Grundrechtsschutz im Europa des Lissaboner Vertrags

Nachdem als letzter Mitgliedstaat der Europ?ischen Union auch Tschechien im November 2009 den Lissaboner Vertrag ratifiziert hatte, konnte das Vertragswerk¹ zum 01. Dezember 2009 in Kraft treten. Seither sind allerdings die mit der neuen Rechtsgrundlage der Europ?ischen Union verbundenen vielf?ltigen Wirkungen kaum ins Bewusstsein der europ?ischen ?ffentlichkeit gelangt. Sie werden von den globalen Banken- und Wirtschaftsproblemen sowie von der aktuellen Krise der europ?ischen W?hrungsunion überlagert, die die nationalen Politiken der EU-Mitgliedstaaten und die gemeinschaftliche europ:aische Politik vor gro?e Herausforderungen stellen und deren Aufmerksamkeit in hohem Ma?e in Anspruch nehmen. Es mag also noch dauern, bis Europa in absehbarer Zeit und hoffentlich ohne an seinen politischkonstitutiven Fundamenten Schaden zu nehmen die aktuellen Krisen überwunden haben wird. Erst dann dürfte den Bürgerinnen und Bürgern Europas deutlicher werden, dass mit dem Inkrafttreten des Vertrages von Lissabon eine unter mehreren Gesichtspunkten neue Epoche des Europ?ischen Integrationsprozesses begonnen hat. Das gilt nicht nur, aber vor allem für die Innen- und Rechtspolitik — für jene Bereiche europ?ischer Politik also, die die Herstellung des seit 1999 im Amsterdamer Vertrag avisierten „Raumes der Freiheit, der Sicherheit und des Rechts“ zum Ziel haben. Innerhalb dieser im hohen Ma?e grundrechtssensiblen Politikfelder wird die neue Epoche vor allem von erheblichen Ver?nderungen sowohl im materiellen, rechtlichen als auch im institutionellen, gerichtlichen Schutz der Grund- und Freiheitsrechte der europ?ischen Bürgerinnen und Bürger gepr?gt sein.     

Grundfragen der Datenschutz-Compliance

Nach den echten und vermeintlichen Datenskandalen bei Deutscher Bahn, Lidl, Aldi & Co. hat das Thema Compliance die Schlagzeilen erobert. Inzwischen ist weitgehend unbestritten, dass der Vorstand einer unabh?ngigen Aktiengesellschaft einer einzelfallabh?ngigen Pflicht zur Compliance unterliegt. In den Fokus rückt nunmehr die Frage, ob auch den Vorstand einer Konzernmutter eine Compliance-Pflicht in Bezug auf verbundene Unternehmen trifft — hier scheiden sich die Geister. Vernachl?ssigt wird weiterhin, dass der Datenschutz nicht Gegner, sondern Gegenstand der Compliance ist.     

An zehn Fingern ablesbar — Biometrische Datenerfassung in der EU

Die Globalisierung hat zu einer Zunahme von terroristischen und kriminalistischen Bedrohungen geführt. Nicht von ungef?hr haben sich weltweit die Bemühungen um den Schutz und die Sicherheit der Bürger von staatlicher Seite aus verst?rkt. In den letzten Jahren wurden sowohl in Europa als auch in anderen Regionen unterschiedliche Schritte unternommen, um Reisedokumente und Personalausweise sowie Asyl- und Einreisebestimmungen sicherer zu machen und zwischen den einzelnen Staaten zu harmonisieren. Eine Vorreiterrolle nehmen hier Deutschland, die USA, Japan, Singapur und Australien ein. Neben den v?lkerrechtlichen und sozialpolitischen Aspekten rund um dieses sensible Thema „Speicherung von biometrischen Daten“ stellt sich vor allem auch die Frage, was in punkto Personendatenerfassung aus heutiger Sicht technisch und organisatorisch machbar ist.     

Datenschutz als Bildungsauftrag

Zu den Erfahrungen eines Datenschutzbeauftragten geh?rt es, dass ein effektiver Datenschutz nicht allein durch gesetzliches Regelungen und der Kontrolle ihrer Einhaltung sicher gestellt werden kann, vielmehr müssen die Bürger in einer digitalen Welt in die Lage versetzt werden, verantwortungsvoll mit ihren eigenen Daten und rücksichtsvoll mit den Daten anderer umzugehen. Deshalb muss der Datenschutz auch als Bildungs- und Erziehungsaufgabe verstanden werden.     

Aufgaben des betrieblichen Datenschutzbeauftragten: Direktwerbung und Datenschutz

Zusammenfassung  Zwischen Datenschutz und Werbung besteht ein Spannungsverh?ltnis, seit es den Datenschutz gibt. Das gilt besonders für alle Formen der so genannten direkten Kundenansprache: Ob als Postwurfsendung, E-Mail oder neuerdings in Form unerbetener SMS und Telefonanrufe — die Empf?nger empfinden den „Werbemüll“ oft genug als l?stig und fragen sich daher zu Recht: „Dürfen die das?“ Stephanie Iraschko-Luscher ist Rechtsanw?ltin in Hamburg und gesch?ftsführende Gesellschafterin der MGDS Management-Gesellschaft für Datenschutz.     

Bürokratieabbau versus betrieblicher Datenschutz?

Zusammenfassung  Eine neue Variante, sich in den Unternehmen den Datenschutz vom Leib zu halten, ist der Vorwurf der Bürokratisierung. Nach einem Vorschlag der L?nder Niedersachen und Hessen aus dem Herbst 20051 sollte die Bestellungspflicht von 5 auf 20 EDVMitarbeiter heraufgesetzt werden. Eine abgeschw?chte Variante enth?lt nun der Gesetzentwurf der Bundesregierung mit einem Quorum von 10 Personen. Ob diese Regelung den gewünschten Effekt bringen wird, ist zweifelhaft. Sicher ist nur, dass die betriebliche Selbstregulierung geschw?cht und die Erwartungen an die Kontrollt?tigkeit der Aufsichtsbeh?rden steigen werden. Vorteile birgt der Entwurf aber in anderer Hinsicht: Externe Datenschutzbeauftragte k?nnen zukünftig auch für Bereiche t?tig werden, die durch § 203 StGB geschützt sind.     

Wer nicht „lehren“ will,muss „fühlen“ lassen

Wie setzt man Awareness-Botschaften im Seelenhaushalt der Mitarbeiter um und verschafft ihr so eine dauerhafte Wirksamkeit? Der bis heute weitgehend verbreitete Ansatz von Security Awareness — wir wollen diese „Old School“ nennen — geht mehrheitlich davon aus, dass sich die Persistenz der Botschaft über die Grundzüge einer einfachen „Lerntheorie“ (Abspeichern) ergibt. Erfolgreiche Awareness muss aber vielmehr als L?sung im ganzheitlichen Gefüge der mit ihm verbundenen Zwecke erzeugt werden. Trainings oder E-Learning-Tools sind daher oftmals viel zu personalisiert gedacht. Aufmerksamkeit im Sinne von Awareness ist nicht der erste und entscheidende Einstieg für die Wirksamkeit von Tools, sondern bereits die Folge davon, dass eine Anknüpfung stattgefunden hat. „Erwachsene“ Awareness, die ich „Awareness 2.0“ nennen will, darf sich nicht darauf beschr?nken, Informationsvokabeln über einen Vorgang zu lernen — Awareness 2.0 muss sich vielmehr der Wirkung von Risiken „andienen“, indem Probleme angesprochen werden und das Tool selbst sich als L?sung, nicht aber als Simulator, anbietet. Awareness 2.0 sollte sich nicht auf Lehren und Lernen beschr?nken; sie muss argumentieren und hierdurch beeinflussen.     

Die verkannte Dignität des Datenschutzes

Gerade in der anwaltlichen Beratungspraxis f?llt dem Rechtsberater auf, dass eine Vielzahl von Mandanten dem Thema Datenschutz nur eine marginale Rolle beimisst und darauf dr?ngt, die „wesentlichen” juristischen Kernprobleme ihres Anliegens zu analysieren. Doch die verkannte Dignit?t des Datenschutzes kann handfeste ?konomische Sch?den nach sich ziehen — wie die Praxis immer wieder zeigt. Auch im Falle einer prozessualen Auseinandersetzung kann sich die Nichtbeachtung datenschutzrechtlicher Regelungen etwa in Form eines Beweisverwertungsverbotes ?u?erst negativ für den Mandanten auswirken und nicht kalkulierte Kosten verursachen.     

Archivierung von E-Mails

Die Archivierung von E-Mails ist für viele Unternehmen inzwischen ein aktuelles Thema. Aus rechtlicher Sicht kommen Fragen aus den unterschiedlichsten Richtungen auf. Welchen Sinn hat die Speicherung von E-Mails, wenn sie keinen Beweiswert haben? Müssen E-Mails mit Rücksicht auf die Steuerverwaltung und die Revision gespeichert werden? K?nnen einfach alle E-Mails gespeichert werden — was ist mit dem Fernmeldegeheimnis und dem Datenschutz der Mitarbeiter? Diesen Fragen geht der Beitrag nach.     

Freiheit für die Technik des citoyen actif?

In den europ?ischen Mitgliedstaaten werden angesichts realer und vermeintlicher drohender Gefahren die Gewichte bei der Ausbalancierung von Freiheit und Sicherheit grundlegend verschoben. Das Bundesverfassungsgericht hat sich demgegenüber immer für die Freiheit des Einzelnen eingesetzt. Weil weder die speziellen Freiheitsrechte noch die übrigen Auspr?gungen des grundrechtlich verankerten allgemeinen Pers?nlichkeitsschutzes gegen freiheitsbedrohende Gefahren beim Zugriff auf pers?nlich genutzte Informationssysteme hinreichend Schutz bieten, hat das Gericht im Jahre 2008 das „Grundrecht auf Gew?hrleistung der Vertraulichkeit und Integrit?t informationstechnischer Systeme“ neben den Datenschutz gestellt. Hinter diesem Recht steht in Zeiten des Internets eine revolution?re Forderung: Freiheit für die Technik des Bürgers, um der Privatheit willen! Sie l?sst sich mit dem griechischen Mythos von Daedalus verbinden, der auf technisch unerforschten Wegen aus dem Labyrinth des Minos in die Freiheit flog und sich damit von fremder Herrschaft befreite. Am Absturz seines Sohnes Icarus wird aber auch deutlich, dass Vorbedingung für die Freiheit der Technik das rechte Ma? ist. Nur so kann das grundrechtliche Fundament auch technisch sicher sein.     

Wissen ist Macht?

Mit ihrer Entscheidung vom 11. M?rz 2008 hat die Europ?ische Kommission die übernahme des Online-Werbetechnologie-Anbieters DoubleClick durch den Internet-Suchdienst Google genehmigt. Die Kommission hat sich damit der Entscheidung der amerikanischen Federal Trade Commission (FTC) angeschlossen. Eine Entt?uschung ist dies insbesondere für all diejenigen, die gehofft haben, im Rahmen des europ?ischen Kartellrechts k?nnten — anders als im Rahmen des amerikanischen Antitrust Law — auch datenschutzrechtliche Aspekte eine Rolle spielen. Die Europ?ische Kommission hat es jedoch, wie zuvor schon die FTC, bei einem allgemeinen Bekenntnis zur Wichtigkeit des Datenschutzes belassen; eine kartellrechtliche Relevanz wurde dem Datenschutz hingegen nicht zuerkannt. Der Schutz funktionierenden Wettbewerbs und der Schutz informationeller Selbstbestimmung haben für Kommission und FTC nichts miteinander zu tun. überzeugen kann dies in dieser Allgemeinheit nicht.     

Widersprüchliche Ziele bei Daten- und Verbraucherschutz?

Der Datenschutz ist ein immer wieder neu diskutiertes Thema. Sein grundlegendes Ziel ist, dass der Bürger selbst über seine personenbezogenen Daten bestimmen kann. Für Unternehmen, die zur Unterstützung des Kundenkontakts Informationssysteme einsetzen, besteht daher bereits die Herausforderung, von ihren Kunden die Einwilligung zur automatisierten Verarbeitung deren personenbezogener Daten einzuholen. Der Artikel stellt dar, wie neue Vorschriften im Bereich des Verbraucherschutzes bei Finanzdienstleistungen (Vermittlerrichtlinie und MiFID (engl. Markets in Financial Instruments Directive)) nun sogar vorschreiben, dass bestimmte personenbezogene Daten des Kunden zu dokumentieren sind. Es wird erl?utert, weshalb hierdurch Kunde und Finanzberater in ein Dilemma geraten und welche Herausforderungen sich für Finanzdienstleister bzgl. des Umgangs mit Kundendaten aufgrund dieser Vorgaben ergeben. Zudem werden resultierende Fragestellungen für die Informatik diskutiert.     

Widersprüchliche Ziele bei Daten- und Verbraucherschutz?

Zusammenfassung Der Datenschutz ist ein immer wieder neu diskutiertes Thema. Sein grundlegendes Ziel ist, dass der Bürger selbst über seine personenbezogenen Daten bestimmen kann. Für Unternehmen, die zur Unterstützung des Kundenkontakts Informationssysteme einsetzen, besteht daher bereits die Herausforderung, von ihren Kunden die Einwilligung zur automatisierten Verarbeitung deren personenbezogener Daten einzuholen. Der Artikel stellt dar, wie neue Vorschriften im Bereich des Verbraucherschutzes bei Finanzdienstleistungen (Vermittlerrichtlinie und MiFID (engl. Markets in Financial Instruments Directive)) nun sogar vorschreiben, dass bestimmte personenbezogene Daten des Kunden zu dokumentieren sind. Es wird erl?utert, weshalb hierdurch Kunde und Finanzberater in ein Dilemma geraten und welche Herausforderungen sich für Finanzdienstleister bzgl. des Umgangs mit Kundendaten aufgrund dieser Vorgaben ergeben. Zudem werden resultierende Fragestellungen für die Informatik diskutiert.     

Gesetze als Vorbild für Security Policies

Gesetzestexte und den Gesetzgebungsprozess daraufhin zu untersuchen, ob sich von ihnen etwas für Unternehmensrichtlinien zur Informationssicherheit lernen l?sst, scheint auf den ersten Blick ein fragwürdiges Unterfangen zu sein — immerhin ist die Unverst?ndlichkeit der Rechtssprache fast legend?r. Dass das Ringen der Juristen um „gute“ Gesetze dennoch nützliche Anregungen für Policy-Autoren hergibt, hat einen guten Grund: Genau dort, wo die Sprachreformer unter den Juristen aufgrund der Sachzw?nge, in denen sie stecken, nur ?u?erst mühevoll weiterkommen, k?nnen IT-Verantwortliche von ihnen lernen, wenn sie die Rechtstexte und ihren Entstehungsprozess nicht einfach nachzuahmen versuchen. Unternehmen n?mlich stehen zur Optimierung von Regeln kommunikative Ans?tze zur Verfügung, die der Gesetzgeber nicht nutzen darf oder kann.     

Lebenslanger Datenschutz: Anforderungen an vertrauenswürdige Infrastrukturen

Die Dynamik der Technikentwicklung in den vergangenen Jahren konfrontiert Datenschützer immer wieder aufs Neue mit Risiken für die Privatsph?re der Betroffenen — und es sieht so aus, als ob sich dies in den n?chsten Jahren und Jahrzehnten nicht ?ndern wird. Konzepte für einen lebenslangen Datenschutz erfordern ein Umdenken vom kurzatmigen Systementwurf zu langfristigen und zukunftsf?higen Planungen.     

Modernisierung des Datenschutzes: Ethik der Informationsgesellschaft

Auf Einladung des Innenausschusses des Deutschen Bundestages fand am 5. M?rz 2007 eine ?ffentliche Anh?rung zum Thema der Modernisierung des Datenschutzes statt. Gegenstand waren Entschlie?ungsantr?ge der Fraktionen der FDP sowie von Bündnis90/Die Grünen zum Datenschutzaudit sowie zum Scoring und zu Auskunftspflichten bei Datenschutzpannen. Auf dieser Anh?rung hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar Stellung genommen, dessen schriftliche Ausführungen wir zu den Themen der Modernisierung und des Datenschutzaudits abdrucken.     

Modernisierung des Datenschutzes: Lösungsansätze

Auf Einladung des Innenausschusses des Deutschen Bundestages fand am 5. M?rz 2007 eine ?ffentliche Anh?rung zum Thema der Modernisierung des Datenschutzes statt. Gegenstand waren Entschlie?ungsantr?ge der Fraktionen der FDP sowie von Bündnis90/Die Grünen zum Datenschutzaudit sowie zum Scoring und zu Auskunftspflichten bei Datenschutzpannen. Stellung genommen hat auch der Berliner Beauftragter für Datenschutz und Informationsfreiheit Dr. Alexander Dix, dessen Ausführungen zu den Themen der Modernisierung und des Datenschutzaudits wir abdrucken.     

Authentifizierung zwischen Datenschutz und Technikmisstrauen

Der elektronische Personalausweis geh?rt gemeinsam mit der De-Mail zu jenen Basiskomponenten, mit denen auch die neue Bundesregierung eine rechtssichere elektronische Kommunikation und rechtsverbindliche Authentifizierung der Bürgerinnen und Bürger gew?hrleisten m?chte. Der Aufbau einer solchen IT-Infrastruktur ist zu begrü?en. Allerdings zeichnen sich hier wie bei anderen technologischen Innovationen in der Hand des Staates auch Kritik und Protest ab, die ernst genommen werden sollten. Der Gesetzgeber sollte sich st?rker um die Rechtsfolgen unvermeidbarer IT-Unsicherheit bemühen.     

Der Personenbezug von Geodaten

Zusammenfassung  Obwohl Geodaten in der Praxis eine zunehmende Rolle spielen, gibt es in der jüngeren Zeit keine Diskussion über die rechtsdogmatische Einordnung: Allzu leicht wird von einem Personenbezug ausgegangen. Allzu leicht werden aber auch die Daten erhoben und genutzt. Der Beitrag nimmt eine Kategorisierung nach der Lokalisierung von Personen, mobilen und immobilen Sachen vor. Entgegen einer weit verbreiteten Meinung stellt er zur Diskussion, ob grundstücksbezogene Daten trotz ihrer Zuordnungsm?glichkeit zu einem Eigentümer unter das Datenschutzrecht fallen, wenn sie keine pers?nlichkeitsrechtliche Relevanz haben. Der Beitrag ist als Diskursauftakt und nicht als letzte Weisheit zu verstehen. Dr. Thilo Weichert Landesbeauftragter für den Datenschutz. Leiter des Unabh?ngigen Landeszentrums für Datenschutz Schleswig-Holstein     

Staatliche Datenerhebung in sozialen Netzwerken

Das Internet wird zunehmend auch von staatlichen Stellen als Informationsquelle genutzt. Dies gilt nicht nur für offen zug?ngliche Websites, sondern zwangsl?ufig rücken die sozialen Netzwerke ebenfalls in den Mittelpunkt des Interesses, zumal diese einen enormen Datenbestand aus allgemeinen und personenbezogenen Daten, Fotos, Statusmeldungen, Beziehungsinformationen und vielem mehr bereithalten. Die Nutzung erfolgt seitens der Beh?rden vielfach ohne eine intensivere Besch?ftigung mit den rechtlichen Grundlagen ihres Handelns. In der Regel wird auf den ?ffentlichen Charakter der Informationen verwiesen, der einer Erhebung auch durch staatliche Stellen nicht entgegenstehen k?nne. Obwohl das Bundesverfassungsgericht sich in seiner Entscheidung zur „Online-Durchsuchung“ auch zu diesem Aspekt — konkret der „Online-Streife“ — ge?u?ert hat, ist eine Diskussion in Wissenschaft und Praxis weitgehend ausgeblieben. Im vorliegenden Beitrag wird der grundrechtliche Rahmen einer staatlichen Informationsbeschaffung in sozialen Netzwerken n?her betrachtet.