Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 18 2014

February 06 2014

Die Haltung Deutschlands zum Datenaustausch mit Drittstaaten

Am 23. und 24. Januar 2014 haben sich die Justiz- und Innenminister der europäischen Länder zu einem informellen Rat in Athen getroffen. Auf der Tagesordnung standen die europäische Datenschutzgrundverordnung und angesichts der Entwicklungen mit den USA vor allem Regelungen zur Datenübermittlung in Drittstaaten, wie die Safe-Harbor-Vereinbarung.

Deutschland, das vom  Parlamentarischen Staatssekretär des Innenministeriums, Ole Schröder, vertreten wurde, brachte einem Nachbericht zu Folge erneut den zu Safe Harbor konträren Vorschlag ein, die kommende Datenschutzgrundverordnung um Artikel 42a zu ergänzen. Dieser wurde letztes Jahr schon einmal vom damaligen Innenminister Friedrich vorgebracht und beinhaltet, dass Datenübermittlungen an Drittstaaten den Datenschutzaufsichtsbehörden gemeldet und von diesen genehmigt werden müssen, wenn sie nicht als Rechts- oder Amtshilfe gelten. Die EU-Kommission sieht diesen Bedarf jedoch nicht und verteidigt das “Angemessenheits”-Prinzip.

Das bedeutet, wenn die Kommission für ein Drittland ein angemessenes Datenschutzniveau bestätigt, können Übermittlungen ohne weitere Hindernisse wie in europäische Länder vorgenommen werden. Das ist nicht identisch mit Safe Harbor, es besteht nämlich das Problem, dass die USA keine explizite, kodifizierte Datenschutzgesetzgebung für ihre Unternehmen haben, sondern auf Basis von Selbstverpflichtungserklärungen operieren. Angemessenheit kann also per Definition nicht für die USA gelten, daher dient Safe Harbor als “Workaround”, bei dem einzelne Firmen sich offiziell einem europäischen Schutzniveau verpflichten und dafür beim Handelsministerium der USA registriert werden.

Die EU-Kommission verharrt also weiterhin auf ihrem Standpunkt, Safe Harbor aufrechtzuerhalten. Und zwar zumindest so lange, bis im Sommer 2014 geprüft wird, ob die 13 Handlungsempfehlungen an die USA umgesetzt werden, die Ende November letzten Jahres gestellt wurden. Das EU-Parlament teilt diese Haltung nicht, das macht auch der Berichtsentwurf zu den Anhörungen aufgrund der Überwachungsaffäre klar und geht aus einem Debriefing zu einem EU-US-Datenschutzabkommen aus Anlass einer Referentensitzung am 30. Januar hervor. Dort wird auch darauf verwiesen, dass die Kommission auch auf die EU-US-Ministergespräche warten wolle, die Ende Februar und im März stattfinden werden, bevor man Vorschläge zu einer Ausgestaltung einer konkreten Regelung an die Mitgliedsstaaten gebe.

Interessant vor diesem Hintergrund im Zusammenhang mit der Haltung Deutschlands ist auch eine Kleine Anfrage mit dem Titel “Datenschutz bei der Zusammenarbeit deutscher Finanzdienstleister mit IT-Unternehmen insbesondere aus den USA vor dem Hintergrund
des NSA-Skandals“. Auf Frage 18, wie die Bundesregierung die Wahrscheinlichkeit beurteile, dass die NSA durch Kooperation mit von deutschen Finanzdienstleistungsunternehmen beauftragten US-amerikanischen IT-Dienstleistern – möglich durch Safe Harbor – Zugriff auf Daten deutscher Finanzdienstleistungsunternehmen erhalten könne und davon auch Gebrauch mache, lautet die Antwort:

Ein Zugriff der NSA in Kooperation mit entsprechenden IT- Dienstleistern auf Daten deutscher Finanzdienstleistungsunternehmen ist theoretisch nicht auszuschließen. Allerdings dürfte ein solcher Zugriff regelmäßig rechtswidrig sein.

Das bedeutet faktisch, dass Safe Harbor als “theoretisch” wirkungslos angesehen werden kann, denn offensichtlich sind die amerikanischen Dienstleister zwar unter Safe Harbor anerkannt, aber auf ein angemessenes Schutzniveau vertraut wird nicht, da dieses durch die Datenweitergabe an die NSA ausgehebelt werden kann. Noch interessanter ist die Antwort auf die zweite Teilfrage, die wissen will, ob deutsche Nachrichtendienste von der NSA Informationen über deutsche Finanzdienstleister erhalten hätten. Die Frage wird nicht beantwortet, mit dem Verweis darauf, dass die Auskunft “im Zusammenhang mit der Aufgabenerfüllung des Bundesnachrichtendienstes bestehende Informationen” betreffe. Das stößt sauer auf, denn die Kompetenz des Bundesnachrichtendienstes bezieht sich auf die Auslandsaufklärung. Und wenn gezielt Informationen über deutsche Finanzdienstleister bezogen würden, liegt es nahe, dass nicht nur diejenigen Finanztransaktionen berücksichtigt werden, die ausdrücklich zu Konten Nicht-Deutscher gehören.

Noch seltsamer wird es im weiteren Verlauf der “Antwort”:

[Eine Antwort] ließe negative Folgewirkungen für die Quantität und Qualität des Informationsaustausches befürchten: ein Rückgang von Informationen wäre wahrscheinlich.

Faktisch: Man stellt fest, ein Zugriff der NSA auf Daten der amerikanischen IT-Dienstleister, die deutsche Daten vorhalten, wäre rechtswidrig. Würde man jetzt aber ausplaudern, dass der BND diese, illegal ermittelten, Daten mit der NSA austauscht, hätte das negative Folgewirkungen. Außerdem:

[...] können Angaben zu Art und Umfang des Erkenntnisaustauschs mit ausländischen Nachrichtendiensten auch Rückschlüsse auf Aufklärungsaktivitäten und -schwerpunkte des BND zulassen.

Was ist hier wichtiger: Rechtmäßigkeit zum Schutz der eigenen Bürger oder ein flüssiger Datenaustausch für den BND? Und wie war das nochmal mit dem BND als modernem Dienstleister, der auf Transparenz setzt, um eine “breite Vertrauensbasis” in der Bevölkerung herzustellen? So zumindest kann das nicht funktionieren.

Und langsam sollte man darüber nachdenken den Fokus der medialen Aufmerksamkeit in Deutschland umzuschwenken. Die deutschen Nachrichtendienste sind bisher vergleichsweise unbehelligt geblieben, wenn man die Spähaffäre betrachtet, unbehelligter als wahrscheinlich angemessen. Diese Vermutung legt auch ein internes Begleitdokument zur oben bereits erwähnten Meldung der Kommission nahe, das die Position der Bundesregierung wiedergibt. Dort wird Deutschlands herausragendes Interesse an offiziellen Maßnahmen und Empfehlungen zum Datenaustausch erwähnt, das der “unmittelbaren Betroffenheit” Deutschlands geschuldet sei. In anderen Mitgliedsstaaten sei das nicht in gleichem Maße der Fall.

Dabei kann Deutschland noch so “interessiert” an Regelungen für den sicheren Datenaustausch mit Drittstaaten sein, an der Situation des Austauschs mit Geheimdiensten ändert das kaum etwas, auch wenn man das gerne so inszeniert, denn diese sind durch die geplante Datenschutzgrundverordnung nicht betroffen. Zwar wurde in Artikel 2 des Verordnungsentwurfs aus dem LIBE-Ausschuss gestrichen, dass Aktivitäten zu nationalen Sicherheit nicht unter die Regelungskompetenz der Verordnung fallen, öffentliche Stellen, die sich mit der Verhinderung, Ermittlung, Erkennung und Verfolgung von Straftaten befassen, sind immer noch unter Absatz 2e als Ausnahme aufgeführt.

Aber wir können uns sicher sein, dass wir in Zukunft mehr über das Verhältnis unserer Geheimdienste zur NSA und dem Ausmaß der ausgetauschten Daten erfahren werden, denn der Dokumentenfundus Edward Snowdens ist noch lange nicht aufgebraucht und die Andeutungen in seinem Interview sind deutlich. BND und NSA arbeiteten eng zusammen und gingen “miteinander ins Bett”. Sie teilten dafür nicht nur Informationen, sondern ebenso Instrumente und Infrastruktur und arbeiteten gegen gemeinsame Zielpersonen, sagt Snowden und sieht das als große Gefahr. Es lege die Vermutung nahe, dass der BND sich zumindest bewusst sei, dass Daten deutscher Bürger bei der NSA befänden. Snowden verweist darauf, dass er nicht sagen dürfe, ob diese auch explizit vom BND stammen, bevor Journalisten keine Veröffentlichungen dazu gemacht hätten. Der Umkehrschluss, ob Daten deutscher Bürger auch wieder zurück fließen, ist für uns jedoch genauso interessant.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 15 2014

Europaparlament: Breite Front gegen Safe Harbour, aber die EU-Kommission hat Zeit

Im Plenum des Europäischen Parlaments stand heute die Safe-Harbour-Vereinbarung auf dem Programm. Das umstrittene Rechtskonstrukt mit mangelhafter Legitimation ist die Grundlage für den Austausch personenbezogener Daten mit den Vereinigten Staaten und erleichtert damit der NSA den Zugriff auf ebendiese, obwohl es sie eigentlich schützen soll. Die Nutzlosigkeit der Vereinbarung ist unabhängig davon schon seit langem bekannt.

reding_15_jan-2014

Viviane Reding

Der Vertreter des Rats der Europäischen Union Dimitrios Kourkoulas machte klar, dass der Spielball im Feld der Europäischen Kommission liegt. Man ermutige die Kommission, “einen Dialog mit den Amerikanern über die Punkte, die geklärt werden müssen”, zu führen.

Die angesprochene Justizkommissarin Viviane Reding räumte Defizite bei der Umsetzung ein und verwies auf ihre Analyse, der zufolge das System nicht wirklich “safe” sei. Neben dem Mißbrauch durch US-Unternehmen sei auch das massenhafte Speichern personenbezogener Daten durch US-Behörden nicht gerade verhältnismäßig. Sie erwarte von den amerikanischen Behörden, mit denen man in Kürze in Brüssel tagen werde, dass die 13 Handlungsempfehlungen der Kommission (u.a. mehr Transparenz, mehr Rechte für Kunden aus der EU) umgesetzt würden.

Manfred Weber (CSU) meinte, er wolle dass die NSA-Diskussion lebendig bleibe. Das Ausmaß sei für viele unvorstellbar gewesen – und das von Freunden! Die Europäische Volkspartei fordere eine Kündigung des “Safe-Harbour-Abkommens”. Auch EU-Bürger bräuchten Klagemöglichkeiten in den USA. Claude Moraes von der sozialdemokratischen Fraktion stimmte ihm zu, dass es keine Verbraucher erster und zweiter Klasse geben dürfe. Moraes, der auch Berichterstatter zum Überwachungsskandal ist, machte deutlich, dass die Schritte der Kommission nicht ausreichten, da keine wirklichen Konsequenzen im Raum stünden.

intveld_15-jan-2014

Sophie in’t Veld


Sophie in’t Veld (Liberale) meinte, man habe schon vor Snowden gewusst, dass Safe Harbour nicht sicher sei. Jahrelang sei das von der Kommission ignoriert worden. Warum man den Amerikanern selbst jetzt noch mehr Zeit einräumen wolle, sei unbegreiflich. Das Abkommen sollte sofort ausgesetzt werden.

Jan Philipp Albrecht von den Grünen beklagte, dass es keine einzige EU-Regierung gebe, die in Anbetracht der Snowden-Enthüllungen etwas tue. Stattdessen werde toleriert, dass amerikanische Konzerne die Datenschutzbestimmungen in Europa mit massivem Lobbying torpedierten. Die Bürgerinnen und Bürger verlören zunehmend das Vertrauen in ihre Regierungen. Auch deshalb müsse Safe Harbour ausgesetzt werden.

Cornelia Ernst von den Linken wies darauf hin, dass man die Farce, den Papiertiger Safe Harbour nicht mehr ertragen könne. Die Vorschläge der Kommission gingen nicht weit genug und man brauche ein Rahmendatenschutzabkommen mit den USA. Aus Respekt vor den Grundrechten müsse jetzt gehandelt werden.

Niki Tzavela von den Europaskeptikern wies auf einen Terroranschlag hin. Der fraktionslose Abgeordnete Martin Ehrenhauser aus Österreich forderte einen europäischen Aktionsplan und sofortige weitreichende Reformen.

Viviane Reding meinte abschließend, sie habe die Botschaft verstanden. Die Rechtsmittel würden jetzt bis Sommer 2014 geprüft. An der Stelle fragt man sich dann, ob sie überhaupt zugehört hat. Wenn man mal die obskuren Euroskeptiker, zu denen auch die GCHQ-Tories gehören, ausnimmt, war die Aussprache von erfreulicher Klarheit – sogar von konservativer Seite. Aber klar, wir warten natürlich gerne noch ein paar Monate auf den Schutz elementarer Rechte, nur keine Eile.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

December 06 2013

Axel Voss (CDU): USA dürfen nicht zu Einbrüchen gezwungen werden, deswegen geben wir die Daten freiwillig

Der CDU-Europaparlamentarier Axel Voss, der sich als Mitglied im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) seit Jahren intensiv in die Datenschutz-Gesetzgebung einbringt, hat sich in einem Interview ausführlich zum Datenaustausch zwischen Europa und den USA geäußert.

Zum Thema SWIFT fiel ihm dabei folgendes ein: Aus seiner Sicht sei es gut von der EU-Kommission gewesen, das Parlament bei der Entscheidung über die Aussetzung des SWIFT-Abkommens zu übergehen, wegen Terrorismus – Breivik zum Beispiel. Dass die USA sich illegal Zugang verschafft habe mache ausserdem keinen Sinn, denn sie habe ja bereits legalen Zugang. Vollkommen stringent in seiner Argumentation ist dann folgendes (im Video ab 7:28):

If we would suspend this agreement we are forcing the US to go to the SWIFT-net illegally, and this is not what we should do

Das wäre wahrscheinlich ein Verstoß gegen die Menschenrechtscharta, denn niemand darf auf dermaßen hinterhältige Weise zum illegalen Einbruch gezwungen werden.

Die Safe-Harbour-Vereinbarung dagegen solle ausgesetzt werden (ab Min. 11:00):

We should suspend the Safe Harbour Agreement, because I think the collecting and analyzing of data in these commercial issues is much more intrusive than what the NSA is collecting.

In welcher Parallelgesellschaft muss man eigentlich leben, um zu solchen Schlüssen zu kommen?

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

October 24 2013

Etappensieg für “Europe versus Facebook”

Die Gruppe Europe versus Facebook hat heute eine Mitteilung veröffentlicht, die von einem ersten Erfolg in einer Klage gegen die irische Datenschutzbehörde (DPC) berichtet. Die Behörde hatte auf vorherige Anzeigen der Gruppe gegen Facebook und Google nur geantwortet, dass deren Datenübertragungen legal seien und keine weiteren Schritte unternommen. Die Anzeigen bezogen sich darauf, dass die Unternehmen nach Bekanntwerden der Überwachung durch die NSA weiterhin Daten in die USA übermittelten. Das widerspricht laut den Mitgliedern dem “Safe Harbor”-Prinzip, da man annehmen müsse, dass dort kein angemessener Datenschutz mehr gewährleistet ist. Unter dem Vorwand, die Anzeigen seien nicht ernstzunehmen, ist die DPC untätig geblieben, wie wir bereits berichtet haben. Daraufhin klagte Europe versus Facebook die Behörde selbst an, mit ihrer Ignoranz die Verletzung von Bürgerrechten in Kauf zu nehmen.

Nun hat der irische High Court die Klage zugelassen und sie der DPC zugestellt, die sich nun verantworten muss. Damit ist zwar noch nicht absehbar, wie das Verfahren ausgehen wird, aber zumindest der Anfang wurde gemacht.

Finanziert wird die Klage gegen die DPC als auch die gegen Facebook über Crowdfunding. Die offiziell angestrebte Summe von 300.000 Euro scheint hoch, ist jedoch für den Fall bestimmt, dass ein Urteil gegen Facebook angefechtet werden muss, was mit horrenden Kosten verbunden wäre.

 

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 25 2013

Irland: Datenschutzbehörde sieht keine Probleme bei Datenweitergabe an die USA

Das Safe-Harbor-Abkommen sieht vor, dass amerikanische Unternehmen Daten von europäischen Bürgern nur dann auf amerikanischen Server speichern dürfen, wenn dort „angemessene“ Datenschutzbestimmungen gelten. Unternehmen, für die diese Regelung gelten, sind unter anderem Facebook, Apple und Google. Nach den Enthüllungen um die Abhörpraktiken amerikanischer Geheimdienst sind nun aber leise Zweifel angebracht, ob diese Bedingung tatsächlich erfüllt ist. Europe-v-facebook.org hat aus diesem Grund bereits vor einem Monat zwei Anzeigen gegen irische Tochterunternehmen von Facebook und Google bei der irischen Datenschutzbehörde eingebracht. Diese hat nun aber entschieden, dass die Datentransfers vollkommen legal seien und sieht von weiteren Ermittlungen ab.

Die irischen Tochterunternehmen von Facebook und Google sind für die Daten von europäischen Bürgern verantwortlich und senden diese zur Weiterverarbeitung an die Server der Mutterkonzerne in die USA. Dort haben dann verschiedenste Geheimdienste, darunter die NSA, Zugriff auf diese Daten. Es kann also eigentlich nicht davon die Rege sein, dass ein “angemessenes” Datenschutzniveau besteht, wie es Artikel 25 der Richtlinie 95/46/EG verlangt.

Die irische Datenschutzbehörde hat europe-v-facebook.com nun aber in einem Schreiben mitgeteilt, dass sie PRISM im Einklang mit dem Safe-Harbor-Abkommen sehe. Die Behörde begründet ihre Entscheidung damit, dass die EU-Kommission bei der Erstellung des Safe-Harbor-Abkommens, „vorausgesehen hat und auf die Frage eingegangen ist, dass personenbezogene Daten für Zwecke der Strafverfolgung verwendet werden“, wie unwatched.org berichtet.

Max Schrems, Gründer von europe-v-facebook.org, äußert dementsprechendes Unverständnis für die Entscheidung der irischen Datenschutzbehörde:

“Die irische Behörde sagt ernsthaft, dass die EU vor 13 Jahren das amerikanische PRISM-Programm vorausgesehen und akzeptiert hat, als sie die ‚Safe Harbor‘ Entscheidung gefällt hat. Damit sagt die Behörde auch, dass das PRISM Programm einem angemessenen Datenschutz nach EU-Recht entspricht.”

Seltsam mutet die Entscheidung der irischen Datenschutzbehörde aber auch deshalb an, da die Datenschutzbeauftragten des Bundes in Deutschland erst gestern die Aussetzung des Safe-Hafe-Abkommens gefordert haben, da eben kein ausreichender Datenschutz bei der Auslieferung der Daten gegeben sei.

Schließlich fordert die Konferenz die Europäische Kommission auf, ihre Entscheidungen zu Safe Harbor und zu den Standardverträgen vor dem Hintergrund der exzessiven Überwachungstätigkeit ausländischer Geheimdienste bis auf Weiteres zu suspendieren.

Das weitere Vorgehen von europe-v-facebook.org ist bisher noch nicht klar. Wie unwatched.org schreibt, handele es sich nämlich nur um ein “informelles Schreiben” der irischen Datenschutzbehörde. Ob also überhaupt eine Berufung möglich ist, muss noch geklärt werden. Max Schrems hat aber bereits einen möglichen Plan:

“Wenn es keine Möglichkeit gibt, in Irland zu berufen, wäre es für uns sogar besser, den Fall PRISM direkt vor den Europäischen Gerichtshof für Menschenrechte zubringen – sofern wir dafür ausreichend Geld aufbringen”

Aus diesem Grund bereits auf der Plattform crowd4privacy um Spenden gebeten um den Kampf für besseren Datenschutz in Europa fortzusetzen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 24 2013

Brief an Merkel und EU-Kommission: Datenschutzkonferenz fordert Aussetzung des Safe-Harbor-Abkommens

Die EU-Kommission soll das Safe-Harbor-Abkommen zur Übermittlung personenbezogener Daten in die USA suspendieren. Das fordert die Konferenz der Datenschutzbeauftragten als Konsequenz der “umfassenden und anlasslosen Überwachungsmaßnahmen ausländischer Geheimdienste”. Bis die Bundesregierung nachweist, dass die Überwachung effektiv begrenzt wird, wollen sie keine neuen Datenübermittlungen erlauben.

Die Datenschutzbeauftragten des Bundes und der Länder haben einen Brief an Kanzlerin Merkel geschickt und mit einer Pressemitteilung begleitet: Geheimdienste gefährden massiv den Datenverkehr zwischen Deutschland und außereuropäischen Staaten.

Die Europäische Kommission hat in mehreren Entscheidungen Grundsätze des „sicheren Hafens“ („Safe Harbor“) zum Datentransfer in die USA (2000) und Standardvertragsklauseln zum Datentransfer auch in andere Drittstaaten (2004 und 2010) festgelegt. Die Beachtung dieser Vorgaben soll gewährleisten, dass personenbezogene Daten, die in die USA oder andere Drittstaaten übermittelt werden, dort einem angemessenen Datenschutzniveau unterliegen. Allerdings hat die Kommission stets betont, dass die nationalen Aufsichtsbehörden die Datenübermittlung dorthin aussetzen können, wenn eine „hohe Wahrscheinlichkeit“ besteht, dass die Safe-Harbor-Grundsätze oder Standardvertragsklauseln verletzt sind.

Dieser Fall ist jetzt eingetreten. Die Grundsätze in den Kommissionsentscheidungen sind mit hoher Wahrscheinlichkeit verletzt, weil die NSA und andere ausländische Geheimdienste nach den gegenwärtigen Erkenntnissen umfassend und anlasslos ohne Einhaltung der Grundsätze der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung auf personenbezogene Daten zugreifen, die von Unternehmen in Deutschland an Stellen in den USA übermittelt werden. Zwar enthält die Safe-Harbor-Vereinbarung eine Regelung, die die Geltung der Grundsätze des „sicheren Hafens“ begrenzt, sofern es die nationale Sicherheit erfordert oder Gesetze solche Ermächtigungen vorsehen. Im Hinblick auf das Ziel eines wirksamen Schutzes der Privatsphäre soll jedoch von diesen Eingriffsbefugnissen nur im Rahmen des tatsächlich Erforderlichen und nicht exzessiv Gebrauch gemacht werden. Ein umfassender und anlassloser Zugriff auf personenbezogene Daten kann daher durch Erwägungen zur nationalen Sicherheit in einer demokratischen Gesellschaft nicht gerechtfertigt werden. Auch bei Datenübermittlungen in die USA aufgrund der Standardverträge muss der Datenimporteur zusichern, dass seines Wissens in seinem Land keine Rechtsvorschriften bestehen, die die Garantien aus den Klauseln in gravierender Weise beeinträchtigen. Eine solche Generalermächtigung scheint in den USA zu bestehen; denn nur so lässt sich erklären, dass der US-amerikanische Geheimdienst auf personenbezogene Daten, die aufgrund der Standardverträge übermittelt werden, mit hoher Wahrscheinlichkeit routinemäßig zugreift.

Deshalb fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird. Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (z. B. auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind.

Schließlich fordert die Konferenz die Europäische Kommission auf, ihre Entscheidungen zu Safe Harbor und zu den Standardverträgen vor dem Hintergrund der exzessiven Überwachungstätigkeit ausländischer Geheimdienste bis auf Weiteres zu suspendieren.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 19 2013

EU-Justizkommissarin Reding stellt Safe Harbor-Abkommen in Frage – Friedrich tut so

EU-Justizkommissarin Viviane Reding hat eine Überprüfung des Safe Harbor-Abkommens mit den USA angekündigt. Auf dieser Grundlage sind derzeit Datentransfers in die USA erlaubt, obwohl dort schwächere Datenschutzgesetze herrschen. Schon 2010 kam das Datenschutzzentrum Schleswig-Holstein zu dem Schluss, dass Safe Harbor sofort zu kündigen sei. Nach den NSA-Enthüllungen ist die von Reding angekündigte Überprüfung wohl das Mindeste.

Unser Innenminister behauptet unterdessen in einem Interview, dass er das Abkommen “nachschärfen” will. Das ist eine Bankrotterklärung im Voraus. Friedrich will laut eigenen Aussagen lediglich Transparenz (“Datensouveränität“) und findet geheimdienstliche Verarbeitung von Daten (aka die Komplettüberwachung der Menschheit) rechtens. Eine Überprüfung des Safe Harbor-Abkommens soll und kann so zu keinem anderen Ergebnis kommen als: Datenübermittlung in die USA ist okay, weil ist ja alles verfassungskonform dort.

Übrigens: In den Verhandlungen zur EU-Datenschutzreform gab Deutschland – laut geleakten Verhandlungsdokumenten aus dem Juni – zu, dass die geltenden Angemessenheitsbestimmungen in der Tat ausgehöhlt sind. Das hatte ich bereits gestern beschrieben. Konsequenz? Angemessenheitsbestimmungen sind eh Quatsch. Lieber wolle man sogenannte Binding Corporate Rules, d.h. lediglich unternehmensweit geltende Richtlinien, machen. So muss man nicht an den unbequemen Verhandlungstisch mit den amerikanischen Freunden.

Was heißt das nun? Im Innenministerium gibt es keinen politischen Willen, wirklich an Safe Harbor zu rütteln. Weder in Friedrichs Rhetorik, noch am Verhandlungstisch zur EU-Datenschutzreform. Wie groß der Wille in der EU-Kommission ist, muss sich auch erst zeigen. Reding ist nicht immer repräsentativ für die Kommission und eine Überprüfung ist noch keine Neuverhandlung oder gar Aufkündigung.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 18 2013

Österreich: Outsourcen der Speicherung von Vorratsdaten in die USA

Dieser Text von Josef Irnberger (Initiative für Netzfreiheit – Österreich) erschien zu erst auf edri.org unter der Lizenz Creative Commons CC-BY. Übersetzt von Nicolas Fennen.

Während des Verfahrens um die Vorratsdatenspeicherung am Europäischen Gerichtshof (EuGH) wurde deutlich, dass ein Outsourcen der Speicherung von Vorratsdaten an Vertragspartner möglich ist – möglicherweise sogar an amerikanische Firmen, was den amerikanischen Behörden unbeschränkten Zugriff auf die gespeicherten Daten ermöglichen würde.

Österreich ist ein Beispiel eines EU-Mitgliedstaats, in dem die Vorratsdatenspeicherung bereits vorhanden ist. Deshalb hat die österreichische NGO „Initiative für Netzfreiheit“ eine Anfrage an die nationale Datenschutzkommission (DSK) gestellt, ob die österreichischen Service Provider Drittfirmen, möglicherweise gar amerikanische Dienstleister, mit der Speicherung der Vorratsdaten beauftragt haben.

Die Vorsitzende der DSK antwortete, dass seine Behörde keine Möglichkeiten habe zu überprüfen, ob österreichische Service Provider die Speicherung der Daten ausgelagert hätten, geschweige denn ob es sich um amerikanische Unternehmen handele. Sollten die Vorratsdaten von Anbietern in unsicheren Drittländern gespeichert werden, müsste dieses der Behörde gemeldet werden. Amerikanische Unternehmen die Teil des Safe Harbor Abkommens sind, sind jedoch von der Meldepflicht befreit.

Die österreichische DSK hat die Macht und die Verpflichtung sicherzustellen, dass die nötigen Sicherheitsmaßnahmen für jegliche Speicherung von Vorratsdaten angewendet werden. Aus diesem Grund besitzt die DSK das Recht die Rechenzentren, in denen Vorratsdaten gespeichert werden, zu untersuchen, um die Effektivität der eingesetzten Sicherheitsvorkehrungen zu überprüfen. Die österreichische DSK sagte gegenüber der „Initiative für Netzfreiheit“, dass in den bisherigen 15 Monaten der gesetzlich festgeschriebenen Vorratsdatenspeicherung in Österreich, nicht ein Rechenzentrum auf Sicherheitsaspekte untersucht wurde, es aber Pläne gebe dieses bald zu tun. Auf die Frage angesprochen, ob die DSK glaube, tatsächlich Zugang zu amerikanischen Rechenzentren zu erhalten, antwortete die DSK, dass über diesen Fall bisher noch nicht nachgedacht wurde, sie aber nicht glauben eine Inspektion in amerikanischen Rechenzentren durchführen zu können.

Zusammengefasst muss festgestellt werden, dass die österreichische DSK nicht einmal die Möglichkeit besitzt zu erfahren, ob die Speicherung von Vorratsdaten an amerikanische Dienstleister ausgegliedert wurde. Niemand kann ausschließen, dass österreichische Vorratsdaten auf amerikanischen Servern gespeichert werden und somit amerikanischen Behörden der direkte Zugriff auf die Vorratsdaten österreichischer Bürger gewährt wird.

Die „Initiative für Netzfreiheit“ verlangt daher das sofortige Aussetzen der Vorratsdatenspeicherung in Österreich, sowie die Annullierung des Safe Harbor Abkommens. „Es kann nicht angehen, dass US Geheimdienste womöglich direkten Zugriff auf die Bewegungs- und Verbindungsdaten der Österreicher und Österreicherinnen haben. Hier besteht absolut unverzüglicher Handlungsbedarf“, sagt Josef Irnberger für die „Initiative für Netzfreiheit“.

“Nicht einmal die Datenschutzkommission kann somit direkten Zugriff der US Behörden auf unsere Vorratsdaten ausschließen, noch könnte die DSK rechtlich überhaupt Einschau in US Rechenzentren verlangen. Neben den eklatanten Menschenrechtsverletzungen durch die VDS Richtlinie selbst setzt dieser Umstand der Untragbarkeit der Vorratsdatenspeicherung aber wohl die Krone auf!”

Original Presseartikel (11.07.2013)

Unser Live-Blog zu der Verhandulung am EuGH (9.07.2013)

Safe Harbor Abkommen
(contribution by Josef Irnberger – EDRi member Initiative für Netzfreiheit – Austria)

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 25 2012

Europa und die Cloud: Standard zur Überwachung und Kritik von Datenschützern

Die Auslagerung von Daten in die Cloud bereitet den Behörden Sorge. Um weiterhin Abhören zu können, werden europaweite Standards zur Überwachung von Cloud-Diensten erarbeitet. Falls Verschlüsselung eingesetzt wird, soll die umgangen werden. Datenschützer hingegen kritisieren die Cloud, da nie klar ist in welcher Jurisdiktion die Daten liegen.

Das von der Europäischen Kommission gegründete Europäische Institut für Telekommunikationsnormen (ETSI) arbeitet derzeit an einem Standard zur Überwachung von Cloud-Diensten. Laut dem Entwurf sollen die Cloud-Anbieter Schnittstellen zur Verfügung stellen, mit denen Behörden die Daten und Aktivitäten der Nutzerinnen abhören können – in Echtzeit.

Erich Moechel berichtet auf ORF.at:

Wegen des “nomadischen Zugangs zu Diensten in der Cloud” sei es unwahrscheinlich, dass ein Internet-Zugangsprovider alle Überwachungsanfragen bedienen könne. Um dennoch “die Überwachbarkeit zu gewährleisten, muss der Cloud-Anbieter eine Überwachungsfunktion einbauen”, heißt es einen Abschnitt weiter (4.3)

Mit “nomadischem Zugang” ist gemeint, dass Facebookbenutzer über alle möglichen Wege daherkommen können, ob es das eigene DSL ist, drahtlose Breitbanddienste oder ein offenes WLAN-Netz. Man müsste also die Daten eines Facebook-Benutzers nicht nur bei mehreren Zugangsprovidern einsammeln, was nahe an der Echtzeit unmöglich ist. Zudem würde das nur einen Teil der Informationen bringen, die an einer Schnittstelle direkt bei Facebook abgegriffen werden könnten.

Dazu soll auch die SSL-Verschlüsselung angegriffen werden. Und zwar wollen Behörden mit “Deep Packet Inspection”-Systemen (DPI) “Man-in-the-Middle”-Attacken gegen die Verschlüsselung durchführen. Aus dem Entwurf:

Erich Moechel weiter:

“Deep Packet Inspection wird wahrscheinlich ein konstituierendes Element dieses Systems sein”, heißt es denn auch unter 4.3 im ETSI-Dokument unter den “Herausforderungen der Anforderungen” “(“Requirement Challenges”). Darüber wird als nächstes ebenso berichtet werden, wie über die Szenarien der staatlich sanktionierten Angriffe auf Skype, VoIP und Tauschbörsen, denen sämtlich sogenannte Peer-To-Peer-Protokolle zu Grunde liegen.

Skype hat übrigens gerade wieder auf die Frage, ob sie Gespräche abhören können, geantwortet: Kein Kommentar.

Eine andere EU-Institution sieht das mit dem Cloud-Computing kritischer. Die Artikel 29 Datenschutzgruppe veröffentlichte Anfang des Monats eine Stellungnahme mit ihrer Einschätzung der Cloud.

Die Datenschützer sehen “eine Reihe von Datenschutz-Risiken, vor allem einen Mangel an Kontrolle über persönliche Daten sowie unzureichende Informationen über die Fragen, wie, wo und von wem die Daten (weiter-)verarbeitet werden.” Da in der Cloud nie klar ist, wo die Daten physisch liegen ist auch die Jurisdiktion darüber unklar. Die europäische Datenschutzrichtlinie verbietet es jedoch, personenbezogene Daten in Staaten mit schwächerem Datenschutz auszulagern.

Dass dürfte jedoch bei Cloud-Diensten eher die Regel als die Ausnahme sein. Die existierenden Safe Harbor-Vereinbarung zwischen EU und USA sind daher unzureichend. Hier sehen die Datenschützer dringenden Klärungsbedarf.

Bis dahin sollten europäische Firmen ihre Cloud-Dienstleister ganz genau evaluieren und gegebenenfalls schriftlich versichern lassen, wohin die eigenen Daten übermittelt werden.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl