EuGH: Richtlinie zur Vorratsdatenspeicherung ungültig

Der europäische Gerichtshof hat die Richtlinie über die Vorratsspeicherung von Daten (RL 2006/24/EG) für rückwirkend ungültig erklärt, weil sie einen Eingriff von großem Ausmaß und besonderer Schwere in die Grundrechte auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten beinhaltet, der die Grenze des absolut Notwendige überschreitet.

Die Richtlinie erlaubte es ohne konkreten Verdacht auf strafbare Handlungen die Verbindungsdaten der Nutzer von Telekommunikation, Internet und Mobilfunk zu speichern und den Strafverfolgungsbehörden zur Verfügung zu stellen. Der EuGH begründete sein Urteil damit, dass aus der Gesamtheit der Verbindungsdaten „sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten auf Vorrat gespeichert werden, gezogen werden [können], etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen und das soziale Umfeld.“ Bei den Nutzern könne dadurch das Gefühl entstehen, ständig überwacht zu werden.

Zwar sei die Vorratsdatenspeicherung nach den Vorgaben der Richtlinie nicht geeignet, den Wesensgehalt der Grundrechte aus nach Artikel 7 und 8 der EU-Grundrechtscharta anzutasten, weil keine Inhalte gespeichert werden, so der EuGH. Außerdem diene sie der Bekämpfung schwere Kriminalität und damit dem Gemeinwohl. Allerdings überschreite die Richtlinie die Grenzen der Verhältnismäßigkeit. Zum einen erfolge eine anlasslose Speicherung aller Daten für mindestens sechs Monate ohne eine Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen oder eine Differenzierung anhand der betroffenen Datenarten vorzunehmen. Zum anderen enthalte die Richtlinie keine materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang und die Nutzung der Daten durch die Behörden. Vor allem unterliege der Zugang zu den Daten keiner vorherigen gerichtlichen oder sonstigen unabhängigen Kontrolle. Darüber hinaus stellt der Gerichtshof fest, dass die Richtlinie keine ausreichenden Vorgaben treffe, wie die Daten wirksam vor Missbrauchsrisiken und unberechtigten Zugriffen zu schützen seien. Außerdem sei nicht vorgesehen, dass die Daten auf Servern in Europa gelagert werden müssen, so dass die Überprüfung durch eine unabhängige Stelle nicht gewährleistet ist.

In Deutschland war das Gesetz zur Vorratsdatenspeicherung, das der Umsetzung der europäischen Richtlinie diente, bereits 2010 vom Bundesverfassungsgericht für verfassungswidrig erklärt worden. Die Diskussion um eine Neuregelung wurde durch das EuGH-Urteil erneut befeuert. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, die das Urteil des EuGH als notwendige Klarstellung einer seit langem diskutierten Frage begrüßte, erklärte, der europäische Gesetzgeber sei am Zuge zu entscheiden, ob eine neue, gesetzeskonforme Richtlinie zur Vorratsdatenspeicherung entworfen werden solle. Nach Berichten des Spiegel hält Innenminister Thomas de Maizière (CDU) jedoch an einer deutschen Neuregelung der Vorratsdatenspeicherung anhand der klaren Vorgaben des EuGH zur Bekämpfung “schwerster Straftaten” fest. Der Bundesjustizminister Heiko Maas (SPD) betone dagegen, dass mit dem Urteil des höchsten europäischen Gerichts die Grundlage für die im Koalitionsvertrag getroffene Vereinbarung über die Verabschiedung eines Gesetzes zur Vorratsdatenspeicherung entfallen sei.

E-Mail Made in Germany: Automatische Verschlüsselung

Seit der vergangenen Woche haben die vier größten deutschen E-Mail-Anbieter  T-Online E-Mail, Freenet, Web.de und GMX.de Medienberichten zufolge auf den verschlüsselten Nachrichtenversand umgestellt und damit den Versand von E-Mails ihrer Kunden sicherer gemacht. So sollen die E-Mails auf dem Weg vom Kundenrechner über das Datenzentrum zum Empfänger nicht mehr von Fremden – z.B. von Geheimdiensten, Kriminellen, Internetfirmen und deren Mitarbeitern – mitgelesen werden können. Nach wie vor unverschlüsselt seien allerdings die Nachrichten  auf den Rechnern der E-Mail-Anbieter. Dort könnten diese theoretisch weiterhin unbemerkt gelesen und verändert werden, solange sich die E-Mail-Kunden nicht selbst um eine sogenannte Ende-zu-Ende-Verschlüsselung gekümmert haben. Die Transportverschlüsselung sei für die Nutzer der genannten Dienste nunmehr verpflichtend. Kunden von “E-Mail Made in Germany“-Anbietern , die das E-Mail-Programm nicht richtig konfiguriert haben, sollen bereits per Warn-E-Mail darüber informiert worden sein. Wer bis vergangene Woche nicht die richtigen Einstellungen vorgenommen hat, werde möglicherweise keine E-Mails verschicken und empfangen können. Es ändere sich hingegen für diejenigen nichts, die nur über die jeweilige Anbieter-Website Nachrichten verschicken (“Webmail”) – E-Mails über das Web-Frontend würden standardmäßig über https verschlüsselt.

 

Die Zukunft des KFZ-Kennzeichens: „Schlaue Schilder“

Das Autokennzeichen im Wandel: Im Ausland wird bereits an einer elektronischen Verstärkung des Nummernschildes aufgerüstet. Medienberichten zufolge könnten sich nun auch in Deutschland solch elektronische Nummernschilder durchsetzen, jedoch mit Konsequenzen für den Datenschutz.

Während in Deutschland immer noch auf das klassisch geprägte Aluminiumblech mit der Kombination aus Buchstaben und Zahlen gesetzt wird, sind im Ausland die Nummernschilder teilweise schon mit integrierten Chips mit Zusatzinformationen ausgestattet, einem nicht entfernbaren dritten Kennzeichen oder Hologrammen bzw. speziellen Wasserzeichen.

Das sogenannte dritte Kennzeichen ist eine selbstklebende Folie im Scheckkarten-Format, die die Legende des eigentlichen Kennzeichens enthält und an der Innenseite der Windschutzscheibe befestigt wird. Dies hat den Vorteil, dass ein Diebstahl der Kennzeichen sinnlos werden würde, da bei der Montage an einem anderen Fahrzeug das Fehlen des passenden dritten Kennzeichens direkt auffallen würde. Darüber hinaus könnten diese dritten Kennzeichen als weiteres Merkmal einen Chip enthalten. Nach Angaben von Zeit-Online werden die Fähigkeiten solcher Chips in den vier Buchstaben RFID zusammengefasst, wobei das Kürzel für Radio-Frequency Identification stehe. Es handele sich um Funketiketten, die eine Reihe von zusätzlichen Informationen beinhalten können – sogar die Steuernummer. Die Chips könnten sowohl von der Zulassungsbehörde als auch der Polizei mit Informationen beschrieben werden, insgesamt seien bis zu 1000 Zeichen möglich. Allerdings bestehe die Notwendigkeit der Installation von passenden Lesesystemen, die in Bereichen mit Zugangskontrollen oder an Mautstellen genutzt werden, um die Daten von außerhalb des Fahrzeugs lesen zu können.

Die dargestellte Elektronik erscheint auf den ersten Blick vor allem für Behörden nützlich, ist aber insbesondere in datenschutzrechtlicher Hinsicht äußerst fragwürdig. Denn sofern die Straßen mit umfassenden Lesegeräten ausgerüstet werden würden, besteht die Möglichkeit die Bewegungsmuster fast jeder Autofahrer zu verfolgen. Ebenfalls problematisch ist, dass darüber hinaus noch zusätzliche Daten im Chip hinterlegt werden können.

Zeit-Online zufolge werden die elektronischen Nummernschilder jedoch erst dann relevant werden, wenn die PKW-Maut in Deutschland eingeführt wird. Bis dahin bleibe es in Deutschland bei den klassisch geprägten Nummernschildern.

87. DSK: Beschäftigtendatenschutzgesetz jetzt!

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat im Rahmen einer Entschließung kritisiert, dass die Verabschiedung einer angemessenen Regelung des Beschäftigtendatenschutzes in der vergangenen Legislaturperiode erneut gescheitert ist. Der Koalitionsvertrag für die 18. Legislaturperiode sehe indes nur vor, das nationale Datenschutzniveau im Beschäftigtendatenschutz bei den Verhandlungen zur Europäischen Datenschutzgrundverordnung zu erhalten und darüber hinausgehende Standards zu ermöglichen. Falls mit einem Abschluss der Verhandlungen über die Europäische Datenschutzgrundverordnung nicht in angemessener Zeit gerechnet werden kann, solle eine nationale Regelung geschaffen werden.

Dies reicht nach Ansicht der DSK jedoch nicht aus. Wann die Datenschutzgrundverordnung verabschiedet wird, sei derzeit völlig unklar. Ohnehin sei mit einem Inkrafttreten dieser europäischen Regelungen erst in einigen Jahren zu rechnen. Aufgrund der voranschreitenden technischen Entwicklung, die eine immer weiter gehende Mitarbeiterüberwachung ermöglicht, bestehe allerdings unmittelbarer Handlungsbedarf. Deshalb fordere man die Bundesregierung auf, ein nationales Beschäftigtendatenschutzgesetz umgehend auf den Weg zu bringen. Die Formulierung „in angemessener Zeit“ ließe befürchten, dass der Beschäftigtendatenschutz in dieser Legislaturperiode schon wieder auf die lange Bank geschoben werde.

Ein Beschäftigtendatenschutzgesetz müsse ein hohes Datenschutzniveau gewährleisten und einen angemessenen Ausgleich zwischen den berechtigten Informationsinteressen des Arbeitgebers und dem Recht auf informationelle Selbstbestimmung des Arbeitnehmers schaffen.
Dies werde  in den vielfältigen Fragestellungen erkennbar, für die es bislang keine klaren rechtlichen Vorgaben gibt (z.B. die immer umfassendere Videoüberwachung, Dokumentenmanagementsysteme, die die Leistung der Beschäftigten transparent werden lassen, die zunehmende Verquickung von Arbeit und Privatem verbunden mit der dienstlichen Nutzung von privaten Arbeitsmitteln wie Handy und Laptop, die Nutzung von dienstlich zur Verfügung gestellten Kfz mit oder ohne die Erlaubnis privater Nutzung oder die private Nutzung der vom Arbeitgeber zur Verfügung gestellten E-Mail- und Internetzugänge, der zunehmende Einsatz biometrischer Verfahren sowie die Erhebung und Verarbeitung von Bewerberdaten beispielweise aus sozialen Netzwerken). Hierfür fordere man die Einführung gesetzlicher Standards, um sowohl die Rechtssicherheit für die Arbeitgeber zu erhöhen als auch einen wirksamen Grundrechtsschutz für die Beschäftigten zu schaffen.

Weitere Themen der DSK waren die biometrische Gesichtserkennung durch Internetdienste, die polizeiliche Öffentlichkeitsfahndung mit Hilfe sozialer Netzwerke, Verschlüsselung und elektronische Kommunikation und der Entwurf einer Europäischen Datenschutzgrundverordnung.

Türkei: Twittern ist wieder möglich

Nachdem das türkische Verfassungsgericht die von Premier Erdoğan angeordnete Blockade des Kurznachrichtendienstes Twitter als Verletzung des Rechts auf freie Meinungsäußerung gewertet hat, hat die Regierung Medienberichten zufolge reagiert und vergangene Woche den Zugang zu dem Netzwerk wieder freigegeben. In den Wochen vor der jüngsten Kommunalwahl seien auf verschiedenen Online-Portalen Telefonmitschnitte veröffentlicht worden, die Korruption in der türkischen Regierung beweisen sollten. Links zu diesen Veröffentlichungen sollen unter anderem über Twitter verbreitet worden sein. Infolgedessen sei mehr als eine Woche vor den Wahlen erst Twitter und schließlich auch das Videoportal YouTube gesperrt worden. Der Zugang zu YouTube bleibe in der Türkei jedoch weiter gesperrt.

Intelligente Geräte gleich intelligente Überwachung?

Der Berliner Datenschutzbeauftragte Alexander Dix setzt sich in seinem Jahresbericht 2013 unter anderem mit der Entwicklung auseinander, dass Häuser, Autos und Gebrauchsgegenstände des täglichen Lebens (z.B. Smartphones und Tablets) zunehmend „intelligenter“ werden, d.h. zunehmend mehr in der Lage sind, Daten zu erfassen, zu speichern und auszuwerten.

Smarte Kühlschränke können beispielweise über Sensoren ihren Inhalt erfassen und Vorschläge machen, was nachgekauft werden muss. Oder sie senden die Daten gleich an einen Händler, der nach der Liste die Einkäufe zusammenstellt und nach Hause liefert. Dem damit verbundenen Komfort und der Zeitersparnis stehen die Datenweitergabe an den Händler gegenüber, der auf diese Weise einen detaillierten Einblick in die Ess- und Trinkvorlieben und -gewohnheiten seiner Kunden bekommt. Auch die Hersteller von Kühlschränken erhalten diese Daten und können sie etwa für Werbezwecke einsetzen.

Ein anderes Beispiel sind die sogenannten Smart-TVs – Fernseher mit Zugang zum Internet, eingebauten Kameras und Mikrofonen, die leicht unbemerkt zu Spionen umgewandelt werden könnten und in der Lage seien, die Bewohner akustisch und visuell in ihren Wohn- oder gar Schlafzimmern zu überwachen, warnt Dix.

Auch bei aktuellen technischen Entwicklungen beim Auto, wie dem Ortungs- und Notrufsystem eCall, müssen die Nutzer die Vorteile mit datenschutzrechtlichen Risiken abwägen. Auf der einen Seite kann durch das bordeigene Notrufsystem, das parallel zum Auslösen der Airbags von sich aus die einheitliche europäische Notrufnummer 112 anwählt, schnell und unkompliziert Hilfe angefordert werden. Auf der anderen Seite können umfassende Bewegungsprofile über den Anwender entstehen, die auf den Meter genau verraten, wann sich der Nutzer wo aufgehalten hat und auf welchem Weg er dorthin gelangt ist, obwohl dies technisch nicht notwendig ist.

Der Berliner Datenschutzbeauftragte betont in seinem Bericht deshalb, wie wichtig es ist, die Grundsätze zur Datenvermeidung und -sparsamkeit sowie ein Mindestmaß an Transparenz schon bei der Entwicklung neuer Produkte und Anwendungen zu berücksichtigen, damit die neuen Technologien auch aus datenschutzrechtlicher Sicht bedenkenfrei genutzt werden könnten.

Google: Regierungsanfragen nach Nutzerdaten deutlich angestiegen

Das Unternehmen Google hat seinen neu aufgelegten Transparenzbericht veröffentlicht, in dem die Anzahl der Ersuchen zur Herausgabe von  Nutzerdaten von hoheitlichen Stellen, die innerhalb von sechs Monaten aus jedem Land an Google adressiert wurden, aufgeführt und analysiert werden. Die Dienste von Google würden jährlich stärker genutzt, deswegen sei auch die Anzahl der Auskunftsersuchen angestiegen. Seit 2009 habe sich die Zahl der Regierungsanfragen nach Nutzerdaten um 120 Prozent erhöht. Der Prozentsatz der Auskunftsersuchen, bei denen Daten übermittelt wurden, ist nach dem Bericht hingegen rückläufig. Ende 2010 habe er bei 76 Prozent gelegen, im zweiten Halbjahr 2013 bei  64 Prozent. Deutschland belege im internationalen Vergleich mit insgesamt 2660 Anfragen zu 3255 Nutzerkonten einen der Spitzenplätze in der Statistik – lediglich von Frankreich und den USA übertrumpft.

Google betont, dass es dem Unternehmen bei dem Nachkommen von behördlichen Ersuchen ein besonderes Anliegen sei, den Datenschutz und die Sicherheit der Daten, die kundenseitig gespeichert werden, zu respektieren. Jedes Ersuchen werde auf die Einhaltung von den gesetzlichen Anforderungen und den Richtlinien von Google überprüft. Zudem müsse das Ersuchen im Allgemeinen schriftlich erfolgen, von einem bevollmächtigten Beamten der Behörde, die das Ersuchen stellt, unterzeichnet und gemäß einem geltendem Gesetz ausgestellt sein. Komme Google dazu, dass das Ersuchen zu weit gefasst ist, versuche man es, dies einzugrenzen. Nutzer würden gegebenenfalls über Rechtsersuchen informiert, sofern dies nicht per Gesetz oder gerichtlicher Verfügung untersagt ist.

E-Mail-Anbieter behalten sich Mitlesen von Nachrichten vor

Medienberichten zufolge hat Microsoft E-Mails auf Hotmail-Servern durchleuchtet, ohne dass dafür ein Gerichtsbeschluss vorlag. Ein Konzernmitarbeiter hatte Informationen über das Betriebssystem Windows 8 an einen Blogger weitergegeben. Dadurch, dass Microsoft eigenmächtig E-Mails des Mitarbeiters bei Hotmail gescannt hat, konnte dieser überführt werden. Es entsteht aber ein fader Beigeschmack, ob der Zweck die Mittel heiligt.

Microsoft argumentiert mit seinen Nutzungsbedingungen, die vorsehen, dass E-Mails von Hotmail ohne richterlichen Beschluss durchsucht werden können. Damit sei Microsoft aber nicht alleine, wie Heise Online schreibt. Auch Apple, Google und Yahoo behalten sich einen solchen Eingriff in ihren Nutzungsbedingungen vor, zum Beispiel um technische Probleme zu bearbeiten aber auch um mögliche Sicherheitsrisiken zu erkennen, also präventiv. Auch die Weitergabe der Inhalte an Dritte behalten sich einige Anbieter in ihren Nutzungsbedingungen vor.

Ein zweiter fader Beigeschmack dieses Vorgehens entsteht, wenn man bedenkt, dass Microsoft im NSA-Skandal mehr Transparenz bei der Internetüberwachung gefordert hat und darüber hinaus den Konkurrenten Google wegen E-Mail-Scannens zu Werbezwecken kritisiert hat.

Wie Heise Online schreibt, will Microsoft in Zukunft einen Transparenzbericht zu solchen Verfahren vorlegen.

 

Württembergische Lebensversicherung: Fehlübermittlung von Versichertendaten

Bei der zur Wüstenrot-Gruppe gehörenden Württembergischen Lebensversicherung hat sich Medienberichten zufolge eine Datenpanne ereignet. Einem Kunde, der um Informationen zu seiner fondsgebundenen Lebensversicherung gebeten hatte, seien stattdessen versehentlich Kopien von rund 150 Briefen, Standmitteilungen und Mahnschreiben an etliche Versicherte des Unternehmens gesendet worden, die anscheinend gleiche oder ähnliche Produkte gekauft hatten. Die Fehlsendung habe neben Versicherungsnummern und Adressen auch detaillierte Angaben zu Einzahlungen und Fonds-Guthaben enthalten. Das Unternehmen prüfe nun, “ob es sich um ein reines Versehen oder um einen technischen Fehler im Versandprozess handelt”. Gleichzeitig soll es eine Optimierung seiner Versandabläufe angekündigt haben, “um nachhaltig sicherzustellen, dass sich solche Vorgänge nicht wiederholen”. Sollte es sich um eine Datenpanne gemäß des Datenschutzgesetzes handeln, werde man dies dem Landesbeauftragten für den Datenschutz in Baden-Württemberg unverzüglich melden und die Kunden darüber informieren.

87. DSK: Mehr Verschlüsselung gefordert

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK), die am 27. und 28. März 2014 in Hamburg stattgefunden hat, fordert  – nicht zuletzt wegen der als enttäuschend eingestuften rechtlichen und politischen Reaktion auf das Ausspähen der Kommunikation durch Nachrichtendienste – alle staatlichen und gesellschaftlichen Akteure auf, die Grundrechte der Bürgerinnen und Bürger durch technische und organisatorische Maßnahmen wirksam zu schützen. Die Unversehrtheit der freien und geheimen Kommunikation müsse wieder hergestellt werden. Dies erfordere vor allem die Bereitstellung einer von jeder Person einfach nutzbaren Verschlüsselungsinfrastruktur, die insbesondere bei der Kommunikation zwischen Bürger und Verwaltung vorgehalten werden müsse.  Neben der standardisierten Verschlüsselung beim Transport von Daten wäre auch der Einsatz von Mechanismen der Ende-zu-Ende-Verschlüsselung zwingend. Außerdem sollten die Angebote zur anonymen Kommunikation sowie die Vertrauenswürdigkeit von Hard- und Software durch Einsatz von Zertifizierungsverfahren ausgebaut werden. Diese Maßnahmen erfordern nicht nur eine Sensibilisierung und Aufklärung der Nutzerinnen und Nutzer durch eine Bildungsoffensive, sondern müssen auch durch eine ausreichende Finanzierung ermöglicht werden.

„Wir haben es selbst in der Hand, durch die Schaffung einer sicheren IT-Infrastruktur die Hürden für eine massenhafte anlasslose Überwachung unserer Kommunikation durch die Nachrichtendienste wesentlich zu erhöhen. Gerade wenn die politische Kraft nicht ausreicht, den Schutz der Grundrechte auf internationaler Ebene wiederherzustellen, ist die Errichtung technisch organisatorischer Schutzmaßnahmen alternativlos.“, so der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit und amtierender Vorsitzender der Datenschutzkonferenz Caspar.

Weitere Themen der Konferenz waren die biometrische Gesichtserkennung durch Internetdienste, die polizeiliche Öffentlichkeitsfahndung mit Hilfe sozialer Netzwerke, der Beschäftigtendatenschutz und der Entwurf einer Europäischen Datenschutzgrundverordnung.

 

 

Archiv: « 1 2 3 4 5 ... 12 13 14 15 16 17 18 ... 91 92 93 94 95 »