EDRi-gram Nr. 6.2, 30. Januar 2008

EDRi-gram
Nein

EDRi-gram Nr. 6.2, 30. Januar 2008

Der Europäische Gerichtshof entscheidet über die Handhabung von Verkehrsdaten in Zivilprozessen

Der Europäische Gerichtshof hat am 29. Januar 2008 im Fall Productores de Música de España Promusicae vs. Telefónica de España entschieden, dass das Europäische Recht „Mitgliedsstaaten nicht dazu verpflichtet, Auflagen zur Auskunftspflicht über persönliche Daten im Kontext von Zivilprozessen festzusetzen.“ Dennoch erlaubt die Entscheidung den nationalen Gerichtshöfen solche Auflagen festzulegen, wenn die nationale Auslegung es verlangt: „Bei diesen Richtlinien sind die Klauseln recht allgemein gehalten, weil sie auf zahlreiche unterschiedliche Situation in allen Mitgliedsstaaten anwendbar sein müssen.“

Die Entscheidung wurde in einem Fall herbeigeführt, bei dem die spanische Musikgesellschaft Promusicae von dem ISP Telefonica die Namen und Adressen jener Teilnehmer eingefordert hat, die nachweislich urheberrechtlich geschützte Songs mithilfe der P2P-Software Kazaa verbreitet haben. Telefonica weigerte sich und gab an, dass diese Informationen nur im Fall polizeilicher Ermittlungen oder in Zusammenahng mit der nationalen Sicherheit und der Landesverteidigung bekannt gegeben werden dürfen. Die Firma verwies dabei auf die spanische Umsetzung der Richtlinie zu Elektronischem Handel. Ein Gericht in Madrid ersuchte den Europäischen Gerichtshof um eine Entscheidungsfindung über die Übereinstimmung des Spanischen Gesetzes mit dem EU Recht in dieser Sache.

In ihrer Stellungnahme, die am 18. Juli 2007 veröffentlicht wurde, sprach sich Generalstaatsanwältin Juliane Kokott für die ISPs aus und wies darauf hin, dass die Ausnahmen der Mitgliedsstaaten für die Aufdeckung persönlicher Daten über den Internetverkehr bei Zivilprozessen über Urheberrechtsverletzungen mit dem EU Recht übereinstimmen.

Dennoch beschränkte sich die entgültige Entscheidung des Europäischen Gerichtshofes auf die Aussage, dass die Europäischen Richtlinien, die in diesem Fall geltend gemacht wurden „die Mitgliedsstaaten nicht dazu verpflichten (...), Auflagen zur Übermittlung von persönlichen Daten festzulegen, um das Urheberrecht bei Zivilprozessen wirkungsvoll aufrecht zu erhalten.“ Damit wird bestätigt, dass das EU Recht von den nationalen Gerichten nicht direkt verlangt, persönliche Daten bei Zivilprozessen über Urheberrechtsverletzungen einzusehen.

Gleichzeitig heißt es in der Entscheidung, dass es für nationale Gesetzgebungen möglich sei, die Einforderung der Offenlegung bei Zivilprozessen zu erzwingen; verwiesen wird auf die Ausgewogenheit der Grundrechte: „(...) wenn diese Maßnahmen in Rahmen der Richtlinien durchgesetzt werden, müssen die Behörden und die Gerichten der Mitgliedsstaaten nicht nur ihre nationalen Gesetze in Übereinstimmung mit den Richtlinien durchsetzen, sondern auch sicherstellen, dass sie sich dabei nicht auf eine Auslegung stützen, die im Widerspruch mit diesen Grundrechten stehen oder mit anderen Grundrechten des Gemeinschaftsrechts wie dem Prinzip der Proportionalität.“

Iain Connor, Anwalt für geistiges Eigentum und Partner bei Pinton Masons, sieht das Urteil als schlechte Nachricht für ISPs in Großbritannien: „Leuten, die Material anbieten wollen, wird es möglich gemacht, effektiv in Foren einzukaufen und auf ISPs an Orten zuzugreifen, wo keine Offenlegung mehr angeordnet werden kann.“

Meryem Marzouki, die Vorsitzende des EDRi-Mitlgieds IRIS France sieht die Entscheidung eher als Vorteil für die Urheberrechtsinhaber und besteht darauf, dass das Urteil einen Rückschritt bedeute, wenn man sich auf die Stellungnahme der Generalstaatsanwältin zu diesem Fall stütze, dass beim Gemeinschaftsrecht über Elektronischen Handel, Urheberrechtsschutz und die Durchsetzung geistiger Eigentumsrechte die Gesetzgebung der EU zum Schutz persönlicher Daten vorherrschen soll.

C-275/06 - Promusicae vs Telefonica - ECJ decision (29.01.2008)

Countries can choose whether or not to force disclosure of file-sharers (29.01.2008)

Court delivers a blow to record companies on internet piracy (30.01.2008)

EU supremes: ISPs don't always have to finger filesharers (29.01.2008)

unwatched: Generalstaatsanwältin des EuGH sagt Nein zur Weitergabe von Verkehrsinformation bei Zivilfällen (1.08.2007)

Hearing des Europäischen Parlaments zu Fragen der Privatsphäre im Internet

Während eines Hearings der Bürgerrechtsausschusses des Europäischen Parlaments am 21. Januar 2008 wurden ernste Datenschutzbedenken bezüglich der Praktiken der großen Internetfirmen laut, welche das Onlineverhalten ihrer Nutzer beobachten, um Onlinewerbetreibenden die notwendigen Informationen zur besseren Erreichung der Zielgruppen zuspielen zu können.

Die Hauptdiskussion drehte sich um den Google-Double Click-Deal, der derzeit von der Europäischen Kommission überprüft wird und in den Vereinigten Staaten schon im Dezember 2007 durch die Bundeshandelskommission abgesegnet worden ist.

Google hat die MEPs und Rechtsanwälte kritisiert und ihnen vorgeworfen, „einen Fall über die Privatsphäre in eine Prüfung über Wettbewerbsrecht hineinzubugsieren“, aber Sophie In 't Veld erwiderte auf diese Anschuldigungen: „Der Grund warum Google diese Daten haben will ist, dass sie ihnen einen Wettbewerbsvorteil verschaffen. Es geht ums Geschäft. Ich denke nicht, dass die beiden Bereiche vollständig unabhängig voneinander gesehen werden können.“ Der griechische MEP Stavros Lambridinis führte Bedenken bezüglich des Mangels an Gemeinschaftsgesetzgebungen an, die garantieren könnten, dass die persönlichen Daten nur für Werbezwecke verwendet werden und sagte: „Es gibt keine EU-Gesetzgebung per se, die sicherstellt, dass die Informationen über das Verhalten und Zielgruppenzugehörigkeit für Marketingzwecke nicht auch für andere Aktivitäten weiterverwendet werden kann, die weit über das ursprüngliche Ziel hinausgehen.“

Der Europäische Datenschutzbeauftragte Peter Hustinx sagte in der Angelegenheit: „Gemeinschaftsrecht gilt auch für das Internet, es gilt sowohl für online- als auch offline-Realitäten. (...) Bestehende Regeln gelten und bieten Sicherheitsvorkehrungen.“

Peter Fleischer, Googles Berater für globale Belange der Privatsphäre gab an, dass die Fusion zwischen Google und DoubleClick nicht in der Schaffung einer einzigen Datenbank für Kundendaten enden würde, da „DoubleClick die Daten ihrer Kunden nicht besitzt“. Er sagte außerdem, dass die Onlinewerbefirma „die Daten, die sie verarbeiten, nur verwenden darf, um umfassend berichten zu können. Die Daten sind im Besitz der Verlage oder Werbefachleute, für die DoubleClick arbeitet (...) DoubleClicks Kunden wären sehr verärgert, wenn jemand versuchen würde ihre vertraglichen Bindungen aufzulösen, indem Informationen zwischen den Werbenden weitergereicht werden.“

Der Fusionsfall wird nun von der Generaldirektion Wettbewerb nach potentiellen Verstößen gegen die Wettbewerbsregeln für den online-Werbezwischenmarkt untersucht. Die Europäische Kommission hat am 2. April 2008 zu entscheiden, ob die Fusion bewilligt wird oder nicht.

Ein anderes Thema, das heftig diskutiert wurde, war, ob die IP-Adresse als persönliche Information gilt oder nicht. Der Meinung der EU-Gruppe von Privatsphäreregulatoren zufolge soll die IP-Adresse generell als persönliche Information eingestuft werden.

Googles Standpunkt wurde von Fleischer erklärt: „Es gibt keine eindeutige Antwort: manchmal kann eine IP-Adresse als persönliche Information angesehen werden und manchmal nicht, es hängt vom Kontext ab und davon, welche persönlichen Informationen preisgegeben werden.“ Aber Marc Rotenberg, Geschäftsführer des Electronic Privacy Information Center, widerlegte diese Aussage: „Ich wünschte, es wäre so, aber wir bewegen uns in Richtung des IP6-Modells, bei dem IP-Adressen persönlich identifizierbar sein werden.“

Peter Scharr, der deutsche Datenschutzbeauftragte, der der EU Arbeitsgruppe Artikel 29 vorsteht, die einen Bericht über die Einhaltung der EU-Datenschutzgesetze in der Politik der Internetsuchmaschinen von Google, Yahoo, Microsoft und anderen im Zusammenhang mit der Privatsphäre vorbereitet, sagte, dass wenn jemand durch eine IP-Adresse identifizierbar wäre, „dann müsste diese als persönliche Information eingestuft werden.“

Do Internet companies protect personal data well enough? (26.01.2008)

Google-DoubleClick deal likely to win EU go-ahead (25.01.2008)

Internet privacy concerns cause very public row in Brussels (23.01.2008)

EU data regulator says Internet addresses are personal information (21.01.2008)

Google seeks to allay privacy fears over DoubleClick merger (22.01.2008)

unwatched: (Europäische Kommission kündigt eine umfangreichere Untersuchung des Google-DoubleClick Deals an. 26.11.2007)

In Großbritannien gehen schon wieder persönliche sensitive Daten verloren

Am 17. Januar 2008 wurden zahlreiche Dokumente mit vertraulichen Daten wie Pensionsanträgen, Kopien von Reisepässen und Hypothekenzahlungen bei einem Kreisverkehr nahe dem Exeter Airport in der Grafschaft Devon gefunden.
Karl-Heinz Korzenietz, der die Dokumente gefunden hatte, sagte BBC News gegenüber: "Zuerst dachte ich, es wäre Müll. Aber als ich mir die Papiere genauer ansah, entdeckte ich, dass sie höchst sensibel waren. Ich war schockiert und überrascht, dass sensible Daten wie diese einfach so verloren gehen konnten." Korzenietz sagte außerdem, dass es schon das zweite Mal gewesen wäre, dass er derartige Dokumente gefunden hatte. Am 6. November hatte er einen anderen Satz ähnlicher Dokumente gefunden, die er an das Royal Mail Depot in Exeter weitergab; von dort wurden sie an die TNT Spedition weitergeleitet. Von TNT heißt es, man wäre sich nicht bewusst gewesen, dass Daten vermisst wurden, und weist darauf hin, dass es auch noch andere Firmen gebe, die für die Regierung arbeiteten.

Das Verteidigungsministerium hat außerdem enthüllt, dass am 9. Januar 2008 einem Offizier der Royal Navy ein Laptop mit Detailinformationen über mehr als 600 000 Menschen einschließlich Mitgliedern der Royal Navy, der Royal Marine und RAF Rekruten sowie anderer Personen, die sich zum Wehrdienst melden wollten, abhanden gekommen war war. Das Ministerium hat sich mit den Sicherheits- und Geheimdiensten in Verbindung gesetzt und, obwohl das Terrorism Analysis Centre die Gefahr als niedrig einstuft hat, die Banken und Personen verständigt, deren Daten in der gestohlenen Datenbank erfasst sind. Die betroffenen Daten enthielten Passinformationen, Familieninformationen, Versicherungsnummern, Führerscheininformationen und sogar medizinische Informationen.

Die Demokraten und die Liberalen sehen sich durch die Diebstähle in ihren Bedenken über die Pläne der Regierung für ID-Ausweise bestätigt, weil die Regierung die Bevölkerung überzeugen muss, dass man das Ausweissystem sicher durchführen könnte.

Diese beiden Vorfälle sind nur die neuesten in einer langen Reihe von Datenverlusten, die in Großbritannien in letzter Zeit passiert sind. Im Oktober 2007 gingen zwei CDs mit der unverschlüsselten Kopie der gesamten Kindergelddatenbank auf dem Weg zwischen dem HM Finanz- und Zollamt und dem Nationalen Finanzzentrum verloren. Im Dezember 2007 wurde eine Festplatte mit den Ergebnissen der Fahrtheorieprüfung mit Informationen über mehr als 3 Millionen Kandidaten in den USA verloren und Anfang 2008 verlor das NHS persönliche Informationen über Krankenhauspatienten.
Der konservative MP Chris Grayling sagte: "Man hätte gedacht, dass nach dem Fiasko mit dem Kindergeld jede Abteilung ihre Anstrengungen verdoppelt und verdreifacht hätte. Die Tatsache, dass das nicht geschehen ist, zeugt von schlimmster Schlamperei."

Am 10. August 2007 veröffentlichte das Komitee des Oberhauses für Wissenschaft und Technologie einen Bericht über "Persönliche Sicherheit im Internet", in dem es ein Gesetz zur Benachrichtigung über Verstöße gegen die Sicherheit vorschlägt, dem zufolge Firmen, wenn sie persönliche Daten verlieren, die betroffenen Personen verständigen müssten, Unglücklicherweise hat die Regierung diese Empfehlung im Oktober 2007 abgewiesen.
Richard Clayton, der Gutachter des Kommitees und ein Mitglied der Foundation for Information Policy Research sagte: "Was wir selbstverständlich brauchen, ist ein Gesetz zur Benachrichtigung über Verstöße gegen die Sicherheit, sodass jeder (und nicht nur ein Amt der Regierung wie in diesem Fall) verpflichtet wird, die Leute zu verständigen, wenn persönliche Daten verloren gehen, UND dazu, eine zentrale Verrechnungsstelle zu verständigen, damit Forscher Muster erstellen können und Gemeinsamkeiten erkennen können, um die Halter der persönlichen Daten besser darin beraten zu können, was sie – als Gruppe – falsch machen. "

Der Verteidigungsminister Des Browne gab vor dem Unterhaus am 21. Januar 2008 eine Stellungnahme ab, in der er sagte, dass in den vergangenen zwei Jahren tatsächlich drei Laptops abhanden gekommen waren. Der Vorsitzende der Beamtenschaft hat nun Anweisungen herausgegeben, dass Laptops mit sensiblen Daten von nun an nicht mehr aus den Büros mitgenommen werden dürfen.

Personal data found on roundabout (18.01.2008)

Recruits' banks alerted after theft of laptop (21.01.2008)

unwachted: Britische Regierung verliert persönliche Daten von 25 Millionen Bürgern. (21.11.2007)

Personal Internet Security - House of Lords Science and Technology Committee 5th Report of Session 2006-7 (10.08.2007)

House of Lords Inquiry: Personal Internet Security (10.08.2007)

Government ignores Personal Internet Security (29.10.2007)

Neue Patente für Bespitzelungsprogramme aus dem Hause Microsoft

The Times zufolge hat Microsoft ein Patent für eine Computersoftware eingereicht, die das Verhalten und den Zustand der Angestellten mithilfe von Funksensoren, die mit dem Computer der Arbeiter verbunden sind, überwachen kann.
Das System, das von MS als "einzigartiges Überwachungssystem" beschrieben wird, kann die Bewegungen der Angestellten sowie deren Herzschlag, Blutdruck, Gehirnsignale, Körpertemperatur oder Gesichtsausdruck messen und sogar "automatisch Frustration oder Stress des Anwenders" erkennen und "entsprechende Hilfestellungen anbieten und zur Verfügung stellen". Mit diesen Informationen können psychologische Profile erstellt werden; die Gewerkschaften befürchten, dass die Angestellten aufgrund dieser Profile gefeuert werden könnten.

Der Informationskommissar, Verfechter der Privatsphäre und Bürgerrechtsgruppen haben die Anwendung heftigst kritisiert. "Dieses System greift in jeden einzelnen Aspekt der Leben der Angestellten ein. Hier geht es um sehr ernste Fragen der Privatsphäre", sagte Hugh Tomlinson, QC, ein Experte für Datenschutzrecht bei Matrix Chambers, während es aus dem Büro des Informationskommissar heißt: "Eine derartig massive Einmischung in das Leben der Angestellten könnte nur durch wahrhaftig außergewöhnlich Ausnahmezustände gerechtfertigt werden."
Rechtsexperten der Rechtsanwaltskanzlei Evesheds zufolge wird sich MS mit großen rechtlichen Problemen konfrontiert sehen, wenn das System weltweit implementiert werden soll. Jonathan Armstrong, ein Partner der Firma, sagte vnunet.com gegenüber, dass die Situation besonders wegen des internationalen Charakters von Microsofts Geschäften extrem kompliziert werden könnte.

Die Anmeldung der Anwendung wurde vom US Patentbüro bestätigt und könnte schon in einem Jahr bewilligt werden.
Eine andere Patentanwendung der Firma ist eine Methode zur Sammlung von Informationen über Anwender von Mobiltelefonen, Internet, Kreditkarten und GPS-Systemen, um Werbezielgruppen besser anvisieren zu könne. Microsoft sowie andere große Firmen wie Google, die von Click-on Werbungen profitieren, planen, persönliche Informationen über Internetuser zu sammeln, damit die Werbungen besser auf die User zugeschnitten werden können und effektiver werden.
Der MS-Anwendung zufolge '"verwendet ein Werbeelement das Userprofil in Verbindung mit einer Werbung." Kreditkarteninformationen können verwendet werden, um eine "Zahlungsgeschichte" zu erstellen, und von Mobilfunktürmen weitergeleitete Informationen können ebenfalls verwendet werden, um User ausfindig zu machen und "die Suchen und Werbungen während einer Online-Session zuzuschneiden, damit Suchen in Suchmaschinen genauer interpretiert und Werbungen besser abgestimmt werden können."

Brendon Lynch, Microsofts Chefstratege bei Privatsphärefragen, sagt, dass die Anwendung "zuerst mit unseren Standards der Privatsphäre verglichen werden wird, damit sichergestellt wird, dass die Privatsphäre geschützt ist."

Microsoft seeks patent for office 'spy' software (16.01.2008)

Microsoft ponders offline profiling of Web users (23.01.2008)

Microsoft faces legal challenge to 'spy' software (18.01.2008)

YouTube in der Türkei schon wieder gesperrt

Der Beschluss eines türkischen Gerichts vom 17. Januar 2008 hat wieder einmal zur Sperre von Googles YouTube-Seite geführt, da angeblich beleidigende Clips mit Anspielungen auf den Gründervater des Landes, Mustafa Kemal Atatürk, gezeigt wurden.

Die Sperre dauerte sechs Tage und da weder Turk Telecom, die die Sperre durchgeführt hat, noch Vertreter von YouTube sich dazu geäußert haben, ist unklar, ob die Sperre aufgehoben wurde, weil die fraglichen Clips entfernt wurden oder nicht.

Die Situation scheint ein sich wiederholendes Muster zu sein, da YouTube erstmals im März 2007 wegen ähnlicher Anschuldigungen gesperrt worden war, bis das als respektlos geltende Video von der Seite entfernt wurde. Im September beauftragte ein Gericht in der osttürkischen Stadt Sivas die ISPs, den Zugriff auf YouTube wegen eines Videos zu sperren, in dem angeblich Ataturk, Präsident Abdullah Gül, Prämierminister Recep Tayyip Erdogan und die türkische Armee beleidigt wurden; die Sperre trat jedoch nicht in Kraft.

Die Sperren von YouTube sind Ausdruck der Probleme, die in der Türkei mit der freien Meinungsäußerung bestehen. Türkische Schriftsteller und Journalisten standen vor Gericht, weil sie angeblich das „Türkentum“ beleidigt hatten; das Land, das anstrebt, Mitglied der EU zu werden, steht in dieser Sache schon jetzt unter dem Druck der EU und muss die Situation verbessern. Die EU fordert von der Türkei außerdem, eine Klausel im Strafgesetzbuch zu streichen, die gegen die Redefreiheit verstößt.

Heftige Kritik an dieser Situation kommt auch aus dem Land selbst. Der Journalist Emre Aköz von Sabat ist der Ansicht, dass diese Sperre die Türkei in die lange Reihe undemokratischer Regierungsformen einordnet und jenen, die gegen das Festhalten der Türkei an der EU sind, die Gelegenheit gibt zu sagen: „Wir haben es euch ja gleich gesagt, diese Leute sind für Sperren. Sie haben keine Toleranz. Sie vertragen keine Kritik. Hier habt ihr den Beweis.“ Der Journalist Mehmet Barlas von Posta bringt folgende Meinung ein: „Können wir nicht sagen, dass wir die virtuelle Welt mit dieser Sperre von YouTube unter unsere Kontrolle gebracht haben? Können wir nicht. Die virtuelle Welt ist so unermesslich groß, sie ist gleichzeitig sehr nahe und sehr weit entfernt und außerdem eine digitale Welt“, und er fügte hinzu: „Die Sperre des vollständigen Zugriffs auf eine Website, wenn man auch die Möglichkeit hätte, nur diese umstrittenen Videos zu sperren, ist in diesem Informationszeitalter gleichbedeutend mit der Sperre einer Schule wegen eines ungezogenen Schülers oder dem Verbot der Zivilluftfahrt aufgrund eines Flugzeugunglücks.“

Die Türkei ist nicht das einzige Land, in dem YouTube gesperrt wurde. Im Jahr 2007 hat die thailändische Regierung die Seite für fast vier Monate gesperrt, weil einige Clips anscheinend Thailands Herrscher König Bhumibol Adulyadej beleidigt hatten, und in Marokko konnte auf die Seite nicht zugegriffen werden, nachdem einige User Videos gepostet hatten, die Marokkos Behandlung von Völkern in der Westsahara kritisierten. Die Regierung hat nicht zugegeben, die Seite gesperrt zu haben und hat stattdessen einen technischen Defekt ins Feld geführt, war allerdings nicht in der Lage zu erklären, warum dieser Defekt nur die YouTube-Seite betroffen hat.

Turkey Bans YouTube for Second Time (20.01.2008)

Access to YouTube Resumes in Turkey (24.01.2008)

YouTube ban reduces Turkey to the ranks of backward states (23.01.2008)

Turkey once again blocks access to YouTube (22.01.2008)

unwatched: Die Türkei sperrt YouTube - schon wieder. (26.09.2007)

Bulgarische Big Brother Awards

Am 28. Januar 2008 präsentierte das Access to Information Programm und das EDRI-Mitglied Internet Society Bulgaria die negativen Big Brother Awards.

Das Innenministerium erhielt einen Preis für die Veröffentlichung von Daten aus den Pässen und den Strafregistern zweier BBC Journalisten, die eine Dokumentation in Bulgarien gemacht hatten.

Das Sramota (oder Schanddiplom) wurde an den bulgarischen Ministerrat verliehen, weil er entschieden hatte, im Oktober 2007 die Namen, Wohnsitzadressen und Meldenummern von Grundstücksbesitzern in der Staats Gazette zu veröffentlichen, die aufgrund des Baus der Südumfahrung in Sofia enteignet wurden.

Unter den Nominierten für den Anti-Preis in diesem Jahr waren außerdem die Verkehrspolizei, das Meldeamt im Justizministerium und die Datenschutzbehörde höchstpersönlich.

Der 28. Januar, an dem die BBA Verleihungen in Bulgarien abgehalten wurden, ist gleichzeitig der Europäische Datenschutztag. Das Datum markiert die Annahme des Abkommens 108 des Europarats zum Schutz von Personen im Hinblick auf automatische Weiterverarbeitung schützenswerter Daten.

Die Zeremonie fand in Bulgarien zum vierten Mal statt. Die letzte Zeremonie wurde 2005 abgehalten.

Big Brother Awards Bulgaria (only in Bulgarian, 28.01.2008)

The "Big Brother" Awards Ceremony Held in Bulgaria (28.01.2008)

Bulgarian Big Brother Awards - 2007 (28.01.2008)

(Beitrag von Veni Markovski - EDRi-Mitglied ISOC Bulgaria)

***Europäischer Datenschutztag 28.01.2008 - Sonderausgabe***

Der 28. Januar ist der Europäische Datenschutztag. Zum zweiten Mal kennzeichnet dieses Datum 2008 den Jahrestag des Abkommens 108 des Europarats, dem ersten rechtlich verbindlichen internationalen Instrument in Zusammenhang mit Datenschutz.
Dieser Teil des EDRIgrams ist dem Europäischen Datenschutztag gewidmet und streicht die wichtigsten Entwicklungen in der Privatsphäre in einigen europäischen Ländern heraus, über die EDRI-Mitglieder berichten.

European data protection day activities - 28.01.2008

Dänemark: die wichtigsten Themen zur Privatsphäre 2007

a. Vorratsdatenspeicherung – die Wirklichkeit
15.September 2007 – die Vorratsdatenspeicherung wurde in Dänemark Wirklichkeit. Der Verwaltungserlass, in dem die Reichweite und die Auflagen für die Vorratsdatenspeicherung bestimmt werden, wurde am 28. September 2006 mit einer Implementierungsfrist von einem Jahr angenommen. Der Erlass, der vom Justizministerium entworfen worden war, war seit mehr als vier Jahren im Werden begriffen. Das Gesetz, in dem die Vorratsdatenspeicherung vorgesehen ist, wurde schon im Juni 2002 als Teil des dänischen „Antiterror-Pakets“ vom dänischen Parlament angenommen, durch welches die Reichweite des Absatzes 786 des Justizverwaltungsgesetzes (Act No. 378 vom 6. Juni 2002) ausgeweitet worden war.
Der Verwaltungserlass regelt die Verpflichtungen der Telekommunikationsanbieter noch genauer und führt außerdem die kürzlich angenommene EU-Richtlinie zur Vorratsdatenspeicherung ein. In einigen Fragen geht der Erlass weiter als die EU-Richtlinie, z.B. beim Protokollieren von Sitzungen. Der Erlass gilt nur für kommerzielle ISPs und schließt nicht-kommerzielle ISPs, Bibliotheken, Universitäten und kleinere Wohnbauvereinigungen aus. Es gibt für die ISPs keine Verpflichtungen, in neue Systeme zu invenstieren, das Gesetz verlangt jedoch Kontakt mit ISPs rund um die Uhr und security clearing für das betroffene Personal. Bei Festnetzanschlüssen und Mobiltelefonen (einschließlich Anrufe, Nachrichten auf Anrufbeantwortern, weitergeleitete Anrufe, Konferenzschaltungen, SSM, MMS) werden folgende Daten gespeichert: Telefonnummer, Identität des Users (z.B. Kundennummer), Name und Adresse des Kunden, IMSI/IMEI Nummer, verpasste Anrufe, Identitäten der ersten und letzten Anrufe und die geographische Lokalisierung des Anrufs (bei mobilen Anrufen) und Datum und Zeit des Beginns und des Endes der Unterhaltung. Beim Internet werden das Sitzungsprotokoll, IP-Adresse, Portnummer und das Transportprotokoll, die Identität des Nutzers, die Telefonnummer beim Einwählen, Ort und Identität von Hot Spots, Datum und Zeit des Beginns und des Endes der Kommunikation gespeichert. Für E-mail und VoIP beinhaltet der Erlass die E-mailangebote des ISPs selbst (und nicht hotmail, gmail, etc) und alle VoIP Dienste. Die gespeicherten Daten beinhalten Sender und Empfänger, User ID, die E-mail Adresse, Datum, Zeit und Dauer der Kommunikation.

Während der vierjährigen Entwurfsphase geriet das vorgeschlagene System für die verpflichtende Vorratsdatenspeicherung ins Kreuzfeuer der Kritik der Telekom- und IT-Industrie, der Datenschutzbehörden, des Instituts für Menschenrechte und NGOs wegen der massiven Eingriffe in die Privatsphäre und aufgrund der Unangemessenheit und Inkonsistenz des Plans, wie die erlaubte Speicherung von zahlreichen schützenswerten Daten durch Privatfirmen, während die ganze Sache gleichzeitig sehr leicht zu umgehen war, weil es so viele Ausnahmen gab, wie z.B. Bibliotheken und Universitäten.

b. Erweiterte Methoden der Überwachung
Am 1. Juni 2007 nahm das Parlament ein Gesetz zur TV-Überwachung an (Act. no. 162 vom 1. Juni 2007), das das frühere Gesetz zum Verbot von Videoüberwachung ersetzen soll. Das Gesetz gewährt Privatunternehmen wie Banken, Tankstellen, Hotels, Geschäften etc. vermehrte Befugnisse bei der Überwachung der Umgebung ihrer Grundstücke. Die Polizei kann Qualitätsstandards für die Aufnahmen festlegen. Die allgemeine Überwachung von öffentlichem Gelände wie öffentlichen Straßen und Plätzen von Privatpersonen ist nicht erlaubt, die Polizei darf aber sehr wohl jedes öffentliche Gelände überwachen, wenn die Überwachung für notwendig gehalten wird, um Verbrechen zu verhindern oder zu bekämpfen. Sowohl private als auch öffentliche Überwachungen müssen mit dem dänischen Datenschutzgesetz in Einklang stehen, wie den Auflagen zum Löschen der Daten nach höchstens 30 Tagen. Dennoch besteht keine Verpflichtung mehr, die Datenschutzbehörde zu verständigen, bevor man Überwachungsgeräte installiert.

c. Erweiterter Zugriff auf schützenswerte Informationen
Am 8. Juni 2006 nahm das Parlament ein Gesetz an (Act No. 542 vom 8. Juni 2006), das das Justizverwaltungsgesetz, das Gesetz zum Verbot von Videoüberwachungen etc., und das Gesetz zum Flugverkehr (Verstärkung der Bestrebungen beim Kampf gegen den Terrorismus etc.) abändert. Das Gesetz wurde als das zweite „Anti-Terror Paket“ in Dänemark präsentiert. Die Änderungen am Justizverwaltungsgesetz gewährt den Polizeigeheimdiensten größere Befugnisse, Informationen mit den Verteidigungsgeheimdiensten auszutauschen und ohne Durchsuchungsbefehl Informationen von anderen öffentlichen Behörden wie z.B. Schulen, Krankenhäusern, Bibliotheken, Sozialdiensten etc. einzuholen. In Bezug auf Telefonüberwachungen in Verbindung mit strafrechtlichen Ermittlungen wird nun eher auf Einzelpersonen abgezielt als auf die Art der Kommunikation wie z.B. ein bestimmter Festnetzanschluss. Das bedeutet, dass alle Telefone, die eine Person besitzt, überwacht werden können. Außerdem kann die Verständigung einer Person ausgelassen oder für eine gewisse Zeit aufgeschoben werden, wenn die Verständigung als hinderlich für die Ermittlungen befunden wird. Die Änderung des Gesetzes zum Verbot von Videoüberwachungen verleiht der Polizei verstärkte Befugnisse, wenn öffentliche Ämter oder Privatfirmen dementsprechende Geräte installieren und Videoüberwachungen durchführen wollen. Die Änderungen am Gesetz zum Flugverkehr verpflichten Fluglinien dazu, Passagierdaten und Daten über die Besatzungen aufzuzeichnen und für ein Jahr zu speichern und diese Daten für die Polizeigeheimdienste elektronisch zugänglich zu machen, ohne dass dafür eine Genehmigung notwendig wäre.

unwatched: Entwurf für die administrative Verfügung zur Vorratsdatenspeicherung in Dänemark. (19.07.2006)

EU Data retention directive and its implementation in Denmark (Dänisch)

CCTV (Dänisch)

Privacyforum.dk - about CCTV (in Danish only, 21.11.2006)

Act No. 542 of 8 June 2006 (in Danish only, 8.06.2006)

(Beitrag von Rikke Frank Joergensen - Digital Rights Denmark)

Tschechische Republik: die wichtigsten Themen zur Privatsphäre 2007

Im letzten Jahr haben Regierungsämter verstärkt versucht, ihre Befugnisse auszuweiten und den Zugriff auf Privatinformationen der Bürger zu erleichtern. Um nur einige zu nennen: es gab gesetzliche Vorschläge, die Anzahl der Behörden zu erhöhen, die auf elektronische Kommunikationsdaten zugreifen und diese weiterverarbeiten dürfen, die von den Telekommunikationsanbietern unter dem Gesetz zur Vorratsdatenspeicherung aufgezeichnet wurden, Vorschläge zur Vergrößerung der nationalen DNA-Datenbank, Pläne für die Vernetzung zahlreicher Verwaltungsdatenbanken, die Einführung von noch mehr CCTV-Systemen; außerdem wurde der Druck auf die Fluglinienbetreiber erhöht, ihre Aufzeichnungen über Passagiere offenzulegen. Die Einführung von biometrischen Daten in Reisedokumente als Mittel der Identifikation und die Verwendung von kontaktfreien Chiptechnologien lassen sehr viel zu wünschen übrig, wenn es um den Respekt vor der Privatsphäre der Bürger geht. Die Bürger verlieren zunehmend an Kontrolle über ihre persönlichen Daten, und die Situation wird sich nicht bessern.

a. die nationale DNA-Datenbank
Die Anzahl der DNA-Proben und Profile wurde 2007 erheblich aufgestockt – mittlerweile gibt es ca. 40 000 Aufzeichnungen. Die neue Gesetzgebung, die 2006 in Kraft trat, hat der Polizei die Befugnis erteilt, Proben nicht nur von Angeklagten zu nehmen, sondern auch von nicht belasteten Verdächtigen und jeder anderen Person, die in jeder unspezifizierten Art und Weise mit den Ermittlungen in Zusammenhang stehen, was also praktisch auf jeden zutreffen kann. Zusätzlich hat es das neue Gesetz ermöglicht, DNA-Proben von allen Häftlingen, die wegen eines vorsätzlichen Verbrechens verurteilt wurden, zu nehmen sowie von Leuten in abgeriegelten Gesundheitsprogrammen. Es gab eine Ermittlung in einem Mordfall in der Stadt Sternberk, im Zuge derer DNA-Proben von allen Männern eines gewissen Alters genommen wurden, ohne dass jegliche Information ausgegeben wurde, ob die Proben der Unschuldigen nach der Untersuchung je vernichtet wurden oder nicht.

b. Vorratsdatenspeicherung
Die EU-Richtlinie 2006/24/EC zur Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, wurde Anfang 2006 in die nationale Gesetzgebung aufgenommen. 2007 verwendete die Polizei diese Daten routinemäßig für ihre Ermittlungen. Dennoch gibt es weder eine offizielle Statistik über die Anzahl an Zugriffen noch über die Wirksamkeit der Maßnahme. Im November 2007 brachte Minister Ríman, zuständig für Industrie und Handel, den Vorschlag ein, den Geheimdiensten und dem Militär den direkten Zugriff auf diese Daten zu gewähren. Er hat diese Idee nur nach heftigen negativen Reaktionen von Seiten der Medien und anderer Politiker zurückgezogen.

c.Fluggastdaten
Das vorläufige Abkommen zur Weitergabe der Fluggastdaten lief Mitte 2007 aus. Das neue Abkommen wurde von der tschechischen Regierung außerhalb der ordentlichen legislativen Prozesse angenommen, weil die Zeit knapp war. Nur die tschechische Datenschutzbehörde wurde benachrichtigt. Deren offizieller Stellungnahme nach ist das neue Abkommen in Sachen Privatsphäre noch schlimmer als das vorherige, nämlich weil es keinerlei Sicherheitsvorkehrungen für die Verlinkung der Daten durch die USA mit anderen Datenbanken trifft, womit sie für andere Zwecke verwendet werden oder an Drittländer weitergegeben werden können, in denen andere Formen des Schutzes der Privatsphäre vorherrschen. Die tschechische Regierung hat das Abkommen mit Vorbehalt angenommen.

d.CCTV Überwachung
Sowohl das Innenministerium als auch verschiedene städtische Behörden investieren immer noch stark in CCTV Systeme. In Prag kommt man derzeit auf 400, und kein Ende in Sicht. Aus dem Prager Rathaus heißt es, es gäbe Pläne, die gesamte Stadt mit einem Ringsystem vernetzter Kameras auszustatten, mit denen Nummernschilder mit Radarkameras kombiniert werden, damit alle Fahrzeuge registriert werden können, die in die Stadt einfahren oder sie verlassen. Es gab einen medial stark beachteten Fall, bei dem ein CCTV System missbraucht worden ist, um an einer Kreuzung in Pilsen eine Privatwohnung auszuspionieren. Die Aufnahmen landeten im Internet.

e. Funkchipkarten
Im Sommer 2007 führte das Prager Rathaus eine Universalkarte für alle Bürger der Stadt ein. Damit sollen Parkgebühren bezahlt und Bibliotheken benutzt werden, sie soll als Ticket für öffentliche Verkehrsmittel dienen, als elektrische Brieftasche und als Schlüssel für Online-Kommunikationen. Wie das EDRI-Mitglied Iuridicum Remedium öffentlich demonstriert hat, konnte jeder, der über einen normalen RFID-Leser verfügte, die persönlichen Daten (Name, Geburtsdatum, Geschlecht) von der Karte ablesen, von weitem, ohne die Zustimmung des Kartenbesitzers. Trotz der Versicherungen der Hersteller, die Sicherheit des Chips sei verstärkt worden, wurde bei der Einführung des Systems selbst keinerlei übertriebener Wert auf die Sicherheit der Karteninhaber gelegt. Außerdem wurde nie erklärt, warum die persönlichen Daten überhaupt auf Funkchips gespeichert werden müssen. Nach der Kampagne entschloss man sich im Rathaus, die Daten nicht mehr auf dem Chip zu speichern und die bereits ausgegebenen Karten zu reparieren. Dennoch blieb die Tatsache, dass nun viele Dienste, die früher anonym nutzbar waren (wie das Parken), nun nicht mehr anonym sind, ein großes ungelöstes Problem.

f. eGovernment
Die kürzlichen Entwicklungen an der eGovernment-Front geben Grund zur Besorgnis. Es gibt kaum Diskussionen über die Sicherheitsvorkehrungen bezüglich der Privatsphäre oder darüber, wie diese implementiert werden sollen. Die erhältlichen Aufzeichnungen enthalten viele Pläne über die Verarbeitung und Vernetzung von schützenswerten Daten von Bürgern sowie die detaillierte Spezifizierung darüber, wem diese Daten zugänglich gemacht werden und wie die Daten weitergegeben werden. Die Aspekte der Privatsphäre bei diesem System, das potentiell den Großteil der Bevölkerung betreffen wird, werden vollkommen ausgespart. Der Vorschlag einer unabhängigen Arbeitsgruppe für eine zeitlich begrenzte ad-hoc Kennung wurde nicht in Betracht gezogen.

unwatched: Prag wird die RFID Citycards anonymisieren. (1.08.2007)

unwatched: Tschechische Regierung will den Grad der Überwachung erhöhen. (7.11.2007)

Weitere Informationen (Tschechisch)

(Beitrag von Filip Pospísil und Marek Tichý, EDRi-Mitglieder Iuridicum Remedium – Tschechische Republik)

Irland: die wichtigsten Themen zur Privatsphäre 2007

a. Prozess über die Vorratsdatenspeicherung
Der Prozess von Digital Rights Ireland gegen die Vorratsdatenspeicherung, der im September 2006 angefangen wurde, wird vor dem Obersten Gerichtshof fortgesetzt. Diese Klage ficht sowohl die Richtlinie als auch die nationalen irischen Gesetze zur Vorratsdatenspeicherung an. Angeführt wird, dass die besagten Gesetze prozesstechnisch fehlerhaft seien und außerdem gegen das Recht auf Privatsphäre verstoßen, das in der Irischen Verfassung und unter Art. 8 der Europäischen Konvention für Menschenrechte verankert ist. Andere Argumente der Klage besagen, dass die Vorratsdatenspeicherung sich auf die verfassungsrechtlichen und in der Konvention für Menschenrechte zugesicherten Rechte auf freie Meinungsäußerung und Koalitionsfreiheit sehr negativ auswirken werde. Dazu kommt, dass die Verfolgung der Fortbewegungen aller Personen, die Mobiltelefone mit sich tragen, gegen das Recht auf Reisen verstößt, das ebenfalls durch die Verfassung gewährleistet wird. Die Kläger erklären diese Verstöße gegen persönliche Rechte für unangemessen und in einer demokratischen Gesellschaft nicht gerechtfertigt.

Zur Zeit durchläuft die Klage die Zwischeninstanzen und sieht einer vollständigen Anhörung entgegen. Derzeit werden vor dem Gericht zwei vorausgehende Fragen behandelt. Die Irische Menschenrechtskommission (eine Körperschaft des öffentlichen Rechts) hat einen Antrag auf Zulassung als amicus curiae gestellt. Die Verteidiger haben ebenfalls ihre Bereitschaft signalisiert, den locus standi von Digital Rights Ireland in dem Fall zu hinterfragen. Über beide Anträge muss das Gericht noch verfügen.

b. Implementierung der Richtlinie zur Vorratsdatenspeicherung

Die Irische Regierung hat Berichte bestätigt, nach denen man die Richtlinie zur Vorratsdatenspeicherung durch einen Erlass eines Ministers einführen will, anstatt die Gesetzgebung durch das Parlament genehmigen zu lassen. Irland hatte die Gelegenheit nicht genutzt, die Implementierung der Richtlinie in Zusammenhang mit Internetverkehrsdaten zu verschieben; daher hat sich Irland nun mit der Einführung der Richtlinie verspätet und eine Warnung durch die Kommission erhalten. Die Regierung hat entschieden, die Richtlinie trotz der Zweifel an den rechtlichen Grundlagen zu implementieren, die vor dem Europäischen Justizgerichtshof liegt und eine Anhörung erwartet.

Die Entscheidung, die Richtlinie durch ministeriellen Erlass zu implementieren, ist kritisiert worden, weil dabei die demokratische Aufsicht durch die Gesetzgeber vernachlässigt wird und weil die Einführung dadurch ohne angemessene Rücksprache geschieht. Paul Durrant, der Vorsitzende der Irische Verband der InternetDienstanbieter (ISPAI), sagte: „Der ISPAI ist enttäuscht, dass solch eine derart tiefgreifende Maßnahme ... durchgeführt werden soll, ohne dass die ganze Strenge einer (parlamentarischen) Debatte sowie die öffentliche Bekanntmachung, die damit einhergeht, ausgeübt wird.“

Von Digital Rights Ireland hieß es: „Es ist schier unglaublich, dass die Regierung vorschlägt, ein Gesetz solle verabschiedet werden, das verlangen würde, jeden Internetuser zu überwachen, ohne dass dafür irgendeine Erlaubnis oder richterlicher Erlass nötig wäre, ohne dass es irgendeine Form öffentlicher Rücksprache gibt, geschweige denn eine Debatte oder Abstimmung im Parlament. Ein Gesetz mit solchen ernsten und schwerwiegenden Auswirkungen darf einfach nicht in aller Heimlichkeit verabschiedet werden. Das Justizministerium scheint sich auf die „Dringlichkeit“ der Situation zu stützen, um die Umgehung des Parlaments zu rechtfertigen. Aber das Europäische Gesetz zur Einführung wurde im Februar 2006 erlassen. Das Ministerium hatte somit zwei Jahre lang Zeit, ein Gesetz einzuführen und kann sich nicht mit dem eigenen Rückstand dafür rechtfertigen, dass man die demokratische Überprüfung der Sache einfach beiseite geschoben hat. Auf jeden Fall ist es unangebracht und unangemessen, diese Gesetz zu verabschieden, während es noch immer vom Gericht geprüft wird. Die Irische Regierung hat die Gültigkeit des Gesetzes selbst angefochten, noch bevor der Europäische Gerichtshof eingegriffen hat. Digital Rights Ireland hat ebenfalls eine Klage gegen das Europäische Gesetz von dem Obersten Gerichtshof eingereicht. Diese Vorschläge werden gewisser maßen dem Urteil des Gerichts vorgreifen.“

Alarm bells ring over data retention(7.12.2007)

E-Mail and chat data to be stored 'within a month' (19.01.2008)

DRI condemns backdoor implementation of surveillance laws (19.01.2008)

(Beitrag von TJ McIntyre – EDRi-Mitglied Digital Rights Ireland)

Frankreich: die wichtigsten Themen zur Privatsphäre 2007

Am 6. Januar 2008 hätte der 30. Jahrestag des französischen Datenschutzgesetzes begangen werden sollen. Aber niemand interessierte sich dafür. Der einzige französische Beitrag zum diesjährigen zweiten Europäischen Datenschutztag bestand in der Veröffentlichung des Ergebnisses einer Umfrage, die die CNIL (Commission Nationale de l'Informatique et des Libertés, die Französischen Datenschutzbehörde) im November 2007 durchgeführt hatte. Der Umfrage zufolge kennen 50% der Befragten die CNIL, aber nur 26% davon haben das Gefühl, gut genug über ihre Rechte informiert zu sein, wenn es um den Schutz persönlicher Daten geht, und 61% waren der Ansicht, dass die Einrichtung von Datenbanken ihr Recht auf Privatsphäre verletzt. Dazu kommt, dass eine frühere Studie über den Gebrauch des Internets vom Juni 2007 zeigt, dass die am häufigsten genannte Hürde bei der Internetverwendung in der Furcht besteht, dass die persönlichen Daten nicht genügend geschützt werden (29% der Internetuser und 23% der Personen, die das Internet nicht verwenden). Insgesamt scheinen die Franzosen sehr viel mehr über die möglichen Eingriffe in ihre Rechte auf Privatsphäre zu wissen und sich mehr Sorgen darüber zu machen, als über ihre tatsächlichen Rechte. Unglücklicherweise hat die CNIL nicht alle Ergebnisse der Umfrage herausgegeben, sonst könnten wir uns vielleicht das offensichtliche Paradox zwischen diesem steigenden öffentlichen Bewusstsein für die Verstöße und den ständig zunehmenden Verletzungen des Rechts auf Privatsphäre und dem Recht auf Datenschutz durch die Gesetzgebung und durch Regeln erklären, die ohne großen Widerstand von sich gehen. Im Jahr 2007, einem Jahr mit Präsidentschaftswahlen und Parlamentswahlen, mussten wir weitere Ausweitungen der Polizeibefugnisse erleben, weiters äußerst bedeutende Verordnungen bei der Einwanderungskontrolle, wobei die Verwendung von biometrischen und genetischen Daten besonders hervorgehoben werden soll, massive Aufstockungen der Kinderdatenbank und die Bestätigung, dass die Rechte auf geistiges Eigentum in Frankreich schwerer wiegen als das Recht auf Privatsphäre.

a. Weiter Ausweitungen der Polizeibefugnisse
Da das Gesetz zur Vorratsdatenspeicherung bereits in Kraft ist und der Polizei und den Geheimdiensten den Zugriff auf Daten erlaubt, beziehen sich neue diesbezügliche Entwicklungen eher auf die Implementierung und die Verwendung des Systems selbst. Um die Aufzeichnung und Verarbeitung der Verkehrsdaten direkt durch die Polizeigeheimdienste zu erleichtern, wurde im Mai vom Französischen Innenministerium eine neue technische Plattform für die Überwachung von Verkehrsdaten in allen Kommunikationssystemen eingerichtet, mit der Kommunikationsdaten von Nachrichteninhalten (Mobil oder im Internet) abdeckt werden. Es wird erwartet, dass diese Plattform 20.000 Anfragen pro Jahr bearbeiten wird. Im Zusammenhang mit legislativen Entwicklungen wurde mit dem französischen Kriminalgesetz vom März 2007 eine neue Verordnung eingeführt, die engagierten Strafverfolgungsbehörden mit neuen Befugnissen bei der Bekämpfung von sexuellem Kindesmissbrauch ausstattet; ab jetzt dürfen Pseudonyme verwendet werden, wenn Beamte im Zuge der Ermittlungen elektronische Nachrichten austauschen; außerdem können illegale Inhalte zum selben Zweck zurückgehalten oder bereitgestellt werden. Diese Möglichkeiten gelten jedoch nicht für Anstiftungen zu Straftaten.

b. Totale Kontrolle über Einwanderer
Ob sie nun in französischen Konsulaten im Ausland um Kurzzeit- oder Langzeitvisa ansuchen oder Grenzen überqueren, um ins Land zu gelangen (und dieses auch bald wieder zu verlassen), Einwanderer werden in jedem Fall verfolgt und katalogisiert. Falls sie als Illegale erwischt werden, werden sie katalogisiert. Falls sie, auch als legale Einwohner, beschließen, in ihr Heimatland zurückzukehren und infolgedessen Hilfsleistungen von jedweder Seite annehmen, werden sie katalogisiert. Falls sie sich als legale Einwohner im Land aufhalten, werden sie auch katalogisiert, und sie werden ebenfalls katalogisiert, wenn sie ihre Familien nachholen wollen. Diese Aufzeichnungen enthalten ihre persönlichen Daten, ihre biometrischen Daten, ihre genetischen Daten sowie Daten über ihre Familien einschließlich kleiner Kinder. Im Jahr 2007 ist es zu äußerst gravierenden Entwicklungen zur Erreichung diese Ziels der totalen Kontrolle über Ausländer gekommen, was in ihrer Gleichstellung mit Verbrechern resultiert hat. Das Einwanderungsgesetz vom März 2007 hat DNA-Tests zur Bestätigung von Familienbanden bei ausländischen Antragstellern eingeführt, die um ein mehr als dreimonatiges Visum aufgrund von Familienzusammenführungen ansuchen. Außerdem wurde die Auflage eingeführt, dass die Nutznießer finanzieller Unterstützungen (Ausländer, die freiwillig in ihre Heimat zurückkehren) Lichtbilder und Fingerabdrücke abgeben müssen, die in noch eine weiteren biometrischen Datenbank eingespeist werden. Ein Verwaltungserlass vom Dezember 2007 hat zur Einrichtung der ELOI Datenbank geführt, die die Abschiebung illeglaer Einwanderer erleichtern soll. Eine frühere Version des Texts der Verordnung wurde im März 2007 vom höchsten französischen Verwaltungsgerichtshof abgewiesen, nachdem 4 französische NGOs eine Klage gegen das Innenministerium eingericht hatten. Während die neue Version der Verordnung nicht mehr so viele Daten über die französischen Bürger und Organisationen einfordert, die in Kontakt mit diesen illegalen Einwanderern stehen, werden die Daten über die Einwanderer und ihre Familien nach wie vor katalogisiert und auch noch bis drei Jahre nach ihrer Abschiebung gespeichert. Schlussendlich hat eine Verordnung, die im November 2007 erlassen wurde, zur Einführung der biometrischen Datenbank VISABIO geführt, in der die Lichtbilder und die 10 Fingerabdrücke aller Ausländer gespeichert werden, die um ein Visum ansuchen, einschließlich Kindern über sechs Jahren. Andere Daten in VISABIO beziehen sich auf die Einreise und Ausreise der Ausländer. Diese Daten werden für fünf Jahre gespeichert.

c.Überwachung von Kindern
Kinder werden ab dem Alter von drei Jahren katalogisiert, sobald sie mit der Vorschule beginnen. Verantwortlich dafür ist „Base-élèves“, eine Datenbank des Bildungsministeriums. "Base-élèves" wurde im Jahr 2004 als „Experiment“ eingeführt und wird nun verallgemeinert. In ihr werden die persönlichen Daten über Kinder und ihre Familien gespeichert, einschließlich psychologischer Daten und jede Menge Informationen über ihre Kompetenzen, Fähigkeiten und Probleme. Die meisten Daten sollen für 15 Jahre gespeichert werden. Sie sollten ursprünglich nur von Erziehern und Sozialarbeitern einsehbar sein, aber nachdem das französische Kriminalgesetz vom März 2007 den Magistraten (Grundschulen und Vorschulen unterstehen in Frankreich den Magistraten) mehr Befugnisse eingeräumt hat, „teilen“ viele Magistrate nun die „professionellen Geheimnisse“ mit vielen Sozialarbeitern und haben daher die Zugriffserlaubnis zu „Base-élèves“, um Verbrechen verhindern zu können. Nach heftigen Protesten von Seiten von NGOs, Elternvereinigungen und einigen Schuldirektoren lenkte das Bildungsministerium im Oktober 2007 schließlich ein und erklärte sich bereit, die Daten über die Staatszugehörigkeit, Einreisedatum nach Frankreich und „Muttersprache und Heimatland“ der Kinder aus „Base-élèves“ zu entfernen. Dennoch nehmen die Proteste zu, und nationale Petitionen laufen, um die Deaktivierung der Aufzeichnungen zu erreichen.

d.Inhaber geistiger Eigentumsrechte erhalten private Polizeibefugnisse
Das französische Datenschutzgesetz erlaubt es seit der Überarbeitung vom August 2004 Gesellschaften für geistige Eigentumsrechte, private Aufzeichnungen von Personen zu führen, die gegen die Rechte verstoßen, indem ihre IP-Adressen in P2P-Netzwerken gespeichert werden, wobei die Verwendung automatischer Software für solche Speicherungen von der CNIL abgesegnet werden muss. Daher entschied die CNIL im Oktober 2005, die Einführung von Überwachungsgeräten, die von Sacem vorgeschlagen worden waren, um die automatische Überwachung von Verstößen gegen das Recht auf geistiges Eigentum zu bewerkstelligen, abzulehen. Im Mai 2007 hat der höchste Verwaltungsgerichtshof diese Entscheidung aufgehoben. Das Gericht befand, dass die vorgeschlagenen Geräte keineswegs übertrieben seien und durchaus akzeptabel, wenn man das Ausmaß von Raubkopien in Frankreich bedenke. Der Antrag an das CNIL wurde daraufhin wiederholt und im November 2007 angenommen. Noch im November wurde ein Abkommen zwischen einigen französischen ISPs und Vertretern der Musik- und Filmindustrie unterzeichnet, um direkt gegen die großen illegalen Filesharer vorgehen zu können. Das Abkommen sieht außerdem die Möglichkeit eines nationalen Registers von Teilnehmern vor, die ausgeschlossen wurden. Das Abkommen ist allerdings noch nicht anwendbar, weil es noch keine Behörde gibt, die es anwenden könnte.

unwatched: ENDitorial: Das Französische Kriminalitätsgesetz: die Gefahr für FoE liegt woanders (14.03.2007)

unwatched: Das Französische Innenministerium hat eine neue Überwachungsplattform (6.06.2007)

unwatched:Der Oberste Französische Gerichtshof sagt die Schaffung einer Datenbank über illegale Einwanderer ab (14.03.2007)

unwatched: Frankreich: DNA Tests für Antragsteller auf Familienvisa vorgeschlagen. (26.09.2007)

unwatched: Französisches Immigrationsgesetz wird im Hinblick auf DNA und Biometrie aktualisiert. (24.10.2007)

unwatched: ELOI – eine französische Datenbank zur Verwaltung der Abschiebung illegaler Einwanderer (16.01.2008)

More details on "Base-élèves" and the protest actions (only in French)

Base-élèves

unwatched: Französischer Staatsrat bewilligt die Verfolgung von P2P Nutzern. (6.06.2007)

unwatched: Gelten IP Adressen in Frankreich noch als persönliche Daten? (12.09.2007)

unwatched: Französische ISPs einigen sich darauf, Internetnutzer zu überwachen, um die online-Piraterie zu unterbinden. (10.10.2007)

unwatched: Neues Abkommen zwischen den französischen ISPs und der Plattenindustrie (5.12.2007)

(Beitrag von Meryem Marzouki, EDRI Mitglied IRIS - Frankreich)

Rumänien: die wichtigsten Themen zur Privatsphäre 2007

Privatsphäre und Datenschutz scheinen für die rumänische Gesellschaft nicht besonders wichtig zu sein. Die Medien ignorieren das Thema im Allgemeinen, außer es geschieht etwas diesbezügliches in Zusammenhang mit einer wichtigen Persönlichkeit des öffentlichen Lebens, was die Sache dann interessanter macht. Die Rumänische Datenschutzbehörde hat es nicht geschafft, zu einer öffentlichen Stütze der Privatsphäre zu werden und hat sich stattdessen eher als Verzeichnis der Datenschutzaufseher etabliert. Unter diesen Umständen erwies sich 2007 als ein recht ruhiges Jahr, in dem der größte Erfolg der Regierung im Bereich der Privatsphäre – die nicht stattgefundene Annahme des Datenschutzgesetzes – nur durch einen bürokratischen Patzer erzielt wurde.

a. Vorratsdatenspeicherung
Der erste Entwurf des Gesetzes zur Vorratsdatenspeicherung, der die EU-Richtlinie implementieren soll, wurde im Mai 2007 vom Ministerium für IT&C zur allgemeinen Begutachtung vorgelegt, aber nach Einlangen der ersten Kommentare und nach der Organisation eines öffentlichen Treffens zur Diskussion des Entwurfs scheint das Thema in den Ordnern des Ministeriums verschwunden zu sein, wahrscheinlich auch, weil niemand außer der Europäischen Kommission sich besonders für das Gesetz zu interessieren scheint. Daher kam und ging die offizielle Frist für die Implementierung der EU-Richtlinie, ohne dass der Entwurf von der Regierung angenommen wurde. Und plötzlich und ohne irgendeine öffentliche Ankündigung tauchte der Entwurf im Dezember 2007 wieder auf der Liste des IT&C Ministeriums für öffentliche Konsultationen auf. Der neue Entwurf scheint dem alten sehr ähnlich zu sein, aber es ist klar, dass die Regierung kurz davor steht, das Gesetz per Notfalldekret zu verordnen. Das bedeutet – in Übereinstimmung mit den Erfahrungen aus dem letzten Jahr und dem balkantypischen Hang zur Verdrehung der verfassungsmäßigen Ausdrucksweise, dass die Tatsache, dass die offizielle EU-Frist verstrichen ist, die Sache zu einem nationalen Notfall macht, der die Zustimmung zum Gesetz direkt von der Regierung erfordert und die Parlamentsdebatten über das Thema zur Nebensache abstufen. Im Moment gibt es keinerlei Anzeichen, ob es soweit kommen wird oder wann genau.

b. die rumänische Datenschutzbehörde
Die rumänische Datenschutzbehörde, die erst Ende 2006 gegründet worden war, hat daran gearbeitet, die Themen zum Datenschutz in die öffentliche Debatte zu tragen und hat bis jetzt erfolgreich zahlreiche Informationsveranstaltungen organisiert, besonders für öffentliche Institutionen und im Finanzsektor. Das ist somit das Positivste, was wir in all den Jahren seit der Einführung der Datenschutzgesetze in 2002 gesehen haben, aber die Arbeit der rumänischen Datenschutzbehörde ist dennoch alles andere als zufriedenstellend, ganz besonders wenn wir in Betracht ziehen, wie vage die öffentliche Meinung zu allen Fragen zur Privatsphäre sind, die in Rumänien und auch auf europäischer Ebene auftauchen.

Dennoch hat die rumänische Datenschutzbehörde zwei wichtige Entscheidungen getroffen, indem man den bürokratischen Aufwand reduziert und die Registrierung an der Behörde für Datencontroller attraktiver gemacht hat: man hat die Registrierungssteuern und die Gebühren für den Datentransfer in andere Länder abgeschafft, und ermöglicht nun die elektronische Registrierung der Datencontroller.

c.CCTV
Viele öffentliche und private Institutionen installieren CCTV Systeme als die „perfekte Lösung“ zur Erhöhung der Sicherheit ihrer Aufgabenbereiche; eine Regulierung dieser Systeme gibt es anscheinend nicht, da die Kameras überall praktisch über Nacht aus dem Boden zu schießen scheinen, ohne dass die Datenschutzbehörde verständigt werden muss. Die Behörde hat auf ihrer Website einen Entwurf vorgelegt, um den Einsatz von CCTV zu verringern und die Rechte und Pflichten besser darzulegen, aber all dies ist schon seit 2006 nichts als ein Projekt.

d.Illegale Abhörungen
Eine der ersten gerichtlichen Entscheidungen in Bezug auf illegale Abhörungen solle ebenfalls hier erwähnt werden. Die Entscheidung, die im Mai 2007 im Bucharest Tribunal gefällt wurde, wurde erst im Juli bekannt gegeben und stellt unserer Kenntnis nach den ersten Fall in der rumänischen Geschichte dar, bei dem ein Gericht Abhörungen durch die rumänischen Geheimdienste für illegal erklärt und setzte eine moralische Schadensersatzzahlung in der Höhe von 50.000 RON (ca. 14.000 Euro) für Verstöße gegen die Privatsphäre fest. Das Gericht, dass als Argument auf die Fälle Rotaru vs. Rumänien und Klass vs. Deutschland vor dem Europäischen Gerichtshof für Menschenrechte verwies, gab bekannt, dass es in diesem besonderen Fall „keine anschließende Kontrolle der Abhörungsgrundlagen durch eine unabhängige und unvoreingenommene Behörde“ gegeben habe.

Rumänische Datenschutzbehörde

Romanian Secret Service illeagal wiretaping (only in Romanian, 11.07.2007)

Draft Romanian DPA decision on CCTV (only in Romanian)

unwatched:: Rumänische Staatsanwälte fordern leichten Zugang zu Kommunikationsdaten (31.01.2007)

unwatched: Erster Entwurf des Vorratsdatenspeicherungsgesetzes in Rumänien (9.05.2007)

(Beitrag von Bogdan Manolea - EDRi-Mitglied APTI Romania)

Niederlande: die wichtigsten Themen zur Privatsphäre 2007

Die Kandidaten und Gewinner der niederländischen Big Brother Awards 2007 haben es deutlich gezeigt: ein ordentliches Level beim Datenschutz darf in den Niederlanden nicht für selbstverständlich gehalten werden. Zahlreiche große Projekte und fortlaufende legislative Bestrebungen bedrohen die Lage des Datenschutzes in den Niederlanden. Die Regierung zeigt keinerlei Absichten, die Kritiker auch ernst zu nehmen. Das Desinteresse der Öffentlichkeit und die Unbekümmertheit, mit der die Mehrheit der niederländischen Bürger ihre Privatsphäre für das Versprechen von mehr Sicherheit aufgeben, hat eben diesem niederländischen Bürger per se den Sieg bei den BBA Niederlande eingebracht. Unter den weiteren Gewinnern befinden sich der Plan für eine elektronische Kinderpersonalakte, die nationale Bahngesellschaft für ihr RFID Transitkartensystem und De Nederlandsche Bank für ihre Reaktion auf den SWIFT Skandal.

Die elektronische Kinderpersonalakte ist für den Datenschutz in den Niederlanden exemplarisch. Die Kinderpersonalakte zielt darauf ab, die Kinderfürsorge durch die Erstellung einer umfangreichen Personalakte über jedes Kind und jeden Jugendlichen zu "verbessern". Abgesehen von begründeten Zweifeln daran, dass dieses Projekt tatsächlich in irgendeiner Weise zu Verbesserungen in der Kinderfürsorge führen wird, verletzt diese Personalakte das Recht der Kinder, ihrer Eltern und der Jugendlichen auf Privatsphäre ganz erheblich. Die Akte wird für alle Kinder fortlaufend aktualisiert werden, bis sie 19 Jahre alt sind; danach werden die Aufzeichnungen für weitere fünfzehn Jahre aufbewahrt werden. Der verlangte Datensatz ist äußerst vage definiert und wird eine große Auswahl medizinischer und psychologischer Daten enthalten sowie jede Menge subjektiver Stellungnahmen über die Kinder und ihre Eltern. Die Zugriffsbeschränkungen sind schon jetzt unzulänglich, und sie werden aber noch weiter gelockert werden.

Das RFID Transitkartensystem ist ein weiteres Projekt, das aus der Sicht des Datenschutzes sehr problematisch ist. Vor sehr kurzer Zeit kam die niederländische Datenschutzbehörde zu dem Schluss, dass das derzeitige Design des Systems die Datenschutzgesetze nicht einhält. Das System wird die übermäßige Speicherung aller Reisebewegungen mit sich bringen. Das System, das in einigen niederländischen Städten getestet wird, weist auch in anderen Bereichen Mängel auf, die seine Zukunft eher ungewiss machen. Einige kritische Bereiche des Systems wurden kürzlich gehackt, was zu einem ernsten politischen Problem wurde.

An der legislativen Front wird die Implementierung der Richtlinie zur Vorratsdatenspeicherung zur Zeit im niederländischen Parlament debattiert. Auch wenn Anfang 2006 eine Mehrheit des Parlaments anscheinend zugestimmt hatte, die Vorratsdatenspeicherungsfristen in den Niederlanden zu kürzen, entschied sich die Regierung nun für die beinahe maximale Frist von 18 Monaten sowohl für Telefon- als auch für Internetaufzeichnungen. Das Parlament verabschiedet außerdem eine Gesetzgebung, dass die niederländischen Geheimdienste und die nationale Sicherheitsbehörde (AIVD) befugt, vollständige Datenaufzeichnungen aus dem öffentlichen und privaten Bereich einzufordern. Die neuen Befugnisse richten sich gezielt auf den Transit, die elektronischen Kommunikationen und den Finanzsektor, aber auch andere könnten in die Schusslinie geraten. Die Gesetzgebung wird es der Behörde ermöglichen, den maximalen Profit aus den ausgeweiteten Speicherungen von persönlichen Daten in diesen Sektoren zu schlagen, was aus der Gesetzgebung zur Vorratsdatenspeicherung und dem RFID System in öffentlichen Verkehrsmitteln resultiert, das schon besprochen wurde.

Ein aktueller Bericht „Data voor Daadkracht" über die Verarbeitung persönlicher Daten in den Bereichen der Strafverfolgung und Sicherheit enthielt viel heftige Kritik im Hinblick auf die fortlaufenden Beeinträchtigungen des Datenschutzes in diesem Sektor. Man hatte aktuelle Datensammlungen untersucht, die von den Strafverfolgungsbehörden und Sicherheitsbehörden bearbeitet worden waren und die Regierung gewarnt, dass eine Verwaltung, der immer öfter vorgeworfen wird zu riskieren, den Wert der Privatsphäre aus den Augen zu verlieren, sich Sorgen machen muss. Die Regierung hat darauf mit der Ablehnung der Hauptschlussfolgerungen des Berichts reagiert sowie mit der Ernennung einer neuen Kommission, die sich die „Sicherheitssphäre und die persönliche Sphäre“ noch einmal genauer ansehen soll. Genauer gesagt verlangt die Regierung, dass sich die Kommission damit beschäftigt, dass „Strafverolgungsbeamte und Sozialarbeiter sich manchmal durch Normen und Praktiken zum Schutz der Privatsphäre behindert fühlen, besonders wenn es um persönliche Daten geht. Daher wird die Kommission analysieren, wie mögliche Hindernisse entfernt werden können, die Strafverfolgungsbehörden und Sozialarbeiter in ihren Tätigkeitsbereichen wahrnehmen.“

Schlussendlich sind die Richtlinien für Veröffentlichungen von persönlichen Daten im Web von der niederländischen Datenschutzbehörde für den Datenschutz im digitalen Zeitalter von besonderem Interesse. Die Richtlinien sprechen eine Vielfalt an Themen an, von der Frage der Verantwortung von Mittelspersonen über den Status von IP-Adressen, die besondere Sorgfalt, die von online-Diensten für Kinder erwartet wird bis zur Ausnahmen für die Medien. Die Richtlinien wurden ins Englische übersetzt.

Winner Dutch Big Brother Awards 2007: 'You' (26.09.2007)

Dutch RFID Transit Card Hacked (21.01.2008)

Commission Security and Personal Sphere installed (in Dutch only, 17.01.2008)

Privacy legislation also applies on the Internet - Guidelines finalised on the publication of personal data on the Internet (11.12.2007)

(Beitrag von Joris van Hoboken - EDRi-Mitglied Bits of Freedom - Niederlande)

Die wichtigsten Datenschutzbelange in Zusammenhang mit den Entwicklungen in der EU Politik 2007

Das Abkommen von Lissabon wurde im Dezember 2007 unterzeichnet. Ungeachtete der heftigen Kritik an diesem Abkommen wird das Papier, wenn es von allen Mitgliedsstaaten ratifiziert worden ist, zwei wichtige Verbesserungen für die EU und ihre Bürger herbeiführen. Erstens wird die Charta der Grundrechte der Europäischen Union Teil der Gemeinschaftsacquis werden, einschließlich der §7 (Respekt von Privat- und Familienleben) und §8 (Schutz von persönlichen Daten). Zweitens wird das Abkommen der EU den Zugang zur Europäischen Konvention für Menschenrechte ermöglichen und die EU Bürgern somit gegen die Verletzung ihrer Menschenrechte durch EU Institutionen schützen. Diese Verbesserung wäre äußerst willkommen, besonders – aber keineswegs nur – in Anbetracht der derzeitigen Unzulänglichkeit des Datenschutzes unter der dritten Säule (Justiz und Inneres). Aber 2007 hat im Hinblick auf die Entwicklungen bei der Privatsphäre und dem Schutz persönlicher Daten auf EU Ebene auch viele Sorgen bereitet. Neben dem SWIFT Skandal, bei dem der Zugriff der USA auf europäische Finanztransaktionen ermöglicht worden war, gab es die Google-Doubleclick Fusion, die derzeit von der Europäischen Kommission untersucht wird (wenn auch hauptsächlich im Hinblick auf Wettbewerb), fortwährende Sorgen mit der Vorratsdatenspeicherung durch Suchmaschinen, besonders Google, auch wenn die Firma leichte Kürzungen bei der Speicherungsfrist angekündigt hat, und die Entwicklung der RFID-Chips; die großen Probleme mit der EU-Politik in 2007 drehen sich um Fluggastdaten, die Weitergabe von biometrischen und genetischen Daten und das immer noch unzulängliche Level des Datenschutzes unter der dritten Säule.

„Alle Regierungen haben die Pflicht, ihre Bürger vor der terroristischen Bedrohung zu schützen, aber die Methode sollte legal, intelligent und effektiv sein“, sagte der Generalsekretär des Europarats am Datenschutztag. „Ich mache mir Sorgen, dass einige der aktuellen Vorkehrungen für den Austausch von Daten, die unter Druck der US-Regierung getroffen worden sind, diesen Kriterien nicht entsprechen“, fügte er passenderweise hinzu.

a. Fluggastdaten (PNR)
Im Juni 2007 wurde ein entgültiges Abkommen über die Fluggastdaten zwischen der EU und den USA geschlossen, vier Jahre nachdem die USA und die Europäische Kommission – illegalerweise – zugestimmt hatten, den US-amerikanischen Zollbeamten den direkten Zugriff auf die persönlichen Daten der Passagiere zu genehmigen, die in der USA landen, aus der USA ausfliegen oder Zwischenstopps in den USA einlegen. Um an diesen Punkt zu gelangen, waren viele Protestkampagnen nötig, wie die von EDRi organisierte Aktion im Jahr 2003 sowie scharfe Kritik von Seiten des Europäischen Parlaments und der Arbeitsgruppe Artikel 29 und die Annullierung durch den Europäischen Gerichtshof. Das Abkommen verringert den Datensatz von 34 auf 19 Stück einschließlich Namen, Kontaktinformationen, Zahlungseinzelheiten, Reisebüro, Reiseroute und Gepäcksinformationen, jedoch werden sensible Daten wie Volkszugehörigkeit ausgeklammert. Die Daten können für eine Gesamtspanne von 15 Jahren gespeichert werden. Es wurde geltend gemacht, dass Europäische Bürger nun auch vom US Gesetz für Privatsphäre abgedeckt werden, was bedeutet, dass sie ihre Rechte vor US Gerichten einfordern können. Allerdings hat die US Regierung nur drei Monate nach diesem Abkommen einige Änderungen an dem Gesetz für Privatsphäre bekannt gegeben, die Ausnahmen bei Antworten auf Anfragen über persönliche Informationen an das Heimatschutzministerium und das Automated Tareting System angehen. Das Abkommen wurde vom EU Parlament, der Arbeitsgruppe Artikel 29 und dem Europäischen Datenbeauftragten heftigst kritisiert.

Später im Jahr kündigte die EU ihr Projekt zur Schaffung ihres eigenen Europäischen PNR Systems an. Der Plan, der im November von der Europäischen Kommission eingereicht wurde, ähnelt dem Abkommen zwischen der EU und der USA. Die EU wird 19 persönliche Datensätze über Passagiere speichern müssen, die in den EU Raum ein- oder ausreisen, einschließlich Telefonnummer, E-Mail-Adresse, Reisebüro, vollständige Reiseroute, Abrechnungen und Gepäcksinformationen. Die Informationen werden in Analyseeinheiten gespeichert, durch die eine „Risikoeinschätzung“ für jeden Passagier vornehmen wird, die in der Folge zu Befragungen des Passagiers oder sogar zu Einreiseverweigerungen führen können. Die Daten sollen für fünf Jahre gespeichert werden und landen dann für weitere acht Jahre in einer ruhenden Datenbank. Dieser Plan wurde ebenfalls bereits vom Parlament kritisiert und auch von der Arbeitsgruppe Artikel 29 und dem Europäischen Datenschutzbeauftragten, aber im Jahr 2008 wird sich diesbezüglich dennoch sicher noch viel tun. Einige Mitgliedsstaaten haben ähnliche Maßnahmen schon auf nationaler Ebene eingeführt.

b. Weitergabe biometrischer und genetischer Daten
Das Europäische Visa Informationssystem (VIS) wird wahrscheinlich zur größten biometrischen Datenbank der Welt werden. VIS wird Informationen über Besuchsvisa oder Transitbewilligungen durch den Schengenraum von bis zu 70 Millionen Personen speichern. Diese Daten werden biometrisch sein (Lichtbild unf Fingerabdrücke) und schriftlich, wie Name, Adresse und Beruf der Antragsteller, Datum und Ort des Antrags sowie jede Entscheidung, die vom zuständigen Mitgliedsstaat bezüglich Genehmigung, Ablehnung, Annullierung, Aufhebung oder Verlängerung von Visa getroffen wird. Bürger aus mehr als 100 Ländern benötigen ein Visa, um in die EU einreisen zu dürfen. In den letzten Debatten im Jahr 2007 wurde praktisch nur diskutiert, welches das Höchstalter für die Ausnahme von Kindern bei der Verwendung der 10 Fingerabdrücke sein sollte: Das Parlament sagt 12 Jahre, der Rat möchte 5 Jahre als Höchstalter durchsetzen.

Die EU möchte jedoch auch biometrische Daten von EU Bürgern und Einwohnern speichern und weitergeben, weit mehr als die Daten, die bereits durch biometrischen Pässe und Personalausweise bekannt sind. Im Juni 2007 wurde beschlossen, dass das Prüm Abkommen, das ursprünglich von 7 EU Ländern im Mai 2005 unterzeichnet worden war, ohne maßgebliche Änderungen in die EU Gesetzgebung aufgenommen werden wird. Diese Entscheidung führt zum größten paneuropäischen Netzwerk von polizeilichen Datenbanken, durch das DNA-Profile, Fingerabdrücke und andere persönliche und nicht-persönliche Daten gespeichert und weitergegeben werden können. Die Empfehlung des Europäischen Datenschutzbeauftragten, der im Dezember 2007 eine Stellungnahmen über die Implementierung des Abkommens veröffentlicht hat, wurde bei dem Abkommen nicht in Betracht gezogen.

c. Unzureichender Datenschutz unter der dritten Säule
Während die Daten, die von der Polizei und gerichtlichen Behörden gespeichert und weitergegeben werden zunehmen, werden auch angemessene Regeln zum Schutz persönlicher Daten unter der dritten Säule immer dringender notwendig. Ein Entwurf der Rahmenentscheidung des Rates zum Schutz persönlicher Daten, die im Rahmen der polizeilichen und juristischen Zusammenarbeit bei Straffällen bearbeitet werden, wurde von der Europäischen Kommission schon im Oktober 2005 eingereicht, ist aber immer noch nicht beschlossen, obwohl der Europäische Datenschutzbeauftragte seine Meinung schon wiederholt geäußert hat. Dem Europäischen Datenschutzbeauftragen zufolge bietet der Entwurf vom Dezember 2007 nur minimale Harmonisierungen und Sicherheiten, und wäre nur auf persönliche Daten anwendbar, die an andere Mitgliedsstaaten weitergegeben werden und nicht auf die Verarbeitung innerhalb der Staaten.

EDRi-Seite zu Biometrie

EDRi-Seite zu PNR

EDRi-Seite zu Privatsphäre

EDPS Opinions

Artikel 29 Arbeitsgruppe

(Beitrag von Meryem Marzouki, EDRI Mitglied IRIS - Frankreich)

Agenda

11. Februar. 2008, Aachen, Deutschland
PET Convention 2008.1 - informeller Workshop über Techniken zur Unterstützung der Privatsphäre

12.Februar 2008, Brüssel, Belgien
Europäische ICT Standardisierungspolitik am Scheideweg: eine neue Richtung für globalen Erfolg

14. Februar 2008, Brüssel, Belgien
eIdentity workshop

23.-24. Februar 2008, Brüssel, Belgien

Research Room @ FOSDEM: Libre software communities meet research community - Introducing Research Friendly

10.-12. März 2008, Genf, Schweiz
WIPO Ständigers Komitee über Urheberrecht und verwandte Rechte: 16. Treffen

15. March 2008, London, UK
OKCon 2008 - Open Knowledge: Applications, Tools and Services

2.-4. April 2008, Berlin, Germany
re:publica – Die kritische Masse

28.-29. April 2008, Wien, Österreich
PRISE Final Conference -in Richtung von Technologien zur Verbesserung der Sicherheit der Privatsphöre – der nächste Schritt. Einreichfrist für Beiträge: 1. Februar 2008.

15.- 17. Mai 2008, Ljubljana, Slowenien
EURAM Conference 2008 - Track "Creating Value Through Digital Commons" How collective management of IPRs, open innovation models, and digital communities shape the industrial dynamics in the XXI century.

30.-31. Mai 2008, Bucharest, Rumänien
eLiberatica 2008 – Die Vorteile von Open und Free Technologien

17.-18. Juni 2008, Seoul, Korea
Die Zukunft der Internetökonomie . OECD Ministertreffen

23.-25. Juli 2008, Leuven, Belgien
PETS 2008