OECD verabschiedet Regeln für Datenzugriffe durch Geheimdienste
Staatlichen Datenzugriffe, insbesondere durch Geheimdienste, müssen legitimen Zwecken dienen. Das haben die OECD-Mitgliedsländer und die EU verabschiedet.
(Bild: vchal/Shutterstock.com)
Die 38 OECD-Mitgliedsländer und die EU haben auf Gran Canaria eine gemeinsame Erklärung über den Zugriff von Strafverfolgern und Geheimdiensten auf von privaten Anbietern gehaltene persönliche Daten verabschiedet. Gemeinsame Grundsätze für diese Zugriffe sollen die Datenflüsse innerhalb der demokratischen Welt nicht behindern.
Ohne internationale Datenströme geht nichts in der digitalen Welt, egal ob Social Media Nutzung, internationaler Handel oder Zusammenarbeit in Gesundheitsfragen. Ohne eine Verständigung auf gemeinsame Prinzipien und Garantien gebe es aber erhebliche Datenschutzbedenken, besonders in so sensitiven Bereichen wie der nationalen Sicherheit, sagte der Generalsekretär der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD), Mathias Cormann, beim Treffen der Digital- und Wirtschaftsminister. "Historisch", nannte Susanna Storey, Director General for Digital and Media Policy in the Department for Digital, Culture, Media and Sport, die Erklärung.
Das Thema Geheimdienstzugriffe war in den früheren Datenschutzempfehlungen der OECD stets ausgeklammert worden. Corman bezeichnete die in den vergangenen zwei Jahren von einem Expertengremium der Mitgliedsstaaten ausgehandelte Erklärung als Meilenstein.
Sieben Prinzipien
Die vereinbarten Grundsätze umfassen klare Rechtsgrundlagen der OECD-Mitglieder. Die staatlichen Zugriffe, insbesondere die durch die Geheimdienste, müssen legitimen Zwecken dienen und sollen notwendig, verhältnismäßig und angemessen sein, so die Übereinkunft.
Allerdings kann laut drittem Grundsatz für geheimhaltungsbedürftige Zugriffe – je nach Eingriffstiefe – auf eine Vorabgenehmigung durch Richter oder unabhängige Stellen verzichtet werden, heißt es. Ausnahmen von der Genehmigungspflicht müssten rechtlich definiert, zeitlich begrenzt und einer Missbrauchsaufsicht unterworfen sein.
Weitere Garantien gelten für die Absicherung der gesammelten Daten gegen nicht berechtigte Zugriffe und die Sicherheit der Datenhaltung insgesamt. In der Erklärung werden auch allgemeine Speicherfristen gefordert. Was eine adäquate Speicherfrist ist, wird allerdings den Mitgliedern selbst überlassen.
Aufsicht und Rechtsmittel
Die Grundsätze fünf und sechs zielen auf Transparenz und Klarheit der Gesetze, sowie das Aufsichtsregime. Laut der Erklärung gehören zur Vertrauensbildung Mechanismen, die Zugriffe auf persönliche Daten durch Regierungsstellen offenlegen, wobei sie "den Anspruch der individuell Betroffenen und der Öffentlichkeit auf Information ausbalancieren, mit notwendigen Geheimhaltungserfordernissen, zum Schutz nationaler Sicherheits- oder Strafverfolgungsinteressen."
Aufsichtsbehörden und auch private Unternehmen können öffentlich berichten, letztere allerdings nur in Form aggregierter Zahlen. Die Existenz unabhängiger, finanziell ausreichend ausgestatteter und vor Einmischung geschützter Aufsichtsbehörden gehört ebenfalls zu den Vereinbarungen.
Die Zusicherung von rechtlichem Gehör für Betroffene war für die OECD offenbar ähnlich schwierig wie für die Unterhändler des gerade neu ausgehandelten US-EU Abkommens über ein adäquates Schutzniveau. Zwar sollen im nationalen Rechtsrahmen "effektive gerichtliche und außergerichtliche Rechtsmittel" zur Verfügung stehen, die betreffen allerdings Verletzungen der nationalen Normen. Außerdem müssen solche Rechtsbehelfe erneut hinter etwaigen Geheimhaltungsinteressen der jeweiligen Behörden oder Dienste zurückstehen.
Ausreichende Garantien?
Inwieweit die beschlossenen Prinzipien als vertrauensbildende Maßnahme ausreichend sind, ist fraglich. In der OECD Erklärung heißt es zuversichtlich, dass man die Umsetzung der vereinbarten Prinzipien im Kreis der Unterzeichnerstaaten als "positiven Beitrag zur Erleichterung des grenzüberschreitenden Datenverkehrs" betrachten werde.
Die OECD Erklärung erkennt explizit auch den Datenzugriff über die eigenen Grenzen hinaus an – also der Zugriff auf private Daten auf Basis des CLOUD-Acts. Mindestens dem EuGH waren diese übergreifenden Überwachungsmöglichkeiten ein Dorn im Auge. Ob solche allgemeinen Zusicherungen europäischen Richtern als Beleg für ein adäquates Schutzniveau ausreichen, ist fraglich. Die Erklärung, so versicherte US-Cyber-Botschafter Nathaniel Fick, sei ein Anfang.
Parallel zu der nicht verbindlichen Erklärung veröffentlichte die OECD anlässlich des Ministertreffens vier Empfehlungen zum Thema Sicherheit, darunter auch eine zur Behandlung von Schwachstellen.
(bme)
