Europe v Facebook: Klage in Vorbereitung

Wer noch eine Weihnachtsspende für einen guten (Datenschutz-) zweck loswerden will, dem bietet jetzt die Initiative europe v facebook dazu eine Gelegenheit. Die österreichische Gruppe um den Jurastudenten Max Schrems will die irische Datenschutzbehörde verklagen und sammelt dafür im Wege des „Crowdfunding“ Geld.

Anzeigen unzureichend bearbeitet

Die irische Datenschutzbehörde hatte mehrere Anzeigen wegen Datenschutzverstößen der Initiative gegen Facebook bearbeitet und ein unverbindliches Untersuchungsverfahren gegen Facebook eingeleitet. Der letzte Stand ist, dass europe v facebook aufgefordert wurde, eine Stellungnahme zu dem unverbindlichen Untersuchungsverfahren abgeben, mit dem ohne weitere Beteiligung der Initiative die Anzeigen bearbeitet wurden. Europe v facebook schätzt den Bericht in einer fast siebzig seitigen Gegenstellungnahme im Ergebnis so ein, dass die irische Behörde „einige wichtige Schritte gesetzt“, aber im Detail „schlampig und ungenau“ gearbeitet habe. Facebooks Behauptungen seien einfach übernommen worden, obwohl die mit einfachen Mitteln (Screenshots) widerlegbar seien. Keine der Anzeigen sei ordnungsgemäß bearbeitet worden. Die irische Behörde weiche darüber hinaus massiv vom gemeinsamen Rechtsverständnis in der EU ab.

Letzte Maßnahme Klage

Denkbar ist nun, dass auch der abschließende Bericht der irischen Datenschutzbehörde so unzureichend ausfällt und dagegen kann dann die Klage gerichtet werden. Die Einrichtung der Crowdfunding Plattform dient der Sammlung von geschätzt 100.000 EUR, die ein solcher Prozess kosten wird – und das ist nur das Minimum.

Lesen Sie auch:
Sozialverantwortung-Blog

 

Cloud Computing und Datenschutz

Es ist gut zwei Jahre her, dass ich zum ersten Mal einen Vortrag über Cloud Computing gehalten habe. Bei der Recherche zur Vorbereitung fand ich weit überwiegend Literatur aus den USA, europäische Quellen gab es wenige. Dies hat sich seither geändet. Trotzdem blieb es schwierig, aus den Veröffentlichungen für die Beratungspraxis  praktikable Kriterien für eine datenschutzkonforme Nutzung von Cloud Lösungen heraus zu filtern.

“Sopot Memorandum”

Nunmehr hat die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation (auch bekannt als “Berlin Group”) bei ihrer Sitzung im polnischen Sopot  Ende April ein Memorandum beschlossen, das Datenschutz-Anforderungen an das Cloud Computing enthält. Das  Papier wurde von Vertretern der Datenschutzbehörden aus 21 Ländern verabschiedet, und damit liegt zum ersten Mal ein international abgestimmter Kriterienkatalog zu Cloud Computing und Datenschutz vor.

Datenschutzkonformes Cloud Computing

Das Papier der Internationalen Arbeitsgruppe hat den großen Vorteil, dass es eine verständliche und gut begründete Übersicht über Datenschutz-Anforderungen an die Nutzung von Cloud-Diensten enthält. Mehr als alles andere was ich zu diesem Thema bisher gelesen habe, bietet es die Möglichkeit der Orientierung in der Praxis. Umfragen zufolge sehen noch immer mehr als die Hälfte der Unternehmen, die Cloud-Lösungen nutzen könnten, davon ab weil ihnen die damit verbundenen Datenschutzfragen als zu riskant erscheinen. Diese haben mit dem Memorandum nunmehr eine Orientierungshilfe.

Eine Chance für europäische Anbieter

Die Lektüre des Dokuments bestätigt eine These, die ich schon länger vertrete: Eine datenschutzkonforme Nutzung von Cloud-Lösungen ist in der Regel nur mit kleineren, innereuropäischen Anbietern zu machen, mit denen auch individuelle Vereinbarungen und nachprüfbare Absprachen zu Datenschutzstandards möglich sind.

Das Dokument ist über die Seiten des Berliner Datenschutzbeauftragten, der auch den Vorsitz der Internationalen Arbeitsgruppe inne hatte, hier abrufbar (pdf in englischer Sprache):

http://datenschutz-berlin.de/content/nachrichten/datenschutznachrichten/27-april-2012

Zeit für ein neues Datenschutzrecht

Alle meine nächsten Nachbarn, mit denen mich ein langes freundschaftliches Verhältnis verbindet, werden in diesem Jahr 60 – damit trennen uns knapp 15 Jahre, die ich jünger bin. Bei einer der Parties anlässlich eines 60. Geburtstages saß ich kürzlich inmitten einer Runde dieses Alters, als zwei Männer ihre iPhones zückten. Ahhhh, diese neue Technik! Was so ein iPhone alles könne, wurde geschwärmt und die jeweils installierten Apps verglichen – um gleich im nächsten Satz zu ergänzen: Mit der Nutzung so eines Gerätes sei man ja gleichzeitig komplett überwacht. Die Männer stellten das fest, in etwa wie man feststellt, dass es morgen Regen geben wird.

 Allgegenwärtige Überwachung

 Wie ich denn als Profi mit den Überwachungsmöglichkeiten umgehen würde, fragte mich eine der anwesenden Frauen, die die Unterhaltung belustigt verfolgten. Ich streue meine Daten, sagte ich. Ich versuche, nicht einen Anbieter für alles zu nutzen, um eine umfassende Profilbildung an einer Stelle zu erschweren. Private Mails an einer Stelle, berufliche an anderer. Sparsame Äußerungen in Sozialen Netzwerken. Bestimmte Funktionen nutze ich gar nicht: Fotos sind bei mir auf der Festplatte gespeichert, nie in der Wolke. Manche Funktionen schalte ich nur ein, wenn ich sie brauche, so z.B. die Ortungsfunktion im iPhone. Nutzung von Pseudonymen. Ob’s nützt? Ich weiß es nicht. Aber fest steht auch, ich bin schon lange fasziniert von technischen Möglichkeiten und gedenke nicht, das Problem der allgegenwärtigen Überwachung durch umfassenden Verzicht zu lösen.

Eine Eins ist eine Eins

Einmal mehr widersprach ich im Verlauf der Unterhaltung der These, dass wir den Datenkraken ausgeliefert seien, weil die neuen technischen Möglichkeiten eben nicht zu reglementieren seien. Sicher – Technik ist immer schneller als das Recht. Ich staune jedes Mal wieder, wie diejenigen unter meinen Kunden, die Softwareentwickler sind, innerhalb kürzester Zeit Funktionen programmieren, von denen sie vor zwei Tagen noch nicht einmal wussten, dass es diese Funktionen geben kann. Die Grundlagen der Programmierung – eine Eins ist eine Eins und eine Null ist eine Null und darauf lässt sich alles weitere aufbauen – sind einfacher und schneller zu handhaben als ein Parlament, dass sich über Gesetze Gedanken machen muss.

Ein langer Prozess

Sicher ist jedoch, gerade die großen Monopolisten wie Google, Facebook und Co. müssen durch das Recht und die Durchsetzung des Rechts zur Einhaltung bestimmter Standards gezwungen werden. Zu denen gehören in erster Linie Transparenz und Wahlmöglichkeiten in Bezug auf den Umgang mit unseren persönlichen Daten. Es ist eine Frage der Zeit, bis das geschehen wird. Erste Ansätze sind in dem Vorschlag der EU-Kommission für eine europaweite Datenschutzverordnung vorhanden. Google’s neue Datenschutzerklärung allerdings zog hingegen erstaunlich wenig öffentlichen Protest nach sich.

Google‘s neue Datenschutzerklärung

Google hat gerade wieder vorgemacht, wie es nicht sein sollte. Gab es bisher für die verschiedenen Google-Dienste verschiedene Datenschutzerklärungen, wurden diese jetzt in einer einheitlichen zusammengeführt. Das wäre im Grunde gar keine schlechte Idee, doch mit der Vereinheitlichung wurde die Ankündigung verbunden, die Nutzerdaten aus unterschiedlichen Diensten zu einen einheitlichen Nutzerprofil zusammen zu führen. Selbstredend nur zum Wohle der Nutzer: “We’ll treat you as a single user across all our products, which will mean a simpler, more intuitive Google experience”, schreibt die Datenschutzbeauftragte von Google in der Ankündigung der Änderungen. „Mich erinnern solche Aussagen immer an Mielke vor der Volkskammer“, kommentierte mein Kollege kürzlich diese Nachrichten. „Ich liebe euch alle!“.

Die USA sind aufgewacht

Wenn ich mich richtig erinnere, stammt dieses Zitat aus einer Zeit, als Mielke schon längst verloren hatte, was man von Google zurzeit nicht ernsthaft behaupten kann. Wenn auch die Sache mit der Zusammenführung der Daten aus den verschiedenen Google Diensten unter kaum vernehmbarem Protest installiert wurde, sind doch die USA langsam aufgewacht und begreifen, dass es Europa ernst ist mit einem modernen Datenschutzrecht und dass dieses Recht möglicherweise unangenehme Folgen für sie haben könnte. Anders ist die Meldung nicht zu deuten, dass die USA in Gestalt ihres obersten Juristen im US-amerikanischen Wirtschaftsministerium ihre Mitwirkung bei der Neuregelung gefordert haben.

Dass Mielke verlieren würde, hat lange Zeit auch niemand ernsthaft geglaubt. Manche Veränderungen brauchen also etwas länger und früher oder später wird Google dasselbe Schicksal ereilen – voraussichtlich nicht in Form des Untergangs, aber doch dergestalt, dass sich kein großer Datenmonopolist ungestraft eine Datenschutzerklärung wird leisten können, die mehr verschleiert als erklärt. Beispielsweise.

Quellen zum Thema:

 (1) http://www.spiegel.de/netzwelt/netzpolitik/0,1518,811359,00.html

„Datenschützer empfiehlt Streubesitz“

 (2) http://googleblog.blogspot.com/2012/01/updating-our-privacy-policies-and-terms.html

Google Blog am 24.1.12

 (3) http://www.spiegel.de/netzwelt/web/0,1518,818105,00.html

„Googles neuer Daten Schmu“

 (4) http://futurezone.at/netzpolitik/7754-eu-kommission-google-verstoesst-gegen-eu-gesetz.php

EU Kommission: Google verstößt gegen EU-Gesetz

 (5) http://futurezone.at/produkte/7719-eric-schmidt-niemand-muss-google-nutzen.php

Eric Schmidt: “Niemand muss Google nutzen”

 (6) http://www.datenschutz.de/news/detail/?nid=5287

USA wollen beim EU-Datenschutz mitreden

Neues europäisches Datenschutzrecht (3)

Video von der Pressekonferenz anlässlich der Vorstellung des Vorschlags der EU-Kommission für ein neues europäisches Datenschutzrecht  (in englischer Sprache):

http://www.youtube.com/watch?v=9binnTteKeA&feature=BFa&list=PLAA5F774719E9F911&lf=plcp

Bemerkenswert ist unter anderem, dass die zuständige Kommissarin, Vivian Reding, die Klage des österreichischen Studenten Max Schremp gegen Facebook auf Herausgabe seiner Daten und die damit verbundenen Schwierigkeiten als ein Beispiel dafür benennt, wie es zukünftig nicht sein sollte.  Zukünftig soll nach dem Vorschlag der EU-Kommission eine einzige nationale Aufsichtsbehörde für alle Datenschutzanliegen von Unternehmen und Privatpersonen zuständig sein (“One-Stop-Shop”). Für das Beispiel der Facebook-Auseinandersetzung würde das bedeuten, dass die Aufsichtsbehörde in Österreich für die Forderungen auf Herausgabe der persönlichen Daten zuständig wäre. Sie hätte sich mit Facebook und ggf. der irischen Behörde auseinandersetzen müssen, um Max Schremp weiter zu helfen – und nicht, wie zurzeit, er selber.

Reform der EU-Datenschutzvorschriften (2)

In der im Beitrag vom 25. Januar zitierten Pressemitteilung der EU zu den Reformplänen in Sachen Datenschutz war eine recht einschneidende Änderung nicht erwähnt: Die Kommission plant, die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten im Regelfall erst ab einer Mitarbeiterzahl von 250 verbindlich zu machen.

 Nur noch ein Bruchteil deutscher Unternehmen verpflichtet

 Nach den derzeit in Deutschland gültigen Vorschriften des Bundesdatenschutzgesetzes ist die Bestellung eines betrieblichen Datenschutzbeauftragten schon dann verpflichtend, wenn mindestens 10 Personen in einem Unternehmen mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Sollte also die EU-Verordnung europaweit in Kraft treten, wäre nur noch ein verschwindend geringer Prozentsatz der deutschen Unternehmen verpflichtet, einen Datenschutzbeauftragten zu bestellen. Im Gegensatz zu einer Richtlinie ist eine Verordnung unmittelbar geltendes Recht und muss nicht in nationale Gesetze umgesetzt werden. In der Wirkung ist sie einem Gesetz vergleichbar; die bei der Richtlinie bestehenden nationalen Spielräume zur Ausfüllung entfallen.

 Keine gute Idee

 Die Gesellschaft für Datenschutz und Datensicherheit (GDD) nennt diese Pläne „für die Grundrechtsposition des Datenschutzes äußerst kontraproduktiv“. Nach Einschätzung der GDD würden sich in Folge viele Unternehmen unterhalb des Schwellenwertes unzureichend um die Umsetzung Datenschutzvorschriften kümmern. Auch unter wirtschaftlichen Aspekten sei das Vorhaben wenig sinnvoll, denn das in der Person des oder der Datenschutzbeauftragten gebündelte Know-How würde verloren gehen und die Fachabteilungen müssten es sich aufwändig selber aneignen.

 Durch praktische Erfahrung bestätigt

 Diese Einschätzung wird durch unsere praktische Erfahrung aus rund 12 Jahren Tätigkeit als externe betriebliche Datenschutzbeauftragte bestätigt. Zwar hängt die Tatsache, ob ein Unternehmen sich um die Etablierung und Einhaltung von guten Datenschutzstandards kümmert oder nicht, nicht ausschließlich an der Zahl der Mitarbeiter und damit an der gesetzlichen Verpflichtung. Das Wissen um die gesetzliche Verpflichtung zur Bestellung von Datenschutzbeauftragten ist aber oft ein erster Anstoß, sich überhaupt mit der Thematik zu beschäftigen. Für viele Unternehmen ist darüber hinaus der von Aufraggebern oder Kunden ausgeübte Druck maßgeblich, die Einhaltung von Datenschutz-Mindeststandards nachzuweisen. Diese aufzubauen und für die Einhaltung zu sorgen gelingt in der Regel durch die Beschäftigung von Datenschutzbeauftragten am besten, seien sie intern oder extern tätig.

 Nicht nur die formale Pflicht entscheidet

 Andererseits sind auch andere Faktoren als nur die formale Pflicht zur Benennung eines Datenschutzbeauftragten ausschlaggebend für den sorgsamen Umgang mit personenbezogenen Daten in Unternehmen. Den Datenschutzbeauftragten muss von Seiten der Unternehmen Zeit und Unterstützung eingeräumt werden, die der Aufbau einer Datenschutzorganisation braucht. Datenschutzbeauftragte müssen ernst genommen werden und sie selbst müssen ihre Funktion nicht nur als ein lästiges Übel unter vielen wichtigeren Aufgaben begreifen. Die gesetzliche Pflicht, Datenschutzbeauftragte zu bestellen, unterstützt diese aber insofern, als sie dem Tun der Datenschutzbeauftragten den formalen Nachdruck verleiht. Die EU-Kommission täte also gut daran, die Grenze von 250 Beschäftigten zu überdenken, wenn sie ernsthaft an besseren Datenschutzstandards in Europa interessiert ist.

 Gesetzgebung braucht Zeit

 Gut Ding will Weile haben. Die Vorschläge der Europäischen Kommission für eine EU-Datenschutzverordnung müssen vom Europäischen Parlament und vom Rat der Europäischen Union, in welchem die Mitgliedstaaten vertreten sind, verhandelt und im sogenannten ordentlichen Gesetzgebungsverfahren angenommen werden. Das ist nicht mal eben so erledigt und vor allem nicht vor dem Hintergrund der Komplexität der Datenschutzmaterie. Es ist daher mit mehrjährigen Verhandlungen in Brüssel und Straßburg zu rechnen. Bis zum Inkrafttreten des neuen Rechts gilt die EU-Datenschutzrichtlinie 95/46/EG weiter.

Reform der EU-Datenschutzvorschriften

Die Europäische Kommission hat heute eine umfassende Reform der EU-Datenschutzvorschriften vorgeschlagen. Die jetzt gültigen Datenschutzvorschriften stammen aus dem Jahr 1995, also quasi aus dem Mittelalter, wenn man die technische Entwicklung zum Maßstab nimmt.

Reformziele

Dementsprechend benennt es die Kommission als erstes Ziel, die Online-Rechte des Einzelnen auf Wahrung der Privatsphäre zu stärken und die digitale Wirtschaft Europas anzukurbeln. Eine einheitliche Regelung der Datenschutzvorschriften soll der jetzt der bestehenden Zersplitterung in viele einzelne nationalstaatliche Gesetze und dem daraus resultierenden hohen Verwaltungsaufwand für die Unternehmen ein Ende bereiten. Das Vertrauen der Verbraucher in Onlinedienste gestärkt soll gestärkt werden, in der Hoffnung, dass auf diese Weise Anreize für mehr Wachstum, Arbeitsplätze und Innovationen in Europa gesetzt werden.

Übersicht über die wichtigsten Änderungsvorschläge

Hier ist eine Übersicht der wichtigsten Änderungen, die ich der Presseerklärung der EU-Kommission von heute entnommen habe. Dies ist der Originaltext der Presseerklärung; die teilweise etwas unklaren Formulierungen finden sich darin:

• Künftig wird es ein EU-weit geltendes Gesamtregelwerk für den Datenschutz geben. Unnötige administrative Anforderungen wie bestimmte Meldepflichten für Unternehmen werden beseitigt. Dadurch werden Unternehmen Kosten in Höhe von etwa 2,3 Mrd. EUR jährlich einsparen.

• Anstelle der bisher den Unternehmen obliegenden Pflicht, den Datenschutzbeauftragten sämtliche datenschutzrelevanten Tätigkeiten zu melden (was den Unternehmen unnötigen Verwaltungsaufwand sowie Kosten in Höhen von 130 Mio. EUR jährlich verursacht hat), sieht die vorgeschlagene Datenschutzverordnung künftig mehr Verantwortung sowie eine verschärfte Rechenschaftspflicht sämtlicher Verarbeiter personenbezogener Daten vor.

• Unternehmen und Organisationen sollen beispielsweise bei einer schweren Verletzung des Schutzes personenbezogener Daten künftig die nationale Aufsichtsbehörde unverzüglich (d. h. nach Möglichkeit binnen 24 Stunden) benachrichtigen müssen.

• Alleiniger Ansprechpartner für Organisationen wird künftig die nationale Datenschutzbehörde des EU-Landes sein, in dem sie ihre Hauptniederlassung haben. Ebenso sollen sich Bürger künftig auch dann an die Datenschutzbehörde ihres Landes wenden können, wenn ihre Daten von einem außerhalb der EU niedergelassenen Unternehmen verarbeitet werden. In Bezug auf Datenverarbeitungen, die der vorherigen Genehmigung bedürfen, wird nunmehr klargestellt, dass die Genehmigung ausdrücklich erteilt werden muss und nicht stillschweigend vorausgesetzt werden darf.

• Die Bürger sollen leichter auf ihre eigenen Daten zugreifen und diese bei einem Wechsel zu einem anderen Dienstleistungsanbieter „mitnehmen” können (Recht auf Datenportabilität). Dadurch wird der Wettbewerb unter den Anbietern derartiger Dienste zunehmen.

• Das „Recht auf Vergessenwerden“ soll eine bessere Beherrschung der bei Onlinediensten bestehenden Datenschutzrisiken ermöglichen. Alle Bürger sollen das Recht erhalten, ihre eigenen Daten zu löschen, wenn keine legitimen Gründe für deren Vorhaltung bestehen.

• Jedwede außerhalb der EU erfolgende Bearbeitung von personenbezogenen Daten durch auf dem EU-Markt aktive Unternehmen, die ihre Dienste den EU-Bürgern anbieten, soll künftig den EU-Vorschriften unterliegen.

• Die Unabhängigkeit der nationalen Datenschutzbehörden soll gestärkt werden, damit diese die EU-Vorschriften in ihren Ländern besser durchsetzen können. Beispielsweise sollen die nationalen Datenschutzbehörden künftig Geldbußen gegen Unternehmen verhängen können, die gegen die Datenschutzbestimmungen der EU verstoßen. Die Höhe der Geldbuße soll bis zu 1 Mio. EUR oder 2 % des Jahresumsatzes eines Unternehmens betragen können.

• Durch eine neue Datenschutzrichtlinie sollen allgemeine Datenschutzgrundsätze und –regeln für die polizeiliche und justizielle Zusammenarbeit in Strafsachen eingeführt werden. Die Bestimmungen sollen sowohl für inländische als auch für grenzüberschreitende Datenübermittlungen gelten.

Die Vorschläge der Kommission werden nun dem Europäische Parlament und den EU-Mitgliedstaaten (d. h. dem EU-Ministerrat) zur weiteren Erörterung übermittelt. Sie sollen zwei Jahre nach ihrer Annahme in Kraft treten.

Quelle der Pressemitteilung:

http://europa.eu/rapid/pressReleasesAction.do?reference=IP%2F12%2F46&format=HTML&aged=0&language=DE&guiLanguage=en

 

Interview mit Jan-Philip Albrecht

Ein Interview mit dem grünen Europaabgeordneten Jan-Philip Albrecht zu den Plänen eines neuen europäischen Datenschutzrechts:

http://ondemand-mp3.dradio.de/file/dradio/2012/01/19/drk_20120119_0749_2702522e.mp3

Quelle: Deutschlandradio, 19.1.2012

Datenschutz ist das neue Grün

In der vorletzten Woche fand in Köln die sogenannte Datenschutzfachtagung („DAFTA“) der Gesellschaft für Datenschutz und Datensicherheit statt. Der Titel des Treffens mehrerer hundert Datenschutzinteressierter lautete: „Neues Datenschutzrecht aus Brüssel und Berlin”.

Der mit Abstand bemerkenswerteste Vortrag war der von Dr. Paul Nemitz, seines Zeichens Direktor in der Direktion C der Europäischen Kommission – Grundrechte und Unionsbürgerschaft. Dr. Nemitz stellte den Vorschlag der EU-Kommission zum neuen EU-Datenschutzrecht vor, der im Januar des nächsten Jahres veröffentlicht werden soll.

Datenschutz als Wachstumsfaktor

Mehr Vertrauen in den Datenschutz führe zu Wachstum, sei dabei die These der Kommission, so Dr. Nemitz. Nur wenn die Bürger der EU Vertrauen in funktionierenden Datenschutz hätten, würden sie beispielsweise verstärkt in Online-Shops einkaufen. Der Schutz der Grundrechte und wirtschaftliches Wachstum seien dabei die zwei Seiten derselben Medaille.

Johnny can’t opt-out

Die Kommission legte ihren Reformbestrebungen die Erkenntnis zu Grunde, dass die derzeitigen Verhältnisse im Datenschutz von zwei Probleme geprägt sind: Die Regelungen und der datenschutzkonforme Umgang mit den neuen Techniken sind für den Durchschnittsnutzer zu kompliziert. Insbesondere für die deutschen Unternehmen stellt die Zuständigkeit von 16 verschiedenen Aufsichtsbehörden in den Ländern ein ernst zu nehmendes Hemmnis dar.

Komplexität reduzieren

Angestrebt werde eine deutliche Reduzierung der Komplexität der datenschutzrechtlichen Regelungen. An die Stelle des bisherigen Systems der Einzelvorschriften und Ausnahmen von der Ausnahme soll ein überschaubares Gerüst der „regulierten Selbstregulierung“ treten, mit einer einheitlichen Aufsicht für die Unternehmen, bei gleichzeitigem vollständigem Rechtsschutz für jeden EU-Bürger in seinem Land. Auch sollen die Behörden mit angemessenen Instrumenten ausgestattet werden, um die neuen Datenschutzvorgaben effektiv durchsetzen zu können. Hoffnungsweise werde es dann auch dazu kommen, dass der Europäische Gerichtshof durch Urteile zu einer einheitlichen Auslegung und Anwendung europäischer Datenschutzvorschriften beitragen werde.

Im Wandel der Zeit

Wir dürfen gespannt sein. Auf den Vorschlag der Kommission und darauf, ob sich diese vielversprechenden Ansätze und Überlegungen auch tatsächlich in der Praxis wieder finden werden. Neben den vorgestellten Plänen für ein vereinfachtes und besser durchsetzbares Datenschutzrecht war für mich als langjährige Praktikerin vor allem interessant, mit welcher Überzeugung Dr. Nemitz darlegte, dass Datenschutz in der Bedeutung der gesellschaftlichen Themen heutzutage das sei, was in den achtziger Jahren der Umweltschutz gewesen sei. Datenschutz werde „ein globaler Wettbewerbsfaktor“ sein. Nicht von ungefähr bemühe sich Indien um die Einführung eines Datenschutzrechts, das eng an europäischen Standards orientiert sei.

Es muss sich entwickeln

In der Praxis setzt sich die Überzeugung, dass Datenschutz ein Wettbewerbsfaktor ist, allerdings nur sehr langsam durch. Dazu fehlen immer noch die wirksamen Instrumente der Durchsetzung, seien sie von den Nutzern initiiert – wie bei der Europe versus Facebook Aktion – , seien sie staatlich veranlasst. Es wäre sehr zu wünschen, dass der Vorschlag der Kommission der Weiterentwicklung des europäischen Datenschutzrechts und seiner besseren Verwirklichung einen wirksamen Anstoß gibt.

Facebook & Co. – es wird Zeit für ein neues Recht

Einverstanden, es gibt begründete Zweifel, dass der Sonderweg hinsichtlich der Übermittlung der Nutzerdaten in die USA für Schleswig-Holstein von Facebook als Präzedenzfall anerkannt werden wird – so es überhaupt einen Sonderweg für Schleswig-Holstein geben wird. Wie ich gestern schrieb, auf den ersten Blick mutet das Ganze wie ein Scherz an. Die eigentlich selbstverständlichen Rechte von uns allen sollen im Wege einer technisch umzusetzenden Spezialregelung für Nutzer in Schleswig-Holstein beachtet werden, weil deren Datenschutzbeauftragter lange genug genervt hat. Außer vielleicht im Steuerrecht gibt es wohl in keinem Bereich unseres Lebens die Situation, dass Gesetze gelten, aber einfach nicht beachtet werden. Mehr noch, diejenigen, die auf ihrer Einhaltung bestehen, werden als gestrige Sonderlinge belächelt. Es wird höchste Zeit, diese Situation durch bessere Gesetze vom Kopf auf die Füße zu stellen.

Ein neues europäisches Recht?

Kürzlich hat die EU-Justiz-Kommissarin Viviane Reding eine Reform der EU-Datenschutzrichtlinie angekündigt. Mit der Novellierung der Datenschutzrichtlinie will sie dafür sorgen, dass alle Bürger ihre Datenschutzrechte in der Praxis auch durchsetzen können. Die grundlegenden Prinzipien der EU-Datenschutzrichtlinie sollen klarer ausgearbeitet und gestärkt werden, Verantwortlichkeiten klar benannt und Sanktionsmöglichkeiten geschaffen werden. Das „Riesenwerk“ solle schon bald als Entwurf vorliegen, den dann das Europäische Parlament beraten muss. Das kann dauern. Bis dahin bleibt uns nur der Versuch der Selbsthilfe, indem wir die vorhandenen Möglichkeiten nutzen und die Datenkraken unter Druck setzen.

User werden zu Experten

„Vielleicht ist Datenschutz im Moment noch kompliziert“, schreibt Franziska Bulban in der ZEIT Nr. 41 in einem Kommentar über die Facebook versus Europe Initiative. „Eine Sache für Experten. Aber mit Usern, die zu Experten in eigener Sache werden, lässt sich vielleicht die Zeit bis zu besseren Gesetzen überbrücken“.

 

So soll es sein

Es ist wirklich bemerkenswert. Das Recht auf Auskunft über die eigenen Daten schien ein zahnloser Papiertiger zu sein, beansprucht allenfalls von ein paar Datenschutzfreaks. Gerade gegenüber Großkonzernen – machen die nicht eh mit unseren Daten, was sie wollen? Wir verdanken der Initiative “Europe vs Facebook” die Erkenntnis, dass es auch anders geht.   Zur Nachahmung wiederholt empfohlen!

Quelle: Virtuelles Datenschutzbüro, http://www.datenschutz.de/news/detail/?nid=5120, Meldung vom 6.10.2011

Welle der Datenanfragen bei Facebook

Nachdem „Europe vs Facebook“, eine Initiative aus studentischen Datenschutzaktivisten, 22 Anzeigen gegen Facebook bei der irischen Datenschutzbehörde eingereicht hat, ist eine Welle der Datenanfragen bei dem sozialen Netzwerk losgebrochen. Viele Nutzer scheinen sich den Wiener Jurastudenten Max Schrems zum Vorbild genommen zu haben. Dieser nämlich richtete auf verschiedenen Wegen eine Anfrage an das soziale Netzwerk, bis er schließlich eine CD mit einem rund 1200-seitigen PDF-Dokument erhielt.

Jetzt verschickt Facebook seit einigen Tagen Emails, in denen das Unternehmen mitteilt, die Daten innerhalb der 40-Tage-Frist nicht liefern zu können. Außerdem wird darauf hingewiesen, zu weiteren Anfragen dieser Art nicht verpflichtet zu sein. Damit gestehe Facebook implizit ein, so die Einschätzung der futurezone.at, “grundlegende Anforderungen des europäischen Datenschutzrechts nicht erfüllen zu können.”

Den genauen Wortlaut der Emails findet sich auf futurezone.at. Eine Anleitung zur Datenanfrage bei Facebook stellt die Initiative „Europe vs Facebook“ auf ihrer Webseite zur Verfügung. Dort findet sich auch eine genaue Auflistung aller 22 Anzeigen.