Bundesliquid-Updates

Neues aus der Bundesinstanz

Einträge getaggt mit Initiative 2920

0 Anmerkungen

Annahme der Initiative 2920 'Einführung des Datenbriefes' in Thema 1598 in 'Digitales, Urheber-/Patentrecht, Datenschutz' auf Rang 1

Thema: https://lqfb.piratenpartei.de/pp/issue/show/1598.html

Die Initiative wurde auf Rang 1 angenommen

  • Zustimmung: 569
  • Enthaltung: 89
  • Ablehnung: 106

Alle Initiativen des Themas 1598:

Vorschläge der Initiative:

Abgelegt unter Bereich 1 Thema 1598 Initiative 2920 Initiative angenommen

0 Anmerkungen

Status 'Eingefroren' bei Thema 1598 in 'Digitales, Urheber-/Patentrecht, Datenschutz' mit Initiative 2920 'Einführung des Datenbriefes'

Thema: https://lqfb.piratenpartei.de/pp/issue/show/1598.html

Das Thema befindet sich jetzt in der Phase “Eingefroren”. Dies bedeutet, dass sich Antragstexte nicht mehr ändern können. Die Anträge die ausreichend Unterstützer finden, werden in der nächsten Phase abgestimmt.

Alle aktiven Initiativen des Themas 1598:

Vorschläge der Initiative:

Abgelegt unter Bereich 1 Thema 1598 Initiative 2920 Thema ist eingefroren

0 Anmerkungen

Geänderte Initiative 2920 'Einführung des Datenbriefes' in Thema 1598 in 'Digitales, Urheber-/Patentrecht, Datenschutz'

Thema: https://lqfb.piratenpartei.de/pp/issue/show/1598.html

Der Initiativtext wurde geändert.

Initiative: https://lqfb.piratenpartei.de/pp/initiative/show/2920.html

Einführung des Datenbriefes

Diskussionen zur Initiative: https://meck-pom.piratenpad.de/datenbrief

Antragstext

Firmen, Behörden und Institutionen, die personenbezogene Daten verarbeiten, übermitteln oder speichern, sollen jährlich die betroffenen Personen mit einem Datenbrief darüber informieren.

Inhalt des Datenbriefes

Der Datenbrief soll die Art der über den Betroffenen gespeicherten Daten sowie den Zweck und die rechtliche Grundlage der Speicherung vollständig auflisten. Ausnahmen bilden Daten, die nur aufgrund gesetzlicher Pflichten archiviert, jedoch nicht mehr aktiv (z.B. zur Kundenbetreuung) genutzt werden. Weiterhin soll die Weitergabe der Daten an Dritte kommuniziert und begründet werden. Dem Betroffenen muss beschrieben werden, wie die konkret über ihn gespeicherten Daten (gemäß dem in § 34 Bundesdatenschutzgesetz geregelten Auskunftsrecht) einzusehen bzw. anzufordern sind.

Versand des Datenbriefes

Der Datenbrief soll über ein vom Unternehmen zur Kommunikation übliches bekanntes Medium versandt werden, z.B. über den Postweg oder E-Mail. Der Datenbrief kann sonstiger Kommunikation im Laufe des Jahres (bspw. Rechnungen oder Werbung) beigelegt werden. Der erste Datenbrief soll unmittelbar nach der ersten Erhebung von personenbezogenen Daten versandt werden (bspw. in einer Auftragsbestätigung). Weitere Datenbrief folgen jährlich.

Opt-out-Verfahren

Der Betroffene hat die Möglichkeit, dem Versand des Datenbriefes zu widersprechen.

Umsetzung

Der Datenbrief soll durch eine Änderung des Bundesdatenschutzgesetzes eingeführt werden. Die Kontrolle obliegt der Aufsichtsbehörde nach § 38 Bundesdatenschutzgesetz. Die Kapazitäten der Aufsichtsbehörden müssen entsprechend erhöht werden.
 

Begründung

Mitteilungspflicht statt Auskunftsrecht

Das in § 19 und § 34 Bundesdatenschutzgesetz geregelte Auskunftsrecht erlaubt zwar die Einholung von Informationen über gespeicherte Daten. Allerdings setzt es z.B. in § 34 Absatz 1 Satz 2 voraus: “Der Betroffene soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen.”. Da Daten jedoch leicht erhoben, kombiniert und Dritten zur Verfügung gestellt werden können, ist für den Betroffenen schwer nachvollziehbar, wer alles welche personenbezogene Daten über ihn speichert. Somit stellt der Datenbrief einen Paradigmenwechsel dar und stärkt die informationelle Selbstbestimmung der Betroffenen.

Kosten der informationellen Selbstbestimmung

Selbstverständlich bedeutet der Versand des Datenbriefes für die speichernde Stelle erhöhten Verwaltungsaufwand und damit verbundene Kosten. Das Ziel des Datenbriefes ist die Resensibilisierung der Behörden und Firmen auf die evtl. negativen Aspekte der Datenspeicherung. Durch die gesteigerten Kosten wird es unattraktiv, personenbezogene Daten dauerhaft zu speichern, zu verknüpfen oder weiterzugeben. Daher ist ein Umdenken in Richtung sparsamer und kurzfristigerer Datenspeicherung zu erwarten. Diesen Kosten der speichernden Stellen steht der Nutzen der Gesellschaft gegenüber, deren Bürger erstmals vollständig nachvollziehen können, wer welche Daten über sie speichert. Nur so erhalten die Bürger die Möglichkeit, die Rechtmäßigkeit der Speicherung sowie die Richtigkeit der Daten zu überprüfen. Diese Punkte sind in einer Gesellschaft, in der Daten ein Handelsgut sind, von dem kritische Entscheidungen (bspw. Scoring) abhängen, von imenser Wichtigkeit.

Disclaimer

Die Idee des Datenbriefes ist zuletzt vom Chaos Computer Club (CCC) in die Diskussion gebracht worden. Dieser Antrag ist sehr stark an die Beschreibung des CCC angelehnt. Einen Überblick über das Thema liefert auch Wikipedia.

Feedback und Anregungen

Der Blogartikel „Die Rückkehr der Datenleichen“ und seine Kommentare befassen sich sehr kritisch mit dem Datenbrief. Ich habe versucht, die angegebenen Argumente zusammenzufassen und zu entkräften.

Zu den Anregungen: Ich habe weiterhin den Antragstext zur Differenzierung zwischen aktiven und passiven Daten und den Hinweis auf „übliche Kommunikationsmedien“ ergänzt. Weiterhin Thematisiert der Punkt „Fehlende Konkretisierungen“ den Detaillierungsgrad des Antrages. Über Feedback im Pad würde ich mich sehr freuen.

Datenleichen

  • Kritik: Es wird mehrfach kritisiert, dass „Datenleichen“ aus dem Keller geholt werden und plakativ Witwen noch 10 Jahre nach dem Tod ihres Ehemannes mit dessen Bestellverhalten bei Amazon konfrontiert werden.
  • Lösung: Es wird nur über Daten, die aktiv genutzt werden, informiert. Ausgenommen sind damit jene Daten, die nur aufgrund von gesetzlichen Aufbewahrungszwängen und -fristen gespeichert sind, jedoch nicht aktiv zur Kundenbetreuung genutzt werden.

Fehladressierung

  • Kritik: Wenn Partner/Kollege/Sekretärin den Datenbrief annimmt und öffnet, werden personenbezogene Daten bekannt. Durch veraltete Adressen können weiterhin andere Unbeteiligte an Datenbriefe gelangen.
  • Lösung: Die Zustimmung, persönliche Post zu öffnen ist stets ein Risiko und kann durch ein Gesetz nicht ausgeräumt werden. Für Fehladressierung gibt es Möglichkeiten wie Nachsendeaufträge oder E-Mail-Umleitungen. Durch die geforderte Jahresfrist der Datenbriefe ist dies auch nur zeitlich begrenzt notwendig. Weiterhin gilt auch bei Fehladressierung das Briefgeheimnis. Mehr dazu, siehe „Datenübertragung“.

Sensible Daten

  • Kritik: Die Übertragung von sensiblen Daten wie Kreditkarteninformationen oder Patientenakten bringt mehr Risiken als Nutzen.
  • Lösung: Die konkreten Daten („Kreditkartennummer 12345“) werden nicht übertragen, sondern es wird nur eine Auflistung der Daten („Kreditkartennummer“, „Kreditinstitut“) übertragen. Der Datenbrief hebelt auch nicht die ärztliche Schweigepflicht o.ä. aus. Denkbar wären bei solchen Daten bspw. eine persönliche Abholung einer Kopie der gespeicherten Daten oder eine Einsicht in die Akten vor Ort.
  • Kritik: Ein Datenbrief von einem Pornoanbieter oder Beratungsstellen kann auch ohne bekannten Inhalt Probleme bringen.
  • Lösung: Gerade solche Stellen sollten sich der Sensibilität ihrer Daten bewusst sein und sich die Frage stellen, ob sie tatsächlich aktive Kundendaten pflegen wollen. Gerade hier kann zugesicherte Anonymität („Wir speichern nicht, garantiert!“) ein Wettbewerbsvorteil sein. Übermäßige Speicherung von Daten soll durch den Datenbrief sichtbar gemacht werden und sollte nicht als gegeben hingenommen und daher als Gegenargument angeführt werden. Siehe auch: „Fehladressierung“.

Datenübertragung

  • Kritik: Wenn Daten vollständig übertragen werden, besteht das Risiko, dass die Daten in falsche Hände geraten.
  • Lösung: Wie in „Sensible Daten“ beschrieben, sollen die Daten nicht selbst, sondern nur ihre Art übertragen werden.
  • Kritik: Wie das Experiment von Malte Spitz zeigt, können Verbindungsdaten genauso aussagekräftig sein wie Inhaltsdaten.
  • Lösung: Es gibt das Briefgeheimnis, das bisher auch sicherstellte, dass Kontoauszüge, Schufa-Auskünfte, Arbeitsverträge etc. auf dem Postweg übermittelt werden. Auch E-Mails unterliegen dem Briefgeheimnis, und auch Geschäfte im E-Commerce lassen sich seit Jahren realisieren. Der Vorschlag des Datenbriefes hat nicht den Anspruch, die mangelnde Verbreitung von Verschlüsselungstechnologien oder anderen technischen Maßnahmen voranzutreiben.

Brief-Flut

  • Kritik: Die Konfrontation von Dutzenden oder gar Hunderten von Datenbriefen führt nicht zu einem erhöhten Sicherheitsempfinden, sondern eher zur Verunsicherung.
  • Lösung: Der Antrag erwähnt eine Opt-out-Möglichkeit. Weiterhin ist gerade die Konfrontation eine Möglichkeit klarzustellen, wie stark Datenhandel und Speicherwut zu einem gläsernen Kunden geführt hat, dessen Leben durch Scoring-Werte für ihn schwer nachvollziehbar beeinträchtigt wird.
  • Kritik: Viele Haushalte verfügen über keinen Shredder, um die zu erwartende Flut an sensiblen Daten zu vernichten.
  • Lösung: Dies ist ein soziales Problem, dass schon jetzt besteht. Das Vernichten von sensiblen Dokumenten (z.B. Kontoauszügen, Rechnungen) sollte ohnehin zum Alltag gehören.

Postversand

  • Kritik: Viele Anbieter müssten noch die postalische Adresse speichern. Weiterhin ist der Briefversand mit enormen Kosten versehen.
  • Lösung: Zum einen spricht der Antrag von der Übertragung durch ein „vom Unternehmen zur Kommunikation bekanntes Medium“. Demnach ist auch eine Übertragung per E-Mail oder Fax möglich. Weiterhin kann der Datenbrief einer ohnehin stattfindenden Kommunikation (Bestellbestätigung oder Werbung) beigelegt werden. Selbstverständlich kommen auf den Versender zusätzliche Kosten durch die Vorbereitung der Datenbriefe auf, die jedoch nicht den Nutzen der Aufklärung des Kunden überwiegen.

Externe Dienste / Zentralisierung

  • Kritik: Viele Firmen werden die Versendung von Datenbriefen durch externen Dienstleistungsunternehmen realisieren. Dadurch entsteht eine gefährliche Zentralisierung von personenbezogenen Daten.
  • Lösung: Zum wird bei diesem Argument stets angenommen, dass der Datenbrief nur auf dem Postweg versandt wird - eine Übermittlung per E-Mail oder als Beilage zu ohnehin stattfindender Kommunikation ist möglich (siehe „Postversand“). Weiterhin ist eine Informationspflicht bei Weitergabe von personenbezogenen Daten enthalten, d.h. die Nutzung von externen Dienstleistern wird dem Betroffenen transparent gemacht. Zuletzt ist das Outsourcing von Dienstleistungen wie Rechnungswesen bereits heute sehr verbreitet und sollte kein Argument gegen den Datenbrief sein.

Problem der Weitergabe vor Geschäftsaufgabe

  • Kritik: Die jährliche Informationspflicht kann durch Scheinfirmen umgangen werden. Weiterhin ist die Verschickung von Datenbriefen im Falle einer Insolvenz nicht bezahlbar.
  • Lösung: Der Antrag fordert konkret, dass die Weitergabe von personenbezogenen Daten angegeben werden muss. Falls bei Insolvenz nicht weiterverkauft werden, ist auch kein letzter Datenbrief notwendig, da die Daten gelöscht werden können.

Fehlende Konkretisierungen

  • Kritik: Es fehlt eine zentrale Festlegung, wie genau der geforderte Datenschutz umgesetzt werden soll.
  • Lösung: Der Datenbrief soll gerade nicht die genaue Umsetzung (Speicherfristen, Datensparsamkeit, …) vorgeben, sondern hat mit der Mitteilungspflicht eine einzige Forderung, die den Unternehmen dennoch viel Spielraum bei der Umsetzung lässt.

Einheitliche Schnittstelle (API) statt Übertragung

  • Anregung: Anstatt Daten zu übertragen soll eine einheitliche Schnittstelle (API) implementiert werden, über die Kunden jederzeit die zu ihrer Person gespeicherten Daten abfragen können. Dieses Modell begnügt sich mit dem einmaligen Versenden von Zugangsdaten für die jeweilige Schnittstelle, räumt damit die meisten Bedenken aus und bewirkt doch die angestrebten Anreize beim Erheber.
  • Kommentar: Dies ist eine mögliche Umsetzung für den Datenbrief. Allerdings ist dieses Verfahren nur für Bürger mit Internetanschluss sowie Firmen, die auch eine E-Mail-Adresse erheben, praktikabel. Bei Fällen, in denen nur eine Anschrift gespeichert ist, muss der Datenbrief weiterhin postalisch versandt werden ohne zusätzliche Daten zu erheben.

Pseudonymisierung und Anonymisierung

  • Anregung: Auch Pseudonymisierungsschritte und Anonymisierungsschritte sollten informationspflichtig werden, da sonst die weitere Verarbeitung von Daten intransparent wird.
  • Kommentar: Diese Entscheidung hängt an der Definition von personenbezogenen Daten. Sollten pseudonymisierte oder anonymisierte Daten unter § 3 Absatz 1 Bundesdatenschutzgesetz fallen, sind sie selbstverständlich zu melden.

Alle aktiven Initiativen des Themas 1598:

Vorschläge der Initiative:

Abgelegt unter Bereich 1 Thema 1598 Initiative 2920 geänderte Initiative

0 Anmerkungen

Vorschlag 'Permanenter Zugang über einheitliche Schnittstelle statt Zusendung' für Initiative 2920 'Einführung des Datenbriefes' in Thema 1598 in 'Digitales, Urheber-/Patentrecht, Datenschutz'

Thema: https://lqfb.piratenpartei.de/pp/issue/show/1598.html

Vorschlag: https://lqfb.piratenpartei.de/pp/suggestion/show/5781.html

Permanenter Zugang über einheitliche Schnittstelle statt Zusendung

Anstatt zusätzliches Verkehren der erhobenen Daten zu fordern,
müssen die Erheber eine einheitliche Schnittstelle (API) implementieren, über die Kunden jederzeit die zu ihrer Person gespeicherten Daten abfragen können.
Dieses Modell begnügt sich mit dem einmaligen Versenden von Zugangsdaten für die jeweilige Schnittstelle, räumt damit die meisten Bedenken aus und bewirkt doch die angestrebten Anreize beim Erheber.

Alle aktiven Initiativen des Themas 1598:

Vorschläge der Initiative:

Abgelegt unter Bereich 1 Thema 1598 Initiative 2920 Vorschlag

0 Anmerkungen

Status 'Diskussion' bei Thema 1598 in 'Digitales, Urheber-/Patentrecht, Datenschutz' mit Initiative 2920 'Einführung des Datenbriefes'

Thema: https://lqfb.piratenpartei.de/pp/issue/show/1598.html

Das Thema befindet sich jetzt in der Phase “Diskussion”. Dies bedeutet, dass sich Antragstexte noch ändern können.

Alle aktiven Initiativen des Themas 1598:

Vorschläge der Initiative:

Abgelegt unter Bereich 1 Thema 1598 Initiative 2920 Thema in Diskussion

0 Anmerkungen

Geänderte Initiative 2920 'Einführung des Datenbriefes' in Thema 1598 in 'Digitales, Urheber-/Patentrecht, Datenschutz'

Thema: https://lqfb.piratenpartei.de/pp/issue/show/1598.html

Der Initiativtext wurde geändert.

Initiative: https://lqfb.piratenpartei.de/pp/initiative/show/2920.html

Einführung des Datenbriefes

Diskussionen zur Initiative: https://meck-pom.piratenpad.de/datenbrief

Antragstext

Firmen, Behörden und Institutionen, die personenbezogene Daten verarbeiten, übermitteln oder speichern, sollen jährlich die betroffenen Personen mit einem Datenbrief darüber informieren.

Inhalt des Datenbriefes

Der Datenbrief soll die Art der über den Betroffenen gespeicherten Daten sowie den Zweck und die rechtliche Grundlage der Speicherung vollständig auflisten. Ausnahmen bilden Daten, die nur aufgrund gesetzlicher Pflichten archiviert, jedoch nicht mehr aktiv (z.B. zur Kundenbetreuung) genutzt werden. Weiterhin soll die Weitergabe der Daten an Dritte kommuniziert und begründet werden. Dem Betroffenen muss beschrieben werden, wie die konkret über ihn gespeicherten Daten (gemäß dem in § 34 Bundesdatenschutzgesetz geregelten Auskunftsrecht) einzusehen bzw. anzufordern sind.

Versand des Datenbriefes

Der Datenbrief soll über ein vom Unternehmen zur Kommunikation übliches bekanntes Medium versandt werden, z.B. über den Postweg oder E-Mail. Der Datenbrief kann sonstiger Kommunikation im Laufe des Jahres (bspw. Rechnungen oder Werbung) beigelegt werden. Der erste Datenbrief soll unmittelbar nach der ersten Erhebung von personenbezogenen Daten versandt werden (bspw. in einer Auftragsbestätigung). Weitere Datenbrief folgen jährlich.

Opt-out-Verfahren

Der Betroffene hat die Möglichkeit, dem Versand des Datenbriefes zu widersprechen.

Umsetzung

Der Datenbrief soll durch eine Änderung des Bundesdatenschutzgesetzes eingeführt werden. Die Kontrolle obliegt der Aufsichtsbehörde nach § 38 Bundesdatenschutzgesetz. Die Kapazitäten der Aufsichtsbehörden müssen entsprechend erhöht werden.
 

Begründung

Mitteilungspflicht statt Auskunftsrecht

Das in § 19 und § 34 Bundesdatenschutzgesetz geregelte Auskunftsrecht erlaubt zwar die Einholung von Informationen über gespeicherte Daten. Allerdings setzt es z.B. in § 34 Absatz 1 Satz 2 voraus: “Der Betroffene soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen.”. Da Daten jedoch leicht erhoben, kombiniert und Dritten zur Verfügung gestellt werden können, ist für den Betroffenen schwer nachvollziehbar, wer alles welche personenbezogene Daten über ihn speichert. Somit stellt der Datenbrief einen Paradigmenwechsel dar und stärkt die informationelle Selbstbestimmung der Betroffenen.

Kosten der informationellen Selbstbestimmung

Selbstverständlich bedeutet der Versand des Datenbriefes für die speichernde Stelle erhöhten Verwaltungsaufwand und damit verbundene Kosten. Das Ziel des Datenbriefes ist die Resensibilisierung der Behörden und Firmen auf die evtl. negativen Aspekte der Datenspeicherung. Durch die gesteigerten Kosten wird es unattraktiv, personenbezogene Daten dauerhaft zu speichern, zu verknüpfen oder weiterzugeben. Daher ist ein Umdenken in Richtung sparsamer und kurzfristigerer Datenspeicherung zu erwarten. Diesen Kosten der speichernden Stellen steht der Nutzen der Gesellschaft gegenüber, deren Bürger erstmals vollständig nachvollziehen können, wer welche Daten über sie speichert. Nur so erhalten die Bürger die Möglichkeit, die Rechtmäßigkeit der Speicherung sowie die Richtigkeit der Daten zu überprüfen. Diese Punkte sind in einer Gesellschaft, in der Daten ein Handelsgut sind, von dem kritische Entscheidungen (bspw. Scoring) abhängen, von imenser Wichtigkeit.

Disclaimer

Die Idee des Datenbriefes ist zuletzt vom Chaos Computer Club (CCC) in die Diskussion gebracht worden. Dieser Antrag ist sehr stark an die Beschreibung des CCC angelehnt. Einen Überblick über das Thema liefert auch Wikipedia.

Feedback und Anregungen

Der Blogartikel „Die Rückkehr der Datenleichen“ und seine Kommentare befassen sich sehr kritisch mit dem Datenbrief. Ich habe versucht, die angegebenen Argumente zusammenzufassen und zu entkräften.

Zu den Anregungen: Ich habe weiterhin den Antragstext zur Differenzierung zwischen aktiven und passiven Daten und den Hinweis auf „übliche Kommunikationsmedien“ ergänzt. Weiterhin Thematisiert der Punkt „Fehlende Konkretisierungen“ den Detaillierungsgrad des Antrages. Über Feedback im Pad würde ich mich sehr freuen.

Datenleichen

  • Kritik: Es wird mehrfach kritisiert, dass „Datenleichen“ aus dem Keller geholt werden und plakativ Witwen noch 10 Jahre nach dem Tod ihres Ehemannes mit dessen Bestellverhalten bei Amazon konfrontiert werden.
  • Lösung: Es wird nur über Daten, die aktiv genutzt werden, informiert. Ausgenommen sind damit jene Daten, die nur aufgrund von gesetzlichen Aufbewahrungszwängen und -fristen gespeichert sind, jedoch nicht aktiv zur Kundenbetreuung genutzt werden.

Fehladressierung

  • Kritik: Wenn Partner/Kollege/Sekretärin den Datenbrief annimmt und öffnet, werden personenbezogene Daten bekannt. Durch veraltete Adressen können weiterhin andere Unbeteiligte an Datenbriefe gelangen.
  • Lösung: Die Zustimmung, persönliche Post zu öffnen ist stets ein Risiko und kann durch ein Gesetz nicht ausgeräumt werden. Für Fehladressierung gibt es Möglichkeiten wie Nachsendeaufträge oder E-Mail-Umleitungen. Durch die geforderte Jahresfrist der Datenbriefe ist dies auch nur zeitlich begrenzt notwendig. Weiterhin gilt auch bei Fehladressierung das Briefgeheimnis. Mehr dazu, siehe „Datenübertragung“.

Sensible Daten

  • Kritik: Die Übertragung von sensiblen Daten wie Kreditkarteninformationen oder Patientenakten bringt mehr Risiken als Nutzen.
  • Lösung: Die konkreten Daten („Kreditkartennummer 12345“) werden nicht übertragen, sondern es wird nur eine Auflistung der Daten („Kreditkartennummer“, „Kreditinstitut“) übertragen. Der Datenbrief hebelt auch nicht die ärztliche Schweigepflicht o.ä. aus. Denkbar wären bei solchen Daten bspw. eine persönliche Abholung einer Kopie der gespeicherten Daten oder eine Einsicht in die Akten vor Ort.
  • Kritik: Ein Datenbrief von einem Pornoanbieter oder Beratungsstellen kann auch ohne bekannten Inhalt Probleme bringen.
  • Lösung: Gerade solche Stellen sollten sich der Sensibilität ihrer Daten bewusst sein und sich die Frage stellen, ob sie tatsächlich aktive Kundendaten pflegen wollen. Gerade hier kann zugesicherte Anonymität („Wir speichern nicht, garantiert!“) ein Wettbewerbsvorteil sein. Übermäßige Speicherung von Daten soll durch den Datenbrief sichtbar gemacht werden und sollte nicht als gegeben hingenommen und daher als Gegenargument angeführt werden. Siehe auch: „Fehladressierung“.

Datenübertragung

  • Kritik: Wenn Daten vollständig übertragen werden, besteht das Risiko, dass die Daten in falsche Hände geraten.
  • Lösung: Wie in „Sensible Daten“ beschrieben, sollen die Daten nicht selbst, sondern nur ihre Art übertragen werden.
  • Kritik: Wie das Experiment von Malte Spitz zeigt, können Verbindungsdaten genauso aussagekräftig sein wie Inhaltsdaten.
  • Lösung: Es gibt das Briefgeheimnis, das bisher auch sicherstellte, dass Kontoauszüge, Schufa-Auskünfte, Arbeitsverträge etc. auf dem Postweg übermittelt werden. Auch E-Mails unterliegen dem Briefgeheimnis, und auch Geschäfte im E-Commerce lassen sich seit Jahren realisieren. Der Vorschlag des Datenbriefes hat nicht den Anspruch, die mangelnde Verbreitung von Verschlüsselungstechnologien oder anderen technischen Maßnahmen voranzutreiben.

Brief-Flut

  • Kritik: Die Konfrontation von Dutzenden oder gar Hunderten von Datenbriefen führt nicht zu einem erhöhten Sicherheitsempfinden, sondern eher zur Verunsicherung.
  • Lösung: Der Antrag erwähnt eine Opt-out-Möglichkeit. Weiterhin ist gerade die Konfrontation eine Möglichkeit klarzustellen, wie stark Datenhandel und Speicherwut zu einem gläsernen Kunden geführt hat, dessen Leben durch Scoring-Werte für ihn schwer nachvollziehbar beeinträchtigt wird.
  • Kritik: Viele Haushalte verfügen über keinen Shredder, um die zu erwartende Flut an sensiblen Daten zu vernichten.
  • Lösung: Dies ist ein soziales Problem, dass schon jetzt besteht. Das Vernichten von sensiblen Dokumenten (z.B. Kontoauszügen, Rechnungen) sollte ohnehin zum Alltag gehören.

Postversand

  • Kritik: Viele Anbieter müssten noch die postalische Adresse speichern. Weiterhin ist der Briefversand mit enormen Kosten versehen.
  • Lösung: Zum einen spricht der Antrag von der Übertragung durch ein „vom Unternehmen zur Kommunikation bekanntes Medium“. Demnach ist auch eine Übertragung per E-Mail oder Fax möglich. Weiterhin kann der Datenbrief einer ohnehin stattfindenden Kommunikation (Bestellbestätigung oder Werbung) beigelegt werden. Selbstverständlich kommen auf den Versender zusätzliche Kosten durch die Vorbereitung der Datenbriefe auf, die jedoch nicht den Nutzen der Aufklärung des Kunden überwiegen.

Externe Dienste / Zentralisierung

  • Kritik: Viele Firmen werden die Versendung von Datenbriefen durch externen Dienstleistungsunternehmen realisieren. Dadurch entsteht eine gefährliche Zentralisierung von personenbezogenen Daten.
  • Lösung: Zum wird bei diesem Argument stets angenommen, dass der Datenbrief nur auf dem Postweg versandt wird - eine Übermittlung per E-Mail oder als Beilage zu ohnehin stattfindender Kommunikation ist möglich (siehe „Postversand“). Weiterhin ist eine Informationspflicht bei Weitergabe von personenbezogenen Daten enthalten, d.h. die Nutzung von externen Dienstleistern wird dem Betroffenen transparent gemacht. Zuletzt ist das Outsourcing von Dienstleistungen wie Rechnungswesen bereits heute sehr verbreitet und sollte kein Argument gegen den Datenbrief sein.

Problem der Weitergabe vor Geschäftsaufgabe

  • Kritik: Die jährliche Informationspflicht kann durch Scheinfirmen umgangen werden. Weiterhin ist die Verschickung von Datenbriefen im Falle einer Insolvenz nicht bezahlbar.
  • Lösung: Der Antrag fordert konkret, dass die Weitergabe von personenbezogenen Daten angegeben werden muss. Falls bei Insolvenz nicht weiterverkauft werden, ist auch kein letzter Datenbrief notwendig, da die Daten gelöscht werden können.

Fehlende Konkretisierungen

  • Kritik: Es fehlt eine zentrale Festlegung, wie genau der geforderte Datenschutz umgesetzt werden soll.
  • Lösung: Der Datenbrief soll gerade nicht die genaue Umsetzung (Speicherfristen, Datensparsamkeit, …) vorgeben, sondern hat mit der Mitteilungspflicht eine einzige Forderung, die den Unternehmen dennoch viel Spielraum bei der Umsetzung lässt.

Alle aktiven Initiativen des Themas 1598:

Vorschläge der Initiative:

Abgelegt unter Bereich 1 Thema 1598 Initiative 2920 geänderte Initiative

0 Anmerkungen

Vorschlag 'Alle Daten, nicht nur aktiv genutzte' für Initiative 2920 'Einführung des Datenbriefes' in Thema 1598 in 'Digitales, Urheber-/Patentrecht, Datenschutz'

Thema: https://lqfb.piratenpartei.de/pp/issue/show/1598.html

Vorschlag: https://lqfb.piratenpartei.de/pp/suggestion/show/5685.html

Alle Daten, nicht nur aktiv genutzte

Alle gespeicherten Daten sollten darin enthalten sein, nicht nur aktiv genutzte.
Wer weiß, ob eine Firma z.B. nicht nur sagt, dass sie diese Daten nicht mehr aktiv nutzt, und es sich dann angeblich erst später wieder anders überlegt?

Alle aktiven Initiativen des Themas 1598:

Vorschläge der Initiative:

Abgelegt unter Bereich 1 Thema 1598 Initiative 2920 Vorschlag

0 Anmerkungen

Vorschlag 'Inhalt konkretisieren' für Initiative 2920 'Einführung des Datenbriefes' in Thema 1598 in 'Digitales, Urheber-/Patentrecht, Datenschutz'

Thema: https://lqfb.piratenpartei.de/pp/issue/show/1598.html

Vorschlag: https://lqfb.piratenpartei.de/pp/suggestion/show/5677.html

Inhalt konkretisieren

“Ausnahmen bilden Daten, die nur aufgrund gesetzlicher Pflichten archiviert, jedoch nicht mehr aktiv genutzt werden.”

Und schon kann sich jedes Unternehmen herausreden; ich meine: Beleg das mal.
Gegenvorschlag: Klar benennen, welche Daten auf jeden Fall aufgeführt werden MÜSSEN; E-Mail-Adressen etwa?

Alle aktiven Initiativen des Themas 1598:

Vorschläge der Initiative:

Abgelegt unter Bereich 1 Thema 1598 Initiative 2920 Vorschlag

0 Anmerkungen

(T1598/I2920) 'Einführung des Datenbriefes' - 'Digitales, Urheber-/Patentrecht, Datenschutz'

Thema: https://lqfb.piratenpartei.de/pp/issue/show/1598.html

Ein neues Thema wurde angelegt.

Initiative: https://lqfb.piratenpartei.de/pp/initiative/show/2920.html

Einführung des Datenbriefes

Diskussionen zur Initiative: https://meck-pom.piratenpad.de/datenbrief

Antragstext

Firmen, Behörden und Institutionen, die personenbezogene Daten verarbeiten, übermitteln oder speichern, sollen jährlich die betroffenen Personen mit einem Datenbrief darüber informieren.

Inhalt des Datenbriefes

Der Datenbrief soll die Art der über den Betroffenen gespeicherten Daten sowie den Zweck und die rechtliche Grundlage der Speicherung vollständig auflisten. Ausnahmen bilden Daten, die nur aufgrund gesetzlicher Pflichten archiviert, jedoch nicht mehr aktiv genutzt werden. Weiterhin soll die Weitergabe der Daten an Dritte kommuniziert und begründet werden. Dem Betroffenen muss beschrieben werden, wie die konkret über ihn gespeicherten Daten (gemäß dem in § 34 Bundesdatenschutzgesetz geregelten Auskunftsrecht) einzusehen bzw. anzufordern sind.

Versand des Datenbriefes

Der Datenbrief soll über ein vom Unternehmen zur Kommunikation bekanntes Medium versandt werden, z.B. über den Postweg oder E-Mail. Der Datenbrief kann sonstiger Kommunikation im Laufe des Jahres (bspw. Rechnungen oder Werbung) beigelegt werden. Der erste Datenbrief soll unmittelbar nach der ersten Erhebung von personenbezogenen Daten versandt werden (bspw. in einer Auftragsbestätigung). Weitere Datenbrief folgen jährlich.

Opt-out-Verfahren

Der Betroffene hat die Möglichkeit, dem Versand des Datenbriefes zu widersprechen.

Umsetzung

Der Datenbrief soll durch eine Änderung des Bundesdatenschutzgesetzes eingeführt werden. Die Kontrolle obliegt der Aufsichtsbehörde nach § 38 Bundesdatenschutzgesetz. Die Kapazitäten der Aufsichtsbehörden müssen entsprechend erhöht werden.
 

Begründung

Mitteilungspflicht statt Auskunftsrecht

Das in § 19 und § 34 Bundesdatenschutzgesetz geregelte Auskunftsrecht erlaubt zwar die Einholung von Informationen über gespeicherte Daten. Allerdings setzt es z.B. in § 34 Absatz 1 Satz 2 voraus: “Der Betroffene soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen.”. Da Daten jedoch leicht erhoben, kombiniert und Dritten zur Verfügung gestellt werden können, ist für den Betroffenen schwer nachvollziehbar, wer alles welche personenbezogene Daten über ihn speichert. Somit stellt der Datenbrief einen Paradigmenwechsel dar und stärkt die informationelle Selbstbestimmung der Betroffenen.

Kosten der informationellen Selbstbestimmung

Selbstverständlich bedeutet der Versand des Datenbriefes für die speichernde Stelle erhöhten Verwaltungsaufwand und damit verbundene Kosten. Das Ziel des Datenbriefes ist die Resensibilisierung der Behörden und Firmen auf die evtl. negativen Aspekte der Datenspeicherung. Durch die gesteigerten Kosten wird es unattraktiv, personenbezogene Daten dauerhaft zu speichern, zu verknüpfen oder weiterzugeben. Daher ist ein Umdenken in Richtung sparsamer und kurzfristigerer Datenspeicherung zu erwarten. Diesen Kosten der speichernden Stellen steht der Nutzen der Gesellschaft gegenüber, deren Bürger erstmals vollständig nachvollziehen können, wer welche Daten über sie speichert. Nur so erhalten die Bürger die Möglichkeit, die Rechtmäßigkeit der Speicherung sowie die Richtigkeit der Daten zu überprüfen. Diese Punkte sind in einer Gesellschaft, in der Daten ein Handelsgut sind, von dem kritische Entscheidungen (bspw. Scoring) abhängen, von imenser Wichtigkeit.

Disclaimer

Die Idee des Datenbriefes ist zuletzt vom Chaos Computer Club (CCC) in die Diskussion gebracht worden. Dieser Antrag ist sehr stark an die Beschreibung des CCC angelehnt. Einen Überblick über das Thema liefert auch Wikipedia.

Alle aktiven Initiativen des Themas 1598:

Es gibt keine Vorschläge für diese Initiative.

    Abgelegt unter Bereich 1 Thema 1598 Initiative 2920 neues Thema