KielKontrovers

Gesellschaftliches aus Kiel und Schleswig-Holstein

ULD stellt Tätigkeitsbericht 2011 vor

with one comment

Datenschutzmodernisierung gerät ins Stocken

Anlässlich der Vorstellung des Tätigkeitsberichtes 2011 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) stellt dessen Leiter, der Landesbeauftragte für Datenschutz Dr. Thilo Weichert, fest, dass der Modernisierungsprozess des Datenschutzrechtes ins Stocken geraten ist. Während die globale Entwicklung der personenbezogenen Datenverarbeitung weiter an Fahrt zunimmt, scheine das Reforminteresse insbesondere auf nationaler Ebene zu versiegen, nachdem die fetten Überschriften über Datenschutzskandale von den Titelseiten der Medien verschwunden sind. In den Jahren 2008/2009 befeuerten illegale Datenerhebungen und -auswertungen u.a. von Lidl, Bahn AG und Telekom das politische Engagement für den Datenschutz. Den Ankündigungen sind, so Weichert, aber bisher wenige und wenig qualifizierte Taten gefolgt: „Die Novellierungen 2009 des Bundesdatenschutzgesetzes erweisen sich als Flop: Der Datenmissbrauch beim Adresshandel, etwa durch illegale Telefonabzocke, hat eher zu- als abgenommen. Die Abzocker treiben inzwischen vom Ausland aus verstärkt ihr Unwesen. Die Regulierung des Scoring erweist sich als Schlag ins Wasser: Die Wirtschaft praktiziert nicht mehr Transparenz, sondern verschanzt sich hinter Allgemeinplätzen und vermeintlichen Betriebs- und Geschäftsgeheimnissen (Tz. 5.2). Die Regulierung der Bonitätskontrolle hat keine praktischen Verbesserungen erbracht; deren Anwendung wird in großen Bereichen, z.B. beim elektronischen Lastschriftverfahren (ELV), von der Wirtschaft komplett verweigert (Tz. 5.3). Mit einem nur mäßig geeigneten Gesetzentwurf zum Beschäftigtendatenschutz hat die Bundesregierung zwischen Arbeitnehmer- und Arbeitgeberlager Fronten entstehen lassen, die für einen politischen, sozialen und gesellschaftlichen Konsens keine Perspektive erkennen lassen (Tz. 5.1). Völlig ungeeignet und viel zu kurz gesprungen sind auch die Regulierungsversuche der Bundesregierung hinsichtlich der Datenverarbeitung im Internet. Mit dem Ziel, der Empörung über die flächendeckende Datenerfassung durch Google für seinen Panoramadienst Street View die Spitze zu nehmen, legte das Bundesinnenministerium einen Vorschlag für „rote Linien“ vor, der keine der dringend zu klärenden Fragen beantwortet und rechtliche Selbstverständlichkeiten bekräftigt. Der jüngst vom Branchenverband BITKOM auf der CeBIT präsentierte Kodex für Panoramadienste bleibt hinter den zwingenden Anforderungen der Datenschutzbehörden an Google Street View zurück und entzieht sich der gesetzlich vorgesehenen Verbindlichkeitserklärung. Dennoch könnte der Kodex in einem gewissen Maß stilbildend werden, wenn die Branche auf der Basis der bestehenden unpräzisen gesetzlichen Vorgaben für typische Internet-Dienstleistungen für sich bindende spezifische Rahmenbedingungen formuliert, die mit den Datenschutzbehörden abgestimmt werden. Solche Verhaltensregeln – z.B. für Suchmaschinen, für soziale Netzwerke, für Werbung im Netz (insbesondere Online Behavioural Advertising), für Lokalisierungsdienste mit Smartphones – sind dringend notwendig. Dies entbindet den Bundesgesetzgeber nicht davon, valide allgemeine Vorschriften für das Internet festzulegen. Das ULD hat hierzu konstruktive Vorschläge gemacht (Tz. 2.2). Zu begrüßen ist die Initiative der Bundesregierung zur Etablierung einer Stiftung Datenschutz. Hierfür wurden inzwischen vom Bundeshaushalt 10 Millionen Euro zur Verfügung gestellt. Zu bedauern ist, dass sich die Regierung nicht durchringen konnte, der Stiftung statt einer nunmehr angekündigten privat-rechtlichen eine öffentlich-rechtliche Organisationsform zu geben. Dies würde die Autorität und die Handlungsmöglichkeiten der Stiftung auf eine bessere Grundlage stellen. Die Stiftung, deren Gründung für April 2011 angekündigt ist, soll zunächst noch nicht Auditierungen, Zertifizierungen und Marktvergleiche durchführen. So konfliktträchtig das auch sein mag, hierin muss künftig das Kerngeschäft der neuen Stiftung liegen. Das ULD ist gerne bereit, seine langjährigen Praxiserfahrungen in diesen Bereichen einzubringen (Tz. 2.3). Während die Perspektiven für eine Modernisierung des Datenschutzrechtes auf nationaler Ebene ins Stocken zu geraten drohen, kommen aus der Europäischen Union (EU) und aus dem Land Schleswig-Holstein positivere Impulse. Von der Europäischen Kommission ist für den Sommer 2011 eine Initiative zur Modernisierung der Europäischen Datenschutzrichtlinie angekündigt, die eine höhere Verbindlichkeit, evtl. gar in Form einer direkt anwendbaren Verordnung, sowie eine stärkere Angleichung der immer noch in vieler Hinsicht voneinander abweichenden nationalen Datenschutzvorschriften zum Ziel hat. Angesichts der zunehmenden Zahl von europaweit und global angebotenen Internet-Dienstleistungen ist dies zumindest für diesen Anwendungsbereich dringend notwendig. Es ist zu hoffen, dass dabei auch der schwelende Konflikt zur personifizierten Werbung im Internet, über die viele unentgeltliche Dienstleistungen im Netz finanziert werden, in einer datenschutzfreundlichen und praktikablen Weise gelöst wird. Erfreulich ist, dass von den europäischen Gremien das Instrument der Zertifizierung als wichtiges Datenschutzinstrument anerkannt wird. Das ULD leistet mit seinem European Privacy Seal hierfür seit einigen Jahren erfolgreiche Pionierarbeit (Tz. 9.3). Auf Landesebene wurde mit einer Überarbeitung des Landesdatenschutzgesetzes (LDSG) begonnen. Ausgelöst durch die vom Europäischen Gerichtshof geforderte Verbesserung der unabhängigen Rechtsstellung des ULD, wurden dem federführenden Landesinnenministerium vom ULD Vorschläge zur Aktualisierung des LDSG gemacht. Diese zielen darauf ab, die Handlungsmöglichkeiten des ULD zu verbessern und die 11 Jahre alten Regelungen dem Stand von Wissenschaft und Technik anzupassen. Das Innenministerium hat diese Vorschläge positiv aufgegriffen. Aus den Ressorts wurden weitere positive Ansätze eingebracht, so insbesondere zur verbesserten rechtlichen Verantwortlichkeit in verteilten Systemen (zu einer Pilotregelung im Personenstandswesen Tz. 4.1.8). Das ULD geht davon aus, dass noch in der abgekürzten Legislaturperiode eine Runderneuerung des LDSG durch den Landtag beschlossen werden wird, womit das Land Schleswig-Holstein seinen Platz als innovative Kraft im Datenschutz bewahren kann (Tz. 1.1). Dies gilt auch für die Gesetzgebung zur Informationsfreiheit, wo sich die Regierungsfraktionen dazu bekannt haben, über eine Zusammenlegung der Gesetze die Ansprüche auf allgemeine Verwaltungsinformationen (IFG) und auf Umweltinformationen (UIG) materielle Verbesserungen und eine Entbürokratisierung anzustreben (Tz. 12.1). Große Besorgnis besteht beim ULD hinsichtlich des Datenschutzes im Sicherheitsbereich, der in der aktuellen Diskussion aus dem öffentlichen Blickfeld geraten ist: Trotz der klaren begrenzenden Entscheidung des Bundesverfassungsgerichtes zur Vorratsdatenspeicherung von Telekommunikationsverbindungsdaten verfolgen die Polizei, angeführt vom Bundeskriminalamt, und das Bundesinnenministerium einen extensiven Ansatz. Dessen Realisierung würde dazu führen, dass alle Menschen bei ihren alltäglichen Aktivitäten in digitalen Netzen registriert und über Monate hinweg gespeichert würden. Die unbestreitbaren Ermittlungsnotwendigkeiten für Polizei und Staatsanwaltschaften im Netz können nach Überzeugung des ULD auch datensparsam und datenschutzkonform realisiert werden. Insofern unterstützt das ULD die aktuellen Vorschläge der Bundesjustizministerin für eine inhaltliche und zeitliche Reduzierung der in der Vergangenheit viel zu weitgehend geregelten Vorratsdatenspeicherung (Tz. 2.4). Die Besorgnis des ULD wie der anderen Datenschutzbehörden hinsichtlich extensiver Datenverarbeitung für Sicherheitszwecke erwies sich erst jüngst wieder begründet, als bekannt wurde, dass selbst die weitgehenden Befugnisregelungen zur Auswertung von internationalen Bank-Transaktionsdaten durch US-Sicherheitsbehörden über den Dienstleister SWIFT unter Vermittlung von Europol ignoriert und verletzt wurden. Diese Besorgnis wird weiter geschürt durch Bestrebungen, wie bisher durch die USA praktiziert, für Flüge von und zu EU-Ländern für Sicherheitszwecke umfangreiche Fluggastdaten (Passenger Name Records) zu speichern und diese Pläne sogar auf europainterne Flüge und Bahnfahrten auszuweiten. Damit einher geht die Verweigerung der Sicherheitsbehörden auf europäischer wie auf nationaler Ebene, sich von den Datenschutzbehörden kritisch in die Karten schauen zu lassen, so wie dies bisher bei der Entwicklung der Sicherheitsverbünde der Polizei (INPOL-neu) und der Geheimdienste (NADIS-neu) der Fall war (Tz. 4.2.6 u. Tz. 4.2.8). Neben den vielen grundsätzlichen Datenschutzfragen gibt es auch hinsichtlich der konkreten Prüf- und Beratungsaufgaben keine Entspannung. Es vergeht kaum eine Woche, in der das ULD nicht von Betroffenen oder der Presse Hinweise auf teilweise eklatante Datenschutzverstöße erhält, denen dann für jeden Einzelfall ermittelnd nachgegangen werden muss. Der Schwerpunkt solcher Verstöße liegt inzwischen unzweifelhaft im privaten Bereich, etwa, wenn bei einem Discounter durch ein Sicherheitsunternehmen (Tz. 5.1.4) oder in einer Friseurkette (Tz. 5.1.3) per Videokameras eine extensive Mitarbeiterüberwachung erfolgt. Das ULD muss angesichts einer teilweise geringen Bereitschaft, sich auf die Anforderungen des Datenschutzes einzulassen und mit dem ULD zusammenzuarbeiten, zunehmend zum Instrument eines Bußgeldverfahrens greifen. Diese aufwändigen Sanktionsverfahren werden von den betroffenen Menschen und von der Öffentlichkeit erwartet und scheinen oft die einzige Möglichkeit zu sein, um Unternehmen zur Beachtung des Datenschutzes zu veranlassen. Eine geringe Sensibilität für den Datenschutz und ein sorgloser Umgang mit sensiblen Bürgerdaten sind leider oft auch noch im öffentlichen Bereich festzustellen, wie z.B. im Fall der Stadt Glücksburg (Tz. 4.1.2). Lassen sich derartige Datenschutzverstöße oft noch mit ungenügender Kenntnis der Anforderungen des Datenschutzes und manches Mal mit einem übersteigerten privaten Gewinnstreben erklären, so blieb dem ULD verborgen, weshalb mit den Abrechnungsverfahren für die hausarztzentrierte Versorgung (HzV) bundesweit mit dem Segen des Bundesgesundheitsministeriums und der Politik in Berlin ein datenschutzwidriges Verfahren etabliert werden sollte und teilweise etabliert wurde, das erst durch ein verwaltungsgerichtliches Verfahren gestoppt werden konnte. Damit wurde nicht nur viel Arbeitskraft und -zeit von ULD-Mitarbeiterinnen und -Mitarbeitern gebunden, sondern es wurden auch nutzlos Mitgliedsbeiträge aus der gesetzlichen Krankenversicherung verbraucht. Erschreckend ist, dass dieser Vorgang, wohl wegen der Komplexität des Sachverhaltes und der damit verbundenen rechtlichen und technischen Fragen, von der Öffentlichkeit bisher nicht als Skandal wahrgenommen wird (Tz. 4.5.3). Das ULD zieht den präventiven Datenschutz dem repressiven grundsätzlich vor. Deshalb verfolgen wir – neben der pflichtbewussten Erledigung unserer Kontroll- und Sanktionsaufgaben – weiterhin konsequent das Ziel, Datenschutzverstöße gar nicht erst entstehen zu lassen. Dem dient die weiter zunehmend in Anspruch genommene Bildungstätigkeit des ULD, v.a. im Rahmen der DATENSCHUTZAKADEMIE (Tz. 13) oder im Schulbereich (Tz. 4.7.1). Dem dienen auch die Auditierungs- und Gütesiegelverfahren sowohl auf der Basis des deutschen (Tz. 9.1, 9.2) als auch des europäischen Datenschutzrechts (Tz. 9.3). Dem dienen nicht zuletzt die Projekte, an denen das ULD beteiligt ist und mit denen Grundlagen für einen datenschutzkonformen Technikeinsatz erarbeitet werden. Während der Fokus auf Identitätsmanagement (Tz. 8.1) in einem weiteren Projekt zu vertrauenswürdigen Kommunikationsinfrastrukturen im Internet (Tz. 8.2) ausgebaut wird, liegt ein weiterer Forschungsschwerpunkt des ULD in der Erarbeitung von datenschutzverträglichen Infrastrukturen des immer weiter um sich greifenden Cloud Computing (Tz. 8.3). Das ULD war auf Bundesebene beteiligt an Aspekten zu De-Mail (Tz. 9.2.3) sowie zum neuen Personalausweis (nPA). Beide Konzepte zielen darauf, die Kommunikation im Internet sicherer und vertrauenswürdiger zu machen. Dies ist im Grundsatz zu unterstützen, auch wenn diese Projekte – was bei derart umfangreichen IT-Projekten nicht ungewöhnlich ist – an Kinderkrankheiten leiden, die es zu beheben gilt. Beispielsweise müssen beim nPA noch Revisionsdefizite bei der PIN-Vergabe in den Meldebehörden beseitigt werden, um den Missbrauch von verlorenen oder gestohlenen Ausweisen auszuschließen (Tz. 4.1.1). Sanktionen und präventiver Datenschutz müssen eng Hand in Hand gehen. Das Ziel des ULD ist es, nicht nur aufzuzeigen, was nicht geht, sondern auch, wie etwas geht. Die Verwaltung und die Wirtschaft erwarten, dass die Datenschutzaufsicht aufzeigt, wie legitime Informationsbedarfe mit moderner Technik datenschutzkonform realisiert werden können. Nur so lässt sich die Akzeptanz für Verbote datenschutzwidriger Verfahren erreichen. Nach dem negativen Verdikt des ULD zu dem Einsatz des Produktes Google Analytics und anderer Werkzeuge der Nutzungsanalyse im Internet hat das ULD deshalb Empfehlungen zum datenschutzkonformen Einsatz eines Produktes gegeben. Der Tätigkeitsbericht ist im Internet abrufbar unter www.datenschutzzentrum.de/material/tb/tb33/

Advertisements

Written by tlow

22. März 2011 um 15:01

Eine Antwort

Subscribe to comments with RSS.

  1. […] hier den Beitrag weiterlesen: ULD stellt Tätigkeitsbericht 2011 vor « KielKontrovers […]


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: