Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Schleswig-Holsteinische Unternehmen, die personenbezogene Daten an Geschäftspartner oder Auftragnehmer in die Vereinigten Staaten von Amerika übermitteln, haben sich bisher vor allem auf „Safe Harbor“ („Sicherer Hafen“) berufen: Die Europäische Kommission hatte im Jahr 2000 eine Übermittlung personenbezogener Daten an US-amerikanische Unternehmen für zulässig erklärt, sofern sich diese den Vorgaben der sogenannten Safe-Harbor-Grundsätze unterwerfen. 

Die Grundsätze dieser Safe-Harbor-Entscheidung werden seit mehreren Jahren erheblich von den Datenschutzaufsichtsbehörden kritisiert. Sie ermöglichen keine befriedigende Kontrolle für Betroffene, werden nur unzureichend durchgesetzt und sind vor dem Hintergrund der willkürlichen Überwachungsmaßnahmen der US-amerikanischen Geheimdienste nicht dazu geeignet, ein angemessenes Schutzniveau für Betroffene zu gewährleisten. Aus diesem Grund hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder im März 2015 auf Initiative des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) in einer Entschließung darauf hingewiesen, dass die Safe-Harbor-Entscheidung keinen ausreichenden Schutz für das Grundrecht auf Datenschutz bei der Übermittlung personenbezogener Daten in die USA biete.

Dieser Auffassung hat sich nun auch der Generalanwalt des Europäischen Gerichtshofs (EuGH) in dem Verfahren des österreichischen Studenten Max Schrems gegen die irische Datenschutzaufsichtsbehörde angeschlossen. Der EuGH hat in diesem Verfahren über die Frage zu entscheiden, ob die irische Aufsichtsbehörde verpflichtet war, auf Beschwerde des Studenten hin gegen die Facebook Ltd. tätig zu werden. Die irische Aufsichtsbehörde hatte dies mit Verweis auf die ausreichende Schutzwirkung der Safe-Harbor-Grundsätze verneint. Der daraufhin angerufene Irish High Court hat diese Rechtsfrage dem EuGH vorgelegt.

Chronik der Dienststelle des Landesbeauftragten für Datenschutz Schleswig-Holstein / des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

Stellungnahme des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD)

Gestern ist Caspar Bowden, ein herausragender Verfechter von Datenschutz und Bürgerrechten, nach schwerer Krankheit gestorben. Er war seit 20 Jahren aktiv in der europäischen und internationalen Datenschutz-Community. Im Jahr 1998 wurde er Direktor der von ihm mitgegründeten britischen Foundation for Information Policy Research (FIPR) und stellte sich öffentlichkeitswirksam gegen Überwachung von Internet-Nutzerinnen und -Nutzern. Bekannt als aktiver, kritischer und konsequenter Datenschützer, arbeitete er zwischen 2002 und 2011 bei der Firma Microsoft als Chief Privacy Adviser in Europa. Dabei blieb er stets ein unbestechlicher Freidenker für Privacy und suchte den Kontakt zu Datenschutzbehörden und zur Datenschutztechnik-Community, um Lösungen für Datenschutz und gegen Überwachung zu fördern. Hieraus ergaben sich vielfältige Kooperationen mit dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD), z. B. zu Identitätenmanagement, Anonymität im Internet oder generell „Privacy by Design“, um Datenschutz durch Gestaltung von Informationstechnik und Systemen durchzusetzen.

Die Leitung des ULD, Marit Hansen und Thilo Weichert, und alle in der Dienststelle, die mit ihm zusammenarbeiten durften, werden seine wichtigen Beiträge vermissen: „Schon Jahre vor den Snowden-Enthüllungen hatte Caspar Bowden die Zeichen massenhafter Ausspähung durch Geheimdienste und Behörden insbesondere vonseiten der ‚Five Eyes‘ (USA, Großbritannien, Kanada, Australien, Neuseeland) korrekt gedeutet und eindringlich vor der Überwachung gewarnt. In seinen Vorträgen und Stellungnahmen konnte er seine Thesen belegen. Caspar Bowden brachte die Personen zusammen, die eine gemeinsame Vision von durchgehend vertrauenswürdiger Technik im Interesse der Nutzerinnen und Nutzer verfolgen. Nun kann er selbst daran nicht mehr mitwirken. Seine pointierte Analyse in Datenschutzfragen, seine scharfsinnige Kritik und seine unermüdliche Unterstützung für einen besseren Datenschutz werden uns fehlen.“

Redebeitrag von Thilo Weichert

Freiheit statt Angst

Abschlusskundgebung der Demonstration in Kiel am 13.06.2015

Die Digitalisierung unserer Gesellschaft könnte eine wundervolle Sache sein: unbeschränktes weltweites kommunizieren und informieren. Computer und Roboter nehmen uns langweilige Routine und schwere Arbeit ab. Wir könnten uns in der Freizeit und im Beruf mit informationstechnischer Unterstützung entfalten. Wir könnten im Betrieb, im sozialen und im politischen Leben online mitsprechen und mitbestimmen. Alles das ist mit Digitalisierung heute grundsätzlich möglich.

Es gibt aber eine andere Seite, und die ist furchterregend. Da werden alle unsere Lebensäußerungen – vom Smartphone über Videokameras bis hin zu unseren elektronischen Zahlungen digital erfasst und langfristig gespeichert. Mit diesen Daten werden Persönlichkeitsprofile erstellt, auf deren Grundlage wir als Verbraucherinnen und Verbraucher nicht selten belästigt, manipuliert und abgezockt werden. Die digitalen Profile nutzen Geheimdienste, um uns auszuspionieren und um uns als potenzielle Terroristen, als Dissidenten oder als mögliche Quelle für Wirtschaftsspionage zu markieren und zu kontrollieren, oder einfach, um uns in unserer Meinung zu manipulieren.

Der letzte Schrei der Digitalisierung heißt Big Data, womit die vielen Daten zusammengeführt und analysiert werden, um dann Algorithmen die Aufgabe zu übertragen, Entscheidungen über unser Leben zu treffen. Heute sind dies Entscheidungen über Kreditverträge, deren Bedingungen durch Computerscoring festgelegt werden, oder Versicherungsverträge, bei denen wir digital als besonderes Gesundheitsrisiko oder als Gefahr für den Straßenverkehr eingestuft und mit unseren Prämien hochgestuft werden.

Schon heute entscheiden Computer, ob wir in einem Bewerbungsverfahren zu einem Vorstellungsgespräch eingeladen werden. Herangezogen werden dann möglicherweise Daten, die wir selbst oder andere in sozialen Netzwerken über uns veröffentlicht haben.

All das spielt sich im Hintergrund ab. Welche Daten von uns wie verarbeitet und genutzt werden, das verschweigen uns NSA und BND, aber auch Google, Apple, Amazon oder Facebook. Auch deutsche Firmen, z. B. die Schufa, verweigert uns – im konkreten Fall mit dem Segen des deutschen Bundesgerichtshofes – Auskunft über die relevanten Merkmale ihrer Scoreberechnung.

Als ob es nicht schon genug Daten von uns gäbe, mit denen wir gläsern gemacht werden, fabulierte da ein Wirtschaftsweiser – unter dem Applaus der IT-Wirtschaft – von der Abschaffung des anonymen Bargeldes, damit auch noch der Brötchenkauf beim Bäcker personenbezogen überwacht werden kann.

Eine solche Gesellschaft will ich nicht – wollen wir nicht. Die Freiheit, die uns unser Grundgesetz und die Europäische Grundrechte-Charta versprechen, setzt voraus, nicht Angst davor haben zu müssen, dass wir überall erfasst und dass diese digitalen Spuren zur Diskriminierung und Manipulation verwendet werden. Unsere Demokratie, die in der Bundesrepublik erst mühsam erlernt und in der DDR erkämpft werden musste, wollen wir nicht aufgeben zugunsten von Entscheidungen von Computern, die im Auftrag von irgendwelchen Unternehmen programmiert wurden zwecks optimierter Profitmaximierung, und die uns dann erklären, dass sie doch nur „unser Bestes“ wollen. Und unsere Rechtsstaatlichkeit darf nicht Grenzen haben, wenn ein US- amerikanischer Konzern seine Europafiliale in Irland betreibt oder ein US-amerikanischer Geheimdienst eine ach so freundliche Partnerschaft mit einem deutschen Geheimdienst pflegt.

Es ist geradezu vordemokratisch und totalitär, wenn Geheimdienste und Internet-Unternehmen über uns alles wissen dürfen, wir aber praktisch nichts über diese. Genau das ist gelebte Realität, wenn selbst geheim tagenden Parlamentsgremien, wie dem NSA-Untersuchungsausschuss, aus Rücksicht auf Partnergeheimdienste ihre Kontrollrechte verweigert werden, oder wenn die Googles und Facebooks nicht nur ihre unzulässige Praktiken langjährig fortsetzen dürfen, sondern hierzu dadurch ermuntert werden, dass z. B. eine Bundeskanzlerin zu einem Eric Schmidt aus dem Silicon Valley pilgert, oder dass sie eine offizielle Facebook-Fanpage einrichtet und damit Menschen animiert, deren Daten in Facebooks Rachen zu lenken.

Der Zustand ist beängstigend. Er darf uns aber keine Angst machen. Es gibt eine positive Utopie einer freiheitlichen und demokratischen Informationsgesellschaft. Hierfür sollten wir uns einsetzen.  Es gibt genügend Anlässe, weshalb wir unsere Stimme erheben müssen.

• Derzeit behandelt der Bundestag ein Geheimdienstgesetz, mit dem Konsequenzen aus den NSU-Morden gezogen werden sollen. Statt aber nun den Verfassungsschutz besser zu kontrollieren, soll dieser noch mehr Befugnisse und mehr Macht bekommen. Das darf nicht sein.
• Derzeit diskutiert der Bundestag ein IT-Sicherheitsgesetz, das dazu führt, dass u. a. beim Verfassungsschutz personell massiv aufgestockt wird. Wir fordern stattdessen eine Aufstockung bei den unabhängigen Datenschutzkontrollbehörden. Das wäre nicht nur bessere IT-Sicherheit, sondern auch ein wirksamerer Schutz unserer Verfassung.
• Derzeit will die Bundesregierung eine Vorratsspeicherung von Telekommunikationsverkehrsdaten durchziehen mit undifferenzierten, viel zu langen Speicherfristen. Das dürfen wir nicht durchgehen lassen
• Und derzeit versucht ein NSA-Untersuchungsausschuss mit sehr begrenztem Erfolg, Licht in die Bespitzelung durch NSA, GCHQ und BND zu bringen. Wir fordern voll demokratische Kontrolle, wozu auch die Offenlegung der Selektorenlisten gehört, auf deren Grundlage der BND der NSA Amtshilfe leistet.
• Die Bundesregierung hat lange Zeit die Europäische Datenschutzgrundverordnung blockiert. Wir fordern eine schnelle Verabschiedung auf der Grundlage der Vorschläge des Europaparlaments.
• Und wenn es um den organisierten Datenaustausch mit den USA geht, etwa bei TTIP oder Safe Harbor, sind die Bundesregierung und Europa bereit, gemäß der Forderung der USA unsere Grundrechtsstandards aufzugeben. Wir fordern ein klares Nein zu dieser Forderung und verlangen stattdessen, endlich Edward Snowden in Deutschland politisches Asyl zu gewähren.

Digitale Rechte sind keine Rechte, die nur eigenen Staatsangehörigen zustehen, sondern als allgemeine Menschenrechte allen. Wir fordern die deutsche Bundesregierung, die Institutionen in der EU und auch die Obama-Administration und die vielen US-Unternehmen, die uns derzeit schamlos kontrollieren, auf, dies zu akzeptieren und die täglich stattfindenden Menschenrechtsverletzungen zu beenden.

Umlaufentschließung der Konferenz der Datenschutzbeauftragten 
des Bundes und der Länder vom 9. Juni 2015

Mit der Vorlage des „Entwurfs eines Gesetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“ (BR-Drs. 249/15) beabsichtigt die Bundesregierung, eine Vorratsspeicherung von Telekommunikationsverkehrsdaten für Zwecke der Strafverfolgung und der Gefahrenabwehr in Deutschland einzuführen.

Nach Ansicht der Konferenz der Datenschutzbeauftragten des Bundes und der Länder ist fraglich, ob dieser Gesetzentwurf den verfassungsrechtlichen und europarechtlichen Anforderungen genügt.

Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Berliner Beauftragter für Datenschutz und Informationsfreiheit
Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern

Zusammenfassung:

IT-Sicherheit ist eine Grundvoraussetzung für die Sicherung der Grundrechte auf informationeller Selbstbestimmung und auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme. Angesichts der modernen Risiken für informationstechnische Strukturen sind vorgesehene Maßnahmen wie der Ausbau des Bundesamtes für die Informationssicherheit (BSI) zu einer nationalen Zentrale für IT-Sicherheit, die Festlegung von Sicherheitsstandards, die Pflicht zur Sicherheitsvorsorge in Unternehmen, Melde- und Benachrichtigungspflichten bei sicherheitsrelevanten Vorfällen wichtige Bausteine einer nationalen Strategie für mehr IT-Sicherheit. IT-Sicherheitsmaßnahmen setzen in vielen Fällen die Verarbeitung personenbeziehbarer Daten voraus. Die damit verbundenen Eingriffe in das Recht auf informationelle Selbstbestimmung sowie in das Telekommunikationsgeheimnis bedürfen einer normenklaren, spezifischen, auf das Erforderliche und Verhältnismäßige sich beschränkenden gesetzlichen Grundlage, die für die Betroffenen normenklar erkennen lässt, wie welche Maßnahmen durchgeführt werden. Diesen Anforderungen genügt der vorliegende Entwurf noch nicht. Verarbeitungsregeln für die verpflichteten Unternehmen fehlen vollständig. Zweckbindungsregeln sind nur für das BSI vorgesehen. Vorgaben zur Wahrung der Datensparsamkeit, etwa durch Anonymisierung, Pseudonymisierung, frühzeitige Löschung und Abschottung, bei Maßnahmen der IT-Sicherheit sind bisher nicht geplant. Vorkehrungen für die IT-Sicherheit sollten in gleicher Weise für Telekommunikations- wie für Telemedienbetreiber gültig sein. Die Datenschutzaufsichtsbehörden müssen als auch für IT-Sicherheit zuständige Behörden bei der Festlegung von Sicherheitsstandards, bei den Meldewegen und bei der Beratung der Beteiligten rechtlich eingebunden werden. IT-Sicherheit darf nicht alleine Behörden im Direktionsbereich des Bundesministeriums des Innern überlassen bleiben, die bei einer Abwägung zwischen IT-Sicherheit und klassischer Gefahrenabwehr und Strafverfolgung sich im Zweifelsfall möglicherweise einseitig zugunsten Letzterer entscheiden. Die Bestrebungen nach mehr IT-Sicherheit können sich nicht auf die Verabschiedung eines IT-Sicherheitsgesetzes beschränken. Der tatsächliche Aufbau vertrauenswürdiger und sicherer IT-Infrastrukturen und die Förderung solcher Techniken ist Aufgabe des Staates. Dabei kommt der Weiterentwicklung und Implementierung von Verschlüsselungsverfahren eine zentrale Funktion zu.