Dokumente zu Datenschutz und Informationsfreiheit 2011 · 2018. 6. 4. · Inhaltsverzeichnis Seite Vorwort 7 A. Dokumente zum Datenschutz 9 I. Konferenz der Datenschutzbeauftragten

Dokumente

zu Datenschutz

und Informationsfreiheit

2011

Impressum

Herausgeber: Berliner Beauftragter fürDatenschutz und InformationsfreiheitAn der Urania 4 –10, 10787 BerlinTelefon: 0 30/138 89-0Telefax: 0 30/215 50 50E-Mail: [email protected]: http://www.datenschutz-berlin.de

Druck: Brandenburgische Universitätsdruckerei und Verlagsgesellschaft mbH

Stand: Februar 2012

Inhaltsverzeichnis

Seite

Vorwort 7

A. Dokumente zum Datenschutz 9

I. Konferenz der Datenschutzbeauftragten des Bundes und der Länder 9

1. Entschließungen der 81. Konferenz am 16./17. März 2011in Würzburg 9

– Datenschutzkonforme Gestaltung und Nutzung von Krankenhausinformationssystemen 9

– Mindestanforderungen an den technischen Datenschutz bei derAnbindung von Praxis-EDV-Systemen an medizinische Netze 10

– Keine Vorratsspeicherung und Rasterung von Flugpassagierdaten! 12

– Beschäftigtendatenschutz stärken statt abbauen 13

– Ohne gesetzliche Grundlage keine Telekommunikations -überwachung auf Endgeräten 15

– Gravierende Defizite bei der Umsetzung des SWIFT-Abkommens – dringender Handlungsbedarf auf nationaler und europäischer Ebene 15

2. Entschließung zwischen der 81. und 82. Konferenz (vom 27. Juli 2011) 16

– Funkzellenabfrage muss eingeschränkt werden! 16

3. Entschließungen der 82. Konferenz am 28./29. September 2011in München 18

– Datenschutz bei sozialen Netzwerken jetzt verwirklichen! 18

3

– Antiterrorgesetze zehn Jahre nach 9/11 – Überwachung ohne Überblick 19

– Datenschutz als Bildungsaufgabe 20

– Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing 22

– Einführung von IPv6 steht bevor: Datenschutz ins Netz einbauen! 23

– Vorbeugender Grundrechtsschutz ist Aufgabe der Datenschutz -beauftragten! 25

– Anonymes elektronisches Bezahlen muss möglich bleiben! 26

II. Düsseldorfer Kreis – Oberste Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich 27

1. Umlaufbeschluss (vom 8. April 2011) 27

– Datenschutz-Kodex des BITKOM für Geodatendienste unzureichend – Gesetzgeber gefordert 27

2. Beschlüsse der Sitzung am 4./5. Mai 2011 in Düsseldorf 28

– Mindestanforderungen an den technischen Datenschutz bei derAnbindung von Praxis-EDV-Systemen an medizinische Netze 28

– Datenschutzgerechte Smartphone-Nutzung ermöglichen! 30

– Datenschutzkonforme Gestaltung und Nutzung von Krankenhausinformationssystemen 31

3. Beschlüsse der Sitzung am 22./23. November 2011 in Düsseldorf 33

– Anonymes und pseudonymes elektronisches Bezahlen von Internet-Angeboten ermöglichen! 33

– Beschäftigtenscreening bei AEO-Zertifizierung wirksam begrenzen 34

4

4. Umlaufbeschluss (vom 8. Dezember 2011) 35

– Datenschutz in sozialen Netzwerken 35

III. Europäische Konferenz der Datenschutzbeauftragten 39

Brüssel, 5. April 2011 39

Entschließung über die Notwendigkeit eines umfassenden Rahmens für den Datenschutz 39

IV. Dokumente der Europäischen Union: Artikel 29-Datenschutzgruppe 42

– Stellungnahme 10/2011 zu dem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über die Verwen-dung von Fluggastdatensätzen zu Zwecken der Verhütung, Aufdeckung, Aufklärung und strafrechtlichen Verfolgung von terroristischen Straftaten und schwerer Kriminalität (WP 181) 42

– Stellungnahme 12/2011 zur intelligenten Verbrauchsmessung(„Smart Metering“) (WP 183) 54

– Arbeitsdokument 1/2011 über die EU-Regeln für Verstöße gegen die Datenschutzvorschriften mit Empfehlungen für zukünftige Politikentwicklungen (WP 184) 74

– Stellungnahme 13/2011 zu den Geolokalisierungsdiensten von intelligenten mobilen Endgeräten (WP 185) 89

V. Internationale Konferenz der Datenschutzbeauftragten 115

33. Konferenz vom 1.–3. November 2011 in Mexiko-Stadt 115

Entschließung über die Verwendung eindeutiger Kennungen bei der Nutzung von Internet Protokoll Version 6 (IPv6) 115

5

VI. Arbeitspapiere der Internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation 117

49. Sitzung am 4./5. April 2011 in Montreal 117

– Datenaufzeichnung in Fahrzeugen (Event Data Recording –EDR): Fragestellungen zu Datenschutz und zum Schutz der Privatsphäre für Regierungen und Hersteller 117

50. Sitzung am 12./13. September 2011 in Berlin 124

– Privacy by Design und Smart Metering: Minimierung personen bezogener Informationen zur Wahrung der Privatsphäre 124

– Datenschutz und elektronisches Micropayment im Internet 134

B. Dokumente zur Informationsfreiheit 137

I. Konferenz der Informationsfreiheitsbeauftragten in Deutschland (IFK) 137

1. Entschließungen der 22. Konferenz am 23. Mai 2011in Bremen 137

– Geplantes europäisches Nanoproduktregister –Transparenz für Bürgerinnen und Bürger! 137

– Informationsfreiheit – Lücken schließen! 138

2. Entschließung der 23. Konferenz am 28. November 2011in Berlin 139

– Informationsfreiheit ins Grundgesetz und in die Landes -verfassungen 139

II. Live-Übertragung der Sitzungen der Bezirksverordneten -versammlung (BVV) via Internet 140

6

Vorwort

Die Datenschutzbehörden in Deutschland haben sich 2011 in gemeinsamen Entschließungen vor allem zu drei Schwerpunktthemen geäußert: Krankenhaus-informationssysteme, Cloud Computing und soziale Netzwerke. Daneben sindStellungnahmen zu einer Vielzahl anderer Themen entstanden, die kaum wenigerwichtig sind. Durch alle diese Papiere zieht sich die Kernaussage, dass Daten-schutz keine technische Entwicklung verhindert, sondern sich dafür einsetzt, dassvon vornherein bestimmte Voraussetzungen zur Gewährleistung der informa -tionellen Selbstbestimmung eingehalten werden. Dafür hat sich in der internatio-nalen Diskussion der Begriff privacy by default (datenschutzgerechte Grund -einstellung) eingebürgert.

Auf europäischer Ebene enthalten die Arbeitspapiere der sog. Art. 29-Gruppe derDatenschutzbehörden seit jeher wichtige Orientierungshilfen. An dieser Stellekönnen nur ausgewählte Papiere abgedruckt werden, die für Deutschland undBerlin praktisch bedeutsam sind. Allgemein gilt aber schon seit geraumer Zeit,dass auf der europäischen Ebene wesentliche Weichen für den Datenschutz vorOrt gestellt werden.

Die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation(sog. Berlin-Group) hat erneut zukunftsträchtige Themen (Datenaufzeichnung inFahrzeugen, elektronische Zahlverfahren und intelligente Stromzähler) behandeltund hierzu Empfehlungen abgegeben.

Der Band wird abgeschlossen durch die Entschließungen der deutschen Informa-tionsfreiheitsbeauftragten und eine rechtliche Einordnung der Online-Bericht -erstattung (Livestreaming) über Beratungen in Berliner Bezirksverordnetenver-sammlungen, die auch für das Abgeordnetenhaus von Bedeutung sein kann.

Diese Dokumentensammlung kann auch über unsere Webseite abgerufen werden.

Dr. Alexander DixBerliner Beauftragter für Datenschutz und Informationsfreiheit

7

9

A. Dokumente zum Datenschutz

I. Konferenz der Datenschutzbeauftragten des Bundes undder Länder

1. Entschließungen der 81. Konferenz am 16./17. März 2011 inWürzburg

Datenschutzkonforme Gestaltung und Nutzung von Krankenhausinforma-tionssystemen

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat imOktober 2009 auf die Notwendigkeit einer datenschutzkonformen Gestaltungund Nutzung von Informationstechnik in Krankenhäusern hingewiesen.

Es besteht das dringende Bedürfnis, hierbei zu einem bundesweit und trägerüber-greifend einheitlichen Verständnis der datenschutzrechtlichen Anforderungen zugelangen, zumindest soweit dies Divergenzen in der Landeskrankenhausgesetz-gebung erlauben. Zu diesem Zweck hat eine Unterarbeitsgruppe der Arbeits-kreise „Gesundheit und Soziales“ und „Technik“ unter Mitarbeit von Daten-schutzbeauftragten der Evangelischen Kirche in Deutschland und der Katholi-schen Kirche eine Orientierungshilfe erarbeitet. Im Rahmen eines Kommentie-rungsverfahrens und bei Expertenanhörungen wurden Hersteller von Kranken-hausinformationssystemen, Betreiber und Datenschutzbeauftragte von Kranken-häusern einbezogen. Die genannten Arbeitskreise haben die Orientierungshilfeverabschiedet.

Sie konkretisiert in ihrem ersten Teil die Anforderungen, die sich aus den daten-schutzrechtlichen Regelungen sowie den Vorgaben zur ärztlichen Schweige-pflicht für den Krankenhausbetrieb und den Einsatz von Informationssystemen inKrankenhäusern ergeben. In Teil 2 werden Maßnahmen zu deren technischerUmsetzung beschrieben. Für die Hersteller von Krankenhausinformationssyste-men, die diese nutzenden Krankenhäuser und die internen Datenschutzbeauftrag-ten von Krankenhäusern liegt damit erstmals ein Orientierungsrahmen für einedatenschutzkonforme Gestaltung und einen datenschutzgerechten Betrieb ent-sprechender Verfahren vor.

Für die Datenschutzbehörden wird das vorliegende Dokument als Maßstab beider künftigen Bewertung konkreter Verfahren im Rahmen ihrer Kontroll- und Be-

10

Datenschutz – Entschließungen der 81. DSB-Konferenz

ratungstätigkeit dienen. Dabei ist zu berücksichtigen, dass ein Teil der am Marktangebotenen Lösungen nach den Erkenntnissen der Datenschutzbehörden intechnischer Hinsicht gegenwärtig noch hinter den darin enthaltenen Anforderun-gen zurückbleibt. Es ist daher von der Notwendigkeit einer angemessenen Über-gangsfrist für erforderliche Anpassungen durch die Hersteller auszugehen.

Stellen die Datenschutzbehörden im Zuge ihrer Kontrolltätigkeit Defizite im Ver-gleich zu den dargelegten Maßstäben fest, so werden sie auf die Krankenhäusereinwirken und sie dabei unterstützen, in einem geordneten Prozess unter Wah-rung der Patientensicherheit Wege zur Behebung der Defizite zu finden und zubegehen. Die Deutsche Krankenhausgesellschaft und die jeweiligen Landeskran-kenhausgesellschaften werden dabei einbezogen.

Die Erfahrungen der Prüftätigkeit sollen in eine regelmäßige Überarbeitung undAktualisierung der Orientierungshilfe unter Berücksichtigung der technischenWeiterentwicklung einfließen. Die Arbeitskreise sind aufgefordert, diesen Revi-sionsprozess zu koordinieren und das Ergebnis spätestens im Frühjahr 2012 derKonferenz vorzulegen.

Die Konferenz nimmt die Orientierungshilfe zustimmend zur Kenntnis.

Mindestanforderungen an den technischen Datenschutz bei der Anbindungvon Praxis-EDV-Systemen an medizinische Netze

Niedergelassene Ärztinnen und Ärzte sowie andere Angehörige von Heilberufenübermitteln vielfach medizinische Daten an andere Stellen mithilfe von Netzwer-ken. Dies dient Abrechnungs-, Behandlungs- und Dokumentationszwecken. Seitdem 1. Januar 2011 müssen beispielsweise an der vertragsärztlichen Versorgungteilnehmende Ärzte Abrechnungsdaten leitungsgebunden an die jeweilige Kas-senärztliche Vereinigung übermitteln (§ 295 Abs. 4 SGB V in Verbindung mit denRichtlinien der Kassenärztlichen Bundesvereinigung für den Einsatz von IT-Sys-temen in der Arztpraxis zum Zweck der Abrechnung; siehe http://www.kbv.de/rechtsquellen/24631.html).

An medizinische Netze sind hohe Anforderungen hinsichtlich der Vertraulichkeitund Integrität zu stellen, denn sowohl in den Netzen selbst als auch auf den an-geschlossenen Praxissystemen werden Daten verarbeitet, die der ärztlichenSchweigepflicht (§ 203 StGB) unterliegen. Bei der Anbindung von Praxis-EDV-Systemen an medizinische Netze ist daher die „Technische Anlage zu den Emp-fehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung inder Arztpraxis“ der Bundesärztekammer und der Kassenärztlichen Bundesverei-nigung (siehe Deutsches Ärzteblatt, Jg. 105, Heft 19 vom 9. Mai 2008) zu beach-ten.

11


Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert,dabei insbesondere folgende Mindestanforderungen zu stellen:

1. Die Kommunikation im Netz muss verschlüsselt ablaufen. Hierzu sind demStand der Technik entsprechende Verfahren zu nutzen.

2. Ein unbefugter Zugriff auf die internen Netze der Praxis oder Einrichtungmuss ausgeschlossen sein.

3. Die Auswirkungen von Fehlkonfigurationen im internen Netz müssen wirk-sam begrenzt werden.

4. Die Endpunkte der Kommunikation müssen sich gegenseitig durch dem Standder Technik entsprechende Verfahren authentisieren.

5. Die Wartung der zum Netzzugang eingesetzten Hard- und Software-Kompo-nenten muss kontrollierbar sein, indem die Wartung durch eine aktive Hand-lung freizuschalten ist und alle Wartungsaktivitäten protokolliert werden.

6. Zum Netzzugang sind zertifizierte Hard- und Software-Komponenten einzu-setzen.

7. Grundstandards – wie beispielsweise die Revisionssicherheit – sind einzuhal-ten.

Für die verwendeten Verschlüsselungs- und Authentisierungskomponenten soll-ten Hardware-Lösungen genutzt werden, da bei Software ein erhöhtes Manipula-tionsrisiko besteht.

Software-Lösungen kommen allenfalls in Ausnahmefällen in Betracht, wenn diezur Kommunikation mit anderen Stellen genutzten Rechner und Komponentennicht mit dem internen Netz der Praxis verbunden sind. Zusätzlich ist sicherzu-stellen, dass

entweder

a) nur solche Daten gesendet werden, die bereits innerhalb des Praxisnetzes ver-schlüsselt und integritätsgeschützt wurden

oder

b) – eine Zwei-Faktor-Authentifikation des Berechtigten stattfindet,

– mit der zum Zugang verwendeten Hard- und Software ausschließlich Zu-gang zu medizinischen Netzen besteht sowie

12


– die KBV-Richtlinien zur Online-Anbindung von Praxis-EDV-Systemen andas KV-SafeNet eingehalten werden.

Keine Vorratsspeicherung und Rasterung von Flugpassagierdaten!

Die EU-Kommission hat am 2. Februar 2011 einen neuen Entwurf für eine Richt-linie zur Nutzung von EU-Flugpassagierdaten zur Gefahrenabwehr und Strafver-folgung vorgestellt.

Zentraler Gegenstand des Entwurfs ist die systematische Erfassung der Datenaller Fluggäste, die EU-Außengrenzen überqueren. Diese Daten aus den Bu-chungssystemen der Fluggesellschaften sollen anlass- und verdachtsunabhängigan eine nationale Zentralstelle der Sicherheitsbehörden übermittelt und regelmä-ßig für fünf Jahre gespeichert werden. Ziel soll es sein, damit Personen ausfindigzu machen, die in Terrorismus oder schwere Kriminalität verwickelt sein könn-ten.

Auch der neue Entwurf bleibt konkrete Beweise dafür schuldig, dass die anlass-freie automatisierte Auswertung und Analyse von Flugpassagierdaten geeignetund erforderlich ist, um dieses Ziel zu fördern. Ein solches Zusammenspiel vonVorratsspeicherung und Rasterung von Passagierdaten ist weder mit der EU-Grundrechtecharta noch mit dem grundgesetzlich garantierten Recht auf infor-mationelle Selbstbestimmung vereinbar. Dies gilt insbesondere im Hinblick aufdie Rechtsprechung des Bundesverfassungsgerichts, das in seinem Urteil vom2. März 2010 (1 BvR 256/08) zur Vorratsdatenspeicherung von Telekommunika-tionsverkehrsdaten gemahnt hat: Zur verfassungsrechtlichen Identität derBundesrepublik Deutschland gehört es, dass die Freiheitswahrnehmung der Bür-gerinnen und Bürger nicht total erfasst und registriert werden darf. Hierfür hatsich die Bundesrepublik auch auf europäischer und internationaler Ebene einzu-setzen.

Ein solches System würde noch weiter reichende Eingriffe in die Bürgerrechteermöglichen, wenn sogar Vorschläge zur Speicherung der Fluggastdaten bei Flü-gen innerhalb der Europäischen Union und von Daten der Bahn- und Schiffsrei-senden Eingang in diese Richtlinie finden würden.

Dieser Entwurf verdeutlicht erneut, dass ein schlüssiges Gesamtkonzept auf eu-ropäischer Ebene zur Datenverarbeitung im Bereich der inneren Sicherheit fehlt,welches die Grundrechte der Betroffenen hinreichend gewährleistet.

Die Konferenz fordert daher die Bundesregierung und den Bundesrat auf, sichdafür einzusetzen, dass der Vorschlag der EU-Kommission für eine Richtlinieüber die Verwendung von Passagierdaten nicht realisiert wird.

13


Beschäftigtendatenschutz stärken statt abbauen

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder bekräf-tigt die Notwendigkeit, durch umfassende allgemein gültige Regelungen für denDatenschutz am Arbeitsplatz mehr Rechtssicherheit zu erreichen und bestehendeSchutzlücken zu schließen. Dieser Ansatz erfordert klare gesetzliche Begrenzun-gen der Erhebung, Verarbeitung und Nutzung von Beschäftigtendaten. DieBundesregierung und die Bundestagsfraktionen der SPD und von BÜNDNIS 90/DIE GRÜNEN haben hierzu Gesetzentwürfe vorgelegt.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder appel-liert an den Deutschen Bundestag, bei den Beratungen über Regelungen des Be-schäftigtendatenschutzes insbesondere folgende notwendige Anforderungen si-cherzustellen:

• Im Bewerbungsverfahren und im Beschäftigungsverhältnis

– ist die Erforderlichkeit von Eignungstests und medizinischen Untersuchun-gen vor der Durchführung der jeweiligen Maßnahme zu dokumentieren,

– sind Datenerhebungen nur zulässig, wenn und soweit diese Daten wegender Art und der Ausübung der Tätigkeit oder der Bedingung ihrer Ausübungunabdingbar sind und entscheidende berufliche Anforderungen oder Hin-dernisse darstellen,

– sind Eignungstests ausschließlich zulässig, wenn sie auf einer wissen-schaftlichen Methode beruhen.

• Arbeitgeber müssen verpflichtet werden, Bewerber so früh wie möglich um-fassend über die Datenerhebung aus allgemein zugänglichen Quellen (z. B. imInternet) und bei Dritten zu unterrichten.

• Zur Aufdeckung von Straftaten und ähnlich schwerwiegenden Pflichtverlet-zungen dürfen Beschäftigtendaten nur oberhalb normenklarer und verhältnis-mäßiger Einschreitschwellen erhoben und verwendet werden. Arbeitgeber dür-fen dabei – insbesondere verdeckte – Überwachungsmaßnahmen nur ergrei-fen, wenn zu dokumentierende Tatsachen vorliegen. Mit Blick auf rechtsstaat-liche Anforderungen ist die Grenze zwischen eigenverantwortlichen Recher-chen des Arbeitgebers und der den Strafverfolgungsbehörden vorbehaltenenAufgaben eindeutig zu bestimmen. Aus präventiven Gründen ist eine ver-deckte Datenerhebung unzulässig.

• Insbesondere bezüglich der Durchführung von Screening-Verfahren sind klarematerielle Kriterien – z. B. Prüfung der Verhältnismäßigkeit, Vorliegen von tat-

14


sächlichen Hinweisen auf Unregelmäßigkeiten – erforderlich. Zudem solltenArbeitgeber verpflichtet sein, die näheren Umstände, die den Abgleich veran-lassen, vorab zu dokumentieren.

• Die an verschiedenen Stellen im Gesetzentwurf der Bundesregierung vorgese-henen Regelungen zur Verhaltens- und Leistungskontrolle sind nach wie vorzu weitgehend. Der Gesetzgeber muss hier strenge Voraussetzungen vorgeben.Die Konferenz weist auf die gefestigte verfassungsrechtliche Rechtsprechungzum unzumutbaren Überwachungsdruck hin.

• Die Konferenz der Datenschutzbeauftragten fordert, die offene Videoüberwa-chung stärker zu begrenzen und insbesondere

– zu verbieten, die z.B. bei der Qualitätskontrolle anfallenden Daten zur Ver-haltens- und Leistungskontrolle zu nutzen.

– für Bereiche zu untersagen, die nicht nur „überwiegend“, sondern auch derprivaten Nutzung dienen.

• Das Petitionsrecht darf nicht beschränkt werden. Beschäftigte müssen sich je-derzeit an die zuständige Datenschutzaufsichtsbehörde wenden können, ohnedeswegen benachteiligt oder gemaßregelt zu werden.

• In gesetzliche Regelungen zum Beschäftigtendatenschutz sind darüber hinausBestimmungen aufzunehmen

– zur Personalaktenführung – einschließlich der automatisierten Personalak-tenführung,

– zur privaten Nutzung von Telekommunikationsdiensten,

– zum Thema Whistleblowing,

– zum Bereich der Videoüberwachung im öffentlich zugänglichen Bereich,bei denen Beschäftigtendaten mit anfallen,

– zum Beweisverwertungsverbot bei unzulässiger Datenerhebung und -ver-wendung,

– zum Konzerndatenschutz unter Berücksichtigung des internationalen Da-tenverkehrs.

15


Ohne gesetzliche Grundlage keine Telekommunikationsüberwachung aufEndgeräten

Wollen Strafverfolgungsbehörden verschlüsselte Internetkommunikationsvor-gänge (z. B. Internettelefonie oder E-Mails) überwachen und aufzeichnen, mussregelmäßig auf dem Endgerät des Betroffenen eine Software angebracht werden,die die Daten aus dem laufenden Kommunikationsvorgang vor ihrer Verschlüsse-lung erfasst und an die Behörde weiterleitet (sog. Quellen-Telekommunikations-überwachung). Die hierbei anzuwendende Technik entspricht der der Online-Durchsuchung, die grundsätzlich auch Zugriffe auf gespeicherte Inhalte ermög-licht.

Telekommunikationsüberwachungsmaßnahmen durch Zugriffe auf Endgerätemüssen sich auf Daten aus laufenden Telekommunikationsvorgängen beschrän-ken. Dies ist durch technische Vorkehrungen und rechtliche Vorgaben sicherzu-stellen. Nur so wird der Rechtsprechung des Bundesverfassungsgerichts entspro-chen.

Die Strafprozessordnung enthält keine Regelung, die diesen Anforderungen gerecht wird. Im grundrechtsrelevanten Bereich muss der Gesetzgeber alle wesentlichen Vorgaben selbst treffen. Es reicht nicht aus, wenn derartige Schutz-vorkehrungen nur im Rahmen eines Gerichtsbeschlusses auf der Grundlage von§§ 100 a, 100 b Strafprozessordnung angeordnet werden. Vielmehr müssen dievom Bundesverfassungsgericht geforderten rechtlichen Vorgaben und techni-schen Vorkehrungen gesetzlich verankert sein.

Die Datenschutzbeauftragten des Bundes und der Länder fordern den Gesetzge-ber auf, Rechtssicherheit – auch für die Strafverfolgungsbehörden – zu schaffenund die Zulässigkeit und die Voraussetzungen der Quellen-Telekommunikations-überwachung unter strenger Beachtung der Vorgaben des Bundesverfassungsge-richts zu klären.

Gravierende Defizite bei der Umsetzung des SWIFT-Abkommens – dringen-der Handlungsbedarf auf nationaler und europäischer Ebene

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder missbil-ligt, dass – wie eine Prüfung der Gemeinsamen Kontrollinstanz von Europol er-geben hat1 – EU-Zahlungsdaten auf der Grundlage viel zu abstrakter Anfragen

1 Der von der Gemeinsamen Kontrollinstanz von Europol vor wenigen Tagen veröffentlichte öffentliche Teil desKontrollberichts zur Umsetzung des SWIFT-Abkommens ist auf der Homepage der GKI (http://europoljsb.consilium.europa.eu/about.aspx) abrufbar.

16

Datenschutz – Entschließung zwischen der 81. und 82. DSB-Konferenz

von US-Seite umfassend in die USA übermittelt wurden. Im Ergebnis wurdendamit nicht einmal die im Abkommen festgelegten unzureichenden Datenschutz-regeln beachtet. Das europäische Polizeiamt Europol hat jedem US-Ersuchen zu-gestimmt, obwohl aufgrund der Abstraktheit der schriftlichen Ersuchen mit nurmündlicher Begründung eine abkommenskonforme Erforderlichkeitsprüfungdurch Europol nicht möglich war. Die angeforderten Daten wurden stets ohneAbstriche in die USA übermittelt. Diese Vorgehensweise ist mit dem SWIFT-Ab-kommen und der Europol darin zugewiesenen datenschutzrechtlichen Wächter-funktion nicht vereinbar.

Nach dem SWIFT-Abkommen muss Europol im Interesse der EU-Bürgerinnenund Bürger gewährleisten, dass die Beschränkungen und Verfahrensvorgaben desAbkommens strikt beachtet werden. Europol ist demnach verpflichtet, alle US-Ersuchen auf die Beachtung dieser Beschränkungen und damit auf die Erforder-lichkeit der Datenübermittlung zu überprüfen. Ohne die Zustimmung von Euro-pol darf SWIFT keine EU-Zahlungsdaten an die USA übermitteln.

Die jetzt festgestellten Mängel bestätigen die bereits im Vorfeld des Abkommensvon der Konferenz geäußerte Befürchtung, dass Europol seine Kontrollaufgabebei SWIFT nicht angemessen wahrnimmt. Offenkundig werden die Vorausset-zungen, unter denen das Europäische Parlament dem SWIFT-Abkommen zuge-stimmt hat, nicht eingehalten. Inakzeptabel ist auch, dass die festgestellten De-tails von Europol pauschal als geheim klassifiziert wurden und dem Europä -ischen Parlament nicht mitgeteilt werden sollen. Auch die Öffentlichkeit hat einRecht darauf zu erfahren, in welchem Umfang Daten aufgrund des Abkommensin die USA übermittelt wurden.

Die Konferenz fordert die politisch Verantwortlichen auf europäischer und natio-naler Ebene auf, die Mängel umgehend zu beseitigen. Das Abkommen und seineUmsetzungspraxis gehören dringend auf den Prüfstand. Ein transparentes Ver-fahren und die Beteiligung der Öffentlichkeit sind unabdingbar. Die gravierendenMängel erfordern zudem einen sofortigen Stopp der Entwicklung eines ver-gleichbaren EU-Systems.

2. Entschließung zwischen der 81. und 82. Konferenz (vom 27. Juli 2011)

Funkzellenabfrage muss eingeschränkt werden!

Die Strafverfolgungsbehörden in Dresden haben mit einer sog. Funkzellenab-frage anlässlich von Versammlungen und dagegen gerichteter Demonstrationenam 19. Februar 2011 Hunderttausende von Verkehrsdaten von Mobilfunkverbin-

17

Datenschutz – Entschließung zwischen der 81. und 82. DSB-Konferenz

dungen erhoben, darunter die Rufnummern von Anrufern und Angerufenen, dieUhrzeit sowie Angaben zur Funkzelle, in der eine Mobilfunkaktivität stattfand.Dadurch sind zehntausende Versammlungsteilnehmerinnen und Versammlungs-teilnehmer, darunter Abgeordnete von Landtagen und des Deutschen Bundesta-ges, Rechtsanwältinnen und Rechtsanwälte, sowie Journalistinnen und Journalis-ten in Ausübung ihrer Tätigkeit, aber auch Anwohnerinnen und Anwohner derdicht besiedelten Dresdener Innenstadt, in ihrer Bewegung und ihrem Kommuni-kationsverhalten erfasst worden. Dieser Vorfall verdeutlicht die Schwäche der ge-setzlichen Regelung.

Rechtsgrundlage der nichtindividualisierten Funkzellenabfrage ist bisher § 100 gAbs. 2 S. 2 StPO, wonach im Falle einer Straftat von erheblicher Bedeutung eineräumlich und zeitlich hinreichend bestimmte Bezeichnung der Telekommuni -kation ausreichend sein soll, um Verkehrsdaten bei den Telekommunikations-diensteanbietern erheben zu dürfen. Diese Aussage wird mit einer allgemeinenSubsidiaritätsklausel verknüpft. Diese 2001 in die Strafprozessordnung einge-fügte Regelung ist unzureichend, da sie weder hinreichend bestimmt ist noch denheutigen technischen Gegebenheiten entspricht. Aktuelle Geräte erzeugen durchihren Datenverkehr ohne aktives Zutun des Besitzers eine Vielzahl von Verkehrs-daten, die später in einer Funkzellenabfrage erhoben werden können.

Die Funkzellenabfrage ist ein verdeckter Eingriff in das Fernmeldegeheimnis(Art. 10 GG). Sie richtet sich unterschiedslos gegen alle in einer Funkzelle anwe-senden Mobilfunkgerätebesitzer, nicht nur – wie etwa eine Telekommunikations-überwachung nach § 100 a StPO – gegen bestimmte einzelne Tatverdächtige. Sieoffenbart Art und Umstände der Kommunikation von u. U. Zehntausenden vonMenschen, die selbst keinen Anlass für einen staatlichen Eingriff gegeben haben.Sie schafft damit des Weiteren die Möglichkeit, diese Personen rechtswidrigwegen Nicht-Anlasstaten, etwa Verstößen gegen das Versammlungsgesetz, zuverfolgen. Sie ist bezogen auf einzelne Personen ein Instrument der Verdachtsge-nerierung. Die Strafprozessordnung regelt nicht näher, wie die Behörden mit denerhobenen Daten umzugehen haben, insbesondere nicht, über welche Zeiträume,zu welchen Personen und in welchen anderen Zusammenhängen die erhobenenDaten polizeilich weiter verwendet werden dürfen.

Das Bundesverfassungsgericht hat stets betont, dass die Erhebung von Verkehrs-daten erhebliche Rückschlüsse auf das Kommunikationsverhalten zulässt. Ver-kehrsdaten können das soziale Netz des Betroffenen widerspiegeln; allein ausihnen kann die Verbindung zu Parteien, Gewerkschaften oder Bürgerinitiativendeutlich werden.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordertdaher den Bundesgesetzgeber auf, den Anwendungsbereich für eine nichtindivi-dualisierte Funkzellenabfrage einzuschränken, dem Grundsatz der Verhältnismä-

18


ßigkeit zu stärkerer Beachtung in der Praxis zu verhelfen, das Erforderlichkeits-prinzip zu stärken (etwa durch die Pflicht zur unverzüglichen Reduzierung der er-hobenen Daten auf das zur Strafverfolgung oder gerichtlichen Auseinanderset-zung Erforderliche) sowie die Löschungsvorschrift des § 101 Abs. 8 StPO zu prä-zisieren.

3. Entschließungen der 82. Konferenz am 28./29. September 2011in München

Datenschutz bei sozialen Netzwerken jetzt verwirklichen!

Anlässlich der aktuellen Diskussionen um den Datenschutz bei sozialen Netz-werken, wie beispielsweise Facebook, stellt die Konferenz der Datenschutzbeauf-tragten des Bundes und der Länder klar, dass sich die Anbieter solcher Plattfor-men, die auf den europäischen Markt zielen, auch dann an europäische Daten-schutzstandards halten müssen, wenn sie ihren Sitz außerhalb Europas haben.

Die Konferenz stellt insbesondere fest, dass die direkte Einbindung von Social-Plugins beispielsweise von Facebook, Google+, Twitter und anderen Plattformbe-treibern in die Webseiten deutscher Anbieter ohne hinreichende Information derInternet-Nutzenden und ohne Einräumung eines Wahlrechtes nicht mit deutschenund europäischen Datenschutzstandards in Einklang steht. Die aktuelle von So-cial-Plugin-Anbietern vorgesehene Funktionsweise ist unzulässig, wenn bereitsdurch den Besuch einer Webseite und auch ohne Klick auf beispielsweise den„Gefällt-mir“-Knopf eine Übermittlung von Nutzendendaten in die USA ausge-löst wird, auch wenn die Nutzenden gar nicht bei der entsprechenden Plattformregistriert sind.

Die Social-Plugins sind nur ein Beispiel dafür, wie unzureichend einige großeBetreiber sozialer Plattformen den Datenschutz handhaben. So verwendet Face-book mittlerweile Gesichtserkennungs-Technik, um Bilder im Internet bestimm-ten Personen zuzuordnen; Betroffene können sich dem nur mit erheblichem Auf-wand entziehen. Sowohl Facebook als auch Google+ verlangen, dass die Nutzen-den sich identifizieren, obwohl nach deutschem Recht aus guten Gründen dieMöglichkeit zumindest einer pseudonymen Nutzung solcher Dienste eröffnetwerden muss.

Die Datenschutzbeauftragten des Bundes und der Länder fordern daher alle öf-fentlichen Stellen auf, von der Nutzung von Social-Plugins abzusehen, die dengeltenden Standards nicht genügen. Es kann nicht sein, dass die Bürgerinnen undBürger, die sich auf den Seiten öffentlicher Stellen informieren wollen, mit ihrenDaten dafür bezahlen. Unbeschadet der rechtlichen Verantwortung sollten die öf-

19


fentlichen Stellen auf solchen Plattformen keine Profilseiten oder Fanpages ein-richten.

Die Obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Be-reich haben bereits 2008 und zuletzt 2010 in Beschlüssen Anforderungen an diedatenschutzkonforme Gestaltung sozialer Netzwerke formuliert. Die Konferenzder Datenschutzbeauftragten fordert die Anbieter sozialer Netzwerke auf, dieseBeschlüsse umzusetzen, soweit dies noch nicht geschehen ist. In diesem Zu-sammenhang unterstützen die Datenschutzbeauftragten Bestrebungen zur Ent-wicklung von technischen Lösungen zur datenschutzkonformen Gestaltung vonWebangeboten.

Bedauerlicherweise hat die Bundesregierung ihrer schon im letzten Jahr gemach-ten Ankündigung, gesetzgeberische Maßnahmen gegen die Profilbildung imInternet vorzuschlagen, keine Taten folgen lassen. Der bloße Verweis darauf, dassdie Diensteanbieter Selbstverpflichtungen eingehen sollten, wird dem akutenSchutzbedarf der immer zahlreicher werdenden Nutzerinnen und Nutzer nicht ge-recht. Die Konferenz der Datenschutzbeauftragten unterstützt den Gesetzentwurfdes Bundesrates zur Änderung des Telemediengesetzes (BT-Drs. 17/6765) alseinen Schritt in die richtige Richtung.

Antiterrorgesetze zehn Jahre nach 9/11 – Überwachung ohne Überblick

In der Folge der Anschläge vom 11. September 2001 wurden der Polizei, denStrafverfolgungsbehörden und den Nachrichtendiensten zahlreiche neue Befug-nisse eingeräumt, die sich durch eine große Streubreite auszeichnen und in dieGrundrechte zahlreicher Bürgerinnen und Bürger eingreifen. Zunehmend werdenMenschen erfasst, die nicht im Verdacht stehen, eine Straftat begangen zu habenoder von denen keine konkrete Gefahr ausgeht. Unbescholtene geraten so ver-stärkt in das Visier der Behörden und müssen zum Teil weitergehende Maßnah-men erdulden. Wer sich im Umfeld von Verdächtigen bewegt, kann bereits erfasstsein, ohne von einem Terrorhintergrund oder Verdacht zu wissen oder in entspre-chende Aktivitäten einbezogen zu sein.

Zunehmend werden Daten, z. B. über Flugpassagiere und Finanztransaktionen,in das Ausland übermittelt, ohne dass hinreichend geklärt ist, was mit diesenDaten anschließend geschieht (vgl. dazu Entschließung der 67. Konferenz vom25./26. März 2004 „Übermittlung von Flugpassagierdaten an die US-Behörden“;Entschließung der 78. Konferenz vom 8./9. Oktober 2009 „Kein Ausverkauf voneuropäischen Finanzdaten an die USA!“).

Das Bundesverfassungsgericht hat in seinem Urteil zur Vorratsdatenspeicherungvon Telekommunikationsdaten vom 2. März 2010 (1 BvR 256/08) klargestellt: Es

20


gehört zur verfassungsrechtlichen Identität der Bundesrepublik Deutschland,dass die Freiheitswahrnehmung der Bürgerinnen und Bürger nicht total erfasstund registriert werden darf. Die Verfassung fordert vielmehr ein austariertes Sys-tem, bei dem jeder Eingriff in die Freiheitsrechte einer strikten Prüfung seinerVerhältnismäßigkeit standhält.

Von einem austarierten System der Eingriffsbefugnisse kann schon deshalb keineRede sein, weil die Wechselwirkungen zwischen den verschiedenen Eingriffsin-strumentarien nie systematisch untersucht worden sind. Bundesregierung undGesetzgeber haben bislang keine empirisch fundierten Aussagen vorgelegt, zuwelchem Überwachungs-Gesamtergebnis die verschiedenen Befugnisse in ihremZusammenwirken führen. Die bislang nur in einem Eckpunktepapier angekün-digte Regierungskommission zur Überprüfung der Sicherheitsgesetze ersetzt dieerforderliche unabhängige wissenschaftliche Evaluation nicht.

Viele zunächst unter Zeitdruck erlassene Antiterrorgesetze waren befristet wor-den, um sie durch eine unabhängige Evaluation auf den Prüfstand stellen zu kön-nen. Eine derartige umfassende, unabhängige Evaluation hat jedoch nicht statt-gefunden. Dies hat die Bundesregierung nicht davon abgehalten, gleichwohleinen Entwurf für die Verlängerung und Erweiterung eines der Antiterrorpaketein den Gesetzgebungsprozess einzubringen (BT-Drs. 17/6925).

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordertdaher erneut, die Auswirkungen der bestehenden Sicherheitsgesetze – gerade inihrem Zusammenwirken – durch eine unabhängige wissenschaftliche Evaluie-rung (so bereits die Entschließung der 79. Konferenz vom 17./18. März 2010 „Füreine umfassende wissenschaftliche Evaluierung im Sicherheitsbereich“) zuuntersuchen. Die Wirksamkeit der Regelungen, ihre Erforderlichkeit für den ge-setzgeberischen Zweck und ihre Angemessenheit, insbesondere im Hinblick aufdie Bedrohungslage sowie die Auswirkungen für die Betroffenen müssen voreiner weiteren Befristung endlich kritisch überprüft werden.

Datenschutz als Bildungsaufgabe

Ein großer Teil der wirtschaftlichen, gesellschaftlichen und persönlichen Akti-vitäten findet mittlerweile im Internet statt. Millionen von Bürgerinnen und Bür-gern nutzen seine Möglichkeiten und gehen dabei auch besondere Risiken ein,ohne dass ihnen dies immer bewusst wäre. Dies gilt insbesondere für Kinder undJugendliche, aber auch erwachsene Internetnutzerinnen und -nutzer werden vonder digitalen Welt zunehmend überfordert.

Vielen sind die Grundlagen, Funktionsbedingungen und wirtschaftlichen Spielre-geln des Internet nicht oder nur zum Teil bekannt. Die meisten Internetnutzerin-

21


nen und -nutzer haben außerdem den Überblick darüber verloren, wer wann undzu welchem Zweck welche Daten von ihnen speichert, sie mit anderen Datensät-zen verknüpft und ggf. auch an Dritte weitergibt. Wer aber nicht weiß, was mitseinen Daten geschieht oder geschehen kann, kann auch das informationelleSelbstbestimmungsrecht nicht effektiv ausüben.

Um dieser Entwicklung entgegenzuwirken, muss der Datenschutz auch als Bil-dungsaufgabe verstanden und praktiziert werden. Es genügt nicht, allein aufrechtliche Regelungen sowie auf datenschutzfreundliche technische Voreinstel-lungen und Anwendungen zu setzen. Die digitale Aufklärung ist unverzichtbar alsTeil einer Datenschutzkultur des 21. Jahrhunderts. Sie beinhaltet zum einen dieVermittlung von Wissen und zum anderen die Entwicklung eines wachen, werte-bezogenen Datenschutzbewusstseins.

So wie Bildung eine gesamtgesellschaftliche Aufgabe ist, so ist auch die Bildungim Hinblick auf die Datenschutzfragen unserer Zeit eine Aufgabe, die nicht nurdem Staat, sondern ebenso der Wirtschaft und der Zivilgesellschaft wie auch denEltern im Verhältnis zu ihren Kindern obliegt.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder begrüßtdeshalb und unterstützt vielfältige Überlegungen und Aktivitäten, die sich stärkerals bisher um eine größere Datenschutzkompetenz der Internetnutzenden bemü-hen.

Die Datenschutzkonferenz hält die bisherigen Bemühungen allerdings noch nichtfür ausreichend. Will man die Internetnutzerinnen und -nutzer dazu befähigen,Vorteile und Gefahren von Internetangeboten abzuwägen und selbstverantwort-lich zu entscheiden, in welchem Umfange sie am digitalen Leben teilhaben wol-len, sind weitergehende und nachhaltige Anstrengungen notwendig. Vor allem istsicherzustellen, dass

1. dabei viel intensiver als bisher die Möglichkeiten des Selbstdatenschutzes, derverantwortungsvolle Umgang mit den Daten anderer und die individuellen undgesellschaftlichen Auswirkungen einer leichtfertigen Nutzung des Internetsthematisiert werden,

2. sich die schulischen und außerschulischen Programme und Projekte zur För-derung von Medienkompetenz nicht auf Fragen des Jugendmedienschutzesund des Urheberrechts beschränken, sondern den Datenschutz als wesent-lichen Bestandteil mit einbeziehen,

3. Medien- und Datenschutzkompetenz entweder in einem eigenständigen Schul-fach oder in einem Fächerspektrum mit Leitfächern verpflichtend zu veran-kern ist,

22


4. die Vermittlung von Datenschutz als integraler Bestandteil von Medienkom-petenz ausdrücklich in den Bildungsstandards und Lehrplänen verankert wirdund dass die entsprechenden Anforderungen bewertungs- bzw. prüfungsrele-vant ausgestaltet werden und

5. Medien- und Datenschutzkompetenz und insbesondere die digitale Aufklä-rung zum verbindlichen Gegenstand der Lehrerausbildung gemacht werden.

Digitale Aufklärung und Erziehung zum Datenschutz bestimmen letztlich auchüber den Stellenwert, den Privatsphäre und Persönlichkeitsrecht und damit Men-schenwürde und Demokratie künftig in der internetgeprägten Gesellschaft insge-samt haben werden.

Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordertCloud-Anbieter auf, ihre Dienstleistungen datenschutzkonform zu gestalten.Cloud-Anwender hingegen dürfen Cloud-Services nur dann in Anspruch neh-men, wenn sie in der Lage sind, ihre Pflichten als verantwortliche Stelle in vollemUmfang wahrzunehmen und die Umsetzung der Datenschutz- und Informations-sicherheitsanforderungen geprüft haben.

Dies betrifft neben den Anforderungen an Vertraulichkeit, Integrität und Verfüg-barkeit der Daten insbesondere die in diesem Umfeld schwierig umzusetzendenAnforderungen an Kontrollierbarkeit, Transparenz und Beeinflussbarkeit der Da-tenverarbeitung. Cloud-Computing darf nicht dazu führen, dass Daten verarbei-tende Stellen, allen voran ihre Leitung, nicht mehr in der Lage sind, die Verant-wortung für die eigene Datenverarbeitung zu tragen.

Zu verlangen sind also mindestens

• offene, transparente und detaillierte Informationen der Cloud-Anbieter überdie technischen, organisatorischen und rechtlichen Rahmenbedingungen dervon ihnen angebotenen Dienstleistungen einschließlich der Sicherheitskon-zeption, damit die Cloud-Anwender einerseits entscheiden können, ob Cloud-Computing überhaupt in Frage kommt und andererseits Aussagen haben, umzwischen den Cloud-Anbietern wählen zu können,

• transparente, detaillierte und eindeutige vertragliche Regelungen der Cloud-gestützten Datenverarbeitung, insbesondere zum Ort der Datenverarbeitungund zur Benachrichtigung über eventuelle Ortswechsel, zur Portabilität undzur Interoperabilität,

23


• die Umsetzung der abgestimmten Sicherheits- und Datenschutzmaßnahmenauf Seiten von Cloud-Anbieter und Cloud-Anwender und

• aktuelle und aussagekräftige Nachweise (bspw. Zertifikate anerkannter undunabhängiger Prüfungsorganisationen) über die Infrastruktur, die bei der Auf-tragserfüllung in Anspruch genommen wird, die insbesondere die Informa-tionssicherheit, die Portabilität und die Interoperabilität betreffen.

Die Datenschutzbeauftragten des Bundes und der Länder bieten ihre Unterstüt-zung bei der Entwicklung und bei der Nutzung von Cloud-Computing-Dienstenan. Details zur datenschutzgerechten Ausgestaltung dieser Dienste sind einerOrientierungshilfe der Arbeitskreise „Technik“ und „Medien“ zu entnehmen, diedie Datenschutzkonferenz zustimmend zur Kenntnis genommen hat.

Einführung von IPv6 steht bevor: Datenschutz ins Netz einbauen!

Viele Betreiber und Anwender stellen in diesen Monaten ihre Netzwerktechnikauf das Internet-Protokoll Version 6 (IPv6) um. Grundsätzlich darf es mit einerMigration von IPv4 zu IPv6 nicht zu einer Verschlechterung der technischenRahmenbedingungen zur Ausgestaltung von Privacy kommen. Neuen Herausfor-derungen muss mit wirksamen Konzepten begegnet werden.

IPv6 stellt eine nahezu unbegrenzte Anzahl von statischen IP-Adressen zur Ver-fügung, die eine dynamische Vergabe von IP-Adressen, wie sie zur Zeit bei End-kunden gängig ist, aus technischer Sicht nicht mehr erforderlich macht. Aberdurch die Vergabe statischer Adressen erhöht sich das Risiko, dass Internetnut-zende identifiziert und ihre Aktivitäten auf einfache Weise webseitenübergrei-fend zu individuellen Profilen zusammen geführt werden können. Sowohl dervon den Internet-Providern bereitgestellte Adressanteil (Präfix) als auch geräte -spezifische Anteile in den IPv6-Adressen machen eine dauerhafte Identifizierungmöglich. Die Zuordnung einer IP-Adresse zu einer bestimmten Person bedarfnicht zwingend einer Beteiligung des Zugangsanbieters. Mit Hilfe von Zusatzin-formationen, die dem Betreiber eines Internet-Angebots vorliegen oder ihm of-fenstehen, beispielsweise Identifikationskonten von Online-Shops oder SozialenNetzen, ist eine eindeutige Zuordnung von Nutzern möglich. Die vereinfachtenMöglichkeiten zur Profilbildung und Zusammenführung von Profilen erhöhenzudem das Risiko und verstärken die Auswirkungen krimineller Handlungen. MitBlick darauf, dass sich ein Identifikationsrisiko aus beiden Teilen der neuenAdressen ergeben kann, sind Maßnahmen in unterschiedlichen Bereichen erfor-derlich.

Die Datenschutzbeauftragten des Bundes und der Länder fordern, bei der Um-stellung auf IPv6 Datenschutz und IT-Sicherheit zu gewährleisten. Anbieter von

24


Internetzugängen und Diensten sowie Hersteller von Hard- und Software-Lösun-gen sollten ihre Produkte datenschutzgerecht gestalten (privacy by design) unddementsprechende Voreinstellungen wählen (privacy by default). Internetnutzen-den sollten bei der Beschaffung von Hard- und Software sowie beim Abschlussvon Verträgen auf diese Aspekte besonders achten.

• Access Provider sollten Kundinnen und Kunden statische und dynamischeAdressen ohne Aufpreis zuweisen. Auf Kundenwunsch sollten statischeAdressen gewechselt werden können.

• Kundinnen und Kunden sollten mit nutzerfreundlichen Bedienelementen beider Auswahl der Adressen für jeden von ihnen genutzten Dienst unterstütztwerden.

• Hard- und Softwarehersteller sollten die „Privacy Extensions“ unterstützenund standardmäßig einschalten (privacy by default), um die Wiedererkennungvon Nutzenden anhand von Hardwareadressen zu erschweren.

• Die Hard- und Softwarehersteller sollten Lösungen für dezentrale Kommuni-kationsdienste (peer to peer) in Kundensystemen entwickeln, die den Verzichtauf zentrale Plattformen und Portale ermöglichen. Sie sollten interessiertenDritten die Entwicklung solcher Dienste gestatten.

• Content Provider dürfen zur Reichweitenmessung nur die ersten 4 Bytes derIPv6-Adresse heranziehen und müssen den Rest der Adresse löschen, denneine Analyse von Nutzungsdaten ist nach Ansicht der Datenschutzaufsichtsbe-hörden nur auf der Grundlage anonymisierter IP-Adressen zulässig. Die ersten4 Bytes sind für eine Geolokalisierung ausreichend.

• Zugangsanbieter und Betreiber von Internetangeboten sollten nicht protokol-lierende Proxy-Server einsetzen und die Voraussetzungen schaffen, dass einInternetzugang oder die Nutzung von im Internet bereitgestellten Inhalten inanonymer Form möglich ist (Anonymisierungsdienste).

• Hersteller und Anbieter von Betriebssystemen und vorkonfigurierten Geräten(wie PCs, Smartphones und Routern) sollten ihre Anstrengungen bei derPflege und Weiterentwicklung ihrer Produkte intensivieren und regelmäßigFehler bereinigte Versionen ihrer IPv6-fähigen Software anbieten.

• Angesichts häufig mangelnder Reife von IPv6-fähigen Produkten ist Anwen-dern vom Einsatz von IPv6 innerhalb von lokalen Netzen noch abzuraten,wenn dort sensible personenbezogene Daten verarbeitet werden sollen undfunktionsfähige Filtereinrichtungen weder zentral noch auf den einzelnenRechnern im LAN vorhanden und aktiviert sind.

25


• Eigentümerinnen und Eigentümer von IP-Adressen dürfen nur auf Wunsch indas weltweite, stark zentralisierte „Internet-Telefonbuch“ whois aufgenom-men werden. Die Bundesregierung wird aufgefordert, sich für eine daten-schutzfreundliche Gestaltung des whois-Dienstes einzusetzen, dahingehend,dass die Internet-Verwaltung ICANN den whois-Dienst künftig als verteilteDatenbank gestaltet, so dass die Daten der Eigentümerinnen und Eigentümerjeweils durch lokale Dienstleister oder Selbstverwaltungsgremien gespeichert,gepflegt und von ihnen nach Maßgabe des lokalen Rechts an Dritte übermitteltwerden.

Die Datenschutzbeauftragten des Bundes und der Länder werden die Einfüh-rung von IPv6 wachsam beobachten und bieten allen Akteuren ihre Unterstüt-zung an.

Vorbeugender Grundrechtsschutz ist Aufgabe der Datenschutzbeauftragten!

Der Sächsische Datenschutzbeauftragte hat mit einem Bericht zu den nicht indi-vidualisierten Funkzellenabfragen und anderen Maßnahmen der Telekommuni-kationsüberwachung im Februar 2011 durch die Polizei und die Staatsanwalt-schaft Dresden Stellung genommen (Landtags-Drucksache 5/6787). In nichtnachvollziehbarer Weise ist die Kompetenz des Sächsischen Datenschutzbeauf-tragten zur Kontrolle von Verfahrensweisen von Polizei und Staatsanwaltschaftenim Vorfeld einer bzw. nach einer richterlichen Anordnung in Frage gestellt wor-den.

Die Konferenz ist der Auffassung, dass derartige Äußerungen von der geboteneninhaltlichen Aufarbeitung der Dresdener Funkzellenabfragen ablenken. Die ge-setzliche Befugnis des Sächsischen Datenschutzbeauftragten zur Kontrolle allerpolizeilichen und staatsanwaltschaftlichen Maßnahmen der Datenverarbeitungsteht außer Frage. Es ist auch im Bereich der Strafverfolgung eine verfassungs-rechtlich begründete Kernaufgabe der unabhängigen Datenschutzbeauftragten,einen vorgezogenen Rechtsschutz dort zu gewährleisten, wo Einzelne aufgrundder verdeckten Datenverarbeitung des Staates nicht oder nicht ausreichend frühanderweitigen Rechtsschutz erlangen können. Der Sächsische Datenschutzbeauf-tragte hat die polizeiliche Anregung bzw. staatsanwaltschaftliche Beantragungder konkreten Funkzellenabfragen als unverhältnismäßig und die besonderenRechte von Abgeordneten, Verteidigerinnen und Verteidigern nicht wahrend be-anstandet. Es kann dahinstehen, ob die funktional als Ausübung vollziehenderGewalt (vgl. BVerfGE 107, 395, 406) zu qualifizierende richterliche Anordnungsolcher Maßnahmen von Landesdatenschutzbeauftragten kontrolliert werdenkann, da die jeweiligen richterlichen Anordnungen in den konkreten Fällen nichtbeanstandet wurden.

26


Anonymes elektronisches Bezahlen muss möglich bleiben!

Die Datenschutzbeauftragten des Bundes und der Länder fordern den Bundesge-setzgeber auf, bei der Bekämpfung von Geldwäsche auf umfassende und gene-relle Identifizierungspflichten beim Erwerb von elektronischem Geld zu verzich-ten. Ein aktueller Gesetzentwurf der Bundesregierung zum Geldwäschegesetz(BT-Drs. 17/6804) sieht vor, über bereits bestehende – allerdings nicht umge-setzte – gesetzliche Verpflichtungen hinaus umfangreiche Daten über sämtlicheErwerber elektronischen Geldes zu registrieren. Der anonyme Erwerb von E-Geld würde damit generell abgeschafft.

Dies ist besonders kritisch, da umfangreiche Kundinnen- und Kundendaten un-abhängig vom Wert des E-Geldes erhoben werden müssen. Beispielsweise isteine Tankstelle bereits beim Verkauf einer E-Geld Karte im Wert von fünf Euroverpflichtet, den Namen, das Geburtsdatum und die Anschrift der Kundinnen undKunden zu erheben und für mindestens fünf Jahre aufzubewahren.

Eine generelle Identifizierungspflicht würde außerdem dazu führen, dass anony-mes Einkaufen und Bezahlen im Internet selbst bei Bagatellbeträgen praktischausgeschlossen werden. Anonyme Bezahlsysteme im Internet bieten ihren Nut-zern jedoch Möglichkeiten, die Risiken eines Missbrauchs ihrer Finanzdaten bei-spielsweise durch Hackerangriffe zu minimieren. Sie sind zugleich ein wichtigerBaustein, um die Möglichkeit zum anonymen Medienkonsum zu erhalten, da On-line-Medien zunehmend gegen Bezahlung angeboten werden. Auf jeden Fallmuss verhindert werden, dass personenbeziehbare Nutzungsdaten über jeden ein-zelnen Artikel in Online-Zeitungen oder einzelne Sendungen im Internet-TVschon immer dann entstehen, wenn eine Nutzung gebührenpflichtig ist.

Nach den vorgesehenen Regelungen würden noch mehr personenbezogene Datenunbescholtener Bürgerinnen und Bürger erfasst und ganz überwiegend anlasslosgespeichert. Dies steht in Widerspruch zur Rechtsprechung des Bundesverfas-sungsgerichts. In seinem Urteil zur Vorratsdatenspeicherung von Telekommuni-kationsdaten vom 02. März 2010 (1 BvR 256/08) hatte das Gericht gemahnt, dassGesetze, die auf eine möglichst flächendeckende vorsorgliche Speicherung allerfür die Strafverfolgung oder Gefahrenprävention nützlichen Daten zielen, mit derVerfassung unvereinbar sind.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder lehnt dievorgesehene verdachtsunabhängige, undifferenzierte und schrankenlose Daten -erfassung ab, die auch europarechtlich nicht geboten ist. Die dritte Geldwäsche-richtlinie (2005/60/EG) erlaubt den Mitgliedstaaten, von Identifizierungs -pflichten abzusehen, wenn der Wert des erworbenen elektronischen Guthabens150 Euro nicht übersteigt. Der Bundesgesetzgeber sollte durch Einführung einesentsprechenden Schwellenwerts diesem risikoorientierten Ansatz folgen.

27

II. Düsseldorfer Kreis – Oberste Aufsichtsbehörden für denDatenschutz im nicht-öffentlichen Bereich

1. Umlaufbeschluss (vom 8. April 2011)

Datenschutz-Kodex des BITKOM für Geodatendienste unzureichend – Ge-setzgeber gefordert

Am 1. März 2011 hat der Branchenverband Informationswirtschaft, Telekommu-nikation und neue Medien e. V. (BITKOM) einen Datenschutz-Kodex für Geoda-tendienste vorgelegt, der den schutzwürdigen Interessen der Eigentümer und Be-wohner bei der Veröffentlichung der sie betreffenden Gebäudeansichten im Inter-net Rechnung tragen soll. Das Bundesministerium des Innern hatte der Internet-wirtschaft in Aussicht gestellt, bei der Vorlage einer angemessenen und mit denDatenschutzbehörden des Bundes und der Länder abgestimmten Selbstverpflich-tung auf gesetzliche Spezialregelungen für Internet-Geodatendienste wie GoogleStreet View zu verzichten.

Der Düsseldorfer Kreis stellt fest, dass die Selbstregulierung der Internetwirt-schaft mit dem vom BITKOM vorgelegten Datenschutz-Kodex nicht gelingt. DerKodex entspricht in wesentlichen Bereichen nicht den datenschutzrechtlichenAnforderungen und ist nicht mit den Datenschutzbehörden des Bundes und derLänder abgestimmt.

Der Kodex sieht zwar ein Widerspruchsrecht gegen die Veröffentlichung von Ge-bäudeansichten im Internet vor, ohne dass Gründe dargelegt werden müssen. DerWiderspruch ist jedoch erst nach der Veröffentlichung vorgesehen. Alle Gebäu-deansichten sind deshalb zunächst im Internet verfügbar. Bereits mit der Veröf-fentlichung der Bilder wird aber das Recht auf informationelle Selbstbestimmungverletzt. Auch bei weiteren Regelungen weist der Datenschutz-Kodex daten-schutzrechtliche Defizite auf: Viele Veröffentlichungen, die die Privatsphäre be-einträchtigen, werden vom Kodex nicht erfasst, so etwa Schrägaufnahmen ausder Luft. Hinzu kommt, dass der Datenschutz-Kodex nur für die Unternehmenbindend ist, die ihn unterzeichnet haben.

Deshalb ist jetzt der Gesetzgeber gefordert, das Recht auf informationelle Selbst-bestimmung im Internet mit einer umfassenden Regelung zu schützen, die dembesonderen Gefährdungspotential für das Persönlichkeitsrecht im Internet Rech-nung trägt. Hierzu zählt insbesondere ein gesetzlich verbrieftes Widerspruchs-recht gegen die Veröffentlichung, das es den Betroffenen ermöglicht, bereits vorder Veröffentlichung personenbezogener Daten im Internet Widerspruch einzule-gen.

28

Datenschutz – Beschlüsse des Düsseldorfer Kreises

Ein solches Vorab-Widerspruchsrecht entspricht den Anforderungen, die derDüsseldorfer Kreis in seinem Beschluss vom 13./14. November 2008 nach Ausle-gung des geltenden Rechts konkretisiert hat. Besonders wichtig sind demnach diefolgenden Punkte:

• Gesichter und Kfz-Kennzeichen sind unkenntlich zu machen.

• Eigentümer und Bewohner eines Hauses müssen die Möglichkeit erhalten, dieVeröffentlichung der Gebäudefassade durch einen Widerspruch zu verhindern;die Widerspruchsmöglichkeit muss vor wie auch nach der Veröffentlichungbestehen.

• Die geplante Datenerhebung und der Hinweis auf die Widerspruchsmöglich-keit sind rechtzeitig bekannt zu geben.

2. Beschlüsse der Sitzung am 4./5. Mai 2011 in Düsseldorf

Mindestanforderungen an den technischen Datenschutz bei der Anbindungvon Praxis-EDV-Systemen an medizinische Netze

Niedergelassene Ärztinnen und Ärzte sowie andere Angehörige von Heilberufenübermitteln vielfach medizinische Daten an andere Stellen mithilfe von Netzwer-ken. Dies dient Abrechnungs-, Behandlungs- und Dokumentationszwecken. Seitdem 1. Januar 2011 müssen beispielsweise an der vertragsärztlichen Versorgungteilnehmende Ärzte Abrechnungsdaten leitungsgebunden an die jeweilige Kas-senärztliche Vereinigung übermitteln (§ 295 Abs. 4 SGB V in Verbindung mit denRichtlinien der Kassenärztlichen Bundesvereinigung für den Einsatz von IT-Sys-temen in der Arztpraxis zum Zweck der Abrechnung; siehe http://www.kbv.de/rechtsquellen/24631.html).

An medizinische Netze sind hohe Anforderungen hinsichtlich der Vertraulichkeitund Integrität zu stellen, denn sowohl in den Netzen selbst als auch auf den an-geschlossenen Praxissystemen werden Daten verarbeitet, die der ärztlichenSchweigepflicht (§ 203 StGB) unterliegen. Bei der Anbindung von Praxis-EDV-Systemen an medizinische Netze ist daher die „Technische Anlage zu den Emp-fehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung inder Arztpraxis“ der Bundesärztekammer und der Kassenärztlichen Bundesverei-nigung (siehe Deutsches Ärzteblatt, Jg. 105, Heft 19 vom 9. Mai 2008) zu beach-ten.

An die Anbindung von Praxis-EDV-Systemen an medizinische Netze sind fol-gende Mindestanforderungen zu stellen:

29


1. Die Kommunikation im Netz muss verschlüsselt ablaufen. Hierzu sind demStand der Technik entsprechende Verfahren zu nutzen.

2. Ein unbefugter Zugriff auf die internen Netze der Praxis oder Einrichtungmuss ausgeschlossen sein.

3. Die Auswirkungen von Fehlkonfigurationen im internen Netz müssen wirk-sam begrenzt werden.

4. Die Endpunkte der Kommunikation müssen sich gegenseitig durch dem Standder Technik entsprechende Verfahren authentisieren.

5. Die Wartung der zum Netzzugang eingesetzten Hard- und Software-Kompo-nenten muss kontrollierbar sein, indem die Wartung durch eine aktive Hand-lung freizuschalten ist und alle Wartungsaktivitäten protokolliert werden.

6. Zum Netzzugang sind zertifizierte Hard- und Software-Komponenten einzu-setzen.

7. Grundstandards – wie beispielsweise die Revisionssicherheit – sind einzuhal-ten.

Für die verwendeten Verschlüsselungs- und Authentisierungskomponenten soll-ten Hardware-Lösungen genutzt werden, da bei Software ein erhöhtes Manipula-tionsrisiko besteht.

Software-Lösungen kommen allenfalls in Ausnahmefällen in Betracht, wenn diezur Kommunikation mit anderen Stellen genutzten Rechner und Komponentennicht mit dem internen Netz der Praxis verbunden sind. Zusätzlich ist sicherzu-stellen, dass

entweder

a) nur solche Daten gesendet werden, die bereits innerhalb des Praxisnetzes ver-schlüsselt und integritätsgeschützt wurden

oderb) – eine Zwei-Faktor-Authentifikation des Berechtigten stattfindet,

– mit der zum Zugang verwendeten Hard- und Software ausschließlich Zu-gang zu medizinischen Netzen besteht sowie

– die KBV-Richtlinien zur Online-Anbindung von Praxis-EDV-Systemen andas KV-SafeNet eingehalten werden.

30


Datenschutzgerechte Smartphone-Nutzung ermöglichen!

Smartphones sind Mobiltelefone, die insbesondere im Zusammenhang mit derNutzung des Internet über deutlich mehr Computerfunktionalitäten und Kommu-nikationsmöglichkeiten verfügen als herkömmliche Mobiltelefone. Smartphoneswerden für eine Vielzahl von Aktivitäten genutzt und sind damit in weitaus grö-ßerem Umfang als sonstige Geräte der Informations- und Kommunikationstech-nik „persönliche“ Geräte, die den Nutzer im Alltag permanent begleiten. Überdas Telefonieren hinaus eröffnen auf den Geräten installierbare Programme(„Apps“), Lokalisierungsfunktionen (GPS) und Bewegungssensoren eine breitePalette von Anwendungsbereichen. Die dabei anfallenden Daten lassen detail-lierte Rückschlüsse auf Nutzungsgewohnheiten, Verhaltensweisen oder Aufent-haltsorte der Nutzer zu.

Im Gegensatz zu herkömmlichen PCs bieten Smartphones den Nutzern jedochnur rudimentäre Möglichkeiten, die Preisgabe personenbezogener Daten zu kontrollieren oder zu vermeiden; gängige Funktionen des Selbstdatenschutzeskönnen nicht genutzt werden. Häufig werden personenbezogene Daten ohne Wis-sen der Nutzer an die Anbieter von Diensten übermittelt. Mit einiger Berechti-gung wird davon gesprochen, ein solches Gerät sei ein „Spion in der Hosenta-sche“.

Vor diesem Hintergrund ist aus datenschutzrechtlicher Sicht insbesondere Fol-gendes zu fordern:

– Transparenz bezüglich der Preisgabe personenbezogener Daten:In allen aktuellen Untersuchungen zeigt sich, dass in einer Vielzahl von Fällendurch die Geräte selbst mittels Betriebssystemen oder durch Anwendungen ein-deutige Gerätekennungen, Standortdaten, E-Mail- und Telefontakte, SIM-Kar-tennummer und weitere personenbezogene Daten ohne Unterrichtung der Nutzeran Gerätehersteller, Provider oder Anbieter von Analysediensten übermittelt wer-den. Die Nutzer müssen in die Lage versetzt werden, diese Übermittlungen nach-zuvollziehen. Sie müssen auch über den jeweiligen Zweck der Datennutzungenunterrichtet werden.

– Steuerungsmöglichkeiten der Nutzer für die Preisgabe personenbezoge-ner Daten:

Die Konzepte gängiger Smartphones sind oftmals darauf reduziert, dass, wennüberhaupt, lediglich während der Installation einer Anwendung der Nutzer pau-schal einen Datenzugriff steuern kann. Auch erhalten zugelassene Anwendungenmeist eine generelle Zugriffsmöglichkeit z. B. auf Kontaktinformationen. DenNutzern müssen Möglichkeiten an die Hand gegeben werden, mit denen aus derNutzungssituation heraus gesteuert werden kann, ob und welche Daten einer Ap-plikation zugänglich gemacht werden und an wen sie übermittelt werden.

31


– Einflussmöglichkeiten auf das Löschen von Spuren bei der Internet-Nut-zung:

Im Gegensatz zu der für herkömmliche PCs bestehenden Situation fehlt es imSmartphonebereich weitgehend an Möglichkeiten, Datenspuren, die bei derInternet-Nutzung auf dem Gerät entstehen, zu vermeiden, zu reduzieren, mindes-tens jedoch, diese erkennbar zu machen und ggf. zu löschen. Solche Möglichkei-ten müssen geschaffen und angeboten werden.

– Anonyme und pseudonyme Nutzungsmöglichkeiten:Generell sollte die Möglichkeit geschaffen werden, Smartphones und die über sievermittelten Dienste anonym oder pseudonym zu nutzen.

Die Anbieter entsprechender Geräte beziehungsweise Betriebssysteme und diejeweiligen Diensteanbieter müssen möglichst datenschutzfreundliche Funktiona-litäten vorsehen und Schwachpunkte eliminieren. Der Grundsatz der Datenspar-samkeit ist ernst zu nehmen und umzusetzen. Von besonderer Bedeutung ist dieumfassende Information der Nutzer über die Erhebung und Verwendung ihrerNutzungsdaten. Dies gilt sowohl für die grundlegenden Betriebssysteme einer-seits wie für die darauf aufbauenden Funktionalitäten (Apps) andererseits. DieseAnforderungen lassen sich unter den Begriff „Privacy by Design“ fassen; aufden Inhalt und die Bedeutung dieses Punktes hat jüngst die Internationale Konfe-renz der Datenschutzbeauftragen hingewiesen (Resolution on Privacy by Designv. 29.10.2010).

Der Aufgabe, den Selbstdatenschutz zu stärken, kommt im Bereich der Smart-phone-Nutzung eine besondere Bedeutung zu. Die Datenschutzaufsichtsbehör-den unterstützen alle entsprechenden Anstrengungen, insbesondere auch die derEuropean Network and Information Security Agency (ENISA; vgl. Empfehlun-gen der ENISA vom Dezember 2010 über Informationssicherheitsrisiken, Mög-lichkeiten und Empfehlungen für Nutzer von Smartphones; http://www.enisa.europa.eu/act/it/oar/smartphones-information-security-risks-opportunities-and-recommendations-for-users/at_download/fullReport).

Datenschutzkonforme Gestaltung und Nutzung von Krankenhausinforma-tionssystemen

Krankenhausinformationssysteme sind heute zu unverzichtbaren Hilfsmittelnärztlicher Behandlung in Krankenhäusern geworden. Ein Abruf der darin elektro-nisch gespeicherten Patientendaten ist jederzeit, ortsungebunden und sekunden-schnell möglich und bietet damit die Grundlage für effiziente Behandlungsent-scheidungen. Diesen Vorteilen stehen allerdings erhebliche Datenschutzrisikengegenüber. Die Möglichkeiten für Klinikpersonal, Behandlungsdaten von Be-kannten, Kolleginnen und Kollegen oder Prominenten einzusehen und privat zu

32


nutzen, sind groß. Prüfungen der Datenschutzaufsichtsbehörden und bekannt ge-wordene Missbrauchsfälle belegen dies.

Das Datenschutzrecht und die ärztliche Schweigepflicht gebieten, dass ein Zu-griff auf die Daten von Kranken grundsätzlich nur denjenigen Krankenhausbe-schäftigten möglich sein darf, die diese Kranken behandeln oder die Behandlungverwaltungsmäßig abwickeln. Die Aufsichtsbehörden im nichtöffentlichen Be-reich fordern daher die datenschutzkonforme Gestaltung der internen Abläufeund der Erteilung von Zugriffsrechten in der Informationstechnik von Kranken-häusern.

Es besteht das dringende Bedürfnis, hierbei zu einem bundesweit und trägerüber-greifend einheitlichen Verständnis der datenschutzrechtlichen Anforderungen zugelangen, zumindest soweit dies Divergenzen in der Landeskrankenhausgesetz-gebung erlauben. Zu diesem Zweck wurde von den Datenschutzbeauftragten derLänder unter Mitarbeit von Datenschutzbeauftragten der Evangelischen Kirche inDeutschland und der Katholischen Kirche eine Orientierungshilfe erarbeitet. ImRahmen eines Kommentierungsverfahrens und bei Expertenanhörungen wurdenHersteller von Krankenhausinformationssystemen, Betreiber und Datenschutzbe-auftragte von Krankenhäusern einbezogen.

Die Orientierungshilfe konkretisiert in ihrem ersten Teil die Anforderungen, diesich aus den datenschutzrechtlichen Regelungen sowie den Vorgaben zur ärzt-lichen Schweigepflicht für den Krankenhausbetrieb und den Einsatz von Infor-mationssystemen in Krankenhäusern ergeben. In Teil 2 werden Maßnahmen zuderen technischer Umsetzung beschrieben. Für die Hersteller von Krankenhaus-informationssystemen, die diese nutzenden Krankenhäuser und die internen Da-tenschutzbeauftragten von Krankenhäusern liegt damit erstmals ein Orientie-rungsrahmen für eine datenschutzkonforme Gestaltung und einen datenschutzge-rechten Betrieb entsprechender Verfahren vor.

Die Aufsichtsbehörden im nichtöffentlichen Bereich werden sich an dem vorlie-genden Dokument als Leitlinie bei der künftigen Bewertung konkreter Verfahrenim Rahmen ihrer Kontroll- und Beratungstätigkeit orientieren. Dabei ist zu be-rücksichtigen, dass ein Teil der am Markt angebotenen Lösungen nach den Er-kenntnissen der Datenschutzbehörden in technischer Hinsicht gegenwärtig nochhinter den darin enthaltenen Anforderungen zurückbleibt. Es ist daher von derNotwendigkeit einer angemessenen Übergangsfrist für erforderliche Anpassun-gen durch die Hersteller auszugehen.

Stellen die Aufsichtsbehörden im Zuge ihrer Kontrolltätigkeit Defizite im Ver-gleich zu den dargelegten Maßstäben fest, so werden sie auf die Krankenhäusereinwirken und sie dabei unterstützen, in einem geordneten Prozess unter Wah-rung der Patientensicherheit Wege zur Behebung der Defizite zu finden und zu

33


begehen. Die Deutsche Krankenhausgesellschaft und die jeweiligen Landeskran-kenhausgesellschaften werden dabei einbezogen.

Die Erfahrungen der Prüftätigkeit sollen in eine regelmäßige Überarbeitung undAktualisierung der Orientierungshilfe unter Berücksichtigung der technischenWeiterentwicklung einfließen.

Die Aufsichtsbehörden nehmen die Orientierungshilfe zustimmend zur Kenntnis.

3. Beschlüsse der Sitzung am 22./23. November 2011 in Düsseldorf

Anonymes und pseudonymes elektronisches Bezahlen von Internet-Angebo-ten ermöglichen!

Die Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich habenzur Kenntnis genommen, dass zahlreiche Internet-Anbieter planen, ihre Ge-schäftsmodelle so umzustellen, dass ihre Angebote – insbesondere Informations-dienste und Medieninhalte – nicht mehr nur werbefinanziert, sondern auch gegenBezahlung angeboten werden. Das darf nicht dazu führen, dass den Nutzern dieMöglichkeit genommen wird, sich im Internet anonym zu bewegen und Inhaltezur Kenntnis zu nehmen, ohne dass sie sich identifizieren müssen.

Das Recht, sich möglichst anonym aus öffentlichen Quellen zu informieren, istdurch das Recht auf informationelle Selbstbestimmung und durch Artikel 5 GG(Recht auf Informationsfreiheit) verfassungsrechtlich geschützt. Dementspre-chend ist in § 13 Abs. 6 Telemediengesetz vorgeschrieben, dass die Möglichkeitbestehen muss, Telemedien anonym oder unter Pseudonym zu nutzen, soweit diestechnisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeiten zuinformieren.

Diese Rechte sind in Gefahr, wenn Daten über die Nutzung einzelner Medienan-gebote entstehen. Wenn Inhalte gegen Bezahlung angeboten werden sollen, mussverhindert werden, dass personenbeziehbare Daten über jeden einzelnen Abrufvon Beiträgen aus Online-Zeitungen oder einzelner Sendungen im Internet-TVentstehen.

Die Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich for-dern die Anbieter von Telemedien auf, ihren gesetzlichen Verpflichtungen aus§ 13 Abs. 6 des Telemediengesetzes bei der Einführung von kostenpflichtigen In-halten nachzukommen. Es muss ein Bezahlungsverfahren angeboten werden, das„auf der ganzen Linie“ anonym oder mindestens pseudonym ausgestaltet ist. EineZahlung über pseudonyme Guthabenkarten würde die datenschutzrechtlichen

34


Anforderungen erfüllen. Es reicht dagegen nicht aus, wenn sich z. B. der Inhalte-anbieter für die Abwicklung der Zahlverfahren eines Dritten bedient und diesereine Identifizierung der Betroffenen verlangt.

Die Kreditwirtschaft hat es bisher versäumt, datenschutzgerechte Verfahren mitausreichender Breitenwirkung anzubieten oder zu unterstützen. Die Aufsichtsbe-hörden fordern diese auf, zu überprüfen, inwieweit bereits im Umlauf befindlicheelektronische Zahlungsmittel (wie z. B. die Geldkarte) zu einem zumindest pseu-donymen Zahlungsmittel für Telemedien weiterentwickelt werden können. Dieskönnte z. B. durch die Ausgabe nicht personengebundener „White Cards“ erfol-gen, die über Einzahlungsautomaten bei Banken und anderen Kreditinstituten an-onym aufgeladen werden können.

Schließlich nehmen die Aufsichtsbehörden mit Sorge zur Kenntnis, dass ein aktueller Gesetzentwurf der Bundesregierung zum Geldwäschegesetz (BT-Drs. 17/6804) die Gefahr birgt, dass das anonyme elektronische Bezahlen gesetz-lich unterbunden wird. Die Intention des Telemediengesetzes, die pseudonymebzw. anonyme Nutzung von Telemedien zu ermöglichen, würde zunichte ge-macht. Die Aufsichtsbehörden unterstützen die Forderung der 82. Konferenz derDatenschutzbeauftragten des Bundes und der Länder am 28./29. September 2011in München, die Möglichkeit zum elektronischen anonymen Bezahlen insbeson-dere für Kleinbeträge (sog. „Micropayment“) zu erhalten1.

Beschäftigtenscreening bei AEO-Zertifizierung wirksam begrenzen

Der Düsseldorfer Kreis hat sich bereits mehrfach mit dem Problem des Mitarbei-terscreenings befasst, zuletzt durch Beschluss vom 23./24.04.2009. Es gibt An-lass, die Problematik erneut aufzugreifen.

In den letzten Jahren ist insbesondere die Zollverwaltung im Rahmen der Bewil-ligung des zollrechtlichen Status eines „zugelassenen Wirtschaftsbeteiligten“(AEO-Zertifizierungen) dazu übergegangen, von den Unternehmen umfangrei-che Screenings von Mitarbeitern – und gegebenenfalls Daten Dritter – zu verlan-gen. Diese Screenings werden zum Teil in Abständen von wenigen Wochen ohnekonkreten Anlass und undifferenziert durchgeführt. In diesem Geschäftsfeld be-tätigen sich bereits spezialisierte Dienstleister, die sich die bestehende Unsicher-heit bei den Unternehmen zunutze machen. Dies ist auch der Grund, warum dieseScreenings immer häufiger durchgeführt werden. Nach den praktischen Erfah-rungen der Aufsichtsbehörden mangelt es an klaren Regelungen, wie mit den Er-gebnissen von Daten-screenings umzugehen ist (Treffermanagement). Das

1 vgl. Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 28./29. Sep-tember 2011 in München: „Anonymes elektronisches Bezahlen muss möglich bleiben!“

35


Bundesministerium der Finanzen hat zwar am 14. Juni 2010 anlässlich dieser Pra-xis einschränkende Vorgaben erlassen, diese werden jedoch von den zuständigenZollbehörden nicht einheitlich umgesetzt. Der Düsseldorfer Kreis hält in seinemvorgenannten Beschluss derartige Screenings nur aufgrund einer speziellenRechtsgrundlage für zulässig. Eine solche Rechtsgrundlage fehlt.

Weder die geltenden EU-Antiterrorverordnungen noch andere Sanktionslisten er-füllen die Anforderungen an eine solche spezielle Rechtsgrundlage. Diese Ver-ordnungen enthalten lediglich die allgemeine Handlungspflicht, den in den Anla-gen genannten Personen und Institutionen keine rechtlichen Vorteile zu gewäh-ren, verpflichten jedoch nicht zu Screenings von Mitarbeitern, Kunden oder Lie-feranten.

Auch die Bundesregierung ist der Auffassung, dass die Terrorismusverordnungenkeinen systematischen, anlassunabhängigen Abgleich von Mitarbeiterdateien mitden Sanktionslisten verlangen. Allenfalls nach Maßgabe von Sorgfaltspflichtenund differenzierend nach verschiedenen Verkehrskreisen und Risikolagen seiensolche Abgleiche zulässig. Es bleibe den Unternehmen überlassen, wie sie dieEinhaltung der Terrorismusverordnungen sicherstellen (Bundestags-Drucksache17/4136 vom 03.12.2010).

Vor diesem Hintergrund empfiehlt und fordert der Düsseldorfer Kreis:

• Unternehmen sollten Datenscreenings nicht pauschal und anlasslos durchfüh-ren. Da die Lohnzahlung nur unbar erfolgt, die Kreditinstitute nach § 25c Kre-ditwesengesetz (KWG) ohnehin Abgleiche mit den Terrorlisten vornehmen, istein Datenabgleichverfahren innerhalb des Unternehmens mit Mitarbeiterdatennicht geboten.

• Die Zollbehörden werden aufgefordert, die rechtsstaatlichen Vorgaben imRahmen der AEO-Zertifizierung zu beachten. Eine einheitliche Praxis nachdiesen Vorgaben gibt den Unternehmen Rechtssicherheit.

• Die Bundesregierung wird gebeten, die derzeitige AEO-Zertifizierungspraxiseiner baldigen und umfassenden Evaluation zu unterziehen.

4. Umlaufbeschluss (vom 8. Dezember 2011)

Datenschutz in sozialen Netzwerken

Der Düsseldorfer Kreis sieht die Bemühungen von Betreibern von sozialen Netz-werken als Schritt in die richtige Richtung an, durch Selbstverpflichtungen denDatenschutz von Betroffenen zu verbessern. Er unterstreicht, dass eine Anerken-

36


nung von Selbstverpflichtungen durch die Datenschutzaufsichtsbehörden gemäß§ 38a Bundesdatenschutzgesetz (BDSG) die Gewähr dafür bietet, dass die An-forderungen des geltenden Datenschutzrechts erfüllt werden und ein Daten-schutzmehrwert entsteht.

Ungeachtet dieser allgemeinen Bemühungen um eine Verbesserung des Daten-schutzes in sozialen Netzwerken müssen die Betreiber schon heute das Daten-schutzrecht in Deutschland beachten. Für deutsche Betreiber ist dies unumstrit-ten. Aber auch Anbieter, die außerhalb des Europäischen Wirtschaftsraumes an-sässig sind, unterliegen hinsichtlich der Daten von Betroffenen in Deutschlandgemäß § 1 Abs. 5 Satz 2 BDSG dem hiesigen Datenschutzrecht, soweit sie ihreDatenerhebungen durch Rückgriff auf Rechner von Nutzerinnen und Nutzern inDeutschland realisieren. Dies ist regelmäßig der Fall. Die Anwendung des BDSGkann in diesen Fällen nicht durch das schlichte Gründen einer rechtlich selbst-ständigen Niederlassung in einem anderen Staat des Europäischen Wirtschafts-raumes umgangen werden (§ 1 Abs. 5 Satz 1 BDSG). Nur wenn das soziale Netz-werk auch in der Verantwortung dieser europäischen Niederlassung betriebenwird, kann die Verarbeitung der Daten deutscher Nutzerinnen und Nutzer unterUmständen dem Datenschutzrecht eines anderen Staates im Europäischen Wirt-schaftsraum unterliegen. Betreiber von sozialen Netzwerken müssen insbeson-dere folgende Rechtmäßigkeitsanforderungen beachten, wenn sie in Deutschlandaktiv sind:

• Es muss eine leicht zugängliche und verständliche Information darüber gege-ben werden, welche Daten erhoben und für welche Zwecke verarbeitet werden.Denn nur eine größtmögliche Transparenz bei Abschluss des Vertrags übereine Mitgliedschaft bzw. informierte Einwilligungen gewährleisten die Wah-rung des Rechts auf informationelle Selbstbestimmung. Die Voreinstellungendes Netzwerkes müssen auf dem Einwilligungsprinzip beruhen, jedenfalls so-weit nicht der Zweck der Mitgliedschaft eine Angabe von Daten zwingendvoraussetzt. Eine Datenverarbeitung zunächst zu beginnen und nur eineWiderspruchsmöglichkeit in den Voreinstellungen zu ermöglichen, ist nichtgesetzmäßig.

• Es muss eine einfache Möglichkeit für Betroffene geben, ihre Ansprüche aufAuskunft, Berichtigung und Löschung von Daten geltend zu machen. Grund-voraussetzung hierfür ist die Angabe von entsprechenden Kontaktdaten anleicht auffindbarer Stelle, damit die Betroffenen wissen, wohin sie sich wen-den können.

• Die Verwertung von Fotos für Zwecke der Gesichtserkennung und das Spei-chern und Verwenden von biometrischen Gesichtserkennungsmerkmalen sindohne ausdrückliche und bestätigte Einwilligung der abgebildeten Person unzu-lässig.

37


• Das Telemediengesetz erfordert jedenfalls pseudonyme Nutzungsmöglichkei-ten in sozialen Netzwerken. Es enthält im Hinblick auf Nutzungsdaten – so-weit keine Einwilligung vorliegt – ein Verbot der personenbeziehbaren Profil-bildung und die Verpflichtung, nach Beendigung der Mitgliedschaft sämtlicheDaten zu löschen.

• Das direkte Einbinden von Social Plugins, beispielsweise von Facebook, Google+ oder Twitter, in Websites deutscher Anbieter, wodurch eine Daten-übertragung an den jeweiligen Anbieter des Social Plugins ausgelöst wird, istohne hinreichende Information der Internetnutzerinnen und -nutzer und ohneihnen die Möglichkeit zu geben, die Datenübertragung zu unterbinden, unzu-lässig.

• Die großen Mengen an teils auch sehr sensiblen Daten, die in sozialen Netz-werken anfallen, sind durch geeignete technisch-organisatorische Maßnahmenzu schützen. Anbieter müssen nachweisen können, dass sie solche Maßnah-men getroffen haben.

• Daten von Minderjährigen sind besonders zu schützen. Datenschutzfreund-lichen Standardeinstellungen kommt im Zusammenhang mit dem Minderjäh-rigenschutz besondere Bedeutung zu. Informationen über die Verarbeitungvon Daten müssen auf den Empfängerhorizont von Minderjährigen Rücksichtnehmen und also auch für diese leicht verständlich sein.

• Betreiber, die außerhalb des Europäischen Wirtschaftsraumes ansässig sind,müssen gemäß § 1 Abs. 5 Satz 3 BDSG einen Inlandsvertreter bestellen, derAnsprechperson für die Datenschutzaufsicht ist.

In Deutschland ansässige Unternehmen, die durch das Einbinden von SocialPlug ins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fan-pages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hin-sichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssenzuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nut-zerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigenkönnen. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Infor-mationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten undden Zweck der Erhebung der Daten durch den Netzwerkbetreiber gegeben wer-den können.

Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Daten-verarbeitungsvorgänge haben können, die beispielsweise durch Social Pluginsausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zu-stimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sielaufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozia-

38


len Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugins er-hebt. Wenn sie die über ein Plugins mögliche Datenverarbeitung nicht überbli-cken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angeboteinbinden.

39

III. Europäische Konferenz der Datenschutzbeauftragten

Brüssel, 5. April 2011

Entschließung über die Notwendigkeit eines umfassenden Rahmens für denDatenschutz

Die europäischen Datenschutzbehörden hatten bereits früher auf ihrer Frühlings-konferenz in Edinburgh 2009 eine Erklärung1 abgegeben, in der sie ihre Absichtbekundeten, sich an der Debatte über die Notwendigkeit hoher Standards für denDatenschutz in allen Lebensbereichen – darunter sich entwickelnde Technolo-gien, Online-Welt und Strafverfolgung – aktiv zu beteiligen und diese Standardszu fördern.

Die in der Erklärung zum Ausdruck gebrachte Bereitschaft, eine führende Rollezu übernehmen, wurde auf der Frühlingskonferenz 2010 in Prag bekräftigt2. Ins-besondere beharrten die Datenschutzbeauftragten darauf, dass in einer globalenUmwelt für eine wirksame und kohärente Umsetzung der Grundrechte gesorgtwerden muss.

Von der Brüsseler Frühlingskonferenz wird der Umstand, dass die EuropäischeKommission jetzt mit ihrer Mitteilung 2010 (609) vom 4. November 2010 einenersten konkreten Schritt hin zu einem Gesamtkonzept für den Datenschutz in derEuropäischen Union getan hat, begrüßt und nachdrücklich unterstützt.

Vor dem Hintergrund, dass die Kommission im Laufe des Jahres 2011 einen Vor-schlag für einen neuen rechtlichen Rahmen zu unterbreiten beabsichtigt,

– erinnert die Konferenz an die wichtigsten Herausforderungen, die in diesemRahmen zu meistern sind, darunter

1 Declaration on leadership and the future of data protection in Europe (Erklärung zur führenden Rolle und Zu-kunft des Datenschutzes in Europa), verabschiedet von der Konferenz der europäischen Datenschutzbeauftragtenam 23./24. April 2009.

2 Resolution on future development of data protection and privacy (Entschließung zur künftigen Entwicklung vonDatenschutz und Privatsphäre), verabschiedet von der Konferenz der europäischen Datenschutzbeauftragten am30. April 2010 in Prag.

40

Datenschutz – Entschließung der Europäischen DSB-Konferenz

• die Konsequenzen der Globalisierung und des grenzüberschreitenden Ver-kehrs personenbezogener Daten;

• die technologische Entwicklung insbesondere in der Online-Welt;

• die Bedeutung eines wirksamen Schutzes in den Bereichen Polizei und Jus-tiz, auch angesichts der Tendenz, personenbezogene Daten des privatenSektors in systematischer Weise für Strafverfolgungszwecke wiederzuver-wenden.

– betont, dass Artikel 8 Absatz 1 der Charta der Grundrechte und Artikel 16 desVertrags über die Arbeitsweise der Europäischen Union ohne Ansehen der Per-son oder der Verhältnisse Folgendes bestätigen: „Jede Person hat das Rechtauf Schutz der sie betreffenden personenbezogenen Daten“.

– stellt allgemeiner fest, dass das neue rechtliche Umfeld des Vertrags von Lis-sabon und die Charta den Datenschutz ausdrücklich als Grundrecht anerken-nen und dieses Recht verbindlich machen und dass der Vertrag von Lissabondie Säulenstruktur abschafft, die Ursache für die Zersplitterung des Daten-schutzrahmens auf EU-Ebene war.

– begrüßt den Umstand, dass die Kommission für den neuen Rahmen ein „Ge-samtkonzept“ unter Einschluss der Strafverfolgung vorsieht.

– erkennt an, dass zwar für bestimmte Bereiche – darunter die Strafverfolgung,wie in Erklärung 21 im Anhang des Vertrags dargelegt, und andere besondereBereiche, wie dies bei der Datenschutzrichtlinie für elektronische Kommuni-kation bereits der Fall war – spezifische ergänzende Vorschriften erforderlichsein könnten, beharrt aber darauf, dass solche bereichsspezifischen ergänzen-den Vorschriften das Schutzniveau unter keinen Umständen senken und nurrechtmäßige Einschränkungen zulassen dürfen, die im Einklang mit den allge-meinen Grundsätzen des Datenschutzes stehen.

Die Konferenz beharrt darauf, dass ein umfassendes und kohärentes Konzept be-nötigt wird, das nicht nur den EU-Rahmen, sondern auch das internationale Um-feld und die Notwendigkeit globaler Standards für den Schutz personenbezoge-ner Daten berücksichtigt. Sie hat deshalb besonderes Interesse:

– an den Arbeiten, die derzeit beim Europarat und bei der OECD geleistet wer-den, die beide in wertvollen Initiativen ihren derzeitigen Rahmen überprüfenund ermitteln, wo Modernisierungsbedarf besteht.

– an der Initiative des Europarats zur Ermutigung von Nichtparteien des Über-einkommens Nr. 108 und seines Zusatzprotokolls – ob sie nun Mitglied desRates sind oder nicht –, diesen Instrumenten beizutreten.

41

Datenschutz – Entschließung der Europäischen DSB-Konferenz

– an anderen Initiativen zur Entwicklung internationaler Standards3, die welt-weit anerkannt werden sollen.

Die Konferenz ist der Meinung, dass die Bemühungen um die Modernisierungund Stärkung der verschiedenen rechtlichen Rahmen zu Synergien führen sollten,und ruft die wichtigsten Interessenträger dieser Projekte dazu auf, ihre Aktivitä-ten zu koordinieren.

Die europäischen Datenschutzbeauftragten sind der Ansicht, dass all diese Ent-wicklungen enorme Chancen für eine wirkliche Verbesserung des Datenschutz-rahmens bieten, um einen wirksamen Schutz für alle Betroffenen unter allen Um-ständen nicht nur jetzt, sondern auch in einer ferneren Zukunft, zu gewährleisten.

Es ist an der Zeit, ambitioniert zu sein und die Kräfte für einen wirksameren Da-tenschutz zu bündeln. Die Datenschutzbeauftragten sind bereit, alles ihnen Mög-liche dazu beizutragen, dass ein so starkes und umfassendes DatenschutzsystemWirklichkeit wird.

3 Siehe insbesondere:– International Standards on the Protection of Personal data and privacy (Internationale Standards zum Schutz

von personenbezogenen Daten und Privatsphäre), verabschiedet am 5. November 2009 in Madrid auf der31. Internationalen Konferenz der Datenschutzbeauftragten;

– Resolution calling for the organisation of an intergovernmental conference with a view to developing a bindinginternational instrument on privacy and the protection of personal data (Entschließung für einen Aufruf zurVeranstaltung einer Regierungskonferenz, auf der ein verbindliches internationales Instrument zur Privat-sphäre und zum Schutz personenbezogener Daten entwickelt werden soll), verabschiedet am 29. Oktober 2010in Jerusalem auf der 32. Internationalen Konferenz der Datenschutzbeauftragten.

42

IV. Dokumente der Europäischen Union:Artikel 29-Datenschutzgruppe

Stellungnahme 10/2011 zu dem Vorschlag für eine Richtlinie des Europä i -schen Parlaments und des Rates über die Verwendung von Fluggastdaten-sätzen zu Zwecken der Verhütung, Aufdeckung, Aufklärung und strafrecht-lichen Verfolgung von terroristischen Straftaten und schwerer Kriminalität(WP 181)

Angenommen am 5. April 2011

Die Gruppe für den Schutz von Personen bei der Verarbeitung personenbezoge-ner Daten,

eingesetzt durch die Richtlinie 95/46/EG des Europäischen Parlaments und d

Documents

Dokumente zu Datenschutz und Informationsfreiheit 2011 · 2018. 6. 4. · Inhaltsverzeichnis Seite Vorwort 7 A. Dokumente zum Datenschutz 9 I. Konferenz der Datenschutzbeauftragten