Merkel: „Wir müssen mehr machen im europäischen Datenschutz“

Kurz vor dem am 19. Februar 2014 in Paris stattfindenden deutsch-französischen Ministerrat, hat Bundeskanzlerin Merkel ein Interview für den YouTube-Kanal der Bundesregierung gegeben (Video), in dem sie unter anderem auf das Thema Datenschutz eingeht.

Im Hinblick auf eine enge internationale Zusammenarbeit im Bereich des Datenschutzrechts sieht Merkel in der Tat Nachholbedarf.

Wir müssen mehr machen im europäischen Datenschutz, das ist gar keine Frage.

Zudem weißt die Bundeskanzlerin auf die derzeit in Brüssel verhandelte Datenschutz-Grundverordnung hin, die einen einheitlichen rechtlichen Standard in Europa schaffen würde. Jedoch stellen sich die Verhandlungen zu diesem Gesetzesvorhaben aus ihrer Sicht nicht so einfach dar, da „manche Länder einen geringen Datenschutz haben als Deutschland. Und wir wollen nicht, dass unser Datenschutz aufgeweicht wird“.

Im Hinblick auf die derzeitige Praxis einiger Unternehmen, ihre europäischen Zentralen in Länder zu verlagern, in denen das Datenschutzrecht „am geringsten ist“, macht die Bundeskanzlerin klar: „das können wir in Europa auf Dauer auch nicht gut heißen“. Mit Frankreich werde man darüber sprechen, wie man in Europa ein hohes Maß an Datenschutz aufrecht erhalten kann.

Zudem wolle man in Paris darüber sprechen, welche europäischen Anbieter existieren,

die Sicherheit für die Bürgerinnen und Bürger bieten, dass man nicht erst mit seinen E-Mails und anderem über den Atlantik muss, sondern auch innerhalb Europas Kommunikationsnetzwerke aufbauen kann.

Hiermit spricht die Bundeskanzlerin das Thema des „Schengenroutings“ an, dass also Datenpakete, deren Absender und Empfänger in Europa sitzen, auch innerhalb europäischer Netze verbleiben sollen. Diese Idee rührt vor allem aus den Enthüllungen um die Abhöraktivitäten der NSA, die auch direkt transatlantische Datenkabel angezapft haben soll.

Man darf gespannt sein, ob der anstehende Ministerrat für neuen Schwung bei den Themen Datenschutz-Grundverordnung und einer in letzter Zeit häufig geforderten digitalen europäischen „Unabhängigkeit“ von Amerika sorgen wird.

Gutachten für britisches Parlament: Tätigkeit des Geheimdienstes teilweise illegal

In einem Gutachten für den Vorsitzenden der Parlamentariergruppe des britischen Parlaments zu Drohnen (All Party Parliamentary Group on Drones) untersuchen zwei englische Rechtsanwälte die Rechtmäßigkeit des Abfangens, Verwendens und der Übertragung von Geheimdienstdaten durch die britische Regierung. Den Bericht gibt es hier (PDF).

Untersuchte Szenarien
Die Autoren untersuchen in dem Bericht die Tätigkeit des britischen Geheimdienstes, insbesondere des Nachrichtendienstes GCHQ, im Zusammenhang mit fünf Szenarien:

  1. Der GCHQ greift massenhaft Daten ab, die zwischen zwei in England ansässigen Personen verschickt, jedoch durch Kabel übertragen werden, die zwischen England und Amerika verlaufen. Die Daten stammen aus der Nutzung des Internets, des Telefons und von E-Mails.
  2. Der GCHQ hat diese Daten gespeichert und zu einer sog. Lebensmuster-Analyse freigegeben, wobei dies sowohl für bekannte Terroristen/Straftäter als auch unverdächtige Personen erfolgte.
  3. Der GCHQ hat der amerikanischen NSA Zugang zu diesen Daten gegeben und ihre Speicherung gestattet.
  4. Die NSA teilt diese Daten mit der CIA, wodurch sie zur Festlegung von Zielen bei Drohnenangriffen genutzt werden können.
  5. Amerikanische Militärstreitkräfte operieren von einem britischen Militärstützpunkt, unter dem NATO Truppenstatut. Dieser Stützpunkt wird als Kommunikationsknotenpunkt zur Datenübermittlung, sowohl aus, als auch in die USA benutzt. Ein Teil der Daten, welche in die USA übertragen werden, wurden unter Verstoß gegen internationales Recht erlangt. Einige Daten, welche aus den USA über den britischen Stützpunkt übermittelt werden, enthalten Informationen und Anweisungen, um Drohnenangriffe zu unterstützen.

Im Prinzip stellen diese Szenarien eine aufeinander aufbauende Kette dar. Die Autoren machen deutlich, dass sobald ein Glied der Kette wegen Verstoßes gegen geltendes Recht wegfällt, alle weiteren Schritte ebenfalls unrechtmäßig sind.
Ich möchte den 33-Seiten starken Bericht hier nicht in aller Einzelheit besprechen. Allein die wesentlichen Ergebnisse seien genannt.

Ergebnisse

  • Nach dem geltenden englischen Recht, insbesondere dem für elektronische Spionagetätigkeiten relevanten „Regulation of Investigatory Powers Act 2000“ (RIPA), ist der GCHQ nicht befugt massenhaft inländische Inhaltsdaten abzufangen. Also den Inhalt von E-Mails oder Telefonaten zwischen zwei Personen die sich innerhalb des Vereinigten Königreichs aufhalten. Der GCHQ ist jedoch berechtigt massenhaft ausländische Inhaltsdaten abzufangen, also den Inhalt der Kommunikation zwischen dem Vereinigten Königreich und einem anderen Land. Der GCHQ ist auch berechtigt massenhaft Kommunikationsdaten (auch als Metadaten bekannt) abzufangen. Das massenhafte Abfangen dieser Daten, auch wenn es nach dem RIPA rechtmäßig erfolgen mag, stellt einen unverhältnismäßigen Eingriff in das nach Art. 8 der Europäischen Menschenrechtskonvention (EMRK) geschützte Recht auf Achtung des Privatlebens britischer Bürger dar.
  • Unter dem derzeit geltenden gesetzlichen Rahmen ist der GCHQ berechtigt die massenhaft gesammelten Daten einer Lebensmuster-Analyse. Die Autoren erachten den derzeitigen gesetzlichen Rahmen in Bezug auf die Speicherung, Verwendung und Löschung von Kommunikationsdaten für unverhältnismäßig, so dass er sich wahrscheinlich als rechtswidrig erweist. Die gesetzlichen Vorgaben des RIPA in Bezug auf ausländische Inhaltsdaten sind nach ihrer Ansicht wahrscheinlich ebenfalls rechtswidrig.
  • Nach dem RIPA ist der GCHQ berechtigt, massenhaft gesammelte Daten an die NSA zu übermitteln, wenn der jeweilige Minister davon überzeugt ist, dass die Mechanismen zur Speicherung und Löschung dieser Daten in dem Empfangsstaat angemessen sind. Diese Übertragung abgefangener Daten stellt einen erneuten Eingriff in das Grundecht der Betroffenen aus Art. 8 EMRK dar. Nach Ansicht der Autoren bieten die derzeitigen gesetzlichen Vorgaben keinen ausreichenden Schutz für die jeweils Betroffenen. Die britische Regierung könnte diese Situation zumindest dadurch verbessern, dass sie eine Absichtserklärung oder andere bilaterale Vereinbarungen in Bezug auf Datenübermittlungen abschließt und veröffentlicht. Dort müsste festgelegt werden, wie Daten zu speichern sind, wann sie gelöscht werden müssen und zu welchen Zwecken diese Daten nach britischem recht verwendet werden dürfen.
  • Wenn die britische Regierung davon Kenntnis hat, dass sie Daten übermittelt, welche für Drohnenangriffe gegen Nichtkombattanten eingesetzt werden könnten, dann ist diese Datenübermittlung wahrscheinlich rechtswidrig. Eine einzelne Person, die an einer solchen Übermittlung beteiligt ist, macht sich wahrscheinlich der Beihilfe zum Mord strafbar. Eine Vielzahl verschiedener Gründe spricht dafür, dass die Regierung dazu verpflichtet ist, angemessene Maßnahmen zu ergreifen, diese Möglichkeit zu untersuchen. Jedoch scheint es derzeit so, dass die gesetzlichen Vorgaben die britische Regierung nicht dazu verpflichten, es zu verhindern oder zu prüfen, ob ihre Agenten auf diese Weise zu Gehilfen von Straftaten werden. Wenn dem so sei, dann sehen die Autoren dieses Ergebnis als Gegensatz zu den Grundsätzen der öffentlichen Ordnung und guter Regierungsführung.
  • Die britische Regierung ist befugt gegen amerikanische Soldaten Strafen zu verhängen, die von NATO-Stützpunkten auf britischem Gebiet aus operieren. Wenn Daten, die unter Verstoß gegen britische Gesetze erlangt oder genutzt wurden, über eine britische NATO Basis übermittelt werden, dann kann die britische Regierung jeden amerikanischen Militärangehörigen strafrechtlich verfolgen, der an dieser Übermittlung beteiligt ist. Für die Autoren hat es den Anschein, dass die britische Regierung selbst nicht immer genau Kenntnis davon hat, was auf Militärstützpunkten geschieht, dir von NATO Truppen kontrolliert werden. Daher stellt sich diese strafrechtliche Verfolgungsmöglichkeit in der Praxis möglicherweise nur als theoretisch dar.

Datenschutz und NSA: Bundesregierung beantwortet Fragen zur Datenübermittlung in die USA

Die Bundesregierung hat vergangene Woche eine kleine Anfrage der Fraktion DIE LINKE im Deutschen Bundestag beantwortet (BT-Drs. 18/321). Titel der Anfrage ist „Datenschutz bei der Zusammenarbeit deutscher Finanzdienstleister
mit IT-Unternehmen insbesondere aus den USA vor dem Hintergrund des NSA-Skandals“. Grund für die Anfrage waren Presseberichte, nach denen die Allianz SE ihre Rechenzentren auslagern und an das amerikanische IT-Unternehmen IBM übergeben möchte. Vor dem Hintergrund der Enthüllungen um den möglicherweise unverhältnismäßigen Zugriff amerikanischer Geheimdienste auf Daten europäischer Bürge bei amerikanischen Unternehmen, wollte DIE LINKE genauer wissen, wie die Bundesregierung hierzu steht. Ich möchte im Folgenden nur einige der behandelten Fragen und Antworten ansprechen.

Auftragsdatenverarbeitung
Zunächst geht die Bundesregierung auf die grundsätzlichen Anforderungen einer Auftragsdatenverarbeitung nach § 11 BDSG ein und weist darauf hin, dass in diesem Rahmen der Verantwortliche (Auftraggeber) bereits vor der Datenverarbeitung gewisse Prüfpflichten in Bezug auf den IT-Dienstleister besitzt. Sehr anschaulich hierzu ist im Übrigen das Informationsblatt des bayerischen Landesamtes für Datenschutzaufsicht.

Datenübermittlung in Drittländer
Auch wenn der Auftragnehmer nicht in der EU bzw. dem EWR, sondern in einem Drittstaat sitzt, bleibt der Auftraggeber in der EU verantwortlich. Die Bundesregierung stellt klar, dass auch bei einer Drittstaatenübermittlung die Anforderungen des § 11 BDSG (zumindest entsprechend) erfüllt sein müssen, was insofern wohl der Auffassung der deutschen Datenschutzbehörden entspricht. Zudem weist die Bundesregierung auf die zusätzlichen Voraussetzungen für einen Datentransfer in ein Drittland hin. Ein solcher ist verboten, wenn in dem Drittland keine angemessen Garantien für den Schutz der Daten bestehen, wie etwa in den USA.

Safe Harbor
Die Bundesregierung geht danach auf die Möglichkeit der Datenübermittlung in die USA unter der Safe Harbor-Entscheidung der EU Kommission ein. Diese habe für europäische Unternehmen, die personenbezogene Daten an in den USA tätige Firmen übermitteln, den Vorteil, dass sie keine zusätzlichen Garantien verlangen müssen. Öffentlich Stellung nehmen, zu der Ansicht des Landesdatenschutzbeauftragten von Schleswig-Holstein, Thilo Weichert, dass es „Riskant und unverantwortlich“ sei, die Daten einem US-Konzern anzuvertrauen, möchte die Bundesregierung mit Blick auf die unabhängige Aufgabenerfüllung der Datenschutzaufsichtsbehörden nicht.

Kooperation zwischen NSA und BND
Auf die Frage, ob „deutsche Geheimdienste von der NSA Daten deutscher Finanzdienstleistungsunternehmen erhalten“ haben, möchte die Bundesregierung nicht öffentlich antworten. „Ein Verstoß gegen die in diesem Zusammenhang vorausgesetzte Vertraulichkeit ließe negative Folgewirkungen für die Quantität und Qualität des Informationsaustausches befürchten“. Ausdrücklich geht die Bundesregierung jedoch davon aus, dass

„ein Zugriff der NSA in Kooperation mit entsprechenden IT-Dienstleistern auf Daten deutscher Finanzdienstleistungsunternehmen [ist] theoretisch nicht auszuschließen“ ist. „Allerdings dürfte ein solcher Zugriff regelmäßig rechtswidrig sein“.

Datenschutz-Grundverordnung und Safe Harbor
Die Bundesregierung gibt, mit Blick auf möglich Verstöße gegen die Safe Harbor-Entscheidung durch amerikanische Unternehmen, an, dass „gesetzliche Kontrollmöglichkeiten gemeinsam mit amerikanischen Behörden“ derzeit nicht bestehen. Deutschland setze sich zudem weiter dafür ein, dass der Schutz der Bürgerinnen und Bürger bei Drittstaatenübermittlungen
deutlich verbessert wird. Insbesondere in Bezug auf Safe Harbor möchte die Bundesregierung tätig werden und ist dies auch bereits. Mit Blick auf die europäische Datenschutzreform und die geplante Datenschutz-Grundverordnung weist sie darauf hin, dass für Modelle wie Safe Harbor „in der neuen europäischen Datenschutz-Grundverordnung ein robuster Rechtsrahmen mit klaren Vorgaben für Garantien der Bürgerinnen und Bürger geschaffen werden“ sollte. Zudem führt die Bundesregierung drei konkrete Verbesserungsvorschläge an:

Ziel sollte es insbesondere sein, die Individualrechte der Bürgerinnen und Bürger zu stärken und ihnen bessere Rechtsschutzmöglichkeiten zur Verfügung zu stellen, die Registrierung der US-Unternehmen in der EU vorzunehmen und die staatliche Kontrolle seitens der EU-Datenschutzaufsichtsbehörden in Modellen wie Safe Harbor zu stärken.

Interessant sind dabei insbesondere die letzten beiden Vorschläge. Denn bisher müssen sich amerikanische Unternehmen in Amerika bei dem dafür zuständigen Handelsministerium registrieren. Zum anderen lässt der Vorschlag einer Stärkung der Kontrollbefugnisse der europäischen Behörden aufhorchen. Denn bisher war es die Federal Trade Commission (FTC) in den USA, die wegen einer Verletzung der Safe Harbor-Grundsätze in Amerika tätig wurde.

Fazit
Die Antwort der Bundesregierung ist im Hinblick auf die Reformen zur Datenschutz-Grundverordnung und Safe Harbor durchaus interessant. Die Stärkung der Rechtsschutzmöglichkeiten der Betroffenen ist im Übrigen auch ein zentrales Anliegen der Europäischen Kommission, welche Ende letzten Jahres den USA in einer Mitteilung 13 notwendige Vorschläge zur Verbesserung von Safe Harbor gemacht hat.

Datenübermittlungen in Drittstaaten – Datenschutzsiegel als neue Grundlage?

Datenübermittlungen aus Europa in Drittstaaten, also solche Länder außerhalb der EU bzw. des EWR, sind im internationalen Wirtschaftsbereich ein wichtiges Thema. Damit personenbezogene Daten in ein Drittland übertragen werden dürfen, muss dort grundsätzlich ein angemessenes Schutzniveau bestehen (Stichwort: Safe Harbor).

Die geplante Datenschutz-Grundverordnung will an den bestehenden Möglichkeiten der Übermittlung und der nötigen Sicherstellung des entsprechenden Schutzniveaus (etwa durch Binding Corporate Rules, Standardvertragsklauseln oder Angemessenheitsbeschlüsse der Kommission) grundsätzlich festhalten. Der Bericht des LIBE-Ausschusses im Europäischen Parlament schlägt aber zudem eine interessante weitere Möglichkeit für Übermittlungen vor: die Erteilung von Datenschutzsiegeln durch Aufsichtsbehörden.

Für den Newsletter der Berliner Datenschtzrunde habe ich in einem Gastbeitrag etwas näher zu dieser vorgeschlagenen Neuerung Stellung genommen. Der Beitrag ist auch online abrufbar.

EU Kommission fordert Anpassung von Safe Harbor

Die Europäische Kommission hat heute ihre im Juli angekündigte Einschätzung zur Zukunft der Safe Harbor Entscheidung, auf deren Grundlage ein Großteil der Datenströme privater Unternehmen zwischen Europa und den USA beruhen, vorgestellt. Dies ist Teil eines ganzen Maßnahmenpakets: ein generelles Dokument, „Rebuilding trust in EU-US data flows“ welches sich nicht allein auf Safe Harbor bezieht, sondern auf den transatlantischen Datenaustausch und dessen Zukunft insgesamt. Sowie eine eingehendere Untersuchung von Safe Harbor, „Communication on the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU“ (beide Dokumente stehen derzeit jedoch noch nicht in der endgültigen Version bereit).
Nachfolgend soll das Augenmerk jedoch vor allem auf den Implikationen für die Safe Harbor Entscheidung liegen.
Continue reading

Brasilien: Gesetzentwurf der „Verfassung des Internets“ veröffentlicht

Bisher wird in den deutschen Medien kaum über eine interessante Gesetzesreform in Brasilien berichtet. Es geht dabei um den Marco Civil da Internet, ein Gesetz, mit dem im Prinzip die Rechte und Pflichten von Bürgern und Unternehmen bei der Nutzung des Internets in Brasilien geregelt werden sollen. Ebenso soll das, auch als „Verfassung des Internets“ bezeichnete, Gesetz Grundprinzipien und Leitlinien vorgeben, an die sich die brasilianischen Behörden und Ministerien halten sollen, wenn sie in diesem Bereich tätig werden. Auf Netzpolitik.org und Wikipedia finden sich weitere Informationen.

Im Zuge der Enthüllungen durch Edward Snowden wurde der Gesetzgebungsprozess (die ersten Entwürfe entstanden bereits im Jahre 2009) nun massiv beschleunigt.

Gesetzentwurf veröffentlicht

Heute wurde auf der Webseite von Intellectual Property Watch ein aktueller englischer Entwurf des Gesetzes präsentiert. Inhaltlich regelt dieser unter anderem Haftungsfragen, Rechte der Internetnutzer oder auch die Netzneutralität.
Continue reading

Datenschutz-Grundverordnung: Missverständnisse rund um #EUDataP

Nach der positiven Beschlussfassung (hier die inoffizielle, konsolidierte Version) im LIBE-Ausschuss des Europäischen Parlaments zur Datenschutz-Grundverordnung (DS-GVO), wurde in den Medien erneut breit über das Thema Datenschutz in Europa berichtet. Diese öffentliche Berichterstattung und Diskussion ist wichtig und auch richtig. Wer hätte sich vor 2 Jahren vorstellen können, dass die dröge Materie „Datenschutzrecht“ zu so einer medialen Aufmerksamkeit gelangt?

Ich möchte nachfolgend jedoch einige Punkte ansprechen, die in der öffentlichen Berichterstattung zur DS-GVO häufig ungenau, verzerrt oder schlicht falsch dargestellt werden. Dabei geht es mir nicht um die Belehrung von oben herab. Es erscheint vielmehr essentiell notwendig zu sein, den Bürgerinnen und Bürgern von Anfang an reinen Wein einzuschenken. Denn wenn mit Errungenschaften und Vorzügen eines neuen Gesetzes geworben wird, welche es aber per se schon nicht leisten kann oder von Anfang an nicht leisten wollte, dann wird Glaubwürdigkeit und Vertrauen verspielt. Sobald sich der erste Betroffene fragt „Aber das wurde uns doch versprochen?“, ist es hierfür zu spät.

Die DSG-VO wird der NSA das Handwerk legen

Wie Thomas Stadler heute in seinem Blog richtig schreibt, wird die DS-GVO Geheimdiensten keine Pflichten auferlegen und daher etwa ihre Tätigkeiten beschränken können. Zum einen, weil die Europäische Union im Bereich der nationalen Sicherheit nicht gesetzgebungsbefugt ist. Daher sind auch folgerichtig Gebiete „der nationalen Sicherheit“ (bzw. nach dem LIBE Entwurf, solche, „die außerhalb des Geltungsbereichs des Unionsrechts liegen“) aus dem Anwendungsbereich ausgeschlossen (Art. 2 a DS-GVO). Zum anderen kann die Europäische Union nicht Gesetze erlassen, an die sich ein drittstaatlicher Geheimdienst, wie die NSA, halten müsste. Grundlage deren Tätigkeit sind zunächst allein amerikanische Gesetze.
Continue reading

Datenschutz-Grundverordnung: LIBE-Ausschuss verständigt sich auf Änderungen

Am Montag, den 21. Oktober 2013, wird der federführende Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) des Europäischen Parlaments zum Entwurf des Berichts von Jan Philipp Albrecht und über die Änderungsanträge zur vorgeschlagenen Datenschutz-Grundverordnung (KOM (2012)11, DS-GVO) der Europäischen Kommission abstimmen. Kommt es hier zu einer Einigung, würde dies die Tür für informelle, interinstitutionelle Verhandlungen zwischen der Europäischen Kommission, dem Europäischen Parlament und dem Rat der Europäischen Union (sog. Trilog) öffnen. Ziel dieser Verhandlungen ist es, eine Einigung zwischen den drei Parteien zu erzielen, um so den Gesetzgebungsprozess zu beschleunigen.

Aufgrund der enormen Anzahl an Änderungsanträgen zum Verordnungsvorschlag der Kommission sah es, nach mehrmaligen Verlegungen bereits geplanter Abstimmungen, nicht unbedingt danach aus, dass der LIBE Ausschuss alsbald zu einer Einigung kommen würde. Nach ersten Medienberichten (EUobserver; Guardian) wurde nun jedoch ein Vorschlag erarbeitet, den alle vertretenen Parteien im Ausschuss unterstützen.
Continue reading

Safe Harbor – LIBE Untersuchungsausschuss fordert Aussetzung

In der heutigen Anhörung des LIBE Untersuchungsausschusses zu den Überwachungstätigkeiten amerikanischer Geheimdienste und dem Zugriff dieser Dienste auf in die USA übermittelte Daten europäischer Bürger ging es vor allem um die Auswirkungen auf die Safe Harbor Entscheidung der Europäischen Kommission (zum Inhalt von Safe Harbor habe ich bereits hier etwas geschrieben). Hier eine kurze Einschätzung der Sitzung, ohne auf alle aufgeworfenen Fragen eingehen zu können.
Continue reading

Twitter’s Börsengang – Datenschutz als Investorenrisiko?

Aus dem vorläufigen Börsenprospekt von Twitter, der auf der Internetseite der amerikanischen Börsenaufsicht (SEC) abrufbar ist, lassen sich einige interessante Informationen zu dem Unternehmen selbst und seinem geplanten Börsengang entnehmen. Betrachtet man die dortigen Angaben allein aus dem Blickwinkel des Datenschutzrechts fällt auf, dass Bezugnahmen hierzu meist im Rahmen von möglichen Risiken erwähnt werden.

Grundsätzlich stellt Twitter klar, dass zu den Risiken, welche sich auf das Geschäft von Twitter und sein wirtschaftliches Wachstum auswirken können, vor allem auch Bedenken der Nutzer in Bezug auf den Datenschutz zählen:

A number of factors could potentially negatively affect user growth and engagement, including if: … there are user concerns related to privacy and communication, safety, security or other factors

Insbesondere negative öffentliche Berichterstattung über das Unternehmen, auch in Bezug auf den Datenschutz, könnten dem Ansehen von Twitter und dem Vertrauen in seine Produkte schaden:

Negative publicity about our company, including about … privacy and security practices … even if inaccurate, could adversely affect our reputation and the confidence in and the use of our products and services.

Auch die Einhaltung ausländischer Daten- und Verbraucherschutzgesetze und die Möglichkeit, gegen diese Gesetze zu verstoßen, sind ein Faktor, der zu einem Risiko für die zukünftige Entwicklung und das Wachstum des Unternehmens werden könnte.
Continue reading