Die Wahrheit über Einverständniserklärungen

Jüngst bekam ich eine Anfrage zu einer Einverständniserklärung einer Sparkasse in Süddeutschland zu einer Datenverarbeitung von Kunden-Kontodaten im Unternehmensverbund der Sparkasse, bei der sich unweigerlich die Nackenhaare aufstellen. Dies dürfte selbst einem Nichtjuristen bei Durchsicht des Formulars passieren und der Gedanke durch den Kopf gehen, dass diese Erklärung nicht ernsthaft an die Kunden der Sparkasse herausgegeben wird. So naiv kann doch kein Kunde sein, etwas Derartiges zu unterschreiben. Oder anders ausgedrückt, welche maßlose Arroganz treibt eine Sparkasse, zu glauben, dass Kunden so etwas mitmachen? Oder ist es doch ganz anders?

Weiterlesen

Teufelswerk hat einen Namen

Am Tage ihrer Hochzeit ist Angie L. 42 Jahre alt und lebt in einer außereuropäischen Großstadt. Ihre für Landesverhältnisse doch recht späte Hochzeit verkündetete sie mit einem Profilfoto auf Facebook, das lediglich ihren Ringfinger zeigte, verziert mit einem Verlobungsring, der aufgrund der Größe des Diamanten nur zu erahnen war. Zur Hochzeit bekam sie von ihrem fürsorgenden Ehemann einen Jeep Rubicon geschenkt. 282 PS, wüstentaugliche Vollausstattung, mit Navi und Schnorchel, damit sie auch bei einer recht unwahrscheinlichen Überflutung des Stadtgebiets sicher zum Einkaufszentrum und wieder nach Hause kommt.
Wenige Wochen, nachdem sie unter fleißiger Nutzung von WhatsApp und SMS dauerbremsend und stauverursachend durch die Stadt geschlichen war, stellte sie fest, dass ihre Bremse merkwürdig reagiert. Ein starkes Zittern des Bremspedals veranlasste sie dazu, einen Bekannten zu fragen, ob er das Auto probefahren könne, was dieser in einem recht hügeligen Stadtteil dann auch tat. In einer Art, wie man üblicherweise einen Jeep fährt. Speedbumps sind kein Hindernis, Schlaglöcher nimmt man mit einem Lächeln und Kurven sind zum Driften da.

Weiterlesen

Safe Harbor 2.0

Datenschützer sprechen von “Bullshitbingo”, “Witz”, “Mogelpackung” und “Augenwischerei”, Edward Snowden sagt, er “hätte noch nie eine politische Übereinkunft gesehen, die so stark kritisiert wurde.“ Die Rede ist von Safe Harbor 2.0, oder “EU-US Privacy Shield”, womit eine Lösung für das vom EuGH Anfang Oktober letzten Jahres gekippte Safe Harbor Abkommen geschaffen werden soll. Die Wirtschaft drängt. Und was steckt dahinter?

Weiterlesen

Google hat keine Papierkörbe

Im Schweizer Tagesanzeiger findet sich jüngst unter dem Titel “Privatsphäre wird zum Luxusgut” ein Interview mit dem aus Altersgründen scheidendem eidgenössischen Datenschutzbeauftragten Hanspeter Thür. Er verweist in diesem Interview u.a. darauf, dass die Chefs der großen digitalen Plattformen ihre Privatsphäre rigiros schützen. Was sich auch daran festmachen ließe, dass die Namen der Kinder des Google – Gründers Larry Page nicht bekannt seien.
In diesem Zusammenhang fällt mir ein, dass es in der Hamburger Niederlassung von Google keine Papierkörbe gibt und jedes anfallende Papier per Arbeitsanweisung in den Schredder zu befördern ist, und sei es nur Kaugummipapier. Die Einhaltung dieser Anweisung wird den Mitarbeitern recht einfach gemacht. Wenn es keine Papierkörbe gibt, wandert eben alles in den Schredder. Zufall?

Weiterlesen

Europäischer Gerichtshof kippt Safe Harbor

Die bundesdeutschen Aufsichtsbehörden haben schon kurz nach Edward Snowdens Veröffentlichungen neue Datentransfers in die USA auf Basis des Safe Harbor Abkommens untersagt. Unberührt davon waren bislang die bis dahin bestehenden Safe Harbor Verbindungen. Damit ist nun auch Schluss. Der EuGH hat die Rechtsgrundlage für Safe Harbor für ungültig erklärt.

Weiterlesen

Die NSA und der Veggie-Day

Deutschland hat gewählt. So mancher Abgeordneter und so manche Partei ist im neuen Parlament nicht mehr vertreten. Dem Datenschutz geht es auch so.
Die Endphase des Wahlkampfs fiel zeitlich zusammen mit der Diskussion um die geheimdienstliche Ausspähung des Internets, Stichworte PRISM und Tempora. Man sollte meinen, ein derart konzertierter Angriff auf die bürgerlichen Freiheiten müsste einen Aufschrei in der Gesellschaft auslösen. Angesichts der „ins Lächerliche tendierenden Hilflosigkeit, mit der die Bundesregierung den Totalangriff auf unsere Recht zur informationellen Selbstbestimmung hinnimmt“ (Harry Nutt im Kölner Stadtanzeiger), sollten wütende Reaktionen der Stimmbürger die Folge sein. Sollten, aber „offenbar fürchten die Deutschen den Veggie-Day in der Firmenkantine mehr als die Totalüberwachung des Internets“. Und mit dieser Einstellung haben die Bürger ihr Kreuzchen auf dem Wahlzettel gemacht.

Weiterlesen

Merkel unter Terrorverdacht

Der Chef der NSA, General Keith Alexander, hat jüngst in einem PR-Video die These kritisiert, dass die NSA auch Amerikaner ausspionieren würde. Die These sei falsch, da es bei den Programmen darum ginge, Terroristen zu verfolgen.
Ein Schelm wer Böses dabei denkt, dass Angela Merkel deshalb im Fokus der Schlapphüte ist, im Fokus einer Nation, die als befreundet bezeichnet wird. Vielleicht hat ja der Begriff „Freund“ seit Facebook seine Wertigkeit verloren und jeder wird heute Freund genannt, solange man einen Account bei Facebook hat. Oder Merkel hat vergessen, Obamas Freundesanfrage in ihrem Profil zu bestätigen. Aber dass Merkels Telefon aus Gründen der Terrorismusbekämpfung angezapft wird, muss man sich erst einmal auf der Zunge zergehen lassen. Terrorverdacht im Bundeskanzleramt?

Weiterlesen

Die rote Pille

“Schluckst du die rote Pille, kann ich dir nicht mehr anbieten als die Wahrheit”, sagte einst Morpheus in der Matrix zu Neo, dem Auserwählten. Ein paar Leute müssen in den letzten Tagen ebenfalls die rote Pille geschluckt haben, weil die Suche nach der Wahrheit immer größere Ausmaße annimmt. Es ist faszinierend, wie schnell die Berichterstattung zu Edward Snowden sich gewandelt hat. Erst sah es so aus, als ob der Druck, den die amerikanische Administration auf ihre Bündnispartner ausübt, seine Wirkung erzielt und Whistleblower Snowdens Schicksal weiterhin im Mittelpunkt steht. Doch jetzt hat sich das Bild gewandelt.

Weiterlesen

Angie

Angie, Angie, when will those clouds all disappear?
Angie, Angie, where will it lead us from here?“
Mick Jagger und Keith Richards landeten 1973 mit „Angie“ einen Nummer 1 Hit. Damals hatten Wolken noch nicht die Bedeutung, die sie heute haben. Die „Cloud“ war noch nicht erfunden.
Angela Merkel wird oft mit diesem Song in Verbindung gebracht. Heute hat das sicher auch eine tiefsinnigere Bedeutung. Denn von der Bundesregierung ist nichts zu lesen oder zu hören, wenn es um eine Stellungnahme zu den Machenschaften der Schlapphüte, oder Maßnahmen zum Schutz der informationellen Selbstbestimmung in der EU geht. Die Kanzlerin schweigt oder hüllt sich in schlichte Plattitüden, anstatt eine eindeutige Stellung gegenüber den USA zu vertreten. Warum?

Weiterlesen

Das Aufkommen des Überwachungsstaates

Mit leichter Überraschung reibt sich der Laie die Augen, wenn er die aktuellsten Nachrichten aus den USA vernimmt. Da erfährt man, dass die nationale Sicherheit heute offenbar zum grössten Teil von Subunternehmern geprägt wird, die ihrerseits mehr oder minder qualifiziertes Personal einsetzen, um die Überwachungsmaßnahmen im Auftrag des amerikanischen Staates auszuführen. Wie konnte es soweit kommen?

Weiterlesen

US-Gendatenbanken und der Prümer Vertrag

Die New York Times berichtet in ihrer Online-Ausgabe, dass die amerikanischen Sicherheitsbehörden die Speicherung von DNS-Daten massiv ausweiten. Es würden nun die DNA-Profile von Millionen Menschen gespeichert, die festgenommen aber nicht verurteilt wurden, darunter die von illegalen Einwanderern und Minderjährigen. Bisher erfassten die Bundesbehörden nur DNS-Proben von Verurteilten. Die NYT beschreibt weiterhin die Sorge, dass die USA zu einer „genetischen Überwachungsgesellschaft“ werden könnten. Die Bundespolizei FBI, die bereits eine DNS-Datenbasis von rund 6,7 Millionen Menschen hat, registriert pro Jahr 80.000 neue Proben. Bis zum Jahr 2012 soll die Zahl auf rund 1,2 Millionen jährlich steigen. Sie werden jetzt möglicherweise sagen, dass Amerika weit weg ist. Doch in Sachen DNS-Datenbanken ist das ein großer Irrtum.

Weiterlesen

Eine Firma namens Safe Harbor

Der Alltag eines Datenschützers beinhaltet zunehmend Bewertungen von Personalentwicklungsmodellen, bei denen Unternehmen technische Möglichkeiten zur Potentialanalyse von Mitarbeitern nutzen. Aus datenschutzrechtlicher Sicht ist dagegen solange nichts einzuwenden, als dass ein betroffener Mitarbeiter um die Rahmenbedingungen eines solchen Programms weiß, darin eingewilligt hat und vor allem, dass die Anbieter solcher Programme wissen, was sie tun. Kürzlich erreichte mich die Antwort einer Personalberatung auf die Frage, wie es datenschutzrechtlich um ein Programm bestellt ist, das eine Persönlichkeitsbewertung auf einem Server in den USA vornimmt.

Der befragte Mitarbeiter hat für diese Bewertung nur einen Fragebogen auszufüllen und muss, um den Fragebogen zu bearbeiten, sein Einverständnis zu folgender Erklärung abgeben: „Ich versichere hiermit ausdrücklich unter Bezugnahme auf die einschlägigen datenschutzrechtlichen Bestimmungen (Bundesdatenschutzgesetz), dass die in den Fragebogen eingegebenen Daten ausschließlich mich persönlich betreffen und es sich nicht um Daten Dritter handelt. Ich bin ebenso ausdrücklich damit einverstanden, dass sowohl die personenbezogenen Daten als auch die im Fragebogen erteilten Antworten bei dem Lizenzgeber des Produktes [Produktname] namentlich: [Name der Fa., Adresse] USA, zentral gespeichert werden. Ihre Daten werden vertraulich behandelt und nicht an Dritte weitergegeben.“

Die oben erwähnte Antwort der Personalberatung auf die Frage, wie die Daten der betroffenen Mitarbeiter in den USA verarbeitet werden, verweist auf die Erklärungen des deutschen Lizenznehmers und lautet wie folgt: „Die folgende Information zum Datenschutz bei [Anbieter] haben wir von [Name des Lizenznehmers in Deutschland] die Datenschutzbestimmungen von Safe Harbor, der Firma, die die Sicherheit der Daten gewährleistet, sende ich Ihnen im Anhang. In Amerika sind die Datenschutzbestimmungen viel strenger als in Deutschland. Deshalb können Sie Ihren Probanden versichern, dass keine drei Personen Einblick in die Analysen haben oder die Daten für andere Fälle genutzt werden, als für die Auswertung der Analysen. Die Geschlechterangabe dient rein zur Anrede und die Emailadresse wird nur als Sicherheit abgefragt, falls jemand die Analysen zwischendurch unterbricht. […] Der Datenserver selbst befindet sich in [..], Amerika. Zugriff auf die Daten haben nur [Name des deutschen Lizenzträgers] und [Name des lizenzgebenden US-Unternehmens]. Die Speicherdauer kann ich Ihnen leider nicht genau sagen, aber benachrichtigt wird niemand, wenn die Daten gelöscht werden.

Aha. Die USA sind also aus der Sichtweise einer Personalberatung ein Standort, der datenschutzrechtlich sicherer ist als die BRD, Safe Harbor ist eine Firma, das amerikanische Unternehmen, als Lizenzgeber und speichernde Stelle der Daten, sowie das deutsche Lizenzträgerunternehmen sind nicht mehr als drei Personen, und Speicherfristen sind offensichtlich nicht am Interesse des betroffenen Mitarbeiters orientiert, sondern daran, dass die „Probanden“ jederzeit wieder erkennbar sind, egal für welches Unternehmen sie gerade arbeiten. Sinnigerweise findet sich auf der Webseite des deutschen Lizenznehmers unter dem Titel „Vertrauensvolle Zusammenarbeit“ eine Referenzliste, die eine Vielzahl von Unternehmen ausweist. Hat sicherlich den Vorteil, dass man sich im Rahmen einer Bewerbung nähere Angaben zur eigenen Person sparen kann, weil es ja die „Firma Safe Harbor“ und den amerikanischen Lizenzgeber gibt, die keine Speicherfristen haben.

Ach ja, ich sollte nicht vergessen zu erwähnen, dass der deutsche Lizenznehmer den Fragebogen und die Einverständniserklärung über ein Webtool betreibt, bei dem im Hintergrund Google Analytics installiert ist. Der Lizenznehmer hat keine Datenschutzerklärung auf seiner Webseite, in der auf Google Analytics verwiesen wird und ohne Google Analytics kann man der Einverständniserklärung nicht zustimmen. Wie war das mit den drei Personen?

Weiterlesen