Kernpunkte:
- Edward Snowden
- Europäischer Regelungsrahmen
- IT-Sicherheitsgesetz
2 Datenschutz – global und national
Datenverarbeitung wird immer mehr geprägt und ist zugleich abhängig vom Internet. Dieses erweist sich durch Bereitstellung und Austausch von Daten, Bildern, Ton, Texten und Programmen als nützlich und segensreich für vieles: Information, Diskussion, Handel, politische Aktion, Vernetzung, Kunst, Unterhaltung und Spiel. Die Schattenseiten im Zusammenhang mit dieser Infrastruktur treten immer mehr ins öffentliche Bewusstsein: Ausforschung, Eindringen in die Privat- und Sozialsphäre, Spionage, Anprangerung, Diskreditierung, Rufmord, Manipulation, Desinformation, Werbebelästigung, Identitätsdiebstahl, Betrug. Das Netz kann zur Droge werden. Es ist Ziel und Mittel der digitalen Kriegsführung – des Cyberwarfare – geworden.
2.1 NSA, GCHQ und die deutsche Reaktion
Die Augen geöffnet über eine Schattenseite des Netzes hat seit Juni 2013 Edward Snowden. Dieser hatte umfangreiche Dokumente der Geheimdienste der USA und Großbritanniens – der National Security Agency (NSA) und des Government Communications Headquarters (GCHQ) – kopiert und diese verantwortungsbewussten Journalisten zur Auswertung und Veröffentlichung zur Verfügung gestellt. Damit hat er Licht in das Schattenreich dieser und anderer Geheimdienste gebracht, in dem täglich millionenfach gravierende Verletzungen des Rechts auf informationelle Selbstbestimmung stattfanden und weiterhin stattfinden. Mit den transparent gemachten Praktiken verletzen diese Geheimdienste nicht nur nationales Recht, sondern auch das Grundrecht auf Datenschutz gemäß Artikel 8 der Europäischen Grundrechtecharta und – wie der Menschenrechtsausschuss der Vollversammlung der Vereinten Nationen (UNO) im November 2013 festgestellt hat – auf Privatheit, wie es in Artikel 12 der Allgemeinen Erklärung der Menschenrechte und in Artikel 17 des Internationalen Paktes für zivile und politische Rechte gewährleistet ist.
Das Erstaunen über die Praktiken von NSA und GCHQ hielt sich im ULD in Grenzen – waren doch die technische und personelle Ausstattung dieser Geheimdienste, die für diese geltenden gesetzlichen Regelungen und deren Missachtung der informationellen Menschenrechte seit Langem bekannt. Erschreckend waren dann jedoch das Ausmaß der Überwachung und die Kaltschnäuzigkeit, mit der die Menschenrechtsverstöße begangen, gerechtfertigt und für die Zukunft angekündigt wurden. Erschreckend war auch die politische Reaktion der deutschen Politik auf diese Völkerrechtsverletzungen. Die Empörung beschränkte sich auf Oppositionspolitik; die offizielle Regierungspolitik gegenüber den verantwortlichen Staaten und Institutionen vermittelt den Eindruck, die verletzten Regeln seien disponibel.
Deutschland und Europa waren und sind aufgefordert, ein klares aktives Zeichen zu setzen gegen die globale Ausforschung durch NSA und GCHQ. Eine Vielzahl von diplomatischen, rechtlichen, organisatorischen, infrastrukturellen und technischen Maßnahmen war und ist weiterhin geboten. Einige Schritte wurden getan, etwa die Initiierung der erwähnten UNO-Resolution durch die Bundesregierung. Die praktisch wie auch symbolisch vielleicht wichtigste Maßnahme zur Verteidigung des Grundrechtes auf Datenschutz wäre es aber gewesen und ist es weiterhin, Edward Snowden in Deutschland und in Europa Schutz vor der Verfolgung durch die USA zu gewähren. Diese vom ULD im Juli 2014 aufgestellte Forderung wurde im November 2014 vom Schleswig-Holsteinischen Landtag mehrheitlich bekräftigt:
„Der Landtag bittet die Bundesregierung, dem Whistleblower Edward Snowden entweder einen sicheren Aufenthalt auf Grundlage des § 22 Aufenthaltsgesetz (AufenthG) in der Bundesrepublik Deutschland zu ermöglichen, da dies der Wahrung politischer Interessen der Bundesrepublik Deutschland dient, oder sich auf der Ebene der Europäischen Union für einen sicheren Aufenthalt in einem Mitgliedsland seiner Wahl einzusetzen. Dabei sind vorab alle rechtlichen Möglichkeiten zu prüfen und gegebenenfalls wahrzunehmen, die eine Auslieferung an die Vereinigten Staaten von Amerika oder andere Staaten wegen der von ihm veröffentlichten Geheimdokumente sicher ausschließen.“
Die Forderung blieb bis heute unerfüllt. Es ist eine Schande, dass ein Aufklärer dort Schutz suchen muss, wo alles Mögliche zu Hause ist, nur nicht der Schutz der Menschenrechte. Die EU und Deutschland bekennen sich feierlich zu den Grundrechten und zu den Werten der Aufklärung und erklären sich zum „Raum des Rechts der Sicherheit und der Freiheit“. Zugleich verweigern sie einem Aufklärer, der sich zu diesen Prinzipien bekennt und sich für diese verdient gemacht hat wie kaum ein anderer, die Aufnahme in diesem Raum. Das ULD hat dargelegt, dass nicht nur eine moralische Pflicht, sondern im Interesse des Grundrechtsschutzes eine verfassungsrechtliche Pflicht der Bundesregierung besteht, durch die Aufnahme von Edward Snowden die Informationsgrundlage für den weiteren künftigen Grundrechtsschutz zu schaffen.
https://www.datenschutzzentrum.de/artikel/208-.html
Die Enthüllungen Snowdens hatten massive Auswirkungen auf die Tätigkeit des ULD. Die sich hierauf beziehenden Anfragen von Bürgerinnen und Bürgern, von Medien und aus der Verwaltung zeugen davon, dass viele aus den Erkenntnissen Konsequenzen zu ziehen bereit sind. Nachfragen bezogen sich insbesondere auf Möglichkeiten des Selbstschutzes, insbesondere auf Hilfen zur Verschlüsselung. Sehr erfreulich war aus ULD-Sicht die große Anzahl von Anfragen aus der heimischen Wirtschaft, bei der die Snowden-Erkenntnisse dazu führten, sich intensiver mit Datenschutz zu befassen.
Was ist zu tun?
Die deutsche Bundesregierung sollte Edward Snowden sichere Einreise und sicheren Aufenthalt in Deutschland gewähren.
2.2 Europäische Datenschutz-Grundverordnung
Wenngleich vor den Enthüllungen von Edward Snowden gestartet, ist die Europäische Datenschutz-Grundverordnung (EU-DSGVO) eine wichtige Teilantwort der Europäischen Union (EU) auf die mit seiner Hilfe veröffentlichten Fakten: Europa braucht ein einheitliches Datenschutzrecht mit einem hohen Standard, um ein gemeinschaftliches Gegengewicht gegen die insbesondere von den USA ausgehenden Datenschutzverstöße aufzubauen. Die EU-DSGVO ist der zentrale Teil einer geplanten umfassenderen europäischen Datenschutzreform, zu der auch der Entwurf einer Richtlinie „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr“, also für den Datenschutz im Bereich Inneres und Justiz, gehört. Die Kommission stellte ihre Vorstellungen im Januar 2012 vor. Im Dezember 2012 präsentierte der Berichterstatter des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments (EP) seine Vorschläge, zu denen über 3.000 Änderungsanträge eingebracht wurden. Im Oktober 2013 einigte sich der Ausschuss auf das Reformpaket, das im März 2014 durch das Plenum des EP beschlossen wurde. Den Stand der Verhandlungen des Europäischen Rats fasst ein über 230 Seiten starkes Dokument vom Dezember 2014 zusammen.
Mit dem Beschluss des EP werden einige zentrale Defizite des Kommissionsvorschlages behoben. So soll die Macht der Kommission zugunsten eines kooperativen Entscheidungsprozesses des Europäischen Datenschutzausschusses zurückgedrängt werden. Das Verfahren der gegenseitigen Abstimmung der Datenschutzaufsichtsbehörden – das sogenannte Kohärenzverfahren – wird praktikabler gestaltet. Für die Zertifizierung sind verbindlichere Regelungen vorgesehen. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder intervenierte immer wieder in der europaweit geführten Diskussion.
https://ssl.bremen.de/datenschutz/sixcms/detail.php?gsid=bremen236.c.9473.de
https://ssl.bremen.de/datenschutz/sixcms/
detail.php?gsid=bremen236.c.7665.de
Dies war insbesondere notwendig, weil die Bundesregierung sich im Rat als einer der Hauptbremser in den Diskussionen mit dem fragwürdigen Argument profilierte, der hohe deutsche Datenschutzstandard dürfe nicht verloren gehen. Zugleich betätigte sich das im Bund federführende Ministerium des Innern als Sprachrohr für einen „risikobasierten“ Regelungsansatz, mit dem das europaweit anerkannte Verbot mit Erlaubnisvorbehalt im Bereich der nicht öffentlichen personenbezogenen Datenverarbeitung aufgehoben werden soll. Dieses in den USA geltende Prinzip würde dazu führen, dass Unternehmen nur dann bei der Verarbeitung von Personendaten eingeschränkt wären, wenn dies durch spezifische Normen zur Verhinderung besonders benannter Risiken vorgesehen ist. Es sind Vertreter der US-Regierung sowie Lobbyisten der US-Unternehmen wie Google und Facebook, die hierfür trommeln. Dieser Ansatz steht im Widerspruch zur Rechtsprechung des Bundesverfassungsgerichtes und zur Europäischen Grundrechtecharta, die in Artikel 8 ein Grundrecht auf Datenschutz gewährleistet, das in einer globalen Informationsgesellschaft insbesondere auch von Privatfirmen gefährdet wird. Angesichts der technischen Möglichkeiten des Sammelns, Auswertens und Nutzens von Personendaten gilt die Feststellung des Bundesverfassungsgerichtes aus dem Jahr 1983 mehr denn je: Unter den Bedingungen der automatisierten Datenverarbeitung gibt es kein „belangloses“ Datum mehr.
Signale aus dem Bundesministerium des Innern berechtigen zur Hoffnung, dass Deutschland seine bisherige Blockadehaltung aufgibt. Es geht nun darum, möglichst noch im Jahr 2015 im Rahmen der trilateralen Gespräche eine Einigung zu finden, sodass spätestens im Jahr 2017 die EU-DSGVO in Kraft treten kann.
Da von der EU-DSGVO eine ganzheitliche Regelung angestrebt wird, die für den öffentlichen wie für den nicht öffentlichen Bereich gilt, wird die Verordnung erhebliche Auswirkungen auf das Datenschutzrecht der deutschen Bundesländer haben. Dies bedeutet jedoch nicht das Aus für das Landesdatenschutzgesetz Schleswig-Holstein und für bereichsspezifische Landesgesetze. Vielmehr ist davon auszugehen, dass dem Landesgesetzgeber im öffentlichen Bereich im Sinne der Subsidiarität ein Regelungsrahmen geöffnet bleibt, der mit den bisherigen Regelungen weitgehend gefüllt werden kann. Ja, mehr als dies: Die Landes- und der Bundesgesetzgeber haben jetzt noch die Chance, durch innovative Regelungsansätze die europäische Diskussion mit zu beeinflussen.
Was ist zu tun?
Alle Beteiligten sind aufgefordert, durch eine qualifizierte intensive Diskussion dafür zu sorgen, dass so schnell wie möglich ein einheitlicher hoher Datenschutzstandard in Europa über eine Datenschutz-Grundverordnung zur Anwendung gebracht wird.
2.3 IT-Sicherheitsgesetz
Das Bundesministerium des Innern (BMI) veröffentlichte im August 2014 den Entwurf eines IT‑Sicherheitsgesetzes. Dessen Anliegen – das Etablieren von Meldeverfahren bei Sicherheitsvorfällen, die informationstechnische Absicherung kritischer Infrastrukturen und die Etablierung und Umsetzung von einheitlichen hohen Standards im Bereich der Informationssicherheit – wird vom ULD nachdrücklich begrüßt.
Im Detail sieht das ULD jedoch starken Korrekturbedarf. Dieser basiert auf der nicht zutreffenden Annahme der Entwürfe, die Meldung und die Vorbeugung von IT-Sicherheitsangriffen ließe sich ohne die Verarbeitung personenbeziehbarer Daten realisieren. Dass dies nicht zutrifft, hat das ULD in der Studie zum „Monitoring durch Informationsfusion und Klassifikation zur Anomalieerkennung“ (Tz. 8.4.1) dargelegt. Das Bestreben nach IT‑Sicherheit und der Datenschutz in globalen Netzen bedürfen einer engen Verzahnung, die sich im IT‑Sicherheitsgesetz widerspiegeln muss. Es droht anderenfalls eine Vorratsdatenspeicherung von Telekommunikationsnutzungsdaten über die Hintertür der IT-Sicherheitsvorsorge.
IT-Sicherheit deckt den Schutz des Rechts auf informationelle Selbstbestimmung nicht ab. Es ist aber auch ein Irrtum, dass IT-Sicherheit und Datenschutz nichts oder wenig miteinander zu tun hätten. Auf dieser Annahme basieren die bisherigen Entwürfe. IT-Sicherheit kann zum Datenschutz in einem Spannungsverhältnis stehen. Dem muss durch Regelungen, die Transparenz und Datensparsamkeit in ein optimiertes Verhältnis zueinander bringen, Rechnung getragen werden. In dem im Dezember 2014 vom Bundeskabinett beschlossenen Entwurf wurde zwar eine bisher vorgesehene Regelung gestrichen, in der Telemedienanbieter verpflichtet werden, aus Sicherheitsgründen Nutzungsdaten zu speichern (BR-Drs. 643/14). Die darüber hinausgehenden, vom ULD benannten grundlegenden Defizite wurden aber noch nicht behoben. Wird zum Zweck der Erhöhung der IT-Sicherheit der Netzverkehr auf Risiken analysiert, kommt es zwangsläufig zur Speicherung von personenbeziehbaren Nutzungsdaten. Der im Gesetzgebungsverfahren befindliche Entwurf schafft hierfür und für die weitere Verarbeitung bisher aber keine hinreichend normenklaren und verhältnismäßigen Eingriffsgrundlagen.
Die ULD-Stellungnahme schlägt deshalb vor,
- für die zu IT-Sicherungsmaßnahmen notwendige personenbezogene Datenverarbeitung hinreichend bestimmte und verhältnismäßige Befugnisgrundlagen zu schaffen und
- die Bestrebungen des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) mit denen der Datenschutzaufsicht in Deutschland zu koordinieren.
https://www.datenschutzzentrum.de/artikel/877-.html
Was ist zu tun?
Im Gesetzgebungsverfahren muss der Entwurf für ein IT-Sicherheitsgesetz überarbeitet werden.
2.4 Für einen gesetzlichen Schutz von Whistleblowern
Seit Jahren wird in Deutschland – bisher erfolglos – über eine gesetzliche Verbesserung des Schutzes von Whistleblowern diskutiert. Die Bundesrepublik wurde im Juli 2011 vom Europäischen Gerichtshof für Menschenrechte (EGMR) im exemplarischen Fall „Heinisch“ wegen eines Verstoßes gegen die Freiheit der Meinungsäußerung verurteilt, nachdem eine Whistleblowerin erfolglos vor nationalen Gerichten gegen eine fristlose Kündigung vorgegangen war. Whistleblower sind Insider, in der Regel Arbeitnehmerinnen oder Arbeitnehmer, die aufgrund konkreter Anhaltspunkte im Zusammenhang mit der eigenen Tätigkeit zu der Überzeugung kommen, dass es in ihrem Umfeld zu Rechtsverstößen oder sonstigen gravierenden Missständen gekommen ist oder kommen wird, die intern mit ihren Hinweisen auf kein Gehör stoßen und sich daraufhin zur Verhinderung bzw. zum Abstellen des Missstands an Externe oder gar an die Öffentlichkeit wenden.
Ein solches Verhalten liegt im Interesse einer freiheitlichen, rechtsstaatlichen und demokratischen Gesellschaft. Der EGMR hat bekräftigt, dass dieses Verhalten schutzbedürftig ist. Bisher schützt unsere Rechtsordnung diejenigen, die unter dem Siegel von Verschwiegenheitspflichten gegen rechtliche oder gesellschaftliche Normen verstoßen. Letztlich werden Täter geschützt; diejenigen, die eine Tat aufklären, dürfen bestraft werden. Der Fall von Edward Snowden zeigt anschaulich, welche wichtige globale Funktion Whistleblowern zukommen kann. Zwar könnte die Bundesrepublik Snowden Schutz gewähren, ein rechtlicher Anspruch auf einen solchen Schutz lässt sich aber kaum begründen.
Selbstverständlich muss eine gesetzliche Regelung Sicherungen vorsehen, damit der Whistleblower-Schutz nicht missbraucht wird. Es bedarf für eine Verletzung von Geheimhaltungspflichten konkreter Anhaltspunkte; ein purer Verdacht kann nicht genügen. Zunächst muss intern Abhilfe angestrebt werden; nur wenn diese erfolglos ist oder wäre, kann und darf nach außen gegangen werden. Hierbei kann auch eine Abwägung zwischen dem – vermeintlichen – Missstand und den Folgen einer Veröffentlichung gefordert werden, wobei die Art und der Adressat der Preisgabe relevant sind. Da Whistleblower aber keine juristischen Experten sind, darf diese Anforderung nicht zu hoch sein. Der Schutz sollte sich insbesondere auf arbeitsrechtliche Folgen beziehen, ohne sich hierauf zu beschränken.
Auch ohne gesetzliche Regelung besteht die Möglichkeit, das Whistleblowing zu erleichtern, indem vertrauliche Wege zur Abgabe einer Beschwerde, die dann unabhängig und qualifiziert überprüft wird, eingerichtet werden. Im Hinblick auf Datenschutzverstöße besteht über die Datenschutzbeauftragten ein solcher Weg. Auch mit – zertifizierungsfähigen – elektronischen Meldeverfahren kann das Whistleblowing erleichtert und gefördert werden (Tz. 9.2.1).
Was ist zu tun?
Der Schutz von Whistleblowern sollte gesetzlich und durch die Einrichtung von vertraulichen Meldeverfahren verbessert werden.
2.5 Dopingbekämpfung – bitte datenschutzgerecht
Das Dilemma, in dem sich Sportlerinnen und Sportler, die an internationalen Wettbewerben teilnehmen wollen, befinden, hat sich nicht aufgelöst: Wenn sie nicht bereit sind, sich einer datenschutzwidrigen und teilweise entwürdigenden Prozedur bei den Dopingkontrollen und der dauernden Überwachung der Aufenthalte, der sogenannten Whereabouts, zu unterwerfen, wird ihnen gemäß dem weltweit vereinbarten Verfahren die Teilnahme an den Wettkämpfen verweigert (34. TB, Tz. 5.8). Von der Freiwilligkeit der eingeholten Einwilligungen kann keine Rede sein. Gespräche des ULD mit dem Landessportverband Schleswig-Holstein sowie auf Bundesebene – gemeinsam mit anderen Aufsichtsbehörden – mit der Nationalen Anti-Doping-Agentur (NADA) und dem Deutschen Olympischen Sportbund zeigten, dass den Sportfunktionären nicht wohl in ihrer Haut ist wegen der Eingriffe in die Privatsphäre der Sporttreibenden; doch Lösungen wurden – soweit erkennbar – nicht angegangen.
Im Spätsommer 2014 wurde ein erster Referentenentwurf des Gesetzes zur Bekämpfung von Doping im Sport bekannt, dessen erklärte Zielsetzung in der Bekämpfung des Einsatzes von Doping liegt, um die Gesundheit der Sportlerinnen und Sportler zu schützen, die Fairness und Chancengleichheit bei Sportwettbewerben zu sichern und damit die Integrität des Sports zu fördern. Hierzu sind in dem Entwurf Strafvorschriften vorgesehen sowie Regelungen, wie Anti-Doping-Ermittlungen unter Einbeziehung der NADA durchzuführen sind. Beim Verdacht gewerbs- oder bandenmäßigen Vorgehens der Doper und ihrer Helfeshelfer sollen gar Telekommunikationsüberwachungsmaßnahmen erlaubt werden.
Unter Federführung von Rheinland-Pfalz und Schleswig-Holstein verfassten die Datenschutzaufsichtsbehörden eine erste Stellungnahme gegenüber den zuständigen Bundesministerien des Innern und der Justiz, die den Regulierungsansatz begrüßt. Hinsichtlich der Normen zur Datenverarbeitung sind jedoch erhebliche Präzisierungen nötig. Für Jugendliche und bei Gesundheitsdaten sind besondere Schutzregeln aufzustellen. Es wird vorgeschlagen, unterhalb der verfassungsrechtlich per Gesetz regulierungsbedürftigen Wesentlichkeitsschwelle nach dem BDSG vorgesehene Verhaltensregeln festzulegen. Diese könnten dann international als Vorbild dienen.
Was ist zu tun?
Nach offizieller Vorlage des Entwurfes für ein Anti-Doping-Gesetz muss nach einer öffentlichen Diskussion gesetzlich festgeschrieben werden, wie Dopingbekämpfung und der Persönlichkeitsschutz optimal in Einklang zu bringen sind.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |