Tag Archive for 'data protection'

E-Perso: Ab 1. November in den Ämtern.

Die Bürgerämter in Deutschland geben von Montag an die neuen Personalausweise aus. Erstmals gibt es einen Chip, der die Ausweisdaten elektronisch speichert.

Während Bundesinnenminister Thomas de Maizière (CDU) auf eine reibungslose Umstellung hofft, rufen Mitglieder der FDP-Fraktion unverhohlen zum Boykott auf: “Nicht alles, was neu ist, sollte man sich anschaffen”, wird Christian Ahrend, der rechtspolitische Sprecher, zitiert. Es werden auch Datenschutzbedenken ggü. dem Perso geltend gemacht, allerdings sind diese vor allem ggü. den billigen Standard-Lesegeräten angebracht, weniger ggü. dem Perso selbst. Dieser bringt zumindest ggü. dem status quo durchaus Verbesserungen.

VDS: Folgerungen aus dem BVerfG-Urteil.

Nachdem ich mir das Urteil bereits im Detail angeschaut habe, hier nun eine Übersicht über Konsequenzen daraus:

1. Fakten

Die Entscheidung des Bundesverfassungsgerichts zur Vorratsdatenspeicherung ist zunächst ein großer Erfolg der Bürgerrechtsbewegung und der vielen Menschen, die gegen die Umsetzung der Richtlinie Widerstand geleistet und – mich eingeschlossen ;-) – geklagt haben.

Der Bundestag wird durch das Urteil aufgefordert, vor einer Neuregelung die verfassungsrechtlichen Vorgaben zu berücksichtigen und seine Integrationsverantwortung entsprechend wahrzunehmen.

Nationale Verfassungsgerichte in Rumänien und Bulgarien hatten ebenfalls Umsetzungsgesetze der Richtlinie für verfassungswidrig erklärt.

Eine gerichtliche Überprüfung der materiellen Grundrechtsfragen des Unionsrechtes ist umso dringlicher, hat aber bisher noch gar nicht stattgefunden. Es gibt lediglich eine Überprüfung der formellen Rechtsgrundlage.

Eine gerichtliche Überprüfung auf europäischer Ebene vor dem EuGH oder dem Europäischen Gerichtshof für Menschenrechte scheidet in Deutschland nun solange aus, wie es kein entsprechendes Umsetzungsgesetz gibt.

Es ist daher zu begrüßen, dass die Europäische Kommission inzwischen mehrfach angekündigt hat, die entsprechende Richtlinie auf Europäischer Ebene im September 2010 zu überprüfen und nach dem Urteil aus Karlsruhe „genauer hinzusehen“.

Weitere Gründe für eine solche Überprüfung der Richtlinie sind die EU-Grundrechtecharta, die seit dem Inkrafttreten des Vertrages von Lissabon verbindlich geworden ist und das Recht auf den Schutz personenbezogener Daten gewährleistet (Art. 8 der Charta) sowie der sich abzeichnende Beitritt der EU zur Europäischen Menschenrechtskonvention, die das Recht auf Achtung des Privat- und Familienlebens (Artikel 8 EMRK). Nach Informationen der Bundesregierung will die spanische Ratspräsidentschaft bereits im März 2010 ein Mandat für Verhandlungen mit dem Europarat anstreben.

Zahlreiche europäische Regierungen wie Irland, Österreich, Belgien, Schweden, Luxemburg und Griechenland sehen die Richtlinie ebenfalls kritisch und weigern sich bislang, sie umzusetzen.

Auch in der Bundesregierung mehren sich kritische Stimmen zu der Richtlinie, allen voran die Bundesjustizministerin.

2. Feststellungen des Gerichts

Das Bundesverfassungsgericht hat in seinem Urteil nicht nur entschieden, dass

  • die §§ 113a und 113b des Telekommunikationsgesetzes und § 100g Absatz 1 Satz 1 der Strafprozessordnung gegen das Telekommunikationsgeheimnis des Grundgesetzes verstoßen und daher nichtig seien,
  • die bis dahin im Rahmen von behördlichen Auskunftsersuchen erhobenen, aber einstweilen nicht übermittelten Telekommunikationsverkehrsdaten unverzüglich zu löschen seien und nicht übermittelt werden dürften und

festgestellt, dass

  • die Speicherung von personenbezogenen Daten auf Vorrat

zu unbestimmten und noch nicht bestimmbaren Zwecken verboten,

nur ausnahmsweise zulässig und

hinsichtlich ihrer Begründung als auch hinsichtlich ihrer Ausgestaltung be-sonders strengen Anforderungen unterliege,

über eine Speicherungsdauer von sechs Monaten angesichts des Umfangs und der Aussagekraft der gespeicherten Daten sehr lang sei und an der verfassungsrechtlichen Obergrenze liege und

die Daten spätestens nach sechs Monaten gelöscht werden müssten und für niemanden mehr rekonstruierbar sein dürften,

  • die Einführung der Telekommunikationsverkehrsdatenspeicherung hingegen

geeignet sei, ein diffus bedrohliches Gefühl des Beobachtetseins hervorzurufen,

eine unbefangene Wahrnehmung der Grundrechte in vielen Bereichen beeinträchtigen könne

nicht als Schritt hin zu einer Gesetzgebung verstanden werden dürfe, die auf eine möglichst flächendeckende vorsorgliche Speicherung aller für die Strafverfolgung oder Gefahrenprävention nützlichen Daten ziele,

nicht im Zusammenspiel mit anderen vorhandenen Dateien zur Rekonstruierbarkeit praktisch aller Aktivitäten der Bürgerinnen und Bürger führen dürfen,

nicht als Vorbild für die Schaffung weiterer vorsorglich anlassloser Datensammlungen dienen dürfe,

durch eine vorsorgliche Speicherung der Telekommunikationsverkehrsdaten der Spielraum für weitere anlasslose Datensammlungen auch über den Weg der Europäischen Union erheblich geringer werde und

den Gesetzgeber zu größerer Zurückhaltung bei der Erwägung neuer Speicherungspflichten oder -berechtigungen in Blick auf die Gesamtheit der verschiedenen schon vorhandenen Datensammlungen zwinge,

  • der Gesetzgeber jedenfalls gewährleisten müsse, dass

die tatsächliche Kenntnisnahme und Verwendung der Daten in normenklarer Form in einer Weise begrenzt bleibe,

dem Gewicht der weitreichenden Datenerfassung Rechnung getragen werde,

der Abruf  sowie die tatsächliche Verwendung der Daten auf den unbedingt erforderlichen Teil der Datensammlung beschränkt bleibe,

sondern auch festgestellt, dass

  • die Freiheitswahrnehmung der Bürgerinnen und Bürger

zur verfassungsrechtlichen Identität der Bundesrepublik Deutschland gehöre, für deren Wahrung sich die Bundesrepublik in europäischen und internationalen Zusammenhängen einsetzen müsse und

nicht total erfasst und registriert werden dürfe […].

3. Schlußfolgerungen

Es ist nun an der Bundesregierung zu entscheiden, wie sie mit einer Richtlinie umgeht, die in Europa immer mehr kritisiert wird und von der viele Unternehmen von Anfang an hohe Kosten beklagten, die nach dieser Entscheidung nun umsonst aufgewendet wurden. Der Bundestag kann sich dazu positionieren, aber das Initativrecht zur Aufhebung der Richtlinie liegt am Ende bei der Kommission.

EuGH: Datenschutz-Aufsicht nicht unabhängig genug.

Dies entschied überaschend der Europäische Gerichtshof mit Urteil vom 9. März 2010, nachdem der Generalanwalt Ján Mazák noch am 12. November 2009 in seinen Schlussanträgen noch die Abweisung der Klage empfohlen hatte (vgl. früheren Bericht).

Der EuGH entschied sich für eine weite Auslegung des Begriffes der Unabhängigkeit:

“Nach alledem ist Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46 dahin auszulegen, dass die für die Überwachung der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich zuständigen Kontrollstellen mit einer Unabhängigkeit ausgestattet sein müssen, die es ihnen ermöglicht, ihre Aufgaben ohne äußere Einflussnahme wahrzunehmen. Diese Unabhängigkeit schließt nicht nur jegliche Einflussnahme seitens der kontrollierten Stellen aus, sondern auch jede Anordnung und jede sonstige äußere Einflussnahme, sei sie unmittelbar oder mittelbar, durch die in Frage gestellt werden könnte, dass die genannten Kontrollstellen ihre Aufgabe, den Schutz des Rechts auf Privatsphäre und den freien Verkehr personenbezogener Daten ins Gleichgewicht zu bringen, erfüllen.”

Das “bewährte und effektive System der Aufsicht” (Bundesregierung) stellt der EuGH in Frage:

“Es lässt sich aber nicht ausschließen, dass die Aufsichtsstellen, die Teil der allgemeinen Staatsverwaltung und damit der Regierung des jeweiligen Landes unterstellt sind, nicht zu objektivem Vorgehen in der Lage sind, wenn sie die Vorschriften über die Verarbeitung personenbezogener Daten auslegen und anwenden.”

Das Urteil ist, sofern es um das Verhältnis Verwaltung und Regierung geht, über den Datenschutz hinaus von Interesse:

Das Demokratieprinzip (vgl. Art. 6 Abs. 1 EU) verlange keine Weisungsgebundenheit der Verwaltung gegenüber der Regierung. Es könne (wie in Deutschland mit den Datenschutzbeauftragten bereits Praxis) außerhalb des klassischen hierarchischen Verwaltungsaufbaus öffentlichen Stellen geben, die von der Regierung mehr oder weniger unabhängig sind. Sie blieben dabei an das Gesetz gebunden und der Kontrolle durch die zuständigen Gerichte unterworfen. Ein Fehlen jeglicher parlamentarischen Einflusses auf diese Stellen komme dagegen nicht in Betracht und die Richtlinie schreibe es den Regierungen auch nicht vor, dem Parlament diese Kontrolle vorzuenthalten.

Die Frage, inwieweit sich die Kommission mit dieser Frage der Staatsorganisation über die Grundsätze der Subsidiarität hinweggesetzt habe, wird vergleichsweise kurz “abgebügelt”:

Sofern “bewährte nationale Regelungen sowie Struktur und Funktionsweise der Rechtssysteme der Mitgliedstaaten” unter Einhaltung der gemeinschaftlichen Rechtsvorschriften geachtet werden sollen (vgl. Nr. 7 des durch den Vertrag von Amsterdam dem EU-Vertrag und dem EG-Vertrag beigefügten Protokolls über die Anwendung der Grundsätze der Subsidiarität und der Verhältnismäßigkeit), gehe die Richtlinie insoweit nicht über das zur Erreichung der Ziele des EU-Vertrages notwendige hinaus.

Soll Schäuble die “Steuersünderdaten” kaufen?

Zur Zeit wird in DE und der CH diskutiert ob die deutsche Regierung eine CD mit Namen mutmaßlicher Steuerhinterzieher in der Schweiz kaufen darf. CDU und FDP sind waren überwiegend dagegen (anders jetzt aber die Kanzlerin), SPD, Grüne und Linke (ohne Nescovic) eher dafür. Einige Strafverteidiger sind dafür und Steueranwälte dagegen. Der Datenschutzbeauftragte ist auch dagegen.

Die Regierung prüft zunächst. Zu unterscheiden sind folgende Fragen: 1. Darf Schäuble an den Informanten zahlen? 2. Darf Schäuble die Daten verwenden um Steuern einzutreiben und ggf., kann er 3. mit diesen Informationen ein Strafverfahren einleiten (lassen)?

1. Strafrechtlich spricht nichts gegen den Kauf der Daten durch die Bundesregierung.

Der Vorwurf der Hehlerei ist abwegig, da die Daten selbst keine „Sache“ sind und Banken bekanntlich keine CDs („Sachen“ im Sinne des § 259 StGB) herstellen – die Vortat dürfte zudem nach schweizerischem Recht zu bestimmen sein. Update: § 44 BDSG kommt als Vortat nicht in Frage, hinsichtlich § 202 a StGB darf dies mit der h. M. hier bezweifelt werden. Weder liegt Begünstigung (§ 257 StGB) noch Beihilfe zum Verrat von Geschäfts- und Betriebsgeheimnissen (§ 17 UWG) vor. Die Zahlung stellt schon gar keine „Untreue“ ggü. dem Steuerzahler dar. Hier gilt vielmehr das Gleiche wie beim Kauf der Unterlagen durch den BND im Fall Zumwinkel.

2. Schäubles Länderkollegen dürfen die gekauften Daten auch für Steuernachforderungen verwenden.

Zwar sind die Behörden an Gesetz und Recht gebunden, allerdings gelten hier keine besondere Regeln für Beweisverbote wie im Strafverfahren. Sofern die Beweise illegal erlangt wurden, kann dies vor den Finanzgerichten überprüft werden. Trotz „Bankgeheimnisses“ sind Auskunftsersuchen der Finanzämter an Kreditinstitute ausdrücklich zugelassen (§ 30 a Abs. 5 AO). Die Schweiz hatte hier ausdrücklich mehr Kooperationsbereitschaft signalisiert.

3. Ob die Daten in einem Verfahren wegen Steuerhinterziehung (§ 370 AO) verwendet werden können, ist nicht unproblematisch.

Im Strafrecht gibt es Beweiserhebungsverbote. Aber nicht jeder Verstoß gegen Vorschriften zur Beweiserhebung zieht auch ein Beweisverwertungsverbot im Strafprozess nach sich (anders die USA). Neben gesetzlichen Verboten (§ 136a StPO) kann sich dieses aus der Verfassung ergeben. Dann sind öffentliches Verfolgungsinteresse und Rechtsgüter des Angeklagten gegeneinander abzuwägen.

Das Erheben der Steuern ist Voraussetzung für das Funktionieren unseres Gemeinwesens, allerdings hat der Einzelne trotzdem das Recht auf den Schutz seiner Privatsphäre bzw. seiner Geschäftsgeheimnisse. Im konkreten Fall wird dem ausreichend dadurch Rechnung getragen, dass es besondere Vorschriften für die Beweiserhebung gibt (§§ 94 Abs. 2, 98, 103 StPO) und  dass hier der Grundsatz der Verhältnismäßigkeit beachtet wird.

So kann – das scheint der eigentliche Grund für die längere Prüfung beim Minister zu sein – Gelegenheit zur Selbstanzeige gegeben werden, und, soweit andere Erkenntnisse vorliegen, auf die Verwendung der Daten selbst weitgehend verzichtet werden.

Update: Auch Schäuble hält den Kauf für vertretbar, und die Schweiz droht für diesen Fall bereits damit, nicht zu kooperieren. Schäubles bisheriges Zögern, die angekündigte Liste mit den Namen “unkooperativer” Steueroasen zu versehen, könnte dadurch auf die Probe gestellt werden. Die Schweiz war dort kürzlich gestrichen worden, nachdem sie eine Reihe von Doppelbesteuerungs-Abkommen geschlossen hatte und mit Deutschland immerhin eine Vereinbarung zum Informationsaustausch. Ins Rollen gekommen war die Angelegenheit durch die Lieferung von Daten der UBS an die USA. Die schweizerische Regierung hatte zunächst abgewartet.

Interessante Diskussion der Rechtsfragen hier, Kritik und ebenfalls abweichende Einschätzung hier.

Summary: The german administration has been offered a list of people that have allegedly evaded taxes by storing german moneyin switzerland. The minister may consider paying the price of 2.5 Mio Euro in order to receive 100 Mio Euro taxes. The legal question, whether the data can be used as evidence, is heavily debated. The constitution provides for an acting that is proportionate. Unlike the US law, however, there is no such doctrine as the “fruit of the poisonous tree”.

“Perspektiven Deutscher Netzpolitik”.

Wie netzpolitik.org berichtet, laden das Innenministerium und der Beauftragte der Bundesregierung für Informationstechnik zu vier prominent besetzten Dialogveranstaltungen unter dem Titel “Perspektiven Deutscher Netzpolitik” ein.

Am 18. Januar findet eine erste Runde zum Thema “Datenschutz und Datensicherheit im Internet” statt. Der AK Vorrat hat dazu aufgefordert, in seinem Wiki Stellungnahmen abzugeben. Ich habe davon bereits Gebrauch gemacht.

Die Initiative ist zu begrüßen. Allerdings sollte es nicht nur ein weiterer Datenschutzgipfel werden, bei dem am Ende nicht viel Neues herauskommt. Um Fehler nicht zu wiederholen, stelle ich noch einmal kurz dar, was Ursachen für die Datenskandale seit 2008 waren.

Vorfälle 2008:

- LIDL-Affäre (Videoüberwachung von Angestellten, keine Datenschutzbeauftragten)
- Telekom-Affäre (Überwachung der Verbindungsdaten von Aufsichtsräten)
- Meldedaten-Panne (Adressdaten einiger Bundesländer im Internet)
- Bankdatenhandel (Verkauf von Kontoverbindungen in unbekanntem Ausmaß)
- Adressdatenhandel (Verkauf von Adressdaten in unbekanntem Ausmaß)

Vorschläge damals:

- „Opt-In“-Prinzip („Einwilligung“ statt bisher „Widerspruch“)
- Streichung des sog. Listenprivileges für die Werbung
- Datenschutzaudit (Gütesiegel für den Datenschutz)
- Kopplungsverbot (u.U. ist hier die Einwilligung unwirksam)
- Prüfaufträge: Gewinnabschöpfung, Herkunftskennzeichnung, Informationspflicht

Davon umgesetzt:

- “Opt-In”, allerdings aufgeweicht durch weitgehende Erhaltung des Listenprivileges
- Informationspflicht bei Datenschutzverstößen

Hier ist sicher noch einiges abzuarbeiten. Entsprechend sprach die aktuelle Justizministerin von einer “Showveranstaltung”, während die damalige Ministerin die Länder aufforderte, den Aufsichtsbehörden mehr Personal zur Verfügung zu stellen.

Vollzugs- und Kontrolldefizite bleiben

Tatsächlich gibt es im Datenschutz ein massives Vollzugs- und Kontrolldefizit. Ohne hier auf die Details der Datenschutzaufsicht einzugehen: Solange in den meisten Ländern nur 3 bis 4 Mitarbeiter Hunderttausende von Unternehmen kontrollieren, dabei noch von Ministerien gegängelt werden können, solange wird sich so schnell im Datenschutz nicht viel ändern.

Wo bleibt die Beteiligung der Länder?

Daher ist es gut, dass wenigstens ein Vertreter der Datenschutzaufsicht der Länder am 18. Januar dabei ist. Allerdings besteht wieder die Gefahr, dass der Bund Gesetze ändert, deren Vorgaben die Länder dann nicht erfüllen wollen oder können.

Einen ganz anderen, sehr lobenswerten Ansatz verfolgte damals übrigens Hamburgs Justizsenator, der einen Gesetzentwurf zur Änderung des Bürgerlichen Gesetzbuches vorstellte. Durch diesen erhält der Einzelne Rechte, seinen Datenschutz auch selbst in die Hand zu nehmen (Selbstdatenschutz).

Update 20.01.: Forderungen des AK Vorrat sind hier (pdf) und Berichte zu dem Treffen sind hier zu finden.

Was mich besonders gefreut hat:

Die am häufigsten formulierte Forderung: Die Datenschutzbehörden, allen voran der Bundesbeauftrage Schaar, müssten materiell und personell besser ausgestattet werden. In vielen Fällen mangele es nicht an gesetzlichen Regelungen, sondern an deren Durchsetzung, sagte Patrick Breyer vom AK Vorratsdatenspeicherung.

Summary: Ministry of the Intererior and CIO secretary of state have invited to four dialogue events titled “perspectives of german net policy”. This initiative is welcome, however, it should not become just another summit with poor results, as seen in 2008. There remains a need to adapt the data protection law to the needs of information society. Data self protection is good, yet is is not sufficient. As long as the Bundesländer do not provide enough personnel for administrating data protection, a lack of data protection conscience will remain and leaking of data will continue.