Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 22 2014

January 25 2014

Einigung über Datenschutzreform nicht vor den EU-Wahlen: Das Gute an der schlechten Nachricht

In dieser Woche hat EU-Justizkommissarin Viviane Reding beim informellen Rat der Justiz- und Innenminister in Athen offiziell gemacht, was schon länger klar war: Vor den EU-Wahlen schaffen es Kommission, Ministerrat und Parlament nicht, die EU-Datenschutzreform zu verabschieden. Grund dafür ist, dass sich die Mitgliedstaaten im Ministerrat nicht auf eine Position einigen können, mit der sie die entscheidenden Dreiecksverhandlungen (Trilog) mit Kommission und Parlament aufnehmen können, an deren Ende dann das fertige Reformpaket stehen könnte.

Erstmalig liegt ein Zeitplan vor

Überraschend ist das nicht, denn schon im vergangenen Oktober und Dezember gab es deutliche Signale, der Mitgliedsstaaten, dass sich das Reformvorhaben verzögert. Eine Reihe von Staaten, darunter auch Deutschland, hegen aus verschiedenen Gründen Bedenken gegen die Verordnung und verlängern damit die Lauffrist des geltenden internetuntauglichen Datenschutzregimes.

Was beim (berechtigten) Zetern über die Neuigkeit, die eigentlich keine ist, untergeht: Immerhin hat man sich erstmalig auf einen verbindlichen Zeitplan geeinigt. Im Juni wolle der Ministerrat ein Verhandlungsmandat erreichen und im Juli dann in die Dreiecksverhandlungen gehen. Ein Schritt weiter auf dem Weg dahin wollen die Justiz- und Innenminister im März sein, schreibt der EU-Observer. Solche Zeitpläne können natürlich gebrochen werden, was nicht unwahrscheinlich ist, wie der Tagesspiegel unter Berufung auf einen EU-Diplomaten schreibt. Aber Zeitpläne sind gleichzeitig Hebel, um Kontrolle und Druck auszuüben.

EU-Wahlen ändern erstmal nicht so viel

Im Zusammenhang mit den Berichten aus Athen wurde auch über die Rolle der EU-Wahlen, durch die sich die Zusammensetzung von Parlament und Kommission verändert, für die Datenschutzreform gesprochen. Der Einwand, neue Mehrheiten nach den EU-Wahlen könnten auch die Einigung des Parlaments, erreicht durch den Innenausschuss im Oktober 2013, scheitern lassen, erscheint relativ unbegründet, da das Europäische Parlament sein Verhandlungsmandat vor den EU-Wahlen durch eine erste Lesung formalisieren wird. Die Verhandlungsgrundlage steht also, zumal es, anders als im deutschen Bundestag, im europäischen Parlament kein Diskontinuitätsprinzip gibt. An laufenden Gesetzgebungsverfahren wird weitergearbeitet. Zudem ist es unwahrscheinlich, dass sich im neuen Europäischen Parlament Mehrheiten finden, die willens sind, die Büchse der Pandora Datenschutzverordnung noch einmal zu öffnen. Zur Erinnerung: In zähen Verhandlungen diskutierten die Abgeordneten über mehr als 3.000 Änderungsanträge. Und schließlich gilt es als wahrscheinlich, dass der zuständige Berichterstatter des Europäischen Parlaments für die Datenschutzverordnung, Jan Philipp Albrecht (Grüne), wiedergewählt wird.

Die zuständige EU-Kommissarin Viviane Reding bleibt offiziell noch bis zum 31. Oktober im Amt. Eine Neubesetzung könnte andere Akzente setzen. Ähnlich wie in Ministerien gilt aber auch bei der Kommission: Die zuständigen Beamtenstäbe arbeiten weiter. Auch hier erscheint es eher unwahrscheinlich, dass man getane Arbeit vollständig verwirft, zumal die Datenschutzreform als eines der wichtigsten Projekte der EU-Kommission gilt.

Politischer Wille gefragt

Der Ball liegt also beim Ministerrat bzw. den Mitgliedsstaaten, die politischen Willen zeigen und zu einer Entscheidung kommen müssen. Deutschland bzw. dem zuständigen Innenministerium wird hier eine besondere Rolle zukommen (vgl. dazu meine Analyse zum neuen Innenminister und der Datenschutzreform). Gut ist: Deutschlands zukünftiges Verhalten bei der Datenschutzreform lässt sich am Einhalten des vereinbarten Zeitplans messen.

Weitere aktuelle Hintergrundinformationen zum Stand der EU-Datenschutzreform:

Golem: Regierung wartet auf das nächste Google-Urteil

Monika Emert, Internet Policy Review: European ministers largely agree on international aspects of future data protection regulation, other issues unsolved

Carlo Piltz, de lege data: Datenschutzreform: aktueller Stand der Verhandlungen im Rat

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

October 25 2013

EU-Datenschutzreform: Schnelle Verabschiedung oder nicht?

Heute tagten in Brüssel die europäischen Staats- und Regierungschefs. Neben der deutsch-französischen Initiative, die Spähaffäre gemeinsam aufzuklären, legte man sich auch auf einen Zeitplan zur Verabschiedung der Datenschutzgrundverordnung fest, wo ja seit der Verabschiedung des Parlamentsberichtes am Montag, der Ball bei den Mitgliedsstaaten liegt. Im dazugehörigen Beschlussdokument heißt es:

It is important to foster the trust of citizens and businesses in the digital economy. The timely adoption of a strong EU General Data Protection framework and the Cyber-security Directive is essential for the completion of the Digital Single Market by 2015.

Dieser Satz sorgt nun für zahlreiche Diskussionen. Diejenigen, die an einer zeitnahen Verabschiedung der EU-Datenschutzverordnung vor den Europawahlen interessiert sind (EU-Kommissarin Viviane Reding und das Eurpoäisches Parlament in Person von Berichterstatter Jan Albrecht), interpretieren den Satz als Entschluss der Mitgliedsstaaten, genau das anzustreben. Denn dann könnte das Gesetz 2015 in Kraft treten.

Andere wiederum, etwa die europäischen Nachrichtenportalen EurActiv und der EUObserver schreiben, dass das eben nicht der Fall sein wird und sich die Verhandlungen verzögern werden. Der EUOberserver beruft sich weiterhin auf diplomatische Kreise:

Meanwhile, an EU diplomat said member states are already using tactics to delay the bill. “At the technical level, we are hear a lot of noises in terms of ‘quality before timing’, ‘we shouldn’t rush this’, which is basically code words for delaying the whole thing,” the diplomat said.

Unsere Bundeskanzlerin wird zudem mit den Worten zitiert (Sorry, sehe es gerade in keiner anderen Quelle außer diesem Tweet.):

Was heißt das nun alles? Fakt ist, an der Datenschutzreform würde auch nach den Europawahlen weitergearbeitet werden. Wer allerdings an der Verabschiedung einer starken Datenschutzverordnung interessiert ist, sollte alles daran setzen, die Verordnung vor den Europawahlen fertig zu verhandeln. Erstens, weil so das politische Momentum nicht verloren geht. Zweitens, weil nicht nur einige Mitgliedstaaten, sondern auch die Industrie daran interessiert ist, das Gesetz weiter zu verzögern und dadurch zu verwässern. Letztere könnten zudem darauf zielen, die Datenschutzverordnung in die Verhandlungen um das transatlantische Freihandelsbakommen (TAFTA/TTIP) mitreinzuziehen und damit das Recht auf Datenschutz verhandelbar machen.

Die deutsche Regierung nimmt dabei eine ambivalente Rolle ein (siehe oben). Andere Staaten werden als Verzögerer benannt. Deutschland selbst versteckt sich hinter dem Argument des handwerklichen Nachbesserungsbedarfs, der seine Zeit bräuchte und erweist dem europäischen Datenschutz damit einen Bärendienst. Die derzeit laufenden Koalitionsverhandlungen könnten eine Möglichkeit sein, die CDU in der Frage Datenschutzverordnung auf eine schnelle Einigung zu drängen. Los, SPD!

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

October 18 2013

Datenschutz-Kompromisse öffnen Einfallstor für Profiling und Zustimmungsaushebelung

eudatap_amsAm Montag ist es endlich soweit: Der Innenausschuss des Europaparlaments wird über die neuen Datenschutzregeln abstimmen. Dem Berichterstatter Jan Philipp Albrecht (Grüne) und den Schattenberichterstattern der anderen Fraktionen ist es gelungen, mehrere tausend Änderungsanträge für den Kommissionsentwurf einzudämpfen auf 105 Komprommissanträge, die European Digital Rights (EDRi) veröffentlicht hat. Diese werden von allen Fraktionen getragen, womit die Abstimmung zur Formsache werden dürfte.

Der Haken an der Sache

In die Medien schaffen es im Moment vor allem positive Aspekte wie die Erhöhung der möglichen Sanktionen bei Verstoß gegen die Datenschutzregeln oder die Aufnahme des früheren Artikels 42, mit dem ein Transfer von Daten in unsichere Drittstaaten (sprich auf die NSA-Server) erschwert werden soll (was dafür aber bei weitem nicht ausreicht). Das große Problem: Einzelne Schlupflöcher können die komplette Regelung zu einem Einfallstor machen und zur weiteren Erosion von Grundrechten beitragen. Und leider ist der Text nicht frei davon. Besonders fatal, da er zur Grundlage für Verhandlungen mit den Nationalstaaten dient, die mit der deutschen Regierung an der Spitze bisher nicht gerade durch flammenden Einsatz für den Schutz unserer Rechte aufgefallen sind, um es mal vorsichtig auszudrücken.

Interesse von Unternehmen schlägt Zustimmung der Person

Das größte dieser Tore: Die hochgradig gefährliche Formulierung “berechtigtes Interesse” hat es in den Kompromiss geschafft – ohne genauere Definition, stattdessen wird sie sogar noch auf Dritte ausgeweitet. Dabei handelt es sich um eine der in Artikel 6 festgelegten Bedingungen, die es Unternehmen ermöglichen sollen, persönliche Daten auch ohne Zustimmung zu verarbeiten. Diese wurde nicht wirksam eingeschränkt auf bestimmte Fälle. Damit bleibt es im Zweifelsfall dem Datenverarbeiter oder später den Juristen überlassen zu entscheiden, wo nun ein “berechtigtes Interesse” besteht.

Auf die Probleme dieser undefinierten Berechtigung zur Datenverarbeitung wurde von vielen Seiten mehrmals und wiederholt hingewiesen, ausführlich beispielsweise von Bits of Freedom. Leider ohne Erfolg.

Gestrichen wurde die Verhinderung von erzwungener Zustimmung bei einem bestehenden starken Machtverhältnis (etwa zwischen Arbeitgeber und Arbeitnehmer). Hier hieß es ursprünglich in Artikel 7:

Consent shall not provide a legal basis for the processing, where there is a significant, imbalance between the position of the data subject and the controller

Lobbyismus-Artefakte der unschönen Art

Nach wie vor finden sich ausserdem Regelungen, die an die Bedürfnisse amerikanischer Konzerne angepasst sind. Die relativ willkürlich wirkende Altersgrenze von 13 Jahren, ab der ein Kind ohne Zustimmung der Eltern in die Verarbeitung seiner Daten einwilligen kann, ist beispielsweise ein solches Lobbyismus-Artefakt. Eine in Europa üblichere Definition findet sich noch in den Definitionen von Artikel 4:

(18) ‘child’ means any person below the age of 18 years

Artikel 8 ignoriert diese Definition einfach.

Profiling – what could possibly go wrong?

Und so verwundert es schließlich auch nicht mehr, dass die Regelung für Profiling (Artikel 20) nun statt eines Opt-ins ein Opt-out vorsehen. Über pseudonyme Daten heisst es in Erwägungsgrund 58a ausserdem:

Profiling based solely on the processing of pseudonymous data should be presumed not to significantly affect the interests, rights or freedoms of the data subject.

Damit werden pseudonyme Daten unter schwächeren Schutz gestellt, womit Einschränkungen wie die aus Artikel 20 (2) nicht für sie gelten dürften. Anschließend heisst es, dass in dem Moment, in dem durch Zusammenführen mit anderen Daten oder Anfallen von genügend Daten die “pseudonymen Daten” einer Person zuzuordnen sind, diese Daten nicht mehr pseudonym seien (tata!). Damit sind sie solange nicht wirklich geschützt, bis es eh zu spät ist. In den Datenbanken der Nachrichtendienste wird aber sicherlich darauf geachtet, die von Privatunternehmen abgeschöpften Daten da klar zu trennen und im Fall der Fälle umgehend zu löschen. Oder auch nicht.

Die genauere Analyse des Kompromisses wird noch ein wenig dauern. Der benötigte große Wurf, der als starke Verhandlungsbasis mit den Nationalstaaten dient, scheint er aber nicht zu sein.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

October 07 2013

EU-Datenschutzreform: Ministerrat uneins über Zusammenarbeit der Datenschutzbehörden

Die EU-Innen- und Justizminister haben auf ihrem heutigen Treffen einen der wichtigsten Punkten der geplanten EU-Datenschutzverordnung diskutiert: Die Zuständigkeit und Koordination der nationalen Datenschutzbehörden sowie die Befugnisse des geplanten Europäischen Datenschutzausschusses. Es ist wichtig, dass sich hier was tut. Im Moment gibt es keine praktische Handhabe gegen die Datenschutzverstöße von Unternehmen, die in einem anderen Mitgliedsstaat operieren. Max’ Schrems Beschwerden gegen Facebook können in diesem Zusammenhang nicht oft genug erwähnt werden.

Wie zu erwarten war, sind sich die Mitgliedsstaaten bei der Ausgestaltung der Datenschutzaufsicht nicht einig. Wer mehr wissen will: Christiane Schulzki-Haddouti und Andreas Wilkens berichten für heise. Christian Feld kommentiert das in der ARD. Lesenswert sind zudem die Tweets von Christian Wiese Svanberg (dokumentiert die Länderpositionen) und Caspar Bowden.

Beim Digitalen Gesellschaft e.V. haben wir jüngst aufgeschrieben, wie wir uns das wünschen mit den Datenschutzbehörden und der Durchsetzung: Es braucht starke nationale Datenschutzbehörden und einen starken Europäischen Datenschutzausschuss, der für eine europaweit einheitliche Auslegung der Verordnung sorgt. Das ist weder ein Widerspruch, noch zu teuer, noch zu bürokratisch. Das sollte der Informationsgesellschaft ihr Datenschutz wert sein.

Während der Ministerrat noch verhandelt, stimmt der zuständige Ausschuss im Europäischen Parlament schon am 21. Oktober über die Datenschutzverordnung ab. Zeit, sich mal dafür zu interessieren.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

September 18 2013

Innenausschuss des EU-Parlaments stimmt am 21.Oktober über Datenschutzverordnung ab

Der Innenausschuss des Europäischen Parlaments (LIBE) wird voraussichtlich am 21. Oktober über die Datenschutzgrundverordnung abstimmen. Das sagte der zuständige Berichterstatter Jan Philipp Albrecht (Grüne) gestern im Rahmen einer Datenschutzkonferenz in Brüssel.

Der LIBE-Ausschuss ist federführend bei dem Dossier, das heißt hier legt das Europäische Parlament seine Position zur Datenschutzverordnung fest, mit der der Berichterstatter in die Dreiecksverhandlungen mit dem Ministerrat und der EU-Kommission geht.

Warum ist das wichtig? Die Datenschutzverordnung regelt den europäischen Datenschutz der nächsten Jahrzehnte! Ausführlicher habe ich das zum Beispiel hier beschrieben. Und vor allem: EU-Parlamentarier sind – im Gegensatz zu EU-Beamten und nationalen Ministerien – erfahrungsgemäß am offensten für Input von Euch da draußen (siehe ACTA). Dieser Termin ist also eine letzte Chance, noch einmal Einfluss auf das Parlament zu nehmen, bevor es in die undurchsichtigen Verhandlungen zwischen den Institutionen geht.

Einschränkend muss gesagt werden: Der Berichterstatter und die Schattenberichterstatter*innen befinden sich derzeit in Kompromissverhandlungen hinter verschlossenen Türen. Das heißt 1., dass in vielen Punkten schon Einigkeit zwischen den Fraktionen bestehen kann (Kann man aber auch wieder ändern). Und 2., dass sich die Öffentlichkeit erst relativ kurzfristig ein Bild von den gerade noch nicht öffentlichen Kompromissänderungsanträgen machen kann, über die am 21. abgestimmt wird. (Wer eben nur Bahnhof verstanden hat, guckt am besten mal in den Wegweiser durch das Brüsseler Labyrinth).

Wie mächtig Daten und wie wichtig guter Datenschutz ist, zeigt uns ein gewisser Edward Snowden ja gerade auf die harte Tour. Die Datenschutzverordnung kann geheimdienstliche Überwachung nicht verhindern. Sie kann aber datenschutzfreundliche Dienste fördern und für Transparenz bei der Datenverarbeitung sowie eine verbesserte Rechtsdurchsetzung sorgen. Mitmachen lohnt sich also. Ende September sind Freedom Not Fear-Tage in Brüssel und dann wird die Kampagne zur EU-Datenschutzverordnung wohl auch wieder richtig anlaufen. E-Mails an Abgeordnete schreiben, kann man aber immer.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 27 2013

IM Friedrich: Facebook schlimmer als Geheimdienste (oder so)

Im aktuellen Spiegel (leider noch nicht online) haut unserer Innenminister wieder einen Kalauer nach dem anderen raus. Ganz schlimm wird es beim Verhältnis zwischen Datenschutz und Überwachung.

SPIEGEL: Sie übertragen den Sicherheitsbehörden stetig neue Kompetenzen. Wir haben den Eindruck, Datenschutz ist für Sie einer der Späne, die nun mal fallen, wenn gehobelt wird.

Friedrich: Das sehen Sie völlig falsch. Datenschutz ist mir als Minister und Bürger wichtig. Aber Daten sind nicht gleich Daten – das diskutieren wir gerade auch intensiv mit der Europäischen Kommission, die da sehr statisch denkt. Es ist eben nicht dasselbe, ob eine Bäckerei speichert, wer die Zeitschrift „Bäckerblume“ abonniert hat, oder ob private Firmen mit riesigen Rechenzentren alle meine Gesundheitsdaten gespeichert haben. Das ist ein ganz anderer Grad von Persönlichkeitsgefährdung. Letzteres müssen wir unterbinden. Ich will keinen Überwachungsstaat. Das sage ich Ihnen ganz klar.

Mensch, seid ihr auf einmal motiviert in Sachen Datenschutzverordnung. Ihr wollt doch nicht etwa von irgendwas ablenken?

SPIEGEL: Sie haben Google und Facebook schon 2011 mit einer roten Karte gedroht, aber von ihnen nur eine freiwillige Selbstverpflichtung gefordert. Die kam nicht. Die rote Karte aber auch nicht.

Friedrich: Weil die Unternehmen keine freiwillige Selbstverpflichtung wollten, werden wir das jetzt auf europäischer Ebene gesetzlich regeln. Lassen Sie mich eines mal grundsätzlich sagen: Die Freiheit von Menschen wird durch unkontrollierte Machtkonzentration bedroht. Wer etwa wie Internetkonzerne aufgrund der im Netz gesammelten Daten ein exaktes Persönlichkeitsbild von mir zeichnen kann, ohne ausreichend an Gesetze gebunden zu sein, hat ein viel größeres Machtpotential als jeder demokratisch kontrollierte Geheimdienst.

Stimmt. Schade nur, dass es keine “demokratisch kontrollierten Geheimdienste” gibt (und auch nicht geben wird).

SPIEGEL: Es gibt nur einen Unterschied: Facebook und Google liefern sich die Menschen freiwillig aus. Das ist dumm.
NSA und GCHQ aber holen sich einfach, was sie haben wollen.

Friedrich: Noch mal – was will die NSA denn mit Ihren Daten? Es ist völlig irrelevant für den Auftrag des Nachrichtendienstes, was irgendjemand zu einem anderen am Telefon sagt, es sei denn, er will Bomben bauen und damit den Hamburger Hauptbahnhof in die Luft jagen. Denjenigen zu finden ist der Auftrag der Nachrichtendienste und sonst nichts. Wenn aber ein Privatunternehmen mehr über mich weiß als ich selbst, macht mich das nervös.

Aha.

SPIEGEL: Dass die NSA sich die Daten von Facebook & Co. besorgen kann, macht andere nervös. Sind Sie eigentlich noch bei Facebook?

Friedrich: Selbstverständlich. Facebook kann gern wissen, dass ich gestern gewandert bin und anschließend bei Horst Seehofer war.

Also doch nicht so schlimm. Und wir dachten schon, zur Terrorabwehr dürfen BND & Friends nicht mehr social gehen.

Wenn demnächst noch mal Unklarheiten auftreten sollten, bitte vorher in die praktische Anleitung für den fürsorglichen Überwachungsstaat schauen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 17 2013

EU-Datenschutzverordnung darf nicht Merkels NSA-Feigenblatt werden

Immer mehr drängt sich der Eindruck auf, dass die Bundesregierung den größten Überwachungsskandal der Menschheitsgeschichte vertuscht. Als aktionistisches Feigenblatt muss immer öfter die derzeit verhandelte Datenschutzgrundverordnung herhalten. Jüngstes Beispiel ist die Antwort der Bundesregierung auf die 115 Fragen der SPD-Bundestagsfraktion. Bevor ich allerdings darauf zu sprechen komme, eine kurze Einführung in die Problematik.

Artikel 42: Gut, aber nicht genug

Die Bundesregierung hat auf dem letzten informellen Rat für Justiz und Inneres am 19. Juli 2013 u.a. die Wiedereinführung des Artikels 42 in die Datenschutzverordnung vorgeschlagen.

Der Regelungsvorschlag sieht vor, dass Datenübermittlungen an Drittstaaten künftig entweder den strengen Verfahren der Rechts- und Amtshilfe unterliegen oder den Datenschutzaufsichtsbehörden gemeldet und von diesen vorab genehmigt werden müssen.

Auch wir hatten mehrfach über den unter omniösen Umständen aus dem Kommissionsvorschlag herauslobbyierten Artikel berichtet und darauf hingewiesen, dass dieser allein eben keinen ausreichenden Schutz bietet und von anderen Maßnahmen in der Verordnung flankiert werden muss – natürlich auch auf nationaler und internationaler Ebene. Nichtsdestotrotz ist der Vorschlag zur Wiedereinführung des Artikels 42 natürlich unterstützenswert.

Die Feigenblatt-Antwort auf die kleine Anfrage vom 26.7

Die Bundesregierung scheint zu denken, dass die EU-Datenschutzverordnung regulieren könnte, inwiefern “Unternehmen Daten (aktiv und bewusst) in an einen Drittstaat übermitteln” (PDF, S. 48). Das formuliert sie so selbstbewusst in ihrer sonst dürftigen Antwort auf die kleine Anfrage der SPD-Bundestagsfraktion vom 26.7. Pikant ist das in zweierlei Hinsicht.

1. “PRISM-Unternehmen” wie Facebook, Apple und Co. würde das nicht treffen. Der Datentransfer vom europäischen Tochterunternehmen zum amerikanischen Mutterunternehmen, wo die Nutzerdaten zumeist verarbeitet werden, wird vom Safe Harbor-Abkommen gedeckt. Das ist auch der Ansatzpunkt der laufenden Beschwerde von europe-v-facebook.org gegen diese Firmen:

Wenn ein europäisches Tochterunternehmen die Nutzerdaten zum amerikanischen Mutterunternehmen schickt, liegt ein „Export“ von Daten vor. Nach EU-Recht ist ein Export von Daten ins EU-Ausland nur erlaubt, wenn vom europäischen Unternehmen im Zielland (also z.B. den USA) ein „angemessenes Schutzniveau“ für das Grundrecht auf Datenschutz garantiert werden kann. Nach den Enthüllungen des Guardian ist jedoch bei den Unternehmen, welche am PRISM-Programm teilnehmen sollen, das Vertrauen in ein solches „angemessenes Schutzniveau“ erschüttert.

Natürlich will die Bundesregierung auch Safe Harbor evaluieren, wie es im “Acht-Punkte Programm für einen besseren Schutz der Privatsphäre” heißt. Wie die Evaluation des Schutzniveaus bei den “amerikanischen Freunden” (Friedrich) ausfällt, ist erwartbar: Alles in Ordnung!

2. Im Kontext der aktuellen Ereignisse allgemein: Es ist schon verdächtig, wie motiviert die Bundesregierung nun in Sachen Datenschutzverordnung agiert. Obwohl wir hier mehrfach gezeigt haben, dass die Verhandlungsrealitäten bislang anders aussahen.

Skepsis ist angebracht

Einer Bundesregierung, die Überwachungsexzesse vertuscht, millionenfache Grundrechtsverletzungen okay findet und immer wieder durch technisches Unverständnis (z.B. Friedrichs Virenscanner) auffällt, sollte man bei plötzlichem Datenschutz-Engagement zumindest mit Skepsis begegnen.

Ja, die Datenschutzverordnung könnte wirklich eine Chance für besseren Datenschutz in Europa sein. Die wichtigen Baustellen heißen: Privacy by Design, Datensparsamkeit bei der Erhebung, Transparenz bei der Datenverarbeitung und vor allem eine funktionierende Durchsetzung des Datenschutzrechts. Max Schrems (europe-v-facebook.org), zeigt ja immer wieder wie kafkaesk die Wahrung der Datenschutzrechte derzeit ist.

Die Datenschutzverordnung ist zu wichtig, um als Merkels Feigenblatt im NSA-Skandal missbraucht zu werden.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 18 2013

Schmilzt wie Butter in der Sonne: Friedrich will Meldepflicht in Datenschutzreform

Alle in Deckung! Innenminister Friedrich macht wieder Datenschutz. Nach dem grandiosen Vorschlag der Virenscanner zum Selbstdatenschutz, nimmt sich die heutige Forderung beinahe seriös aus. Beim Treffen der EU-Innen- und Justizminister in Vilnius forderte Friedrich eine Meldepflicht für Drittsstaatentransfers in der EU-Datenschutzverordnung.

Eine Meldung an die Europäische Kommission oder ähnliche Stellen oder sogar eine Genehmigung, wenn man Daten ausliefert an fremde Staaten, das ist die Idee, die meiner Ansicht nach umgesetzt werden muss.

Zunächst ist das natürlich ein weiterer Teil seiner Bankrotterklärung, nach dem Motto: Sagt wenigstens Bescheid, dass ihr mit den Geheimdiensten zusammenarbeitet, dann können wir schon mal Virenscanner installieren. Denn Friedrich erachtet NSA-Überwachung schließlich für notwendig. Ignoriert man diesen Grundwiderspruch und schaut sich die Aussage Friedrichs länger an, schmilzt sie zusammen wie Butter in der litauischen Sonne.

“Eine Meldung an die Europäische Kommission oder ähnliche Stellen”

Amerikanische Firmen verarbeiten meine Daten auch in den USA. Hier gilt (mal wieder): Bürokratie abbauen und lieber Zeitung lesen, dort steht das nämlich auch. Nicht ganz unnützlich, weil vielleicht abschreckend, wäre allerdings eine deutliche Meldung an die User, bevor sie der Datenverarbeitung zustimmen. Vielleicht will Friedrich das auch, ist schließlich die Position seiner Chefin. Allzu hoffnungsvoll dürfen wir allerdings nicht sein, Deutschland fürchtet ja eh schon hohe Kosten für die Industrie bei den Informationspflichten.

“oder sogar eine Genehmigung, wenn man Daten ausliefert an fremde Staaten”

Das klingt schon fast nach Law & Order und meint wohl im Kern den ursprünglich aus der Datenschutzreform herauslobbyierte Artikel 42, der sagt, dass Daten von EU-Bürger*innen nur noch dann an ausländische Behörden übermittelt werden dürfen, wenn dies durch ein entsprechendes Rechtshilfeabkommen gedeckt ist. Über den Sinn und Unsinn einer solchen Meldepflicht, diskutieren wir schon länger, seit den NSA-Enthüllungen verstärkt. 1. Problem: Wenn das zur Anwendung kommt, steht EU-Recht gegen US-Recht. US-Firmen werden also im Zweifelsfall eher mit ihren eigenen Geheimdiensten kooperieren, zumal Nicht-Kooperation mit Geheimdiensten wohl massiv Ärger in den Staaten einbringt. 2. Problem: Es existiert zwar ein Rechtshilfeabkommen, aber das erlaubt keinen Pull-Zugriff auf Daten à la PRISM und setzt gewisse Prozeduren voraus. Aber PRISM ist doch nötig für unsere Sicherheit?

Friedrich könnte mit Genehmigungen auch Angemessenheitsbestimmungen für Datenverarbeitung durch Drittstaaten wie das unsinnige Safe Harbour-Abkommen meinen. Diese müssten also, wenn Friedrich es ernst meint, auch neu ausgehandelt werden. So viel Mut ist nicht zu erwarten. Aber keine Angst, Angemessenheitsbestimmungen findet Deutschland eh nicht gut, wie aus der entsprechenden Fußnote des zuletzt von Statewatch geleakten Dokument zum Verhandlungsstand im EU-Ministerrat (PDF) hervorgeht:

DE in particular thought that the manifold exceptions emptied the adequacy rule of its meaning. Whilst they did not disagree with the goal of providing protection against transfer of personal data to third countries, it doubted whether the adequacy principle was the right procedure therefore, in view of the many practical and political difficulties (the latter especially regarding the risk of a negative adequacy decision, cf. DE, FR, UK). The feasibility of maintaining an adequacy-test was also questioned with reference to the massive flows of personal data in in the context of cloud computing: BG, DE, FR, IT, NL, SK and UK.

Besser findet Deutschland sogenannte Binding Corporate Rules, d.h. lediglich unternehmensweit geltende Richtlinien. Hier sollen aber lieber nicht so viele Datenschutzbehörden mitreden, wie es in der dazugehörigen Fußnote heißt.

DE and UK expressed concerns on the lengthiness and cost of such approval procedures. The question was raised which DPAs should be involved in the approval of such BCRs in the consistency mechanism.

Zwei Debatten, zwei Fails

Friedrich zündet mal wieder Nebelkerzen. Die Realitäten, sowohl in der NSA-Debatte als auch in den Verhandlungen zur Datenschutzreform, sehen anders aus. In der NSA-Debatte verhindert das totale Bekenntnis zur “Sicherheit” (aka Supergrundrecht) ein grundlegendes Infragestellen des größten Überwachungsprojekts aller Zeiten. Die Verhandlungen zur Datenschutzreform sind schlicht industriedominiert. Was beide Debatten vereint: Sie ignorieren die Macht, die von großen Datensammlungen ausgeht.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 14 2013

Realitätscheck: Merkels janusköpfige Datenschutzrhetorik vs. Verhandlungsstand im EU-Ministerrat

Im ARD-Sommerinterview versprach Kanzlerin Angela Merkel, dass sich Deutschland auf dem am kommenden Donnerstag/Freitag stattfindenden Rat der EU-Innen- und Justizminister für mehr Informationspflichten stark machen will. Internetunternehmen sollen darüber Auskunft erteilen, “wem sie welche Daten weitergeben”, sagte Merkel. Das überrascht, denn gerade Deutschland hatte im Ministerrat Bedenken bei den selbstverständlichen Informationspflichten für Diensteanbieter geäußert. Der Grund: Angebliche Extrakosten für die Industrie. Das geht aus dem zuletzt von Statewatch geleakten Dokument zum Verhandlungsstand im EU-Ministerrat (PDF) hervor. In der Anmerkung zum entsprechenden Artikel 14 heißt es:

DE, supported by ES and NL, has asked the Commission to provide an assessment of the extra costs for the industry under this provision.

In einer weiteren Fußnote, die sich auf einen Vorschlag zur Ergänzung der Informationspflichten bezieht (unter anderem eben Drittstaatentransfers), heißt es:

DE, DK, NL and UK doubted whether the redraft would allow for a sufficient risk-based approach and warned against excessive administrative burdens/compliance costs.

Der entsprechende Original-Artikel im Kommissionsvorschlag fordert von den Anbietern eigentlich nur Selbstverständlichkeiten:

Artikel 14 Information der betroffenen Person

1.           Einer Person, von der personenbezogene Daten erhoben werden, teilt der für die Verarbeitung Verantwortliche zumindest Folgendes mit:

a)      den Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen sowie gegebenenfalls seines Vertreters und des Datenschutzbeauftragten,

b)      die Zwecke, für die Daten verarbeitet werden, einschließlich der Geschäfts- und allgemeinen Vertragsbedingungen, falls sich die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe b gründet, beziehungsweise die von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen, wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht,

c)      die Dauer, für die die personenbezogenen Daten gespeichert werden,

d)      das Bestehen eines Rechts auf Auskunft sowie Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten durch den für die Verarbeitung Verantwortlichen beziehungsweise eines Widerspruchsrechts gegen die Verarbeitung dieser Daten,

e)      das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde sowie deren Kontaktdaten,

f)       die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,

g)      gegebenenfalls die Absicht des für die Verarbeitung Verantwortlichen, die Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das dort geltende Datenschutzniveau unter Bezugnahme auf einen Angemessenheitsbeschluss der Kommission,

h)      sonstige Informationen, die unter Berücksichtigung der besonderen Umstände, unter denen die personenbezogenen Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

Diese Selbstverständlichkeiten, die eigentlich noch genauer sein müssten werden und über die konkreten Verfahren und Logiken der Datenverarbeitung aufklären sollten, fand Deutschland vor der großen NSA-Aufregung zu teuer und machte industriefreundliche Vorbehalte. Das gleiche Deutschland will sich jetzt für Hinweise einsetzen, die Facebook, Microsoft und Co. erstmal ordentlich diskreditieren könnten vor den Usern? Wenn dem wirklich so sein sollte: Lasst euch ein dickes Lobbyfell wachsen!

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 09 2013

EU-Datenschutzreform: Heißer Herbst im Europäischen Parlament erwartet

Der Innenausschuss des Europäischen Parlaments (LIBE) hat sich heute das letzte Mal vor der Sommerpause zur EU-Datenschutzreform, d.h. über die Datenschutzgrundverordnung und die Datenschutzrichtlinie für Polizei und Justiz ausgetauscht. Beide Legislativvorhaben stecken derzeit in der Phase der Komprimissfindung zwischen den Schattenberichterstatter*innen. Im Herbst soll dann endlich über diese so kontroversen und wichtigen Gesetzesvorhaben abgestimmt werden. Wegen Tagesordnungsschwierigkeiten war ein inhaltlicher Austausch heute nicht möglich. Die Beteiligten gaben nur ein kurzes Update.

Jan Philipp Albrecht (Grüne), Berichterstatter für die Datenschutzgrundverordnung, sprach von “Fortschritten bei der Kompromissfindung”. Um Glättung der Wogen bemüht, konnte man durchaus noch heraushören, dass es da recht heftige Diskussionen hinter verschlossenen Türen gibt. Die Kompromissverhandlungen über die Änderungsanträge sind nicht öffentlich. Eine weitere interessante Bemerkung Albrechts bezog sich auf den Ministerrat: Hier seien beide Seiten nicht so weit entfernt. Hoffen wir mal, dass das diplomatischer Politsprech war. Was wir nämlich aus dem – uneinigen, aber generell eher datenschutzunfreundlichen – Rat hören, klingt nicht gut. So war das hoffentlich mit den Annäherungen nicht gemeint.

Der Berichterstatter für die Datenschutzrichtlinie (bei Polizei- und Justiz) Dimitrios Droutsas (S&D), will vielleicht schon im September die Kompromissverhandlungen abschließen. Er betonte, dass es in der “Post-PRISM-Ära des Datenschutzes in Europa”, immens wichtig sei, gleich hohe Standards für die Datenverarbeitung im privaten wie im öffentlichen bzw. Sicherheitsrecht zu haben. Hier wird man vor allem auf die Mitgliedsstaaten zu achten haben, die traditionell nicht so große Lust auf einheitliche Regelungen in diesem Bereich haben. Zur Erinnerung: Auch hier werden z.B. Drittstaatentransfers behandelt, nämlich die von Sicherheitsbehörde zu Sicherheitsbehörde (Art. 33). Das wird keine Geheimdienstzusammenarbeit stoppen, kann jedoch ähnlichen Tendenzen außerhalb dessen vorbeugen. Auch für die Richtlinie sollten wir™ uns langsam mal interessieren.

Eine unterstützenswerte Anmerkung machte Cornelia Ernst (Linke). Sie forderte, dass die erzielten Kompromisse, d.h. der Verhandlungsstand mal etwas transparenter gemacht (“erklärt”) werden. +1. Die wichtigste Verhandlungsphase des Gesetzes findet hinter verschlossenen Türen statt. Das fördert politisches Engagement nicht gerade.

Das Europäische Parlament arbeitet ab September weiter an der Datenschutzreform. Zeit, sich mal dafür zu interessieren, bevor es zu spät ist. Die Enthüllungen der geheimdienstlichen Datenexzesse zeigen uns täglich, wie mächtig Daten sind. Also, die Datenschutzreform ist nicht ACTA, aber genau so wichtig!

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 11 2013

EU-Datenschutzreform: Konkrete Vorschläge aus Brüssel gegen PRISM und Co.

Am vergangenen Freitag hatte ich darüber geschrieben, dass wir bei der derzeit in Brüssel verhandelte EU-Datenschutzgrundverordnung Lehren aus PRISM ziehen können. Da es einige Rückfragen gab, fassen wir an dieser Stelle noch einmal die konkreten Ansätze zusammen. Es geht hier um zwei Dinge: Datenschutz in Clouds außerhalb Europas (sic!) und Schutz von Whistleblowern wie Edward Snowden. Für beides gibt es Änderungsanträge von Europaparlamentarier/innen, die bei den derzeit laufenden Kompromissverhandlungen im Innenausschuss (LIBE) nicht unter den Tisch fallen sollten.

Transparenz und Einwilligung

Ich muss dem Datentransfer ins Drittland informiert zustimmen, d.h. im Zweifelsfall auch über die Rechtslage bspw. in den USA informiert sein. Ein Vorschlag dafür kommt von der niederländischen Liberalen Sophia in ‘t Veld:

Änderungsantrag 2531: Artikel 44a

Die Übermittlung personenbezogener Daten an Cloud-Dienste im Zuständigkeitsbereich eines Drittlandes ist verboten, es sei denn:

a) einer der Rechtsgründe dieses Kapitels für die Übermittlung personenbezogener Daten an Drittländer findet Anwendung; und

b) die betroffene Person hat eingewilligt, und

c) die betroffene Person hat nach Unterrichtung in klarer, eindeutiger und warnender Sprache eingewilligt, die durch einen zusätzlichen und deutlich sichtbaren Hinweis auf

i) die Möglichkeit, dass die personenbezogenen Daten Gegenstand der Informationsgewinnung oder Überwachung durch Behörden aus Drittländern sein könnten; und

ii) das Risiko, dass der durch das Unionsrecht und das mitgliedstaatliche Recht gewährte Schutz der personenbezogenen Daten und der Grundrechte nicht gewährleistet werden kann, erfolgte.

Einen weiteren “Transparenzvorschlag” macht der Sozialdemokrat Dimitrios Droutsas:

Änderungsantrag 2390: Artikel 41 – Absatz 1 a (neu)

Alle Datenübertragungen von einer Cloud im Zuständigkeitsbereich der Europäischen Union in eine Cloud im  Zuständigkeitsbereich eines Drittlandes werden von einer Mitteilung über diese Datenübertragung und seine Rechtsfolgen an die betroffene Person begleitet.

Wiedereinführung des Artikels 42 zur Erfordernis eines Rechtshilfeabkommens

Darüber hatten wir schon am Freitag diskutiert und dank Ralf Bendrath festgestellt, dass die Abwesenheit eines Rechtshilfeabkommens für den Zugriff auf Cloud-Daten von EU-Bürger/innen, auch wenn in einer zukünftigen Datenschutzgrundverordnung explizit festgeschrieben, höchstens EU gegen US-Recht stehen lassen würde. Es ist anzunehmen, dass ein US-Unternehmen eher US-Recht und damit Geheimdiensten dienen würde, weil in Europa höchstens Sanktionen drohen. Auf der anderen Seite kann die Erfordernis eines solchen Abkommens Öffentlichkeit schaffen. À la: “Seht her, Staaten und Unternehmen machen das, obwohl ein Rechtshilfeabkommen notwendig ist.”  Einen solchen Vorschlag machen mehrere Abgeordnete, z.B. Cornealia Ernst (Linke):

Änderungsantrag 2491: Artikel 43a

Datentransfers, die nicht im Einklang mit dem Unionsrecht stehen

1. Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden eines Drittstaats, die von einem für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter verlangen, personenbezogene Daten weiterzugeben, werden nur auf der Grundlage von und im Einklang mit einem Abkommen über Amtshilfe oder einem zwischen dem ersuchenden Drittstaat und der Union oder einem Mitgliedstaat geltenden internationalen Übereinkommens anerkannt und vollstreckt. [...]

Einbindung und Schutz von Whistleblowern

Verschiedene Abgeordnete haben Änderungsanträge formuliert, die den Umgang mit Hinweisen von Informantinnen über Datenschutzvergehen regeln und sie zugleich schützen sollen.

Als Verpflichtung für die europäische Datenschutzaufsichtbehörde, vorgesehen bei der spanischen Sozialistin Carmen Romero López (ebenso ihr Änderungsantrag 2604):

Änderungsantrag 2748: Artikel 66 – Absatz 1 – Buchstabe g a (neu)

ga) Festlegung von gemeinsamen Verfahren für den Erhalt und die Prüfung von Informationen im Zusammenhang mit Beschwerden über die unzulässige Verarbeitung personenbezogener Daten, für den Schutz von Hinweisgebern vor Repressalien und für die Wahrung der Vertraulichkeit der Quellen dieser Informationen in Fällen, in denen Hinweisgeber nach den  Rechtsvorschriften von Drittländern, die die Offenlegung der unzulässigen Verarbeitung personenbezogener Daten verbieten, gerichtlich belangt werden könnten;

Weiterhin schlägt Sophia in ‘t Veld vor, Informantenschutz in einem extra Legislativakt zu verankern:

Änderungsantrag 2950: Artikel 79 – Absatz 7 c (neu)

7c. Die Kommission hat einen Legislativvorschlag vorzulegen, in dem die Bedingungen und Kriterien spezifiziert werden, um innerhalb eines Jahres nach Inkrafttreten dieser Verordnung den rechtlichen Schutz von Informanten sicherzustellen.

Whistleblowing kann man natürlich auch anreizen:

Änderungsantrag 2637: Artikel 53 – Absatz 4 a (neu)

4a. Die Aufsichtsbehörde zahlt Informanten, die Informationen über eine mutmaßliche rechtswidrige Verarbeitung liefern, eine Belohnung in Höhe von bis zu 20 % der Geldbuße nach Absatz 4, die infolge von Ermittlungen auf der Grundlage der erhaltenen Informationen verhängt wurden. Die Verfahren zur Auszahlung der Belohnung schützen die Identität des Informanten vor Offenlegung und sehen Bestimmungen für Zahlungen an anonyme Informanten vor.

Inwiefern dieser Vorschlag von Cornelia Ernst praktikabel ist, bleibt eine andere Frage. Informanten wie Edward Snowden brauchen eher politisches Asyl als Belohnungszahlungen. Fest steht: Whistleblower brauchen Schutz und keine Bestrafung.

Keine Mehrheiten gegen Überwachung?

Einige konkrete Handlungsoptionen liegen also allein im Rahmen der Datenschutzverordnung auf dem Tisch. Diese versprechen natürlich keinen vollständigen Schutz vor Programmen wie PRISM, können aber für Transparenz und Politisierung beim Thema Überwachung sorgen.

Oben sind die Namen verschiedener Abgeordneter gefallen – Konservative waren nicht dabei. Auch Sophia in ‘t Velds Position entspricht nicht dem Konsens der liberalen Fraktion im Europäischen Parlament. Zudem müsste auch der Ministerrat bei solchen Vorschlägen mitmachen. Aber hier bitten wir wohl die Böcke zum Gärtnern.

Bei den Abgeordneten des Europäischen Parlaments könnt ihr ja mal nachfragen, warum sie z.B. Whistleblowerschutz nicht für wichtig halten. Die finalen Verhandlungen zur Datenschutzgrundverordnung finden jetzt statt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

June 03 2013

Vom Daten- zum Lobbyschützer: Die wundersame Wandlung des Axel Voss

„Die Menschen sollen das Recht haben zu entscheiden, wie viel von ihren persönlichen Daten sichtbar sein soll.“ So klang der Europaparlamentarier Axel Voss (CDU) kurz vor Annahme der „Entschließung des Europäischen Parlaments vom 6. Juli 2011 zum Gesamtkonzept für den Datenschutz in der Europäischen Union“, für die er Berichterstatter war (Voss-Bericht).

[Das Europäische Parlament] fordert die Kommission auf, bestehende Grundsätze und Bestandteile auszubauen, wie etwa Transparenz, Datensparsamkeit, Zweckbindung, die vorherige und ausdrückliche Zustimmung in Kenntnis der Sachlage, die Meldung von Verstößen gegen die Datensicherheit und die Rechte der betroffenen Personen, wie sie in der Richtlinie 95/46/EG dargelegt sind, wobei ihre Umsetzung in den Mitgliedstaaten verbessert wird, insbesondere im Hinblick auf das globale Online-Umfeld.

Wir schreiben das Jahr 2013. Der Kommissionsvorschlag wird in den zuständigen Ausschüssen des Europäischen Parlaments diskutiert und überarbeitet. Die meinungsgebenden Ausschüsse haben mit konservativ-liberalen Mehrheiten Stellungnahmen erarbeitet, die alle auf Schwächung statt Stärkung des Kommissionsentwurfs hinauslaufen.

Die finale Abstimmung im federführenden Innenausschuss (LIBE) steht kurz bevor. Das Europäische Parlament bestimmt hier seine Position zum europäischen Datenschutz für die nächsten Jahrzehnte. Voss, Schattenberichter der Konservativen im LIBE-Ausschuss für das Dossier, hat seine Änderungsvorschläge zur finalen Abstimmung vorgelegt und verhandelt auf deren Grundlage über Kompromisse mit den anderen Fraktionen. Vom ambitionierten Voss-Bericht sind diese wirtschaftsfreundlichen Vorstellungen von Datenschutz weit entfernt. Voss ist umgeknickt wie ein Grashalm im Wind.

„Pseudonyme“ Daten brauchen keinen Schutz?

Das trojanische Pferd in Voss´ Änderungsanträgen sind weitreichende Ausnahmen für pseudonyme Daten, wie sie auch in diesem Lobbypapier von Yahoo vorgeschlagen werden.

Pseudonymisierung bezeichnet unterschiedlichste Techniken, mit denen versucht wird, Daten nur in Kombination mit anderen Daten identifizierbar zu machen. Meist geht es darum, den Klarnamen durch eine Nummer o.ä. zu ersetzen. Dies ist ein gängiges Verfahren bei der Datenverarbeitung, das meist weniger aus Sicherheits- denn aus Effizienzgründen angewandt wird. Eine andere Möglichkeit ist das generelle Auftreten unter Pseudonym, etwa in sozialen Netzwerken. Letzteres ist eine durchaus sinnvolle Sicherheitsmaßnahme – mehr nicht. Pseudonyme Daten sind personenbezogene Daten.

Voss sieht das nicht so. Die Zustimmung zur Verarbeitung meiner Daten wäre mit Voss´ Vorschlägen nicht mehr notwendig. Es bestünde immer ein „berechtigtes Interesse“ zur Erhebung und Verarbeitung seitens des Datenverarbeiters (AM 67*). Auch die „Verarbeitung personenbezogener Daten, aus denen die Rasse oder ethnische Herkunft, politische Überzeugungen, die Religions- oder Glaubenszugehörigkeit oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, sowie von genetischen Daten, Daten über die Gesundheit oder das Sexualleben oder Daten über Strafurteile oder damit zusammenhängende Sicherungsmaßregeln“, erlaubt Voss ohne Einwilligung, solange diese „pseudonymisiert“ wird (AM 85).

Auch wichtige Betroffenenrechte existieren in Voss’ Vorschlägen nicht mehr, solange es sich nur um pseudonyme Daten handelt. Recht auf Information, Auskunft (enthält Datenportabilität), Korrektur und Löschung meiner Daten? Gibt´s nicht! Die sind doch „pseudonym“ (vgl. AM 103, 113, 115, 119).

Des Weiteren ist Profiling in Voss’ Änderungsanträgen ohne Zustimmung der Betroffenen erlaubt (AM 131), solange dies mit pseudonymisierten Daten geschieht. Profiling bedeutet, Informationen über Personen zu sammeln und zu analysieren, um Annahmen über sie und ihr zukünftiges Verhalten zu machen (z.B. Kreditwürdigkeit).

Doch, brauchen sie!

Herr Voss, warum soll ich, auch wenn ich soziale Netzwerke ohne meinen Klarnamen nutze, keinerlei Betroffenenrechte mehr haben? Warum soll ich gegenüber Marketingfirmen, die mir im Datenberg eine Nummer zugewiesen haben und mich profilen, nicht meine Rechte geltend machen dürfen?

Solange ich von anderen unterschieden und deswegen anders behandelt werden kann, ist mein Name egal. Gerade online spielt das eine große Rolle, wenn etwa Algorithmen bestimmen, dass ich als vermeintlich wohlhabende Applenutzerin, mehr als andere beim Interneteinkauf zahlen muss.

Ob der Klarname von vornherein nicht auftaucht oder während der Datenverarbeitung von den restlichen Datensätzen getrennt wird, ist egal: Die Aggregation schon weniger Daten macht identifizier- und unterscheidbar. Für Dritte, die ja laut Voss ebenfalls „berechtigte Interessen“ haben können (s.u.), sind jegliche Datensammlungen Gold wert, da sie mit bestehenden korreliert werden können (Stichwort: Big Data).

So wie Voss´ Änderungsanträge formuliert sind, könnte im schlimmsten Fall fast die gesamte Datenschutzverordnung umgangen werden. Denn, wo werden Daten zur effizienteren Verarbeitung nicht „pseudonymisiert“ und fallen damit unter die erwähnten Ausnahmen, die Datenschutz im Kern ausmachen?

Datenerhebung ohne zu fragen: Auch für Dritte, Behörden und Three Strikes

Zudem soll nach Voss das berechtigte Interesse auch für Dritte gelten. Wissen und Kontrolle über die Verbreitung persönlicher Daten wären somit passé. Wenn ich Daten an ein Unternehmen gebe, hätte es also immer das Recht diese an drittes Unternehmen weiterzugeben. Das gilt solange die beteiligten Firmen von ihrem berechtigten Interesse überzeugt sind und die Betroffenen nicht das Gegenteil beweisen.

Berechtige Interessen Dritter können Einfallstor für die Privatisierung der Rechtsdurchsetzung durch Rechteinhaber (etwa Plattenfirmen) und Internetprovider sein, wie sie im Mittelpunkt der Kritik des gescheiterten ACTA-Abkommens standen. Rechteinhaber können ohne Zustimmung der Nutzerinnen und Nutzer erfassen lassen, ob sie vermeintlich urheberrechtlich geschützte Werke illegal konsumieren und weitergeben und durch die Internetprovider Warnungen bis hin zu Internetsperren verhängen lassen. Im Klartext heißt das: Die Überwachung des Internetverkehrs würde legalisiert.

Behörden haben in Voss’ Vorschlägen immer ein berechtigtes Interesse zur Datenverarbeitung. Die Aufregung um den gescheiterten Entwurf des deutschen Meldegesetzes, das die Weitergabe an Adress- und Inkasso-Unternehmen ohne Zustimmung der Betroffenen erlauben sollte, hat Voss scheinbar ignoriert.

Vorschläge mit verheerenden Auswirkungen

Der Autor des Voss-Berichtes ist in diesen Änderungsanträgen nicht mehr wieder zu erkennen. Seine Änderungsanträge zeugen von fehlender Kenntnis darüber, wie Daten im digitalen Zeitalter erhoben und ausgewertet werden können – und welches Machtpotenzial sie bergen.

In diesem Zusammenhang stimmt nachdenklich, dass Voss bekennender Befürworter präventiver staatlicher Datensammlung ist. Er unterstützt ausdrücklich die anlasslose Vorratsdatenspeicherung von Telekommunikations- und Passagiergastdaten. Die Symbiose von staatlicher und privater Überwachung beschäftigt uns dieser Tage immer häufiger. Es sind Politiker wie Voss, die den Paradigmenwechsel zum „Surveillance by Design“ vorantreiben. Ob bewusst oder unbewusst spielt dabei keine Rolle.

2011 war Voss’ Maxime, dass jede Person Kontrolle über ihre persönlichen Daten haben soll. Was bleibt davon in seinen Gesetzesvorschlägen? Fast nichts. Das Problem an der Datenschutzverordnung ist schon lange nicht mehr der verbesserungswürdige Kommissionsvorschlag. Das Problem sind unter massivem Lobbyeinfluss eingebrachte Änderungsanträge, die den Vorschlag ins Gegenteil verkehren und drohen, Datenschutz de facto abzuschaffen. Und nein, es braucht nicht derlei grundrechtsgefährdende Änderungsvorschläge, damit Dienste „kostenlos“ bleiben.

*Die Nummern der Änderungsanträge (Amendments) beziehen sich zur besseren Übersicht auf das verlinkte Dokument von Axel Voss und entsprechen nicht den offiziellen Nummern der LIBE-Änderungsganträge.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 31 2013

EU-Datenschutzreform: Für den Markt oder für uns?

Dieser Kommentar erschien zuerst am 31.05.2013 in neues deutschland. Wir spiegeln ihn an dieser Stelle inklusive Links.

In Brüssel entscheidet sich dieser Tage die Zukunft unseres Datenschutzes. Parlament und Ministerrat arbeiten an ihren finalen Positionen zum Vorschlag der Europäischen Kommission für eine Datenschutzgrundverordnung. Diese soll die geltende Datenschutzrichtlinie von 1995 ablösen. Vor der Sommerpause wollen Rat und Parlament jeweils abstimmen, um dann in die Dreiecksverhandlungen mit der Kommission zu gehen. Ein Blick auf den Verhandlungsstand zeigt: Obwohl es hier um ihr Grundrecht geht, blieben die Stimmen der Bürger bislang ungehört. „Daten sind das Öl des 21. Jahrhunderts“, versuchen Lobbyisten den Volksvertretern im Parlament und Ministerrat beizubringen – mit Erfolg.

Der Kommissionsvorschlag erfuhr wirtschaftsfreundliche Änderungen, schon bevor er das Licht der Welt erblickte. Die Höchststrafe für Datenschutzvergehen fiel kurze Zeit vor der Veröffentlichung des Vorschlags von fünf auf zwei Prozent des weltweiten Jahresumsatzes der Unternehmen. Der Vorschlag, den die Kommission Anfang 2012 vorstellte, ist trotzdem solide. Er orientiert sich an bestehenden europäischen Datenschutzregeln, denen es vor allem an einheitlicher Durchsetzung mangelt. So verstecken sich Facebook und Google hinter der laxen irischen Interpretation der geltenden Richtlinie. Der Wechsel des Instruments von der Richtlinie zur Verordnung soll das ändern: Die Datenschutzgrundverordnung wird wortgleich in allen Mitgliedstaaten der EU gelten. Wir Bürgerrechtler sind mit dem Kommissionsvorschlag weitgehend zufrieden. Nachbesserungen müssen natürlich sein. Einige neue Ideen begrüßen wir, zum Beispiel das Recht auf Datenmitnahme. Ein soziales Netzwerk zu verlassen und samt persönlicher Daten zu einem besseren Anbieter zu wechseln, würde möglich.

Aber von Verbesserungen am Kommissionsvorschlag sind wir heute weit entfernt. Was aus den Verhandlungen im Parlament und Ministerrat an die Öffentlichkeit dringt, ist besorgniserregend. Einige konservative und liberale Abgeordnete haben Vorschläge der Wirtschaftslobby eins zu eins in Ausschussabstimmungen eingebracht. Auch in den Verhandlungsdokumenten des Ministerrats finden sich Änderungsvorschläge, die den Kommissionsvorschlag ins Gegenteil verkehren. Diese Vorschläge kommen nicht nur von Amazon, Facebook und Co. Auch die Kredit- und Versicherungsindustrie, Direktmarketingverbände und sogenannte Scoring Dienste, die Aussagen etwa über unsere Bonität treffen, wollen noch mehr vom Datenkuchen bekommen. Ihre Vorschläge schaffen Schlupflöcher, die Unternehmen von vielen Teilen des Gesetzes befreien würden. Die Zusammenführung und Weitergabe unserer Daten von sozialen Netzwerken an Versicherungen und weiter zum Arbeitgeber bliebe kein böser Traum mehr.

Das Verhalten einiger Volksvertreter schadet nicht nur dem Datenschutz, sondern der Demokratie. Bei ihren Bürgern ist die EU ohnehin nicht für Transparenz und Mitbestimmung bekannt. Gegen die Vielzahl von Lobbyisten sind die wenigen Bürgerrechtsorganisationen im Nachteil. Auch unsere Aufrufe zur Bürgerbeteiligung verhallen bislang weitgehend ungehört. Viele Menschen, die im vergangenen Jahr das gefährliche Freihandelsabkommen ACTA zu Fall gebracht haben, zeigen wenig Interesse an der Datenschutzreform. Dabei ist diese für ein freies und offenes Internet genau so wichtig! Im Gegensatz zu ACTA müssen wir die Datenschutzreform nicht verhindern, sondern mitgestalten. Es geht nicht um Ja oder Nein, sondern um 100 Seiten Gesetzestext. Empörung kann dennoch ein guter Auftakt sein. In der gegenwärtigen Dateneuphorie braucht es ein Korrektiv. Die Deregulierung des Finanzsektors ist uns 2008 auf die Füße gefallen. Beim Datenschutz sollten wir die gleichen Fehler nicht wiederholen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 28 2013

Führender Industrieverband ehrt EU-Abgeordneten für industriefreundliches Handeln – netzpolitik.org gratuliert

Das Interactive Advertising Bureau (IAB) Europe hat den EU-Parlamentarier Séan Kelly (Irland Fine Gael Party) mit dem IAB Europe Award for Leadership and Excellence für seinen herausragenden Einsatz in den Verhandlungen zur Datenschutzgrundverordnung ausgezeichnet. IAB Europe vertritt über 5.500 Organisationen aus dem Bereich Onlinewerbung, Marktforschung und Analyse. Auch netzpolitik.org gratuliert Mr. Kelly und sagt Danke.

Danke für das wortgetreue Einbringen von Industrievorschlägen als Berichterstatter des meinungsgebenden Ausschusses für Industrie, Forschung und Energie (ITRE). Diese industrienahe Handlungsempfehlung wird in den derzeit stattfindenden Verhandlungen sicherlich eine große Hilfe sein. Besonders gefällt uns Mr. Kellys Vorschlag zur Ausweitung des berechtigten Interesses auf Drittparteien, der u.a. eine wirksame Verfolgung von Urheberrechtsvergehen durch ein Three Strikes-Verfahren ermöglichen könnte.

Wir hoffen, dass sich sein deutscher Kollege Axel Voss (CDU) bei den finalen Datenschutz-Verhandlungen im Innenausschuss ein Beispiel an Mr. Kelly nimmt. Viele Änderungsanträge für diese entscheidende Positionierung des Europäischen Parlaments bringen die beiden gleich zusammen ein. Gut so! Vielleicht darf Herr Voss ja schon im nächsten Jahr den Preis entgegennehmen. Über ermunternde Zuschriften, die ihn auf diesem Weg begleiten, würde er sich sicher freuen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

ORF Digital.Leben über die EU-Datenschutzreform und unseren Leak aus dem Rat

ORF Digital.Leben hat gestern anschaulich über unseren Leak des Verhandlungsstands im Ministerrat berichtet. Der kurze Beitrag schafft es ganz gut, die aktuellen Entwicklungen und das große Ganze der komplizierten Datenschutzverordnung unter einen Hut zu bringen. Hörempfehlung, auch wenn Fokus und Sprache etwas österreichisch sind. Hier das MP3 zum Nachhören.

Wild umkämpft –Die Novelle zur EU-Datenschutzverordnung in der heißen Phase
Gestaltung: Julia Gindl
Moderation und Redaktion: Franz Zeller

Die Novelle zur EU-Datenschutzverordnung befindet sich in der entscheidenden Phase, wenn auch weitgehend unbemerkt von der Öffentlichkeit. Bereits Anfang 2012 hat die Kommission den Gesetzesentwurf vorgestellt, der die Datenschutzrichtlinie aus dem Jahr 1995 endlich ersetzen und für einen einheitlichen und starken Datenschutz in ganz Europa sorgen soll.

Wie stark das Gesetz tatsächlich sein wird, ob es Daten europäischer Bürger vor der Datensammelwut amerikanischer Konzerne schützen kann, die Netzkonsumenten der Datenweitergabe zustimmen können und ob Unternehmen zukünftig bei Datenschutzverstößen hohe Strafen zahlen müssen – darüber wird in Brüssel noch eifrig diskutiert: einerseits im Innenausschuss des Europäischen Parlaments (LIBE) – der Ausschuss verfasst den Datenschutzentwurf und muss an die 4.500 Änderungsanträge einarbeiten, andererseits im Ministerrat der Europäischen Union, der bei der Gesetzgebung auch ein Wörtchen mitzureden hat. Über Österreichs Position in Sachen Datenschutz, berichtet Julia Gindl.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 21 2013

Nicht ACTA, aber genau so wichtig: Entscheidung über EU-Datenschutzreform fällt jetzt

In den letzten Tagen ist uns immer wieder aufgefallen, dass sowohl Netzbewegte als auch Journalistinnen und Journalisten den Anschluss an die Vorgänge rund um die EU-Datenschutzreform verloren haben – und natürlich auch Sascha Lobo(s Mutter). Dabei wird es gerade spannend: Das Europäische Parlament und die zuständigen Minister basteln momentan an eurem Datenschutz für die nächsten 20 Jahre. Bis zur Sommerpause wollen sie über ihre Positionen abstimmen. Wer sich einbringen will, muss das jetzt – während der Verhandlungen – tun. Am Tag der Abstimmung ist es schon zu spät.

Datenschutzreform: Was ist das noch mal?

Die Datenschutzreform besteht aus einer Richtlinie für den Polizei- und Justizbereich sowie aus einer Verordnung für Unternehmen und Behörden, die nichts mit Strafverfolgung zu tun haben. Die Verordnung wird im Wortlaut in allen 27 Mitgliedsstaaten gelten. Sie ist zurecht Dreh- und Angelpunkt der Debatte, da sie den Schutz eurer Daten (nicht nur) im Netz für die nächsten ca. 20 Jahre regeln wird. Worum, es inhaltlich geht hat der Digitale Gesellschaft e.V. hier zusammengefasst. Wem das mit Verordnung, Richtlinie und Co. zu schnell ging, dem seien die 10 Fragen und Antworten zur Datenschutzreform ans Herz gelegt.

Warum ist das wichtig?

Adresshändler sammeln die Adressen von Minderjährigen und schaffen ein Einfallstor für zudringliche Werbung und Hausbesuche. Google erstellt seit der illegalen Änderung seiner Geschäftsbedingungen auf Basis der Daten, die wir ununterbrochen bei seinen circa 60 Diensten hinterlassen, Persönlichkeitsprofile. Facebook löscht Daten einfach nicht, auch wenn wir es verlangen.

Das sind nur wenige Beispiele für unzureichende bzw. unzureichend durchgesetzte europäische Datenschutzgesetze. Mit der zunehmenden Vernetzung der Welt geht eine Goldgräberstimmung in Sachen datenbasierter Geschäftsmodelle einher. Zustimmung zur Datenverarbeitung, Zweckbindung der erhobenen Daten oder gar Löschung von Daten passen nicht dazu. Und natürlich finden auch Staaten diese Datenberge interessant. Dumm nur, dass Datenschutz Grundrecht ist und kein Mensch sich gerne beobachten lässt.

Wirtschaftliche Interessen sind nicht per se schlecht und Datenschutz muss kein Widerspruch zu ihnen sein. Jedoch sollten sie reguliert werden. Das wissen wir spätestens seit der Bankenkrise.

Überzeugt: Wo kann ich anfangen?

Die Europäische Kommission hat ihre Vorschläge zur Datenschutzreform im Januar 2012 vorgestellt. Jetzt arbeiten sich die Innen- und Justizminister der Mitgliedsstaaten (Ministerrat) sowie das Europäische Parlament daran ab. Wenn sie bis zur Sommerpause ihre Vorschläge abgestimmt haben, setzen sie sich mit der Kommission an einen Tisch und einigen sich auf euren neuen Datenschutz. Die Kommission hat eine akzeptabel starke Meinung zum Datenschutz. Der Ministerrat nicht. Beim Parlament ist das noch offen. Da es nicht ohne den Rat geht, muss der Vorschlag des Parlaments stark ausfallen. Der Rat wird noch genug Kompromisse erzwingen, die zulasten des Datenschutzes gehen.

Allerdings arbeitet der Ministerrat traditionell intransparent und ist eher schwer zu beeinflussen. Innenminister Friedrich auf die Füße zu treten, kann trotzdem nichts schaden. Besser ihr wendet euch an die Abgeordneten des Europäischen Parlaments.

Das Europäische Parlament: Was läuft da?

Die Abgeordneten des Europäischen Parlaments haben bereits einige Abstimmungen zur Datenschutzverordnung hinter sich. Diese Abstimmungen der sogenannten meinungsgebenden Ausschüsse sind – bei diesem Lobbyansturm kaum verwunderlich – sehr wirtschaftsfreundlich ausgefallen, auch wenn es am Ende etwas besser wurde. Teilweise wurden Lobbyvorschläge 1:1 übernommen, die Grundprinzipien wie die Zustimmung zur Datenverarbeitung einfach aushebeln wollen. Das Projekt LobbyPlag hat das sehr anschaulich dargestellt.

Derzeit verhandelt der federführende Innenausschuss (LIBE) über Kompromisse, da über 3.000 Änderungsanträge eingereicht wurden, über die – ohne Bündelung und Vorauswahl – nicht sinnvoll abgestimmt werden könnte. Das machen der Berichterstatter und die Schattenberichterstatter/innen. Aber auch die anderen Mitglieder des LIBE-Ausschusses sind einflussreich – schließlich müssen sie den Kompromissen am Ende zustimmen. Die finale Ausschussabstimmung, mit der das Parlament seine Position festlegt, soll noch vor der Sommerpause stattfinden.

Achtung: Ihr dürft euch nicht bis zum Sommer zurücklehnen. Die Kompromisse werden jetzt gemacht. Hier geht es nicht um ein Ja oder Nein. Wenn der LIBE-Ausschuss zur Abstimmung geht, hat er sich bereits geeinigt.

Wer hat welche Positionen im LIBE-Ausschuss?

Berichterstatter für die Datenschutzgrundverordnung ist Jan Philipp Albrecht (Grüne). Er leitet die Kompromissverhandlungen. Er hat eine Stellungnahme zur Verordnung vorgelegt, die immerhin nicht hinter den Kommissionsvorschlag zurückgeht. Die Mehrheitsverhältnisse und die inhaltliche Stoßrichtung im Ausschuss steht allerdings gegen Albrecht.

Schattenberichterstatter für die Konservativen sind der deutsche Europaparlamentarier Axel Voss (CDU) und der Brite Timothy Kirkhope. Die konservativen Änderungsanträge erlauben die Datenverarbeitung ohne Zustimmung auf Basis des „berechtigten Interesses“. Ein „berechtigtes Interesse“ dürfen auch Dritte haben und eure Daten zu einem anderen Zweck weiter benutzen. Was hat das mit Datenschutz zu tun? Nichts. Ohne eure Kontrolle dürften eure Daten also munter von Unternehmen zu Unternehmen gereicht werden. Ohne zu übertreiben scheint es, als würden die Konservativen am industriefreundlichsten verhandeln.

Ebensolche Ideen unterstützt auch die liberale Schattenberichterstatterin Sarah Ludford, die derzeit anstelle von Alexander Alvaro (FDP) verhandelt. Wenn die Liberalen so weiter verhandeln, verspielen sie ihr Image als Bürgerrechtspartei. Jedoch sind die Positionen nicht bei allen festgefahren. Es gibt noch Bürgerrechtler/innen unter ihnen und damit das Potenzial, die Fraktion zumindest zu spalten.

Die Sozialdemokraten im Europäischen Parlament werden durch Dimitrios Droutsas vertreten. Ihre Positionen sind respektabel, jedoch sollten wir die Sozialdemokraten daran erinnern, auch für diese zu kämpfen.

Eine Analyse der bedrohlichsten Änderungsvorschläge, die auf dem Tisch legen, liefert ein Bericht europäischer Bürgerrechtsorganisationen.

Und jetzt? Action!

Ihr solltet euch also vor allem an die liberalen, konservativen und sozialdemokratischen Abgeordneten im LIBE-Ausschuss wenden. Eine Liste der deutschen Abgeordneten im LIBE-Ausschuss findet ihr hier. Auf der europaweiten Kampagnenseite nakedcitizens.eu könnt ihr ihnen eine Postkarte oder eine Mail schicken. Oder einfach mal anrufen. Argumente findet ihr auf den Datenschutzseiten des Digitale Gesellschaft e.V. oder gebündelt in englischer Sprache bei European Digital Rights. Auch auf netzpolitik.org haben wir schon einiges zum Thema geschrieben. Erzählt euren Freunden von der Datenschutzreform. Teilt das Kampagnenvideo in euren Netzwerken. Das ist nicht ACTA, aber genau so wichtig.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 11 2013

Dokument zur EU-Datenschutzverordnung geleakt: Ministerrat zieht Datenschutz weiter die Zähne

Statewatch hat ein Dokument zum Verhandlungsstand der Datenschutzverordnung im Ministerrat geleakt. Daraus geht hervor, dass der Ministerrat weiter an Kernprinzipien der Datenschutzreform sägt. Anforderungen an die Zustimmung zur Datenverarbeitung wollen die zuständigen Innen- und Justizminister ebenso eindampfen wie das Prinzip der Datensparsamkeit.

Wir hatten bereits im Januar über die Bestrebungen des Ministerrats berichtet, die im Kommissionsvorschlag zur Datenschutzverordnung vorgesehenen Strafzahlungen aufzuweichen. Der Ministerrat ist weiterhin auf einem guten Weg, den europäischen Datenschutz zum zahnlosen Tiger zu machen.

Wichtige Richtlinienentscheidung

Absender des öffentlich gewordenen Dokuments ist die irische Ratspräsidentschaft. Datiert ist dieses auf den 24. April 2013. Die Ratspräsidentschaft gibt den derzeitigen Diskussionsstand bestimmter Kernpunkte der geplanten Verordnung wieder und erteilt Umsetzungsrichtlinien an den Ausschuss der Ständigen Vertreter (AstV), in dem dann die Detailverhandlungen stattfinden und die Änderungsvorschläge im Wortlaut entstehen. Das Dokument enthält also entscheidende Weichenstellungen zu zentralen Fragen der Verordnung.

Behandelt werden der Anwendungsbereich der Verordnung, Fragen des Verhältnisses von freier Meinungsäußerung und Datenschutz, die Grundsätze der Datenverarbeitung sowie die Anforderungen an die Zustimmung zur Datenverarbeitung. Besonders bei den beiden letztgenannten Themen zeigt sich, dass die Minister der Mitgliedsstaaten nicht an einer Stärkung des europäischen Datenschutzrechts interessiert sind. Die Grundsätze der Datenverarbeitung und die Anforderungen an die Einwilligung zur Datenverarbeitung sind der Kern der Datenschutzverordnung. Fallen diese schwach aus, wird das ganze Gesetz zur Farce.

Grundsätze der Datenverarbeitung: Datenexzess mit Hintertürchen

Nach welchen Prinzipien sollen Daten erhoben werden? Sie sollen an bestimmte Zwecke gebunden sein, damit für die Nutzerinnen und Nutzer ersichtlich ist, wozu ihre Daten erhoben werden und dem verarbeitenden Unternehmen/Behörde klare Grenzen gesetzt werden. Das findet der Ministerrat auch, macht aber eine folgenreiche Ausnahme: Die Zweckbindung soll nicht für wissenschaftliche, historische oder statistische Zwecke gelten. Statistische Zwecke sind eine breite Ausnahme Hintertür. Die Minister opfern hier unter Umständen (detailliertere Formulierungen könnten das ändern) leichtfertig die Zweckbindung, Kernprinzip deutschen und europäischen Datenschutzrechts.

Im Kommissionsvorschlag zur Datenschutzverordnung taucht explizit das Konzept der Datenminimierung auf. Eine Klarstellung gegenüber der geltenden europäischen Datenschutzrichtlinie von 1995, welche die Kommission wohl nicht umsonst vorgenommen hat. Der Ministerrat findet es nicht wichtig, dass bei der Nutzung von Diensten nur die Daten erhoben werden, die wirklich benötigt werden und diese nur so lange aufbewahrt werden, wie nötig. Aus der Formulierung der Kommission „adequate, relevant, and limited to the minimum necessary“ machen die Minister „adequate, relevant, and not excessive “. Kleines Experiment: Geht auf eine Party und trinkt so wenig wie nötig. Geht noch mal auf eine Party und trinkt lediglich „nicht exzessiv“. Mark Zuckerberg geht schon mal Aspirin kaufen.

Zustimmung zur Datenverarbeitung: Datenschutzexpertise ignoriert

Kern des Reformvorschlags ist die ausdrückliche Einwilligung der Nutzerinnen und Nutzer in die Datenverarbeitung. Die Kommission reagiert damit auf die Unzulänglichkeiten der Zustimmungsbedingungen in der 1995er-Richtlinie, wie sie auch die Artikel-29-Datenschutzgruppe, in ihrem ausführlichen Bericht zum Thema Zustimmung fordert. In einem weiteren Diskussionspapier zur Datenschutzverordnung werden die europäischen Datenschützer noch deutlicher:

The Working Party is of the opinion that the inclusion of the word “explicit” is an important clarification in the text, which is necessary to truly enable data subjects to exercise their rights, especially on the Internet where there is now too much improper use of consent. It would be highly undesirable should this important clarification be deleted from the text.

Und was machen unsere Innen- und Justizminister? Das Wörtchen „explicit“ streichen und gegen die schwächere Formulierung „unambiguous“ ersetzen. Der Ministerrat ignoriert damit mindestens zwei Jahrzehnte Datenschutzdiskussion und konterkariert das Vorhaben, endlich einen zeitgemäßen Datenschutz zu entwerfen. Statt einem klaren „Ja, verarbeite meine Daten“ der Nutzerinnen und Nutzer, will es der Ministerrat weiterhin ermöglichen, die Zustimmung zur Datennutzung in den Geschäftsbedingungen zu verstecken, vorausgewählte Checkboxen anzubieten, oder gar durch die Nutzung eines Dienstes automatisch zuzustimmen.

Das Argument der Minister (wie auch der Industrie): Allumfassende ausdrückliche Einwilligung im Internet sei „unrealistisch“ und führe zu „Klickermattung“. Was sie ignorieren: Es stünden Hilfsmittel bereit, die dem vorbeugen: Die Do Not Track-Funktion des Browser kann etwa ausdrücklich signalisieren, ob ich trackingbasierte Werbung sehen möchte oder nicht. Datenschutzbestimmungen lassen sich visualisieren und können lange Texte ersetzen.

Mit Friedrichs Hilfe auf dem Weg zum zahnlosen Tiger

Der Ministerrat ist dabei, tragenden Säulen der geplanten Datenschutzverordnung einzureißen. Die industriefreundlichen Gesetzesempfehlungen ähneln den gefährlichen Lobbyänderungsanträgen, die auch im Europäischen Parlament zur Abstimmung gebracht werden. Von einer Verbesserung der geltenden Datenschutzrichtlinie, die das eigentliche Ziel der Reform ist, kann nicht mehr die Rede sein. Viel mehr steht ein Rückschritt hinter das 1995er-Niveau bevor, wenn bürgerrechtliche Bedenken in beiden Institutionen kein Gehör finden.

Unser für die Datenschutzreform zuständiger Innenminister Hans-Peter Friedrich (CSU) hat nach dem offiziellen Scheitern der Verhandlungen zu einem „Verhaltenskodex Sozialer Netzwerke“ angekündigt:

Die Unternehmen haben eine Chance vertan, ihrer Verantwortung für mehr Transparenz bei der Datenverarbeitung und für nutzerfreundlichere Regeln gerecht zu werden. Wir werden jetzt auf europäischer Ebene die erforderlichen Vorgaben machen.

Dies ist nun schon die dritte Ankündigung dieser Art in kürzester Zeit. Solange die konkreten Positionen des Ministerrats Verschlusssache sind, ist es für Friedrich leicht, sich als Retter des europäischen Datenschutzes zu gebärden. Die tröpfchenweise bekannt werdenden Fakten zeigen eine andere Wahrheit: Der Ministerrat arbeitet an der Absenkung des Datenschutzniveaus. Deutschland macht mit und belügt sich selbst: Der nach außen hochgelobte deutsche Datenschutz wird von der Unionsfraktion über die europäische Bande abgesägt. Das gilt für Rat und Parlament.

Die Abstimmungen über die Änderungsanträge zum Kommissionsvorschlag in beiden Institutionen stehen bevor. Der federführende Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) hat aufgrund der Vielzahl der Änderungsanträge, die für Ende Mai anvisierte Abstimmung noch einmal verschoben. Laut Parlaments-Berichterstatter Jan Philipp Albrecht (Grüne), wollen beide Institutionen noch vor der Sommerpause abstimmen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

March 29 2013

Netzpolitischer Wochenrückblick: KW 13

Was ist diese Woche passiert? Unser Netzpolitischer Wochenrückblick gibt einen kompakten Überblick:

  • I accidentally the Peer Steinbrück – Twitter-Account

Es ist Onlinewahlkampf und dort erwarten uns die kommenden sechs Monate wieder zahlreiche lustige Erlebnisse. Am Freitag twitterte der SPD-Kanzlerkandidat Peer Steinbrück überraschend: “Wann hat sich ein Kanzlerkandidat irgeneiner Partei schon mal für Netzpolitik interessiert! Wann? cc @pottblog”. Die Tonalität verwunderte, die Arroganz jetzt nicht unbedingt.[Zum Artikel]

  • Gelöschte Tweets von Politikern: Kanzlerkandidaten interessieren sich nicht für Netzpolitik

Im Jahr 2013 müssen Politiker anscheinend auf Twitter sein – mit allen Vor- und Nachteilen. Die Plattform Politwoops.de dokumentiert automatisch Tweets von Bundestagsabgeordneten, die diese wieder gelöscht haben. Dass das im anstehenden Wahlkampf ganz lustig werden kann, bewies jetzt der Account des SPD-Kanzlerkandidaten.[Zum Artikel]

  • Mobilize-Konferenz: Wenn die namibische Feministin auf den französischen Hacker trifft

„Wir müssen uns von der Vorstellung verabschieden, dass unsere politischen Kämpfe nichts miteinander zu tun haben. Sie sind miteinander verknüpft“ sagte ein palästinensischer Medienaktivist bei der Abschlussdiskussion der Mobilize-Konferenz. Er traf damit den Kern der Veranstaltung.[Zum Artikel]

  • Bruce Schneier: Stoppt die Cyberkriegstrommeln!

Immer mehr Staaten versuchen auf verschiedenen Ebenen, das Internet zu nationalisieren. Diese Entwicklung kritisiert der amerikanische Experte für Kryptographie und Computersicherheit Bruce Schneier in einem Beitrag der Technology Review. Das gipfelt in der Rhetorik vom angeblichen “Cyberwar”, die viel mehr schadet als nutzt.[Zum Artikel]

  • Myanmar: Noch ein langer Weg zum freien Internet

Im Februar berichteten wir über Versuche “staatlich unterstützter Angreifer”, die Mail-Accounts myanmarischer Journalistinnen und Journalisten zu hacken sowie Angriffe auf die Webseiten der zwei führenden privaten Nachrichtenportale. Vor einem Monat erschien ein Report des Open Technology Fund OTF, über “Access and Openness” in Myanmar 2012. Eine ‘technische Delegation’ besuchte im Dezember letzen Jahres Yangon und die Hauptstadt Naypyidaw und untersuchte die Telekommunikationslandschaft der Republik.[Zum Artikel]

  • #OpRohingya: Anonymous beleuchtet Lage der Rohingya in Myanmar

Die Rohingya sind eine muslimische Volksgruppe in Myanmar. Von den etwa drei Millionen Rohingya leben aufgrund von Repressionen und Verfolgungen etwa die Hälfte außerhalb des Landes, in Bangladesch und weiteren Ländern Asiens, aber auch in Europa und Australien. Offiziell gelten die Rohingya nicht als eine der 135 einheimischen Bevölkerungsgruppen und haben damit keinen Anspruch auf die myanmarische Staatsbürgerschaft. Sie werden ausgegrenzt, angefeindet, vertrieben und getötet, und sind laut UNO eine der am stärksten verfolgten Minderheiten der Welt. Das lose Kollektiv Anonymous startete am Sonntag eine Operation Rohingya, um auf die Lage der verfolgten Minderheit hinzuweisen.[Zum Artikel]

  • Mitmachen: EU-Konsultation über IPRED-Richtlinie zur Durchsetzung von geistigem Eigentum

Es bleibt nicht mehr viel Zeit: Ihr habt noch bis zum 30. März die Möglichkeit bei der öffentlichen Konsultation zur Richtlinie über die Durchsetzung der Rechte des geistigen Eigentums (IPRED) teil zu nehmen. Die Richtlinie ist seit 2004 in Kraft und verpflichtet alle Mitgliedsländer, mit Rechtsmitteln und Strafen gegen all jene vorzugehen, die in “gewerblichem” Ausmaß gegen „geistige Eigentumsrechte“ verstoßen. Diese Richtlinie hat unsere Abmahnindustrie geschaffen.[Zum Artikel]

  • Hamburger Polizei und Geheimdienst nutzen bei Ermittlungen immer öfter Soziale Netzwerke – vielleicht bald mit spezieller Software

Die Hamburger Polizei und der Verfassungschutz nutzen für ihre Ermittlungen zunehmend Soziale Netzwerke. Dies teilte der Senat jetzt auf eine Anfrage der Linksfraktion mit. Die Fragestellerin hatte sich nach behördlichen Streifengängen bei Facebook, LinkedIn, MySpace, Twitter oder StudiVZ erkundigt. Die Initiative ist der Versuch, eine ähnliche Anfrage im Bundestag nun auch auf Landesebene nachvollziehbar zu machen.[Zum Artikel]

  • Bundesnetzagentur bittet zum Netzqualitäts- und Netzneutralitäts-Test

Bereits seit einiger Zeit bietet die Bundesnetzagentur mit der Initiative Netzqualität die Möglichkeit, den eigenen Breitbandanschluß zu testen. Ziel ist es, in der Fläche konkrete Zahlen zur Netzqualität zu erheben. Um das mal zu verdeutlichen: Ich habe zuhause einen “bis zu 16 MBit/s” DSL-Anschluß und freue mich in guten Tagen über konkrete 11 MBit/s. Gefühlt werde ich also um gut 30% meiner eingekauften Leistung gebracht.[Zum Artikel]

  • “Out of Sight, out of Mind”: Visualisierung der Drohnenangriffe des US-Militärs auf Pakistan

Über Drohnen wird derzeit viel diskutiert: Seien es Fragen der Ethik, der Chancen und Gefahren oder der Privatsphäre. Seit Verteidigungsminister de Maizière letztes Jahr sagte, Drohnen seien ethisch neutral, gibt es immer mal wieder Fragen nach der ethischen Einordnung von Drohnensystemen. Vor allem, seitdem bekannt ist dass die Bundesregierung die Anschaffung bewaffneter Drohnen erwägt:[Zum Artikel]

  • NPP120: Ron Deibert über die Arbeit des Citizenlab

Vergangene Woche war ich auf Einladung des Citizenlab in Toronto in Kanada, um an ihrem Cyberdialogue zum Thema “Governance without Government in Cyberspace?” teilzunehmen. Über Aktivitäten des Citizenlab haben wir hier bereits oft berichtet. Sehr interessant sind die vielen Reports über Zensur- und Überwachungsinfrastrukturen in repressiven Regimen und in letzter Zeit vermehrt die investigativen Recherchen zur Nutzung von (Staats-)Trojanern in verschiedenen Kontexten. Im Anschluss der Konferenz hab ich mit Ron Deibert einen rund 30 Minuten langen Netzpolitik-Podcast aufgezeichnet.[Zum Artikel]

  • Ägyptischer Blogger Alaa Abd El Fattah erhält Haftbefehl für eine Twitter Mention

Wie Amira Al Hussaini bei Global Voices berichtet, hat der ägyptischer Blogger Alaa Abd El Fattah heute einen Haftbefehl erhalten. Es geht darum, dass “Princess Joumana” ihn in einem ihrer Tweets erwähnt hatte. Die Staatsanwaltschaft wusste wohl nicht, was sie tun sollte, als Alaa Abd El Fattah dort auftauchte. Er twitterte später, die Vorwürfe seien lächerlich und er schäme sich für die Staatsanwaltschaft.[Zum Artikel]

  • Gesucht: Deutsche Telekom Unterlagen für Abschaffung der Flatrates

Vergangene Woche haben wir über Gerüchte gebloggt, dass die Deutsche Telekom eine Vertragsumstellung ihrer DSL-Tarife plant, um Flatrates abzuschaffen, wie wir sie kennen. Die Deutsche Telekom hat das so halbherzig dementiert, dass wir glauben, dass da was dran ist und es tatsächlich Dokumente gibt, die im Umlauf sind und das belegen. Daher unsere Bitte: Wir würden gerne dazu mehr recherchieren. Falls jemand diese oder ähnliche Unterlagen hat, freuen wir uns über eine Mail (gerne auch mit PGP) oder Post.

  • Stiftung bridge vergibt Kampagnenförderung für digitale Bürgerrechte

Netzaktivismus hat in Deutschland fast keine Finanzierungsmöglichkeiten. Und das ist ein Problem. Eine kleine Ausnahme bietet die Stiftung bridge. Das “bridge” steht dabei für “Bürgerrechte in der digitalen Gesellschaft” und ist Programm. Die Unterstiftung der Attac-nahen Bewegungsstiftung bietet seit zehn Jahren mindestens einmal im Jahr die Möglichkeit, für eine Kampagne bis zu 15.000 Euro zu beantragen.[Zum Artikel]

  • Einzigartig in der Masse: Aus Mobilfunk-Bewegungsdaten können ganz einfach Einzelpersonen identifiziert werden

Die Art und Weise, wie sich Menschen bewegen, ist sehr einzigartig. Einem Forscherteam ist es gelungen, Einzelpersonen in großen Datensätzen von Bewegungsdaten zu identifizieren, wie diese von Mobilfunk-Anbietern gespeichert werden. Statt immer weitere Datenberge anzuhäufen, plädieren sie für weitere Forschung, da Bewegungsdaten nur noch wichtiger und aussagekräftiger werden.[Zum Artikel]

  • Umfangreiches BpB-Dossier zu Wikipedia

Auf den Seiten der Bundeszentrale für politische Bildung findet sich ab sofort ein umfangreiches Dossier zum Thema Wikipedia. Die Bandbreite an darin behandelten Themen rund um die freie Enzyklopädie ist beeindruckend.[Zum Artikel]

  • Edit-Wars in der Wikipedia: Flüchten oder Standhalten?

Benjamin Mako Hill ist Doktorand am MIT Media Lab, Fellow am Berkman Center for Internet and Society in Harvard, Mitglied des Board of Directors der Free Software Foundation sowie des Advisory Boards der Wikimedia Foundation. Erst letztes Jahr war er zu Besuch in Berlin und hat die Keynote der Wikipedia Academy 2012 darüber gehalten, unter welchen Bedingungen kollaborative Online-Projekte wie Wikipedia (nicht) funktionieren.[Zum Artikel]

  • Neues aus der Anstalt erklärt Netzpolitik

Die ZDF-Satire-Sendung “Neues aus der Anstalt” hat gestern auch mal den Zuschauern Netzpolitik erklärt und einen aktuellen Überblick über verschiedene Themen gegeben. Das gibts in der Mediathek, der Auftritt des Kabarettisten Tobias Mann zu Netzpolitik ist auch einzeln bei Youtube zu finden. Wir haben gelacht:

  • Jahresbericht: Datenschutz-Beauftragter kritisiert, dass Funkzellenabfragen “von der Ausnahme zur Regel” werden

Die massenhafte Handy-Überwachung per Funkzellenabfrage ist “entgegen der gesetzlichen Vorgabe zum alltäglichen Ermittlungsinstrument geworden”. Das stellt der Berliner Beauftragte für Datenschutz und Informationsfreiheit in seinem am Mittwoch veröffentlichten Jahresbericht fest. Weil dabei jedoch sensible Daten von großen Menschenmengen erfasst werden, fordert Dr. Dix eine wirksame Begrenzung der Maßnahme.[Zum Artikel]

  • Android Trojaner bei Aktivisten und Menschenrechtlern gefunden

Gestern berichteten drei Mitarbeiter des russischen Softwareunternehmens Kaspersky Lab darüber, dass am 24. März der Mail-Account eines bekannten tibetischen Aktivisten gehackt und von seinem Account Phishing-Mails an seine Kontakte gesendet wurden. Der Inhalt der Mail bezog sich auf eine Menschenrechts-Konferenz, die verschiedene Gruppen kürzlich in Genf organisiert hatten. Im Anhang der Phishing-Mail befand sich eine APK, also eine Android application package file mit dem Namen “WUC’s Conference.apk”. Nach der Installation der APK erscheint eine App namens “Conference” auf dem Handy. Wird diese gestartet, erscheint ein Text mit Informationen zu der Konferenz. Während der oder die Angegriffene den Text liest, meldet die Malware einem Command-and-Control-Server, dass das Smartphone infiziert wurde.[Zum Artikel]

  • Document Freedom Award für die taz

Am Mittwoch war Document Freedom Day (DFD). Bei über 50 Veranstaltungen in 30 Ländern – einige davon in Berlin – erklärten Freie Software-Aktivisten, was Offene Standards sind, und warum sie wichtig sind. Dazu gehörten auch Preise. Den deutschen Document Freedom Award erhält dieses Jahr die taz. Die Free Software Foundation Europe und der FFII zeichnen die taz aus, TAZ, weil sie ihr elektronisches Abonnement in einer Reihe von offenen Formaten liefert und dabei auf digitale Rechteminderung (DRM) verzichtet.[Zum Artikel]

  • Datenschutz-Lobbyismus: 10.000 Euro für Kontakt mit EU-Abgeordneten

Die EU-Datenschutzreform ist ein politisch und wirtschaftlich hart umkämpftes Themengebiet. Die bestehenden EU-Reglungen aus dem Jahr 1995 sollen an die globalisierte und digitalisierte Lebenswirklichkeit angepasst werden. Dabei müssen Verbraucherrechte geschützt, aber auch die Interessen der Wirtschaft beachtet werden. In jüngster Vergangenheit wurden die Machenschaften von Lobbyisten im Bereich der Datenschutzreform durch lobbyplag.eu aufgedeckt. Nun stellt sich heraus, dass eine Stiftung für 10.000 Euro Jahresbeitrag Unternehmen exklusive Kontakte zu EU-Abgeordneten organisiert.[Zum Artikel]

  • Cyber-Abwehrzentrum und Bündnis gegen Cybercrime in Großbritannien

Wie Gordon Corera bei BBC heute berichtete, planen die britische Unternehmen und Behörden die Schaffung eines Bündnisses gegen Cybercrime. Ein sicheres Web-Portal soll allen Beteiligten Zugang zu gemeinsamen Informationen verschaffen, wie ein “sicheres Facebook”. Involviert sollen u.a. der Inlandsgeheimdienst MI5 sowie das Government Communications Headquarters GCHQ sein, ein auf Kryptografie und elektronische Kommunikation spezialisierter Nachrichtendienst sein. Laut einem Reagierungsbeamten steigen die Angriffe auf Großbritannien enorm und werden dies auch weiterhin, wohingegen niemand die “Cybergefahren” wirklich überblicken könne.[Zum Artikel]

  • EU will Mindestquote für polizeiliche Datenlieferungen an EUROPOL und das neue “Cybercrime Centre” ausbauen

Die EU-Kommission schlug am Mittwoch vor, die Kompetenzen und Zuständigkeiten der Polizeiagentur EUROPOL erneut zu erweitern. Aus netzpolitischer und überwachungskritischer Perspektive hätte dies beträchtliche Auswirkungen. Denn vor allem das erst kürzlich bei EUROPOL eingerichtete “EU-Zentrum zur Bekämpfung der Cyberkriminalität” (“European Cybercrime Centre”; EC3) würde weiter gestärkt.[Zum Artikel]

  • Was US-amerikanische Sicherheitsbehörden bei der Untersuchung eines iPhones rausfinden können: Alles.

Handy-”Durchsuchungen” sind in den USA ein übliches Instrument der Strafverfolgung, bisher war jedoch wenig darüber bekannt, welche Menge an sensiblen Informationen dadurch gewonnen wird. Chris Soghoian und Naomi Gilens von der American Civil Liberties Union berichten von einem Dokument, das im Rahmen eines Strafverfahrens vor Gericht vorgelegt wurde. Dieses Dokument bietet eine seltene Bestandsaufnahme der Daten, die Bundesbeamte aus beschlagnahmten iPhones mit Hilfe forensischer Analyse-Tools erlangen können.[Zum Artikel]

  • Berliner Datenschutzbeauftragter fordert starke EU-Datenschutzverordnung mit mehr Nutzereinwilligung und klaren Regeln

In den Verhandlungen um die Gestaltung der EU-Datenschutzgrundverordnung “wird eine Absenkung des Datenschutzniveaus zu Lasten der Bürgerinnen und Bürger vor allem von Unternehmen der Internetwirtschaft und der Werbebranche, aber auch von mehreren Regierungen betrieben.” Alexander Dix, Berliner Beauftragter für Datenschutz und Informationsfreiheit übt in der lesenwerten Einleitung zu seinem Jahresbericht deutliche Kritik am derzeitigen Verhandlungsstand des Gesetzesvorhabens. Und nicht nur das: Er macht auch zehn konkrete Vorschläge, wo er Verbesserungsbedarf am Gesetzesvorhaben sieht:[Zum Artikel]

  • EU-Kanada Fluggastdatenspeicherung: Abkommen mit eingebauter Missbrauchsgarantie

Nachdem die EU bereits Abkommen zur Übermittlung von Fluggastdaten mit Australien und der USA geschlossen hat soll nun ein weiteres Abkommen mit Kanada folgen. Eine geleakte Version (.pdf) des Abkommenentwurfs bestätigt die vorausgegangenen Gerüchte: Orientieren werden sich die Reglungen am Abkommen mit Australien. Das bedeutet, dass die Fluggastdaten, die bis zu 60 Informationen für einen einzelnen Flug und Passagier umfassen, an die Kanadier übermittelt werden sollen und dort für fünf Jahre gespeichert werden.[Zum Artikel]

  • Zur netzpolitischen Dimension (3) von Heino: Covern erlaubt, Remixen verboten

Mit seiner jüngsten Albumveröffentlichung „Mit freundlichen Grüßen“ hat der Schlagersänger Heino einen neuen Rekord für den Verkauf von Musikalben im Internet aufgestellt. Die Besonderheit dieses Albums und wohl hauptausschlaggebend dafür, dass gerade ein Schlagersänger mit Kernzielgruppe 50+ die Download-Charts anführt, ist der Umstand, dass es sich um ein Album voller Coverversionen handelt.[Zum Artikel]

  • Slowenien: Datenschutzbeauftragte klagt vor Verfassungsgericht gegen Vorratsdatenspeicherung

Die Vorratsdatenspeicherung in Slowenien ist unverhältnismäßig und ihre Notwendigkeit konnte bisher nicht bewiesen werden. Aus diesen Gründen klagt die Informations- und Datenschutz-Beauftragte des EU-Mitgliedstaates vorm Verfassungsgericht gegen die gesetzlichen Bestimmungen. Statt nur zu schweren Straftaten werden die Daten auch im Zivilrecht, im Arbeitsrecht und bei Ordnungswidrigkeiten eingesetzt.[Zum Artikel]

  • Studie der EU-Kommission: Unerlaubte Musik-Downloads haben positive Auswirkung auf Kaufverhalten

Filesharing und Streaming von Musik führen nicht zu geringeren Verkaufszahlen im Netz. Zu diesem Ergebnis kommen immer mehr Untersuchungen, jetzt auch die Forschungsstelle der EU-Kommission. Das Fazit der Forscher lautet daher: Die Rechteinhaber sollten unerlaubtes Kopieren nicht länger als Problem ansehen.[Zum Artikel]

  • Vice-Doku über Waffen aus dem 3D-Drucker

Das Vice-Magazin hat eine rund 24 Minuten lange Dokumentation zum Thema Waffen drucken mit 3D-Druckern auf Youtube:[Zum Artikel]

Veranstaltungen

  • Berlins Medienkunst-Community: Eine Feministische Perspektive

Am 9. April findet im Supermarkt in Berlin eine Abendveranstaltung zum Thema Berlins Medienkunst-Community: Eine Feministische Perspektive statt.[Zum Artikel]

  • technical textiles – Hacken, Kunst, Stricken

Vom 11. bis 13. April findet in Berlin Wedding das ‘Mini Event’ technical textiles statt. Die Organisatorin, Fabienne Serrière, ist Systemingenieurin und veranstaltet regelmäßig das Hardware-hacking Event Hardhack. Bei technical textiles soll es u.a. um das Hacken von Strickmaschinen, computergenerierte Stickerei und Textil How-To’s bei verschiedenen Maschinen gehen. Am 11. und 12. April steht die Kunst im Vordergrund, am 13. gibt es dann Vorträge und Workshops der Künstlerinnen und Künstler.[Zum Artikel]

  • Dienstag: Netzpolitischer Abend der Digiges in der c-base

Am kommenden Dienstag, den 2. April, ist wieder netzpolitischer Abend des Digitale Gesellschaft e.V. in der c-base in Berlin. Dieses Mal sind dabei:

  • Meinhard Starostik über Bestandsdatenauskunft
  • Frank Rieger über Drohnen
  • Volker Grassmuck über WikiGrundversorgung – Was bedeutet Öffentlich-Rechtlich im digitalen Zeitalter?

[Zum Artikel]

Schönes langes Wochenende!

flattr this!

March 27 2013

Berliner Datenschutzbeauftragter fordert starke EU-Datenschutzverordnung mit mehr Nutzereinwilligung und klaren Regeln

In den Verhandlungen um die Gestaltung der EU-Datenschutzgrundverordnung “wird eine Absenkung des Datenschutzniveaus zu Lasten der Bürgerinnen und Bürger vor allem von Unternehmen der Internetwirtschaft und der Werbebranche, aber auch von mehreren Regierungen betrieben.” Alexander Dix, Berliner Beauftragter für Datenschutz und Informationsfreiheit übt in der lesenwerten Einleitung zu seinem Jahresbericht deutliche Kritik am derzeitigen Verhandlungsstand des Gesetzesvorhabens. Und nicht nur das: Er macht auch zehn konkrete Vorschläge, wo er Verbesserungsbedarf am Gesetzesvorhaben sieht:

  1. Die Aufsichtsbehörde sollte das Recht auf anlasslosen Zugang zu
    Geschäfts- und Diensträumen behalten.
  2. Die Bestellpflicht der oder des betrieblichen Datenschutzbeauftrag-
    ten sollte nicht zu einem Ausnahmetatbestand werden.
  3. Die Rechte der betrieblichen und behördlichen Datenschutzbeauf-
    tragten sind zu stärken.
  4. Das Ungleichgewicht zwischen verantwortlicher Stelle und Betrof-
    fenen ist kein geeignetes Kriterium für die Freiwilligkeit der Einwil-
    ligung.
  5. Es sind Rechtsgrundlagen für Auskunfteien zu schaffen.
  6. Es sollten strengere Regelungen für das Scoring eingeführt werden.
  7. Werbung sollte nur mit Einwilligung der Betroffenen möglich sein.
  8. Bei Videoüberwachungen sollte weiterhin eine Hinweispflicht vorge-
    sehen sein.
  9. Es fehlen Pflichten zu Anonymisierung und Pseudonymisierung.
  10. Kontrollrechte gegenüber Auftragsdatenverarbeitern sind zu stärken.

Die Vorschläge, die Dix in seinem Bericht detaillierter ausführt, sprechen sich insgesamt für eine Stärkung der Zustimmung in die Datenverarbeitung und gegen all zu viel wage Abwägungen von Nutzer/innenrechten gegenüber dem “berechtigten Interesse” des Datenverarbeiters aus. Das berechtigte Interesse als Datenverarbeitungsgrund hatten wir schon öfter kritisiert: So begründet etwa Google die Aggregation und Verwertung der Daten aus all seinen Diensten mit jenem “berechtigten Interesse”. Auch trackingbasierte Internetwerbung, die umfassende Persönlichkeitsprofile aus der Analyse des Surfverhaltens generiert, funktioniert zumeist auf dieser Rechtsgrundlage. Lesenswert dazu ist die Bits of Freedom-Broschüre “A loophole in data processing“.

Einige von Dix’ Vorschlägen sind natürlich mit Vorsicht zu genießen. So fordert er u.a. pseudonymisierte und anonymisierte Datenverarbeitung  anzuregen. Dies ist prinzipiell zu begrüßen, darf jedoch nicht zu einer Absenkung des Datenschutzniveaus führen, wie es derzeit nicht nur Lobbyist/inn/en, fordern. Persönliche Daten bleiben persönliche Daten, auch wenn (noch nicht) nicht mein Name drauf steht. Dix begibt sich jedoch nicht in das Lobby-Fahrwasser, Datenberge nur aufgrund von “Pseudonymisierung” zu rechtfertigen und fordert in diesem Zusammenhang Beschränkungen.

Insgesamt sind Dix’ praxisnahe Zeilen sehr lesenswert. Er reiht sich damit ein in das immer größer werdende Lager von Datenschutzexpert/inn/en, die sich für eine Stärkung der EU-Datenschutzverordnung aussprechen und der Mär vom alternativlosen Ende des Grundrechts auf Datenschutz etwas entgegensetzen. Nein, das Internet wird nicht untergehen mit der Datenschutzverordnung.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl