Internet-Law

Der CCC hat massive Sicherheitsprobleme des neuen elektronischen Personalausweises aufgezeigt und dem Innenminister fällt nicht mehr ein als in der Tagesschau zu sagen:

„Irgendwelche Hacker mögen immer irgendwas hacken können, aber, die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage“

Wer derartig die Fakten ignoriert, dem wird hoffentlich bald ein öffentlicher Tornado ins Gesichts blasen. Man sollte zum Thema die Berichterstattung bei Heise, ZEIT ONLINE und Fefe gelesen haben. Auch der WDR (heute 21:55 Uhr) wird sich mit dem Thema befassen und kündigt einen Bericht an, in dem dargelegt wird, dass selbst die elektronische Unterschrift auf dem neuen Dokument fälschbar ist.

Wenn die Datensicherheit nicht gewährleistet ist, dann darf dieser neue Personalausweis auch nicht eingeführt werden.

Die Verfassungsbeschwerde einer nordrhein-westfälischen Lehrerin gegen das Urteil des BGH „spickmich.de“ ist erfolglos geblieben. Wie Telemedicus berichtet, hat das Bundesverfassungsgericht die Beschwerde noch nicht einmal zur Entscheidung angenommen (Az.: 1 BvR 1750/09). Dies war letztlich nicht anders zu erwarten.

Der BGH hatte das Lehrerbewertungsportal „spickmich.de“ für zulässig erachtet und eine Verletzung des Persönlichkeitsrechts der bewerteten Lehrer verneint. Rechtsanwalt Feldmann, der den Portalbetreiber vertreten hat, hat den Beschluss des BVerfG in seinem Blog kommentiert.

Das Bundesverfassungsgericht hat mit Beschluss vom 14.09.2010 (Az.: 1 BvR 872/10) einen Antrag auf Erlass einer einstweiligen Anordnung gegen das umstrittene Verfahren zum elektronischen Entgeltnachweis (ELENA), gegen das mehrere Verfassungsbeschwerden anhängig sind, abgelehnt. Das Gericht hat diese vorläufige Entscheidung primär darauf gestützt, dass die Verwendung der erhobenen Daten derzeit noch ausgeschlossen ist, weshalb ein Eilfall nicht ersichtlich sei. Das Gericht weist aber auch darauf hin, dass ein Grundrechtseingriff substantiiert dargelegt wurde, was im Hauptsacheverfahren dann abschließend zu prüfen ist.

Die Gemeinde Eching bei München (Landkreis Freising) hat Daten von Kindern aus ihrem Melderegister an einen Adressbuchverlag weitergegeben, der ein regionales Telefonbuch herausbringt. Die Gemeinde hat diesen Fehler mit einer Datenpanne begründet.

Diese Meldung aus meiner Heimatregion möchte ich zum Anlass nehmen, um auf die in diesem Fall einschlägige Vorschrift von Art. 32 Abs. 3 MeldeG hinzuweisen. Denn was viele Bürger vermutlich nicht wissen, ist, dass die Gemeinden nach dieser Vorschrift berechtigt sind, Meldedaten volljähriger Bürger an Adressbuchverlage zu übermitteln. Dem kann man als Bürger allerdings widersprechen. Diese „Übermittlungssperre“ kann mithilfe von im Netz verfügbarer Formularen beim Einwohnermeldeamt beantragt werden.

Das sog. SWIFT-Abkommen, das die EU verpflichtet, im Falle von Terrorverdacht Bankdaten von EU-Bürgern an die USA zu übermitteln, wurde bekanntlich nach anfänglichem Widerstand vom Europaparlament gebilligt
und ist seit 01.08.2010 in Kraft.

Während man in Deutschland über Belanglosigkeiten wie Google Street View heftig diskutiert, gehen die datenschutzrechtlich wirklich bedenklichen Vorgänge, wie das SWIFT-Abkommen, von einer breiten Öffentlichkeit nahezu unbemerkt über die Bühne.

Vermutlich liegt das auch daran, dass viele Bürger denken, sie wären davon eh nicht betroffen, weil sie sicherlich nie unter Terrorverdacht geraten werden. Diese Annahme wäre aber nur dann richtig, wenn mit Hilfe des Swift-Abkommens zielgenau Daten bestimmter Verdächtiger übermittelt würden. Aber gerade das ist nicht der Fall. Das Abkommen arbeitet vielmehr nach der Gießkannenmethode. Weil es SWIFT technisch nicht möglich ist, einen einzelnen Datensatz zu übermitteln, werden regelmäßig ganze Sammeldateien übersandt. Die kleinste Einheit, die Swift liefern könne, seien die Banktransferdaten für ein ganzes Land für einen bestimmten Zeitraum, heißt es bei ZEITONLINE. Das bedeutet freilich nicht weniger, als dass wegen eines in Deutschland ansässigen Terrorverdächtigen, alle deutschen Bankdaten, die SWIFT für einen bestimmten Zeitraum vorliegen, an die USA übermittelt werden. Also auch Ihre und meine.

Die EU versucht das abzumildern, indem man einen EU-Beamten – dessen Identität wiederum geheim ist – damit betraut hat, zu prüfen, welche Daten die Amerikaner tatsächlich abgreifen. Ob und wie diese Kontrolle funktioniert ist unklar. Letztlich hat sich die EU also darauf eingelassen, alle Bankdaten eines EU-Staates für einen bestimmten Tag oder einen bestimmten Zeitraum komplett an die US-Behörden zu liefern. Man fragt sich immer, ob die Mehrheit der Parlamentarier so naiv ist zu glauben, dass diese einseitige Verpflichtung wirklich (allein) der Terrorbekämpfung dient.

Wer wie die EU und ihre Mitgliedstaaten die Daten seiner Bürger in dieser Form preisgibt, kann nicht erwarten, dass man ihm ansonsten Vertrauen entgegen bringt, inbesondere nicht in datenschutzrechtlicher Hinsicht. Man fragt sich, weshalb das Datenschutzrecht überhaupt Hürden für die Datenübermittlung in Drittstaaten außerhalb der EU errichtet, wenn man andererseits bereit ist, fremden Staaten die Daten seiner Bürger auf dem Silbertablett zu präsentieren.

Eine Gerichtsentscheidung aus der Schweiz lässt aufhorchen. Das Schweizerische Bundesgericht hält die Erfassung von IP-Adressen durch das Anti-Piracy-Unternehmen LogiStep zur Verfolgung von Urheberrechtsverletzungen für datenschutzrechtswidrig.

Diese Frage stellt sich sicherlich auch in Deutschland, zumal es hierzulande ebenfalls keine explizite gesetzliche Gestattungsnorm für diese Art der Datenerhebung gibt. Man wird allerdings die Ansicht vertreten können, dass  eine Gestattung nach § 28 BDSG gegeben ist, weil diese Daten in P2P-Netzwerken allgemein zugänglich sind, nachdem jeder der sich am Filesharing beteiligt, allen anderen Teilnehmern seine IP-Daten bekannt gibt. Zudem könnte die Datenerhebung zur Wahrung berechtigter Interessen der Rechteinhaber erforderlich sein. Eine Abwägung mit den Interessen des Betroffenen hat aber auch im Rahmen des § 28 BDSG zu erfolgen, weshalb man die Argumentation der schweizer Richter aufgreifen kann, wonach das Interesse der Internetnutzer am Schutz ihrer Persönlichkeitsrechte dem Interesse der Rechteinhaber auf zivilrechtliche Verfolgung der Rechtsverletzung vorgeht.

Zur geplanten Regelung des Beschäftigtendatenschutzes liegt ein neuer Referentenentwurf vom 11.08.2010 vor. Die MMR hat die drei bisherigen Entwürfe in einer Synopse gegenübergestellt. Die Kritik an den bisherigen Entwürfen ist zum Teil berücksichtigt worden.

In § 32 Abs. 6 S. 3 BDSG soll eine eigene Regelung für Daten aus sozialen Netzwerken eingefügt werden, die lautet:

Bei Daten aus sozialen Netzwerken, die der elektronischen Kommunikation dienen, überwiegt das schutzwürdige Interesse des Beschäftigten; dies gilt nicht für soziale Netzwerke, die der Darstellung der beruflichen Qualifikation dienen.

Das bedeutet, dass Arbeitgeber Daten aus sozialen Netzwerken wie Facebook grundsätzlich nicht erheben dürfen. Anders ist dies bei Daten aus Netzwerken wie z.B. Xing, bei denen es gerade darum geht, seine berufliche Qualifikation darzustellen.

(via Beck-Blog)

Die Diskussion um Google Street View nimmt mehr und mehr groteske Züge an. Bestes Beispiel dafür ist der Leitartikel des ansonsten von mir hochgeschätzten Heribert Prantl in der SZ. Prantl meint, es würde einen Volksaufstand geben, wenn der Staat so etwas machen würde wie Google mit Street View.

Dieser Annahme liegt bereits im Ansatz ein Denkfehler zugrunde. Der Staat würde so etwas nämlich nicht machen, weil es für ihn nicht von Wert ist, alle paar Jahre die Fassaden von Häusern zu fotografieren.

Vergleiche mit der Vorratsdatenspeicherung, Video-Überwachung oder Online-Durchsuchung, wie Prantl sie anstellt, sind schlicht unsachlich. Denn Street View ermöglicht keinerlei Überwachung und ist im Vergleich zu den genannten Instrumentarien ziemlich harmlos. Wenn man den Kommentar von Prantl weiterliest, dann erkennt man, dass auch er nicht so genau weiß, was gegen Street View tatsächlich einzuwenden ist. Aber, es geht nach der Ansicht Prantls offenbar auch nicht nur um Street View, sondern irgendwie darum, dass Google allgemein zu viele Daten sammelt und zu viel Macht hat.

Das mag sein, taugt aber nicht als Einwand gegen Street View. Denn in diesem Fall fotografiert Google den öffentlichen Raum und stellt diese Bilder online. Vielleicht wäre die öffentliche Meinung und Diskussion auch eine andere, wenn der gemeine Bildleser verstanden hätte, dass es Street View nicht ermöglicht, ihn in seinem Garten zu beobachten. Aber die Bildzeitung und die Politik marschieren wieder einmal im Gleichschritt, wenn es um gezielte Desinformation der Bürger geht.

Sicherheitspolitiker, die ansonsten gerne den öffentlichen Raum mit Kameras vollplflastern würden, regen sich plötzlich öffentlichkeitswirksam über Street View auf. Das erweckt den Anschein einer Ablenkungsdebatte.

Während die Bundesregierung schon Anzeichen von Vernunft erkennen lässt und signalisiert, den vom Bundesrat bereits beschlossenen Gesetzesentwurf für eine gesetzliche Regelung von Street View im BDSG nicht mittragen zu wollen, leistet die Bundestagsfraktion der GRÜNEN in diesem Punkt gerade ihren netzpolitischen Offenbarungseid. Denn sie unterstützt diesen verfehlten Gesetzesentwurf mit Vehemenz. Auch das stellt eine Form von politischem Opportunismus dar.

Um es positiv zu formulieren: Street View ist ein innovatives Vorhaben, gegen das keine vernünftigen Einwände bestehen.

Der Bundesrat hat einem Gesetzesentwurf zur Änderung des Bundesdatenschutzgesetzes (BDSG), der die Einführung einer Reglung vorsieht, die speziell auf den Dienst Street View zugeschnitten ist, bereits beschlossen. Die Zustimmung des Bundestages steht allerdings noch aus. Nächste Woche wird sich das Bundeskabinett mit dem Gesetzesvorhaben befassen. Im Vorfeld hört man aus dem Innenministerium, dass man es wohl für sinnvoller hält, das BDSG generell auf seine Reformbedürftigkeit hin zu prüfen, anstatt auf Einzelphänomene zu reagieren. Das klingt nach einer Stimme der Vernunft inmitten des vor allem von Hamburg ausgehenden Aktionsmuses.

Wer sich mit tatsächlich relevanten Datenschutzthemen befassen und nicht nur dem aktuellen Hype um Street View fröhnen will, sollte diesen Beitrag in der Zeit gelesen haben. Denn es wird wenig darüber berichtet, dass man Migranten und Empfänger staatlicher Transferleistungen eine Preisgabe von persönlichen Daten in einem Ausmaß abverlangt, das bedenklich erscheint. Man kann zwar einiges, aber nicht alles mit der Notwendigkeit begründen, Missbrauch zu verhindern. Dass die EU beispielsweise Fingerabdrücke aller Asylbewerber in einer Datenbank („Eurodac“) speichert, auf die die künftig auch Polizei- und Sicherheitsbehörden der Mitgliedsstaaten Zugriff erhalten sollen, ist genau das, was Art. 3 GG verhindern will. Denn das wäre eine Benachteiligung von Menschen aufgrund ihrer Herkunft.

In einer Mitteilung der Kommission wurde schon vor längerer Zeit gefordert, dass die bestehenden und geplanten Datenbank-Systeme (u.a. auch Eurodac) in effizienter Weise weiterentwickelt werden sollen, und zwar insbesondere auch im Hinblick auf eine Ausweitung des Zugangs der für die innere Sicherheit zuständigen Behörden zu den verschiedenen Informationssystemen. Und dieses Thema steht weiterhin auf der Agenda. Wenn man sich vor Augen führt, was die EU so alles speichert, muss die Vorstellung der Zusammenführung und Verknüpfung der verschiedenen Datenbanken und Datenbestände nicht nur bei Migranten Unbehagen hervorrufen. Leider ist davon auch in den Blogs kaum etwas zu lesen.