Datenschutzalltag

Letzte Woche auf der IAA hatte BfDI Peter Schaar vor Hackerangriffen auf Elektroautos gewarnt. Für seine Datenmissbrauchsszenarienwar er teilweise belächelt worden (siehe z.B. die Kommentare am Ende der o.a. Seite):

Möglich sei, dass Unternehmen oder staatliche Stellen Bewegungsprofile von Fahrern erstellen. So könnten Steuerbehörden und Versicherungen sehr interessiert an den Autodaten sein. Besonders durch die Hybrid-Technik und elektronische Fahrassistenten falle eine große Menge an Daten an.

Die Daten könnten in die Hände der Anbieter gelangen, wenn der Fahrer das Auto zum Tanken an eine Strom-Zapfsäule anschließt. „Ich stelle mir eine Google-Zapfsäule vor“, sagt Schaar. „Dort kann man vielleicht etwas günstiger tanken, muss aber Dinge über sich und sein Auto preisgeben.“

Heute erreicht mich eine Meldung über Futurezone: “Auto-Ortung entpuppt sich als Datenkrake“. Danach stellt der Auto-Ortungsdienst OnStar die Übertragung der Fahrzeugdaten auch nach Ende eines laufenden Service-Vertrages nicht ein. Zu diesem Zweck hat man flugs die Vertragsbedingungen geändert . Danach besitzt OnStar nun das Recht, die Daten in anonymisierter Form weiterzugeben.Der Bedarf ist vorhanden…
Ob man hier von einer Anonymisierung sprechen kann, scheint mir fraglich.

Zwei Schlussfolgerungen aus meiner Sicht:

1. Fahrzeug- und Fahrerdaten wecken Begehrlichkeiten, weil wertvoll sind. Wir dürfen uns auf immer neue “Ausbeutungsszenarien” freuen.

2. Was machbar ist, wird gemacht: Anfallende Daten werden genutzt. Früher oder später. Eher früher als später.

Wie Internetworld meldete, startet zum 1. Januar 2012 der “Deutsche Datenschutzrat Onlinewerbung” mit seiner operativen Arbeit. Das Gremium beackert Nebenkriegsschauplätze: Ob “zum Beispiel Cookies rechtskonform gesetzt und beim User Tracking keine Datenschutzrichtlinien verletzt werden”. Praktisch, wenn man sich diese Datenschutzrichtlinien gleich selber vorgeben kann! Ziel der Selbstregulierung ist es natürlich, “politischen Druck auf die digitale Wirtschaft zu vermeiden”. Als Digitalwirtschaftler sollte ich mir mehr Sorgen um den wirtschaftlichen Druck meiner Nutzer machen…

Folgender Abschnitt hat mich letztlich zum Verfassen dieses Textes an die Tastatur getrieben:

Wer dem Datenschutzrat vorstehen wird, steht noch nicht fest. BVDW-Vizepräsident Ehrlich geht davon aus, dass der BVDW diese Position übernehmen wird: “Wir haben in Sachen Datenschutz die größte Expertise”.

Das halte ich doch für … etwas zu hoch gegriffen.
Vor zwei Jahren hatte der BVDW (“Wir sind das Netz”) schon einmal Superlative bemüht:

Mit dem Deutschen Internet Rat (DIR) baut der Bundesverband Digitale Wirtschaft (BVDW) e.V. die wichtigste Initiative zur Harmonisierung von Verbraucher- und Wirtschaftsinteressen im Internet auf.

Die letzten Datenspuren zur “Initiative Deutscher Internet Rat (DIR)” verlieren sich im September 2009. Sorry, aber deshalb erwarte ich von Selbstregulierung allgemein und vom “Deutschen Datenschutzrat Onlinewerbung” im Besonderen nicht sehr viel.

Der Bundestag beginnt am Donnerstag (24.2.2011) mit den Beratungen zum Beschäftigtendatenschutz.  Auf der Tagesordnung stehen erste Lesungen zum Gesetzesentwurf der Bundesregierung (Drs 17/4230) sowie zu einem alternativen Entwurf von BÜNDNIS 90/DIE GRÜNEN.

Bleibt zu hoffen, dass die öffentliche Diskussion zu diesem wichtigen Thema wieder Fahrt aufnimmt; von den Folgen der Gesetzesänderungen sind schließlich Millionen Arbeitnehmer (und ihre Arbeitgeber) betroffen.

In dieser Woche fand das 31. Triberger Symposium 2010 unter dem Titel “Datenschutz im 21. Jahrhundert – Realität, Perspektive oder Illusion?” statt.

Ganz nebenbei: Die bisherigen 30 Symposien waren mir nicht aufgefallen; ich weiß auch erst seit heute, wo Triberg liegt. Weder der Wikipedia-Eintrag noch die Homepage von Triberg weisen auf das Symposium hin.

Die Medien pickten sich Peter Schaars Äußerungen zum “Quick Freeze Plus” heraus. Ich fand im Heise-Artikel eine andere Aussage hochinteressant. Der baden-württembergische Justizminister Ulrich Goll meinte u.a.:

Goll schilderte seiner Beobachtung, wonach alle Datenschützer, die länger im Amt seien, einen “Prozess der Radikalisierung” durchlaufen würden angesichts der Erfahrung, wie lässig der Datenschutz in Deutschland mitunter gehandhabt werde. Sein “Aha-Erlebnis” habe er bei der Diskussion um den elektronischen Einkommensnachweis ELENA gehabt, bei dem Daten auf Vorrat für künftige Abfragen von Sozialbehörden gespeichert werden. “Ich habe gedacht, ich bin im falschen Film”, sagte Goll.

Weiterlesen ‘Radikalisierte Datenschutzbeauftragte’ »

Ganz Internetdeutschland wartet seit dem Geodatengipfel gebannt auf die Bescherung am 7.Dezember: Zum IT-Gipfel der Bundesregierung soll die Internetwirtschaft einen Datenschutz-Kodex vorlegen; gleichzeitig will das BMI den Entwurf eines Geodaten-Gesetzes präsentieren.

Über das Für und Wider von Selbstverpflichtungen ist in den letzten Monaten heftig gestritten worden; die Gräben verlaufen beispielsweise quer durch das Bundeskabinett. Umso bemerkenswerter fand ich die folgende Meldung ausgerechnet aus den USA, bisher in Datenschutzfragen eher als “Mutterland der Selbstregulierung” bekannt:

Mitarbeiter von US-Präsident Barack Obama entwickeln derzeit eine Strategie, um den Datenschutz im Internet künftig besser durchzusetzen zu können, berichtet das Wall Street Journal (WSJ) unter Berufung auf Regierungskreise. [...]
Einen klaren Abriss der neuen Strategie gibt es bislang offenbar noch nicht. In ersten Überlegungen habe die Obama-Regierung aber angemerkt, dass die Bemühungen zur Selbstkontrolle der Internetwirtschaft für eine Sicherung der Privatsphäre der Nutzer im Netz nicht ausreichten, schreibt das WSJ. Über ein neues “Datenschutzbüro” im Weißen Haus sollten daher jetzt Schritte eingeleitet werden, um das Vertrauen der Bürger in Online-Anwendungen zu erhöhen.

Quelle: Heise

Hoffen wir das Beste! Dass einer der Verantwortlichen ausgerechnet Schroeder heisst (Christopher Schroeder, Leiter des Office of Legal Policy im US-Justizministerium) , werte ich ganz persönlich als gutes Zeichen

Update: Hier ist der Link zum Artikel im Wall Street Journal

Noch ein Update: Fran Maier prognostiziert im TRUSTe-Blog: “Ultimately, I think an effective combination of bottom-up (self-regulatory) and top-down (federal regulation) efforts will carry the day.”

Am 5.11. hat der Bundesrat seine Stellungnahme zum “Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes” abgegeben (Link, pdf).

An einigen Stellen wurde gegenüber den Ausschussbeschlüssen zurückgerudert – das gehört zum politischen Geschäft. In die nächste Runde hat es u.a. folgende Forderung geschafft:

[BDSG] § 4f wird folgender Absatz angefügt:
“(6) Soweit eine Interessenvertretung keine andere Person betraut, nimmt der Beauftragte für den Datenschutz nach Absatz 1 die datenschutzrechtliche Kontrolle der Interessenvertretung wahr. Dabei unterliegt der Beauftragte für den Datenschutz der Geheimhaltung.”‘

Die guten Nachrichten: Der Bundesrat will die bisher ungeklärte datenschutzrechtliche Kontrolle der Interessenvertretungen regeln. Diese Kontrolle soll “eigentlich” der Beauftragte für den Datenschutz  übernehmen. Darüber habe ich mich zurecht gefreut.

Die weniger gute Nachricht steht am Anfang der Forderung: Weiterlesen ‘Bundesrat will Datenschutzkontrolle bei Interessenvertretungen regeln’ »

Der Entwurf ist heute netzweit diskutiert und mit netten Thilo-Weichert-Fotos (1,2)verbreitet worden.

Ich begrüße den Vorstoß in Richtung “privacy by default” (wenn mir auch ein deutsches Schlagwort besser gefallen würde), den Ansatz eines vererbbaren Löschdatums sowie die beabsichtigte Klarstellung zum Thema “elektronische Einwilligungen”. Im Kernpunkt allerdings schließe ich mich der Kritik von RA Thomas Stadler an, was das unpraktikable Widerspruchsrecht im Einzelfall angeht.

So oder so, ein Gesetzentwurf mehr schadet in keinem Fall und legt die Latte für die spätestens zum 7.12. erwarteten Papiere von Wirtschaft & BMI höher.

Auf Basis der veröffentlichten Empfehlungen habe ich die Änderungswünsche der Bundesratsausschüsse in den Kabinettsbeschluss eingearbeitet, um die Forderungen zu verdeutlichen. Das vorliegende PDF “Beschäftigtendatenschutz_Stand_der_Dinge” habe ich zuerst für mich selbst erstellt, gebe es aber gern weiter – natürlich ohne Gewähr auf Vollständigkeit, Fehlerfreiheit etc.

Wer sicher gehen will, vergleiche die Originaldokumente.

Die Beschlussempfehlungen der Bundesratsausschüsse für die Sitzung am 5. November liegen als Drucksache 535/2/10 (pdf) vor. Auf 46 Seiten werden zahlreiche Verbesserungen zugunsten der Beschäftigten angemahnt. Ganz grundsätzlich fordert der Bundesrat – wenn er am nächsten Freitag den Ausschussempfehlungen folgt – aus Gründen der Praxistauglichkeit ein eigenständiges Beschäftigtendatenschutzgesetz.

Detailinformationen zu strittigen (und ebenso interessant: unstrittigen) Punkten folgen an dieser Stelle – spätestens nach dem Beschluss des Bundesrates am 5.11.
Weiterlesen ‘Bundesratsausschüsse fordern separates Beschäftigtendatenschutzgesetz’ »

Wie zu erwarten war, berät der Bundesrat auf seiner 876. Sitzung am 5. November über den vorliegenden Gesetzentwurf zum Beschäftigtendatenschutz. Das ist der vorläufigen Tagesordnung (pdf) zu entnehmen.