Rettet den Datenschutz in Deutschland!
Kurswechsel nötig: soliden und vorbildlichen Schutz von personenbezogenen Daten schaffen!
Dies ist die Stellungnahme von Digitalcourage zum Entwurf eines Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU (DSAnpUG-EU) inklusive der Neufassung des Bundesdatenschutzgesetzes (BDSG-neu)
Der zweite Referentenentwurf des Innenministeriums für die Anpassung des deutschen Bundesdatenschutzgesetzes ignoriert die Rechte, Interessen und Schutzbedürfnisse von Bürgerinnen und Bürgern fast genauso konsequent wie der erste Entwurf. Dabei böte die Gesetzesnovelle auf Grundlage der Europäischen Datenschutzgrundverordnung die Möglichkeit, in Deutschland einen vorbildlichen, wegweisenden und innovativen Datenschutz auch in nationaler Gesetzgebung fest zu verankern:
„Diese Verordnung soll zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur Stärkung und zum Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts sowie zum Wohlergehen natürlicher Personen beitragen.“ (Zweiter Erwägungsgrund der Datenschutzgrundverordnung)
Dies als Leitlinie zu beachten, wäre der wachsenden Bedeutung der Grundrechte in der digitalisierten Welt angemessen. Der Gesetzesentwurf nutzt jedoch alle Regulierungsspielräume der EU-Grundverordnung zur Absenkung des Datenschutzniveaus. Das sendet ein fatales Signal in die Europäische Union und darüber hinaus. Die gegebenen Gestaltungsmöglichkeiten müssen zur Verbesserung des Datenschutzes genutzt werden. Dreizehn konkrete Maßnahmen haben Digitalcourage und die Deutsche Vereinigung für Datenschutz (DVD) im August 2016 erarbeitet und veröffentlicht. (Dokument siehe Anhang)
Notwendigkeit des Schutzes der Privatsphäre steigt massiv
Der Gesetzesentwurf berücksichtigt in keiner Weise die rasanten technischen Entwicklungen von kommerzieller und staatlicher Datenverarbeitung. Eine Betrachtung existierender Überwachungsgesetze, die von Digitalcourage in einer „Materialsammlung zur Überwachungsgesamtrechnung“ aufgelistet wurden, und Studien wie „Durchleuchtet, analysiert und einsortiert“ von Cracked Labs zeigen deutlich auf, welchem Druck die Privatsphären der Bevölkerung ausgeliefert sind. Die Studie zeigt, wie präzise jede Bewegung von Menschen im Internet, im Alltag und im Smart Home erfasst, analysiert und prognostiziert werden kann. Unbeobachtetes Zeitunglesen, Kommunizieren oder Einkaufen ist nicht möglich. Ab 1. Juli 2017 wird durch das Gesetz zur Vorratsdatenspeicherung automatisch und ohne Anlass von allen Menschen in Deutschland erfasst, wer wann wo mit wem per Telefon kommuniziert und im Internet unterwegs ist. Angesichts der gravierenden Zunahme von Daten, neuer Auswertungsmöglichkeiten und sich ständig erweiternder Verwendungszwecke müssen Datenschutzgesetze das Datenschutzniveau wesentlich erhöhen. In der Europäischen Datenschutzgrundverordnung, die der vorliegende Gesetzesentwurf ausführen möchte, wird explizit hervorgehoben:
„(…) Das Ausmaß der Erhebung und des Austauschs personenbezogener Daten hat eindrucksvoll zugenommen. (…) Die Technik hat das wirtschaftliche und gesellschaftliche Leben verändert und dürfte den Verkehr personenbezogener Daten innerhalb der Union sowie die Datenübermittlung an Drittländer und internationale Organisationen noch weiter erleichtern, wobei ein hohes Datenschutzniveau zu gewährleisten ist.“ (Sechster Erwägungsgrund der Datenschutzgrundverordnung)
Der vorliegende Entwurf ist genau das Gegenteil dessen, was die deutsche und europäische Bevölkerung dringend braucht.
Ungenügende Beteiligung der betroffenen Bürgerinnen und Bürger
Die kurze Frist von 9 Werktagen, die das Innenministerium Nichtregierungsorganisationen gegeben hat, um den 85-seitigen Gesetzesentwurf mit Blick auf die Rechte von Bürgerinnen und Bürgern zu kommentieren, ist ein Skandal. Denn dieses Gesetz entscheidet die Zukunft der Privatsphären aller Menschen in Deutschland – und auch in Europa. Keine Datenschutzorganisation hatte Zeit, eine umfassende Beurteilung des Entwurfs zu erstellen. Zudem wurden die bisher von Digitalcourage und der Deutschen Vereinigung für Datenschutz (DVD) eingereichten Stellungnahmen weder berücksichtigt noch kommentiert. Das Allgemeine Bundesdatenschutzgesetz soll die Privatsphäre von Bürgerinnen und Bürgern schützen. Darum müssen Vertreterinnen und Vertreter der Zivilgesellschaft und ihre Verbände umfassend in den Gesetzgebungsprozess eingebunden werden. Die hier von uns wiedergegebene Einlassung ist als vorläufig zu betrachten und kann noch ergänzt werden. Dafür erbitten wir eine Frist bis zum 31. März 2017.
Kontrollbefugnisse der Datenschutzbeauftragten erhalten!
Datenschutzbeauftragte, Verbände und Organisationen müssen rechtlich, finanziell und personell gestärkt werden, damit diese die Datenschutz- und Datensicherheitsinteressen von Bürgerinnen und Bürgern angemessen vertreten können. Mit dem Entwurf sollen jedoch die Prüf- und Berichtsbefugnisse der Datenschutzbeauftragten eingeschränkt werden. Das ist unverantwortlich. Unabhängige und starke Datenschutzbeauftragte sind die Garanten für das Grundrecht auf Privatsphäre. Dieses Grundrecht ist die Basis für Meinungsfreiheit, Pressefreiheit und persönliche Freiheitsrechte – sie sind der Kern der Demokratie. Die Einschränkung der Kompetenzen der Datenschutzbeauftragten ist ein Angriff auf diejenigen, die diese Rechte der Bürgerinnen und Bürger verteidigen. Ein Datenschutzgesetz kann seinem Auftrag nach diese Kompetenzen nur erweitern wollen. Die Entmachtung von Datenschutzbeauftragten ist eine Gefahr für die Grundrechte, der kein Nutzen entgegensteht. Digitalcourage fordert eine wirksame Stärkung der Aufsichtsbehörden, unter anderem durch mehr Personal und Klagerechte (siehe Forderungskatalog Punkt 9).
Rechte für Bürgerinnen und Bürger erweitern!
Die Beschränkung des Aufkunftsrechts für Bürgerinnen und Bürger ist das Gegenteil dessen, was die Bürgerinnen und Bürger dringend brauchen und verdient haben. Kapitel III der Verordnung gibt Betroffenen unter anderem das Recht auf Löschung von Daten (Artikel 17), das Recht auf Auskunft (Artikel 15) und das Recht auf Datenübertragbarkeit (Artikel 20). Nach Artikel 23 der Verordnung können Mitgliedsländer diese Rechte unter bestimmten Bedingungen einschränken. Entgegen der Absichten der Grundverordnung sieht der Entwurf vor, dass Unternehmen und Behörden die Auskunft über Daten und Löschung von Daten gegenüber Bürgerinnen und Bürgern in vielen Fällen verwehren können. Ein Datenschutzgesetz muss jedoch die Rechte der betroffenen Personen stärken.
Zustimmungspflicht zu Datenverarbeitung nicht aushebeln!
Laut Grundgesetz haben Bürgerinnen und Bürgern das Recht, selbst über die Preisgabe und Verwendung ihrer personenbezogenen Daten zu bestimmen. Dieses Recht ist nur gewahrt, wenn der Verwendungszweck, in den die Bürgerinnen und Bürger vor Verarbeitung ihrer Daten eingewilligt haben, nachträglich nicht geändert werden kann. Genau das sieht allerdings §23 Abs. 2 des Entwurfs für ein neues Bundesdatenschutzgesetz vor. Die in § 23 BDSG-neu entworfenen Regelungen zur Zweckänderung sind weder notwendige noch spezifizierte oder verhältnismäßige Maßnahmen, wie die Datenschutzgrundverordnung es fordert. Bis jetzt zulässige Zweckänderungen sollen nahezu grenzenlos erweitert werden. Das Grundprinzip der EU-Verordnung, dass eine Datenverarbeitung auf einer freiwilligen Einwilligung mit Kenntnis in der Sachlage beruhen muss, würde dadurch ad absurdum geführt. Diese Regulierungen schränken die Selbstbestimmung und Handlungsfreiheit der Bürgerinnen und Bürger ein und führen zu einer Bevormundung durch Datenverarbeiter. Das bedeutet eine gravierende Machtverschiebung von denen, deren persönliche Daten verarbeitet werden, zu denen, die diese Daten erheben, analysieren, handeln und andersweitig verarbeiten. Digitalcourage und die Deutschen Vereinigung für Datenschutz (DVD) fordern darum, dass die Regulierungsmöglichkeiten in Artikel 6 der Grundverordnung im Sinne einer Stärkung des Datenschutzes wahrgenommen werden.
Die digitale Entwicklung datenschutzfreundlich gestalten!
Ein zeitgemäßer und wirksamer Datenschutz muss auf aktuelle Risiken für das Recht auf Privatsphäre reagieren. Dazu gehören Datenerhebungs- und Datenverarbeitungsmöglichkeiten durch statistische Korrelation, Ubiquitous Computing (Smart Home, Smart Health, Smart Car etc.), Big-Data-Anwendungen, Scoring, Personalisierung von Preisen, Angeboten, Inhalten, Auswahlmöglichkeiten auf Grundlage von Profilen und der digitalen Identifizierung von Objekten (beispielsweise mit RFID-Technologie). Die Ziele der EU-Datenschutzgrundverordnung müssen durch neue bundesdeutsche Gesetze verstärkt und weiterentwickelt werden. Dazu muss für eine datenschutzfreundliche Gestaltung von Technik gesorgt werden. Dabei können insbesondere, bei entsprechender Ausgestaltung, Ko-Regulierungen nach Artikel 38 der Grundverordnung hilfreich sein. Ko-Regulierungen umfassen beispielsweise Gütesiegel, Zertifikate oder Verhaltenskodizes, die helfen können, den Schutz von personenbezogenen und personenbeziehbaren Daten zu erhöhen. In Ko-Regulierungen können Prinzipien wie „Privacy by Design“ und „Privacy by Default“, Souveränität über Geräte und deren Datenverarbeitung branchenspezifisch und technisch konkret im Handeln von Unternehmen verankert werden. Besonders weil sich datenverarbeitende Technologien und Anwendung schneller entwickeln, als Gesetzgeber Regulierungen schaffen können, sind Ko-Regulierungen wichtige Instrumente für einen wirksamen Datenschutz. Voraussetzung dafür ist, dass eine wirksame behördliche Kontrolle der Ko-Regulierungen stattfindet, dass größtmögliche Transparenz realisiert wird und Betroffenen-Vertretungen bei Ausarbeitung und Anwendung der Ko-Regulierungen effektiv eingebunden werden.
Datenschutzfreundliche Geschäftsmodelle fördern!
Datenschutz kann Triebfeder sein für innovative Unternehmen, deren Produkte und Anwendungen alle technischen Möglichkeiten der digitalen Entwicklung ausnutzen, aber nicht invasiv sind gegenüber der Privatsphäre ihrer Kundinnen und Kunden. Weitsichtige Datenschutzgesetzgebung kann Deutschland zum Vorbildstandort für datenschutzfreundliche Geschäftsmodelle entwickeln. Datenschutz stärkt das Vertrauen zwischen Unternehmen – und zwischen Unternehmen und ihren Kundinnen und Kunden. Der vorgelegte Gesetzesentwurf fördert genau das Gegenteil, nämlich einen Ausverkauf von persönlichen Daten an Datenverarbeiter, die möglichst tief in das Privatleben ihrer Kundinnen und Kunden vordringen wollen. Die Bedürfnissen der Werbe- und Internetindustrie sind auf keinen Fall höher zu bewerten als das Recht der Privatsphäre jeder einzelnen Person. Wirtschaftlich und gesellschaftlich sinnvoll ist die Entwicklung grundlegend notwendiger Technologie, die hilft technische, soziale oder ökologische Probleme zu lösen. Langfristig schädlich ist die Entwicklung von Geschäftsmodellen, die primär vom Eindringen in die Privatsphäre leben. Der mit dem Entwurf eingeschlagene Weg nationaler Regulierungen für weniger Datenschutz geht zu Lasten kleiner und mittlerer Unternehmen, die nur mit hohem Aufwand in einem europaweit nicht einheitlichen Rechtsrahmen agieren können.
Ausufernde Videoüberwachung verhindern!
Der Entwurf sieht eine deutliche Ausweitung von Videoüberwachung öffentlich zugänglicher Räume in Deutschland vor. Zukünftig soll bei großen Videoüberwachungsmaßnahmen die Abwägung zwischen Grundrechten und Sicherheit einseitig zu Gunsten der Sicherheit erfolgen. Das widerspricht den Abwägungsgeboten der EU-Grundverordnung und des deutschen Grundgesetzes. Auch soll die Regelung entfallen, dass Daten unverzüglich gelöscht werden müssen, sobald sie nicht mehr erforderlich sind für die Erfüllung des Zwecks oder wenn Betroffenenrechte der Speicherung widersprechen. Eine auf diese Weise ausufernde Videoüberwachung muss verhindert werden. Studien (Quellen siehe Anhang) haben nachgewiesen, dass Videoüberwachung nahezu wirkungslos ist mit nur wenigen Ausnahmen (bei überwachten Parkplätzen werden weniger Autos gestohlen; im ÖPNV weniger Scheiben zerkratzt). Bei spontanen Gewalttaten wirkt sie weder präventiv, noch hilft sie bei der Aufklärung. Bei der Terrorprävention ist sogar zu befürchten, dass durch Videoüberwachung Täter, die auf große Aufmerksamkeit Wert legen, eher noch angezogen werden. Außerdem erfordert die Tiefe des Grundrechtseingriffs einen Nachweis der Wirksamkeit. Dieser ist nicht im Entferntesten gegeben. Videoüberwachung ist also abzulehnen. Zudem ist das Missbrauchspotential der per Videoüberwachung angehäuften Daten enorm. Oft sind diese Kameras ans Internet angeschlossen und somit Teil des Sicherheitsproblems „Internet der Dinge“ (IoT). Immer wieder werden Sicherheitslücken bekannt, durch die Unbefugte Zugriff auf die Videodaten erhalten haben. Selbst ohne technische Sicherheitslücken ist das Missbrauchspotenzial groß – etwa durch die mit der Wartung oder Auswertung beauftragten Firmen oder Ämter.
Quellen
Gesetzentwurf und EU-Grundverordnung
Referentenentwurf des Bundesministeriums des Innern: Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680: https://www.eaid-berlin.de/wp-content/uploads/2016/11/161123_BDSG-neu-RefE_-2.-Ressortab-Verba%CC%88nde-La%CC%88nder.pdf (PDF)
EU-Datenschutzgrundverordnung vom 4. Mai 2016: http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.DEU&toc=OJ:L:2016:119:TOC (Berichtigung vom 27. Oktober: http://data.consilium.europa.eu/doc/document/ST-12399-2016-INIT/en/pdf)
Stellungnahmen
Presseerklärung der Deutschen Vereinigung für Datenschutz: https://www.datenschutzverein.de/wp-content/uploads/2016/11/2016-11-22_PM-DVD-BDSG-neu.pdf (PDF)
Stellungnahme der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID): https://www.eaid-berlin.de/wp-content/uploads/2016/12/EAID-Stellungnahme-zum-DSAnpUG-EU_final.pdf (PDF)
Videoüberwachung
Clive Norris: A Review of the increase use of CCTV and video-surveillance for crime prevention purposes. EU Citizens’ Rights and Constitutional Affairs. PE 419.588 Besonders Abschnitt 5 (Evaluation): http://www.statewatch.org/news/2009/apr/ep-study-norris-cctv-video-surveillance.pdf
Leon Hempel und Christian Alisch: Evaluation der 24-Stunden-Videoaufzeichnung in U-Bahnstationen der Berliner Verkehrsbetriebe http://berlin.humanistische-union.de/typo3/ext/naw_securedl/secure.php?u=0&file=uploads/media/04_Evaluationsbericht.pdf&t=1192030446&hash=82beea09f9fe65e34a8ee705d6fc5573
Thilo Weichert: Videoüberwachung im öffentlichen Raum: https://www.datenschutzzentrum.de/video/videoibt.htm
Wright, D., Kroener, I., Lagazio, M., Finn, R.,Gellert, R. B., Gutwirth, S., & Vermeulen, M. EU FP 7 project SAPIENT (Supporting fundamental rights, PrIvacy and Ethics in surveillance Technologies) Deliverable 5.3 Final Report: Findings and Recommendations. 2014. Besonders Abschnitt 4.6 („Effectiveness“): http://www.sapientproject.eu/D5.2%20-%20Final%20report.pdf