Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

• Position Paper as PDF
• German Version

This Position Paper addresses public and private bodies in Schleswig-Holstein in their function as controllers responsible for the collection, processing or use of personal data [in the context of section 3, para. 7 BDSG (German Federal Data Protection Act) and section 2, para. 3 LDSG (State Data Protection Act of Schleswig-Holstein)]. The Unabhängiges Landeszentrum für Datenschutz (ULD) of Schleswig-Holstein aims to explain the appropriate consequences following the “Schrems”/Safe Harbor Judgment of the Court of Justice of the European Union (CJEU) in case C-362/14.

First, this paper clarifies which statements the CJEU has or has not taken in its judgment. Second, the position paper takes a stand on the question of what options for action are available to the European Commission in line with the judgment. Third, it considers on which legal basis a transfer of personal data to the United States can or cannot be taken into consideration, and, fourth, how to deal with Standard Contractual Clauses  for transfers to the United States. Fifth, and finally, it discusses the impact of the court decision – as far as is currently conceivable – on ULD’s enforcement action.

Angriffe auf informationstechnische (IT) Systeme gehören zur Tagesordnung. Wer seinen Rechner nicht schützt, kann schnell Probleme mit Viren und Trojanern bekommen. Dass PCs und Smartphones nicht besonders sicher sind, haben die meisten schon einmal gehört. Aber wie sieht es mit den IT-Infrastrukturen aus, also den Systemen und Verfahren, die als Rückgrat der digitalen Welt und als Fundament für vielfältige Anwendung dienen? Wie vertrauenswürdig sind diese Infrastrukturen, beispielsweise für E-Mail, E-Commerce oder elektronische Angebote der Verwaltung angesichts der Bedrohungen durch Cyber-Kriminelle und der Ausspähung und Manipulation durch Geheimdienste? Und wie lässt sich mehr Vertrauenswürdigkeit erreichen?

Am Mittwoch, 15.07.2015, hat der Schleswig-Holsteinische Landtag Marit Hansen zur Landesbeauftragten für Datenschutz gewählt. Marit Hansen war seit 2008 die Stellvertreterin von Dr. Thilo Weichert, der über zwei Amtsperioden das Amt des Landesbeauftragten für Datenschutz ausgefüllt hat und davor ebenfalls als Stellvertreter tätig war. Nach insgesamt 17-jähriger Arbeit für die Datenschutzbehörde verlässt er nun das Unabhängige Landeszentrum für Datenschutz (ULD). In seiner Amtszeit entwickelten sich soziale Netzwerke, Web 2.0, Cloud Computing und Big Data, deren Datenschutzfragen er als einer der ersten in Publikationen und Vorträgen behandelte. Mit seiner Dienststelle ermittelte er in mehreren Datenschutzskandalen, wie beispielsweise dem Missbrauch von Kontodaten durch Call-Center.

 

Redebeitrag von Thilo Weichert

Freiheit statt Angst

Abschlusskundgebung der Demonstration in Kiel am 13.06.2015

Die Digitalisierung unserer Gesellschaft könnte eine wundervolle Sache sein: unbeschränktes weltweites kommunizieren und informieren. Computer und Roboter nehmen uns langweilige Routine und schwere Arbeit ab. Wir könnten uns in der Freizeit und im Beruf mit informationstechnischer Unterstützung entfalten. Wir könnten im Betrieb, im sozialen und im politischen Leben online mitsprechen und mitbestimmen. Alles das ist mit Digitalisierung heute grundsätzlich möglich.

Es gibt aber eine andere Seite, und die ist furchterregend. Da werden alle unsere Lebensäußerungen – vom Smartphone über Videokameras bis hin zu unseren elektronischen Zahlungen digital erfasst und langfristig gespeichert. Mit diesen Daten werden Persönlichkeitsprofile erstellt, auf deren Grundlage wir als Verbraucherinnen und Verbraucher nicht selten belästigt, manipuliert und abgezockt werden. Die digitalen Profile nutzen Geheimdienste, um uns auszuspionieren und um uns als potenzielle Terroristen, als Dissidenten oder als mögliche Quelle für Wirtschaftsspionage zu markieren und zu kontrollieren, oder einfach, um uns in unserer Meinung zu manipulieren.

Der letzte Schrei der Digitalisierung heißt Big Data, womit die vielen Daten zusammengeführt und analysiert werden, um dann Algorithmen die Aufgabe zu übertragen, Entscheidungen über unser Leben zu treffen. Heute sind dies Entscheidungen über Kreditverträge, deren Bedingungen durch Computerscoring festgelegt werden, oder Versicherungsverträge, bei denen wir digital als besonderes Gesundheitsrisiko oder als Gefahr für den Straßenverkehr eingestuft und mit unseren Prämien hochgestuft werden.

Schon heute entscheiden Computer, ob wir in einem Bewerbungsverfahren zu einem Vorstellungsgespräch eingeladen werden. Herangezogen werden dann möglicherweise Daten, die wir selbst oder andere in sozialen Netzwerken über uns veröffentlicht haben.

All das spielt sich im Hintergrund ab. Welche Daten von uns wie verarbeitet und genutzt werden, das verschweigen uns NSA und BND, aber auch Google, Apple, Amazon oder Facebook. Auch deutsche Firmen, z. B. die Schufa, verweigert uns – im konkreten Fall mit dem Segen des deutschen Bundesgerichtshofes – Auskunft über die relevanten Merkmale ihrer Scoreberechnung.

Als ob es nicht schon genug Daten von uns gäbe, mit denen wir gläsern gemacht werden, fabulierte da ein Wirtschaftsweiser – unter dem Applaus der IT-Wirtschaft – von der Abschaffung des anonymen Bargeldes, damit auch noch der Brötchenkauf beim Bäcker personenbezogen überwacht werden kann.

Eine solche Gesellschaft will ich nicht – wollen wir nicht. Die Freiheit, die uns unser Grundgesetz und die Europäische Grundrechte-Charta versprechen, setzt voraus, nicht Angst davor haben zu müssen, dass wir überall erfasst und dass diese digitalen Spuren zur Diskriminierung und Manipulation verwendet werden. Unsere Demokratie, die in der Bundesrepublik erst mühsam erlernt und in der DDR erkämpft werden musste, wollen wir nicht aufgeben zugunsten von Entscheidungen von Computern, die im Auftrag von irgendwelchen Unternehmen programmiert wurden zwecks optimierter Profitmaximierung, und die uns dann erklären, dass sie doch nur „unser Bestes“ wollen. Und unsere Rechtsstaatlichkeit darf nicht Grenzen haben, wenn ein US- amerikanischer Konzern seine Europafiliale in Irland betreibt oder ein US-amerikanischer Geheimdienst eine ach so freundliche Partnerschaft mit einem deutschen Geheimdienst pflegt.

Es ist geradezu vordemokratisch und totalitär, wenn Geheimdienste und Internet-Unternehmen über uns alles wissen dürfen, wir aber praktisch nichts über diese. Genau das ist gelebte Realität, wenn selbst geheim tagenden Parlamentsgremien, wie dem NSA-Untersuchungsausschuss, aus Rücksicht auf Partnergeheimdienste ihre Kontrollrechte verweigert werden, oder wenn die Googles und Facebooks nicht nur ihre unzulässige Praktiken langjährig fortsetzen dürfen, sondern hierzu dadurch ermuntert werden, dass z. B. eine Bundeskanzlerin zu einem Eric Schmidt aus dem Silicon Valley pilgert, oder dass sie eine offizielle Facebook-Fanpage einrichtet und damit Menschen animiert, deren Daten in Facebooks Rachen zu lenken.

Der Zustand ist beängstigend. Er darf uns aber keine Angst machen. Es gibt eine positive Utopie einer freiheitlichen und demokratischen Informationsgesellschaft. Hierfür sollten wir uns einsetzen.  Es gibt genügend Anlässe, weshalb wir unsere Stimme erheben müssen.

• Derzeit behandelt der Bundestag ein Geheimdienstgesetz, mit dem Konsequenzen aus den NSU-Morden gezogen werden sollen. Statt aber nun den Verfassungsschutz besser zu kontrollieren, soll dieser noch mehr Befugnisse und mehr Macht bekommen. Das darf nicht sein.
• Derzeit diskutiert der Bundestag ein IT-Sicherheitsgesetz, das dazu führt, dass u. a. beim Verfassungsschutz personell massiv aufgestockt wird. Wir fordern stattdessen eine Aufstockung bei den unabhängigen Datenschutzkontrollbehörden. Das wäre nicht nur bessere IT-Sicherheit, sondern auch ein wirksamerer Schutz unserer Verfassung.
• Derzeit will die Bundesregierung eine Vorratsspeicherung von Telekommunikationsverkehrsdaten durchziehen mit undifferenzierten, viel zu langen Speicherfristen. Das dürfen wir nicht durchgehen lassen
• Und derzeit versucht ein NSA-Untersuchungsausschuss mit sehr begrenztem Erfolg, Licht in die Bespitzelung durch NSA, GCHQ und BND zu bringen. Wir fordern voll demokratische Kontrolle, wozu auch die Offenlegung der Selektorenlisten gehört, auf deren Grundlage der BND der NSA Amtshilfe leistet.
• Die Bundesregierung hat lange Zeit die Europäische Datenschutzgrundverordnung blockiert. Wir fordern eine schnelle Verabschiedung auf der Grundlage der Vorschläge des Europaparlaments.
• Und wenn es um den organisierten Datenaustausch mit den USA geht, etwa bei TTIP oder Safe Harbor, sind die Bundesregierung und Europa bereit, gemäß der Forderung der USA unsere Grundrechtsstandards aufzugeben. Wir fordern ein klares Nein zu dieser Forderung und verlangen stattdessen, endlich Edward Snowden in Deutschland politisches Asyl zu gewähren.

Digitale Rechte sind keine Rechte, die nur eigenen Staatsangehörigen zustehen, sondern als allgemeine Menschenrechte allen. Wir fordern die deutsche Bundesregierung, die Institutionen in der EU und auch die Obama-Administration und die vielen US-Unternehmen, die uns derzeit schamlos kontrollieren, auf, dies zu akzeptieren und die täglich stattfindenden Menschenrechtsverletzungen zu beenden.

„Die Notwendigkeit zum Schutz digitaler Grundrechte und die realen Möglichkeiten des Schutzes klaffen zunehmend auseinander.“ So lässt sich knapp der 35. Tätigkeitsbericht des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) zusammenfassen. Diese Aussage beruht darauf, dass die Möglichkeiten zur Verletzung der digitalen Grundrechte sowie die tatsächlich bekannt gewordenen Verstöße massiv zugenommen haben. Zugleich stagnieren die Möglichkeiten zur Abwehr der Angriffe sowie die tatsächlich umgesetzten Gegenmaßnahmen.

Der Vortrag des ULD-Leiters auf einem IuK-Wirtschaftsforum in Hannover befasst sich mit Chancen und Risiken von Big-Data-Anwendungen. Dabei werden insbesondere aus Datenschutzsicht die rechtlichen Rahmenbedingungen beleuchtet und die Voraussetzungen herausgearbeitet, die für einen rechtmäßigen Einsatz dieser Technik erfüllt sein müssen.

Zusammenfassung:

IT-Sicherheit ist eine Grundvoraussetzung für die Sicherung der Grundrechte auf informationeller Selbstbestimmung und auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme. Angesichts der modernen Risiken für informationstechnische Strukturen sind vorgesehene Maßnahmen wie der Ausbau des Bundesamtes für die Informationssicherheit (BSI) zu einer nationalen Zentrale für IT-Sicherheit, die Festlegung von Sicherheitsstandards, die Pflicht zur Sicherheitsvorsorge in Unternehmen, Melde- und Benachrichtigungspflichten bei sicherheitsrelevanten Vorfällen wichtige Bausteine einer nationalen Strategie für mehr IT-Sicherheit. IT-Sicherheitsmaßnahmen setzen in vielen Fällen die Verarbeitung personenbeziehbarer Daten voraus. Die damit verbundenen Eingriffe in das Recht auf informationelle Selbstbestimmung sowie in das Telekommunikationsgeheimnis bedürfen einer normenklaren, spezifischen, auf das Erforderliche und Verhältnismäßige sich beschränkenden gesetzlichen Grundlage, die für die Betroffenen normenklar erkennen lässt, wie welche Maßnahmen durchgeführt werden. Diesen Anforderungen genügt der vorliegende Entwurf noch nicht. Verarbeitungsregeln für die verpflichteten Unternehmen fehlen vollständig. Zweckbindungsregeln sind nur für das BSI vorgesehen. Vorgaben zur Wahrung der Datensparsamkeit, etwa durch Anonymisierung, Pseudonymisierung, frühzeitige Löschung und Abschottung, bei Maßnahmen der IT-Sicherheit sind bisher nicht geplant. Vorkehrungen für die IT-Sicherheit sollten in gleicher Weise für Telekommunikations- wie für Telemedienbetreiber gültig sein. Die Datenschutzaufsichtsbehörden müssen als auch für IT-Sicherheit zuständige Behörden bei der Festlegung von Sicherheitsstandards, bei den Meldewegen und bei der Beratung der Beteiligten rechtlich eingebunden werden. IT-Sicherheit darf nicht alleine Behörden im Direktionsbereich des Bundesministeriums des Innern überlassen bleiben, die bei einer Abwägung zwischen IT-Sicherheit und klassischer Gefahrenabwehr und Strafverfolgung sich im Zweifelsfall möglicherweise einseitig zugunsten Letzterer entscheiden. Die Bestrebungen nach mehr IT-Sicherheit können sich nicht auf die Verabschiedung eines IT-Sicherheitsgesetzes beschränken. Der tatsächliche Aufbau vertrauenswürdiger und sicherer IT-Infrastrukturen und die Förderung solcher Techniken ist Aufgabe des Staates. Dabei kommt der Weiterentwicklung und Implementierung von Verschlüsselungsverfahren eine zentrale Funktion zu.

 

In der Stellungnahme des ULD wird die Diskussion um die elektronische Gesundheitskarte und die Telematik-Infrastruktur aufgegriffen und im Grundsatz begrüßt, dass das Bundesministerium für Gesundheit mit dem E-Health-Gesetz versucht, dieses Projekt voranzubringen und eine sichere informationstechnische Infrastruktur im deutschen Gesundheitswesen zu etablieren. Die Stellungnahme kritisiert jedoch, dass sich dieser Entwurf ausschließlich auf die Regelungen im Sozialgesetzbuch V beschränkt und nicht weitere gesetzlich dringend nötige Regelungen vorsieht, damit Informationstechnik im Gesundheitswesen funktional eingesetzt werden kann und zugleich auch durch die Wahrung der Vertraulichkeit zwischen Leistungserbringer und Patienten die öffentliche Akzeptanz findet.

Votrag des ULD-Leiters Thilo Weichert auf dem Kongress des Bundesverbands Managed Care e. V. (BMC) "Patientenorientierung: Schlüssel für mehr Qualität" in Berlin

Der soeben vom Bundesgesundheitsministerium veröffentlichte Entwurf eines sog. „E-Health-Gesetzes“ enttäuscht aus Datenschutzsicht – so die Einschätzung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD). Er wird seinem Anspruch, „für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen“ zu sorgen, nicht im Ansatz gerecht und verfolgt insbesondere das Ziel, endlich die seit neun Jahren überfällige Telematik-Infrastruktur (TI) und die elektronische Gesundheitskarte (eGK) mit finanziellen Sanktionen und Anreizen durchzusetzen. Diese TI ist eine zentrale und notwendige Grundvoraussetzung für sichere medizinische Kommunikation. Um allerdings die bisherigen Widerstände gegen die TI und die eGK zu überwinden, bedarf es weiterer Anstrengungen. Dieser E-Health-Gesetzesentwurf reicht nach Ansicht des ULD nicht, um die Angst vor dem gläsernen Patienten und der Verletzung des Medizindatenschutzes zu überwinden.