IM DIGITALEN ZEITALTER - JAN PHILIPP ALBRECHT, MDEP HERAUSGEBER
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
im digitalen Zeitalter
Jan Philipp Albrecht, MdEP
Herausgeber
1
Inhalt Vorwort..................................................................................................................................................................4 I. Datenschutz in der Europäischen Union....................................................................................................................6 Eine kleine Geschichte des Datenschutzes...........................................................................................................6 Die Datenschutzreform der EU.................................................................................................................................8 Das EU-US-Privacy Shield und Datentransfers in Drittstaaten......................................................................12 II. Datenschutz und digitale Wirtschaft........................................................................................................................16 ePrivacy: Datenschutz in der elektronischen Kommunikation....................................................................16 Big Data und das Internet der Dinge.......................................................................................................................20 Bezahlen mit persönlichen Daten?.........................................................................................................................26 TTIP, TiSA, CETA & Co.: Handelsabkommen als Gefahr für den Datenschutz?.....................................28 III. Datenschutz bei Polizei und Sicherheitsbehörden.........................................................................................32 Polizeiarbeit und Strafverfolgung in Europa....................................................................................................32 1. EU-Datenschutzregeln für Polizei und Justiz.......................................................................................34 2. Anlasslose Datensammlung: Viele Informationen, wenige Erkenntnisse....................................37 Die Vorratsdatenspeicherung (VDS)...........................................................................................................37 Die Fluggastdatenüberwachung (PNR).....................................................................................................39 3. Die Verknüpfung von Datenbanken der Grenz- und Polizeibehörden..........................................41 4. Die Anti-Terror-Koordination in der EU..................................................................................................45 Geheimdienste in Europa...........................................................................................................................................47 IV. Wie schütze ich meine Privatsphäre im Internet?............................................................................................50 Nützliche Tipps & Tricks..........................................................................................................................................50
Liebe Leserin, lieber Leser!
Datenschutz ist für viele Menschen noch immer ein ab- logien und Innovationen, durch die der technologische
strakter und technischer Begriff. Entsprechend ist die Fortschritt stärker von der Nutzung personenbezogener
Anzahl derer, die sich intensiv mit diesem Thema be- Daten entkoppelt und die Anonymität und Selbstbe-
schäftigen, noch immer begrenzt. Dabei betreffen die stimmung der Menschen gestärkt wird. Hier ist auch der
Folgen der Verarbeitung personenbezogener Daten uns Gesetzgeber gefragt.
alle mittlerweile täglich. Und sie nehmen immer kon-
kretere Formen mit zum Teil schwerwiegenden Folgen Die vorliegende Broschüre soll die Ansätze für eine Stär-
an – sei es die individuell berechnete Krankenversiche- kung und Weiterentwicklung des Datenschutzes im di-
rungsprämie, das maßgeschneiderte Werbeangebot gitalen Zeitalter zusammenbringen und einen Überblick
oder der in Echtzeit aus den Daten der Onlineshop-Be- über die aktuellen Herausforderungen bieten. Sie fasst
sucherin berechnete Preis – die alltäglichen Möglichkei- die bestehenden und die gegenwärtig in der Diskussion
ten der Diskriminierung auf Grund von Datensammlun- befindlichen Gesetzgebungsakte der Europäischen Uni-
gen wachsen rasant. Ausgeklügelte Algorithmen, große on zusammen und ist daher eine Handreichung für all
Datenmengen und die umfassende Vernetzung und jene, die sich für den Datenschutz in der Europa und der
Erfassung aller Lebenssachverhalte bringen die Privat- Welt engagieren wollen. In der Hoffnung, dass es schnell
sphäre und die Selbstbestimmung der Einzelnen in er- und stetig mehr werden.
hebliche Bedrängnis. Der Datenschutz ist der Schlüssel,
um den Menschen wieder in den Mittelpunkt zu stellen In diesem Sinne wünsche ich viel Freude beim Lesen!
und zu verhindern, dass er Spielball, Objekt oder gar
Opfer des technologischen Fortschritts wird. Anders als Herzliche Grüße
der Begriff Datenschutz vermuten lässt, geht es nicht
um den Schutz von Daten, sondern um den Schutz
von Menschen. Und es werden bei Weitem auch nicht
alle Daten vom Datenschutz erfasst, sondern nur die-
jenigen, anhand derer ein Mensch identifizierbar wird:
die personenbezogenen Daten. Ganz anders, als es so
manche Gegnerinnen und Gegner eines starken Daten- Abgeordneter im Europäischen Parlament, innen- und
schutzes heute zu vermitteln versuchen, wird eine große justizpolitischer Sprecher der Grünen/EFA-Fraktion, stell-
Anzahl von Daten nie personenbezogen sein (müssen). vertretender Vorsitzender des Ausschusses für bürgerliche
Statt also den Datenschutz als Grundrecht und Prinzip Freiheiten, Justiz und Inneres, stellvertretendes Mitglied im
in Frage zu stellen, braucht es vor allem neue Techno- Ausschuss für Binnenmarkt und Verbraucherschutz
4 5
Datenschutz ist im Kern keine technische Angelegenheit. Mit der Europarats-Konvention 108 und den Richtlinien
Was geschützt werden soll, sind nicht die Daten, sondern der Organisation für wirtschaftliche Zusammenarbeit
die Menschen. Es geht darum, dass wir in der digitalisier- und Entwicklung (Organisation for Economic Coopera-
ten Welt selbst entscheiden können, wer etwas über uns tion and Development, OECD) wurden 1980 erstmals
weiß, was mit diesen Daten geschieht und welche Aus- Versuche unternommen, das Recht auf Datenschutz
I. Datenschutz in der EU
wirkungen das möglicherweise auf unser Leben hat. Das international zu vereinheitlichen und so auch dem im-
erste Datenschutzgesetz der Welt wurde 1970 in Hessen mer mehr Grenzen überschreitenden Datenaustausch
eingeführt. In den USA gab es im Zuge der Studenten- Rechnung zu tragen. Der erste wesentliche Schritt für
unruhen außerdem Diskussionen darüber, ob Computer die Europäische Union war die Verabschiedung der EU-
Eine kleine Geschichte des Datenschutzes
auch zur politischen Kontrolle eingesetzt werden sollten, Richtlinie 1995/46 zum Schutz personenbezogener Daten
etwa durch Datenbanken über radikale Oppositionelle. im Jahr 1995. Die EU-Grundrechtecharta, die seit 2009
Als Reaktion auf diese Diskussionen wurde 1974 der US bindend für alle Gesetzgeber in der Europäischen Union
My home is my castle – dieser Anspruch wurde bereits im Im 20. Jahrhundert wurde die automatisierte Verarbei- Privacy Act verabschiedet. Dieser regelt allerdings nur Da- gilt, etablierte den Datenschutz als Grundrecht auch in
Jahr 1604 in England geprägt. Das Konzept entstand im tung von Daten durch Maschinen entwickelt. Bereits tenschutz für Behörden; für Unternehmen haben die USA der EU.
Rahmen eines Gerichtsstreits und begrenzte das Recht vor der Erfindung des Computers wurden Lochkarten bis heute kein umfassendes Datenschutzgesetz.
der Soldaten des Königs, ohne Grund und Ankündigung benutzt, um große Datenmengen automatisch zu verar- Leider haben sich viele Unternehmen nicht an dieses
in ein Haus einzudringen. Das Recht auf Privatheit er- beiten. Dies spielte eine Rolle bei technischen Berech- Nationale Datenschutzgesetze entstanden nach und europäische Datenschutzrecht gehalten, weil es keine
streckte sich also zunächst auf die eigenen vier Wände. nungen, aber mit Lochkarten konnten nun auch Daten nach vor allem in der Europäischen Union. Sie setzten ausreichenden Sanktionsmöglichkeiten gab. Außerdem
Ab Ende des 19. Jahrhunderts ging es auch um die in- über Menschen automatisch verarbeitet werden, etwa den Datenverarbeitern Grenzen und räumten den Betrof- herrschte ein Flicketeppich aus 28 unterschiedlichen
formationelle Selbstbestimmung. Die Bostoner Juristen für Verwaltungszwecke. Auch die Nazis nutzten Loch- fenen – also uns – Rechte ein, zum Beispiel auf Auskunft nationalen Gesetzen, in denen die Richtlinie umgesetzt
Samuel Warren und Louis Brandeis schrieben 1895 den kartenmaschinen der IBM-Tochter Hollerith, um den in- über unsere Daten oder auf Löschung. Das Bundesverfas- wurde. Der nächste große Schritt war daher die Reform
Aufsatz The Right to Privacy und begründeten darin das dustriellen Massenmord an den europäischen Juden zu sungsgericht hat in einem wegweisenden Urteil zur Volks- des Datenschutzrechtes in der EU, die von 2012 bis 2016
Recht, die Kontrolle über das zu behalten, was andere organisieren. zählung 1983 dann den treffenden Begriff informationelle zwischen Europäischem Parlament, Ministerrat und Eu-
Menschen über uns wissen. Den Ausschlag dafür hatten Selbstbestimmung geprägt: Da mehr und mehr Informa- ropäischer Kommission verhandelt wurde. Die so ent-
neue technologische Entwicklungen gegeben: Die ers- Als in den 1960er Jahren Großrechner in Behörden und tionen über unser Leben digital vorhanden sind, müssen standene Datenschutzreform muss ab Frühjahr 2018 in
ten Handkameras für Schnappschüsse und das Entste- Unternehmen Einzug hielten, entstand eine breite De- wir das Recht haben, zu kontrollieren, wer was über uns allen Mitgliedstaaten unmittelbar angewendet werden
hen moderner Tageszeitungen riefen die ersten Sensa- batte über die Macht der neuen Maschinen. Damals wie weiß – und was er oder sie mithilfe von Computern damit und wird uns helfen, unsere digitale Selbstbestimmung
tionsfotografen (Paparazzi) auf den Plan, gegen die sich heute war die Idee des Datenschutzes, die Chancen und anstellen kann. Das Bundesverfassungsgericht erkannte zurückzuerobern. Gleichzeitig schafft sie faire Wettbe-
Warren und Brandeis wehrten. Es ging bereits damals Möglichkeiten der neuen Technologie zu nutzen, gleich- damals sehr weitsichtig, dass eine Gesellschaft, in der wir werbsbedingungen für Unternehmen, die sich nun an
nicht darum, Technik und Innovationen Steine in den wohl aber Menschen nicht zu reinen Objekten automa- uns immer beobachtet, erfasst, vermessen und gerastert ein einheitliches Recht halten müssen. Die Datenschutz-
Weg zu legen, sondern um einen würdevollen Umgang tischer Computeroperationen zu degradieren. Das Kon- fühlen, keine offene Gesellschaft von freien und gleichen reform ist somit auch Teil der Vollendung des europäi-
mit neuen Technologien, der die Selbstbestimmung der zept des Datenschutzes wurde entwickelt. Menschen mehr ist. schen digitalen Binnenmarktes.
Menschen respektiert.
6 7
Warum überhaupt eine Reform des geschieht, in langen und kompliziert zu lesenden Daten-
europäischen Datenschutzes?
Die Datenschutzreform der
schutzerklärungen versteckt.
Die EU-Datenschutzrichtlinie von 1995 enthielt wichtige
Europäischen Union Prinzipien, doch leider war ihre Umsetzung in vielen Mit-
gliedstaaten der EU sehr schwach: Datenschutzbehörden
Starke und einheitliche Regeln
für die gesamte EU
waren nicht ausreichend ausgestattet und die Bußgel- Dies alles wird sich nun ändern. Künftig ist die EU-Daten-
Am späten Abend des 15. Dezember 2015 war es soweit: der, die sie bei Verstößen verhängen konnten, wurden schutz-Grundverordnung1 das einheitliche, starke Da-
Das Europäische Parlament, der Ministerrat und die von vielen großen Unternehmen aus der Portokasse ge- tenschutzgesetz für alle 500 Millionen Bürgerinnen und
EU-Kommission einigten sich auf die neue Datenschutz- zahlt. Gleichzeitig waren gesetzestreue Firmen, die den Bürger der Europäischen Union. Sie schafft Transparenz,
Grundverordnung, die ab dem 25. Mai 2018 in allen Mit- Datenschutz respektieren wollten, mit 28 verschiedenen gibt den Verbraucherinnen und Verbrauchern auf dem
gliedstaaten der EU unmittelbar gelten wird. Vorange- Gesetzen konfrontiert, wenn sie europaweit tätig sein gesamten EU-Binnenmarkt durchsetzbare Rechte und
gangen war dieser Einigung ein langer und intensiver und den EU-Binnenmarkt nutzen wollten. Die vielen Un- sorgt für faire Wettbewerbsbedingungen sowie Rechts-
Verhandlungsprozess, der im Jahr 2012 mit einer Geset- ternehmen, die nur einen Standort in der Europäischen sicherheit auf Seiten der Unternehmen. Die Verordnung
zesvorlage der EU-Kommission zur Reform des Daten- Union haben und ihre Dienste online auf dem gesamten löst den Flickenteppich vorheriger Regelungen in den 28
schutzes begonnen hatte. EU-Binnenmarkt anbieten, stellten die Kundinnen und Mitgliedstaaten ab. Sie gilt für alle Unternehmen und Be-
Kunden wiederum vor ein großes Problem: Diese muss- hörden mit Ausnahme der Sicherheitsbehörden.
ten sich, um ihre Rechte durchzusetzen, umständlich mit
dem Recht des EU-Mitgliedstaats befassen, in dem das
Deutschland darf nicht zurückfallen
Unternehmen seinen Sitz hatte – wie der österreichische
Student Max Schrems, der für viel Geld in Dublin vor Ge- Die Mitgliedstaaten können nur noch in den engen Gren-
richt ziehen musste, um seine Ansprüche gegen Facebook zen, die ihnen die Verordnung lässt, spezifische Regeln fest-
durchzusetzen. legen, etwa für die behördliche Datenverarbeitung oder für
die Bestellung betrieblicher Datenschutzbeauftragter. Die
Firmen, die von außerhalb der EU hier ihre Online-Dienste Entwürfe aus dem Bundesinninministerium von 2016 für
anbieten, haben sich dagegen vielfach überhaupt nicht das Anpassungsgesetz zum Bundesdatenschutzgesetz
an das EU-Datenschutzrecht gehalten. Die amerikani- überschreiten diese Grenzen und unterlaufen sowohl das
sche IT-Industrie in Silicon Valley oder andere außereu- beschlosse Datenschutzniveau auf EU-Ebene, als auch das
ropäische Anbieter hatten aufgrund dieser mangelnden bisherige deutsche Datenschutzrecht massiv. Sie würden
Rechtsdurchsetzung einen klaren Standortvorteil gegen- Deutschland vom Vorreiter zum Schlusslicht des Daten-
über europäischen Anbietern. Amerikanische wie euro- schutzes in der EU machen und sind in großen Teilen eu-
päische Unternehmen haben darüber hinaus häufig die roparechtswidrig und damit unwirksam. Für uns Grüne ist
Informationen darüber, was mit unseren Daten eigentlich dieser Entwurf deshalb nicht tragbar.
1
Die Gesetzestexte und weitere Hintergründe zur Datenschutz-Grundverordnung findet ihr unter:
8 https://www.janalbrecht.eu/themen/datenschutz-digitalisierung-netzpolitik/alles-wichtige-zur-datenschutzreform.html. 9
Die wichtigsten Neuerungen der Datenschutzreform
Klare Grundprinzipien Informationspflichten und Transparenz Datenschutz in Drittstaaten Weniger Bürokratie
Die Verordnung enthält klare Grundprinzipien wie Nutzerinnen und Nutzer werden klare Auskunft Alle Unternehmen, die Dienste in der EU anbieten, Neben der Reduzierung von 28 verschiedenen
Zweckbindung, Datensparsamkeit, Begrenzung der darüber erhalten, wie die eigenen Daten verar- müssen sich an das EU-Datenschutzrecht halten, Standards auf ein Gesetz für den europäischen
Datenspeicherung, Transparenz, Vertraulichkeit beitet werden. Datenverarbeiter müssen einfach, auch wenn sie ihren Sitz nicht in der EU haben. Markt ist eine ganze Reihe von Erleichterungen für
und Datensicherheit, also den Schutz vor Fremd- verständlich und kostenlos erklären, welche Daten Auch außerhalb der EU müssen Bürgerinnen und Unternehmen vorgesehen. Die Ernennung eines be-
zugriffen und Manipulation. Die klare Einwilligung sie in welchen Kontexten und zu welchem Zweck Bürger, deren Daten weitergeleitet werden, die trieblichen Datenschutzbeauftragten zum Beispiel
der Betroffenen ist ein zentraler Eckpfeiler. Sen- verarbeiten und an wen sie die Daten weitergeben. gleichen Rechte haben wie Zuhause, einschließlich ist davon abhängig, welche und wie viele Daten ver-
sible Daten, die zum Beispiel Informationen über Nutzungsbedingungen müssen leicht zu verstehen Klagemöglichkeiten. Firmen dürfen Daten nicht arbeitet werden und nicht davon, wie viel Personal
Gesundheitszustand, politische Überzeugungen sein. EU-weit standardisierte Symbole werden direkt an Behörden in Drittstaaten weitergeben. ein Unternehmen beschäftigt.
oder sexuelle Präferenzen geben, sind besonders lange Datenschutzerklärungen leicht verständlich
geschützt. zusammenfassen.
Datenschutzkonforme Technikgestal- Ein Ansprechpartner für die gesamte EU
tung Der One-Stop Shop-Ansatz bedeutet, dass sich Bür-
Zukunftstaugliche Definitionen Recht auf Vergessenwerden, Wider- Datenverarbeiter müssen ihre Dienste datenspar- gerinnen und Bürger wie auch Unternehmen in der
Alle Informationen, die direkt oder indirekt einer spruch, Datenportabilität und Zugang sam konzipieren und mit den datenschutzfreund- gesamten EU nur noch an eine einzige Datenschutz-
Person zugeordnet werden können, müssen als Wer möchte, dass persönliche Daten gelöscht lichsten Voreinstellungen anbieten (Privacy by behörde wenden müssen. Betroffene können ihre
personenbezogene Daten geschützt werden. Dafür werden, kann dieses Recht auf Vergessenwerden Design/Privacy by Default). Nur solche Daten dürfen Beschwerden in ihrer Sprache an die Datenschutz-
müssen Daten nicht unbedingt auf die bürgerliche gegenüber dem Datenverarbeiter durchsetzen. Das erhoben werden, die zur Erbringung des Dienstes behörde in ihrem Mitgliedstaat richten, egal, wo
Identität einer Person schließen lassen – es reicht, öffentliche Interesse an bestimmten Informationen wirklich benötigt werden. Unternehmen dürfen ihr der Datenmissbrauch passiert ist.
eine Person wiedererkennen zu können, zum wie beispielsweise über Prominente und Personen Angebot nicht davon abhängig machen, dass sie
Beispiel anhand von Browsermerkmalen oder der des öffentlichen Lebens muss hierbei abgewogen Daten verarbeiten, die sie für ihr Angebot gar nicht
IP-Adresse. werden mit dem Recht, Daten löschen zu lassen. benötigen (Koppelungsverbot).
Verbindlicher Widerspruch gegen die Verarbeitung
Wirksame Sanktionen
der eigenen Daten ist künftig auch automatisiert In Fällen von Verstößen gegen die Verordnung müs-
möglich, zum Beispiel durch Browser-Einstellungen sen Unternehmen harte Geldstrafen von bis zu vier
wie Do not Track. Neu ist auch das Recht auf den Prozent des weltweiten Jahresumsatzes zahlen.
Umzug eigener Daten, etwa beim Anbieterwechsel Dies soll Datenschutzverstößen vorbeugen und das
(Datenportabilität). Bewusstsein dafür schärfen, dass Datenschutz ein
Grundrecht ist.
10 11
erhalten und weiterverarbeiten. Die Vorgängerregelung Lösung zwischen europäischer Gesetzesregelung und
Safe Harbour, die seit dem Jahr 2000 bestand, war näm- amerikanischer Selbstzertifizierung: Amerikanische
lich im Oktober 2015 vom Europäischen Gerichtshof für Unternehmen, die sich freiwillig einer Reihe von Da-
ungültig erklärt worden. Wie kam es dazu, und welche tenschutzprinzipien unterwarfen und dies beim US-
Probleme bestehen weiterhin? Handelsministerium anmeldeten, galten als „sicherer
Hafen“ und konnten persönliche Daten aus der EU
empfangen und weiterverarbeiten. Diese Einigung aus
Problemfall USA
dem Jahr 2000 ist daher unter dem Namen Safe Har-
Das EU-US-Privacy Shield und
Die USA haben bereits seit dem Jahr 1974 einen Fede- bour bekannt und mit einer Entscheidung der EU-Kom-
ral Privacy Act, der allerdings nur die Datenverarbeitung mission rechtlich verankert.
öffentlicher Behörden regelt. Im Privatsektor gibt es bis
Datentransfers in Drittstaaten heute kein umfassendes Datenschutzgesetz. Stattdes-
sen bestehen für bestimmte Sektoren oder Nutzergrup-
Safe Harbour wurde bereits vor der Verabschiedung von
Datenschützerinnen und -schützern und vom Europäi-
pen Spezialgesetze. Für Telekommunikationsanbieter schen Parlament als ungenügend kritisiert. Die Zusiche-
gilt der Electronic Communications Privacy Act aus dem rungen der USA bestanden eben nicht wie in anderen als
Im Gegensatz zu anderen Grundrechten wie der Mei- fer weiterhin ausüben können. Ist dies nicht der Fall, Jahr 1986. Dieser erfasst aber nicht die Anbieter von angemessen anerkannten Drittstaaten aus gesetzlichen
nungsfreiheit oder der Freizügigkeit ist Datenschutz kein darf der Transfer nicht stattfinden. Hat das Empfän- Online-Diensten, darunter so große Unternehmen wie Regeln, sondern aus einer Reihe von Schriftstücken und
Grundrecht, dass die Betroffenen unmittelbar ausüben gerland kein mit den EU-Standards vergleichbares Da- Google, Facebook, Yahoo oder Amazon, ebenso wenig Briefen im Anhang der Kommissionsentscheidung, de-
können. Während ich meine Meinungsfreiheit einfach tenschutzgesetz, kann der Verarbeiter in der EU (etwa die Web-Tracker, die im Hintergrund laufen oder die so nen sich die US-Unternehmen freiwillig unterwarfen.
nutzen kann, indem ich etwas sage, brauche ich für die Facebook Irland) sich allerdings vom Empfänger im genannten Data-Brokers, also Unternehmen wie Ac- Zudem waren die Beschwerdemöglichkeiten nicht für
Ausübung zum Beispiel des Rechts auf Auskunft oder Drittstaat (etwa Facebook USA) zivilrechtlich zusichern xiom, LexisNexis, Abacus oder ChoicePoint, die große alle Betroffenen in der EU sichergestellt und Unterneh-
Löschung meiner Daten die Kooperation der Datenver- lassen, dass die Daten nach EU-Standards verarbeitet Mengen an persönlichen Daten sammeln und an andere men, die bei Verstößen erwischt wurden, hatten keiner-
arbeiter. Die neue EU-Datenschutz-Grundverordnung werden und die Betroffenen dieselben Rechte haben. Unternehmen weiterverkaufen. lei Pflicht auf Schadensersatzzahlungen. Mehrere Studi-
wird mit ihren starken Sanktionsmöglichkeiten dazu Dazu gibt es von der EU-Kommission zertifizierte Stan- en kamen in den folgenden Jahren übereinstimmend zu
beitragen, dass auch bisher unwillige Datenverarbeiter dardvertragsklauseln. Die Datenverarbeiter können dem Ergebnis, dass die Selbstzertifizierung nicht funkti-
Die Entstehung von Safe Harbour
in Zukunft besser kooperieren und uns unsere Rechte in- auch individualisierte Vertragsklauseln nutzen, sofern onierte – so hatten hunderte der Unternehmen auf der
nerhalb der EU auch wirklich ausüben lassen. die zuständige Datenschutzbehörde in ihrem EU-Staat Nach dem Inkrafttreten der EU-Datenschutzrichtlinie Safe Harbour-Liste des US-Handelsministeriums nicht
dies genehmigt hat. aus dem Jahr 1995 begann hektische Verhandlungs- einmal ihre Datenschutzregeln veröffentlicht.
diplomatie zwischen Brüssel und Washington, als die
Datenschutz-Rechte reisen
Ein Beispiel für ein solches Verfahren ist die Privacy US-Regierung merkte, dass amerikanische Unter-
mit den Daten Ende von Safe Harbour durch
Shield-Vereinbarung zwischen der EU und den USA, die nehmen vom Datenaustausch mit der EU abgeschnit-
Bei Übermittlungen von personenbezogenen Daten in die Europäische Kommission am 12. Juli 2016 offiziell an- ten zu werden drohten. Leider verabschiedete die Snowden und Schrems
Drittstaaten außerhalb der EU muss sichergestellt sein, genommen hat. Auf dieser Basis dürfen amerikanische US-Regierung kein umfassendes Datenschutzgesetz. Als durch die Enthüllungen des ehemaligen NSA-Mit-
dass die Betroffenen ihre Rechte auch nach dem Trans- Unternehmen nun wieder persönliche Daten aus der EU Der Kompromiss bestand am Ende aus einer Hybrid- arbeiters und Whistleblowers Edward Snowden seit
12 13
Juni 2013 klar wurde, in welch massivem Umfang US- falls nicht gewährleistet. Der Europäische Gerichtshof Grünen/EFA-Fraktion im Europäischen Parlament, die
Geheimdienste auch Daten von privaten Unternehmen hob daher Safe Harbour mit sofortiger Wirkung auf. Gültigkeit des Privacy Shield wenigstens auf zwei Jahre Das Wichtigste zu Privacy Shield
auswerten, stellte sich sofort die Frage nach der Zukunft Zusätzlich stellte er fest, dass auch die unabhängigen zu befristen, fand leider keine Mehrheit. Ungeachtet der
von Safe Harbour. Das Europäische Parlament forderte Datenschutzbehörden der EU-Mitgliedstaaten jederzeit Kritik nahm die Europäische Kommission das Privacy Datenschutz ist ein Recht, das mit den Daten reist.
mehrfach, die Vereinbarung sofort auszusetzen. Die EU- das Recht haben, bei bekannten und ernsthaften Verstö- Shield an. Beim Transfer in Länder außerhalb der EU muss daher
Kommission folgte dem nicht, sondern begann zunächst ßen Unternehmen wie Facebook ihre Datentransfers an ein gleichwertiger Datenschutz gewährleistet sein.
Gespräche mit den USA unter der Zielsetzung, eine neue Drittstaaten wie die USA zu untersagen. Zwar enthält das Privacy Shield einige wenige Verbesse-
Vereinbarung zu verhandeln. rungen im Vergleich zu Safe Harbour, die Schattenseiten Das Privacy Shield zur Übermittlung personenbezo-
überwiegen jedoch deutlich. Den US-Geheimdiensten gener Daten in die USA entspricht bei Weitem nicht
Privacy Shield statt Safe Harbour
Der österreichische Jurist Max Schrems wählte einen an- wird weiterhin in sechs Fällen die massenhafte automa- dem EU-Datenschutz. Unternehmen haben weniger
deren Weg: Er ging gegen das Privatunternehmen Face- Das Urteil des Europäischen Gerichtshofs schlug in Wa- tische Datensammlung gestattet, darunter so unscharfe Regeln und die Massenüberwachung durch die NSA
book vor, weil durch die Enthüllungen über das PRISM- shington und Brüssel ein wie eine Bombe. Die Daten- Szenarien wie „die Festellung der Aktivitäten gewisser wird weiterhin akzeptiert.
Programm der NSA bekannt geworden war, dass das schutzbehörden der EU gaben den Datenverarbeitern ausländischer Mächte“, was de facto alles bedeuten
Unternehmen, wie auch viele andere Internet-Giganten, eine Schonfrist bis Ende Januar 2016, bevor sie mit der kann. Im privatwirtschaftlichen Bereich sind weiterhin Wenn die USA ihre Rechtslage nicht deutlich ändern,
die Daten seiner Nutzerinnen und Nutzer direkt der NSA Durchsetzung beginnen würden – also Datentransfers die unternehmensfreundlichen privaten Streitschichter- wird das Privacy Shield vermutlich genau wie der
zur Verfügung stellte. Facebooks Sitz in Europa ist in der konkret untersagen und bei Zuwiderhandlung Bussgel- Stellen vorgesehen, die häufig im Sinne der Unterneh- Vorgänger Safe Harbour am Europäischen Gerichts-
irischen Hauptstadt Dublin. Nachdem die irische Daten- der verhängen. Diese Zeit nutzten viele Firmen, um ihre men und nicht der Betroffenen entscheiden, und die Fe- hof scheitern. Bis dahin sollten die Datenschutzbe-
schutzkommission eine Beschwerde von Max Schrems Datentransfers auf Standardvertragsklauseln mit dem deral Trade Commission als Aufsichtsbehörde in den USA hörden im Zweifelsfall Datentransfers untersagen.
abgewiesen hatte, weil nach ihrer Ansicht nur die EU- Empfänger in den USA umzustellen. Auch diese alter- ist gesetzlich nicht verpflichtet, jede einzelne Beschwer-
Kommission selbst solche Entscheidungen wie Safe Har- native Rechtsgrundlage für Datentransfers in die USA de zu verfolgen. Ein generelles Widerspruchsrecht zu
bour und die damit verbundenen Datentransfers in die brachte Max Schrems mittlerweile vor Gericht. einer Datenverarbeitung, wie es das EU-Recht vorsieht,
USA wieder aufheben könne, klagte er beim Obersten gibt es ebenfalls nicht.
Gerichtshof Irlands. Die EU-Kommission und die US-Regierung intensivier-
ten als Reaktion auf das Urteil ihre seit zwei Jahren
Der Fall wurde dem Europäischen Gerichtshof (EuGH) in laufenden Verhandlungen über eine Nachfolgevereinba-
Luxemburg vorgelegt, der am 6. Oktober 2015 mit einem rung zu Safe Harbour und präsentierten Anfang Februar
Paukenschlag ein in mehrfacher Hinsicht historisches 2016 erste Ergebisse. Die EU-Datenschutzbeauftragten
Urteil fällte. Das Gericht stellte fest, dass gleich zweifach zeigten sich nicht überzeugt und kritisierten im April
der unantastbare Kernbereich eines Grundrechts be- 2016 eine Reihe grundlegender Punkte. Das Europäische
rührt worden war: Die massenhafte Überwachung der Parlament äußerte im Mai 2016 in einer Entschließung
Kommunikationsinhalte durch die NSA greift den Kern ebenfalls starke Bedenken, weil das Privay Shield die
des Grundrechts auf Vertraulichkeit der Kommunikati- grundlegenden Probleme wie andauernde Massen-
on an und das Grundrecht auf effektiven Rechtsschutz, überwachung und keine echte Durchsetzung der Regeln
also die Möglichkeit zu klagen, ist in diesem Fall eben- gegenüber Unternehmen nicht löste. Der Antrag der
14 15
Die in der Datenschutz-Grundverordnung festgehaltenen Kann das weg?
II. Datenschutz und
Standards und Prinzipien gelten für alle Unternehmen
und Behörden mit Ausnahme der Sicherheitsbehörden. Große Teile der Telekommunikationsindustrie fordern,
Dies schließt natürlich auch Anbieter elektronischer dass die ePrivacy-Richtlinie ersatzlos gestrichen wer-
Kommunikationsdienste ein. Darüber hinaus gibt es je- den sollte. Ihre Begründung: Durch die allgemeine Da-
digitale Wirtschaft doch noch strengere Regeln für den Schutz der Privat-
sphäre in der Kommunikation, die in der so genannten
ePrivacy-Richtlinie aus dem Jahr 2002 festgehalten sind
tenschutz-Grundverordnung sei ja bereits alles geregelt
und die Telekommunikationsunternehmen sollten keine
weitergehenden Pflichten oder Beschränkungen aufer-
und für alle Anbieter von Telefonie-, Internet- oder Email- legt bekommen als andere Datenverarbeiter.
ePrivacy: Datenschutz in der Diensten gelten. Unter anderem schränkt diese Richtlinie
die Verbreitung unerwünschter Werbung massiv ein und Die strengeren Regeln in der ePrivacy-Richtlinie für die
elektronischen Kommunikation verbietet die Weiterverarbeitung von Standort- und Ver-
bindungsdaten ohne die ausdrückliche Einwilligung der
Weiterverarbeitung von Standort- und Verkehrsdaten,
um nur ein Beispiel zu nennen, sind jedoch weiterhin
Betroffenen. Seit der letzten Novelle im Rahmen des Te- notwendig. Sie ergeben sich verfassungsrechtlich dar-
lekom-Paketes aus dem Jahr 2009 regelt sie auch, dass aus, dass die nun kommende neue ePrivacy-Verordnung
die Nutzerinnen und Nutzer bei der Verwendung von gleich zwei Grundrechte umsetzen und schützen soll:
Tracking-Cookies vorher gefragt werden müssen. Das Recht auf den Schutz personenbezogener Daten, auf
das sich auch die Datenschutz-Grundverordnung stützt,
Im Januar 2017 hat die EU-Kommission einen Vorschlag aber darüber hinaus das Recht auf Achtung des Privat-
für die Revision dieser Richtlinie vorgelegt. Sie wird und Familienlebens, das auch die Vertraulichkeit der
ebenfalls in eine EU-Verordnung umgewandelt. Das Kommunikation enthält. In Deutschland hat das Bundes-
entspricht der in der Datenschutz-Grundverordnung verfassungsgericht dies in seinem Staatstrojaner-Urteil
vereinbarten Anpassung der besonderen Bestimmun- aus dem Jahr 2008 als Grundrecht auf Gewährleistung
gen für den Telekommunikationsbereich an die neuen der Vertraulichkeit und Integrität informationstechni-
EU-Datenschutzregeln. Im Gegensatz zu einer Richtli- scher Systeme sogar noch weiter formuliert.
nie muss eine Verordnung nicht erst in nationales Recht
umgesetzt werden, sondern gilt unmittelbar in allen Mit- Gerade angesichts der weiterhin andauernden Massen-
gliedstaaten. So wird es wie bei der Datenschutz-Grund- überwachung sollten Anbieter von Kommunikations-
verordnung ein einheitliches Recht für die gesamte EU diensten sogar explizit in die Pflicht genommen werden,
geben und nicht wie bisher 28 unterschiedliche Gesetze dieses Grundrecht aktiv zu schützen, zum Beispiel durch
in den Mitgliedstaaten. Über die Inhalte ist seit Frühjahr Ende-zu-Ende-Verschlüsselung ohne „Hintertüren“, also
2016 bereits eine beachtliche Lobbyschlacht entbrannt. geplante Sicherheitslücken. Solche „Hintertüren“ könn-
Was steht auf dem Spiel?2 ten nicht nur von Polizei und Geheimdiensten, sondern
2
Aktuelle Hintergründe und Texte findet ihr hier: https://www.janalbrecht.eu/themen/datenschutz-digitalisierung-netzpolitik/eprivacy.html
16 17
auch von Kriminellen genutzt werden. Eine weitere For- wollen, dass die ePrivacy-Verordnung für alle Kommuni- den, die etwa benötigt werden, damit ein elektronischer len diese Öffnungsklausel streichen. Von Seiten einiger
derung ist, dass nicht nur die Vertraulichkeit der Kom- kationsdienste gilt. Einkaufswagen in demselben Online-Shop über meh- Innenminister in der EU kommt dagegen die Forderung,
munikationskanäle sichergestellt sein muss, sondern rere Kauf-Vorgänge hinweg seinen Inhalt behält, und die Pflicht zur anlasslosen Datenspeicherung auch auf
auch die der Endgeräte. Wenn das Betriebssystem mei- Tracking-Cookies, die uns über tausende verschiedene internetbasierte Over-The-Top-Dienste wie WhatsApp
Weg mit der Cookie-Nerverei!
nes Smartphones trotz bekannter Verwundbarkeiten Webseiten hinweg überwachen und verfolgen und da- oder Skype auszudehnen. Damit würde aber das Grund-
nicht zeitnah aktualisiert und damit die Sicherheitslücke Die Regeln zur Einwilligung beim Setzen von Cookies, die mit umfassende Persönlichkeitsprofile erstellen. Aller- recht auf Vertraulichkeit der privaten Kommunikation
geschlossen wird, kann nämlich meine Kommunikation seit 2009 in der ePrivacy-Richtlinie enthalten sind, wur- dings werden hierfür nicht mehr nur Cookies verwendet, noch weiter ausgehöhlt. Der Europäische Gerichtshof
sehr einfach durch das Ausnützen dieser Sicherheits- den leider sehr unterschiedlich ausgelegt. Viele Websei- sondern auch Browser-Fingerprints, Gerätekennungen, hat im Dezember 2016 in seinem Urteil zu den Gesetzen
lücken ausgespäht werden. Daher sollten auch Sicher- ten zeigen beim ersten Besuch einfach ein Popup-Fens- Telefonnummern von Smartphones und ähnliches. Es in UK und Schweden klargestellt, dass im Gegenteil eine
heits- und Vertraulichkeitsregeln für die Hersteller von ter an, in dem die Verwendung von Cookies erwähnt und braucht daher eine technikneutral formulierte Rege- anlasslose Speicherung der gesamten Kommunikati-
Endgeräten zur Kommunikation eingeführt werden. ein Klick auf einen OK-Knopf verlangt wird, weil sonst lung, die vor allem das heutzutage fast ohne Schranken onsdaten auf keinen Fall mit den Grundrechten verein-
die Seite nicht mehr benutzt werden kann. Das ist sicher betriebene Online-Tracking in den Griff bekommt, aber bar ist.
nicht im Sinne des Gesetzgebers, denn es hat de facto gleichzeitig die Nutzerinnen und Nutzer nicht mit stän-
Geltungsbereich: Nur Telekommunika-
dazu geführt, das Internet darauf zu trainieren, dass die digen Einwilligungsabfragen nervt.
tionsdienste oder auch Messenger? Nutzer und Nutzerinnen einfach auf OK klicken, sobald
Weite Teile der ePrivacy-Richtlinie gelten nur für klassi- unten auf einer Webseite etwas aufpoppt. Es wider-
Freie Kommunikation oder Das Wichtigste zu ePrivacy:
sche Kommunikationsdienste wie Telefonie oder SMS. spricht aber auch dem Koppelungsverbot, das in der Da-
Diese werden aber immer mehr durch internetbasier- tenschutz-Grundverordnung explizit eingeführt wurde Generalverdacht?
te Dienste ersetzt, die einen sehr ähnlichen oder noch und klarstellt, dass Unternehmen niemanden zwingen Der Europäische Gerichtshof hat im April 2014 die Richt- Die speziellen ePrivacy-Regeln zum Schutz der elektro-
darüber hinaus gehenden Funktionsumfang haben dürfen, mehr Daten als nötig abzuliefern, nur um einen linie zur Vorratsdatenspeicherung für ungültig erklärt, nischen Kommunikation sind auch nach Inkrafttreten
– Beispiele hierfür wären Internet-Telefonie-Dienste Dienst nutzen zu können (siehe Kapitel » Bezahlen mit und es gibt derzeit keine Pläne der EU-Kommission, der EU-Datenschutz-Grundverordnung wichtig. Sie
wie Skype, FaceTime, oder Google Hangouts, oder an persönlichen Daten und » Die Datenschutzreform der Eu- einen neuen Vorschlag zu erarbeiten. Dennoch haben setzen nicht nur das Recht auf Datenschutz durch spe-
Internet-Messenger wie WhatsApp, Threema oder Sig- ropäischen Union). viele Mitgliedstaaten nationale Gesetze, die die Tele- zifischere Regeln um, sondern implementieren auch
nal. Eine der heiß umkämpften Fragen ist daher: Sollen kommunikationsanbieter verpflichten, die Verkehrsda- das Grundrecht auf Vertraulichkeit der Kommunikation.
solche Dienste, die keine eigene Kommunikationsinfra- Noch ist umstritten, ob es hierfür neue Regeln braucht ten aller Telefonate, Textnachrichten und E-Mails der
struktur betreiben, sondern Over-The-Top (OTT) auf dem oder vor allem eine bessere Durchsetzung. Die französi- gesamten Bevölkerung ohne irgendeinen Anfangsver- Nicht nur wie bisher Telefon, SMS oder E-Mail, sondern
Internet laufen, ebenfalls den Regeln der kommenden sche Datenschutzbehörde hat etwa wiederholt systema- dacht zu speichern – nur für den Fall, dass mal jemand auch neue internetbasierte Kommunikationsdienste
ePrivacy-Verordnung unterworfen werden? tisch Webseitenbetreiber wegen solcher friss-oder-stirb- verdächtig werden sollte (siehe Kapitel » Die Vorratsda- wie WhatsApp, Signal oder Skype sollten zu diesem
Benachrichtigungen zu Cookies ermahnt, und seitdem tenspeicherung). Die juristische Basis dafür ist eine Öff- Schutz verpflichtet werden.
Die Konsultation der EU-Kommission zur Vorbereitung gibt es auf französischen Webseiten diese Problem kaum nungsklausel in der bestehenden ePrivacy-Richtlinie, die
der Reform vom Frühjahr 2016 gibt eine klare Antwort: noch, wie ein Mitarbeiter bei einer Anhörung der Grünen die Mitgliedstaaten zwar nicht zur Vorratsdatenspeiche- Internetdienste sollten auch nutzbar sein, wenn die
76 Prozent der Einzelpersonen und zivilgesellschaftli- Europafraktion im April 2016 berichtete. Auch von den rung verpflichtet, sie ihnen aber ausdrücklich erlaubt. Userinnen und User nicht einwilligen, überwacht zu
chen Verbände sowie 93 Prozent der Datenschutzbe- EU-Datenschutzbehörden gibt es Empfehlungen, die Gegnerinnen und Gegner der Vorratsdatenspeicherung, werden. Tracking über Millionen Webseiten hinweg ge-
hörden, die an der Konsultation teilgenommen haben, zwischen technisch notwendigen Cookies unterschei- inklusive der Grünen im Europäischen Parlament, wol- hört verboten.
18 19Big Data und das Internet der Dinge
dungsrate des Bundesstaates Maine in den USA weist
Das Internet der Dinge
eine Korrelation von 99 Prozent zum Margarinekonsum
in den Vereinigten Staaten auf. Die mathematische Ähn- Dein Kühlschrank ist leer? Kein Problem, er hat es schon
lichkeit der Datensätze könnte die Schlussfolgerung na- selbst erkannt und Nachschub bei deinem Online-Händ-
helegen, dass es einen Zusammenhang gibt, niemand ler bestellt. Davor hat er dein Fitnessarmband gefragt,
würde aber tatsächlich den Margarinekonsum als Ursa- welche Nahrungsmittel deiner aktuellen körperlichen
Big Data und das Internet der Dinge sind zu beliebten und deren statistische Auswertung bislang unerkannte che der Scheidungen vermuten oder andersherum. Verfassung angemessen sind. Das klingt nach Zukunfts-
Buzzwords auf IT-Gipfeln rund um den Globus gewor- Zusammenhänge zwischen Symptomen verschiedener musik? Das Internet der Dinge ermöglicht solche und an-
den. Sie sollen eine große Veränderung einleiten. Was Krankheiten oder Nebenwirkungen von Medikamenten Mit Big Data können große Datenmengen schnell ge- dere Szenarien schon heute.
steckt hinter diesen Schlagwörtern? gefunden werden. Das ist vor allem in Disziplinen hilf- wonnen werden und die statistische Auswertung ist
reich, in denen bisher viele Daten noch von Hand ausge- Dank der Digitalisierung so einfach wie noch nie. Unter Mit der Bezeichnung Internet der Dinge (Internet of Things,
wertet werden. dem Druck der Masse an verfügbaren Daten werden oft IOT) soll die zunehmende Vernetzung so genannter intel-
Big Data – Eine neue Dimension der
Korrelation und Kausalität verwechselt. Durch die stei- ligenter Gegenstände (smart devices) erfasst werden. Das
Datenverarbeitung So hilfreich diese Erkenntnisse auch sein können, dür- gende Verfügbarkeit von Daten kommt es auch zu einer IoT besteht im Wesentlichen aus Sensoren, einem Netz-
Als Big Data werden Datenmengen bezeichnet, die zu fen die Probleme von Big Data nicht übergangen wer- neuen Einstellung gegenüber Statistiken: Wenn die Men- werk und einem System, das die Signale der Sensoren ver-
groß, zu komplex, zu schnelllebig oder zu schwach den. Die Ergebnisse solcher Big-Data-Analysen sollten ge der Daten ausreichend groß ist, reicht auch schon arbeitet und dann gegebenenfalls Aktionen auslöst. So
strukturiert sind, um sie mit manuellen und herkömm- keineswegs unkritisch als objektive und gesicherte Er- eine Korrelation als Grundlage für Entscheidungen. Die wird ein gigantischer konstanter Datenfluss produziert.
lichen Methoden der Datenverarbeitung auszuwerten. kenntnisse verstanden werden. Größere Datenmengen Verfügbarkeit von Korrelationen drängt die Ursachen- Ein Beispiel hierfür ist das intelligente Stromnetz (smart
Mit der systematischen Big-Data-Analyse riesiger Daten- müssen nicht qualitativ besser als geringere Mengen forschung in den Hintergrund. Wenn vernachlässigt grid), das durch die Vernetzung von Geräten, Stromerzeu-
mengen sollen Unternehmensziele besser umgesetzt sein und nicht alle Daten sind gleichermaßen wertvoll. wird, ob Beziehungen zwischen Datensätzen zufällig gern und -netzen sowie Verbraucherinnen und Verbrau-
werden können und durch die erfassten Daten gewinn- Bei der Auswertung von Big Data werden statistische sind, dann sind auch fehlerhafte Entscheidungen wahr- chern gekennzeichnet ist, die so in einen kommunikativen
bringende Entwicklungen erkannt werden. Im besten Grundprinzipien wie das der repräsentativen Stichprobe scheinlicher. Austausch miteinander treten. Die Geräte eines Haus-
Fall können dadurch Vorhersagen künftiger Ereignisse oft vernachlässigt. Gerade bei der Sammlung von Daten halts können dann
gemacht werden. In der Marktforschung, der Finanzin- von Privatpersonen ist die Nutzung personenbezogener beispielsweise so
dustrie, im Energiesektor (bedarfsorientierte Energie- Daten nicht zwangsläufig ethisch vertretbar, nur weil Divorce rate in Maine correlates with Per capita consumption of margarine aufeinander abge-
versorgung), im Gesundheitswesen, aber auch in der sie technisch möglich ist. Der Versuch, Unsicherheiten stimmt gesteuert
Kriminalistik und Terrorismusbekämpfung (Predictive durch Big Data zu reduzieren, ist attraktiv. Wir dürfen 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009
sein, dass sie einen
4.95 per 1,000
Policing, Vorratsdatenspeicherung) wird die Analyse von aber nicht vergessen, dass das Aufzeigen von Zusam- 8lbs minimalen Strom-
Divorce rate in Maine
Margarine consumed
Big Data an vielen Stellen zum Allheilmittel sozialer und menhängen durch die Analyse enormer Datenmengen 4.62 per 1,000
verbrauch erzeu-
6lbs
technischer Probleme erklärt. vor allem auf Wahrscheinlichkeiten und nicht auf Kausa- gen. Der Computer,
litäten beruht. Korrelation ist nicht gleichbedeutend mit 4.29 per 1,000
4lbs wie wir ihn kennen,
Das Erkennen von Korrelationen durch Big Data kann Kausalität. Zusammenfallende Ereignisse müssen nicht verschwindet zu-
3.96 per 1,000 2lbs
viele Vorteile bringen. In der Medizin beispielsweise zwangsläufig in einem Ursache-Wirkungs-Zusammen- 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 nehmend und wird
können durch die Verknüpfung großer Datenmengen hang stehen. Hier sei ein Beispiel genannt: Die Schei- Margarine consumed Divorce rate in Maine durch die smart
20 21devices ersetzt. Oder anders gesagt: Alles wird zum Com- Erhoffte Verbesserungen durch das Unternehmen versprechen sich von der digitalisierten Das Gerät hört mit
puter. Internet der Dinge Logistik große Vorteile. Durch die bessere Überwachung
von Verkehrsdaten, Logistikketten und des Zustands Intelligente Energiezähler bergen neben ihren Vorteilen
Das Internet der Dinge entstand im Jahr 1982. Mitarbei- Die versprochenen Effizienzgewinne sind genauso wie von Verkehrsmitteln wie Autos, Zügen oder Flugzeugen auch Gefahren für den Datenschutz der Nutzerinnen und
terinnen und Mitarbeiter der Carnegie Mellon University bei Big Data enorm. Im Bereich der Heimvernetzung können sie Kosten und Zeit sparen. Nutzer. Es ist wichtig, dass Energieversorger und ande-
schlossen einen Cola-Automaten an das damalige Netz- wird zum Beispiel durch smart meter versucht, Heizun- re Unternehmen nicht unbegrenzt Daten über das per-
werk an. Der Automat sollte mitteilen, wie viele Dosen er gen und Klimaanlagen intelligent zu steuern. Thermos- sönliche Leben ihrer Kundinnen und Kunden sammeln
Risiken für IT-Sicherheit und
auf Vorrat hat und ob die Dosen auch kühl genug sind. tate lernen, wann wir uns wo in der Wohnung aufhalten, können. Wir müssen daher verhindern, dass das Internet
Damit war das wahrscheinlich erste Ding am Netz. In der und passen die Temperatur an, was Heizkosten spart Datenschutz der Dinge allgegenwärtige Überwachung bedeutet. Ein
Wissenschaft tauchte der Begriff Internet der Dinge Ende und die Umwelt schont. Selbststeuernde Staubsauger- Problematisch ist allerdings, dass die Sicherheit vieler aktuelles Beispiel für die Gefahr solcher Überwachung
der 1990er Jahre das erste Mal auf. roboter können schon heute das Leben komfortabler vernetzter Geräte beim Produktdesign bisher keine aus- ist der Lautsprecher Echo und seine künstliche Intelli-
machen und sparen Zeit. reichende Rolle spielt. Mit der zunehmenden Vernetzung genz Alexa von Amazon. Das Gerät soll als intelligenter
Heizung, Kaffeemaschine und Garagentor per Smart- von Gegenständen entstehen Quellen für Datensamm- Assistent Musik spielen, Fragen beantworten, Lampen
phone zu steuern, kann bequem sein und Vorteile brin- Vernetzte Haushaltsgeräte und Sensoren könnten zum ler und Einfallstore für Hacker. In der Energieversorgung und Thermostate steuern und vieles mehr. Alles wird per
gen. Aber welche Risiken können entstehen, wenn die Beispiel dabei helfen, dass alte Menschen länger in ihrer sind die Risiken besonders hoch, denn diese gehört zur Spracherkennung gesteuert, ein Mikrofon hört also per-
Geräte miteinander und mit dem Netz verknüpft wer- eigenen Wohnungen leben können. Die Geräte könnten so genannten kritischen Infrastruktur. Über intelligente manent mit. Die so gewonnen Daten über alles, was wir
den? kontrollieren, ob sich ein Mensch normal in seiner Um- Stromversorgung können Sabotageakte auf das Netz in unseren eigenen vier Wänden sagen und tun, mit wem
gebung bewegt und bei Problemen Verwandte oder den verübt werden. Viele kennen das Beispiel des im Jahr wir uns treffen, wie unser Tagesablauf aussieht, welche
Pflegedienst rufen. Die Kontrolle von Gesundheitsdaten 2010 bekannt gewordenen Schadprogramms Stuxnet, politische Meinung wir haben und was unsere Lieblings-
wie Herzschlag und Blutzucker durch Wearables, also das mutmaßlich in eine Urananreicherungsanlage in filme sind, werden von Amazon gespeichert. Privatsphä-
ein am Körper tragbares Computersystem wie beispiels- Natanz im Iran von unbekannten Auftraggebern einge- re gibt es mit so einem intelligenten Überwachungstool
weise die Apple-Watch, kann helfen, die Lebensqualität schleust wurde, um dort die Zentrifugen zu zerstören. kaum noch.
chronisch kranker Menschen zu verbessern. Auch hier
könnte bei einer Verschlechterung des Zustandes früh- Ein aktuellerer Fall hat sich erst Anfang November 2016 Viele der Daten, die derartige vernetzte Geräte sam-
zeitig Alarm geschlagen werden. ereignet. Unbekannte haben die Heizungsanlage meh- meln, erlauben sehr genaue Rückschlüsse auf unsere
rerer Wohnblocks im finnischen Lappeenranta mit einer Gewohnheiten. Wenn wir überall von Gegenständen
Städte werden zu smart cities, in denen ein besserer öf- DDoS-Attacke (Distributed Denial of Service) manipuliert. umgeben sind, die pausenlos Daten übermitteln, wird
fentlicher Nahverkehr mit ausgefeilten Fahrplänen und Die Bewohnerinnen und Bewohner der Wohnblocks es schwierig sein, den Überblick zu behalten, welche un-
Verkehrsleitsystemen unnütze Pendel- und Wartezeit mussten bei Temperaturen unter dem Gefrierpunkt serer Daten im Netz landen, wer darauf Zugriff hat und
einsparen könnte. Auch Verbesserungen der Luft- und mehrere Tage mit Heizungsproblemen klarkommen. Die was mit den Daten passiert. Uns wird dadurch die Mög-
Wasserqualität sind durch eine kontinuierliche Kontrol- finnische Regulierungsbehörde Ficora vermutet Krimi- lichkeit genommen, bewusst über die Erhebung und
le von Umweltdaten denkbar. nelle hinter der Attacke. Verwendung unserer Daten zu entscheiden.
22 23Wearables und Fitnessapps: Klare Regeln für Sicherheit und
Verbesserung der Lebensqualität Haftung
oder Überwachungstool?
Angriffe durch das Internet der Dinge sind keine dunk-
Auch das Selbstmonitoring des Gesundheitsverhaltens le Dystopie. Erst vor kurzem waren zahlreiche beliebte
durch die Nutzung von Wearables wie Fitnessarmbän- Onlinedienste wie Twitter, Paypal, Netflix oder Spotify
dern, Smartwatches oder Sport-Apps birgt Risiken. Die stellenweise nicht erreichbar, nachdem eine massive
Generali-Versicherung zum Beispiel verspricht mit dem DDoS-Attacke das Unternehmen DynDNS, ein Anbie-
Vitality-Programm ein „besseres Lebensgefühl und vie- ter dynamischer DNS-Server, in die Knie zwang. Die
le interessante Vergünstigungen“. Wer eine gute Fitness Attacke wurde offenbar über ein riesiges Botnetz, also
nachweist, kann beim privaten Krankenversicherer ei- eine Gruppe automatisierter Das Wichtigste zu Big Data und
nen günstigeren Tarif bekommen. Wer nicht mitmacht, C o m p u te r p r o g r a m m e , zum Internet der Dinge:
kann jedoch schnell identifiziert und diskriminiert wer- aus dem Internet der Din-
den. Alte und kranke Menschen sind die Verliererinnen ge gefahren, das sich aus Das Erkennen von Korrelationen durch Big Data kann
und Verlierer, was zu einer Entsolidarisierung in unse- vernetzten Videokameras viele Vorteile bringen, aber wenn vernachlässigt wird,
rem Gesundheitssystem führt. Was die Krankenkasse und anderen IoT-Geräten zu- ob Beziehungen zwischen Datensätzen zufällig sind,
über uns weiß, darf keine Frage der Technik werden, sammensetzte. Diese Angriffe dann sind auch fehlerhafte Entscheidungen wahr-
sondern muss eine persönliche Endscheidung bleiben. machen deutlich, dass das Internet scheinlicher.
Jeder und jede muss die Möglichkeit haben, sich einer der Dinge unsicher bleibt, solange der
Technik auch entziehen zu können. Gesetzgeber nicht versucht, das Problem Bei der Verarbeitung von Big Data müssen Anonymi-
zu beheben. Ein derartiges Marktversagen sierung und Transparenz über die Kriterien automati-
In puncto Datenschutz machten im Mai löst sich nicht von selbst, sondern es besteht sierter Entscheidungen sichergestellt werden.
2016 norwegische Verbraucherschüt- unbedingter Handlungsbedarf.
zerinnen und -schützer mit einer Der Gesetzgeber sollte klare Sicherheits- und vor allem Jede und jeder muss das Recht haben, nicht Objekt von
Klage gegen die Fitness-App Firmen wie Microsoft, Apple und Google verbringen Haftungsregeln für IoT-Hersteller aufstellen und sie da- automatisierten Entscheidungen zu sein. Sofern auto-
Runkeeper auf sich aufmerk- viel Zeit damit, ihre Software und Hardware zu über- mit zwingen, ihre Geräte sicher zu machen. Auch die matisierte Verfahren zu Beeinträchtigungen führen,
sam. Runkeeper teile Daten prüfen, bevor sie veröffentlicht wird und Schwach- Hersteller künstlicher Intelligenz müssen für ihre Pro- muss ein Anspruch auf Offenlegung, Überprüfung und
mit Dritten ohne das Einver- stellen auszubessern, sobald sie entdeckt werden. dukte haften. Nutzerinnen und Nutzer müssen im Scha- Entscheidung durch einen Menschen bestehen.
ständnis der Nutzerinnen Diese Unternehmen können sich das leisten, weil sie densfall die Möglichkeit haben, gegen die Hersteller zu
und Nutzer, so der norwegi- mit ihren Produkten sehr viel Geld verdienen und ihre klagen. Solche Verpflichtungen würden die Kosten für Sicherheit und Datenschutz spielen beim Produktde-
sche Verbraucherschutz- Sicherheit Wettbewerbsvorteile bringt. Das Problem Sicherheitslücken erhöhen und den Unternehmen An- sign vernetzter Geräte bisher keine ausreichende Rol-
rat. beim Internet der Dinge ist, dass es bei den meisten der reize geben, Geld in die Sicherheit ihrer Produkte zu in- le. Der Gesetzgeber sollte klare Sicherheits- und vor
Geräte gar keine Möglichkeit gibt, Schwachstellen aus- vestieren. Standards für Sicherheit und Haftung müssen allem Haftungsregeln für IoT-Hersteller aufstellen und
zubessern. Oft kann die Software betroffener Geräte ebenso wie in anderen Technikbereichen auch für das sie damit zwingen, ihre Geräte sicher zu machen.
nämlich nicht aktualisiert werden. Internet der Dinge zur Norm werden.
24 25Sie können auch lesen
