Author Archives: Carlo Piltz

BVerfG: Informationelle Selbstbestimmung muss tatsächlich möglich sein

Posted on by

Das Bundesverfassungsgericht (BVerfG) hatte sich im Rahmen einer Verfassungsbeschwerde (Beschl. v. 17. Juli 2013, 1 BvR 3167/08) gegen zwei Urteile mit der Frage des Datenschutzes im Rahmen von privaten Versicherungsverträgen zu befassen. Vor allem ging es um die Reichweite eines (wie es das Gericht bezeichnet) „informationellen Selbstschutzes“.

Um was ging es?
Die Beschwerdeführerin schloss mit einem Lebensversicherungsunternehmen einen Vertrag über eine Berufsunfähigkeitsversicherung ab. Sie forderte (aufgrund des Eintritts der Berufsunfähigkeit) nun entsprechende monatliche Rente. In dem Versicherungsvertrag waren (für den Fall der Leistung) bestimmt Mitwirkungspflichten der Versicherten geregelt, u. a. die Einreichung ausführlicher Berichte von Ärzten, die die Versicherte behandeln oder behandelt haben. Zudem musste die Versicherte Ärzte, Krankenhäuser, sonstige Krankenanstalten, andere Personenversicherer und auch Behörden dazu ermächtigen, auf Verlangen des Versicherungsunternehmens Auskunft über Gesundheitsverhältnisse und Behandlungsdaten zu erteilen.

Nachdem die Versicherte im Vertragsformular die vorgedruckte Schweigepflichtentbindungserklärung für diesen weiten Kreis von Auskunftsstellen durchstrich, verhandelte sie mit dem Versicherungsunternehmen über andere Lösungen und sie erklärte sich zur Abgabe von Einzelermächtigungen für die Einholung von Auskünften bei Dritten bereit. Doch auch diese Einzelermächtigungen waren der Versicherten inhaltlich zu umfassend und wenig konkret formuliert. Sie verlangte daher von dem Versicherer eine Konkretisierung dieser gewünschten Auskünfte von Dritten. Dies lehnte das Versicherungsunternehmen jedoch ab.
Continue reading

Habt Ihr uns vergessen? Die Regierungskommission „Sicherheitsgesetzgebung“

Posted on by

Nach den Enthüllungen der letzten Wochen um Spionage- und Überwachungstätigkeiten ausländischer Geheimdienste und der Zusammenarbeit zwischen dem deutschen BND und der amerikanischen NSA stellt sich immer mehr die Frage: Was lernen wir daraus? bzw. Welche Konsequenzen müssen gezogen werden?

Die Praxis muss auf den Prüfstand…
Rechtsanwalt Stadler und auch Prof. Härting weisen in Blogbeiträgen darauf hin, dass die derzeitige Praxis des BND in Bezug auf seine Fernmeldeaufklärung und massenhafte Weitergabe von ausländischen Kommunikationsdaten (Metadaten) an die NSA (zumindest nach den derzeit in den Medien zu findenden Informationen) nur schwer mit den gesetzlichen Grundlagen (G-10-Gesetz und BND Gesetz) vereinbar scheint.

Die Forderung muss also lauten: stellt die derzeitige Praxis der Sicherheitsbehörden auf den Prüfstand! Parlamentarischer Untersuchungsausschuss, Expertenanhörungen, Gesetzesänderungen, bessere Kontrollen … dies könnte folgen.
Continue reading

Offen wie ein Scheunentor? Google Chrome speichert Passwörter im Klartext

Posted on by

Nach einem Bericht des Guardian speichert Googles Browser Chrome Passwörter für verschiedene Dienste, welche über den Browser genutzt werden, im Klartext ab. Die Folge: jede Person die Zugriff auf den Computer und die Einstellungen im Chrome Browser besitzt, kann diese Passwörter einsehen, kopieren, versenden etc.

Um die im Browser gespeicherten Passwörter, etwa für E-Mail Dienste oder soziale Netzwerke, einzusehen, muss man nur in die Einstellungen des Browsers gehen. Dort werden gespeicherte Passwörter zwar zunächst unkenntlich dargestellt. Jedoch erlaubt es ein Knopf neben dem Passwort, den Klartext anzuzeigen (hier ein Beispiel).
Continue reading

Bundesregierung erkannte bereits 2010 Probleme bei Safe Harbor

Posted on by

Wie aus der Antwort der Bundesregierung auf eine kleine Anfrage der SPD Fraktion im Bundestag aus dem Jahre 2010 hervorgeht, erkannte die Bundesregierung bereits damals die Gefahr und eventuell sich ergebende völkerrechtliche Probleme beim Zugriff von amerikanischen Behörden auf in den USA gespeicherte Daten europäischer Bürger.

Die Anfrage der SPD bezog sich konkret auf die auch derzeit in der Kritik stehende Safe Harbor Entscheidung (2000/520/EG) der Europäischen Kommission (dazu mein Blogbeitrag). Unter Antwort Nr. 25 führt die Bundesregierung aus:

Es ist schon heute absehbar, dass eine Einbeziehung von Daten europäischen Ursprungs, die unter „Safe Harbor“ in die Vereinigten Staaten von Amerika übermittelt wurden und dort dem Zugriff von US-Behörden ausgesetzt sind, völkerrechtliche Fragen der territorialen Souveränität aufwerfen würde, welche einer erfolgreichen Einigung im Wege stehen könnten.

Bei dieser „Einigung“ ging es um Verhandlungen der Europäischen Union und den USA um ein internationales Datenschutzabkommen zum Austausch von Daten im Rahmen der polizeilichen und justiziellen Zusammenarbeit. Die Verhandlungen hierzu sind im Übrigen immer noch nicht abgeschlossen. Streitgegenstand: Rechtsschutz für Europäer in den USA (hierzu mein Beitrag).
Continue reading

Weltweiter Datenschutz

Posted on by

Deutsche Initiative für Regelung durch Vereinte Nationen

Im Zuge der Enthüllungen um mutmaßliche digitale Überwachungsaktivitäten ausländischer Geheimdienste haben Außenminister Guido Westerwelle und Bundesjustizministerin Sabine Leutheusser-Schnarrenberger (beide FDP) eine Initiative ergriffen: Ein Zusatzprotokoll auf Ebene der Vereinten Nationen zu Artikel 17 des internationalen Paktes über bürgerliche und politische Rechte (ICCPR) soll den Schutz der Privatsphäre im digitalen Zeitalter international sichern. Dieser im Jahre 1976 in Kraft getretene völkerrechtliche Vertrag garantiert jedermann das Recht, keinen „willkürlichen oder rechtswidrigen Eingriffen in sein Privatleben“ ausgesetzt zu werden. Die deutschen Ressortchefs wollen die-sen Artikel nun ergänzen und wollen zunächst die europäischen Staaten für ihren Vorschlag gewinnen.

Da der Datenschutz von vornherein viele internationale Bezüge hat, fragt sich, warum nicht längst verbindliche Regelungen zu dem Umgang mit und dem Schutz von personenbezogenen Daten im Weltmaßstab existieren. Zwingende gesetzliche Vorgaben bestehen auf supranationaler Ebene vor allem innerhalb Europas. Seit der Verabschiedung der Datenschutzrichtlinie im Jahre 1995 ist der europäische Datenverkehr – zumindest auf dem Papier – vollharmonisiert geregelt. Tatsächlich bestehen jedoch teilweise gravierende Unterschiede in den nationalen Umsetzungen. Nicht zuletzt aus diesem Grund wird derzeit in Brüssel an einer Reform des Datenschutzrechts durch eine Datenschutzgrundverordnung gearbeitet. Rechtlich bindend ist auch ein Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten aus dem Jahre 1981.
Continue reading

Abkommen, Vertrag, Beschluss – Was ist Safe-Harbor? (Update)

Posted on by

Nach der Ankündigung der deutschen Datenschutzbehörden, neue Genehmigungen für Datenübermittlungen in die USA nicht mehr erteilen zu wollen, da mit hoher Wahrscheinlichkeit gegen die Grundsätze von Safe-Harbor verstoßen wird, mehren sich in der Öffentlichkeit die Stimmen, die eine „Kündigung“ von Safe-Harbor fordern oder die „Safe-Harbor-Klausel“ auf Eis legen wollen. Inwiefern die nationalen Datenschutzbehörden hier tatsächlich tätig werden können, hat Adrian Schneider bei Telemedicus näher untersucht.

Nachfolgend soll es vor allem um den Versuch gehen eine Antwort auf die Frage zu finden, was Safe-Harbor rechtlich darstellt und wie und wenn ja wer sich davon lösen kann.

Entstehung
Die Verhandlungen zwischen der Europäischen Kommission und der amerikanischen Regierung, vertreten durch das Handelsministerium, begannen 1998. Die Praxis bestand darin, dass in Form eines Briefwechsels Vorschläge, für die Grundsätze einer Datenübermittlung mit angemessenem Schutznievau aus Europa in die USA, gegenseitig ausgetauscht und kommentiert wurden (viele Dokumente und Briefe finden sich auf der Seite des amerikanischen Handelsministeriums). Auf europäischer Seite wurde zudem die Art. 29 Datenschutzgruppe über die Verhandlungen informiert und diese gab mehrere Stellungnahmen im Laufe des Prozesses ab (WP 15, WP 19, WP 21, WP 23, WP 27, WP 31, WP 32, alle abrufbar über die Internetseite der Datenschutzgruppe).
Continue reading

Rechtswahlfreiheit im Datenschutzrecht?

Posted on by

In einem Beitrag auf dem cr-online Blog zu dem Thema der „Rechtswahlfreiheit in Datenschutzbestimmungen“ kommt Prof. Härting zu dem Ergebnis: „Weder aus Art. 6 noch aus Art. 9 ROM-I-VO lässt sich ableiten, dass für das Datenschutzrecht keine Rechtswahlwahlfreiheit gilt.

Prof. Härting geht davon aus, dass die Parteien eines Vertrages grundsätzlich frei darin sind, ein beliebiges Datenschutzrecht zu wählen.

Ich sehe dies jedoch anders (z.B. in der K&R 2012, 640) und möchte hier einige Gründe anführen, warum meines Erachtens eine freie Wahl des anwendbaren Datenschutzrechts in Europa gerade nicht möglich ist (dennoch lässt sich, aufgrund divergierender Urteile von deutschen Gerichten, dem Thema eine Diskussionsbedürftigkeit nicht absprechen).
Continue reading

Irische Datenschutzbehörde: PRISM von Safe-Harbor gedeckt

Posted on by

Die österreichische Initiative europe-v-facebook (evf) berichtet in einer Pressemitteilung, dass die irische Datenschutzbehörde keinen Handlungsbedarf hinsichtlich einer möglichen Unzulässigkeit des massenhaften Abgreifens und der Weitergabe von personenbezogenen Daten europäischer Bürger durch amerikanische Unternehmen an ausländische Behörden und Geheimdienste sieht.

Safe-Harbor eingehalten
Evf veröffentlicht ein Antwortschreiben der irischen Datenschutzbehörde, in welchem die Behörde ausführt, dass nach ihrer Meinung die Europäische Kommission bei ihrer Entscheidung über das Safe-Harbor-Abkommen im Jahre 2000 die Weitergabe von personenbezogenen Daten europäischer Bürger durch in Amerika ansässige Datenverarbeiter bereits vorhergesehen habe. Solange sich ein amerikanisches Unternehmen an dem Safe-Harbor-Programm beteilige, geht die Behörde davon aus, dass dieses Unternehmen auch seine Pflichten in Bezug auf eine Datenübertragung von Europa in die USA ausreichend erfüllt habe.
Continue reading

Deutsche Datenschützer: keine neuen Genehmigungen für Datenübermittlungen

Posted on by

Kommt der Datenfluss zwischen deutschen und amerikanischen Unternehmen bald zum erliegen? Wohl nicht. Dennoch könnten sich für international tätige, in Deutschland ansässige Unternehmen in den nächsten Monaten erhebliche Probleme bei der Übermittlung von personenbezogenen Daten in die USA ergeben. Denn: In einer Presseerklärung stellt die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (der sog. Düsseldorfer Kreis) fest, dass

„die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind“.
Continue reading

Ein Grundrecht auf Verschlüsselung

Posted on by

Im Zuge der Enthüllungen der letzten Wochen um die großflächigen Überwachungstätigkeiten ausländischer Geheimdienste im Internet und die möglicherweise unterstützende Beteiligung deutscher Behörden, erfreuen sich sog. Cryptopartys immer größerer Beliebtheit. Dort geben fachkundig und technisch versierte Nutzer ihr Wissen zu Möglichkeiten der Verschlüsselung der eigenen digitalen Kommunikation an den „normalen“ Internetnutzer weiter (der FDP Bundestagsabgeordnete Jimmy Schulz denkt aufgrund des Intereses unter Kollegen sogar über eine Veranstaltung im Bundestag nach).

Digitale Selbstverteidigung?

Der Einsatz von entsprechender Software oder Diensten, welche zumindest einen höheren Schutz vor einer ungewollten, identifizierenden Überwachung durch den Staat bieten, wird derzeit vor allem mit den Schlagwörtern der digitalen Gegenwehr oder Selbstverteidigung umschrieben. Durch die Aussage von Innenminister Dr. Friedrich, die Bürger sollten selbst etwas tun und eben ihre Daten verschlüsseln, könnte man jedoch den Eindruck gewinnen, dass der deutsche Internetnutzer hier auf sich gestellt ist und keine Hilfe vom Staat erwarten könne oder dürfe. Doch dem ist nicht so!
Continue reading