Skip to main content

New Publication: Surveillance and Democracy in Europe

Ball, Kirstie, Sebastian Dahm, Michael Friedewald, Antonella Galetta, Kerstin Goos, Richard Jones, Erik Lastic, Clive Norris, Charles Raab, and Keith Spiller, “Search and indignify: Automatic Number Plate Recognition in Europe”, in Kirstie Ball, and William Webster (eds.), Surveillance and Democracy in Europe (Routledge Studies in Surveillance), Routledge, London and New York, 2018, pp. 51-68.

ANPR is a surveillance practice in which digital CCTV cameras capture images of vehicle registration plates. These images are then matched to government vehicle licensing and other databases which contain information pertaining to the ownership of the vehicle, whether it is insured or whether it has been marked as suspicious in any police investigation. ANPR is also used to administer car parking and road toll charges. Users of ANPR are thus not only public bodies such as the police, city and regional municipalities and national government agencies, but also private companies who compare images from the cameras with their own customer databases. Fixed or mobile cameras can be used as part of an ANPR system and it can be deployed in an overt or covert way, depending on the legal regulation under which it is deployed. In our chapter we explore how ANPR is used in the UK, Slovakia, Germany and Belgium.

Datenschutz-Mitverantwortung für Organisationen, die Facebook einbinden

Presseinformation Forum Privatheit

2. Juli 2018


Rechtsexperten des Forschungsverbunds „Forum Privatheit“ beleuchten die langfristigen Auswirkungen des EuGH-Urteils zu Facebook-Fanpages: Neben sozialen Netzwerken gehören auch Suchmaschinen, Messenger- und Kurznachrichten-Dienste auf den Prüfstand.

 Der Europäische Gerichtshof (EuGH) hatte am 5.6.2018 sein Urteil im Rechtsstreit zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und der Wirtschaftsakademie Schleswig-Holstein GmbH verkündet. Gegenstand des Rechtsstreits war eine Anordnung des ULD an die Wirtschaftsakademie, ihre Facebook-Fanpage zu deaktivieren, weil Facebook personenbezogene Daten von Besuchern dieser Fanpage unzulässig erhoben und zu Besucherstatistiken verarbeitet hat.

Fraglich war, ob neben Facebook auch die Wirtschaftsakademie als Betreiber der Fanpage als Verantwortlicher für die Datenverarbeitung im Sinne des Datenschutzrechts zu werten ist. Dies bejahte das Gericht. Die Inanspruchnahme von Facebook als Plattform zur Bereitstellung der Fanpage befreit den Betreiber nicht von datenschutzrechtlichen Pflichten. Ob ein Zugang des Fanpage-Betreibers zu den gesammelten personenbezogenen Daten des sozialen Netzwerks besteht, ist dabei unerheblich.

Auswirkungen des Urteils

„Das Urteil des EuGH hat große Auswirkungen auf Unternehmen, Behörden und sonstige Organisationen, die Facebook-Angebote für ihre Zwecke nutzen. Sie werden damit mitverantwortlich, für alle damit in Zusammenhang stehenden -Datenverarbeitungspraktiken von Facebook. Da sie diese nicht beeinflussen können, aber für sie verantwortlich sind, können sie Facebook nicht mehr ohne Risiko nutzen“, konstatiert Prof. Dr. Alexander Roßnagel, Sprecher des „Forum Privatheit“ und Rechtswissenschaftler der Universität Kassel.

Der EuGH vertritt in seinem Urteil eine weite Auslegung des Begriffs des datenschutzrechtlich Verantwortlichen. Dessen Verantwortung soll einen größtmöglichen Schutz Betroffener bei der Verarbeitung ihrer personenbezogenen Daten gewährleisten. Daher ist für die Datenverarbeitung nicht nur das soziale Netzwerk, sondern auch die Organisation verantwortlich, die Facebook für ihre Zwecke nutzt (wie in dem entschiedenen Fall für eine Fanpage). Dies gilt in besonderem Maße, wenn Dritte, die selbst nicht Mitglieder bei Facebook sind, veranlasst werden, Facebook zu nutzen. Die Organisation  und Facebook sind beide gemeinsam verantwortlich, da sie jeweils über die Zwecke und Mittel der Verarbeitung personenbezogener Daten der Betroffenen entscheiden. Der Betreiber der Fanpage kann sich gegenüber den Betroffenen nicht auf den Standpunkt zurückziehen, selbst lediglich Nutzer der von Facebook angebotenen Dienstleistung zu sein.

Eine Organisation, die Facebook-Angebote für ihre Zwecke nutzt, treffen damit alle Pflichten, die ein datenschutzrechtlich Verantwortlicher zu erfüllen hat. Nach der Datenschutz-Grundverordnung müssen gemeinsam Verantwortliche in transparenter Form vertraglich festlegen, welche Funktionen sie jeweils übernehmen und wie sie ihre Datenschutzpflichten erfüllen. Insbesondere können auch der Organisation gegenüber Betroffenenrechte geltend gemacht werden. „Damit wird die Stellung der betroffenen Nutzenden verbessert. Außerdem hat der EuGH mit dem Urteil unmissverständlich klargestellt, dass es auch in diesen Fällen keine Lücke in der Verantwortlichkeit für die Verarbeitung personenbezogener Daten gibt“, so Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein.

Diese gemeinsame Verantwortlichkeit wirkt sich auch auf die Haftung aus. So haftet nach der Datenschutz-Grundverordnung jeder an einer Datenverarbeitung beteiligte Verantwortliche für den Schaden, der durch eine rechtswidrige Verarbeitung verursacht wurde. Eine Haftungsbefreiung ist nur möglich, wenn aktiv nachgewiesen wird, dass eine Verantwortlichkeit für den Umstand, der den Schaden zur Folge hatte, in keinerlei Hinsicht gegeben ist. Damit besteht eine Verschuldensvermutung bezogen auf alle gemeinsam Verantwortlichen – die Beweislast liegt bei ihnen.

Anordnungen einer Datenschutzaufsichtsbehörde können sich dabei sowohl gegen die Organisation, die Facebook für ihre Zwecke nutzt, als auch gegen den Betreiber des sozialen Netzwerks richten. Das gilt letztlich auch für die unter Umständen drastischen Sanktionen, die Aufsichtsbehörden nach der Datenschutz-Grundverordnung verhängen können.

Schlussfolgerungen für die Praxis

„Die Klarstellung durch den EuGH ist im Sinn eines effektiven Datenschutzes zu begrüßen. Wer Angebote sozialer Netzwerke in seine Organisationskommunikation einbindet, trägt in jedem Fall die Mitverantwortung für jede durch ihn veranlasste Datenverarbeitung. Wer kein Risiko eingehen will, muss sich entweder sicher sein, dass das soziale Netzwerk mit diesen Datenverarbeitungspraktiken keine Verstöße gegen die Datenschutz-Grundverordnung begeht oder diese Angebote meiden“, resümiert Roßnagel. „Ebenso wie soziale Netzwerke gehören auch Angebote wie Suchmaschinen, Messenger- und Kurznachrichten-Dienste auf den Prüfstand.“


Im Forum Privatheit setzen sich Expertinnen und Experten aus sieben wissenschaftlichen Institutionen interdisziplinär, kritisch und unabhängig mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert. Weitere Partner sind das Fraunhofer SIT, die Universität Duisburg-Essen, das Wissenschaftliche Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel, die Eberhard Karls Universität Tübingen, die Ludwig-Maximilians-Universität München sowie das Unabhängige Landes­zentrum für Datenschutz Schleswig-Holstein. Das BMBF fördert das Forum Privatheit, um den öffentlichen Diskurs zu den Themen Privatheit und Datenschutz anzuregen.

 

Sprecher „Forum Privatheit“:

Prof. Dr. Alexander Roßnagel
Universität Kassel
Projektgruppe verfassungsverträgliche Technikgestaltung (provet) am
Wissenschaftlichen Zentrum für Informationstechnik-Gestaltung (ITeG)
Tel: 0561/804-3130 oder 2874
E-Mail: a.rossnagel@uni-kassel.de

Projektkoordination „Forum Privatheit“:
Dr. Michael Friedewald
Fraunhofer-Institut für System- und Innovationsforschung ISI
Competence Center Neue Technologien
Tel.: 0721 6809-146
E-Mail: Michael.Friedewald@isi.fraunhofer.de

Presse und Kommunikation „Forum Privatheit“:
Barbara Ferrarese, M.A.
Fraunhofer-Institut für System- und Innovationsforschung ISI
Tel.: 0721 6809-678
E-Mail: presse@forum-privatheit.de

Forum „Privatheit und selbstbestimmtes Leben in der digitalen Welt“
https://www.forum-privatheit.de/forum-privatheit-de/index.php
Twitter: @ForumPrivatheit

Soeben erschienen: Data Protection Impact Assessments

Abstract. This workshop introduced participants to the process of Data Protection Impact Assessment. This new tool of the GDPR is highly relevant for any processing of personal data, as it helps to structure the process, be aware of data protection issues and the relevant legislation and implement proper safe- guards to protect data subjects. For processing operations posing a high risk for data subjects, a DPIA is mandatory from May 2018. The interactive workshop provided a framework for DPIA and guidance on specific questions such as when a high risk is likely to occur or how specific risks can be evaluated, which was assessed by participants in an interactive session with two different scenarios.

Bieker, Felix, Nicholas Martin, Michael Friedewald, and Marit Hansen, “Data Protection Impact Assessment: A Hands-On Tour of the GDPR’s Most Practical Tool”, in Marit Hansen, Eleni Kosta, Igor Nai-Fovino, and Simone Fischer-Hübner (eds.), Privacy and Identity Management. The Smart Revolution. 12th IFIP WG 9.2, 9.5, 9.6/11.7, 11.6/SIG 9.2.2 International Summer School, Ispra, Italy, September 4-8, 2017, Revised Selected Papers, Springer, Cham, 2018, pp. 207-220. https://doi.org/10.1007/978-3-319-92925-5_13

 

Neue Tracking-Verfahren greifen immer mehr Daten ab, ohne dass die Nutzer es merken

Die Verfolgung von Nutzeraktivitäten im Netz, das so genannte Tracking, ist ein bekanntes Datenschutzproblem. Mittlerweile aber gibt es eine Vielzahl neuer Tracking-Methoden, die unbemerkt tief in die Privatsphäre der Nutzenden eingreifen. Wirksame Möglichkeiten sich zu schützen, gibt es kaum. Der Forschungsverbund „Forum Privatheit“ analysiert in seinem neuen White Paper Tracking diese neuen Tracking-Verfahren und beleuchtet die wirtschaftlichen, rechtlichen und gesellschaftlichen Folgen.


Klassische Browsercookies kennen die meisten. Sie werden von Webseitenbetreibern eingesetzt, um Nutzerverhalten aufzuzeichnen. Gegen diese Tracking-Methoden steht eine Vielzahl von Blockern zur Verfügung. „Doch solche Cookies sind nur noch eine Tracking-Methode unter vielen“, meint Dr. Thilo Hagendorff, Wissenschaftler an der Universität Tübingen und Medienethiker im „Forum Privatheit“. „Mittlerweile gibt es weitaus invasivere und intransparentere Verfahren wie etwa das biometrische Tracking, das die Wischbewegungen bei der Smartphone-Nutzung analysiert oder das Tracking mit Ultraschallsignalen, die das menschliche Gehör nicht wahrnehmen kann. Gegen diese gibt es bisher fast keine wirksamen technischen Schutzmechanismen.“

Die meisten User kennen die neuen Tracking-Verfahren gar nicht

„Die rechtlichen Grundlagen des Trackings werden mit dem Geltungsbeginn der Datenschutz-Grundverordnung und der geplanten ePrivacy-Verordnung grundlegend geändert, da die Verarbeitung personenbezogener Daten künftig wesentlich strenger reguliert wird“, prophezeit Prof. Dr. Alexander Roßnagel, Sprecher des „Forum Privatheit“ und Rechtswissenschaftler an der Universität Kassel. Insbesondere die rechtliche Zulässigkeit des Ultraschall-Trackings wird im neuen White Paper des Forschungsverbunds „Forum Privatheit“ untersucht. Benjamin Bremert, Jurist am Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein, erläutert: „Die Möglichkeiten des Ultraschall-Trackings sind durch die rechtlichen Anforderungen künftig deutlich eingeschränkt, was das Verfahren aus rechtlicher Perspektive unattraktiv macht – jedoch leider keine Garantie dafür ist, dass es nicht doch eingesetzt wird.“ Eine eigens für das White Paper durchgeführte empirische Studie ergab, dass die Nutzer über diese neuen Tracking-Verfahren auffällig wenig wissen. „Die meisten der untersuchten Verfahren waren dem Großteil der Befragten unbekannt. Wurden die Verfahren erläutert, beurteilte eine Mehrheit der Teilnehmenden die Verfahren als nicht nützlich, als bedenklich und als besorgniserregend“, fasst Medienpsychologin Prof. Dr. Nicole Krämer die Ergebnisse zusammen.

Es braucht einen öffentlichen Diskurs, welche Tracking-Formen legitim sind – und welche nicht

Vor allem die Intransparenz der angewandten Tracking-Verfahren, die hohe Eingriffstiefe in die Privatheit und die Tatsache, dass den Nutzenden keine einfach zugänglichen sowie geeigneten Optionen zur Vermeidung von Tracking zur Verfügung stehen, werden von den Forschenden kritisiert. „Zwar wäre es zu einfach, das Tracking als etwas per se Negatives zu betrachten“, meint der Soziologe und Verbraucherforscher Prof. Dr. Jörn Lamla von der Universität Kassel. „Aber es müsste doch erst einmal eine öffentliche Auseinandersetzung über legitime und illegitime Tracking-Formen geben. Stattdessen wird zumeist in weitgehend intransparenter Weise erstmal alles umgesetzt, was sich technisch realisieren lässt. Die Verbrauchersicht spielt oft erst dann eine Rolle, wenn irgendeine Trackingmethode trotz der Intransparenz erkennbar wird und auf breite Ablehnung stößt – dann wird schnell zurückgerudert. Angemessener wäre es, zu einer grundsätzlichen Verständigung darüber zu kommen, welche Tracking-Methoden als legitim gelten sollen.“

Wettrüsten zwischen Webseitenbetreibern und Tracking-Blockern

Um sich gegen die älteren Methoden des Trackings zu schützen, stehen Internetnutzenden zahlreiche technische Hilfsmittel zur Verfügung, sogenannte Ad- und Tracking-Blocker. Diese Tools werden meist ohne Zusammenarbeit mit Browser- bzw. Betriebssystem-Entwicklern konzipiert und als Browser-Erweiterungen umgesetzt. „Tatsächlich führt die fehlende Mitwirkung der Hersteller populärer Browser und Betriebssysteme bei der Gestaltung möglicher Anti-Tracking-Mechanismen zu suboptimalen Lösungen und somit auch zu einem permanenten Wettrüsten zwischen Trackern bzw. Webseitenbetreibern und Tracking-Blockern“, so Hervais Simo, Privatheitsforscher am Fraunhofer SIT und Mitglied im „Forum Privatheit“. Effektivere und nachhaltigere Gegenmaßnahmen müssten tief im Browser bzw. Betriebssystem verankert und nach den Prinzipien des Privacy-by-Design und Privacy-by-Default – also Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen – realisiert werden. „Der Schutz vor Tracking in mobilen Apps und dem Internet der Dinge sind bislang nur wenig untersucht worden.“ Forscher des Fraunhofer SIT arbeiten derzeit am Tool MetaMiner, welches das Tracking durch mobile Apps für die User sichtbar und kontrollierbar machen soll.


Im Forum Privatheit setzen sich Expertinnen und Experten aus sieben wissenschaftlichen Institutionen interdisziplinär, kritisch und unabhängig mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert. Weitere Partner sind das Fraunhofer SIT, die Universität Duisburg-Essen, das Wissenschaftliche Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel, die Eberhard Karls Universität Tübingen, die Ludwig-Maximilians-Universität München sowie das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein. Das BMBF fördert das Forum Privatheit, um den öffentlichen Diskurs zu den Themen Privatheit und Datenschutz anzuregen.

 

Sprecher „Forum Privatheit“:
Prof. Dr. Alexander Roßnagel
Universität Kassel
Projektgruppe verfassungsverträgliche Technikgestaltung (provet)
Wissenschaftliches Zentrum für Informationstechnik-Gestaltung (ITeG)
Tel: 0561/804-3130 oder 2874
E-Mail: a.rossnagel@uni-kassel.de

Projektkoordination „Forum Privatheit“:
Dr. Michael Friedewald
Fraunhofer-Institut für System- und Innovationsforschung ISI
Competence Center Neue Technologien
Tel.: 0721 6809-146
E-Mail: Michael.Friedewald@isi.fraunhofer.de

Presse und Kommunikation „Forum Privatheit“:
Barbara Ferrarese, M.A.
Fraunhofer-Institut für System- und Innovationsforschung ISI
Tel.: 0721 6809-678
E-Mail: presse@forum-privatheit.de

„Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt“
https://www.forum-privatheit.de/forum-privatheit-de/index.php
Twitter: @ForumPrivatheit

Datenschutz-Grundverordnung: Datenschutz-Forscher des Fraunhofer ISI erklärt, was sich ändert

Ab heute gilt die neue EU-Datenschutz-Grundverordnung (DSGVO), die den Datenschutz in der EU stärken soll. Dabei stellt sich die Frage, was sich jetzt konkret ändert und was beachtet werden muss. Dr. Michael Friedewald, der am Fraunhofer ISI zum Thema Datenschutz forscht und dort unter anderem den Forschungsverbund Forum Privatheit koordiniert, beantwortet im Interview die wichtigsten Fragen.


Mit der EU-Datenschutz-Grundverordnung ist bei Datenschützern, Aufsichtsbehörden und Bürgerinnen und Bürgern gleichermaßen die Hoffnung nach einer Stärkung des Datenschutzes in der EU verbunden. Doch ist diese Hoffnung berechtigt? Was müssen Unternehmen zum Inkrafttreten der DSGVO wissen? Und wo liegen die Stärken und Schwächen der neuen Grundverordnung? Im Interview steht Datenschutz-Forscher Dr. Michael Friedewald vom Fraunhofer ISI in 10 Fragen Rede und Antwort.

Frage (1): Ab heute gilt die neue DSGVO. Was sind die wichtigsten Neuerungen?

Dr. Michael Friedewald: Die zentralen Neuerungen sind erweiterte Anweisungs- und Sanktionsbefugnisse der Datenschutz-Aufsichtsbehörden, das »Marktortprinzip« bzw. die Ausweitung des räumlichen Datenschutz-Anwendungsbereichs sowie klarer ausgestaltete Rechte für Betroffene.

Frage (2): Stichwort Sanktionen: Müssen Unternehmen, öffentliche Einrichtungen und Privatpersonen nun mit harten Strafen rechnen, wenn sie Fehler beim Datenschutz machen?

Dr. Michael Friedewald: Wenngleich die Sanktions- und Einspruchsmöglichkeiten deutlich erweitert wurden – Verstöße gegen die Datenschutzvorgaben können mit bis zu 20 Mio. Euro Strafe bzw. 4% des Vorjahresumsatzes eines Unternehmens geahndet werden – ist keine unmittelbare Sanktionswelle zu befürchten. Es geht um die Umsetzung der DSGVO. Finanzielle Strafen sind nur die letzte Sanktionsmöglichkeit, Aufsichtsbehörden geben vielmehr Hilfestellungen, wo und wie Unternehmen und andere Einrichten beim Datenschutz nachbessern können. Die aktuelle Hysterie in dieser Sache ist also völlig übertrieben.

Frage (3): Systembetreiber müssen im Zuge der DSGVO auch Datenschutz-Folgenabschätzen durchführen – was bringen diese?

Dr. Michael Friedewald: Datenschutz-Folgenabschätzungen sind ein wirklich innovatives Element der DSGVO. Sie ermöglichen einerseits eine bessere Einschätzung der Risiken durch bestehende Datenverarbeitungen. Andererseits weisen sie frühzeitig und während des Entwicklungsstadiums auf mögliche negative Konsequenzen für den Datenschutz hin. Bestehende Datenschutz-Mängel lassen sich damit rechtzeitig erkennen und noch während der Technologieentwicklung korrigieren. Der Datenschutz kann damit im Sinne des »Datenschutz durch Technikgestaltung« – einem weiteren innovativen Element des neuen Datenschutzrechts – bei der Einführung neuer Geräte oder Anwendungen von vornherein besser integriert werden.

Frage (4): Und wie laufen Datenschutz-Folgenabschätzungen konkret ab?

Dr. Michael Friedewald: Die Durchführung einer Folgenabschätzung erfolgt in vier Phasen: Zunächst wird die Notwendigkeit einer Folgenabschätzung geprüft. Falls erforderlich, erfolgt dann die Bewertung der Risiken anhand der sechs Schutzziele Nicht-Verkettbarkeit von Daten, Transparenz, Intervenierbarkeit, Verfügbarkeit, Integrität und Vertraulichkeit. Wurden Risiken identifiziert, müssen diese durch geeignete Schutzmaßnahmen beseitigt werden. Und in einer schriftlichen Dokumentation werden alle Schritte festgehalten, damit sich die Aufsichtsbehörden oder auch die Bürgerinnen und Bürger über die Datenschutzanstrengungen eines Unternehmens oder einer Behörde informieren können.

Frage (5): Neu ist auch das »Marktortprinzip« – was hat es damit auf sich?

Dr. Michael Friedewald: Mit der DSGVO ist nicht mehr der Ort der Datenverarbeitung für die Anwendung des Datenschutzrechts entscheidend, sondern die Frage, ob Daten von sich in der EU aufhaltenden Personen verarbeitet werden. Damit gilt die EU-Verordnung für alle Datenverarbeiter – und zwar weltweit. Große Unternehmen haben bereits angekündigt, dass sie den Regeln der DSGVO auch auf anderen Märkten folgen werden.

Frage (6): Werden die Rechte von betroffenen Personen durch die DSGVO insgesamt gestärkt?

Dr. Michael Friedewald: Das kann man grundsätzlich bejahen, wenngleich Vieles beim Alten bleibt. In jedem Falle sind die Rechte klarer ausgestaltet. So kann man sich etwa direkt bei den regionalen Aufsichtsbehörden beschweren, wenn man einen Verstoß gegen das Datenschutzrecht feststellt, was vorher nicht ging.

Frage (7): Verliert Europa durch die DSGVO nicht gegenüber anderen Ländern an Wettbewerbsfähigkeit, in denen die Entwicklung der Datenökonomie nicht durch zu viel Datenschutz behindert wird?

Dr. Michael Friedewald: Natürlich steht der Schutz von Grundrechten im Vordergrund. Aber Beispiele aus anderen Bereichen wie dem Umweltschutz zeigen, dass eine ambitionierte Regulierung auch innovative Lösungen hervorbringt, die sich mittel- bis langfristig zum Wettbewerbsvorteil für Europa entwickelt haben. Daher sehe ich den Datenschutz nicht als Innovationshemmnis, im Gegenteil: Hier kann Europa Vorreiter sein.

Frage (8): Wie geht die DSGVO mit künftigen technischen Entwicklungen um, etwa im Bereich Big Data oder künstliche Intelligenz?

Dr. Michael Friedewald: Bei der Technikneutralität sehe ich ihr größtes Manko, denn sie macht keine Unterschiede beim Risiko einer Verarbeitung. So gibt es keine einzige Regelung zu den großen Herausforderungen moderner Informationstechniken wie Big Data, Internet der Dinge, Cloud Computing, Selbstlernende Systeme, Suchmaschinen und vielen anderen Grundrechtrisiken. Auch beinhaltet die Grundverordnung Transparenzpflichten, die allerdings durch Geschäftsgeheimnisse oder Urheberrechte und sogar durch deutsche Gesetze weitgehend eingeschränkt sind.

Frage (9): Wird mit der EU-weit gültigen Grundverordnung das Ziel der Harmonisierung und Vereinheitlichung des Datenschutzes erreicht?

Dr. Michael Friedewald: Diese Frage muss man leider verneinen. Es gibt insgesamt über 70 Öffnungsklauseln, die bei der Zulässigkeit der Datenverarbeitung – insbesondere im gesamten öffentlichen Bereich –, den Betroffenenrechten, Erlaubnistatbeständen, dem Beschäftigungsdatenschutz oder der Meinungs- und Informationsfreiheit Regelungen an die EU-Mitgliedsstaaten überträgt. Auch bleiben diese Regelungen abstrakt und die Mitgliedsstaaten bzw. sogar nationale Gerichtsbezirke legen sie auf Basis ihrer Rechtstradition aus. Bis die Details durch Prozesse zur Vereinheitlichung der Datenschutzaufsicht und durch Urteile des EuGH geklärt sind, dürften die abstrakten Vorschriften über Jahrzehnte für Rechtsunsicherheit sorgen.

Frage (10): Muss man sich als Privatperson jetzt Sorgen machen, wenn man bei der Nutzung von sozialen Medien oder Blogs unwissentlich gegen die DSGVO verstößt?

Dr. Michael Friedewald: Die DSGVO gibt keinen Anlass zu Bedenken, dass wir als Privatpersonen etwa in Zukunft beim Fotografieren, beim Betrieb eines Blogs oder der Nutzung von sozialen Medien und Messengern wie Whatsapp wegen Datenschutzverstößen belangt werden können. Bei Fotos greift nach Aussage des BMI weiterhin das Kunsturhebergesetz, das als Spezialregelung stets Vorrang vor der DSGVO hat. Der private Blog ist durch die »Haushaltsausnahme« ohnehin von den Regelungen der DSGVO ausgenommen. Und bei den sozialen Medien und Messengern sind gerade die Betreiber in der Pflicht, die Verarbeitungen datenschutzkonform zu gestalten. So ist eine Übermittlung des gesamten Adressbuchs – wie bei der Anmeldung bei WhatsApp bislang üblich – künftig nicht mehr zulässig.


Im Forum Privatheit setzen sich Expertinnen und Experten aus sieben wissenschaftlichen Institutionen interdisziplinär, kritisch und unabhängig mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert. Weitere Partner sind das Fraunhofer SIT, die Universität Duisburg-Essen, das Wissenschaftliche Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel, die Eberhard Karls Universität Tübingen, die Ludwig-Maximilians-Universität München sowie das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein. Das BMBF fördert das Forum Privatheit, um den öffentlichen Diskurs zu den Themen Privatheit und Datenschutz anzuregen.

Datenschutz-Grundverordnung: Innovative Regelungen, aber keine neue Ära des Datenschutzes

Expertengremium nimmt Stellung zum Geltungsbeginn der Datenschutz-Grundverordnung

Das wissenschaftliche Expertengremium „Forum Privatheit“ analysiert seit Jahren die Entstehung, die Inhalte und die Umsetzung der EU-Datenschutz-Grundverordnung. Zu deren Geltungsbeginn am 25. Mai 2018 fassen die Forscher ihre Erkenntnisse zusammen.


„Der wichtigste Effekt der Datenschutz-Grundverordnung (DSGVO) ist die enorme Aufmerksamkeit, die der Datenschutz derzeit genießt. Jeder Datenverarbeiter, vor allem wenn er den Datenschutz bisher ignoriert hat, nimmt ihn plötzlich zur Kenntnis und fragt entsetzt, was ihn betrifft und was er tun muss“, so „Forum Privatheit“-Sprecher Prof. Dr. Alexander Roßnagel, Rechtswissenschaftler der Universität Kassel. „Dieser DSGVO-Hype ist ein ideales Betätigungsfeld für alle kompetenten und inkompetenten Berater. Auf ihren Rat hin fordern viele große und kleine Datenverarbeiter von ihren Kunden, Mitgliedern und Geschäftspartnern Einwilligungserklärungen – auch wo dies völlig überflüssig und kontraproduktiv ist.“

Diese Aufregung hängt mit dem zusammen, was wirklich neu in der DSGVO ist. „Erstmals erhalten die Aufsichtsbehörden wirksame Aufsichts- und Sanktionsbefugnisse“, erklärt die Datenschutzbeauftragte von Schleswig-Holstein Marit Hansen, Mitglied im „Forum Privatheit“. „Sie können den Datenverarbeitern Anweisungen erteilen, wie sie datenschutzgerecht vorzugehen haben. Dies kann bis zu einem Verbot der Datenverarbeitung gehen. Bei einem Verstoß gegen Datenschutzvorgaben können sie Sanktionen verhängen, die je nach Schwere des Verstoßes bis zu 20 Millionen Euro oder bis zu 4 % des konzernweiten Vorjahresumsatzes reichen können.“

Für den Datenschutz bringt die DSGVO einige innovative Regelungen. Dies begrüßt der Wirtschaftsinformatiker Prof. Dr. Thomas Hess, Ludwig-Maximilians-Universität München und Mitglied im „Forum Privatheit“: „Hierzu gehört die Ausweitung des räumlichen Anwendungsbereichs. Neben EU-Firmen, gilt dieser von nun an auch für alle Datenverarbeiter weltweit, wenn sie – vereinfacht gesagt – personenbezogene Daten von Personen verarbeiten, die sich in der Union aufhalten. Damit wird Wettbewerbsgleichheit vor allem unter den Digitalkonzernen hergestellt, die ihre Dienste auf dem europäischen Markt anbieten.“ Neu sind auch einige Pflichten der Datenverarbeiter wie zur datenschutzgerechten Systemgestaltung und zu datenschutzfreundlichen Voreinstellungen, zur Datenschutz-Folgen­abschätzung sowie zu zusätzlichen Dokumentationen. Diese Pflichten gelten allerdings nur unter einigen Vorbehalten.

Die DSGVO stärkt auch die Rechte der betroffenen Person. „Es bleibt zwar überwiegend bei den bekannten Rechten – doch sind diese nun klarer ausgestaltet. Neu ist das Recht, in Plattformen selbst eingestellte Daten in andere Plattformen übertragen zu können. Neu ist auch das Recht auf Beschwerde bei den Aufsichtsbehörden und die Möglichkeit, die Betroffenenrechte durch einen Verband vertreten zu lassen“, so Prof. Dr. Jörn Lamla, Soziologe an der Universität Kassel und Mitglied im „Forum Privatheit“. „Dagegen ist am viel gepriesenen Recht auf Vergessen im Wesentlichen nur die Überschrift neu.“

Ansonsten enthält die DSGVO nicht viel Neues. Sie führt viele Regelungen der bisherigen Europäischen Datenschutzrichtlinie von 1995 fort. Da das deutsche Datenschutzrecht im Wesentlichen der Richtlinie entsprach, sind viele Regelungen der DSGVO mit den bisherigen Datenschutzrege­lungen vergleichbar. „Wer sich bisher datenschutzkonform verhielt und diese Praxis beibehält, ist gut aufgestellt“, so eine Kernbotschaft der Datenschutzbeauftragten Marit Hansen. „Allerdings wird eingebauter Datenschutz nicht von alleine Realität, wie die Vergangenheit gezeigt hat – wir alle müssen nun Hersteller und Dienstleister zur datenschutzfreundlichen Gestaltung ihrer Angebote drängen.“

Die DSGVO gilt als Verordnung unmittelbar. Sie bewirkt damit, dass sich in der gesamten Union und dem europäischen Wirtschaftsraum alle gleichermaßen an denselben Rechtstext halten müssen. Allerdings sind viele Regelungen so abstrakt, dass sie vielfach nach der jeweiligen Datenschutzkultur ausgelegt werden. Dadurch wird der Text in den einzelnen Mitgliedstaaten und eventuell sogar in verschiedenen Gerichtsbezirken jeweils unterschiedlich interpretiert werden. Bis dies in allen Details durch hochkomplexe Prozesse zur Vereinheitlichung der Datenschutzaufsicht und durch Urteile des EuGH geklärt ist, werden die abstrakten Vorschriften noch Jahre und Jahrzehnte für Rechtsunsicherheit sorgen.

Die DSGVO geht deutschem Recht vor, soweit dieses der Verordnung widerspricht. Allerdings enthält die DSGVO 70 Öffnungsklauseln, nach denen die Mitgliedstaaten eigenes und damit unterschiedliches Recht setzen oder beibehalten dürfen. „Aufgrund dieser Öffnungsklauseln gibt es klare Defizite bei der Vereinheitlichung des Datenschutzrechts in der Union “, erläutert Roßnagel. „Deutschland jedenfalls hat die Öffnungsklauseln bisher dafür benutzt, um das deutsche Datenschutzrecht in vollem Umfang beizubehalten. Änderungen hat es nur vorgenommen, um die Datenverarbeitung zu erleichtern und die Rechte der betroffenen Person gegenüber der DSGVO einzuschränken. Diese Ko-Regulierung des Datenschutzrechts durch die Europäische Union und die Mitgliedstaaten macht das Datenschutzrecht unübersichtlich und kompliziert. Im Ergebnis regelt die DSGVO tatsächlich nur den Bereich der privaten Wirtschaft, während der öffentliche Bereich weiterhin durch das deutsche Datenschutzrecht geprägt wird.“

„Unterentwickelt ist die DSGVO, soweit es um den Grundrechtsschutz gegenüber den neuen und zukünftigen Herausforderungen der technischen Entwicklung – wie etwa Big Data, künstliche Intelligenz, selbstlernende Systeme, Cloud Computing, Suchmaschinen, Netzwerkplattformen, Kontexterfassung, Internet der Dinge – geht. Sie hat keine der absehbaren Herausforderungen risikoadäquat geregelt. Dieses Manko muss baldmöglichst beseitigt werden“, so Dr. Michael Friedewald, Wissenschaftler am Fraunhofer-Institut für System- und Innovationsforschung ISI und „Forum Privatheit“-Koordinator.


Im Forum Privatheit setzen sich Expertinnen und Experten aus sieben wissenschaftlichen Institutionen interdisziplinär, kritisch und unabhängig mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert. Weitere Partner sind das Fraunhofer SIT, die Universität Duisburg-Essen, das Wissenschaftliche Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel, die Eberhard Karls Universität Tübingen, die Ludwig-Maximilians-Universität München sowie das Unabhängige Landes­zentrum für Datenschutz Schleswig-Holstein. Das BMBF fördert das Forum Privatheit, um den öffentlichen Diskurs zu den Themen Privatheit und Datenschutz anzuregen. 

Sprecher „Forum Privatheit“:
Prof. Dr. Alexander Roßnagel
Universität Kassel
Projektgruppe verfassungsverträgliche Technikgestaltung (provet)
Wissenschaftliches Zentrum für Informationstechnik-Gestaltung (ITeG)
Tel: 0561/804-3130 oder 2874
E-Mail: a.rossnagel@uni-kassel.de

Projektkoordination „Forum Privatheit“:
Dr. Michael Friedewald
Fraunhofer-Institut für System- und Innovationsforschung ISI
Competence Center Neue Technologien
Tel.: 0721 6809-146
E-Mail: Michael.Friedewald@isi.fraunhofer.de 

Presse und Kommunikation „Forum Privatheit“:
Barbara Ferrarese, M.A.
Fraunhofer-Institut für System- und Innovationsforschung ISI
Tel.: 0721 6809-678
E-Mail: presse@forum-privatheit.de

Forum „Privatheit und selbstbestimmtes Leben in der digitalen Welt“
https://www.forum-privatheit.de/forum-privatheit-de/index.php
Twitter: @ForumPrivatheit

Datenschutz-Folgenabschätzungen für die betriebliche und behördliche Praxis

Im Projekt  “Datenschutz-Folgenabschätzungen für die betriebliche und behördliche Praxis” (DSFA) wird ein Konzept zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) validiert. Die neue europäische Datenschutz-Grundverordnung (DS-GVO), die ab Mai 2018 angewendet wird, sieht für bestimmte Anwendungen die Durchführung einer DSFA obligatorisch vor. Aufgabe einer DSFA muss es sein, Kriterien des Grundrechtsschutzes zu definieren, die Folgen von Datenverarbeitungspraktiken möglichst umfassend zu erfassen sowie objektiv und nachvollziehbar mit Blick auf die verschiedenen Rollen und damit verbundenen Interessen so zu bewerten, dass typischen Angriffen durch Organisationen und durch Externe mit adäquaten Gegenmaßnahmen begegnet werden kann.  Eine DSFA darf nicht nur eine „lästige Pflicht“ für eine Organisationen darstellen, die sie durchführt, sondern ist ein wichtiges Element für einen innovativen Ansatz der Systementwicklung, das so genannte „Privacy by Design“ (PbD). Institutionen, die zuverlässig, rechtzeitig und umfassend mögliche Datenschutzrisiken erkennen, sind in der Lage, solche nicht-funktionalen Anforderungen frühzeitig in den Systementwurf zu berücksichtigen.

Die hierbei angestrebte Innovation betrifft die Entwicklung eines Rahmens für Datenschutzfolgen-Abschätzungen: Dies umfasst einen Prozess zu deren Durchführung, eine Methodik zum Einbezug aller relevanten Akteure, Kriterien zur zuverlässigen Messung und Bewertung von Datenschutzfolgen sowie Möglichkeiten, diese Elemente in einem Softwaretool zu integrieren.

Wie eine DSFA durchzuführen ist, ist in der DS-GVO nur rudimentär beschrieben. Ziel des Vorhabens ist es, das von den Antragstellern entwickelte Verfahren für eine DSFA zu validieren und praxistauglich zu machen. Es soll für unterschiedliche Anwendungen geeignet sein, von Akteuren aus der Wirtschaft wie der öffentlichen Verwaltung genutzt werden können, von Institutionen unterschiedlicher Größe gleichermaßen praktikabel sein und die Anforderungen des PbD erfüllen. Gegenstand des Projektes soll es sein, die verschiedenen Elemente des DSFA-Konzepts mit realen Anwendungen und in Kooperation mit Akteuren aus Wirtschaft und öffentlicher Verwaltung zu testen und auf Basis der Ergebnisse ggf. Modifikationen vorzunehmen.

Validierungsziele sind der Nachweis, dass mit das validierte DSFA-Konzept die Anforderungen sowohl des Gesetzgebers als auch der Aufsichtsbehörden erfüllt (Effektivität) und von den nutzenden  Unternehmen und Behörden als nützlich und praktikabel bewertet wird (Effizienz).

Für ein innovatives und zuverlässiges DSFA-Konzept existieren unterschiedliche Verwertungs- und Anwendungswege:  Da künftig jedes Unternehmen und jede öffentliche Einrichtung, die personenbezogene Daten verarbeiten, ggf. eine DSFA durchführen muss, gibt es eine hohe potenzielle Nachfrage nach Dienstleistung (vor allem Durchführung von DSFAen und Schulungen zum Einsatz der DSFA-Methodik) und nach unterstützenden Software-Werkzeugen.

Status

Laufendes Projekt (09/2017-08/2019)

Partner:

  • Fraunhofer ISI (Verbundkoordinator);
  • Fachhochschule Kiel
  • FIZ Karlsruhe – Leibniz-Institut für Informationsinfrastruktur
  • ULD (Unterauftragnehmer)
  • Datenschutz Nord (Unterauftragnehmer)
  • Ostfalia Fachhochschule

Living in Surveillance Societies – LiSS

About LiSS

The Living in Surveillance Societies (LiSS) COST Action is a European research programme designed to increase and deepen knowledge about living and working in the surveillance age, in order to better understand the consequences and impacts of enhanced surveillance, and subsequently to make recommendations about its future governance and practice. The underlying theme of the programme is that technologically mediated surveillance – the systematic and purposeful attention to the lives of individuals or groups utilising new ICTs – is a ubiquitous feature of modern society, with citizens routinely monitored by a range of sophisticated technologies. Yet, despite these developments relatively little is known about the depth of personal surveillance or how our personal information is used.

COST (European Cooperation in the field of Scientific and Technical Research) and supported by the EU Framework Programme. The programme is facilitating thematic collaborative research in the field of technologically mediated surveillance through a series of active working groups, workshops, seminars, annual conferences, publications, short-term scientific missions and a doctoral school for young researchers in the field. To date, this collaborative venture has attracted over 100 expert participants from 20 European countries.

The LiSS Working Groups

The scientific work of the programme is sub-divided into four Working Groups, each of which is responsible for a coherent intellectual domain and the definition of specific research questions. The Working Groups act autonomously and independently but in accordance with the general strategy of the programme. Each Working Group meets twice a year and is led by a Working Group coordinator.

Working Groups:

» Working Group 1. Living in the Surveillance Age
Examining citizens’ everyday experiences of, and attitudes towards surveillance of both the surveilled and the surveillants.

» Working Group 2. Surveillance Technologies in Practice
Examining the development and diffusion of surveillance technologies in their institutional settings.

» Working Group 3. The Business of Surveillance
Examining the commercialisation of surveillance and in particular, customer profiling and the increasing role of the private sector in security.

» Working Group 4. Public Policy and the Regulation of Surveillance
Examining regulatory developments in surveillance, including constitutional and legal settings, privacy, freedom of information and data protection.

LiSS Experts

Neuerscheinung

Privatheit und selbstbestimmtes Leben in der digitalen Welt

Interdisziplinäre Perspektiven auf aktuelle Herausforderungen des Datenschutzes

Herausgeber: Friedewald, Michael

Springer Vieweg 2018,ISBN978-3-658-21383-1m DOI: 10.1007/978-3-658-21384-8, 315 Seiten

Privatheit ist eine wichtige Grundlage für ein selbstbestimmtes Leben. In einer immer stärker vernetzten digitalen Welt ist sie von vielen Seiten bedroht. Die Beiträge des Buches untersuchen aktuelle Herausforderungen für Privatheit und Datenschutz aus multidisziplinärer Perspektive. Thematisiert wird dabei u.a., welche Rolle Privatheit in der Gesellschaft einnimmt, wie Bürger diese heute verstehen und wie sie mit den zunehmenden Angriffen darauf umgehen. Darüber hinaus befassen sich die Beiträge mit der europäischen Datenschutzpolitik und neuen Regelungsformen für einen wirksameren Datenschutz.