Fakten zum Thema Datenschutz ‚hier und anderswo’…

Wir sagen ja immer, dass es ein Vorteil  ist, wenn die Daten in deutschen Rechenzentren liegen und nicht irgendwo auf einem Server in Timbuktu oder in den USA zum Beispiel. Aber was bedeutet das eigentlich genau?

Datenschutz, was ist das eigentlich? – Wahrnehmung und Fakten

Datenschutz
© so47 – Fotolia.com

Täglich geben wir Daten über uns preis. Ob wir uns nun mit einem Smartphone in der Tasche von A nach B bewegen, mit Freunden telefonieren, über What’s App und Facebook kommunizieren, E-Mails schreiben, oder eine Internetseite aufrufen immer hinterlassen wir Informationen. Wie diese genutzt werden und wer ein Interesse daran hat, werden wir in unserer Blogserie zum Datenschutz genauer beleuchten.

Wir haben bereits in der Vergangenheit häufig über Datenschutz & Co berichtet, da dies ein Thema ist, das uns sehr am Herzen liegt: Sicherheit ist uns auch bei unseren Produkten sehr wichtig. Zum Beispiel senden wir sensibele Daten in E-Mails nur verschlüsselt. Oder wir testen Software auf deren Sicherheit und berichten darüber. Doch worüber sprechen wir eigentlich, wenn wir von Datenschutz reden?

Während das Thema von der breiten Öffentlichkeit immer noch eher als ‚das böse Internet‘ oder ‚dieses Facebook‘ wahrgenommen wird, fehlt das Bewusstsein dafür, wie groß die Datenmengen sind, die jeder von uns täglich hinterlässt, wie vielfältig die Möglichkeiten sind, daraus zu lesen und wie selbstverständlich solche Bewegungsdaten bereits genutzt werden.

Daten werden erhoben – ob ich das will oder nicht

Wir posten nichts kompromittierendes auf Facebook, wissen darüber bescheid, wie ein Foto, auf dem wir betrunken zu sehen sind, unseren Ruf ruinieren kann. Wir lauschen Talkrunden im Fernsehen, bei denen selbsternannte Kritiker oder Politiker zu Wort kommen, die – generationsbedingt vermutlich – diesem Teufelszeug am liebsten den Garaus machen würden, weil es die oberflächlich betrachtete ’schöne Ordnung‘ durcheinander bringt. Parallel zu solchen auch nicht ganz unvernünftigen Forderungen, lauern die Bedrohungen woanders. Insgesamt scheint nur wenig bis kein Bewusstsein dafür zu bestehen, wie vielfältig die Abdrücke sind, die wir als Nutzer des Internets und moderner Telekommunikation täglich hinterlassen. Ein Bericht des Chaos Computer Club (CCC) belegt die Existenz des gläsernen Bürgers. Anhand der Daten, die unsere Handys und Smartphones über uns preisgeben, ist es möglich, komplette Bewegungsprofile zu erstellen, Freunde, Vorlieben, oder andere Transaktionen sowie dafür benötigte Daten (zum Beispiel Bahnticketkauf etc.), werden direkt mitgeliefert. Stichwort Vorratsdatenspeicherung. So genannte Kommunikationsmuster gibt Informationen über die Art und Intensität von Beziehungen oder mögliche Hierarchien unter den kommunizierenden Personen Auskunft.

Internetkriminalität
© Amir Kaljikovic – Fotolia.com

Netzbetreiber sind verpflichtet, solche Nutzerdaten über sechs Monate zu speichern und auf richterliche Anordnung hin freizugeben. Was nun erst mal nicht dramatisch klingt – denn immerhin muss ja ein hinreichender Verdacht gegen eine Person bestehen, dass ein Richter bemüht wird, ist bei näherem Hinsehen nicht ganz so harmlos. So ist die Nutzung solcher Daten durch Polizei und Justiz bereits die Praxis und es ist laut CCC abzusehen, dass diese mit erweiterten technischen Möglichkeiten noch vereinfacht wird. In Ländern, in denen kein Richtervorbehalt für diese Datenabfrage existiert, ist es bereits möglich, dass die Analysesoftware der Behörden auf direkte Weise mit den Datenbanken der  Netzanbieter kommuniziert, was ermöglicht, Betroffene „live“ zu  verfolgen.

Insofern lauert weniger eine diffuse, unbekannte Gefahr durch Informationen, die sich – einmal veröffentlicht – unkontrolliert im Internet verbreiten oder durch Hacker (auch wenn solche Angriffe zunehmen), als durch die  Fülle an Daten, die wir im Netz hinterlassen und den drohenden Verlust der Kontrolle darüber. Für Privatpersonen wie Unternehmen gleichermaßen.

Wann kommt ein einheitlicher EU-Datenschutz, und was taugt er?

Natürlich profitieren auch bereits genannte Wirtschaftskonzerne von der Speicherung und Verwendung unserer Daten, da sich damit gutes Geld verdienen lässt. Unternehmen, wie Google und Co verlegen ihre EU-Firmenzentralen deshalb bisher gerne in Länder, in denen Datenschutzgesetze eher weniger streng gehandhabt werden. Das heißt für die Konzerne mehr Freiheit bei der Erhebung und Verwendung von Kundendaten. Dem soll eine einheitliche EU-Datenschutzverordnung jetzt den Riegel vorschieben. Außerdem soll der Zugriff auf europäische Daten durch US-Behörden eingeschränkt werden.

Zu den begrüßenswerten Veränderungen, die die neue Datenschutzveränderung mit sich bringen soll, gehören ganz konkret, dass sich auch  Unternehmen, die keinen Sitz in der EU haben, sich an EU-Datenschutzgesetz halten müssen, wenn sie Daten von EU-Bürgern erheben. Außerdem brauchen Unternehmen, die mehr als 250 Mitarbeiter haben einen Vertreter in der EU und datenschutzfreundliche Voreinstellungen (“Privacy by default“-Einstellungen) sollen verpflichtend werden. Die Möglichkeit, ihre Daten barrierefrei zu einer anderen Plattform transportieren zu dürfen und bei Bedarf eine Kopie über ihre gespeicherten elektronischen Daten erhalten zu können, soll die Kontrolle der Bürger zusätzlich stärken. Bei Datenschutzverstößen drohen Unternehmen höhere Strafen und Verbraucher müssen schneller über Datenlecks in Kenntnis gesetzt werden.

Kritisiert wird, dass ein zweiter Entwurf von Justizkommissarin Viviane Reding gegenüber dem ersten bereits deutlich abgeschwächt wurde. Konnten vorher beispielsweise Strafen in Höhe von fünf Prozent des weltweiten Jahresumsatz verhängt werden, sind es jetzt nur noch zwei Prozent. Auch das geforderte „Recht auf Vergessenwerden“ wurde an Wirtschaftsinteressen angepasst. Sollte der Nutzer zuvor die Möglichkeit erhalten, seine persönlichen Daten sowie Links, die zu diesen führen, löschen zu lassen, sind Unternehmen nur noch dazu angehalten, „alle vernünftigen Maßnahmen zu ergreifen“, um Dritte, die diese Daten verarbeiten, vom Löschungswunsch des Nutzers in Kenntnis zu setzen“. Darüber hinaus müssen Daten nur gelöscht werden „…wenn es keinen anderen rechtlichen Grund zur Verarbeitung der Daten gibt“. Andernfalls hätte die Verordnung die EU-Richtlinie zur Vorratsdatenspeicherung unterlaufen. Auch besteht nach wie vor keine Einigkeit darüber, was als personenbezogene Daten zu gelten hat. Während einzelne Daten vielleicht nicht als solche zu bezeichnen sind, so lassen diese – wie gezeigt – im Zusammenspiel mit anderen Daten Rückschlüsse auf Personen zu.

Während die einen selbst die abgeschwächte Version begrüßen, geht sie anderen nicht weit genug. Denn US-Behörden haben nach wie vor Möglichkeiten, den europäischen Datenschutz umgehen. Auch nach der Reform sichert sich die USA im Namen der Terrorismusbekämpfung den Zugriff auf Daten von EU-Bürgern sowie das Recht, diese ohne Anlass und zeitlicher Begrenzung zu speichern.

Deutsche Daten in amerikanischen Clouds

Mittels Patriot Act, dem Gesetz zur Überwachung ausländischer Datensätze (FISA Amendments Act) oder dem Terrorist Financial Tracking Programm (TFTP) verfügen die US-Behörden bereits seit langem über wirkungsvolle Instrumente, europäischen Datenschutzrichtlinien nicht beachten zu müssen. Mit TFTP sichern sich die USA zum Beispiel den Zugriff auf internationale Kontenbewegungen von EU-Bürgern und unterlaufen damit bereits die geplante EU-Datenschutzverordnung. Zwar muss Europol der regelmäßig stattfindenden Datenübertragung inzwischen erst genehmigen. Dennoch kommt es nach wie vor zu einem regen Datenaustausch, von dem auch die europäische Seite profitiert. Mit dem US-Patriot Act wurden US-Behörden nach dem 11. September 2001 befugt, amerikanische Unternehmen bei Terrorverdacht zur Herausgabe von Daten zwingen. Davon betroffen sind natürlich auch EU-Bürger, die ihre Daten in die Clouds von Google, Yahoo!, Microsoft oder Apple legen.Noch einen Schritt weiter geht der FISA Amendment Act. Damit können auch US-Unternehmen, die sich auf europäischem Boden befinden, dazu gezwungen werden, Daten über ihre europäischen Kunden herauszugeben.

Eine EU-Studie mit dem Titel „Fighting Cyber Crime and Protecting Privacy in the Cloud“ bemängelt in diesem Zusammenhang, das fehlende Bewusstsein der Europäer für die Möglichkeiten der politischen Massenüberwachung durch die USA, wenn sie Daten in US-Clouds legen, während die USA ihre Kompetenzen und Möglichkeiten zur Datenüberwachung stetig ausweiten würden.

Zwar schickt sich auch die USA an, mit der Consumer Privacy Bill of Rights den Verbrauchern (darunter auch EU-Bürgern) mehr Rechte zum Schutz ihrer Daten einzuräumen. Der Vorstoß wird jedoch bereits als bloßes Lippenbekenntnis abgetan, weil wirtschaftliche Interessen dabei offensichtlich im Vordergrund stehen, wie schon die Gewichtung des Begriffs „Verbraucherrechte“ zeigt.

Fazit

Die Zukunft wird zeigen, was die europäische Datenschutzverordnung bringt. Wir wollen uns in der nächsten Zeit schwerpunktmässig dem Thema Datenschutz widmen. Was es für Unternehmen datenschutzrechtlich bedeuten kann, wenn sie oder ihre Mitarbeiter Daten in US-Clouds legen, zeigen wir in unserem nächsten Artikel

.

 

 

 

 

1 Gedanke zu „Fakten zum Thema Datenschutz ‚hier und anderswo’…“

Schreibe einen Kommentar