Schlagwort: Bundesdatenschutzbeauftragter

Bundesbehörden sollen ihre Facebook-Seiten löschen

7. Juli 2021

Mit einem Rundschreiben vom 16.06.21 hat der Bundesdatenschutzbeauftragte (BfDI) Ulrich Kelber die obersten Bundesbehörden und die Bundesregierung aufgefordert, ihre Facebook-Fanpages zu löschen.

Das Schreiben knüpft an ein ähnliches, im Mai 2019 verschicktes, Schreiben an. Bereits in diesem wies Kelber darauf hin, dass ein datenschutzkonformer Auftritt bei Facebook nicht möglich sei. Dafür müsste nämlich eine Vereinbarung zur gemeinsamen Verantwortlichkeit der öffentlichen Stellen mit Facebook vorliegen, die den Anforderungen von Art. 26 DSGVO entspräche. Diesbezüglich habe das Presse- und Informationsamt der Bundesregierung (BPA) Facebook kontaktiert. Facebook habe aber vor kurzem nur das öffentlich bekannte “Page Controller Addendum” zurückgesendet. Dieses regelt die gemeinsame Verantwortung für Daten, die auf den Fanpages erhoben werden.

Dieses Addendum hält Kelber aber für nicht genügend, damit die öffentlichen Stellen ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachkommen können. Die Rechenschaftspflicht sieht vor, dass die Einhaltung der Grundsätze der DSGVO nachgewiesen werden kann. Insbesondere ein pauschales Verweisen der Nutzer an Facebook, wenn es um die Verarbeitung ihrer Daten im Rahmen einer Fanpage geht, sei dafür nicht ausreichend.

Als Konsequenz verlangt Kelber nun, Facebook-Fanpages von Behörden und der Regierung sollten bis Ende des Jahres gelöscht werden. Sollte dies nicht geschehen, so wolle er die in Art. 58 DSGVO zur Verfügung stehenden Abhilfemaßnahmen gebrauchen. Dies könnten z.B. Verbote oder Löschungsanordnungen sein. Auch weist er die Behörden auf die Vorbildfunktion hin, die sie in Sachen Datenschutz hätten.

Die Bundesregierung teilte mit, sie habe die Einschätzung des Bundesdatenschutzbeauftragten zur Kenntnis genommen und werde diese prüfen. Würde Sie sich dazu entscheiden dem Rat zu folgen, würde sie eine enorme Reichweite einbüßen. Die zentrale Fanpage der Bundesregierung hat auf Facebook 870.000 Fans und über eine Million Abonnenten.

Beschwerden beim Datenschutzbeauftragten versehentlich gelöscht

29. Juni 2021

Datenschutz-Beschwerden, die zwischen dem 9. und 18. Juni abgegeben wurden, haben den BfDI größtenteils nicht erreicht.

Aufgrund eines technischen Fehlers sind bestimmte Beschwerden beim Bundesdatenschutzbeauftragten unwiderruflich gelöscht worden. Das teilte die Behörde am Montag in Berlin mit. Der Auslöser der Panne war eine Neugestaltung des Internetauftritts des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

Meldungen über die Formularseite wurden aufgrund von falschen Server-Einstellungen von den Sicherheitsvorkehrungen der Netze des Bundes als gefährliches Spoofing eingestuft. Beim „Spoofing“ versuchen Angreifer, die eigene Identität zu verschleiern und sich als vertrauenswürdig darzustellen. Anders als bei unerwünschten Werbe-Mails – die in einem herkömmlichen Spam-Ordner landen – werden „Spoofing“-Mails im Netz des Bundes sofort gelöscht.

Laut Mitteilung haben „Eingaben und Beschwerden, die zwischen dem 9. und 18. Juni 2021 über diese Formulare abgegeben wurden, die Behörde größtenteils nicht erreicht und konnten somit auch nicht bearbeitet werden. Betroffene Bürgerinnen und Bürger werden daher gebeten, ihre in diesem Zeitraum abgegebenen Eingaben und Beschwerden noch einmal einzureichen.“ Allerdings hatten „zu keinem Zeitpunkt unberechtigte Dritte Zugriff auf die über die Formulare versandten Informationen. Der BfDI wird den Vorfall auch dafür nutzen, die Prozesse bei der Abnahme von Softwareprojekten zu verbessern“, heißt es in der Mitteilung. Mittlerweile funktionieren die Formulare und wurden wieder online gestellt.

Datenschützer wehren sich gegen Kritik in Regierungsgutachten

21. April 2021

Der wissenschaftliche Beirat beim Bundesministerium für Wirtschaft und Energie (BMWi) hatte bereits im März 2021 ein Gutachten mit dem Titel “Digitalisierung in Deutschland – Lehren aus der Corona-Krise” veröffenticht. Darin beschäftigt sich der Beirat nicht nur mit der krisenbedingten Digitalisierung in verschiedenen, von der Corona-Krise besonders betroffenen Bereichen, und attestiert hier ein “Organisationsversagen”. Auch wird ganz offene Kritik an – vermeintlichen – juristischen und bürokratischen Hemmnissen geäußert, wobei insbesondere “der Datenschutz” hervorgehoben wird.

Kritik am geltenden Datenschutzrecht

“Der Datenschutz” – so der Beirat werde in Deutschland oft als ein Wert angesehen, der in der Abwägung mit anderen Rechtsgütern absolute Priorität genieße. Dies habe in der Corona-Krise die Nutzung digitaler Möglichkeiten “stark eingeschränkt”, etwa hinsichtlich der Corona-Warn-App (wir berichteten) oder der digitalen Patientenakte (wir berichteten). Neben dieser Kritik, dass eine Einschränkung des Datenschutzes zugunsten anderer Rechtsgüter oft pauschal abgelehnt werde, wird auch das vermeintliche “Primat der Einwilligung” in Frage gestellt. Auch wenn dies aus verfassungsrechtlicher Sicht der richtige Ausgangspunkt sei, zeige doch die praktische Umsetzung, dass die Menschen ihre Einwilligungsmöglichkeiten nicht hinreichend wahrnehmen; als Beispiel werden hier Cookie-Einwilligung im Internet genannt, welche nicht gelesen würden (wir berichteten).

Als möglicher Lösungsansatz schlägt der Beirat eine Ergänzung des “Primats der Einwilligung” durch sog. Datentreuhänder vor, wie sie auch von der EU (wir berichteten) sowie der Bundesregierung (wir berichteten) befürwortet werden. Aber auch Privacy by design und Privacy by default oder ein Schutz ähnlich der AGB-Kontrolle werden als weitere Ansätze genannt. Insgesamt sei eine “effektivere Ausgestaltung” des Datenschutzrechts auf nationaler sowie auf unionaler Ebene erforderlich. Zudem solle das Datenschutzrecht “stärker in eine allgemeine digitale Ordnungspolitik eingebettet werden, indem der Datenschutz nicht als unangreifbare Rechtsposition verstanden, sondern in Abwägungsprozesse mit anderen Rechtsgütern integriert wird.”

Datenschützer reagieren auf Kritik

Der baden-württembergische Datenschutzbeauftragte Stefan Brink bezeichnete die im Gutachten geäußerte Kritik, aus datenschutzrechtlichen Gründen hätten nicht alle impfberechtigten Personen kontaktiert werden können, als “Mär”. Das Melderecht halte sehr wohl eine entsprechende Möglichkeit vor, Kontaktdaten zu solchen Zwecken zu nutzen. Auch dem Vorwurf, “der Datenschutz” nehme oftmals eine absolute Position gegenüber anderen Rechtsgütern ein, widersprach Brink. Im Rahmen der Kontaktnachverfolgung in Restaurants oder Kinos werde die Selbstbestimmung über die eigenen Daten sehr wohl “massiv eingeschränkt”. Insofern attestiert Brink den Gutachtern die Absicht, das Grundrecht auf Datenschutz noch weiter einschränken zu wollen. Solchen Versuchen würden sich die Datenschützer aber auch zukünftig entgegenstellen.

Ähnlich missbilligend äußerte sich auch der Bundesdatenschutzbeauftragte Ulrich Kelber. Das Gutachten sei “an relevanten Stellen teilweise irreführend formuliert oder schlicht falsch”. Auch Kelber stört sich insbesondere an dem Vorwurf, das Recht auf Datenschutz nehme eine absolute Position gegenüber anderen Rechtsgütern ein, und betonte, wie sein Kollege Brink, dass die Corona-Krise gerade das Gegenteil gezeigt habe. Hinsichtlich der Ausführungen zu anderen Rechtsgrundlagen für Datenverarbeitungen wirft Kelber dem Beirat vor, dass die “gebotene Wissenschaftlichkeit nicht eingehalten” wurde. Insofern biete sich der Bundesdatenschutzbeauftragte gerne als Gesprächspartner an, um entsprechende Probleme künftig zu vermeiden.

Bundesdatenschutzbeauftragter warnt vor Einsatz von WhatsApp

23. Juni 2020

In einer aktuellen Stellungnahme hat der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI), Dr. Ulrich Kelber, klargestellt, dass keine Bundesbehörde den zu Facebook gehörenden Messenger WhatsApp zur Kommunikation benutzen darf.

Hintergrund

Im Rahmen der Corona-Krise haben viele Beschäftigte in Behörden ihre Arbeit ins Homeoffice verlegt. Mit dem Wegfall der persönlichen Kommunikation vor Ort ging eine Zunahme der Kommunikation über WhatsApp einher. Diese erfolgte sowohl zwischen den Mitarbeitern untereinander als auch zwischen Mitarbeitern und Bürgern. Darüber haben sich einzelne Bürger beschwert, was den Bundesdatenschutzbeauftragen zu der Stellungnahme animiert hat.

Kritik

Darin führt er aus, dass allein das Versenden von Nachrichten Metadaten erzeugt, die an WhatsApp Ireland Ltd. – bzw. an das Mutterunternehmen Facebook – übermittelt werden. Die Erzeugung von Metadaten erfolgt unabhängig von der implementierten Ende-zu-Ende-Verschlüsselung. Metadaten sind unter anderem: die Versandzeit der Nachricht, Absender und Empfänger der Nachricht. Diese Metadaten sind unverzichtbar für die Funktionsweise von Messengern.

Gleichzeitig betonte er, dass öffentliche Stellen eine Vorbildfunktion haben, sich datenschutzkonform zu verhalten. Dazu verweist er auf den 27. Tätigkeitsbericht zum Datenschutz 2017 – 2018 vom 08.05.2019. Die Hauptkritikpunkte beziehen sich dabei auf die Übermittlung von Nutzerdaten durch die WhatsApp Ireland Ltd. an Facebook (siehe Blogbeitrag) sowie die Erhebung von Telefonnummern mittels Adressbuchupload durch WhatsApp. Auf diese Weise können alle Kontaktdaten eines Nutzers verarbeitet werden, die auf dessen Mobiltelefon hinterlegt sind und zwar unabhängig davon, ob der jeweilige Kontakt selbst den Messenger nutzt oder nicht.

Fazit

In „Täglich grüßt das Murmeltier“-Manier werden regelmäßig von verschiedenen Seiten datenschutzrechtliche Bedenken gegenüber dem WhatsApp-Messenger geäußert. Lesen Sie dazu unsere weiteren Beiträge:

Bundesdatenschutzbeauftragter lobt Corona-App, warnt aber auch

17. Juni 2020

Die geplante Corona-Tracing-App ist nach langer Entwicklungszeit und umfangreichen Diskussionen (wir berichteten) am gestrigen Dienstag (16.06.2020) für die Nutzung freigegeben worden. Nachdem sich der Bundesdatenschutzbeauftragte, Ulrich Kelber, bereits vor einigen Tagen zufrieden mit der gefundenen Lösung zeigte und die App aus Sicht des Datenschutzes als “solide” bezeichnete, hat seine Behörde (BfDI) in einer Pressemitteilung nun ausführlicher Stellung bezogen.

Lob für Transparenz

Insgesamt sieht Kelber keine Gründe, die aus datenschutzrechtlicher Sicht gegen die Installation sprechen. Dabei sei insbesondere entscheidend, dass sowohl der Quellcode der App als auch die durchgeführte Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO (durch welche potentielle Gefahren für die Rechte und Freiheiten der Nutzer ermittelt und mögliche Abhilfemaßnahmen festgelegt werden sollen) für die Öffentlichkeit zugänglich gemacht wurden. “Je transparenter das gesamte Projekt ist, umso mehr Vertrauen werden die Bürgerinnen und Bürger haben”, so Kelber.

Kritik an TAN-Verfahren

Trotz dieser ingesamt positiven Bewertung sieht der Bundesdatenschutzbeauftragte jedoch auch noch “Schwachstellen”, die von den zuständigen Behörden und Unternehmen angegangen werden müssten. Darunter falle insbesondere die Telefonhotline, durch welche der Nutzer eine TAN-Nummer erhält. Mittels dieser Nummer kann der Nutzer dann ein positives Testergebnis über die App melden. Durch diese zusätzliche Sicherheitsmaßnahme soll ein Missbrauch der App durch Meldung falscher Ergebnisse erschwert werden. Kelber sieht diese Lösung jedoch kritisch, weil so eben keine vollständig anonymisierte Nutzung der App möglich sei. Immerhin habe seine Behörde abwenden können, dass eine unangemessene Speicherung personenbezogener Daten aller Anrufer der Hotline stattfindet. Die zuständigen Behörden und Unternehmen müssten nun aber schnellstmöglich daran arbeiten, dass eine vollständig automatisierte Nutzung der App ermöglicht wird. Als zuständige Aufsichtsbehörde werde der BfDI dies überwachen und “alle Möglichkeiten der Datenschutz-Grundverordnung” heranziehen, im Falle von auftretenden Mängeln somit auch entsprechend einschreiten.

Warnung an Dritte vor Einsichtnahmeversuchen

Schließlich spricht der Bundesdatenschutzbeauftragte in der Pressemitteilung noch eine Warnung an alle Personen, Unternehmen und Einrichtungen aus, die auf die Idee kommen könnten, sich durch Einsicht in die Corona App – und somit in die darin gespeicherten personenbezogenen Daten – darüber zu informieren, ob für die betroffene Person ein positives Testergebnis vorliegt oder nicht. Dabei handle es sich um eine Grenze, die nicht überschritten werden dürfe. Wörtlich sagte Kelber: “Es ist in keinem Fall zulässig, dass Dritte Einblick in die App fordern. Ich kann die Inhaber von Geschäften oder öffentlichen Verkehrsmitteln nur dringend warnen: Versucht es erst gar nicht!”

Neue Leitlinien des Europäischen Datenschutzausschusses zur datenschutzrechtlichen Einwilligung

13. Mai 2020

Mit Wirkung zum 04. Mai 2020 hat der Europäische Datenschutzausschuss (EDSA) neue Richtlinien zur Einwilligung nach der Datenschutz-Grundverordnung erlassen und veröffentlicht (bisher liegen die neuen Leitlinien nur in englischer Sprache vor). Dabei handelt es sich um eine aktualisierte Fassung des “Working Papers” WP 259 rev. 01 der Artikel-29-Datenschutzgruppe. Diese Aktualisierungen betreffen vor allem den Betrieb von Webseiten und dort einzuholende Einwilligungen der Nutzer.

Der EDSA sah sich zu einer Aktualisierung dieser Leitlinien veranlasst, da das Thema “Einwilligung” noch immer zahlreiche praktische und rechtliche Schwierigkeiten mit sich bringt. Dabei geht es laut EDSA insbesondere um zwei Punkte, die weiterer Klarstellung bedürften: zum einen die Wirksamkeit von Einwilligung bei der Nutzung sog. “Cookie Walls”, zum anderen das im WP 259 rev. 01 dargestellte Beispiel 16 zum Scrollen und Wischen auf einer Website als mögliche Einwilligung.

“Cookie Walls” unzulässig

Zunächst stellt der EDSA klar, dass eine Einwilligung dann nicht als “freiwillig” abgegeben (im Sinne des Art. 4 Nr. 11 DS-GVO) angesehen werden könne, wenn der Verantwortliche die Nutzung eines Services von der Erteilung einer Einwilligung abhängig macht und darauf verweist, die betroffene Person könne den Service andernfalls auch bei einem anderen Anbieter nutzen (Rn. 38). Eine solche Einwilligung sei wegen einer fehlenden echten Wahlmöglichkeit nicht freiwillig, denn sie sei vom Verhalten anderer Marktteilnehmer sowie von der Beurteilung des Betroffenen abhängig, ob das andere Angebot als tatsächlich gleichwertig angesehen wird. Zudem würde dies den Verantwortlichen dazu verpflichten, Marktveränderungen zu beobachten, um Änderungen in Bezug auf gleichartige Angebote feststellen zu können. Im Ergebnis dürften Verantwortliche die Nutzung eines Services nicht davon abhängig machen, dass der Nutzer eine Einwilligung in die Verarbeitung seiner Daten für zusätzliche Zwecke erteilt. Sog. “Cookie Walls” seien demnach unzulässig (Rn. 39).

Scrollen und Wischen nicht als Einwilligung geeignet

Die zweite Klarstellung des EDSA bezieht sich auf das Beispiel 16, welches die Artikel-29-Datenschutzgruppe im WP 259 rev. 01 gegeben hatte. Demnach stelle das Scrollen oder Wischen auf einer Webseite keine eindeutig bestätigende Handlung dar (Rn. 68). Der Hinweis durch den Verantwortlichen, das fortgesetzte Srollen oder Wischen würde durch den Verantwortlichen als Einwilligung aufgefasst, könne schwierig zu erkennen sein, sodass er durch den Betroffenen übersehen werden könne. Diese Auffassung hat der EDSA nun bestätigt und klargestellt, dass ein solches Scrollen oder Wischen “unter keinen Umständen” eine unmissverständlich abgegebene Willensbekundung (siehe Art. 4 Nr. 11 DS-GVO) darstelle. Ein solches Verhalten könne deshalb nicht als Einwilligung angesehen werde, weil es sich nicht leicht von sonstigem Nutzerverhalten unterscheiden lasse. Zudem könne der Betroffene in einem solchen Fall seine Einwilligung nicht “so einfach wie die Erteilung der Einwilligung” widerrufen, wie dies Art. 7 Abs. 3 S. 4 DS-GVO fordert.

Ulrich Kelber, Bundesdatenschutzbeauftragter und selbst Mitglied des EDSA, unterstützte diese Klarstellungen. Es sei problematisch, dass einige Internetseiten durch ihre Gestaltung den Nutzenden Tracking aufdrängten, und er hoffe, dass die Klarstellungen zu einem Umdenken bei solchen Anbietern sorgt. Es sei erforderlich, dass diese den Nutzenden endlich datenschutzfreundliche Alternativen anbieten.

Kehrtwende bei Ausgestaltung der Corona-Tracing-App

28. April 2020

Die durch die Bundesregierung in Zusammenarbeit mit dem Robert-Koch-Insitut (RKI) geplante Tracing-App zur Nachverfolgung potentieller Corona-Kontakte ist seit Wochen Gegenstand reger Diskussionen und mit umfangreicher Kritik in Sachen Datenschutz verbunden. Diese Kritik scheint nun Gehör gefunden zu haben, jedenfalls rücken die Entwickler vom Vorhaben einer zentralen Speicherung ab.

Nachdem zunächst ein “zentraler Ansatz” in der Form geplant war, dass durch die App erhobene Daten – in anonymisierter Form – zentral auf einem Server gespeichert werden sollten, soll nun ein “dezentraler Ansatz” verfolgt werden. Bei dieser Variante werden die erzeugten Nutzer-IDs sowie die durch die Bluetooth-Funktion erfassten Geräte bzw. deren IDs nicht an einen zentralen Server gesendet, sondern zunächst lokal auf den Geräten gespeichert werden. Erst im Falle eines positiven Befundes wendet sich die positiv geteste Person mit einem geheimen Schlüssel an den Betreiber der App, sodass eine Übermittlung der Information, dass ein möglicher Kontakt bestand, an potentielle Kontaktpersonen übermittelt werden kann.

Dieser Kehrtwende ist umfangreiche Kritik am “zentralen Ansatz” vorangegangen. Zuletzt kamen kritische Stimmen nicht nur von verschiedenen Digital-Vereinen, sondern vermehrt auch aus der Wissenschaft. Auch der Europarat hat in Bezug auf mögliche Tracing-Apps (nicht nur) datenschutzrechtliche Bedenken geäußert. Dabei wurde insbesondere hervorgehoben, dass der zentralen Speicherung besonders sensibler Gesundheits- oder Bewegungsdaten erhebliche Bedenken in der Bevölkerung bezüglicher einer potentiellen Totalübberwachung entgegenstehend könnten und der Nutzen einer solchen App eingeschränkt sei, wenn Bürger die App wegen dieser Bedenken nicht verwenden.

Oppositionspolitiker und Netzaktivisten lobten die Entscheidung, nunmehr einen dezentralen Ansatz zu verfolgen, wie dies etwa auch durch Apple und Google favorisiert wurde. Auch der Bundesdatenschutzbeauftragte, Ulrich Kelber, sprach sich ausdrücklich für diese Variante aus.

Diese Strategieänderung lässt jedoch befürchten, dass der Einsatz einer funktionierenden, und vor allem datenschutz-sensiblen Tracing-App weiter auf sich warten lassen wird. Nachdem diese eigentlich schon Mitte April bei der Bekämpung des Corona-Virus unterstützen sollte, wird nun über eine Veröffentlichung Mitte Mai spekuliert.

BfDI-Stellungnahme zur Novelle des Infektionsschutzgesetzes

24. März 2020

Um das Infektionsschutzgesetz (Gesetz zur Verhütung und Bekämpfung von Infektionskrankheiten beim Menschen, IfSchG) an die aktuelle Situation anzupassen, hat das Bundeskabinett einen Entwurf zur Änderung des Gesetzes vorgelegt. In einer Stellungnahme kritisiert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber, dass nicht alle Einschränkungen des Grundrechts auf informationelle Selbstbestimmung in jeder Hinsicht verhältnismäßig seien.

Der BfDI spricht sich in der Stellungnahme zunächst dafür aus, dass ein vorgesehener Bericht des Bundesministeriums für Gesundheit zu den Erkenntnissen aus der durch das neuartige SARS-CoV-2 verursachten Epidemie auch Informationen zu Maßnahmen, die geeignet sind das Recht auf informationelle Selbstbestimmung einzuschränken (§ 5 Abs.3 Nr.1 lit.c), d) und e) des Enwurfs), enthalten soll. Des Weiteren sollen Löschregelungen für (teils sensible) personenbezogene Daten von Reisenden, die nach § 5 Abs.3 Nr.1 und 2 des Entwurfs verarbeitet werden dürfen, aufgenommen werden. Außerdem regt der BfDI an, dass seine Bundesdatenschutzbehörde bei Vorhaben der Versorgungs-und Gesundheitsforschung, an denen mehrere Verantwortliche beteiligt sind, die zuständige Aufsichtsbehörden sein soll. Darüber hinaus begrüßt der BfDI, dass die Regelung zur Erfassung von Daten aus Mobilfunkgeräten, die im vorangegangenen Entwurf des BMG noch enthalten waren, nicht in den aktuellen Entwurf des Kabinetts aufgenommen wurden.

Das IfSchG regelt, zum einen welche Krankheiten bei Verdacht, Erkrankung oder Tod und welche labordiagnostischen Nachweise von Erregern meldepflichtig sind. Zum anderen legt es fest, welche Angaben von den Meldepflichtigen gemacht werden müssen und welche weiteren Meldewege (z.B. an das Gesundheitsamt) einzuhalten sind.

Kelber kritisiert Darknet-Gesetzesentwurf

23. Mai 2019

Der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) kritisiert Pläne des Bunderats, die sich gegen Betreiber von Darknet-Angeboten richten. Durch das geplante Gesetz würden Unschuldige ins Visier der Behörden geraten, sagte Kelber der Süddeutschen Zeitung. Alle Anbieter von Anonymisierungssoftware müssten sich künftig Gedanken machen, ob ihre Dienste bald für illegal erklärt würden. Das Tor-Netzwerk sei nicht pauschal mit dem Darknet gleichzusetzen.

Der Bundesrat hatte Mitte März 2019 einen Gesetzesentwurf beschlossen, der das “Anbieten von Leistungen zur Ermöglichung von Straftaten” unter Strafe stellen soll. Aufgrund des (geplanten) § 126a des Strafgesetzbuchs (StGB) droht Anbietern einer “internetbasierten Leistung”, “deren Zweck oder Tätigkeit darauf ausgerichtet ist, die Begehung von rechtswidrigen Taten” zu ermöglichen oder zu fördern, eine Freiheitsstrafe von bis zu drei Jahren. Mit dem Darknet sind zumeist Webseiten und Dienste gemeint, die im Tor-Netzwerk als sogenannte Onion-Services (früher Hidden-Services) bereitgestellt werden. Das Programm verschleiert die IP-Adresse seiner Nutzer und lässt sie so anonym im Netz surfen.

Das Tor-Netzwerk sei jedoch nicht pauschal mit dem Darknet gleichzusetzen. Dissidenten und Whistleblower in Unrechtsstaaten nutzten es als geschützten Kommunikationsraum. Auch für normale Bürger gebe es gute und legitime Gründe, den Tor-Browser zu nutzen. Sie können sich damit der Überwachung durch Unternehmen entziehen.

“Wenn man nach einer Kneipenschlägerei nicht beweisen kann, wer sich daran mutwillig beteiligt hat, kommt man doch auch nicht auf die Idee, alle zu bestrafen, die in der Nähe herumstanden”, sagte Kelber. Dass die Polizei schon aufgrund eines derart vagen Anfangsverdachts ermitteln dürfe, sei ein kaum zu rechtfertigender Eingriff in die Bürgerrechte, so Kelber.

Die Pläne des Bundesrats waren von Juristen und der Tor-Community scharf kritisiert worden. “Die Verhaltensweisen, um die es den Verfassern des Gesetzentwurfs offiziell geht, sind typischerweise bereits heute strafbar – als Beihilfehandlungen zu den eigentlichen Straftaten”, sagte der Jurist und Richter am Landgericht Berlin, Ulf Buermeyer. Allerdings könnten mit dem neuen Straftatbestand mehr Überwachungsmaßnahmen durchgeführt werden – für die wiederum ein Verdacht ausreiche.

Der Gesetzentwurf des Bundesrats ist inzwischen mit einer Stellungnahme der Bundesregierung versehen in den Bundestag eingebracht worden (PDF).

Stellungnahme des BfDI zum Gesetzesentwurf zur Änderung der StPO

22. Februar 2019

Der Bundesbeauftragte für Datenschutz und die Informationsfreiheit Ulrich Kelber sieht große datenschutzrechtliche Mängel beim aktuelle Gesetzentwurf zur Änderung der Strafprozessordnung (StPO). Im Rahmen einer Anhörung im Rechtsausschuss am 20.02.2019 des Bundestages äußerte er seine Kritikpunkte in einer Stellungnahme.

Der Gesetzesentwurf enthält beispielsweise eine Regelung, die eine Datenübermittlung an den Nachrichtendienst erlaubt. Der BfDI kritisierte die Norm, weil sie zu unbestimmt sei und keine ausreichende Schwelle, wann eine Übermittlung erlaubt sein soll, enthielte. Darüber hinaus äußerte er Bedenken hinsichtlich der datenschutzrechtlichen Konformität der sog. „Mitziehautomatik“ (§ 489 StPO-Entwurf), bei der auch nach einer eigentlich beendeten „kriminellen Karriere“ auch ein leichtes Fahrlässigkeitsdelikt nach einem Verkehrsunfall alte Speicherungen mitziehen kann. Der BfDI kritisierte, dass diese Klausel zu einer unabsehbaren Speicherdauer führen würde, ohne im Einzelfall die Verhältnismäßigkeit hinreichend sicherzustellen

Erheblichen Nachbesserungsbedarf sieht der BfDI darüber hinaus bei den Regelungen zum Umgang mit Strafverfolgungsdateien. Dazu führte Ulrich Kelber aus: „Der Plan, Daten aus individuellen Strafverfahren, auf die bislang nur die mit dem Verfahren betrauten Ermittler Zugriff hatten, künftig allgemein abrufbar in den polizeilichen Informationssystemen auf Vorrat zu speichern, ist aus datenschutzrechtlicher Sicht nicht hinnehmbar. Mit dieser Vorschrift würde ein weiterer Schritt gegangen, die verfassungsrechtlich gebotenen Zweckbindungen bei der Speicherung von Daten aufzulösen. Konkret hätte ein erheblich größerer Kreis als bisher Zugang zu diesen teils sehr sensiblen Dateien. Diese betreffen nicht nur verurteilte Täter, sondern auch Verdächtige, Beschuldigte, Zeugen, Hinweisgeber und durch die Straftat geschädigte Personen. Sie können unbegrenzte Datenmengen und sehr sensible Informationen enthalten, etwa zu Opfern von Sexualstraftaten, die keinen Anlass dafür gegeben haben, dass ihre Daten in einem derart großen Maßstab abrufbar sind. Es wäre deshalb ein unbedingt zu vermeidender Fehler, diese bisherigen Spezialdateien auf breiter Ebene in die Informationssysteme der Polizeibehörden zu integrieren.”

Durch die Gesetzesänderung soll die Datenschutzrichtlinie (EU) 2016/680 für den Bereich der Strafverfolgung umgesetzt und die StPO an die Vorgaben der DSGVO angepasst werden.

1 2