NSA, Google und Co. Wie steht es um das Recht auf informationelle Selbstbestimmung? Thilo Weichert, Leiter des ULD Landesbeauftragter für Datenschutz Schleswig-Holstein Journalismus in vernetzten Zeiten Der Feind hört mit – Und wen interessiert´s? Ver.di-Institut für Bildung, Medien u. Kunst Lage-Hörste, 17. Oktober 2014
Inhalt Unabhängiges Landeszentrum für Datenschutz – ULD Chancen und Risiken Rechtliche Grundlagen Konflikte mit Internet-Anbietern Spezielle Rechtsfragen Regelungsansätze und -möglichkeiten USA Ansätze zum Selbstschutz Weichert - Lage-Hörste NSA, Google & Co. Folie 2
Unabhängiges Landeszentrum für Datenschutz KontrolleBeratungAusbildung inkl. DATEN- SCHUTZ- AKADEMIE IT-LaborModell- Projekte GütesiegelAudit Verwaltung Wirtschaft Bürger Primäre Adressaten: Wirtschaft, Wissenschaft, Verwaltung Weichert - Lage-Hörste NSA, Google & Co. Folie 3
Chancen Information und Kommunikation Verwaltung und Bereitstellung eigener Daten, Bilder, Texte , Teilnahme an Foren, Austausch mit Behörden und Unternehmen, berufliches Engagement im Netz eCommerce, Webshops Wikipedia, Blogs Demokratischer Austausch, Online-Petitionen Soziale Netzwerke Informationsportale, Selbstdarstellungen, Veröffentlichungen zu Wissenschaft, Literatur, Kunst..., örtl. Orientierungshilfen Newsportale (Schrift, Ton und Bild) Suchmaschinen Unterhaltung und Spiele Weichert - Lage-Hörste NSA, Google & Co. Folie 4
Risiken Ausforschung, Ausspionieren der Privat- und Sozialsphäre Anprangerung, Diskreditierung, Rufmord Manipulation und Falschinformation Belästigung durch Werbung, Spam Identitätsdiebstahl Internetbetrug Abzocke Internetabhängigkeit, Netz als Droge (Sex, Glücksspiele, Soziale Netzwerke) > Nutzen, aber mit Vorsicht Weichert - Lage-Hörste NSA, Google & Co. Folie 5
Rechtliche Grundlagen Grundrechte auf Datenschutz, Telekommunikationsgeheim- nis, Meinungsfreiheit (Art. 7, 8, 11 Europäische Grund- rechteCharta, Art. 2 I iVm 2 I, 10 GG) Nationale Datenschutzgesetze Europäische Datenschutzrichtlinie (1996), künftig Europäische Datenschutz-Grundverordnung, E-Privacy- Directive (u.a. Art. 5 Abs. 3 – Cookieregelung) Viele weitere Gesetze und europäische Regelungen, z. B. zum Verbraucherschutz, AGB, Fernabsatz, Urheber- und Markenrecht, Vertragsrecht Weichert - Lage-Hörste NSA, Google & Co. Folie 6
Nationale Gesetze Für Inhaltsdaten: Bundesdatenschutzgesetz (BDSG) Für Bestands- und Nutzungsdaten von Telemedien Telemediengesetz (TMG) Für Bestands- und Nutzungsdaten von Netzen Telekommunikationsgesetz (TKG) Abgrenzung wird zunehmend schwierig Sensibilität bei Metadaten in Bezug auf Profiling, Tracking, Scoring, Personalizing höher als bei vielen Inhaltsdaten Weichert - Lage-Hörste NSA, Google & Co. Folie 7
7 Regeln des Datenschutzes Rechtmäßigkeit (Art. 5 ff. EU-DSRL) Einwilligung (Art. 7 lit. a EU-DSRL) Zweckbindung (Art. 6 Abs. 1 EU-DSRL) Erforderlichkeit und Datensparsamkeit (6 I c, e) Transparenz und Betroffenenrechte (Art. 11 ff.) Datensicherheit (Art. 17 Abs. 1 EU-DSRL) Kontrolle (Art. 28 EU-DSRL) Weichert - Lage-Hörste NSA, Google & Co. Folie 8
Konflikte Google Street View ( ) Betroffene passiv, keine Wahlmöglichkeit, greifbare Betroffenheit, geringes kommerzielles Interesse > Einigung Google Analytics (seit 2008) Betroffene passiv, Betroffenheit wenig greifbar, mangelnde Transparenz, ungenügende Wahlmöglichkeit, hohe ökonomische Relevanz der Nutzungsdaten, Webseitenbetreiber verantwortlich, starker Wettbewerb und Alternativen > begrenzte Einigungsmöglichkeit Weichert - Lage-Hörste NSA, Google & Co. Folie 9
Aktuelle Facebook-Konflikte Facebook Fanpages und „Gefällt mir“-Buttons Anbieter in den USA oder im sonstigen Ausland (z. B. Irland, künftig Verarbeitung in Schweden) Sind Cookiedaten und IP-Adressen personenbezogen? Wer ist verantwortlich: Nutzer, Webseitenbetreiber, Internetkonzern…? Intransparenz der Datenverarbeitung und der Nutzungsbedingungen Fehlende Wahlmöglichkeiten (Opt-in, Opt-out) Weichert - Lage-Hörste NSA, Google & Co. Folie 10
Alibaba Weltweit größter Onlinehandels-Anbieter Sitz in China/Hongkong/Singapur ? Privacy Policy: „Your privacy is important to us and we have taken steps to ensure that we do not collect more information from you than is necessary for us to provide you with our services and to protect your account. … If you provide any Personal Data to us, you are deemed to have authorised us to collect, retain and use that Personal Data for the following purposes: … 6. performing research on statistical analysis in order to improve the content and layout of the Sites, to improve our product offerings and services and for marketing and promotional services.“ Weichert - Lage-Hörste NSA, Google & Co. Folie 11
Wirtschaftliche Interessen UserInnen: Spaß und Unterhaltung, umsonst und einfach Öffentliche Stellen (Polizei, Schulen, Staatskanzlei usw.): billiger Kommunikationskanal zu jungen Menschen, Überwachung, Ermittlung) Unternehmen: Kundenansprache, Kundenbindung, Kundenkommunikation (Rückkanal), Kundenanalyse Applikationsanbieter: Werbung und Dienstleistung Anbieter (Facebook, Google, Alibaba o. Ä.): Verkauf von interessengenauer Werbung/Werbefläche, Mitverdienst bei Plattformen (z. B. Spiele, Musik – Zynga, Spotify), Vermittlung von Services, Entgelt für Applikationen Weichert - Lage-Hörste NSA, Google & Co. Folie 12
Weitere Konflikte Facebook Polizeifahndung auf Facebook, Schulen bei Facebook Gesichtserkennung, Freundefinder Auskunftsverfahren Max Schrems (Wien) 1200 ausgedruckte Seiten, seitdem zigTsd. Auskunftsanfragen Audit Datenschutz Irland (Dez. 2011, Sept. 2012) Änderung der Terms of Use, Privacy Policies TimeLine (Chronik), Graph Pädophilie-Chatkontrolle, Klarnamenpflicht-Durchsetzung Urheberrechtsabmahnungen wegen „Teilen“ auf Facebook Sog. „Shitstorm“ – Fälle „Emden“ od. Ariane Friedrich Facebook-Feste … Weichert - Lage-Hörste NSA, Google & Co. Folie 13
Fallbeispiel Google Zusammenführen sämtlicher Inhalts- und Nutzungsdaten einzelner Nutzender von sämtlichen Google-Diensten (Search, Maps, Calender, Youtube, Gmail, Google+, Picasa, Drive, Docs …) 12/2013: Spanische AEPD Geldstrafe 01/2014: Französische CNIL Geldstrafe ?/2014: HambBfDI Untersagungsverfügung Weitere Verfahren: NL, I, GB Aktueller Börsenwert (weltweit): 225 Mrd. Euro Weichert - Lage-Hörste NSA, Google & Co. Folie 14
Enthüllungen Snowden Anfang Juni 2013: Enthüllungen durch Edward Snowden Politische und wirtschaftl. Spionage, Vollüberwachung der Bevölkerung zw. Terrorismusbekämpfung National Security Agency (NSA - USA): Prism u. a. Government Communications Headquarters (GCHQ – GB): Tempora u. a. Direction Générale de la Securité Extérieure (DGSE – F) Bundesnachrichtendienst (BND – D): Strateg. TKÜ u. a. Weitere Five Eyes (Kanada, Australien, Neuseeland) Spionage aus China, Russland… > Politische Spionage, Wirtschaftsspionage, allgem. Netzüberwachung Weichert - Lage-Hörste NSA, Google & Co. Folie 15
Angriffsarten Abgreifen von Internetdienstleistern, z. B. Soziale Netzwerke od. Clouds (in den USA, zwangsweise od. freiwillig) Verdeckter Zugang zu einem Netzbetreiber (GCHQ-BelgaCom) Brechen von Kryptografie Verdeckter Zugang zu Internetdiensten (über Backdoors) zur Beschaffung von Meta- und Inhaltsdaten (z. B. Adressbücher) Abhören von Internetkabeln oder von Internetknoten Beschaffung von (evtl. zulässig erlangten Daten von) „befreundeten“ Diensten (z. B. strategische BND-TKÜ) Kapern von Rechnern und Rechnernetzen (unterschiedliche Methoden, z. B. Online-Durchsuchung) Verdeckte technische und personale Ermittlungen Sammeln und Auswerten „öffentlicher Quellen“ (im Netz) Weichert - Lage-Hörste NSA, Google & Co. Folie 16
Erkenntnisse nach Snowden Sämtliche Internet-Verarbeitung ist überwachbar und wird überwacht In den USA gehen Sicherheit und Profit für PersönlichkeitsR In den USA gibt es keinen effektiven Schutz für Privacy durch Recht und Politik Verarbeitung bei US-Anbietern und über US-Netze ist besonders riskant > Politische und juristischer Diskurs hat weltweit begonnen Weichert - Lage-Hörste NSA, Google & Co. Folie 17
Anwendbares Recht? Aufhänger: Klarnamenpflicht bei Facebook (Verstoß gegen § 13 Abs. 6 TMG) VG Schleswig, B. v : Irisches Recht OVG Schleswig-Holstein, B. v : Irisches Recht KG Berlin, U. v (Freundefinder): Nationales Recht EuGH (Google Search Spain), U. v : Nationales Recht Weichert - Lage-Hörste NSA, Google & Co. Folie 18
EuGH C-131/12 (1) Suchmaschine ist für Anzeige „verantwortlich“ Relevant ist ökonomische, nicht rechtliche Sichtweise Für Niederlassung genügt jede Form der Tätigkeit durch feste Einrichtung Anwendbar ist jeweils nationales Recht Es besteht Anspruch auf Löschung, Sperrung bzw. Nichtanzeige („Recht auf Vergessen“) Anspruch ist unabhängig von Erstveröffentlichung Weichert - Lage-Hörste NSA, Google & Co. Folie 19
EuGH C-131/12 (2) Individueller Abwägungsprozess zwischen Meinungs- und Informationsfreiheit und Datenschutz Wahrnehmung des Widerspruchsrechts ist relevant Suchmaschinen sind besonders gefährlich Schaden ist nicht nötig, Beeinträchtigung genügt Mögliche Abwägungskriterien: Zugänglichkeit im Internet Sensibilität Eignung für Profilbildung Zurückliegen des Sachverhaltes Öffentliches Interesse an der Information Weichert - Lage-Hörste NSA, Google & Co. Folie 20
Datenschutzrechtliche Verantwortlichkeit Art. 2 lit. a EU-DSRL: „…die Stelle, die … allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet “ Differenzierung nach Inhaltsdaten, Nutzungsdaten und Bestandsdaten Verantwortlichkeiten: Nutzende (für Inhalte, auch Drittinhalte) Fanpages, Webseiten (Social Plugins) Portalbetreiber, Dienste-/App-Anbieter Verantwortlichkeit von Facebook D (GmbH)/Irland (Ltd.)/USA (Inc.) und verantwortlich machen OVG SH : verantwortlich, wer konkret Daten hat Weichert - Lage-Hörste NSA, Google & Co. Folie 21
Wirksamkeit einer Einwilligung Notwendigkeit bei Zweckänderung/Direktwerbung, Profilbildung und DV außerhalb der EU, Setzen von Cookies Erklärung eigentl. schriftlich, evtl. elektronisch (dann: Dokumentation, Abrufbarkeit) Hinreichende Bestimmtheit bzgl. Stellen, Zwecke, Daten Beachtung der AGB-Regelungen und Pflicht zur Hervorhebung (evtl. explizit sensible Daten) Browsereinstellung ist keine Einwilligung Lösung: Default-Einstellungen od. Optionsstandards Einräumen von Wahlmöglichkeit, sonst evtl. Koppelungsverbot Weichert - Lage-Hörste NSA, Google & Co. Folie 22
Betroffenenrechte Informationen (Impressum, Ausland, Art der Verarbeitung, Profilbildung, Übermittlungen, Rechte) (Art. 10 f. EU-DSRL) Auskunft (Art. 12 f. EU-DSRL) Datenkorrektur (Art. 6, 14 EU-DSRL), Löschung, Sperrung, Berichtigung, Anlass z. B.: Kündigung, Tod, Zeitablauf Kontoübertragung (Art. 18 EU-DSGVO-E) Widerspruchsrechte (Art. 14 EU-DSRL) Anonyme od. pseudonyme Nutzung (ergibt sich aus Grundrechten) Weichert - Lage-Hörste NSA, Google & Co. Folie 23
Materiell-rechtliche Anforderungen Jugend- und Kinderschutz (evtl. Einwilligung der Eltern) Datenschutzkonforme Bezahlverfahren (Optionsrecht) Einsatz von biometrischen Verfahren Verarbeitung von Drittdaten nur nach positiver Abwägung, besonders bei sensiblen Daten Weichert - Lage-Hörste NSA, Google & Co. Folie 24
Technisch-organisatorische Anforderungen Sicherungsmaßnahmen (Art. 17 Abs. 1 EU-DSRL) Default-Einstellungen, Nutzung von Branchen-Standards, Kontoverwaltung für Betroffene Transparenz und Erreichbarkeit der Privacy-Policies Bereitstellung eines Datenschutzmanagements (Service, Beratung) Weichert - Lage-Hörste NSA, Google & Co. Folie 25
Einsatz im Unternehmen Nutzungsmöglichkeit für private/dienstliche Zwecke Gefahr des Verrats v. Betriebs- und Geschäftsgeheimnissen Ausspionieren von Unternehmenskommunikation Nutzung von Social Media in Bewerbungsverfahren (Information, evtl. Verwertungsverbot, Rating/Scoring) Überwachung der Arbeitnehmer durch Arbeitgeber >Social Media Guidelines >Vereinbarungen mit Betriebs-/Personalrat Weichert - Lage-Hörste NSA, Google & Co. Folie 26
Regelungsansätze Gesetzliche nationale Regelungen Europäische Regelungen Nationale Verhaltensregeln (Codes of Conduct) mit oder ohne Genehmigung durch Aufsichtsbehörden (Art. 27 EU- DSRL) Europäische Verhaltensregeln (Art. 27 Abs. 3 EU-DSRL) Internationale Standards (ISO/IEC) Weichert - Lage-Hörste NSA, Google & Co. Folie 27
Europäische Datenschutz- Grundverordnung Basis: Europäische Grundrechtecharta Art. 8 Recht auf Datenschutz, Art. 9 Recht auf Privatsphäre, Art. 11 Informations- und Meinungsfreiheit, Art. 38 Verbraucherschutz Vorschlag EU-DSGVO Ausrichtung auf Online-Verarbeitung, Weniger klassische Datenverarbeitung Möglichst hohe Standards Harmonisierung - Vereinheitlichung Weichert - Lage-Hörste NSA, Google & Co. Folie 28
EU-DSGVO - Internet-Regeln Marktortsprinzip Allgemeine Erlaubnistatbestände, Grundregeln Sonderschutzregelungen für Kinder und Jugendliche Transparenzregelungen Recht auf Vergessenwerden Recht auf Portabilität (Datenübertragbarkeit) Beschränkung von Tracken, Scoren und Profilen Privacy by Design und Privacy by Default Breach Notification, massive Sanktionen Klagemöglichkeit auch für Verbände Koordination der Datenschutzkontrolle Weichert - Lage-Hörste NSA, Google & Co. Folie 29
Entwicklung in den USA Keine digitalen Grundrechte (schon gar nicht für Ausländer) US-Supreme Court: Reasonable Expectations of Privacy Vorrang der Sicherheitsbelange Keine (gesetzliche) Bindung von Privaten > Sicherung der globalen Sicherheitshegemonie > Sicherung der globalen wirtschaftlichen Hegemonie Optionen: Druck durch Europa (EU-DSGVO) auf USA (z. B. Obamas „Consumer Privacy Bill of Rights“ 2/2012) Thematisieren des US-Datenschutzes über Safe Harbor, PNR, SWIFT, Patriot Act, TTIP... (EuGH-Vorlage durch Irish High Court, B. v ) Transatlantischer Dialog Weichert - Lage-Hörste NSA, Google & Co. Folie 30
Sicherungsmaßnahmen Aktuelle Browser, Antivirensoftware, Firewall Vermeiden von US-Anbietern (z. B. WhatsApp, Facebook od. Google+) Nutzen anonymer Suchmaschinen (z. B. Ixquick) Nutzung von Anonymisierungsdiensten (Tor, JonDos) Eigene IT oder Trusted Cloud (Schengen-Anbieter, Zertifizierung), Kontrolle Auftragsdatenverarbeiter Nutzung sichere Infrastrukturen (nPA, D ) Nutzung starker Verschlüsselung (PGP, GnuPG) Klare Trennung beruflich-privat (z. B. bei BYOD) Datensparsamkeit !!! Weichert - Lage-Hörste NSA, Google & Co. Folie 31
Relevante Aspekte Recht Technik Ökonomie Politik Kultur Erziehung Psychologie Weichert - Lage-Hörste NSA, Google & Co. Folie 32
Dr. Thilo Weichert Unabhängiges Landeszentrum für Datenschutz Schleswig- Holstein (ULD) Independent Center for Privacy Protection Schleswig-Holstein (ICPP) Holstenstr. 98, D Kiel Weichert - Lage-Hörste NSA, Google & Co. Folie 33 NSA, Google und Co. Wie steht es um das Recht auf informationelle Selbstbestimmung?