Tag Archives: Beschlagnahmeschutz

EU-Datenschutz: Nach der Reform beginnt die Arbeit

(Anm. d. Verf.: Die Ergebnisse des Trilogs und Synopse der Positionen der EU-Gremien  sind abrufbar unter  http://www.emeeting.europarl.europa.eu/committees/agenda/201512/LIBE/LIBE%282015%291217_1/sitt-1739884)

Das von den Vertretern der EU-Institutionen (Europäisches Parlament, Kommission und Rat) am 15. Dezember 2015 erzielte Verhandlungsergebnis zum Datenschutz-Reformpaket ist ein wichtiger Meilenstein auf dem Weg in die globale Informationsgesellschaft: Statt 28 unterschiedlicher Datenschutzgesetze der Mitgliedstaaten gibt es zukünftig ein gemeinsames Datenschutzgesetz, die „Datenschutzgrundverordnung“ (DSGVO). Beachten müssen es nicht nur die hier ansässigen Unternehmen, sondern auch Konzerne, die ihre Hauptniederlassung außerhalb der EU haben, aber hier geschäftlich tätig sind („Marktortprinzip“ – Art. 3 Abs. 2)). Die Einhaltung der Regeln wird von unabhängigen Datenschutzbehörden überwacht, die sämtlich über dieselben, wirksamen Sanktionsmöglichkeiten verfügen. Bei schweren Verstößen können Sie Bußgelder in Höhe von bis zu 4% des Jahresumsatzes verhängen (Art. 79) – das lässt sich nicht mehr aus der Portokasse bezahlen. Schließlich sind eine Reihe von Versuchen gescheitert, die Datenschutzvorgaben praktisch in letzter Minute in zentralen Punkten abzuschwächen, etwa beim Anwendungsbereich (im Hinblick auf die Definition personenbezogener Daten) oder bei der Zweckbindung. Hier bleibt es bei strengen Regelungen, die Zweckänderungen an sehr enge Bedingungen knüpfen.

Trotzdem gibt es auch Bereiche, in denen das Ergebnis weniger positiv ausfällt als erhofft. So hat sich das EP nicht mit seiner Forderung durchsetzen können, dass die Einwilligung in die Verarbeitung personenbezogener Daten generell explizit erklärt werden muss – lediglich bei den „besonderen Kategorien personenbezogener Daten“ (Art. 9) – etwa über die Gesundheit – wird eine ausdrückliche Einwilligung gefordert, und nicht bloß eine „zweifelsfreie“: (Definition in Art. 2: „’the data subject’s consent‘ means any freely given, specific, informed and unambiguous indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agreement to personal data relating to them being processed;“).

Auch die Regelungen zum Profiling bleiben hinter den Forderungen der Datenschützer zurück, denn die entsprechenden Vorgaben beschränken sich auf solche Profilbildungen, die zu verbindlichen automatisierten Entscheidungen zuungunsten der Betroffenen führen.

Grundsätzliche Kritik richtete sich in den letzten Monaten dagegen, dass durch die Datenschutzgrundverordnung das deutsche Datenschutzniveau abgesenkt werde. Diese Befürchtung trifft nur zum Teil zu, etwa im Hinblick auf die strengeren Datenschutzbestimmungen im Telemediengesetz. Andererseits ist das deutsche Datenschutzniveau gerade hier nur in der Theorie hoch, aber de facto nicht. Das zeigte sich etwa am Beispiel Facebook: Deutsche Datenschutzbehörden sind mit Klagen dagegen gescheitert, Facebook – dessen Europazentrale in Dublin liegt – zur Einhaltung der deutschen Datenschutzbestimmungen zu verpflichten. Das häufig beschworene „hohe deutsche Datenschutzniveau“ blieb hier also reine Theorie. In Zukunft gilt aber: Jedes Unternehmen, das in Europa Geschäfte macht, muss sich an die einheitlichen europäischen Datenschutzregeln halten. Das ist ein echter Fortschritt, auch wenn die gemeinsamen europäischen Regeln in bestimmten Bereichen hinter dem nationalen Recht zurückbleiben. Zudem gibt es andere Bereiche – etwa das Melderecht – in denen die neue EU-Regelung strenger ist als der deutsche Gesetzgeber. Die voraussetzungslose Datenweitergabe der zwangsweise erhobenen Melderegisterdaten an jedermann ist mit der Datenschutzgrundverordnung nicht vereinbar und muss beendet werden.

Licht und Schatten gibt es schließlich auch bei der Bestimmung über die betrieblichen bzw. behördlichen Datenschutzbeauftragten. Einerseits verpflichtet Art. 35 staatliche Stellen und solche Unternehmen, deren Kerngeschäft in der Überwachung oder der Bewertung personenbezogener Daten besteht – etwa Auskunfteien – oder in der Verarbeitung von sensiblen Daten (etwa Gesundheitsdaten oder genetischen Informationen), zu Bestellung eines internen Datenschutzbeauftragten. Allerdings wurden die deutlich strengeren Vorgaben des deutschen BDSG nicht in die DSGVO übernommen. Der beschlossene Text enthält aber eine Öffnungsklausel, die es dem deutschen Gesetzgeber ermöglicht, an der weitergehenden Bestellungspflicht betrieblicher Datenschutzbeauftragter festzuhalten. (Art. 35 (4): „In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. …“

Auch wenn, wie zu erwarten, die nun beschlossenen Bestimmungen – neben der Datenschutzgrundverordnung auch die Datenschutzrichtlinie für Polizei und Justiz (JI-Richtlinie) – demnächst das formelle EU-Gesetzgebungverfahren passieren, bleibt auf europäischer und auf nationaler Ebene bis zu deren Inkrafttreten 2018 viel zu tun: In der EU muss die Kompatibilität anderer europarechtlicher Vorschriften mit der Grundverordnung überprüft werden. Dies gilt insbesondere für die Datenschutzrichtlinie zur elektronischen Kommunikation („ePrivacy-Richtlinie“). Die Regierungen und Parlamente der Mitgliedstaaten sind gehalten, das nationale Recht zu durchforsten. Dies gilt insbesondere für Deutschland mit seinen vielen bereichsspezifischen Datenschutzbestimmungen. Viele müssen überarbeitet werden, manche müssen wegfallen. Eine besondere Aufgabe kommt auf den Bundestag in Sachen Beschäftigtendatenschutz zu. Art. 82 DSGVO enthält die Möglichkeit, den Umgang mit Beschäftigtendaten detailliert zu regeln. („Member States may, by law or by collective agreements, provide for more specific rules to ensure the protection of the rights and freedoms in respect of the processing of employees‘ personal data in the employment context, …“). Bund und Länder müssen sich zudem mit der Frage auseinandersetzen, inwieweit die gesetzlichen Bestimmungen für Polizei und Justiz den Vorgaben der JI-Richtlinie angepasst werden müssen. Schließlich müssen Unternehmen und öffentliche Stellen ihre Praxis an die neuen Bestimmungen anpassen. Neue Prozesse müssen initiiert, bestehende Verfahren müssen geändert werden …

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) wird sich in den kommenden Jahren schwerpunktmäßig mit den Auswirkungen der neuen EU-Datenschutzregelungen beschäftigen. Für 2016 planen wir Workshops für Entscheider in Wirtschaft, Politik und Verwaltung zur Umsetzung der EU-Bestimmungen und zur Identifizierung des Reformbedarfs im nationalen Recht.

Mit freundlichen Grüßen, Peter Schaar

netzpolitik.org: Abgründe des Landesverrats oder Angriff auf den Rechtsstaat?

Dass im Jahr 1962 viele Menschen gegen die Besetzung der Spiegel-Zentrale auf die Straße gingen, hat auch damit zu tun, dass der Angriff auf die Pressefreiheit mit Händen zu greifen war. Von Generalsbundesanwälten angeleitete Polizisten durchsuchten die Redaktionsräume und beschlagnahmten kistenweise journalistische Unterlagen. Dies entfachte einen medialen Sturm, der letztlich auch den damaligen Verteidigungsminister Franz Josef Strauß, der für die Aktion politisch verantwortlich war, aus dem Amt fegte. Dies ereignete sich im Zeitalter der Schreibmaschine, in dem die Strafverfolgungsbehörden auf Papiere zugreifen mussten, an die sie nur durch offene Aktionen – Durchsuchung und Beschlagnahme – gelangen konnten.

Im Internetzeitalter gelten andere Regeln, auch in dem von der Bundesanwaltschaft eingeleitete Ermittlungsverfahren gegen den Blog netzpolitik.org. Heute geht es um Daten, die elektronisch gesammelt, verarbeitet und verbreitet werden. Um an sie zu gelangen, braucht es keine Hausdurchsuchung mehr. Dafür gibt es neue und sehr wirksame Ermittlungsinstrumente, die auch in diesem Fall zum Einsatz kommen könnten oder bereits eingesetzt werden.

Der Generalbundesanwalt hat am 30. Juli 2015 die Betreiber des Blogs darüber informiert, dass gegen sie wegen Landesverrats ermittelt werde (§ 94 Abs. 1 Nr. 2 Strafgesetzbuch – StGB). Ob es sich bei den von netzpolitik.org veröffentlichten Informationen wirklich um Staatsgeheimnisse handelt, wird aus guten Gründen infrage gestellt.

§ 93 StGB definiert Staatsgeheimnisse als

(1).. Tatsachen, Gegenstände oder Erkenntnisse, die nur einem begrenzten Personenkreis zugänglich sind und vor einer fremden Macht geheimgehalten werden müssen, um die Gefahr eines schweren Nachteils für die äußere Sicherheit der Bundesrepublik Deutschland abzuwenden.
(2) Tatsachen, die gegen die freiheitliche demokratische Grundordnung oder unter Geheimhaltung gegenüber den Vertragspartnern der Bundesrepublik Deutschland gegen zwischenstaatlich vereinbarte Rüstungsbeschränkungen verstoßen, sind keine Staatsgeheimnisse.

Die inkriminierten Veröffentlichungen betreffen nach Auskunft von netzpolitik.org Papiere zu Haushalts- und Organisationsangelegenheiten des Verfassungsschutzes, die als “VS-VERTRAULICH“ eingestuft waren.

Nach der Verschlusssachenanordnung (VSA) des Bundesministeriums des Innern ist dies der niedrigste Geheimhaltungsgrad, bei dem Informationen nur besonders überprüften Personen zugänglich sind. VS-VERTRAULICH werden Dokumente eingestuft, „wenn die Kenntnisnahme durch Unbefugte für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder schädlich sein kann“ (§ 3 Nr. 3 VSA). Informationen, deren „Kenntnisnahme durch Unbefugte die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder gefährden oder ihren Interessen schweren Schaden zufügen kann“, sind mindestens in der Klassifikation „GEHEIM“ einzustufen (§ 3 Nr. 2 VSA). Schon allein die Einstufung der veröffentlichten Papiere als VS-VERTRAULICH und nicht als GEHEIM oder STRENG GEHEIM spricht dagegen, dass hier Staatsgeheimnisse offenbart wurden.

Warum der Generalbundesanwalt gleichwohl einen Anfangsverdacht des Landesverrats festgestellt hat, soll hier nicht weiter vertieft werden. Nachgehen möchte ich allerdings der Frage, welche strafprozessualen Konsequenzen sich aus den Vorwurf des Landesverrats ergeben. Mit der Eröffnung eines Ermittlungsverfahrens wegen Landesverrats kann sich die Bundesanwaltschaft aus dem gut gefüllten Instrumentenkasten alter und neuer Ermittlungsbefugnisse bedienen.

In den letzten Dekaden wurden besondere Befugnisse der Sicherheitsbehörden zur Überwachung der elektronischen Kommunikation und zum Zugriff auf digital gespeicherte Daten eingeführt und ausgeweitet. Diese Befugnisse lassen sich in den Paragraphen 100a ff der Strafprozessordnung nachlesen: Die Telekommunikation darf überwacht werden, große und kleine Lauschangriffe, also das Aufnehmen von Gesprächen in Wohnräumen und anderswo sind heute zulässig. Telekommunikationsunternehmen müssen Verkehrsdaten an die Polizei und an die Staatsanwaltschaften herausgeben. Allen diesen neuen Befugnisse ist gemein, dass sie heimlich, hinter dem Rücken der Betroffenen und unter Ausschluss der Öffentlichkeit stattfinden. Anders als bei Hausdurchsuchungen, in denen ausdrücklich im Gesetz vorgeschriebenen ist, dass zumindest ein Zeuge zugegen sein muss, erfahren die Betroffenen von den elektronischen Überwachungsmaßnahmen bestenfalls im Nachhinein, etwa dann, wenn gegen sie Anklage erhoben wird.

Dabei beschränkt sich etwa die Möglichkeit der Überwachung der Telekommunikation nicht auf die ausdrücklich Beschuldigten. Vielmehr dürfen entsprechende Maßnahmen auch gegen Personen ergriffen werden, von denen anzunehmen ist, dass sie für den Beschuldigen bestimmte oder von ihm herrührende Mitteilungen entgegennehmen oder weitergeben oder dass der Beschuldigte ihren Anschluss benutzt. Auch die übrigen oben erwähnten Ermittlungsbefugnisse beschränken sich nicht auf den Beschuldigten sondern können auch Dritte betreffen.

Nicht zuletzt dem Bundesverfassungsgericht ist es zu verdanken, dass die Strafverfolgungsbehörden die meisten dieser neuen Befugnisse nur bei Verdacht auf besonders schwere Straftaten einsetzen dürfen. Dazu gehört auch der Landesverrat.

Journalisten, ihnen zugegangene oder selbst erarbeitete Unterlagen und ihre Quellen genießen ein besonderes Zeugnisverweigerungsrecht (§ 53 Abs. 1 StPO). Entsprechende Unterlagen dürfen auch nicht beschlagnahmt werden (§ 97 Abs. 5 StPO). Der Schutz des Inhalts selbst erarbeiteter Materialien und den Gegenstand entsprechender Wahrnehmungen entfällt jedoch bei besonders schweren Straftaten, zu denen auch der Landesverrat gehört (§ 53 Abs. 2 Satz 2 Nr. 1 StPO).

Weder das Zeugnisverweigerungsrecht noch der Beschlagnahmeschutz sind hier also einschlägig. Dies wiegt deshalb besonders schwer, weil sich das Ermittlungsverfahren gegen Journalisten richtet, deren Tätigkeit die für die Demokratie essenzielle Pressefreiheit des Artikels 5 Abs. 1 Grundgesetz verwirklicht:

„(1) Jeder hat das Recht, seine Meinung in Wort, Schrift und Bild frei zu äußern und zu verbreiten und sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten. Die Pressefreiheit und die Freiheit der Berichterstattung durch Rundfunk und Film werden gewährleistet. Eine Zensur findet nicht statt.“

Die herausragende Bedeutung der Pressefreiheit hat das Bundesverfassungsgericht wiederholt, insbesondere in seinem „Cicero-Urteil“ vom 27. Februar 2007 verdeutlicht:

„Die Freiheit der Medien ist konstituierend für die freiheitliche demokratische Grundordnung. Eine freie Presse und ein freier Rundfunk sind daher von besonderer Bedeutung für den freiheitlichen Staat. Dementsprechend gewährleistet Art. 5 Abs. 1 Satz 2 GG den im Bereich von Presse und Rundfunk tätigen Personen und Organisationen Freiheitsrechte und schützt darüber hinaus in seiner objektiv-rechtlichen Bedeutung auch die institutionelle Eigenständigkeit der Presse und des Rundfunks. Die Gewährleistungsbereiche der Presse- und Rundfunkfreiheit schließen diejenigen Voraussetzungen und Hilfstätigkeiten mit ein, ohne welche die Medien ihre Funktion nicht in angemessener Weise erfüllen können. Geschützt sind namentlich die Geheimhaltung der Informationsquellen und das Vertrauensverhältnis zwischen Presse beziehungsweise Rundfunk und den Informanten. Dieser Schutz ist unentbehrlich, weil die Presse auf private Mitteilungen nicht verzichten kann, diese Informationsquelle aber nur dann ergiebig fließt, wenn sich der Informant grundsätzlich auf die Wahrung des Redaktionsgeheimnisses verlassen kann.“

(– 1 BvR 538/06 , Rnr. 42) –

Wenn Journalisten und deren Informanten damit rechnen müssen, dass die eigens zu ihrem Schutz geschaffenen Vorschriften – Beschlagnahmeschutz, Zeugnisverweigerungsrechte – nicht mehr wirken, weil gegen die Journalisten selbst ermittelt wird, ist die Pressefreiheit in Gefahr.

Wir wissen nicht, ob und inwieweit die oben genannten Ermittlungsinstrumente in dem Verfahren gegen netzpolitik.org bereits verwendet worden sind oder ob ihr Einsatz geplant ist. Angesichts der Rechtsprechung des Bundesverfassungsgerichts erscheint es mir ziemlich unwahrscheinlich, dass es zu einer Anklageerhebung wegen Landesverrat oder gar zu einer rechtskräftigen Verurteilung kommen wird.

Eines hat die Bundesanwaltschaft mit ihren außergewöhnlichen Vorgehen, das in diametralem Gegensatz zu ihrer demonstrativen Hemmung in Sachen NSA-Überwachung steht, allerdings schon erreicht: Eine Verunsicherung des Vertrauens – nicht nur bei Journalisten – in das Funktionieren unseres Rechtsstaats.

Mit freundlichen Grüßen

Peter Schaar