Datenschutz über die Grenzen hinweg?

Im Moment kulminieren da gerade ein paar ganz gruselige Dinge, was den Umgang mit unseren (!) Daten im Ausland angeht.

Da kam vor ein paar Tagen eine ganz hervorragende Dokumentation des SWR von Erich Schütz und Detlev Koßmann unter dem Titel “Wo sind meine Daten- Wie wir weltweit ausspioniert werden”. Die sind mal ein paar Firmen, unter anderem Payback nachgegangen um zu erfahren, wo eigentlich die Daten von uns landen. Die Daten landen aber in irgendwelchen Billiglohn-Ländern in Fernost, die sich um unsere Datenschutzrechte nicht scheren. Schade, daß ich für die Sendung keinen offiziellen URL zum Download angeben kann, ich blicke bei der ARD Mediathek noch nicht durch.

Da kommt schon die nächste Schlagzeile: Datenschützer sorgen sich um deutsche YouTube-Nutzer. Es scheint da ein ganz ernstes Problem mit Datensammlungen zu geben, und tatsächlich ist es so, daß man etwa in den USA oder Südostasien (jedenfalls meines Wissens) überhaupt keine Auskunftsansprüche hat, die können speichern, wie und was sie wollen. Gnade uns vor IPv6 und permanenten IP-Adressen.

Mehrfach gelesen habe ich in letzter Zeit, nur gerade den URL nicht mehr zur Hand, daß aufgrund dubioser Abkommen die USA auf immer mehr Daten von uns zugreifen dürfen, also etwa jeden Flugpassagier oder jeden, der mal telefoniert, komplett durchleuchten können. Und was passiert dann mit den Daten? Siehe “Promisurfen im US-Außenministerium”. Dann kommt man auf irgendwelche schwarzen Listen und weiß nicht mal, warum oder wie man sich dagegen wehrt. Plötzlich steht man am Flughafen und kommt nicht mehr rein (oder noch schlimmer, nicht mehr raus). Und hat nicht die leiseste Ahnung warum und keine Chance, das herauszufinden.

Und natürlich werden Personenprofile inzwischen weltweit gehandelt. Ein Recht auf Einsicht, Information, Korrektur, Löschung gibt es nicht.

Wie geht man damit um?

Ich habe vor einiger Zeit mal in einem Sicherheitsvortrag für die ENISA den Vorschlag gemacht, für Europa eine Erweiterung der SSL-Zertifikate vorzunehmen, die zu jeder Website eindeutig angibt, unter welchem Recht der Inhaber firmiert, ob man es beispielsweise mit einem Händler in Deutschland oder auf den Philippinen zu tun hat. Das wäre natürlich auch wichtig für die Frage, welchem Datenschutzrecht jemand unterliegt.

Vor ein paar Jahren habe ich mir in Frankfurt mal den Vortrag des damaligen Sonderbotschafters David Aaron angehört, der damals dafür warb, daß sich die EU datenschutzrechtlich nicht von den USA abkapselt, weil die EU Datentransfers in Länder mit niedrigerem Datenschutzniveau unterbinden wollte (z. B. Fluggastdaten). Er hat damals das Konzept des “safe harbour” vorgestellt. Rückblickend ist davon gar nichts übrig geblieben.