Nach langem Ringen hat der Bundestag Mitte Oktober mit erstaunlich großer Mehrheit für die Wiedereinführung der Vorratsdatenspeicherung gestimmt. Nach dem neuen Gesetz sollen künftig jedoch IP-Adressen von Computern und Verbindungsdaten zu Telefongesprächen 10 Wochen lang anlasslos von Telekommunikationsanbietern gespeichert werden können. Standortdaten bei Handy-Gesprächen sollen 4 Wochen lang gespeichert werden können.
Hintergrund der Wiedereinführung der Vorratsdatenspeicherung ist die unveränderte Intention des Gesetzgebers, strafrechtliche Ermittlungen im Bereich der Bekämpfung von Terrorismus und sonstigen schweren Verbrechen zu erleichtern, indem auf die zunächst anlasslos gespeicherten Daten bei Bedarf zugegriffen werden kann.
Die Befürworter der Vorratsdatenspeicherung führen zur Begründung der Verfassungsmäßigkeit des Gesetzes neben der Erforderlichkeit der Vorratsdatenspeicherung aus Gründen der Strafverfolgung an, dass der Eingriff in die Privatsphäre verhältnismäßig gering sei, weil das Gesetz keine Speicherung der Kommunikationsinhalte selbst erlaube.
Kritiker des Gesetzes entgegnen, dass es insbesondere im Bereich der Berufsgeheimnisträger, wie Ärzten oder Anwälten, aufgrund der besonders geschützten Vertrauensbeziehung zum Patienten bzw. Mandaten, gar nicht zu einer Speicherung kommen dürfe. Eine entsprechende Ausnahme sehe das Gesetz indes nicht vor.
Zudem sei die vorgenannte Trennung zwischen Verbindungs- und Inhaltdaten nicht eindeutig. So sei bereits bekannt geworden, dass bei SMS-Nachrichten auch die Inhalte der Kurznachrichten bei den Telekommunikationsunternehmen gespeichert würden. Es sei den TK-Anbietern bislang schlicht nicht möglich, die Signalisierungsdaten, die für den Weg durch das Netz erforderlich sind, von den Inhalten zu trennen. Ein Filtersystem zur Trennung der Signale von den Inhalten existiere im Augenblick am Markt nicht und eine solche Trennung sei jedenfalls nicht branchenüblich, selbst wenn ein Filtersystem geschaffen werden könne.
- Was Unternehmen zur EU-Datenschutzreform beachten müssen
Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps. - Einwilligung
Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden. - "Recht auf Vergessen"
Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können. - Technische und organisatorische Maßnahmen
Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor. - Anzeige bei Verstößen
Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können. - Umsetzung und Strafen
Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.
Diesen Bedenken wird wiederum entgegen gehalten, dass Ermittlungsbehörden keinen Zugriff auf gegebenenfalls mitgespeicherte Kommunikationsinhalte hätten. Diesen sei nach dem Gesetz nur der Zugriff auf Verkehrsdaten erlaubt. TK-Anbieter würden sich zudem strafbar machen, wenn sie die Inhalte weitergäben. Die Gefahr, dass gespeicherte (Inhalts-) Daten verloren gehen, unberechtigten Dritten in die Hände fallen oder von den berechtigten Personen missbraucht werden, bleibt jedoch in jedem Fall bestehen.
Dass sich der Bundestag mit großer Mehrheit für ein derartiges Gesetz ausgesprochen hat, verwundert. Denn die Vorratsdatenspeicherung wird von Juristen wegen eines möglichen Verstoßes gegen die Grundrechte als äußerst kritisch angesehen. So hatte das Verfassungsgericht 2010 ein früheres Gesetz zur Vorratsdatenspeicherung für verfassungswidrig erklärt.
Auch auf europäischer Ebene hat der Europäische Gerichtshof die EU-Richtlinie zur Vorratsdatenspeicherung (RL 2006/24/EG) wegen Verstoßes gegen die Charta der Grundrechte der Europäischen Union für ungültig erklärt. Die EU-Richtlinie bildete den Anlass für die das ursprüngliche deutsche Gesetz über die Vorratsdatenspeicherung, welches vom Verfassungsgericht gekippt wurde.
Schließlich hat auch der Bundesgerichtshof die Anforderungen an eine anlasslose Speicherung weiter präzisiert: danach ist in Deutschland eine Vorratsdatenspeicherung für (nur) sieben Tage erlaubt. Nicht erstaunlich ist daher, dass bereits jetzt wieder Klagen gegen das neue Gesetz angekündigt wurden, denn es ist fraglich, ob das neue Gesetz vor dem Hintergrund des vom BVerfG und vom EuGH statuierten Verbots einer anlasslosen Speicherung Bestand haben kann. Das Ergebnis der bereits in Aussicht gestellten Klagen bleibt daher mit Spannung abzuwarten. (bw)