im digitalen Zeitalter Jan Philipp Albrecht, MdEP Herausgeber

1

Inhalt Vorwort..................................................................................................................................................................4 I. Datenschutz in der Europäischen Union....................................................................................................................6 Eine kleine Geschichte des Datenschutzes...........................................................................................................6 Die Datenschutzreform der EU.................................................................................................................................8 Das EU-US-Privacy Shield und Datentransfers in Drittstaaten......................................................................12 II. Datenschutz und digitale Wirtschaft........................................................................................................................16 ePrivacy: Datenschutz in der elektronischen Kommunikation....................................................................16 Big Data und das Internet der Dinge.......................................................................................................................20 Bezahlen mit persönlichen Daten?.........................................................................................................................26 TTIP, TiSA, CETA & Co.: Handelsabkommen als Gefahr für den Datenschutz?.....................................28 III. Datenschutz bei Polizei und Sicherheitsbehörden.........................................................................................32 Polizeiarbeit und Strafverfolgung in Europa....................................................................................................32 1. EU-Datenschutzregeln für Polizei und Justiz.......................................................................................34 2. Anlasslose Datensammlung: Viele Informationen, wenige Erkenntnisse....................................37 Die Vorratsdatenspeicherung (VDS)...........................................................................................................37

Die Fluggastdatenüberwachung (PNR).....................................................................................................39

3. Die Verknüpfung von Datenbanken der Grenz- und Polizeibehörden..........................................41 4. Die Anti-Terror-Koordination in der EU..................................................................................................45 Geheimdienste in Europa...........................................................................................................................................47 IV. Wie schütze ich meine Privatsphäre im Internet?............................................................................................50 Nützliche Tipps & Tricks..........................................................................................................................................50  

Liebe Leserin, lieber Leser! Datenschutz ist für viele Menschen noch immer ein abstrakter und technischer Begriff. Entsprechend ist die Anzahl derer, die sich intensiv mit diesem Thema beschäftigen, noch immer begrenzt. Dabei betreffen die Folgen der Verarbeitung personenbezogener Daten uns alle mittlerweile täglich. Und sie nehmen immer konkretere Formen mit zum Teil schwerwiegenden Folgen an – sei es die individuell berechnete Krankenversicherungsprämie, das maßgeschneiderte Werbeangebot oder der in Echtzeit aus den Daten der Onlineshop-Besucherin berechnete Preis – die alltäglichen Möglichkeiten der Diskriminierung auf Grund von Datensammlungen wachsen rasant. Ausgeklügelte Algorithmen, große Datenmengen und die umfassende Vernetzung und Erfassung aller Lebenssachverhalte bringen die Privatsphäre und die Selbstbestimmung der Einzelnen in erhebliche Bedrängnis. Der Datenschutz ist der Schlüssel, um den Menschen wieder in den Mittelpunkt zu stellen und zu verhindern, dass er Spielball, Objekt oder gar Opfer des technologischen Fortschritts wird. Anders als der Begriff Datenschutz vermuten lässt, geht es nicht um den Schutz von Daten, sondern um den Schutz von Menschen. Und es werden bei Weitem auch nicht alle Daten vom Datenschutz erfasst, sondern nur diejenigen, anhand derer ein Mensch identifizierbar wird: die personenbezogenen Daten. Ganz anders, als es so manche Gegnerinnen und Gegner eines starken Datenschutzes heute zu vermitteln versuchen, wird eine große Anzahl von Daten nie personenbezogen sein (müssen). Statt also den Datenschutz als Grundrecht und Prinzip in Frage zu stellen, braucht es vor allem neue Techno4

logien und Innovationen, durch die der technologische Fortschritt stärker von der Nutzung personenbezogener Daten entkoppelt und die Anonymität und Selbstbestimmung der Menschen gestärkt wird. Hier ist auch der Gesetzgeber gefragt.   Die vorliegende Broschüre soll die Ansätze für eine Stärkung und Weiterentwicklung des Datenschutzes im digitalen Zeitalter zusammenbringen und einen Überblick über die aktuellen Herausforderungen bieten. Sie fasst die bestehenden und die gegenwärtig in der Diskussion befindlichen Gesetzgebungsakte der Europäischen Union zusammen und ist daher eine Handreichung für all jene, die sich für den Datenschutz in der Europa und der Welt engagieren wollen. In der Hoffnung, dass es schnell und stetig mehr werden. In diesem Sinne wünsche ich viel Freude beim Lesen! Herzliche Grüße

Abgeordneter im Europäischen Parlament, innen- und justizpolitischer Sprecher der Grünen/EFA-Fraktion, stellvertretender Vorsitzender des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres, stellvertretendes Mitglied im Ausschuss für Binnenmarkt und Verbraucherschutz

5

I. Datenschutz in der EU Eine kleine Geschichte des Datenschutzes My home is my castle – dieser Anspruch wurde bereits im Jahr 1604 in England geprägt. Das Konzept entstand im Rahmen eines Gerichtsstreits und begrenzte das Recht der Soldaten des Königs, ohne Grund und Ankündigung in ein Haus einzudringen. Das Recht auf Privatheit erstreckte sich also zunächst auf die eigenen vier Wände. Ab Ende des 19. Jahrhunderts ging es auch um die informationelle Selbstbestimmung. Die Bostoner Juristen Samuel Warren und Louis Brandeis schrieben 1895 den Aufsatz The Right to Privacy und begründeten darin das Recht, die Kontrolle über das zu behalten, was andere Menschen über uns wissen. Den Ausschlag dafür hatten neue technologische Entwicklungen gegeben: Die ersten Handkameras für Schnappschüsse und das Entstehen moderner Tageszeitungen riefen die ersten Sensationsfotografen (Paparazzi) auf den Plan, gegen die sich Warren und Brandeis wehrten. Es ging bereits damals nicht darum, Technik und Innovationen Steine in den Weg zu legen, sondern um einen würdevollen Umgang mit neuen Technologien, der die Selbstbestimmung der Menschen respektiert. 6

Im 20. Jahrhundert wurde die automatisierte Verarbeitung von Daten durch Maschinen entwickelt. Bereits vor der Erfindung des Computers wurden Lochkarten benutzt, um große Datenmengen automatisch zu verarbeiten. Dies spielte eine Rolle bei technischen Berechnungen, aber mit Lochkarten konnten nun auch Daten über Menschen automatisch verarbeitet werden, etwa für Verwaltungszwecke. Auch die Nazis nutzten Lochkartenmaschinen der IBM-Tochter Hollerith, um den industriellen Massenmord an den europäischen Juden zu organisieren. Als in den 1960er Jahren Großrechner in Behörden und Unternehmen Einzug hielten, entstand eine breite Debatte über die Macht der neuen Maschinen. Damals wie heute war die Idee des Datenschutzes, die Chancen und Möglichkeiten der neuen Technologie zu nutzen, gleichwohl aber Menschen nicht zu reinen Objekten automatischer Computeroperationen zu degradieren. Das Konzept des Datenschutzes wurde entwickelt.

Datenschutz ist im Kern keine technische Angelegenheit. Was geschützt werden soll, sind nicht die Daten, sondern die Menschen. Es geht darum, dass wir in der digitalisierten Welt selbst entscheiden können, wer etwas über uns weiß, was mit diesen Daten geschieht und welche Auswirkungen das möglicherweise auf unser Leben hat. Das erste Datenschutzgesetz der Welt wurde 1970 in Hessen eingeführt. In den USA gab es im Zuge der Studentenunruhen außerdem Diskussionen darüber, ob Computer auch zur politischen Kontrolle eingesetzt werden sollten, etwa durch Datenbanken über radikale Oppositionelle. Als Reaktion auf diese Diskussionen wurde 1974 der US Privacy Act verabschiedet. Dieser regelt allerdings nur Datenschutz für Behörden; für Unternehmen haben die USA bis heute kein umfassendes Datenschutzgesetz. Nationale Datenschutzgesetze entstanden nach und nach vor allem in der Europäischen Union. Sie setzten den Datenverarbeitern Grenzen und räumten den Betroffenen – also uns – Rechte ein, zum Beispiel auf Auskunft über unsere Daten oder auf Löschung. Das Bundesverfassungsgericht hat in einem wegweisenden Urteil zur Volkszählung 1983 dann den treffenden Begriff informationelle Selbstbestimmung geprägt: Da mehr und mehr Informationen über unser Leben digital vorhanden sind, müssen wir das Recht haben, zu kontrollieren, wer was über uns weiß – und was er oder sie mithilfe von Computern damit anstellen kann. Das Bundesverfassungsgericht erkannte damals sehr weitsichtig, dass eine Gesellschaft, in der wir uns immer beobachtet, erfasst, vermessen und gerastert fühlen, keine offene Gesellschaft von freien und gleichen Menschen mehr ist.

Mit der Europarats-Konvention 108 und den Richtlinien der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (Organisation for Economic Cooperation and Development, OECD) wurden 1980 erstmals Versuche unternommen, das Recht auf Datenschutz international zu vereinheitlichen und so auch dem immer mehr Grenzen überschreitenden Datenaustausch Rechnung zu tragen. Der erste wesentliche Schritt für die Europäische Union war die Verabschiedung der EURichtlinie 1995/46 zum Schutz personenbezogener Daten im Jahr 1995. Die EU-Grundrechtecharta, die seit 2009 bindend für alle Gesetzgeber in der Europäischen Union gilt, etablierte den Datenschutz als Grundrecht auch in der EU. Leider haben sich viele Unternehmen nicht an dieses europäische Datenschutzrecht gehalten, weil es keine ausreichenden Sanktionsmöglichkeiten gab. Außerdem herrschte ein Flicketeppich aus 28 unterschiedlichen nationalen Gesetzen, in denen die Richtlinie umgesetzt wurde. Der nächste große Schritt war daher die Reform des Datenschutzrechtes in der EU, die von 2012 bis 2016 zwischen Europäischem Parlament, Ministerrat und Europäischer Kommission verhandelt wurde. Die so entstandene Datenschutzreform muss ab Frühjahr 2018 in allen Mitgliedstaaten unmittelbar angewendet werden und wird uns helfen, unsere digitale Selbstbestimmung zurückzuerobern. Gleichzeitig schafft sie faire Wettbewerbsbedingungen für Unternehmen, die sich nun an ein einheitliches Recht halten müssen. Die Datenschutzreform ist somit auch Teil der Vollendung des europäischen digitalen Binnenmarktes.

7

Die Datenschutzreform der Europäischen Union Am späten Abend des 15. Dezember 2015 war es soweit: Das Europäische Parlament, der Ministerrat und die EU-Kommission einigten sich auf die neue DatenschutzGrundverordnung, die ab dem 25. Mai 2018 in allen Mitgliedstaaten der EU unmittelbar gelten wird. Vorangegangen war dieser Einigung ein langer und intensiver Verhandlungsprozess, der im Jahr 2012 mit einer Gesetzesvorlage der EU-Kommission zur Reform des Datenschutzes begonnen hatte.

Warum überhaupt eine Reform des europäischen Datenschutzes? Die EU-Datenschutzrichtlinie von 1995 enthielt wichtige Prinzipien, doch leider war ihre Umsetzung in vielen Mitgliedstaaten der EU sehr schwach: Datenschutzbehörden waren nicht ausreichend ausgestattet und die Bußgelder, die sie bei Verstößen verhängen konnten, wurden von vielen großen Unternehmen aus der Portokasse gezahlt. Gleichzeitig waren gesetzestreue Firmen, die den Datenschutz respektieren wollten, mit 28 verschiedenen Gesetzen konfrontiert, wenn sie europaweit tätig sein und den EU-Binnenmarkt nutzen wollten. Die vielen Unternehmen, die nur einen Standort in der Europäischen Union haben und ihre Dienste online auf dem gesamten EU-Binnenmarkt anbieten, stellten die Kundinnen und Kunden wiederum vor ein großes Problem: Diese mussten sich, um ihre Rechte durchzusetzen, umständlich mit dem Recht des EU-Mitgliedstaats befassen, in dem das Unternehmen seinen Sitz hatte – wie der österreichische Student Max Schrems, der für viel Geld in Dublin vor Gericht ziehen musste, um seine Ansprüche gegen Facebook durchzusetzen. Firmen, die von außerhalb der EU hier ihre Online-Dienste anbieten, haben sich dagegen vielfach überhaupt nicht an das EU-Datenschutzrecht gehalten. Die amerikanische IT-Industrie in Silicon Valley oder andere außereuropäische Anbieter hatten aufgrund dieser mangelnden Rechtsdurchsetzung einen klaren Standortvorteil gegenüber europäischen Anbietern. Amerikanische wie europäische Unternehmen haben darüber hinaus häufig die Informationen darüber, was mit unseren Daten eigentlich

1

8

geschieht, in langen und kompliziert zu lesenden Datenschutzerklärungen versteckt.

Starke und einheitliche Regeln für die gesamte EU Dies alles wird sich nun ändern. Künftig ist die EU-Datenschutz-Grundverordnung1 das einheitliche, starke Datenschutzgesetz für alle 500 Millionen Bürgerinnen und Bürger der Europäischen Union. Sie schafft Transparenz, gibt den Verbraucherinnen und Verbrauchern auf dem gesamten EU-Binnenmarkt durchsetzbare Rechte und sorgt für faire Wettbewerbsbedingungen sowie Rechtssicherheit auf Seiten der Unternehmen. Die Verordnung löst den Flickenteppich vorheriger Regelungen in den 28 Mitgliedstaaten ab. Sie gilt für alle Unternehmen und Behörden mit Ausnahme der Sicherheitsbehörden.

Deutschland darf nicht zurückfallen Die Mitgliedstaaten können nur noch in den engen Grenzen, die ihnen die Verordnung lässt, spezifische Regeln festlegen, etwa für die behördliche Datenverarbeitung oder für die Bestellung betrieblicher Datenschutzbeauftragter. Die Entwürfe aus dem Bundesinninministerium von 2016 für das Anpassungsgesetz zum Bundesdatenschutzgesetz überschreiten diese Grenzen und unterlaufen sowohl das beschlosse Datenschutzniveau auf EU-Ebene, als auch das bisherige deutsche Datenschutzrecht massiv. Sie würden Deutschland vom Vorreiter zum Schlusslicht des Datenschutzes in der EU machen und sind in großen Teilen europarechtswidrig und damit unwirksam. Für uns Grüne ist dieser Entwurf deshalb nicht tragbar.

Die Gesetzestexte und weitere Hintergründe zur Datenschutz-Grundverordnung findet ihr unter: https://www.janalbrecht.eu/themen/datenschutz-digitalisierung-netzpolitik/alles-wichtige-zur-datenschutzreform.html.

9

Die wichtigsten Neuerungen der Datenschutzreform Klare Grundprinzipien

Informationspflichten und Transparenz

Datenschutz in Drittstaaten

Weniger Bürokratie

Die Verordnung enthält klare Grundprinzipien wie Zweckbindung, Datensparsamkeit, Begrenzung der Datenspeicherung, Transparenz, Vertraulichkeit und Datensicherheit, also den Schutz vor Fremdzugriffen und Manipulation. Die klare Einwilligung der Betroffenen ist ein zentraler Eckpfeiler. Sensible Daten, die zum Beispiel Informationen über Gesundheitszustand, politische Überzeugungen oder sexuelle Präferenzen geben, sind besonders geschützt.

Nutzerinnen und Nutzer werden klare Auskunft darüber erhalten, wie die eigenen Daten verarbeitet werden. Datenverarbeiter müssen einfach, verständlich und kostenlos erklären, welche Daten sie in welchen Kontexten und zu welchem Zweck verarbeiten und an wen sie die Daten weitergeben. Nutzungsbedingungen müssen leicht zu verstehen sein. EU-weit standardisierte Symbole werden lange Datenschutzerklärungen leicht verständlich zusammenfassen.

Alle Unternehmen, die Dienste in der EU anbieten, müssen sich an das EU-Datenschutzrecht halten, auch wenn sie ihren Sitz nicht in der EU haben. Auch außerhalb der EU müssen Bürgerinnen und Bürger, deren Daten weitergeleitet werden, die gleichen Rechte haben wie Zuhause, einschließlich Klagemöglichkeiten. Firmen dürfen Daten nicht direkt an Behörden in Drittstaaten weitergeben.

Neben der Reduzierung von 28 verschiedenen Standards auf ein Gesetz für den europäischen Markt ist eine ganze Reihe von Erleichterungen für Unternehmen vorgesehen. Die Ernennung eines betrieblichen Datenschutzbeauftragten zum Beispiel ist davon abhängig, welche und wie viele Daten verarbeitet werden und nicht davon, wie viel Personal ein Unternehmen beschäftigt.

Datenschutzkonforme Technikgestaltung

Ein Ansprechpartner für die gesamte EU

Zukunftstaugliche Definitionen Alle Informationen, die direkt oder indirekt einer Person zugeordnet werden können, müssen als personenbezogene Daten geschützt werden. Dafür müssen Daten nicht unbedingt auf die bürgerliche Identität einer Person schließen lassen – es reicht, eine Person wiedererkennen zu können, zum Beispiel anhand von Browsermerkmalen oder der IP-Adresse.

10

Recht auf Vergessenwerden, Widerspruch, Datenportabilität und Zugang Wer möchte, dass persönliche Daten gelöscht werden, kann dieses Recht auf Vergessenwerden gegenüber dem Datenverarbeiter durchsetzen. Das öffentliche Interesse an bestimmten Informationen wie beispielsweise über Prominente und Personen des öffentlichen Lebens muss hierbei abgewogen werden mit dem Recht, Daten löschen zu lassen. Verbindlicher Widerspruch gegen die Verarbeitung der eigenen Daten ist künftig auch automatisiert möglich, zum Beispiel durch Browser-Einstellungen wie Do not Track. Neu ist auch das Recht auf den Umzug eigener Daten, etwa beim Anbieterwechsel (Datenportabilität).

Datenverarbeiter müssen ihre Dienste datensparsam konzipieren und mit den datenschutzfreundlichsten Voreinstellungen anbieten (Privacy by Design/Privacy by Default). Nur solche Daten dürfen erhoben werden, die zur Erbringung des Dienstes wirklich benötigt werden. Unternehmen dürfen ihr Angebot nicht davon abhängig machen, dass sie Daten verarbeiten, die sie für ihr Angebot gar nicht benötigen (Koppelungsverbot).

Der One-Stop Shop-Ansatz bedeutet, dass sich Bürgerinnen und Bürger wie auch Unternehmen in der gesamten EU nur noch an eine einzige Datenschutzbehörde wenden müssen. Betroffene können ihre Beschwerden in ihrer Sprache an die Datenschutzbehörde in ihrem Mitgliedstaat richten, egal, wo der Datenmissbrauch passiert ist.

Wirksame Sanktionen In Fällen von Verstößen gegen die Verordnung müssen Unternehmen harte Geldstrafen von bis zu vier Prozent des weltweiten Jahresumsatzes zahlen. Dies soll Datenschutzverstößen vorbeugen und das Bewusstsein dafür schärfen, dass Datenschutz ein Grundrecht ist. 11

erhalten und weiterverarbeiten. Die Vorgängerregelung Safe Harbour, die seit dem Jahr 2000 bestand, war nämlich im Oktober 2015 vom Europäischen Gerichtshof für ungültig erklärt worden. Wie kam es dazu, und welche Probleme bestehen weiterhin?

Problemfall USA

Das EU-US-Privacy Shield und Datentransfers in Drittstaaten Im Gegensatz zu anderen Grundrechten wie der Meinungsfreiheit oder der Freizügigkeit ist Datenschutz kein Grundrecht, dass die Betroffenen unmittelbar ausüben können. Während ich meine Meinungsfreiheit einfach nutzen kann, indem ich etwas sage, brauche ich für die Ausübung zum Beispiel des Rechts auf Auskunft oder Löschung meiner Daten die Kooperation der Datenverarbeiter. Die neue EU-Datenschutz-Grundverordnung wird mit ihren starken Sanktionsmöglichkeiten dazu beitragen, dass auch bisher unwillige Datenverarbeiter in Zukunft besser kooperieren und uns unsere Rechte innerhalb der EU auch wirklich ausüben lassen.

Datenschutz-Rechte reisen mit den Daten Bei Übermittlungen von personenbezogenen Daten in Drittstaaten außerhalb der EU muss sichergestellt sein, dass die Betroffenen ihre Rechte auch nach dem Trans12

fer weiterhin ausüben können. Ist dies nicht der Fall, darf der Transfer nicht stattfinden. Hat das Empfängerland kein mit den EU-Standards vergleichbares Datenschutzgesetz, kann der Verarbeiter in der EU (etwa Facebook Irland) sich allerdings vom Empfänger im Drittstaat (etwa Facebook USA) zivilrechtlich zusichern lassen, dass die Daten nach EU-Standards verarbeitet werden und die Betroffenen dieselben Rechte haben. Dazu gibt es von der EU-Kommission zertifizierte Standardvertragsklauseln. Die Datenverarbeiter können auch individualisierte Vertragsklauseln nutzen, sofern die zuständige Datenschutzbehörde in ihrem EU-Staat dies genehmigt hat. Ein Beispiel für ein solches Verfahren ist die Privacy Shield-Vereinbarung zwischen der EU und den USA, die die Europäische Kommission am 12. Juli 2016 offiziell angenommen hat. Auf dieser Basis dürfen amerikanische Unternehmen nun wieder persönliche Daten aus der EU

Die USA haben bereits seit dem Jahr 1974 einen Federal Privacy Act, der allerdings nur die Datenverarbeitung öffentlicher Behörden regelt. Im Privatsektor gibt es bis heute kein umfassendes Datenschutzgesetz. Stattdessen bestehen für bestimmte Sektoren oder Nutzergruppen Spezialgesetze. Für Telekommunikationsanbieter gilt der Electronic Communications Privacy Act aus dem Jahr 1986. Dieser erfasst aber nicht die Anbieter von Online-Diensten, darunter so große Unternehmen wie Google, Facebook, Yahoo oder Amazon, ebenso wenig die Web-Tracker, die im Hintergrund laufen oder die so genannten Data-Brokers, also Unternehmen wie Acxiom, LexisNexis, Abacus oder ChoicePoint, die große Mengen an persönlichen Daten sammeln und an andere Unternehmen weiterverkaufen.

Die Entstehung von Safe Harbour Nach dem Inkrafttreten der EU-Datenschutzrichtlinie aus dem Jahr 1995 begann hektische Verhandlungsdiplomatie zwischen Brüssel und Washington, als die US-Regierung merkte, dass amerikanische Unternehmen vom Datenaustausch mit der EU abgeschnitten zu werden drohten. Leider verabschiedete die US-Regierung kein umfassendes Datenschutzgesetz. Der Kompromiss bestand am Ende aus einer Hybrid-

Lösung zwischen europäischer Gesetzesregelung und amerikanischer Selbstzertifizierung: Amerikanische Unternehmen, die sich freiwillig einer Reihe von Datenschutzprinzipien unterwarfen und dies beim USHandelsministerium anmeldeten, galten als „sicherer Hafen“ und konnten persönliche Daten aus der EU empfangen und weiterverarbeiten. Diese Einigung aus dem Jahr 2000 ist daher unter dem Namen Safe Harbour bekannt und mit einer Entscheidung der EU-Kommission rechtlich verankert. Safe Harbour wurde bereits vor der Verabschiedung von Datenschützerinnen und -schützern und vom Europäischen Parlament als ungenügend kritisiert. Die Zusicherungen der USA bestanden eben nicht wie in anderen als angemessen anerkannten Drittstaaten aus gesetzlichen Regeln, sondern aus einer Reihe von Schriftstücken und Briefen im Anhang der Kommissionsentscheidung, denen sich die US-Unternehmen freiwillig unterwarfen. Zudem waren die Beschwerdemöglichkeiten nicht für alle Betroffenen in der EU sichergestellt und Unternehmen, die bei Verstößen erwischt wurden, hatten keinerlei Pflicht auf Schadensersatzzahlungen. Mehrere Studien kamen in den folgenden Jahren übereinstimmend zu dem Ergebnis, dass die Selbstzertifizierung nicht funktionierte – so hatten hunderte der Unternehmen auf der Safe Harbour-Liste des US-Handelsministeriums nicht einmal ihre Datenschutzregeln veröffentlicht.

Ende von Safe Harbour durch Snowden und Schrems Als durch die Enthüllungen des ehemaligen NSA-Mitarbeiters und Whistleblowers Edward Snowden seit 13

Juni 2013 klar wurde, in welch massivem Umfang USGeheimdienste auch Daten von privaten Unternehmen auswerten, stellte sich sofort die Frage nach der Zukunft von Safe Harbour. Das Europäische Parlament forderte mehrfach, die Vereinbarung sofort auszusetzen. Die EUKommission folgte dem nicht, sondern begann zunächst Gespräche mit den USA unter der Zielsetzung, eine neue Vereinbarung zu verhandeln. Der österreichische Jurist Max Schrems wählte einen anderen Weg: Er ging gegen das Privatunternehmen Facebook vor, weil durch die Enthüllungen über das PRISMProgramm der NSA bekannt geworden war, dass das Unternehmen, wie auch viele andere Internet-Giganten, die Daten seiner Nutzerinnen und Nutzer direkt der NSA zur Verfügung stellte. Facebooks Sitz in Europa ist in der irischen Hauptstadt Dublin. Nachdem die irische Datenschutzkommission eine Beschwerde von Max Schrems abgewiesen hatte, weil nach ihrer Ansicht nur die EUKommission selbst solche Entscheidungen wie Safe Harbour und die damit verbundenen Datentransfers in die USA wieder aufheben könne, klagte er beim Obersten Gerichtshof Irlands. Der Fall wurde dem Europäischen Gerichtshof (EuGH) in Luxemburg vorgelegt, der am 6. Oktober 2015 mit einem Paukenschlag ein in mehrfacher Hinsicht historisches Urteil fällte. Das Gericht stellte fest, dass gleich zweifach der unantastbare Kernbereich eines Grundrechts berührt worden war: Die massenhafte Überwachung der Kommunikationsinhalte durch die NSA greift den Kern des Grundrechts auf Vertraulichkeit der Kommunikation an und das Grundrecht auf effektiven Rechtsschutz, also die Möglichkeit zu klagen, ist in diesem Fall eben14

falls nicht gewährleistet. Der Europäische Gerichtshof hob daher Safe Harbour mit sofortiger Wirkung auf. Zusätzlich stellte er fest, dass auch die unabhängigen Datenschutzbehörden der EU-Mitgliedstaaten jederzeit das Recht haben, bei bekannten und ernsthaften Verstößen Unternehmen wie Facebook ihre Datentransfers an Drittstaaten wie die USA zu untersagen.

Privacy Shield statt Safe Harbour Das Urteil des Europäischen Gerichtshofs schlug in Washington und Brüssel ein wie eine Bombe. Die Datenschutzbehörden der EU gaben den Datenverarbeitern eine Schonfrist bis Ende Januar 2016, bevor sie mit der Durchsetzung beginnen würden – also Datentransfers konkret untersagen und bei Zuwiderhandlung Bussgelder verhängen. Diese Zeit nutzten viele Firmen, um ihre Datentransfers auf Standardvertragsklauseln mit dem Empfänger in den USA umzustellen. Auch diese alternative Rechtsgrundlage für Datentransfers in die USA brachte Max Schrems mittlerweile vor Gericht.

Grünen/EFA-Fraktion im Europäischen Parlament, die Gültigkeit des Privacy Shield wenigstens auf zwei Jahre zu befristen, fand leider keine Mehrheit. Ungeachtet der Kritik nahm die Europäische Kommission das Privacy Shield an. Zwar enthält das Privacy Shield einige wenige Verbesserungen im Vergleich zu Safe Harbour, die Schattenseiten überwiegen jedoch deutlich. Den US-Geheimdiensten wird weiterhin in sechs Fällen die massenhafte automatische Datensammlung gestattet, darunter so unscharfe Szenarien wie „die Festellung der Aktivitäten gewisser ausländischer Mächte“, was de facto alles bedeuten kann. Im privatwirtschaftlichen Bereich sind weiterhin die unternehmensfreundlichen privaten StreitschichterStellen vorgesehen, die häufig im Sinne der Unternehmen und nicht der Betroffenen entscheiden, und die Federal Trade Commission als Aufsichtsbehörde in den USA ist gesetzlich nicht verpflichtet, jede einzelne Beschwerde zu verfolgen. Ein generelles Widerspruchsrecht zu einer Datenverarbeitung, wie es das EU-Recht vorsieht, gibt es ebenfalls nicht.

Das Wichtigste zu Privacy Shield Datenschutz ist ein Recht, das mit den Daten reist. Beim Transfer in Länder außerhalb der EU muss daher ein gleichwertiger Datenschutz gewährleistet sein. Das Privacy Shield zur Übermittlung personenbezogener Daten in die USA entspricht bei Weitem nicht dem EU-Datenschutz. Unternehmen haben weniger Regeln und die Massenüberwachung durch die NSA wird weiterhin akzeptiert. Wenn die USA ihre Rechtslage nicht deutlich ändern, wird das Privacy Shield vermutlich genau wie der Vorgänger Safe Harbour am Europäischen Gerichtshof scheitern. Bis dahin sollten die Datenschutzbehörden im Zweifelsfall Datentransfers untersagen.

Die EU-Kommission und die US-Regierung intensivierten als Reaktion auf das Urteil ihre seit zwei Jahren laufenden Verhandlungen über eine Nachfolgevereinbarung zu Safe Harbour und präsentierten Anfang Februar 2016 erste Ergebisse. Die EU-Datenschutzbeauftragten zeigten sich nicht überzeugt und kritisierten im April 2016 eine Reihe grundlegender Punkte. Das Europäische Parlament äußerte im Mai 2016 in einer Entschließung ebenfalls starke Bedenken, weil das Privay Shield die grundlegenden Probleme wie andauernde Massenüberwachung und keine echte Durchsetzung der Regeln gegenüber Unternehmen nicht löste. Der Antrag der 15

II. Datenschutz und digitale Wirtschaft ePrivacy: Datenschutz in der elektronischen Kommunikation

Die in der Datenschutz-Grundverordnung festgehaltenen Standards und Prinzipien gelten für alle Unternehmen und Behörden mit Ausnahme der Sicherheitsbehörden. Dies schließt natürlich auch Anbieter elektronischer Kommunikationsdienste ein. Darüber hinaus gibt es jedoch noch strengere Regeln für den Schutz der Privatsphäre in der Kommunikation, die in der so genannten ePrivacy-Richtlinie aus dem Jahr 2002 festgehalten sind und für alle Anbieter von Telefonie-, Internet- oder EmailDiensten gelten. Unter anderem schränkt diese Richtlinie die Verbreitung unerwünschter Werbung massiv ein und verbietet die Weiterverarbeitung von Standort- und Verbindungsdaten ohne die ausdrückliche Einwilligung der Betroffenen. Seit der letzten Novelle im Rahmen des Telekom-Paketes aus dem Jahr 2009 regelt sie auch, dass die Nutzerinnen und Nutzer bei der Verwendung von Tracking-Cookies vorher gefragt werden müssen. Im Januar 2017 hat die EU-Kommission einen Vorschlag für die Revision dieser Richtlinie vorgelegt. Sie wird ebenfalls in eine EU-Verordnung umgewandelt. Das entspricht der in der Datenschutz-Grundverordnung vereinbarten Anpassung der besonderen Bestimmungen für den Telekommunikationsbereich an die neuen EU-Datenschutzregeln. Im Gegensatz zu einer Richtlinie muss eine Verordnung nicht erst in nationales Recht umgesetzt werden, sondern gilt unmittelbar in allen Mitgliedstaaten. So wird es wie bei der Datenschutz-Grundverordnung ein einheitliches Recht für die gesamte EU geben und nicht wie bisher 28 unterschiedliche Gesetze in den Mitgliedstaaten. Über die Inhalte ist seit Frühjahr 2016 bereits eine beachtliche Lobbyschlacht entbrannt. Was steht auf dem Spiel?2

2

16

Kann das weg? Große Teile der Telekommunikationsindustrie fordern, dass die ePrivacy-Richtlinie ersatzlos gestrichen werden sollte. Ihre Begründung: Durch die allgemeine Datenschutz-Grundverordnung sei ja bereits alles geregelt und die Telekommunikationsunternehmen sollten keine weitergehenden Pflichten oder Beschränkungen auferlegt bekommen als andere Datenverarbeiter. Die strengeren Regeln in der ePrivacy-Richtlinie für die Weiterverarbeitung von Standort- und Verkehrsdaten, um nur ein Beispiel zu nennen, sind jedoch weiterhin notwendig. Sie ergeben sich verfassungsrechtlich daraus, dass die nun kommende neue ePrivacy-Verordnung gleich zwei Grundrechte umsetzen und schützen soll: Das Recht auf den Schutz personenbezogener Daten, auf das sich auch die Datenschutz-Grundverordnung stützt, aber darüber hinaus das Recht auf Achtung des Privatund Familienlebens, das auch die Vertraulichkeit der Kommunikation enthält. In Deutschland hat das Bundesverfassungsgericht dies in seinem Staatstrojaner-Urteil aus dem Jahr 2008 als Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme sogar noch weiter formuliert. Gerade angesichts der weiterhin andauernden Massenüberwachung sollten Anbieter von Kommunikationsdiensten sogar explizit in die Pflicht genommen werden, dieses Grundrecht aktiv zu schützen, zum Beispiel durch Ende-zu-Ende-Verschlüsselung ohne „Hintertüren“, also geplante Sicherheitslücken. Solche „Hintertüren“ könnten nicht nur von Polizei und Geheimdiensten, sondern

Aktuelle Hintergründe und Texte findet ihr hier: https://www.janalbrecht.eu/themen/datenschutz-digitalisierung-netzpolitik/eprivacy.html

17

auch von Kriminellen genutzt werden. Eine weitere Forderung ist, dass nicht nur die Vertraulichkeit der Kommunikationskanäle sichergestellt sein muss, sondern auch die der Endgeräte. Wenn das Betriebssystem meines Smartphones trotz bekannter Verwundbarkeiten nicht zeitnah aktualisiert und damit die Sicherheitslücke geschlossen wird, kann nämlich meine Kommunikation sehr einfach durch das Ausnützen dieser Sicherheitslücken ausgespäht werden. Daher sollten auch Sicherheits- und Vertraulichkeitsregeln für die Hersteller von Endgeräten zur Kommunikation eingeführt werden.

Geltungsbereich: Nur Telekommunikationsdienste oder auch Messenger? Weite Teile der ePrivacy-Richtlinie gelten nur für klassische Kommunikationsdienste wie Telefonie oder SMS. Diese werden aber immer mehr durch internetbasierte Dienste ersetzt, die einen sehr ähnlichen oder noch darüber hinaus gehenden Funktionsumfang haben – Beispiele hierfür wären Internet-Telefonie-Dienste wie Skype, FaceTime, oder Google Hangouts, oder an Internet-Messenger wie WhatsApp, Threema oder Signal. Eine der heiß umkämpften Fragen ist daher: Sollen solche Dienste, die keine eigene Kommunikationsinfrastruktur betreiben, sondern Over-The-Top (OTT) auf dem Internet laufen, ebenfalls den Regeln der kommenden ePrivacy-Verordnung unterworfen werden? Die Konsultation der EU-Kommission zur Vorbereitung der Reform vom Frühjahr 2016 gibt eine klare Antwort: 76 Prozent der Einzelpersonen und zivilgesellschaftlichen Verbände sowie 93 Prozent der Datenschutzbehörden, die an der Konsultation teilgenommen haben, 18

wollen, dass die ePrivacy-Verordnung für alle Kommunikationsdienste gilt.

Weg mit der Cookie-Nerverei! Die Regeln zur Einwilligung beim Setzen von Cookies, die seit 2009 in der ePrivacy-Richtlinie enthalten sind, wurden leider sehr unterschiedlich ausgelegt. Viele Webseiten zeigen beim ersten Besuch einfach ein Popup-Fenster an, in dem die Verwendung von Cookies erwähnt und ein Klick auf einen OK-Knopf verlangt wird, weil sonst die Seite nicht mehr benutzt werden kann. Das ist sicher nicht im Sinne des Gesetzgebers, denn es hat de facto dazu geführt, das Internet darauf zu trainieren, dass die Nutzer und Nutzerinnen einfach auf OK klicken, sobald unten auf einer Webseite etwas aufpoppt. Es widerspricht aber auch dem Koppelungsverbot, das in der Datenschutz-Grundverordnung explizit eingeführt wurde und klarstellt, dass Unternehmen niemanden zwingen dürfen, mehr Daten als nötig abzuliefern, nur um einen Dienst nutzen zu können (siehe Kapitel » Bezahlen mit persönlichen Daten und » Die Datenschutzreform der Europäischen Union). Noch ist umstritten, ob es hierfür neue Regeln braucht oder vor allem eine bessere Durchsetzung. Die französische Datenschutzbehörde hat etwa wiederholt systematisch Webseitenbetreiber wegen solcher friss-oder-stirbBenachrichtigungen zu Cookies ermahnt, und seitdem gibt es auf französischen Webseiten diese Problem kaum noch, wie ein Mitarbeiter bei einer Anhörung der Grünen Europafraktion im April 2016 berichtete. Auch von den EU-Datenschutzbehörden gibt es Empfehlungen, die zwischen technisch notwendigen Cookies unterschei-

den, die etwa benötigt werden, damit ein elektronischer Einkaufswagen in demselben Online-Shop über mehrere Kauf-Vorgänge hinweg seinen Inhalt behält, und Tracking-Cookies, die uns über tausende verschiedene Webseiten hinweg überwachen und verfolgen und damit umfassende Persönlichkeitsprofile erstellen. Allerdings werden hierfür nicht mehr nur Cookies verwendet, sondern auch Browser-Fingerprints, Gerätekennungen, Telefonnummern von Smartphones und ähnliches. Es braucht daher eine technikneutral formulierte Regelung, die vor allem das heutzutage fast ohne Schranken betriebene Online-Tracking in den Griff bekommt, aber gleichzeitig die Nutzerinnen und Nutzer nicht mit ständigen Einwilligungsabfragen nervt.

len diese Öffnungsklausel streichen. Von Seiten einiger Innenminister in der EU kommt dagegen die Forderung, die Pflicht zur anlasslosen Datenspeicherung auch auf internetbasierte Over-The-Top-Dienste wie WhatsApp oder Skype auszudehnen. Damit würde aber das Grundrecht auf Vertraulichkeit der privaten Kommunikation noch weiter ausgehöhlt. Der Europäische Gerichtshof hat im Dezember 2016 in seinem Urteil zu den Gesetzen in UK und Schweden klargestellt, dass im Gegenteil eine anlasslose Speicherung der gesamten Kommunikationsdaten auf keinen Fall mit den Grundrechten vereinbar ist.

Freie Kommunikation oder Generalverdacht?

Das Wichtigste zu ePrivacy:

Der Europäische Gerichtshof hat im April 2014 die Richtlinie zur Vorratsdatenspeicherung für ungültig erklärt, und es gibt derzeit keine Pläne der EU-Kommission, einen neuen Vorschlag zu erarbeiten. Dennoch haben viele Mitgliedstaaten nationale Gesetze, die die Telekommunikationsanbieter verpflichten, die Verkehrsdaten aller Telefonate, Textnachrichten und E-Mails der gesamten Bevölkerung ohne irgendeinen Anfangsverdacht zu speichern – nur für den Fall, dass mal jemand verdächtig werden sollte (siehe Kapitel » Die Vorratsdatenspeicherung). Die juristische Basis dafür ist eine Öffnungsklausel in der bestehenden ePrivacy-Richtlinie, die die Mitgliedstaaten zwar nicht zur Vorratsdatenspeicherung verpflichtet, sie ihnen aber ausdrücklich erlaubt. Gegnerinnen und Gegner der Vorratsdatenspeicherung, inklusive der Grünen im Europäischen Parlament, wol-

Die speziellen ePrivacy-Regeln zum Schutz der elektronischen Kommunikation sind auch nach Inkrafttreten der EU-Datenschutz-Grundverordnung wichtig. Sie setzen nicht nur das Recht auf Datenschutz durch spezifischere Regeln um, sondern implementieren auch das Grundrecht auf Vertraulichkeit der Kommunikation. Nicht nur wie bisher Telefon, SMS oder E-Mail, sondern auch neue internetbasierte Kommunikationsdienste wie WhatsApp, Signal oder Skype sollten zu diesem Schutz verpflichtet werden. Internetdienste sollten auch nutzbar sein, wenn die Userinnen und User nicht einwilligen, überwacht zu werden. Tracking über Millionen Webseiten hinweg gehört verboten.  19

Big Data und das Internet der Dinge sind zu beliebten Buzzwords auf IT-Gipfeln rund um den Globus geworden. Sie sollen eine große Veränderung einleiten. Was steckt hinter diesen Schlagwörtern?

Big Data – Eine neue Dimension der Datenverarbeitung

Das Erkennen von Korrelationen durch Big Data kann viele Vorteile bringen. In der Medizin beispielsweise können durch die Verknüpfung großer Datenmengen 20

So hilfreich diese Erkenntnisse auch sein können, dürfen die Probleme von Big Data nicht übergangen werden. Die Ergebnisse solcher Big-Data-Analysen sollten keineswegs unkritisch als objektive und gesicherte Erkenntnisse verstanden werden. Größere Datenmengen müssen nicht qualitativ besser als geringere Mengen sein und nicht alle Daten sind gleichermaßen wertvoll. Bei der Auswertung von Big Data werden statistische Grundprinzipien wie das der repräsentativen Stichprobe oft vernachlässigt. Gerade bei der Sammlung von Daten von Privatpersonen ist die Nutzung personenbezogener Daten nicht zwangsläufig ethisch vertretbar, nur weil sie technisch möglich ist. Der Versuch, Unsicherheiten durch Big Data zu reduzieren, ist attraktiv. Wir dürfen aber nicht vergessen, dass das Aufzeigen von Zusammenhängen durch die Analyse enormer Datenmengen vor allem auf Wahrscheinlichkeiten und nicht auf Kausalitäten beruht. Korrelation ist nicht gleichbedeutend mit Kausalität. Zusammenfallende Ereignisse müssen nicht zwangsläufig in einem Ursache-Wirkungs-Zusammenhang stehen. Hier sei ein Beispiel genannt: Die Schei-

Mit Big Data können große Datenmengen schnell gewonnen werden und die statistische Auswertung ist Dank der Digitalisierung so einfach wie noch nie. Unter dem Druck der Masse an verfügbaren Daten werden oft Korrelation und Kausalität verwechselt. Durch die steigende Verfügbarkeit von Daten kommt es auch zu einer neuen Einstellung gegenüber Statistiken: Wenn die Menge der Daten ausreichend groß ist, reicht auch schon eine Korrelation als Grundlage für Entscheidungen. Die Verfügbarkeit von Korrelationen drängt die Ursachenforschung in den Hintergrund. Wenn vernachlässigt wird, ob Beziehungen zwischen Datensätzen zufällig sind, dann sind auch fehlerhafte Entscheidungen wahrscheinlicher.

Das Internet der Dinge Dein Kühlschrank ist leer? Kein Problem, er hat es schon selbst erkannt und Nachschub bei deinem Online-Händler bestellt. Davor hat er dein Fitnessarmband gefragt, welche Nahrungsmittel deiner aktuellen körperlichen Verfassung angemessen sind. Das klingt nach Zukunftsmusik? Das Internet der Dinge ermöglicht solche und andere Szenarien schon heute.

Mit der Bezeichnung Internet der Dinge (Internet of Things, IOT) soll die zunehmende Vernetzung so genannter intelligenter Gegenstände (smart devices) erfasst werden. Das IoT besteht im Wesentlichen aus Sensoren, einem Netzwerk und einem System, das die Signale der Sensoren verarbeitet und dann gegebenenfalls Aktionen auslöst. So wird ein gigantischer konstanter Datenfluss produziert. Ein Beispiel hierfür ist das intelligente Stromnetz (smart grid), das durch die Vernetzung von Geräten, Stromerzeugern und -netzen sowie Verbraucherinnen und Verbrauchern gekennzeichnet ist, die so in einen kommunikativen Austausch miteinander treten. Die Geräte eines Haushalts können dann beispielsweise so Divorce rate in Maine correlates with Per capita consumption of margarine aufeinander abgestimmt gesteuert 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 sein, dass sie einen 4.95 per 1,000 8lbs minimalen Stromverbrauch erzeu4.62 per 1,000 6lbs gen. Der Computer, 4.29 per 1,000 4lbs wie wir ihn kennen, verschwindet zu3.96 per 1,000 2lbs 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 nehmend und wird Margarine consumed Divorce rate in Maine durch die smart Margarine consumed

Als Big Data werden Datenmengen bezeichnet, die zu groß, zu komplex, zu schnelllebig oder zu schwach strukturiert sind, um sie mit manuellen und herkömmlichen Methoden der Datenverarbeitung auszuwerten. Mit der systematischen Big-Data-Analyse riesiger Datenmengen sollen Unternehmensziele besser umgesetzt werden können und durch die erfassten Daten gewinnbringende Entwicklungen erkannt werden. Im besten Fall können dadurch Vorhersagen künftiger Ereignisse gemacht werden. In der Marktforschung, der Finanzindustrie, im Energiesektor (bedarfsorientierte Energieversorgung), im Gesundheitswesen, aber auch in der Kriminalistik und Terrorismusbekämpfung (Predictive Policing, Vorratsdatenspeicherung) wird die Analyse von Big Data an vielen Stellen zum Allheilmittel sozialer und technischer Probleme erklärt.

und deren statistische Auswertung bislang unerkannte Zusammenhänge zwischen Symptomen verschiedener Krankheiten oder Nebenwirkungen von Medikamenten gefunden werden. Das ist vor allem in Disziplinen hilfreich, in denen bisher viele Daten noch von Hand ausgewertet werden.

Divorce rate in Maine

Big Data und das Internet der Dinge

dungsrate des Bundesstaates Maine in den USA weist eine Korrelation von 99 Prozent zum Margarinekonsum in den Vereinigten Staaten auf. Die mathematische Ähnlichkeit der Datensätze könnte die Schlussfolgerung nahelegen, dass es einen Zusammenhang gibt, niemand würde aber tatsächlich den Margarinekonsum als Ursache der Scheidungen vermuten oder andersherum.

21

devices ersetzt. Oder anders gesagt: Alles wird zum Computer. Das Internet der Dinge entstand im Jahr 1982. Mitarbeiterinnen und Mitarbeiter der Carnegie Mellon University schlossen einen Cola-Automaten an das damalige Netzwerk an. Der Automat sollte mitteilen, wie viele Dosen er auf Vorrat hat und ob die Dosen auch kühl genug sind. Damit war das wahrscheinlich erste Ding am Netz. In der Wissenschaft tauchte der Begriff Internet der Dinge Ende der 1990er Jahre das erste Mal auf. Heizung, Kaffeemaschine und Garagentor per Smartphone zu steuern, kann bequem sein und Vorteile bringen. Aber welche Risiken können entstehen, wenn die Geräte miteinander und mit dem Netz verknüpft werden?

Erhoffte Verbesserungen durch das Internet der Dinge Die versprochenen Effizienzgewinne sind genauso wie bei Big Data enorm. Im Bereich der Heimvernetzung wird zum Beispiel durch smart meter versucht, Heizungen und Klimaanlagen intelligent zu steuern. Thermostate lernen, wann wir uns wo in der Wohnung aufhalten, und passen die Temperatur an, was Heizkosten spart und die Umwelt schont. Selbststeuernde Staubsaugerroboter können schon heute das Leben komfortabler machen und sparen Zeit. Vernetzte Haushaltsgeräte und Sensoren könnten zum Beispiel dabei helfen, dass alte Menschen länger in ihrer eigenen Wohnungen leben können. Die Geräte könnten kontrollieren, ob sich ein Mensch normal in seiner Umgebung bewegt und bei Problemen Verwandte oder den Pflegedienst rufen. Die Kontrolle von Gesundheitsdaten wie Herzschlag und Blutzucker durch Wearables, also ein am Körper tragbares Computersystem wie beispielsweise die Apple-Watch, kann helfen, die Lebensqualität chronisch kranker Menschen zu verbessern. Auch hier könnte bei einer Verschlechterung des Zustandes frühzeitig Alarm geschlagen werden. Städte werden zu smart cities, in denen ein besserer öffentlicher Nahverkehr mit ausgefeilten Fahrplänen und Verkehrsleitsystemen unnütze Pendel- und Wartezeit einsparen könnte. Auch Verbesserungen der Luft- und Wasserqualität sind durch eine kontinuierliche Kontrolle von Umweltdaten denkbar.

22

Unternehmen versprechen sich von der digitalisierten Logistik große Vorteile. Durch die bessere Überwachung von Verkehrsdaten, Logistikketten und des Zustands von Verkehrsmitteln wie Autos, Zügen oder Flugzeugen können sie Kosten und Zeit sparen.

Risiken für IT-Sicherheit und Datenschutz Problematisch ist allerdings, dass die Sicherheit vieler vernetzter Geräte beim Produktdesign bisher keine ausreichende Rolle spielt. Mit der zunehmenden Vernetzung von Gegenständen entstehen Quellen für Datensammler und Einfallstore für Hacker. In der Energieversorgung sind die Risiken besonders hoch, denn diese gehört zur so genannten kritischen Infrastruktur. Über intelligente Stromversorgung können Sabotageakte auf das Netz verübt werden. Viele kennen das Beispiel des im Jahr 2010 bekannt gewordenen Schadprogramms Stuxnet, das mutmaßlich in eine Urananreicherungsanlage in Natanz im Iran von unbekannten Auftraggebern eingeschleust wurde, um dort die Zentrifugen zu zerstören. Ein aktuellerer Fall hat sich erst Anfang November 2016 ereignet. Unbekannte haben die Heizungsanlage mehrerer Wohnblocks im finnischen Lappeenranta mit einer DDoS-Attacke (Distributed Denial of Service) manipuliert. Die Bewohnerinnen und Bewohner der Wohnblocks mussten bei Temperaturen unter dem Gefrierpunkt mehrere Tage mit Heizungsproblemen klarkommen. Die finnische Regulierungsbehörde Ficora vermutet Kriminelle hinter der Attacke.

Das Gerät hört mit Intelligente Energiezähler bergen neben ihren Vorteilen auch Gefahren für den Datenschutz der Nutzerinnen und Nutzer. Es ist wichtig, dass Energieversorger und andere Unternehmen nicht unbegrenzt Daten über das persönliche Leben ihrer Kundinnen und Kunden sammeln können. Wir müssen daher verhindern, dass das Internet der Dinge allgegenwärtige Überwachung bedeutet. Ein aktuelles Beispiel für die Gefahr solcher Überwachung ist der Lautsprecher Echo und seine künstliche Intelligenz Alexa von Amazon. Das Gerät soll als intelligenter Assistent Musik spielen, Fragen beantworten, Lampen und Thermostate steuern und vieles mehr. Alles wird per Spracherkennung gesteuert, ein Mikrofon hört also permanent mit. Die so gewonnen Daten über alles, was wir in unseren eigenen vier Wänden sagen und tun, mit wem wir uns treffen, wie unser Tagesablauf aussieht, welche politische Meinung wir haben und was unsere Lieblingsfilme sind, werden von Amazon gespeichert. Privatsphäre gibt es mit so einem intelligenten Überwachungstool kaum noch. Viele der Daten, die derartige vernetzte Geräte sammeln, erlauben sehr genaue Rückschlüsse auf unsere Gewohnheiten. Wenn wir überall von Gegenständen umgeben sind, die pausenlos Daten übermitteln, wird es schwierig sein, den Überblick zu behalten, welche unserer Daten im Netz landen, wer darauf Zugriff hat und was mit den Daten passiert. Uns wird dadurch die Möglichkeit genommen, bewusst über die Erhebung und Verwendung unserer Daten zu entscheiden.  

23

Wearables und Fitnessapps: Verbesserung der Lebensqualität oder Überwachungstool? Auch das Selbstmonitoring des Gesundheitsverhaltens durch die Nutzung von Wearables wie Fitnessarmbändern, Smartwatches oder Sport-Apps birgt Risiken. Die Generali-Versicherung zum Beispiel verspricht mit dem Vitality-Programm ein „besseres Lebensgefühl und viele interessante Vergünstigungen“. Wer eine gute Fitness nachweist, kann beim privaten Krankenversicherer einen günstigeren Tarif bekommen. Wer nicht mitmacht, kann jedoch schnell identifiziert und diskriminiert werden. Alte und kranke Menschen sind die Verliererinnen und Verlierer, was zu einer Entsolidarisierung in unserem Gesundheitssystem führt. Was die Krankenkasse über uns weiß, darf keine Frage der Technik werden, sondern muss eine persönliche Endscheidung bleiben. Jeder und jede muss die Möglichkeit haben, sich einer Technik auch entziehen zu können. In puncto Datenschutz machten im Mai 2016 norwegische Verbraucherschützerinnen und -schützer mit einer Klage gegen die Fitness-App Runkeeper auf sich aufmerksam. Runkeeper teile Daten mit Dritten ohne das Einverständnis der Nutzerinnen und Nutzer, so der norwegische Verbraucherschutzrat.

24

Klare Regeln für Sicherheit und Haftung Angriffe durch das Internet der Dinge sind keine dunkle Dystopie. Erst vor kurzem waren zahlreiche beliebte Onlinedienste wie Twitter, Paypal, Netflix oder Spotify stellenweise nicht erreichbar, nachdem eine massive DDoS-Attacke das Unternehmen DynDNS, ein Anbieter dynamischer DNS-Server, in die Knie zwang. Die Attacke wurde offenbar über ein riesiges Botnetz, also eine Gruppe automatisierter C o m p u te r p r o g r a m m e , aus dem Internet der Dinge gefahren, das sich aus vernetzten Videokameras und anderen IoT-Geräten zusammensetzte. Diese Angriffe machen deutlich, dass das Internet der Dinge unsicher bleibt, solange der Gesetzgeber nicht versucht, das Problem zu beheben. Ein derartiges Marktversagen löst sich nicht von selbst, sondern es besteht unbedingter Handlungsbedarf. Firmen wie Microsoft, Apple und Google verbringen viel Zeit damit, ihre Software und Hardware zu überprüfen, bevor sie veröffentlicht wird und Schwachstellen auszubessern, sobald sie entdeckt werden. Diese Unternehmen können sich das leisten, weil sie mit ihren Produkten sehr viel Geld verdienen und ihre Sicherheit Wettbewerbsvorteile bringt. Das Problem beim Internet der Dinge ist, dass es bei den meisten der Geräte gar keine Möglichkeit gibt, Schwachstellen auszubessern. Oft kann die Software betroffener Geräte nämlich nicht aktualisiert werden.

Das Wichtigste zu Big Data und zum Internet der Dinge: Das Erkennen von Korrelationen durch Big Data kann viele Vorteile bringen, aber wenn vernachlässigt wird, ob Beziehungen zwischen Datensätzen zufällig sind, dann sind auch fehlerhafte Entscheidungen wahrscheinlicher. Bei der Verarbeitung von Big Data müssen Anonymisierung und Transparenz über die Kriterien automatisierter Entscheidungen sichergestellt werden. Der Gesetzgeber sollte klare Sicherheits- und vor allem Haftungsregeln für IoT-Hersteller aufstellen und sie damit zwingen, ihre Geräte sicher zu machen. Auch die Hersteller künstlicher Intelligenz müssen für ihre Produkte haften. Nutzerinnen und Nutzer müssen im Schadensfall die Möglichkeit haben, gegen die Hersteller zu klagen. Solche Verpflichtungen würden die Kosten für Sicherheitslücken erhöhen und den Unternehmen Anreize geben, Geld in die Sicherheit ihrer Produkte zu investieren. Standards für Sicherheit und Haftung müssen ebenso wie in anderen Technikbereichen auch für das Internet der Dinge zur Norm werden.

Jede und jeder muss das Recht haben, nicht Objekt von automatisierten Entscheidungen zu sein. Sofern automatisierte Verfahren zu Beeinträchtigungen führen, muss ein Anspruch auf Offenlegung, Überprüfung und Entscheidung durch einen Menschen bestehen. Sicherheit und Datenschutz spielen beim Produktdesign vernetzter Geräte bisher keine ausreichende Rolle. Der Gesetzgeber sollte klare Sicherheits- und vor allem Haftungsregeln für IoT-Hersteller aufstellen und sie damit zwingen, ihre Geräte sicher zu machen.   25

Bezahlen mit persönlichen Daten?

Viele Online-Dienste können kostenlos genutzt werden. Bezahlen müssen wir sie trotzdem – und zwar mit unseren Daten. Wie funktioniert das, und gibt es ein Recht auf Dateneigentum?

Datenschutz als unveräußerliches Grundrecht Als Kundinnen und Kunden vermeintlich kostenloser Dienste im eigentlichen Sinne müssen vor allem die Werbetreibenden verstanden werden, die auf den Plattformen Anzeigen schalten. Die Nutzerinnen und Nutzer sind nur das Produkt, das an die Werbetreibenden verkauft wird. Für die Nutzung der Plattformen bezahlen die Userinnen und User nicht mit Geld, sondern mit ihren persönlichen Daten, die von den PlattformAnbietern erhoben und monetarisiert werden. Unter Juristinnen und Juristen wird daher schon seit einer Weile diskutiert, ob es nicht auch ein

26

Eigentumsrecht an persönlichen Daten geben sollte. Das ist nach europäischer Verfassungstradition eigentlich nicht möglich, da in der EU alle Menschen ein unveräußerliches Grundrecht auf den Schutz ihrer persönlichen Daten haben. Dies soll verhindern, dass sich nur wohlhabende Menschen den Schutz ihrer Daten im wahrsten Sinne des Wortes leisten können.

Die neue EU-Richtlinie zum Online-Vertragsrecht Die EU-Kommission legte im Dezember 2015 dennoch einen Vorschlag für eine neue Richtlinie zum so genannten Online-Vertragsrecht vor, in der erstmals explizit das Bezahlen mit persönlichen Daten als Konzept aufgegriffen wurde. Die Richtlinie ist insgesamt ein guter Vorstoß, denn sie erweitert einige Rechte aus dem Vertragsrecht und dem Verbraucherschutz auf den Online-Kauf digitaler Inhalte oder die Nutzung digitaler Dienste im Netz: Wer online zum Beispiel eine Software oder ein eBook kauft oder ein Abo eines Streaming-Dienstes wie Netflix bucht, soll Rückgabe- und Kündigungsrechte erhalten, wenn der Inhalt nicht geliefert wird oder fehlerhaft ist. Die Kommission sah jedoch vor, dass diese Rechte auch für Verträge, bei denen die Kundinnen und Kunden personenbezogene Daten als Gegenleistung zur Verfügung stellen, gelten sollen.

Koppelungsverbot und das Bezahlen mit Daten

Der Wert unserer Daten – auch eine Frage für das Kartellrecht

Das Koppelungsverbot in der neuen EU-DatenschutzGrundverordnung (siehe Kapitel » Die Datenschutzreform der Europäischen Union) schränkt allerdings die Möglichkeiten für Plattform-Anbieter, die Bereitstellung technisch nicht notwendiger persönlicher Daten zur Bedingung für die Nutzung von Online-Diensten zu machen, massiv ein. Im Verlauf des Gesetzgebungsverfahrens zum Online-Vertragsrecht konnte die Grüne Europafraktion im Innen- und Justizausschuss klarstellen, dass ein solches Bezahlen mit Daten-Modell nur dann gültig ist, wenn es die engen Grenzen des Koppelungsverbotes aus dem Datenschutzrecht respektiert. Die Gegenleistung muss also wirklich freiwillig erfolgen, das heißt es müssen auch andere Möglichkeiten bestehen, die betreffende oder eine vergleichbare Plattform datensparsam zu nutzen.

Ein weiterer neuer Verbündeter des Datenschutzes ist neben dem Vertragsrecht das Kartellrecht. EU-Wettbewerbskommissarin Margrethe Vestager stellte bereits klar, dass es bei künftigen Kartellverfahren oder Unternehmensfusionen nicht nur darum gehen wird, welche Marktanteile oder Umsätze vorliegen, sondern auch, ob signifikante Mengen an persönlichen Daten zusammengelegt werden sollen, etwa bei einer Firmenübernahme.

Es stellen sich neben dieser Debatte noch weitere Fragen zum Verhältnis von Datenschutzrecht und Vertragsrecht: Was passiert mit einem solchen Vertrag zum Bezahlen mit persönlichen Daten, wenn der Kunde oder die Kundin das Widerspruchsrecht aus der Datenschutz-Grundverordnung ausübt? Wird der Vertrag dann automatisch beendet? Kann der Anbieter ihn beenden? Oder muss der Kunde oder die Kundin in diesem Fall stattdessen mit Geld bezahlen? Da die Frage der Gültigkeit von Kauf- und Dienstleistungsverträgen weiterhin in der Hand der EU-Mitgliedstaaten liegt, die sich gegen eine einheitliche Regelung sperren, wird es dafür allerdings leider so schnell keinen EU-Rechtsrahmen geben.

Das Wichtigste zu Dateneigentum: Persönliche Daten sind durch ein Grundrecht geschützt und können nicht wie Geld oder Waren veräußert werden. Ein Bezahlen mit persönlichen Daten als Gegenleistung für einen Dienst ist nur in sehr engen Grenzen und nur dort, wo es eine wirklich freie Wahl gibt, möglich. In solchen Fällen sollten aber dann auch hohe Verbraucherrechtsstandards gelten. Beim Wettbewerbs- und Kartellrecht wird neuerdings auch berücksichtigt, wie viele und welche Daten ein Unternehmen besitzt. Dies könnte in Zukunft bei Firmenübernahmen eine wichtige Rolle spielen.

27

Bei dem geplanten Freihandelsabkommen zwischen den USA und der EU (Transatlantic Trade and Investment Partnership, TTIP), aber auch beim Handelsabkommen über Dienstleistungen (Trade in Services Agreement, TiSA) geht es unter anderem um die Frage nach Datenflüssen im Online-Handel. Dabei besteht eine reale Gefahr, dass die europäischen Datenschutzstandards unterwandert werden könnten. Die Verhandlungsführerinnen und -führer der EU-Kommission haben wiederholt öffentlich betont, dass sie nicht über ein Mandat für die Verhandlung von Regeln für den Datenschutz verfügen. Auch die damalige EUJustizkommissarin Viviane Reding warnte in einer Rede in Washington im Oktober 2013 ausdrücklich davor, Datenschutz in die Handelsgespräche einzubeziehen. Datenschutz sei ein Grundrecht und als solches nicht verhandelbar.  

Interoperabilität oder Angemessenheit?

TTIP, TiSA, CETA & Co.

Handelsabkommen als Gefahr für den Datenschutz?

28

Auf der amerikanischen Seite gibt es dagegen zahlreiche Versuche, die europäischen Datenschutzregeln im Zusammenhang mit den Handelsgesprächen auszuhöhlen. Neue Lobbyverbände wurden gegründet, wie zum Beispiel die Coalition for Privacy and Free Trade. Ein wiederkehrendes Thema dieser Lobby-Bemühungen ist der Versuch, auf die Interoperabilität zwischen den amerikanischen und den europäischen Regeln des Datenschutzes zu drängen. Dies würde im Grundsatz eine gegenseitige Anerkennung der jeweiligen Regeln auf beiden Seiten des Atlantiks bedeuten. In den Vereinigten Staaten gibt es allerdings keine umfassenden Datenschutzgesetze. Ein Versuch von US-Präsident Ba-

rack Obama im Februar 2015, erstmals ein umfassendes Verbraucherrecht zum Datenschutz einzuführen, hatte viele Lücken und fand keine Unterstützung im US-Kongress. Aus europäischer Sicht gibt es also nichts, was als interoperabel zu bezeichnen wäre. Selbst wenn es einen Rechtsrahmen zum Datenschutz in den USA gäbe, der mit dem EU-Recht zusammenarbeiten könnte: Die Anforderungen des Datenschutzes in der EU enthalten weit mehr als Interoperabilität. Das EU-Datenschutzrecht erfordert, dass personenbezogene Daten nur in Drittstaaten wie die USA übermittelt werden dürfen, wenn dort ein angemessenes Schutzniveau gewährleistet ist. Die neue Datenschutz-Grundverordnung der EU hat dies in Folge des Urteils des Europäischen Gerichtshofs zu Safe Harbour weiter präzisiert und klargestellt, dass angemessen im Kern bedeutet: „der Sache nach gleichwertig“. Bloße Interoperabilität kann dies nicht ersetzen.

Ortsgebundenheit von Daten als Grundrecht Die EU-Regeln des Datenschutzes sind ganz grundlegend auch Regeln für die Lokalisierung. Weil Datenschutz ein bindendes Grundrecht mit Verfassungsrang in der EU-Charta der Grundrechte ist, können personenbezogene Daten prinzipiell erst einmal nur in der Europäischen Union verarbeitet werden. Alle Regeln, die die Übertragung von Daten in Drittländer ermöglichen, stellen Ausnahmen von diesem Prinzip dar und müssen deshalb bestimmte Bedingungen erfüllen – wie beispielsweise ein angemessenes Schutzniveau in dem jeweiligen Drittland. 29

Seit den Snowden-Enthüllungen gibt es in Europa eine Debatte über strengere Bedingungen für die Übermittlung personenbezogener Daten in die USA und andere Drittstaaten. Europäische Behörden und Privatunternehmen bestehen immer mehr auf Vorschriften zur Lokalisierung, wenn sie Computerdienste einkaufen, um sicherzugehen, dass ihre sensiblen Daten nicht in Gebieten mit fragwürdiger Gesetzeslage landen. Sogar der Europäische Gerichtshof hat dies in seinem Grundsatzurteil zur Aufhebung der Vorratsdatenspeicherung vom April 2014 hervorgehoben. Die fehlende Verpflichtung zur Lokalisierung der Vorratsdaten in der EU wurde hier offen kritisiert.

EU-Cloud als Handelshemmnis? Ein weiterer Versuch von amerikanischer Seite, die europäischen Datenschutzregeln zu unterlaufen, wird über eben jenes Prinzip der Lokalisierung unternommen. Der US-Handelsbeauftragte Michael Froman behauptete in der Vorstellung seines Berichts über die Handelsabkommen für den Telekommunikationsmarkt, die europäischen Lokalisierungs-Regeln, die den Datentransport oder die Datenverarbeitung innerhalb der EU verlangen, stellten ein illegales Handelshemmnis dar. Die LobbyOrganisation Business Coalition for Transatlantic Trade argumentiert in die gleiche Richtung. Sie fordert, dass ein TTIP-Abkommen „verbietet, dass Dienstleister lokale Server und andere Infrastrukturen verwenden oder eine lokale Niederlassung errichten müssen.“ Gern wird dabei auf entsprechende Gesetze in Russland oder China verwiesen. Froman steht nicht alleine da. Bestimmungen zum Ver30

bot von Lokalisierung und zum freien Datenfluss finden sich unter anderem im Entwurf für einen Digital Trade Act vom Dezember 2013, im Entwurf des Trade Priorities Act von 2014, und schließlich auch in den US-Verhandlungsmandaten für TTIP und TiSA. Geleakte Entwürfe der USA zum E-Commerce in TiSA zeigen dies deutlich. Der US-Entwurf zum Anhang E-Commerce und Telekommunikation würde keine Beschränkungen für grenzüberschreitende Informationsflüsse mehr erlauben und auch Lokalisierungsanforderungen für Dienstleister im IT-Bereich verbieten.

Klare Positionierung des Europäischen Parlaments Das Europäische Parlament aber hat aufgrund der eindeutigen Rechtslage in seinen Beschlüssen zu TTIP im Juli 2015 und zu TiSA im Februar 2016 darauf bestanden, dass das hohe EU-Datenschutzniveau nicht Gegenstand von Verhandlungen über Handelsabkommen sein darf. Die EU-Kommission sollte aufgrund ihres klaren Verhandlungsmandates, der EU-Rechtslage und der Beschlüsse des Europäischen Parlaments den Forderungen der USA zur Aufweichung des Datenschutzes eine Absage erteilen. Allerdings führen internationale Verhandlungen immer zu Kompromissen. Es ist daher zu befürchten, dass TTIP – sollte es unter US-Präsident Donald Trump überhaupt noch zustande kommen – zumindest in abgeschwächter Form Regulierungen beinhalten wird, die EU-Datenschutzstandards unterwandern. Sollte es soweit kommen, wäre dies ein Grund mehr, diese Handelsabkommen abzulehnen.

Das Wichtigste zu Datenschutz in Handelsabkommen: Handelsabkommen wie TTIP oder TiSA regeln auch den elektronischen Handel. Die USA und andere Verhandlungspartner wollen dabei auch gleich alle Grenzen für den Fluss personenbezogener Daten abschaffen. Das EU-Datenschutzrecht stellt hohe Anforderungen an den Transfer unserer Daten in andere Länder. Daher verlangt das Europäische Parlament auf unsere Grüne Initiative, dass in den Handelsverträgen klargestellt werden muss, dass Datenschutzgesetze nicht als Handelshemmnis gewertet werden können. Falls die Handelsabkommen am Ende unseren Datenschutz untergraben sollten, wäre das für das Europäische Parlament ein weiterer Grund, sie mit aller Schärfe abzulehnen. 31

III. Datenschutz bei Polizei und Sicherheitsbehörden Polizeiarbeit und Strafverfolgung in der EU

Zur Erfüllung ihrer Aufgaben bei der Strafverfolgung müssen Polizeibehörden und Staatsanwaltschaften persönliche Daten verarbeiten. Da dies weitreichende Konsequenzen für die betreffende Person haben kann, von Überwachungsmaßnahmen bis hin zu Reisebeschränkungen, spielt Datenschutz auch hier eine wichtige Rolle. Zum Einen müssen bei den konkreten Ermittlungen der Polizei und Staatsanwaltschaft und bei dem anschließenden Umgang mit den ermittelten Daten bestimmte Standards eingehalten werden. Darüber hinaus geht es bei dem Austausch von Informationen zwischen Polizei und Ermittlungsbehörden auch über internationale Grenzen hinweg um die Frage, ob und unter welchen Umständen Ermittler und Ermittlerinnen Zugang zu Daten bekommen sollten, die andere Behörden oder private Unternehmen erheben. Auf den folgenden Seiten werden die Entwicklungen in der Polizeiarbeit und Strafverfolgung innerhalb der Europäischen Union genauer dargestellt. Auf EU-Ebene gibt es mittlerweile einige Gesetze, die den polizeilichen Umgang mit persönlichen Daten regeln (» 1. Datenschutzregeln für Polizei und Justiz). Dies betrifft sowohl die Datenverarbeitung innerhalb der Europäischen Union, als auch den Datenaustausch mit internationalen Partnern. Weiterhin sehr umstritten sind dagegen verschiedene Ansätze zur Sammlung von Daten auf Vorrat, nur für den Fall, dass diese irgendwann nützlich sein könnten (» 2. Anlasslose Datensammlung). Hier geht es keineswegs nur um Telekommunikations-, sondern auch um Reisedaten. In den letzten Jahren lässt sich auch beob-

32

achten, dass EU-weit immer mehr Datenbanken in der Justiz- und Polizeiarbeit, aber auch der Grenzkontrollen, miteinander verknüpft werden (» 3. Die Verknüpfung von Datenbanken in der EU-Grenz- und Polizeipolitik). Darüber hinaus bekommen Strafverfolgungsbehörden immer mehr Zugriff auf Datenbanken zur Grenzkontrolle. Im Ergebnis geraten so alle Menschen aus Nicht-EUStaaten unter Generalverdacht, egal, ob es Touristen und Touristinnen, Geflüchtete oder Geschäftsreisende sind. Während die polizeiliche Arbeit noch transparent ist, weil Polizistinnen und Polizisten in der Regel offen auftreten und Verdächtige auf anwaltlichem Wege die Möglichkeit auf Akteneinsicht haben, verschmelzen bei der Anti-Terror-Politik auf EU-Ebene (» 4. Die Anti-TerrorKoordination in der EU) genau wie in den Mitgliedstaaten die Grenzen zur geheimdienstlichen Tätigkeit. Diese ist kaum zu kontrollieren und nicht mehr an die Beschränkungen der Polizeiarbeit gebunden.

33

1. EU-Datenschutzregeln für Polizei und Justiz EU-weite Mindeststandards Die EU-Mitgliedstaaten haben seit den 1980er Jahren eine immer engere Kooperation ihrer Strafverfolger vereinbart – wichtige Schritte auf diesem Wege waren unter anderem das Schengener Abkommen aus dem Jahr 1985 und der Vertrag von Prüm aus dem Jahr 2005. Dieser beinhaltet auch den Zugang zu den polizeilichen Datenbanken in anderen EU-Mitgliedstaaten. Solche gegenseitigen Zugangsmöglichkeiten, genau wie auch die gegenseitige Anerkennung von Haftbefehlen oder Ermittlungsanordnungen der EU-Mitgliedstaaten, brauchen gemeinsame Mindeststandards. Im Jahr 2008 wurden erstmals Regeln für den grenzüberschreitenden Austausch persönlicher Daten zwischen den Polizeibehörden vereinbart. Diese regelten aber noch nicht, wie die EU-Mitgliedstaaten ihr polizeiliches Datenschutzrecht innerstaatlich zu gestalten hatten – das war weiterhin ausschließlich ihnen alleine vorbehalten. Seitdem der Lissabonner Vertrag aus dem Jahr 2009 in Kraft getreten ist, besitzt die EU eine umfassende Gesetzgebungskompetenz für den Datenschutz. Auf dieser Grundlage wurde im Jahr 2016 zusammen mit der Datenschutz-Grundverordnung auch eine Datenschutzrichtlinie für Polizei und Justiz beschlossen. Diese Richtlinie muss bis Frühjahr 2018 von den Mitgliedstaaten in nationales Recht umgesetzt werden. Sie gibt erstmals 34

EU-weite Mindeststandards auch für die innerstaatliche Verarbeitung personenbezogener Daten durch die Strafverfolger vor. Ziel der Richtlinie ist es, persönliche Daten bei der Verarbeitung durch Behörden zu schützen. Die Grundlagen ähneln den allgemeinen Datenschutzprinzipien. Dementsprechend muss eine Verarbeitung der Daten rechtmäßig und nur für den vorgesehenen Zweck geschehen. Außerdem darf eine Verabreitung nur stattfinden, wenn sie maßgeblich für den vorgesehenen Zweck ist. Sobald Daten nicht mehr notwendig sind, müssen sie gelöscht werden. Zudem muss die betroffene Person über die Vorgänge informiert werden, sobald dies nicht mehr die Ermittlungen gefährdet. Daten, die fälschlich erhoben worden sind, müssen gelöscht werden. Anders als bei der allgemeinen Datenschutz-Grundverordnung wird in der Richtlinie auch unterschieden zwischen Verdächtigen, Opfern, Zeugen und Verurteilten, weil deren Daten in unterschiedlichem Maße schützenswert sind.

Datenschutz über europäische Grenzen hinaus Im Zuge der Strafverfolgung werden auch über EU-Grenzen hinaus persönliche Daten ausgetauscht. So gibt es bei der internationalen Polizeibehörde Interpol unter anderem Datenbanken gestohlener Fahrzeuge und Ausweise, gesuchter Personen, sowie für DNA-Daten von Tatorten oder Verdächtigen. Mit vielen Ländern außerhalb der EU bestehen bilaterale Rechtshilfeabkommen der Mitgliedstaaten, der gesamten EU und auch von der europäischen Polizeibehörde Europol. Außerdem wurden Abkommen mit den USA zur Massenauswertung von Finanztransaktionsdaten (SWIFT-Daten) und zur Rasterung und Speicherung von Fluggastdaten (Passenger Name Record, PNR) geschlossen. Ein PNR-Abkommen der EU gibt es ebenfalls mit Australien, ein bereits fertig verhandeltes PNR-Abkommen mit Kanada wurde vom Europäischen Parlament im Jahr 2015 dem Europäischen Gerichtshof zur Überprüfung vorgelegt (siehe Kapitel » Die Fluggastdatenüberwachung). Alle diese internationalen Abkommen erlauben den Austausch personenbezogener Daten – teilweise im Zuge einzelner Ermittlungen, teilweise massenhaft. Internationale Datenschutzstandards, die ein Mindestmaß an Schutz für die Betroffenen sicherstellen, gab es bisher nicht. Lediglich die Konvention 108 des Europarates (der mehr Mitgliedstaaten hat als die EU) verpflichtet die Vertragsparteien auf ein Min-

destmaß an Datenschutzregeln auch im Polizeibereich. Ihr sind aber außerhalb Europas bisher nur Uruguay, der Senegal und Mauritius beigetreten. Das Europäische Parlament hatte wegen des Umfangs der transatlantischen Datentransfers auch im Strafverfolgungsbereich bereits seit Jahren ein Datenschutzabkommen zwischen der EU und den USA gefordert. Seit März 2011 gab es dann wirklich Verhandlungen, die aber mühsam waren und zunächst nicht recht vorankamen. Erst durch die Enthüllungen von Edward Snowden im Sommer 2013 und der folgenden Eintrübung des transatlantischen Verhältnisses sah die US-Administration ein, dass sie sich beim Datenschutz auf die EU zubewegen muss. Im September 2015 war der Text des so genannten Rahmenabkommens (Umbrella Agreement) für den Datenschutz im Polizeibereich fertig verhandelt, das am 1. Dezember 2016 vom Europäischen Parlament final angenommen wurde. Das Umbrella Agreement setzt unter anderem der Zweckbestimmung einer Datenverarbeitung, der Speicherdauer und der Weitergabe der Daten Grenzen. Es regelt außerdem einheitlich die Betroffenenrechte, etwa auf Information, Auskunft oder Löschung der Daten. Im Februar 2016 änderte der US-Kongress sogar den US Privacy Act, um EU-Bürgern und -Bürgerinnen die Möglichkeit zu geben, ihre Rechte auch vor Gerichten in den USA durchzusetzen. Im nächsten Schritt müssen nun weitere Datenschutzabkommen der EU mit anderen Staaten folgen – wenigstens mit denen, die schon Abkommen mit der EU über den Austausch von Daten geschlossen haben. 35

2. Anlasslose Datensammlung: Viele Informationen, wenige Erkenntnisse

Die Vorratsdatenspeicherung

Das Wichtigste zu Datenschutzregeln für Polizei und Justiz Bessere Zusammenarbeit der Strafverfolgerinnen und Strafverfolger über Grenzen hinweg braucht gemeinsame Mindeststandards für den Schutz der Betroffenen. Dazu gehört auch der Datenschutz. Es gibt mit der Datenschutzrichtlinie für Polizei und Justiz seit dem Jahr 2016 erstmals ein EU-Gesetz, das solche Mindeststandards festlegt. Ebenfalls im Jahr 2016 hat die EU mit dem Umbrella Agreement erstmals ein Abkommen mit den USA geschlossen, das den Datenschutz und damit auch Betroffenenrechte regelt, wenn im Zuge von polizeilicher Zusammenarbeit Daten über den Atlantik übermittelt werden. Der US-Kongress änderte dafür auf Drängen der EU sogar den Privacy Act.

36

Während es also mit der Datenschutzrichtlinie für Polizei und Justiz nun klare EU-weite Regeln für die Verarbeitung persönlicher Daten in der Polizei- und Strafverfolgungsarbeit gibt, herrscht bei der Frage nach Gewinnung dieser Daten noch große Uneinigkeit. Trotz zahlreicher verfassungsrechtlicher Bedenken und eines eindeutigen Urteils des Europäischen Gerichtshofs geistert in diesem Zusammenhang noch immer das Gespenst der Vorratsdatenspeicherung durch den europäischen Sicherheitsdiskurs. Vorratsdatenspeicherung bezeichnet die anlasslose Speicherung von Kommunikationsdaten aller betroffenen Bürgerinnen und Bürger auf Vorrat, das heißt, ohne einen Anfangsverdacht oder eine konkrete Gefährdung. Diese Daten sollen im Nachhinein zu Strafverfolgungszwecken ausgewertet werden können. Die seit den Anschlägen von 9/11 auch in Europa diskutierte Vorratsdatenspeicherung hielt im Jahr 2006 mit der Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten Einzug in die Gesetzgebung. Die Richtlinie musste bis 2007 verpflichtend in nationales Recht umgesetzt werden und sah eine Speicherung der so genannten Verkehrs- und Standortdaten in der Telekommunikation und Internetnutzung für mindestens sechs Monate und höchstens zwei Jahre vor. Zwar sollten die Inhalte von

Telefonaten und Mailverkehr nicht gespeichert werden, doch bereits Verkehrs- und Standortdaten sind sensible personenbezogene Daten und können viel Aufschluss über das Leben eines Menschen geben. Denn wenn wir wissen, wo jemand zu welchem Zeitpunkt war und mit wem sie oder er gesprochen hat, können wir ziemlich genaue Bewegungsprofile erstellen und Kommunikationsnetzwerke nachvollziehen. Die EU-Mitgliedstaaten Irland und die Slowakei reichten im Jahr 2006 eine Klage gegen die Richtlinie vor dem Europäischen Gerichtshof ein. Der Deutsche Bundestag verabschiedete im November 2007 mit den Stimmen von CDU/CSU und SPD das Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG, das am 1. Januar 2008 in Kraft trat. Auch in Deutschland wurden Klagen gegen das Gesetz erhoben. Der Arbeitskreis Vorratsdatenspeicherung (AK Vorrat), sowie Politikerinnen und Politiker der Grünen und der FDP reichten eine Verfassungsbeschwerde gegen die Vorratsdatenspeicherung vor dem Bundesverfassungsgericht ein. Am 2. März 2010 erklärte das Bundesverfassungsgericht die Vorratsdatenspeicherung in ihrer derzeitigen Form für verfassungswidrig. Auch der Europäische Gerichtshof verkündete am 8. April 2014, dass die Richtlinie zur Vor37

ratsdatenspeicherung nicht mit der Charta der Grundrechte der EU vereinbar sei. Eine Studie der kriminologischen Abteilung des MaxPlanck-Instituts für ausländisches und internationales Strafrecht3 belegte 2011, ein Jahr nach der Kassierung des Gesetzes, dass die Vorratsdatenspeicherung keine signifikanten Verbesserungen hinsichtlich der Aufklärung von Straftaten mit sich gebracht hatte. Ähnliche Rückmeldungen über den Nutzen der Speicherung von Vorratsdaten gaben Behörden aus Frankreich und Österreich. Vertreterinnen und Vertreter der österreichischen Regierung berichteten in einer Anhörung des Europäischen Gerichtshofs im Juli 2013, dass die Strafverfolgungsbehörden in lediglich 0,067 Prozent der Fälle auf die gespeicherten Daten zugegriffen hätten. Trotz der sehr klaren Urteile und obwohl es keine statistischen Belege dafür gibt, dass die Vorratsdatenspeicherung eine erhebliche Verbesserung bei der Prävention und Aufklärung von Straftaten mit sich bringt, verabschiedete der Bundestag im Oktober 2015 mit den Stimmen von CDU/CSU und SPD erneut die Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten, sprich: eine Neuauflage der Vorratsdatenspeicherung. Telekommunikationsanbieter sind nun verpflichtet, die Standortdaten ihrer Nutzerinnen und Nutzer für vier Wochen und die Rufnummern, IP-Adressen und sonstigen Verkehrsdaten für zehn Wochen zu speichern. Doch selbst das ist Bundesinnenminister Thomas de Maizière nicht genug. Er fordert eine Ausweitung der Vorratsdatenspeicherung auch auf Kommunikationsdienste wie Skype, WhatsApp oder Facebook.

38

3

Das Wichtigste zu Vorratsdatenspeicherung: Die Vorratsdatenspeicherung dient der anlasslosen, massenhaften und verdachtsunabhängigen Speicherung von Kommunikationsdaten aller Bürgerinnen und Bürger. Europäischer Gerichtshof und Bundesverfassungsgericht haben schon einmal die Gesetze zur Vorratsdatenspeicherung für nicht vereinbar mit der EU-Grundrechtecharta und für verfassungswidrig erklärt. Wir Grüne haben erneut Klage vor dem BVerfG gegen die 2015 wiedereingeführte Vorratsdatenspeicherung eingereicht. Statt kostspielige Überwachungstools einzuführen, deren Nutzen fragwürdig ist, sollte der Gesetzgeber die häufig unterfinanzierten Polizeibehörden endlich durch Investitionen in Personal und Ausstattung vor Ort unterstützen.

Die vollständige Studie kann unter http://gruenlink.de/1aum nachgelesen werden.

Die Fluggastdatenüberwachung Ein ebenso unverhältnismäßiger Eingriff in unsere Grundrechte, ohne jegliche Belege für Nutzen und Notwendigkeit, ist die Fluggastdatenspeicherung, auf Englisch: Passenger Name Record (PNR). Während bereits einzelne Abkommen zur Fluggastdatenspeicherung mit den USA und Australien bestanden, schlug die damalige EU-Kommissarin für Inneres, Cecilia Malmström, im Februar 2011 einen Entwurf für ein EUeigenes PNR-System vor. Der Entwurf sah vor, dass Fluglinien umfangreich Daten aller Reisenden an nationale Passenger Information Units übergeben, die diese fünf Jahre speichern, mit diversen Datenbanken abgleichen und anhand im Voraus festgelegter Kriterien rastern. Bei einem Treffer wird manuell geprüft, ob „Maßnahmen“ ergriffen werden sollten, die nicht weiter spezifiziert werden. Mittels einer systematischen Auswertung der so anfallenden Datenmengen (Data-Mining) sollen aus

den Daten auch neue Kriterien generiert werden. Die Weitergabe an Drittstaaten ist möglich. Bei den Daten handelt es sich um sensible personenbezogene Informationen, angefangen bei Namen, Adressen, Ausweisund Geburtsdaten bis hin zu den Essenswünschen der Passagiere an Bord des Flugzeugs. Der Nutzen dieses Systems steht nicht im Verhältnis zu seinen massiven Grundrechtseingriffen. Ein mit Kanada verhandeltes PNR-Abkommen legte das Europäische Parlament im Jahr 2015 aufgrund starker Bedenken dem Europäischen Gerichtshof zur Überprüfung vor. Das Urteil steht noch aus, der Generalanwalt des Europäischen Gerichtshofs, Paolo Mengozzi, machte in seinem Gutachten von September 2016 jedoch bereits deutlich, dass er die in dieser Form existierende anlasslose massenhafte Speicherung und Rasterung von Fluggastdaten für nicht vereinbar mit den EU-Grundrechten hält. Sollte das Gericht dieser Einschätzung folgen, könnte dies auch Konsequenzen für das EU-eigene PNR-System sowie die PNRAbkommen der EU mit Australien und den USA haben.

39

Obwohl die Europäische Kommission die vielfältige Kritik nicht entkräften konnte, stimmte das Europäische Parlament der EU-eigenen PNR-Richtlinie, die für alle Flüge in die EU und aus der EU heraus gilt, am 14. April 2016 zu. Laut Schätzungen der EU-Kommission wird dieses teure Placebo etwa 500 Millionen Euro kosten. Geld, das bei den Polizeibehörden fehlt, die diese und alle anderen Daten auswerten und entsprechende Verdachtsmomente nachverfolgen müssen. Die zusätzlichen Datenmassen aus den PNR-Systemen werden den Daten-Heuhaufen nur weiter vergrößern. Sinnvoll wäre stattdessen, dass sich Polizei und Ermittlungsbehörden auf Risikoflüge zum Beispiel aus der Türkei und Syrien konzentrieren.

Das Wichtigste zu Fluggastdatenüberwachung: Die im April 2016 verabschiedete EU-PNR-Richtlinie sieht ein System der Speicherung und Rasterung aller bei einem Flug angegebenen Daten von Passagieren auf Flügen in die EU hinein und aus der EU heraus vor. Die Mitgliedstaaten haben dieses System der Fluggastdatenüberwachung auch auf innereuropäische Flüge ausgeweitet. Daneben bestehen PNR-Abkommen mit Australien und den USA. Ein geplantes Abkommen mit Kanada liegt dem EuGH zur Überprüfung vor. Der EuGH-Generalanwalt hat in einem Gutachten bereits erklärt, dass er das Abkommen für unvereinbar mit der EUGrundrechtecharta hält. Die PNR-Richtlinie ist mit ihren geschätzten Kosten von 500 Millionen Euro weder notwendig noch verhältnismäßig. Statt anlassloser Massenüberwachung brauchen wir Investitionen in anlassbezogene, verdachtsabhängige und grenzüberschreitende Polizeiarbeit.

3. Die Verknüpfung von Datenbanken der Grenz- und Polizeibehörden Als im Jahr 1985 eine Reihe von EU-Mitgliedstaaten mit dem Schengener Abkommen beschloss, ihre Grenzen untereinander zu öffnen, führte dies zu der naheliegenden Forderung, im Gegenzug die polizeiliche Arbeit enger miteinander zu verknüpfen. So begann die polizeiliche und justizielle Kooperation in der Europäischen Union. Nach der Erweiterung des Schengen-Raums, zu dem perspektivisch außer Großbritannien und Nordirland alle EU-Mitgliedstaaten sowie Norwegen, die Schweiz und Island gehören, kam es im Mai 2005 zum so genannten Prümer Vertrag, der die begonnene polizeiliche und justizielle Zusammenarbeit einzelner Mitgliedsstaaten weiterführt und verstärkt. Der Vertrag war ein wichtiger Schritt hin zum Austausch polizeilicher Daten zwischen den Schengen-Staaten. Konkret wurde ein gegenseitiger Zugriff eingeführt für DNA-Analyse-Dateien, Datenbanken mit Fingerabdrücken sowie Kraftfahrzeugregister. Parallel gab es seit dem Jahr 2004 Bestrebungen, Informationen zwischen den Strafverfolgern der EU-Mitgliedstaaten auch aktiv auszutauschen, was zwei Jahre später in einen Rahmenbeschluss des Rates mündete. Er geht zurück auf einen Vorschlag der schwedischen Regierung und ist daher als Schwedische Initiative bekannt. Den Kern stellt der Grundsatz der Verfügbarkeit polizeilicher Daten aus anderen Mitgliedstaaten dar.

40

Zentrale Datenbanken auf EU-Ebene Seit dem Jahr 2012 gibt es die EU-Agentur eu-LISA für den Betrieb großer Informationssysteme. Ihr Hauptsitz ist Tallinn (Estland), der Großteil der Mitarbeiter ist aber in Straßburg (Frankreich), wo die Server betrieben werden, mit einem Back-up-System in Sankt Johann (Österreich). Die Agentur betreibt die bereits länger bestehenden Systeme zur digitalen Überwachung der EUAußengrenzen. Die älteste Datenbank ist das Schengener Informationssystem (SIS), in dem Fahndungen, gestohlene Dokumente sowie Einreisesperren und Abschiebeanordnungen ausgeschrieben werden können. Es besteht bereits seit dem Jahr 1995 und wurde 2013 durch eine neue Version (SIS II) ersetzt, in die auch biometrische Daten und weitere Informationen eingespeist werden können. Zugriff auf diesen umfangreichen Datenbestand haben – je nach Datenkategorie – tausende von Behörden: Polizeien, Staatsanwaltschaften, Gerichte, Zoll, Ausländer- und Einwanderungsbehörden, Konsulate, Visastellen und Fahrzeug-Zulassungsstellen. Bereits im Jahr 2014 wurden die Daten fast zwei Milliarden Mal abgefragt – das sind mehr als fünf Millionen Zugriffe pro Tag. Eng verknüpft mit SIS betreibt die Agentur eu-LISA auch

41

das Visa-Informationssystem (VIS), das im Oktober 2011 nach fast zehn Jahren Vorbereitung den Betrieb aufnahm und den Autausch von Visa-Daten zwischen den Schengen-Staaten ermöglicht. Zwar sind SIS und VIS technisch unabhängig, aber durch ihre Vernetzung mit denselben Behörden und die sich überschneidenden Zweckbestimmungen sind de facto verschmolzen. EUweit wird bereits seit dem Jahr 2013 an einer gemeinsamen Suchmaske für alle Datenbanken gearbeitet. Dazu gehört auch die dritte von eu-LISA betriebene Datenbank, Eurodac, die seit 2003 besteht und in der die Fingerabdrücke aller Geflüchteten erfasst werden sollen, um zu wissen, in welchem EU-Staat die jeweilige Person zuerst Asyl beantragt hat. Eurodac erfasste bereits Ende 2014 mehr als 2,7 Millionen Menschen und wurde täglich mehr als 2000 Mal abgefragt. Geplant ist, dass eu-LISA auch die Datenbank für die intelligenten Grenzen, die so genannten Smart Borders betreiben soll. Mit diesem auch als Entry/Exit bekannten System, das mehr als eine halbe Milliarde Euro kosten wird, sollen die Daten aller Angehörigen von Nicht-EU-Staaten bei der Ein- und Ausreise an den EU-Außengrenzen erfasst und für fünf Jahre gespeichert werden, inklusive ihrer Fingerabdrücke und eines biometrischen GesichtsScans. Innenkommissar Dimitris Avramopoulous, der im April 2016 nach jahrelanger Diskussion einen neuen Vorschlag vorgelegt hat, will mit diesem System herausfinden, wer unerlaubt länger in der EU bleibt, als es das Visum oder die Einreiseerlaubnis zulässt. Da die Entry/ Exit-Datenbank aber nur Ein- und Austritt in den Schengen-Raum dokumentiert und deshalb keine Auskunft darüber geben kann, wo genau in diesem weiten Gebiet die gesuchte Person sich aufhält, erhalten wir also

42

de facto für mehr als eine halbe Milliarde Euro nur eine bessere Statistik über die so genannten Over-Stayers. Die Polizeibehörden sollen laut EU-Kommission genau wie bei Eurodac und anderen Systemen einen direkten Zugriff auf die Datenbank inklusive der biometrischen Daten erhalten. Das bedeutet einen Generalverdacht für alle Menschen, die legal in die EU kommen. Der bisher letzte Vorschlag in der langen Reihe von Datenbanken zur Kontrolle der EU-Außengrenzen ist das Einreise-System ETIAS, das im November 2016 von der EU-Kommission vorgelegt wurde. Mit diesem European Travel Information and Authorisation System sollen Reisende aus Ländern, mit denen die EU Visafreiheit vereinbart hat, vor Antritt der Reise in die Europäische Union online ihre Daten eingeben. Diese werden dann automatisiert mit den bestehenden Datenbanken abgeglichen und zusätzlich auf Basis von Statistiken und anderen Daten durch einen Profiling-Algorithmus mit einer Art Gefährlichkeits-Annahme versehen. Der Grenzbeamte und die Konsulats-Mitarbeiterin werden also durch einen Computer ersetzt, der über die Einreise entscheiden wird. ETIAS wird nochmals mindestens 200 Millionen Euro kosten, obwohl der zusätzliche Nutzen mit Blick auf die Datenbanken SIS, PNR und Entry/Exit völlig unklar ist. Auch hier sieht die Europäische Kommission fünf Jahre Datenspeicherung sowie den Zugriff der Polizeibehörden auf die Daten vor. Parallel zu diesen Grenzkontroll- und Fahndungsdatenbanken betreibt die europäische Polizeibehörde Europol noch ihr eigenes Europol-Informationssystem (EIS), auf das die nationalen Polizeien Zugriff haben. Dort waren im Januar 2016 bereits 295.374 Einträge enthalten,

von denen ungefähr die Hälfte mit Drogendelikten und Raub zu tun hatte. Terrorismus, ein häufig vorgebrachtes Argument für den Ausbau und die Verknüpfung dieser Datenbanken, spielte mit 7.700 Einträgen im EIS nur eine kleine Rolle. Neben der Vernetzung der Datenbanken gibt es seit Jahren politischen Druck der Innenminister, dass auch sachfremde Daten für die Polizei verfügbar gemacht werden. Im Ergebnis haben die Strafverfolger bereits heute Zugriff auf die Datenbanken Eurodac und VIS, die so von ihrem ursprünglichen Zweck der Einreise- und Asylpolitik entfremdet werden. Die von den Mitgliedstaaten seit Mai 2016 einzurichtenden Systeme zur Speicherung und Rasterung von Fluggastdaten (EU-PNR) werden ebenfalls der Polizei zur Verfügung stehen. Auch auf die Daten des geplanten Entry/Exit-Systems sollen die Polizeien laut Vorschlag der EU-Kommission zugreifen können.

Probleme Am Ende dieser Entwicklung könnte eine integrierte zentrale und dezentrale Datenbank stehen, die mit einer einheitlichen Suchmaske von tausenden von Behörden in der EU durchsucht werden kann und bei der die Polizeien auch Zugriff auf Daten von völlig unverdächtigen Personen bekommen werden. Das bringt viele grundsätzliche Probleme mit sich. Die Zentralisierung schafft zunächst einmal einen Single Point of Failure, sodass bei Hackerangriffen oder technischen Ausfällen gleich das gesamte System von Datenbanken ausfallen könnte. Noch schwerwiegender ist aber, dass mit der Zentralisierung die grundlegenden

43

Datenschutz-Prinzipien der Zweckbindung und der Datensparsamkeit unterlaufen würden. Auch die grundrechtlich gebotenen Anforderungen der Verhältnismäßigkeit und Notwendigkeit solch großer Datenspeicher sind nicht nachgewiesen. Brauchen wir wirklich den polizeilichen Zugriff auf die Fingerabdrücke aller Geflüchteten, um Handtaschendiebstähle oder Drogendelikte aufzuklären, und ist das verhältnismäßig? Die parlamentarische Kontrolle und auch die Datenschutzaufsicht sind nicht dem Wuchern dieser Datenbanken entsprechend mitgewachsen.

Vorhandene Instrumente anwenden, statt immer neue Datenberge schaffen Bevor über den Ausbau und die weitere Verknüpfung der Datenbanken überhaupt nur nachgedacht wird, sollten zunächst erst einmal die beschlossenen Schritte vollständig umgesetzt werden. So sind zum Beispiel die Verpflichtungen aus dem Vertrag von Prüm noch immer nicht überall erfüllt, obwohl die Frist bereits im Jahr 2011 abgelaufen ist. Auch das PNR-System zur Überwachung von Flugpassagieren ist noch nicht umgesetzt, obwohl die EU-Innenminister nach den Anschlägen von Paris und Brüssel sehr auf Eile gedrängt hatten. Zudem werden bestehende Systeme wie SIS, VIS oder Eurodac gar nicht von allen Mitgliedstaaten genutzt. Es braucht also vor allem eine bessere Anwendung der vorhandenen Instrumente und mehr gemeinsame technische und rechtliche Standards bei den Informationssystemen, um einen schnellen und gezielten Austausch von Informationen zu gewährleisten.

Das Wichtigste zu Verknüpfung von EU-Datenbanken: Seit Jahrzehnten werden immer mehr Daten zwischen den Polizeibehörden in der EU ausgetauscht, seit einigen Jahren sogar per Online-Direktzugriff. Daneben entstehen auch immer mehr Datenbanken zur polizeilichen Zusammenarbeit und Grenzkontrolle. Fallbezogene und verdachtsabhängige Datensammlungen sind oft angebracht und der Austausch dieser Daten zwischen Polizeibehörden muss weiter vorangetrieben werden. Die anlasslose und verdachtsunabhängige Speicherung massenhafter Informationen beispielsweise über Flugpassagiere aber ist ein unverhältnismäßiger Eingriff in die Grundrechte. Der konkrete Nutzen solcher Milliardenprojekte ist oft nicht klar, und die Verbindung all dieser Datenbanken stellt Grundprinzipien des Datenschutzes wie Zweckbindung, Notwendigkeit und Verhältnismäßigkeit in Frage.

4. Die Anti-Terror-Koordination in der EU Seit den Anschlägen vom 11. September 2001 haben die EU-Staaten 239 Antiterror-Maßnahmen beschlossen, von denen bislang kaum eine systematisch evaluiert wurde. Dies zeigte eine Studie von Statewatch4 aus dem Jahr 2015, die bis heute leider nicht an Aktualität verloren hat. Während die Schwachstellen der polizeilichen Ermittlungsarbeit vor den vergangenen Anschlägen noch immer nicht aufgearbeitet sind, werden immer neue Forderungen nach anlasslosen und massenhaften Überwachungsmaßnahmen laut. Dabei mangelte es in vielen Fällen nicht an Informationen über die Attentäter, sondern vielmehr an einer grenzübergreifenden Zusammenarbeit der Polizei- und Sicherheitsbehörden in 4

44

Die Studie kann unter http://gruenlink.de/1aul nachgelesen werden.

der Europäischen Union. So war der an den Pariser Anschlägen im November 2015 beteiligte Salah Abdeslam verschiedenen europäischen Polizeibehörden bereits zuvor aufgefallen – ein Austausch untereinander fand jedoch nicht statt.

Koordination in der Europäischen Union noch zu schwach Bereits im Jahr 2005 beschloss der Europäische Rat, bestehend aus den Vertreterinnen und Vertretern der Mitgliedstaaten, in Reaktion auf die Anschläge in Madrid von 2004 eine Anti-Terror-Strategie für die Europäische

45

Union. In diesem Zusammenhang entstand auch das Amt des Anti-Terror-Koordinators der EU, das der Belgier Gilles de Kerchove innehat. Doch auch mehr als zehn Jahre später ist eine gemeinsame Strategie der Mitgliedstaaten leider nicht erkennbar.

Grundsätzen der Notwendigkeit und Verhältnismäßigkeit folgt und nicht anlasslos und massenhaft stattfindet.  

Was ist die Aufgabe von Geheimdiensten?

Ein erster wichtiger Schritt in Richtung einer gemeinsamen Polizeiarbeit war die Gründung des Anti-TerrorZentrums der europäischen Polizeibehörde Europol im Januar 2016. Nichtsdestotrotz fehlt es der Behörde bislang an finanziellen Mitteln, personellen Kapazitäten und einer klaren Rechtsgrundlage, um wirklich effektive Arbeit leisten zu können.  

Neben Polizei und Strafverfolgungsbehörden existieren in den meisten demokratischen Staaten auch Geheim- oder Nachrichtendienste, die der Aufklärung und Vorbeugung von Gefahren für die Sicherheit der rechtsstaatlichen politischen Ordnung dienen sollen. Die Reichweite der Kompetenzen von Geheimdiensten ist umstritten. Grundsätzlich sollen Geheimdienste vor allem der Auslandsaufklärung dienen. Ziel ist hierbei unter anderem dem Schutz von im Ausland stationierten Soldatinnen und Soldaten.

Bessere Zusammenarbeit in der EU Die Abwehr und Bekämpfung von Terrorismus ist hauptsächlich Straftatenbekämpfung und muss deshalb in der Verantwortung von Polizei- und Strafverfolgungsbehörden liegen. Die EU-Kooperation im Bereich der Polizeiarbeit muss dafür erheblich verbessert werden. Wir brauchen mehr gemeinsame Ermittlungsteams bei Europol und der europäischen Behörde für justizielle Zusammenarbeit, Eurojust, die durch Datenaustausch, Übersetzungsangebote und personelle Kapazitäten vor Ort gemeinsam arbeiten können. Hierfür müssen bereits vorhandene Strukturen für den Austausch von Informationen effektiver genutzt werden. Darüber hinaus bedarf es klarer rechtsstaatlicher EU-Rahmenbedingungen und parlamentarischer Kontrollmöglichkeiten, sowohl für die Polizeizusammenarbeit, als auch für die Geheimdienstarbeit, um hohe Datenschutzstandards gewährleisten zu können. So kann dafür Sorge getragen werden, dass der Zugriff auf persönliche Daten den

46

Geheimdienste in Europa

Das Wichtigste zu EU-Anti-TerrorKoordination:

Darüber hinaus agieren Geheimdienste aber häufig auch im Inland. In Deutschland unterliegen Polizeibehörden

und Geheimdienste deshalb dem so genannten Trennungsgebot. Während die Polizei nicht so weitreichende Befugnisse wie die Geheimdienste hat, dürfen die Dienste wiederum nicht über exekutive Zwangsmittel verfügen. Dieser Grundsatz ist entscheidend, denn Geheimdienste überwachen im Gegensatz zur Polizei, die nur rechtswidrige Handlungen verfolgen darf, auch legales Verhalten. Obwohl das zunächst fragwürdig klingt, kann es in manchen Fällen sinnvoll sein: So gelten beispielsweise politische Parteien wie die NPD, deren Ziele klar gegen Demokratie und Rechtsstaatlichkeit gerichtet sind, die aber nicht vom Bundesverfassungsgericht verboten ist, als legal und dürfen deshalb nicht von der Polizei verfolgt werden. Der Verfassungsschutz wiederum hat die Befugnis, sie zu beobachten.

Häufig mangelt es bei der Prävention terroristischer Anschläge nicht an Informationen über die Täterinnen und Täter, sondern an einem Austausch der Daten zwischen den Behörden, vor allem über Grenzen hinweg. Wir brauchen mehr gemeinsame Ermittlungsteams bei Europol und Eurojust und klare rechtsstaatliche EU-Rahmenbedingungen sowie parlamentarische Kontrollmöglichkeiten, sowohl für die Polizeizusammenarbeit, als auch für die Geheimdienstarbeit, um hohe Datenschutzstandards gewährleisten zu können.

47

Die Schattenseiten der Geheimdienstarbeit

Zähe Aufklärung der Grundrechtsverletzungen

Kontrolle der Geheimdienste reformieren und Rechtsgrundlagen schaffen

Spätestens seit den Enthüllungen Edward Snowdens wissen wir allerdings, dass die Überwachungspraktiken einiger Geheimdienste ein massives und mit den Grundrechten nicht mehr zu vereinbarendes Ausmaß angenommen haben. Mit der Software Prism bedienen sich US-Behörden massiv der Daten aus den Rechenzentren der großen US-amerikanischen IT-Dienstleister wie Microsoft, Google, Yahoo und Amazon. Das Programm XKeyscore fungiert in diesem Datenheuhaufen als eine Art Suchmaschine: Die Unmengen gespeicherter Daten können so nach bestimmten Begriffen gefiltert und ausgewertet werden. Mit Tempora zapft der britische Abhörgeheimdienst GCHQ (Government Communications Headquarters) zentrale transatlantische Datenleitungen an, erfasst weite Teile des internationalen Datenverkehrs und wertet diese Informationen aus. Daneben hat sich der GCHQ gezielt Zugriff auf tausende E-Mails von Journalistinnen und Journalisten internationaler Medien verschafft. Auch die von den Mitgliedern des Europäischen Parlaments und der weiteren EU-Institutionen genutzte Infrastruktur des belgischen Telekommunikationsbetreibers Belgacom hat der britische Dienst unterwandert. Im Oktober 2013 reichte die Sprecherin des Chaos Computer Clubs, Constanze Kurz, gemeinsam mit den Bürgerrechtsorganisationen Big Brother Watch, Open Rights Group und P.E.N. vor dem Europäischen Gerichtshof für Menschenrechte eine Klage gegen den GCHQ ein. Ein Urteil steht bislang noch aus.

Der Innen- und Justizausschuss des Europäischen Parlaments veranlasste 2013 in Reaktion auf diese erschreckenden Erkenntnisse eine Sonderuntersuchung zur elektronischen Massenüberwachung der Bürgerinnen und Bürger. Zwischen 2013 und 2014 hörte der Ausschuss verschiedene Sachverständige an. Im 2014 erschienenen Abschlussbericht verurteilen die Abgeordneten die massenhafte Überwachung der Geheimdienste scharf und fordern einen besseren Schutz der Grundrechte der Bürgerinnen und Bürger in der EU.

Diese ausufernde Praxis der anlasslosen Massenüberwachung ist nicht nur unverhältnismäßig und eine Missachtung unsere Grundrechte, sondern ist darüber hinaus in ihrem Nutzen stark umstritten. Studien zur Vorratsdatenspeicherung, bei der es sich um das ganz legale Speichern massenhafter Kommunikationsdaten handelt, haben gezeigt, dass diese keine Verbesserungen bei der Prävention und Aufklärung von Straftaten geliefert hat (siehe Kapitel » Die Vorratsdatenspeicherung). Um die Dienste endlich wieder demokratisch einhegen zu können, brauchen wir dringend eine klare Rechtsgrundlage für die Geheimdienstarbeit. Wir brauchen einheitliche rechtsstaatliche EU-Rahmenbedingungen und gemeinsame Standards für die Arbeit von Geheimdiensten sowie für die Gewährleistung von Grundrechten und parlamentarischer Kontrolle. Dies gilt auch für die EUKoordinierungsstelle INTCEN (Intelligence Analysis Centre). Eine wichtige Rolle wird in diesem Zusammenhang die Frage nach dem deutschen Trennungsgebot vom Polizei und Geheimdiensten spielen, das es in anderen EU-Staaten so nicht gibt.

48

Auch der Deutsche Bundestag befasst sich seit einiger Zeit intensiv mit der Aufklärung der Massenüberwachung durch amerikanische und europäische Geheimdienste. Der im Jahr 2014 eingesetzte NSA-Untersuchungsausschuss hat bislang viele Erkenntnisse über die verfassungswidrigen Praktiken nicht nur der amerikanischen und britischen Geheimdienste NSA und GCHQ, sondern auch des deutschen Bundesnachrichtendienstes (BND) geliefert. Klar ist mittlerweile, dass der BND jahrelang ohne eine ausreichende Rechtsgrundlage Daten am deutschen Internetknotenpunkt DE-CIX in Frankfurt am Main abgegriffen, gespeichert und verarbeitet hat. Die Kontrollgremien des Deutschen Bundestages wurden hierbei lange Zeit bewusst gar nicht oder falsch informiert.

 

Das Wichtigste zu Geheimdienstarbeit in Europa: Geheim- und Nachrichtendienste dienen in einer Demokratie der Aufklärung und Vorbeugung von Gefahren für die rechtsstaatliche politische Ordnung. Das deutsche Trennungsgebot untersagt eine Vermischung der Befugnisse von Polizeibehörden, die über exekutive Zwangsmittel verfügen, und Geheimdiensten. Wir brauchen klare rechtsstaatliche EU-Rahmenbedingungen für die Arbeit von Geheimdiensten, für effektive parlamentarische Kontrollmechanismen und für die Einhaltung von Grundrechten und rechtsstaatlichen Grundsätzen.

Darüber hinaus muss der Fokus bei der Terrorbekämpfung wieder stärker auf die Polizei- und Strafverfolgungsarbeit gerichtet werden. Terrorismus ist eine Straftat und sollte primär von den Polizeibehörden verfolgt werden. Es zeigt sich immer wieder, dass es vor allem die konkreten, verdachtsabhängigen Ermittlungen sind, die zu Erfolgen führen. Die Polizei muss deshalb mit mehr finanziellen und personellen Ressourcen ausgestattet werden.

49

IV. Wie schütze ich meine Privatsphäre im Internet? Nützliche Tipps & Tricks

Gute Passwörter

E-Mail-Verschlüsselung:

sind das A und O. Am sichersten sind zufällige Kombinationen aus Buchstaben, Ziffern und Sonderzeichen, die nicht den eigenen Namen, den des Haustieres oder der besten Freunde und Freundinnen enthalten. Ein Trick, um sich die Passwörter trotzdem merken zu können, ist es, sich einen Satz auszudenken, von dessen Worten jeweils die Anfangsbuchstaben mit Zahlen und Zeichen kombiniert werden. So könnte zum Beispiel aus „Finger weg von meinen Daten!“ in Kombination mit dem Monat Dezember 2016 das Passwort FwvmD!1216 werden. Passwörter sollten in regelmäßigen Abständen geändert und nicht an Dritte weitergegeben werden. Außerdem sollte ein Passwort nie für mehr als ein Konto benutzt werden. Um sich nicht alle Passwörter merken zu müssen, gibt es die Möglichkeit, sie mit Passwort-Managern wie dem quelloffenen und frei erhältlichen KeePass in einer verschlüsselten Datenbank zu speichern.

Für E-Mail-Verschlüsselung haben sich Pretty Good Privacy (PGP) bzw. die freie Version GNU Privacy Guard (GnuPG) durchgesetzt. Mit dem Plugin Enigmail können E-Mails in Mailprogrammen wie Thunderbird ver- und entschlüsselt werden. Die Installation ist einfacher, als du denkst! Eine gute Anleitung gibt es bei netzpolitik.org: http://gruenlink.de/knz

E-Mail-Anbieter:

Mit Hilfe der freien Software Tor (The Onion Router) können IP-Adressen verschleiert werden, sodass OnlineDienste nicht wissen, wer von wo auf sie zugreift. Achtung: Tor verschleiert nur die Herkunft, nicht die Inhalte der Daten, es braucht also zusätzlich per HTTPS verschlüsselte Kommunikation, wenn zum Beispiel LoginDaten eingegeben werden.

Europäische Anbieter wie posteo.de oder mailbox.org bieten werbefreie Postfächer an. Inhalte von E-Mails werden nicht zu Werbezwecken analysiert. Außerdem sind die Server sicherer vor Übergriffen durch die NSA, da sie nicht in den USA liegen.

50

Instant-Messaging: Es muss nicht immer WhatsApp sein. Viele Dienste funktionieren ähnlich und bieten dafür ein höheres Niveau an Sicherheit und Vertraulichkeit. Eine beliebte und sichere Alternative ist der kostenfreie Messenger Signal oder das gegen einen geringen Betrag erhältliche Threema.

IP-Adresse verschleiern:

51

HTTPS nutzen:

Browser-Cookies:

HTTPS ist die verschlüsselte Variante des Internetprotokolls HTTP. Die Erweiterung HTTPS-Everywhere für Firefox und Chrome sorgt dafür, dass Webseiten wenn möglich mit einer HTTPS-Verbindung angesurft werden.

Cookies bieten Komfort, verraten aber auch viel über das eigene Surfverhalten. Ganz auf Cookies zu verzichten schränkt ein, denn viele Angebote können nur genutzt werden, wenn Cookies zugelassen werden. Mit der Browser-Erweiterung Self-Destructing Cookies (Firefox) werden Cookies automatisch gelöscht, nachdem eine Webseite verlassen wurde.

Cloud-Services: Es gibt keine Cloud, es gibt nur die Computer anderer Leute – so lautet ein beliebter Spruch in der CryptoSzene. Er soll uns daran erinnern, dass auch so genannte Cloud-Dienste unsere Daten natürlich immer auf Rechnern speichern müssen, von denen wir nicht immer wissen, wo sie stehen und wer Zugriff auf sie hat. Der populäre Cloud-Anbieter Dropbox beispielsweise ist in puncto Datenschutz fragwürdig: Bereitwillig werden unverschlüsselte Daten an die US-Regierung weitergegeben. Auch bei Cloud-Diensten gilt wie so häufig: Für die vermeintlich „kostenlose“ Nutzung zahlen wir mit unseren Daten. Alternativen sind zum Beispiel das in Hamburg entwickelte Teamdrive oder die Dienste Pulse und SpiderOak. Fortgeschrittene können mit dem Open-Source-Projekt OwnCloud auch eine eigene Cloud einrichten.

Suchmaschinen: Es gibt mehr als Google. Andere Suchmaschinen wie StartPage oder DuckDuckGo gehen mit personenbezogenen Daten vorsichtiger um.

52

Tracking: Schon heute gibt es Browser-Einstellungen wie Privat Surfen bei Firefox, mit denen das Nachverfolgen der uns uns besuchten Seiten durch Dritte unterbunden werden soll. Das Problem: Bislang sind diese Einstellungen für die trackenden Unternehmen nicht verbindlich. Das wird sich mit Inkrafttreten der Datenschutzreform im Frühjahr 2018 ändern. Dann gelten auch BrowserEinstellungen als verbindlicher Widerspruch gegen Tracking. Ein guter Grund, die Einstellungen schon jetzt vorzunehmen!

Datenschutzbeauftragte: Wenn du das Gefühl hast, dass deine Rechte auf Privatsphäre verletzt werden, kannst du dich an den Datenschutzbeauftragten oder die Datenschutzbeauftragte deines Bundeslandes wenden. Sie beraten und unterstützen dich bei der Durchsetzung deiner Rechte.  

53

Impressum Herausgeber Jan Philipp Albrecht, MdEP Diese Broschüre kann gegen eine Gebühr von 0,20 € zzgl. Versandkosten hier bestellt werden: Versand von Bündnis 90/DIE GRÜNEN Weidendamm 1 15831 Groß-Kienitz Tel. +49 (0)33708-30903 Fax +49 (0)33708-30905 [email protected] www.eshop.gruene.de

Europäisches Parlament Rue Wiertz 60 1047 Brüssel Belgien

Redaktion Svea Balzer Texte Jan Philipp Albrecht, Svea Balzer, Ralf Bendrath, Clara Fecke, Zora Siebert Lektorat Pia Kohorst Gestaltung p*zwe Druck AktivDruck, Göttingen

Die Bildnachweise und Gestaltung ausgenommen, ist dieses Werk lizenziert unter einer Creative Commons Namensnennung - Nicht-kommerziell - Weitergabe unter gleichen Bedingungen 4.0 International Lizenz (CC-BY-

ISBN: 978-3-00-055211-3

NC-SA 4.0). https://creativecommons.org/licenses/by-nc-sa/4.0/ Bildnachweise: Archiv/privat; Pixabay; Weltkugel©liuzishan-istockphoto.com; Smartphone Titel©4maksym-istockphoto.com; Foto Jan Philipp Albrecht©Valentina Vos; Glaskugel©ayzek-istockphoto.com; Lochkarte©Harke-CC BY-SA 3.0; Papierkorb©Africa Studio-shutterstock.com; Aktenstapel©yuki33-shutterstock.com, Schlüssel©Sergey Ash-shutterstock.com; Schloss©shutterstock. com; Smartwatch©art sonik-shutterstock.com; Euroscheine©Lukiyanova Natalia frenta-shutterstock.com, Polizistin©Lagutkin Alexey.shutterstock.com; Polizist©Ondrej Hajek-shutterstock.com; Polizeibus©Imfoto-shutterstock.com; Flughafen©Etakundoyshutterstock.com; Radar©Nerthuz-shutterstock.com; Vorlage divorce rate©Data sources: National Vital Statistics Reports and U.S. Department of Agriculture;

Januar 2017

Jan Philipp Albrecht, MdEP Europabüro Hamburg Burchardstraße 21 20095 Hamburg

[email protected] www.janalbrecht.eu twitter.com/janalbrecht youtube.com/ JPAforMEP

ISBN: 978-3-00-055211-3