|
Größe: 3098
Kommentar:
|
← Revision 51 vom 2018-03-17 09:43:05 ⇥
Größe: 6522
Kommentar: Glättung der letzten Änderungen
|
| Gelöschter Text ist auf diese Art markiert. | Hinzugefügter Text ist auf diese Art markiert. |
| Zeile 1: | Zeile 1: |
| [[TableOfContents]] | <<TableOfContents>> |
| Zeile 3: | Zeile 3: |
| = Datenschutz = | Datenschutz bezeichnet hier den Schutz personenbezogener Daten in Computersystemen; die Einschränkung auf „in Computersystemen“ resultiert aus der gegenüber physisch gebundenen Daten um Größenordnungen höheren Gefahr der Reproduktion und Verknüpfung. Nicht personenbezogene Daten auf der anderen Seite verdienen aus unserer Sicht keinen wesentlichen Schutz; im Gegenteil, möglichst weitgehender Zugang zu derartigen Daten ist normalerweise hilfreich für Freiheit, Gleichheit und Solidarität. Einzuräumen ist aber, dass eine Grauzone zunehmend personenbeziehbarer Daten besteht. |
| Zeile 5: | Zeile 13: |
| == Nichtstaatliche Organisationen == | Mehr zum Datenschutz-Verständnis der Betreiber dieses Wikis findet sich in <<Rellink(gc/html/burger.html,get connected 3/14)>>. |
| Zeile 7: | Zeile 16: |
| * [https://www.ccc.de/ Chaos Computer Club] * [https://www.foebud.org/ FoeBuD e.V.] * [http://www.gdd.de/ GDD e.V. (Gesellschaft für Datenschutz und Datensicherung)] * [http://www.privacyinternational.org] * [http://www.eff.org (Electronic Frontiers Foundation)] * [https://stop1984.com Stop1984: Gegen die Totalüberwachung!] * Ganz cool zum rausfinden von Adressen: http://www.geheimdienste.org/lfv.html * [http://www.ak-vorrat.de (Arbeitskreis Vorratsdatenspeicherung)] * [http://www.geheimhaltung.com Datenschutz, Privatsphäre und Big Brother] |
Auf europäischer Ebene wird der deutsche Datenschutz in der Gesetzgebung zu „data protection“, jenseits von Brüssel wird eher von „privacy“ (Schutz der Privatsphäre), „data privacy“ oder „information privacy“ gesprochen. |
| Zeile 18: | Zeile 22: |
| == Staatliche Organisationen == | = Grundlegende Urteile = |
| Zeile 20: | Zeile 24: |
| Die Datenschutzbeauftragten des Bundes und der Länder: | Das Datenschutzrecht in der BRD ist noch nicht alt. Anfang der 70er Jahre führten erste Länder Datenschutzgesetze ein, doch so richtig los ging es eigentlich erst 1983 mit dem <<Doclink(1983-volkszaehlungsurteil.pdf,Volkzählungsurteil)>> des Bundesverfassungsgerichts, das im Groben feststellte, dass ein Staat, dessen Bürger_innen nicht zu jederzeit wissen, was wer über sie speichert, keine funktionierende Demokratie mehr sein kann. Der_die Bürger_in hat dann nämlich keine Möglichkeit mehr, die Konsequenzen einer Handlung oder Äußerung zu übersehen und wird daher Handlungen und Äußerungen nach vorauseilenden Opportunitätskriterien organisieren. |
| Zeile 22: | Zeile 35: |
| * [http://www.datenschutzzentrum.de/ Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein] * [http://www.dsk.gv.at/ Offizielle Website der österreichischen Datenschutzkommission] * [http://www.edsb.ch/ Website des Eidgenössischen Datenschutzbeauftragten] * [http://www.bfd.bund.de/information/index.html Bundesbeauftragter für den Datenschutz] * [http://www.bfd.bund.de/anschriften/dsb_land.html Links auf die LfDs] * [http://www.baden-wuerttemberg.datenschutz.de/ LfD BaWü] |
Das Bundesverfassungsgericht leitet direkt aus der hochrangingen Menschenwürde (Art. 1 GG) das '''Grundrecht auf informationelle Selbstbestimmung''' („Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“) ab. Wie in alle Grundrechte darf natürlich auch in dieses auf Grundlage eines Gesetzes eingegegriffen werden. |
| Zeile 29: | Zeile 43: |
| Virtuelles Datenschutzbüro | Während die informationelle Selbstbestimmung über Daten redet, die dritte über Bürger_innen verarbeiten, hat das Bundesverfassungsgericht 2008 eine Erweiterung auf Daten, die Menschen über sich selbst speichern, vorgenommen: Das „Grundrecht auf digitale Intimsphäre“ aus [[http://www.bundesverfassungsgericht.de/entscheidungen/rs20080227_1bvr037007.html|BVerfGE 120, 274]]. Das Urteil erging im Rahmen einer Klage gegen ein staatliches Einbruchsrecht in die EDV ihrer Untertanen („Bundestrojaner“) und schränkt dieses immerhin milde ein. |
| Zeile 31: | Zeile 52: |
| * [http://www.datenschutz.de/ www.datenschutz.de] | Dass der Datenschutz seine Richtungen von Gerichten bekommt, ist sehr typisch. Die Gesetzgebung im Datenschutzbereich ist normalerweise schreinrestriktiv, d.h., Normen haben fast immer die Form „X ist verboten, außer jemand hat einen guten Grund, es doch zu tun“ bzw. „Die Betroffenen haben Rechte X, Y und Z, außer die speichernde Instanz hat gute Gründe, sie ihnen zu versagen“. Die Einordnung, was die guten Gründe sind, wird fast durchweg von Gerichten vorgenommen, und so ist Datenschutz ein Gebiet, in dem „Richterrecht“ für deutsche Verhältnisse stark dominiert (die Rede ist auch oft von „Case Law“ oder „Kasuistik“). |
| Zeile 33: | Zeile 62: |
| == Handbücher, Pamphlete, Faltblätter == *[http://www.datenschmutz.de/u/geheime_nachrichtentechnik.pdf Älteres Buch über geheime Nachrichtentechnik] *[http://www.uni-muenster.de/Jura.itm/hoeren/material/Skript/skript_Januar2006.pdf Im kostenlos abrufbaren Buch "Internetrecht" von Professor Thomas Hoeren sind eine "Fülle ergangener Urteile zum Recht der Neuen Medien" eingeflossen. Berücksichtigt werden Gerichtsentscheidungen zum Domain-, Urheber- und E-Commerce-Recht.] *[http://www.bfdi.bund.de/cln_029/nn_531950/SharedDocs/Publikationen/Faltblaetter/DatenschutzBeiDerPolizei,templateId=raw,property=publicationFile.pdf/DatenschutzBeiDerPolizei.pdf Faltblatt zur Informationsverarbeitung bei der Polizei und die Wahrnehmung unserer Rechte gegenüber der Polizei] |
= Prinzipien = |
| Zeile 38: | Zeile 64: |
| == Information == | Wegen der Schwäche der Datenschutzgesetze leiten sich die Prinzipien des Datenschutzes recht direkt aus den grundlegenden Urteilen bzw. den Grundrechten ab. Diese lassen sich in vielerlei Weisen definieren, die folgenden Konzepte tauchen jedoch eigentlich immer auf und folgen im Wesentlichen aus Grundrechts- und Verhältnismäßigkeitserwägungen: |
| Zeile 40: | Zeile 70: |
| Unter dem Motto "Datenspuren - Privatsphäre war gestern" fand am 08. Mai 2004 in Dresden eine Informationsveranstaltung zu diesem Thema statt. Veranstalter war der Chaostreff Dresden, der dem CCC nahe steht. | Datensparsamkeit:: Daten dürfen nur dann erhoben und gespeichert werden, wenn sie zur Erfüllung einer bestimmten Aufgabe (des "Zwecks") notwendig, geeignet, und angemssen sind. Beispiel: Zweck dieser Webseite ist die Aufklärung über staatliche Eingriffe in informationelle Grundrechte. Um diesen Zweck zu erfüllen, müssen wir nach Bearbeitung der Anfrage nicht die IP-Adressen derer speichern, die diese Seiten lesen (und dürfen es also auch nicht). ''Vielleicht'' könnten wir wissen wollen, was für Betriebssysteme die Leute haben, wenn wir dann die Aufklärungsarbeit danach ausrichten; dann wäre eine Speicherung entsprechender Daten in Ordnung, zumal der Eingriff in die informationelle Selbstbestimmung durch die nur schwach personalisierbaren Daten und einfach zu treffende Gegenmaßnahmen auch gering ist. Zweckbindung:: Wenn Daten für einen Zweck erhoben wurden, dürfen sie auch nur für diesen Zweck genutzt werden und müssen gelöscht werden, wenn dieser Zweck erfüllt ist. Aus dieser Forderung ergeben sich insbesondere auch Speicherfristen, nach denen in jedem Fall gelöscht werden muss. Beispiel: Während der Bearbeitung einer Anfrage hat unsere Server-Software natürlich zeitweise eure IP-Adresse, denn sonst könnte sie nicht die Antworten an euer Endgerät schicken; Speicherzweck ist also die Zustellung von Datenpaketen. Diese IP-Adresse darf aber nicht verwendet werden, um etwa einen Portscan auf eurer IP durchzuführen oder auch je nach IP angepasste Werbung einzublenden – beides hat nichts mit der Zustellung der Datenpakete zu tun. Transparenz:: Wer personenbezogene Daten speichert, muss die Gespeicherten davon in Kenntnis setzen (was natürlich implizit geschehen kann; wer eine Webseite aufruft, weiß (na ja, sollte wissen), dass der Server dann die IP-Adresse und allerlei Browser-Kennungen, Cookies und ähnliches sieht). Die Gespeicherten müssen erfahren können, was gespeichert wird, was mit ihren Daten passiert, wann sie gelöscht werden, und sie haben unter großzügigen Voraussetzungen Anspruch auf Löschung oder Berichtigung. Nochmal: Dies sind ''Prinzipien'', von denen dank allerlei Gesetzen abgewichen werden kann und permanent wird wird. Was jedoch bleibt, sind die Kriterien der '''Verhältnismäßigkeit''' aus der Datensparsamkeit: Die Verarbeitung muss für den erklärten Zweck notwendig, geeignet, angemessen sein. Entsprechend ist sie das wesentliche Werkzeug, um konkrete Datenverarbeitung anzugreifen. Am Beispiel von Löschverlangen in Polizeidatenbanken sind diese in <<Rellink(/gc/html/loeschen.html,get connected 1/17)>> diskutiert. |
| Zeile 43: | Zeile 86: |
| * [http://datenspuren.c3d2.de/ Offizielle "Datenspuren" Website mit Beschreibungen der Vorträge] * [http://www.skyhub.de/datenspuren/ Audiomitschnitte der Veranstaltung im Ogg-Vorbis Dateiformat] * [http://www.c3d2.de/ Chaostreff-Dresden] * [http://www.bfd.bund.de/information/index.html Bundesbeauftragte für den Datenschutz - Tagungsband zum Symposium ?Großer Lauschangriff? ( Titel: ?Folgerungen aus dem Urteil des Bundesverfassungsgerichts zur akustischen Wohnraumüberwachung: Staatliche Eingriffsbefugnisse auf dem Prüfstand??)] * [http://mandalka.name/privatsphaere_im_internet/ Privatsphäre im Internet - Wer sammelt und speichert wann, wie und warum welche Daten über uns und wie mensch sich davor schützen kann] |
= Siehe auch = * [[Datenschutzbeauftragten|Datenschutzbeauftragte]] * [[http://www.datenschutz.de/|Virtuelles Datenschutzbüro]] |
Inhaltsverzeichnis
Datenschutz bezeichnet hier den Schutz personenbezogener Daten in Computersystemen; die Einschränkung auf „in Computersystemen“ resultiert aus der gegenüber physisch gebundenen Daten um Größenordnungen höheren Gefahr der Reproduktion und Verknüpfung. Nicht personenbezogene Daten auf der anderen Seite verdienen aus unserer Sicht keinen wesentlichen Schutz; im Gegenteil, möglichst weitgehender Zugang zu derartigen Daten ist normalerweise hilfreich für Freiheit, Gleichheit und Solidarität. Einzuräumen ist aber, dass eine Grauzone zunehmend personenbeziehbarer Daten besteht.
Mehr zum Datenschutz-Verständnis der Betreiber dieses Wikis findet sich in get connected 3/14.
Auf europäischer Ebene wird der deutsche Datenschutz in der Gesetzgebung zu „data protection“, jenseits von Brüssel wird eher von „privacy“ (Schutz der Privatsphäre), „data privacy“ oder „information privacy“ gesprochen.
Grundlegende Urteile
Das Datenschutzrecht in der BRD ist noch nicht alt. Anfang der 70er Jahre führten erste Länder Datenschutzgesetze ein, doch so richtig los ging es eigentlich erst 1983 mit dem Volkzählungsurteil des Bundesverfassungsgerichts, das im Groben feststellte, dass ein Staat, dessen Bürger_innen nicht zu jederzeit wissen, was wer über sie speichert, keine funktionierende Demokratie mehr sein kann. Der_die Bürger_in hat dann nämlich keine Möglichkeit mehr, die Konsequenzen einer Handlung oder Äußerung zu übersehen und wird daher Handlungen und Äußerungen nach vorauseilenden Opportunitätskriterien organisieren.
Das Bundesverfassungsgericht leitet direkt aus der hochrangingen Menschenwürde (Art. 1 GG) das Grundrecht auf informationelle Selbstbestimmung („Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“) ab. Wie in alle Grundrechte darf natürlich auch in dieses auf Grundlage eines Gesetzes eingegegriffen werden.
Während die informationelle Selbstbestimmung über Daten redet, die dritte über Bürger_innen verarbeiten, hat das Bundesverfassungsgericht 2008 eine Erweiterung auf Daten, die Menschen über sich selbst speichern, vorgenommen: Das „Grundrecht auf digitale Intimsphäre“ aus BVerfGE 120, 274. Das Urteil erging im Rahmen einer Klage gegen ein staatliches Einbruchsrecht in die EDV ihrer Untertanen („Bundestrojaner“) und schränkt dieses immerhin milde ein.
Dass der Datenschutz seine Richtungen von Gerichten bekommt, ist sehr typisch. Die Gesetzgebung im Datenschutzbereich ist normalerweise schreinrestriktiv, d.h., Normen haben fast immer die Form „X ist verboten, außer jemand hat einen guten Grund, es doch zu tun“ bzw. „Die Betroffenen haben Rechte X, Y und Z, außer die speichernde Instanz hat gute Gründe, sie ihnen zu versagen“. Die Einordnung, was die guten Gründe sind, wird fast durchweg von Gerichten vorgenommen, und so ist Datenschutz ein Gebiet, in dem „Richterrecht“ für deutsche Verhältnisse stark dominiert (die Rede ist auch oft von „Case Law“ oder „Kasuistik“).
Prinzipien
Wegen der Schwäche der Datenschutzgesetze leiten sich die Prinzipien des Datenschutzes recht direkt aus den grundlegenden Urteilen bzw. den Grundrechten ab. Diese lassen sich in vielerlei Weisen definieren, die folgenden Konzepte tauchen jedoch eigentlich immer auf und folgen im Wesentlichen aus Grundrechts- und Verhältnismäßigkeitserwägungen:
- Datensparsamkeit
Daten dürfen nur dann erhoben und gespeichert werden, wenn sie zur Erfüllung einer bestimmten Aufgabe (des "Zwecks") notwendig, geeignet, und angemssen sind. Beispiel: Zweck dieser Webseite ist die Aufklärung über staatliche Eingriffe in informationelle Grundrechte. Um diesen Zweck zu erfüllen, müssen wir nach Bearbeitung der Anfrage nicht die IP-Adressen derer speichern, die diese Seiten lesen (und dürfen es also auch nicht). Vielleicht könnten wir wissen wollen, was für Betriebssysteme die Leute haben, wenn wir dann die Aufklärungsarbeit danach ausrichten; dann wäre eine Speicherung entsprechender Daten in Ordnung, zumal der Eingriff in die informationelle Selbstbestimmung durch die nur schwach personalisierbaren Daten und einfach zu treffende Gegenmaßnahmen auch gering ist.
- Zweckbindung
- Wenn Daten für einen Zweck erhoben wurden, dürfen sie auch nur für diesen Zweck genutzt werden und müssen gelöscht werden, wenn dieser Zweck erfüllt ist. Aus dieser Forderung ergeben sich insbesondere auch Speicherfristen, nach denen in jedem Fall gelöscht werden muss. Beispiel: Während der Bearbeitung einer Anfrage hat unsere Server-Software natürlich zeitweise eure IP-Adresse, denn sonst könnte sie nicht die Antworten an euer Endgerät schicken; Speicherzweck ist also die Zustellung von Datenpaketen. Diese IP-Adresse darf aber nicht verwendet werden, um etwa einen Portscan auf eurer IP durchzuführen oder auch je nach IP angepasste Werbung einzublenden – beides hat nichts mit der Zustellung der Datenpakete zu tun.
- Transparenz
- Wer personenbezogene Daten speichert, muss die Gespeicherten davon in Kenntnis setzen (was natürlich implizit geschehen kann; wer eine Webseite aufruft, weiß (na ja, sollte wissen), dass der Server dann die IP-Adresse und allerlei Browser-Kennungen, Cookies und ähnliches sieht). Die Gespeicherten müssen erfahren können, was gespeichert wird, was mit ihren Daten passiert, wann sie gelöscht werden, und sie haben unter großzügigen Voraussetzungen Anspruch auf Löschung oder Berichtigung.
Nochmal: Dies sind Prinzipien, von denen dank allerlei Gesetzen abgewichen werden kann und permanent wird wird. Was jedoch bleibt, sind die Kriterien der Verhältnismäßigkeit aus der Datensparsamkeit: Die Verarbeitung muss für den erklärten Zweck notwendig, geeignet, angemessen sein. Entsprechend ist sie das wesentliche Werkzeug, um konkrete Datenverarbeitung anzugreifen. Am Beispiel von Löschverlangen in Polizeidatenbanken sind diese in get connected 1/17 diskutiert.