Tag Archives: EU-Grundrechtecharta

Vorsicht Grenzüberschreitung – Direkter Datenzugriff gefährdet Grundrechte!

Digitale Globalisierung und nationales Recht stehen in einem zunehmenden Spannungsverhältnis. Nirgends zeigt sich dies so deutlich wie bei der Strafverfolgung. Strafverfolgungsbehörden verlangen in strafrechtlichen Ermittlungen in immer mehr Fällen Zugang zu personenbezogenen Daten, die außerhalb ihrer nationalen Grenzen gespeichert sind. Dies kann angesichts der Tatsache, dass beliebige Datenmengen per Mausklick auf Server in anderen Kontinenten transferiert werden können, eigentlich niemanden verwundern.

Natürlich hat es Fälle, in denen die Strafverfolgung eine grenzüberschreitende Kooperation erforderlich machte, schon früher gegeben. Eine traditionelle Regelung zur Lösung grenzüberschreitender Datenanfragen in Strafsachen bieten die zwischen Staaten geschlossene Rechtshilfevereinbarungen (Mutual Legal Assistance Treaties, MLAT). Sie legen entsprechende Verfahren fest, wie mit Rechtshilfeersuchen aus dem Ausland umzugehen ist. So können die nationalen Behörden überprüfen, inwieweit etwa eine Datenübermittlung zur Durchführung eines Strafverfahrens in Einklang mit dem nationalen Recht steht. Dieses System wird jedoch von der steigenden Häufigkeit und Komplexität grenzüberschreitender Datenanforderungen überfordert. Infolgedessen gibt es erhebliche Verzögerungen bei der Verarbeitung von Anfragen.

Vor diesem Hintergrund fordern nationale Behörden und Gerichte in zunehmendem Maße von Unternehmen die Herausgabe von Daten, die sie außerhalb des eigenen Territoriums speichern. So verlangte ein belgisches Gericht von Microsoft die Herausgabe von Skype-Daten. Eine brasilianische Behörde forderte von Yahoo! die Herausgabe von Internet-Informationen über bestimmte Nutzer und chinesische Behörden verlangen von Internet-Anbietern vielfach die Herausgabe auf ausländischen Servern gespeicherter Daten. Aktuell erregt vor allem ein Fall Aufsehen, bei dem ein Bundesgericht im Bundesstaat New York die Firma Microsoft zur Herausgabe von E-Mails verpflichtet hat, die auf einem Server in Irland gespeichert sind. Der strittige Fall wird demnächst voraussichtlich vom US Supreme Court entschieden.

In derartigen Fällen stellt sich regelmäßig die Frage, inwieweit Grundrechte und andere, im Strafrecht enthaltene Schutzvorschriften verletzt werden. Gerade beim Strafrecht bestehen auf internationaler Ebene gewaltige Unterschiede. Eine Handlung, die in einem Staat strafbar ist, mag woanders erlaubt sein (etwa an die in Deutschland strafbaren Meinungsdelikte, die in den USA unter dem Motto „Freedom of Speech“ akzeptiert werden). Gleiches gilt für das Strafprozessrecht: Wann ein Richter entscheiden muss, welche Vorgaben für Beschlagnahmen und Durchsuchungen gelten, in welchen Fällen Beweisverwertungsverbote und Zeugnisverweigerungsrechte bestehen, unterscheidet sich von Land zu Land.

Soweit es sich bei den angeforderten Informationen um personenbezogene Daten handelt, sind die Grundrechte auf Wahrung der Privatsphäre und auf Datenschutz (Art. 7 und 8 der EU-Grundrechtecharta) direkt betroffen. Nach europäischem Rechtsverständnis ist die Herausgabe personenbezogener Daten an ausländische Behörden nur zulässig, wenn hierfür eine entsprechende Rechtsgrundlage im EU-Recht oder im Recht der Mitgliedstaaten besteht. Art. 48 der im Mai 2018 wirksam werdenden Datenschutzgrundverordnung (DSGVO) unterstreicht diesen Rechtsgrundsatz: Behördliche oder gerichtliche Anordnungen von Staaten außerhalb der EU dürfen nur dann anerkannt werden, wenn sie auf einer internationalen Übereinkunft wie einem Rechtshilfeabkommen beruhen.

Aber auch innerhalb der EU ist der Umgang mit grenzüberschreitenden Datenanforderungen von Strafverfolgungsbehörden anderer Mitgliedstaaten alles andere als unkompliziert. Zwar gibt es hier inzwischen das Instrument der Europäischen Beweisanordnung – EBA, welche die Erlangung von Beweismitteln aus einem anderen Mitgliedstaat erleichtert. Doch erlaubt auch die EBA nicht den direkten Zugriff auf in einem anderen Mitgliedstaat gespeicherte Daten.

Artikel 29 Gruppe nimmt zu E-Evidence Stellung

Vor diesem Hintergrund hat die Europäische Kommission unter der Überschrift „e-Evidence“ verschiedene Initiativen gestartet, die den grenzüberschreitenden Datenzugriff erleichtern sollen. Die Art. 29-Arbeitsgruppe, in der die Datenschutzbehörden der EU zusammenarbeiten, hat nun eine lesenswerte Stellungnahme zu den entsprechenden Vorschlägen veröffentlicht.

Die amtlichen Datenschützer weisen darauf hin, dass der Zugriff der Strafverfolgungsbehörden auf personenbezogene Daten in die durch die Grundrechtecharta garantierten Grundrechte eingreift. Jede Beschränkung dieser Grundrechte müsse deren Kern respektieren und zudem dem Verhältnismäßigkeitsgrundsatz entsprechen. In der Stellungnahme wird ausführlich dargelegt, dass die bisher vorgelegten Vorschläge diesen Anforderungen nicht gerecht werden. Kritisiert wird etwa die Möglichkeit, dass sich der grenzüberschreitende Zugriff nicht auf die Verfolgung schwerer Straftaten beschränken sollen. Zudem bemängelt die Art. 29 Gruppe, dass die bislang vorgelegten Vorschläge zu e-Evidence keine Vorgaben zur Gewährleistung der Transparenz bei grenzüberschreitenden Datenanfragen und keine Verpflichtungen zur (nachträglichen) Benachrichtigung der Betroffenen enthalten.

Als besonders problematisch sehen es die Datenschutzbeauftragten an, dass grenzüberschreitende Datenanforderungen von Behörden der Mitgliedstaaten Daten umfassen sollen, die außerhalb der EU gespeichert sind. Sollte die EU eine entsprechende Regelung treffen, würde dies im Umkehrschluss bedeuten, dass letztlich auch entsprechende unilaterale Vorgaben anderer Staaten, etwa der USA akzeptiert werden müssten. Sie fordern, dass Datenanforderungen zwischen Drittstatten und der EU weiterhin nur auf Basis internationaler Rechtshilfeabkommen nachgekommen werden soll. Dies schließt natürlich nicht aus, dass auch beim Datenaustausch über die EU-Außengrenzen hinaus die entsprechenden Prozeduren verbessert und beschleunigte Entscheidungen herbeigeführt werden.

Neues EuGH-Urteil zur Vorratsdatenspeicherung: Bürgerrechte auch in schwierigen Zeiten bewahren!

English version see here

Der Europäische Gerichtshof hat den mehr als 500 Millionen EU-Bürgerinnen und -Bürgern ein Weihnachtsgeschenk gemacht. Mit seinem neuen Urteil zur Vorratsdatenspeicherung (
C-203/15 v. 21. Dezember 2016) – unterstreicht das höchste Gericht der Europäischen Union die Bedeutung der Grund- und Bürgerrechte. Alle Mitgliedstaaten sind gehalten, die in der Europäischen Grundrechtecharta verbrieften Rechte auch in ihrer nationalen Gesetzgebung zu berücksichtigen. Damit setzt der EuGH ein wichtiges Signal, das angesichts der aktuellen politischen Diskussion über innere und äußere Bedrohungen und dem Erstarken von autoritären politischen Strömungen kaum zu überschätzen ist.

Der EuGH bleibt sich treu

Die Entscheidung des Europäischen Gerichtshofs liegt auf einer Linie mit seinem Urteil vom 8. April 2014, mit dem das Gericht die Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten für ungültig erklärt hatte. Die mit dieser Richtlinie vorgeschriebene allgemeine Verpflichtung zur Vorratsspeicherung von Verkehrs- und Standortdaten beschränkte sich nicht auf das absolut notwendige Maß und griff damit unverhältnismäßig in die Grundrechte auf Achtung des Privatlebens und den Schutz personenbezogener Daten (Art. 7 und 8 EUGRCh) ein.

Trotz der Annullierung der VDS-Richtlinie setzten mehrere Mitgliedstaaten ihre Praxis der Vorratsdatenspeicherung fort oder erweiterten sie sogar. Letzteres geschah in Großbritannien, wo im Eilverfahren bereits kurze Zeit nach dem EuGH-Urteil – im Juli 2014 – neue gesetzliche Grundlagen zur Vorratsdatenspeicherung beschlossen wurden, die sogar über die annullierte EU-Richtlinie hinausgingen. Die weitgehenden aktuellen Verpflichtungen zur obligatorischen Datenspeicherung und die Überwachungsbefugnisse der Sicherheitsbehörden sollen nach dem Willen des britischen Parlaments mit dem sog. „Investigatory Powers Act“ kurzfristig sogar noch ausgeweitet werden und künftig auch sämtliche Web-Dienste umfassen, etwa Transaktionen in sozialen Netzwerken oder im Rahmen von Online-Spielen. Am 29. November 2016 einigten sich  das Ober- und Unterhaus auf einen entsprechenden Gesetzestext,
der nach seiner formalen Billigung durch die Queen demnächst in Kraft treten soll. Auch in anderen Mitgliedstaaten gibt es – unterschiedlich weit reichende – gesetzliche Vorgaben, welche die Anbieter von Telekommunikations- und Internetdiensten dazu verpflichten, Verkehrs- und Standortdaten auch dann vorzuhalten, wenn diese für die Erbringung oder Abrechnung des jeweiligen Dienstes nicht bzw. nicht mehr erforderlich sind.

EU-Grundrechtecharta bindet auch den nationalen Gesetzgeber

Ein schwedisches und ein britisches Gericht hatten dem EuGH die Frage zur Klärung vorgelegt, ob die jeweiligen nationalen Regelungen zur Vorratsdatenspeicherung den europarechtlichen Vorgaben entsprechen.

Der EuGH beantwortet diese Frage dahingehend, dass das Unionsrecht nationalen Regelungen entgegensteht, die eine allgemeine und unterschiedslose Speicherung von Daten vorsehen. Der Grundrechtseingriff, der mit einer nationalen Regelung einhergehe, die eine Speicherung von Verkehrs- und Standortdaten vorsieht, sei als besonders schwerwiegend anzusehen. Die Mitgliedstaaten dürfen nicht – wie geschehen – Regelungen, die auf einem wegen seiner Grundrechtswidrigkeit annullierten EU-Rechtsakt basieren oder sogar über diesen hinausgehen, einfach beibehalten oder neu beschließen.

Die Vorgaben des EU-Rechts binden den nationalen Gesetzgeber. Die EU-Datenschutzrichtlinie 2002/58/EG für elektronische Kommunikation („ePrivacy“-Richtlinie) sei im Lichte der Grundrechtecharta auszulegen. Ausnahmen vom Schutz personenbezogener Daten seien auf das absolut Notwendige zu beschränken. Dies gelte nicht nur für die Regeln über die Vorratsdatenspeicherung selbst, sondern auch für den Zugang von Behörden zu den gespeicherten Daten. Eine nationale Regelung, die eine „allgemeine und unterschiedslose Vorratsdatenspeicherung“ vorsieht, keinen Zusammenhang zwischen den Daten, deren Vorratsspeicherung vorgesehen ist, und einer Bedrohung der öffentlichen Sicherheit verlangt und sich insbesondere nicht auf die Daten eines Zeitraums und/oder eines geografischen Gebiets und/oder eines Personenkreises, der in irgendeiner Weise in eine schwere Straftat verwickelt sein könnte, beschränkt, überschreite die Grenzen des absolut Notwendigen und könne nicht als in einer demokratischen Gesellschaft gerechtfertigt angesehen werden. Gesetze der Mitgliedstaaten, die diesen Anforderungen nicht entsprechen, müssen dementsprechend aufgehoben bzw. geändert werden.

Im Hinblick auf die angefochtenen britischen und schwedischen Gesetze liegt der Ball jetzt wieder bei den zuständigen nationalen Gerichten, die den EuGH zur Klärung der strittigen Rechtsfragen angerufen hatten und die nun für die Durchsetzung der EuGH-Vorgaben sorgen müssen. Besondere Verantwortung tragen aber auch die Parlamente und Regierungen der Mitgliedstaaten, denen es obliegt, die jeweiligen Bestimmungen des nationalen Rechts zu überprüfen und ggf. zu korrigieren.

Was wird aus der deutschen Vorratsdatenspeicherung ?

Welche Konsequenzen sich für die jüngst wieder eingeführte deutsche Vorratsdatenspeicherung ergeben, muss ebenfalls dringend überprüft werden. Zwar bleiben die Speicherungsverpflichtungen des neuen deutschen Vorratsdatenspeicherungsgesetzes hinter der vom Bundesverfassungsgericht 2010 aufgehobenen Vorgängerregelung zurück. Es ist jedoch höchst zweifelhaft, ob damit auch die Vorgaben des EuGH erfüllt werden, denn auch nach der neuen Regelung sind die Daten unterschiedslos und flächendeckend zu speichern, ohne jede sachliche Begrenzung auf einen Gefahrenbereich oder eine besondere Risikosituation.

Dass die Bundesregierung bzw. die sie tragenden Parlamentsfraktionen diese Prüfung nun ergebnisoffen vornehmen werden, erscheint angesichts der von diesen gerade beschlossenen und angekündigten Befugnisserweiterungen für die Sicherheitsbehörden höchst unwahrscheinlich. Letztlich wird wohl erneut das Bundesverfassungsgericht hier für Klarheit sorgen müssen.

Peter Schaar (21. Dezember 2016)

Brauchen wir eine Digitalcharta?

Am 1. Dezember 2016 veröffentlichten verschiedene Zeitungen ganzseitige Anzeigen unter der Überschrift „Wir fordern digitale Grundrechte – Charta der digitalen Grundrechte der Europäischen Union“. Bei dieser „Digitalcharta“ handelt es sich um die Zusammenstellung von Forderungen bzw. Vorschlägen, die sich nicht auf reine Individualrechte beschränken, sondern auch staatliches und unternehmerisches Handeln umfassen. Das erkennbare Ziel der Autorinnen und Autoren ist es, eine Diskussion darüber anzustoßen, wie unsere grundlegenden Werte, Grund- und Menschenrechte in einer zunehmend durch digitale Technik geprägten Welt bewahrt werden können. Sie greifen damit ein weit verbreitetes Unbehagen auf, das nicht auf die überschaubare Netzcommunity beschränkt ist. Zugleich setzen sie einen Kontrapunkt zu unreflektierter Technikbegeisterung und weltfremden Versprechungen einer Rückkehr in eine vermeintlich gute alte Zeit ohne Globalisierung und Digitaltechnik.

Immer lauter hört man aus dem Silicon Valley das hohe Lied der „Disruption“, die Begeisterung über die revolutionäre Veränderung der Wirtschaft und unserer Lebensverhältnisse durch digitale Technik. In der Tat lässt sich kaum leugnen, dass die von der Digitalisierung bewirkten Veränderungen vergleichbar sind mit denjenigen der industriellen Revolution des 18. und 19. Jahrhunderts. Bestehende gesellschaftliche Ungleichheiten und Konflikte verschärfen sich und sie werden überlagert von neuen, bisher unbekannten Fragestellungen.

Die mit der Digitalisierung verbundenen Problemstellungen gehen weit über den Datenschutz hinaus, der bereits in der EU verfassungs- und einfachgesetzlich normiert ist (Art. 8 EU-Grundrechtecharta, Datenschutzgrundverordnung). So wichtig der Datenschutz weiterhin bleibt, so bedeutsam ist es, dass wir uns – wie die Digitalcharta es tut – auch mit den anderen Folgen der Digitalisierung auseinandersetzen.

In den letzten Jahren ist es zu einer in der Geschichte unvergleichlichen auf Informationen und Daten basierenden globalen Machtkonzentration bei Unternehmen und staatlichen Stellen gekommen, welche die ungeheuren Informations- und Datenbestände kontrollieren. Gefahren für Freiheits- und Menschenrechte gehen längst nicht mehr allein vom staatlichen „Leviathan“ aus. Auch weltweit agierende Internetunternehmen setzen nach eigenen Interessen Regeln über den Zugang zu Informationen und den Umgang mit ihnen. Sie nutzen dabei Unterschiede zwischen den Rechtsordnungen und Steuersystemen aus.

Spätestens seit den Enthüllungen Edward Snowden ist nicht mehr zu leugnen, dass auch staatliche Stellen, insbesondere aus dem Kreis der Sicherheitsbehörden, an den enormen privatwirtschaftlich angehäuften Informations- und Datenschätzen partizipieren. Viele nachrichtendienstliche Überwachungsaktivitäten erfolgen im Ausland, um der Rechtsbindung durch nationale Verfassungen und Gesetze und der gerichtlichen und parlamentarischen Kontrolle zu entgehen. Grund zum Handeln gibt es also genug.

Dass kollektive Erfahrungen und neue Probleme zur Überprüfung gesellschaftlicher Sichtweisen und Regeln führen, ist kein einmaliges Phänomen. Zahlreiche Aufrufe, Verfassungsdokumente und Grundrechtskataloge belegen dies, etwa die Magna Charta aus dem Jahr 1215, die US-Verfassung von 1788, das westdeutsche Grundgesetz von 1949 bis hin zur Charta der Grundrechte der Europäischen Union aus dem Jahr 2001. Alle diese Dokumente sind in erster Linie (in juristische Sprache gekleidete) politische Manifeste, die teils fundamental mit der vorigen Rechtsordnung brechen oder sie fortschreiben sollen. In dieser Tradition versteht sich offenbar die Digitalcharta.

Ob die Vorschläge in absehbarer Zeit vom Europäischen Parlament beschlossen und Eingang in die EU-Grundrechtecharta finden werden, ist höchst unsicher. Unabhängig davon ist es aber an der Zeit, dass unser politisches System die digitalen Herausforderungen aktiv bearbeitet. Die Debatte darüber ist jedenfalls eröffnet!

Sollen Grundrechte auch vor Machtmissbrauch durch Private schützen?

Die Digitalcharta ist unmittelbar nach ihrer Veröffentlichung heftig kritisiert worden. Eine besonders heiß diskutierte Frage ist, ob Grundrechte nicht nur gegenüber staatlichen Stellen sondern auch gegenüber privaten Stellen gelten sollen, wie dies Art. 1 Abs. 3 vorsieht.

„(3)  Die Rechte aus dieser Charta gelten gegenüber staatlichen Stellen und Privaten.“

Juristen sprechen in diesem Zusammenhang von „Drittwirkung“. Die traditionelle deutsche Verfassungslehre verneint eine direkte Drittwirkung der Grundrechte des Grundgesetzes.

Historisch wurden die Grund- und Menschenrechte als Instrumente gegen staatliche Willkür erkämpft. Sie begrenzen staatliche Machtausübung gegenüber den Bürgern. Diese Funktion als „Abwehrrechte“  gegenüber dem Staat ist auch heute noch von herausragender Bedeutung. Aber sie wird überlagert von objektiv-rechtlichen Aspekten, insbesondere dem Menschen- und Gesellschaftsbild des Grundgesetzes, das selbst eine Drittwirkung nicht explizit ausschließt.

Die Rechtsprechung des Bundesverfassungsgerichts zur Menschenwürde und zum allgemeinen Persönlichkeitsrecht belegt die überragende Bedeutung des Grundgesetzes und insbesondere der Grundrechte bei der einfachen Gesetzgebung und bei der Auslegung von Gesetzen, die „im Lichte der Grundrechte“ zu erfolgen hat.

Besonders deutlich wird die Absicht des Grundgesetzes, privates Handeln zu steuern, beim Grundrecht auf Eigentum:

„Eigentum verpflichtet. Sein Gebrauch soll zugleich dem Wohle der Allgemeinheit dienen.“ (Art. 14 Abs. 2 GG)

Mir erscheint es sinnvoll, die Sozialpflichtigkeit des Eigentums im Hinblick auf die digitalen Herausforderungen zu konkretisieren. Wenn man den ungeheuren Einfluss und die überragende Definitionsmacht heutiger digitaler Plattformen berücksichtigt, wäre ist geradezu fahrlässig, die durch Grundrechte beabsichtigte Machtbegrenzung nur auf staatliche Akteure zu beziehen. Auch Unternehmen haben die Menschenwürde zu achten, sie haben bei den der Allgemeinheit zur Verfügung gestellten Diensten die Meinungsfreiheit zu garantieren, Diskriminierung zu unterlassen und für Transparenz zu sorgen.

Allerdings lassen sich derartige Rechtsfortbildungen sinnvollerweise nicht mehr allein durch nationales Recht realisieren, sondern auf internationaler oder zumindest europäischer Ebene. Deshalb halte ich es für richtig, dass die Digitalcharta einen EU-weiten Regelungsanspruch formuliert. Der Blick über den deutschen Tellerrand zeigt zudem, dass die Diskussion über die Drittwirkung von Grundrechten in der Europäischen Union weitaus weniger intensiv geführt wird als in der deutschen Rechtswissenschaft. Unter dem Begriff der „horizontalen Wirkung“ bejaht etwa der Europäische Gerichtshof die direkte Anwendbarkeit von EU-Recht – auch von Grundrechten – auf das Verhältnis zwischen Privaten, soweit eine EU-Rechtsvorschrift hinreichend präzise formuliert ist. Eine entsprechende Klausel, die klarstellt, dass bestimmte digitale Rechte (und Pflichten) auch gegenüber Privaten anzuwenden sind, wäre also durchaus konsequent und zulässig.

Verbesserungsbedarf

Die Autoren der Digitalcharta haben zur Diskussion ihrer Vorschläge aufgerufen. In der Tat sind nicht alle Artikel der vorgeschlagenen Digitalcharta gleichermaßen gelungen. Kritisch sehe ich insbesondere die widersprüchlichen Ausführungen zur Meinungsfreiheit und Öffentlichkeit in Art. 5:

„(1) Jeder hat das Recht, in der digitalen Welt seine Meinung frei zu äußern. Eine Zensur findet nicht statt.
(2) Digitale Hetze, Mobbing sowie Aktivitäten, die geeignet sind, den Ruf oder die Unversehrtheit einer Person ernsthaft zu gefährden, sind zu verhindern.
(3) Ein pluraler öffentlicher Diskursraum ist sicherzustellen.
(4) Staatliche Stellen und die Betreiber von Informations- und Kommunikationsdiensten sind verpflichtet, für die Einhaltung von Abs. 1, 2 und 3 zu sorgen.“

Für bedenklich halte ich die im zweiten Absatz vorgesehenen Einschränkungen der Meinungsfreiheit und des Zensurverbots. Es stellt sich die Frage, wie die Tatbestände der digitalen „Hetze und Mobbing sowie Aktivitäten, die geeignet sind, den Ruf oder die Unversehrtheit einer Person ernsthaft zu gefährden“ zu verstehen sind.

Wer einmal Ziel aggressiver Kritik, Anmache bis hin zum Shitstorm geworden ist, empfindet eine solche Situation als unangenehm. Trotzdem wäre es falsch, darauf mit einem generellen Verbot zu reagieren. In einer pluralen Demokratie müssen wir auch unsachliche Äußerungen und Wut anderer ertragen, ohne nach dem Staatsanwalt oder Foren-Zensor zu rufen.

Zudem darf nicht außer Acht gelassen werden, dass die Meinungsfreiheit vor dem Hintergrund unterschiedlicher historischer Erfahrungen international verschieden eingeschätzt wird. Die vorgeschlagenen Regelungen implizieren, dass nicht nur unzulässige, sondern auch nicht strafbare Meinungsäußerungen in der digitalen Welt zu verhindern seien. Dies wird der überragenden Bedeutung der Informations- und Meinungsfreiheit in der demokratischen Gesellschaft nicht gerecht.

Verschärft wird dieses Problem dadurch, dass nicht etwa eine nachträgliche Löschung verlangt wird, sondern die generelle Verhinderung solcher Äußerungen. Dies würde letztlich doch auf Zensur hinauslaufen.

Zudem sind die Adressaten entsprechender Verpflichtungen nicht zu Ende gedacht. So sollen nicht nur „staatliche Stellen“, sondern auch die Betreiber von Kommunikations- und Informationsdiensten für die Durchsetzung sorgen. Ich kann mir nicht vorstellen, dass die Autoren einer durchgängigen Inhaltskontrolle im Sinne von „deep packet inspection“ das Wort reden, aber leider lassen sich die Formulierungen genau so auslegen.

An Stelle der missverständlichen Regelungen sollte Art. 5 daher umformuliert werden:

„…(2) Dieses Recht kann durch gesetzliche Bestimmungen beschränkt werden, soweit dies zum Schutz berechtigter persönlicher oder gesellschaftlicher Interessen unerlässlich ist. … (4)

Die Betreiber von Plattformen, die dem öffentlichen Informations- und Meinungsaustausch dienen, sind verpflichtet, unzulässige Beiträge zu löschen, sobald sie von ihnen Kenntnis erlangt haben.“

Peter Schaar

Soll vor dem Bargeld das anonyme Bezahlen im Internet verboten werden?

Der von der Europäischen Kommission am 5. Juli 2016 vorgelegte Vorschlag zur Überarbeitung der Vierten EU-Geldwäscherichtlinie (2015/849 v. 20.5.2015 – GW-RL) begegnet erheblichen datenschutzrechtlichen Bedenken. Die im Entwurf vorgesehene ausnahmslose Identifikationspflicht der Nutzer von Online-Bezahlverfahren widerspricht dem in Art. 8 EU-Grundrechtecharta verbürgten Grundrecht auf Datenschutz. Sie verfehlt insbesondere die Vorgaben des Europäischen Gerichtshofs zur Vorratsdatenspeicherung (EuGH, 08.04.2014 – C-293/12 und C-594/12).

Zudem bestehen erhebliche Zweifel, inwieweit der vorgeschlagene Wegfall anonymer Bezahlmöglichkeiten im Internet kompatibel ist mit dem durch die Datenschutzgrundverordnung (2016/697 – DS-GVO) und der Datenschutzrichtlinie für Polizei und Justiz (RL 2016/680 – DS-JI-RL) vorgegebenen Rahmen.

Schließlich widerspricht die Änderung den Vorgaben des Bundesverfassungsgerichts zum Grundrecht auf informationelle Selbstbestimmung, indem sie den deutschen Gesetzgeber daran hindern würde, die europarechtlichen Vorgaben verfassungskonform umzusetzen.

Bemerkenswert ist auch, dass die vorgesehene Verschärfung des EU-Rechtsrahmens erfolgen soll, ehe die einschlägigen Regelungen der erst im vergangenen Jahr novellierten Geldwäscherichtlinie in nationales Recht umgesetzt worden sind – deren Umsetzungsfrist endet am 26. Juni 2017. Angesichts fehlender Erfahrungen mit deren Vorgaben sind Aussagen darüber nicht möglich, wie sich die verschärften Identifikationspflichten und die mitgliedsstaatlichen Gestaltungsmöglichkeiten bei deren Umsetzung auswirken. Dies gilt insbesondere für den sogenannten „risikobasierten Ansatz“, wonach die Verpflichteten bestimmte Vorgaben unter in § 12 Abs. 1 der GW-RL spezifizierten Voraussetzungen nicht anzuwenden haben.

Vorgaben aus der Vierten Geldwäscherichtlinie (RL 2015/849)

Die Verhinderung der Geldwäsche und die Bekämpfung der Terrorismusfinanzierung sind zweifellos legitime Ziele. Dementsprechend betrachtet der Europäische Gesetzgeber E-Geld-Produkte „als Ersatz für Bankkonten“ und unterwirft sie den Verpflichtungen zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung, insbesondere durch Transparenzvorgaben und Identifikationspflichten bezüglich deren Nutzern. Allerdings können die Mitgliedstaaten in Fällen, in denen erwiesenermaßen ein geringes Risiko besteht, und sofern strikte risikomindernde Maßnahmen ergriffen werden, E-Geld von der Pflicht zur Feststellung und Überprüfung der Identität des Kunden und des wirtschaftlichen Eigentümers freistellen (Art. 12 Abs. 1 GW-RL).

Zu den risikomindernden Voraussetzungen zählt, dass die ausgenommenen E-Geld-Produkte ausschließlich für den Erwerb von Waren oder Dienstleistungen genutzt werden und dass der elektronisch gespeicherte Betrag so gering sein muss, dass eine Umgehung der Vorschriften über die Bekämpfung der Geldwäsche und der Terrorismusfinanzierung ausgeschlossen werden kann. Die Kommission will die ohnehin niedrig bemessene Höchstgrenze des in anonymen Prepaid-Produkten zu speichernden Betrags weiter begrenzen, was den Einsatzbereich von anonymen Zahlungsmitteln auch außerhalb des Online-Bereichs weiter einschränken würde.

Generelle Identifikationspflichten

Nach dem Kommissionsvorschlag zur Änderung von Art. 12 Abs. 2 GW-RL („ … either of online payment …“) sollen E-Geldprodukte, die für Online-Zahlungen verwendet werden, ausnahmslos von diesem risikobasierten Ansatz ausgenommen werden. Damit könnten die Mitgliedstaaten – anders als bisher – bei derartigen E-Geld-Produkten generell keine Ausnahmen von der Identifizierungspflicht mehr vorsehen.

Nach Art. 12 (neu) müsste sich jede Person, die ein entsprechendes E-Geld-Produkt erwirbt, identifizieren, z.B. mit ihren Ausweisdokumenten. Unklar ist in diesem Zusammenhang, inwieweit die nach Art. 15 GW-RL weiterhin möglichen „vereinfachten Sorgfaltspflichten“ auch die Kundenidentifizierung umfassen können, etwa im Hinblick auf die zum Nachweis der Identität erforderlichen Unterlagen bzw. die zur Identifikation eingesetzten Verfahren und die Dokumentations- und Aufbewahrungspflichten. Sofern hier eine Minderung der Sorgfaltspflichten nicht greifen sollte, wären etwa die Emittenten eines Prepaid-Zahlungsmittels zukünftig verpflichtet, eine Kopie der erhaltenen Dokumente und Informationen mindestens für die Dauer von fünf Jahren aufzubewahren (Art. 40 Abs.1 GW-RL). Sämtliche Online-Transaktionen – auch die Zahlung von kleinsten Beträgen – könnten über viele Jahre namentlich nachvollzogen werden.

Eine generelle Identifizierungspflicht würde dazu führen, dass anonymes Einkaufen und Bezahlen im Internet selbst bei Bagatellbeträgen praktisch ausgeschlossen werden. Anonyme Bezahlsysteme im Internet bieten ihren Nutzern jedoch Möglichkeiten, die Risiken eines Missbrauchs ihrer Finanzdaten beispielsweise durch IT-Spionage unter Ausnutzung unzureichend gesicherter IT-Systeme zu minimieren. Zahlreiche Fälle belegen, dass Systeme, in denen zahlungsrelevante personenbezogene Daten gespeichert werden, entsprechenden Angriffen in besonderem Maße ausgesetzt sind. Durch die Verpflichtung zur namentlichen Nutzer-Identifikation und die damit verbundenen Speicherungspflichten würden diesen Angriffen neue Ziele geboten.

Anonyme Bezahlmöglichkeiten im Internet sind zugleich ein wichtiger Baustein, um die Möglichkeit zum anonymen Medienkonsum zu erhalten, da Online-Medien, Apps und Spiele zunehmend gegen Bezahlung angeboten werden. Auf jeden Fall muss verhindert werden, dass detaillierte personenbeziehbare Nutzungsdaten – etwa bei Streaming-Diensten – immer dann entstehen, wenn eine Nutzung entgeltpflichtig ist. Die datenschutzfreundliche, dem Grundsatz der Minimierung entsprechende, Gestaltung interaktiver Dienste setzt insofern voraus, dass anonyme Bezahlmöglichkeiten bei Klein- und Kleinstbeträgen möglich bleiben.

Schließlich wäre bei der vorgeschlagenen Neuregelung zu befürchten, dass Nutzer, die weiterhin einer lückenlosen Registrierung entgehen wollen, auf Online-Bezahlverfahren ausweichen, die keinerlei wirksamen Regulierung unterliegen. Ein solches Förderprogramm international verfügbarer unkontrollierbarer Transaktionsplattformen würde letztlich die Geldwäsche und die Terrorismusfinanzierung erleichtern und nicht unterbinden. Die gegen die Umgehung des EU-Rechts gerichtete Regelung im Kommissionsvorschlag (neuer Art. 12 Abs. 3) dürften schon deshalb weitgehend leer laufen, weil sie die Geldinstitute zur lückenlosen und detaillierten Prüfung der Zulassungsvoraussetzungen für Drittstaats-Dienste verpflichten würde, was aus hiesiger Sicht unrealistisch erscheint. Der Ausschluss einzelner aus Drittstaaten angebotener Dienste (Blacklisting) würde diese Anforderung nur unzureichend erfüllen.

Unzulässige Vorratsdatenspeicherung

Unter Berufung auf den legitimen Zweck der Geldwäsche-Richtlinie, nämlich der Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung, würden durch den vorgesehenen Wegfall anonymer Online-Bezahlmöglichkeiten anlasslos massenhaft personenbezogene Daten erfasst, die mit derartigen Praktiken in keinerlei Zusammenhang stehen.

Eine derartige anlass- und schwellenlose Identifikations- und Speicherungsverpflichtung widerspricht den Vorgaben der Europäischen Grundrechtecharta. Dies ergibt sich aus dem Urteil des Europäischen Gerichtshofs, mit dem er die Richtlinie 2006/24/EG zur Vorratsspeicherung von Telekommunikationsdaten annullierte (Urteil v. 8. April 2014, C‑293/12 u. C‑594/12).

Der EuGH stellte fest, dass eine solche Verpflichtung zur Datenspeicherung in Art. 8 der Charta eingreift, der das Grundrecht auf Datenschutz garantiert. Eine solche Einschränkung von Grundrechten dürfe nur unter Wahrung des Grundsatzes der Verhältnismäßigkeit vorgenommen werden. Gesetzliche Vorgaben zur Datenspeicherung sind nur zulässig, soweit sie den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen tatsächlich entsprechen, erforderlich und verhältnismäßig sind. Die obligatorische Datenspeicherung darf nicht die Grenzen dessen überschreiten, was zur Erreichung dieser Ziele geeignet und erforderlich ist und muss sich auf das absolut Notwendige beschränken.

Der EuGH bemängelte, dass sich die Richtlinie 2006/24 generell auf alle Personen und alle elektronischen Kommunikationsmittel erstreckte, „ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen.“ Sie betreffe „zum einen in umfassender Weise alle Personen, …, ohne dass sich jedoch die Personen, deren Daten auf Vorrat gespeichert werden, auch nur mittelbar in einer Lage befinden, die Anlass zur Strafverfolgung geben könnte. Sie gilt also auch für Personen, bei denen keinerlei Anhaltspunkt dafür besteht, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten stehen könnte.“ Die annullierte Richtlinie verlangte „keinen Zusammenhang zwischen den Daten, deren Vorratsspeicherung vorgesehen war, und einer Bedrohung der öffentlichen Sicherheit; insbesondere beschränkt sie die Vorratsspeicherung weder auf die Daten … eines bestimmten Personenkreises, der in irgendeiner Weise in eine schwere Straftat verwickelt sein könnte, noch auf Personen, deren auf Vorrat gespeicherte Daten aus anderen Gründen zur Verhütung, Feststellung oder Verfolgung schwerer Straftaten beitragen könnten.“ Das Gericht stellte deswegen fest, dass die angegriffene RL zur Vorratsdatenspeicherung unverhältnismäßig in das durch Art. 8 EuGrCh garantierte Grundrecht auf Datenschutz eingriff und deshalb ungültig war.

Diese Kritik lässt sich auf die von der Kommission mit der Änderung der GW-RL verfolgte generelle Identifikationspflicht bei Online-Transaktionen übertragen. Auch die Neuregelung betrifft sämtliche Fälle, völlig unabhängig von einem damit verbundenen Risiko. Die dabei erfassten Daten beschränken sich nicht auf Personen, „die auch nur mittelbar in einer Lage befinden, die Anlass zur Strafverfolgung geben könnte,“ wie der EuGH in seinem Vorratsdaten-Urteil ausführt. Zudem sind – wie bei der Vorratsspeicherung von Telekommunikationsdaten – die Zwecke, zu denen die Daten verwendet werden dürfen, nicht hinreichend präzise gefasst und die Stellen, die auf die Daten zugreifen können, nicht hinreichend genau bestimmt. Im Ergebnis ist deshalb festzustellen, dass die vorgesehenen Änderungen zur Europarechtswidigkeit der GW-RL führen würden.

Eine durch EU-Recht festgelegte generelle Identifikationspflicht wäre auch nicht vereinbar mit dem durch das Grundgesetz garantierte Recht auf informationelle Selbstbestimmung. In seinem Urteil zur Vorratsdatenspeicherung von Telekommunikationsdaten v. 2. März 2010 (1 BvR 256/08) hat das Bundesverfassungsgericht gemahnt, dass Gesetze, die auf eine möglichst flächendeckende vorsorgliche Speicherung aller für die Strafverfolgung oder Gefahrenprävention nützlichen Daten zielen, mit der Verfassung unvereinbar sind.

Fehlende Kompatibilität mit dem neuen EU-Datenschutzrecht

Die Europäische Kommission ist der Auffassung, dass ihre Vorschläge konsistent mit dem neuen EU-Rechtsrahmen für den Datenschutz seien, namentlich mit der Datenschutzgrundverordnung 2016/679 (DS-GVO) und der Datenschutzrichtlinie für Polizei und Justiz 2016/680 (DS-JI-RL). An dieser Aussage sind erhebliche Zweifel angebracht.

Entsprechend der Vorgaben in Art. 8 EUGrCh folgt die Datenschutzgrundverordnung dem Grundsatz der Datenminimierung. Die personenbezogenen Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Zudem müssen die Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Art. 5 Abs. 1 DS-GVO). Zwar ist die Verarbeitung personenbezogener Daten für die Erfüllung rechtlicher Verpflichtungen zulässig, denen der Verantwortliche unterliegt, namentlich für die Wahrnehmung einer Aufgabe im öffentlichen Interesse (Art. 6 Abs.1 c,e DS-GVO). Die entsprechenden Rechtsvorschriften müssen jedoch ebenfalls den Vorgaben der Grundrechtecharta genügen und insbesondere in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

Der Vorschlag, die Emittenten von für Online-Transaktionen geeignetem E-Geld zur namentlichen Identifikation der Nutzer zu verpflichten, unabhängig von irgendwelchen Risiken oder Schwellenwerten, und die Identifikationsdaten und die getätigten Transaktionen für mindestens 5 Jahre aufzubewahren, widerspricht den im neuen EU-Datenschutzrecht festgelegten Geboten der Verhältnismäßigkeit und der Datenminimierung.

Der Vorschlag ist auch im Hinblick auf die Datenschutz-Richtlinie für Polizei und Justiz problematisch. Die DS-JI-RL verpflichtet die Mitgliedstaaten zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 a DS-JI-RL). Hierfür legt sie Mindestanforderungen fest. Jedoch hindert sie die Mitgliedstaaten nicht daran, bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden Garantien festzulegen, die strenger sind als die Garantien der DS-JI-RL. Insbesondere dürfe die Angleichung der Rechtsvorschriften der Mitgliedstaaten nicht zu einer Lockerung des Schutzes personenbezogener Daten in diesen Ländern führen (EG 15 DS-JI-RL).

Möglichkeiten, über die datenschutzrechtlichen Vorgaben der DS-JI-RL im Sinne eines effektiven Grundrechtsschutzes hinauszugehen, sind in Deutschland geboten, weil der deutsche Gesetzgeber an die strikten Vorgaben des Bundesverfassungsgerichts zum informationellen Selbstbestimmungsrecht gebunden ist, die dieses im Volkszählungsurteil von 1983 entwickelt und seither in einer Vielzahl von Entscheidungen fortgeschrieben hat. Von daher ist es zwingend, dass der deutsche Gesetzgeber von den in § 12 GW-RL vorgesehenen Möglichkeiten Gebrauch macht, entsprechend des dort vorgesehenen risikobezogenen Ansatzes von einer generellen Identifikationspflicht der Nutzer von Online-Payments abzusehen, indem er insbesondere Schwellenwerte festlegt, unterhalb derer keine Verpflichtung zur namentlichen Registrierung besteht.

Wenn den Mitgliedstaaten die Möglichkeit genommen würde, bestimmte für Online-Transaktionen geeignete E-Geldprodukte mit niedrigem Risikopotential von der Identifikationspflicht auszunehmen, wäre dem deutschen Gesetzgeber eine verfassungskonforme Umsetzung der GW-Richtlinie nicht mehr möglich.

Das Ende der vorratsdatenlosen Zeit

Kurz vor Weihnachten verkündete der Bundesanzeiger-Verlag die frohe Botschaft, dass die vorratsdatenlose Zeit bald zu Ende geht. Mit der Veröffentlichung im Bundesgesetzblatt am 17. Dezember 2015 trat das „Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“ in Kraft. Die „Erbringer öffentlich zugänglicher Telefondienste“ müssen ab dem 1. Juli 2017 wieder Rufnummern und andere Kennungen der Kommunikationspartner mit genauen Zeitangaben, Internetzugangsdienste die jeweilige Internet-Protokoll-Adresse speichern. Bei mobilen Diensten sind zusätzlich die Daten über die zu Beginn der Verbindung genutzten Funkzellen festzuhalten.

Wird Deutschland tatsächlich sicherer, wenn die Telekommunikationsunternehmen erneut verpflichtet werden, Daten über das Kommunikationsverhalten Ihrer Kunden zu speichern? Das zentrale Argument der Befürworter der Vorratsdatenspeicherung ist deren angebliche Notwendigkeit im Kampf gegen den Terrorismus. Insbesondere seit dem Massaker islamistischer Terroristen an den Redakteuren der Satirezeitschrift Charly Hebdo im Januar 2015 in Paris forderten deutsche Politiker die Wiedereinführung der Speicherungspflicht. Die 2006 eingeführte  Vorratsdatenspeicherung hatte das Bundesverfassungsgerichts am 2. März 2010 für verfassungswidrig erklärt und der Europäische Gerichtshof (EuGH) annullierte am 8. April 2014 die Vorratsdatenspeicherungs-Richtlinie der EU, weil sie eklatant gegen die Grundrechte-Charta verstieß, und zwar gleichermaßen gegen den in Art. 7 garantierten Schutz der Privatsphäre und den durch Art. 8 verbrieften Schutz personenbezogener Daten. Legitime Zwecke der Strafverfolgung, der Gefahrenabwehr und der Terrorismusbekämpfung rechtfertigten die tiefen, mit einer anlasslosen, regional unbegrenzten, langfristigen und umfangreichen Speicherung personenbezogener Daten verbundenen Grundrechtseingriffe nicht. Entscheidend dabei sei, dass von einer solchen Maßnahme ganz überwiegend Unverdächtige betroffen sind.

Die Forderungen nach neuen Datensammlungen folgen einem Reaktionsmuster,  das bereits nach den Terroranschlägen vom 11. September 2001 zu beobachten war. Sie lösten weltweit eine Welle von Überwachungsmaßnahmen aus, von denen wir heute wissen, dass sie die Welt nicht sicherer gemacht haben. Dies gilt auch für die Vorratsdatenspeicherung, die ja in Frankreich niemals ausgesetzt wurde und auch vor den jüngsten terroristischen Anschlägen praktiziert wurde. Selbst die dortige 12-monatige Vorratsdatenspeicherung hat die schrecklichen Mordattentate vom Januar und Oktober 2015 nicht verhindern können.

Auch wenn immer mehr Untersuchungen die Nutzlosigkeit der undifferenzierten Datenspeicherung bei Terrorismusbekämpfung belegen, hat dies die Bundestagsmehrheit nicht davon abgehalten, die Speicherungspflicht erneut einzuführen. Obwohl die dabei festgelegten Fristen von zehn Wochen für Verkehrsdaten und IP-Adressen bzw. vier Wochen für Standortdaten deutlich unterhalb der Vorgaben der früheren Vorratsdatenspeicherung bleiben, steht die Maßnahme zu Recht in der Kritik:

Es handelt sich um eine undifferenzierte Maßnahme, die ganz überwiegend unschuldige und unbescholtene Nutzerinnen und Nutzer elektronischer Dienste trifft. Selbst Daten von Berufsgeheimnisträgern wie Ärzten und Anwälten sollen lückenlos erfasst werden. Die gesetzlichen Verwertungsverbote schützen diese Daten nur unzureichend.
Der Nachweis der Notwendigkeit des mit der verdachtslosen Speicherung verbundenen tiefen Eingriffs in die Grundrechte wurde nicht erbracht.
Terroristische und andere Straftäter haben vielfältige Möglichkeiten, der Vorratsdatenspeicherung zu entgehen, etwa durch die Verwendung nicht registrierter Prepaid-Karten oder von Kommunikationsdiensten, die nicht erfasst werden, insb. von „Over The Top“ (OTT)-Diensten wie Skype, für die eine entsprechende Speicherverpflichtung nicht besteht.
Die zusätzlich gespeicherten Daten erhöhen das Risiko auf unberechtigte Verwendung durch Innen- und Außentäter. Diesen Gefährdungen kann nur mit erheblichem technischen, personellen und finanziellen Aufwand entgegengewirkt werden, den letztlich alle Kundinnen und Kunden der verpflichteten Unternehmen und zum Teil auch die Steuerzahler zu tragen haben.

Vor diesem Hintergrund ist es mehr als verständlich, dass Verfassungsbeschwerden gegen die neue Vorratsdatenspeicherung angekündigt wurden – durchaus mit guten Erfolgsaussichten.

Mit vorweihnachtlichen Grüßen

Peter Schaar

Links:
Gesetz zur Vorratsdatenspeicherung (BGBl I , S. 2218, 17.12.2015)
EAID-Stellungnahme zum Gesetzentwurf zur Vorratsdatenspeicherung
EAID-Blog: Die Neue, die Unvollendete: Zur Wiedereinführung der Vorratsdatenspeicherung am 16.10.2015

 

EuGH zu Safe Harbor: Kein Grundrechterabatt beim internationalen Datentransfer

Das Urteil des Europäischen Gerichtshofs (EuGH) in der Sache Schrems gegen den Irischen Datenschutzbeauftragten wirkt weit über den eigentlichen Streitgegenstand hinaus. Die Irische Datenschutzbebehörde muss der Frage nachgehen, ob Facebook Irland die personenbezogenen Daten seiner Nutzer in die Vereinigten Staaten weitergeben darf. Die Entscheidung betrifft auch die deutschen Facebook-Nutzer, denn Facebook Ireland ltd. mit Sitz in Dublin bietet seinen Service für die meisten Länder – mit Ausnahme Nordamerikas – rechtlich von Irland aus an. Deren Daten werden aber gleichwohl in den USA verarbeitet – im Wege der „Datenverarbeitung im Auftrag“.

Die für die Datenschutzkontrolle bei Facebook Irland zuständige Irische Datenschutzbeauftragte kann sich einer solchen Überprüfung nicht mit dem Hinweis darauf entziehen, dass die EU-Kommission  in ihrer „Safe Harbour“-Entscheidung vom 26. Juli 2000 den Vereinigten Staaten ein angemessenes Datenschutzniveau bescheinigt hat, jedenfalls soweit sich die Datenempfänger zu den „Grundsätzen eines sichern Hafens“ bekennen, wie dies seitdem mehr al 3000 US-Unternehmen getan haben.

Das höchste EU-Gericht hat festgestellt, dass die Safe-Harbour-Vereinbarung nicht den Anforderungen von Art. 7 und 8 der EU-Grundrechtecharta genügt, die die Grundrechte auf Datenschutz und Privatsphäre garantieren. Letztlich unbegrenzte Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten europäischer Herkunft verletzten den Kernbereich der Grundrechte. Ihre sehr weit gehenden Befugnisse widersprächen zudem den grundlegenden Anforderungen an ein rechtsstaatliches Verfahren, denn Betroffene EU-Bürger hätten keinen Anspruch darauf, in den USA Auskunft über die Datenverarbeitung staatlicher Stellen zu erlangen und die entsprechenden Zugriffe und die anschließende Datenverarbeitung gerichtlich überprüfen zu lassen. Das Safe Harbour Abkommen sei deshalb ungültig.

Für Facebook und die übrigen Unternehmen, die sich in den vermeintlich sicheren Hafen geflüchtet haben, bedeutet das Urteil zunächst, dass die Verarbeitung personenbezogener Daten, die aus der EU übermittelt wurden, nicht mehr der Vermutung unterliegen, sie würden in Übereinstimmung mit dem EU-Datenschutzrecht verarbeitet (Art. 25 der EU-Datenschutzrichtlinie von 1995). Sie benötigen für den Datentransfers grundsätzlich die Genehmigung durch die zuständigen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten. Die Datenschutzbehörden dürfen diese Genehmigung nur erteilen, wenn der Datenempfänger – bezogen auf die jeweiligen personenbezogenen Daten – ein angemessenes Datenschutzniveau gewährleistet. Dieser Nachweis dürfte insbesondere denjenigen Unternehmen schwer fallen, die an der Massenüberwachung durch US-Geheimdienste mitgewirkt haben.

Schwer vorstellbar ist, dass Facebook, Microsoft, Google & Co. einfach auf ein anderes Instrument „umschalten“ können, das die Angemessenheit des Datenschutzes garantieren soll, etwa auf die sog. „Standardvertragsklauseln„, die ebensowenig wie der „sichere Hafen“ vor staatlicher Überwachung schützen. Die vom EuGH formulierten Anforderungen sind auch auf sie anwendbar.

Auch die Änderung der Vertragsbestimmungen mit den Nutzern in der Weise, dass diese in die mögliche Überwachung durch die NSA und andere Behörden einwilligen, wäre keine Lösung. Zwar haben Betroffene grundsätzlich die Möglichkeit, in das Eingehen besonderer Risiken einzuwilligen, auch soweit diese den Umgang mit ihren Daten betreffen. Die Einwilligung kann jedoch nur dann eine wirksameRechtsgrundlage für die Verarbeitung personenbezogener Daten sein, wenn die Nutzer der Tragweite der Einwilligung bewusst sind (Transparenz), sie frei von jedem Zwang erfolgt (tatsächliche Freiwilligkeit) und sie jederzeit zurückgenommen werden kann.

Eine pauschale Einwilligung in umkfassende staatliche Überwachung durch einen Drittstaat, verbunden mit dem Verzicht auf Rechtsschutz und auf das nach EU-Recht unabdingbare Auskunftsrecht bezüglich der eigenen Daten wäre deshalb unwirksam.

Wie könnte also eine Lösung aussehen?

Kurzfristig müssen die betroffenen Unternehmen – sowohl die Absender als auch die Empfänger personenbezogener Daten – dafür sorgen, dass die ihnen anvertrauten Daten nicht weiter Gegenstand der Massenüberwachung sind: Durch Kryptographie, Standortenscheidungen für Server und anderer Netzkomponenten und ggf. durch Wechsel von Geschäftspartnern, etwa bei der Auftragsdatenverarbeitung oder bei der Erbringung sonstiger IT-Dienstleistungen.

Längerfristig besteht der einzige Weg darin, den in Art. 12 der UN-Menschenrechtserklärung, in der EU-Grundrechtecharta und in vielen Verfassungen demokratischer Staaten garantierten Grund- und Menschenrechte auf Privatsphäre und Datenschutz endlich global durchzusetzen. Die notwendigen Änderungen beschränken sich dabei nicht auf die Vereinigten Staaten, sie betreffen auch Europa. Auch hier folgen Geheimdienste der absurden Vorstellung, möglichst alles zu wissen und deshalb alles und jeden zu überwachen, um damit vermeintlich mehr Sicherheit zu schaffen (was bekanntlich nicht einmal in autoritären Regimes jemals geklappt hat).

Nicht ein angeblich „überzogener“ Datenschutz gefährdet den Welthandel und die Informationsgesellschaft, sondern überbordende Massenüberwachung!

Mit freundlichen Grüßen, Peter Schaar

Vgl. auch meinen Blog-Eintrag zum Votum des Generalanwalts

Löchriger Datenschutz-Schirm

Vor gut einer Woche, am 8. September 2015, gab die Europäische Kommission den erfolgreichen Abschluss der Verhandlungen mit den USA über ein Datenschutz-Rahmenabkommen („Umbrella Agreement“), das für die Kooperation zwischen Strafverfolgungsbehörden gelten soll. Das Abkommen werde nach seinem Inkrafttreten „ein hohes Datenschutzniveau für alle personenbezogenen Daten garantieren, die von den Strafverfolgungsbehörden über den Atlantik gesandt werden. Insbesondere wird es  garantieren, dass alle EU-Bürger das Recht haben, den Schutz Ihrer Daten bei US-Gerichten durchzusetzen“, führte die zuständige EU-Justizkommissarin Věra Jourová aus. Voraussetzung für die Unterzeichnung der Vereinbarung sei jedoch, dass der US-Kongress möglichst bald die erforderlichen Gesetzesänderungen („Judicial Redress Bill“) beschließe.

Obwohl die Kommission den vereinbarten Text zunächst nicht veröffentlichen wollte, ist dieser inzwischen  – auf welchen Wegen auch immer – ins Internet gelangt und ermöglicht so eine Detailprüfung, ohne die eine verlässliche Bewertung der Verhandlungsergebnisse nicht möglich ist. Ich möchte den Leserinnen und Lesern meine Eindrücke nicht vorenthalten, die ich bei der ersten Durchsicht des Abkommenstextes  gewonnen habe.

Zunächst die gute Nachricht: Das Abkommen enthält in der Tat substantielle Zugeständnisse der US-Seite, die von vielen Beobachtern vor Jahresfrist kaum für möglich gehalten wurden. Zu nennen ist in erster Linie, dass  EU-Bürger zukünftig vor US-Gerichten überhaupt einklagbare  Datenschutz-Rechte erhalten sollen. Gegen eine derartige Regelung hatte sich die US-Regierung während er sich über fünf Jahre hinziehenden Verhandlungen lange gewehrt. Statt eines  einklagbaren Rechtsanspruches sollten EU-Bürgern Datenschutzrechte nur durch eine Verwaltungsvereinbarung eingeräumt werden. Dass eine – letztlich vom Goodwill der US-Administration abhängige  – Zusicherung kein angemessenes Datenschutzniveau gewährleisten kann, wurde zu Recht von EU-Seite immer wieder betont. Insofern ist es positiv, dass die entsprechenden Rechtsansprüche in einem formellen, durch den US-Kongress zu beschließendes Gesetz, gesichert werden sollen.

Positiv ist auch, dass sich beide Seiten zu den Grundsätzen der Verhältnismäßigkeit, Erforderlichkeit und Zweckbindung bekennen und dass  sie sich verpflichten, die Verwendung und die Dauer der Speicherung personenbezogener Daten entsprechend dieser Grundsätze durch Rechtsvorschriften festzulegen.

Bei Durchsicht des Abkommenstextes wird jedoch deutlich, dass von einer rechtlichen Gleichstellung der EU-Bürgerinnen und Bürger nicht die Rede sein kann. Dabei hätte sich dies sehr leicht in die bestehenden US-Datenschutzvorschriften einfügen lassen: So hätte es genügt, die Regelungen – etwa des US Privacy Act von 1974 -, die sich bisher auf US-Bürger und dort rechtmäßig ansässige Ausländer beschränken, auf EU-Bürger zu erweitern. Stattdessen enthält der Abkommenstext komplizierte Regelungen, welche im Ergebnis die Gleichstellung nicht gewährleisten. So müssen EU-Bürger – anders als US-Bürger – zunächst versuchen, ihre Datenschutzrechte auf dem Verwaltungsweg durchzusetzen. Erst wenn sie damit endgültig gescheitert sind, dürfen sie ein US-Gericht anrufen. Zudem beschränken sich die in Art. 18 des Abkommens vorgesehenen Klagemöglichkeiten auf die ausdrücklich im Abkommen genannten Rechte auf Auskunft und Korrektur der jeweiligen personenbezogener Daten. EU-Bürger haben – anders als US-Bürger – weiterhin keine darüber hinausgehenden Möglichkeiten, die Rechtmäßigkeit des gesamten Verfahrens der Datenverarbeitung gerichtlich überprüfen zu lassen.

Ferner ist darauf hinzuweisen, dass das Abkommen nur für Strafverfolgungs- und Polizeibehörden  gelten soll, nicht jedoch für Behörden, die für die Gewährleistung der „nationalen Sicherheit“ zuständig sind. In diesem Zusammenhang ist darauf hinzuweisen, dass US-Nachrichtendienste wie die NSA und die CIA ihre Erkenntnisse, auch sofern sie diese von Behörden anderer Staaten erhalten haben, durchaus mit den Strafverfolgungsbehörden teilen. Sollte also der Bundesnachrichtendienst auch zukünftig – wie in der Vergangenheit in beachtlichem Umfang geschehen – personenbezogene Daten an US-Dienste übermitteln, welche die Informationen an das FBI weitergeben, wären darauf die Vorgaben des Rahmenabkommens nicht anwendbar. Nicht anwendbar ist das Abkommen auch bezüglich solcher Datensammlungen von US Behörden, die auf Basis anderer US-Vorschriften  –  etwa des Foreign Intelligence Surveillance Act (FISA) –  erfolgen.

Eine weitere Beschränkung soll nicht unerwähnt bleiben: Während nach dem europäischen  Datenschutzrecht sämtliche personenbezogenen Daten unabhängig von der Nationalität der Betroffenen geschützt werden, sollen die begrenzten, durch das Abkommen vorgesehenen Datenschutzrechte nur für Daten über EU-Bürger gelten, die von europäischen Behörden oder Unternehmen auf Basis von bi- oder multilateralen Vereinbarungen an US- Strafverfolgungsbehörden übermittelt wurden.
Schließlich bleibt der Abkommenstext (Art. 21) hinsichtlich der Datenschutzaufsicht hinter
dem EU-Recht (insb. Art. 8 Abs. 3 der EU-Grundrechte-Charta) zurück: Es fehlt eine ausdrückliche Verpflichtung beider Vertragsparteien, für eine unabhängige Datenschutzaufsicht zu sorgen.  Während sich die Europäische Union in dem Abkommen dazu verpflichtet, dass die unabhängigen Datenschutzbehörden die Rechtmäßigkeit der Datenverarbeitung überprüfen können, verweist das Abkommen hinsichtlich der USA auf eine Vielzahl, teils nicht unabhängiger Kontrollinstitutionen, welche die Datenschutzkontrolle „kumulativ“ ausüben sollen.

Angesichts dieser Defizite erscheint mir der Jubel über die Verhandlungsergebnisse verfrüht.  Die europäischen Gremien, die der Ratifizierung des Abkommens zustimmen müssen, allen voran das Europäische Parlament und die Parlamente der Mitgliedstaaten, sind aufgerufen, das Abkommen gründlich zu prüfen und dabei insbesondere seine Vereinbarkeit mit den Vorgaben der EU-Grundrechtecharta unter die Lupe zu nehmen. Gegebenenfalls muss eben nachverhandelt werden.

Mit freundlichen Grüßen

Peter Schaar

Europäischer Datenschutz: Bitte nicht aufweichen!

Die von der Europäischen Kommission vor mehr als drei Jahren auf den Weg gebrachte Datenschutzreform ist zwar noch nicht in „trockenen Tüchern“, aber immerhin ist absehbar, dass zumindest die Datenschutz-Grundverordnung in absehbarer Zeit von den EU-Gremien beschlossen wird. Bei allen Unsicherheiten im Detail bietet sich damit die einmalige Chance, Herausforderungen an das Datenschutzrecht in Angriff zu nehmen und diese mit einer stärkeren europäischen Harmonisierung zu verbinden. Gerade die Kombination dieser beiden Aspekte macht den möglichen Charme der Reform aus. Dies gilt freilich nur, wenn die Harmonisierung auch zu einem möglichst hohen Datenschutzstandard führt und nicht bloß einen kleinsten gemeinsamen Nenner definiert.

Positiv anzumerken ist, dass wesentliche Grundelemente der Datenschutzreform zwischen den EU-Gremien unstreitig sind: Die Einbeziehung von Unternehmen aus Drittstaaten, die in Europa aktiv sind (Marktortprinzip), den Abbau des Datenschutzgefälles zwischen den Mitgliedstaaten und – last but not least – die Stärkung der Datenschutzaufsicht.

Trotzdem gibt es keinen Anlass, sich beruhigt zurückzulehnen und den Ausgang des Trilogs zwischen Kommission, Parlament und Rat abzuwarten. Zum einen haben die Bemühungen von Interessenvertretungen erneut zugenommen, denen die ganze Richtung nicht passt. Bedauerlich ist insbesondere, dass auch manche europäischen Industrievertreter noch nicht verstanden haben, dass ein wirksamer, europaweit harmonisierter Datenschutz in ihrem wohlverstandenen wirtschaftlichen Interesse liegt. Zum anderen gibt es durchaus auch in den EU-Gremien Neigungen, dem Druck solcher Unternehmen – vor allem aus Drittstaaten – nachzugeben, deren Geschäftsmodelle kaum mit einem hohen europäischen Datenschutzniveau kompatibel sind. Zwar ist das Europäische Parlament in seiner Positionsbestimmung überwiegend zu Gunsten des Datenschutzes über den Kommissionsentwurf hinaus gegangen. Dagegen enthält die Richtungsentscheidung des Rats gefährliche Aufweichungen und bleibt sogar an verschiedenen Punkten hinter dem derzeitigen Recht zurück.

Für den Trilog sind insbesondere die folgenden Felder wichtig, in denen – teils erhebliche – Meinungsdivergenzen zwischen den Gremien bestehen. Im Sinne eines wirksamen Datenschutzes müssen hier klare Weichenstellungen getroffen werden:

  • Keine Aufweichung der Zweckbindung. Eine generelle Erlaubnis für Unternehmen oder Behörden, bei „überwiegendem Interesse“ Daten auch für Zwecke zu verwenden, die mit dem Erhebungszweck nicht vereinbar sind, wäre mit der Gewährleistung des Grundrechts auf Datenschutz nicht vereinbar.
  • Die Bürgerinnen und Bürger müssen wirksam vor der Zusammenführung ihrer Daten zu Persönlichkeitsprofilen geschützt werden. Profiling sollte grundsätzlich nur unter Pseudonym zulässig sein, wobei die Pseudonyme möglichst robust und rücknahmefest zu konstruieren sind. Auch bei der Verwendung von Pseudonymen muss der Betroffene umfassend über die Tatsache und die Zwecke des Profiling informiert werden und ihm ggf. widersprechen können. Sensible Daten sollten generell vom Profiling ausgenommen werden. Für den Betroffenen nachteilige, auf automatisierten bzw. überwiegend auf automatisierten Verfahren beruhende Einzelentscheidungen sollten unzulässig sein.
  • Der Datentransfers in Drittstaaten sollte generell nur zulässig sein, wenn ein angemessenes Datenschutzniveau vorliegt, das den Anforderungen der EU-Grundrechtecharta genügt. Gerade die im wesentlichen auf Edward Snowden zurückgehenden Veröffentlichungen über umfassende geheimdienstliche Überwachungsmaßnahmen haben gezeigt, dass die bisherigen Instrumente defizitär sind. Die vom Rat vorgeschlagenen Ausnahmeregelungen für bestehende Adäquanzentscheidungen, etwa für Safe Harbor, im Rahmen von bilateralen Abkommen oder für Verwaltungsvereinbarungen zwischen öffentlichen Stellen wären inakzeptabel.
  • Sektorspezifische nationale Regelungen – etwa zum Gesundheitswesen und zum Beschäftigtendatenschutz – dürfen das durch die GVO festgelegte Mindestniveau des Datenschutzes nicht unterschreiten. Dagegen sollte es den Mitgliedstaaten weiterhin möglich sein, in begründeten Fällen, insb. bei der Verarbeitung sensibler Daten, aber auch bei der behördlichen Datenverarbeitung, weitergehende Schutzvorschriften vorzusehen, damit das durch nationales Verfassungsrecht (z.B. durch die Rechtsprechung des Bundesverfassungsgerichts) garantierte Standards auch weiterhin gewährleistet werden können.
  • Die Verarbeitung personenbezogener Daten auf Basis einer Einwilligung sollte nur zulässig sein, wenn die faktische Freiwilligkeit gewährleistet ist. Im Falle gravierender Machtunterschiede zwischen der verantwortlichen Stelle und dem Betroffenen kann im Regelfall nicht hiervon ausgegangen werden. Die Einwilligung sollte generell ausdrücklich erfolgen und nicht implizit.
  • Die für die Verarbeitung von Daten für statistische und für Forschungszwecke vorgesehenen weit reichenden Sonderregelungen müssen durch besondere Schutzvorkehrungen, insbesondere durch ein wirksames Forschungsgeheimnis, abgesichert werden.
  • Der technologische Datenschutz sollte gestärkt werden. Dazu ist es erforderlich, die Vorgaben zu Privacy by Design, Privacy by Default und zur Datenschutzfolgenabschätzung konkreter und verbindlicher zu fassen. Die Vorgaben zur Vergabe und Verwendung qualifizierter Datenschutz-Gütesiegel sollten verbindlicher formuliert werden.
  • Die unabhängigen Datenschutzaufsichtsbehörden brauchen wirksame Sanktionsmöglichkeiten bei Verstößen, die sich an der wirtschaftlichen Leistungsfähigkeit der Unternehmen orientieren. Angesichts der erheblichen, mit der GVO verbundenen Ausweitung ihrer Aufgaben benötigen sie eine angemessene personelle und sachliche Ausstattung nach einem europaweit verbindlichen Standard. Der aus den Aufsichtsbehörden gebildete Datenschutzausschuss sollte über Streitfragen über die Auslegung der GVO verbindlich entscheiden. Eine Letztentscheidungsbefugnis der Kommission wäre damit unvereinbar.
  • Die Bestellung interner (betrieblicher/behördlicher) Datenschutzbeauftragter sollte in der gesamte EU obligatorisch sein. Ihre unabhängige Stellung sollte rechtlich effektiv abgesichert sein, etwa durch entsprechenden Kündigungsschutz.

(Dieser Bog-Post entspricht einem Beitrag, den ich für die Zeitschrift DANA der Deutschen Vereinigung für Datenschutz e.V. erstelt habe)

Habemus EU-Grundrechte!

Habemus EU-Grundrechte!

Als am 1. November 2009 der Vertrag von Lissabon in Kraft trat, nahm davon die Öffentlichkeit in den Mitgliedstaaten der Europäischen Union kaum Notiz. Lediglich im Brüsseler Machtgefüge knirschte es: Hatte doch nun das Europäische Parlament deutlich stärkere Mitwirkungsmöglichkeiten – und nutzte sie, etwa bei der Neuverhandlung des US-EU-Abkommens zur Übermittlung von Bankdaten zur Terrorismusbekämpfung.

Spätestens seit diesem Frühjahr ist aber klar, dass sich deutlich mehr geändert hat als das institutionelle Machtgefüge der EU-Institutionen. Mit dem Vertrag von Lissabon wurde nämlich auch die Charta der Grundrechte der Bürger der Europäischen Union zu verbindlichem Recht, das sowohl auf EU-Ebene als auch in den Mitgliedstaaten zu beachten ist. Und dies hat Konsequenzen, wie der Europäische Gerichtshof (EuGH) gleich in zwei Entscheidungen verdeutlichte: In seinem Urteil vom 8. April 2014 annullierte der EuGH die mehrere Jahre vor der Grundrechtecharta beschlossene EU-Richtlinie zur Vorratsdatenspeicherung. Der EuGH legte dabei die Grundrechte als Maßstab an und befand, dass die VDS-Richtlinie massiv gegen Art. 7 und 8 der GrCh verstieß, die die Privatsphäre und die personenbezogenen Daten schützen. Das Urteil unterschied sich dramatisch von seiner früheren Entscheidung vom 10. Februar 2009, in der der EuGH Zweifel daran zurückgewiesen hatte, dass die RL gegen europäisches Recht verstieß. Die damalige Entscheidung las sich eher wie das Urteil eines Verwaltungsgerichts, das lediglich die Beachtung der formellen, verfahrensrechtlichen Vorgaben prüfte, jedoch nicht den Inhalt der Vorschrift, die massiv in die Rechte der Bürgerinnen und Bürger der EU eingriff. Legt man beide Urteile nebeneinander, ist der Kontrast überdeutlich: Heute setzt sich der EuGH mit der Frage auseinander, wie sich das EU-Recht – hier die Richtlinie zur VDS – auf die Bürgerrechte auswirkt. Damit tritt das Gericht – die Richter werden dies nicht gerne hören, aber es ist als Lob gemeint! – in die Fußstapfen des deutschen Bundesverfassungsgerichts und des Europäischen Gerichtshofs für Menschenrechte (EGMR) und es entwickelt sich zu einem Grundrechtegericht, das den europäischen Gesetzgeber, dem in den letzten Jahrzehnten immer mehr Kompetenzen zugewachsen sind, auf die Finger schaut.

Dies hat erhebliche Konsequenzen, auch für die Arbeitsteilung zwischen den nationalen Verfassungsgerichten der Mitgliedstaaten und dem EuGH: Hatte das Bundesverfassungsgericht in verschiedenen Urteilen seit 1974 – insbesondere mit den „solange“-Entscheidungen immer wieder betont, dass die Grundrechte primär durch nationale Verfassungsgerichte garantiert werden müssten, bis ein entsprechender Grundrechteschutz auf EU-Ebene garantiert wäre. Nun findet dieser Umbruch statt: Es gibt einen in der Europäischen Union verbindlichen Grundrechtskatalog, dessen Einhaltung durch ein unabhängiges europäisches Gericht überwacht wird.

Diese Entwicklung ist uneingeschränkt zu begrüßen, schiebt sie doch dem „policy loundering“ endlich einen Riegel vor: Immer wieder haben Regierungen – auch die deutsche Bundesregierung – bestimmte Regelungen und Maßnahmen, die sie im Inland – auch wegen verfassungsrechtlicher Risiken – nicht durchsetzen konnten, letztlich über das EU-Recht doch bekommen. Dies gilt etwa für die biometrischen Merkmale in den Pässen. Auch die VDS der Telekommunikationsdaten war nur über den Umweg Europa durchsetzbar. So hatte der deutsche Bundestag sich wiederholt gegen die ausgesprochen und ein entsprechendes Gesetz kam erst nach In-Kraft-treten der mit Zustimmung der damaligen Großem Koalition beschlossenen EU-Richtlinie.

Mit gewisser Genugtuung ist deshalb festzustellen, dass dieser von den Regierungen gewählte Trick – grundrechtseinschränkende Regelungen auf Basis zweifelhafter EU-Kompetenzen durchzusetzen, den Urhebern nun auf die Füße gefallen ist.

Fast hätte man den Eindruck, als wollte der EuGH noch einen draufsetzen: Auch in seinem Urteil über die Löschung von Links durch Google beruft sich das Gericht auf Art. 7 und 8 der GRCh: wegen der in der Charta zum Ausdruck gebrachten Bedeutung des Schutzes der Privatsphäre und des Datenschutzes müssen die zu diesem Zweck getroffenen EU-Datenschutzregelungen stets gelten, wenn Unternehmen aus Nicht-EU-Staaten ihre Dienste in Europa erbringen und dabei personenbezogene Daten verarbeiten.

Auf den EuGH kommt nun einige Arbeit zu: Demnächst wird er sich mit dem Datentransfers von Facebook in die USA auf Basis des Safe Harbor Abkommens beschäftigen müssen, nachdem der irische Highcourt dem EuGH eine entsprechende Frage gestellt hat. Auch das SWIFT-Abkommen zur Übermittlung der Bankdaten und das PNR-Abkommen zur Übermittlung von Fluggastdaten in die Vereinigten Staaten gehören auf den Prüfstand der Europäischen Grundrechte!

Ihr
Peter Schaar