa gelesen und berücksichtigt werden.

TTIP und Datenschutz: Bundesregierung gegen Senkung der EU-Standards

Auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag (BT-Drs. 18/1056, PDF) mit dem Titel „EU-USA-Freihandelsabkommen und Datenschutz“, hat die Bundesregierung ihre Sichtweise zu einer möglichen Einbeziehung von Fragen des Datenschutzrechts in die Verhandlungen dargelegt.

Die Bundesregierung betont mehrmals, dass die geltenden EU-Datenschutzstandards im Rahmen des Freihandelsabkommens (TTIP) nicht abgesenkt werden dürfen. Allgemeine Fragen des Datenschutzrechts sollten vielmehr in den dafür bereits bestehenden oder geplanten speziellen Instrumenten verhandelt werden. In dem geplanten Datenschutzrahmenabkommen zwischen der EU und den USA zur Regelung der Datenübermittlung und -verarbeitung im Zusammenhang mit der polizeilichen und justiziellen Zusammenarbeit. Aber auch im Rahmen der Überarbeitung der Safe Harbor-Entscheidung (also zur Frage von Datenübermittlungen in die USA durch private Unternehmen) und bei der Fortentwicklung des EU-Datenschutzrechts (also der geplanten Datenschutz-Grundverordnung).

Vor allem Drittstaatentransfers und diesen zugrunde liegende Voraussetzungen dürften nicht durch mögliche Verhandlungen im Rahmen des TTIP beeinträchtigt werden.

Zudem stellt die Bundesregierung klar:

Allgemeine oder konkrete Datenschutzfragen sind gegenwärtig nicht Gegenstand der TTIP-Verhandlungen. Das hohe Datenschutzniveau in Europa steht nach Auffassung der Bundesregierung nicht zur Disposition.

Ob konkrete Datenschutzfragen, also vor allem für spezielle Bereiche, wie etwa den E-Commerce, wirklich nicht behandelt werden, mag man jedoch bezweifeln. Denn auf einer Informationsseite des Bundesministeriums für Wirtschaft und Energie zum TTIP (die meines Erachtens recht gut über das Thema informiert), wird zum Thema Datenschutz explizit festgestellt:

Auch Fragen des Datenschutzes beim Dienstleistungshandel, bei E-Commerce oder im IKT-Bereich werden mit dem Ziel einer gemeinsamen Verständigung angesprochen.

Völlig ausgeklammert scheinen daher Fragen des Datenschutzes nicht zu sein. Auch wenn man freilich nicht weiß, in welcher Tiefe das Datenschutzrecht hier behandelt und tatsächlich über Anpassungen nachgedacht wird.

Handelsvertreter der USA kritisiert Pläne zum „Schengen“-Routing

Der Handelsvertreter der Vereinigten Staaten von Amerika (United States Trade Representative) hat sich in einem am 4. April vorgestellten Bericht zu Handelsschranken im Bereich der Telekommunikation (PDF) gegen Pläne in der Europäischen Union ausgesprochen, das sog. „Schengen“-Routing für Daten voranzutreiben. Dabei geht es bekanntlich um die Idee, Datenpakete, die als Start- und Zielpunkt europäische IP-Adressen besitzen, nicht über andere Länder außerhalb der EU zu transportieren. Öffentlichkeitswirksam stellt sich vor allem die Deutsche Telekom hinter diese Pläne. Auch die Politik hatte sich dem Thema bereits angenommen.

In seinem Bericht kritisiert der amerikanische Handelsvertreter (der in der Regierung von Präsident Obama Mitglied von Kabinettsrang ist), dass solche europäischen Datennetzwerke möglicherweise zu einem tatsächlichen Ausschluss oder einer Ungleichbehandlung gegenüber ausländischen Diensteanbietern führen können.

Der Handelsvertreter bezieht sich in seinen Anmerkungen auch direkt auf die Deutsche Telekom, die ein „Schengen“-Routing vor allem mit Verweis auf den Datenschutz begründe und zudem die Aufhebung der Safe Harbor Entscheidung der Europäischen Kommission fordere. Amerika und Europa teilten in Bezug auf den Schutz personenbezogener Daten dieselben Interessen. Die von der Deutschen Telekom und anderen Vertretern vorgeschlagene „drakonische Herangehensweise“ an dieses Thema stellt aus der Sicht des Handelsvertreters jedoch nichts anderes dar, als protektionistische Vorteile für Telekommunikationsanbieter, die ihren Sitz der Europa haben.

Das „Schengen“-Routing behindert aus Sicht des Handelsvertreters mögliche Innovationen und könnte gerade ausländische Anbieter davon abhalten, ihre Dienste in Europa anzubieten. Zudem stelle sich bei einem solchen verpflichtenden innereuropäischen Routing die Frage nach der Einhaltung von internationalen Handelsverpflichtungen der Europäischen Union in Bezug auf internetbasierte Diensten.

Bundesrat möchte Datenhehlerei unter Strafe stellen

In seiner heutigen Sitzung hat der Deutsche Bundesrat einen Gesetzesentwurf zur Einführung des Straftatbestandes der Datenhehlerei beschlossen (BR-Drs. 70/14). Der Gesetzentwurf wurde bereits einmal im Jahre 2013 über den Bundesrat in den Bundestag eingebracht, fiel dann aber aufgrund der Wahlen dem Grundsatz der Diskontinuität zum Opfer (hier der Gesetzentwurf: BR-Drs. 284/13 (B)).

Eingeführt werden soll ein neuer § 202d StGB „Datenhehlerei“. Ziel des Entwurfes ist es, Strafbarkeitslücken beim Handel mit rechtswidrig erlangten Daten zu schließen. Mit einer Freiheitsstrafe von immerhin bis zu 5 Jahren oder Geldstrafe soll nach § 202d Abs. 1 StGB-E bestraft werden,

Wer Daten im Sinne von § 202a Absatz 2, die ein anderer ausgespäht oder
sonst durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen

Der Gesetzentwurf enthält jedoch insoweit eine Einschränkung, als dass von der Regelung nur die Daten, an deren Nichtweiterverwendung ein schutzwürdiges Interesse besteht und die nicht aus allgemein zugänglichen Quellen entnommen werden können, erfasst werden sollen. Handlungen, die ausschließlich der Erfüllung gesetzlicher Pflichten durch Amtsträger oder deren Beauftragte dienen, sollen nicht vom Tatbestand der Datenhehlerei erfasst werden. Hierdurch soll ausdrücklich klargestellt werden, dass Amtsträger oder deren Beauftragte beim Ankauf von Datenmaterial zur ausschließlichen Verwendung in einem Besteuerungsverfahren (Stichwort: Steuerdaten-CD), einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren nicht mit Strafe bedroht werden dürfen. Ausdrücklich wird in § 202d Abs. 4 StGB-E auch der Versuch der Datenhehlerei unter Strafe gestellt.

Zudem soll durch den Gesetzentwurf die Strafprozessordnung (StPO) in der Art angepasst werden, dass den Strafverfolgungsbehörden im Rahmen der Untersuchung und Verfolgung einer Datenhehlerei als notwendige Ermittlungsmaßnahmen ohne Wissen der Betroffenen die Überwachung und Aufzeichnung der Telekommunikation (§ 100a StPO) und das Abhören und Aufzeichnen des in einer Wohnung nichtöffentlich gesprochenen Wortes mit technischen Mitteln (§ 100c StPO) zur Verfügung stehen.

Der Gesetzentwurf wird nun der Bundesregierung zugeleitet, die diesen in den Bundestag einbringt. Hierbei können sich freilich noch Änderungen an dem vorgeschlagenen Gesetzestext ergeben und es bleibt abzuwarten, wie sich die endgültige Fassung darstellen wird.

Merkel: Wir brauchen eine digitale Agenda!

Bundeskanzlerin Merkel hat sich in ihrem wöchentlichen Podcast, kurz vor der Eröffnung der diesjährigen CeBit Messe in Hannover, mit dem Thema digitale Wirtschaft, Breitband, Datenschutz und Datensicherheit beschäftigt. Das Video ist hier abrufbar, die Textversion hier.

Erfreulich ist, dass die Thematik um die digitale Zukunft Deutschlands und auch Europas einen immer höheren Stellenwert in Regierungskreisen zu erreichen scheint. Dies scheint mir auch geboten. Wie ich bereits zum Thema “Internet der Dinge” geschrieben hatte, sehe ich gerade für Deutschland doch ein Potential, um sich hier am Weltmerkt zu etablieren und Standards zu setzen.

Digitale Agenda
Die Bundeskanzlerin erklärt in dem Interview, dass die Bundesregierung eine Digitale Agenda von 2014 bis 2017 aufstellen werde. Verantwortlich seien dabei im Kern das Wirtschaftsministerium, das Ministerium für Verkehr und Infrastruktur und das Bundesministerium des Innern. Nach Ansicht der Bundeskanzlerin handelt es sich hierbei um ein übergreifendes Thema. Der Wohlstand in Deutschland werde maßgeblich davon abhängen, wie die klassische Industrie mit der Verschmelzung der digitalen Welt zurecht komme.

Zum einen geht es der Bundeskanzlerin um die Teilhabe der Bevölkerung an neuen Technologien. Hierfür müsse jedoch die Voraussetzung geschaffen werden, dass alle Bürger auch Zugang zu den Entwicklungen haben und daher der Breitbandausbau vorangetrieben werden. Zweitens möchte die Bundeskanzlerin, vor allem auf europäischer Ebene, einen digitalen Markt schaffen. Europa müsse also attraktiv für Unternehmen werden und diese müssen auch wettbewerbsfähig sein. Derzeit hinke Europa hier hinter Staaten wie Amerika oder asiatischen Ländern hinterher. Zudem geht es der Kanzlerin um den Datenschutz. Das derzeit geltende Datenschutzrecht ist in Europa zersplittert. An der Verabschiedung eines einheitlichen Standards, nämlich der derzeit verhandelten Datenschutz-Grundverordnung, werde gearbeitet. Dies wäre gerade auch für die Ansiedlung neuer Firmen in Europa hilfreich. Jedoch betont die Bundeskanzlerin, dass Deutschland den Anspruch habe, seinen hohen Standard beim Datenschutz nicht aufzugeben. Zuletzt verweist die Kanzlerin auch auf nötige Fortschritte bei der Medienerziehung und Aufklärung.

Gutachten: Keine Fehler der Kommission beim Auswahlverfahren des neuen europäischen Datenschutzbeauftragten

Wie im Januar in den Medien berichtet wurde, lief am 16.1.2014 die Amtszeit des bisherigen europäischen Datenschutzbeauftragten (Peter Hustinx) und auch seines Stellvertreters aus, ohne dass ein geeigneter Nachfolger gefunden werden konnte. Hustinx hat sich bereit erklärt, bis Oktober kommissarisch im Amt zu bleiben. Bis dahin soll ein neues Bewerbungs- und Auswahlverfahren durchgeführt werden.
Die Ablehnung aller Bewerber durch die Kommission hat in der Öffentlichkeit für Kritik gesorgt, zumal sich unter den Kandidaten (teils ehemalige) Leiter und Stellvertreter europäischer Datenschutzbehörden befanden.

Auf Statewatch.org wurde nun ein Gutachten des juristischen Dienstes (PDF) des europäischen Parlaments veröffentlicht, welches sich mit dem rechtlichen Vorgehen der Europäischen Kommission im Rahmen des Auswahlverfahrens des europäischen Datenschutzbeauftragten befasst. Ich möchte nachfolgend nur auf einige Eckpunkte des Papiers eingehen.

  • Allein die europäische Kommission besitzt die Kompetenz zur Eröffnung des Auswahlverfahrens. Ebenso obliegt es ihr allein dieses Verfahren zu beenden, wenn keine geeigneten Kandidaten gefunden wurden, die dem Rat und dem Parlament zur Wahl vorgeschlagen werden können. Rat und Parlament müssen und dürfen insoweit nicht formell zustimmen.
  • Wenn Bewerber die in der Ausschreibung aufgestellten Kriterien nicht erfüllen (und diese Kriterien im Einklang mit den Vorgaben der hier relevanten Verordnung 45/2001 (PDF) stehen), dann muss die Kommission diese Kandidaten nicht auf die Vorschlagsliste setzen.
  • Die Verordnung 45/2001 gibt in Art. 42 Abs. 2 zwei zwingend zu erfüllende Merkmale vor (kein Zweifel an Unabhängigkeit und herausragende Erfahrung und Sachkunde für die Erfüllung der Aufgaben), die jedoch in der öffentlichen Ausschreibung durch die Kommission weiter umschrieben werden können.
  • Der Kommission fällt zudem ein Ermessen zu, welche weiteren Merkmale sie als Voraussetzungen aufstellt. Diese müssen sich freilich im Rahmen der groben Vorgaben der Verordnung 45/2001 halten und insbesondere an den zukünftigen Aufgaben des europäischen Datenschutzbeauftragten orientieren (Art. 44 bis 47).
  • Im vorliegenden Fall (des erfolglos durchgeführten Bewerbungs- und Auswahlverfahrens) hat die Kommission diese Vorgaben beachtet und ihr Ermessen nicht überschritten.
  • Zudem hat die Kommission das Parlament vor der Veröffentlichung der Stellenausschreibung konsultiert und in Bezug auf die aufgestellten Anforderungen wurden von Seiten des Parlaments keine Bedenken geäußert.

Deutsch – Französischer Ministerrat: Verabschiedung der Datenschutzreform bis 2015

In der offiziellen gemeinsamen Erklärung (PDF) zum Deutsch – Französischen Ministerrat vom 19. Februar 2014, verpflichteten sich die Regierungen der beiden Länder zu verschiedenen Maßnahmen und Initiativen, die sowohl auf nationaler als auch auf internationaler Ebene im Bereich der Regulierung Internets, der digitalen Wirtschaft und des Datenschutzes vorangetrieben werden sollen.

Digitale Wirtschaft
Die Regierungen beider Länder wollen in der Zukunft

Innovationen fördern, damit Erzeugnisse und Dienstleistungen entwickelt werden, die in Europa zur Wertschöpfung beitragen.

Zudem möchten beide Regierungen prüfen, welche Instrumente benötigt werden, um die Finanzierung und das Wachstum von Start-up-Unternehmen in Europa zu fördern.

Schutz personenbezogener Daten
Weiterhin halten es die Minister von Deutschland und Frankreich für unerlässlich, dass ein

Rahmen geschaffen wird, der den…Schutz der personenbezogenen Daten gewährleistet.

Hierzu haben die Regierungen die Absicht, auf europäischer Ebene zu einer Verständigung über den Rahmen für personenbezogene Daten beizutragen. Damit dürfte die derzeit verhandelte Datenschutz-Grundverordnung gemeint sein. Ziel der Regierungen ist es, dass

eine Verabschiedung dieser Rechtsvorschriften bis spätestens 2015 sichergestellt wird.

Zudem haben sich die Minister verpflichtet, den Schutz der europäischen Bürger in Bezug auf Datentransfers mit Drittstaaten zu verbessern. Hier erwähnt die Erklärung explizit auch die derzeit umstrittene Safe Harbor Entscheidung, welche vielen Unternehmen als Grundlage der Datenübertragung nach Amerika dient.

Technologie und Innovation
Zudem soll eine deutsch-französische Arbeitsgruppe die Möglichkeiten des Erlasses von Vorschriften im Bereich neuer Technologien prüfen. Auch sieht die Erklärung die Absicht vor, die Entwicklung von Schlüsseltechnologien im Bereich der Datenspeicherung und Datenverarbeitung (v. a. Cloud Computing und Big Data) mit Hilfe von Technologiepartnerschaften zu begleiten.

Des weiteren sollen gemeinsame Vorschläge für eine europäische Regulierung der wichtigsten Internet-Plattformen vorgelegt werden,

durch die Internetdiensten und Internetnutzern offener Zugang gewährt und Interoperabilität, Transparenz und Nichtdiskriminierung sichergestellt werden sollen.

Hierbei soll es darum gehen, zum einen sowohl die Innovationsfähigkeit von europäischen Unternehmen in vollem Umfang zu erhalten, indem übermäßige Restriktionen abgeschafft bzw. nicht erzeugt werden, die ihnen im Markt vor allem von den großen Internet-Unternehmen auferlegt werden. Bereits im Frühjahr sollen hierzu konkrete Vorschläge vorliegen.

Merkel: „Wir müssen mehr machen im europäischen Datenschutz“

Kurz vor dem am 19. Februar 2014 in Paris stattfindenden deutsch-französischen Ministerrat, hat Bundeskanzlerin Merkel ein Interview für den YouTube-Kanal der Bundesregierung gegeben (Video), in dem sie unter anderem auf das Thema Datenschutz eingeht.

Im Hinblick auf eine enge internationale Zusammenarbeit im Bereich des Datenschutzrechts sieht Merkel in der Tat Nachholbedarf.

Wir müssen mehr machen im europäischen Datenschutz, das ist gar keine Frage.

Zudem weißt die Bundeskanzlerin auf die derzeit in Brüssel verhandelte Datenschutz-Grundverordnung hin, die einen einheitlichen rechtlichen Standard in Europa schaffen würde. Jedoch stellen sich die Verhandlungen zu diesem Gesetzesvorhaben aus ihrer Sicht nicht so einfach dar, da „manche Länder einen geringen Datenschutz haben als Deutschland. Und wir wollen nicht, dass unser Datenschutz aufgeweicht wird“.

Im Hinblick auf die derzeitige Praxis einiger Unternehmen, ihre europäischen Zentralen in Länder zu verlagern, in denen das Datenschutzrecht „am geringsten ist“, macht die Bundeskanzlerin klar: „das können wir in Europa auf Dauer auch nicht gut heißen“. Mit Frankreich werde man darüber sprechen, wie man in Europa ein hohes Maß an Datenschutz aufrecht erhalten kann.

Zudem wolle man in Paris darüber sprechen, welche europäischen Anbieter existieren,

die Sicherheit für die Bürgerinnen und Bürger bieten, dass man nicht erst mit seinen E-Mails und anderem über den Atlantik muss, sondern auch innerhalb Europas Kommunikationsnetzwerke aufbauen kann.

Hiermit spricht die Bundeskanzlerin das Thema des „Schengenroutings“ an, dass also Datenpakete, deren Absender und Empfänger in Europa sitzen, auch innerhalb europäischer Netze verbleiben sollen. Diese Idee rührt vor allem aus den Enthüllungen um die Abhöraktivitäten der NSA, die auch direkt transatlantische Datenkabel angezapft haben soll.

Man darf gespannt sein, ob der anstehende Ministerrat für neuen Schwung bei den Themen Datenschutz-Grundverordnung und einer in letzter Zeit häufig geforderten digitalen europäischen „Unabhängigkeit“ von Amerika sorgen wird.

Bundesregierung: Im BfV und BND werden keine Personen gezielt wegen ihrer beruflichen Tätigkeit erfasst

Die Bundesregierung hat eine kleine Anfrage der Fraktion DIE LINKE im Bundestag zur Überwachungstätigkeit des BND, des BfV und des MAD beantwortet (BT-Drs. 18/443). DIE LINKE stellte die Anfrage „Mögliche Bespitzelung von Journalisten und Journalistinnen durch den Verfassungsschutz auch außerhalb Niedersachsen“ und wollte konkreter wissen, inwiefern auf Bundesebene die Nachrichtendienste ihre Überwachung eventuell anhand bestimmter Berufsgruppen ausrichten.

Die Bundesregierung antwortet hierauf, dass im Bundesamt für Verfassungsschutz (BfV) und im Bundesnachrichtendienst (BND) keine Personen gezielt wegen ihrer beruflichen Tätigkeit als Journalist, Arzt oder Rechtsanwalt erfasst werden. Sie werden vielmehr im BfV und BND erfasst, wenn sie in Erfüllung des jeweiligen gesetzlichen Auftrags beobachtungswürdig sind.

Erforderlich ist beim BfV immer die Voraussetzung des Merkmals der „Beobachtungswürdigkeit“ der Person bzw. beim BND ein Bezug zu dessen besonderer Aufgabenstellung.

Das BfV speichert im Nachrichtendienstlichen Informationssystem (NADIS) Personen, wenn sie aufgrund extremistischer, terroristischer oder nachrichtendienstlicher Bezüge beobachtungswürdig sind. Anlass einer Speicherung in den Fachinformationssystemen des BND ist immer ein Bezug der gespeicherten Person zur Aufgabenstellung des BND gemäß § 1 Absatz 2 des Gesetzes über den Bundesnachrichtendienst (BNDG). Im Rahmen einer solchen Speicherung können dann auch Informationen zur beruflichen Tätigkeit der als nachrichtendienstlich relevant eingestuften Person miterfasst werden.

Hinsichtlich einmal gespeicherter Daten sind die Dienste dazu verpflichtet diese zu löschen, wenn sich herausstellt, dass die Speicherung unzulässig war oder die Daten für die Aufgabenerfüllung nicht mehr erforderlich sind. Zudem bestehen gewisse Prüfpflichten hinsichtlich gespeicherter Daten, nach deren Ablauf zu beurteilen ist, ob die Daten noch erforderlich sind oder gelöscht werden können. BfV und BND sind

verpflichtet, bei der Einzelfallbearbeitung und nach festgesetzten Fristen zu prüfen, ob gespeicherte personenbezogene Daten zu berichtigten oder zu löschen sind. Die Frist für das BfV beträgt fünf Jahre, für den BND längstensfalls zehn Jahre.

Gutachten für britisches Parlament: Tätigkeit des Geheimdienstes teilweise illegal

In einem Gutachten für den Vorsitzenden der Parlamentariergruppe des britischen Parlaments zu Drohnen (All Party Parliamentary Group on Drones) untersuchen zwei englische Rechtsanwälte die Rechtmäßigkeit des Abfangens, Verwendens und der Übertragung von Geheimdienstdaten durch die britische Regierung. Den Bericht gibt es hier (PDF).

Untersuchte Szenarien
Die Autoren untersuchen in dem Bericht die Tätigkeit des britischen Geheimdienstes, insbesondere des Nachrichtendienstes GCHQ, im Zusammenhang mit fünf Szenarien:

  1. Der GCHQ greift massenhaft Daten ab, die zwischen zwei in England ansässigen Personen verschickt, jedoch durch Kabel übertragen werden, die zwischen England und Amerika verlaufen. Die Daten stammen aus der Nutzung des Internets, des Telefons und von E-Mails.
  2. Der GCHQ hat diese Daten gespeichert und zu einer sog. Lebensmuster-Analyse freigegeben, wobei dies sowohl für bekannte Terroristen/Straftäter als auch unverdächtige Personen erfolgte.
  3. Der GCHQ hat der amerikanischen NSA Zugang zu diesen Daten gegeben und ihre Speicherung gestattet.
  4. Die NSA teilt diese Daten mit der CIA, wodurch sie zur Festlegung von Zielen bei Drohnenangriffen genutzt werden können.
  5. Amerikanische Militärstreitkräfte operieren von einem britischen Militärstützpunkt, unter dem NATO Truppenstatut. Dieser Stützpunkt wird als Kommunikationsknotenpunkt zur Datenübermittlung, sowohl aus, als auch in die USA benutzt. Ein Teil der Daten, welche in die USA übertragen werden, wurden unter Verstoß gegen internationales Recht erlangt. Einige Daten, welche aus den USA über den britischen Stützpunkt übermittelt werden, enthalten Informationen und Anweisungen, um Drohnenangriffe zu unterstützen.

Im Prinzip stellen diese Szenarien eine aufeinander aufbauende Kette dar. Die Autoren machen deutlich, dass sobald ein Glied der Kette wegen Verstoßes gegen geltendes Recht wegfällt, alle weiteren Schritte ebenfalls unrechtmäßig sind.
Ich möchte den 33-Seiten starken Bericht hier nicht in aller Einzelheit besprechen. Allein die wesentlichen Ergebnisse seien genannt.

Ergebnisse

  • Nach dem geltenden englischen Recht, insbesondere dem für elektronische Spionagetätigkeiten relevanten „Regulation of Investigatory Powers Act 2000“ (RIPA), ist der GCHQ nicht befugt massenhaft inländische Inhaltsdaten abzufangen. Also den Inhalt von E-Mails oder Telefonaten zwischen zwei Personen die sich innerhalb des Vereinigten Königreichs aufhalten. Der GCHQ ist jedoch berechtigt massenhaft ausländische Inhaltsdaten abzufangen, also den Inhalt der Kommunikation zwischen dem Vereinigten Königreich und einem anderen Land. Der GCHQ ist auch berechtigt massenhaft Kommunikationsdaten (auch als Metadaten bekannt) abzufangen. Das massenhafte Abfangen dieser Daten, auch wenn es nach dem RIPA rechtmäßig erfolgen mag, stellt einen unverhältnismäßigen Eingriff in das nach Art. 8 der Europäischen Menschenrechtskonvention (EMRK) geschützte Recht auf Achtung des Privatlebens britischer Bürger dar.
  • Unter dem derzeit geltenden gesetzlichen Rahmen ist der GCHQ berechtigt die massenhaft gesammelten Daten einer Lebensmuster-Analyse. Die Autoren erachten den derzeitigen gesetzlichen Rahmen in Bezug auf die Speicherung, Verwendung und Löschung von Kommunikationsdaten für unverhältnismäßig, so dass er sich wahrscheinlich als rechtswidrig erweist. Die gesetzlichen Vorgaben des RIPA in Bezug auf ausländische Inhaltsdaten sind nach ihrer Ansicht wahrscheinlich ebenfalls rechtswidrig.
  • Nach dem RIPA ist der GCHQ berechtigt, massenhaft gesammelte Daten an die NSA zu übermitteln, wenn der jeweilige Minister davon überzeugt ist, dass die Mechanismen zur Speicherung und Löschung dieser Daten in dem Empfangsstaat angemessen sind. Diese Übertragung abgefangener Daten stellt einen erneuten Eingriff in das Grundecht der Betroffenen aus Art. 8 EMRK dar. Nach Ansicht der Autoren bieten die derzeitigen gesetzlichen Vorgaben keinen ausreichenden Schutz für die jeweils Betroffenen. Die britische Regierung könnte diese Situation zumindest dadurch verbessern, dass sie eine Absichtserklärung oder andere bilaterale Vereinbarungen in Bezug auf Datenübermittlungen abschließt und veröffentlicht. Dort müsste festgelegt werden, wie Daten zu speichern sind, wann sie gelöscht werden müssen und zu welchen Zwecken diese Daten nach britischem recht verwendet werden dürfen.
  • Wenn die britische Regierung davon Kenntnis hat, dass sie Daten übermittelt, welche für Drohnenangriffe gegen Nichtkombattanten eingesetzt werden könnten, dann ist diese Datenübermittlung wahrscheinlich rechtswidrig. Eine einzelne Person, die an einer solchen Übermittlung beteiligt ist, macht sich wahrscheinlich der Beihilfe zum Mord strafbar. Eine Vielzahl verschiedener Gründe spricht dafür, dass die Regierung dazu verpflichtet ist, angemessene Maßnahmen zu ergreifen, diese Möglichkeit zu untersuchen. Jedoch scheint es derzeit so, dass die gesetzlichen Vorgaben die britische Regierung nicht dazu verpflichten, es zu verhindern oder zu prüfen, ob ihre Agenten auf diese Weise zu Gehilfen von Straftaten werden. Wenn dem so sei, dann sehen die Autoren dieses Ergebnis als Gegensatz zu den Grundsätzen der öffentlichen Ordnung und guter Regierungsführung.
  • Die britische Regierung ist befugt gegen amerikanische Soldaten Strafen zu verhängen, die von NATO-Stützpunkten auf britischem Gebiet aus operieren. Wenn Daten, die unter Verstoß gegen britische Gesetze erlangt oder genutzt wurden, über eine britische NATO Basis übermittelt werden, dann kann die britische Regierung jeden amerikanischen Militärangehörigen strafrechtlich verfolgen, der an dieser Übermittlung beteiligt ist. Für die Autoren hat es den Anschein, dass die britische Regierung selbst nicht immer genau Kenntnis davon hat, was auf Militärstützpunkten geschieht, dir von NATO Truppen kontrolliert werden. Daher stellt sich diese strafrechtliche Verfolgungsmöglichkeit in der Praxis möglicherweise nur als theoretisch dar.