Heft [PDF] - Deutsche Vereinigung für Datenschutz e.V.

1/2010Deutsche Vereinigung für Datenschutz e.V.www.datenschutzverein.de33. JahrgangISSN 0137-77679,00 EuroPervasive Computing■ Pervasive Computing und Informationelle Selbstbestimmung■ Smartphones ■ ELENA ■ Vorratsdatenspeicherung ■ GoogleStreet View ■ Datenschutznachrichten ■ Rechtsprechung ■

Seite3DANADatenschutz NachrichtenISSN 0137-776733. Jahrgang, Heft 1HerausgeberDeutsche Vereinigung fürDatenschutz e.V. (DVD)DVD-Geschäftstelle:Bonner Talweg 33-35, 53113 BonnTel. 0228-222498E-Mail: dvd@datenschutzverein.dewww.datenschutzverein.deRedaktion (ViSdP)Sönke Hilbransc/o Deutsche Vereinigung fürDatenschutz e.V. (DVD)Bonner Talweg 33-35, 53113 Bonndana@datenschutzverein.deDen Inhalt namentlich gekennzeichneterArtikel verantworten diejeweiligen Autoren.Layout und SatzFrans Jozef Valenta,53119 Bonnvalenta@t-online.deDruckWienands Printmedien GmbHLinzer Str. 140, 53604 Bad Honnefwienandsprintmedien@t-online.deTel. 02224 989878-0Fax 02224 989878-8BezugspreisEinzelheft 9 Euro. Jahresabonnement32 Euro (incl. Porto) für vierHefte im Jahr. Für DVD-Mitglieder istder Bezug kostenlos. Das Jahresabonnementkann zum 31. Dezembereines Jahres mit einerKündigungsfrist von sechs Wochengekündigt werden. Die Kündigungist schriftlich an die DVD-Geschäftsstellein Bonn zu richten.CopyrightDie Urheber- und Vervielfältigungsrechteliegen bei den Autoren.Der Nachdruck ist nach Genehmigungdurch die Redaktion beiZusendung von zwei Belegexemplarennicht nur gestattet, sonderndurchaus erwünscht, wenn auf dieDANA als Quelle hingewiesen wird.LeserbriefeLeserbriefe sind erwünscht, derenPublikation sowie eventuelle Kürzungenbleiben vorbehalten.AbbildungenTitelbild, 10, 19, 51:Frans Jozef Valenta, 4: Wikipedia,50: Tobias HelfrichAllgegenwärtig, allmächtig,unsichtbarNein, die reißerische Überschrift zu diesem Editorial beklagt weder denUntergang des Rechtsstaats durch Vorratsdatenspeicherung und datenmächtigeGeheimdienste, noch kopiert sie die Werbung zu einem Fantasy-Film. Indieser Ausgabe beschäftigen sich die Datenschutznachrichten mit „ubiquiouscomputing“, der zunehmend allgegenwärtigen Datenverarbeitung durch „intelligente“Werkzeuge und Alltagsgegenstände. Die Vorstellung, dass jede halbwegsanspruchsvolle Verrichtung des Alltags, des Berufslebens oder bei derFreizeitgestaltung nicht mehr ohne Erhebung, Verarbeitung und insbesondereÜbermittlung personenbezogener Daten erfolgen kann und die kleinen buntenblinkenden Kistchen, die das Leben je nach Geschmack einfacher, schöneroder schneller machen, mit unsichtbaren und unbekannten Akteuren zusammenhängen,die Daten mit mehr oder weniger offensichtlichem Personenbezugspeichern oder jedenfalls speichern könnten, wäre in den längst vergangenenUrzeiten des Datenschutzes – sagen wir mal den 80er Jahren – vielleicht eineHorrorvision gewesen. Heutzutage bilden sich vor den Verkaufsständen fürSmartphones ebenso lange Schlangen wie an den Kinokassen bei neuen Horror-Blockbustern. Dabei stellen sich ganz neue Fragen: Gibt es eine Zukunft desDatenschutzes in einer Welt allgegenwärtiger Informationsverarbeitung? SindPersonenbezug, Erforderlichkeit und Betroffenenrechte noch die richtigenKategorien? Die Beiträge dieser Ausgabe können schon kein vollständiges Bildvon Praxis und Entwicklung des „ubiquious computing“ mehr bieten. Hattenwir nicht noch vor Kurzem RFIDs als den zentralen Angriff auf die Privatsphäreder KonsumentInnen ausgemacht? Lesen Sie bitte die Datenschutznachricht zuIndect auf S. 33. Smart times, here we come …Sönke HilbransAutorinnen und Autoren dieser Ausgabe:Florian Albrecht, M.A., akademischer Rat z.A. und Geschäftsführerder Forschungsstelle für Rechtsfragen der Hochschul- und Verwaltungsmodernisierungan der Universität Passau. www.rehmo.uni-passau.de.Dr. Sandro Gaycken, Sicherheits- und Technikforscheram Institut für Philosophie der Universität Stuttgart, Mitarbeiterdes Sonderfolgungsbereich NEXUS, 2. Vorsitzender des AKÜberwachungstechnologie der GI. Sandro.Gaycken@philo.uni-stuttgart.de.Markus Hansen, Informatiker im Unabhängigen Landeszentrum fürDatenschutz Schleswig-Holstein (ULD). Markus.Hansen@privacyresearch.eu.Sönke Hilbrans, Rechtsanwalt, Berlin, Vorsitzender der DeutschenVereinigung für Datenschutz. hilbrans@diefirma.net.Werner Hülsmann, Vorstandsmitglied beim Forum InformatikerInnenfür Frieden und gesellschaftliche Verantwortung (Fiff), bis 2009Vorstandsmitglied der DVD, Datenschutzberater und Datenschutzsachverständiger,Konstanz. huelsmann@datenschutzverein.org.Michael Marc Maisch, Dipl. jur. (univ.), wissenschaftlicher Mitarbeiteran der Universität Passau und der Zeppelin University Friedrichshafen.Marc.Maisch@uni-passau.de. www.marc-maisch.de.Sören Jungjohann, Jurist, Vorstandsmitglied der DeutschenVereinigung für Datenschutz. Jungjohann@datenschutzverein.de.DANA • Datenschutz Nachchrichten 1/20103

PervaSive ComPutingDr. Sandro GayckenPervasive Computingund Informationelle Selbstbestimmung –Eine technikphilosophische BetrachtungDer Verlust der Informationellen Selbstbestimmung als SachzwangInformationelle Selbstbestimmung istheute nicht mehr ohne Weiteres herzustellen.Weder Laien noch Experten sindgegenwärtig in der Lage, alle über sie erhobenen,gespeicherten, genutzten oderweitergegebenen Daten zu sichten undzu kontrollieren. Die sich kontinuierlichund hochdynamisch entwickelndeVielfalt der technischen Möglichkeitenvon Überwachung ist nicht adäquat nachvollziehbar.Und selbst wenn sie es wäre,arbeiten viele der Akteure global und anonymund damit in faktischer Immunitätvor nationalstaatlicher Gesetzlichkeit.Für Datenschutz-Laien hält außerdemdie nationale Datenschutzgesetzgebungeigene Schwierigkeiten bereit. DieGemengelage juristischer und technischerFachsprache mit ihren Interpretationsspielräumensind einewirksame Einstiegshürde gegendie praktikable Beschäftigung mitauftretenden Problemen. Das fürEntscheidungssicherheit geforderte sichereWissen über die eigenen Datenund über die Verfügungsgewalt überdiese Daten ist für viele praktisch nichtmehr erreichbar.Der Verlust der InformationellenSelbstbestimmung sollte alarmierendsein. Tatsächlich wird er kaum diskutiert.Ein Grund für die Abwesenheit einerbreiten Debatte mag der Eindruckeines Sachzwanges sein. Es scheinenkeine praktisch wirksamen Mittelder Abhilfe zu existieren. Allerdingsist dieser Eindruck falsch. Mit hohemAufwand – personell, juristischund technisch – wäre ein Gutteil dersich verschärfenden Probleme nocheinzuholen. Dieser Aufwand wird allerdingsals unrealistisch groß eingestuft,was einen impliziten Rekurs aufVerhältnismäßigkeitserwägungen undKosten-Nutzen-Bilanzierungen indi-ziert, die wesentlich zu Ungunsten derInformationellen Selbstbestimmung ausfallen.Ihre konsequente Durchsetzungscheint zu unwichtig, um teuer - sehrteuer - sein zu dürfen. Der VerlustInformationeller Selbstbestimmung erscheintbei der herrschenden Ökonomieder Privatsphäre als Sachzwang.Nichts zu VerbergenDieses Urteil kann allerdings gegenwärtigkaum als informierteEntscheidung akzeptiert werden.Die Argumente für einen weitPanopticon-Skizze von Jeremy Bentham, 1791gehenden Erhalt der InformationellenSelbstbestimmung fehlen in den öffentlichenDebatten nach wie vor.Stattdessen findet man überproportionalhäufig grundfalsche Argumente. Die amweitesten verbreitete falsche These folgtaus der zunächst richtigen Beobachtung,dass aus der Abwesenheit des sicherenWissens nicht zwangsläufig panoptischeEntscheidungsunsicherheit entstehenmuss – jener von Michel Foucaultkonstatierte Effekt, nach dem autoritärbeobachtete Menschen Entscheidungenvorsichtshalber eher im Sinne des4DANA • Datenschutz Nachrichten 1/2010

PervaSive ComPutingBeobachters als entlang der eigenenInteressen fällen. Betroffene müssen zusätzlichAngst vor Konsequenzen haben,damit sie ihr Verhalten beobachtbaranpassen. Das führt zu jener bekanntenund ungerechtfertigten These, dasses „etwas zu Verbergen“ geben müsse.Eine Prämisse übrigens, die leiderselbst von Datenschutzaktivisten bestätigtwird. Frank Rieger, Sprecher desChaos Computer Clubs, hat kürzlich imFeuilleton der FAZ geschrieben: „Wirmüssen uns ernsthaft der Frage stellen,ob wir in einer Gesellschaft leben wollen,in der kleine und größere Übertretungenvon moralischen und rechtlichen Normennicht mehr verborgen bleiben“.Darum aber geht es dem Datenschutznicht. Darum kann es ihm auch nicht gehen,denn die Aufdeckung und Ahndungder Übertretung von Normen ist gesellschaftlichverabredete Praxis und alleinauf Grundlage ihrer Effizienz nicht angreifbar.An diesen Stellen, an denenÜberwachung ihre nominelle Funktionerfüllt, entsteht per definitionem keinSchaden. Das gilt selbstredend auchdann, wenn panoptische Effekte ausgelöstwerden. Der Wesenszug derManipulation mag einer rationalistischenWertegemeinschaft unwürdig undanstößig erscheinen. Aber BenthamsEntwurf des Panopticons wäre trotz seinermanipulativen Wirkung nicht verwerflichgewesen. Das Gefängnis istein kontrollierter Raum mit verurteiltenVerbrechern, deren Kontrolle auch inder Variante der Selbstkontrolle als legitimzu bewerten ist.Um es mit Bruce Schneier zusammenzufassen:„[people] accept thepremise that privacy is about hidinga wrong. It‘s not” (Schneier 2006,Supranote 10). Damit hat sich aber natürlichder Bedarf nach InformationellerSelbstbestimmung nicht erledigt. Zumeinen gibt es ausreichend Argumente,die für einen Erhalt InformationellerSelbstbestimmung optieren, ohne notwendigRekurs auf den panoptischenEffekt nehmen zu müssen.Zuerst ist da die vom Problem desPanoptismus abzukoppelnde Grundsatzfrageder faktischen Ausdehnung vonÜberwachung. Welche Kontexte wurdenkollektiv als der Kontrolle bedürftig bewertetund wann werden diese Kontexteüberschritten? Die Beantwortung dieserFrage ist nicht so leicht, wie manes sich wünschen würde. Allerdingstendieren aktuelle Entwicklungenzum Extrem. Die Parallelgenesishochentwickelter Informations- undKommunikationstechnik und (auto-)aggressiver Innenpolitik will dieAuflösung jeder Gebundenheit an spezifischeKontexte. Das kann auch ohneDetailbetrachtungen zurückgewiesenwerden. Mindestens drei Gründe lassensich anführen. Erstens werden mitUniversalüberwachung kulturelle undindividuelle Bedürfnisse nach Intimitätund Freiraum stark beeinträchtigt. Dasist unberechtigt. Das Verlangen nachder Abwesenheit von Kontrolle ist einGrundbedürfnis und als solches demVerlangen nach Sicherheit absolutgleichzustellen. Das Diktum von Warrenund Brandeis kann hier wiederholt werden:Es gibt ein genuines „right to be letalone“ (Warren & Brandeis 1890: 1).Zweitens kann Kontrolle schlicht politischunangemessen sein. Dem philosophischenGrundverständnis des contratsocial nach schreibt dieser vor, welcheBereiche der staatlichen Regulierungzufallen, während das, was nicht explizitaufgenommen wird, als außerhalbder Regulierung zu erachten ist. Das galtselbst bei Hobbes, dem sicherheitsversessenenBegründer der Vertragstheorie.Und nur für die zu regulierenden Bereichedarf der Staat auch Kontrollmacht ausbauen.Wächst allerdings staatlicheKontrolle in ein Maß, das implizit undmanipulativ Regulierung in nicht zu regulierendeLebensbereiche transportiert,ist der Gesellschaftsvertrag verletzt– auch wenn dadurch keine Schäden entstehen.Interessanterweise trifft vor allemdiese philosophische Variante derVertragsverletzung auf einen hohen gesellschaftlichenWiderwillen. Besondersdie Selbstermächtigung des Staates zurZuständigkeit über immer mehr vormalsnicht-staatliche Bereiche wird – erfreulicherweise– als problematisch empfunden.Drittens lassen sich viele zivileFreiheiten nicht unter Überwachungwahrnehmen. Dies betrifft insbesondereHandlungen, die vor dem Staat oderaußerhalb des Staates stehen und damitnotwendig ohne Staat stattfindenmüssen. Freie Wahlen als Akt der erstnoch zu vollziehenden Staatsgründungoder Pressefreiheit als außenstehendesKorrektiv des Staates etwa können nurunabhängig von staatlichem Einflussüberhaupt funktionieren. Das gilt notwendigunabhängig vom Effekt desPanoptismus, da jede Möglichkeit eineswie auch immer gearteten Effekts ausgeschlossensein soll, auch wenn panoptischeManipulationen letztlich alsHaupteinfluss gesehen werden kann.Neben der Tendenz zur Auflösung derKontextgebundenheit lassen sich nochandere Probleme angeben. MoralischeProzesse, ethische Erwägungen etwa,können neuerdings ohne die Beteiligtenausgehandelt werden. Solove führt an,dass der Ersatz des Menschen durchdessen Datenebenbild – als Konsequenzerhöhter Überwachung – eine Vielzahlsozialer Interaktionen kafkaesk werdenlässt, gemeint im Sinne des literarischenVorbilds „Der Prozess“. Überdas Individuum wird beraten und gerichtet,ohne es je selbst zu Wort kommenzu lassen (Solove 2007). Die zynischeSpitze dieser Dynamik kannin China bereits beobachtet werden.Dort fällen Computer verbindlicheRechtsurteile für kleine und großeVergehen. Natürlich muss die Frageberücksichtigt werden, ob Computermöglicherweise moralisch bessereEntscheidungen fällen als Menschen.Präzise aus diesem Grund wurden diechinesischen Computerrichter eingeführt.Sie sollen Korruption undWillkür unter Richtern eindämmen.Auch sind juristische Entscheidungenoft eine Frage von Komplexität, dievon Computern zweifellos besser beherrschtwird. Aber selbst wenn: Kannman ernsthaft wollen, dass die menschlicheInstanz in Entscheidungen überRecht und Unrecht oder – wie in KIgesteuertenArtilleriegeschützen - überLeben und Tod auf den einmaligen Aktder Programmierung reduziert wird?Wichtig ist außerdem, dass derSchutz von Freiheitsrechten auch einSchutz von Sicherheit ist. Die Wahrungdieser Rechte zu demokratischenFriedenszeiten macht nach HannahArendt sogar die feine rote Linie zwischendemokratischen und totalitärenEntwicklungstendenzen aus (Arendt2008), die in Demokratien stets parallelzueinander existieren. In stabilenDemokratien scheinen diese Rechteoft redundant oder anachronistisch. ImDANA • Datenschutz Nachrichten 1/20105

PervaSive ComPutingVergleich mit Sicherheitsproblemen stehensie als Abstraktum da. Wie Bartowin Bezug auf Privatheit und als Kritikgegen Soloves abstrakte Überlegungengesagt hat: “lack of blood and death, orat least of broken bones and buckets ofmoney, distances privacy harms fromother categories of tort law” (Bartow2006: 62). Diese Varianten von Schädensind bei einer Entwicklung totalitärerHerrschaft aber durchaus zu erwarten.Ein maximal vollständiger Erhalt vonFreiheitsrechten ist also eindeutig alsMaßnahme präventiver Sicherheit zubetrachten.Zu erwägen ist schließlich auch, obdas „Nichts zu Verbergen“-Argumentnicht alleine deshalb schon als nicht salonfähigeingestuft werden sollte, weiles einen impliziten Umkehrschlussprovoziert. Wer auf seiner Privatheitbeharrt, indiziert seine potentielleKriminalität. Tatsächlich deckt sich dieseVermutung mit Erfahrungsberichten.Wer Überwachung nicht zustimmt, hatden Eindruck, sich verdächtig zu machen.Die gesellschaftliche Akzeptanzdes Arguments bewirkt also eine anschauungsmäßigeKriminalisierung derWahrnehmung von Freiheitsrechten.Hannah Arendt würde sich im Grabeumdrehen.Risikowahrnehmung derÜberwachungDamit sind einige Argumente genannt,die bereits unabhängig vom panoptischenEffekt für einen Erhalt von Privatheitoptieren. Aber auch der Rekurs aufPanoptismus selbst kann aufrechterhaltenwerden, selbst wenn keine konkreten„Überschreitungen“ zu befürchten sind.Als besonders wichtig und noch unterbeachteterscheint dafür der Umstand,dass Angst keine rational und gefahrenproportionalkonstellierte Emotion ist.Bereits kleine Indikatoren für möglicheMissbräuche oder Pannen mit nur entferntmöglichen Konsequenzen könnenübervorsichtige Einstellungen produzieren.Eigenschaften der Gefahrenträgerund mögliche weitere Gefahren könnenleicht stark überzogen wahrgenommenwerden. Ganze Gruppen von Personenund Prozessen können in Schwarz-Weiß-Kontrastierungen stereotypisiertwerden. Und nachdem man einmal vonder Existenz eines Risikos überzeugtist, werden ähnliche Folgeereignisseoft tendenziös interpretiert, um dieEinschätzung des Risikos zu bestätigen,so dass sich die Furcht vor demRisiko selbst verstärkt. Mit anderenWorten: Schon kleine Risiken könnenverheerende emotionale Einstellungenproduzieren. Dies sind die Folgen reduzierterRationalität (Tversky &Kahnemann 1982). Für das Thema derRisikowahrnehmung sind sie bereitsseit langem diskutiert. Die Rezeption sicherheitspolitischerKrisen und die ehermondänen Gefahren wie dem Rauchenoder dem Autofahren gegenüber disproportionalübersteigerten Reaktionen aufdiese Krisen in der Sicherheitspolitiksind ein forschungsmäßig wie politischwichtiges und kaum ohneBevormundung zu behebendes Problem(Gardner 2009). Für die InformationelleSelbstbestimmung kann dies zu gravierendenKonsequenzen führen. DieEmpfindlichkeit und Irrationalität vonAngst könnten dafür sorgen, dass imKontext einer Überwachung auch ohnekonkrete Übertretungen, bei nur hochhypothetischen,äußerst vagen odernicht einmal bewusst wahrgenommenenRisiken starke panoptische Effekte ausgelöstwerden.Die Frage ist also, ob und wie reduziertrationale Risikowahrnehmung beider Wahrnehmung von Überwachungbeobachtet werden kann. Hier stehtnoch dringend benötigte empirischeForschung aus. Der einfache und unsystematischeBlick scheint allerdingsvorerst keine übermäßige Angst erkennenzu lassen. Viele Menschen scheinenmit ihren Daten immer noch eherfreigiebig umzugehen, auch wenn einebeginnende Sensibilisierung zu bemerkenist. Allerdings sind die aktuelleAusweitung der Überwachungstechnikund die breit angelegte Nutzung großerDatenmengen technikhistorisch nochjunge Phänomene. Negative Folgen sindnoch nicht gesellschaftlich breit erfahrbargeworden. Das geschieht nach demTechnikphilosophen William Ogburnauch erst ein bis zwei Generationennach der Einführung einer Technologie(Ogburn & Duncan 1969). Einmal müssenTechnologien eine Weile im Kampfverschiedener Interessensgruppen verbringen,um eine stabile Form anzunehmen.Dann braucht es Zeit, bis siein verschiedenen kulturellen und politischenKontexten gesellschaftlich breiterfahrbar werden. Die Anfangsphasensind währenddessen typischerweise vonEuphorie geprägt. Kulturpessimistischgewendet: Zu Beginn einer Technologieherrscht der Glaube an das Gute imMenschen, am Ende steht die Einsicht indie Unvermeidbarkeit der anderen Seite.Die Negativerfahrungen mit derSoziotechnik der informationstechnischintensivierten Überwachung stehen alsoaller Voraussicht nach noch aus. In vielenFällen sind solche ausstehendenErfahrungen kein größeres Problem.Natürlich wünscht man sich weiseVoraussicht in der soziotechnischenEntwicklung. Die Praxis – man möchtesagen: der Menschheit – verfährt allerdingsnach dem Prinzip, dass erst dannRessourcen zur Vermeidung zu erwartenderNegativfolgen aufgewandt werden,wenn diese ihre Realität spürbar,gesellschaftlich breit und in einem ausreichendschmerzhaften Maße bewiesenhaben. Die Gefahren der Atomkraftsind ein Beispiel. Trotz wissenschaftlicherMahnungen wurden sie erst nachTschernobyl ernsthaft diskutiert.Im Fall der gegenwärtigen informationstechnischenÜberwachung ist eingesellschaftlich breiter, schmerzhafterNachweis allerdings strukturell besondersfolgenreich. Er wäre wesentlich mehr als„nur“ eine vorgreifende und lehrreiche,eine überwindbare Teilerfahrung einesmöglichen Worst Case. Er würde gemäßder Parameter der reduziert rationalenRisikowahrnehmung gesellschaftlichbreit Angst auslösen. Sie wäre irrational,überproportional, würde in übertriebenenExtrapolationen diverse technische undsoziale Prozesse und Akteure adressierenund wäre nur schwer wieder zu entkräften.Das würde sofort panoptisch aufdie Informationelle Selbstbestimmungwirken. Die Erfahrung wäre somit syngenetischmit der Abschaffung derSelbstbestimmung, zumindest in informationstechnischenKontexten. Sieist bereits selbst der vollwertige WorstCase. Der Worst Case hätte zudemüberaus lähmende Wirkungen auf eine„Lessons-Learned“-Neustrukturierungder Überwachungssituation. Die Akzeptanzder Überwachung selbst wirdzum Paket derjenigen Einstellungen ge-6DANA • Datenschutz Nachrichten 1/2010

PervaSive ComPutinghören, denen gegenüber selbstbestimmtesEntscheiden dem vorgreifendenGehorsam weichen muss.Es ist folglich zu erwägen, dieEntwicklung der informationstechnischenÜberwachung nichtdem traditionellen Schema derTechniksteuerung nach schmerzhafterErfahrung zu unterwerfen. Bereitsleichte Negativerfahrungen wie kleineDatenverbrechen aus der Wirtschaft,gesellschaftlicher Unwillen gegenstaatlichen Ausbau von Überwachungund erste informationstechnisch gestützteÜberwachungsstaaten solltenals ausreichende Indikatorenzukünftiger schmerzhafter Trends erachtetwerden. Das führt nun zurück zurVerhältnismäßigkeitsüberlegung: Dadiese leichten Negativerfahrungen bereitsspürbar sind, müssen anstelle einesweiteren Ausbaus der Technik undihrer Nutzung eben jene als unverhältnismäßigempfundenen Maßnahmen zurWiederherstellung der InformationellenSelbstbestimmung als angemessen erachtetwerden.Pervasive ComputingDas ginge gegen den globalen Trendder Datenschutz- und Sicherheitspolitik,vor allem aber gegen eine Reihe technischerTrends. Die Visionen desUbiquitous oder Pervasive Computingsind besonders problematisch. Sie sindnach ihrer ersten Skizze durch MarkWeiser im informationstechnisch nochjungfräulichen 1991 gegenwärtig aufdem besten Wege ihrer Realisierung.Der Alltag soll intensiv mit informationstechnischenGeräten durchdrungensein, die die Welt umfassend dienstbarmachen sollen. Kommunikativ undsensoriell ausgestattete Hardware sollin Gegenstände des täglichen privatenoder beruflichen Lebens eingebettetsein. Völlig ohne Schnittstellen könnenso personalisierte Dienste angebotenwerden. Der Mensch ist überall online,kann kontextspezifisch auf individuellvorbereitete, nützliche Informationenzugreifen und seine Handlungsoptionenerweitern.Die Vision inkorporiert notwendigDatenschutzprobleme. Die ubiquitärenSysteme sollen eigenständig zur interpretatorischenWeltaneignung befähigtsein (Wiegerling et al 2005). Das ist nurmit einem hohen Aufkommen prinzipiellpersonalisierbarer Daten zu erreichen.Mobile Endgeräte mit standortbasiertenDiensten sind derzeit eine erstedeutliche Variante dieser Visionen. Siesind mehrfach kontextbezogen, sie könnenautonom kommunizieren und eigenständigUmwelt wahrnehmen, sie erlaubeneine Vielzahl von Handlungen. Undsie generieren eine große Menge personalisierbarerDaten.Aus der Perspektive der Risikowahrnehmungwird damit interessant,welche Eigenschaften des UbiquitousComputing sich in den ausstehendenNegativerfahrungen durchsetzen könnten.Dabei muss berücksichtigt werden,dass die Eigenschaften in der Regel polarvereinfacht werden. In der Bewertungvon Risiken werden kaum Grauzonenzugelassen. Gefährliche Prozesse,Objekte oder Personenstereotypesind entweder gut oder schlecht.Gefährliche Eigenschaften werden oftin extremen Varianten gesehen. Füreine erste Voransicht können daher einigeGrundeigenschaften ubiquitärerSysteme dystopisch extrapoliert werden.Die folgenden Merkmale sind besondersdominant und bieten sich bei weiterVerbreitung als Anschauungsprinzipienfür Simplifizierungen und Dramatisierungenan:- Persistenz: Ubiquitäre Systemewerden bei weiterer Durchsetzung als allgegenwärtigempfunden. Insbesonderemobile Endgeräte bieten Persistenz.- Latenz: Ubiquitäre Systeme sindversteckt. Entweder sind sie selbst nichtsichtbar oder ihre Funktionen sind imEinzelnen nicht sichtbar.- Omniszienz: Durch die Vielzahlsensoriell und kontextuell verarbeiteterInformationen sind ubiquitäreSysteme zu einer hohen Zahl von präzisenVermutungen über Situationenund Nutzer befähigt. Die aufgrund derLatenz entstehende Unsicherheit übermögliche Vermutungen vermittelt denEindruck einer möglichen Allwissenheitubiquitärer Systeme. Sie können unspezifischviele Lebensaspekte erfassen undhandlungsmäßig adressieren.- Komplexität: Ubiquitäre Ge rätekönnen bereits als einfache Geräteeine für den Besitzer unüberschaubareVielzahl unbekannter Daten erheben(objektstufige Komplexität), die in späterenAuswertungen in Verbindung mitweiteren Daten sowie durch Profilierungund implizite Schlussverfahren nocheine erheblich intensivierte und nochweniger transparente Menge möglichenWissens generieren können (höherstufigeKomplexität).- Omnipotenz: Mögliche Überwacheroder Angreifer können als omnipotentempfunden werden. Wer Zugangetwa zu einem mobilen Endgerät hat,hat Zugang zu manipulativ einsetzbaremWissen über den Nutzer und außerdemdie Option der Änderung gespeicherterDaten auf dem Gerät, alsoder virtuellen Realität des Nutzerszu dessen Ungunsten. EntsprechendeManipulationen können einem Nutzerleicht illegale Handlungen andichten,die rechtskräftig werden können.Diese möglichen Einzeleindrückekönnen sich zu zwei Grundeindrückenverfestigen. Zum einen werdenBetroffene aus einem derzeit noch mittlerenZustand schwierigen, aber prinzipiellmöglichen Wissens in einenExtremzustand sicherer Agnosie geworfen.Aus möglicherweise beherrschbaremUnwissen wird sicher unbeherrschbaresUnwissen. Dies wird durch diesich abzeichnende Komplexität undLatenz bedingt. Die Agnosie betrifftaußerdem nicht nur das Wissen überdas Wissen der Geräte, sondern auchdas Wissen über die Möglichkeitendes Eingriffs. Genau dieser soll ja unnötigsein, so dass also der Verlust vonWiderständigkeit auch zum Verlustvon Handlungsautonomie und desEmpfindens von Handlungsfähigkeitwird (Wiegerling 2008). DurchPersistenz und Omniszienz kommt esandererseits zum Eindruck einer allgegenwärtigenund alles umfassendenÜberwachung. Jeder raumzeitlicheMoment des Lebens ist beobachtbar, jederAspekt ist zugänglich.Ubiquitäre Systeme können so zu einerIntensivierung des Problems einer möglichenpanoptischen Wahr nehmung führen.Zum einen werden die Bedingungender wissensbasierten Bildung vonDANA • Datenschutz Nachrichten 1/20107

PervaSive ComPutingEinstellungen erschwert, was auf reduzierteRationalität, also auf stärker subjektiveund damit eher angstempfindlicheWahrnehmung drängt. Zum anderen entfälltbei historischen Negativerfahrungendie zuvor getroffene Eingrenzungfür den syngenetischen Wegfall derInformationellen Selbstbestimmungauf lediglich informationstechnischeKontexte. Da in der ubiquitären Welt alleKontexte informationstechnisch sind,wird die Selbstbestimmung kontextunspezifischallgemein abgeschafft.Die Intensivierungungelöster ProblemeDas hat auch Folgen für gegenwärtigdiskutierte Alternativen zurInformationellen Selbstbestimmung.Insbesondere das Konzept des„Informationellen Vertrauens“ mussüberdacht werden. Dieses Konzept erwägt,dass das unsichere Wissen technischerund juristischer Möglichkeitendurch ein sicheres Wissen der Vertretungder Interessen durch Repräsentanten ersetztwerden kann (Klumpp et al 2009).Die Repräsentanten müssten dazu allerdingsöffentlich sichtbar, kompetent,durchsetzungsfähig und integer sein. Dasist bereits jetzt schwierig. Spätestens beieiner Durchdringung der Welt mit ubiquitärenSystemen wird das jedoch nahezuunmöglich. Die hochgradig gesteigerteDiversifikation von Akteuren undsoziotechnischen Möglichkeiten zwingtauch den Interessensvertretern die sichereAgnosie auf. Interessensvertretungohne Möglichkeit des Wissens ist jedochMakulatur.In einer ohnehin als gefährlich und fragilzu bewertenden Situation bilden dieubiquitären Systeme also eine zusätzlicheGefahr. Während es weise wäre, zumindestauf die Neuevaluation der InformationsundKommunikationstechnologien anhandeiner ersten Welle von Negativerfahrungenmit einer nicht-kontextuellenund wenig datenintensiven, „weichen“Version zu warten, bauen sie bereitsdie harte Variante allgegenwärtiger, allesumfassender und unkontrollierbarerÜberwachung aus. Anders gewendet:Ohne auch nur valide Konzepte fürdie gerade erst aufkommenden Problemeeiner gesellschaftlich breiten Wahrungder Informationellen Selbstbestimmungentwickelt zu haben, werden dieInfrastrukturen der Überwachungdurch Pervasive Computing dimensionalneuartig angereichert und ausgebaut.Ubiquitäre Systeme intensivierenso die bereits vorhandenen Probleme.Sie beschleunigen die Entwicklung derSoziotechnik der Überwachung undverlangsamen deren rechtlich-organisatorischeNachbesserung. Das ist exaktder entgegengesetzte Trend zu einerVermeidung breiter Negativerfahrungenund einer Wiederherstellung vonVerhältnismäßigkeit. Eine vollumfänglicheWiederherstellung informationellerSelbstbestimmung scheint so nichtlänger realistisch zu sein. Sollte diesder Fall sein, muss die Debatte denRettungsversuchen der Juristen entrissenund in die Öffentlichkeit gestelltwerden.LiteraturAnn Bartow (2006), A Feeling ofUnease About Privacy Law, 155 U. PA. L.REV. PENNumbra 52, 52. Online unter:http://works.bepress.com/cgi/viewcontent.cgi?article=1000&context=ann_bartow; Zugriff 13.1.2010Dan Gardner, Risk: The Science andPolitics of Fear, LondonDaniel Kahneman & Amos Tversky(Hgs) (1982): Judgement underUncertainty: Heuristics and Biases, NewYorkDieter Klumpp et al (2009),Informationelles Vertrauen für dieInformationsgesellschaft, BerlinWilliam Fielding Ogburn & OtisDudley Duncan (1969), Kultur und sozialerWandel, KölnBruce Schneier (2006), Commentary,The Eternal Value of Privacy, WIRED,May 18, 2006. Online unter: http://www.wired.com/news/columns/1,70886-0.html; Zugriff 12.1.2010Daniel Solove (2008), “I’veGot Nothing to Hide” and OtherMisunderstandings of Privacy, SanDiego Law Review, Vol. 44, p. 745,2007, GWU Law School Public LawResearch Paper No. 289Samuel D. Warren & Louis D.Brandeis (1890), The Right to Privacy.In: Harvard Law Review. Heft Nr. 5,Vol. IV.Mark Weiser (1991), The Computerfor the Twenty-First Century. ScientificAmerican, September 1991KIaus Wiegerling (2005), Leben ineiner vernetzten und informatisiertenWelt. Context-Awareness im Schnittfeldvon Mobile und Ubiquitous Computing.(mit Jessica Heesen, ChristophHubig und Oliver Siemoneit), NexusSchriftenreihe, SFB 627 Bericht Nr.2005/05, StuttgartKlaus Wiegerling (2008), The twobasic questions of ethics and the lossof the interface in ambient intelligence.Sigsand-Europe 2008 Proceedings,online unter: http://www.uni-marburg.de/fb12/informatik/tagung/sigsandeurope08/dateien/wiegerling_08.pdf;Zugriff 13.1.20108DANA • Datenschutz Nachrichten 1/2010

PervaSive ComPutingfür alle anderen Nutzer eine potenzielleGefahr dar.Jeder Abruf eines Updates, jederDownload einer Software hinterlässtDatenspuren auf den Servern derPlattformanbieter, die meist mit einemeindeutigen Identifikator desKundenkontos (beispielsweise derApple ID beim iPhone) verknüpft werdenkönnen. Ohne Kundenkonto (unddamit ohne Angabe personenbezogenerDaten gegenüber dem Plattformanbieter)kann man zumindest die kostenpflichtigenApps nicht erwerben und installieren.Kauft man ein iPhone beim deutschenAnbieter T-Mobile, so kann manes erst benutzen, nachdem man es überApple freigeschaltet hat, so dass hierin jedem Fall personenbezogene Datenübermittelt werden. Damit liegen derzeitdie Daten aller iPhone-Kunden vonT-Mobile auch in den USA vor. Da sichSoftware auf dem iPhone nur über denApple App Store installieren lässt, giltdies auch für sämtliche Informationendarüber, welche Apps welcher Benutzerauf seinem iPhone installiert hat.Bei Android-Smartphones sieht es etwasanders aus. Da Android ein Linux-Derivat ist, handelt es sich im Kern umein freies und offenes System, allerdingsist die Entwicklung inzwischenvom eigentlichen Linux-Kernel entkoppelt,Teile des Codes der Oberfläche sindproprietär. Tatsächlich lässt sich jedochauf Android-Systemen Software auchaus anderen Quellen als dem AndroidMarket installieren, so dass man nicht aufeinen zentralen Verkaufsdienst angewiesenist. Und obwohl Android eine hauptsächlichvon Google als dominierendemMitglied der Open Handset Alliancevorangetriebene Systemplattform ist,werden Geräte mit Android von einerVielzahl unterschiedlicher Herstellerangeboten. Allerdings merkt man derPlattform die Ausrichtung auf Googledeutlich an: Die Apps für E-Mail undTerminplanung greifen bevorzugt aufdie entsprechenden Dienstangebotevon Google zurück. Frühe Versionenvon Android ließen sich – analog zumiPhone – ohne ein persönliches Google-Konto gar nicht nutzen.Datenspuren durchServerdiensteSoftware auf Smartphones greift vergleichsweisehäufig auf Serverdiensteim Internet zurück. Zum einen lassensich die begrenzten technischenRessourcen der kleinen Geräte kompensieren,indem komplexe Aufgaben vonServern erledigt und nur die Ergebnissean das Smartphone übermittelt werden,zum anderen können durch die beständigeNetzverbindung stets aktuelleInformationen als Parameter einbezogenwerden. Auf jeden Fall entstehenauch so wiederum Datenspuren: Erfolgtdie Navigation von einem Ort zum anderenauf dem Smartphone mittels Nutzungvon GPS-Empfänger und Google Maps,so erfährt eben auch Google, wo ein(bestimmbarer) Nutzer sich wann aufhält.In Abhängigkeit vom erkanntenAufenthaltsort lassen sich beispielsweiseWerbeeinblendungen dann gezielter auswählen.Derartige Ansätze zur Aufenthaltsbestimmunggab es auch schon vor demDurchbruch der Smartphones. Die britischeTimes berichtete 4 von einem insbesonderein größeren Einkaufszentreneingesetzten System zur Lokalisierungund Verfolgung der Kunden innerhalbder Zentren namens Path Intelligence.Die von den Mobiltelefonen emittiertenSignale werden dabei von verteiltenSensoren erfasst. Durch Triangulationkann das System die jeweilige Positiondann mit einer Genauigkeit von ein biszwei Metern bestimmen. Identifiziertwird ein Kunde laut Times anhand derIMEI seines Handys, d.h. der geräteeindeutigenSeriennummer, aus der sichzum Beispiel auch das Herkunftsland ableitenlässt, in dem das Gerät erworbenwurde. Das System erlaubt also prinzipielldie Erfassung und Auswertung derBewegungsmuster von Kunden: Wer warwann wo, hat sich wie lange an welchemVerkaufsregal aufgehalten, hat welcheWege eingeschlagen, um zu bestimmtenZielen zu kommen?Diese Informationen sind nicht nur inEinkaufszentren von Interesse. Auch beider Nutzung virtueller Dienste lässt sichdurch gezielte Verkaufsanreize Geldverdienen. Je mehr Informationen übereinen Nutzer, sein Verhalten und seineVorlieben vorhanden sind, desto eherkönnen solche Anreize auf ihn persönlichzugeschnitten werden und damitdie Erfolgswahrscheinlichkeit gesteigertwerden. Während die Platzhirsche wieGoogle und Apple mit ihren DienstenGoogleMail, Google Calendar, GoogleMaps oder Apple MobileMe (kombiniertMail, Kalender, Adressbuch …)nicht nur auf die Nutzungs- sondernauch auf die Inhaltsdaten Zugriff haben,gibt es auch Dienstleister für die kleinerenEntwickler von Apps, die über diePortale der Plattformanbieter erworbenund installiert werden können.Smartphone-TrackingMit den Firmen Flurry und PinchMedia sind unlängst zwei Firmen fusio-10DANA • Datenschutz Nachrichten 1/2010

PervaSive ComPutingniert, die sich darauf spezialisiert haben,Entwicklern Werkzeuge an die Hand zugeben, die diese in ihre Apps integrierenund mit denen sie die Nutzung ihrerProdukte verfolgen und auswerten können.Nach eigenen Angaben 5 ist das fusionierteUnternehmen Marktführer imBereich dieses für die Entwickler kostenlosenNutzer-Trackings; mit denvorhandenen Werkzeugen würden 4 von5 iPhones und 2 von 3 Android-Geräten –und damit deren Nutzer – vom Trackingerfasst. Während es für derartigeNutzungsüberwachung von Web-Seitenbereits Hinweise 6 und Anleitungen fürGegenmaßnahmen gibt, sind diese fürdie Smartphone-Tracking-Dienste nochnicht zu finden. Auch Möglichkeitenzum Opt-out sucht man oft vergeblich.Tracking-Dienste wie die von Flurry erlaubendabei, das genaue Verhalten derNutzer einer App (was wurde wann inwelcher Reihenfolge eingegeben odergeklickt) nachzuvollziehen. Wird dabeiauf den GPS-Empfänger zugegriffen,so sind auch stets Angaben zumAufenthaltsort damit verknüpfbar. Dadie Informationen über die Server vonFlurry bei den Entwicklern landen,hat Flurry ebenfalls Zugriff auf dieseund kann auch die Trackingdateneines Nutzers über alle beteiligtenApplikationen hinweg verketten.Nutzung sozialer NetzeNeben den offensichtlichen Datenspurenbei den Tele kommunika tionsanbietern,den naheliegenden bei denPlattformanbietern und dem mehr oderweniger heimlichen und unerwartetenVerhaltenstracking durch spezialisierteAnbieter gibt es aber noch eine vierteGattung aussagekräftiger Informationen:Angaben, die die Nutzer selbst über sichbeispielsweise in sozialen Netzen bereitstellen.Das Kurznachrichtennetz Twitteretwa unterstützt wie viele andere bereitsdie Auswertung von geographischenKoordinaten, so dass die Leser jeweilssehen können, wo sich der Absender einerNachricht gerade aufhält.Da man diese Funktion explizit aktivierenmuss, handelt es sich bei derNutzung ebenso wie bei allen anderenVeröffentlichungen persönlicherBeiträge in sozialen Netzen, Blogsoder sonstiger Web 2.0-Dienste 7 prinzipiellum Datenschutz par excellence:Informationelle Selbstbestimmung beinhaltetnämlich insbesondere auch, dassman soviel über sich preisgeben kann,wie man möchte. Und da im BeispielTwitter jede Kurznachricht auch nachträglichwieder gelöscht werden kann,ist damit ja eigentlich alles in Butter.Diese Betrachtung übersieht allerdings,dass jede Twitter-Nachricht innerhalbweniger Sekunden von anderenProgrammen, sogenannten Bots, empfangenund ausgewertet wird, auf die dasnachträgliche Löschen keinen Einflusshat. Auch in den technisch komplexerenDiensten anderer sozialer Netzemuss davon ausgegangen werden, dassjede Nutzerinteraktion unverzüglichvon Programmen nachvollzogen undausgewertet wird und so aussagekräftigePersönlichkeitsprofile entstehen.Nutzt man solche interaktiven Diensteauf Smartphones, kommen weitereInformationen zu diesen Profilen hinzu.FazitFür eine angemessene informationelleSelbstbestimmung mangelt es also nichtnur an der Rückholbarkeit gesendeterInformationen, es gibt auch nahezu keineTransparenz hinsichtlich der insgesamterfassten Daten. Zweckbindung für personenbezogeneDaten schließlich ist inden USA, wo vermutlich die meisten derhier beschriebenen Informationen landen,allenfalls als exotisches Konzept bekannt.Die Privacy Policies der genanntenServices lesen sich alle zunächst sehrgut: stets würden Daten nur in Einklangmit den gesetzlichen Bestimmungenerhoben, gespeichert, verarbeitet undnicht an Dritte weitergegeben. Oft wirdauch mit dem zahnlosen PapiertigerSafe Harbor geworben. Liest man genauer,so findet man jedoch regelmäßigmassive Beschneidungen des oberflächlichguten Eindrucks, zum Beispiel beiApple, wo man sich folgende „Strategiezum Schutz der Privatsphäre“ 8 überlegthat: „Mitunter kann es für Applevon Vorteil sein, bestimmte persönlicheDaten von Ihnen Unternehmen zurVerfügung zu stellen, mit denen Appleeine strategische Partnerschaft eingegangenist […]. Außerdem können wirInformationen über Sie offen legen,wenn wir der Überzeugung sind, dassdies für die nationale Sicherheit, denGesetzesvollzug oder andere öffentlicheInteressen notwendig ist.“ Angesichtssolcher Generalklauseln (die sich auchbei anderen Anbietern finden) kann vongeschützter Privatsphäre keine Redesein.Viele Nutzer sind sich der umfangreichenBeobachtung, der sie bei Nutzungvon Smartphones unterliegen, vermutlichkaum bewusst. Selbst wenn mandavon Kenntnis erlangt, bedeutet diesnoch lange nicht, dass man sich vorderartiger Datenerfassung, geschweigedenn entwaigem Missbrauch schützenkann. Während technisch versierteNutzer bei einer offenen Plattformwie Android noch die Chance haben,selbst Einfluss auf die Software zu nehmen,sind sie bei einer abgeschottetenPlattform wie dem iPhone dieser vollständigausgeliefert. Würde man dieVorgaben des Verfassungsgerichts zurVorratsdatenspeicherung und Online-Durchsuchung 1:1 auf die privatenAnbieter anwenden, könnte vermutlichkaum einer der angebotenen Dienste inder jetzigen Form weiter existieren.1 BVerfG, 1 BvR 256/08 vom 02. März2010, http://www.bverfg.de/entscheidungen/rs20100302_1bvr025608.html2 BVerfG, 1 BvR 370/07 vom 27. Februar2008, http://www.bverfg.de/entscheidungen/rs20080227_1bvr037007.html3 W. Janisch, H. Kerschner: Gegen dieTotalkontrolle, http://www.sued deutsche.de/politik/1/505205/text/ vom 06. März20104 Jonathan Richards: Shops secretly trackcustomers via mobile phone, http://technology.timesonline.co.uk/tol/news/tech_and_web/article3945496.ece vom 16. Mai20085 Flurry and Pinch Media Merger -Frequently Asked Questions, http://www.flurry.com/about-us/merger/faq.html6 ULD: Tracking – Nutzerverfolgung imInternet, https://www.datenschutzzentrum.de/tracking/7 Markus Hansen: Vortragsfolien Web2.0 und Social Networks, TagungArbeitnehmerdatenschutz vom 09.Juli 2009, https://tepin.aiki.de/blog/archives/409-Tagung-Arbeitnehmerdatenschutz-und-Persoenlichkeitsrecht-2009.html8 Apple: Apple Strategie zum Schutz derPrivatsphäre, http://www.apple.com/de/legal/privacy/ vom 23. Oktober 2007DANA • Datenschutz Nachrichten 1/201011

google Street viewMichael Marc Maisch, Florian AlbrechtGoogle Street View: Datenschutz auf Abwegen?A. ÜberblickMedienwirksam schwärmen Ka merafahrzeuge des Suchmaschinen betreibersGoogle aus, um weltweit ganzeLänder aus der Perspektive einesStraßen ver kehrsteilnehmers abzufotografieren.Für den kostenlosen Inter netdienstStreet View lässt Google nahtlose360° x 290° Panoramafotografienanfertigen. Die Bild aufnahmen werdenmit simultan erhobenen GPS-Geodaten zusammengeführt und in denInternetkartendienst „Google Maps“integriert. Dieser macht virtuelleSpaziergänge per Mausklick für jedermannverfügbar. 1Street View soll bspw. der virtuellenEr kundung touristischer Zielorte oderder Immobilienbewertung dienen. Trotzdieser Vorzüge zeigen weltweite Protestegegen Street View ein anderes Bild:Betroffene haben zunehmend Bedenkenvor Eingriffen in ihre Privatsphäre undihre informationelle Selbstbestimmung.Denn Street View ermöglicht nicht nurEinblicke in Grundstücke oder teilweiseeine Vergrößerung von Innen räumen,sondern zeigt auch alle zufällig abgebildetenPersonen. In Deutschland wurdeim Jahr 2009 mit der Erfassung vonStädten und Regionen begonnen. ImLaufe des Jahres 2010 wird mit demStart von Street View Deutschland gerechnet.Es entspricht dabei GooglesMarketing praxis, vorab keine Termineüber die Frei schaltung neuer Dienstebekanntzugeben. Datenschutzrechtlichstellt sich bei Street View die Frage, wieAufnahmen unbeteiligter Personen amStraßenrand zu bewerten sind und obeinzelne Betroffene eine Löschung derAbbildungen beanspruchen können.B. DatenschutzrechtlicheEinordnung1. Personenbezug von DatenDie Erhebung, Verarbeitung undNutzung von Daten im Sinne des Bundesdatenschutzgesetzes setzt das Vorhandenseinpersonenbezogener Daten voraus.Personenbezogene Daten sind gem. § 3 Abs.1 BDSG Einzelangaben über persönlicheoder sachliche Verhältnisse einer bestimmtenoder bestimmbaren natürlichen Person(Betroffener). Auch Fotografien, die einePerson abbilden, können Einzelangabensein. Personenabbildungen in Street Viewhaben auch Personenbezug, da nicht ausgeschlossenwerden kann, dass Nutzer einein Street View abgebildete Person individuellwiedererkennen und zuordnen können. 2In Bezugnahme auf die aktuellen Debattenzur Abbildung von Gebäudefassaden inStreet View ist anzumerken, dass nachder Rechtsprechung 3 und Literatur 4 derPersonenbezug dieser Daten nicht ausgeschlossenist. Jede im Eigentum stehendeSache, insbesondere ein (Haus-)Grundstück, steht in einer rechtlichenBeziehung zu einer bestimmten Person.Zudem können Grundstücke anhand vonGrundbucheinträgen bei berechtigtemInteresse (§ 12 Abs. 1 GBO) Eigentümernzugeordnet werden. Umstritten ist, welcheIntensität der sog. Sach-Personenbezugaufweisen muss, um entsprechendeGebäudeabbildungen als personenbezogenesDatum im Sinne des § 3 Abs.1 BDSG qualifizieren zu können. Nachjüngster Rechtsprechung handelt es bei derAbbildung eines Gebäudes mit StraßenundHausnummernangabe bei einem StreetView ähnlichen Dienst um personenbezogeneDaten. 5 Auch in der Literatur und seitensder Aufsichtsbehörden 6 wird überwiegendin Bezug auf Gebäudeabbildungen inStreet View von personenbezogenen Datenausgegangen. 72. AnonymisierungDaran ändert auch die derzeit verwendeteTechnologie zur Verfremdungder Gesichter nichts. Im Anschlussan die mit Kamerafahrzeugen erfolgteDatenerfassung setzt Google inder Verarbeitungsphase ein Gesichtserkennungssystemein, das automatischerkannte Gesichter mit einem grafischenUnschärfeeffekt (sog. Blurring) verfremdet.Überwiegend besteht in der juristischenLiteratur Konsens 8 : Diese Form derUnkenntlichmachung allein des Gesichtsreicht vom Umfang her nicht aus, denPersonenbezug vollständig zu beseitigen.Wissenschaftlichen Erkenntnissenzufolge werden auch nur rund 89% derGesichter erkannt und nachbearbeitet 9 Dieübrigen Personen bleiben weiterhin vollständigerkennbar. Zwar hat Google mittlerweileeiner entsprechenden Löschung,auch von Rohdaten, zugestimmt, wie vomzuständigen Datenschutzbeauftragten derStadt Hamburg, Johannes Caspar, gefordertwurde. 10. Dies ändert aber nichts daran,dass nach derzeitigem Kenntnisstandeine hinreichende Anonymisierung nichtgegeben ist. Auch Personenabbildungenmit Blurrings sind daher weiterhin personenbezogeneDaten.3. Zulässigkeit derDatenverarbeitungWerden personenbezogene Daten erhoben,verarbeitet oder genutzt, ist vomBetroffenen eine informierte Einwilligungeinzuholen oder auf eine gesetzlicheErlaubnis zurückzugreifen. BeimVorhaben Street View haben Betroffenemangels öffentlicher Ankündigung keineKenntnis von ihrer Abbildung und könnendaher eine Einwilligung, die im Vorfeld derMaßnahme erteilt werden müsste, nichterklären. Die Erhebung und Verarbeitungkann daher nur gem. §§ 4, 28 Abs. 1 S.1 Nr. 3 und 29 Abs. 1 S. 1 Nr. 2 BDSGund die Nutzung der Daten im Sinne einerVeröffentlichung im Internet gemäß derspezielleren Vorschrift des § 23 Abs. 2 Nr.2 KUG gerechtfertigt werden.Diesen Normen liegt die Idee zugrunde,dass Daten, die aus allgemein zugänglichenQuellen – wie hier der Wirklichkeit– entnommen werden, grundsätzlich verwendetwerden dürfen. Als Ausfluss derInformationsfreiheit gem. Art. 5 Abs.1 Satz 1 GG gilt dies jedoch nur unterdem Vorbehalt, dass nicht schutzwürdigeInteressen Betroffener an dem Ausschlussder Datenverarbeitung offensichtlich über-12DANA • Datenschutz Nachrichten 1/2010

google Street viewwiegen. Bei der geforderten Abwägung istdas Persönlichkeitsrecht der Betroffenenden rein kommerziellen Interessen Googlesgegenüber zu stellen.Seitens des Betroffenen sind Abbildungendann als besonders schutzwürdigeinzustufen, wenn diese seinePrivat- oder Intimsphäre berühren.In Anlehnung an die Rechtsprechungdes Bundesverfassungsgerichts könnendiese Sphären im Einzelfall durch dieDatenerhebung räumlich, bspw. durchErfassung reiner Wohngebiete mit spielendenKindern auf der Straße, bei derAbbildung von Personen, die sich imWohnzimmer oder – selbst für Fußgängervon der Straße nicht sichtbar – in ihrenGärten aufhalten, beeinträchtigt werden.11 Diese Eingriffe werden intensiviert,indem die Kamerafahrzeuge aus einerHöhe von 2,75m fotografieren. 12 Diehohe Bild auflösung in Street View erlaubtzudem eine mehrfache Vergrößerung einesBildausschnitts, der mittels der „Linkin E-Mail einfügen“-Funktion festgehaltenund übermittelt werden kann. Sobalddie Bildaufnahmen in Street View onlineeingestellt werden, sind sie weltweitfür jedermann zugänglich und unbefristetverfügbar.Ein offensichtliches Überwiegen derBe troffenen am Ausschluss der Datenverarbeitungund Nutzung ist daher anzunehmen,wenn Street View die gezielteVergrößerung, Herausstellungund Ver körperung (durch Kopie oderAusdruckoption) einzelner Betroffeneroder Einblicke in Wohnräume oder -umfriedungen,die nicht von der Straße für jedermannsichtbar sind, ermöglicht. In diesenEinzelfällen ist die Erhebung, Verarbeitungund Nutzung von Personenabbildungennicht von gesetzlichen Tatbeständen gedecktund somit unzulässig.4. Rechte des BetroffenenDer Betroffene kann jederzeit gegenüberGoogle als verantwortliche Stelleseine datenschutzrechtlich gewährleistetenAuskunfts- und Gestaltungsrechtegeltend zu machen. Gem. § 34 Abs. 1BDSG kann der Betroffene Auskunftüber die zu seiner Person gespeichertenDaten (bei Angabe einer Gebäudeadressewird Google u.a. entsprechendeStraßen ansichten übermitteln), überdie Herkunft der Daten und den Zweckder Speicherung verlangen. Auch präventiv,d.h. ohne Kenntnis von einerAbbildung in Street View Deutschland,kann der Betroffene Widerspruch gegendie Abbildung seines (Miet-)Hauses,Kfz oder seiner Person erklären. Unterden Voraussetzungen des § 35 Abs. 1bis 4a BDSG kann der Betroffene fernerBerichtigung, Löschung oder Sperrungverlangen oder gem. § 35 Abs. 5 BDSGder Datenverwendung vollständig widerrufen.Der Betroffene kann sich per E-Mailan streetview-deutschland@google.comoder schriftlich an Google GermanyGmbH, Betr.: Street View, ABC-Straße19, 20354 Hamburg wenden. Zur Vereinfachung der Geltendmachung derBetroffenen rechte entwickelt Googlederzeit ein Softwaretool. 13C. FazitStreet View ist als pars pro toto einerEntwicklung zu sehen, in der dieSymbiose von personen- und geobezogenenDaten eine Hauptrolle spielt.Im Ausland etablieren sich bereitsSuchmaschinen und Werbedienstleisterauf der Basis virtueller Standrundgänge,wie bspw. Everyscape.com in denU.S.A., ebenso Sightwalk.de inDeutschland. Nicht zuletzt auch mitder neuen Google Handysoftware, dieHandyfotos mit Internetdatenbankenvergleicht und Informationen zum fotografiertenObjekt oder Subjekt ausgibt,wird deutlich, dass wir längst in einerWelt der allgegenwärtigen, intelligentenDatenverarbeitung, sog. UbiquitousComputing, angekommen sind. Da dasInternet das Vergessen (noch) nichtgelernt hat, sehen wir uns täglich einerwachsenden Datenansammlungüber unsere Person gegenüber.Dabei findet eine Verschiebung derGefährdungslagen statt: Während zuBeginn der datenschutzrechtlichenRechtsprechung Ein griffe in die informationelleSelbst bestimmung durchden Staat im Fokus standen, treten zunehmendPrivatpersonen bspw. in sozialenNetzwerken oder Unternehmen alsDatenverarbeiter umfangreich vernetzterDatenmengen auf. Auch über Personen,die keine digitale Persönlichkeit imInternet pflegen, können dank allgegenwärtigerInformationsvernetzung künftigPersönlichkeits- oder Bewegungsprofilegebildet werden. GesetzgeberischerHandlungsbedarf mit technikadäquatenLösungen, wie zuletzt von Frau BundesverbraucherschutzministerinAigner gefordertwurde 14 , ist jetzt daher mehrdenn je erforderlich..1 Williams, Google, http://www.google.co.jp/intl/de_ch/help/maps/streetview/behind-the-scenes.html; Jahn/Stiezel,K&R 2009, 753, 753.2 Vertiefend, Maisch/Albrecht, jurisAnwZert ITR 2/2010, Anm. 2.3 Grundlegend LG Waldshut-Tiegen, Urt.v. 28.10.1999 - 1 O 200/99, MMR 2000,172, 175.4 Dammann, in: Simitis, BDSG, 6. Aufl.2006, § 3, Rn. 11.5 LG Köln, Urt. v. 13.01.2010 – 28 O578/09 – „Bilderbuch Köln“, ITRB05/2010, Anm. Maisch.6 Caspar, Gutachten zu Rechtsfragen betreffendden Internet-Dienst GoogleStreet View v. 02.02.2009, S. 15;Bundesbeauftragter für den Datenschutzund die Informationsfreiheit, 22.Tätigkeitsbericht 2007-2008, S. 90 f.7 Weichert, DuD 2007, 17, 21; DuD 1999,42, 43; Kritisch Nedden, DuD 1999,533, 534; Ablehnend Forgó, GutachtenGoogle Street View v. 18.02.2010, S. 2.8 Caspar, Gutachten zu Rechtsfragen betreffendden Internet-Dienst GoogleStreet View v. 02.02.2009, S. 10.9 Frome, Cheung, Abdulkader, Zennaro,Wu, Bissacco, Adam, Neven, Vincent,Large-scale Privacy Protection in GoogleStreet View, http://research.google.com/pubs/pub35481.html, S. 5.10 Ziegler, c’t, Beitrag v. 04.06.2009, http://www.heise.de/ct/meldung/Hamburger-Datenschuetzer-verstaerkt-Druck-auf-Google-Street-View-220705.html.11 Zu räumlich definierten Rückzugs bereichen,Di Fabio, in: Maunz/Dürig, GG,Art. 2, Rn. 149 ff.12 Thür, Klageschrift des Eid genössischenDatenschutz- und Öffentlichkeits beauftragtengegen Google v. 11.11.2009.13 Kraska, Das Datenschutz-Blog, http://www.datenschutzbeauftragter-online.de/streetview-widerspruch-google-hat-geantwortet/.14 Heise Online, Beitrag v. 23.02.2010, http://www.heise.de/newsticker/meldung/Aigner-will-fuer-Google-Street-Viewengere-gesetzliche-Grenzen-938443.html.DANA • Datenschutz Nachrichten 1/201013

elenaWerner HülsmannELENA – ein schöner Name –aber auch eine schöne Sache?ELENA steht für den ELektronischenENtgeltNAchweis. Dieser ist dasNachfolgeprojekt der sogenanntenJobcard. Das ELENA-Verfahren istvom Bundestag am 29. März 2009mit dem „Gesetz über das Verfahrendes elektronischen Entgeltnachweises(ELENA Verfahrensgesetz)“ beschlossenworden. ELENA soll ab 2012 diejährlich etwa 60 Millionen Lohn- undGehaltsbescheinigungen ersetzen, diefür die unterschiedlichen Behörden beider Beantragung von Sozialleistungenvon den AntragstellerInnen benötigt undvon den ArbeitgeberInnen bisher ausgestelltwerden. Das ELENA-Verfahrensoll 2012 mit den Bescheinigungenfür Arbeitslosengeld, Wohngeld undElterngeld starten. Weitere Aufgabender Agenturen für Arbeit, der kommunalenVerfahren bis hin zu zivilrechtlichenVerfahren (z. B. Prozesskostenhilfe)sollen später hinzukommen. Betroffensind dann alle sozialversicherungspflichtigenArbeitnehmer und Beamtein nahezu allen relevanten Sozial versicherungsverfahren.Be gründet wirddie Einführung von ELENA in ersterLinie mit den Einsparungen für dieArbeitgeberInnen. So sollen diese durchdas ELENA-Verfahren ab 2012 jährlichKosten in Höhe von über 80 MillionenEuro einsparen. 1Das ELENA-Verfahren erspart ab2012 außerdem den AntragstellerInnenvon Sozialleistungen den Gang zu ihrenArbeitgeberInnen für die Ausstellung derEinkommensbescheinigung. Da durch erfahrendie ArbeitgeberInnen dann nichtmehr, dass und welche Sozialleistungenein/e MitarbeiterIn bzw. derenFamilienangehörige beantragt. DieserUmstand wird deswegen gerne als besondersdatenschutzfreundlicher Effektdes ELENA-Verfahrens hervorgehoben.ELENA bedingt zudem, dass ab2012 jedeR AntragstellerIn von Sozialleistungeneine digitale Signaturkartehat. So führt die Einführung des ELENA-Verfahrens dazu, dass die digitaleSignaturkarte in der Bevölkerung nuneine deutlich weitere Verbreitung findenwird als bisher. Dieser Nebeneffektwird sowohl von der Bundesregierungals auch von den entsprechendenWirtschaftszweigen begrüßt.Nahezu jede/r ArbeitgeberIn ist seitJanuar 2010 verpflichtet, monatlichdie Daten der ArbeitnehmerInnen andie „Zentralstelle“ (ZSS) 2 zu melden.Ausgenommen hiervon sind nur dieArbeitgeberInnen von haushaltsnahengeringfügig Beschäftigten nach § 8a desVierten Buches Sozialgesetzbuch (SGBIV). Dabei ist ein sehr umfangreicherDatensatz zu übermitteln, der u.a.• Name, Anschrift, Steuerklasse• Arbeitszeit, Entgelt• Fehlzeiten• bei Kündigung auch Abmahnungenim Vorfeld der Kündigungund Kündigungsgründeenthält. Ursprünglich sollten die Fehlzeitensehr detailliert aufgeschlüsseltwerden. So verbirgt sich hinter denSchlüsselkennzahlen etwa:03: Mutterschutzfrist06: Pflegezeit11: unbezahlte Fehlzeit (z.B. unentschuldigtesFehlen, Arbeitsbummelei,Wochenende oderFeier tage ohne Entgelt, Pflege eineskranken Kindes, kurzzeitigeArbeitsverhinderungen wegenPflege)12: unrechtmäßiger Streik14: rechtmäßiger Streik15: AussperrungAufgrund von Protesten, insbesondereder Gewerkschaften, wurden die Ziffern12, 14 und 15 gestrichen und Ziffer 11in sonstige unbezahlte Fehlzeit umbenannt.Kritikpunkte an ELENANach der aktuellen Rechtslage istzwar für den Zugriff auf die ELENA-Daten die Freigabe des Antragstellersbzw. der Antragstellerin mittels digitalerSignatur erforderlich. Auch müssenfür den Zugriff auf die jeweiligen Datendes Betroffenen zwei Institutionennämlich die ZSS und die RegistraturFachverfahren (RFV) 3 zusammenarbeiten.Technisch ist die Freigabe derBetroffenen allerdings nicht erforderlich.Denn die Daten der Betroffenensind nicht mit dem jeweiligen Schlüsseldes/der Betroffenen verschlüsselt, sondernmit einem zentralen Schlüssel.D.h.: Wenn beide Institutionen zusammenarbeiten,ist für den Zugriff auf dieDaten eine Mitwirkung der Betroffenennicht erforderlich, da diese ja nurdie digital signierte Zustimmung zurDatennutzung, nicht aber eine Freigabeeines individuellen Schlüssels beinhaltet.Die Beteiligung des Betroffenen istdaher zwar rechtlich festgeschrieben,aber nicht technisch erzwungen. DurchGesetzesänderungen lässt sich der technischmögliche Datenzugriff auch fürandere Behörden leicht legalisieren.Die bisherigen Erfahrungen (u.a. mitMautdaten, TK-Vorratsdaten) zeigen,dass derartige Datensammlungen beiPolitik und Wirtschaft Begehrlichkeitenwecken. Wer garantiert, dass derGesetzgeber nicht in ein oderzwei Jahren den Finanz- oder denSicherheitsbehörden den Zugriff aufdie ELENA-Daten ohne Mitwirkung(und voraussichtlich dann gleich auchohne Information) des Betroffenen erlaubt?Ein Schutz, der nur durch gesetzlicheRegelungen erreicht wird, ist keinSchutz! Denn er kann jederzeit durchden Gesetzgeber abgeschwächt oderaufgehoben werden.Zudem birgt die einheitlicheVerschlüsselung aller Datensätze miteinem Schlüssel auch aus technischerSicht ein hohes Risiko. Es ist auch nichtsichergestellt, dass die vorgerechnetenEinsparungen bei den ArbeitgeberInnentatsächlich in der erwarteten Höhe ein-14DANA • Datenschutz Nachrichten 1/2010

elenatreten werden. Für kleine und viele mittlereBetriebe bedeutet ELENA einenzusätzlichen Aufwand. Bei Kleinst- undKleinbetrieben mit einem/einer odermehreren geringfügigen Beschäftigtenführt ELENA sogar zu einem erheblichenMehraufwand: Bisher ist hier (bei gleichbleibendem Einkommen) nur eine jährlicheMeldung zur Sozialversicherung erforderlich,durch das ELENA-Verfahrenist seit Januar 2010 auch in diesen Fälleneine monatliche Meldung notwendig.Auch der Umfang der Daten, der gemeldetwerden muss, ist kritisch zu hinterfragen.Bereits im Juni 2008 stellteThilo Weichert, Leiter des UnabhängigenLandeszentrums für Datenschutz inSchleswig Holstein, fest:ELNEA ist „eine Vorrats datenspeicherungvon sensiblen Daten, diebei dem größten Teil der Bevölkerungfür die ursprünglichen Zwecke nicht benötigtwird.“ 42009 bekräftigte Weichert seine Kritikin einem Interview mit der TAZ am 28.Dezember 2009:„Große Datensammlungen erzeugenimmer große Begehrlichkeiten.Überlegen Sie, was ein ausländischerGeheimdienst mit diesen Daten anfangenkönnte oder wie attraktiv dieEinkommensdaten eines ganzen Landesfür ein Gangstersyndikat sind. Undes ist natürlich einfacher, einmal eineVerschlüsselung zu knacken und dannden Zugriff auf einen großen Pool zuhaben, als jeden Datensatz einzeln entschlüsselnzu müssen.“ 5So verwundert es nicht, dassELENA bereits im Oktober 2008 denBigBrotherAward in der Kategorie„Politik“ erhalten hat. 6Beschränkung desAuskunftsrechts derBetroffenenWeitgehend unbeachtet geblieben istin der – eher zögerlichen – Diskussionum ELENA ein nicht zu vernachlässigenderAspekt: Das Auskunftsrecht derBetroffenen. So soll es erst ab 2012 fürdie Betroffenen möglich sein, Auskünftezu den gespeicherten Daten zu erhalten.Und auch für die Auskunft über die zuseiner Person gespeicherten Daten benötigtder Betroffene eine Signaturkarte,so steht es auf der offiziellen ELENA-Seite der Deutschen RentenversicherungBund:„Im ELENA-Verfahren besteht ab2010 für den Teilnehmer ein Anspruchauf Auskunft über die zu seiner Persongespeicherten Daten. Eine Auskunft istvor 2012 aber nicht realisierbar, da derAbruf durch die abrufenden Stellen erstab 2012 möglich ist.Aus datenschutzrechtlichen Gründenist eine Öffnung des Verfahrens gegenüberDritten ohne die Zwischenschaltungeiner prüfenden abrufenden Stelle,also dem Vieraugenprinzip mitzwei Signaturkarten, nicht zu vertreten.Von daher wird es imÜbergangszeitraum bis 1. Januar 2012keine Auskunftsmöglichkeiten an dieTeilnehmer geben.“ 7Dies ist aus datenschutzrechtlicherSicht unhaltbar und ein unzulässigerEingriff in das Recht auf informationelleSelbstbestimmung. WennArbeitnehmerInnen zwei Jahre lang nichterfahren können, was ihr/e ArbeitgeberInfür Daten an die Zentralstelle gemeldethat, widerspricht dies der Anforderungdes Bundesverfassungsgerichts ausdem Volkszählungsurteil, dass jederBürger wissen können muss, werwas über ihn gespeichert hat. DieseBeschränkung der Auskunftspflichtkann beispielsweise dazu führen, dassSozialleistungen auf Grund falscherAngaben des Arbeitgebers (gerade imZusammenhang mit den Bemerkungenzu Kündigungen) gekürzt werden,ohne dass der Betroffene rechtzeitigdie Möglichkeit hatte, diese Daten zukorrigieren. Wenn der/die betreffendeArbeitgeberIn zum Zeitpunkt derAntragstellung nicht mehr existiert, fehltjegliche Möglichkeit, die ELENA-Datenzu berichtigen. Weiterhin ist es nicht akzeptabel,dass für die Beauskunftung dereigenen Daten eine Signaturkarte zwingendeVoraussetzung ist. Hier muss dieVorlage des Personalausweises ausreichen!Alternativen zu ELENABei einer derartigen Datensammlungsollte aus Datenschutzgesichtspunktenernsthaft über Alternativen nachgedachtwerden. Daher stellt sich dieFrage, wieso es nicht möglich ist,das Sozialgesetzbuch dahingehendzu ändern, dass die sowieso von denArbeitgeberInnen monatlich zu erstellendenund an die MitabeiterInnenauszuhändigenden Lohn- bzw.Gehaltsnachweise als Nachweis überdas Einkommen für die Beantragungder Sozialleistungen ausreichen. Dieswürde den ArbeitgeberInnen nichtnur die Kosten und den Aufwand fürdas Erstellen der etwa 60 MillionenEinkommensbescheinungen, sondernauch noch die Kosten und den Aufwandfür das ELENA-Verfahren ersparen.Damit wäre zugleich ebenfalls sichergestellt,dass ArbeitgeberInnen nichterfahren, ob ihre ArbeitnehmerInnenbzw. deren FamilienangehörigeSozialleistungen beantragen.Abgesehen von der Möglichkeit,die normalen Lohn- und Gehaltsabrechnungenals Ein kommens nachweisefür den Bezug von Sozialleistungenzu akzeptieren, gibt es inzwischenauch technische Alternativen. So istsowohl technisch als auch praktischein Verfahren möglich, bei dem einZugriff auf die Entgeltdaten auch technischbedingt nur mit Beteiligung derBetroffenen möglich wäre. An dieserStelle kann dieses Verfahren allerdingsnur kurz dargestellt werden:Der Arbeitgeber erstellt den elektronischenEntgeltnachweis.Jeder elektronische Entgeltnachweiswird mit einem ausreichend langenEinmalschlüssel verschlüsselt; d.h. dieserEinmalschlüssel wird –wie bereitsder Name vermuten lässt – auch nurgenau einmal zur Verschlüsselung eineselektronischen Entgeltnachweisesverwendet; sowohl der verschlüsselteEntgeltnachweis als auch der dazugehörigeEinmalschlüssel erhalten dabeieine eindeutige Referenznummer zurZuordnung.Der Einmalschlüssel wird mitdem öffentlichem Schlüssel des/derBeschäftigten verschlüsselt.Der verschlüsselte Entgeltnachweissowie der dazugehörige verschlüsselteEinmalschlüssel können (müssen abernicht) zentral gespeichert werden, daein Zugriff auf einen Entgeltnachweistechnisch bedingt nur möglich ist, wennder/die Beschäftigte den jeweiligenEinmalschlüssel mit seinem/ihren privatenSchlüssel entschlüsselt.Wenn eine zentrale Speicherung vorgesehenist, könnten die verschlüsseltenDANA • Datenschutz Nachrichten 1/201015

elenaEntgeltnachweise und die verschlüsseltenEinmalschlüssel bei unterschiedlichenBehörden oder Institutionen gespeichertwerden.Allerding ist auch bei der Umsetzungdieses Verfahrens der Katalog der Daten,die der elektronische Entgeltnachweisenthält, auf den Prüfstand zu stellen. Dennbei der Beantragung von Sozialleistungenist der/die AntragstellerIn unverändertzur Mitwirkung verpflichtet, d.h. sowie es jetzt ohne die Beibringung derEntgeltbescheinigungen durch den/dieAntragstellerIn keine Sozialleistung gibt,gibt es künftig ohne Datenfreigabe keineSozialleistungen.AusblickAuch wenn die Diskussion überELENA erst langsam intensiver wird 8 ,so gibt es mit zwei inzwischen geschlossenenOnline-Petitionen (eine zurAufhebung von ELENA 9 und eine zurBeschränkung der ELENA-Daten 10 ) undeinem Antrag der Bundestagsfraktion derGrünen 11 zur drastischen Reduzierung derELENA-Daten noch die Möglichkeit, dasbereits beschlossene ELENA-Verfahrenin Frage zu stellen und zu überdenken.Da es inzwischen Alternativen zum jetzigenVerfahren gibt, sollte diese Chancezur Veränderung unbedingt genutzt werden.Dies gilt umso mehr nach dem Urteildes Bundesverfassungsgerichts zurVorratsdatenspeicherung vom 2. März2010 12 .1 vgl. https://www.das-elena-verfahren.de/was-ist-elena2 Die ZSS ist ein Rechenzentrum,das bei der Datenstelle der Trägerder Rentenversicherung (DSRV) inWürzburg eingerichtet wurde.3 Die RFV ist ein Rechenzentrum, das vonder Informationstechnischen Servicestelleder Gesetzlichen KrankenversicherungGmbH (ITSG) betrieben wird.4 https://www.datenschutzzentrum.de/presse/20080625-elena.htm5 https://www.taz.de/1/politik/schwer-punkt-ueberwachung/artikel/1/zu-90-prozent-nicht-benoetigt/6 vgl. https://www.bigbrotherawards.de/2008/.pol/7 https://www.das-elena-verfahren.de/fragen-und-antworten/selbstauskunft/selbstauskunft8 vgl. auch http://wiki.stoppt-elena.de9 https://epetitionen.bundestag.de/index.php?action=petition;sa=details;petition=892610 https://epetitionen.bundestag.de/index.php?action=petition;sa=details;petition=911411 http://dipbt.bundestag.de/dip21/btd/17/006/1700658.pdf12 http://www.bundesverfassungsgericht.de/pressemitteilungen/bvg10-011.htmlSören JungjohannVorsorglich und anlasslosDas Urteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung.Eine erste Analyse.Am 2. März 2010 hat das Bundesverfassungsgerichtsein mit Spannungerwartetes Urteil zur so genanntenVorratsdatenspeicherung verkündet.Der Urteilstenor ist schnell zusammengefasst:Die §§ 113 und 113a desTelekommunikationsgesetzes sowie§ 100g Abs. 1 S.1 der Strafprozess ordnungwider sprechen dem Grundgesetzund sind nichtig. Die rechtswidrig gespeichertenVerkehrsdaten müssen unverzüglichgelöscht werden.Das Urteil gilt dem Grunde nach nurfür die Speicherung von Verkehrsdaten,die im Rahmen der Telekommunikationanfallen und zu Zwecken der Strafverfolgungund der Gefahrenabwehrausgewertet werden können. In der60 Seiten starken Entscheidung findensich jedoch verschiedene Gedanken derVerfassungsrichter, die auf Sachverhaltejenseits dieser Art der Datenspeicherungangewendet werden können. Einige dieserGrundsätze werden im Folgendendargestellt.Das Bundesverfassungsgericht hat dieVorratsspeicherung von Verkehrsdaten inihrer derzeitigen Ausprägung für verfassungswidrigerklärt, weil diese gegen dasTelekommunikationsgeheimnis (Art. 10Grundgesetz) verstoße. Einschränkenderklärt das Gericht jedoch, dass „[e]inesechsmonatige anlasslose Speicherungvon Telekommunikationsverkehrsdatenfür qualifizierte Verwendungen imRahmen der Strafverfolgung, derGefahrenabwehr und der Aufgabender Nachrichtendienste […] mitArt. 10 GG nicht schlechthin unvereinbar[ist].“ (Abs. 205 des Urteils, zugleichLeitsatz 1)Dieser Leitsatz des Vorratsdatenurteilsüberrascht, hatte dochdas Bundesverfassungsgericht imVolkszählungsurteil 1983 ein striktesVerbot der Vorratsdatenspeicherungausgesprochen:„Ein Zwang zur Angabe personenbezogenerDaten setzt voraus, daß derGesetzgeber den Verwendungszweckbereichsspezifisch und präzise bestimmtund daß die Angaben für diesen Zweckgeeignet und erforderlich sind. Damitwäre die Sammlung nicht anonymisierterDaten auf Vorrat zu unbestimmtenoder noch nicht bestimmbaren Zweckennicht zu vereinbaren.“Tod eines MythosAuf diese knappen richterlichenAusführungen hatten sich die Gegnerder Vorratsdatenspeicherung berufen– zu Unrecht, wie sich nun herausgestellthat. Im Vorratsdatenurteil räumtdas Verfassungsgericht nun mit dem16DANA • Datenschutz Nachrichten 1/2010

vorratSdatenSPeiCherungMythos auf, dass jede Datensammlungauf Vorrat verfassungswidrig sei:„Art. 10 Abs. 1 GG verbietet nicht jedevorsorgliche Erhebung und Speicherungvon Daten überhaupt, sondern schütztvor einer unverhältnismäßigen Gestaltungsolcher Datensammlungen undhierbei insbesondere vor entgrenzendenZwecksetzungen. Strikt verbotenist lediglich die Speicherung vonpersonenbezogenen Daten auf Vorratzu unbestimmten und noch nicht bestimmbarenZwecken […]. Eine vorsorglichanlasslose Datenspeicherungist allerdings nur ausnahmsweise zulässig.Sie unterliegt sowohl hinsichtlichihrer Begründung als auch hinsichtlichihrer Ausgestaltung, insbesondereauch in Bezug auf die vorgesehenenVerwendungszwecke, besonders strengenAnforderungen.“ (Abs. 206)Der feine UnterschiedDie Karlsruher Richter unterscheidenalso zwischen der „Vorratsdatenspeicherungzu unbestimmtenZwecken“ einerseits und der „vorsorglichenanlasslosen Datenspeicherung“andererseits. Während die „echte“Vorratsdatenspeicherung weiter hin verbotenbleibt, soll die Vorsorge datenspeicherungunter bestimmten Voraussetzungenerlaubt sein.Die Differenzierung ist fein, aberbedeutsam: Entscheidend für dieVerfassungsmäßigkeit ist, ob derGesetzgeber einen legitimen Zweckfestlegt, zu dem die gespeichertenDaten möglicherweise verwendet werdenkönnen. Existiert dieser Zweck, sodürfen die Daten auch dann gespeichertwerden, wenn (noch) kein Anlass zurDatenverwendung gegeben ist.Auswirkungen aufELENADiese Aussage dürfte auch für anderestaatlich verordnete Datensammlungengelten, beispielsweise für die imRahmen des ELENA-Verfahrens gespeichertenEntgeltdaten der deutschenArbeitnehmer und Beamten. Auch dieseDaten werden auf Vorrat – bzw. nachneuer Diktion „vorsorglich anlasslos“– gespeichert. Da der Gesetzgeber denZweck der Entgeltdatenspeicherung jedochim Sozialgesetzbuch festgelegthat, dürfte ELENA wohl nicht als verboteneVorratsdatenspeicherung anzusehensein.Outsourcing alsKönigsweg?Hinsichtlich der Frage der Verfassungsmäßigkeitder Verkehrs datenspeicherung ist für das Bundes verfassungsgerichtauch maßgeblich,„[…] dass die vorgesehene Speicherungder Telekommunikationsverkehrsdatennicht direkt durch den Staat,sondern durch eine Verpflichtung derprivaten Diensteanbieter verwirklichtwird. Die Daten werden damit bei derSpeicherung selbst noch nicht zusammengeführt,sondern bleiben verteilt aufviele Einzelunternehmen und stehen demStaat unmittelbar als Gesamtheit nichtzur Verfügung. Dieser hat insbesondere,was durch entsprechende Regelungenund technische Vorkehrungen sicherzustellenist, keinen direkten Zugriff aufdie Daten. Der Abruf der Daten seitensstaatlicher Stellen erfolgt erst in einemzweiten Schritt und nunmehr anlassbezogennach rechtlich näher festgelegtenKriterien.“ (Abs. 214)Das Bundesverfassungsgericht interpretiertdas Outsourcing derDatenspeicherung damit als eine Artgrundrechtsschützender Maßnahme.Dieser Gedanke ist aus Sicht desBundesinnenminister durchaus reizvoll,könnte doch so eine Datenspeicherungin weitaus größerem Umfang alsbisher erlaubt sein: Mautdaten,Flugpassagierdaten, Informationen aussozialen Netzwerken könnten künftigim Auftrag des Staates vorrätig gehaltenund bei Bedarf abgerufen werden.Die Kosten würde die Privatwirtschafttragen. Und verfassungsmäßig wäre esobendrein.Keine TotalerfassungEiner solchen flächendeckendenDatenspeicherung stellen sich dieKarlsruher Richter jedoch entgegen.Die Speicherung der Tele kommunikationsverkehrsdatendürfe nicht alsSchritt hin zu einer Gesetzgebung verstandenwerden, die auf eine möglichstflächendeckende vorsorglicheSpeicherung aller für die Strafver folgungoder Gefahrenprävention nützlichenDaten zielte.„Eine solche Gesetzgebung wäre, unabhängigvon der Gestaltung der Verwendungsregelungen,von vorn hereinmit der Verfassung unvereinbar. Die verfassungsrechtlicheUnbedenklichkeit einervorsorglich anlasslosen Speicherungder Telekommunikations verkehrs datensetzt vielmehr voraus, dass diese eineAusnahme bleibt. Sie darf auch nichtim Zusammenspiel mit anderen vorhandenenDateien zur Rekonstruierbarkeitpraktisch aller Aktivitäten der Bürgerführen. […] Die Einführung derTelekommunikations verkehrsdatenspeicherungkann damit nicht als Vorbildfür die Schaffung weiterer vorsorglichanlassloser Datensammlungen dienen,sondern zwingt den Gesetzgeber bei derErwägung neuer Speicherungspflichtenoder -berechtigungen in Blick auf dieGesamtheit der verschiedenen schonvorhandenen Datensammlungen zugrößerer Zurückhaltung. Dass dieFreiheitswahrnehmung der Bürgernicht total erfasst und registriert werdendarf, gehört zur verfassungsrechtlichenIdentität der BundesrepublikDeutschland […], für deren Wahrungsich die Bundesrepublik in europäischenund internationalen Zusammenhängeneinsetzen muss. Durch eine vorsorglicheSpeicherung der Tele kommunikationsverkehrsdaten wird der Spielraum fürweitere anlasslose Datensammlungenauch über den Weg der EuropäischenUnion erheblich geringer.“ (Abs. 218)Die hinter dieser Aussage stehendeWarnung des Bundesverfassungsgerichtsan den deutschen und den europäischenGesetzgeber ist offensichtlich.Ob sie fruchtet, bleibt abzuwarten.Datensicherheitals Kriterium derVerfassungsmäßigkeitJenseits dieser rechtlichen und politischenAusführungen enthält das Urteilbedeutsame Aussagen zur Sicherheitder gespeicherten Daten, also zu technischenFragen.Das Gericht betont, dass ein hoherDatensicherheitsstandard konstitutivfür die Verfassungsmäßigkeit derartigerDatensammlungen sei:DANA • Datenschutz Nachrichten 1/201017

vorratSdatenSPeiCherung„Im Ergebnis muss jedoch einStandard gewährleistet werden, derunter spezifischer Berücksichtigungder Besonderheiten der durch einevorsorgliche Tele kommunikationsverkehrs daten speicherung geschaffenenDaten bestände ein besondershohes Maß an Sicherheit gewährleistet.Dabei ist sicherzustellen, dasssich dieser Standard […] an demEntwicklungsstand der Fachdiskussionorientiert und neue Erkenntnisse undEinsichten fortlaufend aufnimmt.Entsprechend ist vorzusehen, dassdie speicherpflichtigen Unternehmen- zum Beispiel auf der Grundlagevon in regelmäßigen Abständen zuerneuernden Sicherheitskonzepten- ihre Maßnahmen hieran nachprüfbaranpassen müssen. DasGefährdungspotential, das sich aus denin Frage stehenden Datenbeständenergibt, erlaubt es nicht, die beschriebenenSicherheitsanforderungen einerfreien Abwägung mit allgemeinenwirtschaftlichen Gesichtspunkten zuunterwerfen.“ (Abs. 224)Richter als IT-SpezialistenDas Bundesverfassungsgericht schlägtdem Gesetzgeber vor, den speicherndenStellen folgende Daten sicherheitsmaßnahmengesetzlich vorzuschreiben:• separate Speicherung der anlasslosgespeicherten Daten• asymmetrische Verschlüsselung mitgetrennt aufbewahrten Schlüsseln• gesichertes Zugriffsregime unterNutzung etwa des Vier-Augen-Prinzips• revisionssichere Protokollierung vonDatenzugriffen und DatenlöschungDie Einhaltung der in der Anlage zu§ 9 Bundesdatenschutzgesetz genannten„acht Gebote der Datensicherheit“ lässtdas Bundesverfassungsgericht nicht ausreichen.Die Vorschrift sei zu abstraktund zu allgemein, als dass sie die notwendigenhohen Sicherheitsstandardsgewährleisten könne.Transparenz,Rechtsschutz, SanktionenZusätzlich zu diesen technischenMaßnahmen fordert das Bun desverfassungsgerichtwirksame Transparenzregeln,effektiven Rechtsschutzund adäquate Sanktionen. Dies bedeutet:– Daten dürfen nur mit Genehmigungdes Gerichts an staatliche Behördenübermittelt werden (Richtervorbehalt).– Der Betroffene muss vorab informiertwerden, dass ihn betreffendeDaten abgerufen werden sollen.– Ist im Einzelfall eine heimlicheDaten übermittlung notwendig, so mussder Betroffene zumindest im Nachhineininformiert werden.– Der Betroffene muss die Möglichkeithaben, die Rechtmäßigkeit des Datenabrufsnachträglich gerichtlich überprüfenzu lassen.– Rechtsverstöße der Behörden müssenwirksam geahndet werden, z. B.durch Verwertungsverbote.Handlungsanleitung fürden GesetzgeberDie Ausführungen des Ersten Senatssind teilweise so detailliert, dass sich derRichter Wilhelm Schluckebier in einemSondervotum davon distanziert:„Die Senatsmehrheit schränkt überdiesden Einschätzungs- und Gestaltungsspielraumdes Gesetzgebers, auf demFelde der Straftatenaufklärung undder Gefahrenabwehr zum Schutz derMenschen angemessene und zumutbareRegelungen zu treffen, im praktischenErgebnis nahezu vollständig ein. Damitträgt sie auch dem Gebot verfassungsrichterlicherZurückhaltung (‚judicialself-restraint’) gegenüber konzeptionellenEntscheidungen des demokratischlegitimierten Gesetzgebers nichthinreichend Rechnung. Sie gibt demGesetzgeber eine gesetzliche Regelungbis in die Einzelheiten nach Art einerHandlungsanleitung vor, die ihm keinennennenswerten Raum für eine Lösungbelässt, welche den gegebenen, fortentwickeltenVerhältnissen im Bereichder Telekommunikation nach seinerEinschätzung gerecht wird.“In der Tat hat das Bundes verfassungsgerichtdie Anforderungen, die an anlassloseDatenspeicherung verfassungsrechtlichgestellt werden, sehrgenau definiert. Das Urteil liest sichdeshalb stellenweise wie ein Rechtsgutachten.Beamte in Ministerien undSicherheitsbehörden werden diesesGutachten jetzt ihrerseits analysieren,auf Schwachstellen untersuchen und imSinne ihrer Dienststelle interpretieren.„Ich verstehe die zögerliche Haltungder Justizministerin nicht. Sie mussdas Urteil nur noch abschreiben.Einfacher geht es nicht.“Der niedersächsische Innenminister Uwe Schünemannin der Hannoverschen Allgemeinen Zeitung06.03.2010Ob als Ergebnis ein neues, diesmal verfassungsgemäßesGesetz verabschiedetwird, bleibt abzuwarten.Bereits jetzt steht jedoch fest, dassdas Urteil des Bundesverfassungsgerichtszur VorratsdatenspeicherungPolitikern, Bürgerrechtlern und Juristenviel Diskussionsstoff bietet, vielleichtauch Sprengstoff. Erst mit einiger zeitlicherDistanz wird man beurteilen können,ob die Entscheidung aus Karlsruheals Erfolg für den Datenschutz oder docheher als Rückschlag einzuordnen ist.18DANA • Datenschutz Nachrichten 1/2010

naChriChtenSönke HilbransErweitertes Überwachungsverbot für Rechtsanwältein Sicht – Fortschritte auch für andereBerufsgeheimnisträger?(sh) Im Januar 2010 versandtedie Bundesregierung an „interessierteVerbände“ einen Referentenentwurfzur Änderung von § 160ader Strafprozessordnung (StPO). Diemit dem Gesetzespaket zur Vorratsdatenspeicherungeingeführte undebenfalls umstrittene Vorschrift befasstsich mit der Überwachung vonBerufsgeheimnisträgern. Sie sieht gegenwärtigvor, dass etwa Rechtsanwälte,Ärzte und Journalisten überwacht werdendürfen, wenn das öffentliche Interessean der Strafverfolgung den Schutzdes Berufsgeheimnisses überwiegt,ein sog. relatives Erhebungsverbot.In die Tätigkeit von Strafverteidigern,Geistlichen und Abgeordneten dürfenErmittlungen hingegen grundsätzlichnicht eingreifen, ein sog. absolutesErhebungsverbot. § 160a StPO brachteaus Sicht vieler Berufsgeheimnisträgerkeine Verbesserung gegenüber der vorgefundenenRechtslage, sondern regelte erstmalsEingriffe, die vorher unmöglich erschienen.Besonders die Unterscheidungvon Rechtsanwälten im allgemeinen undStrafverteidigern (die theoretisch nichtnotwendig Rechtsanwälte sein müssen)bleibt unter Juristen hoch umstritten, wirdnicht nur von der Rechtsanwaltschaft politischbekämpft und ist Gegenstandeiner Auseinandersetzung vor demBundesverfassungsgericht. Nachdemdie schwarz-gelbe Bundesregierung imKoalitionsvertrag angekündigt hatte, dieumstrittene Unterscheidung im Interesseder Vertraulichkeit zwischen Anwaltund Mandant zu beseitigen, ist nunmehrder entsprechende Referentenentwurfvom Bundesministerium der Justizan Verbände zur Stellungnahme weitergeleitetworden. Sowohl derDeutsche Anwaltverein (DAV) als auchRepublikanische Anwältinnen undAnwälte Verein (RAV) haben sich befürwortendgeäußert, allerdings auch weitereForderungen an die BundesregierungCartoongestellt. So kritisiert der RAV, dassdie Parallelvorschrift in § 20u desBundeskriminalamtgesetzes (BKAG),welche im Bereich der Gefahrenabwehrebenfalls die Masse der Anwälte einerÜberwachung ihrer Mandantenkommunikationau szu setzen bereit ist,von dem Regierungsentwurf nicht erfasstist. Dies muss nicht wundern, da dasBKAG in den Zuständigkeitsbereich desCDU-Innenministers fällt, während dasliberale Justizministerium die Änderungvon § 160a StPO zu verantworten hätte.Auch § 20u BKAG ist vor demBundesverfassungsgericht mit einer ganzenReihe von Verfassungsbeschwerdenpotentiell betroffener Rechtsanwältinnenund Rechtsanwälte angegriffen worden.Der Referentenentwurf enthältkeine Vorschläge zur Absicherung derBerufsgeheimnisse anderer Berufsgeheimnisträger(Ärzte, Journalisten,Drogenberatungsstellen usw.). DasBun des justizministerium fordert die angehörtenVerbände auf, zu der gegenwärtigin Kraft befindlichen VorschriftErfahrungswerte mitzuteilen, um insoweitÄnderungsbedarf zu prüfen.Allerdings muss bezweifelt werden, dasses schon belastbare Erfahrungswertezu einer zum 01.01.2008 in Kraft getretenenVorschrift zur Regulierungim Wesentlichen heimlicher Überwachungseingriffe gibt. Der einzige sichereErfahrungswert dürfte sein, dassdie Dunkelziffer hoch ist.DANA • Datenschutz Nachrichten 1/201019

naChriChten- Wir werden im Saarland aufeine eigene gesetzliche Grundlagezur Durchführung von Online-Durchsuchungen verzichten.- (71) Vor dem Hintergrund einerStärkung der Bürgerrechte insbesonderedurch die Rechtsprechung desBundesverfassungsgerichts zur automatisiertenKennzeichenerfassung werdenwir die entsprechende Regelung ausdem Saarländischen Polizeigesetz streichen.- Wir werden eine Evaluierung polizeilicherBefugnisse vornehmen unddarauf aufbauend politisch bewerten,ob bei Eingriffsmaßnahmen desPolizeirechts die Eingriffstiefe in einemangemessenen Verhältnis zu den betroffenenBürgerrechten steht. Dazu gehört,dass wir auch die Möglichkeiten dererkennungsdienstlichen Behandlungvon strafunmündigen Kindern alsIntensivtäter und die Speicherung dieserDaten überprüfen, wenn dadurcheinem Missbrauch dieser Kinder entgegengewirktbzw. dem KinderschutzRechnung getragen werden kann; eineStigmatisierung dieser Kinder, die meistnicht aus eigenem Antrieb heraus straffälligwerden, muss vermieden werden.- Außerdem werden wir dieMöglichkeit der Bild- undTonaufzeichnung (Videoüberwachung)durch Ortspolizeibehörden im öffentlichenRaum abschaffen. Infolge dessenwerden wir § 27 Abs. 2 Satz 2 desSaarländischen Polizeigesetzes ebensowie die entsprechende Rechtsgrundlageim Saarländischen Datenschutzgesetzstreichen. Das Instrument der Bild- undTonaufzeichnung (Videoüberwachung)soll der Vollzugspolizei im Rahmen bestehenderrechtlicher Möglichkeitenvorbehalten bleiben.- Schließlich werden wir die derzeitigeAusgestaltung der präventivenTelekommunikationsüberwachung abschaffen.Unbeschadet hiervon bleibtdie Möglichkeit der Rettung von zumBeispiel Suizidgefährdeten, krankenMenschen oder Unfallopfern über einaktiv geschaltetes Mobiltelefon erhalten.TransparenzWir werden ein Anti korruptionsregistereinführen. Sofern hierzu einebundeseinheitliche Regelung zustandekommt, soll das saarländische Registersich daran orientieren.InformationsfreiheitsgesetzWir prüfen, inwieweit das Recht aufInformationsfreiheit – unter Beachtungdatenschutzrechtlicher Belange – gestärktwerden kann, um den Bürgerinnenund Bürger einen leichteren Zugang zuden Informationen über die Tätigkeit deröffentlichen Verwaltung zu verschaffen.Deutsche DatenschutznachrichtenBundZentrale gegenComputerviren geplantNach Vorstellungen der Bundesregierungsoll der Staat in den Kampfgegen Computerviren mit einem europaweiteinzigartigen Projekt gegenSchadsoftware für Computer eingreifen:Ab 2010 soll eine zentraleBeratungsstelle dabei helfen, infizierteRechner von Viren, Würmern undTrojanern zu befreien. Internet-Providersollen danach ihre KundInnen per Post,Telefon und über eine Internetseite,die sich bei jeder Einwahl ins Netz automatischaufbaut, auf die Viren hinweisen,falls auf dem Rechner Virenlauern. Dem Projektentwurf zufolgehaben Internetzugangsanbieter längstdie technische Möglichkeit, vireninfizierteRechner bei ihren KundInnenauszumachen. Hinter dem Projekt,das auf dem IT-Gipfel in Stuttgart am08.12.2009 vorgestellt wurde, stehendas Bundesamt für Sicherheit inder Informationstechnik (BSI) und derVerband der deutschen Internetwirtschaft(eco). Die Projektplaner schätzen, dassin Deutschland bis zu einem Viertel allerRechner mit Viren infiziert ist. Esgebe allein 60.000 Neuinfektionen jedenMonat. Kriminelle schleusendie Viren über das Internet auf dieRechner und öffnen sich so ein Tor fürVerbrechen – etwa, indem sie online dasBankkonto plündern oder den Rechnerper Fernsteuerung für den Versand kriminellerMassen-E-Mails nutzen. Zieldes BSI ist es, Deutschland aus denTop Ten der Länder zu bekommen,von deren PCs Netzkriminalität ausgeht.Herzstück des Zentrums soll eineCall-Center-Beratungsstelle mit ca. 40MitarbeiterInnen sein. Die Nutzendenvon infizierten Rechner sollen erst eineWebsite ansteuern, auf der hinterlegteReinigungsprogramme die Viren ausmerzen.Erst wenn dieser Schritt erfolglosist, soll das Call-Center per Telefoneine Anleitung zur Virenbekämpfunggeben.Der Plan sieht vor, dass die Internetanbieterihre KundInnen zur Nutzungdes kostenlosen Service bewegen sollen.Gemäß den Projektorganisatorenläuft die Abstimmung mit den DSL-Dienstleistern „auf Hochtouren“.Machten nur die fünf größten Anbietermit, seien bereits etwa 80% des deutschenDSL-Marktes abgedeckt. Vorder Umsetzung des Vorhabens soll geklärtwerden, mit welchen SanktionenWebsurfer rechnen müssen, die eineZusammenarbeit mit den jeweiligenInternetdienstleistern verweigern, soeco-Fachbereichsleiter Sven Karge:„Wer im Netz ohne Virenschutz unterwegsist, gefährdet andere Nutzerin etwa so, wie ein Autofahrer, der mitkaputten Bremsen unterwegs ist undso Andere fahrlässig gefährdet.“ DieInternetanbieter können sich vorstellen,künftig Nutzende nicht mehr zubedienen und zu sperren, wenn dieseihren Computer nicht angemessenschützen. Dies könne über AGB (allgemeineGeschäftsbedingungen) geregeltwerden, die jedoch rechtlich geprüftwerden müssten. Laut Kargesoll das Callcenter weder Name nochAnschrift eineR virenverdächtigenKundIn erfahren, sondern lediglich eineTicketnummer, die die KundIn selbstnennt. Der Code soll aus einer NummerDANA • Datenschutz Nachrichten 1/201021

naChriChtendes Anbieters, der Ziffernfolge für dieKundIn und einem Kürzel für das jeweiligeSchadprogramm bestehen.Das Projekt greift auf Erfahrungen desAnbieters 1&1 zurück, der bereits mitrd. 40 MitarbeiterInnen Jagd auf infizierteKundenrechner macht. Genutzt werdendabei gezielt mit Sicherheitslückengespickte Computersysteme, sog. honeypots(Honigtöpfe), die Attacken ausdem Internet auf sich ziehen sollen.Außerdem wertet die Abuse-Abteilungbei 1&1 Informationen der Polizei, desBSI und Hinweise Dritte, z.B. andererProvider, aus.Der eco-Verband schätzt, dass jedenMonat 60.000 Computer neu mit schädlichenProgrammen infiziert würden.Gemäß dem Branchenverband Bitkomist jedeR zweite deutsche Internet nutzendeschon einmal Opfer von Kriminalitätim Netz geworden ist. Die meisten hättenes dabei mit Computerviren oder anderenschädlichen Programmen zu tun.Die Zahl der so genannten Phishing-Fälle, bei denen Kriminelle Passwörterfür das Online-Banking abfangen, seiim Jahr 2009 um gut 50% gestiegen.Der vermutete Gesamtschaden betrageca. 11 Mio. Euro, mit angeblich steigenderTendenz. Zu den möglichenKosten des testweise für ein Jahr geplantenVorhabens wollte sich das BSI ausvergaberechtlichen Gründen nicht äußern.Die Anschubfinanzierung soll dasBundesinnenministerium übernehmen;das BSI soll das Projekt fachlich begleiten.Die Seite mit der Reinigungssoftwaresoll bereits im April 2010 online gehenund das Call-Center seine Arbeit spätestensim Juni aufnehmen. Laut eco laufenin Australien, Japan und Südkoreaähnliche Projekte seit längerer Zeit erfolgreich.Kritisch beäugt wird das Projekt vonder stellvertretenden Vorsitzenden derFDP-Bundestagsfraktion Gisela Piltz:„Natürlich ist es richtig und notwendig,die IT-Sicherheit zu verbessern, Spamzu bekämpfen und Malware aufzuspüren.Allerdings muss man sich schoneinmal fragen dürfen, ob es eine staatlicheAufgabe ist, Steuergelder für einCall-Center zum IT-Support bereitzustellen.“Es gebe ja auch keine staatsfinanzierteHotline für Probleme mitAutos.“ Im Kampf gegen infizierteComputer von Heimanwendern müsseder Datenschutz gewahrt bleiben. „Einegenerelle Überwachung des Internet-Datenverkehrs darf es nicht geben, diesist auch im Koalitionsvertrag vereinbart.“Das mögliche Kappen von Netzzugängenoder eine Be schränkung des Internetzugangsallein auf eine Warnseite seiein gravierender Grundrechtseingriff,der für die Liberalen nicht denkbar sei.Es sei rechtlich auch höchst fragwürdig,ob derartige Eingriffe über AllgemeineGeschäftsbedingungen verhältnismäßigwären. Eine potenzielle Pflicht zumSchutz gegen PC-Viren hält Piltz zudemgenauso für unmöglich wie ein KinoundTheater-Verbot für Menschen mitErkältung.Zuvor waren auf Blogs und inMailinglisten Befürchtungen laut geworden,dass das Vorhaben mit derEinführung von Internetsperren undumstrittenen Überwachungsmethodenwie der Durchfilterung des gesamtenNetzverkehrs durch die Zugangsanbieterper „Deep Packet Inspection“ verknüpftsein könnte. Der Vorstandsvorsitzendevon Freenet, Christoph Vilanek, sagte,dass er sich nicht vorstellen könne, „wiedas funktionieren soll“. Der eco stelltedaraufhin klar, dass es sich bei dem präsentiertenAnti-Botnet-Projekt um einerein privatwirtschaftliche Initiative zurUnterstützung der BürgerInnen bei derSicherung ihrer IT-Systeme handele.Ziel sei es, KundInnen, deren PC ohneihr Wissen Teil eines Schädlingsnetzesgeworden sei, darüber in Kenntnis zusetzen und ihnen bei der Beseitigung derSchadsoftware unter die Arme zu greifen.Es gehe zunächst darum, Informationenund Hilfsmittel zur Selbsthilfe zurVerfügung zu stellen. Die zweite Stufe desUnterstützungsangebots stelle das „anbieterübergreifendeBeratungszentrum“dar. Die allgemeine Benachrichtigungbetroffener Nutzender solle zudem „nachMöglichkeit“ auf mehreren Kanälen erfolgen,etwa durch eine Vorschaltwebsitebeim Öffnen des Browsers sowie zusätzlichper Post. Dies sei wichtig, um einenzuverlässigen Eingang der Informationbeim Empfänger sicherzustellen. DieBundesregierung begrüße den Vorstoßals „gelungenes Beispiel privatwirtschaftlicherVerantwortungsübernahmefür die Gesamtgesellschaft“. EinSprecher von 1&1 bezeichnete Botnetzeals „volkswirtschaftliches Risiko“.Deswegen sei die nun beschlossene engeZusammenarbeit von Providern mitdem Bund und den Branchenverbändenwichtig. (www.focus.de 08.12.2009;Deckstein SZ 09.12.2009, 1, 21;Haustein-Teßmer/Heuzeroth/Schellingwww.welt.de 08.12.2009; Krempl www.heise.de 10.12.2009).BundBis 1990Briefgeheimnisverletzungbei Post aus der DDRIn der Antwort auf eine Anfrageder Linken-Politikerin Petra Pau gabdie Bundesregierung zu, bis 1990Post aus der DDR durch westdeutscheBehörden kontrolliert zu haben.Die Durchführung lag beim Zoll. DiePost musste demnach alle Poststücke„vorführen“, wenn sie „den Anscheinnach Waren enthielten“. Basis war dieInterzonenüberwachungsverordnungvon 1951. Hintergrund ist, dassAnfang der 50er Jahre von derDDR massenweise Postsendungenmit Propagandamaterial gegen dieWestintegration der Bundesrepubliküber die innerdeutsche Grenze geschicktwurde. Daraufhin baten die AlliiertenBundeskanzler Adenauer um Hilfe beider Postzensur, weil man sich sorgte,die Westdeutschen könnten der SED-Propaganda erliegen. Obwohl nachdem Grundgesetz eine Beeinträchtigungdes Postgeheimnisses ohne entsprechendesGesetz unzulässig ist, stimmteAdenauer der Maßnahme zu. Es gabein gestaffeltes Überwachungssystem.Sobald Züge aus der DDR die Grenzepassiert hatten, stiegen westdeutschePostbeamte zu und sortierten noch imZug die Sendungen vor. An den zentralensog. AussonderungsstellenHamburg, Hannover, Bad Hersfeld undHof wurde dann verdächtige Post demZoll übergeben. Wurden sog. staatsgefährdendeSchriften gefunden, wurdendiese der Staatsanwaltschaft übergebenoder vernichtet, teilweise vonHäftlingen in einem Zuchthaus inHannover. Gemäß den Erkenntnissenvon Josef Foschepoth, Professor fürNeueste Geschichte an der Universität22DANA • Datenschutz Nachrichten 1/2010

naChriChtenFreiburg, ergibt sich aus den Akten, dassalliierte und deutsche Stellen zwischen1956 und 1972 mindestens 151 Mio.Postsendungen aus dem Verkehr zogen.Über die 70er und 80er Jahre sei bislangwenig bekannt, weil die Akten insofernnoch nicht freigegeben sind. Geöffnetworden sind auch private Briefe, soFoschepoth: „Die Bundesrepublik dürftedas am besten überwachte Land imdemokratischen Westen gewesen sein.“Pau zeigte sich „fassungslos, dass esfür diese Überwachung nicht einmalein Gesetz gab, sondern dass auf Grundeiner Verordnung so weit reichendeEingriffe in das Postgeheimnis vorgenommenwurden“ (SZ 21.12.2009, 6;Der Spiegel 53/2009, 14 f.).BundStadionverbot gegenFußballfan auf demPrüfstandDer renommierte StuttgarterRechtsanwalt Rüdiger Zuck hat für einenFC-Bayern-Fan, gegen den einzweijähriges, bundesweites Verbot desBesuchs von Fußballspielen an denRegionalligen aufwärts verhängt wordenwar, Verfassungsbeschwerde eingelegt.Gerügt wird die Verletzung des verfassungsrechtlichenGrundsatzes des fairenVerfahrens. Der Bundesgerichtshof(BGH) hatte zuvor die Klage des Fans abgewiesen.Die Verfassungsbeschwerdewird von der Initiative „Fanrechtefonds“unterstützt. Der damals 16jährige warim März 2006 nach Ausschreitungen beieinem Bundesliga-Spiel des FC-BayernMünchen in Duisburg mit rund 60 weiterenBayern-Fans in Gewahrsam genommenworden. Der Jugendliche beteuerte,die Krawalle nur aus der Distanzverfolgt zu haben; einen Beleg für seineBeteiligung an der Gewalt gab es nicht;das Ermittlungsverfahren wurde eingestellt.Dennoch verhängte der MSVDuisburg nach den DFB-Regularienein Stadionverbot. Für den BGH rechtfertigtebereits „die Zugehörigkeit“des Fans zu der gewaltbereitenGruppe „die Annahme, dass er sich beiFußballveranstaltungen in einem zuGewalttätigkeiten neigenden Umfeldbewegt“ und von ihm deshalb künftigStörungen ausgehen könnten, die anderegefährden (Der Spiegel 50/2009, 20).BundKontostamm datenabfragenstiegen 2009um 28%Finanzämtern und Sozialbehörden inDeutschland überprüfen immer öfterBankkonten. Die Zahl der Kontenabrufeüber das Bundeszentralamt für Steuernist 2009 um 28% gestiegen. Gemäß aktuellenZahlen des Bundeszentralamteshaben die Behörden das automatisierteAbrufverfahren im Jahr 2009in 43.066 Fällen genutzt, also fast10.000 Abfragen mehr als im Jahr 2008(33619 Fälle). Im Vergleich zu 2005,als das neue Kontenabrufverfahreneingeführt wurde, hat sich die Zahlder Daten-Zugriffe verfünffacht. Überdas Bundeszentralamt für Steuernkönnen Finanz- und Sozialämter,Arbeitsagenturen oder BAföG-Stellenalle Konten eines Bürgers oder einerBürgerin erfragen, und zwar die Konto-Stammdaten wie Name, Geburtsdatumoder Adresse sowie Angaben über weitereKontoberechtigte, nicht jedoch dieKontostände.Die Zahlen steigen seit 2005 kontinuierlich.Ermittelte das Bundeszentralamtim Auftrag der Behörden im ersten Jahr(April bis Dezember) Stammdaten zu8.689 Konten, waren es im 2006 schon25.569 und im Jahr 2007 27.749. DieKontenabfragen durch Sozialbehördennehmen besonders stark zu. Bearbeitetedas Bundeszentralamt 2008 noch 2.109Anfragen, waren es 2009 bereits 5.775;das ist ein Plus von 173%. Währendin den Jahren 2005 bis 2007 nur etwajede hundertste Anfrage von einerSozialbehörde stammte, ist es heuteschon fast jede siebte. Voraussetzungfür eine Abfrage ist immer ein konkreterVerdacht, dass Angaben verschwiegenwurden. Zunächst muss derBetroffene um Aufklärung gebeten werden.Erhärtet sich der Betrugsverdacht,kann von Banken die Offenlegung vonGuthaben und Geldtransfers verlangtwerden. Über den Kontenabruf wird dieoder der Betroffene im Steuerbescheidinformiert.Den deutlichen Anstieg der Abfragezahlenerklärte ein Sprecher des Bundesfinanzministeriumsdamit, dass das neueVerfahren nach einer Anlaufzeit inzwischenvoll genutzt werde. Er sprach voneinem „erfolgreichen Instrument, dasder Steuerehrlichkeit und –gerechtigkeitdient“. Für den Leiter des UnabhängigenDatenschutzzentrums Schleswig-Holstein, Thilo Weichert, ist die Entwicklunghingegen „besorgniserregend“.Das Verfahren der Kontenabrufesei restriktiver zu regeln. „Das sehr einfacheSystem über das Bundeszentralamtermutigt zum Datenzugriff. Je mehrsich das Verfahren in der Praxis etabliert,desto exzessiver kontrollieren dieBehörden, auch ohne die gesetzlichenVorgaben zu beachten.“ Das Ende derFahnenstange sei längst nicht erreicht:„Was wir brauchen, sind höhere gesetzlicheHürden für Kontenabfragen, einüberprüfbares Vier-Augen-Prinzip beider Entscheidung über eine Abfrage undschärfere Kontrollen der Finanz- undSozialbehörden durch Datenschützer“(Rebehn, Neue Osnabrücker Ztg.15.01.2010; vgl. DANA 2/2009, 66).BundKrypto-Handys fürBundesregierungZur Gewährleistung der Vertraulichkeitder Regierungsgespräche über Mobilfunkhat das Bundesinnenministerium(BMI) für gut 15 Mio. Euro aus demKonjunkturpaket abhörsichere Handysund Taschencomputer bestellt. Damitsollen die MinisterInnen und weitere5200 FunktionsträgerInnen alsBOS (Behörden und Organisationenmit Sicherheitsaufgaben) verschlüsselttelefonieren. Das BMI legte nichtoffen, welche Geräte von welchemUnternehmen genutzt werden sollen. InFrage kommen dabei die 4.000 bestelltenTaschencomputer für verschlüsseltenE-Mail-Verkehr der Telekom-TochterT-Systems, 3.250 Sicherheitsgeräte desDüsseldorfer Unternehmens Secusmartoder 2.000 Zusatzgeräte der MünchnerFirma Rohde & Schwarz. Bei den bei-DANA • Datenschutz Nachrichten 1/201023

naChriChtenden letztgenannten Geräten werdenhandelsübliche Handys abhörsichergemacht; sie verschlüsseln aber keineSMS und E-Mails. Das Gerät vonRohde & Schwarz hat die Größe einesLöffelbiskuits, das die Benutzende stattdes Handys ans Ohr hält. Es kodiert dieWorte und schickt sie per Bluetooth-Technologie zum eigentlichen Telefon,das sie ins Mobilfunknetz weiterleitet.Das Gerät von Secusmart ist eineZusatzkarte, die ins Mobilgerät gestecktwird. Zum Führen vertraulicherGespräche benötigen beide PartnerVerschlüsselungselektronik. Die Geräteidentifizieren sich gegenseitig und tauscheneinen Code aus, was etwa dreiSekunden dauert. Im Display derHandys wechselt ein Symbol die Farbe,sonst merken die Nutzenden nichts vonder Technik. Die ersten abhörsicherenHandys, welche die Bundesregierungnach dem 11.09.2001 anschaffte,brauchten noch Minuten, um eineVerbindung aufzubauen. Wegen derUmständlichkeit wurden diese sicherenGeräte nicht weiter genutzt; dies sollsich nun ändern (SZ 18.11.2009, 5).BundMehrPresseratsbeschwerdenwegen InternetSeit 2009 ist der Deutsche Presseratnicht nur für Verstöße gegen denPressekodex bei Print-, sondern auchbei Online-Medien zuständig. Er nimmtnun Beschwerden auch per Browser-Formular entgegen. Diese Neuerungenführten zu einem drastischen Anstiegder Beschwerden gegenüber demVorjahr um 70% auf ca. 1.250, wobeiOnline- und Printmedien in etwa ingleichem Maße betroffen waren. Im Jahr2009 wurden vom Presserat 30 Rügenausgesprochen, was erheblich mehr als2008 ist; in den Jahren davon lag dieZahl der Rügen jedoch meistens höher.Eindeutig am meisten gerügt wurde beiden Online-Medien Bild.de, das mit 6Rügen aus dem Stand mit seiner Print-Schwester BILD gleichzog (www.heise.de 03.01.2010).Bundvzbv mahntPostbank abDer Verbraucherzentrale Bundesverband(vzbv) mahnte die Postbank alsKonsequenz aus dem Oktober 2009 bekanntgewordenen Datenskandal ab. DiePostbank ist mit 14 Mio. KundInnengrößte deutsche Privatkundenbank.Das Geldhaus hatte seinen freienFinanzberatenden, die in der PostbankFinanzberatung AG zusammengefasstsind, Zugang zu den Kundendaten, dievon der Anschrift bis zum Kontostandund zu den Kontobewegungen gingen,gewährt. Die Postbank stütztesich auf die von den KundInnen unterzeichneteEinwilligungserklärung.Der vzbv sieht die Erklärung für intransparentund unzulässig an und forderteeine Unterlassungserklärung vonder Postbank. Die Dienststelle desLandesbeauftragten für Datenschutzund Informationsfreiheit in Düsseldorfprüft den Vorgang und erwägt einBußgeldverfahren (Finanztest 12/2009,44 f.; Finanztest 1/2010, 6; SZ19./20.12.2009, 12; vgl. DANA 4/2009,151).Bund/LänderVerfassungsschutz überwachtParlamentarierGemäß einer Antwort derBundesregierung auf eine Kleine Anfrageder Grünen haben die Landesämterund das Bundesamt für VerfassungsschutzBundestagsabgeordnete überwachenlassen. Das Bundesamtfür Ver fassungsschutz (BfV) hatin den vergangenen JahrzehntenInformationen über mindestens 96Bundestagsabgeordnete gesammelt. 30dieser ParlamentarierInnen gehörtendemnach der Linkspartei an und wurdenwegen extremistischen Bestrebungenüberwacht. Zehn Vertreter der CDU undder SPD gerieten ins Visier des BfV wegendes Verdachts geheimdienstlicherTätigkeit. Manche Abgeordnete wurdenüber mehrere Wahlperioden hinweg ausspioniert.Bei den Landesämtern warenmindestens 19 Bundestagsabgeordnetebetroffen. Allein das Land Niedersachsenspeicherte Erkenntnisse überzwölf ParlamentarierInnen. Die Parteizugehörigkeitdieser Überwachten wirdnicht genannt. Im Juli 2009 hatte dasBundesverfassungsgericht es als verfassungswidrigbezeichnet, wenn die Datenzur geheimdienstlichen Überwachungmit Hinweis auf Staatsinteressen geheimgehalten würden (SZ 05.11.2009,6; SZ 07.01.2010, 5).LänderGewaltigeVollzugsdefizite beiprivaten DatenschutzGemäß dem Xamit-Datenschutz-Barometers 2009 stehen statistischgesehen 100.000 Unternehmenzwei Mitarbeiter einer Datenschutz-Aufsichtsbehörde gegenüber. Danachmüsste ein Unternehmen in Baden-Württemberg nur alle 39.400 Jahremit einer Datenschutzprüfung rechnen.Die Autoren: „Da verwundert esnicht, dass der ‚Mut zur Lücke‘ hierzulandevorherrscht.“ Xamit ist eineBewertungsgesellschaft mit Sitz inDüsseldorf. Die Untersuchung fand imZeitraum September bis November 2009statt. Als Kriterien für den Datenschutzwurden folgende Aspekte herangezogen:Einsatz eines Onlineshops undAktualität der Shopsoftware, Einsatzvon Google Adsense, der Einsatzvon Analysetools zur Erstellung vonWebstatistiken (z.B. Google Analytics),der Einsatz von Kontaktformularenund das Vorhandensein von Datenschutzerklärungen.Xamit bat dieUnternehmen um das sog. „Verfahrensverzeichnis“.Dieses Ver zeichnismuss gem. § 4g Abs. 2 S. 1 Bundesdatenschutzgesetz(BDSG) jederführen, der personenbezogene Datenverarbeitet – auch die Betreiber vonInternetseiten. Testpersonen baten insgesamt395 Webseitenbetreiber darum.90% der E-Mails blieben unbeantwortet.4% der Mails kamen mit demVermerk „unzustellbar“ zurück. Xamitzieht daraus den Schluss, dass die zu24DANA • Datenschutz Nachrichten 1/2010

naChriChtensein“, heißt es auf sparkassen-shop.de;Datensicherheit steht hier ganz oben aufdem Programm. Der Shop steht abernicht in direkter Verbindung zu denAuftritten der Sparkassenfilialen oderzum Online-Banking. Allerdings bietetder DSV nicht nur Bücher und Software,sondern auch IT-Dienstleistungen innerhalbder Sparkassenverbände. Zudembetreibt er im Rahmen von S-TRUSTeine Zertifizierungsstelle nach deutschemSignaturgesetz.Die von netzpolitik.org eingesehenenRechnungen enthielten Name,Anschrift, gekauftes Produkt, Liefer- undRechnungsadresse, die Einkaufszeit, dieZahlungsweise sowie die Zahlungsartund im Fall von Bankeinzug Angabenüber Kontoinhaber, Bankleitzahl und derName der Bank. Die Kontonummern warenjedoch bis auf die letzten vier Zahlenzur Sicherheit geschwärzt. Bei kleinenSparkassen genügte dies aber, um einerKundIn die genaue Kontonummer zuzuordnen.Der DSV wurde über die Lückeinformiert und soll sie mittlerweile geschlossenhaben. Gemäß dem DSV wardie Bestell-ID im System „zwar mehrfachvalidiert und insbesondere gegenschadhafte Codes geprüft und entsprechendgefiltert“ worden. „Allerdingsberücksichtigte der Prüfvorgang nicht,ob die ausgewählte Bestell-ID zumangemeldeten Kundenprofil passte.“Künftig wird die ID zusätzlich aufdie Zugehörigkeit zum angemeldetenNutzer geprüft. Wird eine fremdeBestell-ID eingeschleust, so soll dasSystem künftig nur die Bestellhistoriedes angemeldeten Kunden ausgeben.Nach eigenen Angaben führte der DSVzudem umfassende Funktionstests desKundenbereichs durch, wobei man jedochkeine weiteren Unregelmäßigkeitenentdeckt haben will. „Um den hohenSicherheitsstandard für die Shopkundendauerhaft zu gewährleisten, untersuchtnun eine Arbeitsgruppe das Shop-Frontend. Anschließend wird ein externerDienstleister einen erneutenSicherheits- und Penetrationstest durchführen.“Beim Weblog Netzpolitik.org gehen seit der Aufdeckung einesSicherheitslecks bei Schüler-VZ immerwieder Hinweise auf Datenschutzmängelein, so Betreiber MarkusBeckedahl: „Unsere Leser sind in derRegel technikaffin und haben ein starkesBewusstsein für Datenschutzthemen.Ich bin trotzdem etwas erstaunt über dieVielzahl an Hinweisen“ (markus www.netzpolitik.org 03.11.2009; www.heise.de03.11.2009; kleinz www.focus.de03.11.2009).BayernDatenschützer-Schnellbleiche dankfrühere Quelle-MitarbeiterInnenDie Münchner Firma ER Securee.K. führte in Nürnberg eine Informationsveranstaltungdurch, um aufMit arbeiterInnen des pleite gegangenenGroßversandhauses Quelle zuzugehenund ihnen als neue Tätigkeitden Datenschutz anzudienen. Genutztwurden hierfür Fördergelder fürExistenzgründungen. Nach Aussagenvon ER Secure verfügten zahlreicheArbeiter und Angestellte des insolventenVersandhauses über einsehr hohes Potenzial. Gerade für dieMitarbeiterInnen, die im Umgang mitKundInnen versiert sind, ergäbe sich ausder selbständigen Vertriebstätigkeit zurVermarktung von Onlineschulungen zumDaten schutzbeauftragten eine hervorragendeErfolgschance. Zur Absicherungwerden über Förderprogramme neunMonate lang 60 bis 67% des durchschnittlichenNettogehaltes gezahlt, wobeiBemessungsgrundlage die zurückliegenden12 Monate sind. Hinzu kommt einmonatlicher Selbständigkeitszuschlagvon ca. 300 Euro. Beides ist steuerfrei.Es gibt keine Verdienstbegrenzungen.ER Secure e.K. bietet Onlineschulungenzum Datenschutz an: „Ausbildung zumDatenschutzbeauftragten: Dauer 1 Tag,mit Fachkundenachweis, 99 Euro zzgl.MWSt“. Rene Ehlting vom Unternehmenverwies auf die Philosophie seinesUnter nehmens, wonach Lern fähigkeitund Engagement die entscheidendenKrite rien für die Zusammenarbeit seien;auf das Alter der Bewerber komme esnicht an (Thilo Weichert; www.onlineartikel.de18.11.2009; www.onlinepresse.info18.11.2009).BayernInsolvente Quelle verkauftKundInnendatenDer Verbraucherzentrale Bundesverband(vzbv) warnte anlässlichdes Insolvenzverfahrens bei demVersandhandelsunternehmen „Quelle“vor einem „Datenschlussverkauf“ undforderte von der Insolvenzverwaltungdes Unternehmens, die Daten der ca. 8Mio. KundInnen nach Abwicklung desAusverkaufs zu vernichten. Ein Sprecherdes zuständigen Landesamtes fürDatenschutzaufsicht bei der RegierungMittelfranken meinte jedoch, gegen einenVerkauf im gesetzlichen Rahmengebe es keine Einwände. Die KundInnenkönnten aber die Löschung verlangen.Die Insolvenzverwaltung bestätigte indesGespräche über den Datenhandel.Der vzbv vertritt die Ansicht, einInformationsverkauf sei nicht vomBundesdatenschutzgesetz (BDSG) gedeckt.Die immensen Datenmengen, dieder Versandhändler in den Jahren seinesBestehens über seine KundInnen gesammelthabe, seien zwar finanziell interessant,dürften aber im Konkursfall nichtverkauft werden, so vzbv-Vorstand GerdBillen: „Das Ende von Quelle darf nichtzum Datenschlussverkauf führen“. WoUnternehmensteile aufgelöst würden,müssten vorhandene Kundendaten gelöschtwerden.Der Sprecher des Landesamtes fürDatenschutzaufsicht, Manfred Ilgenfritz,widersprach dieser Ansicht:„Ich wüsste keine Rechtsgrundlage,wieso das nicht zulässig sein sollte“.Der Datenschutzbeauftragte desUnternehmens habe der Aufsichtsbehördezugesagt, Aufforderungen zurDatenlöschung bis zur endgültigenAbwicklung entgegenzunehmen undzu bearbeiten. Nach dem sogenanntenListenprivileg dürfen Unternehmen auchnach dem novellierten BDSG bestimmteInformationen über Kunden weitergeben.Dazu zählen Name, Anschrift,Geburtsjahr und die Zugehörigkeitzu einer bestimmten Kundengruppe.Andere Daten wie die Bankverbindungoder Angaben zur Zahlungsmoral sindtabu. Diese Daten würden, so Quelle,gesperrt und nach Ablauf der gesetzli-26DANA • Datenschutz Nachrichten 1/2010

naChriChtenchen Aufbewahrungspflicht gelöscht.Eine Sprecherin des vzbv meinte dagegen,es sei nicht abschließend geklärt,ob das Listenprivileg im Konkursfallgelte oder nicht. Deshalb empfahlender vzbv den Quelle-KundInnen,der Datenweitergabe vorsorglich zuwidersprechen und stellte auf seinerHomepage ein Musterschreibenan den Datenschutzbeauftragten desVersandunternehmens zur Verfügung,mit dem Quelle-KundInnen dieLöschung ihrer Daten verlangenkönnen. Der Sprecher der Quelle-Insolvenzverwaltung Thomas Schulz bestätigte,dass es Kaufinteressenten für dieQuelle-Daten gebe. „Das ist ein Themain Verhandlungen mit Investoren.“Datenschutzregelungen würden aberstrikt eingehalten. „Insolvenzrecht brichtnicht die Datenschutzbestimmungen.“Der Quelle-Datenschutzbeauftragtesei eng in die Entscheidungsprozesseeingebunden. Im Tausenderpack zahlenHandelsfirmen an sogenannteAdressbroker nach Presseangaben zwischen300 und 900 Euro für aktuelleAdressen (www.welt.de 03.11.2009;www.spiegel.de 02.11.2009; www.focus.de03.11.2009).BayernRechtswidrigeüber mäßigeDNA-SpeicherungenDas Bundeskriminalamt (BKA) hattein seiner deutschlandweiten Datei mitgenetischen Fingerabdrücken (DNA)im Jahr 2000 noch 72.000 Menschenregistriert. Bis zum Frühjahr 2007hatte sich die Zahl der gespeichertenTatverdächtigen trotz sinkenderKriminalitätsraten auf 445.000 versechsfacht.Ende 2009 war dann eine Zahl von667.000 erreicht. Gemäß den Angabendes BKA sind ca. 3.000 Menschen lediglichwegen des Vorwurfes einerBeleidigung gespeichert. Zwar reichtseit einer Gesetzesänderung im Jahr2005 der Verdacht, dass jemand mehrerekleinere Straftaten begangen hat, um erfasstzu werden. Voraussetzung ist aber,dass davon auszugehen ist, dass derBeschuldigte auch in Zukunft Straftatenvon „erheblicher Bedeutung“ begeht.Außerdem muss die DNA-Probe geeignetsein, diese Straftaten aufzuklären.Es gibt kein Bundesland, das so fleißigDNA-Proben sammelt wie der FreistaatBayern. Mit fast 155.000 Datensätzenstammt fast jeder Vierte der Gespeichertenaus Bayern. Der innenpolitische Sprecherder Landtags-FDP Andreas Fischer kommentierte:„Es ist traurig, dass Bayernhier Spitzenreiter ist.“ Es würden offenbarganz gezielt auch in zweifelhaftenFällen DNA-Daten gesammelt, um„so eine möglichst breite DNA-Dateianzulegen“. Mittels einer Stichprobekam der Bayerische Landesbeauftragtefür Datenschutz Thomas Petri zu demErgebnis, dass die Speicherfristen oftmalszu lange sind. Ein Sprecher des bayerischenLandeskriminalamtes (LKA)rechtfertigte die hohe Zahl von erfasstenBeleidigungen damit, dass diese zum Teilauch sexuelle Drohungen enthalten könnten.Offensichtlich wird aber zu schnellerfasst: In Oberbayern musste ein 20jährigerseinen genetischen Fingerabdruckabgeben, weil er verdächtigt wurde,die Hauswand eines NPD-Politikersmit Anti-Nazi-Sprüchen beschmiertzu haben. Eine Verkäuferin wurde erfasst,weil sie im Jahr 2006 bei zweiLadendiebstählen Waren im Wert von 25Euro geklaut hatte. Ein Oberbayer wurdegezwungen „freiwillig“ seine DNA abzuliefern,nachdem er betrunken Taxikostengeprellt hatte, sich aber ausgenüchtert amnächsten Morgen bei der Taxifirma undder Polizei gemeldet hatte. Würde er derAufforderung zur „freiwilligen“ Abgabenicht nachkommen, so würde man dies,wurde ihm schriftlich mitgeteilt, ebenbei der Staatsanwaltschaft beantragen.FDP-Mann Fischer kündigte an: „Wirwerden uns in der Koalition dafür einsetzen,dass die Polizei künftig mehrauf die Verhältnismäßigkeit achtet“ (LillBayerische Staatszeitung 11.12.2009, 2).BerlinNamensschilder fürPolizistInnenBerlins Innensenator Erhart Körting(SPD) will Namensschilder fürPolizistInnen durchsetzen. DieSchilder sollen die Identifikation gewalttätigerPolizeibeamtInnen erleichtern.Nachdem der Personalrat derPolizei die Einführung der Schilder am07.01.2010 abgelehnt hatte, befasstesich der Hauptpersonalrat damit. DieMenschenrechtsorganisation AmnestyInternational fordert die Namensschilderseit langem (SZ 12.01.2010, 6).BerlinIntimerGesundheitscheck beiBeschäftigteneinstellungBerlin erfasste Gesundheitsdatenseiner rund 58.000 Angestelltenvor der Einstellung mit einemFragebogen, in dem detaillierteAngaben zu psychischen Krankheiten,Drogenkonsum, Alkoholgenuss undsogar Verhütungsmitteln verlangt werden:.„Nehmen Sie Arzneimittel,zum Beispiel auch Abführmittel oderdie Pille?“, heißt es im Fragebogendes Landesamts für Gesundheit undSoziales. Die Bewerbenden musstenalle behandelnden Ärzte, Psychologenund Heilpraktiker nennen, alle psychischenErkrankungen „mit Zeitangabe“und sogar Entbindungen auflisten. Siesollten auch angeben, seit wann sie inBezug auf Alkohol „abstinent“ sind.Martina Perreng, Arbeitsrechtlerin beimDGB, zeigte sich schockiert: „Das istrechtlich völlig unzulässig.“ GerhardKongehl von der Ulmer Akademiefür Datenschutz ergänzte: „Eine solcheFragepraxis geht vor allem mitBlick auf das Sexualverhalten eindeutigzu weit und reiht sich damit in diejüngsten Skandale ein.“ Man bekämeden Eindruck, dass die Praktiken Gangund Gäbe seien. Gemäß dem GEW-Referatsleiter Holger Dehring forderteseine Organisation schon lange,„das zu unterlassen. Aber der Senat hatzwei Jahre nicht reagiert.“ Die BerlinerGesundheitssenatorin Katrin Lompscher(Die Linke) ließ mitteilen, es gebe einenneuen Fragebogen; das Problem seibehoben, was aber offensichtlich nichtzutrifft. Auch der „neue“ Fragebogenenthält die Fragen nach psychischenKrankheiten, Vorerkrankungen, Ärztenund Psychotherapien. Nach MitteilungDANA • Datenschutz Nachrichten 1/201027

naChriChtender GEW-Referentin Kaja Metzig wurdenach offiziellem Rückzug des altenFragebogens dieser weiter verwendet:„Kollegen haben heute den altenFragebogen bekommen, in dem auchnach Verhütungsmitteln gefragt wird“(Thieme www.fr-online.de 11.11.2009;www.pressetext.at 12.11.2009).BrandenburgLandtag beschließt Stasi-ÜberprüfungDer brandenburgische Landtag hatzwei Jahrzehnte nach der sog. friedlichenRevolution einstimmig sein erstesGesetz zur regulären Überprüfungseiner Abgeordneten auf eine frühereStasi-Tätigkeit hin beschlossen.Alle MandatsträgerInnen, die1990 älter als 18 Jahre waren, werdenkünftig überprüft. Eine vierköpfigeExpertenkommission soll jeweils feststellen,wie belastet die Abgeordnetensind. Persönliche Informationenüber Stasi-Opfer sollen nicht an dieÖffentlichkeit geraten. Ein Verlust desMandats ist aus verfassungsrechtlichenGründen nicht möglich. Doch soll auffrühere Stasi-Mitarbeitende mittels derVeröffentlichung der Ergebnisse Druckausgeübt werden (SZ 22.01.2010, 6; vgl.DANA 4/2009, 153).HamburgBluttests beim NDREs waren NDR-JournalistInnen,die Bluttests bei Mitarbeitenden desDaimler-Konzerns als datenschutzwidriganprangerten. Kurz darauf meldetensich Beschäftigte des NorddeutschenRundfunks (NDR) und berichteten, dassder Sender selbst auch Stellen bewer bendezum Bluttest bittet. Eine Journalistinempfand die Blutuntersuchung als „eineUnverschämtheit“. Der NDR bestätigte,dass allen Bewerbenden, die einenArbeitsvertrag erhalten sollen, Blut abgenommenwird. Pressesprecher MartinGartzke erläuterte: „Der Betriebsarztteilt dem NDR lediglich mit, ob einBewerber für die vorgesehene Tätigkeitgeeignet ist oder nicht.“ Die Einzelheitender Diagnose würde der Arzt nicht weitergeben.Der ArbeitsrechtsexperteProf. Gregor Thüsing meint aber,dass diese Praxis nicht zu rechtfertigenist. Die Handhabung derBlutuntersuchung sein ein „Verstoß gegendas Datenschutzgesetz“. Danachsind nur die „erforderlichen“ Datenzu erheben. Der NDR meinte, dieBlutwerte lieferten Anhaltspunkte, obdie jeweiligen Beschäftigten „die vorgeseheneWochenarbeitszeit werdenbewältigen können“. Martina Perrengvom Deutschen Gewerkschaftsbund(DGB) betonte: „Nur in wenigenAusnahmefällen kann man sagen,dass gravierende Einschränkungen einenArbeitnehmer daran hindern, seinenBeruf auszuüben.“ DerartigeEinzelfälle würden aber keine flächendeckendenBlutuntersuchungenrechtfertigen. An den Blutwerten lassensich u.a. Informationen überSchwangerschaft und Gendefekte ablesen,die die ArbeitnehmerInnen nichtpreisgeben müssen. Offensichtlich sindder NDR und Daimler nicht allein.So räumten z.B. auch der HamburgerKosmetik-Hersteller Beiersdorf unddas Darmstädter Pharma-UnternehmenMerck ein, ebenfalls das Blut allerStellenbewerbenden zu untersuchen,die gute Aussichten auf einen Job haben(Koch www.taz.de 04.11.2009).HessenPolizeirecht wird verschärftDer Hessische Landtag hat mitden Stimmen der RegierungsparteienCDU und FDP am 08.12.2009 beschlossen,dass die Landespolizeimehr Eingriffsbefugnisse erhält.Erlaubt sind künftig unter anderemdie Datenerfassung von Autokennzeichenmit automatischen Lesegeräten,die Wohnraumüberwachung,die Rasterfahndung und Online-Durch suchungen. Ein Ziel derNovelle war es, das Gesetz in einigenPunkten an die Rechtsprechung desBundesverfassungsgerichtes anzupassen.Der Beschluss zur Novellierungdes Hessischen Sicherheits- undOrdnungsgesetzes (HSOG) erfolgte gegendie Stimmen von SPD, Grünen undLinken. Holger Bellino von der CDUmeinte: „Wir wollen, dass Hessen einesder sichersten Bundesländer bleibt“. DieKritik von den Oppositionsfraktionen,die Änderungsanträge gestellt hatten, seieine „Einladung an die Terroristen, hierherzu kommen“. Terrorismus, organisierteKriminalität und Menschen handelseien „nicht mit einer Kuschel- undWohlfühl-Krimi nalistik zu bekämpfen“.Die sog. Quellen-Tele kommunikationsüberwachungund die Nutzung automatisierterKennzeichenlesesystemeseien Kernanliegen der CDU, weil zurVerhinderung von Terroranschlägen undanderen schweren Straftaten unabdingbar.Der innenpolitische Sprecher derFDP Wolfgang Greilich sprach vom„liberalsten Polizeigesetz“ in der hessischenGeschichte: „Wir stärken dieBürgerrechte, wir stärken die GrundundFreiheitsrechte.“ Zudem werdedie Handlungsfähigkeit der Polizei„nachhaltig verbessert“. OppositionsvertreterInnenkritisierten, dass massivin die Bürger- und Freiheitsrechte,in das Persönlichkeitsrecht, dasGrundrecht auf die Unverletzlichkeitder Wohnung sowie das Brief-, PostundFernmeldegeheimnis eingegriffenwird. Nancy Faeser (SPD) und JürgenFrömmrich (Grüne) wiesen darauf hin,dass Rechtsexperten in einer Anhörungdie geplanten Änderungen abgelehntund ihre Effizienz bezweifelt haben.Die automatisierte Erfassung vonAutokennzeichen sei danach eindeutigverfassungswidrig. Faeser zu CDU undFDP: „Sie schießen weit über die Zieleder Gefahrenabwehr hinaus“. HermannSchaus (Die Linke) meinte, das Land seiauf dem Weg in den Überwachungsstaat.Die Terrorismusbekämpfung gehörenicht zu den Kernaufgaben derhessischen Polizei. Dies wurde vonInnenminister Volker Bouffier (CDU)entschieden zurückgewiesen; dieser erinnertedaran, dass einer der drei KölnerKofferbombenattentäter aus dem Rhein-Main-Gebiet stamme (Schuster www.fronline.de08.12.2009; Euler www.faz.net 08.12.2009).28DANA • Datenschutz Nachrichten 1/2010

naChriChtenHessenDeutsche Bankgewährt selbständigenFinanzberaternDatenzugangNach der Postbank (DANA 4/2009,151) und dem AWD (S. nebenstehend;DANA 4/2009, 154) geriet die DeutscheBank in die Schlagzeilen, weil sie freienFinanzberaterInnen detaillierteEinblicke in die Konten ihrer KundInnengewährte, auch für „solche, mit denen siegeschäftlich nicht in Kontakt stehen“.Nach Fernsehberichten haben die selbständigenFinanzberaterInnen Zugriffauf „Kontoumsätze, Zahlungs vereinbarungen,Online-Banking-Daten, Versicherungen,Bonitäts- und Vermögensdaten“.Die Deutsche Bank wies dieVorwürfe „als falsch und entscheiden zurück“.Selbständige FinanzberaterInnenhätten ausschließlich auf Kontendatenderjenigen KundInnen Zugriff, vondenen eine ausdrückliche schriftlicheEinwilligungserklärung vorliege.Sollten selbständige Finanzberaterim Besitz von Kontendaten sein, zudenen sie keinen Zugriff haben dürften,verstoße dies gegen die bestehendenVerträge und Regeln der Bank.Der Inhalt der Einwilligungserklärungsei mit der zuständigen hessischenDatenschutzbehörde abgestimmt worden.Richtig ist, dass sich die Bankvon ihren KundInnen den weitgehendenZugriff über eine Einwilligungrechtfertigen lässt. Ein umfassendesFreischalten der Daten wurde aber offensichtlichnicht von den hessischenDatenschützern abgesegnet. Gemäßder Einwilligungserklärung erhalten imRahmen des Erforderlichen nicht nur externeFinanzberaterInnen, sondern auch„künftige Partner“ den weitreichendenZugriff auf die Kontoinformationen.Die Deutsche Bank arbeitet mit1.500 freien VermittlerInnen, dieauch für andere Unternehmen tätigsein können. Der schleswig-holsteinischeDatenschutzbeauftragteThilo Weichert konnte nicht glauben,„dass eine deutsche Bank derartschludrig mit den Kundinnen- undKundendaten umgeht“. Diejenigen, dieeine Einwilligungserklärung abgeben,könnten sich „nicht ansatzweise vorstellen,wo die Daten landen, für welcheZwecke die genutzt werden und in welchemUmfang sie ausgewertet werden“(www.datensicherheit.de 05.11.2009;www.daserste.de 05.11.2009; www.heise.de05.11.2009; SZ 06.11.2009, 24).NiedersachsenUnkontrollierteDatenzugriffe beim AWDDer Finanzdienstleister AWD(Allgemeiner Wirtschaftsdienst) mit Sitzin Hannover hat externen IT-Beraternzum Zweck der Software-EntwicklungZugriff auf echte Kundendaten undsensible Finanzdaten von über 4 Mio.KundInnen gewährt. Es war dadurchproblemlos möglich, Daten zu manipulierenoder massenhaft herunterzuladen.Der Sicherheitsstandard fürpersonenbezogene Kundendaten liege,so ein Insider, beim AWD weit unterdem einer Bank oder Sparkasse.Journalisten vorliegende Auszüge auseiner Original-Datenbank wurden überprüft;darauf erfasste Personen undFirmen bestätigten, Verträge mit demAWD abgeschlossen zu haben. DerAWD widersprach Presseberichten,sein Sicherheitsstandard entsprechenicht der Branche, so SprecherBéla Anda: „Wir haben den höchstmöglichenSicherheitsstandard. Wirsind im entsprechenden Verband desGesamtverbandes für Datenschutz“.Der Finanzdienstleister verwies darauf,externe Berater hätten die Pflicht,„die Regeln des Datenschutzes undder Verschwiegenheit zu befolgen undso einen unrechtmäßigen Zugriff aufKundendaten auf legale Art und Weiseunmöglich zu machen“. Zugänge zuKundendaten von außen seien mehrfachgesichert. Der Datenschutzbeauftragtevon Schleswig-Holstein, ThiloWeichert, meinte dagegen, dass dieSoftware-Entwicklung mit Hilfe vonechten Kundendaten absolut unzulässigsei. Für derartige Programmierungenseien Testdaten vollkommen ausreichend.Ein Monat zuvor, im Oktober,war bekannt worden, dass beimAWD Kundendaten entwendet wordensind (DANA 4/2009, 154). DerFinanzdienstleister reagierte hierauf miteiner Strafanzeige gegen Unbekannt,einer Information des zuständigen niedersächsischenLandesbeauftragten fürDatenschutz und der Bitte an die NDR-JournalistInnen, die den Fall aufdeckten,die Ermittlungen zu unterstützen. DerNDR verweigerte aber die Herausgabeder ihm zugespielten Daten an dieStaatsanwaltschaft. Der AWD meinte,dass der Informantenschutz, auf den sichder Sender bezieht, bei der Herausgabeder Daten an die Staatsanwaltschaftgewährleistet bleibe (www.heise.de12.11.2009; NDR info www.ndr.de12.11.2009).NiedersachsenAuf 300 Metern 500ÜberwachungskamerasIn seinem neuesten Tätigkeitsberichtbeschreibt der Landesbeauftragtefür Datenschutz Niedersachsen,Joachim Wahlbrink, dass in derLandeshauptsstadt Hannover allein aufden ca. 300 Metern vom Hauptbahnhofbis zum zentralen Platz Kröpcke insgesamt500 Überwachungskameras installiertsind, viele durch Geschäfteund Banken, aber auch von der Polizei.Viele davon seien illegal: „Was sie inder Fußgängerzone erleben, das ist permanenteÜberwachung.“ So haben beispielsweiseviele Polizei-Kameras auföffentlichen Plätzen starken Zoom undsind rundum schwenkbar, so dass damitauch Arztpraxen oder Privatwohnungenausgespäht werden könnten (www.heise.de06.11.2009).Nordrhein-WestfalenLepper ist neuerDatenschutzbeauftragterUlrich Lepper wurde als neuerLandesbeauftragter für Datenschutzund Informationsfreiheit in Nordrhein-Westfalen (LDI NRW) am 21.01.2010DANA • Datenschutz Nachrichten 1/201029

naChriChtenvon Innenminister Ingo Wolf (FDP) insein Amt eingeführt. Der DüsseldorferLandtag hat den Datenschutzbeauftragtenauf Vorschlag der Landesregierungfür die Dauer von 8 Jahren gewählt,nachdem die Landesregierung am01.12.2009 diesen Personalvorschlagmachte. Wolf: „Ulrich Lepper wird seinehohe Kompetenz in Sachen Datenschutzin diese verantwortungsvolle Funktioneinbringen.“ Der gelernte JuristUlrich Lepper war zunächst bei derBezirksregierung Arnsberg als Dezernenttätig. Sein beruflicher Werdegangführte ihn über das Landesprüfungsamtfür Verwaltungslaufbahnen imLand Nordrhein-Westfalen und dieFortbildungsakademie des nordrheinwestfälischenInnenministeriums indieses Ministerium, wo er unter anderem7 Jahre als Referatsleiter für denDatenschutz zuständig war und damitzugleich Leiter des „DüsseldorferKreises“, dem Zusammenschlussder Datenschutzaufsichtsbehördenauf Bundesebene. Zuletzt war erRegierungsvizepräsident bei derBezirksregierung Düsseldorf. DerLDI NRW ist für den Datenschutz imBereich der öffentlichen Verwaltung sowiebei der privaten Wirtschaft zuständigsowie auch für die Beachtung desInformationsfreiheitsgesetzes durchdie Behörden im Land. Ulrich Leppertritt die Nachfolge von Bettina Sokolan, die im August 2009 Präsidentindes Rechnungshofs von Bremen wurde(www.im.nrw.de 01.12.2009; vgl.DANA 3/2009, 112; www.nrw.de21.01.2010).Nordrhein-WestfalenRegister fürSexualstraftäterDas Innen- und das Justizministeriumdes Landes Nordrhein-Westfalen wollenein landesweites Datenregisterfür Sexualstraftäter einrichten.Zielsetzung ist die Verringerung desRückfallrisikos von Haftentlassenen.Beim Landeskriminalamt (LKA) inDüsseldorf wurde eine Zentralstelle miteiner „Konzeption zum Umgang mitrückfallgefährdeten Sexualstraftäternin Nordhrein-Westfalen“ (KursNRW) eingerichtet zur Erfassungund Begleitung der Sexualtäter. DieKonzeption wurde gemeinsam vonJustiz, Polizei und Maßregelvollzug unterFederführung des Justizministeriumserarbeitet. Mit der Datei soll die bereitsbestehende Zusammenarbeit undder Informationsaustausch zwischenStrafvollzug, Maßregelvollzug, Vollstreckungsbehörden, Führungs aufsichtsstellenund Polizei „standardisiert undverbindlich ausgestaltet“ werden. EinVerurteilter müsse zwar wieder „seineverfassungsgemäßen Freiheitsrechte“genießen können, wenn er seineStrafe verbüßt hat, so JustizministerinRoswitha Müller-Piepenkötter (CDU):„Andererseits dürfen wir nicht dieAugen davor verschließen, dass geradevon Sexualstraftätern mit entsprechendenNeigungen im Einzelfall eine erhöhteRückfallgefahr ausgehen kann.“Betroffen seien vor allem Haftentlassene,gegen die aus Rechtsgründen keineSicherungsverwahrung angeordnet werdenkönne. In diesem Fall müssten diePersonen „zur Wiedereingliederungund zur Prävention von Rückfällen imBlick behalten“ werden. Es werde „einauf den die Allgemeinheit gefährdendenSexualstraftäter zugeschnittenesFallmanagement“ erarbeitet. Dafür würdenalle für eine Risikobewertung erforderlichenInformationen der einschlägigenBehörden zusammengeführt undmit einer „bereits polizeilich bewährtenAnalysesoftware“ ausgewertet.Die Zentralstelle informiert die beteiligtenBehörden über Zuzug oderWegzug eines „Risikostraftäters“ nachoder aus Nordrhein-Westfalen. JedePolizistIn im Einsatz erhält rund umdie Uhr über eine Datenabfrage Zugriffauf deliktspezifische Hinweise zu dieserDelinquentengruppe. Die erfasstenPersonen würden unterrichtet. Müller-Piepenkötter und Innenminister IngoWolf (FDP) erläuterten: „Wir wollenverhindern, dass potenziell gefährlicheMenschen nach ihrer Haftentlassungin die Anonymität abtauchen undneue Sexualstraftaten mit schlimmenFolgen für die Opfer begehen.“ DerDatenschutzbeauftragte (LDI NRW) seieingebunden gewesen. Auch in Bayern,Niedersachsen und Brandenburg werdenSexualstraftäter bereit mit Hilfe zentralerComputersysteme überwacht. ZumEinsatz kommt dabei in der Regel dasKonzept HEADS (Haft-Entlassenen-Auskunfts-Datei-Sexualstraftäter). AuchHessen verfolgte vor einem Jahr ein solchesKonzept. Die Innenminister vonCDU und CSU hatten im August 2009für eine bundesweite Warndatei plädiert(SZ 11.01.2010, 6; Krempl www.heise.de 11.01.2010).Nordrhein-WestfalenFamilie klagtgegen Sexualtäter-ÜberwachungAnwalt Wolfram Strauch teiltein Aachen mit, dass die Familie desSexualstraftäters Karl D. dagegen klagt,dass dieser rund um die Uhr von derPolizei überwacht wird. Der 58jährigewohnt seit seiner Haftentlassung beiseinem Bruder und dessen Familie inHeimsberg bei Aachen. Die Familie fühltsich durch die dauernde Überwachungschikaniert. Der Sexualtäter giltGutachtern zufolge auch nach seinerHaftentlassung als gefährlich. AnwaltStrauch, der den Bruder des ehemaligenHäftlings vertritt, begründete seineKlage beim Verwaltungsgericht mit § 16Polizeigesetz NRW. Demnach ist einelängere Observation nur dann zulässig,wenn Tatsachen die Annahme rechtfertigen,dass eine Person Straftaten„von erheblicher Bedeutung“ begehenwolle. Solche Tatsachen gebe esbei Karl D. nicht. Karl D. war wegenVergewaltigung von drei Schülerinnenzu insgesamt knapp 20 Jahren Haft verurteiltworden (SZ 19.01.2010, 10).Rheinland-PfalzCDU mobilisiert Polizei-Computer gegen SPDIn insgesamt sechs Fällen sollenPolizistInnen für zwei CDU-LandtagsabgeordneteDatenbankabfragen imPolizeicomputer vorgenommen haben.Am 19.11.2009 sandte der CDU-30DANA • Datenschutz Nachrichten 1/2010

naChriChtenLandtagsabgeordnete Peter Dincher,ein früherer Polizist, einem ehemaligenKollegen eine E-Mail mit der Ansprache„Altes Haus“ und bat ihn, doch einmaldie vier Namen von vier Geschäftsleutendurch das interne Ermittlungssystem Polislaufen zu lassen. Der Bekannte möge aufpassenund versuchen, die Daten über einanderes Bundesland abzufragen. Mankönne nie wissen, vielleicht versuchedas Innenministerium ja, die Abfragenzu überprüfen. Genau das tat das SPDgeführteMinisterium wenige Tage später,als ans Licht kam, dass nicht nurDincher nicht der einzige war, der geheimePolizeidaten erhalten hatte. Auch derCDU-Abgeordnete Michael Billen mussteeinräumen, mit Hilfe seiner Tochter,einer 29jährigen Beamtin, an internePolizei-Informationen über Beteiligte ander sog. Nürburgring-Affäre gekommenzu sein. Der CDU-Abgeordnete übernachteteam 20.11. bei seiner Tochterund will dort die Polizeidaten, die sieallein „aus Neugier“ ausgedruckt habe,zufälligerweise auf dem Tisch gefundenhaben: „Ich habe mir die Unterlageneinverleibt.“ Die Tochter gestand dagegenbei der Vernehmung, sie habe dreiAusdrucke an ihren Vater übergeben.CDU-Landeschef Christian Baldauf undder gesamte Fraktionsvorstand fordertenihn zum Rücktritt auf. Er meldete sichdarauf erst einmal für vier Wochen krank.Billen, der einflussreiche Chef desCDU-Bezirks Trier, saß bis EndeNovember 2009 im Untersuchungs ausschussdes Landtags zur sog. Nür burg-Affäre und hatte zuvor Reportern schonmal geheimnisvolle Andeutungen zugeraunt,wonach die Affäre die SPD-Landesregierung bis zur Wahl im Frühjahr2011 noch richtig in die Bredouille bringenwerde. Entscheidender Baustein füreinen Wahlerfolg unter der neu nominiertenjungen Spitzenkandidatin JulianeKlöckner sollten die Enthüllungen in derNürburgring-Affäre sein. Dabei geht esum ein gewaltiges Projekt für die strukturschwacheRegion am Rande der Formel-1-Rennstrecke, einen Freizeitpark mitder künftig schnellsten Achterbahn derWelt, einem Feriendorf mit 100 Häusern,etlichen Erlebnis-Restaurants, einerEventhalle und einer Großraumdiscofür 1.900 Gäste. Zur Affäre wurde dasProjekt im Juli 2009, als die geplante privateTeilfinanzierung spektakulär platzteund Finanzminister Ingolf Deubelvon der SPD zurücktreten musste. DieCDU-Opposition wollte nun der SPD-Regierung nachweisen, dass ihre Partnervon vornherein für jedermann als halbseidenzu erkennen und polizeibekanntwaren. Dem dienten die Recherchen inder Polis-Datenbank.Schon im Februar 2009 hatte Dinchereine frühere Kollegin bei der KripoSpeyer angerufen und dringend gebeten,die Namen mehrerer Geschäftsleuteim System zu suchen. Die 28jährigehalf ihm ohne Nachfrage, weil sie dachte,der Hauptkommissar gehöre weiterhinzur Polizei. Am 25.11.2009, als seinKollege Billen gerade aufgeflogen war,meldete sich Dincher erneut bei seinerInformantin telefonisch und legte ihrlaut ihrer Aussage nahe, sich an nichtszu erinnern. Alternativ könne sie auchbehaupten, sie habe die Namen auf einemZettel gefunden, sie geprüft und denZettel dann in den Papierkorb geworfen.Sollte sie Ärger bekommen, habe er ihrHilfe bei einer Versetzung in Aussichtgestellt. Statt dem zu folgen, machtesie eine umfassende Aussage. Einigesspricht dafür, dass der ParlamentsneulingDincher, der erst seit 2008 im Landtagsaß, sich wichtig machen wollte.Nachdem Dincher aufgeflogen war, legteer sein Mandat nieder. Billen gab zwarseinen Sitz im Untersuchungsausschussauf, trat als Vorsitzender desWirtschaftsausschusses zurück und ließseine Fraktionsmitgliedschaft ruhen,weigerte sich aber, sein Mandat aufzugeben.Seiner Tochter droht die Entlassungaus dem Polizeidienst. CDU-LandeschefChristian Baldauf hatte mehrfach erfolglosden Abgeordneten aufgefordert,sich zurückzuziehen. Die designierteSpitzenkandidatin Klöckner schwiegderweil (SZ 01.12.2009, 6; Widmann SZ02.12.2009, 7; Widmann 08.01.2010, 6).SaarlandRegierungskoalition willÜberwachung abbauenund Datenschutz verbessernDas neue Regierungsbündnis vonCDU, FDP und Grünen an der Saarwill im Bereich der Innenpolitik einausgeglichenes Verhältnis zwischenGrundrechtsschutz und staatlichenEingriffen durch Sicherheitsbehördenherstellen. Im Vordergrund stehenkonkrete Verbesserungen beimDatenschutz, so der Koalitionsvertrag:„Hierzu wollen wir ein unabhängigesDatenschutzzentrum schaffen.“ DasDatenschutzzentrum soll als „niedrigschwelligeund bürgernahe KontrollundBeratungsinstanz dienen“. Vorbildfür eine entsprechende Einrichtungist das Unabhängige Landeszentrumfür Datenschutz Schleswig-Holstein(ULD). Die Jamaika-Koalition will dazudie Kontrolle für den öffentlichen undden privaten Sektor an einer Stelle zusammenführen.Dementsprechend solldie Aufsicht für den nicht-öffentlichenDatenschutz im gleichen Zug „umgehend“aus dem bisher zuständigenInnenministerium ausgegliedert werden.Der LandesdatenschutzbeauftragteRoland Lorenz begrüßte die Initiative:„Das wäre nicht von Übel.“ Die geplanteZusammenlegung würde aber finanzielleAnstrengungen sowie einenerhöhten Personalaufwand erfordern.Das Votum des Koalitionsvertrages gegeneine eigene gesetzliche Grundlagezur Durchführung heimlicher Online-Durchsuchungen stieß auf Kritik desBundes Deutscher Kriminalbeamter(BDK). Nach dem Urteil desBundesverfassungsgerichts zur automatisiertenKennzeichenerfassung wollendie Koalitionäre die entsprechendeRegelung aus dem SaarländischenPolizeigesetz streichen. Sie versprechenweiter allgemein eine „Evaluierungpolizeilicher Befugnisse“ und daraufaufbauend eine politisch Bewertung,„ob bei Eingriffsmaßnahmen desPolizeirechts die Eingriffstiefe in einemangemessenen Verhältnis zu den betroffenenGrundrechten steht“.Die Möglichkeit zur Video überwachungdurch Ortspolizei behördenim öffentlichen Raum soll abgeschafftwerden. Das Instrument der BildundTonaufzeichnung soll aber derVollzugspolizei im Rahmen der bestehendengesetzlichen Regelungenerhalten bleiben. Die derzeitigeAusgestaltung der „präventivenTelekommunikationsüberwachung“steht auf der Streichliste. UnbeschadetDANA • Datenschutz Nachrichten 1/201031

naChriChtendavon bleiben soll die Möglichkeit zurRettung etwa von Suizidgefährdeten,kranken Menschen oder Unfallopferndurch Ortung eines aktiv geschaltetenMobiltelefons. Das Polizeigesetz wollensich die Regierungspartner auch nochdaraufhin genau anschauen, „in welchenFällen zur Stärkung der rechtsstaatlichenKontrolle der Richtervorbehaltbei polizeilichen Maßnahmen ausgebautwerden kann“. Das bestehendeInformationsfreiheitsgesetz soll überarbeitetwerden. Es sei zu prüfen, inwieweitdas Recht auf Informationsfreiheit„unter Beachtung datenschutzrechtlicherBelange“ durch einen leichterenZugang zu Behördeninformationen undAkteneinsicht gestärkt werden kann.Verbessert werden soll zudem „dieBarrierefreiheit in den Medien“ sowiedie Medienkompetenz der Bürger(Krempl www.heise.de 20.11.2009; diegesamte Passage des Koalitionsvertragsist dokumentiert in der DANA 1/2010auf S. 20).SaarlandBaldauf soll Landesdatenschutz beauftragterwerdenGemäß Pressemeldungen, die sichauf Parteikreise bezogen, soll derFDP-Politiker Manfred Baldauf neuerLandesbeauftragter für Datenschutzund Informationsfreiheit im Saarlandwerden. Der 58jährige gehörte in dervergangenen Legislaturperiode derdreiköpfigen FDP-Landtagsfraktionals parlamentarischer Geschäftsführeran. 2009 verpasste Baldauf denWiedereinzug in den Landtag, da ersich keinen Erfolg versprechendenListenplatz sichern konnte. Der Juristund Wirtschaftsprüfer soll den bisherigenDatenschutzbeauftragten RolandLorenz ablösen, dessen Amtszeit EndeMai 2010 ausläuft. Damit wären dann,so der Kommentator der SaarbrückerZeitung Guido Peters, alle drei FDP-Parlamentarier aus der vergangenenLegislaturperiode „versorgt“. UndAmtsinhaber Lorenz „darf“ mit 60in den Ruhestand gehen. Lorenz teilteder Presse auf Anfrage mit, bisherhabe ihm niemand mitgeteilt, dasseine Wiederwahl nicht in Frage komme.Der Vorschlag Baldaufs stießbei SPD und Linken auf Widerstand.SPD-Landeschef Heiko Maas meinte,es sei „ohne Sinn und Verstand“, wiehier Parteigänger versorgt werden sollen.Linken-FraktionsgeschäftsführerHeinz Biermann ergänzte: „DiePöstchenschieberei bei der Jamaika-Koalition ist unerträglich.“ Von FDP-Seite wurde darauf hingewiesen, dass esdafür noch keine aktuelle Entscheidunggebe. Der Datenschutzbeauftragtewird vom Landtag für sechs Jahre gewählt;die Stelle ist mit B3 (rund 6500Euro Brutto) dotiert (Saarbrücker Ztg.30./31.01.2010, S. B2; Saarbrücker Ztg.02.02.2010, S. B2).SachsenSchurig im Amt alsDatenschutz beauftragterbestätigtDie Abgeordneten des 5. SächsischenLandtags haben am 09.12.2009 mit 124von 127 abgegebenen Stimmen denbisherigen Sächsischen DatenschutzbeauftragtenAndreas Schurig für weiteresechs Jahr wiedergewählt. 2004war er erstmals gewählt worden. Zuvorwar er von 1993 an Stellvertreter desSächsischen DatenschutzbeauftragtenThomas Gießen (www.landtag.sachsen.de 09.12.2009).SachsenVorwürfe wegenMitarbeiter bespitzelungbei Edeka-SimmeltDie Gewerkschaft Verdi hat Strafanzeigenangekündigt wegen vermeintlichenMitarbeiterbespitzelungenvon Angestellten von Edeka-Märktendes Unternehmens Simmel aus Grünain Sachsen durch Privatdetektive.Diese hätten heimlich Hausbesuchebei krank gemeldeten Mitarbeitendenvorgenommen und nach Schichtendedie Privatautos kontrolliert. Wenn dieMitarbeitenden sich weigerten, denWagen zu öffnen, hätten sie gedroht,die Polizei zu rufen und darauf hingewiesen,dass dies sicherlich arbeitsrechtlicheKonsequenzen haben würde.Firmenchef Peter Simmel wies dieVorwürfe zurück. Nur in einem Fallhabe es eine Wagenkontrolle gegeben.Die Simmel AG betreibt 32 Supermärktein Sachsen, Thüringen und Bayern (SZ30.11.2009, 20; FR 30.11.2009, 15).32DANA • Datenschutz Nachrichten 1/2010

naChriChtenDatenschutznachrichten aus dem AuslandEUNeuer Anlauf zurFluggast datenspeicherungDie EU-Innen- und Justizministerwollen ihre Initiative zum Aufbau einesSystems zur Sammlung undAuswertung von Flugpassagierdatenwieder aufnehmen. Der ursprünglichePlan zur 13-jährigen Aufzeichnung dersog. Passenger Name Records (PNR)war Ende 2008 zunächst vor allemaufgrund des Widerstands der deutschenBundesregierung auf Eis gelegtworden. Nach dem Anschlagsversuchauf ein US-Flugzeug bei Detroit am23.12.2009 beschlossen die europäischenRegierungsvertreter bei eineminformellen Ratstreffen in Toledo EndeJanuar 2010, einen zweiten Vorstoßzu unternehmen. Nach Ansicht desCDU-Bundesinnenministers Thomasde Maizière geht es nicht mehr um dieFrage des „Ob“, sondern nur noch umdas „Wie“: „Wenn man das machenwill, dann jetzt“. Im Unterschied zumersten Anlauf forderte er dieses Malstrengere Datenschutzbestimmungen.Das Projekt der Speicherung undAuswertung von 19 Datenkategorieneinschließlich Name, Telefon-, KontenundKreditkartennummern sowieEssenswünschen ist aber nach wievor, so Bundesjustizministerin SabineLeutheusser-Schnarrenberger (FDP),heftig umstritten: „Bei uns gibt es daganz, ganz große Zurückhaltung“, betonte.Wenn überhaupt ein PNR-Abkommenzu Stande komme, müsse es dabei „ganzklare, hohe Datenschutz-Vorgaben geben“.Im EU-Parlament, das nach demInkrafttreten des Lissabon-Vertrags nunein Mitspracherecht in der Frage hat, istdie Skepsis groß. Es werde sehr schwierigfür den Rat, mit diesem Vorschlageine Mehrheit der Abgeordneten zubekommen, sagte Manfred Weber,Vize-Fraktionschef der konservativenEuropäischen Volkspartei (EVP). DieInnenminister sollten sich gemäß demCSU-Politiker lieber darauf konzentrieren,ihre Behörden besser zu vernetzen.Auch Grüne und Sozialdemokraten kündigtenWiderstand gegen das Vorhabenan (Krempl www.heise.de 24.01.2010).EUIndectDie Europäische Union (EU) finanziertseit Beginn des Jahres 2009 einForschungsprojekt „Indect“, das bestehendeÜberwachungstechnologien zueinem Instrument verbinden soll. Indectsteht für „Intelligent information systemsupporting observation, searchingand detection for security of citizensin urban environment“. Die Idee desProjektes ist, es möglich zu machen, dassalles gesehen und alles verfolgt werdenkann. Es geht um die Entwicklung einesInformationssystem zur Unterstützungder Suche, der Entdeckung und derÜberwachung von Bürgern in städtischenUmgebungen mit dem Ziel derErhöhung der Sicherheit. U.a. soll esdazu dienen, das Internet zu durchforsten.Das Projekt will erforschen,wie sich im Netz mit automatisiertenSuchroutinen „Gewalt“, „Bedrohungen“und „abnormales Verhalten“ finden lassen.Für die Polizei sollen Werkzeugeentwickelt werden, um „verschiedenstebewegliche Objekte“ zu observieren.Indect soll also Daten auswertenkönnen, um die Bewegungen vonMenschen, Fahrzeugen oder Schiffennachzuvollziehen. Eine Suchmaschinesoll entwickelt werden, die anhandvon Wasserzeichen Bilder und Videoswiederfinden und schnell verwaltenkann. Es geht nicht in erster Liniedarum, Informationen aus dem Netzzu filtern, sondern diese Daten sollenmit anderen Datenbanken verknüpftwerden, z.B. mit Bildern vonVideoüberwachungskameras oder mitDaten von Mobiltelefonen. Das Zielscheint zu sein, in irgendeiner Weiseauffällig gewordene Menschen in derRealität schnell entdecken und langfristigverfolgen zu können. Wer beispielsweisebei YouTube ein Drohvideogepostet hat, der soll mit Hilfe vonÜberwachungskameras gesucht, viaSuchmaschine identifiziert und mittelstragbarer Geräte von Polizisten verfolgtwerden können. Auf der Projekt-Website steht, man wolle Prototypeneiner „Familie“ von mobilen Gerätenentwickeln, mit deren Hilfe „Objekteverfolgt werden können“. Außerdemwolle man eine Suchmaschine zurschnellen Ermittlung von Personen undDokumenten und Suchprogramme, die„ständig“ und „automatisch“ öffentlicheQuellen wie Websites, Foren, User-Gruppen, Fileserver, P2P-Netzwerkeund „individuelle Computersysteme“durchsuchen.Wird das Projekt umgesetzt, wärees der Albtraum jeder Bürgerrechtsbewegung,indem es alle einzelneÜberwachungsinstrumente, die bereitsjetzt installiert sind wie Videokameras,Vorrats daten speicherung,Handy ortung, Gesichtserkennung oderTelefon überwachung, zu einem einzigenSpähprogramm verbindet. Mit klassischerVerbrechensbekämpfung hatso etwas nichts mehr zu tun. Es ist derVersuch, alle technischen Möglichkeitenzur „Gefahrenabwehr“ zu nutzen.Begriffe wie Unschulds vermutung,Grund rechts schutz, Verhältnis mäßigkeitoder Gerichtsfestigkeit bei hoheitlichemVorgehen spielen bei derProjektbeschreibung keine Rolle. Esgeht vielmehr um die gezielte Suchenach Verdächtigen durch das vollständigeund automatisierte Scannen der gesamtenBevölkerung. Stephen Booth,Wissenschaftler des Think Tanks „OpenEurope“ erklärte: „Das ist nach meinerMeinung alles ziemlich beängstigendesZeug. Diese Projekte würden eine riesigeInvasion der Privatsphäre bedeutenund die Bürger müssen sich fragen,ob die EU wirklich ihre Steuergelderfür so etwas ausgeben sollte.“ Das auffünf Jahre angelegte Projekt, an demForschungsinstitute aus 10 EU-Staatenteilnehmen, soll der EU insgesamt 14,86Millionen Euro kosten. Auf deutscherSeite arbeiten daran mit die BergischeUniversität Wuppertal, die Innotec DataGmbh & Co KG und eine Firma namensPsi Transcom GmbH (www.zeit.DANA • Datenschutz Nachrichten 1/201033

naChriChtende 24.09.2009; Rötzer Telepolis www.heise.de 22.09.2009).UNOWanzen in SitzungssälenBei den Vereinten Nationen, der UnitedNations Organisation (UNO) in Genf,sind immer wieder in den vergangenenJahren Abhörsysteme entdeckt worden.Eine erste Wanze fand sich 2004 in einemSitzungssaal. April 2006 stießenElektrotechniker bei Wartungsarbeitenim Salon C 108 auf versteckte Bauteile.Es handelte sich um ein hochmodernesAbhörgerät mit einem Senderadius vonbis zu 150 Metern im Wert von rund65.000 Euro. Kabel in der Wand führtenzu einer weiteren Anlage im Nebenraum.Eine Spezialeinheit, die daraufhin geschaffenwurde, entdeckte im Januarund Juni 2007 zwei weitere Anlagen.Die UNO tat wenig, um die Funde offenzu legen. In den Sälen finden und fandenvertrauliche Gespräche statt, etwawährend der Abrüstungskonferenz oderim Vorfeld des Irak-Krieges. Die Geräteenthielten keine Hinweise auf ihreHerkunft. Sie waren aus chinesischen,französischen und US-amerikanischenBauteilen zusammengesetzt. Nur wenigeGeheimdienste verfügen überdas Wissen zur Installierung solcherAnlagen. Internationale Organisationensind eine beliebtes Ziel für derartigeSpionage: 2003 waren im BrüsselerEU-Ministerratsgebäude in denDelegationszimmern von sechs StaatenWanzen entdeckt worden (Der Spiegel49/2009, 112).DänemarkMit elektronischerFußfessel für Kinder gegenJugendkriminalitätIm Kampf gegen die Jugendkriminalitätzieht die dänische Regierunghärtere Saiten auf. Nach demMotto „Strafe wirkt“ setzt sich derkonservative Justizminister BrianMikkelsen über die Empfehlungen dervon der Regierung selbst eingesetztenJugendkommission hinweg, die kurzzuvor eine bessere soziale Vorbeugungempfohlen hat, und griff zu elektronischüberwachtem Stubenarrest für zwölfjährigeKinder, Strafmündigkeit ab 14und Kindergeldentzug für Eltern, derenSprösslinge Schule oder Lehre schwänzen.Mikkelsen will, dass Sozialarbeiterdie Problemkids schon an die Kandarenehmen, ehe aus ihnen Kriminelle werden.Hilft das nichts, so bekommen sieAusgehverbot: „Wenn sie um sieben daheimsein müssen, hängen sie nicht inden Straßen rum, zünden keine Containeran, demolieren keine Autos und handelnnicht mit Hasch.“ Mit der elektronischenFußfessel kann die Polizei dann feststellen,ob sie den Stubenarrest brechen. Fürdie Justizsprecherin der sozialdemokratischenOpposition Karen Haekkerupgeht dies zu weit: „So ein Kind brauchtKontakt zu Erwachsenen und nicht einelektronisches Dingsbums am Bein“.Dem hält Sprecher Peter Skaarup, derdas Strafmündigkeitsalter gerne auf12 Jahre gesenkt hätte, von der rechtenDänische Volkspartei entgegen: „Dakönnen die jungen Lümmel lernen, dasssie in der Nacht daheim und tagsüberin der Schule sein sollen.“ Mit der härterenGangart sieht sich die Regierungim Einklang mit der Volksstimmung,die von ständigen Berichten überdas Wüten von Jugendbanden aufgeschrecktist, obwohl diese ein auf wenigeVorstadtsiedlungen begrenztesPhänomen sind (Gamillscheg, FR30.11.2009, 30).DänemarkFahrradsicherung mitFunkchiportungKopenhagen hat europaweit die höchsteFahrraddichte Europas. Ein Drittelder EinwohnerInnen fährt mit dem Radzur Arbeit; bis 2015 soll der Anteil aufüber 50% gehoben werden, was jährlichweitere 80.000 Tonnen CO2 einsparenwürde. Ein Problem sind die jährlichfast 20.000 gestohlenen Räder; nuretwa 5% können nach Wiederauffindenden EigentümerInnen zurückgegebenwerden. Dem Veloklau will dieStadt mit Funkchips beikommen. 2007wurde mit dem Programm „Fa en lillechip pa“ (Bau einen kleinen Chipein) begonnen. Im Sommer 2009 wurdedas Versuchsprojekt offiziell gestartet.Über 1.000 Radfahrerinnen ließensich gleich zu Beginn kostenlosein neues Rücklicht montieren, in demein reiskornkleiner Funkchip steckt.Die Stadt registriert Name, Anschriftund E-Mail-Adresse der RadlerInnenund speichert diese Daten gemeinsammit der Identifikationsnummer desChips in einer zentralen Datenbank. ImSeptember 2009 waren schon 5.000Räder erfasst. Verschwindet ein Rad,so löst die BesitzerIn mit einer E-Mailan die städtische Webseite die Sucheaus. Parkwächter wurden mit RFID-Scanner ausgestattet, mit denen sie nebendem Verteilen von Strafzettelnfür Falschparkende die Umgebungnach Chips abscannen. Lone Husted,Projektleiterin bei der Firma See-mi,dem technischen Partner der Stadt, erläutert:„Bei einem Treffer sendet dasLesegerät seine GPS-Koordinaten viaMobilfunk an die Datenbank, die dannden Besitzer per E-Mail informiert“. DerFundort lässt sich auf einer speziellenGoogle-Stadtkarte herausfinden.Kritisiert wurde bisher, dass sich derim Rücklicht integrierte Chip relativeinfach entfernen lässt. Diese Kritik hältAnne Vang von den Sozialdemokratenfür voreilig: „Wir wollen nicht nur unserenBürgern helfen, ihre verschwundenenVelos möglichst rasch wiederzufinden.“Es gehe auch darum, dieStadt rascher von den vielen herrenlosenRädern zu säubern. „Denn die meistender gestohlenen Velos sind nur `ausgeliehen´und werden irgendwo wiederabgestellt. Die meisten Nachtschwärmerhätten gar kein Interesse, den temporärgenutzten Drahtesel zu behalten oderweiterzuverkaufen. Deshalb sei dieGefahr, dass die Chips entfernt würden,gering. Dessen ungeachtet plantdie Stadt, künftig weitere 5000 Chipsim Sattel oder im Rahmen fest einzuschweißen.Genutzt werden passiveChips. Dank dieser handelsüblichenTechnik blieben die Projektkosten mitrund 200.000 Euro relativ bezahlbar.Der Funkchip selbst kostet nur wenigeCent, die Lösung mit der Rückleuchterund 15 Euro. Das Thema Datenschutzwurde nicht diskutiert, so Mikael34DANA • Datenschutz Nachrichten 1/2010

naChriChtenColville-Andersen, Betreiber des Bike-Blogs copenhagenize.eu: „Die passivenChips scheinen niemanden zu irritieren,da keine sensiblen Daten ausgelesenwerden können.“ Mit aktiven Chips, dieüber eine Batterie senden und dadurchauf größere Distanz identifizierbar wären,hätte es wegen der erstellbarenBewegungsprofile Widerstand gegeben.In den ersten Monaten sind 42 der registrierten5.000 Räder als gestohlengemeldet worden. Eines davon wurdewiedergefunden. Als nächste Stufe derAusbauplanung sollen Verkehrsampelnmit automatischen und leistungsfähigerenRFID-Scannern ausgestattet werden.Damit ließen sich LKW beim Abbiegenvia Funk vor Velos warnen; großflächigkönnte zudem der Verkehr auf entwendeteZweiräder kontrolliert werden(Soukup www.zeit.de 05.11.2009).FrankreichUnternehmen testenanonyme Bewerbungen50 Unternehmen in Frankreich habensich bereit erklärt, in den kommendenMonaten Bewerbungen aufeinem Formular entgegen zu nehmen,auf dem weder der Name nochdie Adresse noch das Geburtsdatumstehen. Mit dem Vorstoß will dasArbeitsministerium in Paris für mehrChancengleichheit sorgen. Schon diePostleitzahl lässt Rückschlüsse zu,aus welchem Milieu eine BewerberInkommt, und kann der Grund dafür sein,dass ein Arbeitgeber die Unterlagenvon vornherein aussondert. 2006 wurdedas Projekt schon einmal in Angriffgenommen, verlief aber im Sande. DerSprecher des Arbeitsministers XavierDarcos meinte nun: „Dieses Mal meinenwir es ernst.“ Es gibt schon in einigenBranchen Erfahrungen mit derartigenBewerbungen. MusikerInnen,die für ein Orchester vorspielen, werdenhinter einer Leinwand versteckt,damit sie nicht erkannt werden können.In den USA gibt es scharfe Gesetze gegenDiskriminierungen mit zahlreichenTabus für schriftliche Bewerbungenbzgl. Alter, Herkunft, Religion undFamilienstand. Ein Foto ist bei denArbeitgebern nicht unbedingt erwünscht,da sie teure Klagen von abgelehntenBewerberInnen fürchten.Anders als in Frankreich wird in denUSA aber der Name angegeben, so dassRückschlüsse auf die Herkunft möglichsind. Das Alter lässt sich aus dem Datumdes Schul- oder Universitätsabschlussesableiten.Arbeitgeber sehen das Projekt inFrankreich kritisch; sie verwerfen dasVorhaben größtenteils als „sinnlos“.Anders Frédérique Poggi, Sprecherinder Hotelgruppe Accor, die darauf hinweist,dass ja niemand allein auf derBasis des anonymisierten Lebenslaufseingestellt wird. Spätestens beim erstenVorstellungsgespräch lerne dasUnternehmen die KandidatIn kennen.Seit Juli 2009 praktiziert die Accor-Gruppe die Inkognito-Bewerbung aufihrer Internetseite. Das Verfahren wirdnur begrenzt getestet. Der französischeVersicherungskonzern Axa z.B.nimmt anonymisierte Lebensläufe nurvon den 1000 Bewerbenden entgegen,die sich jährlich auf Stellen fürVersicherungsmakler bewerben. FürPosten im Management gibt es das anonymisierteVerfahren nicht. PräsidentSarkozy hat das Projekt auf die Agendasetzen lassen, weil er sich wünscht,dass der entpersonalisierte Lebenslaufzur „Selbstverständlichkeit für alleArbeitgeber“ wird.In Deutschland lehen die Arbeitgeberentsprechende Bestrebungen ab, soRoland Wolf, Arbeitsrechtsexpertebei der Bundesvereinigung der deutschenArbeitgeberverbände (BDA):„Die Menschen werden bei uns nachQualifikation und Können ausgesucht.Die Gefahr einer Diskriminierung halteich für äußerst gering.“ Dem wider sprichtder Bonner Arbeitsrechts professorGregor Thüsing: „Der anonymisierteLebenslauf ist sicher ein effektivesMittel gegen Diskriminierung.“Die Frage sei nur, wie weit dies praktiziertwird, z.B. bzgl. Zeitangaben: „DerArbeitgeber sollte durchaus wissen,wie lange das Studium des Bewerberszurückliegt oder wie lange es gedauerthat.“ Frank Jansen, Vizepräsidentder Deutschen Gesellschaft fürAntidiskriminierungsrecht, hält dasfranzösische Projekt für eine „hervorragendeIdee“. Der Arbeitgeberwerde gezwungen, „jedenfalls vordem ersten Vor stellungs gesprächeine objektive Vorauswahl zu treffen“.Christiane Funken, Professorinfür Geschlechterforschung an derTechnischen Universität in Berlin, ergänzt:„Auf diese Weise wird in einemersten Schritt einer Bewerbung alleindie Leistung beurteilt. Wenn ich weiß,dass vor mir ein Mensch sitzt, den ichauf Grund seiner Qualifikation eingeladenhabe, dann schau ich ihn mir dochganz anders an“ (Heyer/Koch/Kuhr SZ14./15.11.2009, 25).ItalienZeugnisse im InternetIn italienischen Schulen soll moderneInformationstechnologie in derForm zur Anwendung kommen, dassZeugnisse im Internet veröffentlichtwerden und Eltern per SMS über dasFernbleiben ihrer Kinder vom Unterrichtinformiert werden. Damit, so MinisterRenato Brunetta, soll Transparenz gefördertwerden: „Dieses neue Systemsoll voraussichtlich schon bis Ende diesesSchuljahr aktiviert werden“ (SH-Z10.11.2009, Thema 3).SchweizDatenschützer klagt gegenGoogle Street ViewDer Eidgenössische DatenschutzbeauftragteHanspeter Thür klagt gegenGoogles StraßenansichtsdienstStreet View vor dem SchweizerBundesverwaltungsgericht, um zu erreichen,dass der US-Internetdienstleisterbis zu einer Gerichtsentscheidung keineneuen Bilder aus der Schweiz mehr insInternet stellt. Weitere Kamerafahrtenin der Schweiz sollen Google untersagtwerden. Dessen DatenschutzmanagerPeter Fleischer zeigte sich überdie Klage „sehr enttäuscht“, dieGoogle „energisch anfechten“ werde:„Wir haben uns vor und nach demLaunch mit dem EidgenössischenDatenschutzbeauftragten getroffen undunsere Technologie erklärt. Wo ge-DANA • Datenschutz Nachrichten 1/201035

naChriChtenwünscht, haben wir Maßnahmen vorgeschlagen,um die Technologie zumSchutz der Privatsphäre zu verstärkenund jegliche Bedenken auszuräumen.“Street View habe sich in der Schweizvon Beginn an als sehr beliebt erwiesen.Thür hatte von Google in einerEmpfehlung im September 2009 datenschutzrechtlicheAnforderungen anStreet View gestellt, die Mitte Oktoberweitgehend von dem Konzern abgelehntworden seien. Seit Mitte August2009 sind Aufnahmen aus der Schweizonline. Thür moniert, dass zahlreicheGesichter und Autokennzeichennicht ausreichend unkenntlich gemachtsind. Personen würden in „sensiblerUmgebung“ gezeigt, zum Beispiel vorKrankenhäusern, Gefängnissen oderSchulen. Vor allem in Außenbezirkensei das einfache Verwischen vonGesichtern insbesondere wegen derZoomfunktion nicht mehr ausreichend.Google habe nicht nur, wie angekündigt,hauptsächlich Stadtzentren fotografiert,sondern auch viele Städte flächendekkendonline gestellt. Google habe ThürsEmpfehlung ignoriert, von einer niedrigerenWarte aus zu fotografieren. StreetView erlaube so Einblicke über Zäune,Hecken und Mauern, wie sie nicht vongewöhnlichen Passanten von der Straßeaus gesehen werden können. Damit seidie Privatsphäre bei umfriedeten Höfenund Gärten nicht mehr gewährleistet(www.heise.de 13.11.2009).TschechienAlkoholtest beiVerkehrskontrollen PflichtVon Anfang 2010 an wird inTschechien bei jeder Art von Verkehrskontrolleauto matisch auch ein sog.Atemtest durchgeführt, mit dem derAlkoholkonsum einer AutofahrerIn gemessenwird. Die Neuregelung hat zumHintergrund, dass im Land schon seitJahren eine Null-Promille-Grenze gilt,sich aber viele AutofahrerInnen nichtdaran halten. Im Jahr 2007 fasste diePolizei gemäß eigener Statistik 7.600Personen, die angetrunken hinter demSteuer saßen. Ein Jahr später war dieseZahl mit knapp 14.800 Fällen auf nahezudas Doppelte gestiegen. Von denderart Erfassten hatte fast ein Dritteleinen Blutalkohol-Anteil im Blut vonmehr als einem Promille. Immer wiedergibt es spektakuläre Fälle hochgradigerTrunkenheit am Steuer; 2009 wurde einMann mit 4,29 Promille festgenommen.Viele schwere Unfälle sind auf verminderteFahrtüchtigkeit durch Alkohol zurückzuführen;2009 verloren dadurch85 Menschen, oft FußgängerInnen,ihr Leben. JedeR AutofahrerIn, die/der bei einer Verkehrskontrolle denAlkoholtest per Blasrohr verweigert,muss mit einer Geldbuße von bis zuumgerechnet 1900 Euro oder demEntzug des Führerscheins bis zu 2 Jahrerechnen. Die Strafen für Fahren unterAlkoholeinfluss wurden auf bis zu 3Jahre Gefängnis erhöht; damit ist dasLand in der EU Vorreiter, obwohl esmit der Zahl der Unfälle und Toten aufden hinteren Rängen der Statistik liegt(Brill SZ 04.01.2010, 8).IslanddeCODE GeneticsinsolventDie isländische Bio daten bankundGen diagnostik firma deCODEGenetics hat Insolvenz ange mel det.Die Firma war die erste weltweit, diemedizinische Gendiagnosen für dieÖffentlichkeit anbot. Sie hatte massiveInvestitionen vorgenommen, um die genetischenUrsachen z.B. für Brust- undProstatakrebs, für Herzkrankheiten undDiabetes zu erforschen. Seit Herbst 2008befand sich das Unternehmen in erstenFinanzierungsschwierigkeiten und informiertedie Investoren, dass Teile verkauftwürden. Am 17.11.2009 teilte esdann mit, dass es nun „in der Substanzsämtliche Anteile“ verkauft, einschließlichder gewaltigen DNA-Datenbankmit genetischen Informationen über140.000 IsländerInnen. Die 13 Jahrealte Firma hatte nach dem Misslingender Restrukturierung der Schuldenund der Beschaffung neuer Gelderschon Optionen erkundet, Teile desGeschäftsbetriebes zu verkaufen oderper Lizenz abzutreten, einschließlichdes Sektors der Pharmakogenomik.Gemäß einer Anmeldung bei einem US-Insolvenzgericht in Delaware/USA standeneinem Vermögen von 69,9 Mio.Dollar Schulden in Höhe von 313,9Mio. Dollar gegenüber. Sir Alec Jeffreyvon der University of Leicester/GB undErfinder der Methode des genetischenFingerabdrucks meinte, das Unternehmenhabe zwar eine beeindruckendeSammlung, um Krank heitsursachen aufzuspüren,doch es sei ihm nicht gelungen,das Wissen in die lukrative Produktionvon Arzneimittel einzubringen: „Eswäre eine Tragödie, wenn die sagenhafteBiobank verloren ginge.“ Ein Problembeim Datenverkauf besteht darin, dassin den meisten Fällen die ProbandInneneine Einwilligungserklärung unterzeichnethaben, wonach die DNA nach derNutzung durch deCODE an die behandelndenÄrzte zurückgegeben werdenmüssen. Vor einem Transfer aus Islandfort müssten die Datensätze anonymisiertwerden. Die Probleme deCODEs stehenim Zusammenhang mit den Bedenken imHinblick auf personalisierte krankheitsbezogeneGentests. Im September 2009hatte die Regierungskommission zurÜberwachung der Gendiagnostik (HumanGenetics Commission) gefordert, dassalle direkt an KonsumentInnen gerichtetenTests einer strengen Regulierungunterworfen werden sollten. Dr. FrancesFlinter, Vorsitzender der Arbeitsgruppeder Kommission, meinte: „Einige Testssind zumindest von fragwürdigem Wert.“Helen Wallace von GeneWatch ergänzte:„Die meisten Krankheiten der meistenMenschen sind nur in geringem Maßevon genetischen Dispositionen abhängig,sondern zumeist vom Lebensstil,Umwelt und Einkommen. GenetischeHoroskope sind weniger zuverlässig alsWettervorhersagen, weil Biologie komplexfunktioniert und noch wenig verstandenwird“ (Sample www.guardian.co.uk 17.11.2009).IsraelKonflikt um Biometrie-DatenbankDer Ministerpräsident von IsraelBenjamin Netanjahu hat am 16.11.2009eine Abstimmung in der Knesset kurz-36DANA • Datenschutz Nachrichten 1/2010

naChriChtenfristig abgesagt, bei der ein Gesetzesverabschiedet werden sollte, das diebiometrische Erfassung der israelischenBevölkerung vorsieht. Netanjahureagierte damit auf Proteste vonParteifreunden im Likud-Block sowieder Arbeitspartei (Avoda), diezu den sechs politischen Kräften gehört,die die Regierungskoalition bilden.Bürgerrechtler hatten Klagen beimhöchsten israelischen Gericht für denFall der Verabschiedung des Gesetzesangekündigt. Der frühere israelischeInnenminister Meir Sheetrit (Kadima-Partei) hatte das Gesetz angeregt.Danach sollen Lichtbilder und jeweilszwei Fingerabdrücke von allen Israeliserfasst und in einer zentralen Datenbankgespeichert werden. Die biometrischenDaten sollen u.a. für die Ausstellung neuerelektronischer Identitätsdokumentegenutzt werden. Geplant sind zwei getrennteDatenbanken, eine für die biometrischenDaten und eine, in derNamen und Anschriften der ePass- oderID-Card-Inhaber hinterlegt werden; dieDatensätze werden dann über Codes zusammengeführt.Hiermit solle eine erhöhteSicherheit erreicht werden: EinHacking der Biometrie-Datenbank bringeeinem Angreifer wenig, da ihm derSchlüssel für die Zuordnung zu einerbestimmten Person fehle. „Auf einerSkala von 1 bis 10 liegt unser Schutzbei 11“, meinte der SicherheitspolitikerSheetrit, der derzeit dem TechnologieundWissenschafts-Komitee der Knessetvorsteht. Das wird von Anderen andersgesehen, z.B. vom Likud-MinisterMichael Eitan: „Das System schafft eineAtmosphäre der Angst vor dem Verlustunserer persönlichen Daten“ (www.heise.de 16.11.2009, www.jpost.com15.11.2009).RusslandElektronische Fußfesselsoll GefängnisseentlastenDer russische Präsident DmitrijMedwedjew hat als Teil einerJustizreform ein Gesetz eingeführt,das die überfüllten und baufälligenGefängnisse des Landes, die Brutstättenvon Krankheiten und Gewalt sind,entlasten soll. Seit dem 10.11.2010können Richter für minderschwereStraftaten Hausarrest erlassen, derdurch Videoüberwachung und elektronischeFußfesseln kontrolliert werdensoll. Die Verurteilten dürfen ohnerichterliche Erlaubnis weder umziehennoch die Arbeit wechseln, nicht nachtsdie Stadt, das Dorf oder das Haus verlassen.Der Richter kann auch denUmgang mit bestimmten Personen oderden Besuch bestimmter Orte verbieten.Dies soll für ein Strafmaß von zweiMonaten bis zu vier Jahren anwendbarsein und kann damit vor allem fürMinderjährige, TaschendiebInnen undkleine BetrügerInnen in Frage kommen.Soldaten, Staatenlose und BürgerInnenohne dauerhaften Wohnsitz sind ausgenommen.Die Verurteilten werdenstrenger Kontrolle unterliegen und müssensich mehrmals im Monat bei einerAufsichtsbehörde melden. Nochist nicht klar, wer für die Anschaffungder Fußfesseln aufkommt und wie dieKontrolle der Häftlinge organisiert werdensoll. Die Strafvollzugsbehördenschätzen aber schon, dass der Arrest bei113.000 Häftlingen pro Jahr angewendetwerden kann. In Russland sitzenderzeit ca. 800.000 Menschen in Haft(Zekri SZ 12.01.2010, 8).USAGenanalyse-Großprojektgestartet100.000 kalifornische KundInnen einesgroßen Gesundheitsversorgers werdenim Rahmen einer großen Studie einerGenanalyse unterzogen. Nie zuvor wurdenderart viele Menschen unterschiedlichsterHerkunft auf ihr Erbgut hin untersucht.Cathy Schaefer, Forscherin beiKaiser Permanente in Oakland, dessenPatientInnen an dem Projekt beteiligtsind, meinte: „Das Projekt wird eine enormeHebelwirkung im Bereich genomweiterAssoziationsstudien haben“. Mitden Daten soll es WissenschaftlerInnenermöglicht werden, Zusammenhängezwischen Genausstattung, Umwelteinflüssenund Krankheiten genauerals bisher zu erforschen. Neben denGendaten werden detaillierte elektronischeGesundheitsakten, Material ausPatientenbefragungen und Informationenzu den Umweltbedingungen ausgewertet,mit denen die Untersuchten lebenund arbeiten müssen. Das Projekt nutztbereits vorhandene Speichelproben kalifornischerKaiser Permanente-Patienten,deren Durchschnittsalter bei 65 Jahrenliegt. Ihre DNA wird auf 700.000 genetischeVariationen (Single NucleotidePolymorphisms, kurz SNP) analysiert.Dabei kommen Analyse-Arrays des kalifornischenUnternehmens Affymetrixzum Einsatz. Die Daten sollen durchdie US-Nationalinstitute für Gesundheit(NIH) auch anderen Forschenden zurVerfügung gestellt werden (Schwanwww.heise.de 27.10.2009).USAAnti-Terror-Liste wächstrasant weiterNach im November 2009 veröffentlichtenInformationen nimmt das FBItäglich eine große Zahl von Leuten alsTerrorverdächtige ins Visier. Wie dieUS-Presse berichtete, machten US-Geheimdienste zwischen März 2008und März 2009 täglich durchschnittlich1.600 Vorschläge für die Anti-Terror-Liste der Polizeibehörde. Laut Akten, dieFBI-Chef Robert Mueler im September2009 auf Anfrage dem Rechtsausschussdes US-Senats übergab, sollen für dieAufnahme der entsprechenden Personenin die Anti-Terror-Datei „ausreichendeVerdachtsmomente“ vorgelegen haben.Nicht jede „Nominierung“ beziehtsich nach Angaben von FBI-Vertreternauf ein neues Individuum. Bei vielenhandle es sich um Pseudonyme oderandere Schreibvarianten für bereits gelisteteVerdächtige. Insgesamt soll dieAnti-Terror-Liste „Terrorist-Watch“ über400.000 einzelne Namen bei über einerMillion Einträgen enthalten. 600 Namenund 4.800 Einträge sollen täglich zurLöschung beziehungsweise Korrekturvorgeschlagen werden. Unter denVerzeichneten seien weniger als 5% US-BürgerInnen oder legale EinwohnerInnen.Zudem sollen sich 9% der aufgeführ-DANA • Datenschutz Nachrichten 1/201037

naChriChtenten Personen auch auf der „No Fly“-Liste der US-Regierung im Rahmen desScreening-Programms „Secure Flight“befinden. Die Anti-Terror-Liste ist Teileines Datenbanksystems, welches dasFBI anderen Berichten zufolge in einemgesonderten National Security BranchAnalysis Center (NSAC) in der Nähevon Washington unterhält. Insgesamtsollen darin über 1,5 MilliardenEinträge über US-BürgerInnen undAusländerInnen aus RegierungsundUnter nehmensquellen enthaltensein. Das System soll wie eine Meta-Suchmaschine funktionieren, aber auchMuster- und Linkanalysen unterstützen.Es zeigte sich schon damals, dass dieBeamtInnen nur schwer den Überblicküber die vielen Datenspeicherungen haltenkönnen – ein Befund, der sich in derNachbearbeitung des Anschlagsversuchsam 23.12.2009 auf ein Flugzeug beiDetroit bestätigte. Um eine Person aufdie Terror-Liste zu setzen, reicht dieEntscheidung eines einzelnen FBI-Agenten aus. Die US-Bevölkerunghilft kräftig mit, die Liste zu vergrößern.So erreichten im Jahr 2006 ca.219.000 Tipps und Hinweise aus derBevölkerung das FBI. Aktuellere Zahlenstufte das FBI auf Anfrage des demokratischenSenators Russell Feingoldals vertraulich ein und veröffentlichtesie nicht. Feingold, als Kritiker derUS-Anti-Terror-Gesetzgebung bekannt,meinte in diesem Zusammenhang,dass das FBI früher einen begründetenAnfangsverdacht brauchte, umeine Terror-Untersuchung zu starten.Dies habe sich seit 2008 geändert (SZ04.11.2009, 11; Krempl www.heise.de02.11.2009).USA22 Millionen Regierungs-E-Mails wiedergefundenSpezialistInnen für Datenrettung haben22 Mio. E-Mails im Weißen Hauswiedergefunden. Sie waren in einemZeitraum von 94 Tagen während derPräsidentschaft von George W. Bushverschickt worden und galten nach offiziellenAngaben als verloren. Deshalbhaben zwei BürgerrechtsgruppenKlage zwecks Akteneinsicht eingelegt.Dem Weißen Haus zufolge beganndas Problem zwischen 2002 und2003, als das Präsidialamt mit seinemMailsystem den Anbieter wechselte.Dabei sei auch das bis dahin genutzteArchiv aufgegeben worden. Das alsErsatz gedachte System funktionierteaber nicht richtig, so dass die E-Mailshändisch abgelegt werden mussten.Dabei seien Dateien falsch bezeichnetund auf Sicherungsbändern zusammenmit Dateien anderer Art gespeichertworden. Die BürgerrechtlerInnen,die zunächst die Datenherausgabenach dem Freedom of Information Act(FOIA) gefordert hatten, vermuten jedochmehr hinter der Datenpanne, soVertreter eines der beiden Kläger, derCitizens for Responsability and Ethicsin Washington (CREW): „Das WeißeHaus unter Bush hat wissentlich einkaputtes System zur Verwahrung elektronischerDaten benutzt.“ Dabei ginges v.a. um brisante Fragen der US-Innenpolitik. Die BürgerrechtlerInnenwollten z.B. mehr darüber wissen, wiees zu einer Reihe von Entlassungenvon StaatsanwältInnen kam, die derBush-Administration nicht linientreugenug waren. Ein weiteres Themawar der Skandal um einen Diplomatenund dessen Frau. 2007 hatten dieBürgerrechtlerInnen verlangt, nicht nurZugang zu E-Mails zu bekommen, sondernauch darüber informiert zu werden,wie die Regierung mit Dokumentenumgehe. Damals hatte die Regierungerstmals bekannt gegeben, dass etwa5 Mio. E-Mails nicht mehr auffindbarseien. Ihr Verschwinden fiel zeitlich mitder Entlassung der StaatsanwältInnenund der Affäre um den Diplomaten zusammen.Zunächst sicherte das WeißeHaus den BürgerrechtlerInnen zu, dieDaten herauszugeben. Dann aber hießes plötzlich, die für die Mails zuständigeVerwaltung des Weißen Hauses fallenicht unter den FOIA. Darauf klagtendie Bürgerrechtsgruppen. Dassnun die Daten schnell veröffentlichtwerden, ist nicht zu erwarten. Die 22Mio. Mails müssen von der staatlichenArchivbehörde erst sortiert werden inDaten, die unter den FOIA fallen, vomPresidential Records Act abgedecktsind oder Bedeutung für die nationaleSicherheit haben. E-Mails der letztgenanntenKategorien können noch vieleJahre zurückgehalten werden (Martin-Jung SZ 16.12.2009, 1, 16).USATom Cruise wegenAbhöraktion angeklagtDer Schauspieler Tom Cruise solleinen Journalisten abgehört haben.Cruise, sein Anwalt Bert Fields und derPrivatdetektiv Anthony Pellicano wurdenvon Michael Davis Sapir wegen einerLauschaktion verklagt. Cruise hattezuvor Sapir auf 100 Mio. US-Dollar verklagt.Sapir hatte damals behauptet, inBesitz eines Videos zu sein, die Cruisebei „homosexuellen Handlungen“ zeigen.Das Verfahren war außergerichtlichbeigelegt worden. Beide Seiten hattenöffentlich erklärt, dass ein solchesBand nicht existiert. Der Anwalt Fieldswies nun die Abhörvorwürfe zurück;Pellicano sei nie für den Sapir-Fall engagiertworden (SZ 23.12.2009, 10).ArgentinienDNA-Opfer-DatenbankSeit 2007 sammeln argentinischeWissenschaftlerInnen Blutproben vonNachkommen von Vermissten derMilitärdiktatur des Landes und baueneine DNA-Datenbank auf. Die Diktaturendete 1983, doch ist die Suche nach denOpfern des Terrorregimes längst nicht abgeschlossen.Ende 2009 konnte das Teamfür anthropologische Forensik (EAAF)42 Opfer aus einem Massengrab inMerlo, einem Vorort von Buenos Aires,und weiteren Fundorten identifizieren.5.000 Blutproben lagen Ende 2009 schonvor. 598 Skelette ermordeter Opfer konntennoch nicht identifiziert werden. EinGentechniklabor im US-Staat Virginiavergleicht die Blut- und Knochen-DNA.Erst wenn zusätzlich zu den DNA-Proben die zahntechnischen Befundesowie Fundort und Verletzungen mitbislang bekannten Informationen übereinstimmen,benachrichtigt EAAF dieAngehörigen. Die Arbeit wird sich vor-38DANA • Datenschutz Nachrichten 1/2010

naChriChtenaussichtlich noch viele Jahre hinziehen.Von den während der Militärdiktatur verschwundenenMenschen gelten immernoch 20.000 bis 30.000 als vermisst (DerSpiegel 49/2009, 141).IranRegime verschärftÜberwachungDas iranische Regime hat eine neueEinheit der Polizei geschaffen, die fürdie Überwachung des Internets zuständigist, das für Andersdenkende praktischdie einzige verbleibende Möglichkeitist, Nachrichten und Meinungen zu verbreiten.Schon bisher wird das Netzscharf überwacht. Die neue zwölfköpfigeÜberwachungseinheit soll nach denWorten des Polizei-Obersten MehradOmidi speziell „Beleidigungen unddie Verbreitung von Lügen“ verfolgen,was eine geläufige Bezeichnung derJustiz für Beschwerden der Oppositionüber Schikanen und Unterdrückungist. Im Vordergrund stünden „politischeAngelegenheiten, die mit strafbarenHandlungen verbunden sind“. DieEinheit berichtet dem Staatsanwalt.Zugleich nimmt das Regime hundert weitereInternet-Adressen in den Dienst, umdie Meinungen und Informationen derRegierungsseite zu verbreiten. Hierzugehören Nachrichtenagenturen, Ablegerder regimenahen Zeitungen und Medienund spezielle Adressen für die Jugend,für Studierende, Militärs und andereLebensbereiche. Die Revolutionsgarden,die sich unter Präsident MahmudAhmadinedschad zur stärksten Stützedes Regimes entwickelten, haben zweizusätzliche Kommandostellen geschaffen,die den „Kampf gegen psychologischeOperationen des Feindes“ aufnehmensollen. Massud Dschasaeri vomOberkommando der Pasdaran war immerwieder dafür eingetreten, die „Führer derVerschwörung“ – gemeint waren die 2009erfolglosen PräsidentschaftkandidatenMir Hussein Mussawi und MehdiKarrubi – gerichtlich zu verfolgen. DiePasdaran hatten 2008 landesweit eine gestraffteStruktur erhalten und nach derWiederwahl von Ahmadinedschad dasGeheimdienst-Ministerium übernommen.Ihr eigener Dienst ist jetzt erweitertund mit zusätzlichen Aufgaben ausgestattetworden. Die Volksmilizen derBassidsch wurden den Pasdaran direktunterstellt, so dass diese noch mehr alsSpitzelnetz gegen unliebsame Personenund Aktivitäten genutzt werden können.Der frühere Kommandeur der Bassidsch,Hussein Taeb, ein Kleriker im mittlerenRang, wurde vom Geistlichen Führer AliChamenei im Oktober 2009 zum Chefdes Geheimdienstes der Pasdaran ernannt.Da die höchsten Würdenträger derschiitischen Hierarchie dem Regimeeher kritisch oder ablehnend gegenüberstehen, will eine regimenaheTheologen-Organisation in Ghom ihreeigenen „Groß-Ayatollahs“ kreieren.An der Spitze dieser Bewegung stehendie Ayatollahs Mesbah-Jasdi, der geistigeMentor Ahmadinedschads, AhmadDschannati und Mohammed Jasdi. Dievon den Gläubigen verehrten Größen derSchia wie Groß-Ayatollah Ali Sistani imIrak, oder der soeben verstorbene HusseinAli Montaseri sowie viele andere wurdenund werden von den regimetreuenMullahs bekämpft. Seit Anfang Novembergibt es einen neuen stellvertretendenKulturminister Mohammed-Ali Raminmit Zuständigkeit für die Presse. Der zumengsten Kreis um Ahmadinedschad gehörendeRamin hat in Deutschland einIngenieurstudium absolviert und sprichtperfekt Deutsch. Er war treibende Kraftdes Holocaust-Seminars im Dezember2006 in Teheran. Ramin rechtfertigte diejüngste Schließung zweier Zeitungen damit,dass diese die Mediengesetze nichtbefolgt und Warnungen des Presserats derRepublik nicht beachtet hätten (ChimelliSZ 25.11.2009, 7; vgl. www.datenschutzzentrum.de/vortraege/20091104-weichert-informationstechnologie-opposition-iran.pdf)VARBevölkerungsweiteSicherheits-Gendatei geplantIn den Vereinigten Arabischen Emiraten(VAR) planen die Polizeibehörden,weltweit erstmals eine Datenbank aufzubauen,in der die DNA-Profile allerEinwohnerInnen unbefristet gespeichertsind. Ahmed al-Marzouqi,Chef der von Innenminister SheikhSaif bin Zayed Al Nahyan eingerichtetenArbeitsgruppe, erläuterte:„Erfasst werden sollen alleEinheimischen sowie Ausländer mitAufenthaltsgenehmigung, aber keineTouristen.“ Die ersten Labors sollenEnde 2010 in Betrieb gehen. AlsPersonal sind neben noch auszubildendenEinheimischen „Experten,vorwiegend aus den USA undGroßbritannien, die sie ausbilden“,vorgesehen. In der Pilotphase sollenzunächst die Polizisten erfasst werden.Wen die Behörden danach registrieren,stehe noch nicht fest. Eine möglicheGruppe wären z.B. Jugendliche.„Normalerweise fangen kriminelleKarrieren mit kleinen Delikten an.“Mit Hilfe der Datenbank könne mandie Übeltäter finden und ihnen zeigen,dass das nicht der rechte Wegsei. Bis in 10 Jahren sollen dann alleEinwohnerInnen, also dann ca. 10 Mio.Menschen, davon 80% überwiegendaus Asien kommende AusländerInnen,die als billige Arbeitskräfte tätig sind,erfasst sein. Die Datenbank würdenach derzeitigen Planungen etwaeine Milliarde Euro kosten. Bisherfehlt hierfür die rechtliche Basis. Al-Marzouqi geht davon aus, dass dasInnenministerium ein Gesetz auf denWeg bringt, das der Nationalrat bestätigenmuss. Von größerem Widerstandaus Datenschutzgründen ist nichts bekannt.Kritik von Privatleuten, z.B.vom Anwalt Sayed Abu Zahras, stelltdie Effektivität in Frage: „Kriminellefängt man mit guter Strafverfolgung,nicht mit DNA-Abgleichen.“ Wiedie Datenbank abgesichert werdensoll, wurde nicht bekannt gegeben.Jedenfalls würden die Profile auf keineFall weitergegeben. In Staaten, die dieEuropäische Menschenrechtkonvention(EMRK) unterzeichnet haben, wirdeine solche Datenbank als unzulässigangesehen. Der EuropäischeMenschenrechtsgerichtshof (EMRG)hat auf Klage zweier Briten Ende 2008entschieden, dass die unbegrenzteSpeicherung der DNA-Profile nicht verurteilterPersonen gegen Art. 8 EMRKverstößt (Klaiber SZ 10.11.2009, 7).DANA • Datenschutz Nachrichten 1/201039

naChriChtenTechnik-NachrichtenFunkkameras kinderleichtzu beobachtenAm 28.01.2010 führte derNorddeutsche Rundfunk vor, dass massenhaftFunk-Überwachungskamerasz.B. in Niedersachsens LandeshauptstadtHannover eingesetzt werden, die aufder gemeinsamen Frequenz 2.400Megahertz ihre Bilder unverschlüsseltsenden, so dass sie mit einem handelsüblichenEmpfänger von der Straße ausvon unbefugten Dritten beobachtet werdenkönnen. Die Bundesnetzagentur hatdie Frequenz für diese Zwecke freigegeben.Mit dem Empfänger war es möglich,sich Bilder aus Supermärkten,Apotheken, Bars, Bilder aus demEingangsbereich eines Bordells, ausRestaurants, dem Kassenbereich vonTankstellen, aus einer Arztpraxis oderaus Wohnungen einzufangen. Wenn eineAudioüberwachungsfunktion eingerichtetwar, war es sogar möglich, das gesprocheneWort mitzuhören und aufzuzeichnen,z.B. von Verkaufsgesprächenin einer Apotheke. In dem Billigsegmentwerden auf dem Markt praktisch nurunverschlüsselte Funkübertragungenangeboten, ohne dass die Herstellerauf die Gefahr des Mitsehens undMithörens hinweisen. Schleswig-Holsteins DatenschutzbeauftragterThilo Weichert bestätigte, dass diesesProblem seit Jahren bekannt sei. „Aberdas hat sich offenbar noch nicht überallherumgesprochen. Technisch istes mit einem geringen Mehraufwandohne Weiteres möglich, die Daten derFunküberwachungskameras individuellzu verschlüsseln und nur mit autorisiertenEndgeräten zu empfangen.Weichert sieht die Verkäufer derKameras in der Pflicht, die Kundinnenund Kunden entsprechend aufzuklären.„Leider gibt es im IT-Bereich keinegesetzliche Warnhinweispflicht, wiewir es aus vielen anderen Bereichenkennen. Solche Warnhinweise auf derVerpackung verpflichtend durchzusetzen,wäre politisch das Allermindeste.“Außerdem fordert Weichert eineMeldepflicht, damit die Betroffenen wiedie Datenschutzbehörden die Chancefür mehr Transparenz und Kontrolle haben(Kreutzträger www.taz.de/1/nord29.01.2010).768-Bit-VerschlüsselunggeknacktEiner internationalen Gruppe vonForschenden, u.a. der Universität Bonnund des Bundesamtes für Sicherheitin der Informationstechnik (BSI), istes erstmals gelungen, die 768-Bit-Verschlüsselung, also die Kodierung ineiner Länge von 768 Nullen und Einsen,zu knacken. In der gewohnten dezimalenSchreibweise entspricht dies einerZahl mit 232 Stellen. Die Forschendenhatten mit in einem Netz zusammen geschaltetenComputern ausprobiert, welchePrimzahlen die 232 Stellen langeZahl ergeben, wenn man sie miteinandermultipliziert. Bei dem derzeit imInternet üblichen Verfahren werdenbeispielsweise Kreditkartennummernmit 1024 Bits verschlüsselt. Dies istnach Experteneinschätzung „um dreiGrößenordnungen schwieriger zu knakken“als die 768-Bit-Verschlüsselung.Doch zeigt die bisherige Geschichteder Kryptografie, dass mit steigenderRechenkraft die Hürden ständig erhöhtwerden müssen. 1999 wurde die 512-Bit-Verschlüsselung geknackt, 2005 die mit663 Bits und nun die mit 768 Bits. UmDaten auch künftig sicher zu übertragen,empfehlen ExpertInnen, ab 2011 aufeine Verschlüsselung mit 2048 Bit umzusteigen(SZ 09./10.01.2010, 24; www.ftd.de 08.01.2010).UMTS-VerschlüsselungangeknackstMit der „Sandwich-Angriff“ genanntenMethode hat ein Teamaus israelischen Kryptologen diehauptsächlich in UMTS-Netzen eingesetzteHandyverschlüsselung derzweiten Generation angeknackst. OrrDunkelman, Nathan Keller und AdiShamir war es möglich, den AlgorithmusA5/3, der auch unter dem NamenKazumi bekannt ist, unter gewissenUmständen in praktikabler Zeit zu knakken.Gemäß ihren Angaben lässt sich ein128-Bit-Kasumi-Sitzungsschlüssel auseiner Datenmenge der Größenordnung226 mit Speicher der Größenordnung230 in einer Zeit der Größenordnung232 berechnen. Dank der kleinen Wertehabe schon die Simulation des Angriffsauf einem regulären PC lediglich zweiStunden gedauert. Allerdings benötigendie Forscher für einen erfolgreichenAngriff mit vier „zusammenhängenden“Schlüsseln (related keys) verschlüsselteDaten. Zusammenhängende Schlüsseldürfen sich nur in einigen bestimmtenBits unterscheiden. Nach Angaben desKrypto-Experten Christian Rechbergerist der Sandwich-Angriff deshalb nurschwierig in die Praxis umzusetzen.Eine ordentliche A5/3-Verwendung erlaubees einem Angreifer nicht einmal,an zwei derartige Schlüssel zu gelangen.In älteren GSM-Systemen sei dies zwarmöglich gewesen, doch habe sich diesinzwischen als Sicherheitsproblem herumgesprochen.Andererseits seien dieKomplexitätsanforderungen der Attackezwar für eine PC-Simulation erfüllbar,für einen praktikablen Angriff auf einHandygespräch seien sie jedoch zu hoch(www.heise.de 13.01.2010).GSM-Handygesprächekünftig abhörbarDer Chaos Computer Club (CCC)hat die Mobilfunkindustrie aufgefordert,ihren technischen Standardfür die Verschlüsselung von Handy-Telefongesprächen auszutauschen. Essei nicht mehr verantwortbar, sensibleInformationen über das Mobiltelefonim GSM-Netz als Gespräch oder SMSauszutauschen. Auf dem Kongressdes CCC hatte zuvor Ende 2009 derComputer-Experte Karsten Nohl dasKnacken der GSM-Verschlüsselungdemonstriert. Er hatte mit einer Gruppe40DANA • Datenschutz Nachrichten 1/2010

naChriChtenvon Unterstützern den Code des GSM-Standards geknackt, mit dem in Europaund Asien fast alle Mobiltelefone arbeiten.Die Gespräche werden mit einemsog. Session-Key verschlüsselt.Er wird bei jeder Verbindung neu ausdem geheimen Code des Telefons berechnetund ist 64 Bit lang. DieseLänge des Schlüssels gilt seit Jahrenals angreifbar; bei Computern sind128 oder gar 256 Bit Standard. Nohlund seine Gleichgesinnten hatten denCode mit brachialer Gewalt (bruteforce) geknackt, indem sie mit 40Computern drei Monate lang jedenmöglichen Code ausprobierten. Nohlerklärte, er habe den Schlüssel in einerriesigen Tabelle im Internet versteckt.Als weitere Sicherheitsvorkehrung imGSM-Netz wechseln die gefunktenDaten in unregelmäßigen Abständendie Frequenz. Um diese Sprünge nachzuvollziehen,benötigen Angreifendespezielle Geräte und Programme.Während Vertreter der GSM-Industriebehaupten, Hard- und Software unterlägenstrengen Kontrollen, meint Nohl,dass die frei verfügbaren Programmeund Geräte ca. 1500 Dollar kosteten.Nohl gibt an, seine Technik noch nichtauf echte Telefongespräche angewandtzu haben. Das Abhören ist nur staatlichenStellen mit sog. IMSI-Catchernerlaubt. Diese Geräte täuschen eineBasisstation vor und bringen dieHandys in der Umgebung dazu, sichmit ihnen zu verbinden. Mit Hilfe derInformationen der Netzbetreiber kanndie Polizei die Verschlüsselung inSekundenschnelle knacken. Hackernwie Nohl als gut ausgestattete Nicht-Insider ist es nach Aussage desChefs der britischen SicherheitsfirmaCellcrypt, Simon Bransfield-Garth,möglich, auch Handytelefonate innerhalbvon einigen Stunden zuknacken: „Wir erwarten, dass esbald nur noch Minuten dauert, wennes so weitergeht.“ Der KarlsruherComputer-Sicherheitsexperte ChristophFischer bestätigte die entstandeneSicherheitslücke. Die In dustrievereinigung der GSM-Mobilfunkanbieter (GSMA) meinte dagegen,erfolgreiche Angriffe seiene „praktischunwahrscheinlich“ (Schrader SZ30.12.2009, 16; KN 31.12.2009, 12).Mikrochip signalisiert dieEinnahme von TablettenDer Pharmakonzern Novartis hatan einem Blut druck senker eine Chiptechnologievon Proteus Biomedicalgetestet, die signalisiert, wenn einePille nicht im Körper ankommt. 20ProbandInnen schluckten das MittelValsartan, das so präpariert war, dassbei der säureabhängigen Zersetzung derPille im Magen ein elektrisches Signalerzeugt wurde. Dadurch bekommt einChip, der als Pflaster auf der Schulterder PatientIn klebt, die Information„Pille eingenommen“. Unterbleibt dasSignal, sendet der Chip eine Erinnerungper SMS. Adressat kann die PatientInselbst sein, einE Verwandte oder derArzt. Nicht nur per SMS kann fehlendeCompliance, also die nicht eingehalteneMedikamenteneinnahme, gemeldetwerden, sondern auch per WLAN.Dann erscheint die Information auf demComputer der medizinisch Zuständigen.Der sandkorngroße Pillenchip enthälteine Minibatterie, die aus Nahrungsbestandteilenhergestellt undgut verdaulich sei, versichert ProteusBiomedical. Kommt sie mit Wasser inKontakt, entsteht das elektrische Signal,das durch das Gewebe weitergeleitetwird. Das kostet nur einen Cent proPille. Unklar ist der Preis für das chipbestücktePflaster, das auch Herzrate oderAtemfrequenz ermitteln kann.Das kalifornische UnternehmenProteus Biomedical entwickelt auchimplantierbare Chips. Es wirbt damit,seine Technologie ermögliche es, das„patientenspezifische Medikamenten-Einnahmeverhalten und physiologischeAntworten zu kommunizieren“. DieseKontrolle kann z.B. für Demenzkranke,die ihre Tabletten leicht vergessen, nützlichsein. Viele Medikamente werdennicht geschluckt, sondern landen imMüll. Jeder zweite Schizophreniekrankenimmt ein Jahr nach seiner Entlassungaus der Klinik seine Arznei nicht mehrein. Unter BluthochdruckpatientInnenschluckt nur jede Zweite ihrMedikament. Nick Peters, Kardiologevom Imperial College London, meintdie neue Technologie mache diePatientInnen und deren Familien stärker.Mit der Chiptechnologie könntenKosten gespart werden. Jochen Schulervon der Universitätsklinik Salzburg erläutert:„Der Fokus liegt auf der Nicht-Einnahme und Ziel ist es, diese zu verhindern.“Das sei problematisch, wennder Patient seine Medikation verweigert,weil er diese nicht verträgt. „Bevor manDruck ausübt, muss man der Sache aufden Grund gehen.“ Chronisch Krankeund PatientInnen mit psychischenProblemen brauchen statt Technik dieNähe zu ihren Behandelnden, meintSchuler: „Durch Gespräche lässt sichwahrscheinlich besser verhindern,dass arzneimittelbedingte Problemeentstehen.“ Eine Überwachung perTelekommunikation könne womöglichdas Gegenteil bewirken.Novartis bemüht sich nicht zum erstenMal, die Mitarbeit der Kranken technischzu verbessern. Der Konzern bezahlteeine Studie mit 20.000 PatientInnen, beidenen ein Jahr lang elektronisch erfasstwurde, ob und wann sie das Präparataus einer Pillenbox entnahmen. DasFazit war: Wie pünktlich PatientInnenihr Präparat anfangs schlucken, hat wenigdamit zu tun, ob sie es nach einemhalben oder einem Jahr noch tun. Unklarsind die Folgen, wenn Therapietreuemit elektronischen Mitteln kontrolliertwird, die rasche Datenweitergabe undDatenspionage begünstigen. PrometeusBiomedical entwarnt insofern undmeint, die Signale der Chips könntennicht von außen abgefangen werden.Der Pflasterchip auf der Haut sprechenicht auf Pillensignale einer anderenPerson an, selbst „wenn beide in physischemKontakt sind“ (Brüser SZ30.10.2009, 16).Hirnscanner sollen erkennen,ob Versprechengehalten werdenEine Forschungsgruppe um denVerhaltensökonomen Ernst Fehr vonder Universität Zürich meint, mit Hilfevon einer tomografischen Untersuchungvon Hirnaktivitäten feststellen zu können,wenn ein Mensch ein Versprechenbei Finanztransaktionen bricht. Fehruntersuchte gemeinsam mit demZürcher Neurowissenschaftler ThomasBaumgartner und dem ÖkonomenDANA • Datenschutz Nachrichten 1/201041

naChriChtenUrs Fischbacher von der UniversitätKonstanz 26 männliche Studenten,die sich an einem spieltheoretischenExperiment beteiligten. In diesem übernahmjeweils ein Spieler A die Rolle einesAnlegers, der einem zweiten SpielerB als Treuhänder Geld zum Investierenüberließ. B versprach, etwaige Gewinnehälftig aufzuteilen. Nachdem derVersuchsleiter die investierte Summeverfünffacht hatte, musste B entscheiden,ob er sein Versprechen hält und Aseinen Teil der Gewinnsumme gibt, oderob er betrügt und alles Geld behält, wasgemäß den Spielregeln straffrei blieb.Während des gesamten Experiments beobachtetendie Forscher das Gehirn desTreuhänders mit einem funktionellenMagnetresonanztomografen (fMRT),der bildlich darstellt, wo das Denkorgangerade besonders durchblutet, also aktivist.Die Messungen ergaben, dass dieWortbrecher eine erhöhte Aktivität inGehirnregionen aufwiesen, die einewichtige Rolle bei Emotions- undKontrollprozessen spielen. Die Forschervermuten, dass die Signale Zeugnisse einesinneren Konfliktes sind. Das Gehirnmuss sich anstrengen, wenn es spontanehrliches Verhalten unterdrückt.Noch gewagter ist die Behauptung derForschenden, sie könnten sogar einenWortbruch vorhersagen. Auch wenn alleVersuchsteilnehmer vor Spielbeginnhoch und heilig versicherten, dass sieihr Versprechen halten würden und ihräußerliches Verhalten neutral wirkte,sei es im Experiment gelungen, einenbeabsichtigten Wortbruch anhandder Gehirnaktivitäten noch vor dem eigentlichenBetrug zu entdecken. Fehr:„Ein solcher Befund lässt folglich dieSpekulation zu, dass Gehirnmessungenin ferner Zukunft nicht nur verwendetwerden können, um Übeltäter zuüberführen, sondern vielmehr sogarmithelfen können, betrügerische undkriminelle Machenschaften zu verhindern.“Ausdrücklich zitiert FehrSteven Spielbergs Science-Fiction-FilmMinority Report, wo die „Precrime“-Polizeiabteilung Morde verhindernsoll, bevor sie geschehen. Studien zurHerstellung neuronaler Korrelationen zuLüge oder gar des Bösen im Gehirn sinddie Grundlage von Angeboten durch US-Firmen wie Cephos und „No Lie MRI“für Anwälte oder Arbeitgeber. Sie behaupten,Lügen besser erkennen zu könnenals klassische Detektoren, die mitbiologischen Signalen wie Blutdruck,Puls, Atmung und Hautleitungsfähigkeitarbeiten und äußerst umstritten sind.Aufsehen erregte im Jahr 2008 derNeuropsychologe Jack Gallant von derUniversity of California in Berkeley. Ererreichte mit fMRT eine Trefferquotevon 92%, als er voraussagte, welcheBilder Versuchspersonen gerade ansehen.Die ProbandInnen hatten eineAuswahl aus einem Testkatalog von 120Bildern, den der Forscher kannte, derzuvor gemessen hatte, wie die Testhirneauf spezifische Testmuster reagieren(Weber SZ 11.12.2009, 16).Microsoft verkürzt beiBing Suchmaschinen-IP-Adressen speicherungDer bei Microsoft für Datenschutz zuständige„Chief Privacy Strategist“ PeterCullen gab in einem Weblog-Beitragbekannt, dass der US-Softwarekonzernkünftig IP-Adressen der NutzerInnen,die zusammen mit ihren Anfragen an dieSuchmaschine Bing gespeichert werden,nach sechs Monaten löschen wird.Bisher betrug diese Frist 18 Monate. DieRegelung werde weltweit gelten. Dieneue Speicherfrist will der Konzern innerhalbder nächsten 12 bis 18 Monateeinführen. Laut Cullen werden Anfragenan die Suchmaschine derzeit schon soforteiner „De-Identifikation“ unterzogen,d.h. mögliche Account-Daten derNutzerInnen werden sofort abgetrennt.Nach anderthalb Jahren löscht Microsoftdie IP-Adresse. Dieser zweite Schrittsoll demnächst früher erfolgen, dieSpeicherfrist für weitere, so genannteCross Session IDs, und die Lebensdauervon Browser-Cookies soll weiterhin18 Monate betragen. Die Kürzung derFrist zur Speicherung von IP-Adressenfolge der Überprüfung der geschäftlichenNotwendigkeiten, Beobachtungender Konkurrenz und Gesprächen mitDatenschützern, Verbraucherverbändenund Regulierern, unter ihnen dieArtikel-29-Arbeitsgruppe der EU-Datenschützer. Diese hatte sich auchan den Microsoft-Konkurrenten Googlegewandt und 2008 eine Kürzung derSuchanfragendatenspeicherung von 18auf 9 Monate erreicht. Die Lebensdauerder Cookies beträgt bei Google zweiJahre. Zu weiteren Konzessionen hattesich der Internetdienstleister bishernicht bereit gezeigt. Cullen argumentiertähnlich wie Google, es gebe viele guteGründe, Suchanfragendaten länger zuspeichern. Die Beobachtung von Trendsbei Suchanfragen helfe, die Qualität derErgebnisse zu verbessern, die Kundenvor Betrug zu schützen und den Dienstabzusichern. Auf der anderen Seite müsstenaber auch die Verbraucherinteressenberücksichtigt werden (www.heise.de19.01.2010; www.zeit.de 19.01.2010).Jetzt DVD-Mitglied werden:www.datenschutzverein.de42DANA • Datenschutz Nachrichten 1/2010

eChtSPreChungRechtsprechungBGHAnspruch aufNamens löschung beiInternetmedien relativiertDer Bundesgerichtshof (BGH) mitUrteil vom 15.12.2009 entschieden,dass Medien ihre Online-Archive zumSchutz von Persönlichkeitsrechtennicht ständig überprüfen müssen (Az.VI ZR 227/08 u. 228/08). Der BGH genehmigtedie dauerhafte vollständigeNamensnennung der inzwischen entlassenenMörder des VolksschauspielersWalter Sedlmayr. Bei der Tat hattees sich um einen der spektakulärstendeutschen Kriminalfälle gehandelt.Das rechtfertige die Bereithaltungder Namen auf Abruf auch noch nachvielen Jahren. Die Betroffenen hattengegen das Deutschlandradio mitseinem Internetauftritts www.dradio.degeklagt, wo Mitschriften nichtmehr aktueller Rundfunkbeiträge veröffentlichtsind und machten einenUnterlassungsanspruch geltend. Andersals die Vorinstanzen lehnte der BGH dasBestehen dieses Anspruchs ab.Die Kläger waren im Jahr 1993 wegenMordes zu einer lebenslangenFreiheitsstrafe verurteilt worden. ImSommer 2007 bzw. Januar 2008 wurdensie auf Bewährung entlassen. Sie verlangenvon der Beklagten, es zu unterlassen,über sie im Zusammenhang mit der Tat untervoller Namensnennung zu berichten.Die Beklagte hielt auf ihrer Internetseitein der Rubrik „Kalenderblatt“ jedenfallsbis ins Jahr 2007 die Mitschrifteines auf den 14.07.2000 datiertenBeitrags mit dem Titel „Vor 10 JahrenWalter Sedlmayr ermordet“ zum freienAbruf durch die Öffentlichkeit bereit.Die beiden Kläger beteuern bisheute ihre Unschuld, waren aber 2009vor dem Bundesverfassungsgerichtmit der Forderung gescheitert, denProzess wiederaufzurollen. Auf dieRevision der Beklagten hat der u.a. für den Schutz des AllgemeinenPersönlichkeitsrechts zuständige VI.Zivilsenat des Bundesgerichtshofs dieUrteile der Vorinstanzen aufgehobenund die Klagen abgewiesen.Im Bereithalten der die Kläger identifizierendenMeldung zum Abrufim Internet liegt ein Eingriff in derenallgemeines Persönlichkeitsrecht.Dieser ist aber nicht rechtswidrig, daim Streitfall das Schutzinteresse derKläger hinter dem von der Beklagtenverfolgten Informationsinteresse derÖffentlichkeit und ihrem Recht auffreie Meinungsäußerung zurückzutretenhat. Die beanstandete Meldung beeinträchtigtdas Persönlichkeitsrechtder Kläger einschließlich ihresResozialisierungsinteresses unter denbesonderen Umständen des Streitfallsnicht in erheblicher Weise. Sie ist insbesonderenicht geeignet, die Kläger„ewig an den Pranger“ zu stellenoder in einer Weise „an das Licht derÖffentlichkeit zu zerren“, die sie alsStraftäter (wieder) neu stigmatisierenkönnte. Sie enthält sachlich abgefasste,wahrheitsgemäße Aussagenüber ein Kapitalverbrechen, das erheblichesöffentliches Aufsehen erregthatte. Angesichts der Schweredes Verbrechens, der Bekanntheit desOpfers, des erheblichen Aufsehens,das die Tat in der Öffentlichkeit erregthatte und des Umstands, dass sichdie Verurteilten bis weit über das Jahr2000 hinaus um die Aufhebung ihrerVerurteilung bemüht hatten, wardie Mitteilung zum Zeitpunkt ihrerEinstellung in den Internetauftritt derBeklagten zulässig. Daran ändert diezwischenzeitlich erfolgte Entlassungder Kläger aus der Haft nichts. DerMeldung kam nur eine geringe Breitenwirkungzu. Sie war nur auf den fürAltmeldungen vorgesehenen Seiten desInternetauftritts der Beklagten zugänglich,ausdrücklich als Altmeldung gekennzeichnetund nur durch gezielteSuche auffindbar. Zu berücksichtigenwar darüber hinaus, dass ein anerkennenswertesInteresse der Öffentlichkeitnicht nur an der Information über dasaktuelle Zeitgeschehen, sondern auchan der Möglichkeit besteht, vergangenezeitgeschichtliche Ereignisse zu recherchieren.Ein Veröffentlichungsverbot hätteeinen ab schreckenden Effekt auf denGebrauch der Meinungs- und Medienfreiheit,der den freien InformationsundKommunikationsprozess einschnürenwürde. Würde auch das weitereBereithalten ausdrücklich als solcher gekennzeichneterund im Zeitpunkt derEinstellung zulässiger Altmeldungen aufdafür vorgesehenen Seiten zum Abrufim Internet nach Ablauf einer gewissenZeit oder nach Veränderung der zugrundeliegenden Umstände ohne weiteresunzulässig und wäre die Beklagteverpflichtet, von sich aus sämtliche archiviertenHörfunkbeiträge immer wiederauf ihre Rechtmäßigkeit zu kontrollieren,würde die Meinungs- undMedienfreiheit in unzulässiger Weiseeingeschränkt. Angesichts des mit einerderartigen Kontrolle verbundenen personellenund zeitlichen Aufwands bestündedie Gefahr, dass die Beklagte entwederganz von einer der Öffentlichkeitzugänglichen Archivierung absehen oderbereits bei der erstmaligen Sendung dieUmstände ausklammern würde, die wievorliegend der Name des Straftäters dieMitschrift der Sendung später rechtswidrigwerden lassen könnten, an derenMitteilung die Öffentlichkeitaber im Zeitpunkt der erstmaligenBerichterstattung ein schützenswertesInteresse hat (SZ 16.12.2009, 15; www.bundesgerichtshof.de, PresseerklärungNr. 255/09).OLG DüsseldorfSorgfaltspflichten beimKauf von AdressdatenGemäß einem Urteil des Oberlandesgerichts(OLG) Düsseldorfvom 24.11.2009 darf der Käufer vonAdressdaten sich nicht pauschal aufZusicherungen des Adressverkäufersverlassen, sondern ist verpflichtet, eigenePrüfungshandlungen vorzunehmen.Andernfalls haftet er (Az.: I-20 U 137/09).Der Beklagte war wegen E-Mail-Spamauf Unterlassung in Anspruch genom-DANA • Datenschutz Nachrichten 1/201043

eChtSPreChungnen Anspruch auf Einsicht inihre Personalakte beim früherenArbeitgeber haben (Az. 11 Sa 460/08).Sie haben danach auch keinen Anspruchmehr darauf, eine zu Unrecht erteilteAbmahnung aus der Personalakte entfernenzu lassen. Im konkreten Fall hatteein ehemaliger Büroleiter nach Endeseines Arbeitsverhältnisses Einsicht inseine Personalakte verlangt, weil derArbeitgeber ihm zuvor Illoyalität vorgeworfenhatte. Er müsse wissen, welcheSachverhalte damit gemeint seien,um gegebenenfalls rechtliche Schritteeinleiten zu können. Das LAG bestätigte,dass ArbeitnehmerInnen im bestehendenArbeitsverhältnis grundsätzlicheinen Einsichtsanspruch haben. Nachdem Ausscheiden aus dem Job entfalledieser Anspruch aber nach Abwägungder beiderseitigen Interessen in derRegel. Etwas anderes gelte, wenn objektiveAnhaltspunkte vorliegen, dassdie Abmahnung der ArbeitnehmerIn fürdie Zukunft noch schaden kann, z.B.falls diese im Arbeitszeugnis vorkommtoder der Chef Dritten davon erzählt (KN07.11.2009 Stellen I).transparenz.arbeit.kontrolleVom 5.-7.11.2010 werden FIfF (Forum InformatikerInnen für Frieden und gesellschaftlicheVerantwortung) und DVD (Deutsche Vereinigung für Datenschutz) eine gemeinsameJahrestagung mit dem Titel „transparenz.arbeit.kontrolle“ im Bürgerzentrum Alte Feuerwachein Köln veranstalten.Die Datenschutzdiskussionen der letzten zwei Jahre haben gezeigt, dass es nicht nur denDatenhunger staatlicher Stellen zu begrenzen gilt. Auch die Begehrlichkeiten der Privatwirtschafthaben ein teilweise erschreckendes Ausmaß angenommen. In wirtschaftlich schwierigen Zeitenscheinen sich viele Unternehmen der Loyalität ihrer Beschäftigten durch besonders intensiveKontrolle versichern zu wollen. Dabei werden zunehmend Schamgrenzen überschritten– oft ohne jegliches Unrechtsbewusstsein. Automatisierte Kontrolle der Arbeitsleistung findetnicht nur durch eigens zu diesem Zweck gesammelte Daten statt. Bei Bedarf werden auch„Nebenprodukte“ wie Systemprotokolle und private E-Mails zweckentfremdet zur LeistungsundVerhaltenskontrolle genutzt. Datenschutz wird in solcher Atmosphäre oft nur noch als lästigeBehinderung empfunden. Wer es als normal ansieht, Krankenakten über seine Beschäftigten anzulegen,Umkleideräume mit Videokameras zu überwachen oder systematisch und in großem StilE-Mails zu durchsuchen, hat ganz offensichtlich ein Problem mit seinem Grundrechtsverständnis.Dass derartige Ignoranz leider nicht nur seltene Einzelfälle betrifft, zeigen die Nominierungen fürdie BigBrotherAwards, die seit einigen Jahren immer dreistere Formen der Ausforschung durchArbeitgeber offenbaren.Wir wollen im Rahmen der Jahrestagung den Fragen nachgehen, welche AuswirkungenÜberwachung auf Beschäftigte hat und wie sie das Arbeiten beeinflusst, welche technischenUnanständigkeiten heute zur Beschäftigtenüberwachung auf dem Markt angeboten werden, welcheZulässigkeitsgrenzen bei der Überwachung von Beschäftigten eingehalten werden müssenund wie man sich als Einzelner oder als Betriebs- oder Personalrat vor dem Einsatz unzulässigerSpionageprogramme schützen kann. Außerdem soll die aktuelle politische Lage in Bezug auf einArbeitnehmerdatenschutzgesetz erörtert werden.Die Tagung beginnt am Freitag nachmittags mit zwei Hauptvorträgen und wird am Samstagnach einem weiteren Hauptvortrag mit vier parallelen Workshop-Sessions fortgesetzt. EinePlenumsveranstaltung beendet die Tagung am Samstagnachmittag. Sonntags werden dieMitgliederversammlungen von FifF und DVD stattfinden.DANA • Datenschutz Nachrichten 1/201045

BuChBeSPreChungenBuchbesprechungWolfgang Däubler, Thomas Klebe,Peter Wedde, Thilo WeichertBundesdatenschutzgesetzKompaktkommentar, 3. vollständigneu überarbeitete AuflageBund-Verlag, Frankfurt am Main, 2010ISBN 978-3-7663-3917-1EUR 69,90(ks) Der vormals in der Reihe„Basiskommentar“ des Bund-Verlagspublizierte Kommentar wurde fürdie vorliegende Auflage umfassendneu überarbeitet. Die Autoren habennicht nur die im Jahre 2009 geändertenBestimmungen des BDSGberücksichtigt, sondern darüberhin aus eine Vielzahl zusätzlicherAnwendungsfälle in den Text aufgenommen.Dabei wurde ein besondererSchwerpunkt auf Aspekte desArbeitnehmerdatenschutzes gelegt.Wer bereits die ebenfalls jüngst erschieneneNeuauflage von „GläserneBelegschaften“ von Wolfgang Däublergelesen hat, findet umfangreicheTextteile in den durch Däubler kommentiertenPassagen der vorliegendenWerkes wieder. Inhaltlich sicherlichnicht falsch, wirkt es dennoch etwasbefremdlich, dass der Kommentar demKommentator keinen vollständig eigenenText wert war.Die Neukommentierung der BDSG-Änderungen betrifft vor allem folgendeFragen:• Umgang mit Daten zu Werbezwecken,Adresshandel, Markt- und Meinungsforschung• Implikationen für den Arbeitnehmerdatenschutzdurch § 32• Scoring und Datenverarbeitung durchAuskunfteien• Verbesserte Stellung des betrieblichenDatenschutzbeauftragten• Klarstellung der Rahmenbedingungenfür AuftragsdatenverarbeitungDie Auslegung der Bestimmungenfällt in der Regel gewohnt datenschutzfreundlichund mit dem Hauptaugenmerkauf die Persönlichkeitsrechte der Betroffenenaus.Da leider wesentliche Frage stellungendes Datenschutzes noch immernicht höchstrichterlich geklärtsind, nimmt der Laie oft etwas hilflosdie gegen sätzlichen Auffassungen unterschiedlicherKommentatoren zurKennt nis. Zu diesen Frage stellungengehört beispielsweise die Fragenach der Personenbeziehbarkeit einerIP-Adresse, die im vorliegendenKommentar, wie inzwischen von vielenDatenschutzinstanzen, bejaht wird.Einzelne Auslegungen erscheinendennoch schwer nachvollziehbar.So verwundert, dass und mit welcherBegründung die Arbeitnehmervertretungvon der Verpflichtung auf dasDatengeheimnis nach § 5 BDSG ausgenommensein soll: Weil BetriebsoderPersonalrat ihre Aufgaben unabhängigund in eigener Kompetenzerfüllten und dem Arbeitgeber keineÜberwachungs- und Kontrollrechte zustünden,solle eine Verpflichtung unterbleiben.Da erscheint die von Simitisin seinem Kommentar geäußerte (undvon einigen Aufsichtsbehörden vertretene)Auffassung schlüssiger: dassnämlich die Verpflichtung auf dasDatengeheimnis die Unabhängigkeitvon Arbeitnehmervertretungen nichttangiert und eine Verpflichtung daher –und weil die Verschwiegenheitspflichtaus Betriebsverfassungsgesetz bzw.Personalvertretungsgesetz die Regelungaus § 5 BDSG nicht ersetzen kann – unbedingtstattfinden muss.Auch wenn eine dem Simitis vergleichbare,detaillierte und Einzelfälleerörternde Darstellung nicht erzielt wird,führt der vorliegende Kommentar dochumfangreich relevante Praxisbeispieleauf. Dies und die derzeit konkurrenzloseAktualität in Bezug auf die gesetzlichenNeuerungen machen das Werk zueinem wertvollen Nachschlagewerk.Als Orientierung für guten Datenschutzstellt dieser Kommentar daher eine absolutunerlässliche Arbeitsgrundlagefür Beschäftigtenvertretungen undDatenschutzbeauftragte dar.Insbesondere im betrieblichenBereich ist aber zu empfehlen, konservativeKommentierungen zumindestzur Kenntnis zu nehmen, umsich auf die Argumentationslinie derUnternehmensleitung einstellen zu können.Bundesdatenschutzgesetz (BDSG) –TextsammlungSV Saxonia Verlag für Recht,Wirtschaft und Kultur GmbH,Dresden, 138 Seiten, Broschüre,A5 Format, ISBN 978-3940904-55-3, Preis 14,90 EURO(hhs) Auch im Bereich des Datenschutzrechts kommt es zu gesetz geberischenÄn de rungen. Zwar erfolgendiese im statistischen Mittel nur rundalle zwei einhalb Legislaturperioden.Noch kurz vor Ablauf der 16. Legislaturperiodehat die damalige Koalition46DANA • Datenschutz Nachrichten 1/2010

BuChBeSPreChungenvon CDU/CSU und SPD drei wesentlicheÄnderungspakete zur Änderung desBundesdatenschutzgesetzes in Gesetzegegossen und auf den Weg gebracht.Zum einen wurde ein Gesetzzur Änderung des Bundes datenschutzgesetzes erlassen, durch welcheshauptsächlich der Umgangmit personenbezogenen Daten beiAuskunfteien und damit zusammenhängendeAufkunftsverpflichtungengeregelt werden. In einem weiterenPaket wurden noch im Rahmender Umsetzung von EU-Recht durchArt. 5 des Gesetzes zur Umsetzungder Verbraucherkreditrichtlinie sowiezur Neuordnung der Vorschriften überdas Widerrufs- und Rückgaberechtin § 29 BDSG (GeschäftsmäßigeDatenerhebung und –speicherung zumZweck der Übermittlung) zwei neueAbsätze aufgenommen.Das letzte Gesetz brachte eine erheblicheAnzahl von Änderungenim BDSG und umfasst einen großenRegelungsbereich, der erst im laufendenGesetzgebungsverfahren für ein ursprünglichgedachtes Auditgesetz hinzugekommenist und eine Reaktion desGesetzgebers auf den öffentlich bekanntgeworden Umgang mit Daten vonBeschäftigten darstellt. Hier war bis zurletzten Sitzung des Innenausschussesdes Bundestages nicht klar, ob überhauptund wenn ja, was denn überhauptkommt.Die nun in aller Eile vor der Bun des -tagswahl in Kraft gesetzten Regelungenzum Umgang mit den Daten der Arbeitnehmersind jedoch allerdings so gering,dass auch die nunmehrige Koalitionaus CDU/CSU und FDP Regelungenzum Arbeitnehmerdatenschutz plant.Hierbei ist jedoch fraglich, ob dies in einemeigenen Gesetz oder innerhalb desBundesdatenschutzgesetzes geschehensoll.Nachdem uns der Gesetzgeber so einFüllhorn von Änderungen im Bundesdatenschutzgesetzbeschert hat, liegt esnahe, diese für all jene, die diese datenschutzrechtlichenRegelungen angehen,eine konsolidierte Gesetzesfassungzu erstellen. Allerdings ist dasBundesdatenschutzgesetz in der wirtschaftlichenBetätigung nicht das einigzigeGesetz mit datenschutzrechtlichemBezug. Neben vielen weiterenNormen sind das Telemediengesetz unddas Telekommunikationsgesetz fast täglichpräsent.Wohl unter diesem Gesichtspunkthat der SV SAXONIA VERLAG eineTextsammlung herausgebracht, diedas Bundes datenschutzgesetz, dasTelemediengesetz und in Auszügenauch die Vorschriften des Tele kommunikationsgesetzesumfasst. Damitist der Nutzer der Sammlung auf demaktuellen Stand – auch bezüglich derNormen, die erst später in Kraft treten.Da die Änderungen des Bundesdatenschutzgesetzesin sich vielleicht nichtimmer auf den ersten - manchmal auchnicht auf den zweiten Blick - nachvollziehbarsind, wurden die sich aus denDrucksachen des Bundestages ergebendenBegründungen der Entwürfe mit abgedruckt.Damit erhält der Nutzer eineerste Möglichkeit der Auslegung, wasder Gesetzgeber gemeint haben könnte.Ein zu begrüßender positiver Ansatz,der durchaus nützlich und sinnvoll ist.Ob der Auszug des TKG ganz gelungenzusammengestellt wurde, dürfte jedochzu bezweifeln sein, denn gerade diewichtigen Begriffsdefinitionen, wie sieinsbesondere in § 3 TKG enthalten, sindfehlen. Sie sind aber für das Verständnis,was z.B. ein Diensteanbieter ist, zwingenderforderlich. Insoweit wäre eshier wünschenswerter gewesen, wennman sich zu dem Abdruck von nochmehr Normen hätte entscheiden können.Alternativ möglich, aber nochschlechter wäre es gewesen, wenn manauf den Abdruck des Auszuges ausdem Telekommunikationsgesetz gänzlichverzichtet hätte.Alles in allem bietet die vorliegendeText- und Materialiensammlung dem unbefangenenNutzer einen guten Einstiegin die Materie des Datenschutzrechts,was für den ein oder anderen Anwenderoder Einsteiger durchaus ausreichendsein mag. Zur vertieften Beschäftigungmit dem Datenschutzrecht bedarfes jedoch mehr als die vorliegendeSammlung. Wenn es jedoch nur um denGesetzestext geht gibt es darüber hinausauch noch andere unwesentlich teurereWerke, die eine größere Normenfüllebieten oder die Möglichkeit, sich denGesetzestext über die Webseite „gesetze-im-internet“zu beschaffen.Hans-Wolfgang Arndt, Thomas Fetzer,Joachim Scherer (Herausgeber):TKG: Telekommunikationsgesetz.KommentarErich Schmidt Verlag, 2008,2.071 Seiten, ISBN 978-3-503-09786-9, 198,00 Euro(wh) 2004 wurde das Telekommunikationsgesetz(TKG) aufgrundeuroparechtlicher Vorgabenumfassend neu gestaltet. In den vergangenenJahren folgten weitereGesetzesänderungen – wie z.B. die zurUmsetzung der Richtlinie 2006/24/EG.Das vorliegende Werk ist umfassendund gut strukturiert und erleichtert dieAuslegung dieser neuen Regelungen imTelekommunikationsrecht durch die praxisorientierte,fundierte Kommentierungdes TKG. Dabei sind die Vorschriftenzur Vorratsdatenspeicherung desGesetzes zur Neuregelung der Telekommunikationsüberwachung und andererverdeckter Ermittlungsverfahrenbereits eingearbeitet. Bei den einzelnenParagraphen sind – soweit gegeben– die europarechtlichen Grundlagen angegeben.Vor der eigentlichen Kommentierungwerden der Zweck und dieBedeutung der jeweiligen Norm dargestellt.In der praxisorientierten, fundiertenKommentierung werden nebenden rechtlichen Aspekten auch ökonomischeund technische Aspekte beleuchtet.Erfreulich ist auch, dass der„Teil 7 Fernmeldegeheimnis, Datenschutzund öffentliche Sicherheit“ desTKG im Kommentar nicht zu kurzkommt und fast ein Fünftel des kommentierendenTextes einnimmt. DieKommentierung dieses Teils – der fürDatenschützerinnen und Datenschützerbesonders wichtig ist – ist ebenfalls pra-DANA • Datenschutz Nachrichten 1/201047

vorratSdatenSPeiCherungPressemitteilung des Arbeitskreises Vorratsdatenspeicherung vom 05.03.2010Vorratsdatenspeicherung:Nützlichkeit ist nicht gleich Sicherheit!Arbeitskreis liefert Fakten zur SicherheitsdebatteIn Anbetracht der von konservativenInnenpolitikern undPolizeifunktionären geschürten Ängste,ohne Vorratsdatenspeicherung sei dieSicherheit in Deutschland gefährdet,veröffentlicht der ArbeitskreisVorratsdatenspeicherung eine Reihevon Zahlen und Fakten, aus denensich das Gegenteil ergibt: „Wie unsereNachbarländer Österreich und Belgienzeigen, ist die Sicherheit auch ohneVorratsdatenspeicherung gewährleistet- oder wollen die Befürworter behaupten,Österreich sei ein Hort desTerrorismus?“, fragt Werner Hülsmannvon der Deutschen Vereinigung fürDatenschutz. „Die Angstmache undDrohung mit einer ‚Sicherheitslücke‘oder einem ‚Rückzugsgebiet fürKriminelle‘ ist hahnebüchen. LautKriminalstatistik konnte in Deutschlandauch ohne Vorratsdatenspeicherungfast 80% der Internetkriminalität aufgeklärtwerden. Dass sich dieseAufklärungsquote nach Einführung derVorratsdatenspeicherung erhöht hätte,ist nicht ersichtlich. Umgekehrt gefährdetdie Vorratsdatenspeicherungunsere Sicherheit, weil sie diePolizei mit Ermittlungen wegenInternetbetrügereien und Tauschbörsennutzungverstopft und dadurchRessourcen von der gezielten Aufklärungschwerer Straftaten abzieht.“„Wem es wirklich darum geht, dieSicherheit zu stärken, der würde gezielteProjekte zur Kriminalprävention anSchulen, in Stadtteilen, in Gefängnissenfördern, wo Menschen kriminell werdenkönnen“, erklärt Patrick Breyer vomArbeitskreis. „Unsere Innenpolitiker tundas Gegenteil: Sie investieren Millionenvon Euro in die Vorratsspeicherungder Daten Unschuldiger, in Überwachungstechnik,in biometrischePässe, in Videoüberwachung - und kürzengleichzeitig seit Jahren die Mittel fürgezielte Präventionsarbeit, und es gibtimmer weniger Polizisten - das ist dochkeine Sicherheitspolitik!“Unterdessen kündigte die EU-Innenkommissarin an: „Ich will dieDirektive bis Ende des Jahres evaluierenlassen. Da werden wir uns nicht nur ansehen,ob sie angemessen und effektiv istund wie hoch die Kosten sind. Sondernauch, ob sie mit der Grundrechtechartades Lissabon-Vertrags vereinbarist.“ 1 Der Arbeitskreis Vorrats datenspeicherungwird auf EU-Ebene für dieAbschaffung der exzessiven Pflicht zurTotaldatenspeicherung eintreten.Florian Altherr vom ArbeitskreisVorratsdatenspeicherung fordert daherauch die Bundesregierung zumWiderstand auf europäischer Ebene auf:„Die Bundesregierung muss sich jetztdafür einsetzen, dass die EU-Richtliniezur Vorratsdatenspeicherung endlichzurückgenommen wird. Es gibt keineneuropäischen Konsens mehr für einepauschale, anlasslose Überwachungaller 500 Millionen EU-Bürger. DieVerfassungsgerichte mehrerer Länderhaben nun deutliche Signale an diePolitik gesendet, dass die Grenzen derFreiheitseinschränkungen überschrittensind. Die Bundesregierung muss sich innerhalbder EU nun für eine neue, freiheitsfreundlicheSicherheitspolitik starkmachen. Von einer erneuten Einführungeiner Vorratsdatenspeicherung mussnach dem Paukenschlag von Karlsruhedringend abgesehen werden.“Zahlen und Faktenzur gekipptenVorratsdatenspeicherung:1. Nützlichkeit ist nicht gleichSicherheit. Mehr Daten mögen inEinzelfällen nützlich sein. Im Ergebnis istin Staaten mit Vorratsdatenspeicherungjedoch keine geringere Kriminalitätsratezu verzeichnen als in Staaten ohneVorratsdatenspeicherung. Insgesamt gesehengibt es mit Vorratsdatenspeicherungnicht weniger Kindesmissbrauch,Vergewaltigungen, Körperverletzungenoder sonstige Straftaten als ohneVorratsdatenspeicherung.2. Aufklärung ist nicht gleichSchutz. Es ist nicht nachweisbar,dass eine erleichterte Aufklärung vonStraftaten irgend einen Einfluss auf dieKriminalitätsrate hat.3. Arbeitserleichterung ist nichtgleich Erforderlichkeit. Weltweitwerden Straftaten auch ohneVorratsdatenspeicherung erfolgreichaufgeklärt, gerade im Internet. Außer inDeutschland werden auch in Belgien,Griechenland, Österreich, Schwedenund Rumänien Straftaten erfolgreichohne Vorratsdatenspeicherung verfolgt,ebenso etwa in Kanada undden USA. In Deutschland wurden2007 ohne Vorratsdatenspeicherung84,4% aller in Deutschland registriertenInternetdelikte einschließlich derVerbreitung von Kinderpornografie erfolgreichaufgeklärt ? von den sonstigenStraftaten nur 55%. 2 Die Einführung derVorratsdatenspeicherung am 01.01.2008hat die Aufklärungsrate nicht erhöht(2007: 55,0%, 2008: 54,8%). 34. Einzelfallbetrachtung ist nichtgleich Verhältnismäßigkeit. Aus einerStudie des Max-Planck-Instituts ergibtsich, dass die Vorratsdatenspeicherungim besten Fall bei 0,01% aller Straftatenvon Nutzen sein kann 4 – zu 99,99% wirdsinnlos aufgezeichnet.5. Massenverfolgung ist nichtgleich Effizienz. Mithilfe von Telekommunikationsdatenwerden haupt-DANA • Datenschutz Nachrichten 1/201049

vorratSdatenSPeiCherungsächlich Betrügereien und Tauschbörsennutzer ermittelt. 5 Diese massen -haf te Ver fol gung von Klein krimi nalitätkostet die Polizei Ressour cen, die beider Er mittlung schwerer Straf täter undder Hinter männer fehlen. In den letztenJahren sind bei der Polizei 17.000Stellen gestrichen worden. 66. Betriebsblindheit ist nicht gleichKlugheit. In ihrer Jagd auf 0,01% derStraftäter verlieren die Befürworterder Vorratsdatenspeicherung aus denAugen, dass eine unprotokollierteKommunikation Leben, Gesundheit undFreiheit von weit mehr Unschuldigenschützt, etwa wo Beratungsstellen gewalttätigeFamilienväter oder Pädophileüberzeugen können, sich einerTherapie zu unterziehen. Im Jahr2007 konnte beispielsweise ein beider Telefonseelsorge tätiger Pfarrer einenJugendlichen überzeugen, einengeplanten Amoklauf zu unterlassen.Wäre der Anruf rückverfolgbar gewesen,hätte der Jugendliche wohl nieüber sein Vorhaben gesprochen. EinerForsa-Umfrage vom Juni 2008 zufolgehielt die Vorratsdatenspeicherung jedenzweiten Deutschen davon ab, sich telefonischberaten zu lassen, 7 was unsereSicherheit gefährdete.7. Telekommunikation ist nicht gleichStraftat. Telefon, Handy und Internetwerden zu 99,9% vollkommen legal eingesetzt.Gespräche müssen am Telefonebenso wenig registriert werden wiesonstige Gespräche. Briefe müssen imInternet ebenso wenig registriert werdenwie sonstige Briefe. Bewegungenmüssen mit einem Handy ebenso wenigregistriert werden wie sonstigeBewegungen.9. Überwachung ist nicht gleichSicherheit. Umgekehrt ermöglichenDatenhalden erst Missbrauch wie beider Deutschen Telekom AG und Betrugwie im Fall der Bankdaten. Nur nichtgespeicherte Daten sind sichere Daten.Die Vorratsdatenspeicherung stellt dieseErkenntnis auf den Kopf.10. EU-Recht ist nicht gleichNotwendigkeit. Die Nichtumsetzungder EU-Richtlinie zur Vorratsdatenspeicherungwird nur ein weiteresneben den zurzeit 68 anhängigenVertragsverletzungsverfahren gegenDeutschland 9 sein. Auch vier Jahrenach dem tragischen Beschluss derRichtlinie zur Vorratsdatenspeicherunghat keines der Länder, die sich derUmsetzung verweigern, auch nur einenEuro Strafe zahlen müssen. DerRumänische Verfassungsgerichtshofhat festgestellt, dass eine Vorratsdatenspeicherunggegen die EuropäischeMenschenrechtskonvention verstößt.Die Einhaltung der Menschenrechtskonventionmuss Vorrang vor derUmsetzung Brüsseler Richtlinien haben.11. Verfolgungswahn ist nicht gleichder Wille des Volkes: 70% der Bundesbürger lehnen die Vorrats datenspeicherungab 10 – eben so wie 50Berufs- und Wirt schaftsverbände. 1112. Freiheit ist nicht gleich Unsicherheit. Es ist kein Zufall, dass wirin Deutschland mit vergleichsweisewenig Überwachung und starkemGrundrechtsschutz sicherer leben alsKontrollstaaten wie Großbritannien.Sicherheit braucht in erster Linie Vertrauenund Achtung vor dem Recht –auch vor den Menschenrechten.Fußnoten:1 http://de.reuters.com/article/domestic-News/idDEBEE623002201003042 http://www.bka.de/pks/pks2007/download/pks-jb_2007_bka.pdf,S. 2433 http://www.bka.de/pks/pks2008/download/pks-jb_2008_bka.pdf,S. 704 http://www.vorratsdatenspeicherung.de/images/schriftsatz_2008-03-17.pdf , S. 25 http://wiki.vorratsdatenspeicherung.de/images/Verfassungsbeschwerde_Vorratsdatenspeicherung.pdf , S. 366 http://www.gdp.de/gdp/gdpcms.nsf/id/p70606?Open&ccm=500020000&L=DE&markedcolor=%230033997 http://www.vorratsdatenspeicherung.de/content/view/228/79/8 http://www.daten-speicherung.de/?p=579 http://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/211&format=HTML&aged=0&language=DE&guiLanguage=en10 http://www.vorratsdatenspeicherung.de/images/infas-umfrage.pdf11 http://erklaerung.vorratsdatenspeicherung.de8. Gefährdung ist nicht gleich Kriminalität. Was Straftaten anbelangt,ist Deutschland eines der sicherstenLänder der Welt. Tod, Krankheit oderBehinderung beruhen bei uns nur zu 0,2%auf Gewalt und Straftaten. 8 Dagegenkosten Tabak, Alkohol, Cholesterin,Übergewicht, Fehlernäherung, Bewegungsmangel, Suizid, Stürze und derStraßenverkehr ein Vielfaches anMenschenleben – obwohl sie sehr vielleichter zu reduzieren wären.Das Bundesverfassungsgericht in Karlsruhe.Dieses Bild basiert auf dem Bild „Karlsruhe_bundesverfassungsgericht.jpg“ aus der freien Enzyklopädie Wikipedia und steht unter derGNU-Lizenz für freie Dokumentation. Der Urheber des Bildes ist Tobias Helfrich.50DANA • Datenschutz Nachrichten 1/2010

BuChBeSPreChungenPresseerklärungVon alten Eichen und vitalen BorstenschweinenDie Deutsche Vereinigung für Datenschutz begrüßt die immerhin symbolischenBußgelder, die die Drogeriemarktkette Müller wegen unzulässiger Erhebung vonGesundheitsdaten ihrer Beschäftigten zahlen muss.Dass zur Schau gestellte Arroganz doch nicht immer ausreicht, Problemeaus der Welt zu schaffen, mag eine neue Erfahrung für den Geschäftsführer derDrogeriemarktkette Müller, Erwin Müller, sein.Noch im Herbst hatte er angesichts der Nominierung seines Unternehmens füreinen BigBrotherAward fragen lassen, was es eine Eiche schere, wenn sich einBorstenschwein an ihr schabe. Eine inhaltliche Stellungnahme zu den Vorwürfen,er habe Beschäftigte zur Preisgabe ihrer Krankendaten genötigt, überforderte den77-jährigen Firmengründer offenbar.Jetzt gab die Datenschutz-Aufsichtsbehörde Baden-Württemberg das Ergebnis ihrerPrüfung bekannt. In der knappen Veröffentlichung der Behörde wird deutlich, dassder datenschutzwidrige Umgang mit Mitarbeiterdaten wohl nur die Spitze des Eisbergsist. Erst anlässlich der behördlichen Überprüfung bequemte sich das Unternehmenden gesetzlich vorgeschriebenen betrieblichen Datenschutzbeauftragten zu bestellen.Das war der Datenschutzaufsicht immerhin ein Bußgeld in Höhe von ca. 0,007%des Jahresumsatzes wert, nämlich genau 137.500 EUR 1 .Die stellvertetende Vorsitzende der Deutschen Vereinigung für Datenschutz e.V.und Jurymitglied der BigBrotherAwards, Karin Schuler, bemerkte hierzu spöttisch:„Man muss ja heutzutage schon froh sein, wenn überhaupt mal geprüft wird. Rechnetman die Kapazitäten aller deutschen Datenschutzaufsichtsbehörden zusammen,muss ein deutsches Unternehmen statistisch gesehen nicht öfter als alle 200 Jahremit einer Überprüfung rechnen.“Trotz der lächerlich geringen Höhe des Bußgeldes kann Schuler dem VorgangPositives abgewinnen. „Ein angemessener Betrag würde sicherlich anders aussehen.Aber die negativen Schlagzeilen, die behördlich attestiertes Fehlverhaltenverursachen, haben Auswirkungen auf Käuferentscheidungen. Verbraucher undVerbraucherinnen, die aus Empörung nicht mehr bei Müller einkaufen – das wirddie eigentliche Strafe sein“.Bleibt zu fragen, ob es die Eiche dann immer noch nicht schert.[1] http://www.im.baden-wuerttemberg.de/de/Meldungen/222756.htmlDANA • Datenschutz Nachrichten 1/201051

1/20092/200932. JahrgangISSN 0137-7767Deutsche Vereinigung für Datenschutz e.V.www.datenschutzverein.de9,00 Euro32. JahrgangISSN 0137-77679,00 EuroDatenschutz - quo vadis?BDSG-Änderung ■ Kreditkartendaten im Christstollenpaket ■ Datenschutzskandaledurch unzureichende Datenschutzgesetze ■Informationen bei Datenschutzvorfällen ■ Neue Befugnissedes BKA ■ Datenschutznachrichten ■ Buchbesprechungen ■Deutsche Vereinigung für Datenschutz e.V.www.datenschutzverein.deVerdatet, verdrahtet, verkauft■ Soziale Netzwerke als Goldgruben ■ Politik verkauft dieLeute für dumm ■ Die Identität als Chamäleon in dervirtuellen Welt ■ Eltern müssen aufklären ■ Heimliche Datenkrakengesucht ■ Datenschutznachrichten ■ Buchbesprechungen ■3/200932. JahrgangISSN 0137-77679,00 Euro4/200932. JahrgangISSN 0137-77679,00 EuroGute Zeitungenbrauchen LeserInnen!LeserInnen brauchengute Zei tun gen!Deutsche Vereinigung für Datenschutz e.V.www.datenschutzverein.de1/201033 JahrgangDeutsche Vereinigung für Datenschutz e.V.ISSN 0137-7767www.datenschutzverein.de9,00 EuroBeschäftigtendatenschutz?■ Pathologie des Arbeitnehmerdatenschutzes ■ Silberstreifam Horizont ■ Datenschutzaufsicht im föderalen Staat ■Cloud Computing ■ Filmprojekt Websciety ■ Datenschutznachrichten■ Rechtsprechung ■ Buchbesprechungen ■Pervasive Computing■ Pervasive Computing und Informationelle Selbstbestimmung■ Smartphones ■ ELENA ■ Vorratsdatenspeicherung ■ GoogleStreet View ■ Datenschutznachrichten ■ Rechtsprechung ■Deutsche Vereinigung für Datenschutz e.V.www.datenschutzverein.de3/200831. JahrgangDeutsche Vereinigung für Datenschutz e.V.ISSN 0137-7767www.datenschutzverein.de9,00 EuroBigBrother-Award 2009■ 10 Jahre BigBrotherAwards ■ Die schöne neue Welt desDr. Wolfgang Schäuble ■ Rückblicke ■ CDU/CSU/FDP-Koalitionsvertrag ■ Datenschutznachrichten ■ Rechtsprechung ■Datenschutzin Vereinen und VerbändenGestaltungserfordernisse für Mitgliedsdaten auf Verbandsebene■ Datenschutz in sozialen Verbänden ■ Das Bundesdatenschutzgesetzgilt auch im Verein ■ Datenschutz im Golfsport ■ Datenschutznachrichten■ Rechtsprechung ■ Veranstaltungshinweise ■Also gleich die DatenschutzNachrichten (DANA) abonnieren.Und wenn Sie schon ein Abohaben, dann machen Sie docheinfach Werbung für die DANA.Nichts einfacher als das. NebenstehendesPlakat (29,5 x 83,5cm) bei der DVD-Geschäftsstellekostenfrei bestellen und amArbeitsplatz, in der Schule undHochschule, Vereins- und Geschäftsräumenusw. aushängen.Ihnen fallen sicher noch mehr geeignetePlätze ein….… also Plakat(e) bestellen:online zu bestellen unter:www.datenschutzverein.dedvd@datenschutzverein.deoder fon 0228-222498