Deutsch – Französischer Ministerrat: Verabschiedung der Datenschutzreform bis 2015

In der offiziellen gemeinsamen Erklärung (PDF) zum Deutsch – Französischen Ministerrat vom 19. Februar 2014, verpflichteten sich die Regierungen der beiden Länder zu verschiedenen Maßnahmen und Initiativen, die sowohl auf nationaler als auch auf internationaler Ebene im Bereich der Regulierung Internets, der digitalen Wirtschaft und des Datenschutzes vorangetrieben werden sollen.

Digitale Wirtschaft
Die Regierungen beider Länder wollen in der Zukunft

Innovationen fördern, damit Erzeugnisse und Dienstleistungen entwickelt werden, die in Europa zur Wertschöpfung beitragen.

Zudem möchten beide Regierungen prüfen, welche Instrumente benötigt werden, um die Finanzierung und das Wachstum von Start-up-Unternehmen in Europa zu fördern.

Schutz personenbezogener Daten
Weiterhin halten es die Minister von Deutschland und Frankreich für unerlässlich, dass ein

Rahmen geschaffen wird, der den…Schutz der personenbezogenen Daten gewährleistet.

Hierzu haben die Regierungen die Absicht, auf europäischer Ebene zu einer Verständigung über den Rahmen für personenbezogene Daten beizutragen. Damit dürfte die derzeit verhandelte Datenschutz-Grundverordnung gemeint sein. Ziel der Regierungen ist es, dass

eine Verabschiedung dieser Rechtsvorschriften bis spätestens 2015 sichergestellt wird.

Zudem haben sich die Minister verpflichtet, den Schutz der europäischen Bürger in Bezug auf Datentransfers mit Drittstaaten zu verbessern. Hier erwähnt die Erklärung explizit auch die derzeit umstrittene Safe Harbor Entscheidung, welche vielen Unternehmen als Grundlage der Datenübertragung nach Amerika dient.

Technologie und Innovation
Zudem soll eine deutsch-französische Arbeitsgruppe die Möglichkeiten des Erlasses von Vorschriften im Bereich neuer Technologien prüfen. Auch sieht die Erklärung die Absicht vor, die Entwicklung von Schlüsseltechnologien im Bereich der Datenspeicherung und Datenverarbeitung (v. a. Cloud Computing und Big Data) mit Hilfe von Technologiepartnerschaften zu begleiten.

Des weiteren sollen gemeinsame Vorschläge für eine europäische Regulierung der wichtigsten Internet-Plattformen vorgelegt werden,

durch die Internetdiensten und Internetnutzern offener Zugang gewährt und Interoperabilität, Transparenz und Nichtdiskriminierung sichergestellt werden sollen.

Hierbei soll es darum gehen, zum einen sowohl die Innovationsfähigkeit von europäischen Unternehmen in vollem Umfang zu erhalten, indem übermäßige Restriktionen abgeschafft bzw. nicht erzeugt werden, die ihnen im Markt vor allem von den großen Internet-Unternehmen auferlegt werden. Bereits im Frühjahr sollen hierzu konkrete Vorschläge vorliegen.

Merkel: „Wir müssen mehr machen im europäischen Datenschutz“

Kurz vor dem am 19. Februar 2014 in Paris stattfindenden deutsch-französischen Ministerrat, hat Bundeskanzlerin Merkel ein Interview für den YouTube-Kanal der Bundesregierung gegeben (Video), in dem sie unter anderem auf das Thema Datenschutz eingeht.

Im Hinblick auf eine enge internationale Zusammenarbeit im Bereich des Datenschutzrechts sieht Merkel in der Tat Nachholbedarf.

Wir müssen mehr machen im europäischen Datenschutz, das ist gar keine Frage.

Zudem weißt die Bundeskanzlerin auf die derzeit in Brüssel verhandelte Datenschutz-Grundverordnung hin, die einen einheitlichen rechtlichen Standard in Europa schaffen würde. Jedoch stellen sich die Verhandlungen zu diesem Gesetzesvorhaben aus ihrer Sicht nicht so einfach dar, da „manche Länder einen geringen Datenschutz haben als Deutschland. Und wir wollen nicht, dass unser Datenschutz aufgeweicht wird“.

Im Hinblick auf die derzeitige Praxis einiger Unternehmen, ihre europäischen Zentralen in Länder zu verlagern, in denen das Datenschutzrecht „am geringsten ist“, macht die Bundeskanzlerin klar: „das können wir in Europa auf Dauer auch nicht gut heißen“. Mit Frankreich werde man darüber sprechen, wie man in Europa ein hohes Maß an Datenschutz aufrecht erhalten kann.

Zudem wolle man in Paris darüber sprechen, welche europäischen Anbieter existieren,

die Sicherheit für die Bürgerinnen und Bürger bieten, dass man nicht erst mit seinen E-Mails und anderem über den Atlantik muss, sondern auch innerhalb Europas Kommunikationsnetzwerke aufbauen kann.

Hiermit spricht die Bundeskanzlerin das Thema des „Schengenroutings“ an, dass also Datenpakete, deren Absender und Empfänger in Europa sitzen, auch innerhalb europäischer Netze verbleiben sollen. Diese Idee rührt vor allem aus den Enthüllungen um die Abhöraktivitäten der NSA, die auch direkt transatlantische Datenkabel angezapft haben soll.

Man darf gespannt sein, ob der anstehende Ministerrat für neuen Schwung bei den Themen Datenschutz-Grundverordnung und einer in letzter Zeit häufig geforderten digitalen europäischen „Unabhängigkeit“ von Amerika sorgen wird.

Bundesregierung: Im BfV und BND werden keine Personen gezielt wegen ihrer beruflichen Tätigkeit erfasst

Die Bundesregierung hat eine kleine Anfrage der Fraktion DIE LINKE im Bundestag zur Überwachungstätigkeit des BND, des BfV und des MAD beantwortet (BT-Drs. 18/443). DIE LINKE stellte die Anfrage „Mögliche Bespitzelung von Journalisten und Journalistinnen durch den Verfassungsschutz auch außerhalb Niedersachsen“ und wollte konkreter wissen, inwiefern auf Bundesebene die Nachrichtendienste ihre Überwachung eventuell anhand bestimmter Berufsgruppen ausrichten.

Die Bundesregierung antwortet hierauf, dass im Bundesamt für Verfassungsschutz (BfV) und im Bundesnachrichtendienst (BND) keine Personen gezielt wegen ihrer beruflichen Tätigkeit als Journalist, Arzt oder Rechtsanwalt erfasst werden. Sie werden vielmehr im BfV und BND erfasst, wenn sie in Erfüllung des jeweiligen gesetzlichen Auftrags beobachtungswürdig sind.

Erforderlich ist beim BfV immer die Voraussetzung des Merkmals der „Beobachtungswürdigkeit“ der Person bzw. beim BND ein Bezug zu dessen besonderer Aufgabenstellung.

Das BfV speichert im Nachrichtendienstlichen Informationssystem (NADIS) Personen, wenn sie aufgrund extremistischer, terroristischer oder nachrichtendienstlicher Bezüge beobachtungswürdig sind. Anlass einer Speicherung in den Fachinformationssystemen des BND ist immer ein Bezug der gespeicherten Person zur Aufgabenstellung des BND gemäß § 1 Absatz 2 des Gesetzes über den Bundesnachrichtendienst (BNDG). Im Rahmen einer solchen Speicherung können dann auch Informationen zur beruflichen Tätigkeit der als nachrichtendienstlich relevant eingestuften Person miterfasst werden.

Hinsichtlich einmal gespeicherter Daten sind die Dienste dazu verpflichtet diese zu löschen, wenn sich herausstellt, dass die Speicherung unzulässig war oder die Daten für die Aufgabenerfüllung nicht mehr erforderlich sind. Zudem bestehen gewisse Prüfpflichten hinsichtlich gespeicherter Daten, nach deren Ablauf zu beurteilen ist, ob die Daten noch erforderlich sind oder gelöscht werden können. BfV und BND sind

verpflichtet, bei der Einzelfallbearbeitung und nach festgesetzten Fristen zu prüfen, ob gespeicherte personenbezogene Daten zu berichtigten oder zu löschen sind. Die Frist für das BfV beträgt fünf Jahre, für den BND längstensfalls zehn Jahre.

Gutachten für britisches Parlament: Tätigkeit des Geheimdienstes teilweise illegal

In einem Gutachten für den Vorsitzenden der Parlamentariergruppe des britischen Parlaments zu Drohnen (All Party Parliamentary Group on Drones) untersuchen zwei englische Rechtsanwälte die Rechtmäßigkeit des Abfangens, Verwendens und der Übertragung von Geheimdienstdaten durch die britische Regierung. Den Bericht gibt es hier (PDF).

Untersuchte Szenarien
Die Autoren untersuchen in dem Bericht die Tätigkeit des britischen Geheimdienstes, insbesondere des Nachrichtendienstes GCHQ, im Zusammenhang mit fünf Szenarien:

  1. Der GCHQ greift massenhaft Daten ab, die zwischen zwei in England ansässigen Personen verschickt, jedoch durch Kabel übertragen werden, die zwischen England und Amerika verlaufen. Die Daten stammen aus der Nutzung des Internets, des Telefons und von E-Mails.
  2. Der GCHQ hat diese Daten gespeichert und zu einer sog. Lebensmuster-Analyse freigegeben, wobei dies sowohl für bekannte Terroristen/Straftäter als auch unverdächtige Personen erfolgte.
  3. Der GCHQ hat der amerikanischen NSA Zugang zu diesen Daten gegeben und ihre Speicherung gestattet.
  4. Die NSA teilt diese Daten mit der CIA, wodurch sie zur Festlegung von Zielen bei Drohnenangriffen genutzt werden können.
  5. Amerikanische Militärstreitkräfte operieren von einem britischen Militärstützpunkt, unter dem NATO Truppenstatut. Dieser Stützpunkt wird als Kommunikationsknotenpunkt zur Datenübermittlung, sowohl aus, als auch in die USA benutzt. Ein Teil der Daten, welche in die USA übertragen werden, wurden unter Verstoß gegen internationales Recht erlangt. Einige Daten, welche aus den USA über den britischen Stützpunkt übermittelt werden, enthalten Informationen und Anweisungen, um Drohnenangriffe zu unterstützen.

Im Prinzip stellen diese Szenarien eine aufeinander aufbauende Kette dar. Die Autoren machen deutlich, dass sobald ein Glied der Kette wegen Verstoßes gegen geltendes Recht wegfällt, alle weiteren Schritte ebenfalls unrechtmäßig sind.
Ich möchte den 33-Seiten starken Bericht hier nicht in aller Einzelheit besprechen. Allein die wesentlichen Ergebnisse seien genannt.

Ergebnisse

  • Nach dem geltenden englischen Recht, insbesondere dem für elektronische Spionagetätigkeiten relevanten „Regulation of Investigatory Powers Act 2000“ (RIPA), ist der GCHQ nicht befugt massenhaft inländische Inhaltsdaten abzufangen. Also den Inhalt von E-Mails oder Telefonaten zwischen zwei Personen die sich innerhalb des Vereinigten Königreichs aufhalten. Der GCHQ ist jedoch berechtigt massenhaft ausländische Inhaltsdaten abzufangen, also den Inhalt der Kommunikation zwischen dem Vereinigten Königreich und einem anderen Land. Der GCHQ ist auch berechtigt massenhaft Kommunikationsdaten (auch als Metadaten bekannt) abzufangen. Das massenhafte Abfangen dieser Daten, auch wenn es nach dem RIPA rechtmäßig erfolgen mag, stellt einen unverhältnismäßigen Eingriff in das nach Art. 8 der Europäischen Menschenrechtskonvention (EMRK) geschützte Recht auf Achtung des Privatlebens britischer Bürger dar.
  • Unter dem derzeit geltenden gesetzlichen Rahmen ist der GCHQ berechtigt die massenhaft gesammelten Daten einer Lebensmuster-Analyse. Die Autoren erachten den derzeitigen gesetzlichen Rahmen in Bezug auf die Speicherung, Verwendung und Löschung von Kommunikationsdaten für unverhältnismäßig, so dass er sich wahrscheinlich als rechtswidrig erweist. Die gesetzlichen Vorgaben des RIPA in Bezug auf ausländische Inhaltsdaten sind nach ihrer Ansicht wahrscheinlich ebenfalls rechtswidrig.
  • Nach dem RIPA ist der GCHQ berechtigt, massenhaft gesammelte Daten an die NSA zu übermitteln, wenn der jeweilige Minister davon überzeugt ist, dass die Mechanismen zur Speicherung und Löschung dieser Daten in dem Empfangsstaat angemessen sind. Diese Übertragung abgefangener Daten stellt einen erneuten Eingriff in das Grundecht der Betroffenen aus Art. 8 EMRK dar. Nach Ansicht der Autoren bieten die derzeitigen gesetzlichen Vorgaben keinen ausreichenden Schutz für die jeweils Betroffenen. Die britische Regierung könnte diese Situation zumindest dadurch verbessern, dass sie eine Absichtserklärung oder andere bilaterale Vereinbarungen in Bezug auf Datenübermittlungen abschließt und veröffentlicht. Dort müsste festgelegt werden, wie Daten zu speichern sind, wann sie gelöscht werden müssen und zu welchen Zwecken diese Daten nach britischem recht verwendet werden dürfen.
  • Wenn die britische Regierung davon Kenntnis hat, dass sie Daten übermittelt, welche für Drohnenangriffe gegen Nichtkombattanten eingesetzt werden könnten, dann ist diese Datenübermittlung wahrscheinlich rechtswidrig. Eine einzelne Person, die an einer solchen Übermittlung beteiligt ist, macht sich wahrscheinlich der Beihilfe zum Mord strafbar. Eine Vielzahl verschiedener Gründe spricht dafür, dass die Regierung dazu verpflichtet ist, angemessene Maßnahmen zu ergreifen, diese Möglichkeit zu untersuchen. Jedoch scheint es derzeit so, dass die gesetzlichen Vorgaben die britische Regierung nicht dazu verpflichten, es zu verhindern oder zu prüfen, ob ihre Agenten auf diese Weise zu Gehilfen von Straftaten werden. Wenn dem so sei, dann sehen die Autoren dieses Ergebnis als Gegensatz zu den Grundsätzen der öffentlichen Ordnung und guter Regierungsführung.
  • Die britische Regierung ist befugt gegen amerikanische Soldaten Strafen zu verhängen, die von NATO-Stützpunkten auf britischem Gebiet aus operieren. Wenn Daten, die unter Verstoß gegen britische Gesetze erlangt oder genutzt wurden, über eine britische NATO Basis übermittelt werden, dann kann die britische Regierung jeden amerikanischen Militärangehörigen strafrechtlich verfolgen, der an dieser Übermittlung beteiligt ist. Für die Autoren hat es den Anschein, dass die britische Regierung selbst nicht immer genau Kenntnis davon hat, was auf Militärstützpunkten geschieht, dir von NATO Truppen kontrolliert werden. Daher stellt sich diese strafrechtliche Verfolgungsmöglichkeit in der Praxis möglicherweise nur als theoretisch dar.

EU Kommission fordert Anpassung von Safe Harbor

Die Europäische Kommission hat heute ihre im Juli angekündigte Einschätzung zur Zukunft der Safe Harbor Entscheidung, auf deren Grundlage ein Großteil der Datenströme privater Unternehmen zwischen Europa und den USA beruhen, vorgestellt. Dies ist Teil eines ganzen Maßnahmenpakets: ein generelles Dokument, „Rebuilding trust in EU-US data flows“ welches sich nicht allein auf Safe Harbor bezieht, sondern auf den transatlantischen Datenaustausch und dessen Zukunft insgesamt. Sowie eine eingehendere Untersuchung von Safe Harbor, „Communication on the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU“ (beide Dokumente stehen derzeit jedoch noch nicht in der endgültigen Version bereit).
Nachfolgend soll das Augenmerk jedoch vor allem auf den Implikationen für die Safe Harbor Entscheidung liegen.
Continue reading

Datenschutz-Grundverordnung: LIBE-Ausschuss verständigt sich auf Änderungen

Am Montag, den 21. Oktober 2013, wird der federführende Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) des Europäischen Parlaments zum Entwurf des Berichts von Jan Philipp Albrecht und über die Änderungsanträge zur vorgeschlagenen Datenschutz-Grundverordnung (KOM (2012)11, DS-GVO) der Europäischen Kommission abstimmen. Kommt es hier zu einer Einigung, würde dies die Tür für informelle, interinstitutionelle Verhandlungen zwischen der Europäischen Kommission, dem Europäischen Parlament und dem Rat der Europäischen Union (sog. Trilog) öffnen. Ziel dieser Verhandlungen ist es, eine Einigung zwischen den drei Parteien zu erzielen, um so den Gesetzgebungsprozess zu beschleunigen.

Aufgrund der enormen Anzahl an Änderungsanträgen zum Verordnungsvorschlag der Kommission sah es, nach mehrmaligen Verlegungen bereits geplanter Abstimmungen, nicht unbedingt danach aus, dass der LIBE Ausschuss alsbald zu einer Einigung kommen würde. Nach ersten Medienberichten (EUobserver; Guardian) wurde nun jedoch ein Vorschlag erarbeitet, den alle vertretenen Parteien im Ausschuss unterstützen.
Continue reading

Digitale Wirtschaft: Britischer Ausschuss tadelt Google und unterstützt Online-Werbung

Die Mitglieder des Ausschusses für Kultur, Medien und Sport des Britischen Unterhauses haben in einem Bericht (Supporting the creative economy) vom 26.09.2013 unter anderem ihre Ansichten zur Entwicklung der digitalen Wirtschaft in Großbritannien dargelegt.

Dabei geht es auch um Probleme und Herausforderungen auf dem Gebiet des Urheberrechts und des Datenschutzrechts, sowie um Implikationen für britische Unternehmen der kreativen und digitalen Wirtschaft.
Continue reading

Prism: Europäische Datenschützer fordern Aufklärung und kündigen Untersuchungen an

In einem Brief des Vorsitzenden der Art. 29 Datenschutzgruppe, Jacob Kohnstamm, an die Vizepräsidenten der EU-Kommission, Viviane Reding, vom 13. August 2013, fordern die europäischen Datenschutzbehörden weitere Aufklärung in Sachen Prism und XKeyscore und kündigen zudem an, dass sich die Datenschutzgruppe umfassender mit dem Thema befassen wird.

Auch wenn die Datenschützer einerseits ihr Verständnis dafür zum Ausdruck bringen, dass in Bezug auf die nationale Sicherheit verschiedene Staaten unterschiedliche weite Vorstellungen und Herangehensweisen besitzen, wie sie Informationen sammeln und nutzen, so drücken die Datenschützer dennoch ihre tiefe Besorgnis über die bekannt gewordenen Informationen zu den Überwachungstätigkeiten der USA durch Programme wie Prism und XKeyscore aus.
Continue reading

Bundesregierung erkannte bereits 2010 Probleme bei Safe Harbor

Wie aus der Antwort der Bundesregierung auf eine kleine Anfrage der SPD Fraktion im Bundestag aus dem Jahre 2010 hervorgeht, erkannte die Bundesregierung bereits damals die Gefahr und eventuell sich ergebende völkerrechtliche Probleme beim Zugriff von amerikanischen Behörden auf in den USA gespeicherte Daten europäischer Bürger.

Die Anfrage der SPD bezog sich konkret auf die auch derzeit in der Kritik stehende Safe Harbor Entscheidung (2000/520/EG) der Europäischen Kommission (dazu mein Blogbeitrag). Unter Antwort Nr. 25 führt die Bundesregierung aus:

Es ist schon heute absehbar, dass eine Einbeziehung von Daten europäischen Ursprungs, die unter „Safe Harbor“ in die Vereinigten Staaten von Amerika übermittelt wurden und dort dem Zugriff von US-Behörden ausgesetzt sind, völkerrechtliche Fragen der territorialen Souveränität aufwerfen würde, welche einer erfolgreichen Einigung im Wege stehen könnten.

Bei dieser „Einigung“ ging es um Verhandlungen der Europäischen Union und den USA um ein internationales Datenschutzabkommen zum Austausch von Daten im Rahmen der polizeilichen und justiziellen Zusammenarbeit. Die Verhandlungen hierzu sind im Übrigen immer noch nicht abgeschlossen. Streitgegenstand: Rechtsschutz für Europäer in den USA (hierzu mein Beitrag).
Continue reading

Weltweiter Datenschutz

Deutsche Initiative für Regelung durch Vereinte Nationen

Im Zuge der Enthüllungen um mutmaßliche digitale Überwachungsaktivitäten ausländischer Geheimdienste haben Außenminister Guido Westerwelle und Bundesjustizministerin Sabine Leutheusser-Schnarrenberger (beide FDP) eine Initiative ergriffen: Ein Zusatzprotokoll auf Ebene der Vereinten Nationen zu Artikel 17 des internationalen Paktes über bürgerliche und politische Rechte (ICCPR) soll den Schutz der Privatsphäre im digitalen Zeitalter international sichern. Dieser im Jahre 1976 in Kraft getretene völkerrechtliche Vertrag garantiert jedermann das Recht, keinen „willkürlichen oder rechtswidrigen Eingriffen in sein Privatleben“ ausgesetzt zu werden. Die deutschen Ressortchefs wollen die-sen Artikel nun ergänzen und wollen zunächst die europäischen Staaten für ihren Vorschlag gewinnen.

Da der Datenschutz von vornherein viele internationale Bezüge hat, fragt sich, warum nicht längst verbindliche Regelungen zu dem Umgang mit und dem Schutz von personenbezogenen Daten im Weltmaßstab existieren. Zwingende gesetzliche Vorgaben bestehen auf supranationaler Ebene vor allem innerhalb Europas. Seit der Verabschiedung der Datenschutzrichtlinie im Jahre 1995 ist der europäische Datenverkehr – zumindest auf dem Papier – vollharmonisiert geregelt. Tatsächlich bestehen jedoch teilweise gravierende Unterschiede in den nationalen Umsetzungen. Nicht zuletzt aus diesem Grund wird derzeit in Brüssel an einer Reform des Datenschutzrechts durch eine Datenschutzgrundverordnung gearbeitet. Rechtlich bindend ist auch ein Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten aus dem Jahre 1981.
Continue reading