Archiv der Kategorie: Datenschutz

So viel investiert die Politik in den Datenschutz

Datenjournalismus, Datenschutz, , , , ,

Das Europäische Parlament hat mit dem Erwägungsgrund 92 der Europäischen Datenschutzreform den Regierungen aufgegeben, dass die Aufsichtsbehörden „über angemessene finanzielle und personelle Ressourcen verfügen, um ihre Rolle vollständig wahrzunehmen“. Dabei sind „die Bevölkerungszahl und der Umfang der Verarbeitung personenbezogener Daten zu berücksichtigen“.

Eine Formel, die berechnen würde, wie gut eine Aufsichtsbehörde aufgestellt sein muss, gibt es derzeit nicht. Es hat meines Wissens nach auch nie die Anstrengungen für eine systematische Herangehensweise oder Beurteilung gegeben. Es  wird nach Gutdünken und Haushaltslage entschieden, wie viel man seiner Datenschutzaufsicht zugestehen möchte. Dass man an die Angelegenheit durchaus anders herangehen könnte, habe ich versucht in dem Beitrag „Zu kurz gekommen“ in der c’t 17/15 aufzuzeigen. Konservativ auf der Basis der heutigen Ausstattung gerechnet, sind die Behörden um den Faktor 3 bis 5 zu schlecht aufgestellt. Sie sind meiner Auffassung nach deshalb in Hinblick auf die EU-Datenschutzreform nicht voll funktionsfähig.

Zu-Kurz-Gekommen

Das wird natürlich nochmal ganz anders aussehen, wenn man verschiedene Zeitreihen anlegt. Zum vom EU-Parlament angedachten „Umfang der Verarbeitung personenbezogener Daten“ gibt es leider noch keine Zahlen über einen längeren Zeitraum. Die EU-Kommission ist erst seit letztem Jahr dabei, für die Digitale Agenda eine Reihe von Kernzahlen zu erheben. Das Bundesamt für Statistik hat über die letzten Jahren immer wieder die Erhebungsmethoden geändert, sodass hier auch keine durchgängigen Referenzzahlen für die Zeit vor 2005 existieren.  Mehr dazu hier in Bälde.

Derzeit suche ich verschiedene Möglichkeiten, doch zu einer besseren Berechnung zu kommen. Eine aktuelle Erhebung zeigt etwa die Relation zwischen Budgetansatz des laufenden Jahres und den laufenden Ausgaben des Gesamthaushalts des Vorjahres:

Datenschutz-Aufsichtsbehörden-Gesamthaushalt-2014-Ranking


Anmerkung vom 28.8.: Die ursprüngliche Grafik musste wegen eines  Formelfehlers ausgetautscht werden.

 

 

Zahlenspielerei zu Aufsichtsbehörden, die IT-Grundrechte wahren sollen

Datenschutz, Öffentlichkeit, ,

Geht man davon aus, dass die Datenschutz-Aufsichtsbehörden für

  • das Grundrecht auf informationelle Selbstbestimmung,
  • das Grundrecht auf Informationsfreiheit und
  • das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

zuständig sind, kann man erwarten, dass sie entsprechend ausgestattet sind. Welche Anhaltspunkte lassen sich zahlentechnisch dafür finden, dass sie das sind?

Zum Beispiel das Personal:  In Summe verfügen die Aufsichtsbehörden in Bund und Ländern über 444 Stellen. Eine Aufstockung ist nicht geplant (Jahr 2013, Quelle: BfDI Pressestelle und Datenschutzbarometer 2013).

 

Kernpersonal Datenschutz-Aufsichtsbehörden
Bundesland 2011 2012 2013
Baden-Württemberg 26,2 26,2 26,2
Bayern 42 45 46
Berlin 39 39 34
Brandenburg 23 22 22
Bremen k.A. k.A. k.A.
Hamburg 17,05 18,6 15,8
Hessen 43 43 35,2
Mecklenburg-Vorpommern 14 14 14
Niedersachsen 17,5 17,5 17,5
Nordrhein-Westfalen 53 53 53
Rheinland-Pfalz 18,5 18,5 17,5
Saarland k.A. k.A. k.A.
Sachsen 21 22 22
Sachsen-Anhalt 21 16 16
Schleswig-Holstein 22,25 22,25 22,25
Thüringen 15 15 15
Bund 81 89 87,5
Summe 453,5 461,05 443,95

Vergleichen wir das mit der Personalausstattung des Bundesamts für Sicherheit in der Informationstechnik (BSI): Das verfügt über 579 Stellen, eine Aufstockung um weitere 216 Stellen ist geplant (Quelle: BSI-Pressestelle). In Summe wären das 795 Stellen. Das BSI ist allerdings nur für

  • das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

zuständig.

Summa summarum: Das BSI verfügt jetzt über 130 Prozent mehr Stellen als alle behördlichen Datenschutzbeauftragten zusammen. Würde man das an den zu wahrenden Grundrechten messen – wären das dreimal so viel.

Sehen wir uns rein mengenmäßig an, was die Datenschutz-Aufsichtsbehörden in ihren Tätigkeitsberichten in einem meist zweijährlichen Zyklus produzieren:

 Tätigkeitsberichte Zeitraum Seiten
Bund Jahre 2011-2012 266
Baden-Württemberg Jahre 2012-2013 169*
Bayern öffentlich Jahre 2013-2014 258*
Bayern nicht-öffentlich Jahre 2013-2014 180
Berlin Jahr 2014 200
Brandenburg Jahre 2012-2013 234
Bremen Jahr 2014 132
Hamburg Jahre 2012-2013 277
Hessen Jahre 2012-2013 343
Mecklenburg-Vorpommern Jahre 2012-2013 146
Niedersachsen Jahre 2011-2012 140
NRW Jahre 2013-2014 157
Rheinland-Pfalz Jahre 2012-2013 162
Saarland Jahre 2013-2014 198
Sachsen Jahre 2011-2013 151
Sachsen-Anhalt Jahre 2011-2013 189*
Schleswig-Holstein Jahre 2013-2014 165
Thüringen Nicht-öffentlich Jahre 2011-2013 142
Thüringen öffentlich Jahre 2011-2013 251*
 Summe   3760
Ausgleich zweijähriger Berichtzyklus 332
Summe nach Ausgleich   4092

Nach einer Auswertung der aktuellsten Berichte kommt man auf 4.092 Seiten 

– abzüglich aufblähender Anhänge (*), ohne Berücksichtigung auf das Seitenformat und einem Ausgleich für die Berichte, die in Bremen und Berlin jährlich abgegeben werden.

Setzen wir das wieder in Bezug auf das BSI:

Theoretisch müsste das BSI entsprechend seiner Personalausstattung 5.336 Seiten produzieren. Passen wir diese Zahl großzügig auf das von ihm vertretene Grundrecht mit „geteilt durch 3“ grob an, kommen wir auf 1788 Seiten.

Was aber produziert das BSI tatsächlich? Der letzte Jahresbericht war gerade 49 Seiten lang – wobei durch etliche leere Seiten (Kapitelüberleitungen, etc.) das Volumen Design-technisch etwa um 11 Seiten aufgebläht wurde. Aber wir bereinigen hier nicht: Wir nehmen die 49 Seiten und setzen sie in Bezug auf die 1.788 Soll-Seiten – das wären dann 2,75 Prozent dessen, was die Kollegen in den Datenschutz-Aufsichtsbehörden produzieren.

Klassisch gerechnet, also ohne Berücksichtigung der Grundrechte-Vertretung, produziert das BSI aber nur 1,2 Prozent des Umfangs der Datenschutz-Aufsichtsbehörden.

Denkt man an die gesetzliche vorgeschriebene Bürger-Orientierung der Behörde („BSI für Bürger“) gibt es noch etwas Luft nach oben. Oder macht die, gemessen an der Transparenz der Behörde,  nur 1,2 Prozent aus? Mal locker korreliert.

Andrea Voßhoff: „Ich bin nicht diejenige, die den Sicherheitsbehörden ihre Wünsche formuliert.“

Datenschutz, , ,

So könnte man das neue Rollenverständnis der Bundesdatenschutzbeauftragten Andrea Voßhoff beschreiben. Aber man könnte es auch positiver formulieren: Sehr orientiert an der Rechtsprechung des Bundesverfassungsgerichts.

In einem Hintergrundgespräch vor einigen Monaten erzählte sie mir auf die Frage, was sie denn jetzt am Thema Datenschutz faszinieren würde, dass sie sehr aufmerksam das Urteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung studiert habe. Und dabei sei ihr doch aufgefallen, wie wenig dessen Argumentation in der vorherigen politischen Diskussion eine Rolle gespielt habe. Frage von mir: Bezüglich der Diskussion in der Union oder allen Parteien? Antwort: Allen Parteien. Deshalb wolle sie jetzt auch stärker ihre Beratungsauftrag als BfDI im Bundestag wahrnehmen.

Ich hoffe, sie stößt dabei auf offene Türen.

Zur vollständigen Dokumentation der Kontext, in dem der oben zitierte Satz gefallen ist: Eine Recherche zum Thema Quellen-TKÜ für heise online, deren Ergebnisse in eine Meldung eingeflossen sind. Die Antworten erhielt ich am 27. Januar 2015.

Frage: Ist die BfDI der Auffassung, dass die Paragraphen 100a und b StPO im Ein-klang mit der Rechtsprechung eine geeignete Rechtsgrundlage für die Quellen-TKÜ darstellen?

Nein. Sie sind keine geeignete Rechtsgrundlage für eine Quellen-Telekommunikationsüberwachung. In seinem Urteil zur Online-Durchsuchung hat das Bundesverfassungsgericht „rechtliche Vorgaben“ gefordert. Der Gesetzgeber muss damit nach Ansicht des Gerichts die Risiken begrenzen, die mit der Infiltration des Systems verbunden sind. Diese Risiken entstehen nicht erst dann, wenn die Ermittlungsbehörden das angegriffene System gezielt auslesen. Sie können schon vorher entstehen, wenn eine Behörde Sicherheitslücken des Zielsystems gezielt aus-nutzt und dort eine Überwachungssoftware einpflanzt. Für all dies enthalten die Re-gelungen der Strafprozessordnung keine Vorkehrungen. Sie sind daher offenkundig nicht als Rechtsgrundlage für eine Quellen-TKÜ gedacht – jedenfalls im Sinne der Rechtsprechung des Bundesverfassungsgerichts.

Frage: Plädieren Sie für eine gesetzliche Klarstellung für die Quellen-TKÜ?

Ich bin nicht diejenige, die den Sicherheitsbehörden ihre Wünsche formuliert.

Frage: Derzeit wird die Software für Quellen-TKÜ mit dem Ziel der Rechtskonformität nachgearbeitet. Welche Punkte haben Sie hier moniert?

Nur der guten Ordnung halber nochmals: Die Maßnahme kommt nach meiner Auf-fassung nur dort in Betracht, wo eine gesetzliche Grundlage besteht. Das ist derzeit nur bei den Vorschriften des Bundeskriminalamtgesetzes zur Bekämpfung des inter-nationalen Terrorismus der Fall. Meine Behörde hat sich dafür eingesetzt, dass der Quellcode der Software beim „Besteller“ (BKA) selbst zu prüfen und gegenüber entsprechenden Prüfstellen offenzulegen ist.

(Mündliche Nachfrage: Eingesetzt – was heißt das? Wie ist der Stand der Dinge?

Antwort Pressestelle: Einsicht in den Quellcode ist konsentiert. Frage ist aber, ob dies angesichts der personellen Kapazitäten machbar ist.)

Frage: Gibt es aus Ihrer Sicht eine rechtliche Grundlage für den Einsatz von Quellen-TKÜ seitens der Nachrichtendienste BND und BfV?

Nein. Hier gilt dasselbe wie bei § 100a StPO. Generell bin ich der Auffassung, dass besonders eingriffsintensive Mittel in den Gesetzen für die Nachrichtendienste genau geregelt werden müssen. Die derzeitigen generalklauselartigen Regelungen im Bundesverfassungsschutzgesetz sind aufgrund der inzwischen ergangenen Rechtsprechung des Bundesverfassungsgerichts unabhängig davon nicht mehr zeitgemäß.

Frage: Wenn der BND um Mittel für den Erwerb von Informationen zu nicht-öffentlichen Schwachstellen in Software bittet, dient dies vermutlich dem Zweck, in gesicherte Systeme einzudringen. Gibt es hierfür aus Ihrer Sicht eine Rechtsgrundlage?

Wenn die Vermutung zuträfe, dann nein! Das hat das Bundesverfassungsgericht in seiner Entscheidung zur sog. Online-Durchsuchung ja auch recht deutlich gesagt.