Kategorie-Archiv: Datenschutz

Zahlenspielerei zu Aufsichtsbehörden, die IT-Grundrechte wahren sollen

Geht man davon aus, dass die Datenschutz-Aufsichtsbehörden für

  • das Grundrecht auf informationelle Selbstbestimmung,
  • das Grundrecht auf Informationsfreiheit und
  • das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

zuständig sind, kann man erwarten, dass sie entsprechend ausgestattet sind. Welche Anhaltspunkte lassen sich zahlentechnisch dafür finden, dass sie das sind?

Zum Beispiel das Personal:  In Summe verfügen die Aufsichtsbehörden in Bund und Ländern über 444 Stellen. Eine Aufstockung ist nicht geplant (Jahr 2013, Quelle: BfDI Pressestelle und Datenschutzbarometer 2013).

 

Kernpersonal Datenschutz-Aufsichtsbehörden
Bundesland 2011 2012 2013
Baden-Württemberg 26,2 26,2 26,2
Bayern 42 45 46
Berlin 39 39 34
Brandenburg 23 22 22
Bremen k.A. k.A. k.A.
Hamburg 17,05 18,6 15,8
Hessen 43 43 35,2
Mecklenburg-Vorpommern 14 14 14
Niedersachsen 17,5 17,5 17,5
Nordrhein-Westfalen 53 53 53
Rheinland-Pfalz 18,5 18,5 17,5
Saarland k.A. k.A. k.A.
Sachsen 21 22 22
Sachsen-Anhalt 21 16 16
Schleswig-Holstein 22,25 22,25 22,25
Thüringen 15 15 15
Bund 81 89 87,5
Summe 453,5 461,05 443,95

Vergleichen wir das mit der Personalausstattung des Bundesamts für Sicherheit in der Informationstechnik (BSI): Das verfügt über 579 Stellen, eine Aufstockung um weitere 216 Stellen ist geplant (Quelle: BSI-Pressestelle). In Summe wären das 795 Stellen. Das BSI ist allerdings nur für

  • das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

zuständig.

Summa summarum: Das BSI verfügt jetzt über 130 Prozent mehr Stellen als alle behördlichen Datenschutzbeauftragten zusammen. Würde man das an den zu wahrenden Grundrechten messen – wären das dreimal so viel.

Sehen wir uns rein mengenmäßig an, was die Datenschutz-Aufsichtsbehörden in ihren Tätigkeitsberichten in einem meist zweijährlichen Zyklus produzieren:

 Tätigkeitsberichte Zeitraum Seiten
Bund Jahre 2011-2012 266
Baden-Württemberg Jahre 2012-2013 169*
Bayern öffentlich Jahre 2013-2014 258*
Bayern nicht-öffentlich Jahre 2013-2014 180
Berlin Jahr 2014 200
Brandenburg Jahre 2012-2013 234
Bremen Jahr 2014 132
Hamburg Jahre 2012-2013 277
Hessen Jahre 2012-2013 343
Mecklenburg-Vorpommern Jahre 2012-2013 146
Niedersachsen Jahre 2011-2012 140
NRW Jahre 2013-2014 157
Rheinland-Pfalz Jahre 2012-2013 162
Saarland Jahre 2013-2014 198
Sachsen Jahre 2011-2013 151
Sachsen-Anhalt Jahre 2011-2013 189*
Schleswig-Holstein Jahre 2013-2014 165
Thüringen Nicht-öffentlich Jahre 2011-2013 142
Thüringen öffentlich Jahre 2011-2013 251*
 Summe   3760
Ausgleich zweijähriger Berichtzyklus 332
Summe nach Ausgleich   4092

Nach einer Auswertung der aktuellsten Berichte kommt man auf 4.092 Seiten 

– abzüglich aufblähender Anhänge (*), ohne Berücksichtigung auf das Seitenformat und einem Ausgleich für die Berichte, die in Bremen und Berlin jährlich abgegeben werden.

Setzen wir das wieder in Bezug auf das BSI:

Theoretisch müsste das BSI entsprechend seiner Personalausstattung 5.336 Seiten produzieren. Passen wir diese Zahl großzügig auf das von ihm vertretene Grundrecht mit „geteilt durch 3“ grob an, kommen wir auf 1788 Seiten.

Was aber produziert das BSI tatsächlich? Der letzte Jahresbericht war gerade 49 Seiten lang – wobei durch etliche leere Seiten (Kapitelüberleitungen, etc.) das Volumen Design-technisch etwa um 11 Seiten aufgebläht wurde. Aber wir bereinigen hier nicht: Wir nehmen die 49 Seiten und setzen sie in Bezug auf die 1.788 Soll-Seiten – das wären dann 2,75 Prozent dessen, was die Kollegen in den Datenschutz-Aufsichtsbehörden produzieren.

Klassisch gerechnet, also ohne Berücksichtigung der Grundrechte-Vertretung, produziert das BSI aber nur 1,2 Prozent des Umfangs der Datenschutz-Aufsichtsbehörden.

Denkt man an die gesetzliche vorgeschriebene Bürger-Orientierung der Behörde („BSI für Bürger“) gibt es noch etwas Luft nach oben. Oder macht die, gemessen an der Transparenz der Behörde,  nur 1,2 Prozent aus? Mal locker korreliert.

Andrea Voßhoff: „Ich bin nicht diejenige, die den Sicherheitsbehörden ihre Wünsche formuliert.“

So könnte man das neue Rollenverständnis der Bundesdatenschutzbeauftragten Andrea Voßhoff beschreiben. Aber man könnte es auch positiver formulieren: Sehr orientiert an der Rechtsprechung des Bundesverfassungsgerichts.

In einem Hintergrundgespräch vor einigen Monaten erzählte sie mir auf die Frage, was sie denn jetzt am Thema Datenschutz faszinieren würde, dass sie sehr aufmerksam das Urteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung studiert habe. Und dabei sei ihr doch aufgefallen, wie wenig dessen Argumentation in der vorherigen politischen Diskussion eine Rolle gespielt habe. Frage von mir: Bezüglich der Diskussion in der Union oder allen Parteien? Antwort: Allen Parteien. Deshalb wolle sie jetzt auch stärker ihre Beratungsauftrag als BfDI im Bundestag wahrnehmen.

Ich hoffe, sie stößt dabei auf offene Türen.

Zur vollständigen Dokumentation der Kontext, in dem der oben zitierte Satz gefallen ist: Eine Recherche zum Thema Quellen-TKÜ für heise online, deren Ergebnisse in eine Meldung eingeflossen sind. Die Antworten erhielt ich am 27. Januar 2015.

Frage: Ist die BfDI der Auffassung, dass die Paragraphen 100a und b StPO im Ein-klang mit der Rechtsprechung eine geeignete Rechtsgrundlage für die Quellen-TKÜ darstellen?

Nein. Sie sind keine geeignete Rechtsgrundlage für eine Quellen-Telekommunikationsüberwachung. In seinem Urteil zur Online-Durchsuchung hat das Bundesverfassungsgericht „rechtliche Vorgaben“ gefordert. Der Gesetzgeber muss damit nach Ansicht des Gerichts die Risiken begrenzen, die mit der Infiltration des Systems verbunden sind. Diese Risiken entstehen nicht erst dann, wenn die Ermittlungsbehörden das angegriffene System gezielt auslesen. Sie können schon vorher entstehen, wenn eine Behörde Sicherheitslücken des Zielsystems gezielt aus-nutzt und dort eine Überwachungssoftware einpflanzt. Für all dies enthalten die Re-gelungen der Strafprozessordnung keine Vorkehrungen. Sie sind daher offenkundig nicht als Rechtsgrundlage für eine Quellen-TKÜ gedacht – jedenfalls im Sinne der Rechtsprechung des Bundesverfassungsgerichts.

Frage: Plädieren Sie für eine gesetzliche Klarstellung für die Quellen-TKÜ?

Ich bin nicht diejenige, die den Sicherheitsbehörden ihre Wünsche formuliert.

Frage: Derzeit wird die Software für Quellen-TKÜ mit dem Ziel der Rechtskonformität nachgearbeitet. Welche Punkte haben Sie hier moniert?

Nur der guten Ordnung halber nochmals: Die Maßnahme kommt nach meiner Auf-fassung nur dort in Betracht, wo eine gesetzliche Grundlage besteht. Das ist derzeit nur bei den Vorschriften des Bundeskriminalamtgesetzes zur Bekämpfung des inter-nationalen Terrorismus der Fall. Meine Behörde hat sich dafür eingesetzt, dass der Quellcode der Software beim „Besteller“ (BKA) selbst zu prüfen und gegenüber entsprechenden Prüfstellen offenzulegen ist.

(Mündliche Nachfrage: Eingesetzt – was heißt das? Wie ist der Stand der Dinge?

Antwort Pressestelle: Einsicht in den Quellcode ist konsentiert. Frage ist aber, ob dies angesichts der personellen Kapazitäten machbar ist.)

Frage: Gibt es aus Ihrer Sicht eine rechtliche Grundlage für den Einsatz von Quellen-TKÜ seitens der Nachrichtendienste BND und BfV?

Nein. Hier gilt dasselbe wie bei § 100a StPO. Generell bin ich der Auffassung, dass besonders eingriffsintensive Mittel in den Gesetzen für die Nachrichtendienste genau geregelt werden müssen. Die derzeitigen generalklauselartigen Regelungen im Bundesverfassungsschutzgesetz sind aufgrund der inzwischen ergangenen Rechtsprechung des Bundesverfassungsgerichts unabhängig davon nicht mehr zeitgemäß.

Frage: Wenn der BND um Mittel für den Erwerb von Informationen zu nicht-öffentlichen Schwachstellen in Software bittet, dient dies vermutlich dem Zweck, in gesicherte Systeme einzudringen. Gibt es hierfür aus Ihrer Sicht eine Rechtsgrundlage?

Wenn die Vermutung zuträfe, dann nein! Das hat das Bundesverfassungsgericht in seiner Entscheidung zur sog. Online-Durchsuchung ja auch recht deutlich gesagt.

„Mehr echte Kontrolle“

Interview mit Spiros Simitis. Der Jurist und Datenschutzexperte hält eine radikale Überprüfung der Bestimmungen für unvermeidbar.

Der Bundestag behandelt in den nächsten Wochen eine ganze Reihe von Datenschutzvorhaben. Ist das ein gutes Zeichen für den Datenschutz?

Vordergründig sicherlich, weil eine Reihe durchaus akuter Probleme angegangen wird. Längst fällig ist aber weit mehr: Die geltenden gesetzlichen Anforderungen an die Verarbeitung personenbezogener Daten müssen radikal überprüft und über weite Strecken neu gestaltet werden.

Wie meinen Sie das?

Den Anfang machten in den 70er Jahren allgemeine Datenschutzgesetze. Sehr bald zeigte sich allerdings, dass sich ein effizienter Datenschutz an konkreten Problembereichen orientieren und auf sie einwirken muss. Doch die mittlerweile immer zahlreicheren bereichsspezifischen Regelungen sind nicht aufeinander abgestimmt und, schlimmer noch, willkommene Ansätze, den Datenschutz gezielt zurückzunehmen. Die offene Zulassung der mit einem der unverzichtbaren Grundsätze des Datenschutzes, der Zweckbindung, unvereinbaren Vorratsdatenspeicherung ist ein Musterbeispiel dafür.

Was wäre Ihrer Meinung nach die Lösung?

Wir brauchen eine allgemeinen Regelung, in der die generell geltenden Datenschutzgrundsätze festgeschrieben werden müssen sowie daran immer wieder gemessene und konsequent aufeinander abgestimmte bereichsspezifische Regelungen.

Die vom jetzt wiedergewählten Bundesdatenschutzbeauftragten Peter Schaar vor kurzem zur Diskussion gestellte Charta für digitalen Datenschutz und Informationsfreiheit geht doch schon in diese Richtung?

Ohne Zweifel ein wichtiger Ansatz. Mehr denn je kommt es aber unabhängig davon beispielsweise darauf an, unmissverständlich klarzustellen, dass der Zugriff auf personenbezogene Daten immer die Ausnahme bleiben muss und stets eine gesetzliche Regelung voraussetzt. Erst recht gilt es anders als bisher die Einwilligung der Betroffenen nicht den gesetzlichen Vorschriften gleichzustellen.

Warum?

Allein schon die Erfahrungen mit den Allgemeinen Geschäftsbedingungen in den Alltagsgeschäften hätten genügt, um Misstrauen zu wecken. Denken sie zudem an die Abhängigkeit derjenigen, die wie etwa bei einem Arbeitsverhältnis, ihre Daten weitergeben sollen. Und schließlich: Die Einwilligung hat sich als das wirksamste Instrument einer Verarbeitungsstrategie erwiesen, die dazu verhilft, nahezu alle gesetzliche Schranken zu umgehen und alle Daten zu bekommen, die man nur möchte. Sie muss daher auf gesetzlich definierte Fälle beschränkt bleiben.

Die jetzt vorgesehene Novelle des Bundesdatenschutzgesetzes will Verbrauchern mehr Rechte hinsichtlich des von Auskunfteien betriebenen Scorings geben. Genügen die nun vorgesehenen Regelungen aus Ihrer Sicht?

Nein. Scoring muss lediglich im Kreditbereich akzeptiert und nicht etwa ebenso selbstverständlich bei Arbeitsverhältnissen hingenommen werden. Die Betroffenen müssen zudem immer wissen, wer ihre Daten bekommt, weil sie nur dann sich darauf einstellen und reagieren können. Ausnahmen zugunsten von Auskunfteien sind so gesehen völlig fehl am Platz.

Wie sehen Sie die Verarbeitung von Geodaten?

Geodaten sind genau genommen ein weiterer Schritt in einer längst klar gewordenen Richtung. Sie vervollständigen die Informationen über die Betroffenen, indem diese geortet werden und so auch einen Einblick in weitere Daten wie etwa zu den Vermögensverhältnissen und zum sozialen Umfeld vermitteln.

Inwiefern?

Spätestens hier zeigt sich, dass wir einen Punkt in der Verarbeitung personenbezogener Daten erreicht haben, der zu wenig zu Kenntnis genommen wird. Als wir in den 70er Jahren begonnen haben, ging es darum, welche Daten überhaupt verarbeitet werden dürfen. Das ist heute sinlos, weil alles schon verarbeitet worden ist.

Welche Konsequenzen hat das?

Mehr und mehr rückt die Vernetzung in den Mittelpunkt der Datenverarbeitung. Mehr und mehr wird sie aber vor diesem Hintergrund auch dafür genutzt, das Verhalten des Einzelnen präventiv zu steuern. Denken Sie an die heftigen Diskussionen über die Gesundheitskarte oder die sich mittlerweile verdichtenden Erfahrungen mit den Informationserwartungen an die Biobanken, Gleichviel, ob es um öffentliche Institutionen oder private Versicherungen geht, der Akzent liegt durchweg auf einer kontinuierlichen Verarbeitung der Daten aktueller oder potentieller Patienten, die primär auf ein Verhalten gerichtet ist, das Krankheitsrisiken möglichst gar nicht erst aufkommen lässt.

Datenschutzkonforme Verfahren und Produkte sollen künftig über ein Audit geprüft werden. Wie beurteilen Sie die geplante Umsetzung?

Der Vorteil liegt auf der Hand. Mit dem Audit wird ein Verfahren anerkannt und gesichert, das eine verlässliche Überprüfung der datenverarbeitenden Stellen gewährleistet. Eben deshalb ist es aber nicht verständlich, wieso es ein Audit nur geben soll, wenn es die verarbeitende Stelle nicht bei den üblichen Anforderungen belässt, sondern die Verarbeitungsvoraussetzungen erhöht. Soll das Audit wirklich den Datenschutz verbessern, muss es immer möglich sein, sich dafür zu entscheiden.

Im Bundesrat gibt es eine SPD-Initiative, die die Einführung eines Arbeitnehmerdatenschutzgesetzes vorschlägt. Wie notwendig sehen Sie dieses?

Die Forderung ist alt. Gleich mehrmals hat sich zudem der Bundestag in der Vergangenheit leider vergeblich für ein entsprechendes Gesetz ausgesprochen. Detaillierte Vorschläge hat auch die Internationale Arbeitsorganisation vorgelegt. Wie wichtig eine solche Regelung ist, kann man an Einzelfragen, wie etwa der Erhebung genetischer Daten, ebenso sehen wie an der Notwendigkeit, generell und verbindlich die Grenzen einer Erhebung von Arbeitnehmerdaten bei Dritten oder einer Weitergabe an Außenstehende festzulegen.

Herr Simitis, vermissen Sie angesichts der Fülle der geplanten Gesetzesvorhaben noch etwas?

Eine Reform, die diesen Namen verdient, muss bei der Kontrolle im nicht-öffentlichen Bereich ansetzen, ja sie in den Mittelpunkt stellen. Wie im öffentlichen Bereich muss es keinen Zweifel daran geben, dass es die ureigenste Aufgabe der Datenschutzbeauftragten und Aufsichtsbehörden ist, die nicht-öffentlichen Stellen bei der Verarbeitung personenbezogener Daten konstant zu überwachen und, wann immer sich Unregelmäßigkeiten andeuten, sofort und nachhaltig einzugreifen. Interne Beauftragte erfüllen so gesehen nur eine Hilfsfunktion, müssen daher mit der externen Kontrollinstanz zusammenarbeiten und sie keineswegs lediglich „in Zweifelsfällen“ anrufen.

Wären Bußgelder eine Lösung?

Noch so hohe Bußgelder sind kein Ersatz für eine echte Kontrolle. Der Datenschutz ist im Zeichen der Vorbeugung entstanden, Bußgelder hingegen sind späte Reaktionen. Kurzum, wenn man nicht die Reform vor allem als Aufgabe versteht, nun endlich eine echte Kontrolle auch im nicht-öffentlichen Bereich zu sichen, kann man den Datenschutz vergessen.

In: Das Parlament. Nr. 50-51 / 08.12.2008 (nicht mehr online)