PPP010: Was bedeutet Datenschutz?

In dieser Episode spreche ich über meine Gedanken zum Thema Datenschutz, das Safe Harbour Abkommen, den Patriot Act, warum ich Evernote trotz Servern in den USA nutzen undwarum ich Owncloud mit Servern in Deutschland für wichtig halte.

Hier kannst du dir die Episode anhören, herunterladen und teilen.

Verpasse keine Episode mehr, abonniere den Podcast auch bei iTunes, Stitcher oder Soundcloud.

Inhalt aus dieser Episode:

• Was ist eigentlich Datenschutz? ( Vom Gesetzgeber)
• Was ist das Safe Harbour Abkommen?
• Warum wurde dieses gekippt?
• Was folgte danach,  der Patriot Act?
• Warum ich diesen schlimmer finde?
• Was bedeutet Datenschutz für mich, wie mache ich das?

Was bedeutet Datenschutz überhaupt?

Datenschutz bezeichnet den Schutz personenbezogener Daten vor Missbrauch. Das bedeutet, dass deine persönlichen Daten nicht von anderen Leuten genutzt werden können. Das Gesetz unterscheidet hierbei zwischen persönlichen und sensiblen Daten.

Deine persönlichen Daten sind:

1. Name
2. Alter
3. Geburtsdatum
4. Anschrift
5. Rufnummern
6. eMail-Adresse
7. Bankverbindung
8. Ausweisnummer
9. Krankendaten
10. Familienstand

Deine sensiblen Daten sind:

1. Ethnische Herkunft
2. Religöse & Weltanschauliche Überzeugung
3. Angaben zur Gesundheit
4. Angaben zum Sexualleben
5. Politische Meinung

Meine Meinung:

Ich persönlich finde diese Einteilung sehr willkürlich. Persönliche Daten wie z.B. meine Krankendaten oder meine Bankverbindung sehe ich sehr wohl auch als sehr sensibel an. Der Gesetzgeber scheint es aber anders zu sehen. Nun gut. Können wir nicht ändern. Wer wissen möchte, was das Gesetz im Detail sagt, findet hierunter aus einem Juraforum eine sehr detaillierte Erklärung.

ERKLÄRUNG ZUM BEGRIFF SENSIBLE DATEN (§ 3 ABS. 9 BDSG)

Als sensible Daten werden die besonderen Arten personenbezogener Daten im Sinne des § 3 Absatz 9 des Bundesdatenschutzgesetzes bezeichnet. Im Sinne der Norm sind dies solche Angaben über die rassische und ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

I. personenbezogene Daten
Zunächst ist jedoch zu klären, was unter „personenbezogene Daten“ zu verstehen ist. Nach § 3 Absatz 1 BDSG handelt es sich dabei um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Damit sind also alle Informationen umfasst, die etwas über den Betroffenen aussagen können, insbesondere:
– Name und Adresse des Betroffenen
– Fotos von dem Betroffenen
– E-Mailadresse und Internet-Adresse
– Einzelangaben zu etwaigen Titeln, Geschlecht, Größe, Haarfarbe etc.

Diese datenschutzrelevanten Informationen müssen sich aber nicht zwingend auf eine bestimmte Person beziehen. Es ist vielmehr ausreichend, dass ein entsprechender Bezug zu der Person hergestellt werden kann. Daher können zum Beispiel – mit dem entsprechenden Zusatzwissen – auch folgende Informationen personenbeziehbar und damit datenschutzrelevant sein:
– Telefonnummer
– Matrikelnummer
– Personalausweisnummer
– Sozialversicherungsnummer
– Steueridentifikationsnummer
– ggf. sogar die IP-Adresse

II. besondere Arten personenbezogener Daten (sog. „sensible Daten“)
Das Bundesdatenschutzgesetz enthält insbesondere in den §§ 13 Absatz 2, 28 Absatz 6 bis 9 und 29 Absatz 5 BDSG Sonderregelungen für die besonderen Arten personenbezogener Daten. § 3 Absatz 9 BDSG regelt abschließend, um welche Daten es sich dabei handelt (vgl. oben). Es handelt sich insoweit also um besonders sensible Daten.
Diese Sonderregelungen untersagen die Erhebung solchen Daten jedoch nicht, sondern erschweren lediglich ihre Verarbeitung.

Mit Blick auf den Schutzzweck dieser Norm, nämlich den Schutz vor Diskriminierung, werden auch solche Daten als besonders sensibel eingestuft, die Informationen zu den in § 3 Absatz 9 angegebenen Datenkategorien indirekt vermitteln. So lässt sich zum Beispiel über die Hautfarbe bestimmen, zu welcher Rasse die betroffene Person gehört. Darüber hinaus kann unter bestimmten Umständen auch auf die religiöse Überzeugung geschlossen werden.

Beispiele für besondere Arten personenbezogener Daten:

1. rassische oder ethische Herkunft
– Hautfarbe
– Volkszugehörigkeit
– Nationalität
– ggf. Geburtsort
– ggf. Fotos

2. politische Meinungen
– Teilnahme an politischen Veranstaltungen
– aktive Unterstützung allgemeinpolitischer Ziele
– Mitgliedschaft in einer politischen Partei oder in einer Bürgerbewegung
– Unterschrift eines Wahlaufrufs

3. religiöse oder philosophische Überzeugungen
– Mitgliedschaft bzw. sonstige Zugehörigkeit zu einer Religionsgemeinschaft
– Austritt aus einer Religionsgemeinschaft
– Teilnahme am konfessionsgebundenen Religionsunterricht
– sonstige weltanschauliche Auffassung (z.B.: Atheist, Anthroposoph)

4. Gewerkschaftszugehörigkeit
– Mitgliedschaft in einer Gewerkschaft
– Mitgliedschaft in einer von Gewerkschaften gegründeten und für ihre Zwecke tätigen Stiftung oder sonstigen Nebenorganisation

5. Angaben über die Gesundheit
– einzelne Krankheiten und Diagnosen
– Verlauf, Schwere und Dauer dieser Krankheiten
– Ablauf und Inhalt medizinischer Behandlungen durch Ärzte, Krankenhäuser und medizinische Hilfsdienste
– verordnete oder eingenommene Medikamente
– Alkohol- oder sonstige Drogensucht

6. Angaben zum Sexualleben
– Homo- bzw. Transsexualität
– Teilnahme am Christopher Street Day
– Besuch entsprechender Lokale
– Bestellungen bei einem Sex-Shop

Keine besonderen Arten personenbezogener Daten liegen in folgenden Fällen regelmäßig vor:
– Charaktermerkmale
– Geburtsort
– Adresse
– Verhaltensauffälligkeit ohne Krankheitswert
– ungewöhnliches Körpergewicht ohne Krankheitswert
– Art der Ernährung
– Alkoholkonsum ohne Krankheitswert
– Angaben zur Bildung
– fehlerfreies Beherrschen einer bestimmten Sprache
– Präferenzen der Freizeitgestaltung
– sportliche Betätigung, auch mit Blick auf die spezifische Ausrichtung
– Nichtteilnahme an Gottesdienst
Quelle: http://www.juraforum.de/lexikon/sensible-daten-s-3…

Worum ging es bei dem (gekippte) Safe Harbour Abkommen?

Safe Harbor (englisch für „sicherer Hafen“, teilweise auch: Safe-Harbor-Abkommen, Safe-Harbor-Pakt) ist der Name einer Entscheidung der Europäischen Kommission auf dem Gebiet des Datenschutzrechts aus dem Jahr 2000, aufgrund deren es Unternehmen ermöglicht werden sollte, personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA zu übermitteln.^[1] Die Bezeichnung als „Abkommen“ rührt daher, dass dieses Vorgehen mit den USA abgesprochen worden war. Die Safe-Harbor-Entscheidung ist vom Europäischen Gerichtshof (EuGH) am 6. Oktober 2015 für ungültig erklärt worden.^[2][3] Am 2. Februar 2016 gab die Europäische Kommission bekannt, sie habe sich mit der amerikanischen Regierung auf eine Nachfolgeregelung geeinigt, die den Namen EU-US Privacy Shield trage.^[4][5]

Unabhängig hiervon besteht eine ähnliche Vereinbarung der Vereinigten Staaten mit der Schweiz, die den gleichen Zweck in Bezug auf den Datenverkehr zwischen diesen beiden Staaten verfolgt (U.S.-Swiss Safe Harbor Framework).^[6] Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) sieht darin jedoch wegen des Urteils des EuGH mittlerweile keine ausreichende Grundlage für die Übermittlung von personenbezogenen Daten in die USA mehr^[7] und hat den Bundesrat gebeten, die Vereinbarung aufzukündigen.^[8]

Quelle: Wikipdeia. https://de.wikipedia.org/wiki/Safe_Harbor

Was ist eigentlich der Patriot Act?

Der USA PATRIOT Act ist ein US-amerikanisches Bundesgesetz, das am 25. Oktober 2001 vom Kongress im Zuge des Krieges gegen den Terrorismus verabschiedet wurde. Es war eine direkte Reaktion auf dieTerroranschläge am 11. September 2001 und die wenig später erfolgten Milzbrand-Anschläge. Das Gesetz bringt eine Einschränkung der amerikanischenBürgerrechte in größerem Maße mit sich, aber auch Auswirkungen für USA-Reisende, da die Anforderungen an Pässe erhöht wurden.

USA PATRIOT Act steht als Apronym für Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001, deutsch etwa: „Gesetz zur Einigung und Stärkung Amerikas durch Bereitstellung geeigneter Instrumente, um Terrorismus aufzuhalten und zu blockieren“.

Inhalte des USA Patriot Act

Allgemeine Bestimmungen

Der USA PATRIOT Act soll die Ermittlungen der Bundesbehörden im Fall einer terroristischen Bedrohung vereinfachen. Hierzu werden bestimmte, auch die Grundrechte betreffende, Gesetze eingeschränkt und durch folgende Regelungen ergänzt oder ersetzt:

• Das Erfordernis, Richter bei Telefon- oder Internetüberwachung als Kontrollinstanz einzusetzen, wurde weitgehend aufgehoben, dadurch werden die Abhörrechte des FBI deutlich erweitert. Der zuständige Richter muss zwar von einer Überwachung informiert werden, dieser ist jedoch verpflichtet, die entsprechende Abhöraktion zu genehmigen. Telefongesellschaften und Internetprovider müssen ihre Daten offenlegen.
• Hausdurchsuchungen dürfen ohne Wissen der betreffenden Person durchgeführt werden.
• Die Entscheidung, ob eine Vereinigung als terroristisch eingestuft wird, geht an das Justiz- und Außenministerium über.
• Ausländer dürfen wegen der Mitgliedschaft in einer der vom Justiz- und Außenministerium definierten terroristischen Vereinigung abgeschoben werden.
• Das FBI hat das Recht, Einsicht in die finanziellen Daten von Bankkunden zu nehmen, ohne dass Beweise für ein Verbrechen vorliegen.
• Der Auslandsgeheimdienst (CIA), der im Gegensatz zum FBI keiner weitreichenden öffentlichen Kontrolle unterliegt, erhält das Recht, auch im Inland zu ermitteln.

Auswirkungen auf Reisende in die USA

Die USA verlangen mit dem PNR-Buchungscode (Passenger Name Record) persönliche Informationen über jeden Flugpassagier vor dessen Einreise in die USA, die durch den USA PATRIOT Act sichergestellt werden.

Auswirkungen auf den Schutz personenbezogener Daten und geistigen Eigentums

Die Bestimmungen des PATRIOT Act erlauben US-Behörden wie dem FBI, der NSA oder der CIA nicht nur den Zugriff ohne richterliche Anordnung auf die Server von US-Unternehmen. Auch ausländische Töchter sind nach dem US-Gesetz verpflichtet, Zugriff auf ihre Server zu gewähren; selbst dann, wenn lokale Gesetze dies untersagen.

In allen Fällen, in denen personenbezogene Daten auf Servern von US-Töchtern gespeichert werden, verstößt dies nach Einschätzung des seinerzeitigen Datenschutzbeauftragen des Landes Schleswig-Holstein, Thilo Weichert, gegen europäische Gesetze. Diese untersagen die Weitergabe personenbezogener Daten, wenn diese den Bereich der EU verlassen. EU-Unternehmen, die solche Daten auf Servern von US-Tochterunternehmen speichern oder durch diese verarbeiten lassen, verstoßen nach Weichert gegen europäische und nationale Gesetze.

Früher wurde davon ausgegangen, dass ein Zugriff nur gezielt und in Einzelfällen erfolgt. Anfang Juni 2013 wurde jedoch bekannt, dass die USA in weitaus größerem Maße als bisher bekannt oder angenommen Daten abgreifen.^[13][14] Nach diesem Bericht werden seit 2007 die Server großer Unternehmen wie Microsoft, Google, Yahoo und vieler Telefonprovider kontinuierlich abgegriffen. Auch eine qualitative Ausweitung hat stattgefunden: Es werden nicht nur E-Mails, sondern auch Telefongespräche, Videokonferenzen etc. kontinuierlich als Quellen abgeschöpft. Die Daten werden bei der NSA in einer speziellen Datenbank gespeichert und bei Bedarf mit Methoden des Data-Mining nach relevanten Datenmustern durchsucht. Auf Anordnung des FISC, eines Gerichts, dessen Sitzungen und Urteile geheim sind, werden seit 2003 alle Bestands- und Verkehrsdaten von internationalen Nutzern durch die Telefongesellschaften und seit 2007 die der US-amerikanischen Internetunternehmen an die NSA übermittelt. In ihrer Datenschutzerklärung (Privacy Declaration) bekräftigen diese Unternehmen jedoch häufig, dass nur dann Daten weitergegeben werden, wenn ein Gerichtsurteil vorliege. Da aber der FISC ein geheimes und zugleich umfassend wirkendes Urteil zum Zugriff durch die NSA erlassen hat, ist davon auszugehen, dass potentiell alle Daten internationaler Nutzer durch US-Provider an die NSA weitergeleitet werden.

Anfang Juli 2013 wurde durch den Whistleblower Edward Snowden bekannt, dass mindestens die nachfolgenden und wesentlichen Onlinedienste von Microsoft wie Outlook.com, Hotmail und Skype für PRISM, die Auswertungssoftware der NSA, zugänglich sind.^[15]

Neben dem Schutz personenbezogener Daten wird in der Literatur auch auf die Gefahr verwiesen, dass der PATRIOT Act zur Wirtschaftsspionage missbraucht werden könne, zumal US-Behörden zu robuster Vorgehensweise geneigt seien, wie der Druck auf die Schweizer Großbank UBS gezeigt habe. Speicherung und Data-Mining sind ein ideales Mittel zur gezielten Wirtschaftsspionage.^[16] Durch die Enthüllungen von Snowden wurde auch die Diskussion über mögliche Wirtschaftsspionage verstärkt. „Der Maschinenbauverband VDMA fürchtet, im Visier der Spione zu sein. Gerade die Fokussierung auf den Süden und Westen von Deutschland, in denen viele unserer ‚Hidden Champions‘ sitzen, lässt die Sorge aufkommen, dass gezielt Wirtschafts- und Industriespionage betrieben wird“, so Glatz im Tagesspiegel.^[17] Bereits 1993 und damit noch vor dem Inkrafttreten des PATRIOT Act hatte Präsident Clinton erklärt, CIA und NSA sollten amerikanischen Firmen bei internationalen Geschäften behilflich sein.^[18]

Quelle: WIkipedia https://de.wikipedia.org/wiki/USA_PATRIOT_Act