Schlagwort-Archiv: Datenschutz

So viel geben die Bundesländer pro Einwohner für den Datenschutz aus

Und hier weitere Zahlen zur Ausstattung der Datenschutz-Aufsicht durch die Politik – diesmal sehr eng angelehnt an den Erwägungsgrund 92 des Europäischen Parlaments zu Datenschutzreform, wonach „die Bevölkerungszahl und der Umfang der Verarbeitung personenbezogener Daten zu berücksichtigen“ sind. Die Fläche des Landes spielt ausdrücklich keine Rolle, ebensowenig die Haushaltslage. Hier also die Berechnung entlang der Bevölkerungszahl:

Ausgaben-Aufsichtsbehörden-Bevölkerung-Bundesland-2015

 

P.S. Bremen ist klar Spitzenreiter, weil es vergleichsweise wenige Einwohner hat und irgendwie eine halbwegs funktionierende Behörde aufstellen muss. Herausragend sind aber Berlin, Hessen und Schleswig-Holstein.

Hier die Rohdaten:

Bevölkerung 31.12.2013 Budgetansatz Aufsichtsbehörden 2015 Euro pro Bewohner
Bund 80.767.463 6.359.000 € 0,08 €
Baden-Württemberg 10.631.278 1.984.300 € 0,19 €
Nordrhein-Westfalen 17.571.856 3.893.900 € 0,22 €
Bayern 12.604.244 3.115.200 € 0,25 €
Rheinland-Pfalz 3.994.366 1.576.400 € 0,39 €
Niedersachsen 7.790.559 3.517.000 € 0,45 €
Sachsen 4.046.385 2.086.100 € 0,52 €
Brandenburg 2.449.193 1.719.700 € 0,70 €
Schleswig-Holstein 2.815.955 2.088.000 € 0,74 €
Hessen 6.045.425 4.536.700 € 0,75 €
Thüringen 2.160.840 1.658.500 € 0,77 €
Sachsen-Anhalt 2.244.577 1.785.100 € 0,80 €
Saarland 990.718 807.600 € 0,82 €
Hamburg 1.746.342 1.441.000 € 0,83 €
Mecklenburg-Vorpommern 1.596.505 1.417.700 € 0,89 €
Berlin 3.421.829 3.234.100 € 0,95 €
Bremen 657.391 957.000 € 1,46 €

So viel investiert die Politik in den Datenschutz

Das Europäische Parlament hat mit dem Erwägungsgrund 92 der Europäischen Datenschutzreform den Regierungen aufgegeben, dass die Aufsichtsbehörden „über angemessene finanzielle und personelle Ressourcen verfügen, um ihre Rolle vollständig wahrzunehmen“. Dabei sind „die Bevölkerungszahl und der Umfang der Verarbeitung personenbezogener Daten zu berücksichtigen“.

Eine Formel, die berechnen würde, wie gut eine Aufsichtsbehörde aufgestellt sein muss, gibt es derzeit nicht. Es hat meines Wissens nach auch nie die Anstrengungen für eine systematische Herangehensweise oder Beurteilung gegeben. Es  wird nach Gutdünken und Haushaltslage entschieden, wie viel man seiner Datenschutzaufsicht zugestehen möchte. Dass man an die Angelegenheit durchaus anders herangehen könnte, habe ich versucht in dem Beitrag „Zu kurz gekommen“ in der c’t 17/15 aufzuzeigen. Konservativ auf der Basis der heutigen Ausstattung gerechnet, sind die Behörden um den Faktor 3 bis 5 zu schlecht aufgestellt. Sie sind meiner Auffassung nach deshalb in Hinblick auf die EU-Datenschutzreform nicht voll funktionsfähig.

Zu-Kurz-Gekommen

Das wird natürlich nochmal ganz anders aussehen, wenn man verschiedene Zeitreihen anlegt. Zum vom EU-Parlament angedachten „Umfang der Verarbeitung personenbezogener Daten“ gibt es leider noch keine Zahlen über einen längeren Zeitraum. Die EU-Kommission ist erst seit letztem Jahr dabei, für die Digitale Agenda eine Reihe von Kernzahlen zu erheben. Das Bundesamt für Statistik hat über die letzten Jahren immer wieder die Erhebungsmethoden geändert, sodass hier auch keine durchgängigen Referenzzahlen für die Zeit vor 2005 existieren.  Mehr dazu hier in Bälde.

Derzeit suche ich verschiedene Möglichkeiten, doch zu einer besseren Berechnung zu kommen. Eine aktuelle Erhebung zeigt etwa die Relation zwischen Budgetansatz des laufenden Jahres und den laufenden Ausgaben des Gesamthaushalts des Vorjahres:

Datenschutz-Aufsichtsbehörden-Gesamthaushalt-2014-Ranking


Anmerkung vom 28.8.: Die ursprüngliche Grafik musste wegen eines  Formelfehlers ausgetautscht werden.

 

 

Andrea Voßhoff: „Ich bin nicht diejenige, die den Sicherheitsbehörden ihre Wünsche formuliert.“

So könnte man das neue Rollenverständnis der Bundesdatenschutzbeauftragten Andrea Voßhoff beschreiben. Aber man könnte es auch positiver formulieren: Sehr orientiert an der Rechtsprechung des Bundesverfassungsgerichts.

In einem Hintergrundgespräch vor einigen Monaten erzählte sie mir auf die Frage, was sie denn jetzt am Thema Datenschutz faszinieren würde, dass sie sehr aufmerksam das Urteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung studiert habe. Und dabei sei ihr doch aufgefallen, wie wenig dessen Argumentation in der vorherigen politischen Diskussion eine Rolle gespielt habe. Frage von mir: Bezüglich der Diskussion in der Union oder allen Parteien? Antwort: Allen Parteien. Deshalb wolle sie jetzt auch stärker ihre Beratungsauftrag als BfDI im Bundestag wahrnehmen.

Ich hoffe, sie stößt dabei auf offene Türen.

Zur vollständigen Dokumentation der Kontext, in dem der oben zitierte Satz gefallen ist: Eine Recherche zum Thema Quellen-TKÜ für heise online, deren Ergebnisse in eine Meldung eingeflossen sind. Die Antworten erhielt ich am 27. Januar 2015.

Frage: Ist die BfDI der Auffassung, dass die Paragraphen 100a und b StPO im Ein-klang mit der Rechtsprechung eine geeignete Rechtsgrundlage für die Quellen-TKÜ darstellen?

Nein. Sie sind keine geeignete Rechtsgrundlage für eine Quellen-Telekommunikationsüberwachung. In seinem Urteil zur Online-Durchsuchung hat das Bundesverfassungsgericht „rechtliche Vorgaben“ gefordert. Der Gesetzgeber muss damit nach Ansicht des Gerichts die Risiken begrenzen, die mit der Infiltration des Systems verbunden sind. Diese Risiken entstehen nicht erst dann, wenn die Ermittlungsbehörden das angegriffene System gezielt auslesen. Sie können schon vorher entstehen, wenn eine Behörde Sicherheitslücken des Zielsystems gezielt aus-nutzt und dort eine Überwachungssoftware einpflanzt. Für all dies enthalten die Re-gelungen der Strafprozessordnung keine Vorkehrungen. Sie sind daher offenkundig nicht als Rechtsgrundlage für eine Quellen-TKÜ gedacht – jedenfalls im Sinne der Rechtsprechung des Bundesverfassungsgerichts.

Frage: Plädieren Sie für eine gesetzliche Klarstellung für die Quellen-TKÜ?

Ich bin nicht diejenige, die den Sicherheitsbehörden ihre Wünsche formuliert.

Frage: Derzeit wird die Software für Quellen-TKÜ mit dem Ziel der Rechtskonformität nachgearbeitet. Welche Punkte haben Sie hier moniert?

Nur der guten Ordnung halber nochmals: Die Maßnahme kommt nach meiner Auf-fassung nur dort in Betracht, wo eine gesetzliche Grundlage besteht. Das ist derzeit nur bei den Vorschriften des Bundeskriminalamtgesetzes zur Bekämpfung des inter-nationalen Terrorismus der Fall. Meine Behörde hat sich dafür eingesetzt, dass der Quellcode der Software beim „Besteller“ (BKA) selbst zu prüfen und gegenüber entsprechenden Prüfstellen offenzulegen ist.

(Mündliche Nachfrage: Eingesetzt – was heißt das? Wie ist der Stand der Dinge?

Antwort Pressestelle: Einsicht in den Quellcode ist konsentiert. Frage ist aber, ob dies angesichts der personellen Kapazitäten machbar ist.)

Frage: Gibt es aus Ihrer Sicht eine rechtliche Grundlage für den Einsatz von Quellen-TKÜ seitens der Nachrichtendienste BND und BfV?

Nein. Hier gilt dasselbe wie bei § 100a StPO. Generell bin ich der Auffassung, dass besonders eingriffsintensive Mittel in den Gesetzen für die Nachrichtendienste genau geregelt werden müssen. Die derzeitigen generalklauselartigen Regelungen im Bundesverfassungsschutzgesetz sind aufgrund der inzwischen ergangenen Rechtsprechung des Bundesverfassungsgerichts unabhängig davon nicht mehr zeitgemäß.

Frage: Wenn der BND um Mittel für den Erwerb von Informationen zu nicht-öffentlichen Schwachstellen in Software bittet, dient dies vermutlich dem Zweck, in gesicherte Systeme einzudringen. Gibt es hierfür aus Ihrer Sicht eine Rechtsgrundlage?

Wenn die Vermutung zuträfe, dann nein! Das hat das Bundesverfassungsgericht in seiner Entscheidung zur sog. Online-Durchsuchung ja auch recht deutlich gesagt.

„Mehr echte Kontrolle“

Interview mit Spiros Simitis. Der Jurist und Datenschutzexperte hält eine radikale Überprüfung der Bestimmungen für unvermeidbar.

Der Bundestag behandelt in den nächsten Wochen eine ganze Reihe von Datenschutzvorhaben. Ist das ein gutes Zeichen für den Datenschutz?

Vordergründig sicherlich, weil eine Reihe durchaus akuter Probleme angegangen wird. Längst fällig ist aber weit mehr: Die geltenden gesetzlichen Anforderungen an die Verarbeitung personenbezogener Daten müssen radikal überprüft und über weite Strecken neu gestaltet werden.

Wie meinen Sie das?

Den Anfang machten in den 70er Jahren allgemeine Datenschutzgesetze. Sehr bald zeigte sich allerdings, dass sich ein effizienter Datenschutz an konkreten Problembereichen orientieren und auf sie einwirken muss. Doch die mittlerweile immer zahlreicheren bereichsspezifischen Regelungen sind nicht aufeinander abgestimmt und, schlimmer noch, willkommene Ansätze, den Datenschutz gezielt zurückzunehmen. Die offene Zulassung der mit einem der unverzichtbaren Grundsätze des Datenschutzes, der Zweckbindung, unvereinbaren Vorratsdatenspeicherung ist ein Musterbeispiel dafür.

Was wäre Ihrer Meinung nach die Lösung?

Wir brauchen eine allgemeinen Regelung, in der die generell geltenden Datenschutzgrundsätze festgeschrieben werden müssen sowie daran immer wieder gemessene und konsequent aufeinander abgestimmte bereichsspezifische Regelungen.

Die vom jetzt wiedergewählten Bundesdatenschutzbeauftragten Peter Schaar vor kurzem zur Diskussion gestellte Charta für digitalen Datenschutz und Informationsfreiheit geht doch schon in diese Richtung?

Ohne Zweifel ein wichtiger Ansatz. Mehr denn je kommt es aber unabhängig davon beispielsweise darauf an, unmissverständlich klarzustellen, dass der Zugriff auf personenbezogene Daten immer die Ausnahme bleiben muss und stets eine gesetzliche Regelung voraussetzt. Erst recht gilt es anders als bisher die Einwilligung der Betroffenen nicht den gesetzlichen Vorschriften gleichzustellen.

Warum?

Allein schon die Erfahrungen mit den Allgemeinen Geschäftsbedingungen in den Alltagsgeschäften hätten genügt, um Misstrauen zu wecken. Denken sie zudem an die Abhängigkeit derjenigen, die wie etwa bei einem Arbeitsverhältnis, ihre Daten weitergeben sollen. Und schließlich: Die Einwilligung hat sich als das wirksamste Instrument einer Verarbeitungsstrategie erwiesen, die dazu verhilft, nahezu alle gesetzliche Schranken zu umgehen und alle Daten zu bekommen, die man nur möchte. Sie muss daher auf gesetzlich definierte Fälle beschränkt bleiben.

Die jetzt vorgesehene Novelle des Bundesdatenschutzgesetzes will Verbrauchern mehr Rechte hinsichtlich des von Auskunfteien betriebenen Scorings geben. Genügen die nun vorgesehenen Regelungen aus Ihrer Sicht?

Nein. Scoring muss lediglich im Kreditbereich akzeptiert und nicht etwa ebenso selbstverständlich bei Arbeitsverhältnissen hingenommen werden. Die Betroffenen müssen zudem immer wissen, wer ihre Daten bekommt, weil sie nur dann sich darauf einstellen und reagieren können. Ausnahmen zugunsten von Auskunfteien sind so gesehen völlig fehl am Platz.

Wie sehen Sie die Verarbeitung von Geodaten?

Geodaten sind genau genommen ein weiterer Schritt in einer längst klar gewordenen Richtung. Sie vervollständigen die Informationen über die Betroffenen, indem diese geortet werden und so auch einen Einblick in weitere Daten wie etwa zu den Vermögensverhältnissen und zum sozialen Umfeld vermitteln.

Inwiefern?

Spätestens hier zeigt sich, dass wir einen Punkt in der Verarbeitung personenbezogener Daten erreicht haben, der zu wenig zu Kenntnis genommen wird. Als wir in den 70er Jahren begonnen haben, ging es darum, welche Daten überhaupt verarbeitet werden dürfen. Das ist heute sinlos, weil alles schon verarbeitet worden ist.

Welche Konsequenzen hat das?

Mehr und mehr rückt die Vernetzung in den Mittelpunkt der Datenverarbeitung. Mehr und mehr wird sie aber vor diesem Hintergrund auch dafür genutzt, das Verhalten des Einzelnen präventiv zu steuern. Denken Sie an die heftigen Diskussionen über die Gesundheitskarte oder die sich mittlerweile verdichtenden Erfahrungen mit den Informationserwartungen an die Biobanken, Gleichviel, ob es um öffentliche Institutionen oder private Versicherungen geht, der Akzent liegt durchweg auf einer kontinuierlichen Verarbeitung der Daten aktueller oder potentieller Patienten, die primär auf ein Verhalten gerichtet ist, das Krankheitsrisiken möglichst gar nicht erst aufkommen lässt.

Datenschutzkonforme Verfahren und Produkte sollen künftig über ein Audit geprüft werden. Wie beurteilen Sie die geplante Umsetzung?

Der Vorteil liegt auf der Hand. Mit dem Audit wird ein Verfahren anerkannt und gesichert, das eine verlässliche Überprüfung der datenverarbeitenden Stellen gewährleistet. Eben deshalb ist es aber nicht verständlich, wieso es ein Audit nur geben soll, wenn es die verarbeitende Stelle nicht bei den üblichen Anforderungen belässt, sondern die Verarbeitungsvoraussetzungen erhöht. Soll das Audit wirklich den Datenschutz verbessern, muss es immer möglich sein, sich dafür zu entscheiden.

Im Bundesrat gibt es eine SPD-Initiative, die die Einführung eines Arbeitnehmerdatenschutzgesetzes vorschlägt. Wie notwendig sehen Sie dieses?

Die Forderung ist alt. Gleich mehrmals hat sich zudem der Bundestag in der Vergangenheit leider vergeblich für ein entsprechendes Gesetz ausgesprochen. Detaillierte Vorschläge hat auch die Internationale Arbeitsorganisation vorgelegt. Wie wichtig eine solche Regelung ist, kann man an Einzelfragen, wie etwa der Erhebung genetischer Daten, ebenso sehen wie an der Notwendigkeit, generell und verbindlich die Grenzen einer Erhebung von Arbeitnehmerdaten bei Dritten oder einer Weitergabe an Außenstehende festzulegen.

Herr Simitis, vermissen Sie angesichts der Fülle der geplanten Gesetzesvorhaben noch etwas?

Eine Reform, die diesen Namen verdient, muss bei der Kontrolle im nicht-öffentlichen Bereich ansetzen, ja sie in den Mittelpunkt stellen. Wie im öffentlichen Bereich muss es keinen Zweifel daran geben, dass es die ureigenste Aufgabe der Datenschutzbeauftragten und Aufsichtsbehörden ist, die nicht-öffentlichen Stellen bei der Verarbeitung personenbezogener Daten konstant zu überwachen und, wann immer sich Unregelmäßigkeiten andeuten, sofort und nachhaltig einzugreifen. Interne Beauftragte erfüllen so gesehen nur eine Hilfsfunktion, müssen daher mit der externen Kontrollinstanz zusammenarbeiten und sie keineswegs lediglich „in Zweifelsfällen“ anrufen.

Wären Bußgelder eine Lösung?

Noch so hohe Bußgelder sind kein Ersatz für eine echte Kontrolle. Der Datenschutz ist im Zeichen der Vorbeugung entstanden, Bußgelder hingegen sind späte Reaktionen. Kurzum, wenn man nicht die Reform vor allem als Aufgabe versteht, nun endlich eine echte Kontrolle auch im nicht-öffentlichen Bereich zu sichen, kann man den Datenschutz vergessen.

In: Das Parlament. Nr. 50-51 / 08.12.2008 (nicht mehr online)