Schlagwort: Gutachten

Datenschützer wehren sich gegen Kritik in Regierungsgutachten

21. April 2021

Der wissenschaftliche Beirat beim Bundesministerium für Wirtschaft und Energie (BMWi) hatte bereits im März 2021 ein Gutachten mit dem Titel “Digitalisierung in Deutschland – Lehren aus der Corona-Krise” veröffenticht. Darin beschäftigt sich der Beirat nicht nur mit der krisenbedingten Digitalisierung in verschiedenen, von der Corona-Krise besonders betroffenen Bereichen, und attestiert hier ein “Organisationsversagen”. Auch wird ganz offene Kritik an – vermeintlichen – juristischen und bürokratischen Hemmnissen geäußert, wobei insbesondere “der Datenschutz” hervorgehoben wird.

Kritik am geltenden Datenschutzrecht

“Der Datenschutz” – so der Beirat werde in Deutschland oft als ein Wert angesehen, der in der Abwägung mit anderen Rechtsgütern absolute Priorität genieße. Dies habe in der Corona-Krise die Nutzung digitaler Möglichkeiten “stark eingeschränkt”, etwa hinsichtlich der Corona-Warn-App (wir berichteten) oder der digitalen Patientenakte (wir berichteten). Neben dieser Kritik, dass eine Einschränkung des Datenschutzes zugunsten anderer Rechtsgüter oft pauschal abgelehnt werde, wird auch das vermeintliche “Primat der Einwilligung” in Frage gestellt. Auch wenn dies aus verfassungsrechtlicher Sicht der richtige Ausgangspunkt sei, zeige doch die praktische Umsetzung, dass die Menschen ihre Einwilligungsmöglichkeiten nicht hinreichend wahrnehmen; als Beispiel werden hier Cookie-Einwilligung im Internet genannt, welche nicht gelesen würden (wir berichteten).

Als möglicher Lösungsansatz schlägt der Beirat eine Ergänzung des “Primats der Einwilligung” durch sog. Datentreuhänder vor, wie sie auch von der EU (wir berichteten) sowie der Bundesregierung (wir berichteten) befürwortet werden. Aber auch Privacy by design und Privacy by default oder ein Schutz ähnlich der AGB-Kontrolle werden als weitere Ansätze genannt. Insgesamt sei eine “effektivere Ausgestaltung” des Datenschutzrechts auf nationaler sowie auf unionaler Ebene erforderlich. Zudem solle das Datenschutzrecht “stärker in eine allgemeine digitale Ordnungspolitik eingebettet werden, indem der Datenschutz nicht als unangreifbare Rechtsposition verstanden, sondern in Abwägungsprozesse mit anderen Rechtsgütern integriert wird.”

Datenschützer reagieren auf Kritik

Der baden-württembergische Datenschutzbeauftragte Stefan Brink bezeichnete die im Gutachten geäußerte Kritik, aus datenschutzrechtlichen Gründen hätten nicht alle impfberechtigten Personen kontaktiert werden können, als “Mär”. Das Melderecht halte sehr wohl eine entsprechende Möglichkeit vor, Kontaktdaten zu solchen Zwecken zu nutzen. Auch dem Vorwurf, “der Datenschutz” nehme oftmals eine absolute Position gegenüber anderen Rechtsgütern ein, widersprach Brink. Im Rahmen der Kontaktnachverfolgung in Restaurants oder Kinos werde die Selbstbestimmung über die eigenen Daten sehr wohl “massiv eingeschränkt”. Insofern attestiert Brink den Gutachtern die Absicht, das Grundrecht auf Datenschutz noch weiter einschränken zu wollen. Solchen Versuchen würden sich die Datenschützer aber auch zukünftig entgegenstellen.

Ähnlich missbilligend äußerte sich auch der Bundesdatenschutzbeauftragte Ulrich Kelber. Das Gutachten sei “an relevanten Stellen teilweise irreführend formuliert oder schlicht falsch”. Auch Kelber stört sich insbesondere an dem Vorwurf, das Recht auf Datenschutz nehme eine absolute Position gegenüber anderen Rechtsgütern ein, und betonte, wie sein Kollege Brink, dass die Corona-Krise gerade das Gegenteil gezeigt habe. Hinsichtlich der Ausführungen zu anderen Rechtsgrundlagen für Datenverarbeitungen wirft Kelber dem Beirat vor, dass die “gebotene Wissenschaftlichkeit nicht eingehalten” wurde. Insofern biete sich der Bundesdatenschutzbeauftragte gerne als Gesprächspartner an, um entsprechende Probleme künftig zu vermeiden.

Studie zum mangelnden Datenschutz bei Tesla

3. November 2020

Nach einer Studie des Netzwerks Datenschutzexpertise dürfen Autos von Tesla wegen vieler Datenschutzverstöße in der EU nicht zugelassen werden. Der Verfasser der Studie, der frühere schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert, führt die potentiellen Rechtsverletzungen in einem Gutachten auf fast 40 Seiten auf. 

Die vielen Kameras und elektronischen Messysteme, die Tesla im Model 3 verbaut hat, stellen personenbezogene Messwerte dar, für deren Inanspruchnahme Tesla keine präzisen Zwecke nennt. Dies stellt einen Verstoß gegen Artikel 5 der DSGVO dar. Als weiteres Beispiel wird die Video- und Ultraschallüberwachung während der Fahrt und im sogenannten „Sentry-Mode“ benannt. Dies ist ein Überwachungsmodus, der aktiviert werden kann, wenn das Auto geparkt ist. Acht Kameras, die rund um das Auto montiert sind, ermöglichen eine Rundumüberwachung der Fahrzeugumgebung in bis zu 250 Meter Entfernung. Über die USB-Schnittstelle können die einlaufenden Daten von vier Kameras dauernd unverfremdet ausgelesen und ausgewertet werden. Personen oder auch Kfz-Nummernschilder seien so klar zu erkennen.

Im Sentry-Mode erfassen die Kameras zudem dauernd die Umgebung. Eine kleine Bewegung im unmittelbaren Umfeld des Fahrzeugs reiche bereits, sodass im Cockpit ein roter Punkt aufleuchtet und dies aufzeichne. Dafür genüge es, dass eine Person oder ein anderes Fahrzeug nahe am Auto sei. Sicherheitsforscher hätten gezeigt, dass sie über eine USB-Schnittstelle sämtliche Kameras im laufenden Betrieb auswerten, Kfz-Kennzeichen erfassen und Gesichtserkennung durchführen konnten.

Dem Gutachten zur Folge „genügt Tesla nicht den Anforderungen an die Datenminimierung und die Erforderlichkeit bei der Datenverarbeitung.” Tesla sei „insbesondere mitverantwortlich für die nicht erforderliche, umfassende, uneingeschränkte Videoüberwachung” im Wächtermodus. Ignoriere aber deren Folgen. Das Unternehmen informiere die Betroffenen zudem nicht in einer hinreichend präzisen und verständlichen Sprache über ihre Rechte oder etwa über die Speicherdauer der erhobenen Messwerte.

Die Studie merkt zudem an, dass Tesla Daten in die USA sowie eventuell in weitere Drittstaaten ohne angemessenes Schutzniveau versendet. Damit ignoriere Tesla das jüngst ergangene Urteil des Europäischen Gerichtshofs gegen den Privacy Shield.

Nun seien die deutschen und europäischen Aufsichtsbehörden am Zug. In Deutschland sei vermutlich das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zuständig, da Tesla als Kontakt für deutsche Kunden eine Adresse in München angegeben habe. Die europäische Hauptniederlassung befinde sich in Amsterdam, somit für ein europäisches Verfahren die niederländische Behörde “Autoriteit Persoonsgegevens” die zuständige Kontrollinstanz.

Jüngste Chronologie zur Vorratsdatenspeicherung

3. Juli 2017

1. Urteil des EuGH vom 21.12.2016

Der Gerichtshof der Europäischen Union (EuGH) hatte mit Urteil vom 21. Dezember 2016 im Wege eines Vorabentscheidungsverfahrens nach Art. 267 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) in einem Streitverfahren, das eine auf Grundlage des schwedischen Gesetzes über die elektronische Kommunikation (Lag om elektronisk kommunikation) ergangene Anordnung der schwedischen Überwachungsbehörde für Post und Telekommunikation zur Vorratsspeicherung von Verkehrs- und Standortdaten ihrer Teilnehmer und registrierten Nutzer zum Gegenstand hat, und ein weiteres Streitverfahren, in dem über die Vereinbarkeit des Gesetzes von 2014 zur Vorratsdatenspeicherung und zu den Ermittlungsbefugnissen des Vereinigten Königreichs (Data Retention and Investigatory Powers Act 2014) mit dem Unionsrecht gestritten wird, über zahlreiche Detailfragen zur Vorratsdatenspeicherung entschieden.

Damit hat der EuGH nun nach der Entscheidung 2014 das zweite mal entschieden, dass die Verpflichtung zur Vorratsdatenspeicherung gegen Unionsrecht verstößt. Zur Begründung führte der EuGH zunächst aus, dass die in Rede stehenden Rechtsvorschriften zwar in den Anwendungsbereich der DSRL fallen und somit den Mitgliedstaaten eröffnet werde die grundsätzliche Verpflichtung die Vertraulichkeit der Kommunikation und der damit verbundenen Verkehrsdaten zu gewährleisten, indes meint der EuGH, dass die Ausnahme von diesem Grundsatz nicht zur Regel werden dürfe.

Die Sammlung von Daten könne nämlich weitreichende Aussagen über das Privatleben des Betroffenen treffen und schränke das informationelle Selbstbestimmungsrecht bzw. Art. 7 und 8 der Grundrechte-Charta (GrCH) enorm ein. Betroffene dürften das Gefühl einer ständigen Überwachung ihres Privatlebens haben, wenn man infolge der Speicherung von Verkehrs- und Standortdaten wisse, wann wie lange mit wem usw. Betroffene sich irgendwo befunden haben. Ausnahmen könne es daher nur bei der Bekämpfung von schweren Straftaten geben. Aber auch an diese Ausnahmen sollen enge Voraussetzungen geknüpft sein. So müsse die Vorratsdatenspeicherung hinsichtlich der Kategorie zu speichernden Daten, der erfassten Kommunikationsmittel, der betroffenen Personen und der vorgesehenen Speicherungsdauer auf das absolut Notwendige beschränkt sein. Daran müsse sich ein nationales Gesetz orientieren. Überdies müsse es sich um Personen handeln, die im Verdacht stehen, eine schwere Straftat zu planen, zu begehen oder begangen zu haben oder in eine solche verwickelt zu sein. Entsprechendes gelte auch bei terroristischem Hintergrund mit möglichen schweren Folgen für die öffentliche Sicherheit, Landesverteidigung usw.

2. Haltung der Bundesregierung

In der Vergangenheit hat die Bundesregierung wiederholt darauf aufmerksam gemacht, dass das entschiedene Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten ein ausgewogenes Gesetz sei, dass den rechtlichen Anforderungen entspreche.

Danach müssen Telekommunikationsunternehmen bis zum 01.07.2017 die Voraussetzungen zur Speicherung von Verkehrsdaten erfüllen. Das Gesetz halte die Balance zwischen Freiheit und Sicherheit in der digitalen Welt ein. Die Speicherfrist von Daten sei auf zehn Wochen beschränkt und danach seien sie sofort zu löschen. Standortdaten dürfen nur vier Wochen gespeichert werden. Auf Verkehrsdaten dürfe nur zugegriffen werden, um schwerste Straftaten zu verfolgen, die auch im Einzelfall schwer wiegen müssen (wir berichteten).

Dennoch ist das nationale Gesetz zur Umsetzung der Vorratsdatenspeicherunug nicht auf Daten beschränkt, bei denen ein Zusammenhang zu schweren Verbrechen zu vermuten ist: weder geographisch noch zeitlich noch bezüglich der erfassten Personengruppe.

3. Wissenschaftlicher Dienst des Bundestages

Nach den kleinen Anfragen der Linken zur Umsetzung der Vorratsdatenspeicherung stellte der Wissenschaftliche Dienst des Bundestages mit seinem Gutachten vom 12.01.2017 fest, dass die nationale Regelung zur Umsetzung der Vorratsdatenspeicherung nicht die Vorgaben des EuGH erfüllt.

4. Entscheidung des Bundesverfassungsgerichts

Die Richter in Karlsruhe lehnten in diesem Zusammenhang mit Beschluss vom 13.04.2017 einen Antrag auf Erlass einer einstweiligen Anordnung ab und wiesen im Wesentlichen darauf hin, dass sich hinsichtlich der verfassungsrechtlichen Bewertung der angegriffenen Regelungen Fragen stellen, die sich nicht zur Klärung im Eilrechtsschutzverfahren eignen. Bis dahin aber bleibt das Gesetz zur Vorratsdatenspeicherung in Kraft.

5. Beschluss des OVG Münster vom 22.06.2017

Das im Dezember 2015 gesetzlich eingeführte und ab den 01.07.2017 zu beachtende Gesetz zur Umsetzung der Vorratsdatenspeicherung ist mit dem Unionsrecht nicht vereinbar, entschied das OVG Münster neulich.

Ein IT-Unternehmen aus München wehrte sich gegen das nationale Gesetz zur Umsetzung der Vorratsdatenspeicherung und stellte den Antrag auf Erlass einer einstweiligen Anordnung an das VG Köln, das den Antrag aber ablehnte. Die Beschwerde zum OVG Münster hatte für das IT-Unternehmen Erfolg.

Das Gericht führte hierzu aus, dass die Speicherpflicht im Kontext zum Urteil des EuGH vom 21.12.2016 nicht mit Art. 15 Abs. 1 DSRL vereinbar sei, da sie schlichtweg pauschal die Verkehrs- und Standortdaten aller Nutzer von Telefon- und Internetdiensten erfasse. So fehle die Beschränkung des betroffenen Personenkreises, die im Zusammenhang mit einer vom Gesetz bezweckten Bekämpfung von schweren Straftaten stehe. Dies könne etwa durch personelle, zeitliche oder geographische Kriterien geschehen.

Wesentlich ist die Feststellung des Gerichts, dass die Vorratsdatenspeicherung nicht ausnahmsweise gerechtfertigt sein könne, wenn es um die Verfolgung schwerer Straftaten bzw. der Abwehr schwerwiegender Gefahren. Wann Ausnahmefälle vorliegen könnten hat das Gericht nicht entschieden.

6. Praxisbedeutung

Das letzte Wort zur Vorratsdatenspeicherung ist noch nicht gesprochen. Hier ist noch vieles im Fluss. Das Bundesverfassungsgericht wird in dem Hauptsacheverfahren zur nationalen Umsetzung der Vorratsdatenspeicherung Stellung beziehen. Es bleibt zu hoffen, dass es noch in diesem Jahr zu einer endgültigen Entscheidung kommt.