Nachgehakt

Der baden-württembergische Landesdatenschutzbeauftragte Peter Zimmermann hat die Videoüberwachung an Mannheimer Schulen (siehe diesen Blogeintrag) in einer Stellungnahme scharf kritisiert.

Laut Peter Zimmermann fehlt für die Videoüberwachung die nach dem Urteil des Bundesverfassungsgerichts im Jahr 2007 notwendige gesetzliche Grundlage für eine Videoüberwachung mit Speicherung der Aufzeichnungen. Auch wenn das Urteil zu einem Sachverhalt in Bayern ergangen sei, sei es grundsätzlich auch in Baden-Württemberg anwendbar. Für Altanlagen, die vor dem Urteil errichtet worden waren, sei eine Übergangsfrist denkbar, deren Ende er aber spätestens Ende 2008 sieht. Wenn die Videoüberwachung fortgeführt werden solle, müsste der Landtag erst eine gesetzliche Grundlage schaffen.

Die Stadt Mannheim will nun laut dem SWR vorerst nur die 4 Neuanlagen abschalten, an den 13 Altanlagen läuft die Videoüberwachung vorerst weiter. Hier hätte die Stadt Mannheim einen klaren Schnitt ziehen können - schließlich kommen zahlreiche andere Städte im "Ländle" ohne Videoüberwachung aus. Mannheim will laut stimme.de wird die "Einzelfälle prüfen" - Rückzugsgefecht anstatt klarem Schnitt.

In unserer Reihe Datenpannen in Großbritannien präsentieren wir heute: die Geheimdienstkamera bei ebay.

Ein 28jähriger hat auf ebay eine Digitalkamera ersteigert, teuer war sie auch nicht, umgerechnet 21 Euro. Er freut sich und nimmt die Kamera mit in den Urlaub. Wieder zu Hause lut er die Bilder auf den PC und entdeckte zwischen den Urlaubsfotos unter anderem Bilder von Raketenabschussrampen, Al-Quaida-Verdächtigen (inkl. Namen und Fingerabdrücken) - vermutlich Bilder des britischen Auslandsgeheimdienstes MI6. Er wurde stutzig und ging zur Polizei. Ein paar Tage später statteten ihm dann Geheimdienstbeamte einen Besuch ab und beschlagnahmten die Kamera.

Merke: wer an geheime Daten will, muss einfach nur nach Großbritannien gehen...

Via Spiegel Online und heise.de

Am Freitag fand sich im Blog von Patrick Breyer der Eintrag, die Telekom würde gegen einen von ihm gestellten Antrag vorgehen, den Verwaltungsakt der Bundesnetzagentur öffentlich zu machen, mit dem die Telekom die Herausgabe von Verbindungsdaten ohne richterliche Anordnung begründet (siehe den entsprechenden Eintrag vom Samstag).

Die taz stellt den Vorgang nun ganz anders dar: Laut der taz geht die Telekom nicht gegen die Veröffentlichung, sondern gegen den Verwaltungsakt selbst vor, der sie zu der illegalen Herausgabe der Verbindungsdaten zwinge.

Ein Telekom-Sprecher wird wie folgt zitiert:

Damit müssen wir quasi gegen das Fernmeldegeheimnis verstoßen

Deswegen haben wir beim Verwaltungsgericht Köln einen Eilantrag auf Aussetzung dieser Regelung gestellt.

Die Bundesnetzagentur verteidigt den Verwaltungsakt als notwendig, um die Nutzer zu identifizieren. Der Verwaltungsakt regele auch nur die sofortige Auswertung und längere interne Speicherung der Daten bei der Telekom und nicht die Herausgabe und sei daher vom Telekommunikationsgesetz abgedeckt.

Was nun richtig ist, muss wohl die Zeit zeigen. Aber selbst wenn sich die Sichtweise der taz bestätigt, bleibt der Vorwurf bestehen, dass die Telekom (mindestens einmal) Verbindungsdaten ohne richterliche Genehmigung an die Staatsanwaltschaft weitergegeben hat.

Hier die Einträge in der taz und dem CTRL-Blog, sowie der ursprüngliche Blogeintrag von Patrick Breyer.

Heise.de und futureZone melden mit Berufung auf den Spiegel, dass die Telekom neben den Festnetz- und Mobilfunkverbindungen von Journalisten und gewerkschaftlichen Aufsichtsratsmitgliedern auch Emails überwacht hat. Dafür lägen konkrete Hinweise vor, die sich aus Dokumenten ergeben, die die Bonner Staatsanwaltschaft vorliegen hat. Laut dem Spiegel soll die Konzernsicherheit der Telekom auch Zugriff auf den gesamten Emailverkehr des Konzerns gehabt haben. Der damalige Telekom-Chef Kai-Uwe Ricke soll angeblich in einem Gespräch mit Gewerkschaftern Zugriff auf Unterlagen gehabt haben, die vorher vertraulich per Mail versandt worden waren.
Mehr auf heise.de und futureZone.

Wie futureZone meldet, hat das britische Verteidigungsministerium bekannt gegeben, dass auf dem Luftwaffenstützpunkt Innsworth drei Festplatten mit den persönlichen Daten von mehreren tausend Militärangehörigen gestohlen wurden. Die Festplatten wurden im Hochsicherheitsbereich des Stützpunktes aufbewahrt - sehr viel Sicherheit scheint nicht vorhanden zu sein. Wieviele Daten genau verschwunden sind, ist noch gar nicht klar, auf dem Stützpunkt werden die Daten von 900.000 Militärangehörigen verwaltet.
Der Vorfall reiht sich ein in eine ganze Reihe von Fällen in Großbritannien in den letzten Monaten. Erst gestern war bekannt geworden, dass eine CD mit 11.000 Daten von britischen Lehrern verschwunden ist.

Update: Spiegel Online und heise.de melden, dass USB-Sticks gestohlen wurden, keine Festplatten.

Der Telekom wurde Anfang des Monats von Patrick Breyer in seinem Blog vorgeworfen, dass sie illegal und ungefragt Verbindungsdaten herausgibt, noch dazu unzulänglich verschlüsselt (siehe den Eintrag hierzu).
Die Geschichte scheint sich nun "interessant" zu entwickeln. Patrick Breyer fragte beim Bundesdatenschutzbeauftragten nach und eine Mitarbeiterin bestätigte, dass diese Praxis illegal sei und dass die Telekom zugesagt habe, das Verfahren zu ändern. Nachdem die Meldung auch auf heise.de zu lesen war, haben einige Leser Strafanzeige gegen die Telekom wegen Verstoßes gegen das Fernmeldegeheimnis erstattet. Die Telekom beruft sich nun auf einen Verwaltungsakt der Bundesnetzagentur - als ob ein Verwaltungsakt der Netzagentur die Gesetzeslage ändern könnte. Patrick Breyer versucht nun, diesen Verwaltungsakt nach dem Informationsfreiheitsgesetz einzusehen.
Pikanterweise geht die Telekom nun gerichtlich gegen die Herausgabe vor. Offensichtlich scheint man bei der Telekom selbst nicht davon überzeugt zu sein, dass dieser Verwaltungsakt das Verhalten der Telekom rechtfertigt, andernfalls würde dieses Gerichtsverfahren ja kontraproduktiv sein.
Patrick Breyer vermutet, dass die Telekom einen zweiten Datenschutzskandal und weitere Strafverfahren verhindern will - was anhand der vorliegenden Informationen sehr plausibel scheint.

Genauer Infos im Blog von Patrick Breyer.

Update: Die taz schreibt nun in einem Artikel, gerichtlich gegen den Verwaltungsakt selbst vorgeht und sich als Opfer sieht. Mehr dazu hier.

Laut futureZone ist eine CD mit tausenden Datensätzen in Großbritannien verloren gegangen. Eine britische Lehrerorganisation meldete den Verlust einer CD mit 11.000 Datensätzen. Laut der Organisation seien aber keine finanziellen Daten enthalten und die CD sei verschlüsselt.

Den Lehrern bleibt nur zu wünschen, dass sie gut verschlüsselt wurde...

Update: heise.de meldet noch ein paar Details zu dem Verlust. So wurde die CD mit Daten wohl per Kurier versandt, kam aber nie am Bestimmungsort an. Bei einer Durchsuchung des Fahrzeugs war sie auch nicht mehr aufzufinden.

Die Stuttgarter Zeitung meldet, dass an Mannheimer Schulen seit Jahren ohne Gesetzesgrundlage Eingänge, Pausenhöfe und Flure überwacht werden.

Die ersten Videokameras seien 1995 installiert worden, mittlerweile würde an 17 von 95 öffentlichen Mannheimer Schulen überwacht. Teilweise würden die Aufnahmen bis zu 2 Wochen aufbewahrt.
Herausgekommen ist dies durch eine Anfrage der Grünen im Mannheimer Gemeinderat. Der baden-württembergische Datenschutzbeauftragte bereitet zur Zeit eine Stellungnahme vor. Er beurteilt die Maßnahme aber als "nicht unkritisch", da das Bundesverfassungsgericht im Februar 2007 entschieden hatte, dass eine Überwachung öffentlicher Plätze nur mit gesetzlicher Grundlage erlaubt ist, die auch nach der Schwere des Grundrechtseingriffs angemessen ist. In Baden-Württemberg gibt es allerdings keine rechtliche Grundlage für Videoüberwachung an Schulen.
Weder Innen- noch Kultusministerium in Baden-Württemberg haben auf eine Anfrage der Zeitung geantwortet, an wievielen Schulen denn eine Videoüberwachung installiert sei. Anfragen in einigen Städten ergab allerdings, dass sich diese Städte aufgrund der Rechtslage gegen die Überwachung entschieden hatten.

Der AK Vorratsdatenspeicherung hat das bisher geheim gehaltene Abkommen zum Datenaustausch mit den USA veröffentlicht.

Der AK verbindet die Veröffentlichung mit einem Aufruf an die Bundestagsabgeordneten, dem Abkommen nicht zuzustimmen. Es sei europaweit einzigartig und der Datenschutz in keinster Weise gesichert.

Die ganzen Kritikpunkte liest man am Besten in der Erklärung des AK Vorratsdatenspeicherung nach.

Zusätzlich noch 2 Dinge, die mir (als Nicht-Jurist) beim Durchlesen des Abkommens auffielen:

Im Artikel 10 "Übermittlung personenbezogener und anderer Daten zur Verhinderung terroristischer Straftaten"

(3) Mit der Notifikation nach Artikel 24 Satz 1 können die Vertragsparteien einander in einer gesonderten Erklärung die Straftaten notifizieren, die nach ihrem innerstaatlichen Recht als Straftaten im Sinne des Absatzes 1 gelten. Die Erklärung nach Satz 1 kann jederzeit durch eine Notifikation gegenüber der anderen Vertragspartei geändert werden.

Das heißt: die Straftaten, die eine Datenabfrage zur Terrorabwehr zulassen, können jederzeit einseitig geändert/ausgeweitet werden. Pikanterweise könnte die deutsche Seite die Abfrage noch nicht einmal sofort unterbinden, sollten die USA die "terroristisch relevanten" Straftaten deutlich ausweiten. Im Abkommen ist eine Kündigungsfrist von 3 Monaten vorgesehen.

Im Artikel 15: "Dokumentation"

(3) Die Protokolldaten sind durch geeignete Vorkehrungen gegen zweckfremde Verwendung und sonstigen Missbrauch zu schützen und zwei Jahre aufzubewahren. Nach Ablauf der Aufbewahrungsfrist sind die Protokolldaten unverzüglich zu löschen, soweit innerstaatliches Recht einschließlich anwendbarer Datenschutz- und Datenaufbewahrungsvorschriften nicht entgegensteht.

Das heißt, wenn keine anderen Vorschriften dem entgegen stehen, werden die Protokolle über die Zugriffe nach 2 Jahren gelöscht. Die übertragenen Vergleichsdaten müssen zwar unmittelbar nach dem Vergleich gelöscht werden - es sei denn, sie sind zur Abwendung einer ernsthaften Bedrohung für die innere Sicherheit erforderlich. Die übertragenen personenbezogenen Daten dürfen aber solange aufbewahrt werden wie nötig. Da in den Protokollen aber z.B. auch steht, an welche Stellen die Daten weitergegeben wurden, ist nach 2 Jahren überhaupt nicht mehr nachzuweisen, welchen Weg die Daten genommen haben. Auf der anderen Seite ist dies vermutlich sowieso nicht mehr von großem Belang, sobald sich die Daten in den USA befinden.

Laut futureZone hat das Telekom-Paket das Europaparlament passiert, allerdings mit einer wichtigten Einschränkung: die Regelung "Three Strikes and you're out", die Provider dazu verpflichten sollte, bei der dritten Urheberrechtsverletzung ihrer Kunden den Anschluss zu sperren, wurde abgelehnt. Diese vor allem von französischer Seite forcierte Regelung war im Vorfeld heftig kritisiert worden, da sie eine umfassende Überwachung der User durch die Provider erfordert.
Allerdings heißt das nicht, dass die Regelung nun europaweit vom Tisch ist. Vielmehr bleibt es den einzelnen Mitgliedsstaaten überlassen, ob sie eine solche Regelung einführen. Die Provider sollen aber zur Zusammenarbeit mit den Rechteinhabern verpflichtet werden. Allerdings wurde auch ein kurzfristig eingebrachter Änderungsantrag angenommen, dass Rechte und Freiheiten der Internetnutzer nur mit Zustimmung eines Richters beschnitten werden dürfen, schreibt http://www.heise.de/newsticker/EU-Parlament-Provider-sollen-rechtmaessige-Inhalte-foerdern--/meldung/116427">heise.de. Laut heise.de wird es nun vermutlich nach einer Stellungnahme der französischen EU-Ratspräsidentschaft von einer zweiten Lesung des Telekom-Pakets abhängen, was tatsächlich in der EU Realität werden wird.

Update: Mittlerweile gibt es auch eine erste Einschätzung von netzpolitik.org.

Das Europaparlament hat gestern für mehr Datenschutz gestimmt und die Vereinbarung des EU-Ministerrates kritisiert. Die Angleichung von Justizbestimmungen in den Ländern der EU dürfe nicht zu Lasten des Datenschutzes gehen. Mit großer Mehrheit wurde der Bericht von Martine Roure gebilligt, der den Vorschlag der Innenminister in vielen vor allem datenschutz-relevanten Punkten verschärft.

Mehr Infos finden sich auf futurezone, golem.de, heise.de und http://www.heise.de/tp/r4/artikel/28/28800/1.html">Telepolis.

Bleibt nur zu hoffen, dass der Datenschutz auch bei der heutigen Abstimmung zum Telekom-Paket eine Rolle spielen wird. Mehr zum Hintergrund auf netzpolitik.org, auch ein Artikel auf Spiegel Online widmet sich der heutigen Abstimmung.

"Eine ewige Erfahrung lehrt, dass jeder Mensch, der Macht hat, dazu getrieben wird, sie zu missbrauchen. Er geht immer weiter, bis er an Grenzen stößt."
(Charles de Montesquieu, Vom Geist der Gesetze)

Vor ein paar Tagen haben sowohl Spiegel Online als auch Zeit Online den Missbrauch der Anti-Terror-Gesetze in Großbritannien berichtet.
Der Regulation of Investigatory Powers Act (RIPA) gab den Behörden das Recht Emails mitzulesen, Telefon- und Internetverbindungen zu überwachen, Kontoauszüge einzusehen, Videoüberwachung durchzuführen oder die Herausgabe von Passwörtern zu verlangen. Im Jahr 2003 wurden der Kreis der berechtigten Behörden drastisch ausgeweitet. Seitdem können auch Gemeinden, Schulbehörden oder Arbeitsämter Überwachungen durchführen und Informationen einsehen, nur die Telefonüberwachung bleibt den Sicherheitsbehörden vorbehalten. Ein belegter Verdacht muss nicht vorliegen, es reicht ein (anonymer) Hinweis.
Dieses Recht wird offensichtlich auch ausgiebig genutzt, zu jedem denkbaren nichtigen Anlass. Der Daily Telegraph meldete im April, dass jeden Monat 1000 neue Ausspionierungsaktionen durch die Gemeinden gestartet werden. Was alles dafür Anlass bietet, ist mehr als bizarr. So wurde eine komplette Familie in Poole mit allen Mitteln der Technik überwacht, nur weil der Verdacht besteht, sie hätten ihr Kind im falschen Schulbezirk angemeldet. Später stellte sich heraus, dass sie aus dem Schulbezirk verzogen waren und ihre Kinder mit Billigung des Direktors in der Schule belassen hatte. Allein dieses Beispiel zeigt, wie sorglos mit den Möglichkeiten der Überwachung in Großbritannien umgegangen wird, durch eine kurze Nachfrage hätte der Sachverhalt aus der Welt geschafft werden können. Leider handelt es sich hier aber um keinen Einzelfall, in Derby wurden Videokameras aufgestellt, nachdem sich Anwohner über spielende Kinder beschwert hatten.
Noch ein paar Beispiele aus dem Artikel von Spiegel Online:

• In Easington begann die Stadt, den Garten eines Anwohners zu überwachen, weil sich seine Nachbarn über Lärm beschwert hatten.
• In Newcastle überwachte die Stadtverwaltung die Praxis eines Tierarztes, weil Nachbarn über bellende Hunde klagten.
• In Durham holte die Stadt die Genehmigung ein, Privatpersonen zu überwachen, die Dinge auf dem Flohmarkt verkauften, um Warenfälschern auf die Spur zu kommen.
• Die Stadtverwaltung von Westminster (London) überwachte einen Schlosser, weil er des Betrugs bezichtigt worden war.
• Der Torbay City Council las die E-Mails eines Angestellten mit, weil er beschuldigt wurde, "verdächtiges Material" verschickt zu haben. Einem zweiten Angestellten wurde hinterherspioniert, weil er angeblich einen Wagen der Stadtverwaltung für Privatzwecke genutzt hatte.
• In Canterbury wurde ein Ermittler auf Privatpersonen angesetzt, die im Verdacht standen, illegal mit Pizza zu handeln.

Selbst der Polizei wird die Überwachung mittlerweile zuviel. Die ständige Überwachung würde die eigenen Ermittlungen gefährden, die Regierung solle die Befugnisse doch wieder einschränken, kommen Stimmen aus der Polizei. Bürgerrechtsgruppen in Großbritannien vergleichen die Verhältnisse mittlerweile mit China oder der deutschen Stasi.

Während es der Überwachung in den USA auch genug gibt, hat ein weiterer Spiegel Online-Artikel sich den allumfassenden Datenbanken in den Vereinigten Staaten gewidmet. In den Public Record Databases finden sich z.B. Vorstafen, Verkehrsvergehen oder einfach Daten, die normalerweise geschützt sind wie z.B. Wohnorte von Prominenten. Entweder ganz kostenlos oder gegen eine geringe Gebühr lässt sich alles herausfinden. Verwechslungen wegen Namensgleichheit sind natürlich immer möglich. Dagegen wirkt rottenneighbor.com fast harmlos - trotzdem kein Grund die Seite gut zu finden...

Über den Eintrag im CTRL-Blog hatte ich ja schon etwas geschrieben. Nun findet sich in der taz ein kurzes Interview mit Sven Gábor Jánszky.
Gegenüber dem Blog-Eintrag allerdings nicht viel Neues, er wiederholt nur seine Thesen, dass die Menschen den Datenschutz für die Vorteile (wie z.B. Rabatte) selbst aufgeben werden und der Datenschutz nur noch gegen kriminelle Aktivitäten wirken wird.

Das Interview findet ihr auf den Seiten der taz.

Der Datenschutzgipfel Anfang September wirkt immer noch nach. Die Oppositionsparteien werfen der Regierung vor, es nicht ernst zu meinen und auf halbem Wege halt zu machen. Außerdem werfen sie Bundesinnenminister Schäuble vor, dass sich die angebliche Stärkung des Datenschutzes nicht auf den Haushalt auswirkt: dem Bundesdatenschutzbeauftragten würde außer einer tariflichen Gehaltsanpassung keine weiteren Haushaltsgelder bewilligt - obwohl der Etat des Innenministeriums um 10% steigt. Sie versuchen durch Anträge die Bundesregierung in Zugzwang zu bringen.

Die Datenschützer des Bundes und der Länder haben die Bundesregierung aufgefordert, die beschlossenen Maßnahmen zügig umzusetzen - wohl auch, um die öffentliche Aufmerksamkeit und den dadurch bestehenden Druck auszunutzen und zu verhindern, dass die Beschlüsse "verwässert" werden. Auch müssten die Datenschutzbeauftragten finanziell und personell besser ausgestattet werden.

Die Stiftung Warentest hat ein Buch herausgegeben, dass sich mit dem Datenschutz im Alltag beschäftigt.

Für 12,90 € lässt sich das Buch"Meine Daten schützen" im Buchhandel bestellen, das sich unter anderem mit dem Internet oder dem Einkaufen.

Mehr Infos gibt es auf den Seiten der Stiftung Warentest.