Category Archives: PETER SCHAAR. Der Blog.

EAID is supporting the Universal Guidelines on Artificial Intelligence (UGAI)

The European Academy for Freedom of Information and Data Protection (EAID) has endorsed the Universal Guidelines on Artificial Intelligence (UGAI) presented by the Civil Rights Coalition „The Public Voice“ on 23 October 2018. The guidelines are now supported by more than 50 civil society organisations.

In order to enable the UGAI to be better disseminated to the German-speaking public, we have translated the text. We do not claim any copyrights for the German-language translation – however, we naturally assume responsibility for any translation errors.

English version of the UGAI on the website of The Public Voice. Here you will also find an online form to support the guidelines.

German version of the UGAI on the website of The Public Voice

Translated with www.DeepL.com/Translator

EAID unterstützt die Universal Guidelines on Artificial Intelligence  (UGAI)

EAID unterstützt die Universal Guidelines on Artificial Intelligence  (UGAI)

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) unterstützt die von der Bürgerrechtskoalition „The Public Voice“ am 23. Oktober 2018 vorgelegten „Allgemeinen Leitlinien für die künstliche Intelligenz“ (Universal Guidelines on Artificial Intelligence  – UGAI). Die die Leitlinien werden inzwischen von mehr als 50 zivilgesellschaftlichen Organisationen unterstützt. 

Um den UGAI auch in der deutschsprachigen Öffentlichkeit eine bessere Verbreitung zu ermöglichen, haben wir den Text übersetzt. Für die deutschsprachige Übersetzung beanspruchen wir keine Urheberrechte – für eventuelle Übersetzungsfehler übernehmen wir aber selbstverständlich die Verantwortung.

Wortlaut der UGAI auf der Website von The Public Voice. Hier finden Sie auch ein Online-Formular zur Unterstützung der Leitlinien

Deutscher Text bei The Public Voice

 

Deutsche Übersetzung der UGAI:

Allgemeine Leitlinien für die künstliche Intelligenz 

Vorgelegt am 23. Oktober 2018 in Brüssel, Belgien

Neue Entwicklungen in der Künstlichen Intelligenz verändern die Welt. Die Veränderungen betreffen viele Bereiche, von der Wissenschaft und Industrie bis hin zu Verwaltung und Finanzen. Der Bedeutungszuwachs von KI-Entscheidungen berührt die grundlegenden Rechte auf Fairness, Rechenschaftspflicht und Transparenz. Die Ergebnisse der modernen Datenanalyse haben für die Menschen erhebliche praktische Folgen. Sie wirken sich in den Bereichen Beschäftigung, Wohnen, Kredit, Handel und Strafverfolgung aus. Viele dieser Techniken sind völlig undurchsichtig, so dass der Einzelne nicht weiß, ob er überhaupt Gegenstand einer KI-Entscheidung war und ob die Entscheidung richtig und fair getroffen wurde.

Wir schlagen diese allgemeinen Leitlinien vor, um über das Design und die Verwendung von KI zu informieren und diese zu verbessern. Die Leitlinien zielen darauf ab, den Nutzen der KI zu maximieren, das Risiko zu minimieren und den Schutz der Menschenrechte zu gewährleisten. Diese Leitlinien sollten in ethische Standards einfließen. Sie sollten in nationales Recht und internationale Vereinbarungen übernommen, in die Praxis umgesetzt und beim Entwurf von Systemen berücksichtigt werden. Wir stellen klar, dass die Hauptverantwortung für KI-Systeme bei den Institutionen zu liegen hat, welche solche Systeme finanzieren, entwickeln und einsetzen.

  1. Recht auf Transparenz. Jeder Einzelne hat das Recht, die Grundlage einer KI-basierten Entscheidung zu kennen, die ihn betrifft. Dazu gehört die Kenntnis der in die Entscheidung einfließenden Faktoren, der Verarbeitungslogik und der entscheidungsrelevanten Techniken.
  1. Recht auf menschliche Bestimmung. Jeder Einzelne hat das Recht, dass die ihn betreffenden Entscheidungen letztlich von einem Menschen getroffen werden.
  1. Identifikationspflicht. Die für das KI-System verantwortliche Institution muss der Öffentlichkeit bekannt gemacht werden.
  1. Verpflichtung zur Fairness. Die für den KI-Einsatz verantwortliche Institution muss sicherstellen, dass das KI-System keine ungerechten Verhältnisse widerspiegelt, verzerrte Ergebnisse liefert und keine unzulässig diskriminierenden Entscheidungen trifft.
  1. Folgenabschätzung und Rechenschaftspflicht. Ein KI-System sollte nur eingesetzt werden, nachdem die Zwecke, die Ziele, der Nutzen sowie die Risiken in angemessener Weise bewertet wurden. Institutionen, die KI-Systeme einsetzen, müssen für dessen Entscheidungen verantwortlich sein
  1. Richtigkeit, Zuverlässigkeit und Gültigkeit. Die Institutionen müssen die Richtigkeit, Zuverlässigkeit und Validität von Entscheidungen gewährleisten.
  1. Verpflichtung zur Datenqualität. Die Institute müssen festlegen, welche Daten in die KI-Algorithmen einfließen und sie müssen sicherstellen, dass deren Qualität und Relevanz gewährleistet ist.
  1. Verpflichtung zur Gewährleistung der öffentlichen Sicherheit. Die Institutionen müssen die Risiken für die öffentliche Sicherheit bewerten, wenn KI-Systeme Geräte steuern oder kontrollieren. Sie haben die erforderlichen Kontrollmechanismen zu implementieren, um die Sicherheit zu gewährleisten.
  1. Verpflichtung zur Cybersicherheit. Institutionen müssen KI-Systeme vor Bedrohungen schützen, die sich aus ihrer Vernetzung ergeben.
  1. Verbot der geheimen Profilerstellung. Keine Institution darf ein System zur heimlichen Erstellung von Profilen einrichten oder betreiben.
  1. Verbot des umfassenden Scorings. Kein Staat darf eine allgemeine Bewertung seiner Bürger oder Einwohner einrichten oder betreiben.
  1. Abschaltpflicht. Jede Institution, die ein KI-System betreibt, hat die positive Verpflichtung zur Abschaltung des Systems, wenn die menschliche Kontrolle über das System nicht länger gewährleistet ist.

 

Erläuterndes Memorandum und Referenzen

Kontext

Die Universal Guidelines on Artificial Intelligence (UGAI) weisen auf die wachsenden Herausforderungen durch intelligente Computersysteme hin. Sie enthalten konkrete Empfehlungen zur Verbesserung des Designs von KI-Systemen. Im Kern sollen UGAI die Transparenz und Rechenschaftspflicht für diese Systeme voranbringen und sicherstellen, dass die Menschen die Kontrolle über die von ihnen geschaffenen Systeme behalten. Nicht alle Systeme fallen in den Anwendungsbereich dieser Richtlinien. Unser Anliegen sind jene Systeme, die sich auf die Rechte der Menschen auswirken. Vor allem dürfen diese Systeme keinen Schaden anrichten.

Die Erklärung kommt noch zur rechten Zeit. Regierungen in aller Welt entwickeln politische Vorschläge und schaffen öffentliche und private Institutionen, um die Forschung und Entwicklung von „KI“ zu fördern. Dies hat enorme Auswirkungen auf die Gesellschaft, unabhängig davon, ob und inwieweit die Öffentlichkeit an der Gestaltung und Entwicklung solcher Systeme mitwirkt. Die UGAI sind eine gesellschaftliche Reaktion auf diese Herausforderungen.

Die UGAI wurden auf der Internationalen Datenschutzkonferenz 2018 veröffentlicht, einem der weltweit bedeutendsten Treffen von Technologieführern und Datenschutzexperten.

Die UGAI bauen auf der bisherigen Arbeit von wissenschaftlichen Gesellschaften, Think Tanks, NGOs und internationalen Organisationen auf. Die UGAI beinhalten Elemente der Menschenrechtslehre, des Datenschutzrechts und ethischer Richtlinien. Die Leitlinien bauen auf  etablierten Grundsätzen für die KI-Governance auf und sie schlagen neue Prinzipien vor, die bisher nicht in politischen Rahmenwerken enthalten sind.

Terminologie

Der Begriff „Künstliche Intelligenz“ (KI) ist weit und unpräzise zugleich. Er beinhaltet Aspekte des maschinellen Lernens, regelbasierte Entscheidungsfindung und andere Computertechniken. Es gibt sogar unterschiedliche Meinungen darüber, ob Künstliche Intelligenz überhaupt möglich ist. Die UGAI räumen lediglich ein, dass der Begriff KI im allgemeinen Sprachgebrauch ein breites Spektrum verwandter Themen abdeckt und sie verwenden den Begriff, um die aktuelle Debatte anzuregen. Die Leitlinien versuchen nicht, die begrifflichen Grenzen von KI zu definieren, außer dass die KI einen gewissen Grad an automatisierter Entscheidungsfindung erfordert. Der Begriff „Leitlinien“ folgt der Praxis politischer Festlegungen, die sich in erster Linie an Regierungen und private Unternehmen richten.

Die UGAI enthalten Verpflichtungen für „Institutionen“ und Rechte der „Einzelnen“. Dies ergibt sich aus den fairen Informationspraktiken im Bereich des Datenschutzes. Die UGAI basieren auf dem Schutz des Einzelnen als grundlegendem Ziel. Unter öffentlichen und privaten Institutionen werden diejenigen verstanden, die KI-Systeme entwickeln und einsetzen. Der Begriff „Institution“ wurde anstelle des vertrauteren Begriffs „Organisation“ gewählt, um den dauerhaften und nachhaltigen Charakter der in den Leitlinien festgelegten Verpflichtungen zu unterstreichen. Ein Prinzip richtet sich an „nationale Regierungen“. Der Grund dafür wird im Folgenden erläutert.

Anwendung

Diese Leitlinien sollten in ethische Normen aufgenommen, in nationales Recht und internationale Vereinbarungen übernommen und in die Gestaltung von Systemen integriert werden.

Die Prinzipien

Die Elemente des Transparenzprinzips finden sich in mehreren modernen Datenschutzgesetzen, darunter dem US-Datenschutzrecht, der EU-Datenschutzrichtlinie, der Datenschutzgrundverordnung und in dem Übereinkommen 108 des Europarates. Dieses Prinzip soll eine unabhängige Rechenschaftspflicht für automatisierte Entscheidungen ermöglichen, wobei der Schwerpunkt auf dem Recht der Einzelnen liegt, die Gründe von für sie nachteiligen Entscheidungen zu kennen. Auch wenn es einem Einzelnen in der Praxis vielleicht nicht immer möglich ist, die Grundlagen einer bestimmten Entscheidung richtig zu interpretieren, ist es nicht überflüssig, eine solche Erklärung zu ermöglichen.

Das Recht auf eine menschliche Bestimmung bekräftigt, dass Menschen und nicht Maschinen für automatisierte Entscheidungen verantwortlich sind. In vielen Fällen, wie beispielsweise beim Betrieb eines autonomen Fahrzeugs, wäre es nicht möglich oder praktikabel, eine menschliche Entscheidung vor einer automatisierten Entscheidung einzufügen. Das ändert aber nichts an der Notwendigkeit, die Rechenschaftspflicht zu gewährleisten. Wenn also ein automatisiertes System versagt, sollte entsprechend diesem Prinzip eine menschliche Beurteilung des Ergebnisses vorgenommen werden.

Identifizierungspflicht. Dieses Prinzip reagiert auf die Identifikations-Asymmetrie, die bei der Interaktion zwischen Individuen und KI-Systemen entsteht. Ein KI-System weiß typischerweise sehr viel über eine Person; die Person kennt vielleicht nicht einmal den Betreiber des KI-Systems. Die Identifizierungspflicht bildet die Grundlage für die KI-Verantwortlichkeit, die darin besteht, die Identität eines KI-Systems und der verantwortlichen Institution klarzustellen.

Die Fairness-Verpflichtung erkennt an, dass alle automatisierten Systeme Entscheidungen treffen, die Vorurteile und Diskriminierung widerspiegeln. Aber solche Entscheidungen sollten nicht normativ ungerecht sein. Auf die Frage, was ungerecht oder unzulässig ist, gibt es keine einfache Antwort. Die Bewertung hängt oft vom Kontext ab. Die Fairness-Verpflichtung macht jedoch deutlich, dass eine Bewertung der tatsächlichen Ergebnisse allein nicht ausreicht, um ein KI-System zu bewerten. Auch die normativen Folgen müssen bewertet werden, einschließlich derjenigen, die bereits vor dem KI-Einsatz existierten oder durch ein KI-System verstärkt werden können.

Die Folgenabschätzungs- und Rechenschaftspflicht bezieht sich auf die Verpflichtung, ein KI-System vor und während der Implementierung zu beurteilen. Was die Folgenabschätzung betrifft, so besteht ein zentraler Zweck dieser Verpflichtung darin festzustellen, ob ein KI-System eingerichtet werden sollte. Ergibt eine Folgenabschätzung erhebliche Risiken, wie sie in den Grundsätzen zur öffentlichen Sicherheit und Cybersicherheit beschrieben sind, so sollte das Projekt nicht weiter verfolgt werden.

Die Verpflichtungen zur Genauigkeit, Zuverlässigkeit und Gültigkeit legen die Hauptverantwortlichkeiten fest, die mit dem Ergebnis automatisierter Entscheidungen verbunden sind. Die Aspekte sind sowohl einzeln als auch in der Gesamtschau zu interpretieren.

Das Prinzip der Datenqualität folgt aus den vorhergehenden Verpflichtungen.

Die Verpflichtung zur öffentlichen Sicherheit reagiert darauf, dass KI-Systeme Geräte in der physischen Welt steuern. Aus diesem Grund müssen die Institutionen sowohl die damit verbundenen Risiken bewerten als auch angemessene Vorsichtsmaßnahmen ergreifen, welche den Risiken begegnen.

Die Cybersicherheitsverpflichtung folgt aus der Verpflichtung zur öffentlichen Sicherheit und unterstreicht das Risiko, dass selbst gut gestaltete Systeme das Ziel feindlicher Akteure sein können. Wer KI-Systeme entwickelt und einsetzt, muss diese Risiken berücksichtigen.

Das Verbot der heimlichen Profilbildung folgt aus der Identifizierungspflicht. Ziel ist es, die bei KI-Systemen zunehmend auftretende Informationsasymmetrie zu vermeiden und die Möglichkeit einer unabhängigen Rechenschaftspflicht zu gewährleisten.

Das Verbot des umfassenden Scorings soll dem Risiko begegnen, dass eine Regierung dem Individuum einen einzigen, multifunktionalen Scorewert zuweist. Das Datenschutzrecht beurteilt universelle Identifikatoren, die die Profilerstellung von Personen ermöglichen, negativ. Solche Identifikatoren sind vielfach reguliert und teilweise verboten. Noch größer ist die Sorge im Hinblick auf eine umfassende individuelle Bewertung, die als „einheitlicher Scorewert“ bezeichnet wird. Ein einheitlicher Score spiegelt nicht nur ein umfassendes Profil sondern auch ein vorgegebenes Ergebnis über mehrere Bereiche der menschlichen Aktivität hinweg wider. Es besteht die Gefahr, dass es auch im privaten Sektor zu einheitlichen Scores kommt. Zwar ist denkbar, solche Systeme dem Wettbewerb auf dem Markt und staatlichen Vorschriften zu unterwerfen. Aber da der Einzelne keine Möglichkeit hat, einem von einer Regierung zugewiesenen einheitlichen Score entgegenzutreten, sollten solche Scores verboten werden.

Die Abschaltpflicht ist das ultimative Bekenntnis zur Verantwortlichkeit für ein KI-System. Die Verpflichtung setzt voraus, dass die Systeme unter menschlicher Kontrolle bleiben müssen. Ist dies nicht mehr möglich, sollte das System abgeschaltet werden.

(Übersetzt aus dem Englischen von Peter Schaar unter Verwendung von deepl.com)

E-Evidence: Kommt jetzt der internationale Daten-Supermarkt der Sicherheitsbehörden?

Die Idee ist alt, aber der konkrete Vorschlag ziemlich neu: Während Waren im EU-Binnenmarkt frei fließen und digitale Dienstleistungen grenzüberschreitend angeboten werden, endet die Kompetenz der Strafverfolgungsbehörden an den nationalen Grenzen. Eine Polizeibehörde, die im Rahmen ihrer Ermittlungen – etwa in einer Betrugssache – auf Daten zugreifen möchte, muss sich bisher an die Behörden des Staates wenden, wo die Daten verarbeitet werden. Wie mit diesem Ersuchen der ausländischen Behörde umgegangen wird, richtet sich nach dem Recht des Staates, auf dessen Territorium die Server stehen. Die Prozeduren hierfür richten sich nach den jeweils anwendbaren internationalen Rechtshilfeabkommen.

Die entsprechenden Prüfungen sind zeitaufwendig und sie führen nicht immer dazu, dass die angeforderten Daten freigegeben werden. Deshalb wird aus Sicherheitskreisen schon seit langem gefordert, den Zugriff zu erleichtern. Idealerweise sollen die Behörden direkt auf die im Ausland gespeicherten Daten zugreifen können. Die Europäische Kommission hat am 18. April 2018 den Entwurf einer entsprechenden EU-Verordnung vorgelegt. Die „Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen“ (E-Evidence-VO) soll den Behörden nun den grenzüberschreitenden Direktzugriff ermöglichen. 

Grundrechtseinschränkung im Schnelldurchgang ?

Seither beschäftigen sich das Europäische Parlament und der Ministerrat mit dem Entwurf. Das Europäische Parlament hat in der letzten Woche eine kritische Studie zum Kommissionsentwurf veröffentlicht.

Die österreichische Regierung hat kürzlich das ambitionierte Ziel verkündet, die Verhandlungen im Ministerrat bis zum 31. Dezember 2018 abzuschließen, wenn Österreich die Ratspräsidentschaft an Rumänien abtritt. 

Dieser gesetzgeberische Schnelldurchgang ist in mehrfacher Hinsicht brisant: Im Unterschied zu einer Richtlinie wäre eine EU-Verordnung direkt anwendbares Recht in den Mitgliedsstaaten und bedürfte keiner Umsetzung in nationales Recht. Sie bedeutet die Verordnung einen erheblichen Einschnitt in die Bürgerrechte, denn Herausgabeanordnungen müssten von den Anbietern elektronischer Dienste unmittelbar befolgt werden, ohne dass eine Behörde oder ein Gericht des Sitzlandes geprüft hat, ob die Herausgabe auch nach nationalem Recht zulässig wäre.

Zum anderen sind aber die Rechtsordnungen der Mitgliedsstaaten nicht harmonisiert; sie unterscheiden sich im Hinblick auf die Strafbarkeit, die Höhe von Strafandrohungen und rechtsstaatliche Sicherungen. Die Europäische Kommission führt  sogar zwei Verfahren gegen die Verletzung der Rechtsstaatlichkeit gegen Polen und Ungarn. Die Einleitung eines entsprechenden Verfahrens gegen Rumänien wird gerade diskutiert, weil auch in diesem Land  nach dem Willen der Regierung die Unabhängigkeit der Gerichte eingeschränkt werden soll. 

Wenn die E-Evidence-Verordnung in der vorgeschlagenen Form beschlossen wird, müssten deutsche Anbieter elektronischer Dienstleistungen (etwa Cloud-Anbieter, Netzbetreiber, Social Media, Hosting- und Telekommunikationsunternehmen) Anordnungen der ausländischen Behörden folgen, ohne eine inhaltliche Prüfung vorzunehmen. Handlungen, die im Anordnungsstaat strafbar sind, nicht aber im Staat, in dem die Verarbeitung stattfindet, können so auch Gegenstand einer Herausgabeverpflichtung sein. 

Umfassender Anwendungsbereich

Anordnungen zur Herausgabe von Teilnehmer- und  Zugangsdaten können für jede Art von Straftaten  erlassen werden. Die Vorgabe, Inhalts- und Transaktionsdaten nur bei Straftaten,  die  im  Anordnungsstaat  mit  einer  Freiheitsstrafe  im Höchstmaß  von  mindestens  drei  Jahren  geahndet  werden, ist wenig geeignet, die Bedenken zu zerstreuen. Anders als es die Erläuterungen der Kommission zum E-Evidence-Paket nahelegen, handelt es sich bei den drei Jahren nicht um eine Mindeststrafe, sondern um eine Mindesthöchststrafe. Ein Blick in das deutsche Strafgesetzbuch zeigt, dass dieses Kriterium auf eine Vielzahl von Straftaten zutrifft und nicht etwa nur auf Verbrechen oder schwere Straftaten. So wird Abtreibung in Polen mit einer Freiheitsstrafe von bis zu drei Jahren bestraft.  Die Voraussetzung zur Herausgabe wäre damit erfüllt. 

Ein deutscher Anbieter müsste die E-Mails und die Verkehrsdaten an die polnische Strafverfolgungsbehörde herausgeben, soweit diese in einem Abtreibungsfall ermittelt. Der Anbieter eines elektronischen Buchhaltungsdienstes, bei dem der Arzt einen Account hat, könnte ggf. auch Adressat einer entsprechenden Herausgabeanordnung sein.

Anschaulich wird diese Problematik auch beim Fall des katalanischen Exilpolitikers Puigdemont, gegen den ein spanischer Haftbefehl wegen „Aufruhr“ ergangen war.

Nach dem Beschluss des OLG Schleswig erfüllte das Tatgeschehen nach deutschem Recht keinen vergleichbaren Straftatbestand. Der von Spanien erlassene Europäische Haftbefehl durfte gegen ihn in Deutschland nicht vollstreckt werden. Nach der E-Evidence-VO wären die deutschen Provider trotzdem zur Herausgabe entsprechender elektronischer Dokumente verpflichtet gewesen, denn anders als beim Eurpäischen Haftbefehl ist hier keine Überprüfung durch ein Gericht desjenigen Staats vorgesehen, in dem die Anordnung vollstreckt werden soll.

Zumutungen für Provider

Völlig unzumutbar ist zudem die Situation für die Provider: Ihnen werden Pflichten auferlegt, die sie in einem rechtsstaatlich einwandfreien Verfahren nicht überprüfen können. Nicht nur Gerichte und Staatsanwaltschaften, sondern jede vom Anordnungsstaat  bezeichneten zuständige  Behörde kann eine entsrechende Anordnung erlassen. Dies können auch Finanz-, Regulierungs- und Verkehrsbehörden oder mit entsprechenden Befugnissen ausgestattete Geheimdienste sein. In den 28 EU-Staaten werden demnach sehr viele, möglicherweise mehr als tausend Behörden nach dem jeweiligen nationalen Recht die Befugnis erhalten, von den Unternehmen grenzüberschreitend die Herausgabe von Daten zu verlangen, vielfach ohne gerichtliche Bestätigung. Den Unternehmen ist es nicht einmal möglich, seriös zu prüfen, ob eine Behörde die entsprechende Befugnis besitzt, ja sogar, ob es sich überhaupt um eine Behörde handelt. Zwar sollen die jeweiligen Behörden eine entsprechende  Validierung durch Schreiben eines Gerichtes oder einer sonstigen Justizbehörde nachweisen. Dafür soll es jedoch ausreichen, wenn der Absender ein entsprechendes Dokument per Fax übermittelt. 

Ob das Fax und der darauf enthaltene Stempel einer Justizbehörde echt ist angesichts der sehr kurzen Fristsetzungen (in bestimmten Fällen sind die Unternehmen verpflichtet, die Daten innerhalb von sechs Stunden zu liefern!) kaum zu überprüfen, ja es ist nicht einmal sicher, ob das Schreiben überhaupt von einer Behörde stammt. Entsprechend groß ist die Gefahr, auf eine gefälschte Herausgabeanordnung hereinzufallen und ohne Rechtfertigungsgrund personenbezogene Daten an Dritte zu übermitteln. 

Bei Nichtbefolgung der Anordnung drohen ihm gleichwohl erhebliche finanzielle und strafrechtliche Konsequenzen. Der so bewirkten erheblichen Verletzung der Grundrechte des Betroffenen entspricht zudem ein erhebliches Haftungsrisiko für den Provider, unrechtmäßig Daten herausgegeben zu haben.

Keine Prüfung der Rechtmäßigkeit

Während bei der Europäischen Ermittlungsanordnung (EEA), einem anderen vor wenigen Jahren einigeführten Instrument, die Vollstreckung den Behörden unterliegt, in dessen Gebiet die Verarbeitung stattfindet, soll die elektronische Herausgabeanordnung soll unmittelbar an den ausländischen Provider ergehen. Irgendeine inhaltliche Überprüfung durch ein inländisches Gericht oder eine inländische Justizbehörde ist in der E-Evidence-VO nicht vorgesehen. Damit werden zukünftig auch Daten an ausländische Stellen übermittelt, bei denen inländischen Behörden eine entsprechende Befugnis nicht zusteht. Auch strafprozessuale Sicherungen – etwa der Richtervorbehalt – werden umgangen, wenn das Recht des Anordnungsstaats solche nicht vorsieht. Schließlich würden Anforderungen, die etwa das Bundesverfassungsgericht aufgestellt hat, z.B. zum Schutz des Kernbereichs privater Lebensgestaltung, nicht gewährleistet.

Die Verantwortung für die Übermittlung unterliegt damit dem Unternehmen, an das sich die Anordnung richtet – letztlich eine Privatisierung der strafprozessualen Verantwortlichkeit. Dabei haben die Unternehmen nur in sehr eigeschränktem Umfang die Möglichkeit, die Rechtmäßigkeit der Anordnung zu überprüfen oder die Übermittlung der angeforderten Daten abzulehnen, wenn er der Ansicht ist,  dass ausschließlich  aus  den  in  der Anordnung enthaltenen Informationen  hervorgeht,  dass  sie „offenkundig“ gegen die Charta der Grundrechte der Europäischen Union verstößt oder offensichtlich  missbräuchlich ist. 

Kommt die Echtzeit-Überwachung?

Strittig ist, inwieweit neben der Herausgabe bereits gespeicherter Daten auch eine Echtzeit-Überwachung („live interception“) in die E-Evidence-VO aufgenommen werden soll. Spätestens hier würden die zum Schutz des Telekommunikationsgeheimnisses bestehenden materiellen und prozessualen Garantien geschleift. Aber selbst wenn – wie zu erwarten – entsprechende Forderungen im Europäischen Parlament keine Mehrheit fänden, wäre die geplante Verordnung ein tiefer Eingriff in die europäischen und nationalen Grundrechte. Es wäre unverantwortlich, eine solche Regelung im Schnelldurchgang ohne gründliche Debatte durchzuwinken.

EMRG: Massenhafte Überwachung durch britischen Geheimdienst verstieß gegen Europäische Menschenrechtskonvention

Am 13. September 2018 hat der Europäische Gerichtshof für Menschenrechte (EGMR) in Straßburg entschieden, dass die massenhafte Überwachung des britischen Geheimdienstes GCHQ (Government Communications Headquarters), die dieser in Zusammenarbeit mit dem US-amerikanischen Computer-Geheimdienst NSA (National Security Agency) durchgeführt hat, die Europäischen Menschenrechtskonvention (EMRK) verletzt.

Das Urteil erging fast auf den Tag genau fünf Jahre nach der Einreichung der Klage durch die Britische Bürgerrechtsorganisation Big Brother Watch und andere, darunter Amnesty International, den britischen PEN-Club und die Sprecherin des deutschen Chaos-Computer-Clubs Constanze Kurz.

 

1. Inhalt der Entscheidung

In dem Kammerurteil (ECHR 299 (2018)) stellte das Gericht fest, dass die Massenüberwachung gegen Artikel 8 EMRK (Recht auf Achtung des Privat- und Familienlebens bzw. der Kommunikation) und gegen Artikel 10 (Meinungs- und Pressefreiheit) verstößt.

Sowohl die Auswahl der überwachten Internetnutzer als auch die Filterung, Suche und Auswahl der abgefangenen Mitteilungen wurden nur unzureichend kontrolliert. Zudem fehlten Garantien für die Auswahl „verbundener Kommunikationsdaten“, insbesondere im Hinblick auf deren Nachprüfbarkeit.

Auch die Mechanismen, derer sich der GCHQ bediente, um an die von Kommunikationsdiensteanbietern gespeicherten Daten zu gelangen, verstößt gegen Artikel 8. Sowohl das Regime der Massenüberwachung als auch die die Beschaffung von Kommunikationsdaten von Kommunikationsdiensteanbietern verstießen zudem gegen Artikel 10 (Presse- und Meinungsfreiheit), da es keine ausreichenden Garantien in Bezug auf vertrauliches journalistisches Material gibt.

Nicht beanstandet hat der Gerichtshof den Austausch der erlangten Daten mit Diensten anderer Staaten. Zurückgewiesen wurden ferner Beschwerden, die sich gegen Mängel in der gerichtlichen Nachprüfbarkeit der Überwachungspraxis und gegen Verstöße gegen das Diskriminierungsverbot richteten.

2. Bewertung 

Es handelt sich um die erste Entscheidung eines höchsten Europäischen Gerichts, die sich direkt mit der durch den Edward Snowden aufgedeckten geheimdienstlichen Überwachungspraxis auseinandersetzt. Zusammen mit früheren Urteilen – etwa der Annullierung des Safe Harbour-Abkommens durch den Gerichtshof der Europäischen Union (EuGH) von 2015 – verdeutlicht die jüngste Entscheidung, dass staatliche Überwachungsmaßnahmen stets dort ihre Grenze finden, wo sie Grund- und Menschenrechte verletzen. Das ist stets dann der Fall, wenn unterschiedlos Daten sehr vieler Menschen betroffen sind, die keinerlei Bezug zu einer schweren Gefährdung der öffentlichen Sicherheit aufweisen. 

Von entscheidender Bedeutung ist auch die effektive Kontrolle des staatlichen Handelns  durch Gerichte, unabhängige Datenschutzbehörden und Parlamente. All dies war bei den 2013 aufgedeckten umfassenden Überwachungsaktivitäten nicht gegeben.

Die Bedeutung der Entscheidung ist erheblich und sie geht weit über die monierte Praxis der britischen Behörden hinaus.  Zwar stellte der Gerichtshof fest, dass nicht jede Regelung, die eine massenhafte Überwachung vorsieht, an sich gegen die EMRK verstößt. Zugleich stellte er aber fest, dass eine solche Regelung die in der EGMR-Rechtsprechung festgelegten Kriterien erfüllen muss. 

Großbritannien ist nun gehalten, die Überwachungspraxis der Geheimdienste deutlich zu begrenzen. Dies ist umso notwendiger, als die Überwachungsbefugnisse durch den Investigative Powers Act 2016 sogar noch ausgeweitet wurden. Seit dem Brexit-Referendum fordern Hardliner, dass das Vereinigte Königreich die EMRK verlässt. Zwar ist die Europäische Union als Institution nicht selbst der EMRK beigetreten, sie unterliegt jedoch den Vorgaben der Grundrechtecharta. Die Europäische Union muss bei den Austrittsverhandlungen klarmachen, dass jedwede „gütliche“ Regelung mit Großbritanniens ausgeschlossen ist, wenn sich das Land nicht mehr an die Menschenrechte gebunden fühlt und weder die Rechtsprechung des EMRG noch des Europäischen Gerichtshofs als bindend anerkennt.

Angesichts der fortdauernden geheimdienstlichen Massenüberwachung ist aber nicht nur in Großbritannien eine deutliche Einschränkung der Befugnisse der Nachrichtendienste erforderlich. Dies betrifft auch Deutschland, wo die Große Koalition mit verschiedenen 2016 beschlossenen Gesetzen die Befugnisse des Verfassungsschutzes ausgeweitet und die bis dahin illegalen Abhörpraktiken des Bundesnachrichtendienstes legalisiert hat.

Die EGMR-Entscheidung ist ein Weckruf, der uns dazu veranlassen sollte, die in den letzten Jahren weitgehend eingeschlafene Diskussion darüber, wieviel Überwachung eine freiheitliche Gesellschaft verträgt, wieder aufzunehmen.

Vier Wochen DSGVO – Plädoyer für einen konstruktiven Dialog

Von Peter Schaar

Dieser Beitrag erschien zuerst in der Zeitschrift BvD-News 2/2018

Der Start des neuen Europäischen Datenschutzrechts verlief holprig, zumindest in Deutschland. Der Datenschutz schaffte es sogar auf die Titelseiten auflagenstarker Tageszeitungen, allerdings vorwiegend mit negativen Schlagzeilen. In kaum einem Lokalblatt fehlten Leidensmeldungen örtlicher Vereinsvorstände, Handwerker und Unternehmer über den mit der Umsetzung verbundenen Aufwand. Auch in Social Media wurden hatten die Kritiker rein zahlenmäßig die Oberhand. Schließlich beschäftigte sich der Deutsche Bundestag genau drei Wochen nach dem Wirksamwerden der Datenschutzgrundverordnung mit der Materie – und auch hier gab es viel Kritik. Irgendetwas ist hier offenbar grundlegend schief gelaufen. Was sind die Ursachen dafür, dass sich jetzt viele überfordert fühlen? Und wie könnte eine Abhilfe aussehen?

Kommunikationsprobleme

Immer wieder hört man die Behauptung, die DSGVO sei am 25. Mai 2018 „in Kraft getreten“. Tatsächlich ist das Regelwerk aber schon seit mehr als zwei Jahren in Kraft, seit Mai 2016. Die Falschaussage belegt, dass sich die wenigsten Entscheidungsträger in der Politik, der Wirtschaft und Gesellschaft rechtzeitig ernsthaft mit dem Datenschutz beschäftigt hatten. Viele Rechtsanwender haben die zweijährige Anpassungszeit bis zum Wirksamwerden der DSGVO ungenutzt verstreichen lassen, wie Umfragen des Digitalverbandes Bitkom belegen. Die wenigsten Unternehmen hatten ihre Vorbereitungen auf das neue Datenschutzrecht fristgerecht abgeschlossen, manche hatten damit sogar erst unmittelbar vor dem 25. Mai begonnen. Noch erheblich gravierender war die Situation in Vereinen, Handwerksbetrieben, Selbstständigen und kleinen Betrieben: Vielfach nahmen Vorstände und andere Verantwortliche erst nach dem Wirksamwerden die Neuregelungen wahr. Umso größer war die Verunsicherung, ja Empörung bei Manchen, denen sehr spät klar wurde, dass sie sich nun ernsthaft mit der Materie auseinandersetzen müssen.

Die vielfach sehr späte Beschäftigung mit den neuen datenschutzrechtlichen Anforderungen ist großen Teils Ergebnis eines gravierenden Kommunikationsproblems: Die Bundesregierung hat dem Thema in ihrer Öffentlichkeitsarbeit kein besonderes Interesse gewidmet. So hat das für den Datenschutz zuständige Bundesinnenministerium erst im April 2018 ein Dokument zu einigen Grundfragen der neuen Datenschutzregeln auf seine Website gestellt, das aber ansonsten sehr allgemein bleibt. Zudem hat das Ministerium einige wenige Informationsveranstaltungen für interessierte Verbände durchgeführt, aber auch diese erst zu einem sehr späten Zeitpunkt.

Auch die Öffentlichkeitsarbeit der unabhängigen Datenschutzbehörden über die Neuregelungen war kein Ruhmesblatt. Die immerhin 18 deutschen Behörden haben zwar einige gemeinsame Positions- und Kurzpapiere zu wichtigen Fragen veröffentlicht. Auf den Websites der Bundes- und Landesdatenschutzbeauftragten findet man darüber hinaus eine zunehmende Zahl von Leitfäden, Handreichungen und Anwendungshilfen. Sie haben allerdings den Nachteil, dass sie vielfach nicht abgestimmt sind und sich in einzelnen Punkten sogar widersprechen. Im Vergleich zu den Informationen, Tools und Medieninformationen der Datenschutzbehörden anderer Mitgliedsstaaten — etwa der britischen ICO oder der französischen CNIL — nimmt sich die Öffentlichkeitsarbeit der deutschen Datenschutzbehörden zum neuen Datenschutzrecht aber eher bescheiden aus.

Interpretationsspielräume

Die DSGVO enthält eine Vielzahl von allgemeinen Rechtsbegriffen und auslegungsbedürftigen Regelungen. Zudem hatten die Regierungen der Mitgliedsstaaten gegenüber der Europäischen Kommission und dem Europäischen Parlament zahlreiche Öffnungsklauseln durchgesetzt, die durch nationales Recht gefüllt werden können oder sogar müssen. Damit wurde das wichtigste Ziel der Neuregelung in Frage gestellt, ein einheitliches Datenschutzrecht in der gesamten EU. Was zu befürchten war, ist inzwischen eingetreten: Die in nationalen Anpassungs- und Umsetzungsgesetze fallen sehr unterschiedlich aus. Dies hat zur Konsequenz, dass sich grenzüberschreitend tätige Unternehmen, anders als versprochen, weiterhin mit den Besonderheiten des nationalen Rechts auseinandersetzen müssen. Für große Unternehmen mit leistungsstarken Rechtsabteilungen ist das kein großes Problem, für kleinere Unternehmen und StartUps schon.

Bei näherem Hinsehen liefert das im Sommer 2017 beschlossene BDSG vor allem zusätzliche Spielräume für die staatliche Datenverarbeitung und schränkt Betroffenenrechte und Kontrollbefugnisse der Datenschutzbehörden ein. Dort, wo konkrete Regelungen erforderlich sind, bleibt das BDSG aber wenig konkret – etwa beim Datenschutz im Beschäftigungsverhältnis. Oder sie fehlen völlig – etwa beim gebotenen Ausgleich von Meinungsfreiheit und Datenschutz. Letzteren wollte die Bundesregierung allem Anschein nach  völlig den Ländern überlassen, obwohl es hier durchaus Regelungsnotwendigkeiten im Bundesrecht gibt. Erst als daran Kritik aufkam, insbesondere im Hinblick auf den Umgang mit digitalen Fotografien, äußerte sich das Bundesinnenministerium dahingehend, dass das Kunsturhebergesetz weiterhin anwendbar sei. Zwar ist diese Klarstellung durchaus vertretbar, sie lässt allerdings weite Aspekte der Nutzung von Social Networks offen. Zudem wäre es durchaus möglich und sinnvoll gewesen, das betagte Gesetz — es stammt aus dem Jahr 1907 — im Sinne der Abwägung der widerstreitenden Grundrechte an die Vorgaben der Datenschutzgrundverordnung anzupassen.

Regelungslücken gibt es auch bei den in Deutschland besonders zahlreichen bereichsspezifischen Gesetzesbestimmungen zum Datenschutz. Eine Reihe davon wurde zwar im letzten Jahr novelliert — aber ohne die gebotene gründliche parlamentarische Beratung. Wie beim BDSG konzentrierte sich die Große Koalition auch hier vor allem darauf, bestehende Befugnisse zur behördlichen Datenverarbeitung abzusichern. Die Chance zu einer echten inhaltlichen Weiterentwicklung wurde verpasst.

Äußerst unklar ist die Rechtslage beim Datenschutz im Internet. So ist fraglich, inwieweit das Telemediengesetz (TMG) noch gilt, denn es ist umstritten, in welchem Verhältnis die Vorgaben der nach wie vor gültigen europäischen E-Privacy-Richtlinie und die Bestimmungen der DSGVO stehen. Die Datenschutzbehörden des Bundes und der Länder vertreten die Position, dass die zentralen TMG-Regelungen zur Zulässigkeit der Verarbeitung nicht mehr angewendet werden dürfen. Vermutlich werden wir auf verbindliche Antworten bis zu einem Beschluss über die diskutierte E-Privacy-Verordnung warten müssen — wenn sie denn überhaupt kommt. Der Brüsseler Trilog darüber verläuft offenbar sehr zäh.

Auch bei der Datenschutzaufsicht bei Telekommunikationsunternehmen besteht große Unsicherheit. Da das Telekommunikationsgesetz (TKG) noch nicht novelliert wurde, stellt sich die Frage nach der Zuständigkeit für die Datenschutzaufsicht und deren Sanktionsbefugnissen. Die Aufgabenzuweisung für die Datenschutzkontrolle an die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) dürfte zwar Bestand haben. Anders sieht es jedoch in Bezug auf die Verfolgung von Ordnungswidrigkeiten und die Verhängung von Bußgeldern aus, die bisher der Bundesnetzagentur (BNA) oblagen. Angesichts der klaren Vorgaben der DSGVO stehen diese Befugnisse seit dem 25. Mai 2018 allein der BfDI zu, denn nur sie ist eine unabhängige Datenschutzbehörde. Sollte die BNA gleichwohl Datenschutzverstöße mit Bußgeldern belegen, würde dies mit einem erheblichen rechtlichen Risiko verbunden sein.

Föderalismus

 Die vom Grundgesetz vorgegebene föderale Struktur Deutschlands wirkt sich auch auf den Datenschutz aus. Dies muss nicht unbedingt schlecht sein, denn die Landesbehörden, denen neben der Datenschutzkontrolle der öffentlichen Stellen der Länder auch die Aufsicht über die Wirtschaft obliegt, sind näher an den Bürgerinnen und Bürgern und an den lokalen Datenverarbeitern, als es eine Bundeszentralbehörde sein könnte. Angesichts der durch die DSGVO bewirkten signifikanten Ausweitung der Aufgaben, zusätzlicher Befugnisse und enger Bearbeitungsfristen sind aber die Nachteile des föderalistisch organisierten Datenschutzes nicht mehr zu übersehen.

Dass die Landesgesetze zum Datenschutz unterschiedliche Vorgaben beinhalten, ist nicht neu. Die DSGVO hätte zum Anlass genommen werden können, diese Differenzen abzubauen oder zu beseitigen. Leider hatten sich die zuständigen Landesministerien aber nicht einmal auf einen Musterentwurf verständigen können. Zudem ist der Gesetzgebungsprozess in den Ländern sehr erst recht spät in Gang gekommen, so dass bis zum 25. Mai 2018 ein Teil der Landesdatenschutzgesetze nicht novelliert war. Das ist ein Problem, denn die alten, als Vollregelungen ausgelegten Gesetze sind nach dem Wirksamwerden der DSGVO zum Teil nicht mehr anzuwenden.

Bei den bereichsspezifischen Bestimmungen der Länder sieht es kaum besser aus. Zwar wurden durch den 21. Rundfunkänderungsstaatsvertrag einige medienrechtliche Regelungen upgedatet, jedoch erfolgte das in einer Weise, die den Vorgaben der DSGVO kaum gerecht zu werden vermochte. Der von der DSGVO erteilte Gesetzgebungsauftrag, für einen Ausgleich zwischen Datenschutz und Informations- und Meinungsfreiheit zu sorgen, wurde von den Ländern einseitig dahingehend interpretiert, den redaktionell-journalistischen Bereich weiterhin pauschal von den wichtigsten Vorgaben des  Datenschutzrechts auszunehmen. In vielen anderen Bereichen haben sich die Länder nicht einmal auf gemeinsame Vorgaben einigen können, etwa im Presserecht. Damit bleibt das Patchwork unterschiedlicher Datenschutzbestimmungen auch hier erhalten.

So stellt sich die Frage, ob das wichtigste zugunsten unterschiedlicher Datenschutzbestimmungen angeführte Argument überhaupt greift: Ein Wettbewerb der Länder um den besten Datenschutz („kompetitiver Föderalismus“). Schon in den letzten zwei Dekaden musste man solche datenschutzrechtlichen Innovationen mit der Lupe suchen. Angesichts der durch die DSGVO eingeschränkten Regelungskompetenzen der Länder werden die Spielräume für  eine kreative Weiterentwicklung des Datenschutzes jedenfalls noch geringer.

Die DSGVO versieht die Datenschutzbehörden mit stärkeren Durchsetzungs- und Sanktionsbefugnissen. Um eine einheitliche Aufsichtspraxis zur gewährleisten, enthält das neue Recht zudem detaillierte Vorgaben zur gegenseitigen Kooperation und zur Kohärenz ihrer Entscheidungen. Eine zentrale Stellung nimmt dabei der Europäische Datenschutzausschuss (EDSA) ein, der von den nationalen Datenschutzbehörden beschickt wird. Es liegt auf der Hand, dass es großer Anstrengungen bedarf, um die Positionen der Vertreter der Aufsichtsbehörden der 28 Mitgliedsländer unter einen Hut zu bringen. In Deutschland mit seinen 18 unabhängigen Datenschutzbehörden — Bundesbeauftragte, Landesbeauftragte und LDA Bayern — (hinzu kommen die Datenschutzbeauftragten der Kirchen und der Landesrundfunkanstalten) besteht zusätzlich die Notwendigkeit zur Vereinheitlichung auf nationaler Ebene.

Die BfDI vertritt Deutschland im EDSA und ist „zentrale Anlaufstelle“ für grenzüberschreitende Datenschutz-Angelegenheiten. Ihre Stellvertreter/in ist vom Bundesrat aus dem Kreis der Leiter/innen der Landesdatenschutzbehörden zu wählen. Leider hat der BR jedoch den bzw. die Ländervertreterin nicht gewählt, so dass die BfDI Deutschland bis auf weiteres allein im EDSA vertritt, aber in Fragen, die in Länderzuständigkeit liegen, an das Votum der Landesdatenschutzbehörden gebunden ist.

Das neue BDSG erklärt die Regelungen der DSGVO für die Zusammenarbeit der Aufsichtsbehörden im EDSA für sinngemäß für die Kooperation der deutschen Datenschutzbehörden untereinander für anwendbar erklärt, allerdings nur, soweit es um Angelegenheiten geht, die im EDSA verhandelt werden. Dies bedeutet, dass die Konferenz der   unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) erheblich aufgewertet wurde und Entscheidungen zur Datenschutzaufsicht per Mehrheitsbeschluss treffen kann. Ob dies generell zu einer Vereinheitlichung der Datenschutzaufsicht in Deutschland führt, bleibt abzuwarten. Absehbar ist aber schon jetzt, dass das zweistufige Verfahren der Meinungsbildung – auf nationaler und auf europäischer Ebene – erheblichen Aufwand erzeugt und die Möglichkeiten Deutschlands, auf die Entscheidungen des EDSA einzuwirken, erheblich einschränkt.

Was jetzt zu tun ist

Angesichts der verbreiteten Verunsicherung brauchen wir zunächst eine Kommunikationsoffensive der Bundesregierung und der Datenschutzbehörden. Es ist Sache insbesondere des Bundesinnenministeriums, den Kenntnisstand in der Bevölkerung über die Bedeutung, die Prinzipien und konkreten Regelungen zum Datenschutz zu verbessern. Besonders gefragt sind die Datenschutzbehörden: Sie müssen unmissverständliche Antworten auf die zentralen Auslegungsfragen geben. Auch wenn sich wirkliche Rechtssicherheit erst mittelfristig einstellen wird, wenn sich eine gefestigte Rechtsprechung herausgebildet hat, brauchen die Bürgerinnen und Bürger, Vereine und Unternehmen und auch die öffentlichen Stellen klare Aussagen der Datenschutzbehörden darüber, wie sie die Rechtsvorschriften verstehen und woran sie sich in ihrer Aufsichtspraxis orientieren werden. Die 19 von der Datenschutzkonferenz bisher veröffentlichten „Kurzpapiere“ sind zwar ein guter Ausgangspunkt, ausreichend sind sie bei weitem nicht. Notwendig sind abgestimmte, zielgruppenorientierte Anwendungshinweise, Musterformulare und elektronische Tools. Statt das Rad immer wieder neu zu erfinden, sehe ich die dringende Notwendigkeit zu gemeinsamen Positionierungen. Wenn nötig, sollte die DSK auch hier mit Mehrheit entscheiden.

Die Gesetzgebung muss auf Bundes- und Landesebene zügig vorangebracht werden. Dies gilt sowohl für die Landesdatenschutzgesetze als auch für die spezialgesetzlichen Datenschutzbestimmungen. Angesichts der verbreiteten Verunsicherung – etwa bei der Benennungspflicht von Datenschutzbeauftragten bei nicht-öffentlichen Stellen – sollte hier eine Präzisierung erfolgen, ebenso hinsichtlich der Bestimmungen zum Ausgleich von Meinungsfreiheit und Datenschutz und beim Datenschutz im Internet und Sozialen Netzwerken. Notwendig sind auch Gesetzeskorrekturen im Wettbewerbsrecht, die sicherstellen, dass Missbräuche von Abmahnmöglichkeiten unterbunden werden.

Schließlich müssen die Datenschutzbehörden besser ausgestattet werden. Die Ausstattung der Datenschutzbehörden mit Personal und Sachmitteln ist in manchen Bundesländern so schlecht, dass sie die vielen ihnen zugewiesenen Aufgaben nicht ansatzweise erfüllen können. Dies hat zur Konsequenz, dass ihre Aufsichtstätigkeit nicht effektiv wahrnehmen können und auch nicht über die notwendigen Beratungskapazitäten für Bürger, Vereine, Unternehmen und Kommunen verfügen.

Es bleibt zu hoffen, dass alle Beteiligten möglichst bald in einen konstruktiven Dialog kommen und die notwendigen Schritte unternehmen, damit das neue Europäische Datenschutzrecht seine zentrale Aufgabe erfüllt: Die datenschutzrechtliche Flankierung der Digitalisierung, die ohne entsprechende Leitplanken sehr schnell zu einer Sackgasse werden könnte. Datenschutz und informationelle Selbstbestimmung sind zentrale Grundrechte des Informationszeitalters – das dürfen wir bei aller Kritik an dieser oder jener Regelung nicht aus dem Auge verlieren!

Mehr Sicherheit durch Fingerabdruck im Personalausweis?

Die Europäische Kommission hat für heute einen Vorschlag angekündigt, der vorsieht, dass zukünftig alle von den EU-Staaten ausgestellten Personalausweise mit den elektronisch erfassten und auslesbaren Fingerabdrücken der Inhaber versehen werden müssen. Die neue Regelung wird – wieder einmal – mit der Notwendigkeit begründet, den internationalen Terrorismus wirkungsvoll zu bekämpfen.

Während die Pässe, in denen die Fingerabdrücke bereits seit 2008 obligatorisch gespeichert werden, nur auf Antrag ausgestellt und für Reisen in bestimmte Länder außerhalb der Union benötigt werden, sind die Bürgerinnen und Bürger in den meisten EU-Mitgliedsstaaten verpflichtet, sich einen Personalausweis ausstellen zu lassen und diesen bei Kontrollen – etwa an den EU-Binnen- und Außengrenzen – vorzulegen. Das neue Vorhaben hat deshalb eine ganz andere Breitenwirkung als die Einführung der biometrischen Merkmale bei den EU-Reisepässen vor zehn Jahren.

Umso wichtiger ist die Frage, wie die erweiterte Datenerfassung begründet wird und welche Konsequenzen sie hat. Das zentrale, von EU-Innenkommissar Dimitris Avramopoulos vorgebrachte Argument ist die Erhöhung der Fälschungssicherheit. Nur durch elektronische Fingerabdrücke ließe sich die Fälschung von Ausweisen sicher verhindern. 

Eigentlich würde man erwarten, dass die Kommission dies mit Zahlen über ge- oder verfälschte Identitätspapiere belegen könnte.  Zudem war ja schon die verpflichtende Einführung des elektronisch im Personalausweis gespeicherten Gesichtsbilds mit der Erhöhung der Fälschungssicherheit begründet worden. Da inzwischen die meisten Personalausweise mit einem elektronisch, in einem Chip gespeicherten Passbild versehen sind, müsste sich doch feststellen lassen, wieviele Teil- oder Komplett-Fälschungen es bei diesen Papieren gegeben hat. Werden entsprechende Zahlen vorgelegt? Gibt es auch nur ein einziges Beispiel dafür, dass sich ein Terroranschlag oder eine andere schwere Straftat hätte verhindern lassen, wenn ein mit modernen Sicherheitsmerkmalen ausgestatteter Personalausweis zusätzlich mit Fingerabdrücken versehen gewesen wäre? Wir können gespannt sein, ob die Kommission heute diese Fakten vorlegen wird. Ich bin da eher skeptisch, denn es ist nicht einml plausibel, worin der zusätzliche Fälschungsschutz bestehen würde, wenn auch der Fingerabdruck elektronisch gespeichert würde. Wenn sich der Chip manipulieren lässt, dann gilt dies für das auf ihm bereits gespeicherte Lichtbild und den Fingerabdruck gleichermaßen. Und wenn der Chip manipulationssicher ist, bringt der elektronische Fingerabdruck keine zusätzliche Fälschungssicherheit.

Vieles spricht also dafür, dass die Erhöhung der Fälschungssicherheit ist ein vorgeschobenes Argument ist. Der zentrale „Vorteil“ der zusätzlichen Speicherung des Fingerabdrucks besteht darin, dass dieser sich deutlich besser dazu eignet, mit Datenbanken abgeglichen zu werden. Dieses Argument wurde aber bisher nicht vorgebracht, vielleicht deshalb, weil dann deutlich würde, dass es wieder einmal nur um mehr Überwachung geht, selbst wenn diese ggf. nicht zur Erhöhung der Sicherheit beiträgt.

Zudem würden beiläufig flächendeckende Fingerabdruckdatenbanken entstehen. Zwar schließt das deutsche Recht (bisher) die zentrale Speicherung biometrischer Merkmale aus, die bei der Ausweis- und Passbeantragung anfallen. Allerdings hat der Bundestag im Sommer 2017 die rechtlichen Voraussetzungen dafür geschaffen, dass sämtliche Sicherheitsbehörden online auf die in den dezentralen Pass- und Personalausweisregistern gespeicherten elektronischen Passfotos zugreifen können, und zwar nicht bloß für die Strafverfolgung, sondern für sämtliche von den Behörden wahrgenommenen Aufgaben. Wenn die dezentralen Register online abgefragt werden, degeneriert jedoch das Verbot der zentralen Speicherung zu einem schmückenden Beiwerk, das einzig dem Zweck dient, die Nerven von Skeptikern zu beruhigen.

Der aktuelle Vorschlag der Kommission ist ein weiterer Schritt zum Ausbau einer flächendeckenden Überwachungsinfrastruktur. Auch wenn dabei rechtliche Nutzungsbegrenzungen vorgesehen werden sollten, wissen wir doch aus Erfahrung, dass solche Begrenzungen mit einem Federstrich beseitigt werden können. So wurden bei fast allen größeren Terroranschlägen die rechtlichen Grenzen der Datenerfassung und -Auswertung zurückgenommen. Gerade deshalb lohnt es sich, genau hinzuschauen, wenn die technischen Voraussetzungen zur stärkeren Überwachung ausgebaut werden sollen.

Der Skandal hinter dem Skandal – Facebook, Cambridge Analytica und die hohe Kunst der Manipulation

Medien und Politiker sprechen von einem „Daten-Skandal“ und verlangen Antworten von Facebook und von Cambridge Analytica. Soweit bisher bekannt, hat die unter maßgeblicher Beteiligung des Trump-Vertrauten Stephen Bannon gegründete Firma „Cambridge Analytica“ mittels einer Facebook-App persönliche Daten von ca. 50 Millionen Facebook-Nutzern abgegriffen, um sie im US-Präsidentschaftswahlkampf 2016 zu verwenden. Um an möglichst viele Informationen zu kommen, tarnte sich die Spionage-App mit dem vielsagenden Namen „thisisyourdigitallife“ als psychologischer Persönlichkeitstest. 270.000 Facebook-Nutzer fielen auf die App herein und eröffneten damit nicht nur den Zugang zu ihren eigenen Facebook-Profilen, sondern darüber hinaus auch zu den Profilen ihrer im Durchschnitt jeweils 190 Facebook-„Freunde“. So ergibt sich die in den Medien genannte Zahl von 50 Millionen Betroffenen.

Nach Aussage von Facebook widersprach das weiträumige Abernten („Harvesting“) der Facebook-Profile den internen Richtlinien des Unternehmens. Umso mehr überrascht die Mitteilung, dass Facebook die Geschäftsbeziehungen zu Cambridge Analytica erst jetzt abgebrochen hat, nach dem öffentlichen Bekanntwerden der Praktiken. Dabei war dem Unternehmen der Missbrauch bereits seit langem bekannt, wurde aber vor der Öffentlichkeit und den betroffenen Nutzerinnen und Nutzern geheim gehalten.

Bei genauerem Hinsehen zeigt sich indes, dass Cambridge Analytica mit seinen Praktiken nicht allein stehen dürfte. Im Grunde geht es auch hier um „Micro-Targeting“, das in der Wirtschaft schon seit längerer Zeit, und zunehmend auch im Politik-Business zum Einsatz kommt. Man will die Hintergründe potentieller Kunden möglichst gut kennen, um sie gezielt anzusprechen. Jeder Nutzer erhält die zu seinem persönlichen Profil passenden Werbebotschaften, die vielfach nicht einmal als solche zu erkennen sind.

Auch Wählerinnen und Wähler werden zunehmend als Kunden angesehen und genauso behandelt. Von besonderem Interesse sind dabei diejenigen, die sich noch nicht endgültig für einen Kandidaten oder eine Partei entschieden haben. So werden etwa einem ehemaligen Stahlarbeiter im US „Rust Belt“ andere Nachrichten vermittelt als dem wohlhabenden Rentnerehepaar in Florida. Die Angesprochenen merken nichts davon, dass ihnen maßgeschneiderte Botschaften übermittelt werden, die an ihren Meinungsäußerungen, ihrer persönlichen Lebenssituation oder an ihren heimlichen Wünschen und Ängsten anknüpfen. Intransparenz ist das A & O jeder erfolgreichen Manipulation.

Vieles im Internet läuft im Hintergrund ab, etwa die Einbindung von Diensten, die die „Reichweite“ der Angebote messen oder die Speicherung der „technischen“ Daten, die bei jeder Interaktion – auch beim bloßen Lesen – anfallen: IP-Adressen der verwendeten Rechner, Hard- und Software, Sprach- und Landeseinstellungen, Standortdaten. Die Profilbildung über den Nutzer geschieht im Hintergrund, ohne dass dieser darauf viel Einfluss nehmen kann. Soziale Netzwerke wie Facebook bieten die idealen Datenfelder, die für Micro-Targeting abgeerntet werden. Die Betreiber der Dienste erfahren auf diese Weise sehr viel mehr über die Nutzer, als diese bewusst preisgeben. Sie kennen nicht nur deren Identität, sondern auch deren Gewohnheiten und Aufenthaltsorte: Wann sie Online sind, von welchen Computern und wo sie ins Netz gehen. Sie wissen nicht nur um die vom Nutzer eingegebenen Vorlieben, sondern können auch aus dem Verhalten der „Freunde“ Schlüsse auf ihn ziehen. So haben Studien ergeben, dass das Geschlecht, die ethnische Zugehörigkeit, die sexuelle Orientierung und die religiöse Ausrichtung eines Facebook-Mitglieds mit einiger Sicherheit allein auf Grund seiner „Likes“ und seines Freundeskreises eingeschätzt werden kann, selbst wenn der Betroffene darüber selbst keine Angaben ins Netz stellt. Nicht nur amerikanische Politiker setzen verstärkt darauf, dass ihre Botschaften von möglichst vielen Nutzern geteilt, favorisiert, weitergeleitet oder kommentiert werden. „Making the community spreading the message for you“ beschrieb eine Facebook-Vertreterin schon vor einigen Jahren dieses Vorgehen, das von den Werbern auch „virales Marketing“ genannt wird. Der Wähler müsse das Gefühl haben, in die Diskussion einbezogen zu werden. Dass es sich dabei nicht um einen gleichberechtigten Dialog handelt, in dem der Wahlkämpfer mit dem potentiellen Wähler spricht, liegt auf der Hand.

Das Geschäftsmodell von Facebook & Co basiert ganz wesentlich darauf, Unternehmen, Wahlkämpfern und Regierungen gegen Entgelt an ihrem Wissen partizipieren zu lassen. Vielfach geschieht dies, ohne dass dabei die Identitätsdaten der Facebook-Mitglieder weitergegeben werden. Aber die entsprechenden Werbebotschaften werden gleichwohl maßgeschneidert ausgeliefert und den Auftraggebern ein genaues Feedback darüber gegeben, wie die Botschaften aufgenommen wurden.

Im konkreten Fall scheint die Cambridge Analytica App aber auch die Profildaten der Facebook-Nutzer ausgelesen zu haben, was dem Micro-Targeting weitere Möglichkeiten eröffnet. Erleichtert wird die Datenzusammenführung durch die „Realnamenspflicht“. Nach den Facebook-Richtlinien müssen sich sämtliche Nutzer unter ihrem echten Namen anmelden und dabei auch ihr Geburtsdatum preisgeben. Diese Identitätsdaten ermöglichen es, die aus dem Facebook-Profil gewonnenen Informationen mit Daten aus der „realen Welt“ zu verknüpfen. Derartige Daten sind in den USA noch sehr viel umfangreicher verfügbar als in Europa, weil es in den USA an klaren Datenschutzregeln für den Umgang mit personenbezogenen Daten durch Unternehmen mangelt. Zudem eröffnen die Wählerverzeichnisse – anders als etwa in Deutschland – Einblicke in die individuellen politischen Präferenzen.

Es geht hier um weitaus mehr als um die Aufklärung des aktuellen „Cambridge-Facebook-Skandals“. Vielmehr müssen wir darüber diskutieren, wie viel Datenmacht akzeptabel ist, wie digitale Geschäftsmodelle gestaltet werden und wie dem Datenmachtmissbrauch vorgebeugt werden kann. Umfangreiche Datensammlungen und Mikro-Targeting eröffnen Manipulationsmöglichkeiten und können Ungleichbehandlung und diskriminierende Praktiken verstärken. Der zunehmenden Transparenz des Einzelnen steht eine wachsende Intransparenz der Algorithmen und der im Hintergrund agierenden Interessen gegenüber.

Es geht um mehr als den Schutz der persönlichen Daten und die Wahrung der Privatsphäre. So wichtig die „Privatsphäreneinstellungen“ sein mögen, halte ich es für den falschen Weg, den Nutzern die Hauptverantwortung für den Ge- und Missbrauch ihrer Daten zuzuweisen. Zum einen sind die Voreinstellungen, die der Dienst seinen Nutzern bei der Kontoeröffnung vorgibt, sehr freizügig: Jeder kann das Profil sehen, alle können nach der E-Mail-Adresse und der Telefonnummer suchen, Freundeslisten sind öffentlich, Apps sind aktiviert und können die Profildaten einschließlich der Daten über Aktivitäten und Interessen auslesen. Zugriff haben nicht nur die Apps, die der Nutzer selbst aktiviert, sondern auch solche, die von Freunden verwendet werden. Zum anderen sind diese Einstellungen nicht leicht zu handhaben. Schließlich sind die wichtigsten Profildaten (Namen, Geschlecht, Nutzernamen und die Nutzer-ID und Netzwerke, denen der Nutzer angehört) bei Facebook stets öffentlich, ohne dass die Nutzer etwas daran ändern können.

Datenschutz ist ein wichtiges Element der notwendigen Gegenstrategie. Hier ist zu erwarten, dass die am 25. Mai 2018 voll wirksam werdende Datenschutz-Grundverordnung Fortschritte bringt.
Rechtliche Grenzen sind aber auch darüber hinaus erforderlich, etwa im Hinblick auf den immer weitergehenden Einsatz von Micro-Targeting und auch zur Vermeidung digitaler Diskriminierung.

Ihr Peter Schaar

Fehlstart! Dorothee Bärs eigenartiges Datenschutzverständnis

„Wir brauchen … endlich eine smarte Datenkultur vor allem für Unternehmen. Tatsächlich existiert in Deutschland aber ein Datenschutz wie im 18. Jahrhundert.“ Dieser Satz stammt nicht etwa von dem Vertreter einer der viel gescholtenen Datenkraken aus den USA, sondern von Dorothee Bär (CSU), der designierten Staatsministerin „für Digitales“ der neu aufgelegten großen Koalition. Ihr zentrales Projekt besteht offensichtlich darin, die sensibelsten Daten weltweit verfügbar zu machen, etwa Patientendaten: „Und auch im Gesundheitsbereich liegen so viele Chancen! Könnten Daten deutscher Patienten mit weltweiten Datenbanken abgeglichen werden, wäre eine Diagnose oft schneller da, als sie zehn Ärzte stellen können,“ meinte sie in einem Interview mit der Bild-Zeitung vom 5. März 2018.

Auch wenn das nicht so gemeint war: Datenschutz hat etwas zu tun mit grundlegenden Wertvorstellungen, die im 18. Jahrhundert – formuliert wurden und die, müsste man meinen, auch heute noch das Fundament unserer freiheitlichen Gesellschaft bilden: Die von Jean-Jacques Rousseau geprägte Vorstellung von Menschenrechten, bürgerlicher Freiheit und Selbstbestimmung. Sie sind in die im Jahr 1776 in die Bill of Rights von Virginia und von der französischen Nationalversammlung am 26. August 1789 beschlossene Erklärung der Menschen- und Bürgerrechte eingeflossen. Datenschutz ist nichts anderes als die Gewährleistung des Selbstbestimmungsrechts im digitalen Zeitalter. Nicht umsonst billigt das Bundesverfassungsgericht seit seinem Volkszählungsurteil von 1983 jedem Menschen ein „Grundrecht auf informationelle Selbstbestimmung“ zu. Die Grundrechte auf Wahrung der Privatsphäre und den Schutz der personenbezogenen Daten sind zudem durch Art. 7 und Art. 8 der Charta der Grundrechte der Europäischen Union direkt anwendbares Recht in allen Mitgliedstaaten der EU.

In der regierungsseitig offensichtlich angestrebten „smarten Datenkultur“ ist für Bedenkenträgerei von Datenschützern offensichtlich kein Platz. Während sich sogar bei US-Unternehmen, nicht zuletzt aufgrund der Neuregelungen im europäischen Datenschutzrecht, allmählich die Auffassung durchsetzt, ohne Datenschutz ließen sich in Zukunft keine guten Geschäfte mehr machen, gibt es in der Bundesregierung offensichtlich die Tendenz, den Schutz personenbezogener Daten auf dem Altar der Profitabilität zu opfern. Zudem sei daran erinnert, dass sich maßgebliche Vertreter der bisherigen Bundesregierung, allen voran Bundesinnenminister Thomas de Maizière, massiv dafür eingesetzt haben, sämtliche Verarbeitungsmöglichkeiten, die der Wirtschaft zur Verfügung stehen, auch staatlichen Stellen zu erlauben.

Man darf gespannt sein, wie sich der Koalitionspartner der Unionsparteien, die SPD, zu einer derartigen Marschrichtung stellt – schließlich hatte sie sich ja einiges darauf zugute gehalten, in der Koalitionsvereinbarung die eine oder andere Formulierung zum Schutz der Bürger und Verbraucher vor der Datenübermacht durchgesetzt zu haben.

Eine Digitalisierung, die auf der umfassenden Überwachung und maximalen Ausnutzung persönlicher Daten beruht, wäre ein Fluch und kein Segen. China macht das gerade mit der Einführung eines umfassenden Social Scoring Systems vor. Deshalb gilt es, dafür einzutreten, dass sich die grundlegenden Werte einer freiheitlichen Gesellschaft auch in der Digitalstrategie im 21. Jahrhundert wiederfinden. Dazu gehört auch der Datenschutz.

Ihr Peter Schaar

Eine schicksalhafte Entscheidung – US-Supreme Court verhandelt über exterritorialen Datenzugriff

von Peter Schaar

Morgen, am 27. Februar 2018, beschäftigt sich der Oberste US-Gerichtshof mit einem Fall, der für die transatlantischen Beziehungen – und darüber hinaus für die Zukunft der globalen Informationsgesellschaft – von erheblicher Bedeutung sein wird: Der Supreme Court verhandelt über die Grundrechte und über die Einhaltung rechtsstaatlicher Verfahren – Werte, die Kernanliegen Europas darstellen und die zugleich zum Grundbestand demokratischen Werte Amerikas gehören.

Es geht um die Frage, ob die Strafverfolgungsbehörden der USA Durchsuchungsbefehle erlassen können, um Internetfirmen zu zwingen, die in Europa gespeicherten E-Mails und andere Dokumente  ohne die Erlaubnis oder Beteiligung der betreffenden Personen oder der jeweiligen Regierung herauszugeben.

Der Fall geht auf Dezember 2013 zurück, als ein New Yorker Richter einen Durchsuchungsbefehl gegen Microsoft ausstellte, der die Beschlagnahme von Kundeninformationen in Verbindung mit einem webbasierten E-Mail-Konto anordnete. Microsoft hat die in den USA gespeicherten Metadaten des Accounts an die US-Behörden herausgegeben, aber das Unternehmen verweigerte die Offenbarung der auf Servern in Irland gespeicherten E-Mail-Inhalte, mit der Begründung, dass US-Anordnungen nicht einseitig zur Erlangung von in anderen Ländern E-Mails und sonstigen Dokumenten verwendet werden dürften.

Die Übermittlung von Informationen aus der Europäischen Union in die USA stellt eine Datenverarbeitung dar, und daher gelten dafür die EU-Datenschutzvorschriften. Der Schutz der Privatsphäre und der Schutz personenbezogener Daten gelten in Europa als Grundrechte. Diese Rechte werden durch die Europäische Menschenrechtskonvention und durch die Charta der Grundrechte der Europäischen Union garantiert.

Das europäische Recht verbietet die extraterritoriale Anwendung der von einem Drittland erlassenen Rechtsvorschriften, die sich auf die Tätigkeiten natürlicher und juristischer Personen auswirken, die der Gerichtsbarkeit des Mitgliedstaats unterliegen. Das europäische Recht bietet verschiedene Rechtsinstrumente für die Offenlegung und Übermittlung von für Unternehmenszwecke erhobenen personenbezogenen Daten an ausländische Behörden. In der Datenschutz-Grundverordnung – Art. 48 – wird ausdrücklich betont, dass jedes Urteil eines Gerichts und jede Entscheidung einer Verwaltungsbehörde eines Drittlandes, die von einem Verantwortlichen oder Auftragsverarbeiter die Übermittlung oder Weitergabe personenbezogener Daten verlangt, nur anerkannt oder vollstreckt werden dürfen, wenn sie „auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.“

Der Microsoft-Fall und die rechtlichen Argumente der US-Regierung haben auf der ganzen Welt für Besorgnis gesorgt. Viele internationale Interessengruppen haben „Amicus Briefs“ beim Obersten Gerichtshof eingereicht, darunter Regierungen, Parlamentarier, globale Unternehmen und Organisationen, der UN-Sonderberichterstatter für den Schutz der Privatsphäre, Rechtsexperten, Informatiker und zivilgesellschaftlichen Gruppen. Die Europäische Kommission hat dem Gericht eine „neutrale“ Stellungnahme übermittelt, in der sie das EU-Recht und die Regeln für gültige Datenübertragungen erläutert. Die Artikel-29-Datenschutzgruppe, in der die Datenschutzbehörden aller EU-Mitgliedstaaten und der Europäische Datenschutzbeauftragte zusammenarbeiten, hat erklärt, dass die Position der US-Regierung „einen Eingriff in die territoriale Souveränität eines EU-Mitgliedstaats“ darstelle. Das Justizministerium solle stattdessen die Rechtshilfeverträge (Mutual Legal Assistance Treaty – MLAT) verwenden, welche die USA und Europa ausgehandelt haben, um genau diese Art von Problemen zu lösen, darunter auch ein entsprechendes Abkommen mit Irland.

Die MLATs bieten Möglichkeiten der internationalen Zusammenarbeit in Strafsachen, einschließlich der Sammlung von Beweismitteln. Sie definieren den Rahmen für die Lösung grenzüberschreitender Datenerhebungen und legen geeignete Verfahren für den Umgang mit Anfragen ausländischer Regierungen fest. Insbesondere gewährleisten die Verträge die Rechte der betroffenen Personen und die Berücksichtigung anderer lebenswichtiger nationaler Interessen. Beispielsweise haben die nationalen Behörden zu prüfen, inwieweit eine Übermittlung von Daten für Strafverfahren dem nationalen Recht entspricht. Der direkte Zugriff der US-Behörden auf die Daten würde diese Schutzmaßnahmen umgehen und die Grundrechte der Europäer verletzen. Die Auswirkungen solcher einseitiger Praktiken können nicht überschätzt werden. Es wäre mehr als ein unfreundlicher Akt. Die Europäische Union, europäische Regierungen und europäische Bürger würden sie zu Recht als unzulässig betrachten.

Wenn die Strafverfolgungsbehörden in den USA extraterritorialen Zugang zu Daten erhalten — allein auf Grund amerikanischen Rechts, ohne Zustimmung der zuständigen Behörden des betreffenden Staats – , würde dies die Tür öffnen für die Beschlagnahme von Dokumenten von jedem Ort der Welt.

Es ist nicht überraschend, dass die Haltung der US-Regierung in der europäischen Öffentlichkeit auf scharfe Kritik gestoßen ist. Ulrich Kelber, parlamentarischer Staatssekretär im Bundesjustizministerium, nannte die US – Position eine „Besorgnis erregende Angelegenheit“. Es bestehe die Gefahr, dass dann auch andere Länder einen globalen Zugriff auf die Daten von Unternehmen haben wollten. „Damit ist das Grundprinzip des transatlantischen Datenaustauschs gefährdet“, so Kelber. „Wenn die US-Regierung in Datenschutzfragen nur die Einspruchsrechte von US-Bürgern duldet, dann ist das Privacy Shield tot.“ Dorothee Bär, parlamentarische Staatssekretärin im Ministerium für digitale Infrastruktur (CSU), wies es als „absolut nicht akzeptabel“ zurück, wenn per US-Gerichtsbeschluss Daten aus einem anderen Land abgegriffen werden könnten. „Wäre es das, würden wir in Zukunft auch kein Problem mehr damit haben, wenn China dies tun würde oder die Türkei, um an Daten von in Deutschland lebenden vermeintlichen Staatsfeinden zu gelangen“. Eine derartige Entscheidung zugunsten der US-Regierung würde „zu einem Chaos“ führen. Unternehmen müssten entweder das europäische Recht brechen oder ein amerikanisches Urteil ignorieren. Die hohen Standards der am Mai geltenden EU-Datenschutzgrundverordnung und die praktizierte Rechtshilfe dürften „nicht unilateral durch die Entscheidung des Supreme Courts de facto abgeschafft werden“, meinte Fraktionsvize von Bündnis 90/Die Grünen Konstantin von Notz. Der Grünen-Wirtschaftsexperte Dieter Janecek unterstrich, europäische Unternehmen könnten von US-Behörden nicht gezwungen werden, gegen europäisches Recht zu verstoßen. Ein Zugriffsrecht von ausländischen Ermittlungsbehörden auf in Europa gespeicherte Daten wäre daher „absolut fatal“ für die Grundrechte der Bürger und für die Wirtschaft. (Alle Zitate: Handelsblatt, 16.1.2018)

Ob der Supreme Court diese und andere Warnungen Ernst nimmt, werden wir demnächst wissen. Es ist zu hoffen, dass die Europäische Kommission und die Bundesregierung es nicht mit verbalen Warnungen bewenden lassen, falls die Entscheidung zugunsten der US-Regierung ausfällt.

Vorsicht Grenzüberschreitung – Direkter Datenzugriff gefährdet Grundrechte!

Digitale Globalisierung und nationales Recht stehen in einem zunehmenden Spannungsverhältnis. Nirgends zeigt sich dies so deutlich wie bei der Strafverfolgung. Strafverfolgungsbehörden verlangen in strafrechtlichen Ermittlungen in immer mehr Fällen Zugang zu personenbezogenen Daten, die außerhalb ihrer nationalen Grenzen gespeichert sind. Dies kann angesichts der Tatsache, dass beliebige Datenmengen per Mausklick auf Server in anderen Kontinenten transferiert werden können, eigentlich niemanden verwundern.

Natürlich hat es Fälle, in denen die Strafverfolgung eine grenzüberschreitende Kooperation erforderlich machte, schon früher gegeben. Eine traditionelle Regelung zur Lösung grenzüberschreitender Datenanfragen in Strafsachen bieten die zwischen Staaten geschlossene Rechtshilfevereinbarungen (Mutual Legal Assistance Treaties, MLAT). Sie legen entsprechende Verfahren fest, wie mit Rechtshilfeersuchen aus dem Ausland umzugehen ist. So können die nationalen Behörden überprüfen, inwieweit etwa eine Datenübermittlung zur Durchführung eines Strafverfahrens in Einklang mit dem nationalen Recht steht. Dieses System wird jedoch von der steigenden Häufigkeit und Komplexität grenzüberschreitender Datenanforderungen überfordert. Infolgedessen gibt es erhebliche Verzögerungen bei der Verarbeitung von Anfragen.

Vor diesem Hintergrund fordern nationale Behörden und Gerichte in zunehmendem Maße von Unternehmen die Herausgabe von Daten, die sie außerhalb des eigenen Territoriums speichern. So verlangte ein belgisches Gericht von Microsoft die Herausgabe von Skype-Daten. Eine brasilianische Behörde forderte von Yahoo! die Herausgabe von Internet-Informationen über bestimmte Nutzer und chinesische Behörden verlangen von Internet-Anbietern vielfach die Herausgabe auf ausländischen Servern gespeicherter Daten. Aktuell erregt vor allem ein Fall Aufsehen, bei dem ein Bundesgericht im Bundesstaat New York die Firma Microsoft zur Herausgabe von E-Mails verpflichtet hat, die auf einem Server in Irland gespeichert sind. Der strittige Fall wird demnächst voraussichtlich vom US Supreme Court entschieden.

In derartigen Fällen stellt sich regelmäßig die Frage, inwieweit Grundrechte und andere, im Strafrecht enthaltene Schutzvorschriften verletzt werden. Gerade beim Strafrecht bestehen auf internationaler Ebene gewaltige Unterschiede. Eine Handlung, die in einem Staat strafbar ist, mag woanders erlaubt sein (etwa an die in Deutschland strafbaren Meinungsdelikte, die in den USA unter dem Motto „Freedom of Speech“ akzeptiert werden). Gleiches gilt für das Strafprozessrecht: Wann ein Richter entscheiden muss, welche Vorgaben für Beschlagnahmen und Durchsuchungen gelten, in welchen Fällen Beweisverwertungsverbote und Zeugnisverweigerungsrechte bestehen, unterscheidet sich von Land zu Land.

Soweit es sich bei den angeforderten Informationen um personenbezogene Daten handelt, sind die Grundrechte auf Wahrung der Privatsphäre und auf Datenschutz (Art. 7 und 8 der EU-Grundrechtecharta) direkt betroffen. Nach europäischem Rechtsverständnis ist die Herausgabe personenbezogener Daten an ausländische Behörden nur zulässig, wenn hierfür eine entsprechende Rechtsgrundlage im EU-Recht oder im Recht der Mitgliedstaaten besteht. Art. 48 der im Mai 2018 wirksam werdenden Datenschutzgrundverordnung (DSGVO) unterstreicht diesen Rechtsgrundsatz: Behördliche oder gerichtliche Anordnungen von Staaten außerhalb der EU dürfen nur dann anerkannt werden, wenn sie auf einer internationalen Übereinkunft wie einem Rechtshilfeabkommen beruhen.

Aber auch innerhalb der EU ist der Umgang mit grenzüberschreitenden Datenanforderungen von Strafverfolgungsbehörden anderer Mitgliedstaaten alles andere als unkompliziert. Zwar gibt es hier inzwischen das Instrument der Europäischen Beweisanordnung – EBA, welche die Erlangung von Beweismitteln aus einem anderen Mitgliedstaat erleichtert. Doch erlaubt auch die EBA nicht den direkten Zugriff auf in einem anderen Mitgliedstaat gespeicherte Daten.

Artikel 29 Gruppe nimmt zu E-Evidence Stellung

Vor diesem Hintergrund hat die Europäische Kommission unter der Überschrift „e-Evidence“ verschiedene Initiativen gestartet, die den grenzüberschreitenden Datenzugriff erleichtern sollen. Die Art. 29-Arbeitsgruppe, in der die Datenschutzbehörden der EU zusammenarbeiten, hat nun eine lesenswerte Stellungnahme zu den entsprechenden Vorschlägen veröffentlicht.

Die amtlichen Datenschützer weisen darauf hin, dass der Zugriff der Strafverfolgungsbehörden auf personenbezogene Daten in die durch die Grundrechtecharta garantierten Grundrechte eingreift. Jede Beschränkung dieser Grundrechte müsse deren Kern respektieren und zudem dem Verhältnismäßigkeitsgrundsatz entsprechen. In der Stellungnahme wird ausführlich dargelegt, dass die bisher vorgelegten Vorschläge diesen Anforderungen nicht gerecht werden. Kritisiert wird etwa die Möglichkeit, dass sich der grenzüberschreitende Zugriff nicht auf die Verfolgung schwerer Straftaten beschränken sollen. Zudem bemängelt die Art. 29 Gruppe, dass die bislang vorgelegten Vorschläge zu e-Evidence keine Vorgaben zur Gewährleistung der Transparenz bei grenzüberschreitenden Datenanfragen und keine Verpflichtungen zur (nachträglichen) Benachrichtigung der Betroffenen enthalten.

Als besonders problematisch sehen es die Datenschutzbeauftragten an, dass grenzüberschreitende Datenanforderungen von Behörden der Mitgliedstaaten Daten umfassen sollen, die außerhalb der EU gespeichert sind. Sollte die EU eine entsprechende Regelung treffen, würde dies im Umkehrschluss bedeuten, dass letztlich auch entsprechende unilaterale Vorgaben anderer Staaten, etwa der USA akzeptiert werden müssten. Sie fordern, dass Datenanforderungen zwischen Drittstatten und der EU weiterhin nur auf Basis internationaler Rechtshilfeabkommen nachgekommen werden soll. Dies schließt natürlich nicht aus, dass auch beim Datenaustausch über die EU-Außengrenzen hinaus die entsprechenden Prozeduren verbessert und beschleunigte Entscheidungen herbeigeführt werden.

« Older Entries