Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 28 2014

Datenschutz: Offener Brief an den EU-Ministerrat von europäischen NGOs

Heute ist der europäische Datenschutztag, aber eines der zentralsten Projekte auf diesem Gebiet, die EU-Datenschutzgrundverordnung, wird aktiv durch den EU-Ministerrat blockiert. Auf diesem Grunde haben 18 europäische Bürgerrechtsorganisationen, darunter die Digitale Gesellschaft einen offenen Brief (pdf) an den EU-Ministerrat verfasst, in dem sie den verschleppten Prozess kritisieren:

[...] we, the undersigned non-profit organisations committed to defending the individuals’ rights in the online environment, take this opportunity to share with you our deep concerns about the lack of progress concerning data protection in Europe. In our age of fast technological changes, this amounts to retrogression.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 25 2014

Einigung über Datenschutzreform nicht vor den EU-Wahlen: Das Gute an der schlechten Nachricht

In dieser Woche hat EU-Justizkommissarin Viviane Reding beim informellen Rat der Justiz- und Innenminister in Athen offiziell gemacht, was schon länger klar war: Vor den EU-Wahlen schaffen es Kommission, Ministerrat und Parlament nicht, die EU-Datenschutzreform zu verabschieden. Grund dafür ist, dass sich die Mitgliedstaaten im Ministerrat nicht auf eine Position einigen können, mit der sie die entscheidenden Dreiecksverhandlungen (Trilog) mit Kommission und Parlament aufnehmen können, an deren Ende dann das fertige Reformpaket stehen könnte.

Erstmalig liegt ein Zeitplan vor

Überraschend ist das nicht, denn schon im vergangenen Oktober und Dezember gab es deutliche Signale, der Mitgliedsstaaten, dass sich das Reformvorhaben verzögert. Eine Reihe von Staaten, darunter auch Deutschland, hegen aus verschiedenen Gründen Bedenken gegen die Verordnung und verlängern damit die Lauffrist des geltenden internetuntauglichen Datenschutzregimes.

Was beim (berechtigten) Zetern über die Neuigkeit, die eigentlich keine ist, untergeht: Immerhin hat man sich erstmalig auf einen verbindlichen Zeitplan geeinigt. Im Juni wolle der Ministerrat ein Verhandlungsmandat erreichen und im Juli dann in die Dreiecksverhandlungen gehen. Ein Schritt weiter auf dem Weg dahin wollen die Justiz- und Innenminister im März sein, schreibt der EU-Observer. Solche Zeitpläne können natürlich gebrochen werden, was nicht unwahrscheinlich ist, wie der Tagesspiegel unter Berufung auf einen EU-Diplomaten schreibt. Aber Zeitpläne sind gleichzeitig Hebel, um Kontrolle und Druck auszuüben.

EU-Wahlen ändern erstmal nicht so viel

Im Zusammenhang mit den Berichten aus Athen wurde auch über die Rolle der EU-Wahlen, durch die sich die Zusammensetzung von Parlament und Kommission verändert, für die Datenschutzreform gesprochen. Der Einwand, neue Mehrheiten nach den EU-Wahlen könnten auch die Einigung des Parlaments, erreicht durch den Innenausschuss im Oktober 2013, scheitern lassen, erscheint relativ unbegründet, da das Europäische Parlament sein Verhandlungsmandat vor den EU-Wahlen durch eine erste Lesung formalisieren wird. Die Verhandlungsgrundlage steht also, zumal es, anders als im deutschen Bundestag, im europäischen Parlament kein Diskontinuitätsprinzip gibt. An laufenden Gesetzgebungsverfahren wird weitergearbeitet. Zudem ist es unwahrscheinlich, dass sich im neuen Europäischen Parlament Mehrheiten finden, die willens sind, die Büchse der Pandora Datenschutzverordnung noch einmal zu öffnen. Zur Erinnerung: In zähen Verhandlungen diskutierten die Abgeordneten über mehr als 3.000 Änderungsanträge. Und schließlich gilt es als wahrscheinlich, dass der zuständige Berichterstatter des Europäischen Parlaments für die Datenschutzverordnung, Jan Philipp Albrecht (Grüne), wiedergewählt wird.

Die zuständige EU-Kommissarin Viviane Reding bleibt offiziell noch bis zum 31. Oktober im Amt. Eine Neubesetzung könnte andere Akzente setzen. Ähnlich wie in Ministerien gilt aber auch bei der Kommission: Die zuständigen Beamtenstäbe arbeiten weiter. Auch hier erscheint es eher unwahrscheinlich, dass man getane Arbeit vollständig verwirft, zumal die Datenschutzreform als eines der wichtigsten Projekte der EU-Kommission gilt.

Politischer Wille gefragt

Der Ball liegt also beim Ministerrat bzw. den Mitgliedsstaaten, die politischen Willen zeigen und zu einer Entscheidung kommen müssen. Deutschland bzw. dem zuständigen Innenministerium wird hier eine besondere Rolle zukommen (vgl. dazu meine Analyse zum neuen Innenminister und der Datenschutzreform). Gut ist: Deutschlands zukünftiges Verhalten bei der Datenschutzreform lässt sich am Einhalten des vereinbarten Zeitplans messen.

Weitere aktuelle Hintergrundinformationen zum Stand der EU-Datenschutzreform:

Golem: Regierung wartet auf das nächste Google-Urteil

Monika Emert, Internet Policy Review: European ministers largely agree on international aspects of future data protection regulation, other issues unsolved

Carlo Piltz, de lege data: Datenschutzreform: aktueller Stand der Verhandlungen im Rat

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

December 23 2013

De Maizière “Reform des Datenschutzrechts notwendig”

In einem Gastbeitrag für die FAZ (wohl vom 21.12, digital bisher nur auf der Seite der Bundesregierung verfügbar) spricht sich der neue Innenminister Thomas de Maizière für ein “internettaugliches europäisches Datenschutzrecht aus”. Den Artikel kann man als Plädoyer für ein Voranbringen der EU-Datenschutzverordnung lesen, die derzeit im EU-Ministerrat festhängt. Daran ist das deutsche Innenministerium in der Vergangenheit ja nicht unschuldig gewesen. Die andere Möglichkeit: Wir haben es hier mit einem weiteren Lippenbekenntnis zur Datenschutzverordnung zu tun, wie wir sie auch von Ex-Innenminister Hans-Peter Friedrich und sogar der Kanzlerin gehört haben.

Da de Maizières Worte sich eher ambivalent ausnehmen (Bsp.: “Intransparente Strukturen monopolistischer sozialer Netzwerke sollen nicht zu Lasten des einfachen Nutzers gehen.” vs. “Die Verantwortung des Einzelnen muss hinzukommen.”), ist ein kurzer Blick auf die politischen Rahmenbedingungen vielleicht lohnenswerter.

Fakt ist, mit de Maizière gibt es einen Innenminister, der sich bereits in der Vergangenheit für das Thema interessiert hat und wohl ein besserer Ansprechpartner als Friedrich ist. Positiv könnte sich zudem auswirken, dass Gerd Billen, Vorstand des Verbraucherzentrale Bundesverband (VZBV) und interessiert an Datenschutz, Staatssekretär im Justizministerium wird. Das Justizministerium führt zwar nicht die Verhandlungen in Brüssel, stimmt sich aber mit dem federführenden Innenministerium ab.

Auf der anderen Seite werden die Verhandlungen in Brüssel hauptsächlich von Beamten (aus dem Innenministerium) geführt – und die bleiben. Nicht zuletzt ist die Verzögerung der Datenschutzreform auf dem EU-Gipfel im Oktober Sache der Kanzlerin gewesen. Die Ausreden für weitere Verzögerungen wurden im Koalitionsvertrag festgeschrieben. Zudem fehlt durch das Ausscheiden Peter Schaars als Bundesdatenschutzbeauftragter ein weiterer öffentlicher Fürsprecher einer starken Datenschutzverordnung. Wie seine Nachfolgerin Astrid Voßhoff zur Datenschutzverordnung steht, ist (mir) unbekannt.

Sicherlich sind viele Debatten um die Datenschutzverordnung komplex. Zuletzt waren sich die EU-Innen- und Justizminister uneins, wie die Kompetenzen zwischen den europäischen Datenschutzbehörden koordiniert werden sollen (“One-Stop-Shop”). Es gibt zwei juristische Gutachten dazu, die den Fall jeweils unterschiedlich sehen. Woran es fehlt, ist also nicht weitere Expertise, sondern der politische Wille, sich für einen Weg zu entscheiden. Sonst bleibt der Eindruck, dass Staaten wie Deutschland und das Vereinigte Königreich sich nicht nur an Einzelproblemen stören, sondern diese benutzen, um die Reform im Ganzen zu blockieren. Es liegt an de Maizière, diesen Eindruck mit Taten zu entkräften.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

October 26 2013

Interview zur EU-Datenschutzreform: “Die Verbraucher können nicht noch weitere zwölf Jahre warten”

Auf politik-digital.de gab es in dieser Woche ein lesenswertes Interview mit Florian Glatzner vom Verbraucherzentrale Bundesverband e.V. zur EU-Datenschutzverordnung. Glatzner kommentiert die Stärken und Schwächen des Parlamentsbericht und Deutschlands passive Rolle bei der Datenschutzreform.

politik-digital.de: Der Abgeordnete des Europäischen Parlaments Jan Philipp Albrecht von den Grünen und Christian Horchert vom Chaos Computer Club bewerteten den Entwurf als überraschend positiv. Bundesinnenminister Friedrich hingegen geht der Entwurf nicht weit genug. Worauf beruhen Ihrer Meinung nach die unterschiedlichen Einordnungen?

Florian Glatzner: Diese Frage ist schwer zu beantworten, denn leider lässt Herr Dr. Friedrich nicht erkennen, an welchen Stellen die Verordnung seiner Meinung nach nachgebessert werde müsste. Seine Aussage verwundert auch dahingehend, dass er selbst fast zwei Jahre Zeit hatte, im EU-Rat für die von ihm angemahnten Verbesserungen Sorge zu tragen. Wenn er also Verbesserungen notwendig hält, liegen diese in seiner Hand.

Was allerdings nicht passieren darf ist, dass der pauschale Verweis auf mögliche Verbesserungen dazu führt, dass die Datenschutz-Grundverordnung noch weiter verschoben wird. Schon im Jahr 2001 kam ein vom Bundesministerium des Innern in Auftrag gegebenes Gutachten zu dem Ergebnis, dass eine Modernisierung des Datenschutzrechts dringend notwendig sei. Hinsichtlich der Modernisierung ist seither nichts passiert, aber eine Überarbeitung der Regelungen ist inzwischen noch viel dringender geworden. Die Verbraucher können nicht noch weitere zwölf Jahre warten, bis sich die nächste Chance für eine Novelle des Datenschutzes ergibt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

October 25 2013

EU-Datenschutzreform: Schnelle Verabschiedung oder nicht?

Heute tagten in Brüssel die europäischen Staats- und Regierungschefs. Neben der deutsch-französischen Initiative, die Spähaffäre gemeinsam aufzuklären, legte man sich auch auf einen Zeitplan zur Verabschiedung der Datenschutzgrundverordnung fest, wo ja seit der Verabschiedung des Parlamentsberichtes am Montag, der Ball bei den Mitgliedsstaaten liegt. Im dazugehörigen Beschlussdokument heißt es:

It is important to foster the trust of citizens and businesses in the digital economy. The timely adoption of a strong EU General Data Protection framework and the Cyber-security Directive is essential for the completion of the Digital Single Market by 2015.

Dieser Satz sorgt nun für zahlreiche Diskussionen. Diejenigen, die an einer zeitnahen Verabschiedung der EU-Datenschutzverordnung vor den Europawahlen interessiert sind (EU-Kommissarin Viviane Reding und das Eurpoäisches Parlament in Person von Berichterstatter Jan Albrecht), interpretieren den Satz als Entschluss der Mitgliedsstaaten, genau das anzustreben. Denn dann könnte das Gesetz 2015 in Kraft treten.

Andere wiederum, etwa die europäischen Nachrichtenportalen EurActiv und der EUObserver schreiben, dass das eben nicht der Fall sein wird und sich die Verhandlungen verzögern werden. Der EUOberserver beruft sich weiterhin auf diplomatische Kreise:

Meanwhile, an EU diplomat said member states are already using tactics to delay the bill. “At the technical level, we are hear a lot of noises in terms of ‘quality before timing’, ‘we shouldn’t rush this’, which is basically code words for delaying the whole thing,” the diplomat said.

Unsere Bundeskanzlerin wird zudem mit den Worten zitiert (Sorry, sehe es gerade in keiner anderen Quelle außer diesem Tweet.):

Was heißt das nun alles? Fakt ist, an der Datenschutzreform würde auch nach den Europawahlen weitergearbeitet werden. Wer allerdings an der Verabschiedung einer starken Datenschutzverordnung interessiert ist, sollte alles daran setzen, die Verordnung vor den Europawahlen fertig zu verhandeln. Erstens, weil so das politische Momentum nicht verloren geht. Zweitens, weil nicht nur einige Mitgliedstaaten, sondern auch die Industrie daran interessiert ist, das Gesetz weiter zu verzögern und dadurch zu verwässern. Letztere könnten zudem darauf zielen, die Datenschutzverordnung in die Verhandlungen um das transatlantische Freihandelsbakommen (TAFTA/TTIP) mitreinzuziehen und damit das Recht auf Datenschutz verhandelbar machen.

Die deutsche Regierung nimmt dabei eine ambivalente Rolle ein (siehe oben). Andere Staaten werden als Verzögerer benannt. Deutschland selbst versteckt sich hinter dem Argument des handwerklichen Nachbesserungsbedarfs, der seine Zeit bräuchte und erweist dem europäischen Datenschutz damit einen Bärendienst. Die derzeit laufenden Koalitionsverhandlungen könnten eine Möglichkeit sein, die CDU in der Frage Datenschutzverordnung auf eine schnelle Einigung zu drängen. Los, SPD!

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

October 07 2013

EU-Datenschutzreform: Ministerrat uneins über Zusammenarbeit der Datenschutzbehörden

Die EU-Innen- und Justizminister haben auf ihrem heutigen Treffen einen der wichtigsten Punkten der geplanten EU-Datenschutzverordnung diskutiert: Die Zuständigkeit und Koordination der nationalen Datenschutzbehörden sowie die Befugnisse des geplanten Europäischen Datenschutzausschusses. Es ist wichtig, dass sich hier was tut. Im Moment gibt es keine praktische Handhabe gegen die Datenschutzverstöße von Unternehmen, die in einem anderen Mitgliedsstaat operieren. Max’ Schrems Beschwerden gegen Facebook können in diesem Zusammenhang nicht oft genug erwähnt werden.

Wie zu erwarten war, sind sich die Mitgliedsstaaten bei der Ausgestaltung der Datenschutzaufsicht nicht einig. Wer mehr wissen will: Christiane Schulzki-Haddouti und Andreas Wilkens berichten für heise. Christian Feld kommentiert das in der ARD. Lesenswert sind zudem die Tweets von Christian Wiese Svanberg (dokumentiert die Länderpositionen) und Caspar Bowden.

Beim Digitalen Gesellschaft e.V. haben wir jüngst aufgeschrieben, wie wir uns das wünschen mit den Datenschutzbehörden und der Durchsetzung: Es braucht starke nationale Datenschutzbehörden und einen starken Europäischen Datenschutzausschuss, der für eine europaweit einheitliche Auslegung der Verordnung sorgt. Das ist weder ein Widerspruch, noch zu teuer, noch zu bürokratisch. Das sollte der Informationsgesellschaft ihr Datenschutz wert sein.

Während der Ministerrat noch verhandelt, stimmt der zuständige Ausschuss im Europäischen Parlament schon am 21. Oktober über die Datenschutzverordnung ab. Zeit, sich mal dafür zu interessieren.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 18 2013

Schmilzt wie Butter in der Sonne: Friedrich will Meldepflicht in Datenschutzreform

Alle in Deckung! Innenminister Friedrich macht wieder Datenschutz. Nach dem grandiosen Vorschlag der Virenscanner zum Selbstdatenschutz, nimmt sich die heutige Forderung beinahe seriös aus. Beim Treffen der EU-Innen- und Justizminister in Vilnius forderte Friedrich eine Meldepflicht für Drittsstaatentransfers in der EU-Datenschutzverordnung.

Eine Meldung an die Europäische Kommission oder ähnliche Stellen oder sogar eine Genehmigung, wenn man Daten ausliefert an fremde Staaten, das ist die Idee, die meiner Ansicht nach umgesetzt werden muss.

Zunächst ist das natürlich ein weiterer Teil seiner Bankrotterklärung, nach dem Motto: Sagt wenigstens Bescheid, dass ihr mit den Geheimdiensten zusammenarbeitet, dann können wir schon mal Virenscanner installieren. Denn Friedrich erachtet NSA-Überwachung schließlich für notwendig. Ignoriert man diesen Grundwiderspruch und schaut sich die Aussage Friedrichs länger an, schmilzt sie zusammen wie Butter in der litauischen Sonne.

“Eine Meldung an die Europäische Kommission oder ähnliche Stellen”

Amerikanische Firmen verarbeiten meine Daten auch in den USA. Hier gilt (mal wieder): Bürokratie abbauen und lieber Zeitung lesen, dort steht das nämlich auch. Nicht ganz unnützlich, weil vielleicht abschreckend, wäre allerdings eine deutliche Meldung an die User, bevor sie der Datenverarbeitung zustimmen. Vielleicht will Friedrich das auch, ist schließlich die Position seiner Chefin. Allzu hoffnungsvoll dürfen wir allerdings nicht sein, Deutschland fürchtet ja eh schon hohe Kosten für die Industrie bei den Informationspflichten.

“oder sogar eine Genehmigung, wenn man Daten ausliefert an fremde Staaten”

Das klingt schon fast nach Law & Order und meint wohl im Kern den ursprünglich aus der Datenschutzreform herauslobbyierte Artikel 42, der sagt, dass Daten von EU-Bürger*innen nur noch dann an ausländische Behörden übermittelt werden dürfen, wenn dies durch ein entsprechendes Rechtshilfeabkommen gedeckt ist. Über den Sinn und Unsinn einer solchen Meldepflicht, diskutieren wir schon länger, seit den NSA-Enthüllungen verstärkt. 1. Problem: Wenn das zur Anwendung kommt, steht EU-Recht gegen US-Recht. US-Firmen werden also im Zweifelsfall eher mit ihren eigenen Geheimdiensten kooperieren, zumal Nicht-Kooperation mit Geheimdiensten wohl massiv Ärger in den Staaten einbringt. 2. Problem: Es existiert zwar ein Rechtshilfeabkommen, aber das erlaubt keinen Pull-Zugriff auf Daten à la PRISM und setzt gewisse Prozeduren voraus. Aber PRISM ist doch nötig für unsere Sicherheit?

Friedrich könnte mit Genehmigungen auch Angemessenheitsbestimmungen für Datenverarbeitung durch Drittstaaten wie das unsinnige Safe Harbour-Abkommen meinen. Diese müssten also, wenn Friedrich es ernst meint, auch neu ausgehandelt werden. So viel Mut ist nicht zu erwarten. Aber keine Angst, Angemessenheitsbestimmungen findet Deutschland eh nicht gut, wie aus der entsprechenden Fußnote des zuletzt von Statewatch geleakten Dokument zum Verhandlungsstand im EU-Ministerrat (PDF) hervorgeht:

DE in particular thought that the manifold exceptions emptied the adequacy rule of its meaning. Whilst they did not disagree with the goal of providing protection against transfer of personal data to third countries, it doubted whether the adequacy principle was the right procedure therefore, in view of the many practical and political difficulties (the latter especially regarding the risk of a negative adequacy decision, cf. DE, FR, UK). The feasibility of maintaining an adequacy-test was also questioned with reference to the massive flows of personal data in in the context of cloud computing: BG, DE, FR, IT, NL, SK and UK.

Besser findet Deutschland sogenannte Binding Corporate Rules, d.h. lediglich unternehmensweit geltende Richtlinien. Hier sollen aber lieber nicht so viele Datenschutzbehörden mitreden, wie es in der dazugehörigen Fußnote heißt.

DE and UK expressed concerns on the lengthiness and cost of such approval procedures. The question was raised which DPAs should be involved in the approval of such BCRs in the consistency mechanism.

Zwei Debatten, zwei Fails

Friedrich zündet mal wieder Nebelkerzen. Die Realitäten, sowohl in der NSA-Debatte als auch in den Verhandlungen zur Datenschutzreform, sehen anders aus. In der NSA-Debatte verhindert das totale Bekenntnis zur “Sicherheit” (aka Supergrundrecht) ein grundlegendes Infragestellen des größten Überwachungsprojekts aller Zeiten. Die Verhandlungen zur Datenschutzreform sind schlicht industriedominiert. Was beide Debatten vereint: Sie ignorieren die Macht, die von großen Datensammlungen ausgeht.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 14 2013

Realitätscheck: Merkels janusköpfige Datenschutzrhetorik vs. Verhandlungsstand im EU-Ministerrat

Im ARD-Sommerinterview versprach Kanzlerin Angela Merkel, dass sich Deutschland auf dem am kommenden Donnerstag/Freitag stattfindenden Rat der EU-Innen- und Justizminister für mehr Informationspflichten stark machen will. Internetunternehmen sollen darüber Auskunft erteilen, “wem sie welche Daten weitergeben”, sagte Merkel. Das überrascht, denn gerade Deutschland hatte im Ministerrat Bedenken bei den selbstverständlichen Informationspflichten für Diensteanbieter geäußert. Der Grund: Angebliche Extrakosten für die Industrie. Das geht aus dem zuletzt von Statewatch geleakten Dokument zum Verhandlungsstand im EU-Ministerrat (PDF) hervor. In der Anmerkung zum entsprechenden Artikel 14 heißt es:

DE, supported by ES and NL, has asked the Commission to provide an assessment of the extra costs for the industry under this provision.

In einer weiteren Fußnote, die sich auf einen Vorschlag zur Ergänzung der Informationspflichten bezieht (unter anderem eben Drittstaatentransfers), heißt es:

DE, DK, NL and UK doubted whether the redraft would allow for a sufficient risk-based approach and warned against excessive administrative burdens/compliance costs.

Der entsprechende Original-Artikel im Kommissionsvorschlag fordert von den Anbietern eigentlich nur Selbstverständlichkeiten:

Artikel 14 Information der betroffenen Person

1.           Einer Person, von der personenbezogene Daten erhoben werden, teilt der für die Verarbeitung Verantwortliche zumindest Folgendes mit:

a)      den Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen sowie gegebenenfalls seines Vertreters und des Datenschutzbeauftragten,

b)      die Zwecke, für die Daten verarbeitet werden, einschließlich der Geschäfts- und allgemeinen Vertragsbedingungen, falls sich die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe b gründet, beziehungsweise die von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen, wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht,

c)      die Dauer, für die die personenbezogenen Daten gespeichert werden,

d)      das Bestehen eines Rechts auf Auskunft sowie Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten durch den für die Verarbeitung Verantwortlichen beziehungsweise eines Widerspruchsrechts gegen die Verarbeitung dieser Daten,

e)      das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde sowie deren Kontaktdaten,

f)       die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,

g)      gegebenenfalls die Absicht des für die Verarbeitung Verantwortlichen, die Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das dort geltende Datenschutzniveau unter Bezugnahme auf einen Angemessenheitsbeschluss der Kommission,

h)      sonstige Informationen, die unter Berücksichtigung der besonderen Umstände, unter denen die personenbezogenen Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

Diese Selbstverständlichkeiten, die eigentlich noch genauer sein müssten werden und über die konkreten Verfahren und Logiken der Datenverarbeitung aufklären sollten, fand Deutschland vor der großen NSA-Aufregung zu teuer und machte industriefreundliche Vorbehalte. Das gleiche Deutschland will sich jetzt für Hinweise einsetzen, die Facebook, Microsoft und Co. erstmal ordentlich diskreditieren könnten vor den Usern? Wenn dem wirklich so sein sollte: Lasst euch ein dickes Lobbyfell wachsen!

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 11 2013

EU-Datenschutzreform: Konkrete Vorschläge aus Brüssel gegen PRISM und Co.

Am vergangenen Freitag hatte ich darüber geschrieben, dass wir bei der derzeit in Brüssel verhandelte EU-Datenschutzgrundverordnung Lehren aus PRISM ziehen können. Da es einige Rückfragen gab, fassen wir an dieser Stelle noch einmal die konkreten Ansätze zusammen. Es geht hier um zwei Dinge: Datenschutz in Clouds außerhalb Europas (sic!) und Schutz von Whistleblowern wie Edward Snowden. Für beides gibt es Änderungsanträge von Europaparlamentarier/innen, die bei den derzeit laufenden Kompromissverhandlungen im Innenausschuss (LIBE) nicht unter den Tisch fallen sollten.

Transparenz und Einwilligung

Ich muss dem Datentransfer ins Drittland informiert zustimmen, d.h. im Zweifelsfall auch über die Rechtslage bspw. in den USA informiert sein. Ein Vorschlag dafür kommt von der niederländischen Liberalen Sophia in ‘t Veld:

Änderungsantrag 2531: Artikel 44a

Die Übermittlung personenbezogener Daten an Cloud-Dienste im Zuständigkeitsbereich eines Drittlandes ist verboten, es sei denn:

a) einer der Rechtsgründe dieses Kapitels für die Übermittlung personenbezogener Daten an Drittländer findet Anwendung; und

b) die betroffene Person hat eingewilligt, und

c) die betroffene Person hat nach Unterrichtung in klarer, eindeutiger und warnender Sprache eingewilligt, die durch einen zusätzlichen und deutlich sichtbaren Hinweis auf

i) die Möglichkeit, dass die personenbezogenen Daten Gegenstand der Informationsgewinnung oder Überwachung durch Behörden aus Drittländern sein könnten; und

ii) das Risiko, dass der durch das Unionsrecht und das mitgliedstaatliche Recht gewährte Schutz der personenbezogenen Daten und der Grundrechte nicht gewährleistet werden kann, erfolgte.

Einen weiteren “Transparenzvorschlag” macht der Sozialdemokrat Dimitrios Droutsas:

Änderungsantrag 2390: Artikel 41 – Absatz 1 a (neu)

Alle Datenübertragungen von einer Cloud im Zuständigkeitsbereich der Europäischen Union in eine Cloud im  Zuständigkeitsbereich eines Drittlandes werden von einer Mitteilung über diese Datenübertragung und seine Rechtsfolgen an die betroffene Person begleitet.

Wiedereinführung des Artikels 42 zur Erfordernis eines Rechtshilfeabkommens

Darüber hatten wir schon am Freitag diskutiert und dank Ralf Bendrath festgestellt, dass die Abwesenheit eines Rechtshilfeabkommens für den Zugriff auf Cloud-Daten von EU-Bürger/innen, auch wenn in einer zukünftigen Datenschutzgrundverordnung explizit festgeschrieben, höchstens EU gegen US-Recht stehen lassen würde. Es ist anzunehmen, dass ein US-Unternehmen eher US-Recht und damit Geheimdiensten dienen würde, weil in Europa höchstens Sanktionen drohen. Auf der anderen Seite kann die Erfordernis eines solchen Abkommens Öffentlichkeit schaffen. À la: “Seht her, Staaten und Unternehmen machen das, obwohl ein Rechtshilfeabkommen notwendig ist.”  Einen solchen Vorschlag machen mehrere Abgeordnete, z.B. Cornealia Ernst (Linke):

Änderungsantrag 2491: Artikel 43a

Datentransfers, die nicht im Einklang mit dem Unionsrecht stehen

1. Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden eines Drittstaats, die von einem für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter verlangen, personenbezogene Daten weiterzugeben, werden nur auf der Grundlage von und im Einklang mit einem Abkommen über Amtshilfe oder einem zwischen dem ersuchenden Drittstaat und der Union oder einem Mitgliedstaat geltenden internationalen Übereinkommens anerkannt und vollstreckt. [...]

Einbindung und Schutz von Whistleblowern

Verschiedene Abgeordnete haben Änderungsanträge formuliert, die den Umgang mit Hinweisen von Informantinnen über Datenschutzvergehen regeln und sie zugleich schützen sollen.

Als Verpflichtung für die europäische Datenschutzaufsichtbehörde, vorgesehen bei der spanischen Sozialistin Carmen Romero López (ebenso ihr Änderungsantrag 2604):

Änderungsantrag 2748: Artikel 66 – Absatz 1 – Buchstabe g a (neu)

ga) Festlegung von gemeinsamen Verfahren für den Erhalt und die Prüfung von Informationen im Zusammenhang mit Beschwerden über die unzulässige Verarbeitung personenbezogener Daten, für den Schutz von Hinweisgebern vor Repressalien und für die Wahrung der Vertraulichkeit der Quellen dieser Informationen in Fällen, in denen Hinweisgeber nach den  Rechtsvorschriften von Drittländern, die die Offenlegung der unzulässigen Verarbeitung personenbezogener Daten verbieten, gerichtlich belangt werden könnten;

Weiterhin schlägt Sophia in ‘t Veld vor, Informantenschutz in einem extra Legislativakt zu verankern:

Änderungsantrag 2950: Artikel 79 – Absatz 7 c (neu)

7c. Die Kommission hat einen Legislativvorschlag vorzulegen, in dem die Bedingungen und Kriterien spezifiziert werden, um innerhalb eines Jahres nach Inkrafttreten dieser Verordnung den rechtlichen Schutz von Informanten sicherzustellen.

Whistleblowing kann man natürlich auch anreizen:

Änderungsantrag 2637: Artikel 53 – Absatz 4 a (neu)

4a. Die Aufsichtsbehörde zahlt Informanten, die Informationen über eine mutmaßliche rechtswidrige Verarbeitung liefern, eine Belohnung in Höhe von bis zu 20 % der Geldbuße nach Absatz 4, die infolge von Ermittlungen auf der Grundlage der erhaltenen Informationen verhängt wurden. Die Verfahren zur Auszahlung der Belohnung schützen die Identität des Informanten vor Offenlegung und sehen Bestimmungen für Zahlungen an anonyme Informanten vor.

Inwiefern dieser Vorschlag von Cornelia Ernst praktikabel ist, bleibt eine andere Frage. Informanten wie Edward Snowden brauchen eher politisches Asyl als Belohnungszahlungen. Fest steht: Whistleblower brauchen Schutz und keine Bestrafung.

Keine Mehrheiten gegen Überwachung?

Einige konkrete Handlungsoptionen liegen also allein im Rahmen der Datenschutzverordnung auf dem Tisch. Diese versprechen natürlich keinen vollständigen Schutz vor Programmen wie PRISM, können aber für Transparenz und Politisierung beim Thema Überwachung sorgen.

Oben sind die Namen verschiedener Abgeordneter gefallen – Konservative waren nicht dabei. Auch Sophia in ‘t Velds Position entspricht nicht dem Konsens der liberalen Fraktion im Europäischen Parlament. Zudem müsste auch der Ministerrat bei solchen Vorschlägen mitmachen. Aber hier bitten wir wohl die Böcke zum Gärtnern.

Bei den Abgeordneten des Europäischen Parlaments könnt ihr ja mal nachfragen, warum sie z.B. Whistleblowerschutz nicht für wichtig halten. Die finalen Verhandlungen zur Datenschutzgrundverordnung finden jetzt statt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 31 2013

EU-Datenschutzreform: Für den Markt oder für uns?

Dieser Kommentar erschien zuerst am 31.05.2013 in neues deutschland. Wir spiegeln ihn an dieser Stelle inklusive Links.

In Brüssel entscheidet sich dieser Tage die Zukunft unseres Datenschutzes. Parlament und Ministerrat arbeiten an ihren finalen Positionen zum Vorschlag der Europäischen Kommission für eine Datenschutzgrundverordnung. Diese soll die geltende Datenschutzrichtlinie von 1995 ablösen. Vor der Sommerpause wollen Rat und Parlament jeweils abstimmen, um dann in die Dreiecksverhandlungen mit der Kommission zu gehen. Ein Blick auf den Verhandlungsstand zeigt: Obwohl es hier um ihr Grundrecht geht, blieben die Stimmen der Bürger bislang ungehört. „Daten sind das Öl des 21. Jahrhunderts“, versuchen Lobbyisten den Volksvertretern im Parlament und Ministerrat beizubringen – mit Erfolg.

Der Kommissionsvorschlag erfuhr wirtschaftsfreundliche Änderungen, schon bevor er das Licht der Welt erblickte. Die Höchststrafe für Datenschutzvergehen fiel kurze Zeit vor der Veröffentlichung des Vorschlags von fünf auf zwei Prozent des weltweiten Jahresumsatzes der Unternehmen. Der Vorschlag, den die Kommission Anfang 2012 vorstellte, ist trotzdem solide. Er orientiert sich an bestehenden europäischen Datenschutzregeln, denen es vor allem an einheitlicher Durchsetzung mangelt. So verstecken sich Facebook und Google hinter der laxen irischen Interpretation der geltenden Richtlinie. Der Wechsel des Instruments von der Richtlinie zur Verordnung soll das ändern: Die Datenschutzgrundverordnung wird wortgleich in allen Mitgliedstaaten der EU gelten. Wir Bürgerrechtler sind mit dem Kommissionsvorschlag weitgehend zufrieden. Nachbesserungen müssen natürlich sein. Einige neue Ideen begrüßen wir, zum Beispiel das Recht auf Datenmitnahme. Ein soziales Netzwerk zu verlassen und samt persönlicher Daten zu einem besseren Anbieter zu wechseln, würde möglich.

Aber von Verbesserungen am Kommissionsvorschlag sind wir heute weit entfernt. Was aus den Verhandlungen im Parlament und Ministerrat an die Öffentlichkeit dringt, ist besorgniserregend. Einige konservative und liberale Abgeordnete haben Vorschläge der Wirtschaftslobby eins zu eins in Ausschussabstimmungen eingebracht. Auch in den Verhandlungsdokumenten des Ministerrats finden sich Änderungsvorschläge, die den Kommissionsvorschlag ins Gegenteil verkehren. Diese Vorschläge kommen nicht nur von Amazon, Facebook und Co. Auch die Kredit- und Versicherungsindustrie, Direktmarketingverbände und sogenannte Scoring Dienste, die Aussagen etwa über unsere Bonität treffen, wollen noch mehr vom Datenkuchen bekommen. Ihre Vorschläge schaffen Schlupflöcher, die Unternehmen von vielen Teilen des Gesetzes befreien würden. Die Zusammenführung und Weitergabe unserer Daten von sozialen Netzwerken an Versicherungen und weiter zum Arbeitgeber bliebe kein böser Traum mehr.

Das Verhalten einiger Volksvertreter schadet nicht nur dem Datenschutz, sondern der Demokratie. Bei ihren Bürgern ist die EU ohnehin nicht für Transparenz und Mitbestimmung bekannt. Gegen die Vielzahl von Lobbyisten sind die wenigen Bürgerrechtsorganisationen im Nachteil. Auch unsere Aufrufe zur Bürgerbeteiligung verhallen bislang weitgehend ungehört. Viele Menschen, die im vergangenen Jahr das gefährliche Freihandelsabkommen ACTA zu Fall gebracht haben, zeigen wenig Interesse an der Datenschutzreform. Dabei ist diese für ein freies und offenes Internet genau so wichtig! Im Gegensatz zu ACTA müssen wir die Datenschutzreform nicht verhindern, sondern mitgestalten. Es geht nicht um Ja oder Nein, sondern um 100 Seiten Gesetzestext. Empörung kann dennoch ein guter Auftakt sein. In der gegenwärtigen Dateneuphorie braucht es ein Korrektiv. Die Deregulierung des Finanzsektors ist uns 2008 auf die Füße gefallen. Beim Datenschutz sollten wir die gleichen Fehler nicht wiederholen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 11 2013

Dokument zur EU-Datenschutzverordnung geleakt: Ministerrat zieht Datenschutz weiter die Zähne

Statewatch hat ein Dokument zum Verhandlungsstand der Datenschutzverordnung im Ministerrat geleakt. Daraus geht hervor, dass der Ministerrat weiter an Kernprinzipien der Datenschutzreform sägt. Anforderungen an die Zustimmung zur Datenverarbeitung wollen die zuständigen Innen- und Justizminister ebenso eindampfen wie das Prinzip der Datensparsamkeit.

Wir hatten bereits im Januar über die Bestrebungen des Ministerrats berichtet, die im Kommissionsvorschlag zur Datenschutzverordnung vorgesehenen Strafzahlungen aufzuweichen. Der Ministerrat ist weiterhin auf einem guten Weg, den europäischen Datenschutz zum zahnlosen Tiger zu machen.

Wichtige Richtlinienentscheidung

Absender des öffentlich gewordenen Dokuments ist die irische Ratspräsidentschaft. Datiert ist dieses auf den 24. April 2013. Die Ratspräsidentschaft gibt den derzeitigen Diskussionsstand bestimmter Kernpunkte der geplanten Verordnung wieder und erteilt Umsetzungsrichtlinien an den Ausschuss der Ständigen Vertreter (AstV), in dem dann die Detailverhandlungen stattfinden und die Änderungsvorschläge im Wortlaut entstehen. Das Dokument enthält also entscheidende Weichenstellungen zu zentralen Fragen der Verordnung.

Behandelt werden der Anwendungsbereich der Verordnung, Fragen des Verhältnisses von freier Meinungsäußerung und Datenschutz, die Grundsätze der Datenverarbeitung sowie die Anforderungen an die Zustimmung zur Datenverarbeitung. Besonders bei den beiden letztgenannten Themen zeigt sich, dass die Minister der Mitgliedsstaaten nicht an einer Stärkung des europäischen Datenschutzrechts interessiert sind. Die Grundsätze der Datenverarbeitung und die Anforderungen an die Einwilligung zur Datenverarbeitung sind der Kern der Datenschutzverordnung. Fallen diese schwach aus, wird das ganze Gesetz zur Farce.

Grundsätze der Datenverarbeitung: Datenexzess mit Hintertürchen

Nach welchen Prinzipien sollen Daten erhoben werden? Sie sollen an bestimmte Zwecke gebunden sein, damit für die Nutzerinnen und Nutzer ersichtlich ist, wozu ihre Daten erhoben werden und dem verarbeitenden Unternehmen/Behörde klare Grenzen gesetzt werden. Das findet der Ministerrat auch, macht aber eine folgenreiche Ausnahme: Die Zweckbindung soll nicht für wissenschaftliche, historische oder statistische Zwecke gelten. Statistische Zwecke sind eine breite Ausnahme Hintertür. Die Minister opfern hier unter Umständen (detailliertere Formulierungen könnten das ändern) leichtfertig die Zweckbindung, Kernprinzip deutschen und europäischen Datenschutzrechts.

Im Kommissionsvorschlag zur Datenschutzverordnung taucht explizit das Konzept der Datenminimierung auf. Eine Klarstellung gegenüber der geltenden europäischen Datenschutzrichtlinie von 1995, welche die Kommission wohl nicht umsonst vorgenommen hat. Der Ministerrat findet es nicht wichtig, dass bei der Nutzung von Diensten nur die Daten erhoben werden, die wirklich benötigt werden und diese nur so lange aufbewahrt werden, wie nötig. Aus der Formulierung der Kommission „adequate, relevant, and limited to the minimum necessary“ machen die Minister „adequate, relevant, and not excessive “. Kleines Experiment: Geht auf eine Party und trinkt so wenig wie nötig. Geht noch mal auf eine Party und trinkt lediglich „nicht exzessiv“. Mark Zuckerberg geht schon mal Aspirin kaufen.

Zustimmung zur Datenverarbeitung: Datenschutzexpertise ignoriert

Kern des Reformvorschlags ist die ausdrückliche Einwilligung der Nutzerinnen und Nutzer in die Datenverarbeitung. Die Kommission reagiert damit auf die Unzulänglichkeiten der Zustimmungsbedingungen in der 1995er-Richtlinie, wie sie auch die Artikel-29-Datenschutzgruppe, in ihrem ausführlichen Bericht zum Thema Zustimmung fordert. In einem weiteren Diskussionspapier zur Datenschutzverordnung werden die europäischen Datenschützer noch deutlicher:

The Working Party is of the opinion that the inclusion of the word “explicit” is an important clarification in the text, which is necessary to truly enable data subjects to exercise their rights, especially on the Internet where there is now too much improper use of consent. It would be highly undesirable should this important clarification be deleted from the text.

Und was machen unsere Innen- und Justizminister? Das Wörtchen „explicit“ streichen und gegen die schwächere Formulierung „unambiguous“ ersetzen. Der Ministerrat ignoriert damit mindestens zwei Jahrzehnte Datenschutzdiskussion und konterkariert das Vorhaben, endlich einen zeitgemäßen Datenschutz zu entwerfen. Statt einem klaren „Ja, verarbeite meine Daten“ der Nutzerinnen und Nutzer, will es der Ministerrat weiterhin ermöglichen, die Zustimmung zur Datennutzung in den Geschäftsbedingungen zu verstecken, vorausgewählte Checkboxen anzubieten, oder gar durch die Nutzung eines Dienstes automatisch zuzustimmen.

Das Argument der Minister (wie auch der Industrie): Allumfassende ausdrückliche Einwilligung im Internet sei „unrealistisch“ und führe zu „Klickermattung“. Was sie ignorieren: Es stünden Hilfsmittel bereit, die dem vorbeugen: Die Do Not Track-Funktion des Browser kann etwa ausdrücklich signalisieren, ob ich trackingbasierte Werbung sehen möchte oder nicht. Datenschutzbestimmungen lassen sich visualisieren und können lange Texte ersetzen.

Mit Friedrichs Hilfe auf dem Weg zum zahnlosen Tiger

Der Ministerrat ist dabei, tragenden Säulen der geplanten Datenschutzverordnung einzureißen. Die industriefreundlichen Gesetzesempfehlungen ähneln den gefährlichen Lobbyänderungsanträgen, die auch im Europäischen Parlament zur Abstimmung gebracht werden. Von einer Verbesserung der geltenden Datenschutzrichtlinie, die das eigentliche Ziel der Reform ist, kann nicht mehr die Rede sein. Viel mehr steht ein Rückschritt hinter das 1995er-Niveau bevor, wenn bürgerrechtliche Bedenken in beiden Institutionen kein Gehör finden.

Unser für die Datenschutzreform zuständiger Innenminister Hans-Peter Friedrich (CSU) hat nach dem offiziellen Scheitern der Verhandlungen zu einem „Verhaltenskodex Sozialer Netzwerke“ angekündigt:

Die Unternehmen haben eine Chance vertan, ihrer Verantwortung für mehr Transparenz bei der Datenverarbeitung und für nutzerfreundlichere Regeln gerecht zu werden. Wir werden jetzt auf europäischer Ebene die erforderlichen Vorgaben machen.

Dies ist nun schon die dritte Ankündigung dieser Art in kürzester Zeit. Solange die konkreten Positionen des Ministerrats Verschlusssache sind, ist es für Friedrich leicht, sich als Retter des europäischen Datenschutzes zu gebärden. Die tröpfchenweise bekannt werdenden Fakten zeigen eine andere Wahrheit: Der Ministerrat arbeitet an der Absenkung des Datenschutzniveaus. Deutschland macht mit und belügt sich selbst: Der nach außen hochgelobte deutsche Datenschutz wird von der Unionsfraktion über die europäische Bande abgesägt. Das gilt für Rat und Parlament.

Die Abstimmungen über die Änderungsanträge zum Kommissionsvorschlag in beiden Institutionen stehen bevor. Der federführende Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) hat aufgrund der Vielzahl der Änderungsanträge, die für Ende Mai anvisierte Abstimmung noch einmal verschoben. Laut Parlaments-Berichterstatter Jan Philipp Albrecht (Grüne), wollen beide Institutionen noch vor der Sommerpause abstimmen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl