« Awareness | Blog | Gadgets »

Bundesrats-Ausschüsse wollen Datenschutz abschaffen [Update]

Samstag 13 Oktober 2018   Kategorien: Datenschutz, Politik   von Rainer W. Gerling

Der federführende Ausschuss für Innere Angelegenheiten und der Wirtschaftsausschuss des Bundesrates haben den Plenum des Bundesrates empfohlen die Regeln für die Bestellpflicht eines betrieblichen Datenschutzbeauftragten zu streichen. Damit würde eine seit vielen Jahren bestehende bewährte Regelung gekippt.

Die offensichtliche Unkenntnis über die Regelungen der DS-GVO hat ja bekannterweise ziemliche Blüten getrieben. Aber auch organisationen die es besser wissen sollten, versuchen sich an einer Schwächung des Datenschutzes. Der Branchenverband bitcom hat schon im Juli 2018 in einer Stellungnahme gefordert, die Grenze für die Bestellpflicht eines Datenschutzbeauftragten von zehn Beschäftigte auf 250 Beschäftigte anzuheben. Diese Zahl 250 stammt übrigens aus einer EU-Definition für KMUs. Nach diese Definition sind über 99% aller Unternehmen in Deutschland KMUs.

Die wirtschaftspolitischen Vereinigungen, die der CDU, CSU, SPD und FDP nahestehen fordern sogar die völlige Abschaffung deutscher Regelungen zur Bestellpflicht eines Datenschutzbeaufttagten.

Die Bundesratsdrucksache ist nicht lesefreundlich, deshalb hier eine Synopse der vier unterschiedlich prioriiserten Ausschussvorschläge zur Änderung des § 38 Abs. 1 BDSG. Dabei hat Vorschlag 1 die höchste Priorität.

Die Abschaffung der Regelungen für die Bestellpflicht des Datenschutzbeauftragten ist der falsche Weg. Die (offensichtliche falsche) Wahrnehnung bei den Unternehmen war schon immer: wer keinen Datenschutzbeauftragten bestellen muss, für den gelten die Vorschriften der Datenschutzgesetze auch nicht. In Unternehmemn, die keinen Datenschutzbeauftargten haben, kümmert sich dann auch niemand mehr um den Datenschutz. Hier darf die Politik kein falsches Signal setzen.

Am 19. Oktober 2018 steht der "Entwurf des Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU - 2. DSAnpUG-EU)" als TOP 29 auf der Tagesordnung des Bundesrates.

Update: 1:0 für den Datenschutzbeauftragten; der Bundesrat ist in seiner Sitzung am 19.10.2018 dem Vorschlag der Ausschüsse nicht gefolgt und hat § 38 BDSG unverändert gelassen (Seite 377). Jetzt folgt die Behandlung des Gesetzes im Bundestag.

DS-GVO Placebo

Freitag 10 August 2018   Kategorien: Datenschutz, Politik   von Rainer W. Gerling

Am 31. Juli 2018 erschien im Allgemeinen Ministerialblatt der Bayerischen Staatsregierung eine Veröffentlichung gemäß Ministerratsbeschluss vom 5. Juni 2018 "Datenschutz-Grundverordnung (DSGVO): Der Bayerische Weg zu einer bürgernahen und mittelstandsfreundlichen Anwendung.

Der Ministerrat beschließt nachfolgenden Bayerischen Weg zu einer bürgernahen und mittelstandsfreundlichen Anwendung des Datenschutzrechts, die die Ziele der Datenschutz-Grundverordnung sachgerecht und mit Augenmaß verfolgt und damit auch ihre Akzeptanz in der Bevölkerung fördert:

  • Kein Amateursportverein, keine Musikkapelle oder sonstige vor allem durch ehrenamtliches Engagement getragene Vereine müssen einen Datenschutzbeauftragten bestellen.
  • Bei einem Erstverstoß im Dickicht der Datenschutzregeln drohen keine Bußgelder; Hinweise und Beratung haben Vorrang vor Sanktionen.
  • Wir werden eine Praxis von Abmahnanwälten, die glauben bei Unternehmen formelle Datenschutzverstöße rechtsmissbräuchlich abmahnen und abkassieren zu können, nicht hinnehmen.
  • Wir werden mit den Betroffenen weitere Bestimmungen im Datenschutzrecht identifzieren, bei deren Anwendung im Besonderen darauf hinzuwirken ist, dass die Ziele der Datenschutz-Grundverordnung sachgerecht und mit Augenmaß verfolgt werden.
  • Hierzu werden wir weitere Gespräche mit Vereinen und Mittelständlern anbieten."

Sehr viel mehr als ein Datenschutz-Placebo ist das allerding nicht. Auch wenn Heise schreibt: "Damit gilt in Bayern die ausdrücklich die Vorgabe etwa an die für den Datenschutz zuständigen Landesbehörden, die Ziele der DSGVO 'sachgerecht und mit Augenmaß' zu verfolgen." [Link], so ist dem nicht so, denn nach Art. 52 Abs. 1 DS-GVO handeln die Aufsichtsbehörden "bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung völlig unabhängig." Eine Weisung durch den Ministerrat ist also europarechtswidrig, da nicht mit der Unabhängigkeit der Aufischtsbehörden vereinbar. Wer als Amateursportverein, Musikkapelle oder sonstiger vor allem durch ehrenamtliches Engagement getragene Verein nach § 38 Abs. 1 Satz 1 BDSG eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten bestellen muss, da er in "der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt", sollte das tun. Die meisten angesprochen Vereinen dürften aber so klein oder so wenig IT-durchdrungens ein, dass die Vorschriften zur Betsellung einer oder eines DSB soweiso nicht greifen.

Also letztendlich ein Placebo, da nichts geregelt wird.

Pressemitteilung des ULD: E-Mails an den Richtigen versenden!

Sonntag 26 Juni 2016   Kategorien: Awareness, Datenschutz   von Rainer W. Gerling

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) spricht in dieser Pressemitteilung schon ein wirklich wichtiges Thema an, mit dem fast jeder schon so seine Erfahrungen gemacht hat: Eine E-Mail wird an den falschen Adressaten geschickt, weil die automatische Adressvervollständigung des E-Mail-Programms einen Fehler gemacht und man es nicht bemerkt hat.

Der Text des ULD suggeriert, dass die Verschlüsselung einer E-Mail hier hilft: „Gerät eine E-Mail, die man nur für den berechtigten Empfänger verschlüsselt hat, an die falsche Adresse, ist es halb so schlimm: Immerhin kann der Fehladressat den Inhalt nicht entschlüsseln, sondern lediglich Betrefftext und die Kommunikationsabsicht feststellen.

Das hier zugrundeliegende Kommunikationsmodell ist längst überholt: Man tippte den Mailtext in einen Editor und kopierte ihn dann in die Zwischenablage. Danach wurde die Zwischenablage mit PGP verschlüsselt und dann der verschlüsselte Text in die eigentliche Mail eingefügt. Da wurde in der Tat der Empfänger zweimal ausgewählt: einmal beim Verschlüsseln und einmal beim Adressieren der E-Mail.

Heute ist das anders, da sich das E-Mail-Programm um die Verschlüsselung der E-Mails kümmert. Die Verschlüsslung erfolgt automatisch ohne weiteres Zutun des Absenders, wenn das Häkchen für die Verschlüsslung gesetzt wird. Und da alles automatisch geschieht, erfolgt die Auswahl des Schlüssels über die E-Mail-Adresse des Empfängers. Ist die E-Mail-Adresse falsch, dann wird auch der falsche Schlüssel genommen. Konsequenz: der falsche Empfänger („Fehladressat“) kann die E-Mail sehr wohl entschlüsseln. Nur wenn der falsche Empfänger zufällig keinen Schlüssel hat, hilft die Warn- oder Fehlermeldung.

Eine Frage bleibt noch: wie verschlüsselt eigentlich das ULD seine E-Mails? Mit GnuPG, das ist schon klar, aber wie ist die Integration der Verschlüsslung in den E-Mail-Workflow? Über die Zwischenablage?

Wir wollen starke Bürger, die in Freiheit sicher leben.

Montag 28 März 2016   Kategorien: Datenschutz, IT-Sicherheit, Politik   von Rainer W. Gerling

Bundesinnenminister Thomas de Maizière äußert sich durchaus widersprüchlich, wenn es um den Konflikt von Grundrechten und Sicherheit (gerade auch vor dem Hintergrund Terrorismus) geht. Die Europäische Menschrechtskonvention sagt in Art. 5 Abs. 1 Satz 1 "Jede Person hat das Recht auf Freiheit und Sicherheit." Freiheit und Sicherheit sind Grundrecht die gelichberechtigt nebeneinander stehen. Zitate unseres Inneministers wie "Datenschutz ist schön, aber Sicherheit hat Vorrang" (genau hat er in den Tagesthemen vom 22.3.1026 gesagt: "Datenschutz ist schön, aber in Krisenzeiten wie diesen hat Sicherheit Vorrang.") legen nahe, dass Datenschutz ein Grundrecht zweiter Ordnung und die Sicherheit ein Grundrecht erster Ordnung ist. Bei einem Konflikt von Grundrecht gewinnt dann automatisch das Grundrecht erster Ordnung.

Unsere Rechtsordnung kennt nur Grundrechte und keine Rangfolge der Grudnrechte. Alle Grundrechte stehen gleichberechtigt neben einander! Natürlich kommt es immer wieder zu Konflikten zwischen Grundrechten. Diese müssen dann im Einzelfall gegeneinader abgewogen werden. Dabei kommen unterschiedliche gesellschaftliche Gruppierungen durchaus auch zu unterschiedlichen Bewertungen. Diese unterschiedlichen Bewertungen müssen ausdiskutiert werden.

Die finale Messlatte sind das Grundgesetz, die Europäische Menschrechtskonvention und Die Allgemeine Erklärung der Menschenrechte der Vereinten Nationen. Die Messlatte wird ultimativ angelegt von den dafür zuständigen Gerichten, also in Deutschland dem Bundesverfassungsgericht und auf europäischer Ebene dem Europäischen Gerichtshof. Und diese Urteile gelten final. Es steht einer Regierung nicht frei, die Urteille des jeweiligen Verfassugsgerichts zu ignorieren, da sie ihr nicht passen. Eine Regierung (so geschehen in Europa), die dies versucht hat die Grundidee von Demokratie und Gewaltentrennung nicht verstanden.

Einer der Gründerväter der Vereinigten Staaten, Benjamin Franklin, formulierte bereits 1775 eine noch heute gültige Maxime: "Wer wesentliche Freiheit aufgeben kann um eine geringfügige bloß jeweilige Sicherheit zu bewirken, verdient weder Freiheit, noch Sicherheit." (Zitiert nach Dr. Benjamin Franklin's nachgelassene Schriften und Correspondenz, nebst seinem Leben. Band 3. Franklin's Leben ersten Theil enthaltend. Weimar 1818).

(Abbildung: Screenshot der Homepage des BMI; abgerufen am 28.3.2016)