Im Namen des (Daten-)Volkes

Was für eine Aufregung war das vor zwei Wochen. Erst erklärte der Europäische Gerichtshof das sogenannte Privacy Shield für ungültig (siehe u.a. hier) und dann kam auch noch das Urteil des Bundesverfassungsgerichts zum Abruf von Telekommunikations-Bestandsdaten durch Sicherheitsbehörden (siehe Pressemitteilung). Kurz davor forderte zudem eine Gruppe von IT-Experten, Wissenschaftlern und Medienmanagern eine unabhängige IT-Infrastruktur inklusive Ökosystem für darin nutzbare Dienste in Europa aufzubauen.

Und was hat bedeutet das jetzt bzw. was hat das miteinander zu tun?

Nun zuerst zum Urteil des Bundesverfassungsgerichts. Nachdem die Vorratsdatenspeicherung (also die Speicherung der Nutzungsdaten) bereits einmal vom Bundesverfassungsgericht für nichtig erklärt wurde und die dazugehörige EU-Richtlinie vom europäischen Gerichtshof (EuGH) 2014 kassiert wurde, wurde 2015 ein neues Gesetz dazu verabschiedet. Diese Regelungen kommen allerdings aktuell aufgrund von schwebenden Gerichtsverfahren nicht zur Anwendung und wurden zuletzt vom Bundesverwaltungsgericht für die endgültige rechtliche Auslegung der zugrundeliegenden EU-Richtlinie (eine andere als die, die 2014 untersagt wurde) wieder an den EuGH verwiesen.
Soviel zum Hintergrund, da es durchaus sein könnte, dass im Hinblick auf die Bestandsdatenabfrage ein ähnliches Hin und Her stattfinden könnte (beim Privacy Shield war es ebenfalls so, aber dazu später).

Das Bundesverfassungsgericht hat also untersagt, dass die Bestandsdaten, also die Daten, die man beim Abschluss eines Telefon-/Internetvertrags angibt bzw. die einem zugewiesen werden, grundlos von den Sicherheitsbehörden abgerufen werden dürfen. Dies betrifft zum Beispiel die IP-Adresse, die Bankverbindung, Adresse oder Telefonnummer, also keine Daten zum Inhalt der Kommunikation. Es muss bei Abfrage dieser Daten nach Gerichtsbeschluss ein konkreter Verdacht gegen die entsprechende Person vorliegen bzw. Gefahr von dieser Person ausgehen, um eine Verhältnismäßigkeit dieses Eingriffs in die Privatssphäre zu rechtfertigen (bei der Abfrage der IP-Adresse muss dieser sogar gewichtiger sein). Im Gesetz war diese Anforderung nicht vorgesehen.

Dieses Urteil begrenzt also die Zugriffsrechte des Staates. Vor dem Hintergrund der aktuellen Meldungen zu den Polizei-Computer-Abfragen sowie der Nutzung der Gaststätten-Besuchslisten durch die Polizei ist dies allerdings eher als kleiner Baustein in der Begrenzung der Sicherheitsdienste zu sehen (früher oder später werden diese Fälle wahrscheinlich auch vor den höchsten Gerichten landen).

Das Urteil vom EuGH richtet sich hingegen gegen Unternehmen und ihre Datenspeicherung. Losgetreten wurde alles durch Max Schrems, der bereits seit 2011 Beschwerden gegen Facebook einreicht, das ihm keinen Zugriff bzw. keine Einsicht in die über ihn gespeicherten Daten eingeräumt hat. Als 2013 die Berichte von Edward Snowden über die von der NSA massenhaft durchgeführte Datensammlung und -auswertung bekannt wurden, reichte Schrems und Andere zahlreiche Klagen gegen amerikanische IT-Unternehmen ein, da ihre Nutzerdaten in Amerika gespeichert sind und durch amerikanisches Recht die NSA direkten Zugriff darauf hat. Dies führte dazu, dass der EuGH 2015 das damalige Safe Harbour-Abkommen kippte, das bis dahin den Datenaustausch zwischen Europa und Amerika regelte (und Amerika als vertrauenswürdig in Sachen Datensicherheit anerkannte).
Damals war die Aufregung groß, da durch den Wegfall des Abkommens eine Übertragung europäischer Nutzerdaten auf amerikanische Server rechtlich unzulässig war und Schadenersatzklagen begründen konnte.

Als Reaktion verabschiedete die europäische Kommission Mitte 2016 – für EU-Verhältnisse relativ zügig – das sogenannte EU-US Privacy-Shield. Die US-Regierung gibt darin einige Zusicherungen an die EU hinsichtlich europäischer Nutzerdaten, die von US-Unternehmen gespeichert werden (z.B. Beschränkung des Datenzugriffs von US-Behörden, Einrichtung eines Ombudsmann bei der US-Regierung für euroäpische Bürgerbeschwerden).
Seit knapp zwei Jahren ist europaweit nun auch die DSGVO in Kraft, die die Datenspeicherung,-auswertung,-weitergabe und -löschung innerhalb Europas regelt und diese für andere Länder nur zulässt, solange dort sichergestellt ist, dass dieselben Standards und Schutzlevel für europäische Bürger gelten.

Das Privacy-Shield war sozusagen die Standard-Garantie zur Einhaltung der DSGVO für alle US-Unternehmen, die ihre Daten nicht in der EU speichern. Das ist jetzt passé und mit der DSGVO besteht für jeden Nutzer die Möglichkeit von den Unternehmen Auskunft zu erlangen, ob und welche persönliche Daten in den USA gespeichert werden und die Unterlassung dieser Praxis zu verlangen. Zudem kann bei der zuständigen Datenschutzbehörde Beschwerde gegen das jeweilige Unternehmen eingelegt werden, wenn dies der Aufforderung nicht nachkommt. Die Datenschutzbehörden können je nach Schwere des Verstoßes Bußgelder von bis zu 20 Mio. € bzw. wenn höher, 4 % des letztjährigen weltweit erzielten Jahresumsatzes verhängen. Was das Urteil genau für Euch bedeutet und welche weiteren Schritte folgen, könnte Ihr auch auf der Seite von NOYB (dem Datenschutzverein von Schrems) nachlesen.

Beide Urteile helfen also uns Bürgern, in dem sie unser grundgesetzlich geschütztes Recht auf Privatsphäre und (informationeller) Selbstbestimmung durchsetzen. Dabei ist nicht zu übersehen, wie zäh es ist, dieses Recht zu wahren; immer wieder werden leicht veränderte Gesetze verabschiedet, die dann häufig nach einem Gang durch die Instanzen von den höchsten Gerichten gekippt werden.
Umso wichtiger ist es, dass jeder Bürger diese (teilweise hart erkämpften) Rechte auch wahrnimmt und eben nicht sorglos überall seine Daten streut. Dazu gehört auch bei den Firmen nachzufragen, was mit den eigenen Daten passiert und im Zweifel Widerspruch einzulegen bzw. einen der vielen Datenschutzvereine oder direkt die Datenschutzbehörde bei einem vermuteten Verstoß zu informieren.

Daneben ist es aber auch wichtig, datenschutzkonforme Alternativen zu den großen US-IT-Anbietern zu nutzen. So hilft man nicht nur sich, sondern auch diesen bisher eher kleinen Firmen. Das bringt mich auch schon zum dritten Bericht; der Forderung nach einer eigenen IT-Infrastruktur in Europa. Das sehe ich genauso und es ist mitnichten so, dass Europa keine innovativen Ideen und Dienste hat (z.B. Mp3 kommt vom Fraunhofer-Institut, Nokia war lange größter Handyhersteller). Nur müssten diese Anästze auch von der Politik und heimischen Industrie gestärkt werden, anstatt auf die bereits etablierten Riesen zu setzen. Nextcloud/Owncloud sind gute Dropbox-Alternativen, Sailfish OS könnte ein europäisches Android sein, Libreoffice ist mindestens genauso gut wie MS-Office von vielen anderen Diensten mal abgesehen.

Sicher hat z.B. Amazon mit seinem AWS-Datenclouddienst einen riesigen Vorsprung oder Google die Pole-Position in Punkto Suchmaschine und Videoplattform(Youtube). Aber das liegt auch daran, dass man ihnen diese Rolle zugesteht; in München wurde z.B. vor knapp 10 Jahren der Systemwechsel auf Linux eingeführt und nach dem Einzug eines neuen Bürgermeisters wieder zurückgedreht. Die meisten Firmen und Verwaltungen arbeiten mit Microsoft Umgebungen, nutzen amerikanische Kommunikationsdienste und Datensysteme.
So wird das nichts mit der europäischen Eigenständigkeit; zumal die Ausschreibungskriterien den günstigsten Anbieter mit dem besten Service vorsehen. Auch die meisten Endnutzer wollen super Service und wenig Kosten bzw. sogar kostenfreie Dienste. Das ist verständlich, aber im Endeffekt können das nur die Platzhirsche bieten; Google, Facebook, Amazon, Apple und Microsoft haben genug Liquidität, um jeden Konkurrenten zu unterbieten.

Inzwischen haben sogar Politiker in den USA bemerkt, dass die Marktmacht der GAFA-Unternehmen zu groß sein könnte und vorgestern mit einer Anhörung der CEOs vielleicht den ersten Schritt in Richtung stärkerer Regulierung gemacht. Das sollte für Europa noch ein Grund mehr sein, heimische Unternehmen zu stützen, die das gewünschte Verständnis von Datenschutz mitbringen und umsetzen. Nur so lässt sich eine digitale Souveränität Europas etablieren.

In diesem Sinne:
Unser Recht auf Privatssphäre wird kontinuierlich von den höchsten Gerichten für uns verteidigt. Gleichzeitig wird überall beklagt, dass Europa abhängig von datensammelnden US-Unternehmen sei. Es ist also Zeit als digitaler Souverän das garantierte Recht auch wahrzunehmen und alternative Dienstanbieter und Platfformen auszuprobieren und sein Recht auf Datenschutz gegenüber Staaten und Unternehmen durchzusetzen
.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.