Am  25. Januar dieses Jahres stellte die EU-Grundrechtskommissarin Viviane Reding die Überlegungen der Kommission für ein neues europäischen Datenschutzrecht vor. Der bisherige Datenschutz soll dem digitalen Wandel angepasst werden. Die Kontrolle über persönliche Daten soll an die europäischen Bürgerinnen und Bürger zurückgegeben werden. Auch für die Bereiche Inneres und Justiz hat die Kommission einen Richtlinien-Entwurf für ein neues Datenschutzrecht vorgelegt.

Allerdings gilt es zu verhindern, dass hohe deutsche Datenschutzstandards in einzelnen Bereichen durch das europäische Datenschutzrecht abgesenkt werden. Worin Vorteile der europäischen Regelung liegen und wo deutsche Datenschutzstandards durch europäisches Recht abgesenkt werden könnten und wie dies verhindert werden kann, wollen wir mit Ihnen und Euch diskutieren.

Als Referenten sind eingeladen:

• Dr. Thomas Petri, bayerischer Landesbeauftragter für den Datenschutz,
• Jan Philipp Albrecht, MdEP, Sprecher für Datenschutz der europäischen Grünen

Moderation: Christine Kamm, MdL

Auf den Seiten der bayerischen Landtagsfraktion könnt Ihr Euch direkt anmelden.

Wird sich der Bundestag mit ACTA beschäftigen?
Ja. Am Anfang der Legislatur, noch während das Anti Counterfeiting Trade Agreement verhandelt wurde, war zunächst noch unklar, ob die nationalen Parlamente an der Unterzeichnung des Abkommens beteiligt werden. Um diese Frage zu klären, haben wir eine Kleine Anfrage „Stand und Inhalt der Verhandlungen zum Anti-Counterfeiting Trade Agreement (ACTA) und Gewährleistung von Transparenz durch die Bundesregierung“ (pdf) gestellt, in der wir die Bundesregierung unter anderem auch befragt haben, ob sie unsere Meinung teilt, dass es sich bei ACTA um ein sogenanntes „gemischtes Abkommen“ handelt, was nichts anderes zur Folge hat, als dass das durch die Europäische Kommission verhandelte internationale Abkommen auch durch die nationalen Parlamente ratifiziert werden muss. Nach Beantwortung der Kleinen Anfrage war klar, dass dies so ist  und auch der Bundestag ACTA ratifizieren muss.

Wo stehen wir im Ratifizierungsprozess heute?
Lange Zeit war unklar, wann der endgültige völkerrechtliche Vertragsabschluss– sowohl auf europäischer als auch auf deutscher Ebene – tatsächlich stattfindet. Dieser Prozess ist nun also angelaufen. Nachdem das Abkommen von der EU (im Dezember durch die Regierungen im EU- Fischereirat, am Donnerstag in Tokio) und zahlreichen Mitgliedsstaaten (derzeit 22 von 27 Mitgliedsländer, Beschluss des deutschen Bundeskabinetts vom 30. November 2011) unterzeichnet wurde, liegt es bei den Parlamenten, sowohl denen der Mitgliedsstaaten als auch dem Europäischen, das Abkommen ebenfalls zu ratifizieren.

Wie geht es nun auf europäischer Ebene weiter?
Von Seiten der europäischen Ebene ist vorgesehen, ACTA am 29. Februar 2012 im federführenden Ausschuss des Europäischen Parlaments, dem Ausschuss für internationalen Handel (INTA), zu behandeln. Dieser bereitet eine Beschlussempfehlung vor, an der sich das Parlament dann orientieren kann. Voraussichtlich im Juni 2012 soll dann endgültig im Plenum über das Abkommen abgestimmt werden. Ob dieser Zeitplan tatsächlich eingehalten werden kann, ist derzeit jedoch fraglich, da der zuständige EU-Berichterstatter (das ist die Person, die die Aktivitäten zu einem bestimmten Thema innerhalb des EPs koordiniert) gerade aus Protest gegen ACTA zurückgetreten ist. Die Grünen im Europäischen Parlament halten unterdessen an ihrer Forderung fest, ACTA vor der Ratifizierung durch das Parlament dem Europäischen Gerichtshof zur Prüfung vorzulegen.

Wie geht es nun auf deutscher Ebene weiter?
Der Beschluss des Bundeskabinetts stellt noch keine Ratifizierung des Abkommens durch die Bundesrepublik Deutschland dar, sondern ist quasi die Vorstufe der Ratifizierung auf Regierungsebene. Die Zeichnung durch das Bundeskabinett bindet das Parlament rechtlich nicht, ist aber natürlich eine Art politische Vorfestlegung. Der Bundestag wird sich jedoch noch einmal gesondert mit ACTA beschäftigen.

Wann wird sich der Bundestag mit der Ratifizierung von ACTA beschäftigen?
Der Bundestag hat sich bereits – leider nicht öffentlich – in einer Sitzung des Unterausschusses Europarecht im Dezember mit dem Abkommen auseinandergesetzt. Auf Bitte von uns Grünen wurde u.a. Prof. Metzger im Ausschuss angehört, der zusammen mit einer Gruppe von europäischen Rechtswissenschaftlerinnen und Rechtswissenschaftlern in einer gemeinsamen Erklärung die EU-Mitgliedsstaaten sowie das Europäische Parlament und die Kommission aufgefordert hatte, dem Abkommen nicht zuzustimmen. Wann die Ratifizierung des Abkommens durch den Bundestag stattfindet, steht nach wie vor noch nicht fest. Sobald ein Zeitplan vorliegt, werden wir hier darüber berichten.

Wie kann ich mich gegen ACTA engagieren?
Der internationale Aktionstag gegen die beiden vor kurzem in Amerika zur parlamentarischen Beratung anstehenden Vorhaben SOPA und PIPA hat deutlich gemacht: Demokratischer Protest gegen undemokratische Vorhaben lohnt! Als Grüne Bundestagsfraktion werden wir uns auch weiterhin dafür einsetzen, dass sich das Parlament vor der Ratifizierung intensiv mit den bezüglich ACTA nach wie vor im Raum stehenden Fragen auseinandersetzt. Beteiligt Euch auch weiterhin an den Aktionen und  schreibt den Abgeordneten im Europäischen Parlament.

All diejenigen, denen es ebenfalls ein Anliegen ist, dass sich auch das deutsche Parlament intensiv mit den möglichen Auswirkungen des ACTA-Abkommens auseinandersetzt, sollten sich jetzt möglichst schnell Gedanken darüber machen, wie es gelingt, einerseits die Öffentlichkeit über ACTA und seine möglichen Folgen zu informieren, andererseits die Abgeordneten des Bundestages dazu zu bewegen, das Thema tatsächlich Ernst zu nehmen. So wäre eine Mailaktion in Anlehnung an die Kampagne, Europaabgeordnete anzuschreiben und sie auf die von ACTA ausgehenden Gefahren hinzuweisen, ebenfalls denkbar.

Hintergrundinfos:

• Grüne legen weiteren Antrag zu ACTA und Medikamentenzugang vor, 25. Jan 2012
• Grüne beteiligen sich am intern. Protesttag gegen SOPA, PIPA & ACTA, 18. Jan 2012
• EU-Regierungen winken ACTA-Abkommen durch, 16. Dez. 2011
• Bundestag beschäftigt sich mit ACTA – leider nicht-öffentlich , 2. Dez. 2011
• Ratifizierung von ACTA rückt näher!, 11. Nov. 2011
• Video zum #ActaLunch in der Heinrich-Böll-Stiftung, 28.10.2011 2. Nov. 2011
• Ska Keller, Jan Philipp Albrecht & Konstantin Notz laden zum ACTA-Lunch 21. Okt. 2011
• Neue Studie zeigt: ACTA-Abkommen verstößt gegen Grundrechte 17. Okt. 2011
• Kl. Anfrage „Stand und Inhalt der Verhandlungen zum Anti-Counterfeiting Trade Agreement (ACTA) u. Gewährleistung von Transparenz durch die Bundesregierung“, 08. April 2010

Studien:

• Gemeinsame Erklärung Europäischer Rechtswissenschaftler gegen ACTA
  
• Studien der Grünen Fraktion im Europäischen Parlament
  1)  zur Vereinbarkeit von ACTA mit der EU-Grundrechtecharta und
  2) den Auswirkungen auf die Versorgung von Entwicklungsländern mit Medikamenten.

Die Überschuldung etlicher Mitgliedsstaaten hat die EU in eine Vertrauenskrise gestürzt. Ausdruck dessen ist nicht zuletzt die Wiederbelebung nationalistischer Stereotype und  die Zunahme integrationsfeindlicher populistischer  Bewegungen, die in einigen Mitgliedsstaaten großen  Zuspruch  erhalten.

Für uns Grüne ist klar: Die Antwort auf die derzeitigen Akzeptanzprobleme der EU muss auch in einer Stärkung der europäischen Demokratie liegen. Der derzeit zu beobachtende Trend zu zwischenstaatlichen  Vereinbarungen zwischen Regierungen geht in die falsche  Richtung, sind die Entscheidungen doch nicht Ergebnis öffentlicher Diskussion und transparenter Entscheidungsprozesse. Das Anti-Counterfeiting-Trade-Agreement (ACTA) ist hierfür nur ein Beispiel.

Die Heinrich-Böll-Stiftung hat eine Studie zur Zukunft der europäischen Demokratie in Auftrag gegeben. Die Autoren Ulrich K. Preuß und Claudio Franzius  werden ihre Ergebnisse im Rahmen dieses Fachgesprächs  öffentlich vorstellen: Sie plädieren für eine „lebendige  Demokratie“ in der EU und machen konkrete Vorschläge, wie die EU langfristig gesichert werden kann.

Es diskutieren:

• Ulrich K. Preuß, Prof. em. für Öffentliches Recht,  Hertie School of Governance/Autor der Studie
• Claudio Franzius, Prof., Universität Hamburg/Autor d. Studie
• Jan Philipp Albrecht, MdEP, Mitglied des Innenausschusses, Bündnis 90/Die Grünen
• Annalena Baerbock, Sprecherin BAG Europa, Landesvorsitzende der Grünen in Brandenburg
• Gerald Häfner, MdEP, Mitglied des Ausschusses für Konstitutionelle Fragen, Bündnis 90/Die Grünen
• Markus Jachtenfuchs, Prof., Hertie School of Governance
• Manuel Sarrazin, MdB, Europapolitischer Sprecher, Bündnis 90/Die Grünen 
• Michaele Schreyer, Europäische Kommissarin a.D., Europäische Bewegung Deutschland
• Ralf Fücks, Vorstand, Heinrich-Böll-Stiftung

Dossier: 
Ein Dossier mit dem Titel „Solidarität und Stärke: Zur Zukunft der Europäischen Union“ findet Ihr auf den Seiten der Böll-Stiftung.

Die Richtlinie zur Vorratsdatenspeicherung muss wieder abgeschafft werden. Die Analyse des Max-Planck-Instituts bestätigt: Die anlasslose Speicherung von Telekommunikationsdaten ist nicht notwendig. Die Vorratsdatenspeicherung ist ein massiver Eingriff in die Grundrechte aller 500 Millionen Bürgerinnen und Bürger in Europa.

Ich fordere daher die Europäische Kommission auf, die Umsetzung der Richtlinie zu stoppen und endlich ein Verfahren einzuleiten, um sie zurückzunehmen. Immer mehr Mitglieder des Europäischen Parlaments lehnen die Richtlinie ab, die im Eilverfahren Ende 2005 mit den Stimmen von Konservativen und Sozialdemokraten verabschiedet wurde.

Nun ist es Aufgabe der Abgeordneten, die Kommission darauf zu drängen, die Richtlinie zurückzunehmen. Es ist jetzt klar, dass die Vorratsdatenspeicherung der falsche Weg ist.

Stattdessen sollten Europäisches Parlament und Ministerrat an der Datenschutzrichtlinie für Polizei und Justiz arbeiten, um einen EU-weit einheitlichen Standard für einen effektiven Informationsaustausch zwischen den Behörden zu schaffen.

Zudem müssen Polizei und Justiz endlich besser ausgestattet werden, um bei konkretem Verdacht Informationen besser auszuwerten.

Das Privacy Barcamp soll Menschen, die sich für den Datenschutz im digitalen Zeitalter interessieren, in offener Atmosphäre zusammenbringen und Ideen austauschen lassen. Es richtet sich an Techniker und Datenverarbeiter ebenso wie an Aktivisten, Forscher, Datenschutzbeauftragte, Politiker und alle anderen, denen das Thema am Herzen liegt.
Das zweite Privacy Barcamp findet dieses Jahr auf der CeBIT statt und wird vom Grünen Europaabgeordneten und Datenschutzexperten Jan Philipp Albrecht zusammen mit der CeBIT ausgerichtet.

Die Anmeldung und Sessionplanung wird wie im letzten Jahr über die Plattform http://privacy-barcamp.mixxt.de/ laufen.
Wer sich bis zum 04.03.2012 per Mail bei jan.albrecht@europarl.europa.eu meldet, kann eine Freikarte für die Cebit bekommen, um kostenlos am Privacy Barcamp teilnehmen zu können. Für weitere Fragen stehen wir Euch ebenfalls gerne unter dieser Adresse zur Verfügung.

Wir möchten Euch herzlich einladen teilzunehmen und den Termin zu verbreiten

• gemeinsamer Antrag der Fraktion von CDU/CSU sowie der Fraktion der FDP „Digitalisierungsoffensive für unser kulturelles Erbe beginnen“
• Antrag der SPD-Fraktion „Kulturelles Erbe 2.0 – Digitalisierung von Kultur­gütern beschleunigen“
• Antrag der Fraktion Die Linke „Die Digitalisierung des kulturellen Erbes als gesamtstaatliche Aufgabe umsetzen“
• Antrag der grünen Bundestagsfraktion „Umfassende Initiative zur Digitalisierung des Filmerbes starten“

An dieser Stelle dokumentieren wir den Redebeitrag von Konstantin in der gestrigen Debatte m Plenum des Bundestages. Über Rückmeldungen und Kritik  freuen wir uns.

Die im Auftrag des Bundesjustizministeriums erstellte Studie ist eine weitere Ohrfeige für die Vorratsdatenbefürworter. Einmal mehr entlarven die Freiburger Wissenschaftlerinnen und Wissenschaftler Behauptungen zum vermeintlichen Nutzen der anlasslosen Vorratsdatenspeicherung als leeres Gerede. Die Studie des Max-Planck-Instituts belegt erneut, dass die Einführung einer verpflichtenden Vorratsdatenspeicherung in Hinblick auf die Effektivität der Strafverfolgung keinen Nutzen bringt.

Die Studie belegt also, was wir alle seit langem wissen: Die tief in unsere Grundrechte eingreifende Vorratsdatenspeicherung ist nicht nur gefährlich, sie ist auch objektiv für eine effektive Strafverfolgung unnütz. Eine oftmals propagierte „Schutzlücke“, die angeblich nach dem Urteil des Bundesverfassungsgerichts im März 2010 und der daraus resultierenden Aussetzung der verpflichtenden anlasslosen Vorratsdatenspeicherung aufgetreten sei, ist bis heute empirisch nicht belegbar.

Die Freiburger Forscherinnen und Forscher zeigen in ihrer Studie erneut, dass sich die Aufklärungsquoten weder ab 2008 (Zeitpunkt der Einführung der verpflichtenden Vorratsdatenspeicherung) messbar verbessert noch ab März 2010 (Aussetzung der verpflichtenden Vorratsdatenspeicherung) messbar verschlechtert haben.

Insgesamt, so die Wissenschaftlerinnen und Wissenschaftler, gebe es “keine belastbaren Hinweise darauf, dass die Schutzmöglichkeiten durch den Wegfall der Vorratsdatenspeicherung reduziert worden wären”. Vielmehr gelinge es der Polizei durchaus, Täter auch auf anderen Wegen zu ermitteln.

Die angeführten Argumente für eine Notwendigkeit der anlasslosen Vorratsdatenspeicherung, das zeigen die Ergebnisse der jetzt vorgelegten Studie noch einmal, sind wissenschaftlich nicht haltbar. Die Befürworter einer anlasslosen Vorratsdatenspeicherung sind somit verpflichtet, endlich offenzulegen, welchen Zweck die Speicherung sämtlicher Kommunikationsdaten aller Bürgerinnen und Bürger tatsächlich haben soll. Hierzu fordern wir sie seit langem auf.

Anlässlich der derzeitigen Diskussion darf auch nicht vergessen werden: Nach wie vor speichern zahlreiche Telekommunikationsprovider umfangreich Verkehrsdaten ihrer Kundinnen und Kunden außerhalb der gesetzlichen Vorgaben und in offener Missachtung der Vorgaben des Bundesverfassungsgerichts. Dies hat Malte Spitz erst gestern wieder durch die Veröffentlichung der über ihn bei seinem Anbieter gespeicherten Daten gezeigt. Hier muss dringend gesetzlich und aufsichtsbehördlich eingeschritten werden.

Wir fordern die Bundesregierung heute, am Tag des Europäischen Datenschutzes, erneut dazu auf, endlich die Herausforderungen eines effektiven Grundrechtschutzes der Bürgerinnen und Bürger in der digitalen Welt als Gesetzgeber anzunehmen.

Gestern beriet das Plenum des Deutschen Bundestages über einen Gesetzesentwurf  der SPD-Fraktion zur Änderung des Telemediengesetzes (TMG). Der Gesetzentwurf sieht vor, in § 13 des Telemediengesetzes (TMG)  folgenden Absatz einzufügen.

(8) Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist, oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.

Durch diese Neuregelung will die SPD die Bundesregierung dazu bringen, die sogenannteE-Privacy-Richtlinie umzusetzen. An dieser Stelle dokumentieren wir meine gestrige Protokollrede zu dem Tagesordnungspunkt.

Sehr geehrter Herr Präsident,
sehr geehrte Kolleginnen und Kollegen,
meine Damen und Herren,

der mit nur einem Paragraphen etwas knapp gehaltene Gesetzesentwurf der Kolleginnen und Kollegen der SPD-Fraktion führt mitten hinein in das Herz der Debatte um den Internetdatenschutz. Dabei geht es beispielsweise um die Probleme der Profilbildung und des Behavioral Targeting.

Und um es gleich vorweg zu sagen:  Der Gesetzesentwurf wirft die schwierige Frage auf, ob für die Bürgerinnen und Bürger und den Schutz ihrer Daten mit derlei chirurgischen Eingriffen tatsächlich etwas gewonnen werden kann. Erlauben sie mir, bevor ich dazu einige Punkte erläutere, zunächst zum Handeln, oder sollte ich besser sagen, zum Nicht-Handeln der Bundesregierung in diesem Bereich, etwas zu erläutern:

Die schwarz-gelbe Koalition muss im Bereich des Datenschutzes endlich tätig werden. Insoweit der Entwurf der SPD hier einen Anstoß geben will, geht er in die richtige Richtung. Denn die Bundesregierung verweigert seit über zwei Jahren hartnäckig  jegliche Verantwortung für einen zeitgemäßen Schutz der Bürgerinnen und Bürger und dem Ausverkauf ihrer Daten und Grundrechte.

Sämtliche Versprechen, selbst die die im Koalitionsvertrag vereinbart wurden,  sind bis heute nicht eingelöst – sei es der Beschäftigtendatenschutz, die Stiftung Datenschutz, die Überarbeitung des Bundesdatenschutzgesetzes, der Beschäftigtendatenschutz oder die zunächst vom vormaligen Innenminister angekündigte, aber  vom jetzigen Minister bereits wieder beerdigte Rote-Linie-Gesetzgebung.

Mussten wir uns noch bis vor Kurzem anhören, man wolle diese oder jene Maßnahme mit Blick auf die anstehende Datenschutzreform in Brüssel nicht vorwegnehmen, heißt es nun – nachdem die Europäische Kommission einen recht ambitionierten Entwurf vorgelegt hat – die Reform aus Brüssel gebe Anlass zu allergrößten Bedenken und der bundesdeutsche Gesetzgeber dürfe sich nicht ausbremsen lassen.

Mit dieser anhaltenden Verweigerungshaltung untermauert die Bundesregierung einmal mehr ihren Unwillen, hier endlich für die Rechte der Bürgerinnen und Bürger einzustehen. Es bleibt offen, ob dies allein aus Überzeugung oder aus Unfähigkeit geschieht.

Gerade der Fall der heute hier zu verhandelnden Cookies hinterließ jedenfalls – im Rahmen der Diskussion um die Novellierung des Telekommunikationsgesetzes etwa – den Eindruck, man sei schlicht nicht in der Lage, eine tragfähige Antwort zu präsentieren.

Die Bundesregierung war sich des Ablaufs der Frist zur Umsetzung der Vorgaben der e-privacy-Richtlinie bewusst.  Und auch die schwierigen, mit der Cookie-Problematik verbundenen Rechtsfragen waren hinlänglich bekannt. Gelöst hat die schwarz-gelbe Bundesregierung diese wichtigen Fragen bis heute nicht, warum für das Setzen von cookies nach wie vor im Grundsatz die bestehende Rechtslage im Telemediengesetz gilt, nämlich eine Opt-Out-Regelung. Und das ganz im Widerspruch zu der von der E-Privacy-Richtlinie geforderten Opt-In-Lösung!

Wie ich allerdings bereits eingangs betont habe, führt die Diskussion um eine Cookie-Regelung ins Herz der Fragen um den Internetdatenschutz. Und damit sind wir bei der tatsächlich nichttrivialen Frage angelangt, ob überhaupt und wenn ja, auf welche Weise es gelingen kann, effektive rechtliche Bindungen für Betreiber bereits auf der Ebene des mittlerweile recht ausdifferenzierten Tableaus von Wiedererkennungstechniken anzusetzen. Hier gilt es zum Beispiel, die hoch umstrittene Frage des Personenbezuges von IP-Adressen mit zu bedenken, denn gerade auch für Cookies spielt diese eine Rolle.

Hier liegt nun eine Richtlinie (E-Privacy-Richtlinie) vor. Auf den ersten Blick scheint sie klare Vorgaben zu machen. Auch vor dem Hintergrund der aktuellen Reformvorschläge der Europäischen Kommission für eine grundlegende Datenschutzreform dürfen wir eine kritische Prüfung der EU-Vorlagen nicht vernachlässigen.

Die Anforderungen an eine zeitgemäße gesetzliche Regelung sind vielfältig: Da wären die guten alten Session-Cookies und die dauerhaften Cookies. Zu ihnen gesellen sich heute sogenannte Web Bugs und Flash Cookies. Zudem gibt es noch anderweitige Auswertungsmöglichkeiten – etwa durch Browser-Footprints.

Ein präventiv ansetzender Datenschutz müsste bereits hier ansetzen – auch wenn die unterschiedlichen Zwecksetzungen von Cookies Fragen aufwerfen. Dementsprechend nimmt etwa der SPD-Entwurf, der im Wortlaut eine ganz erstaunliche Ähnlichkeit mit dem  Bundesratsentwurf (BR-Drucksache 156/11) aufweist, die Session-Cookies sowie diejenigen Cookies gänzlich vom Einwilligungserfordernis aus, die „unbedingt erforderlich sind, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.“

Dieses Vorgehen erscheint zwar zunächst sinnvoll, aber schon hier stellt sich die Frage, ob etwa die von Facebook im Rahmen von Like-Buttons platzierten datr-Cookies unter eine solche Privilegierung fallen, die nach Einlassung des Konzerns allein zu Sicherheitszwecken unbedingt erforderlich sein sollen.

Ferner unterwirft der Gesetzesvorschlag der SPD unterschiedslos alle anderen Cookie-Verwendungen dem Einwilligungsvorbehalt, ganz gleich, ob diese nur für eine Webseite zu Sicherheitszwecken, für Werbezwecke, allein durch Drittanbieter oder webseitenübergreifend zur Profildatenerstellung gesetzt werden. Auch Lebensdauer und Inhalt finden insoweit keine Berücksichtigung. Zugleich bleibt der Einwilligungsbegriff unpräzise, weil Bezug genommen wird auf die bestehenden TMG-Vorschriften und damit auf die zumindest in der Literatur vertretene Auslegung, wonach eben auch die konkludente Einwilligung per Browservoreinstellung genügen können soll.

Auch der Begründung des Entwurfs der SPD ist zu dieser Frage leider keine Stellungnahme zu entnehmen. Damit weicht der Gesetzentwurf einer der entscheidenden regulatorischen Fragen der Cookie-Problematik schlicht aus und verfehlt damit das Ziel, Rechtssicherheit zu bringen. Die entscheidende Frage also bleibt offen: Sollte angesichts der in der Praxis auf Webseiten oftmals bis zu 20 oder 30 gleichzeitig platzierten Cookies auf die nahezu unmöglichen Einzeleinwilligungen verzichtet und eine pauschale, letztlich von den Datenschutzeinstellungen des Users selbst vorzunehmende Absicherung umgestellt werden?

Von einer solchen alleinigen Selbstverantwortung der Nutzerinnen und Nutzer halten wir, genau  wie die Artikel-29-Datenschutzgruppe der Datenschutzbehörden der EU-Mitgliedstaaten, nur wenig. Sie wird von der Wirtschaft gefordert, die, insoweit durchaus nachvollziehbar, die Praktikabilität nicht durch eine Vielzahl von Pop-Up-Fenstern mit Einwilligungserfordernissen unterbrechen will. Hier gilt es zu bedenken, dass noch längst nicht alle Browser über einfache und verständliche Datenschutzeinstellungen verfügen: So umgehen Flash-Cookies den Browser vollständig.

Die Medienkompetenz der Bürgerinnen und Bürger würde zum gegenwärtigen Zeitpunkt überschätzt, überließe man ihnen allein die Last der zu treffenden Schutzmaßnahmen.

Neuere Studien zu den bestehenden technischen Selbstschutzmöglichkeiten kommen zu dem Schluss, dass diese nach wie vor lückenhaft sind. Es stellt sich also die Frage, wie eine differenzierte gesetzliche Regelung ausgestaltet werden müsste? Womöglich müsste sie risikoabgestufte Lösungen anbieten und den Fall der webseitenübergreifenden Anwendungen zur Profilerstellung im Schwerpunkt aufgreifen. Zusätzlich wären für alle Techniken der Wiedererkennung Privacy by Design-Vorgaben verpflichtend zu machen.

Eine weitere, gegenüber den EU-rechtlichen Vorgaben sogar missliche Verkürzung enthält der SPD-Entwurf schließlich bei den Informationspflichten: Während die Richtlinie Einwilligungen nur auf der Grundlage „klarer und umfassender Informationen“ zulassen will, gibt sich der Entwurf mit den weitaus spärlicheren Anforderungen von § 13 Abs. 1 des bestehenden Telemediengesetzes zufrieden.

Das kann gerade deshalb nicht akzeptiert werden, weil zum einen die Komplexität der Problematik selbst, aber auch die Vielfalt und Undurchsichtigkeit möglicher Selbstschutzmaßnahmen, eher zusätzliche Informationen für die Verbraucherinnen und Verbraucher erforderlich machen. Insgesamt sind diese vagen und unpräzisen Regelung des SPD-Gesetzesentwurfs nicht geeignet, die sich im Zusammenhang mit der Verwendung von Cookies stellenden Fragen zu beantworten.

Facebook und Google veröffentlichten nicht zufällig zeitgleich mit der Vorstellung der EU-Verordnung für eine Reform des Datenschutzes ihre weitreichenden Umstellungen in der Datenverarbeitungspraxis. Diese Unternehmen, deren Geschäftsmodell maßgeblich vom maximal perfekten Targeting der Nutzerinnen und Nutzer lebt, wollen vor Umsetzung der regulatorischen Anstrengungen der EU offenbar vollendete Tatsachen schaffen. Wir sollten Ihnen mit umfassenden und differenzierten Regelungsansätzen zeigen, dass wir willens und in der Lage sind, verfassungsrechtlich gebotene Vorgaben zu formulieren und auch durchzusetzen.

Was bringt uns die EU überhaupt? Nutzern von Facebook und Google oder Smartphone-Besitzern bringt die Europäische Union eine ganze Menge. Immerhin sind sie es, die bisher kaum geschützt sind gegen Datenklau und den Weiterverkauf intimster Informationen. Jetzt – endlich – will die EU-Kommission das ändern. Mit den Vorschlägen für eine grundlegende Reform des europäischen Datenschutzrechts soll den VerbraucherInnen und BürgerInnen ein einheitlicher EU-Standard für den effektiven Schutz ihrer Daten an die Hand gegeben werden. Neben besseren Informations- und Kontrollmöglichkeiten für die Einzelnen sieht die Reform auch hohe Geldstrafen für Missbrauch vor, etwa bei Verlust oder Weiterverkauf von NutzerInnendaten. In Anbetracht des Selbstbewusstseins, mit dem globale Datensammler wie Facebook oder Google agieren, ist dies ein überfälliger Schritt. Doch der im Ansatz vernünftige Vorschlag der Kommission könnte an Konzernen und Sicherheitsbehörden scheitern, die ein Interesse an umfassenden Datensammlungen haben.

Gerade die deutsche Politik und insbesondere die Bundesregierung sind daher jetzt gefragt. Leider aber sind die für den privaten Datenschutz zuständige Verbraucherschutzministerin Ilse Aigner (CSU) und mit ihr die schwarz-gelbe Bundesregierung mit inhaltlichen Forderungen zur Reform bislang kaum aufgefallen, obwohl diese in Brüssel bereits seit zwei Jahren diskutiert wird. Stattdessen profilierte sich Aigner mit einem medienwirksamen Facebook-Austritt, der den deutschen VerbraucherInnen aber wenig half. Auch der für den behördlichen Datenschutz zuständige Innenminister Hans-Peter Friedrich (CSU) hat das von seinem Vorgänger noch in den Vordergrund gestellte Thema Datenschutz vollends ins Abseits verbannt.

Dabei meldet die Bundesregierung im Brüsseler Ministerrat – zumindest kleinlaut am Rande ihrer Enthaltung zu diesen wichtigen Themen – regelmäßig verfassungsrechtliche Bedenken gegen die Verarbeitung von Telekommunikations-, Passagier- und Bankdaten zum Zwecke der Strafverfolgung an. Und auch hierzu schlägt die EU-Kommission jetzt neue Regeln im Rahmen einer Richtlinie für den Polizei- und Justizbereich vor, die den Wildwuchs von Überwachungsmaßnahmen einzugrenzen versucht.

Lobbyhilfe vom US-Wirtschaftsminister

Die neuen Vorschläge der EU-Kommission bringen für BürgerInnen vor allem mehr Transparenz und Kontrolle über ihre Daten. Gerade bei alltäglichen Anwendungen und Dienstleistungen werden immer mehr Informationen gespeichert, deren Löschung und Korrektur in Zukunft deutlich vereinfacht werden soll. Da aber konstruktive Unterstützung aus Ländern wie Deutschland für einen hohen Schutzstandard bislang fehlt, wird der Vorschlag zunehmend verwässert.

Seit Monaten schon laufen Unternehmensverbände Sturm gegen die Vorschläge. Sie verdienen gut an den derzeitigen Lücken und Unzulänglichkeiten im Datenschutz. Gern nehmen sie neuerdings auch die massive Lobbyhilfe des US-amerikanischen Wirtschaftsministeriums in Anspruch, dem der europäische Datenschutz schon länger ein Dorn im Auge ist.

Statt in Brüssel für hohe Standards zu kämpfen, beschränken sich einige deutsche DatenschützerInnen darauf, den Verlust nationaler Souveränität durch die neuen EU-Regeln zu beklagen. Dabei können wir Souveränität über unsere Daten nur durch eine europaweite Garantie gewinnen. Ganz egal, ob es um Konzerne, Unternehmen oder Behörden geht – sie alle tauschen längst umfassend grenzübergreifend Informationen aus oder sind vollends in der Cloud.

Wer glaubt, dass Deutschland seine gewohnten Standards auf eigene Faust halten kann, der hat dies nicht verstanden. Und auch die Kritik des Bundesverfassungsrichters Johannes Masing am mangelnden Grundrechtsschutz auf EU-Ebene kann angesichts der Realität seit dem Vertrag von Lissabon nicht mehr überzeugen. Der Vorschlag der EU-Kommission fußt ja gerade auf den neuen verbindlichen Bestimmungen in Vertrag und Grundrechtecharta.

Datenschutz ist ein Grundrecht

Er ist eine gute Grundlage, um einen effektiven Datenschutzstandard mit einem erheblichen Gewinn an Rechtssicherheit für Unternehmen, Behörden und VerbraucherInnen zu verbinden. Dies sollte gerade den DatenschützerInnen und den VertreterInnen der deutschen Perspektive Anlass sein, sich jetzt für eine Mehrheit im Sinne eines starken EU-Standards einzusetzen. Sonst werden sie im Brüsseler Gesetzgebungsverfahren unter die Räder kommen.

Die 15 Jahre alten Datenschutzbestimmungen in der EU gewährleisten keinen effektiven Schutz personenbezogener Daten. Im EU-Binnenmarkt bestimmt leider Irland – das Land mit dem schwächsten Datenschutzrecht – den Standard. Facebook etwa hat seinen Sitz dorthin verlagert. Es ist also richtig, dass jetzt eine EU-weite Regelung angestrebt wird, die die nationalen Datenschutzgesetze partiell ersetzen wird und eine verpflichtende Zusammenarbeit der Datenschutzbeauftragten vorsieht. Umso mehr kommt es jetzt darauf an, für einen EU-Standard auf hohem Niveau zu kämpfen.

In grundrechtssensiblen Bereichen gehen auch mir die vorgeschlagenen Regelungen noch nicht weit genug. Das EU-Parlament hat bereits deutlich gemacht, dass es ein Zurück hinter den hohen Standard der alten Richtlinie nicht akzeptieren wird. Die Bundesregierung sollte sich deshalb hinter die Pläne von Kommission und Parlament stellen. Gleichzeitig muss sie deutlich machen, dass der Grundrechtsschutz auf EU-Ebene auf hohem Niveau geschieht – auch mit einem Europäischen Gerichtshof, der die Möglichkeiten der Individualbeschwerde stark verbessern muss.

Mit dem Vertrag von Lissabon ist Datenschutz als Grundrecht ein leitendes Prinzip im EU-Recht geworden. Es muss in ganz Europa zur Praxis werden. Nur so können wir unseren hohen Datenschutzstandard auch international durchsetzen und eine Benachteiligung europäischer BürgerInnen und Unternehmen verhindern.

Bisher wurden diese Daten auf Basis des Telekommunikationsgesetzes (TKG) gespeichert. Das TKG wurde im Herbst 2011 an etlichen Stellen überarbeitet und entsprechend vom Deutschen Bundestag beschlossen.

Abb.: Regelmäßigkeit der Kommunikation auf den Tag verteilt zu den zehn häufigsten Anschlüssen

Damals wie heute regelt das Telekommunikationshesetz (TKG) aber nur sehr allgemein und mit einem sehr großen Ermessensspielraum für die Unternehmen, welche Daten sie zu Abrechnungszwecken und zur Gewährleistung des Services speichern dürfen. Hier fordern wir als Grüne schon lange, klare Vorgaben und Grenzen zu setzen. Es werden deutlich mehr Daten gespeichert als für die notwendigen Schritte erforderlich. Insbesondere so sensible Daten wie die Funkzellen, Geokoordinaten und der entsprechende Abstrahlwinkel. Diese Speicherung kann in Städten dazu führen, dass man auf wenige Meter (30 bis 50 Meter) genau getrackt werden kann. Es lässt sich so zwar nicht zwingend sagen, auf welcher Straßenseite man sich befindet, der Häuserblock ist aber zuzuordnen. Bedenkt man, dass GPS-Systeme (Global Positioning System) im zivilen Bereich auch oft nur eine Genauigkeit von zehn Metern sicherstellen, zeigt dies die Tragweite dieser Technik und dessen Genauigkeit. Der Chaos Computer Club hat deswegen schon frühzeitig Handys als Ortungswanzentituliert.

Um diese Tragweite zu verdeutlichen und auch um den Umfang der Vorratsdatenspeicherung bekannt zu machen bzw. darüber aufzuklären, habe ich im Februar 2011 gemeinsam mit Zeit Online sechs Monate meiner auf Vorrat gespeicherten Daten (Zeitraum: Ende August 2009 bis Ende Februar 2010) veröffentlicht. Diese Daten wurden mit anderen frei zugänglichen Informationen zu meiner Person, beispielsweise von meinem Twitter Account, meiner Website oder aus den öffentlichen Terminübersichten angereichert. Zusammengenommen wurden so sechs Monate meines Lebens sehr genau dargestellt. Die Visualisierung meiner Daten wurde mit zahlreichen Preisen ausgezeichnet, unter anderem mit dem Grimme Online Award 2011 und dem renommierten amerikanischen Online Journalism Award.

Die Daten, die ich diesmal erhalten habe, gehen an einer Stelle deutlich weiter als meine Vorratsdaten aus 2010. Wurde mir von T-Mobile bei der Beauskunftung meiner Anfrage 2010 noch der halbe Datensatz übermittelt, nämlich nur alle Daten, die zu meiner Person gehören, wurden mir diesmal auch die Telefonnummern mit zugesandt, die ich angerufen oder denen ich eine SMS geschickt habe bzw. die den umgekehrten Weg nahmen. Aus Datenschutzgründen wurden die letzten vier Ziffern der jeweiligen Rufnummer unkenntlich gemacht. Trotzdem lässt sich damit im Vergleich zu 2010 die wirkliche Tragweite dieser Verkehrsdatenspeicherung aufzeigen. Neben der Kenntlichmachung meines Lebens – wo und wann ich mich wie oft aufhalte, zu welchen Zeiten ich wie üblicherweise kommuniziere – lassen sich diesmal auch soziale Profile und Kommunikationsnetze erstellen. Dadurch, dass ansatzweise ableitbar ist, mit wem ich kommuniziert habe, lassen sich soziale Bindungen eindeutig aufzeigen und in Verbindung setzen – welche Rufnummern rufe ich zu ähnlichen Zeiten an, welche immer nur werktags usw.

Abb.: Korrelation zwischen Gesprächsteilnehmer und Uhrzeit und wie ähnlich diese sind

Liegen entsprechende Daten von mehreren Rufnummern vor, lassen sich soziale Verbindungen zueinander eindeutig nachzeichen. Dies ist auch im Zusammenhang mit der aktuellen Debatte um die Funkzellenabfrage in Berlin relevant.

Nun aber zu den Erkenntnissen aus den neuen Daten. Eine zentrale Botschaft ist, zumindest bei T-Mobile Deutschland, dass, was die Kategorien angeht, heute der gleiche Datenumfang gespeichert wird, wie zu Zeiten der Vorratsdatenspeicherung, nämlich bis zu 29 Einzelinformationen. Trotz des Urteils des Bundesverfassungsgerichts wird eine Vielzahl an Daten umfassend vorgehalten. Auch dieses Mal wurden Daten bei Aufenthalten im Ausland mit gespeichert, wenn auch nicht die genauen Geokordinaten, sondern nur die Funkzellen. Zudem wurden Standortdaten bei der Beauskunftung übermittelt, bei Gesprächen wo ich mich im Ausland befand. Zu wem diese Daten gehören kann ich nicht nachvollziehen. Selbst Informationen, die vor 2008 nicht gespeichert wurden, sondern dessen Speicherung erst nach Inkrafttreten der deutschen Implementierung der Richtlinie zur Vorratsdatenspeicherung als Verpflichtung auf Grund der Umsetzungsordnung begonnen hat, wird weiter vorgenommen, ohne das eine Abrechnungsrelevanz vorliegt. Damit wird eindeutig gegen das Ziel der Datensparsamkeit verstoßen. Am Beispiel von Kurznachrichten (SMS), die ich erhalten habe, lässt sich dies Praxis gut darstellen. Da der SMS-Empfang kostenlos ist, wurden solche Daten vor 2008 beim Empfänger der Nachricht nicht mitgespeichert. Heutzutage werden auch diese Daten gespeichert. Es lässt sich also feststellen, dass zu Zeiten der Vorratsdatenspeicherung (2008 bis März 2010) der gleiche Umfang an Datenarten gespeichert wurde. Lediglich die Speicherdauer hat sich von 180 Tagen auf 30 Tage reduziert. Damit ist die heutige Speicherpraxis unverhältnismäßig und widerspricht meiner Meinung nach gegen die Datensparsamkeit.

Das führt mich auch zu der Erkenntnis, dass die deutsche Sicherheitsbehörden unnötig Hysterie verbreiten oder unsachlich Informationen von sich geben. Gerade im Jahr 2011 wurde aufgrund der fehlenden Vorratsdatenspeicherung Land auf Land ab – vom Bundeskriminalamt über Bundes- und Landesinnenministern bis hin zu PolizeifunktionärInnen – das Hohelied der unerträglichen Sicherheits- und Ermittlungslücken gesungen. Was den Bereich der mobilen Kommunikationsverkehrsdaten angeht, scheint dies nicht zu stimmen. Zumal Erhebungen zeigen, das wenn Daten abgefragt werden, vor allem Daten aus dem ersten Monat der Speicherung am häufigsten abgefragt wurden.

Politisch folgen aus dieser Auskunft und der damit verbunden Erkenntnis, wie der größte deutsche Mobilfunkanbieter in der Praxis seine Verkehrsdaten speichert, dass folgende Punkte schnellstmöglich umgesetzt werden müssen:

• das Ende der Speicherung von Funkzellen und von Geokoordinaten
• klare Vorgaben und Festlegung, welche Daten zu Abrechnungszwecken tatsächlich relevant sind und dass diesen Daten eine möglichst niedrige Höchspeicherdauer zugrunde liegen muss. Dazu müssen auch die internen Verfahren für Rechnungslegung etc. umgestellt werden, um Datenberge zu verhindern und Flatratedaten zukünftig nicht weiter zu speichern
• Es bedarf einer transparenten Überprüfung der Speicherung entsprechender Verkehrsdaten bei allen Mobilfunkanbietern durch die zuständige Aufsicht
• ein Abschaffung der Richtlinie zur Vorratsdatenspeicherung in ganz Europa. Statt ganze Gesellschaften unter Generalverdacht zu stellen, muss diese anlasslose Massenüberwachung beendet werden. Wenn überhaupt, darf nur anlassbezogen und für einen klar und eng definierten Katalog von schweren Straftaten eine entsprechende Vorhaltung von Daten auf Basis eines effektiven Richtervorbehalts geschehen. Die Debatte um die Funkzellenabfrage zeigt einmal mehr: dort, wo Daten vorhanden sind und eigentlich nur in Ausnahmefällen genutzt werden dürfen, werden diese Möglichkeiten schnell zum Regelinstrument.

Für die zwei Grafiken zu meinem Kommunikationsverhalten, geht großer Dank an Michael Kreil von OpenDataCity. Insgesamt sind in den 30 Tagen zwischen dem 11. Sept. und dem 9. Okt. 2011 14.541 Datensätze zusammengekommen. Diese Zahl ist so hoch, da ich neue Pushfunktionen auf meinem Handy installiert hatte. Bei den sechs Monaten während der Vorratsdatenspeicherung waren es ja insgesamt „nur“ rund 35.000 Datensätze. Die Orginaldatensätze werde ich nicht veröffentlichen, da auf Grund der Übermittlung der Rufnummern mit denen ich Kontakt hatte, auch Daten von Dritten betroffen sind.

Anbei eine Beschreibung der unterschiedlichen Datenfelder die aktuell gespeichert werden (Stand Oktober 2011), mit einer Beschreibung von T-Mobile für die einzelnen Felder.

UPDATE: Für alle, die auch mit dem Gedanken spielen, die eigenen Daten abzufragen, hat Malte eine Musteranfrage entworfen.