So gehen nun für die nächsten 9 Monate vertrauliche Zahlungsdaten deutscher Bürger und Unternehmen auf Anfrage in die USA.

Das man den Innenminister dabei offensichtlich übervorteilt hat belegt jetzt eine Papier des BKA, das der Spiegel veröffentlicht hat. Darin heißt es:

“Für den Bereich der Bekämpfung der politisch motivierten Kriminalität besteht kein fachlicher Bedarf beziehungsweise kein operatives Interesse an der Nutzung des SWIFT-Datenbestandes zum Zwecke einer systematischen anlassunabhängigen Recherche.” (Quelle)

Die Datenfreigabe an die USA wurde also mit wertlosen Zugeständnisse der USA erkauft. Der Innenminister hat sich über den Tisch ziehen lassen und nicht zum Vorteil Deutschlands gehandelt. Durchaus möglich, dass hier auch noch andere Interesen im Spiel waren – man zum Beispiel die USA nicht verärgern wollte – aber den Zugriff auf die europäischen Bankdaten zu erlauben ohne eine sinnvolle Gegenleistung kann man eigentlich nur als politische Dummheit bezeichnen. Durchaus möglich, dass es die Unerfahrenheit des neuen Innenministers ist, die hier ein Übervorteilen erleichtert hat – im Zweifel sind es aber die Bürger und Unternehmen die den Preis für diese Unerfahrenheit zahlen müssen.

SWIFT ist ein internationaler Verband der Banken über den unter anderem Zahlungsvorgänge grenzübergreifend abgewickelt werden können. Dazu gibt es für Banken neben der normalen Kontonummer einen sogenannten SWIFT-Code der bei Auslandsüberweisungen angewandt wird. Über diesen Code können dann Konto für den innereuropäischen oder auch außereuropäischen Zahlungsverkehr angesprochen werden.

Bei der aktuellen Berichterstattung geht es aber weniger um das SWIFT System an sich oder dessen Funktion sondern über das sogenannte SWIFT Abkommen. In diesem Vertragswerk zwischen der USA und der EU haben die europäischen Innenminister den Vereinigten Staaten weitreichenden Zugriff auf die Daten innerhalb des SWIFT-Netzwerkes garantiert.

Hintergrund ist hierbei, dass die USA den Zahlungsverkehr weltweit auf terroristische Aktivitäten prüfen um im Zuge des Terrorist Finance Tracking Program (TFTP) die Geldquellen möglicher Terror-Organisationen zu identifizieren und abzuschalten. Erkenntnisse aus dem Programm wurden in der Vergangenheit angeblich auch genutzt um in Europa Anschläge zu verhindern. Das Abkommen tritt am 1.Februar 2010 in Kraft und hat eine vorläufige Laufzeit von 9 Monaten.

Das Problem der USA

Zum Jahreswechsel 2009/2010 nimmt SWIFT ein neues Rechenzentrum in Europa in Betrieb. Über dieses soll zukünftig der europäische Zahlungsverkehr abgewickelt werden. Die USA hätten damit keinen direkten Zugriff auf diese Daten mehr, denn bisher standen die Server zur Zahlungsabwicklung in den USA und damit war ein direkter Zugriff der USA möglich. Aus Datenschutzgründen wurden die Server nun aber nach Europa verlagert und das SWIFT Abkommen soll auch weiterhin sicherstellen, dass die USA Zugriff auf die SWIFT Daten haben.

Die US-Diplomaten haben zugesichert, die Daten nur in begründeten Verdachtsfällen und nicht missbräuchlich zu benutzten. Ein Missbrauch der Daten ist aber rein technisch möglich und nicht ausgeschlossen.

(Wirtschafts-)Spionage möglich

Die Industrie in der Euro-Zone befürchtet, dass die Daten genutzt werden könnten, um wirtschaftliche Vorgänge nachzuvollziehen und so Hinweise auf Lieferanten und Wirtschaftspartner zu bekommen. Zudem erlauben die Zahlungen natürlich auch einen Überblick über Forschungs- oder Marketingetats der Unternehmen. Auch besteht die Möglichkeit, Rückschlüsse auf Preiskalkulationen und Margen zu ziehen. Diese Daten könnten bei Ausschreibungen um internationale Projekte von großer Bedeutung sein wenn es darum geht Angebote zu unterbreiten die unter denen der Konkurrenz bleiben sollen.

Auch wenn die USA einen Missbrauch ausgeschlossen haben – die Daten werden eventuell auch an Drittstaaten wie Russland oder China weitergegeben.

Auch innerhalb der deutschen Industrie wird das Abkommen daher sehr kritisch gesehen:

Der Zugriff von US-Behörden auf europäische Bankdaten beunruhigt die deutsche Industrie. Deren Bundesverband BDI warnt vor der Gefahr, dass Unternehmen ausspioniert würden. Daten zum Zahlungsverkehr seien sensible Informationen, aus denen sich Rückschlüsse auf Märkte, Vertragspartner und Geschäftsumfänge ziehen ließen, sagte BDI-Hauptgeschäftsführer Werner Schnappauf (http://www.dw-world.de/dw/function/0,,12356_cid_4952862,00.html?maca=de-aa-news-855-rdf)

Selbst der deutsche Bundesrat hat in einer Entschließung vor den unabsehbaren Folgen und einer möglichen Wirtschaftsspionage gewarnt:

Der Bundesrat teilt die in der Entschließung des Europäischen Parlaments zum Ausdruck gebrachte Sorge, dass ein Zugriff auf die betroffenen Finanztrans-aktionsdaten die Gefahr von Wirtschafts- und Industriespionage großen Ausmaßes mit sich bringt, weil die vorhandenen Informationen Rückschlüsse über wirtschaftliches Verhalten zulassen.

Datenschutz ungeklärt

„Der Datenschutzbeauftragte der Bundesregierung, Peter Schaar, sagte dem Handelsblatt, das Abkommen sei “undemokratisch” zustande gekommen und “höchst intransparent”. “In einer Art Geheimgesetz sollen die Bürgerrechte ausgeschaltet werden”, so der Datenschützer. Dem Parlament werde kein Mitspracherecht eingeräumt, eine öffentliche Diskussion verhindert. “Das ist ein massives Demokratiedefizit.” Niemand der Beteiligten könne für sich “Legitimität” für sein Handeln beanspruchen. “Nicht einmal der genaue Text ist öffentlich“

http://www.handelsblatt.com/politik/international/swift-abkommen-schaar-kritisiert-geheimgesetz-zwischen-eu-und-usa;2489376

Gerade der Datenschutz der gesamten europäischen Bevölkerung stellt in diesem Zusammenhang ein großes Problem dar. So gibt es für Betroffene keine Möglichkeit der Datenweitergabe zu widersprechen wie es nach dem deutschen Datenschutzrecht gefordert ist. Wenn Daten weitergeben werden gibt es für Betroffenen nicht einmal eine Information. Ebensowenig wird er über den eventuellen Vorwurf der denVerdacht begründet informiert. Der deutsche Datenschutzbeauftrage Peter Schaar schreibt dazu: „Das Abkommen enthält keine Regelungen zur Information der Bankkunden. Damit wird ein wesentlicher Datenschutzgrundsatz, die Transparenz der Datenverarbeitung, missachtet. Ebenso werden den Bankkunden Auskunftsrechte über die Daten vorenthalten.“

Eine Beschränkung der Weitergabe der Daten auf SWIFT-Daten ist im Vertrag selbst nicht festgehalten. Rein theoretisch könnten auch anderen Zahlungsverkehrsdaten weitergegeben werden.

Ebenfalls nicht ausgeschlossen ist die Weitergabe der Zahlungsdaten an Dritt-Staaten. Die TAZ fasst es mit folgenden Worten zusammen: „Jeder Europäer, der eine Auslandsüberweisung mit BIC- und IBAN-Nummer ausfüllt, muss damit rechnen, dass die Einzelheiten beim russischen Geheimdienst oder in einer chinesischen Spezialabteilung landen.“

Um genau zu sein ist nur sehr spärlich geregelt wie die USA mit den Daten zu verfahren hat, ein Kontrollgremium wird nur nachgelagert tätig und könnte Missbrauch nicht verhindern.

Deutschland hat sich enthalten

Trotz dieser schwerwiegenden Bedenken hat sich Deutschland bei der Abstimmung nur Enthalten. Beim Treffen der EU-Innenminister wurde das SWIFT-Abkommen daher angenommen (mit der Stimmenthaltung Deutschlands, Österreichs, Ungarns und Griechenlands). Eine Gegenstimme Deutschland hätte das Abkommen verhindern können.

Bundesinnenminister Thomas de Maizière (CDU) machte damit den Weg für den Zugriff der USA auf europäische und auch deutschen Kontenbewegungen frei.

Abkommen im deutschen Original

http://register.consilium.europa.eu/pdf/de/09/st16/st16110.de09.pdf

Ein Grund zum Handeln scheint das für die Regierung eher nicht zu sein. Auf SPON wurde Bundesverbraucherministerin Ilse Aigner wie folgt zitiert:

Bundesverbraucherministerin Ilse Aigner (CSU), deren Haus die Studie in Auftrag gegeben hatte, warnte vor einem allzu freizügigen Umgang mit persönlichen Informationen im Internet. “Die unbekümmerte Preisgabe persönlicher Daten im Netz kann zum Stolperstein für die berufliche Karriere werden”, sagte Aigner.

Man überlässt es also der Verantwortung der Internetnutzer was und wie sie Daten preisgeben.

Ob das sinnvoll ist sollte man überdenken. Nicht immer sind Informationen und Bilder im Netz auch von der betroffenen Person eingestellt worden. Das Löschen solcher Inhalte (so man sie denn kennt) ist mühselig und führt meistens über die (personell häufig unterbesetzten) Support-Adressen der Netzwerke. Viele Nutzer wissen nicht, welche Ansprüche sie auf ihre Daten haben und wann gelöscht werden muss und wann nicht.

Dazu speichern Netzwerke die Daten derzeit auf ewig. Einmal eingestellt bleiben Informationen online bis sie manuell wieder entfernt werden. Auch bei inaktiven Accounts in den Netzwerken sind die Infos weiterhin abrufbar. Hier wäre eine Lösung mit Zeitbegrenzung sinnvoll – zumindest eine Abfrage mit Bestätigung ob die Infos weiter aktuell sind und online bleiben sollen.

Ebenso sinnvoll wäre eine Opt-In Lösung für persönliche Daten: Die gesetzliche Vorschrift alle persönlichen Daten im Netz immer unzugänglich zu machen, es sei denn der Nutzer schaltet diese Infos detailliert für die Nutzung frei. Die meisten User wissen kaum wer derzeit alles ihre Daten sehen, abfragen und speicher kann – in den wenigsten Netzwerken gibt es Hinweise was für Fremde sichtbar ist.

Eine gesetzliche Mindestregelung zum Umgang mit Daten, Bildern und Informationen in diesem Bereich wäre also dringend angezeigt. Sinnvoll wäre es auf jeden Fall und ein wichtiger Schritt in Richtung Bürgerschutz im Internet. Allerdings gibt es hier keine Lobby die dahinter steht und derartige Gesetzesvorhaben forciert – es wird also noch eine Weile dauern bis entsprechende Anregungen den Einzug in den Bundestag halten.

Was ist die Datensteuer genau?

Die Datensteuer ist eine Abgabe für Unternehmen für deren Bestand an gespeicherten personenbezogenen Daten. Hierbei werden alle Daten erfasst die von Grund auf personenbezogen sind (Name, Adresse, Kontaktdaten) aber auch andere Daten wenn sie durch Verknüpfung personenbezogen gemacht wurden (beispielsweise das Surf- oder Einkaufsverhalten eines bestimmten Kunden).

Besteuert werden dabei sowohl die Datensätze nach deren Anzahl also auch die Felder pro Datensatz. Je nach Branche gibt es bestimmte Freidatensätze die für die Aufrechterhaltung des Geschäftsbetriebes notwendig sind. So sind für jeden Kunden eines Unternehmens eine bestimmte Anzahl an Daten kostenfrei und werden nicht besteuert (Kontaktdaten, Rechnungsdaten), erst wenn darüber hinaus noch zusätzliche Daten gespeichert werden setzt die Steuerpflicht ein. Speichert ein Unternehmen Daten von Nichtkunden (über gesetzliche Regelung hinaus) besteht sofot Steuerpflicht. Die Auftrennung nach Branche ist sinnvoll, da in die Anzahl von notwendigen Datensätzen im Finanzbereich zum Beispiel deutlich höher liegt als im Bereich des Handwerks.

Im Zuge der Datensteuer werden Unternehmen verpflichtet, ihre Datenbestände quantitativ zu melden. Die Besteuerung erfolgt auf Grundlage dieser Meldung, ähnlich dem jetzigen System der Umsatzsteuer(vor)anmeldung. Ebenso wie bei der UST wird auch hier das Finanzamt Kontrollpflichten wahrnehmen.

Was sind die Vorteile der Datensteuer?

Der offensichtlichste Vorteil eine neuer Steuer sind natürlich die zusätzlichen Einnahmen für den Staatshaushalt. Allerdings soll die Steuer nicht in erster Linie fiskal-politisch für Entlastung sorgen, vielmehr geht es darum ordnungspolitisch Struktur in die Datenhaltung in Deutschland zu bringen.

Mit der Meldung der Datenbestände zwingt man die Unternehmen ihre Daten-Halden zu sichten und objektiv messbar zu machen: Über das Instrument Datensteuer bekommt man eine erste Kontrolle über die Datenbestände in Deutschland.

Dazu wird Datenhaltung ein wirtschaftlicher Faktor: Unternehmen die datensparsam arbeiten haben eine Vorteil weil ihre Steuerlast geringer wird. Unternehmen die dagegen mit großen Datenbeständen wirtschaften haben in Zukunft einen Nachteil durch den großen Datenbestand. Der sinnvolle Umgang mit Datenbeständen und den Daten der Bürger kann in Zukunft also ein Faktor bei der wirtschaftlichen Bewertung von Unternehmen sein – und zwingt sie so diesem Faktor stärker als bislang Beachtung zu schenken.

Vorteile:

• Kontrolle über die Bestände an personenbezogenen Daten in Deutschland
• positive Effekte für datensparsames Wirtschaften
• zusätzliche Einnahmen für den Staat

Welche Nachteile hat die Datensteuer?

Die Erfassung und Kontrolle der Datensätze durch die Unternehmen dürfte zumindest in der Anfangsphase der Umsetzung der Datensteuer recht hoch sein. Der Aufwand in großen Unternehmen zur Abgleichung von Datenbeständen und der eventuelle Erfassung nicht digital gespeicherter Daten sollte daher eventuellschrittweise vorgenommen werden – zum Beispiel über ein Jahr in dem zwar schon eine Meldung der Datenbestände gemacht werden muss, diese aber noch nicht besteuert werden.

Dazu erfasst die Steuer natürlich nur Unternehmen die im Inland ansässig sind und ist damit ein Standortnachteil für alle deutschen Unternehmen. Flankierend könnte man hier auch eine Abgabe auf die Erfassung von Daten in Betracht ziehen die dann auch ausländische Unternehmen (bzw. Unternehmen die Daten im Ausland speichern) betreffen würde.

Auswirkungen für den Bürger

Die Besteuerung von personenbezogenen Datenbeständen stellt eine Ergänzung zum Datenschutz dar in dem es über die Marktmechanismen den Unternehmen Anreize gibt datensparsam zu arbeiten. Trotzdem bleibt es wichtig den Schutz der individuellen Daten von staatlicher Seite aus besser zu regeln (Opt in Verfahren/keine Weitergabe ohne separate Zustimmung). Die Datensteuer sorgt allerdings allein mit ihrer Existenz dafür, dass die Daten von Bürger zumindest in den Unternehmen quantitativ erfasst und gesammelt werden um eine entsprechende Meldung überhaupt machen zu können. Auch ohne ein aktives Interesse der Bürger wird so der Schutz der personenbezogenen Daten verbessert.

Auswirkungen für Unternehmen

Jedes Unternehmen hat in diesem Konzept die Möglichkeit die Zahlung der Datensteuer zu vermeiden oder zu reduzieren in dem einfach Datenbestände gelöscht oder reduziert werden. Die Datenhaltung innerhalb der Freidatengrenze ist kostenlos, ebenso besteht keine Abgabepflicht für gelöschte Datenbestände oder für Daten die in anonymisierter Form (zum Beispiel für statistische Zwecke) vorgehalten werden.

Arcor hat mir bereits am 12.06.2009 telefonisch versichert [pdf], dass die Internet-Sperren in der Umsetzung seien und bereits (und natürlich nur ausschließlich) Kinderpornoseiten gesperrt und an einen Stopp-Server weitergeleitet werden.

Einer weiteren Person wurde am 13.07.2009 telefonisch von der Telekom versichert [pdf], dass bereits Intenet-Seiten gesperrt werden und dass bei T-Online zudem noch Suchergebnisse (z.b. von Google) per Wortfilter gesäubert werden.

Auch wenn die Möglichkeit eines überforderten Hotlinemitarbeiters besteht – merkwürdig ist diese Aussage schon. Arcor/Vodafone und die Deutsche Telekom haben allerdings laut einem heise Bericht entschieden widersprochen.

“Das ist Nonsens”, betonte ein Sprecher von Arcor/Vodafone gegenüber heise online. “Wir haben das System bisher nicht installiert und es gibt keine Sperrungen.” Anderslautende Behauptungen “entbehren jeder Grundlage”.

Zumindest bei der Telekom scheint diese Infrastruktur aber schon zu laufen, denn fehlerhafte Seitenaufrufe werden bereits per DNS-Manipulation (also jener Sperrtechnik die auch bei der Sperrliste Anwendung finden soll) auf eine Telekom-Unterseite weitergeroutet. Und noch merkwürdiger: In den FAQ des Ministeriums für Kinder und Jugend findet sich in den FAQ zu Netzsperren folgender Passus:

Welche Seiten sollen durch das geplante Kinderpornografiebekämpfungsgesetz gesperrt werden?
Es geht ausschließlich darum, den Zugriff auf kinderpornografische und damit illegale Inhalte zu erschweren. Die Zugangssperren betreffen nicht die Individualkommunikation, sondern dienen der Verhinderung des Abrufs von an die Allgemeinheit gerichteten kinderpornografischen Inhalten. Die Sperrungen blocken den Zugriff auf bekannte Kinderpornoseiten – egal, wo auf der Welt die Anbieter der Inhalte sitzen. Seiten, die von Deutschland aus ins Netz gestellt werden, werden bereits blockiert.

Das liest sich so als würde doch schon gesperrt werden. Aber wenn dem so ist: Wer gibt die Inhalte vor und wer arbeitet die Inhalte ab? Wem also glaubt man nun in der Frage Sperre oder nicht? Letztendlich kann ja nicht überall ein inkompetenter Mitarbeiter die Außenkommunikation führen.

Für eine informationelle Selbstbestimmung ist es aber notwendig, dass der Bürger weiß, welche seiner Daten wo gespeichert sind. Ein Ordnung bzw. ein ordnender Eingriff ist an dieser Stelle also unerlässlich. Dazu gibt es derzeit keinen Grund für Unternehmen, datensparsam zu arbeiten. Mehr Daten sind kaum ein Kostenfaktor und so geht der Trend eher dazu so viele Daten zu sammeln wie möglich und nicht sich auf die Daten zu beschränken die nötig sind.

Daten in diesem sensiblen Zusammenhang der informationellen Selbstbestimmung sind im übrigen natürlich nur Daten die von der Art her oder der Verwendung personalisiert sind. Daten wie Name, Adresse, Kontaktmöglichkeiten sind von Natur her immer personalisiert und würden daher immer in diesen Zusammenhang passen. Andere Daten wie besuchte Webseiten, bestellte Artikel usw. werden erst nach der Zusammenführung mit Personendaten relevant. Eine Abfolge von 10 besuchten Seiten (zum Beispiel für rein statistische Zwecke) ist irrelevant im Sinn der informationellen Selbstbestimmung bis eine Zusammenführung mit Namen oder anderen Personenmerkmalen erfolgt. Erst dann würde derartige Daten, die nicht von ihrer Art her personalisiert sind zu Daten im Sinne der informationellen Selbstbestimmung.

Das Konzept der Daten-Steuer sieht in diesem Zusammenhang vor, umfangreiche Datensätze mit einem progressiven Steuersatz zu belegen. Gewissen Grunddatensätze, die für jede Geschäftstätigkeit notwendig sind, bleiben frei (Grundsockel) und erst wenn mehr als die notwendigen Daten gespeichert werden, muss eine entsprechende Abgabe entrichtet werden.

In einer Übergangszeit haben die Unternehmen ihre Datensätze zu bereinigen und zu erfassen um sie dann in ihren Volumen (Anzahl der Datensätze und Anzahl der Felder) einer Erfassungsbehörde zu melden. Auf diese Weise gibt es einerseits eine einfache Kontrolle der vorhanden gespeicherten Daten, auf der anderen Seite gibt es für die Unternehmen einen wirtschaftlichen Grund datensparsam zu arbeiten, weil mehr Daten mehr Kosten verursachen.

Um auf die unterschiedlichen Bedürfnisse verschiedener Branchen einzugehen wäre es denkbar einen Schlüssel einzuführen der pro Branche den Grundsockel (also die Zahl freier Datenfelder pro Datensatz) unterschiedlich definiert. Beispielsweise ist es denkbar, dass im Gesundheitsbereich oder im Bereich der Banken und Versicherungen mehr Daten benötigt werden als bei Telekommunikationsunternehmen. Mit einen branchenabhängigen Grundsockel ließe sich dieser unterschiedliche Datenbedarf erfassen.