Kategorie: Internationaler Datenschutz/Konzerndatenschutz

Vereinigtes Königreich ist ab 30.03.2019 ein Drittland

12. Januar 2018

Die Europäische Kommission verkündete in einer Mitteilung vom 09.01.2018, dass das Vereinigte Königreich ab dem 30.03.2019 (00:00 Uhr CET) – vorbehaltlich eines anderslautenden Datums in einem Austrittsabkommen – als „Drittland“ im Sinne der Datenschutz-Grundverordnung (DSGVO) einzustufen ist. Durch den „Brexit“ wird das Primär- und Sekundärrecht der Europäischen Union zu diesem Datum nicht mehr anwendbar sein. Großbritannien und Nordirland sind datenschutzrechtlich damit so zu behandeln wie die USA, Russland oder China.

Während die Einstufung als Drittland als Konsequenz des Ausstiegs des Vereinigten Königreichs aus der EU noch zu erwarten war, vermag die Aussage der Kommission jene Beobachter zu enttäuschen, die auf eine Anerkennung des Datenschutzniveaus im Vereinigten Königreich hofften. Immerhin gilt die DSGVO dort bis zum Austritt aus der EU. Eine automatische Anerkennung des Schutzniveaus gibt es jedoch nicht.

Was bedeutet es für die Praxis, wenn Daten nach dem Stichtag in das Vereinigte Königreich übermittelt werden sollen? Mangels Angemessenheitsbeschluss der Kommission sind die Instrumente des Art. 46 DSGVO anzuwenden. Verantwortliche und Autragsverarbeiter werden wohl vorrangig auf EU-Standardvertragsklauseln zurückgreifen. Weiter könnten genehmigte Verhaltensregeln („Code of Conduct“) und Zertifizierungsmechanismen als Übermittlungsgrundlage dienen.

Unternehmen in der EU sollten sich also frühzeitig um die rechtssichere Ausgestaltung ihrer Datentransfers in das Vereinigte Königreich bemühen.

Neues Datenschutzrecht vs. Compliance?

3. Januar 2018

Spätestens seit der jüngsten Finanzkrise, die neben (betriebs-) wirtschaftlichen Fehleinschätzungen vor allem durch individuelles sowie kollektives Fehlverhalten (u.a. Manipulation von Referenzzinssätzen, Verstoß gegen Embargos) geprägt war, hat die innerbetriebliche Compliance-Funktion zunächst innerhalb der Finanzindustrie in nie dagewesenem Maße an Bedeutung hinzugewonnen. Auch in der Industrie hat man spätestens im Zuge der aktuellen Verfehlungen in der Automobilbranche erkannt, dass eine effektive Compliance-Funktion geradezu essentiell für den Fortbestand eines ganzen Konzerns sein kann.
Das den obigen Beispielen jeweils zugrundeliegende Fehlverhalten führte jedes Mal zu exorbitant hohen Strafzahlungen und nicht quantifizierbaren Reputationsschäden für die betroffenen Unternehmen. Vor diesem Hintergrund scheint es nicht verwunderlich, dass Unternehmen unterschiedlichster Größe und verschiedenster Branchen ihre Compliance-Abteilungen seitdem massiv auf- und ausbauen. Dabei geht es einer effektiven Compliance-Funktion vor allem darum, durch regelmäßige sowie anlassbezogene Kontrollen das Unternehmen vor Vermögensschäden durch rechtswidriges Verhalten seiner Mitarbeiter bzw. Kunden zu schützen. Dabei ist die Compliance-Abteilung naturgemäß daran interessiert, über möglichst weitreichende Zugangs-, Einsichts- und Auskunftsrechte zu verfügen.

Doch wie verträgt sich dieser grundsätzlich zu begrüßende Trend hin zu „mehr Compliance“ mit der ab 25. Mai 2018 geltenden EU-Datenschutzgrundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG-neu)?

Fest steht, dass Verstöße gegen die Vorschriften der DSGVO mit Bußgeldern von bis zu vier Prozent des Vorjahresumsatzes eines Unternehmens geahndet werden können (Art. 83 Abs. 5 DSGVO). In Bezug auf den VW-Konzern mit einem Jahresumsatz in Höhe von rund 217 Mrd. Euro in 2016 würde dies ein Bußgeld von maximal rund 8,7 Mrd. Euro bedeuten. Hinzu kommen, wie auch im Falle gravierender Compliance-Verstöße, nicht quantifizierbare Reputationsschäden.
Klar ist auch, dass weder die Befolgung der jeweiligen einschlägigen Compliance-Verpflichtungen einen umfassenden Datenschutz verhindern, noch die Einhaltung der neuen Datenschutz-Normen eine effektive innerbetriebliche Compliance-Funktion unterbinden soll. Vielmehr sind diese beiden Interessen in einen angemessenen Ausgleich miteinander zu bringen. Allerdings wird sich nur in wenigen Fällen aus einer zugrundzulegenden Compliance-Vorschrift ergeben, welche Daten im Rahmen der Ausübung der Kontrollfunktion erhoben werden dürfen. Ungeachtet dessen, muss die weitere Verarbeitung grundsätzlich den Vorgaben aus der DSGVO sowie dem BDSG-neu entsprechen. Die Herausforderung für Unternehmen wird künftig also mehr denn je darin bestehen, weder gegen Compliance- noch gegen Datenschutzauflagen zu verstoßen.

Dementsprechend sollten sich Unternehmen bereits mit den drei folgenden Aspekten eingehend beschäftigt haben:

Überprüfung existierender Compliance-Maßnahmen
Der Überprüfung bereits implementierter Compliance-Maßnahmen kommt eine große Bedeutung zu, denn eine Art Bestandsschutz für bereits implementierte Kontrollpläne existiert in diesem Sinne nicht. Die Maßnahmen müssen künftig DSGVO- und BDSG-konform ausgestaltet sein. Daher ist zwingend zu prüfen, ob eine Anpassung an die neuen Regelungen erforderlich ist. Das Ergebnis der Prüfung sowie die ggf. vorgenommenen Anpassungen sind revisionssicher zu dokumentieren.

Abläufe bei künftigen Compliance-Maßnahmen (insb. Einbeziehung des Beauftragten für den Datenschutz)
Neben der Überprüfung und etwaigen Anpassung der bereits existierenden Kontrollpläne, ist ebenfalls die Einhaltung datenschutzrechtlicher Vorgaben bei der Durchführung künftiger Kontrollpläne sicherzustellen. Diesbezüglich erscheint es geboten, den Beauftragten für den Datenschutz in den Prozess der Erstellung jedes neuen Kontrollplanes mit einzubeziehen. Dies gilt umso mehr, wenn es sich bei der Compliance-Maßnahme nicht um eine regelmäßige Kontrolle, sondern um eine einzelfallbezogene außerordentliche Investigativ-Maßnahme handelt. Die Einbeziehung des Beauftragten für den Datenschutz selbst, aber auch die Art und Weise sind im Form von internen Richtlinien/Arbeitsanweisungen festzulegen.

Angemessene Ausstattung des Beauftragten für den Datenschutz
Vor allem mit Blick auf die neue potentielle Tragweite datenschutzrechtlicher Verstöße erscheint es doch sehr verwunderlich, warum eine Vielzahl von Unternehmen sich noch immer nicht ausreichend mit den Auswirkungen der DSGVO und des BDSG-neu auseinandergesetzt zu haben scheint. Wie oben bereits gezeigt, werden die möglichen Bußgelder sowie Reputationsschäden bei mangelndem Datenschutz den Sanktionen im Compliance-Bereich künftig in keiner Weise mehr nachstehen. Dementsprechend und auch um einer Haftung aus § 130 Abs. 1 OWiG  zu begegnen sollte zeitnah überprüft werden, ob die Ausstattung des Beauftragten für den Datenschutz vor dem Hintergrund der gestiegenen Anforderungen noch als dem Risiko angemessen erscheint.

Bundeskartellamt kritisiert Sammlung von Nutzerdaten durch Facebook

19. Dezember 2017

In dem kartellrechtlichen Verfahren wegen des Verdachts auf Missbrauch einer marktbeherrschenden Stellung gegen Facebook hat das Bundeskartellamt dem Unternehmen heute seine vorläufige rechtliche Einschätzung mitgeteilt. Danach handele das Unternehmen dadurch missbräuchlich, dass es die Nutzung des Netzwerkes davon abhängig mache, eine unbegrenzte Anzahl und jegliche Art von Nutzerdaten aus fremden  Quellen zu sammeln und diese mit Daten aus dem Facebook-Account zu verknüpfen. Zu diesen sog. „Drittquellen“ gehören einerseits konzerneigene Stellen wie WhatsApp, aber auch Apps anderer Betreiber.

Andreas Mundt, Präsident des Bundeskartellamtes, äußerte sich dazu alarmiert: „Wir sehen nach dem jetzigen Stand der Dinge auch nicht, dass zu diesem Verhalten von Facebook, dem Daten-Tracking und der Zusammenführung mit dem Facebook-Konto, eine wirksame Einwilligung der Nutzer vorliegt. Das Ausmaß und die Ausgestaltung der Datensammlung verstößt gegen zwingende europäische Datenschutzwertungen.“ Der Nutzer werde vielmehr vor die Wahl gestellt, entweder das Gesamtpaket zu akzeptieren oder ganz auf die Nutzung des Dienstes zu verzichten.

Diese vorläufige Einschätzung ist mit einem Anhörungsschreiben an das gerügte Unternehmen verbunden und stellt einen Zwischenschritt innerhalb des Missbrauchsverfahrens dar. Facebook hat nun vor allem die Möglichkeit, zu den Vorwürfen Stellung zu nehmen. Mit einer Entscheidung in dem Verfahren wird nicht vor Frühsommer 2018 gerechnet.

Datenschützer nehmen Uber unter die Lupe

5. Dezember 2017

Die Datenpanne des Uber Unternehmens aus dem vergangenen Jahr zieht nun doch weitreichende Konsequenzen nach sich.

Die Artikel-29 Gruppe der EU-Datenschutzbeauftragten hat, als Folge des Datenabflusses von 57 Millionen Uber-Kunden und Mitarbeitern, eine eigene Projektgruppe ins Leben gerufen, welche den Fall genau prüfen soll.

Beteiligt an der Projektgruppe sind Datenschutzbeauftragte aus Deutschland sowie den EU-Ländern Belgien, Frankreich, Spanien, Italien und Großbritannien.

Wie viele EU-Bürger von der Datenpanne betroffen sind und welchen Verstößen gegen das Datenschutzrecht sich Uber zu stellen hat, ist  aktuell noch nicht klar.

Das Unternehmen ließ verlauten, dass Nutzer der Uber-App aus der ganzen Welt betroffen sind und das Unternehmen sowohl Verbraucher als auch Mitarbeiter nicht unverzüglich über den Verstoß in Kenntnis gesetzt hat.

Laut der britischen Datenschutzbehörde ICO waren allein rund 2,7 Millionen Nutzerkonten aus Großbritannien betroffen, welche umgehend benachrichtigt werden müssen.

Das Vorgehen der Behörden auf EU-Ebene beweist eine gute Kooperation untereinander, was eine gute Prognose für die Durchsetzung der Datenschutzgrundverordnung verspricht, die ab dem 25.Mai.2018 in Kraft tritt.

Verbraucherschützer gewinnen im Streit um Facebook-Spiele

24. November 2017

Bereits seit 2013 existiert der Rechtsstreit zwischen den Verbraucherzentralen und Facebook über den fehlenden Datenschutz im Umgang mit den Facebook-Onlinesspielen. Nun hat der Bundesverband der Verbraucherzentralen in einer aktuellen Pressemitteilung zum Urteil der Berufungsinstanz Stellung genommen.

In Facebooks App-Zentrum, in dem Spiele von externen Drittanbietern angeboten werden, gibt der Facebook-Nutzer nur dadurch, dass er den Button „Sofort spielen“ betätigt, eine Erklärung im Sinne der Datenschutzbestimmungen von Facebook ab. Damit stimmt er einer Übermittlung seiner personenbezogener Daten (z.B. E-Mail-Adresse, Statusmeldungen und weitere Informationen über den Nutzer) an  externe App- und Spiele-Anbieter zu. Eine aktive Aufklärung über den Zweck und Umfang der Datenübermittlung durch Facebook findet nicht statt.

Auf die Klage von Verbraucherschützern hatte 2013 das Landgericht Berlin Facebook diese Vorgehensweise verboten. Dieses Urteil wurde im September 2017 durch das Kammergericht Berlin bestätigt.

Datenschutzrechtlich ist das Urteil des Kammergerichts deshalb von großer Bedeutung, weil das Gericht trotz des irischen Unternehmenssitzes von Facebook deutsches Datenschutzrecht für anwendbar erklärt hatte. Facebook Germany GmbH sei – so das Gericht – als eine Niederlassung von Facebook Ireland zu betrachten.

Der Begriff der Niederlassung sei weit zu verstehen. Maßgeblich sei das arbeitsteilige Vorgehen und Zusammenarbeiten von Facebook Ireland und der Facebook Germany GmbH und die – letztlich – maßgebliche Entscheidungsbefugnis der Konzernmutter dieser Gesellschaften in den USA. Insoweit nehme die Facebook Germany GmbH tatsächlich Aufgaben einer Niederlassung (auch) von Facebook Ireland in Deutschland war.

Dass die Daten nicht von der deutschen Niederlassung selbst verarbeitet werden, ändert nach Ansicht des Kammergerichts nichts, denn es genüge, wenn die Datenverarbeitungsvorgänge inhaltlich mit der  Tätigkeit der Niederlassung verbunden seien. Dies sei der Fall, weil Facebook sein Angebot auch an deutsche Nutzer richte und in Hamburg eine für die Förderung des Anzeigengeschäfts zuständige Schwestergesellschaft unterhalte. Dies zeige, dass die Facebook Germany GmbH für die Werbung in Deutschland zuständig sei. Das KG stützte sich in seiner Begründung insbesondere auf die Fälle Weltimmo Az. C-230/14 , Amazon EU Sàrl Az. C‑191/15 und Google Spain SE Az. C‑131/12.

Das Berliner Urteil von 2017 verpflichtet Facebook dazu, seine Nutzer zunächst detailliert über die Weitergabe der Daten aufzuklären und hierüber eine ausdrückliche Einwilligung des Nutzers einzuholen.

Wegen der grundsätzlichen Bedeutung des Falls hat das Kammergericht aber die Revision zum Bundesgerichtshof zugelassen. Ob Facebook hiervon Gebrauch machen wird, bleibt abzuwarten.

Biometrische Grenzkontrollen – EU-Rat bestätigt Gesetz

21. November 2017

Der EU-Rat bestätigte jetzt Verordnungsentwürfe, die ab dem Jahr 2020 ein biometrisches Ein- und Ausreisesystem einführen sollen um die Grenzen der EU zu sichern.

Die neue Verordnung sieht vor, dass sich künftig Angehörige von Drittstaaten bei der Einreise in den Schengen-Raum sowie an den Grenzen Rumäniens und Bulgariens durch vier Fingerabdrücke kombiniert mit einem Gesichtsbild registrieren lassen müssen. In dem System sollen ebenfalls weitere Identitätsangaben und Daten aus den Reisedokumenten aufbewahrt werden.

Als Vorbild für die Verordnung wurden die Ein- und Ausreisebedingungen der Vereinigten Staaten von Amerika herangezogen. Als vorhergehende Maßnahme wurde bereits im Sommer 2017 ein Kompromiss für verschärfte Grenzkontrollen ausgehandelt und befürwortet.

Dem Aufbau des Systems steht nach Unterzeichnung und Veröffentlichung der Verordnung nichts mehr entgegen, sodass die Bestimmungen 20 Tage nach der Veröffentlichung im EU-Amtsblatt in Kraft treten wird.

Um das System einsatzbereit zu machen, müssen sowohl die Mitgliedstaaten der EU, als auch die Betriebsagentur EU-Lisa gemeinsam Datenbanken einrichten.

Die Kosten für das Projekt und die Realisierung der Verordnung werden sich wahrscheinlich auf eine Milliarde Euro belaufen. Gerechtfertigt wird eine solche Summe mit dem Nutzen der dem Projekt gegenüber steht. Generell soll dadurch nämlich sowohl der Kampf gegen den Terrorismus verstärkt, als auch „Aufenthaltsüberzieher“ identifiziert werden.

Trotz der positiven Annahme des EU-Rats, könnte die neue Verordnung und das eingerichtete System gegen das EU-Grundrecht verstoßen und eine Klage vor dem Europäischen Gerichtshof nach sich ziehen.

Auch in Bezug auf datenschutzrechtliche Komponenten müssen noch einige Regelungen getroffen werden. So sieht die aktuelle Verordnung vor, dass die erhobenen Daten drei Jahre gespeichert werden sollen und die Aufbewahrungsfrist verlängert werden kann, wenn ein Ausländer seinen Aufenthalt unerlaubt verlängert. Außerdem soll das System Sicherheitsbehörden warnen, sobald der Betroffene bis zum Ablauf der Aufenthaltsdauer nicht ausgereist ist.

Das aktuell eingesetzte Stempelverfahren soll durch das neue System ersetzt werden und mit dem Visa-Informationssystem (VIS) zusammenwirken. Ergänzend soll eine virtuelle biometrische Datenbank mit übergreifenden Suchmöglichkeiten erstellt werden.

Die datenschutzrechtliche Sicherheit wurde in den Überlegungen noch nicht ausführlich besprochen. Man kann jedoch davon ausgehen, dass eine Ausarbeitung der zu treffenden Maßnahmen in naher Zukunft erfolgen wird.

Ein Jahr Privacy Shield

7. November 2017

Der EU-US Privacy Shield (Privacy Shield) soll die Daten von EU-Bürgern vor dem US-Spähapparat schützen. Kritiker haben jedoch ernste Zweifel, ob dies momentan der Fall ist.

Der transatlantische Datenpakt ist seit gut einem Jahr in Kraft und wurde jetzt einer ersten Überprüfung unterzogen. Der Privacy Shield ist der Nachfolger des Safe Harbor Abkommens, welches in einer aufsehenerregenden Entscheidung des EuGH aufgehoben wurde.

Zweck des Privacy Shield ist, in den USA ein ähnliches Datenschutzniveau zu erreichen wie in der EU, sodass die Daten der EU-Bürger in den USA genauso geschützt sind wie hier zu Lande. Dabei soll insbesondere erreicht werden:

  • die Daten sollen sicher sein vor ausufernder Massenüberwachung durch US-Behörden (zB die NSA),
  • eine Ombudsperson, die im US-Außenministerium etabliert wird, an die sich EU-Bürger direkt wenden können,
  • keine Speicherung auf unbestimmte Zeit von personenbezogenen Daten von EU-Bürgern durch Unternehmen.

2400 Firmen haben sich seit der Einführung für den Schutzschirm zertifiziert. Dazu gehören Branchenriesen wie Amazon, Tesla, Facebook und Google. Die Wichtigkeit des Privacy Shield als Datenschutzregelung ist demnach nicht von der Hand zu weisen. Neben der Zertifizierung bleiben als rechtliche Grundlage nur Standardvertragsklauseln.

Die erste Überprüfung zeigt allerdings, dass der Privacy Shield immer noch umstritten ist und das zentrale Forderungen, wie die Ombudsperson, von Seiten der US-Regierung noch nicht umgesetzt sind. Zudem hat US-Präsident Trump bereits kurz nach Amtsantritt versucht den Datenschutz für Nichtamerikaner per Dekret aufzuheben.

Dennoch ist die verantwortliche EU-Justizkommissarin Vera Journová nicht unzufrieden mit dem Verlauf des ersten Jahres. Es wird zwar gemahnt, dass die Ombudsperson möglichst schnell ernannt werden sollte, aber sie ist sich sicher, dass die USA die Sorgen der Europäer inzwischen ernst nehmen.

Kritiker bemängeln allerdings weiterhin, dass zu wenig getan wird, um die bestehenden Ansprüche durchzusetzen und das der Privacy Shield die im Safe Harbor Urteil formulierten Anforderungen nicht erfüllt.

Datenschutzkonferenz: Forderungen für die neue Legislaturperiode

18. Oktober 2017

Anlässlich des frisch gewählten Bundestags formulierten alle unabhängigen deutschen Datenschutzbehörden einen Katalog mit Grundsatzpositionen für die neue Legislaturperiode. Die diesjährige Vorsitzende der Datenschutzkonferenz, die niedersächsische Landesbeauftragte Barbara Thiel, legte das Dokument allen im Bundestag vertretenen Fraktionen vor. Die Aufsichtsbehörden von Bund und Ländern formulierten elf Forderungen an den deutschen Gesetzgeber.

Die Datenschutzbehörden warnen davor, Daten zu einer „rein wirtschaftlichen Größe“ zu machen und fordern, dass das Verbotsprinzip nach der Datenschutzgrundverordnung (DSGVO) nicht unter dem modernen Schlagwort „Datensouveräntität“  zurückweichen darf. Das Grundprinzip der Datenminimierung müsse weiterhin an vorderer Stelle stehen. Diese Forderungen seien nach Ansicht der Konferenzvorsitzenden Thiel kein Hindernis für die Digitalisierung. Vielmehr sei Datenschutz als Grundrechtsschutz und „integraler und förderlicher Bestandteil“ von Fortschritt in Politik, Wirtschaft und Gesellschaft.

Die Grundsatzpositionen der Datenschutzkonferenz heben auch die Bedeutung von Privacy by Design und Privacy by Default hervor. Datenschutz muss im gesamten Lebenszyklus von Produkten und Dienstleistungen bedacht und implementiert werden. Nach den Aufsichtsbehörden soll die Bundesregierungen solche Projekte und Innovationen fördern, auch indem sie sich mit Vertretern aus Wirtschaft, Forschung und Entwicklung austauscht.

Weiter fordern die Aufsichtsbehörden ein eigenständiges Gesetz zum Beschäftigtendatenschutz, das den Anforderungen der Arbeitswelt 4.0 entspricht. § 26 BDSG-neu sei den aktuellen Herausforderungen wie z.B. durch verdeckte technische Überwachung, nicht gewachsen. Im Bereich von E-Health fordern die Datenschutzbehörden strenge Vorgaben, damit z.B. Patienten, die eine laufende Erfassung von Gesundheitsdaten via Wearables und Fitness-Apps nicht zustimmen, bei Versicherungstarifen nicht benachteiligt werden. Big-Data-Projekte im Gesundheitswesen sollten per Gesetz mit der zuständigen Datenschutzaufsichtsbehörde abzustimmen sein. Schließlich sehen die Aufsichtsbehörden das Thema Vorratsdatenspeicherung weiterhin kritisch, jene sei „in all ihren Ausprägungen auf den Prüfstand zu stellen“.

 

US Supreme Court entscheidet über US-Zugriff auf EU-Daten

17. Oktober 2017

Ende 2013 hatte ein Bundesbezirksgericht in New York einen Durchsuchungsbeschluss erlassen, in dem der Unternehmensriese Microsoft verpflichtet wurde, E-Mails eines Kunden herauszugeben. Hinsichtlich der Nachrichten des Nutzers, die auf us-amerikanischen Servern des Unternehmens gespeichert waren, tat dies Microsoft auch, verweigerte allerdings die Herausgabe der Mails, die auf Servern in Irland gespeichert waren. Dabei berief sich Microsoft darauf, dass hierfür die irischen Gerichte zuständig seien und zog vor das Bundesberufungsgericht für den 2. Bundesgerichtsbezirk (2nd Circuit). Die Richter des 2nd Circuit entschieden gegen das Begehren der US-Regierung zu Gunsten von Microsoft, da das zugrundeliegende US-amerikanische Gesetz „Stored Communications Act“ nur im Inland gelte. Auf das Urteil des Gerichts hin beantragte die US-Regierung eine erneute Anhörung vor einer erweiterten Richterbank des selben Gerichts. Nur vier von acht Richtern des 2nd Circuit stimmten allerdings für eine neuerliche Anhörung. Der Antrag der US-Regierung wurde daher abgelehnt.

Als neuerlichen Versuch, den Durchsuchungsbefehl auch hinsichtlich der EU-Daten durchzusetzen, wandte sich die US-Regierung mit der Unterstützung von 33 US-Staaten an den US Supreme Court. Der US Supreme Court beschäftigt sich mit Rechtsfragen, die von Bundesberufungsgerichten uneinheitlich beantwortet wurden. In den meisten anderen Fällen wird ein Begehren allerdings abgelehnt. Im vorliegenden Fall hat sich der US Supreme Court jedoch dazu entschieden, die Frage der Anwendbarkeit des Gesetzes und der Zulässigkeit der Datenübermittlung von EU-Daten in die USA zu klären und den Fall daher angenommen. Dies untermauert die Brisanz, die diese Rechtsfrage beinhaltet.

Einen Termin für die mündliche Anhörung des Falls, der offiziell „In the Matter of a Warrant to Search a Certain E-Mail-Account Controlled and Maintained by Microsoft Corporation, United States of America v. Microsoft Corporation“ heißt, gibt es noch nicht. Die Entscheidung des Falls ist daher ungewiss und mit Spannung zu verfolgen. Sollte der US Supreme Court geurteilt haben, werden wir erneut darüber berichten.

China: Einführung eines „Sozialkreditsystems“

23. August 2017

Der chinesische Staat möchte bis 2020 ein „Sozialkreditsystem“ einsetzen. Es soll auf einer Erhebung der personenbezogenen Daten chinesischer Bürger beruhen, und als Rating-System gestaltet werden, das ihre „Ehrenhaftigkeit“ bewertet. Mehrere Pilotprojekte sollen derzeit schon existieren. Außerdem verwenden bereits manche große chinesische Unternehmen wie Alibaba eigene ähnliche Systeme zur Berechnung der Kreditwürdigkeit ihrer Kunden.

Das staatliche Projekt wird u.a. von dem chinesischen Softwareunternehmen Kingdee programmiert. Kingdee entwickelt die Plattformen, die von den Lokalregierungen zu Zwecken der Durchführung des Rating-Systems genutzt werden können. Die bereits beteiligten Behörden speichern über die Plattformen die personenbezogenen Daten, die sie online oder in staatlichen Registern über die Bürger sammeln konnten. Die eingesetzte Software bewertet sie anschließend mittels eines Algorithmus. Die chinesischen Machthaber planen dabei eine Bewertung der Bürger anhand von vier Hauptkriterien: Ihr Verhalten gegenüber der Verwaltung, ihre Einhaltung der Gesetze, ihre finanzielle Aktivität und ihr soziales Verhalten.

Diese Bewertung ermöglicht anschließend eine Belohnung oder Bestrafung der Betroffenen. Die Lokalregierungen, die das Sozialkreditsystem bereits eingeführt haben, verwenden eine Bewertungsskala mit den Noten A, B, C und D. Die unter A eingestuften Bürger werden in vieler Hinsichten bevorzugt behandelt: Sie erhalten leichter Visen, bekommen mehr Sozialleistungen, und ihre Kinder werden ggf. für Schulzulassungen privilegiert. Dagegen werden die „C- und D-Bürger“ bestraft: Sie dürfen teilweise keine Flug- oder Zugtickets mehr buchen, ihre Visa-Anträge werden abgelehnt, ihre Sozialleistungen werden gekürzt oder sogar gestrichen.

Dies besorgt vor allem Regierungskritiker, die eine noch weitere Einschränkung ihrer Meinungsfreiheit im Netz durch die Androhung dieser Strafen befürchten.

1 2 3 19