EU-Justizkommissarin Vera Jourová muss handeln

Pressemitteilungen, Datenschutz, Digitalisierung & Netzpolitik

EU-US Privacy Shield

PRESSEMITTEILUNG – Straßburg, 6. April 2017

Das Europäische Parlament hat heute eine sehr kritische Resolution zum "Privacy Shield" angenommen. Das "Privacy Shield" regelt die erleichterte Weitergabe personenbezogener Daten in die USA, etwa bei der Nutzung von Online-Diensten wie Suchmaschinen oder sozialen Netzwerken. Grundannahme ist ein angemessenes Datenschutzniveau der Unternehmen in den USA, allerdings ist das Privacy Shield für US-Unternehmen nicht verpflichtend. Jan Philipp Albrecht, stellvertretender Vorsitzender des innen- und Justizausschusses und Schattenberichterstatter für die Resolution, fordert die Europäische Kommission auf, beim Datentransfer in die USA mehr für den Schutz personenbezogener Daten der Menschen in der Europäischen Union zu tun:

„Das Privacy Shield macht die USA nicht zum sicheren Hafen. Personenbezogene Daten von Menschen in der Europäischen Union sind in den USA nicht ausreichend vor dem Zugriff durch Geheimdienste geschützt. Auch gegenüber US-Unternehmen haben die Nutzerinnen und Nutzer keine echten Rechte auf Widerspruch, Löschung oder Auskunft. Die EU-Justizkommissarin darf sich nicht mit unverbindlichen Absichtserklärungen und Briefen der US-Regierung abspeisen lassen. Vera Jourová muss handeln, den Druck auf die US-Regierung erhöhen und das Privacy Shield zu einem echten Schutzschild machen.

Die Zeit läuft, im Mai 2018 gilt in der ganzen Europäischen Union die neue Datenschutz-Grundverordnung, spätestens dann muss das Schutzschild wasserdicht sein. Wenn das Privacy Shield weiter löchrig bleibt, geht die Europäische Kommission das Risiko ein, dass der Europäische Gerichtshof die Regelung wieder kippt.

Außerdem sind die Datenschutzbehörden in der Pflicht, die Weitergabe unserer Daten in die USA zu untersagen, wenn sie auch nur den kleinsten Verdacht auf Massenüberwachung hegen. Die Regierung von Donald Trump hat bereits mehrfach gezeigt, dass sie sich um den Datenschutz nicht schert.“

 

Hintergrund: 

Die Mehrheit der Abgeordneten des Innen- und Justizausschusses des Europäischen Parlaments hat in einer Entschließung vom 23. März gegen die Stimmen der Konservativen die Massenüberwachung in den USA für nicht vereinbar mit EU-Recht erklärt und bemängelt, dass das Privacy Shield personenbezogene Daten von Bürgerinnen und Bürgern in der Europäischen Union nicht ausreichend schützt.

Die Europäische Kommission hatte die Privacy Shield-Regelung für den Datentransfer in die USA ausgearbeitet, nachdem der Europäische Gerichtshof die Vorgängerregelung "Safe Harbour" im Oktober 2015 kassiert und mit sofortiger Wirkung für ungültig erklärt hatte.

Jan Philipp Albrecht auf Facebook

Profile
JanAlbrecht Jan Philipp Albrecht

RT @edri: #AVMS Directive: @EPCulture opposes upload filtering t.co/JZkYM5jJUA #fixcopyright t.co/8ZaKOjht32

25. Apr 2017 Antwort Retweeten Favorit
PressemitteilungenDatenschutz, Digitalisierung & Netzpolitik

Ausschuss hält Datenschutzschild für unzureichend

EU-US Privacy Shield

Pressemitteilungen, Datenschutz, Digitalisierung & Netzpolitik

PRESSEMITTEILUNG – Brüssel, 23. März 2017

Die Mehrheit der Angeordneten des Innen- und Justizausschusses des Europäischen Parlaments hat heute eine Entschließung zum EU-US Privacy Shield angenommen, die Konservativen stimmten dagegen. Das EU-US Privacy Shield stellt Regeln auf für die erleichterte Weitergabe personenbezogener Daten in die USA, etwa bei der Nutzung von Online-Diensten wie Suchmaschinen oder sozialen Netzwerken. Das Privacy Shield geht von einem angemessenen Datenschutzniveau der Unternehmen in den USA aus. Den Unternehmen steht es allerdings frei, sich selbst auf die Regeln zu verpflichten und damit in den Genuss des vereinfachten Datenverkehrs in die USA zu kommen. In der Resolution stellen die Abgeordneten nochmals klar, dass die Massenüberwachung in den USA nicht vereinbar mit EU-Recht ist. Jan Philipp Albrecht, stellvertretender Vorsitzender des innen- und Justizausschusses und Schattenberichterstatter für die Resolution:

„Die Mehrheit der Abgeordneten des Innen- und Rechtsausschuss lässt sich nichts vormachen: Das Privacy Shield schützt die Daten der Menschen in der Europäischen Union nicht ausreichend. Von mit EU-Datenschutz vergleichbaren Standards kann in den USA keine Rede sein, das ändert auch das Datenschutzschild nicht.

Ich begrüße, dass nach dem Willen der Mehrheit der Abgeordneten des Innen- und Rechtsausschusses das letzte Wort über Datenweitergabe in die USA bei den EU-Datenschutzbehördenliegen soll. Die irische Datenschutz-Behörde kann Facebook so verbieten, personenbezogene Daten an die USA weiterzugeben und die Nutzerinnen und Nutzer vor dem Zugriff der NSA schützen.

Das Privacy Shield hält nicht, was die Europäische Kommission verspricht. Auch die Ausschussentschließung hält es für wahrscheinlich, dass die Kommissions-Entscheidung vor dem Europäischen Gerichtshof nicht standhalten wird. EU-Justizkommissarin Vera Jourová ist aufgerufen, zügig Nachbesserungen am Privacy Shield auf den Weg zu bringen, spätestens bis die neue Datenschutz-Grundverordnung ab Frühjahr 2018 zur Anwendung kommt.“

 

Hintergrund:

Die Entschließung wird voraussichtlich in der Woche vom 3. bis 5. April 2017 im Plenum des Europäischen Parlaments abgestimmt. Die Europäische Kommission hatte die neue Regelung für den Datentransfer in die USA ausgearbeitet, nachdem der Europäische Gerichtshof die Vorgängerregelung Safe Harbour 2015 kassiert und mit sofortiger Wirkung für ungültig erklärt hatte.

BroschürenDatenschutz, Digitalisierung & Netzpolitik

Grüne Positionen zu Robotik & Künstlicher Intelligenz

Neue Minibroschüre - verfügbar auf Deutsch, Englisch und Schwedisch

Broschüren, Datenschutz, Digitalisierung & Netzpolitik

Datenschutzpaket der Europäischen Kommission

Regeln für elektronische Kommunikation sind unzureichend

Pressemitteilungen, Datenschutz, Digitalisierung & Netzpolitik

PRESSEMITTEILUNG – 10. Januar 2017

Die Europäische Kommission stellt an diesem Dienstag ein Paket zum Datenschutz vor. Ein Vorschlag betrifft die bisher in der so genannten ePrivacy-Richtlinie festgelegten Regeln für den Schutz personenbezogener Daten bei der elektronischen Kommunikation, also dem Telefonieren, Mailen und Texten per Telefon, Smartphone oder PC. Die neuen Regeln gelten für klassische Telekommunikationsanbieter und Kommunikationsdienste wie WhatsApp oder Skype. Jan Philipp Albrecht, stellvertretender Vorsitzender des Innen- und Justizausschusses, begrüßt die Vorschläge, fordert aber Verbesserungen:

 

„Mit diesen Vorschlägen macht die Europäische Kommission die Reform des Datenschutzrechts komplett. Es war ein längst überfälliger Schritt ins digitale Zeitalter, die Datenschutzregeln für elektronische Kommunikation auch auf Dienste wie Skype oder WhatsApp anzuwenden.

Der Vorschlag erfüllt die Anforderungen für ein hohes Maß an Privatsphäre und sichere Kommunikation allerdings nicht. Anbieter elektronischer Kommunikation sollen in Zukunft die Daten der Nutzer verfolgen und für kommerzielle Zwecke nutzen dürfen, solange die Betroffenen dies nicht ausdrücklich verbieten. So sieht kein gelungener Datenschutz aus. Eine Erfassung des Surf-Verhaltens oder der App-Nutzung sollte weiterhin nur nach ausdrücklicher Zustimmung erlaubt sein. Zumindest müssten Kommunikationsdienste immer die datenschutzfreundlichsten Voreinstellungen anbieten wie es die Datenschutz-Grundverordnung vorschreibt. Gerade Kommunikationsdaten brauchen einen besonderen Schutz. Die neue Verordnung für elektronische Kommunikationsdaten darf beim Datenschutz keine Rückschritte machen.

Vorgaben zur abhörsicheren Verschlüsselung der Kommunikation fehlen. In Zeiten der Massenüberwachung durch Geheimdienste müssen die Anbieter von Kommunikationsdiensten alles technisch Mögliche tun, um das Grundrecht auf Vertraulichkeit zu sichern. Es ist die Aufgabe des Europäischen Parlaments und des Ministerrats, nachzubessern.“

Hier die Dokumente einsehen:

1) #ePrivacy Regulation 

2) Regulation for #EUdataP in EU Institututions 

3) Communication on international data protection 

4) Communication on #DataEconomy

Die Datenbanken der Grenz- und Polizeibehörden in der EU

Welche Datenbanken gibt es und wie sind sie miteinander verknüpft?

Datenschutz, Digitalisierung & Netzpolitik, Polizei & Innenpolitik, Publikationen

Dieser Beitrag wird neben weiteren Artikeln Teil unserer neuen Broschüre "Datenschutz im digitalen Zeitalter" sein, die im Januar 2017 erscheinen wird.

 

Als im Jahr 1985 eine Reihe von EU-Mitgliedstaaten mit dem Schengener Abkommen beschloss, ihre Grenzen untereinander zu öffnen, führte dies zu der naheliegenden Forderung, im Gegenzug die polizeiliche Arbeit enger miteinander zu verknüpfen. So begann die polizeiliche und justizielle Kooperation in der Europäischen Union.

 

Nach der Erweiterung des Schengen-Raums, zu dem perspektivisch außer Großbritannien und Nordirland alle EU-Mitgliedstaaten sowie Norwegen, die Schweiz und Island gehören, kam es im Mai 2005 zum so genannten Prümer Vertrag, der die begonnene polizeiliche und justizielle Zusammenarbeit einzelner Mitgliedsstaaten weiterführt und verstärkt. Der Vertrag war ein wichtiger Schritt hin zum Austausch polizeilicher Daten zwischen den Schengen-Staaten. Konkret wurde ein gegenseitiger Zugriff eingeführt für DNA-Analyse-Dateien, Datenbanken mit Fingerabdrücken sowie Kraftfahrzeugregister.

 

Parallel gab es seit dem Jahr 2004 Bestrebungen, Informationen zwischen den Strafverfolgern der EU-Mitgliedstaaten auch aktiv auszutauschen, was zwei Jahre später in einen Rahmenbeschluss des Rates mündete. Er geht zurück auf einen Vorschlag der schwedischen Regierung und ist daher als Schwedische Initiative bekannt. Den Kern stellt der Grundsatz der Verfügbarkeit polizeilicher Daten aus anderen Mitgliedstaaten dar.

 

Zentrale Datenbanken auf EU-Ebene

Seit dem Jahr 2012 gibt es die EU-Agentur eu-LISA für den Betrieb großer Informationssysteme. Ihr Hauptsitz ist Tallinn (Estland), der Großteil der Mitarbeiter ist aber in Straßburg (Frankreich), wo die Server betrieben werden, mit einem Back-up-System in Sankt Johann (Österreich). Die Agentur betreibt die bereits länger bestehenden Systeme zur digitalen Überwachung der EU-Außengrenzen.

 

Die älteste Datenbank ist das Schengener Informationssystem (SIS), in dem Fahndungen, gestohlene Dokumente sowie Einreisesperren und Abschiebeanordnungen ausgeschrieben werden können. Es besteht bereits seit dem Jahr 1995 und wurde 2013 durch eine neue Version (SIS II) ersetzt, in die auch biometrische Daten und weitere Informationen eingespeist werden können. Zugriff auf diesen umfangreichen Datenbestand haben – je nach Datenkategorie – tausende von Behörden: Polizeien, Staatsanwaltschaften, Gerichte, Zoll, Ausländer- und Einwanderungsbehörden, Konsulate, Visastellen und Fahrzeug-Zulassungsstellen. Bereits im Jahr 2014 wurden die Daten fast zwei Milliarden Mal abgefragt – das sind mehr als fünf Millionen Zugriffe pro Tag.

 

Eng verknüpft mit SIS betreibt die Agentur eu-LISA auch das Visa-Informationssystem (VIS), das im Oktober 2011 nach fast zehn Jahren Vorbereitung den Betrieb aufnahm und den Autausch von Visa-Daten zwischen den Schengen-Staaten ermöglicht. Zwar sind SIS und VIS technisch unabhängig, aber durch ihre Vernetzung mit denselben Behörden und die sich überschneidenden Zweckbestimmungen sind de facto verschmolzen. EU-weit wird bereits seit dem Jahr 2013 an einer gemeinsamen Suchmaske für alle Datenbanken gearbeitet.

 

Dazu gehört auch die dritte von eu-LISA betriebene Datenbank, Eurodac, die seit 2003 besteht und in der die Fingerabdrücke aller Geflüchteten erfasst werden sollen, um zu wissen, in welchem EU-Staat die jeweilige Person zuerst Asyl beantragt hat. Eurodac erfasste bereits Ende 2014 mehr als 2,7 Millionen Menschen und wurde täglich mehr als 2000 Mal abgefragt. Geplant ist, dass eu-LISA auch die Datenbank für die intelligenten Grenzen, die so genannten Smart Borders betreiben soll. Mit diesem auch als Entry/Exit bekannten System, das mehr als eine halbe Milliarde Euro kosten wird, sollen die Daten aller Angehörigen von Nicht-EU-Staaten bei der Ein- und Ausreise an den EU-Außengrenzen erfasst und für fünf Jahre gespeichert werden, inklusive ihrer Fingerabdrücke und eines biometrischen Gesichts-Scans. Innenkommissar Dimitris Avramopoulous, der im April 2016 nach jahrelanger Diskussion einen neuen Vorschlag vorgelegt hat, will mit diesem System herausfinden, wer unerlaubt länger in der EU bleibt, als es das Visum oder die Einreiseerlaubnis zulässt. Da die Entry/Exit-Datenbank aber nur Ein- und Austritt in den Schengen-Raum dokumentiert und deshalb keine Auskunft darüber geben kann, wo genau in diesem weiten Gebiet die gesuchte Person sich aufhält, erhalten wir also de facto für mehr als eine halbe Milliarde Euro nur eine bessere Statistik über die so genannten Over-Stayers. Die Polizeibehörden sollen laut EU-Kommission genau wie bei Eurodac und anderen Systemen einen direkten Zugriff auf die Datenbank inklusive der biometrischen Daten erhalten. Das bedeutet einen Generalverdacht für alle Menschen, die legal in die EU kommen.

 

Der bisher letzte Vorschlag in der langen Reihe von Datenbanken zur Kontrolle der EU-Außengrenzen ist das Einreise-System ETIAS, das im November 2016 von der EU-Kommission vorgelegt wurde. Mit diesem European Travel Information and Authorisation System sollen Reisende aus Ländern, mit denen die EU Visafreiheit vereinbart hat, vor Antritt der Reise in die Europäische Union online ihre Daten eingeben. Diese werden dann automatisiert mit den bestehenden Datenbanken abgeglichen und zusätzlich auf Basis von Statistiken und anderen Daten durch einen Profiling-Algorithmus mit einer Art Gefährlichkeits-Annahme versehen. Der Grenzbeamte und die Konsulats-Mitarbeiterin werden also durch einen Computer ersetzt, der über die Einreise entscheiden wird. ETIAS wird nochmals mindestens 200 Millionen Euro kosten, obwohl der zusätzliche Nutzen mit Blick auf die Datenbanken SIS, PNR und Entry/Exit völlig unklar ist. Auch hier sieht die Europäische Kommission fünf Jahre Datenspeicherung sowie den Zugriff der Polizeibehörden auf die Daten vor.

 

Parallel zu diesen Grenzkontroll- und Fahndungsdatenbanken betreibt die europäische Polizeibehörde Europol noch ihr eigenes Europol-Informationssystem (EIS), auf das die nationalen Polizeien Zugriff haben. Dort waren im Januar 2016 bereits 295.374 Einträge enthalten, von denen ungefähr die Hälfte mit Drogendelikten und Raub zu tun hatte. Terrorismus, ein häufig vorgebrachtes Argument für den Ausbau und die Verknüpfung dieser Datenbanken, spielte mit 7.700 Einträgen im EIS nur eine kleine Rolle.

 

Neben der Vernetzung der Datenbanken gibt es seit Jahren politischen Druck der Innenminister, dass auch sachfremde Daten für die Polizei verfügbar gemacht werden. Im Ergebnis haben die Strafverfolger bereits heute Zugriff auf die Datenbanken Eurodac und VIS, die so von ihrem ursprünglichen Zweck der Einreise- und Asylpolitik entfremdet werden. Die von den Mitgliedstaaten seit Mai 2016 einzurichtenden Systeme zur Speicherung und Rasterung von Fluggastdaten (EU-PNR) werden ebenfalls der Polizei zur Verfügung stehen. Auch auf die Daten des geplanten Entry/Exit-Systems sollen die Polizeien laut Vorschlag der EU-Kommission zugreifen können.

 

Probleme

Am Ende dieser Entwicklung könnte eine integrierte zentrale und dezentrale Datenbank stehen, die mit einer einheitlichen Suchmaske von tausenden von Behörden in der EU durchsucht werden kann und bei der die Polizeien auch Zugriff auf Daten von völlig unverdächtigen Personen bekommen werden.

 

Das bringt viele grundsätzliche Probleme mit sich. Die Zentralisierung schafft zunächst einmal einen Single Point of Failure, sodass bei Hackerangriffen oder technischen Ausfällen gleich das gesamte System von Datenbanken ausfallen könnte. Noch schwerwiegender ist aber, dass mit der Zentralisierung die grundlegenden Datenschutz-Prinzipien der Zweckbindung und der Datensparsamkeit unterlaufen würden. Auch die grundrechtlich gebotenen Anforderungen der Verhältnismäßigkeit und Notwendigkeit solch großer Datenspeicher sind nicht nachgewiesen. Brauchen wir wirklich den polizeilichen Zugriff auf die Fingerabdrücke aller Geflüchteten, um Handtaschendiebstähle oder Drogendelikte aufzuklären, und ist das verhältnismäßig? Die parlamentarische Kontrolle und auch die Datenschutzaufsicht sind nicht dem Wuchern dieser Datenbanken entsprechend mitgewachsen.

 

Vorhandene Instrumente anwenden, statt immer neue Datenberge schaffen

Bevor über den Ausbau und die weitere Verknüpfung der Datenbanken überhaupt nur nachgedacht wird, sollten zunächst erst einmal die beschlossenen Schritte vollständig umgesetzt werden. So sind zum Beispiel die Verpflichtungen aus dem Vertrag von Prüm noch immer nicht überall erfüllt, obwohl die Frist bereits im Jahr 2011 abgelaufen ist. Auch das PNR-System zur Überwachung von Flugpassagieren ist noch nicht umgesetzt, obwohl die EU-Innenminister nach den Anschlägen von Paris und Brüssel sehr auf Eile gedrängt hatten. Zudem werden bestehende Systeme wie SIS, VIS oder Eurodac gar nicht von allen Mitgliedstaaten genutzt. Es braucht also vor allem eine bessere Anwendung der vorhandenen Instrumente und mehr gemeinsame technische und rechtliche Standards bei den Informationssystemen, um einen schnellen und gezielten Austausch von Informationen zu gewährleisten.

 

Am 10. Dezember 2016 hat der tagesspiegel nach monatelanger intensive Recherché vor Ort einen spannenden und sehr lesenswerten Artikel zu diesem Thema veröffentlicht.

 

Das Wichtigste zu Verknüpfung von EU-Datenbanken:

  • Seit Jahrzehnten werden immer mehr Daten zwischen den Polizeibehörden in der EU ausgetauscht, seit einigen Jahren sogar per Online-Direktzugriff. Daneben entstehen auch immer mehr Datenbanken zur polizeilichen Zusammenarbeit und Grenzkontrolle.
  • Fallbezogene und verdachtsabhängige Datensammlungen sind oft angebracht und der Austausch dieser Daten zwischen Polizeibehörden muss weiter vorangetrieben werden. Die anlasslose und verdachtsunabhängige Speicherung massenhafter Informationen beispielsweise über Flugpassagiere aber ist ein unverhältnismäßiger Eingriff in die Grundrechte.
  • Der konkrete Nutzen solcher Milliardenprojekte ist oft nicht klar, und die Verbindung all dieser Datenbanken stellt Grundprinzipien des Datenschutzes wie Zweckbindung, Notwendigkeit und Verhältnismäßigkeit in Frage.