Tag Archives: Grundrecht auf Privatsphäre

Vorsicht Grenzüberschreitung – Direkter Datenzugriff gefährdet Grundrechte!

Digitale Globalisierung und nationales Recht stehen in einem zunehmenden Spannungsverhältnis. Nirgends zeigt sich dies so deutlich wie bei der Strafverfolgung. Strafverfolgungsbehörden verlangen in strafrechtlichen Ermittlungen in immer mehr Fällen Zugang zu personenbezogenen Daten, die außerhalb ihrer nationalen Grenzen gespeichert sind. Dies kann angesichts der Tatsache, dass beliebige Datenmengen per Mausklick auf Server in anderen Kontinenten transferiert werden können, eigentlich niemanden verwundern.

Natürlich hat es Fälle, in denen die Strafverfolgung eine grenzüberschreitende Kooperation erforderlich machte, schon früher gegeben. Eine traditionelle Regelung zur Lösung grenzüberschreitender Datenanfragen in Strafsachen bieten die zwischen Staaten geschlossene Rechtshilfevereinbarungen (Mutual Legal Assistance Treaties, MLAT). Sie legen entsprechende Verfahren fest, wie mit Rechtshilfeersuchen aus dem Ausland umzugehen ist. So können die nationalen Behörden überprüfen, inwieweit etwa eine Datenübermittlung zur Durchführung eines Strafverfahrens in Einklang mit dem nationalen Recht steht. Dieses System wird jedoch von der steigenden Häufigkeit und Komplexität grenzüberschreitender Datenanforderungen überfordert. Infolgedessen gibt es erhebliche Verzögerungen bei der Verarbeitung von Anfragen.

Vor diesem Hintergrund fordern nationale Behörden und Gerichte in zunehmendem Maße von Unternehmen die Herausgabe von Daten, die sie außerhalb des eigenen Territoriums speichern. So verlangte ein belgisches Gericht von Microsoft die Herausgabe von Skype-Daten. Eine brasilianische Behörde forderte von Yahoo! die Herausgabe von Internet-Informationen über bestimmte Nutzer und chinesische Behörden verlangen von Internet-Anbietern vielfach die Herausgabe auf ausländischen Servern gespeicherter Daten. Aktuell erregt vor allem ein Fall Aufsehen, bei dem ein Bundesgericht im Bundesstaat New York die Firma Microsoft zur Herausgabe von E-Mails verpflichtet hat, die auf einem Server in Irland gespeichert sind. Der strittige Fall wird demnächst voraussichtlich vom US Supreme Court entschieden.

In derartigen Fällen stellt sich regelmäßig die Frage, inwieweit Grundrechte und andere, im Strafrecht enthaltene Schutzvorschriften verletzt werden. Gerade beim Strafrecht bestehen auf internationaler Ebene gewaltige Unterschiede. Eine Handlung, die in einem Staat strafbar ist, mag woanders erlaubt sein (etwa an die in Deutschland strafbaren Meinungsdelikte, die in den USA unter dem Motto „Freedom of Speech“ akzeptiert werden). Gleiches gilt für das Strafprozessrecht: Wann ein Richter entscheiden muss, welche Vorgaben für Beschlagnahmen und Durchsuchungen gelten, in welchen Fällen Beweisverwertungsverbote und Zeugnisverweigerungsrechte bestehen, unterscheidet sich von Land zu Land.

Soweit es sich bei den angeforderten Informationen um personenbezogene Daten handelt, sind die Grundrechte auf Wahrung der Privatsphäre und auf Datenschutz (Art. 7 und 8 der EU-Grundrechtecharta) direkt betroffen. Nach europäischem Rechtsverständnis ist die Herausgabe personenbezogener Daten an ausländische Behörden nur zulässig, wenn hierfür eine entsprechende Rechtsgrundlage im EU-Recht oder im Recht der Mitgliedstaaten besteht. Art. 48 der im Mai 2018 wirksam werdenden Datenschutzgrundverordnung (DSGVO) unterstreicht diesen Rechtsgrundsatz: Behördliche oder gerichtliche Anordnungen von Staaten außerhalb der EU dürfen nur dann anerkannt werden, wenn sie auf einer internationalen Übereinkunft wie einem Rechtshilfeabkommen beruhen.

Aber auch innerhalb der EU ist der Umgang mit grenzüberschreitenden Datenanforderungen von Strafverfolgungsbehörden anderer Mitgliedstaaten alles andere als unkompliziert. Zwar gibt es hier inzwischen das Instrument der Europäischen Beweisanordnung – EBA, welche die Erlangung von Beweismitteln aus einem anderen Mitgliedstaat erleichtert. Doch erlaubt auch die EBA nicht den direkten Zugriff auf in einem anderen Mitgliedstaat gespeicherte Daten.

Artikel 29 Gruppe nimmt zu E-Evidence Stellung

Vor diesem Hintergrund hat die Europäische Kommission unter der Überschrift „e-Evidence“ verschiedene Initiativen gestartet, die den grenzüberschreitenden Datenzugriff erleichtern sollen. Die Art. 29-Arbeitsgruppe, in der die Datenschutzbehörden der EU zusammenarbeiten, hat nun eine lesenswerte Stellungnahme zu den entsprechenden Vorschlägen veröffentlicht.

Die amtlichen Datenschützer weisen darauf hin, dass der Zugriff der Strafverfolgungsbehörden auf personenbezogene Daten in die durch die Grundrechtecharta garantierten Grundrechte eingreift. Jede Beschränkung dieser Grundrechte müsse deren Kern respektieren und zudem dem Verhältnismäßigkeitsgrundsatz entsprechen. In der Stellungnahme wird ausführlich dargelegt, dass die bisher vorgelegten Vorschläge diesen Anforderungen nicht gerecht werden. Kritisiert wird etwa die Möglichkeit, dass sich der grenzüberschreitende Zugriff nicht auf die Verfolgung schwerer Straftaten beschränken sollen. Zudem bemängelt die Art. 29 Gruppe, dass die bislang vorgelegten Vorschläge zu e-Evidence keine Vorgaben zur Gewährleistung der Transparenz bei grenzüberschreitenden Datenanfragen und keine Verpflichtungen zur (nachträglichen) Benachrichtigung der Betroffenen enthalten.

Als besonders problematisch sehen es die Datenschutzbeauftragten an, dass grenzüberschreitende Datenanforderungen von Behörden der Mitgliedstaaten Daten umfassen sollen, die außerhalb der EU gespeichert sind. Sollte die EU eine entsprechende Regelung treffen, würde dies im Umkehrschluss bedeuten, dass letztlich auch entsprechende unilaterale Vorgaben anderer Staaten, etwa der USA akzeptiert werden müssten. Sie fordern, dass Datenanforderungen zwischen Drittstatten und der EU weiterhin nur auf Basis internationaler Rechtshilfeabkommen nachgekommen werden soll. Dies schließt natürlich nicht aus, dass auch beim Datenaustausch über die EU-Außengrenzen hinaus die entsprechenden Prozeduren verbessert und beschleunigte Entscheidungen herbeigeführt werden.

Habemus EU-Grundrechte!

Habemus EU-Grundrechte!

Als am 1. November 2009 der Vertrag von Lissabon in Kraft trat, nahm davon die Öffentlichkeit in den Mitgliedstaaten der Europäischen Union kaum Notiz. Lediglich im Brüsseler Machtgefüge knirschte es: Hatte doch nun das Europäische Parlament deutlich stärkere Mitwirkungsmöglichkeiten – und nutzte sie, etwa bei der Neuverhandlung des US-EU-Abkommens zur Übermittlung von Bankdaten zur Terrorismusbekämpfung.

Spätestens seit diesem Frühjahr ist aber klar, dass sich deutlich mehr geändert hat als das institutionelle Machtgefüge der EU-Institutionen. Mit dem Vertrag von Lissabon wurde nämlich auch die Charta der Grundrechte der Bürger der Europäischen Union zu verbindlichem Recht, das sowohl auf EU-Ebene als auch in den Mitgliedstaaten zu beachten ist. Und dies hat Konsequenzen, wie der Europäische Gerichtshof (EuGH) gleich in zwei Entscheidungen verdeutlichte: In seinem Urteil vom 8. April 2014 annullierte der EuGH die mehrere Jahre vor der Grundrechtecharta beschlossene EU-Richtlinie zur Vorratsdatenspeicherung. Der EuGH legte dabei die Grundrechte als Maßstab an und befand, dass die VDS-Richtlinie massiv gegen Art. 7 und 8 der GrCh verstieß, die die Privatsphäre und die personenbezogenen Daten schützen. Das Urteil unterschied sich dramatisch von seiner früheren Entscheidung vom 10. Februar 2009, in der der EuGH Zweifel daran zurückgewiesen hatte, dass die RL gegen europäisches Recht verstieß. Die damalige Entscheidung las sich eher wie das Urteil eines Verwaltungsgerichts, das lediglich die Beachtung der formellen, verfahrensrechtlichen Vorgaben prüfte, jedoch nicht den Inhalt der Vorschrift, die massiv in die Rechte der Bürgerinnen und Bürger der EU eingriff. Legt man beide Urteile nebeneinander, ist der Kontrast überdeutlich: Heute setzt sich der EuGH mit der Frage auseinander, wie sich das EU-Recht – hier die Richtlinie zur VDS – auf die Bürgerrechte auswirkt. Damit tritt das Gericht – die Richter werden dies nicht gerne hören, aber es ist als Lob gemeint! – in die Fußstapfen des deutschen Bundesverfassungsgerichts und des Europäischen Gerichtshofs für Menschenrechte (EGMR) und es entwickelt sich zu einem Grundrechtegericht, das den europäischen Gesetzgeber, dem in den letzten Jahrzehnten immer mehr Kompetenzen zugewachsen sind, auf die Finger schaut.

Dies hat erhebliche Konsequenzen, auch für die Arbeitsteilung zwischen den nationalen Verfassungsgerichten der Mitgliedstaaten und dem EuGH: Hatte das Bundesverfassungsgericht in verschiedenen Urteilen seit 1974 – insbesondere mit den „solange“-Entscheidungen immer wieder betont, dass die Grundrechte primär durch nationale Verfassungsgerichte garantiert werden müssten, bis ein entsprechender Grundrechteschutz auf EU-Ebene garantiert wäre. Nun findet dieser Umbruch statt: Es gibt einen in der Europäischen Union verbindlichen Grundrechtskatalog, dessen Einhaltung durch ein unabhängiges europäisches Gericht überwacht wird.

Diese Entwicklung ist uneingeschränkt zu begrüßen, schiebt sie doch dem „policy loundering“ endlich einen Riegel vor: Immer wieder haben Regierungen – auch die deutsche Bundesregierung – bestimmte Regelungen und Maßnahmen, die sie im Inland – auch wegen verfassungsrechtlicher Risiken – nicht durchsetzen konnten, letztlich über das EU-Recht doch bekommen. Dies gilt etwa für die biometrischen Merkmale in den Pässen. Auch die VDS der Telekommunikationsdaten war nur über den Umweg Europa durchsetzbar. So hatte der deutsche Bundestag sich wiederholt gegen die ausgesprochen und ein entsprechendes Gesetz kam erst nach In-Kraft-treten der mit Zustimmung der damaligen Großem Koalition beschlossenen EU-Richtlinie.

Mit gewisser Genugtuung ist deshalb festzustellen, dass dieser von den Regierungen gewählte Trick – grundrechtseinschränkende Regelungen auf Basis zweifelhafter EU-Kompetenzen durchzusetzen, den Urhebern nun auf die Füße gefallen ist.

Fast hätte man den Eindruck, als wollte der EuGH noch einen draufsetzen: Auch in seinem Urteil über die Löschung von Links durch Google beruft sich das Gericht auf Art. 7 und 8 der GRCh: wegen der in der Charta zum Ausdruck gebrachten Bedeutung des Schutzes der Privatsphäre und des Datenschutzes müssen die zu diesem Zweck getroffenen EU-Datenschutzregelungen stets gelten, wenn Unternehmen aus Nicht-EU-Staaten ihre Dienste in Europa erbringen und dabei personenbezogene Daten verarbeiten.

Auf den EuGH kommt nun einige Arbeit zu: Demnächst wird er sich mit dem Datentransfers von Facebook in die USA auf Basis des Safe Harbor Abkommens beschäftigen müssen, nachdem der irische Highcourt dem EuGH eine entsprechende Frage gestellt hat. Auch das SWIFT-Abkommen zur Übermittlung der Bankdaten und das PNR-Abkommen zur Übermittlung von Fluggastdaten in die Vereinigten Staaten gehören auf den Prüfstand der Europäischen Grundrechte!

Ihr
Peter Schaar