Category Archives: EAID-Blog

Sichere Kommunikation über das Internet stärken statt schwächen!

Stellungnahme der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) zu Forderungen, Internetanbieter zum Einbau von Überwachungsschnittstellen zu verpflichten

2019-06-11 Stellungnahme Backdoors

Berlin, 11. Juni 2019

Die sichere Kommunikation über das Internet stärken statt schwächen!

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) lehnt die Forderungen von Innenministern und Vertretern der Sicherheitsbehörden ab, die Internetanbieter  dazu zu verpflichten, in ihre Dienste Schnittstellen einzubauen, über welche die Kommunikation an Sicherheitsbehörden ausgeleitet oder von diesen überwacht werden kann. Derartige Verfahren schwächen die Informationssicherheit, gefährden die Vertraulichkeit der Kommunikation und den effektiven Schutz personenbezogener Daten.

Angesichts der zunehmenden Bedeutung der elektronischen Kommunikation im privaten und geschäftlichen Bereich sind technische Schutzmaßnahmen gegen die unbefugte Kenntnisnahme und Einwirkung durch Dritte von zentraler Bedeutung. Insbesondere bei der Übermittlung hochsensibler Daten ist eine sichere Ende–zu–Ende–Verschlüsselung unverzichtbar. Zudem würden „Backdoors“ und vergleichbare Überwachungsmöglichkeiten unabsehbare Risiken für digital gesteuerte industrielle Prozesse („Industrie 4.0“) bewirken.

Die Vorstellung, technische Überwachungsschnittstellen ließen sich so gestalten, dass sie nur durch Behörden demokratischer Staaten unter Wahrung rechtsstaatlicher Verfahren und entsprechender Schutz– und Kontrollvorkehrungen genutzt werden können, ist wirklichkeitsfremd.

Schließlich ist darauf hinzuweisen, dass mit den 2017 vom Bundesgesetzgeber beschlossenen Befugnissen zur Durchsuchung von informationstechnischen Systemen („Bundestrojaner“) und zur Überwachung digitaler Kommunikation („Quell-TKÜ“) bereits eine bedenkliche Ausweitung der digitalen Überwachung erfolgt ist. Nicht zuletzt vor diesem Hintergrund wäre die nun ins Auge gefasste Ausweitung der Internetüberwachung auch verfassungsrechtlich hochgradig zweifelhaft.

Die EAID empfiehlt deshalb, die Pläne zum verpflichtenden Einbau von Überwachungsschnittstellen in Internetdienste nicht weiter zu verfolgen.

Kontakt: Peter Schaar

psch@eaid-berlin.de

Selbstkorrektur: Neue Kennzeichenentscheidung des Bundesverfassungsgerichts

Das Bundesverfassungsgericht hat in einer heute veröffentlichten Entscheidung die automatisierten Kennzeichenkontrollen Nach dem bayerischen Polizeiaufgabengesetz für in Teilen verfassungswidrig erklärt. Die beanstandeten gesetzlichen Vorgaben 

verstießen gegen das Recht auf informationelle Selbstbestimmung.

Der Beschluss des Ersten Senats vom 18. Dezember 2018 (1 BvR 142/15) enthält mehrere bemerkenswerte Feststellungen:

  • Das Gericht korrigiert seine bisherige Rechtsprechung im Hinblick auf den Eingriffscharakter des Einsatzes automatisierter Kennzeichenerkennungssysteme. Anders als in einer früheren Entscheidungen (BVerfGE 120, 378) stellt das Gericht fest, dass eine automatisierte Kraftfahrzeugkennzeichenkontrolle auch dann einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung aller einbezogenen Personen darstellt, wenn das Ergebnis zu einem „Nichttreffer“ führt und die Daten sogleich gelöscht werden.
  • Da die Kennzeichenkontrolle in die informationelle Selbstbestimmung der Halter und Nutzer der erfassten Fahrzeuge eingreift, ist deren Zulässigkeit an dem verfassungsrechtlichen Kriterium der Verhältnismäßigkeit zu messen. Insofern ist die gesetzliche Erlaubnis zur Kennzeichenerkennung ohne das Vorliegen von Hinweisen auf schwerwiegende Gefahren verfassungswidrig.
  • Die Reichweite der für den Datenabgleich herangezogenen Fahndungsbestände ist anlassbezogen zu begrenzen. Damit nicht vereinbar ist eine Regelung, welche die für den Kennzeichenabgleich verwendeten Fahndungsdateien nicht genau bezeichnet. 
  • Landesrechtliche Regelungen der Kennzeichenerkennung sind nur zulässig, soweit das Grundgesetz entsprechende Gesetzgebungskompetenzen der Länder vorsieht. Die Strafverfolgung und der Grenzschutz gehören nicht dazu.

Die Entscheidung ist über den eigentlichen Gegenstand hinaus bedeutsam. In den letzten Jahren haben sich die Gesetzgebung des Bundes und der Länder bei verschiedenen Gesetzgebungsvorhaben auf die „alte“ Kennzeichenentscheidung (s.o.) des Bundesverfassungsgerichts bezogen, zuletzt bei den Änderungen des Straßenverkehrsgesetzes zur Einführung eines Kennzeichenscannings für die Durchsetzung von Dieselfahrverboten. Zurecht wurde schon bisher angezweifelt, ob die darin vorgesehene Erfassungen, Speicherungen und Abgleiche von Autokennzeichen und Gesichtsbildern verhältnismäßig seien. Diese Zweifel werden durch das jüngste Urteil des Bundesverfassungsgerichtes verstärkt. Das zur Rechtfertigung der Einführung der Überwachungsmaßnahmen angeführte Argument, die bloß temporäre Datenerfassung stelle keinen Grundrechtseingriff dar, ist mit dem Urteil obsolet geworden.

Auch auf die Diskussion über den Einsatz „smarter“ Videoüberwachungssysteme mit biometrischer Gesichtserkennung wird die Entscheidung des Bundesverfassungsgerichts Auswirkungen haben: Auch hier haben Befürworter damit argumentiert, es liege bei mehr als 99 % der erfassten Personen keinerlei Grundrechtseingriff vor, da die Daten ja nur temporär gespeichert und mit Fahndungs- und Gefährderdateien abgeglichen werden sollten. Das Bundesverfassungsgericht hat nun klargestellt, dass schon der Betrieb entsprechender Überwachungseinrichtungen die Grundrechte der erfassten Personen beeinträchtigt, selbst wenn deren Namen und Identität zunächst nicht bekannt sind. Entscheidend sei einzig und allein, ob eine solche Zuordnung möglich sei.

Desweiteren müssten weitere Überwachungsbefugnisse im Lichte der neuen verfassungsgerichtlichen Rechtsprechung überprüft werden, bei denen massenhaft Daten durchsucht und abgeglichen werden, etwa die polizeiliche Rasterfahndung und die „strategische Fernmeldeüberwachung“ durch den Bundesnachrichtendienst. Auch hier liegen – anders als bisher vielfach angenommen – bei „Nichttreffer-Fällen“ Grundrechtseingriffe vor, die am Maßstab der der Verhältnismäßigkeit zu messen sind.

Schließlich ist zu begrüßen, dass das Gericht in einer anderen Frage bei seiner Linie bleibt: „Zur Freiheitlichkeit des Gemeinwesens gehört es, dass sich die Bürgerinnen und Bürger grundsätzlich fortbewegen können, ohne dabei beliebig staatlich registriert zu werden … und dem Gefühl eines ständigen Überwachtwerdens ausgesetzt zu sein. .. Jederzeit an jeder Stelle unbemerkt registriert und darauf überprüft werden zu können, ob man auf irgendeiner Fahndungsliste steht oder sonst in einem Datenbestand erfasst ist, wäre damit unvereinbar. Vielmehr bedürfen solche Maßnahmen vor der Freiheit des Einzelnen eines spezifischen Grundes und sind als Eingriffe in das Grundrecht auf informationelle Selbstbestimmung rechtfertigungsbedürftig.“ (Rnr. 51)

Eine flächendeckende, präventive Massenüberwachung wäre damit nicht vereinbar.

Red Alert: Hard Brexit and Data Protection

After the House of Commons rejected the text of the treaty negotiated between the European Commission and the British Government on the withdrawal of Great Britain from the European Union (https://ec.europa.eu/commission/sites/beta-political/files/draft_withdrawal_agreement_0.pdf), a „hard brexit“ – the dissolution of the relationship without a divorce contract – has become more likely. This also has serious implications for data protection and the companies subject to it.

In its statement issued more than a year ago (http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=611943), the European Commission had already pointed out the serious consequences for data protection resulting from the departure of Great Britain. The Commission pointed out that after the Brexit, Great Britain would become a „third country“ to which the corresponding rules of the European General Data Protection Regulation (GDPR) for data transfer to countries outside the EU would apply (Art. 44 ff GDPR). 

While the cross border transfer of personal data between the member states of the European Union is permissible without restrictions under data protection law, an adequate level of data protection must be demonstrated if the data are to be transferred to third countries. The GDPR provides various instruments for this purpose.

The silver bullet would be a so-called „adequacy decision“ of the Commission (Art. 45 GDPR). On the base of such decision a transfer shall not require any specific authorisation. But it would be an unrealistic presumption such a decision can be implemented in the short term, as it is not only a question of assessing the data protection law as amended last year, but also the entire legal system, including the highly controversial Investigations Powers Act (IPA), which grants the British security authorities comprehensive powers over personal data.

Appropriate safeguards to demonstrate the adequacy of data protection at the recipient (Art. 46 GDPR) are „standard data protection clauses“, approved binding corporate rules (BCR), approved codes of conduct (CoC) and certification mechanisms.

However, until recently, it looked as if companies could take their time looking for alternatives. The text of the agreement negotiated between the Commission and the British government provides in Art. 70 ff that the GDPR (with the exception of the provisions of the seventh section governing supervisory cooperation) should continue to apply in Great Britain for the planned transitional period of two years. It was also agreed that an adequacy decision should be prepared within the transitional period.

Now that the text of the agreement is out of date, there is an urgent need for action by companies exchanging personal data between the EU 27 and business partners in the UK. By the end of March 2019, they must fulfill the requirements of the GDPR for third country transfers by means of one of the above-mentioned instruments or by means of individual contractual arrangements and, if necessary, corresponding authorisation from the competent supervisory authorities. Otherwise, the corresponding transfer transactions would be illegal. 

It is to be hoped that the European data protection supervisory authorities will assist the companies in an advisory capacity in this difficult matter.

Your 

Peter Schaar

Translated with www.DeepL.com/Translator

Alarmstufe rot: Harter Brexit und Datenschutz

Nachdem das Unterhaus den zwischen der europäischen Kommission und der britischen Regierung ausgehandelten Vertragstext zum Austritt Großbritanniens aus der Europäischen Union (https://ec.europa.eu/commission/sites/beta-political/files/draft_withdrawal_agreement_0.pdf) abgelehnt hat, ist ein „harter Brexit“ – die Auflösung der Beziehung ohne Scheidungsvertrag -wahrscheinlicher geworden. Das hat auch gravierende Wirkungen für den Datenschutz und die ihm unterworfenen Unternehmen.

Zwar hatte die Europäische Kommission bereits in ihrem vor mehr als einem Jahr abgegebenen Statement (http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=611943) auf die gravierenden Konsequenzen für den Datenschutz hingewiesen, die sich aus dem Ausscheiden Großbritanniens ergeben. Zu Recht wies Sie darauf hin, dass Großbritannien nach dem Brexit zu einem „Drittstaat“ wird, auf den die entsprechenden Regeln der DSGVO zur Datenübermittlung in Staaten außerhalb der EU anzuwenden sind (Art. 44 ff DSGVO). 

Während zwischen den Mitgliedstaaten der Europäischen Union die Übermittlung personenbezogener Daten ohne datenschutzrechtlichen Restriktionen zulässig ist, muss beim Transfer in Drittstaaten ein angemessenes Datenschutzniveau beim Empfänger nachgewiesen werden. Dafür sieht die Datenschutz-Grundverordnung verschiedene Instrumente vor.

Der „Königsweg“ wäre eine so genannte „Angemessenheitsentscheidung“ der Kommission (Art. 45 DSGVO). Es ist unrealistisch, dass eine entsprechende Entscheidung kurzfristig zu realisieren ist, denn es gilt nicht nur, das im letzten Jahr neu gefasst der britische Datenschutzgesetz zu bewerten, sondern die gesamte Rechtsordnung, darunter auch den höchst umstrittenen „Investigations Powers Act“ (IPA), welcher den britischen Sicherheitsbehörden umfassende zu Befugnisse auf personenbezogene Daten einräumt.

Garantien, mit denen die Angemessenheit des Datenschutzes beim Empfänger demonstriert werden kann (Art. 46 DSGVO), sind „Standarddatenschutzklauseln“, verbindliche Unternehmensregeln (Binding Corporate Rules – BCR), genehmigte Verhaltensregeln (Codes of Conduct – CoC) und Zertifizierungsmechanismen.

Allerdings sah es bis vor kurzem so aus, als könnten sich die Unternehmen mit der Suche nach Alternativen noch etwas Zeit lassen. Der zwischen der Kommission und der britischen Regierung ausgehandelte Vertragstext sieht in Art. 70 ff vor, dass die DSGVO (mit Ausnahme der Bestimmungen des siebenten Abschnittes, welcher die Zusammenarbeit der Aufsichtsbehörden regelt) für die vorgesehene Übergangszeit von zwei Jahren in Großbritannien weiterhin Geltung behalten sollten. Zudem war man übereingekommen, dass innerhalb der Übergangsfrist eine Angemessenheitsentscheidung vorbereitet werden sollte.

Nachdem nun der Vertragstext Makulatur ist, besteht für die Unternehmen dringlichster Handlungsbedarf, die personenbezogene Daten mit Geschäftspartnern in Großbritannien austauschen. Sie müssen bis Ende März 2019 durch eines der oben genannten Instrumente oder durch einzelvertraglichen Gestaltung und ggf. entsprechende Genehmigungen der Aufsichtsbehörden die Vorgaben der DSGVO zum Drittlandstransfer gewährleisten. Andernfalls würden die entsprechenden Übermittlungsvorgänge illegal. 

Es ist zu hoffen, dass die europäischen Datenschutzaufsichtsbehörden den Unternehmen dabei beratend zur Seite stehen.

Ihr 

Peter Schaar

EAID is supporting the Universal Guidelines on Artificial Intelligence (UGAI)

The European Academy for Freedom of Information and Data Protection (EAID) has endorsed the Universal Guidelines on Artificial Intelligence (UGAI) presented by the Civil Rights Coalition „The Public Voice“ on 23 October 2018. The guidelines are now supported by more than 50 civil society organisations.

In order to enable the UGAI to be better disseminated to the German-speaking public, we have translated the text. We do not claim any copyrights for the German-language translation – however, we naturally assume responsibility for any translation errors.

English version of the UGAI on the website of The Public Voice. Here you will also find an online form to support the guidelines.

German version of the UGAI on the website of The Public Voice

Translated with www.DeepL.com/Translator

EAID unterstützt die Universal Guidelines on Artificial Intelligence  (UGAI)

EAID unterstützt die Universal Guidelines on Artificial Intelligence  (UGAI)

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) unterstützt die von der Bürgerrechtskoalition „The Public Voice“ am 23. Oktober 2018 vorgelegten „Allgemeinen Leitlinien für die künstliche Intelligenz“ (Universal Guidelines on Artificial Intelligence  – UGAI). Die die Leitlinien werden inzwischen von mehr als 50 zivilgesellschaftlichen Organisationen unterstützt. 

Um den UGAI auch in der deutschsprachigen Öffentlichkeit eine bessere Verbreitung zu ermöglichen, haben wir den Text übersetzt. Für die deutschsprachige Übersetzung beanspruchen wir keine Urheberrechte – für eventuelle Übersetzungsfehler übernehmen wir aber selbstverständlich die Verantwortung.

Wortlaut der UGAI auf der Website von The Public Voice. Hier finden Sie auch ein Online-Formular zur Unterstützung der Leitlinien

Deutscher Text bei The Public Voice

 

Deutsche Übersetzung der UGAI:

Allgemeine Leitlinien für die künstliche Intelligenz 

Vorgelegt am 23. Oktober 2018 in Brüssel, Belgien

Neue Entwicklungen in der Künstlichen Intelligenz verändern die Welt. Die Veränderungen betreffen viele Bereiche, von der Wissenschaft und Industrie bis hin zu Verwaltung und Finanzen. Der Bedeutungszuwachs von KI-Entscheidungen berührt die grundlegenden Rechte auf Fairness, Rechenschaftspflicht und Transparenz. Die Ergebnisse der modernen Datenanalyse haben für die Menschen erhebliche praktische Folgen. Sie wirken sich in den Bereichen Beschäftigung, Wohnen, Kredit, Handel und Strafverfolgung aus. Viele dieser Techniken sind völlig undurchsichtig, so dass der Einzelne nicht weiß, ob er überhaupt Gegenstand einer KI-Entscheidung war und ob die Entscheidung richtig und fair getroffen wurde.

Wir schlagen diese allgemeinen Leitlinien vor, um über das Design und die Verwendung von KI zu informieren und diese zu verbessern. Die Leitlinien zielen darauf ab, den Nutzen der KI zu maximieren, das Risiko zu minimieren und den Schutz der Menschenrechte zu gewährleisten. Diese Leitlinien sollten in ethische Standards einfließen. Sie sollten in nationales Recht und internationale Vereinbarungen übernommen, in die Praxis umgesetzt und beim Entwurf von Systemen berücksichtigt werden. Wir stellen klar, dass die Hauptverantwortung für KI-Systeme bei den Institutionen zu liegen hat, welche solche Systeme finanzieren, entwickeln und einsetzen.

  1. Recht auf Transparenz. Jeder Einzelne hat das Recht, die Grundlage einer KI-basierten Entscheidung zu kennen, die ihn betrifft. Dazu gehört die Kenntnis der in die Entscheidung einfließenden Faktoren, der Verarbeitungslogik und der entscheidungsrelevanten Techniken.
  1. Recht auf menschliche Bestimmung. Jeder Einzelne hat das Recht, dass die ihn betreffenden Entscheidungen letztlich von einem Menschen getroffen werden.
  1. Identifikationspflicht. Die für das KI-System verantwortliche Institution muss der Öffentlichkeit bekannt gemacht werden.
  1. Verpflichtung zur Fairness. Die für den KI-Einsatz verantwortliche Institution muss sicherstellen, dass das KI-System keine ungerechten Verhältnisse widerspiegelt, verzerrte Ergebnisse liefert und keine unzulässig diskriminierenden Entscheidungen trifft.
  1. Folgenabschätzung und Rechenschaftspflicht. Ein KI-System sollte nur eingesetzt werden, nachdem die Zwecke, die Ziele, der Nutzen sowie die Risiken in angemessener Weise bewertet wurden. Institutionen, die KI-Systeme einsetzen, müssen für dessen Entscheidungen verantwortlich sein
  1. Richtigkeit, Zuverlässigkeit und Gültigkeit. Die Institutionen müssen die Richtigkeit, Zuverlässigkeit und Validität von Entscheidungen gewährleisten.
  1. Verpflichtung zur Datenqualität. Die Institute müssen festlegen, welche Daten in die KI-Algorithmen einfließen und sie müssen sicherstellen, dass deren Qualität und Relevanz gewährleistet ist.
  1. Verpflichtung zur Gewährleistung der öffentlichen Sicherheit. Die Institutionen müssen die Risiken für die öffentliche Sicherheit bewerten, wenn KI-Systeme Geräte steuern oder kontrollieren. Sie haben die erforderlichen Kontrollmechanismen zu implementieren, um die Sicherheit zu gewährleisten.
  1. Verpflichtung zur Cybersicherheit. Institutionen müssen KI-Systeme vor Bedrohungen schützen, die sich aus ihrer Vernetzung ergeben.
  1. Verbot der geheimen Profilerstellung. Keine Institution darf ein System zur heimlichen Erstellung von Profilen einrichten oder betreiben.
  1. Verbot des umfassenden Scorings. Kein Staat darf eine allgemeine Bewertung seiner Bürger oder Einwohner einrichten oder betreiben.
  1. Abschaltpflicht. Jede Institution, die ein KI-System betreibt, hat die positive Verpflichtung zur Abschaltung des Systems, wenn die menschliche Kontrolle über das System nicht länger gewährleistet ist.

 

Erläuterndes Memorandum und Referenzen

Kontext

Die Universal Guidelines on Artificial Intelligence (UGAI) weisen auf die wachsenden Herausforderungen durch intelligente Computersysteme hin. Sie enthalten konkrete Empfehlungen zur Verbesserung des Designs von KI-Systemen. Im Kern sollen UGAI die Transparenz und Rechenschaftspflicht für diese Systeme voranbringen und sicherstellen, dass die Menschen die Kontrolle über die von ihnen geschaffenen Systeme behalten. Nicht alle Systeme fallen in den Anwendungsbereich dieser Richtlinien. Unser Anliegen sind jene Systeme, die sich auf die Rechte der Menschen auswirken. Vor allem dürfen diese Systeme keinen Schaden anrichten.

Die Erklärung kommt noch zur rechten Zeit. Regierungen in aller Welt entwickeln politische Vorschläge und schaffen öffentliche und private Institutionen, um die Forschung und Entwicklung von „KI“ zu fördern. Dies hat enorme Auswirkungen auf die Gesellschaft, unabhängig davon, ob und inwieweit die Öffentlichkeit an der Gestaltung und Entwicklung solcher Systeme mitwirkt. Die UGAI sind eine gesellschaftliche Reaktion auf diese Herausforderungen.

Die UGAI wurden auf der Internationalen Datenschutzkonferenz 2018 veröffentlicht, einem der weltweit bedeutendsten Treffen von Technologieführern und Datenschutzexperten.

Die UGAI bauen auf der bisherigen Arbeit von wissenschaftlichen Gesellschaften, Think Tanks, NGOs und internationalen Organisationen auf. Die UGAI beinhalten Elemente der Menschenrechtslehre, des Datenschutzrechts und ethischer Richtlinien. Die Leitlinien bauen auf  etablierten Grundsätzen für die KI-Governance auf und sie schlagen neue Prinzipien vor, die bisher nicht in politischen Rahmenwerken enthalten sind.

Terminologie

Der Begriff „Künstliche Intelligenz“ (KI) ist weit und unpräzise zugleich. Er beinhaltet Aspekte des maschinellen Lernens, regelbasierte Entscheidungsfindung und andere Computertechniken. Es gibt sogar unterschiedliche Meinungen darüber, ob Künstliche Intelligenz überhaupt möglich ist. Die UGAI räumen lediglich ein, dass der Begriff KI im allgemeinen Sprachgebrauch ein breites Spektrum verwandter Themen abdeckt und sie verwenden den Begriff, um die aktuelle Debatte anzuregen. Die Leitlinien versuchen nicht, die begrifflichen Grenzen von KI zu definieren, außer dass die KI einen gewissen Grad an automatisierter Entscheidungsfindung erfordert. Der Begriff „Leitlinien“ folgt der Praxis politischer Festlegungen, die sich in erster Linie an Regierungen und private Unternehmen richten.

Die UGAI enthalten Verpflichtungen für „Institutionen“ und Rechte der „Einzelnen“. Dies ergibt sich aus den fairen Informationspraktiken im Bereich des Datenschutzes. Die UGAI basieren auf dem Schutz des Einzelnen als grundlegendem Ziel. Unter öffentlichen und privaten Institutionen werden diejenigen verstanden, die KI-Systeme entwickeln und einsetzen. Der Begriff „Institution“ wurde anstelle des vertrauteren Begriffs „Organisation“ gewählt, um den dauerhaften und nachhaltigen Charakter der in den Leitlinien festgelegten Verpflichtungen zu unterstreichen. Ein Prinzip richtet sich an „nationale Regierungen“. Der Grund dafür wird im Folgenden erläutert.

Anwendung

Diese Leitlinien sollten in ethische Normen aufgenommen, in nationales Recht und internationale Vereinbarungen übernommen und in die Gestaltung von Systemen integriert werden.

Die Prinzipien

Die Elemente des Transparenzprinzips finden sich in mehreren modernen Datenschutzgesetzen, darunter dem US-Datenschutzrecht, der EU-Datenschutzrichtlinie, der Datenschutzgrundverordnung und in dem Übereinkommen 108 des Europarates. Dieses Prinzip soll eine unabhängige Rechenschaftspflicht für automatisierte Entscheidungen ermöglichen, wobei der Schwerpunkt auf dem Recht der Einzelnen liegt, die Gründe von für sie nachteiligen Entscheidungen zu kennen. Auch wenn es einem Einzelnen in der Praxis vielleicht nicht immer möglich ist, die Grundlagen einer bestimmten Entscheidung richtig zu interpretieren, ist es nicht überflüssig, eine solche Erklärung zu ermöglichen.

Das Recht auf eine menschliche Bestimmung bekräftigt, dass Menschen und nicht Maschinen für automatisierte Entscheidungen verantwortlich sind. In vielen Fällen, wie beispielsweise beim Betrieb eines autonomen Fahrzeugs, wäre es nicht möglich oder praktikabel, eine menschliche Entscheidung vor einer automatisierten Entscheidung einzufügen. Das ändert aber nichts an der Notwendigkeit, die Rechenschaftspflicht zu gewährleisten. Wenn also ein automatisiertes System versagt, sollte entsprechend diesem Prinzip eine menschliche Beurteilung des Ergebnisses vorgenommen werden.

Identifizierungspflicht. Dieses Prinzip reagiert auf die Identifikations-Asymmetrie, die bei der Interaktion zwischen Individuen und KI-Systemen entsteht. Ein KI-System weiß typischerweise sehr viel über eine Person; die Person kennt vielleicht nicht einmal den Betreiber des KI-Systems. Die Identifizierungspflicht bildet die Grundlage für die KI-Verantwortlichkeit, die darin besteht, die Identität eines KI-Systems und der verantwortlichen Institution klarzustellen.

Die Fairness-Verpflichtung erkennt an, dass alle automatisierten Systeme Entscheidungen treffen, die Vorurteile und Diskriminierung widerspiegeln. Aber solche Entscheidungen sollten nicht normativ ungerecht sein. Auf die Frage, was ungerecht oder unzulässig ist, gibt es keine einfache Antwort. Die Bewertung hängt oft vom Kontext ab. Die Fairness-Verpflichtung macht jedoch deutlich, dass eine Bewertung der tatsächlichen Ergebnisse allein nicht ausreicht, um ein KI-System zu bewerten. Auch die normativen Folgen müssen bewertet werden, einschließlich derjenigen, die bereits vor dem KI-Einsatz existierten oder durch ein KI-System verstärkt werden können.

Die Folgenabschätzungs- und Rechenschaftspflicht bezieht sich auf die Verpflichtung, ein KI-System vor und während der Implementierung zu beurteilen. Was die Folgenabschätzung betrifft, so besteht ein zentraler Zweck dieser Verpflichtung darin festzustellen, ob ein KI-System eingerichtet werden sollte. Ergibt eine Folgenabschätzung erhebliche Risiken, wie sie in den Grundsätzen zur öffentlichen Sicherheit und Cybersicherheit beschrieben sind, so sollte das Projekt nicht weiter verfolgt werden.

Die Verpflichtungen zur Genauigkeit, Zuverlässigkeit und Gültigkeit legen die Hauptverantwortlichkeiten fest, die mit dem Ergebnis automatisierter Entscheidungen verbunden sind. Die Aspekte sind sowohl einzeln als auch in der Gesamtschau zu interpretieren.

Das Prinzip der Datenqualität folgt aus den vorhergehenden Verpflichtungen.

Die Verpflichtung zur öffentlichen Sicherheit reagiert darauf, dass KI-Systeme Geräte in der physischen Welt steuern. Aus diesem Grund müssen die Institutionen sowohl die damit verbundenen Risiken bewerten als auch angemessene Vorsichtsmaßnahmen ergreifen, welche den Risiken begegnen.

Die Cybersicherheitsverpflichtung folgt aus der Verpflichtung zur öffentlichen Sicherheit und unterstreicht das Risiko, dass selbst gut gestaltete Systeme das Ziel feindlicher Akteure sein können. Wer KI-Systeme entwickelt und einsetzt, muss diese Risiken berücksichtigen.

Das Verbot der heimlichen Profilbildung folgt aus der Identifizierungspflicht. Ziel ist es, die bei KI-Systemen zunehmend auftretende Informationsasymmetrie zu vermeiden und die Möglichkeit einer unabhängigen Rechenschaftspflicht zu gewährleisten.

Das Verbot des umfassenden Scorings soll dem Risiko begegnen, dass eine Regierung dem Individuum einen einzigen, multifunktionalen Scorewert zuweist. Das Datenschutzrecht beurteilt universelle Identifikatoren, die die Profilerstellung von Personen ermöglichen, negativ. Solche Identifikatoren sind vielfach reguliert und teilweise verboten. Noch größer ist die Sorge im Hinblick auf eine umfassende individuelle Bewertung, die als „einheitlicher Scorewert“ bezeichnet wird. Ein einheitlicher Score spiegelt nicht nur ein umfassendes Profil sondern auch ein vorgegebenes Ergebnis über mehrere Bereiche der menschlichen Aktivität hinweg wider. Es besteht die Gefahr, dass es auch im privaten Sektor zu einheitlichen Scores kommt. Zwar ist denkbar, solche Systeme dem Wettbewerb auf dem Markt und staatlichen Vorschriften zu unterwerfen. Aber da der Einzelne keine Möglichkeit hat, einem von einer Regierung zugewiesenen einheitlichen Score entgegenzutreten, sollten solche Scores verboten werden.

Die Abschaltpflicht ist das ultimative Bekenntnis zur Verantwortlichkeit für ein KI-System. Die Verpflichtung setzt voraus, dass die Systeme unter menschlicher Kontrolle bleiben müssen. Ist dies nicht mehr möglich, sollte das System abgeschaltet werden.

(Übersetzt aus dem Englischen von Peter Schaar unter Verwendung von deepl.com)

Indisches Datenschutzrecht: Aadhaar wird für verfassungskonform erklärt

In seinem Urteil vom 26.09.2018 befindet der Oberste indische Gerichtshof die Biometriedatenbank „Aadhaar“ für verfassungskonform. Vier von fünf Richtern stimmten für die Vereinbarkeit von Aadhaar mit der indischen Verfassung. Die Datennutzung durch private Unternehmen soll jedoch zukünftig eingeschränkt werden.

Die bisherige Rechtslage im indischen Datenschutz

In Indien existiert bisher kein einheitliches Datenschutzrecht, sondern es bestehen sektorspezifische Regelungen wie z.B. für den Finanz- und Telekommunikationsbereich. Daneben ist auf die Regelungen im Rahmen der Information Technology Rules von 2011 hinzuweisen, welche jedoch ausschließlich für private Unternehmen gelten und den Schutz besonders sensibler Daten umfassen. Für die Aadhaar Datenbank gilt der Aadhaar Act aus dem Jahr 2016, der die Sicherheit der in der Datenbank gespeicherten Daten sicherstellen soll. Ob Aadhaar mit der indischen Verfassung konform ist, wurde diesen September vom indischen Verfassungsgericht entschieden.

Was ist Aadhaar?

Aadhaar ist eine zwölfstellige Identifikationsnummer, die von der Unique Identification Authority of India (UIDAI) an die indischen Bürger vergeben wird. Unter der Aadhaar-Nummer werden in einer zentralen Datenbank (Central Identities Data Repository – CIDR) biometrische Merkmale (Fingerabdrücke aller zehn Finger, Iris-Scans beider Augen, Foto des Gesichtes) und demographische Informationen (Name, Geburtsdatum, Geschlecht, Adresse) erfasst. Mit 1,2 Milliarden registrierten Menschen ist Aadhaar die größte biometrische Datenbank der Welt. Ziel des Aadhaar-Programms ist die Verhinderung von Sozialbetrug, indem Sozialleistungen an die Identifizierung durch Aadhaar gebunden werden. Daneben sollen Bürokratie abgebaut, die Verwaltung digitalisiert und der Zugang zu Dienstleistungen auch den ärmeren Bevölkerungsschichten ermöglicht werden. Eingeführt wurde Aadhaar 2009 als freiwillige Identifikationsdatenbank. Obwohl diese offiziell immer noch als freiwillig bezeichnet wird, ist Aadhaar mittlerweile für die Inanspruchnahme zahlreicher Leistungen und Dienste faktisch verpflichtend – so müssen beispielsweise auch Bankkonten, Steuererklärungen und SIM-Karten zwingend mit der Aadhaar-Nummer verbunden werden. Aadhaar wurde von der konservativen BJP-Partei (Bharatiya Janata Party), die seit 2014 die Regierung bildet, über die Jahre stetig erweitert.

Was es mit der Kritik an Aadhaar sowie dem Urteil des Obersten indischen Gerichtshofes auf sich hat, kann an dieser Stelle im Beck-Blog nachgelesen werden.

AfD-Meldeplattformen – wo bleibt der Datenschutz im Parlament ?

Das Vorhaben mehrerer AfD-Fraktionen in den Landtagen verschiedener Länder, Online-Plattformen einzurichten, auf denen Schüler dazu aufgerufen werden, Lehrer wegen kritischer Äußerungen zur AfD im Schulunterricht auch anonym anzuschwärzen, hat mit Recht Empörung ausgelöst. Die Brandenburgische Bildungsministerin hat von einem „Angriff auf den Schulfrieden“ gesprochen. Wie ist das Vohaben datenschutzrechtlich zu bewerten ? Welche Regeln gelten überhaupt für die Aktivitäten von Parlamentsfraktionen und wer setzt sie durch ? Diese Fragen sind auch von allgemeiner Bedeutung für den Fall, dass Parlamentsfraktionen künftig seriöse Projekte zur Erhebung von Bürgerdaten für parlamentarische Zwecke verfolgen sollten.
Der Bundestag und die Landtage sind öffentliche Stellen, die ebenso wie die Exekutive und die Gerichte den Bestimmungen der Datenschutzgrundverordnung unterliegen, soweit nicht die Strafjustiz betroffen ist oder andere Spezialvorschriften eingreifen. Einige Länder (z.B. Berlin und Hamburg) haben allerdings die Landtage pauschal vom Anwendungsbereich des Datenschutzrechts ausgenommen. Ob dies mit Europarecht vereinbar ist, kann man durchaus bezweifeln. Immerhin sehen aber einige Landesgesetze (z.B: in Brandenburg) vor, dass die Landesparlamente eigene Datenschutzordnungen erlassen, die auf die Datenverarbeitung zu parlamentarischen Zwecken anzuwenden sind. Das Abgeordnetenhaus von Berlin hat dagegen bisher davon abgesehen, eine entsprechende parlamentsinterne Regelung zu treffen, die von mehreren Berliner Datenschutzbeauftragten in der Vergangenheit vorgeschlagen wurden.

Die Kontrolle der Einhaltung datenschutzrechtlicher Bestimmungen (sei es der Datenschutzgrundverordnung oder einer parlamentarischen Datenschutzordnung) kann allerdings weder durch die jeweiligen Datenschutzbeauftragten des Bundes und der Länder noch gar durch die Exekutive erfolgen, auch wenn die Berliner Senatsbildungsverwaltung jetzt berechtigte Zweifel an der Rechtskonformität der Meldeplattform der AfD-Fraktion im Abgeordnetenhaus angemeldet hat. Das ergibt sich aus der verfassungsrechtlichen Gewaltenteilung. Das Bundesdatenschutzgesetz räumt der Bundesbeauftragten für den Datenschutz daher auch nur eine Beratungs- aber keine Kontrollbefugnis gegenüber den gesetzgebenden Körperschaften ein. Eine parlamentsinterne Kontrolle des Datenschutzes wird z.B. in Hamburg durch ein besonderes Datenschutgremium der Bürgerschaft, in Rheinland-Pfalz durch den Ältestenrat des Landtages gewährleistet.  Im Berliner Abgeordnetenhaus fehlt ein entsprechendes Gremium bisher.

So wichtig es ist, Vorhaben wie das mehrerer AfD-Landtagsfraktionen, mit denen Schüler zur Denunziation aufgefordert werden, politisch zu bekämpfen, so essenziell ist es zugleich, dass der Bundestag und alle Landtage für eine effektive Datenschutzkontrolle im parlamentarischen Bereich sorgen. Auch Abgeordnete und Fraktionen sollten bei ihrer Arbeit das Recht des Einzelnen auf informationelle Selbsbestimmung achten.

Alexander Dix

E-Evidence Regulation: Data supermarket for European Law Enforcement?

The idea is old, but the concrete proposal is rather new: Whereas goods flow freely in the EU internal market and digital services are offered across borders, the competence of law enforcement authorities ends at national borders. A police authority that wants to access data in the course of its investigations – for example in a fraud case – needs to contact the authorities of the state where the data are processed. How the foreign authority deal with such a request depends on the law of the country on whose territory the servers are located. The procedures are governed by the applicable international mutual legal assistance treaties (MLAT).

Such assessment is time-consuming and does not always has the result the requested data may be released to the foreign authority. For this reason the law enforcement and security community have been lobbying since years for easier access. Ideally, authorities should have direct access to data stored abroad. On 18 April 2018, the European Commission presented a draft EU regulation on this issue. The European Production and Preservation Orders for electronic evidence in criminal matters (E-Evidence Regulation) is intended to allow law enforcement authorities of the 28 member states direct cross-border access.

Restriction of fundamental rights by fast-track legislation ?

Since then, the European Parliament and the Council of Ministers have been working on the draft. Last week, the European Parliament published a critical study on the Commission’s draft. The Austrian government recently announced the ambitious goal of concluding negotiations in the Council of Ministers by 31 December 2018, when Austria will hand over the Presidency of the Council to Romania.

This legislative fast-track procedure is explosive in several respects: In contrast to a directive, an EU regulation would be directly applicable law in the member states and would not require transposition into national law. The regulation would mean a considerable restriction of fundamental rights, as issuing orders would have to be directly followed by providers of electronic services without a public authority or a court in the host country having examined whether issuing the order would also be permissible under national law.

On the other hand, the legal systems of the member states are not harmonised. They differ with regard to punishability, the levels of punishment and constitutional safeguards. Activities which are punishable in the issuing state but not in the state in which the processing takes place can thus be subject to an obligation to produce personal data. The European Commission is even conducting two proceedings against Poland and Hungary referring to the violation of the rule of law. The initiation of such proceedings against Romania is currently under discussion because the Romanian government also wants to restrict the independence of the courts in this country.

If the E-Evidence Regulation would be adopted in its proposed version, providers of electronic services (such as cloud providers, network operators, social media, hosting and telecommunications companies) would have to follow production orders of the foreign authorities directly without the chance of carrying out a substantive examination.

Comprehensive scope of application

Production Orders may be issued for any type of offence. The requirement to provide content and transaction data only for offences punishable by a maximum term of imprisonment of at least three years in the issuing State is not likely to dispel concerns. Contrary to what the Commission’s explanations on the E-Evidence Package suggest, the three years are not a minimum penalty, but a minimum maximum penalty. A glance at the German Criminal Code shows that this criterion applies to a large number of offences and not only to serious crimes. 

In Poland, for example, abortion is punishable by imprisonment for up to three years. Therefore the condition for a production order would thus be fulfilled. A Dutch or German provider would have to hand over the e-mails and traffic data to the Polish criminal prosecution authority if the latter were to investigate an abortion case, although in these countries abortion is exempt from punishment. The provider of an electronic accounting service the doctor is using could possibly also be the addressee of a corresponding production order.

This problem also becomes clear in the case of the Catalan exile politician Puigdemont, against whom a Spanish arrest warrant for „riot“ had been issued. According to the decision of the Higher Regional Court of Schleswig, the offence did not constitute a comparable criminal offence under German law. The European arrest warrant issued by Spain could not be executed against him in Germany. According to the draft E-Evidence Regulation, the German providers would nevertheless be obliged to issue corresponding electronic documents if a Spanish court issues a production order, because unlike the European arrest warrant, no review by a court of the target state would be required.

Impositions on providers

The situation for providers is completely unreasonable, too: they woul be subject to obligations they cannot check in a procedure that is in accordance with the rule of law. Not only courts and public prosecutors‘ offices, but any competent authority designated by the issuing state can issue a production order. In the 28 EU Member States, a very large number of authorities, possibly more than a thousand, will be given the power under national law to require companies to disclose data across borders, often without confirmation by a court. It is not even possible for companies to seriously examine whether an authority has the appropriate competence, or even whether it is an authority at all. It is true that the respective authorities are to prove that they have been validated in writing by a court or an other judicial authority. However, the draft regulation provides for it should be sufficient for the issuing authority to send a corresponding document by fax.

In view of the very short deadlines (in certain cases companies are obliged to deliver the data within six hours!), it is hardly possible for the recipient to check whether the fax and the stamp of a judicial authority contained on it is genuine, and it is not even certain whether the letter originates from an authority at all. Accordingly, there is a great risk of being taken in by a fake issuing order and transferring personal data to third parties without justification.

If a provider rejects to comply with a production order, he is threatened with considerable financial and criminal consequences. In addition, the considerable violation of the fundamental rights of the data subject brought about in this way represents a considerable liability risk for the provider for having unlawfully disclosed data.

No examination of legality in the target country

Whereas the European Investigation Order, another EU instrument introduced a few years ago, is subject to enforcement by the authorities in whose territory the processing takes place, the electronic production order is to be issued directly to the foreign provider. The E-Evidence Regulation does not provide for any substantial review by a domestic court or a domestic judicial authority. Procedural safeguards – such as the judge’s approval – might be circumvented if the law of the issuing state does not provide for such. Finally, requirements which the German Federal Constitutional Court has established, e.g. for the protection of the core area of private life, would not be guaranteed.

According to the draft E-Evidence Regulation the main responsibility for the transfer will be subject to the company to which the order is addressed – a problematic delegation to private entities. Companies have only very limited means of reviewing the legality and proportionality of a production order or of refusing to transmit the requested data. According to the draft they may only object to comply with an order if they consider that the information contained in the order indicates that it „manifestly“ infringes the Charter of Fundamental Rights of the European Union or it is manifestly abusive.

Real-time monitoring?

It is subject to the ongoing debate if and to what extent real-time monitoring („live interception“) shall be included in the E-Evidence Regulation in addition to the preservation and production of data already stored. But even if – as is to be expected – corresponding demands of some governments would not be supported by a majority in the European Parliament, the planned regulation would be a profound encroachment on European and national fundamental rights. It would be irresponsible to wave through such a regulation quickly without a thorough debate.

E-Evidence: Kommt jetzt der internationale Daten-Supermarkt der Sicherheitsbehörden?

Die Idee ist alt, aber der konkrete Vorschlag ziemlich neu: Während Waren im EU-Binnenmarkt frei fließen und digitale Dienstleistungen grenzüberschreitend angeboten werden, endet die Kompetenz der Strafverfolgungsbehörden an den nationalen Grenzen. Eine Polizeibehörde, die im Rahmen ihrer Ermittlungen – etwa in einer Betrugssache – auf Daten zugreifen möchte, muss sich bisher an die Behörden des Staates wenden, wo die Daten verarbeitet werden. Wie mit diesem Ersuchen der ausländischen Behörde umgegangen wird, richtet sich nach dem Recht des Staates, auf dessen Territorium die Server stehen. Die Prozeduren hierfür richten sich nach den jeweils anwendbaren internationalen Rechtshilfeabkommen.

Die entsprechenden Prüfungen sind zeitaufwendig und sie führen nicht immer dazu, dass die angeforderten Daten freigegeben werden. Deshalb wird aus Sicherheitskreisen schon seit langem gefordert, den Zugriff zu erleichtern. Idealerweise sollen die Behörden direkt auf die im Ausland gespeicherten Daten zugreifen können. Die Europäische Kommission hat am 18. April 2018 den Entwurf einer entsprechenden EU-Verordnung vorgelegt. Die „Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen“ (E-Evidence-VO) soll den Behörden nun den grenzüberschreitenden Direktzugriff ermöglichen. 

Grundrechtseinschränkung im Schnelldurchgang ?

Seither beschäftigen sich das Europäische Parlament und der Ministerrat mit dem Entwurf. Das Europäische Parlament hat in der letzten Woche eine kritische Studie zum Kommissionsentwurf veröffentlicht.

Die österreichische Regierung hat kürzlich das ambitionierte Ziel verkündet, die Verhandlungen im Ministerrat bis zum 31. Dezember 2018 abzuschließen, wenn Österreich die Ratspräsidentschaft an Rumänien abtritt. 

Dieser gesetzgeberische Schnelldurchgang ist in mehrfacher Hinsicht brisant: Im Unterschied zu einer Richtlinie wäre eine EU-Verordnung direkt anwendbares Recht in den Mitgliedsstaaten und bedürfte keiner Umsetzung in nationales Recht. Sie bedeutet die Verordnung einen erheblichen Einschnitt in die Bürgerrechte, denn Herausgabeanordnungen müssten von den Anbietern elektronischer Dienste unmittelbar befolgt werden, ohne dass eine Behörde oder ein Gericht des Sitzlandes geprüft hat, ob die Herausgabe auch nach nationalem Recht zulässig wäre.

Zum anderen sind aber die Rechtsordnungen der Mitgliedsstaaten nicht harmonisiert; sie unterscheiden sich im Hinblick auf die Strafbarkeit, die Höhe von Strafandrohungen und rechtsstaatliche Sicherungen. Die Europäische Kommission führt  sogar zwei Verfahren gegen die Verletzung der Rechtsstaatlichkeit gegen Polen und Ungarn. Die Einleitung eines entsprechenden Verfahrens gegen Rumänien wird gerade diskutiert, weil auch in diesem Land  nach dem Willen der Regierung die Unabhängigkeit der Gerichte eingeschränkt werden soll. 

Wenn die E-Evidence-Verordnung in der vorgeschlagenen Form beschlossen wird, müssten deutsche Anbieter elektronischer Dienstleistungen (etwa Cloud-Anbieter, Netzbetreiber, Social Media, Hosting- und Telekommunikationsunternehmen) Anordnungen der ausländischen Behörden folgen, ohne eine inhaltliche Prüfung vorzunehmen. Handlungen, die im Anordnungsstaat strafbar sind, nicht aber im Staat, in dem die Verarbeitung stattfindet, können so auch Gegenstand einer Herausgabeverpflichtung sein. 

Umfassender Anwendungsbereich

Anordnungen zur Herausgabe von Teilnehmer- und  Zugangsdaten können für jede Art von Straftaten  erlassen werden. Die Vorgabe, Inhalts- und Transaktionsdaten nur bei Straftaten,  die  im  Anordnungsstaat  mit  einer  Freiheitsstrafe  im Höchstmaß  von  mindestens  drei  Jahren  geahndet  werden, ist wenig geeignet, die Bedenken zu zerstreuen. Anders als es die Erläuterungen der Kommission zum E-Evidence-Paket nahelegen, handelt es sich bei den drei Jahren nicht um eine Mindeststrafe, sondern um eine Mindesthöchststrafe. Ein Blick in das deutsche Strafgesetzbuch zeigt, dass dieses Kriterium auf eine Vielzahl von Straftaten zutrifft und nicht etwa nur auf Verbrechen oder schwere Straftaten. So wird Abtreibung in Polen mit einer Freiheitsstrafe von bis zu drei Jahren bestraft.  Die Voraussetzung zur Herausgabe wäre damit erfüllt. 

Ein deutscher Anbieter müsste die E-Mails und die Verkehrsdaten an die polnische Strafverfolgungsbehörde herausgeben, soweit diese in einem Abtreibungsfall ermittelt. Der Anbieter eines elektronischen Buchhaltungsdienstes, bei dem der Arzt einen Account hat, könnte ggf. auch Adressat einer entsprechenden Herausgabeanordnung sein.

Anschaulich wird diese Problematik auch beim Fall des katalanischen Exilpolitikers Puigdemont, gegen den ein spanischer Haftbefehl wegen „Aufruhr“ ergangen war.

Nach dem Beschluss des OLG Schleswig erfüllte das Tatgeschehen nach deutschem Recht keinen vergleichbaren Straftatbestand. Der von Spanien erlassene Europäische Haftbefehl durfte gegen ihn in Deutschland nicht vollstreckt werden. Nach der E-Evidence-VO wären die deutschen Provider trotzdem zur Herausgabe entsprechender elektronischer Dokumente verpflichtet gewesen, denn anders als beim Eurpäischen Haftbefehl ist hier keine Überprüfung durch ein Gericht desjenigen Staats vorgesehen, in dem die Anordnung vollstreckt werden soll.

Zumutungen für Provider

Völlig unzumutbar ist zudem die Situation für die Provider: Ihnen werden Pflichten auferlegt, die sie in einem rechtsstaatlich einwandfreien Verfahren nicht überprüfen können. Nicht nur Gerichte und Staatsanwaltschaften, sondern jede vom Anordnungsstaat  bezeichneten zuständige  Behörde kann eine entsrechende Anordnung erlassen. Dies können auch Finanz-, Regulierungs- und Verkehrsbehörden oder mit entsprechenden Befugnissen ausgestattete Geheimdienste sein. In den 28 EU-Staaten werden demnach sehr viele, möglicherweise mehr als tausend Behörden nach dem jeweiligen nationalen Recht die Befugnis erhalten, von den Unternehmen grenzüberschreitend die Herausgabe von Daten zu verlangen, vielfach ohne gerichtliche Bestätigung. Den Unternehmen ist es nicht einmal möglich, seriös zu prüfen, ob eine Behörde die entsprechende Befugnis besitzt, ja sogar, ob es sich überhaupt um eine Behörde handelt. Zwar sollen die jeweiligen Behörden eine entsprechende  Validierung durch Schreiben eines Gerichtes oder einer sonstigen Justizbehörde nachweisen. Dafür soll es jedoch ausreichen, wenn der Absender ein entsprechendes Dokument per Fax übermittelt. 

Ob das Fax und der darauf enthaltene Stempel einer Justizbehörde echt ist angesichts der sehr kurzen Fristsetzungen (in bestimmten Fällen sind die Unternehmen verpflichtet, die Daten innerhalb von sechs Stunden zu liefern!) kaum zu überprüfen, ja es ist nicht einmal sicher, ob das Schreiben überhaupt von einer Behörde stammt. Entsprechend groß ist die Gefahr, auf eine gefälschte Herausgabeanordnung hereinzufallen und ohne Rechtfertigungsgrund personenbezogene Daten an Dritte zu übermitteln. 

Bei Nichtbefolgung der Anordnung drohen ihm gleichwohl erhebliche finanzielle und strafrechtliche Konsequenzen. Der so bewirkten erheblichen Verletzung der Grundrechte des Betroffenen entspricht zudem ein erhebliches Haftungsrisiko für den Provider, unrechtmäßig Daten herausgegeben zu haben.

Keine Prüfung der Rechtmäßigkeit

Während bei der Europäischen Ermittlungsanordnung (EEA), einem anderen vor wenigen Jahren einigeführten Instrument, die Vollstreckung den Behörden unterliegt, in dessen Gebiet die Verarbeitung stattfindet, soll die elektronische Herausgabeanordnung soll unmittelbar an den ausländischen Provider ergehen. Irgendeine inhaltliche Überprüfung durch ein inländisches Gericht oder eine inländische Justizbehörde ist in der E-Evidence-VO nicht vorgesehen. Damit werden zukünftig auch Daten an ausländische Stellen übermittelt, bei denen inländischen Behörden eine entsprechende Befugnis nicht zusteht. Auch strafprozessuale Sicherungen – etwa der Richtervorbehalt – werden umgangen, wenn das Recht des Anordnungsstaats solche nicht vorsieht. Schließlich würden Anforderungen, die etwa das Bundesverfassungsgericht aufgestellt hat, z.B. zum Schutz des Kernbereichs privater Lebensgestaltung, nicht gewährleistet.

Die Verantwortung für die Übermittlung unterliegt damit dem Unternehmen, an das sich die Anordnung richtet – letztlich eine Privatisierung der strafprozessualen Verantwortlichkeit. Dabei haben die Unternehmen nur in sehr eigeschränktem Umfang die Möglichkeit, die Rechtmäßigkeit der Anordnung zu überprüfen oder die Übermittlung der angeforderten Daten abzulehnen, wenn er der Ansicht ist,  dass ausschließlich  aus  den  in  der Anordnung enthaltenen Informationen  hervorgeht,  dass  sie „offenkundig“ gegen die Charta der Grundrechte der Europäischen Union verstößt oder offensichtlich  missbräuchlich ist. 

Kommt die Echtzeit-Überwachung?

Strittig ist, inwieweit neben der Herausgabe bereits gespeicherter Daten auch eine Echtzeit-Überwachung („live interception“) in die E-Evidence-VO aufgenommen werden soll. Spätestens hier würden die zum Schutz des Telekommunikationsgeheimnisses bestehenden materiellen und prozessualen Garantien geschleift. Aber selbst wenn – wie zu erwarten – entsprechende Forderungen im Europäischen Parlament keine Mehrheit fänden, wäre die geplante Verordnung ein tiefer Eingriff in die europäischen und nationalen Grundrechte. Es wäre unverantwortlich, eine solche Regelung im Schnelldurchgang ohne gründliche Debatte durchzuwinken.

« Older Entries