[datensicherheit.de, 28.01.2020] Zum „Europäischen Datenschutztag 2020“ mahnt die Piratenpartei die Verpflichtung von Parlament und Regierung in Bund und Ländern an, „die Grundfreiheiten der Menschen auch in der digitalen Welt zu schützen“. Dieser wurde im Jahr 2007 ins Leben gerufen, um an das erste Datenschutzabkommen europäischer Länder aus dem Jahre 1981 zu erinnern, das „Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“, auch „Konvention 108“ genannt. Der Schutz unserer Daten heute brauche dringend Sachverstand und Weitsicht, denn es gehe nicht nur um unsere Freiheit, sondern auch um die der nachfolgenden Generationen. Frank Herrmann, Landesvorsitzender der PIRATEN in NRW und Bundesthemenbeauftragter für Datenschutz. Bemängelt: „Leider fehlt der Bundesregierung offenbar beides.“

Schon vor 39 Jahren Grundsätze erlaubter Datenverarbeitung festgeschrieben

Schon vor 39 Jahren seien die Grundsätze der erlaubten Datenverarbeitung, wie die Erforderlichkeit für die Datenerhebung, der Zweckbindungsgrundsatz oder der Informationsanspruch der Betroffenen definiert und festgeschrieben worden.
Die unterzeichnenden Staaten seien durch das Abkommen verpflichtet, die Rechte und Grundfreiheiten der Menschen in der digitalen Welt zu schützen.

Aufsichtsbehörden viel zu schwach ausgestattet

„Den Datenschutz und damit den Schutz der Persönlichkeit der Menschen zu gewährleisten, ist eine der wichtigsten Aufgaben der staatlichen Organe, und sie versagen kläglich dabei“, kritisiert Herrmann.
Auch wenn die Datenschutzgrundverordnung (DSGVO) oft als „großer Wurf“ bezeichnet werde, so bleibe sie doch ein „zahnloser Tiger“, wenn die Grundsätze und Vorgaben nicht in weiteren Gesetzen und Verordnungen umgesetzt werden. Herrmann: „Selbst die Aufsichtsbehörden wurden und werden für die ihnen zugewiesenen Aufgaben viel zu schwach ausgestattet, und dieser Zustand ändert sich seit Jahrzehnten nicht.“

„privacy by design“ und „privacy by default“ oft nicht beachtet

Ob im Meldewesen, im Gesundheitssektor oder bei den Regeln für die Sicherheitsbehörden – die Grundsätze „privacy by design“ und „privacy by default“ würden zu oft als „Fremdworte“ angesehen und nicht beachtet.
„Stattdessen werden Bewegungsprofile und biometrische Daten zunächst von Reisenden und bald von uns allen in großen Datenbanken gespeichert und mit der vagen Hoffnung analysiert, Tatverdächtige einfacher auffinden zu können“, so Herrmann. Hiermit werde unsere Freiheit vermeintlicher Sicherheit geopfert.

Auch „Wildwuchs“ in der Wirtschaft müssen Grenzen gesetzt werden

Der Wille, Freiheit und Selbstbestimmung der Menschen zu schützen, fehle auch im Umgang mit der Kontrolle und Bewertung von Geschäftsmodellen der Wirtschaft, die auf der Erhebung und Analyse unseres Nutzungsverhaltens digitaler Dienste basierten.
Dem hier existierenden „Wildwuchs“ müssten Grenzen gesetzt werden, denn schon heute sei nicht mehr gewährleistet, das Nutzer selbstbestimmte und nicht durch Algorithmen bestimmte Entscheidungen im Netz treffen könnten.

Weitere Informationen zum Thema:

EUROPARAT, 28.01.1981
Details zum Vertrag-Nr.108 / Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten

datensicherheit.de, 22.01.2020
Jahresauftakt 2020: Abermals sensible Daten in falschen Händen

datensicherheit.de, 20.12.2019
14. Europäischer Datenschutztag am 28. Januar 2020

[datensicherheit.de, 11.10.2019] Die Piratenpartei Deutschland geht in einer aktuellen Stellungnahme auf einen Vorfall beim Kurznachrichtendienst twitter ein: Dieser habe eingeräumt, dass von Nutzern angegebene Telefonnummern und E-Mail-Adressen für die Zwei-Faktor-Authentifizierung (2FA), eigentlich zur Absicherung ihres Accounts gedacht, missbräuchlich zur Personalisierung von Werbung verwendet worden seien. Schon vor gut einem Monat – ebenfalls anlässlich eines Datenschutzvorfalls mit 2FA-Telefonnummern bei facebook – hat die Piratenpartei nach eigenen Angaben bereits datensparsamere Alternativen zur anonymen Nutzung von Online-Diensten gefordert.

Verbreitete Unsitte, dass Nutzer unentwegt zur Angabe ihrer Mobilfunknummer aufgefordert werden

„Es ist nicht nur bei Twitter eine verbreitete Unsitte, dass Nutzer unentwegt aufgefordert werden, ihre Handynummer anzugeben. Das ist oft bei neuen Verträgen eine Voraussetzung dafür, diese überhaupt aktivieren zu können. Dass hier das Vertrauen der Nutzer, die sich eigentlich mehr Sicherheit für ihre Account-Daten versprachen, quasi ins Gegenteil verkehrt wurde, muss Konsequenzen haben“, fordert Frank Herrmann, Themenbeauftragter „Datenschutz“ der Piratenpartei Deutschland. Diese erwartet demnach nun, „dass twitter die betroffenen Nutzer zeitnah über den Vorfall informiert“.

U2F-Security-Tokens als sichere und datenschutzfreundliche Lösung

Da mittlerweile viele Nutzer überwiegend Smartphones verwendeten, um auf Social-Media-Dienste zuzugreifen, sei der Sicherheitsgewinn einer über dasselbe Gerät empfangenen SMS-Authentifizierung „fragwürdig“. Separate, über USB oder NFC mit dem Endgerät kommunizierende U2F-Security-Tokens stellten indes „eine sicherere und datenschutzfreundlichere Lösung“ dar.

Ähnliche Problematik mit neuer EU-Zahlungsdiensterichtlinie PSD2

Eine ähnliche Problematik besteht laut Piratenpartei mit der neuen EU-Zahlungsdiensterichtlinie PSD2, die Banktransaktionen besser absichern soll: Viele Banken setzten dabei derzeit vor allem auf das mTAN-Verfahren, bei dem die Kunden TANs per SMS erhalten. „Realitätsfern ist dabei, dass Online-Banking und der Empfang SMS-TAN auf dem gleichen Gerät aus Sicherheitsgründen nicht gestattet sind, der Hinweis dazu aber meist tief in den Allgmeinen Geschäftsbedingungen versteckt ist.“ So verstießen Smartphone-Nutzer, „die nur ein einzelnes Gerät für das Online-Banking benutzen, regelmäßig gegen die Bedingungen der Banken, und müssen im Missbrauchsfall damit rechnen, auf ihrem Schaden sitzen zu bleiben“. Auch hierbei gebe es beispielsweise Chip-TAN Verfahren, die einerseits sicherer seien, andererseits aber auch die Weitergabe der Handynummer an die Bank überflüssig machten.

Weitere Informationen zum Thema:

PIRATEN, 05.09.2019
Facebook-Datenpanne / PIRATEN FORDERN RECHT AUF ANONYMITÄT BEI ONLINE-DIENSTEN

datensicherheit.de, 05.09.2019
facebook-Datenpanne: 419 Millionen Telefonnummern zugänglich / Piratenpartei Deutschland fordert Recht auf Anonymität bei Online-Diensten

datensicherheit.de, 04.01.2019
twitter-Vorfall: Umfang veröffentlichter Daten immens

datensicherheit.de, 16.03.2017
Hackerangriff auf twitter: Unbekannte missbrauchen Tausende Konten

[datensicherheit.de, 29.06.2019] In der Nacht zum 28. Juni 2019 hat der Bundestag mit den Stimmen der „GroKo“ das „2. Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ zur Anpassung deutscher Gesetze an die DSGVO beschlossen. Frank Herrmann, Vorsitzender der PIRATEN NRW und Themenbeauftragter für Datenschutz der Piratenpartei, übt Kritik: „Über ein Jahr zu spät, zu kompliziert und meistens zum Nachteil der Menschen im Land, so könnte man das über 600 Seiten umfassende Gesetzespaket in aller Kürze beschreiben.“

BSI als Zentralstelle IT-Sicherheit braucht Vertrauen und Transparenz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) durch die Einschränkung der Auskunftsrechte Betroffener weiter abzuschotten, sei „genau die falsche Strategie“.
Für diese Zentralstelle für IT-Sicherheit seien Vertrauen und Transparenz wichtig. Herrmann: „Keine Mauern aus Schweigen!“

Haftung für Beachtung der Datenschutzpflichten bleibt

Herrmann kritisiert weiterhin: „Und dass jetzt nur noch Unternehmen, in denen mehr als 20, statt bisher zehn Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, verpflichtend eine Person für den Datenschutz beauftragen müssen, ist purer Populismus und ein vergiftetes Geschenk an die Unternehmer.“
Denn an der Verantwortlichkeit und auch an der Haftung für die Beachtung der Datenschutzpflichten ändere sich nichts – die blieben bei der verantwortlichen Stelle, beim Unternehmen. „Wenn jetzt die fachliche Beratung eingespart werden darf, werden Datenschutzverstöße ganz sicher nicht weniger werden“, so seine Warnung.

Kein Wort zur Videoüberwachung…

„Kein Wort verlieren CDU/CSU und SPD über den vor drei Monaten vom Bundesverwaltungsgericht für ungültig erklärten §4 Abs.1 BDSG zur Videoüberwachung“, so Herrmann. Hierzu wäre „wenigstens die Klarstellung der Gültigkeit europäischen Rechts und die Aussicht auf eine neue Regelung wichtig gewesen“.

Nutzung der Polizei-Digitalfunkgeräte vollständig überwacht

Ein „kaltes Erwachen“ gebe es für die Polizeigewerkschaften, denn durch das in Artikel 8 geänderte BDBOS-Gesetz seien es jetzt die Beamten selbst, welche durch die Nutzung ihrer Digitalfunkgeräte vollständig überwacht würden:
„Für 75 Tage darf jetzt gespeichert werden, wer, wann, mit wem und von wo kommuniziert hat.“ Die „Robocop“-Strategie der Innenminister in Bund und Ländern werde fortgesetzt – denn dass die Bilder der Bodycams in die Einsatzzentralen übertragen werden, sei nur noch eine technische Hürde.

Regelungen noch unübersichtlicher

Herrmanns Fazit: „Insgesamt bleibt festzustellen, dass mit den jetzt beschlossenen weiteren Gesetzes-Änderungen der Schutz personenbezogener Daten in Deutschland weiter eingeschränkt wird und die Regelungen noch unübersichtlicher werden.“ Die Schutzpflicht des Staates gegenüber seinen Bürgern werde „klar missachtet“.

Weitere Informationen zum Thema:

Deutscher Bundestag
Bundestag stimmt zwei Gesetzen zum Datenschutzrecht zu

datensicherheit.de, 28.06.2019
Zweites Datenschutz-Anpassungsgesetz angenommen / Nach dem Bundestag jetzt der Bundesrat am Zug

[datensicherheit.de, 03.06.2019] Das Bundesverwaltungsgericht hat sein am 27. März 2019 ergangenes Urteil zur Videoüberwachung durch private Stellen erst jetzt veröffentlicht: Demnach wird diese ausschließlich durch die europäische Datenschutzgrundverordnung (DSGVO) geregelt. Hierzu kommentiert Frank Herrmann, einer der damaligen Beschwerdeführer und Landesvorsitzender der PIRATEN NRW, dass es „unhaltbar“ sei, Videoüberwachung kraft Gesetz für wirksam zu erklären, so wie es der Gesetzgeber mit dem „Videoüberwachungsverbesserungsgesetz“ versucht hatte und nun „endlich gescheitert“ sei. Dringend müsse jetzt für für Rechtsklarheit gesorgt werden.

Nichtige Rechtsgrundlage für Videoüberwachung in Einkaufszentren

Herrmann: „Das frühere Videoüberwachungsverbesserungsgesetz und der davon abgeleitete § 4 Abs. 1 Satz 1 im aktuellen Bundesdatenschutzgesetz sind damit nichtig.“ Auf dieser Rechtsgrundlage würden jedoch noch heute eine Vielzahl von Videoüberwachungsanlagen im Öffentlichen Raum von privaten Stellen betrieben – etwa in Einkaufszentren.
Eine im Jahr 2017 von der Piratenpartei unterstützte Verfassungsbeschwerde gegen dieses Gesetz sei damals vom Bundesverfassungsgericht indes nicht zur Entscheidung angenommen worden.

Späte Genugtuung für Beschwerdeführer

Für Herrmann ist es „eine späte Genugtuung“, dass diese Verfassungsbeschwerde „nunmehr inhaltlich doch noch erfolgreich ist“.
Es sei und bleibe unhaltbar, Videoüberwachung kraft Gesetz für wirksam zu erklären – genau aber das habe der Gesetzgeber mit dem sogenannten Videoüberwachungsverbesserungsgesetz versucht und sei jetzt endlich gescheitert.

Auf Datenschutzaufsichtsbehörden kommt viel Arbeit zu

Die Gesetzgeber müssten nun „dringend für Rechtsklarheit sorgen und die Paragraphen zur Videoüberwachung aus den Datenschutzgesetzen in Bund und Ländern streichen“.
Anja Hirschel, Stadträtin aus Ulm und Bundesthemenbeauftragte für Digitalisierung, ergänzt: „Ich würde mir wünschen, dass der Gesetzgeber den Inhalt der Entscheidung übernimmt und nicht wieder versucht, seine eindeutig unzulässigen Pläne in einer neuen Form durchzusetzen.“

Weitere Informationen zum Thema:

datensicherheit.de, 31.05.2019
Bundesverwaltungsgericht: Videoüberwachungsverbesserungsgesetz gestoppt / Nationale Regelungen zur Privilegierung privater Videoüberwachung verstoßen gegen Europarecht und sind daher nicht anwendbar

PIRATEN, 28.06.2017
PIRATEN gehen gegen Videoüberwachungverbesserungsgesetz vor / VERFASSUNGSBESCHWERDE ZU VIDEOÜBERWACHUNGSVERBESSERUNGSGESETZ EINGEREICHT

Kanzlei Starostik Berlin, 27.06.2017
Verfassungsbeschwerde