1

Überwachungsmöglichkeiten

Vorratsdatenspeicherung

Unter Vorratsdatenspeicherung (kurz VDS) versteht man die Speicherung von personenbezogenen Daten, die bei der Telekommunikation anfallen, zur späteren Verwendung durch die Strafverfolgungs- und allenfalls durch die Sicherheitsbehörden. Die Vorratsdatenspeicherung soll grundsätzlich zur Aufklärung von schweren Straftaten dienen. Im Gegensatz zu anderen Formen der Datenbeschaffung zur Aufklärung von Straftaten wie Rufnummernrückerfassung, Abhören von Telefonen oder Lauschangriffen werden bei der Vorratsdatenspeicherung die Daten aller Kommunikationsvorgänge ohne konkreten Verdacht “auf Vorrat” gespeichert, damit sie später für Ermittlungen zur Verfügung stehen. Die Vorratsdatenspeicherung zielt nicht auf die Speicherung von Gesprächsinhalten ab, sondern auf die Speicherung von Verbindungs- und Ortungsdaten. (http://www.dsb.gv.at/site/7713/default.aspx)

Eine EU-Richtlinie, die 2006 im Geiste der Terrorbekämpfung verabschiedet wurde, verpflichtete alle EU-Staaten, ein Gesetz zur Speicherung bestimmter Daten auf Vorrat (Vorratsdatenspeicherung) auszuarbeiten.

Österreich kam der Verpflichtung nun nach. Im April 2012 trat in Österreich das Vorratsdatenspeicherungs-Gesetz in Kraft. Seitdem mußten Anbieter von Telekomdiensten die Kommunikationsdaten ihrer Kunden für mindestens ein halbes Jahr speichern – ob diese nun per Festnetz und Handy telefonieren, E-Mails und SMS verschicken oder im Internet surfen.
Justiz und Polizei wollten auf diese Daten zwecks Verbrechensbekämpfung zugreifen. Die Staatsanwaltschaft brauchte dafür eine richterliche Genehmigung, überdies musste die verdächtigte Tat mit mehr als einem Jahr Gefängnis bedroht sein. Die Polizei konnte in akuten Situationen – etwa Gefahr für Leib und Leben – aber auch ohne Zustimmung eines Richters Auskünfte von den Telekomfirmen verlangen. Jede Abfrage musste einem Rechtsschutzbeauftragten gemeldet werden.

Aus den gesammelten Daten ließ sich herauslesen, wer mit wem wann wie lange telefoniert hat – und auch wo, da sich Handys ja immer in eine lokale Funkzelle einwählen. Das Gleiche galt für verschickte SMS, MMS und E-Mails. Ebenso ließ sich eruieren, wann und wie lange sich ein bestimmter User ins Internet eingewählt hat. Inhalte wurden laut Gesetz nicht gespeichert.

Der österreichische Verfassungsgerichtshof hat die Bestimmungen zur Vorratsdatenspeicherung mit der Entscheidung G 47/2012-49, G 59/2012-38, G 62/2012-46, G 70/2012-40, G 71/2012-36 vom 27. Juni 2014 für verfassungswidrig erklärt.

( ► Vgl. http://derstandard.at/1333185073067/Der-Staat-speichert-mit-Was-man-ueber-die-Vorratsdatenspeicherung-wissen-muss)

Diskussion

Pro: Die Unterstützer finden sich bei der Polizei, den Geheimdiensten und Lieferanten der Überwachungstechnologie.

  • Schwere Verbrechen können im Vorfeld verhindert werden
  • schwere Verbrechen können aufgeklärt werden
  • die Sicherheit für die BürgerInnen wächst

Contra:

  • Unbescholtene BürgerInnen werden unter Generalverdacht gestellt und überwacht
  • ihre Privatsphäre wird beeinträchtigt, was mehrfach gegen Verfassungsrecht verstößt
  • für Kriminele ist es ein Leichtes, das Gesetz zu umgehen (die freie Software “Tor” schickt die Daten über verschiedene Umwege, sodass der Verkehr schwer nachvollziehbar ist; Email-Provider mit einem Jahresumsatz unter 277.000 Euro sind nicht zur Datenspeicherung verpflichtet, das gleiche gilt für VOIP-Anbieter, selbst betriebene Mailserver, Verwendung anonymer SIM-Karten kombiniert mit häufigen Handy-Wechseln, Verwendung eines VPN (Virtual Private Network), bei dem Daten über einen zwischengeschalteten Server gehen, der ev. nichts aufzeichnet, Gratis-WLANS, …)
  • der Gewinn an Sicherheit, mit dem die Einschränkungen der Privatsphäre gerechtfertigt werden, dürfte gering ausfallen (Studien einiger europäischer Staaten belegen das)

ARGE Daten (Hans Zeger): Gut gemeint, aber …

“Das Ganze ist natürlich gut gemeint”, sagte Arge Daten-Leiter Hans Zeger. “Da klingt mit, dass es eigentlich nicht gut gemacht ist.” Praktikabel wäre seiner Ansicht nach nur, von der verdachtsunabhängigen Datenspeicherung völlig abzugehen. “Das ist auch die einzig langfristig grundrechtlich vertretbare Vorgangsweise”, sagte er. Die geplante Ausnahmeliste für Berufsgeheimnisträger sei zwar grundsätzlich positiv, aber unpraktikabel und bei weitem nicht ausreichend.

Anlassbezogene Datenspeicherung

Das Überwachungspaket der österreichischen Regierung von 2018 sieht als Alternative zur aufgehobenen Vorratsdatenspeicherung eine anlassbezogene Datenspeicherung in Verdachtsfällen vor. Telekommunikationsfirmen können beim Verdacht einer Straftat angewiesen werden, Daten bis zu zwölf Monate zu speichern (Quick-freeze). Sollte sich ein Anfangsverdacht nicht bewahrheiten, wird die Telekommunikationsfirma angewiesen, die Datenspeicherung zu beenden. Verdächtige müssen über diesen Vorgang informiert werden.

► Vgl. https://www.profil.at/oesterreich/ueberwachungspaket-regierungsplaene-detail-9120571

Weitere Überwachungsmöglichkeiten

  • Überwachung von Messenger-Diensten wie Skype und Whatsapp:
    Da die Datenübertragung von solchen Diensten heute meist verschlüsselt erfolgt, müssen die Daten bei der Eingabe am Gerät vor der Verschlüsselung (Smartphone, Tablet, PC) abgegriffen werden. Das geschieht durch die unbemerkte Remote-Installation eines geeigneten Programms (“Bundestrojaner”) am Gerät. Voraussetzung: Straftaten mit einer Strafobergrenze von mehr als zehn Jahren, Verdacht auf terroristische Straftaten, Straftaten gegen Leib und Leben, Straftaten gegen sie sexuelle Integrität mit Strafobergrenzen von mehr als fünf Jahren.
  • Ausweitung der Video- und Tonüberwachung:
    Öffentliche und private Einrichtungen, die einen öffentlichen Versorgungsauftrag erfüllen (Verkehrsbetreibe, Flughäfen, Bahnhöfe), müssen Video- und Tonaufnahmen vier Wochen speichern. Behörden dürfen auf diese Daten zugreifen. Damit gibt es eine zentrale, staatliche Kontrolle aller öffentlichen Plätze.
    Ebenso sollen Kennzeichenerkennungssysteme ausgebaut werden (Erfassung des Kennzeichens, der Automarke, des Typs, der Farbe). Privates Bild- und Videomaterial darf auch verwendet werden.
  • Ortung von Handys, Verbot von anonymen Prepaid-Karten:
    Mit IMSI-Catchern dürfen Handys ohne Mithilfe des Netzbetreibers lokalisiert werden. Gesprächsinhalte sollen nicht abgehört werden, was aber Kritiker des Pakets doch befürchten. Ab 2019 sind anonyme SIM-Karten verboten. Käufer müssen ihre Identität registrieren.
  • Lockerung des Briefgeheimnisses:
    Briefe dürfen schon beschlagnahmt werden, wenn eine Straftat auch nur mit mehr als einem Jahr Freiheitsstrafe bedroht ist.

► Vgl. https://derstandard.at/2000074708694/Regierung-beschliesst-Bundestrojaner-und-Ende-des-Briefgeheimnisses
► Vgl. https://derstandard.at/2000076972307/Verfassungsdienst-zerpflueckt-Ueberwachungspaket
► Vgl. https://www.wienerzeitung.at/dossiers/netzpolitik/955459_Verfassungsdienst-hat-Bedenken-wegen-Ueberwachungspaket.html




Datenschutzerklärung für Websites nach der DSGVO

Nach Inkrafttreten der Datenschutz-Grundverordnung (DSVGO) müssen auch Website-Betreiber auf die Einhaltung der Bestimmungen der DSVGO achten, besonders, wenn von den BesucherInnen personenbezogene Daten erfasst und verarbeitet werden. Die Betreiber müssen in einer Datenschutzerklärung anführen, wo und wie personenbezogene Daten von den BesucherInnen erfasst werden.

Diese sollte folgende Erklärungen enthalten:

Essentiell

  • Allgemeine Erklärung über das Anliegen des Datenschutzes
  • Automatische Datenspeicherung: wie und ob der Webserver Besucherdaten speichert (IP-Adresse der BesucherInnen, besuchte Seiten und Unterseiten, Uhrzeit, davor besuchte Website, ob die Site durch eine Suchmaschine gefunden wurde)
  • Speicherung persönlicher Daten: ob persönliche Daten erfasst werden, z. B. in Kontaktformularen, Kommentaren
  • Rechte der BesucherInnen: Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerruf und Widerspruch
  • TLS-Verschlüsselung mit https: dass die Daten verschlüsselt übertragen werden
  • Cookies: ob und wie Cookies verwendet werden
  • Google-Maps Datenschutzerklärung: ob Google-Maps verwendet wird und dass in diesem Fall Daten an Google übertragen werden
  • Google-Fonts Datenschutzerklärung: ob Google-Fonts verwendet werden und welche Daten in diesem Fall an Google übertragen werden (verwendete Fonts, CSS)

Website-Analyseprogramme

  • Google-Analytics Datenschutzerklärung: ob mit Google-Analytics Besucherdaten erfasst und verarbeitet werden
  • andere Analytik-Programme

Social Media

  • Facebook-Datenschutzerklärung: ob durch das Einbinden von Facebook-Funktionen (Plugins) Daten von BesucherInnen an Facebook übertragen und verarbeitet werden
  • Das Gleiche gilt für Youtube, Twitter, Instagram, Google+ usw.

Einen Datenschutzgenerator als Hilfe gibt es auf https://www.firmenwebseiten.at/datenschutz-generator/

Man wählt die zutreffenden und somit notwendigen Erklärungen aus und der Generator stellt den Text zusammen.

Beispiele für Datenschutzerklärungen:

www.hlwhollabrunn.ac.at
https://unterricht.ertl.today




Datenschutz-Grundverordnung (DSGVO)

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung der Europäische Union (DSGVO) in Kraft.

  • Die DSGVO legt fest, wie vor allem Unternehmen personenbezogene Daten verarbeiten müssen, um die Privatsphäre und den Schutz der personenbezogenen Daten der Betroffenen zu gewährleisten.
  • Sie legt die Verantwortlichkeiten dafür fest,
  • weist den Betroffenen bestimmte Rechte zu
  • und gibt den Aufsichtsbehörden die Befugnis, Rechenschaft zu verlangen
  • und im Fall von Verfehlungen Strafen zu verhängen.

Die wichtigsten Forderungen der DSGVO

  1. Unternehmen, die personenbezogene Daten verarbeiten, müssen dies nach Rechtmäßigkeit, Treu und Glauben und Transparenz tun
    Rechtmäßig: die gesamte Verarbeitung muss auf einem legitimen Zweck beruhen
    nach Treu und Glauben: das Unternehmen muss sich verantwortlich zeigen und Daten nicht über den legitimen Zweck hinaus verarbeiten
    Transparent: das Unternehmen muss die betroffenen Personen über die Verarbeitungstätigkeiten bezüglich ihrer personenbezogenen Daten informieren
  2. Von den Unternehmen wird Zweckbindung, Daten- und Aufbewahrungsdauerbegrenzung gefordert
    personenbezogene Daten dürfen nur für den Zweck verwendet werden, für den sie legitim erhoben wurden
    es dürfen nur die für den legitimen Zweck notwendigen personenbezogenen Daten eingeholt erhoben werden
    die personenbezogene Daten müssen gelöscht werden, sobald der legitime Zweck, für den sie erhoben wurden, erfüllt ist
  3. Rechte der Betroffenen
    Betroffene haben das Recht
    zu erfahren, welchen Daten ein Unternehmen über sie hat
    was das Unternehmen mit diesen Daten tut
    eine Berichtigung zu verlangen
    der Verarbeitung zu widersprechen
    eine Beschwerde einzureichen
    die Löschung oder Übertragung der Daten zu verlangen
  4. Einwilligung zur Datenverarbeitung über den legitimen Zweck hinaus
    Für eine Datenverarbeitung über den legitimen Zweck hinaus müssen Betroffene ausdrücklich zustimmen. Die Zustimmung muss dokumentiert werden und kann jederzeit widerrufen werden.
    Für unter 16-Jährige ist die Zustimmung der Erziehungsberechtigten erforderlich.
  5. Umgang mit Datenschutzverletzungen
    Unternehmen müssen selber ein Verzeichnis von Schutzverletzungen personenbezogener Daten führen und die Aufsichtsbehörde und die Betroffenen je nach Schwere der Verletzung innerhalb von 72 Stunden nach Festellung der Schutzverletzung informieren.
  6. Vorbeugender Datenschutz
    Unternehmen sollen bei Veränderung und Entwicklung von Systemen und Prozessen organisatorische und technische Mechanismen einbauen, um personenbezogene Daten zu schützen.
  7. Datenschutz-Folgenabschätzung
    Wenn in einem Unternehmen Veränderungen durchgeführt werden (Verfahren,neue Projekte, neue Produkte, …), muss eine Datenschutz-Folgenabschätzung durchgeführt werden, sofern auch eine Veränderung der Verarbeitung personenbezogener Daten erfolgt.
  8. Verantwortung von Datenübertragungen an Dritte
    Wenn personenbezogene Daten an Dritte übertragen werden, ist das ursprüngliche Unternehmen dafür verantwortlich, dass die Bestimmungen des DSGVO eingehalten werden.
  9. Datenschutz-Beauftragte/r
    Wenn in einem Unternehmen bzw. einer Organisation eine erhebliche Verarbeitung personenbezogener Daten stattfindet, ist ein Datenschutz-Beauftragter/eine Datenschutz-Beauftragte zu ernennen, der/die die Einhaltung des DSGVO überwacht und gegebenenfalls die Unternehmensleitung zu informieren hat.



Datensicherungskonzepte

Die Modalitäten der Datensicherung (wie, wie oft, wann … eine Sicherung durchzuführen ist) werden von verschiedenen Einflussfaktoren bestimmt.

Modalitäten:
  • Art der Datensicherung,
  • Häufigkeit und Zeitpunkt der Datensicherung,
  • Anzahl der Generationen,
  • Vorgehensweise und Speichermedium,
  • Verantwortlichkeit für die Datensicherung,
  • Aufbewahrungsort,
  • Anforderungen an das Datensicherungsarchiv,
  • Transportmodalitäten und
  • Aufbewahrungsmodalität.
Einflussfaktoren:
  • Spezifikation der Daten: welcher Art sind die Daten (Software, Anwenderdaten wie Dokumente, Kundendatenbanken, Zugangsdaten)
  • Verfügbarkeitsanforderungen: wie lange dürfen Daten maximal nicht verfügbar sein (z. B. Dateien zum Schriftverkehr max. 1 Woche, Kundendaten max. 1 Tag)
  • Rekonstruktionsaufwand der Daten ohne Datensicherung: können zerstörte und nicht gesicherte Daten rekonstruiert werden, wie hoch ist der Aufwand, wie hoch sind die Kosten? – Daten, die auch in Papierform vorliegen, können z. B. rekonstruiert werden.
  • Datenvolumen: entscheidet über die Sicherungsdatenträger
  • Änderungsvolumen: wie viele Daten ändern sich z. B. pro Tag, vieviele kommen neu dazu? – Das bestimmt die Häufigkeit der Datensicherung und das Sicherungsverfahren (inkrementell, differentiell).
  • Änderungszeitpunkt der Daten: Ändern sich zu einem bestimmten Zeitpunkt regelmäßig Daten (z. B. Monatsende), sollte danach eine Datensicherung erfolgen.
  • Fristen: Müssen Daten eine bestimmte Zeit aufbewahrt werden (Aufbewahrungsfristen) oder müssen Daten zu einer bestimmten Frist gelöscht werden (Löschfristen)?
  • Vertraulichkeitsbedarf von Daten: Bei der Sicherung von Daten mit einer bestimmten Vertraulichkeitsanforderung muß diese Anforderung auch am Sicherungsmedium erfüllt sein.
  • Integritätsbedarf: Die gesicherten Daten dürfen am Sicherungsmedium nicht verändert werden können. Bei Software ist dieser Bedarf z. B. hoch, bei Daten des Schriftverkehrs mittel.
  • Fähigkeiten der IT-Benutzer: Diese entscheiden darüber, wer Datensicherungen durchführt (z. B. IT-AdministratorInnen oder einzelne BenutzerInnen).

Es sind zwei Dinge zu unterscheiden: Synchronisierung und Datensicherung. Die Synchronisierung ist keine Datensicherung, da sie nicht vor Gefährdungen schützt.

Synchronisierung/Datenspiegelung

Bei der Datenspiegelung werden die Daten redundant und zeitgleich auf einem oder mehrern Sicherungs-Datenträgern gespeichert. Da so der Ausfall eines dieser Speicher ohne Zeitverlust überbrückt werden kann, steigert Datenspiegelung die Verfügbarkeit. Es ersetzt allerdings keine Datensicherung, da es nicht gegen Gefährdungen wie Diebstahl, Brand oder unbeabsichtigte Datenlöschung hilft.

Datensicherung

  • Volldatensicherung: bei der Volldatensicherung werden sämtliche zu sichernden Dateien zu einem bestimmten Zeitpunkt auf einen zusätzlichen Datenträger gespeichert. Es wird dabei nicht berücksichtigt, ob die Dateien sich seit der letzten Datensicherung geändert haben oder nicht. Daher benötigt eine Volldatensicherung einen hohen Speicherbedarf. Der Vorteil ist, dass die Daten vollständig für den Sicherungszeitpunkt vorliegen und die Restaurierung von Dateien einfach und schnell möglich ist, da nur die betroffenen Dateien aus der letzten Volldatensicherung extrahiert werden müssen. Werden Volldatensicherungen selten durchgeführt, so kann sich durch umfangreiche nachträgliche Änderungen innerhalb einer Datei ein hoher Nacherfassungsaufwand ergeben.
  • Inkrementelle Datensicherung: bei der inkrementellen Datensicherung werden im Gegensatz zur Volldatensicherung nur die Dateien gesichert, die sich gegenüber der letzten Datensicherung (Volldatensicherung oder inkrementelle Sicherung) geändert haben. Dies spart Speicherplatz und verkürzt die erforderliche Zeit für die Datensicherung. Für die Restaurierung der Daten ergibt sich i. allg. ein höherer Zeitbedarf, da die Dateien aus Datensicherungen verschiedener Zeitpunkte extrahiert werden müssen. Die inkrementelle Datensicherung basiert immer auf einer Volldatensicherung. In periodischen Zeitabständen werden Volldatensicherungen erzeugt, in der Zeit dazwischen werden eine oder mehrere inkrementelle Datensicherungen vollzogen. Bei der Restaurierung wird die letzte Volldatensicherung als Grundlage genommen, die um die in der Zwischenzeit geänderten Dateien aus den inkrementellen Sicherungen ergänzt wird.
  • Differentielle Datensicherung: bei der differentiellen Datensicherung werden nur die Dateien gesichert, die sich gegenüber der letzten Volldatensicherung geändert haben. Eine differentielle Datensicherung benötigt mehr Speicherplatz als eine inkrementelle, Dateien lassen sich aber einfacher und schneller restaurieren. Für die Restaurierung der Daten reicht die letzte Volldatensicherung sowie die aktuellste differentielle, nicht wie bei der inkrementellen, wo unter Umständen mehrere Datensicherungen nacheinander eingelesen werden müssen.

Medien zur Datensicherung/Synchronisation

  • Externe Festplatte: im privaten Bereich und in kleinsten Firmen sinnvoll und kostengünstig; die Festplatte wird nur zur Datensicherung an den Computer angeschlossen, damit sie vor Schädlingsprogrammen möglichst sicher ist.
  • Cloud-Speicher: Man braucht sich nicht um die Hardware zu kümmern, gibt allerdings seine Daten im fremde Hände und hat nicht unter Kontrolle, wie sicher die Daten vor unbefugtem Zugriff sind. In der EU sind die Datenschutzbestimmungen viel strenger als in den USA.
  • NAS (Network Attached Storage, Netzwerk-Festplatte)
  • Sicherungsserver



Datenschutz und ELGA, SWIFT und Fluggastdatenspeicherung

ELGA

ELGA (elektronische Gesundheitsakte) ist ein System, das gewisse Daten zentral speichert, und Berechtigten und den PatientInnen selber Zugriff auf diese Daten gewährt. ELGA hat im Dezember 2015 in einzelnen Spitälern der Steiermark und Wiens gestartet. Weitere Spitäler und Bundesländer sowie Kassenordinationen und Apotheken werden folgen. In der Anfangsphase werden Entlassungsbriefe sowie Labor- und Radiologiebefunde von den Spitälern über ELGA verfügbar gemacht.

Zugriff auf die Daten haben behandelnde ÄrztInnen, Spitäler, Pflegeeinrichtungen und die PatientInnen selber. Erstere sollen damit rasch wichtige Informationen für Diagnose und Therapie erhalten.

Pro: (laut Darstellung des Bundesministeriums für Gesundheit)

  • weniger Mehrfachuntersuchungen
  • weniger unnötige Wege und Wartezeiten
  • mehr Zeit für PatientInnen
  • Befunde jederzeit und überall sicher abrufbar
  • mehr Patientensicherheit

Contra:

  • möglicher Mißbrauch der Daten durch Unbefugte
  • Ärzte

SWIFT

[Das SWIFT-Abkommen (vollständig: Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung für die Zwecke des Programms der USA zum Aufspüren der Finanzierung des Terrorismus) ist ein völkerrechtliches Abkommen zwischen der Europäischen Union und den Vereinigten Staaten, das den Zugriff US-amerikanischer Behörden auf die Daten der SWIFT (Society for Worldwide Interbank Financial Telecommunication) regelt. Eine erste Fassung des Abkommens wurde am 30. November 2009 von den EU-Innenministern im Rat für Justiz und Inneres gebilligt,[2] aber am 11. Februar 2010 mit 378 gegen 196 Stimmen vom Europa-Parlament abgelehnt. Daraufhin wurde eine zweite Fassung erarbeitet, die am 8. Juli 2010 durch das Europäische Parlament gebilligt wurde.

Im Zuge der Überwachungs- und Spionageaffäre 2013 drohte die EU-Kommission den USA mit einem Ende des Abkommens. Nachdem das Europäische Parlament am 23. Oktober 2013 in einer durch das Plenum angenommenen Resolution eine Aussetzung des Abkommens forderte, erklärte Innenkommissarin Cecilia Malmström allerdings, dass das Abkommen einen effektiven Schutz der Rechte der Europäer biete und nicht ausgesetzt werde.

Gespeichert werden unter anderem die Namen von Absender und Empfänger einer Überweisung und die Adresse. Diese können bis zu fünf Jahre gespeichert werden, Betroffene werden nicht informiert. Innereuropäische Überweisungen sollten von dem Abkommen nicht erfasst werden, innereuropäische Bargeldanweisungen hingegen schon. Im Februar 2011 wurde bekannt, dass die USA auch Zugriff auf innereuropäische Überweisungen haben, die über das Swiftnet Fin abgewickelt werden. Nur Überweisungen, die über SEPA abgewickelt werden, sind geschützt. Widersprüchlich sind Aussagen, ob die Bankdaten an Drittstaaten weitergegeben werden dürfen. Das großflächige Abgreifen von Daten ist von dem Abkommen nicht gedeckt. ]

Fluggastdatenspeicherung (PNR)

Seit Mai 2018 gilt in Österreich die Fluggastdatenspeicherung (PNR). Airlines müssen zahlreiche Angaben über alle Passagiere an das Bundeskriminalamt liefern, ohne jeglichen Anlass, quasi auf Vorrat. Die Maßnahme wird von der Regierung mit Terrorismusbekämpfung begründet.

In einem Passenger Name Record (PNR), zu deutsch Fluggastdatensatz, werden alle Daten und Vorgänge rund um eine Flugbuchung (auch Hotel- oder Mietwagenbuchung) elektronisch aufgezeichnet und über einen gewissen Zeitraum auch nach Ende der Flugreise noch in den jeweiligen Computerreservierungssystemen gespeichert.

Zu den Daten im einzelnen siehe https://de.wikipedia.org/wiki/Passenger_Name_Record

Zugrunde liegt eine EU-Richtlinie aus dem Jahr 2016, die allerdings nur vorsieht, die Passagierdaten von Flügen ins EU-Ausland oder vom EU-Ausland zu liefern (z. B. Name, Anschrift, Flugverbindung, Sitzplatz, Essenswünsche oder IP-Adressen, die für fünf Jahre gespeichert werden).

Ein Zugriff der Vereinigten Staaten auf Fluggastdaten für Flüge in die USA wurde von der EU schon früher zugebilligt (US-PNR). Darüber gab es immer wieder Auseinandersetzungen. Das letzte diesbezügliche Abkommen wurde 2012 abgeschlossen. Noch im selben Jahr forderten die USA auch den Zugriff auf die Daten innereuropäischer Flüge.




Datenschutz

Wir telefonieren mit Handys, wir surfen im Internet, wir versenden E-Mails, wir beheben Geld mit der Bankomatkarte, wir zahlen mit Kreditkarten, wir verwenden elektronische Bürgerkarten, wir verwenden die E-Card, wir bezahlen die Parkgebühr mit der Chipkarte oder per Handy (SMS), wir nutzen Internetbanking, wir verwenden Chipkarten als Eintrittskarten zu Schiliften oder Konzerten … – Und bei all diesen Tätigkeiten hinterlassen wir elektronische Spuren.

Eine der wichtigsten Herausforderungen in dieser Situation ist daher die Ergreifung von Maßnahmen (z. B. Gesetze) zum Schutz der Privatsphäre des Individuums.

“Gläserner Mensch”

Werden nämlich all diese elektronischen Spuren, die wir beim Einsatz der modernen Technologien hinterlassen, in riesigen Datenbanken zusammengefasst, wird jeder Staatsbürger zum gläsernen Menschen. Dies kann fatale Folgen für jeden Einzelnen von uns haben, insbesondere dann, wenn solche Datenbanken in die falschen Hände geraten.

► Ein informativer und interessanter Artikel (mit Video) dazu: „Der gläserne Mensch“

In dem Video demonstriert ein Angestellter einer Firma, wie er das Leben eines Kollegen ausspioniert – auf der Grundlage von frei verfügbaren Daten aus sozialen Netzwerken wie Facebook und Foursquare, einem Portal, in das sich der Nutzer mit seinem Smartphone einloggt, um zu sehen, ob Freunde oder gute Restaurants in der Nähe sind. …

►Speziell zu Facebook: “Was Facebook über seine Nutzer wirklich weiß”

Facebook sammelt noch viel mehr, als den meisten Internet-Nutzern bewusst ist. Der IT-Konzern weiß, wann sie schlafen, was sie löschen, welche sexuelle Orientierung sie haben. …

► Cookies: “Alles zum Thema Cookies”

Wirtschaftsunternehmen haben großes Interesse, umfassende Daten von Menschen zu bekommen, den Menschen zu durchleuchten, Profile von Menschen zu bekommen, um ihre Produkte und Dienstleistungen darauf abzustimmen und Menschen ganz gezielt mit Werbung zu “bombardieren”. Ein Profil enthält Informationen über einen Menschen: seine Kaufkraft, seine Vorlieben, seine Hobbies, seine Krankheiten …

Gläserner Bürger/gläserne Bürgerin

Der gläserne Mensch ist gläserne Bürger, wenn er vom Staat völlig durchleuchet ist und überwacht werden kann (Bankkonten, Aufenthaltsorte, Bewegungsprofile, Einkäufe, Arztbesuche, politische Ausrichtung, sexuelle Orientierung, Kommunikation, usw.).

Auch der Staat bzw. staatliche Einrichtungen haben (selbst in Demokratien) großes Interesse an Daten von Menschen. Staaten versprechen den BürgerInnen durch Überwachung Sicherheit, Sicherheit vor Verbrechen, Terror … Dabei wird oft stillschweigend entgegen von Fakten wachsende Unsicherheit postuliert, um Überwachungsmaßnahmen, die Eingriffe in die Privatsphäre sind, schmackhaft zu machen. Die Sinnhaftigkeit von Überwachungsmaßnahmen ist oft nicht erwiesen.
Für Näheres siehe den Artikel ► “Überwachungsmöglichkeiten”.

Vgl. den Artikel ” Gewaltige Fotodatenbank zeigt, wie gefährlich Gesichtserkennung ist” auf www.zeit.de

https://www.zeit.de/digital/datenschutz/2020-01/clearview-gesichtserkennung-datenschutz-privatsphaere?utm_medium=40digest.intl.carousel&utm_source=email&utm_content=&utm_campaign=campaign

Das österreichische Datenschutzgesetz

Das Datenschutzgesetz 2000 (DSG 2000) (mit Novellen bis 2015) (► Zum Gesetzestext) soll das Begehren der Datensammler, egal ob staatliche Behörden oder Private, beschränken und bildet den rechtlichen Rahmen, um unter anderem Folgendes zu regeln:

  • die Verwendung personenbezogener Daten
  • die Auskunftsrechte von Betroffenen
  • die Weitergabe von Daten
  • Bestimmungen zur Datensicherheit

Es stellt zunächst das Grundrecht auf Datenschutz fest und definiert dann, welche Art von Daten gemeint sind:

Grundrecht auf Datenschutz (§ 1)

Jeder/jede hat das Recht auf Geheimhaltung seiner/ihrer personenbezogenen Daten, um ein Privatleben haben zu können. Daten, die von jemandem allgemein verfügbar sind, gehören nicht dazu, ebenso solche, von denen nicht auf einen Betroffenen geschlossen werden kann.

Personenbezogene Daten können mit Zustimmung der Betroffenen verwendet werden, ebenso, wenn die Verwendung in einem lebenswichtigen Interesse der Betroffenen erfolgt. Staatliche Behörden sind in manchen Fällen von der Geheimhaltung ausgenommen und dürfen Daten verwenden. Es müssen besondere Gründe vorliegen.

Jeder/jede hat

  1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen und wozu sie verwendet werden;
  2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.

Gegenstand des Gesetzes sind „personenbezogene“ und „sensible Daten“

Im § 4 werden die Begriffe „Daten“/“personenbezogene Daten“ und „sensible Daten“/“besonders schutzwürdigeDaten“ definiert, um die es im Gesetz geht:

  • Personenbezogene Daten sind Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist. Indirekt personenbezogen sind Daten, wenn zwar grundsätzlich auf die Identität des Betroffenen/der Betroffenen geschlossen werden kann, dies aber für jemanden mit legalen Mitteln nicht zulässig ist.
  • Sensible Daten sind Daten natürlicher Personen „über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben“.

Die Verwendung und Weitergabe von Daten (§§ 6 bis 13)

Daten dürfen nur

  • verwendet werden, soweit sie für den Zweck einer Datenanwendung wesentlich sind, und nicht über diesen Zweck hinausgehen
  • solange in personenbezogener Form aufbewahrt werden, als dies für die Erreichung des Zwecks notwendig ist (Ausnahmen sind möglich)

Daten dürfen nur verarbeitet werden, wenn der Zweck rechtlich gedeckt ist und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzt werden.

Schutzwürdige Geheimhaltungsinteressen sind bei nicht-sensiblen Daten nicht verletzt,

  • wenn eine gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht
  • wenn der Betroffene/die Betroffene zugestimmt hat (Widerruf möglich)
  • wenn lebenswichtige Interessen des Betroffenen/der Betroffenen die Verwendung erfordern
  • oder wenn überwiegend berechtigte Interessen des Auftraggebers vorliegen.

Schutzwürdige Geheimhaltungsinteressen sind bei sensiblen Daten nicht verletzt,

  • wenn der Betroffene/die Betroffene die Daten offenkundig selbst öffentlich gemacht hat
  • wenn die Daten nur in indirekt personenbezogener Form verwendet werden
  • wenn die Daten aufgrund gesetzlicher Vorschriften notwendig sind, soweit es um wichtige öffentliche Interessen geht
  • es um Daten geht, die ausschließlich die öffentliche Funktion einer Person betreffen
  • der Betroffene/die Betroffene ihre Zustimmung gegeben hat (Widerruf möglich)
  • die Verwendung der Daten zur Wahrung lebenswichtiger Interessen des Betroffenen/der Betroffenen notwendig ist und seine/ihre Zustimmung nicht rechtzeitig einholbar ist
  • die Verwendung der Daten zur Wahrung lebenswichtiger Interessen von jemand anderem notwendig ist
  • u. m.

Mehrere §§ widmen sich Bestimmungen zur Weitergabe von Daten an Dienstleister (wenn eine staatliche Behörde eine Firma mit der Verarbeitung von Daten beauftragt) und mit den Pflichten solcher Dienstleister.

Datensicherheit und Datensicherheitsmaßnahmenn (§§ 14 und 15)

Wer immer Daten verwendet, muß dafür sorgen, dass die Daten vor Zerstörung und Verlust geschützt sind, dass sie ordnungsgemäß verwendet werden und dass sie Unbefugten nicht zugänglich sind. Zu diesen Zwecken müssen z. B. Programme, Daten und Datenträger abgesichert werden, damit Unbefugte nicht an sie herankommen. Auch muß Protokoll geführt werden, wer Daten abfragt, ändert oder übermittelt.

Auskunftsrecht der Betroffenen (§§ 26 – 29)

Wer Daten über eine Person gesammelt hat, muß dieser Person Auskunft über diese Daten geben (welche Daten, Herkunft dieser, mögliche Empfänger dieser Daten, Zweck der Datenverwendung, die Rechtsgrundlage).

Die Datenschutzkommission, die beim Bundeskanzleramt eingerichtet ist, hilft jedem Betroffenen, dessen Daten missbräuchlich verwendet wurden. Bei der Datenschutzkommission ist auch das Datenverarbeitungsregister (DVR) angesiedelt, bei dem jede Verarbeitung von personenbezogenen Daten zu melden ist.

Verwendung von Daten für pivate Zwecke (§ 45)

Für ausschließlich persönliche oder familiäre Tätigkeiten darf man Daten verarbeiten, wenn man sie von den Betroffenen bekommen hat. Für andere Zwecke darf man sie nicht verwenden (Daten des Geburtstagskindes darf man für eine Präsentation bei der Geburtstagsfeier verwenden, nicht aber für Werbezwecke weitergeben).]