Daten sind eine wertvolle Währung - über die wir viel zu wenig Kontrolle besitzen. Wie schützen wir unsere Daten und welche Rechte haben wir Bürger? Im Chat beantwortete der Bundesbeauftragte für den Datenschutz Peter Schaar Ihre Fragen.
Moderator: Hallo liebe Nutzer, wir freuen uns, heute Peter Schaar bei uns begrüßen zu dürfen. Er wird Ihre Fragen bis ca. 15 Uhr beantworten. Bitte beachten Sie, dass wir Ihre Fragen erst nach einer Prüfung freischalten. Viel Spaß!
zupancic: Es droht uns eine 22-stellige Kontonummer und eine 11-stellige Bankleitzahl. Die entsprechenden bisherigen Zahlen waren 10 und 8. Warum koennen sie nicht beibehalten werden mit jeweils einer zusaetzlichen 2-stelligen Zahl, die den jeweiligen europaeischen Staat angibt? Welche Angaben ueber die Person sollen in der 22-stelligen Zahl gespeichert werden?
Peter Schaar: Die anstehende Umstellung der Kontonummern steht im Zusammenhang mit der Einführung eines einheitlichen europäischen Zahlungsraums (SEPA). Sie beruht auf einer Richtlinie der Europäischen Union. Die neue Kontonummer wird keine zusätzlichen personenbezogenen Daten enthalten, die über die bisherige Systematik hinausgeht.
Im Übrigen bedeutet die Einführung des neuen Systems sogar eine datenschutzrechtliche Verbesserung, da etwa bei dem neuen SEPA-Lastschriftverfahren verbraucherfreundlichere Regelungen hinsichtlich des Nachweises der Abbuchungsermächtigung vorgesehen sind.
ooo.O_O.ooo: Ist es überhaupt noch relevant, welche Datenschutzregeln Deutschland beschließt? Durchsetzen kann man seine hier geltenden Rechte bei der fast grenzenlosen Infrastruktur des Netzes ja doch nicht mehr... Sollte man das nicht alles zumindest auf EU-Ebene verlagern? Die hat international doch mehr Gewicht.
Peter Schaar: Ich teile Ihre Ansicht, dass angesichts des Internets Datenschutz auf rein nationaler Basis, also beschränkt auf Deutschland, heute immer schwieriger wird. Trotzdem gibt es viele Bereiche, in denen die deutschen Datenschutzregeln nach wie vor einschlägig sind. Im übrigen gibt es bereits seit 15 Jahren verbindliche europäische Datenschutzregeln, die derzeit gerade überarbeitet werden.
Besonders schwierig ist die Durchsetzung von Datenschutzvorgaben allerdings bei Staaten, die nicht zur Europäischen Union gehören. Dies gilt etwa für Internetanbieter, die ihren Hauptsitz in den USA haben. Soweit diese allerdings eine Niederlassung in Deutschland betreiben, müssen sie sich an das deutsche Datenschutzrecht halten und unterliegen der Aufsicht durch die regional zuständige Datenschutzbehörde.
general_issimo: Es ist offensichtlich, dass es bei einigen Politikern im Bezug auf Internet-Themen an Sachverstand mangelt. Wäre es nicht sinnvoll, die Kompetenz der jeweiligen Person im Fachbereich bzw. die Sinnhaftigkeit und vor allem die technische Durchführbarkeit zu prüfen, bevor diese mit unqualifizierten Äußerungen Unruhe stiften können? Wie könnte so eine Instanz ihrer Meinung nach aussehen?
Peter Schaar: Ich habe den Eindruck, dass sich die Internet-Kompetenz der aktiven Politikerinnen und Politiker in den letzten Jahren deutlich verbessert hat. Im übrigen stellt sich die Frage nach der Fachkompetenz nicht nur hinsichtlich informationstechnologischer Themen, sondern auch in anderen Bereichen. Ich halte es aus verschiedenen Gründen nicht für praktikabel, die Ablegung eines Fachexamens zur Voraussetzung der Übernahme eines öffentlichen Amtes zu machen. Die "Prüfung" von Politikern erfolgt im demokratischen Prozess bei Wahlen. Dabei sollte es auch bleiben.
infoconsultant: Herr Schaar, aktuell wird die Einführung des neuen bundesdeutschen E-Briefes diskutiert - wo gibt es nach Ihrer Einschätzung Probleme in der Sicherheit der persönlichen Daten für die Nutzer?
Peter Schaar: Hier muss unterschieden werden zwischen Angeboten, die von Unternehmen bereits jetzt eingeführt werden und solchen, die unter dem Stichwort "De-Mail" diskutiert werden. Nach der Vorstellung der Bundesregierung soll De-Mail eine sichere und rechtsverbindliche E-Mail-Kommunikation ermöglichen. Die Anforderungen an De-Mail-Dienste sollen in einem besonderen Gesetz festgelegt werden.
Aus meiner Sicht kommt es darauf an, dass der Datenschutz und die Datensicherheit dabei umfassend gewährleistet werden. Von zentraler Bedeutung ist hier eine durchgängige Verschlüsselung der Nachrichten. Wichtig ist mir auch, dass die sichere elektronische Kommunikation auf Wunsch auch unter Pseudonym genutzt werden kann.
Sonst sehe ich die Gefahr, dass die De-Mail-Adresse zu einer Art Personenkennzeichen werden könnte, mit dessen Hilfe alle möglichen Daten in staatlichen und nicht-öffentlichen Stellen zusammengeführt werden können. Ein solches Personenkennzeichen wäre nach der Rechtsprechung des Bundesverfassungsgerichts unzulässig.
burger2010: Mir ist aufgefallen, dass die Zahl von Überwachungskameras im öffentlichen Raum (v.a. die Überwachung von Gehwegen bei Miets- und Gewerbehäusern) zugenommen hat. - Diese geht zuweilen soweit, dass selbst Hauseingänge benachbarter Häuser in den Fokus genommen werden. Müssen Bürger und Anwohner diese private Überwachung öffentlicher Räume hinnehmen oder können sie sich dagegen wehren? - Ist die Rechtslage hier eindeutig und ausreichend?
Peter Schaar: Das Bundesdatenschutzgesetz enthält bereits seit einigen Jahren eine Regelung zur "Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen". Die Videoüberwachung ist danach nur zulässig, soweit sie zur Aufgabenerfüllung öffentlicher Stellen, zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte vorliegen, dass überwiegende "schutzwürdige Interessen der Betroffenen" dem entgegenstehen.
Im Hinblick auf die Umsetzung dieser Vorschrift gibt es allerdings ein erhebliches Vollzugsdefizit. Immer wieder stoßen Datenschutz-Aufsichtsbehörden auf Fälle, in denen öffentlich zugänglicher Raum ohne Beachtung dieser gesetzlichen Vorgaben überwacht wird.
So ist es im Regelfall unzulässig, zur Wahrnehmung des Hausrechts Gehwege zu überwachen. Hierzu gibt es auch eine eindeutige Rechtsprechung. Außerdem ist nach den gesetzlichen Vorgaben eine heimliche Überwachung unzulässig; das bedeutet, dass auf die Videoüberwachung stets hinzuweisen ist. Auch hier können wir Datenschützer immer wieder Mängel feststellen. Das Problem ist also weniger ein Defizit in der Gesetzgebung sondern ein Mangel bei der Durchsetzung der gesetzlichen Vorgaben.
Moderator: Ein kurzer Hinweis zwischendurch, da schon einige Kommentare mit Bitte um "Chat-Rechtsgutachten" eingegangen sind: Konkrete und komplexe Einzelfälle sind ohne vollständige Kenntnis der Sachlage nur schwer zu bewerten, dafür reicht der Rahmen dieses Chats nicht.
burger2010: Sehr geehrter Herr Schaar, gibt es in Deutschland genügend Datenschützer? Wie sieht der Alltag eines Datenschützers aus - kann er sich mit all den Belangen und Dringlichkeiten, die von Bürgern an ihn herangetragen werden, auseinandersetzen?
Peter Schaar: Es wird Sie nicht wundern, dass ich mir als Bundesdatenschutzbeauftragter generell eine bessere Personalausstattung wünsche. Andererseits ist mir natürlich durchaus bewusst, dass angesichts knapper Haushaltsmittel die Möglichkeiten zur Personalvermehrung sehr begrenzt sind. Deshalb ist es mir wichtig, nach Möglichkeiten zu suchen, bei denen die Datenschutzvorgaben nicht ausschließlich durch nachträgliche Kontrolle und Überwachung realisiert werden, sondern ihre Einhaltung im Interesse der datenverarbeitenden Stellen liegt.
Deshalb fordere ich schon lange die Einführung von qualitativ hochwertigen Datenschutzgütesiegeln, die von Unternehmen auch für Werbezwecke verwendet werden können. Leider ist ein solches Datenschutzaudit auf Bundesebene immer noch nicht realisiert worden.
Im Hinblick auf die Auslastung der Kapazitäten haben wir bei allen Datenschutzbehörden ein zunehmendes Problem, denn die Beschwerden von Bürgerinnen und Bürgern werden von Jahr zu Jahr zahlreicher und müssen im wesentlichen ohne zusätzliches Personal bewältigt werden. Dies kann im Einzelfall dazu führen, dass die Bearbeitungstiefe und -qualität darunter leiden. Außerdem ist es bisweilen nicht zu vermeiden, dass Datenschutzanfragen recht lange Bearbeitungszeiten in Anspruch nehmen.
Zebra123: Lieber Herr Schaar, ich habe eine Frage zu Swift. Stimmt es, dass auch Informationen über Überweisungen für caritative Zwecke (z.B. an ein Kinderheim in Afghanistan) an die USA übermittelt werden? Bekomme ich ggf. Probleme bei der Einreise (ich beabsichtige nämlich, im Herbst nach Florida zu fliegen).
Peter Schaar: Ich kann dies nicht ausschließen. Auch das neue Abkommen, das zwischen der Europäischen Union und den Vereinigten Staaten beschlossen wurde und das am 1. August in Kraft tritt, wird dazu führen, dass nicht bloß Daten mit unmittelbarem Bezug zum internationalen Terrorismus in die USA transferiert werden.
Vielmehr erwarte ich, dass auch bei der jetzt vereinbarten Regelung die bei weitem meisten Daten Überweisungsvorgänge betreffen, die keinerlei Bezug zu terroristischen Aktivitäten haben. Auch kritisiere ich, dass diese Daten viel zu lange, nämlich bis zu fünf Jahren, in den USA gespeichert bleiben.
Kritisch sehe ich es schließlich, dass die Prüfung der Datenanforderungen der US-Behörden nicht durch eine unabhängige Datenschutzbehörde oder einen Richter erfolgen soll, sondern durch Europol. Europol gehört aber zu den Nutznießern des von den USA betriebenen Systems.
lasse1896: Guten Tag Herr Schaar! Es kommt des öfteren vor, dass die Polizei Daten von offenen Ermittlungsverfahren zu Straftatbeständen (inkl. aller Personendaten der Beschuldigten) an den Deutschen Fußballbund weiterleitet, obwohl die Straftaten nicht in Stadien oder in unmittelbarer Nähe - dort hätte der DFB Hausrecht - passieren, sondern auf An- und Abreisewegen. Halten Sie dieses für ebenso fragwürdig wie ich?
Peter Schaar: Ein solches Vorgehen ist mir nicht bekannt. Bitte wenden Sie sich deshalb an die zuständige Landes Datenschutzbehörde. Die Anschrift finden Sie unter www.bfdi.bund.de auf meiner Website.
Moderator: Hier kommt noch eine Nachfrage zum Thema Anonymität...
Digital Native: Sie sagen: " Wichtig ist mir auch, dass die sichere elektronische Kommunikation auf Wunsch auch unter Pseudonym genutzt werden kann" Spricht das nicht gegen die 5. These von de Maiziere in seiner digitalen Agenda:
"These 5 - Anonymität und Identifizierbarkeit abwägen Der freie Bürger zeigt sein Gesicht, nennt seinen Namen, hat eine Adresse. Gleichzeitig sind wir es gewohnt, im Alltag grundsätzlich unbeobachtet zu handeln. Beides muss auch im Internet normal bleiben. Eine schrankenlose Anonymität kann es jedoch im Internet nicht geben. Es muss sichergestellt sein, dass die Anforderungen an die Identifizierung unter Wahrung des Verhältnismäßigkeitsgrundsatzes danach ausgestaltet sind, welchem Zweck sie dient, welche Grundrechte betroffen sind, ob der Betroffene sich im privaten, sozialen oder öffentlichen Bereichen des Internets bewegt und ob er einen Anlass für die Identifizierung gegeben hat. Wichtige Rechtsgeschäfte brauchen immer bekannte Gläubiger und Schuldner."
Peter Schaar: Die von Ihnen zitierte These stammt vom Bundesinnenminister und stellt dessen Meinung dar. Insofern wäre es kein Unglück, wenn ich als unabhängiger Datenschutzbeauftragter hier anderer Meinung wäre. die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat im übrigen ein eigenes Eckpunktepapier zur Modernisierung des Datenschutzrechts verfasst, das auf meiner Website unter www.bfdi.bund.de zum Abruf bereitgestellt ist. die Modernisierung des Datenschutzrechts wird auch Gegenstand eines Symposions sein, das am 4.Oktober in Berlin stattfinden wird.
Abgesehen davon sehe ich keinen Widerspruch zwischen meiner Forderung und der vom Bundesinnenminister formulierten These. Es ist Aufgabe des Staates, die datenschutzrechtlichen Grundsätze mit Leben zu füllen, auch bei der Definition der Anforderungen an sichere elektronische Kommunikationssysteme. Wenn diese Anforderungen auch die Möglichkeit zur Pseudonymen Inanspruchnahme umfassen, schließt dies nicht aus, dass unter bestimmten, restriktiven Bedingungen aufgedeckt werden darf, welcher Person das Pseudonym zugewiesenen ist.
Die Aufdeckung von Pseudonymen kommt allerdings nur in Frage, wenn Tatsachen vorliegen, dass unter dem Pseudonym rechtswidrig gehandelt wurde.
Moderator: Sehr geehrte Nutzer, wir müssen an dieser Stelle zum Ende kommen. Herzlichen Dank für Ihre Fragen, leider konnten wir nicht alle abarbeiten. Herzlichen Dank an Peter Schaar, dass er uns für diesen Chat zur Verfügung stand! Vielleicht ergibt sich ja einmal die Gelegenheit, die Debatte fortzusetzen.
Peter Schaar: Vielen Dank und auf Wiedersehen meinerseits!