Tag Archives: Identifikationspflicht

EAID unterstützt die Universal Guidelines on Artificial Intelligence  (UGAI)

EAID unterstützt die Universal Guidelines on Artificial Intelligence  (UGAI)

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) unterstützt die von der Bürgerrechtskoalition „The Public Voice“ am 23. Oktober 2018 vorgelegten „Allgemeinen Leitlinien für die künstliche Intelligenz“ (Universal Guidelines on Artificial Intelligence  – UGAI). Die die Leitlinien werden inzwischen von mehr als 50 zivilgesellschaftlichen Organisationen unterstützt. 

Um den UGAI auch in der deutschsprachigen Öffentlichkeit eine bessere Verbreitung zu ermöglichen, haben wir den Text übersetzt. Für die deutschsprachige Übersetzung beanspruchen wir keine Urheberrechte – für eventuelle Übersetzungsfehler übernehmen wir aber selbstverständlich die Verantwortung.

Wortlaut der UGAI auf der Website von The Public Voice. Hier finden Sie auch ein Online-Formular zur Unterstützung der Leitlinien

Deutscher Text bei The Public Voice

 

Deutsche Übersetzung der UGAI:

Allgemeine Leitlinien für die künstliche Intelligenz 

Vorgelegt am 23. Oktober 2018 in Brüssel, Belgien

Neue Entwicklungen in der Künstlichen Intelligenz verändern die Welt. Die Veränderungen betreffen viele Bereiche, von der Wissenschaft und Industrie bis hin zu Verwaltung und Finanzen. Der Bedeutungszuwachs von KI-Entscheidungen berührt die grundlegenden Rechte auf Fairness, Rechenschaftspflicht und Transparenz. Die Ergebnisse der modernen Datenanalyse haben für die Menschen erhebliche praktische Folgen. Sie wirken sich in den Bereichen Beschäftigung, Wohnen, Kredit, Handel und Strafverfolgung aus. Viele dieser Techniken sind völlig undurchsichtig, so dass der Einzelne nicht weiß, ob er überhaupt Gegenstand einer KI-Entscheidung war und ob die Entscheidung richtig und fair getroffen wurde.

Wir schlagen diese allgemeinen Leitlinien vor, um über das Design und die Verwendung von KI zu informieren und diese zu verbessern. Die Leitlinien zielen darauf ab, den Nutzen der KI zu maximieren, das Risiko zu minimieren und den Schutz der Menschenrechte zu gewährleisten. Diese Leitlinien sollten in ethische Standards einfließen. Sie sollten in nationales Recht und internationale Vereinbarungen übernommen, in die Praxis umgesetzt und beim Entwurf von Systemen berücksichtigt werden. Wir stellen klar, dass die Hauptverantwortung für KI-Systeme bei den Institutionen zu liegen hat, welche solche Systeme finanzieren, entwickeln und einsetzen.

  1. Recht auf Transparenz. Jeder Einzelne hat das Recht, die Grundlage einer KI-basierten Entscheidung zu kennen, die ihn betrifft. Dazu gehört die Kenntnis der in die Entscheidung einfließenden Faktoren, der Verarbeitungslogik und der entscheidungsrelevanten Techniken.
  1. Recht auf menschliche Bestimmung. Jeder Einzelne hat das Recht, dass die ihn betreffenden Entscheidungen letztlich von einem Menschen getroffen werden.
  1. Identifikationspflicht. Die für das KI-System verantwortliche Institution muss der Öffentlichkeit bekannt gemacht werden.
  1. Verpflichtung zur Fairness. Die für den KI-Einsatz verantwortliche Institution muss sicherstellen, dass das KI-System keine ungerechten Verhältnisse widerspiegelt, verzerrte Ergebnisse liefert und keine unzulässig diskriminierenden Entscheidungen trifft.
  1. Folgenabschätzung und Rechenschaftspflicht. Ein KI-System sollte nur eingesetzt werden, nachdem die Zwecke, die Ziele, der Nutzen sowie die Risiken in angemessener Weise bewertet wurden. Institutionen, die KI-Systeme einsetzen, müssen für dessen Entscheidungen verantwortlich sein
  1. Richtigkeit, Zuverlässigkeit und Gültigkeit. Die Institutionen müssen die Richtigkeit, Zuverlässigkeit und Validität von Entscheidungen gewährleisten.
  1. Verpflichtung zur Datenqualität. Die Institute müssen festlegen, welche Daten in die KI-Algorithmen einfließen und sie müssen sicherstellen, dass deren Qualität und Relevanz gewährleistet ist.
  1. Verpflichtung zur Gewährleistung der öffentlichen Sicherheit. Die Institutionen müssen die Risiken für die öffentliche Sicherheit bewerten, wenn KI-Systeme Geräte steuern oder kontrollieren. Sie haben die erforderlichen Kontrollmechanismen zu implementieren, um die Sicherheit zu gewährleisten.
  1. Verpflichtung zur Cybersicherheit. Institutionen müssen KI-Systeme vor Bedrohungen schützen, die sich aus ihrer Vernetzung ergeben.
  1. Verbot der geheimen Profilerstellung. Keine Institution darf ein System zur heimlichen Erstellung von Profilen einrichten oder betreiben.
  1. Verbot des umfassenden Scorings. Kein Staat darf eine allgemeine Bewertung seiner Bürger oder Einwohner einrichten oder betreiben.
  1. Abschaltpflicht. Jede Institution, die ein KI-System betreibt, hat die positive Verpflichtung zur Abschaltung des Systems, wenn die menschliche Kontrolle über das System nicht länger gewährleistet ist.

 

Erläuterndes Memorandum und Referenzen

Kontext

Die Universal Guidelines on Artificial Intelligence (UGAI) weisen auf die wachsenden Herausforderungen durch intelligente Computersysteme hin. Sie enthalten konkrete Empfehlungen zur Verbesserung des Designs von KI-Systemen. Im Kern sollen UGAI die Transparenz und Rechenschaftspflicht für diese Systeme voranbringen und sicherstellen, dass die Menschen die Kontrolle über die von ihnen geschaffenen Systeme behalten. Nicht alle Systeme fallen in den Anwendungsbereich dieser Richtlinien. Unser Anliegen sind jene Systeme, die sich auf die Rechte der Menschen auswirken. Vor allem dürfen diese Systeme keinen Schaden anrichten.

Die Erklärung kommt noch zur rechten Zeit. Regierungen in aller Welt entwickeln politische Vorschläge und schaffen öffentliche und private Institutionen, um die Forschung und Entwicklung von „KI“ zu fördern. Dies hat enorme Auswirkungen auf die Gesellschaft, unabhängig davon, ob und inwieweit die Öffentlichkeit an der Gestaltung und Entwicklung solcher Systeme mitwirkt. Die UGAI sind eine gesellschaftliche Reaktion auf diese Herausforderungen.

Die UGAI wurden auf der Internationalen Datenschutzkonferenz 2018 veröffentlicht, einem der weltweit bedeutendsten Treffen von Technologieführern und Datenschutzexperten.

Die UGAI bauen auf der bisherigen Arbeit von wissenschaftlichen Gesellschaften, Think Tanks, NGOs und internationalen Organisationen auf. Die UGAI beinhalten Elemente der Menschenrechtslehre, des Datenschutzrechts und ethischer Richtlinien. Die Leitlinien bauen auf  etablierten Grundsätzen für die KI-Governance auf und sie schlagen neue Prinzipien vor, die bisher nicht in politischen Rahmenwerken enthalten sind.

Terminologie

Der Begriff „Künstliche Intelligenz“ (KI) ist weit und unpräzise zugleich. Er beinhaltet Aspekte des maschinellen Lernens, regelbasierte Entscheidungsfindung und andere Computertechniken. Es gibt sogar unterschiedliche Meinungen darüber, ob Künstliche Intelligenz überhaupt möglich ist. Die UGAI räumen lediglich ein, dass der Begriff KI im allgemeinen Sprachgebrauch ein breites Spektrum verwandter Themen abdeckt und sie verwenden den Begriff, um die aktuelle Debatte anzuregen. Die Leitlinien versuchen nicht, die begrifflichen Grenzen von KI zu definieren, außer dass die KI einen gewissen Grad an automatisierter Entscheidungsfindung erfordert. Der Begriff „Leitlinien“ folgt der Praxis politischer Festlegungen, die sich in erster Linie an Regierungen und private Unternehmen richten.

Die UGAI enthalten Verpflichtungen für „Institutionen“ und Rechte der „Einzelnen“. Dies ergibt sich aus den fairen Informationspraktiken im Bereich des Datenschutzes. Die UGAI basieren auf dem Schutz des Einzelnen als grundlegendem Ziel. Unter öffentlichen und privaten Institutionen werden diejenigen verstanden, die KI-Systeme entwickeln und einsetzen. Der Begriff „Institution“ wurde anstelle des vertrauteren Begriffs „Organisation“ gewählt, um den dauerhaften und nachhaltigen Charakter der in den Leitlinien festgelegten Verpflichtungen zu unterstreichen. Ein Prinzip richtet sich an „nationale Regierungen“. Der Grund dafür wird im Folgenden erläutert.

Anwendung

Diese Leitlinien sollten in ethische Normen aufgenommen, in nationales Recht und internationale Vereinbarungen übernommen und in die Gestaltung von Systemen integriert werden.

Die Prinzipien

Die Elemente des Transparenzprinzips finden sich in mehreren modernen Datenschutzgesetzen, darunter dem US-Datenschutzrecht, der EU-Datenschutzrichtlinie, der Datenschutzgrundverordnung und in dem Übereinkommen 108 des Europarates. Dieses Prinzip soll eine unabhängige Rechenschaftspflicht für automatisierte Entscheidungen ermöglichen, wobei der Schwerpunkt auf dem Recht der Einzelnen liegt, die Gründe von für sie nachteiligen Entscheidungen zu kennen. Auch wenn es einem Einzelnen in der Praxis vielleicht nicht immer möglich ist, die Grundlagen einer bestimmten Entscheidung richtig zu interpretieren, ist es nicht überflüssig, eine solche Erklärung zu ermöglichen.

Das Recht auf eine menschliche Bestimmung bekräftigt, dass Menschen und nicht Maschinen für automatisierte Entscheidungen verantwortlich sind. In vielen Fällen, wie beispielsweise beim Betrieb eines autonomen Fahrzeugs, wäre es nicht möglich oder praktikabel, eine menschliche Entscheidung vor einer automatisierten Entscheidung einzufügen. Das ändert aber nichts an der Notwendigkeit, die Rechenschaftspflicht zu gewährleisten. Wenn also ein automatisiertes System versagt, sollte entsprechend diesem Prinzip eine menschliche Beurteilung des Ergebnisses vorgenommen werden.

Identifizierungspflicht. Dieses Prinzip reagiert auf die Identifikations-Asymmetrie, die bei der Interaktion zwischen Individuen und KI-Systemen entsteht. Ein KI-System weiß typischerweise sehr viel über eine Person; die Person kennt vielleicht nicht einmal den Betreiber des KI-Systems. Die Identifizierungspflicht bildet die Grundlage für die KI-Verantwortlichkeit, die darin besteht, die Identität eines KI-Systems und der verantwortlichen Institution klarzustellen.

Die Fairness-Verpflichtung erkennt an, dass alle automatisierten Systeme Entscheidungen treffen, die Vorurteile und Diskriminierung widerspiegeln. Aber solche Entscheidungen sollten nicht normativ ungerecht sein. Auf die Frage, was ungerecht oder unzulässig ist, gibt es keine einfache Antwort. Die Bewertung hängt oft vom Kontext ab. Die Fairness-Verpflichtung macht jedoch deutlich, dass eine Bewertung der tatsächlichen Ergebnisse allein nicht ausreicht, um ein KI-System zu bewerten. Auch die normativen Folgen müssen bewertet werden, einschließlich derjenigen, die bereits vor dem KI-Einsatz existierten oder durch ein KI-System verstärkt werden können.

Die Folgenabschätzungs- und Rechenschaftspflicht bezieht sich auf die Verpflichtung, ein KI-System vor und während der Implementierung zu beurteilen. Was die Folgenabschätzung betrifft, so besteht ein zentraler Zweck dieser Verpflichtung darin festzustellen, ob ein KI-System eingerichtet werden sollte. Ergibt eine Folgenabschätzung erhebliche Risiken, wie sie in den Grundsätzen zur öffentlichen Sicherheit und Cybersicherheit beschrieben sind, so sollte das Projekt nicht weiter verfolgt werden.

Die Verpflichtungen zur Genauigkeit, Zuverlässigkeit und Gültigkeit legen die Hauptverantwortlichkeiten fest, die mit dem Ergebnis automatisierter Entscheidungen verbunden sind. Die Aspekte sind sowohl einzeln als auch in der Gesamtschau zu interpretieren.

Das Prinzip der Datenqualität folgt aus den vorhergehenden Verpflichtungen.

Die Verpflichtung zur öffentlichen Sicherheit reagiert darauf, dass KI-Systeme Geräte in der physischen Welt steuern. Aus diesem Grund müssen die Institutionen sowohl die damit verbundenen Risiken bewerten als auch angemessene Vorsichtsmaßnahmen ergreifen, welche den Risiken begegnen.

Die Cybersicherheitsverpflichtung folgt aus der Verpflichtung zur öffentlichen Sicherheit und unterstreicht das Risiko, dass selbst gut gestaltete Systeme das Ziel feindlicher Akteure sein können. Wer KI-Systeme entwickelt und einsetzt, muss diese Risiken berücksichtigen.

Das Verbot der heimlichen Profilbildung folgt aus der Identifizierungspflicht. Ziel ist es, die bei KI-Systemen zunehmend auftretende Informationsasymmetrie zu vermeiden und die Möglichkeit einer unabhängigen Rechenschaftspflicht zu gewährleisten.

Das Verbot des umfassenden Scorings soll dem Risiko begegnen, dass eine Regierung dem Individuum einen einzigen, multifunktionalen Scorewert zuweist. Das Datenschutzrecht beurteilt universelle Identifikatoren, die die Profilerstellung von Personen ermöglichen, negativ. Solche Identifikatoren sind vielfach reguliert und teilweise verboten. Noch größer ist die Sorge im Hinblick auf eine umfassende individuelle Bewertung, die als „einheitlicher Scorewert“ bezeichnet wird. Ein einheitlicher Score spiegelt nicht nur ein umfassendes Profil sondern auch ein vorgegebenes Ergebnis über mehrere Bereiche der menschlichen Aktivität hinweg wider. Es besteht die Gefahr, dass es auch im privaten Sektor zu einheitlichen Scores kommt. Zwar ist denkbar, solche Systeme dem Wettbewerb auf dem Markt und staatlichen Vorschriften zu unterwerfen. Aber da der Einzelne keine Möglichkeit hat, einem von einer Regierung zugewiesenen einheitlichen Score entgegenzutreten, sollten solche Scores verboten werden.

Die Abschaltpflicht ist das ultimative Bekenntnis zur Verantwortlichkeit für ein KI-System. Die Verpflichtung setzt voraus, dass die Systeme unter menschlicher Kontrolle bleiben müssen. Ist dies nicht mehr möglich, sollte das System abgeschaltet werden.

(Übersetzt aus dem Englischen von Peter Schaar unter Verwendung von deepl.com)

Soll vor dem Bargeld das anonyme Bezahlen im Internet verboten werden?

Der von der Europäischen Kommission am 5. Juli 2016 vorgelegte Vorschlag zur Überarbeitung der Vierten EU-Geldwäscherichtlinie (2015/849 v. 20.5.2015 – GW-RL) begegnet erheblichen datenschutzrechtlichen Bedenken. Die im Entwurf vorgesehene ausnahmslose Identifikationspflicht der Nutzer von Online-Bezahlverfahren widerspricht dem in Art. 8 EU-Grundrechtecharta verbürgten Grundrecht auf Datenschutz. Sie verfehlt insbesondere die Vorgaben des Europäischen Gerichtshofs zur Vorratsdatenspeicherung (EuGH, 08.04.2014 – C-293/12 und C-594/12).

Zudem bestehen erhebliche Zweifel, inwieweit der vorgeschlagene Wegfall anonymer Bezahlmöglichkeiten im Internet kompatibel ist mit dem durch die Datenschutzgrundverordnung (2016/697 – DS-GVO) und der Datenschutzrichtlinie für Polizei und Justiz (RL 2016/680 – DS-JI-RL) vorgegebenen Rahmen.

Schließlich widerspricht die Änderung den Vorgaben des Bundesverfassungsgerichts zum Grundrecht auf informationelle Selbstbestimmung, indem sie den deutschen Gesetzgeber daran hindern würde, die europarechtlichen Vorgaben verfassungskonform umzusetzen.

Bemerkenswert ist auch, dass die vorgesehene Verschärfung des EU-Rechtsrahmens erfolgen soll, ehe die einschlägigen Regelungen der erst im vergangenen Jahr novellierten Geldwäscherichtlinie in nationales Recht umgesetzt worden sind – deren Umsetzungsfrist endet am 26. Juni 2017. Angesichts fehlender Erfahrungen mit deren Vorgaben sind Aussagen darüber nicht möglich, wie sich die verschärften Identifikationspflichten und die mitgliedsstaatlichen Gestaltungsmöglichkeiten bei deren Umsetzung auswirken. Dies gilt insbesondere für den sogenannten „risikobasierten Ansatz“, wonach die Verpflichteten bestimmte Vorgaben unter in § 12 Abs. 1 der GW-RL spezifizierten Voraussetzungen nicht anzuwenden haben.

Vorgaben aus der Vierten Geldwäscherichtlinie (RL 2015/849)

Die Verhinderung der Geldwäsche und die Bekämpfung der Terrorismusfinanzierung sind zweifellos legitime Ziele. Dementsprechend betrachtet der Europäische Gesetzgeber E-Geld-Produkte „als Ersatz für Bankkonten“ und unterwirft sie den Verpflichtungen zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung, insbesondere durch Transparenzvorgaben und Identifikationspflichten bezüglich deren Nutzern. Allerdings können die Mitgliedstaaten in Fällen, in denen erwiesenermaßen ein geringes Risiko besteht, und sofern strikte risikomindernde Maßnahmen ergriffen werden, E-Geld von der Pflicht zur Feststellung und Überprüfung der Identität des Kunden und des wirtschaftlichen Eigentümers freistellen (Art. 12 Abs. 1 GW-RL).

Zu den risikomindernden Voraussetzungen zählt, dass die ausgenommenen E-Geld-Produkte ausschließlich für den Erwerb von Waren oder Dienstleistungen genutzt werden und dass der elektronisch gespeicherte Betrag so gering sein muss, dass eine Umgehung der Vorschriften über die Bekämpfung der Geldwäsche und der Terrorismusfinanzierung ausgeschlossen werden kann. Die Kommission will die ohnehin niedrig bemessene Höchstgrenze des in anonymen Prepaid-Produkten zu speichernden Betrags weiter begrenzen, was den Einsatzbereich von anonymen Zahlungsmitteln auch außerhalb des Online-Bereichs weiter einschränken würde.

Generelle Identifikationspflichten

Nach dem Kommissionsvorschlag zur Änderung von Art. 12 Abs. 2 GW-RL („ … either of online payment …“) sollen E-Geldprodukte, die für Online-Zahlungen verwendet werden, ausnahmslos von diesem risikobasierten Ansatz ausgenommen werden. Damit könnten die Mitgliedstaaten – anders als bisher – bei derartigen E-Geld-Produkten generell keine Ausnahmen von der Identifizierungspflicht mehr vorsehen.

Nach Art. 12 (neu) müsste sich jede Person, die ein entsprechendes E-Geld-Produkt erwirbt, identifizieren, z.B. mit ihren Ausweisdokumenten. Unklar ist in diesem Zusammenhang, inwieweit die nach Art. 15 GW-RL weiterhin möglichen „vereinfachten Sorgfaltspflichten“ auch die Kundenidentifizierung umfassen können, etwa im Hinblick auf die zum Nachweis der Identität erforderlichen Unterlagen bzw. die zur Identifikation eingesetzten Verfahren und die Dokumentations- und Aufbewahrungspflichten. Sofern hier eine Minderung der Sorgfaltspflichten nicht greifen sollte, wären etwa die Emittenten eines Prepaid-Zahlungsmittels zukünftig verpflichtet, eine Kopie der erhaltenen Dokumente und Informationen mindestens für die Dauer von fünf Jahren aufzubewahren (Art. 40 Abs.1 GW-RL). Sämtliche Online-Transaktionen – auch die Zahlung von kleinsten Beträgen – könnten über viele Jahre namentlich nachvollzogen werden.

Eine generelle Identifizierungspflicht würde dazu führen, dass anonymes Einkaufen und Bezahlen im Internet selbst bei Bagatellbeträgen praktisch ausgeschlossen werden. Anonyme Bezahlsysteme im Internet bieten ihren Nutzern jedoch Möglichkeiten, die Risiken eines Missbrauchs ihrer Finanzdaten beispielsweise durch IT-Spionage unter Ausnutzung unzureichend gesicherter IT-Systeme zu minimieren. Zahlreiche Fälle belegen, dass Systeme, in denen zahlungsrelevante personenbezogene Daten gespeichert werden, entsprechenden Angriffen in besonderem Maße ausgesetzt sind. Durch die Verpflichtung zur namentlichen Nutzer-Identifikation und die damit verbundenen Speicherungspflichten würden diesen Angriffen neue Ziele geboten.

Anonyme Bezahlmöglichkeiten im Internet sind zugleich ein wichtiger Baustein, um die Möglichkeit zum anonymen Medienkonsum zu erhalten, da Online-Medien, Apps und Spiele zunehmend gegen Bezahlung angeboten werden. Auf jeden Fall muss verhindert werden, dass detaillierte personenbeziehbare Nutzungsdaten – etwa bei Streaming-Diensten – immer dann entstehen, wenn eine Nutzung entgeltpflichtig ist. Die datenschutzfreundliche, dem Grundsatz der Minimierung entsprechende, Gestaltung interaktiver Dienste setzt insofern voraus, dass anonyme Bezahlmöglichkeiten bei Klein- und Kleinstbeträgen möglich bleiben.

Schließlich wäre bei der vorgeschlagenen Neuregelung zu befürchten, dass Nutzer, die weiterhin einer lückenlosen Registrierung entgehen wollen, auf Online-Bezahlverfahren ausweichen, die keinerlei wirksamen Regulierung unterliegen. Ein solches Förderprogramm international verfügbarer unkontrollierbarer Transaktionsplattformen würde letztlich die Geldwäsche und die Terrorismusfinanzierung erleichtern und nicht unterbinden. Die gegen die Umgehung des EU-Rechts gerichtete Regelung im Kommissionsvorschlag (neuer Art. 12 Abs. 3) dürften schon deshalb weitgehend leer laufen, weil sie die Geldinstitute zur lückenlosen und detaillierten Prüfung der Zulassungsvoraussetzungen für Drittstaats-Dienste verpflichten würde, was aus hiesiger Sicht unrealistisch erscheint. Der Ausschluss einzelner aus Drittstaaten angebotener Dienste (Blacklisting) würde diese Anforderung nur unzureichend erfüllen.

Unzulässige Vorratsdatenspeicherung

Unter Berufung auf den legitimen Zweck der Geldwäsche-Richtlinie, nämlich der Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung, würden durch den vorgesehenen Wegfall anonymer Online-Bezahlmöglichkeiten anlasslos massenhaft personenbezogene Daten erfasst, die mit derartigen Praktiken in keinerlei Zusammenhang stehen.

Eine derartige anlass- und schwellenlose Identifikations- und Speicherungsverpflichtung widerspricht den Vorgaben der Europäischen Grundrechtecharta. Dies ergibt sich aus dem Urteil des Europäischen Gerichtshofs, mit dem er die Richtlinie 2006/24/EG zur Vorratsspeicherung von Telekommunikationsdaten annullierte (Urteil v. 8. April 2014, C‑293/12 u. C‑594/12).

Der EuGH stellte fest, dass eine solche Verpflichtung zur Datenspeicherung in Art. 8 der Charta eingreift, der das Grundrecht auf Datenschutz garantiert. Eine solche Einschränkung von Grundrechten dürfe nur unter Wahrung des Grundsatzes der Verhältnismäßigkeit vorgenommen werden. Gesetzliche Vorgaben zur Datenspeicherung sind nur zulässig, soweit sie den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen tatsächlich entsprechen, erforderlich und verhältnismäßig sind. Die obligatorische Datenspeicherung darf nicht die Grenzen dessen überschreiten, was zur Erreichung dieser Ziele geeignet und erforderlich ist und muss sich auf das absolut Notwendige beschränken.

Der EuGH bemängelte, dass sich die Richtlinie 2006/24 generell auf alle Personen und alle elektronischen Kommunikationsmittel erstreckte, „ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen.“ Sie betreffe „zum einen in umfassender Weise alle Personen, …, ohne dass sich jedoch die Personen, deren Daten auf Vorrat gespeichert werden, auch nur mittelbar in einer Lage befinden, die Anlass zur Strafverfolgung geben könnte. Sie gilt also auch für Personen, bei denen keinerlei Anhaltspunkt dafür besteht, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten stehen könnte.“ Die annullierte Richtlinie verlangte „keinen Zusammenhang zwischen den Daten, deren Vorratsspeicherung vorgesehen war, und einer Bedrohung der öffentlichen Sicherheit; insbesondere beschränkt sie die Vorratsspeicherung weder auf die Daten … eines bestimmten Personenkreises, der in irgendeiner Weise in eine schwere Straftat verwickelt sein könnte, noch auf Personen, deren auf Vorrat gespeicherte Daten aus anderen Gründen zur Verhütung, Feststellung oder Verfolgung schwerer Straftaten beitragen könnten.“ Das Gericht stellte deswegen fest, dass die angegriffene RL zur Vorratsdatenspeicherung unverhältnismäßig in das durch Art. 8 EuGrCh garantierte Grundrecht auf Datenschutz eingriff und deshalb ungültig war.

Diese Kritik lässt sich auf die von der Kommission mit der Änderung der GW-RL verfolgte generelle Identifikationspflicht bei Online-Transaktionen übertragen. Auch die Neuregelung betrifft sämtliche Fälle, völlig unabhängig von einem damit verbundenen Risiko. Die dabei erfassten Daten beschränken sich nicht auf Personen, „die auch nur mittelbar in einer Lage befinden, die Anlass zur Strafverfolgung geben könnte,“ wie der EuGH in seinem Vorratsdaten-Urteil ausführt. Zudem sind – wie bei der Vorratsspeicherung von Telekommunikationsdaten – die Zwecke, zu denen die Daten verwendet werden dürfen, nicht hinreichend präzise gefasst und die Stellen, die auf die Daten zugreifen können, nicht hinreichend genau bestimmt. Im Ergebnis ist deshalb festzustellen, dass die vorgesehenen Änderungen zur Europarechtswidigkeit der GW-RL führen würden.

Eine durch EU-Recht festgelegte generelle Identifikationspflicht wäre auch nicht vereinbar mit dem durch das Grundgesetz garantierte Recht auf informationelle Selbstbestimmung. In seinem Urteil zur Vorratsdatenspeicherung von Telekommunikationsdaten v. 2. März 2010 (1 BvR 256/08) hat das Bundesverfassungsgericht gemahnt, dass Gesetze, die auf eine möglichst flächendeckende vorsorgliche Speicherung aller für die Strafverfolgung oder Gefahrenprävention nützlichen Daten zielen, mit der Verfassung unvereinbar sind.

Fehlende Kompatibilität mit dem neuen EU-Datenschutzrecht

Die Europäische Kommission ist der Auffassung, dass ihre Vorschläge konsistent mit dem neuen EU-Rechtsrahmen für den Datenschutz seien, namentlich mit der Datenschutzgrundverordnung 2016/679 (DS-GVO) und der Datenschutzrichtlinie für Polizei und Justiz 2016/680 (DS-JI-RL). An dieser Aussage sind erhebliche Zweifel angebracht.

Entsprechend der Vorgaben in Art. 8 EUGrCh folgt die Datenschutzgrundverordnung dem Grundsatz der Datenminimierung. Die personenbezogenen Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Zudem müssen die Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Art. 5 Abs. 1 DS-GVO). Zwar ist die Verarbeitung personenbezogener Daten für die Erfüllung rechtlicher Verpflichtungen zulässig, denen der Verantwortliche unterliegt, namentlich für die Wahrnehmung einer Aufgabe im öffentlichen Interesse (Art. 6 Abs.1 c,e DS-GVO). Die entsprechenden Rechtsvorschriften müssen jedoch ebenfalls den Vorgaben der Grundrechtecharta genügen und insbesondere in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

Der Vorschlag, die Emittenten von für Online-Transaktionen geeignetem E-Geld zur namentlichen Identifikation der Nutzer zu verpflichten, unabhängig von irgendwelchen Risiken oder Schwellenwerten, und die Identifikationsdaten und die getätigten Transaktionen für mindestens 5 Jahre aufzubewahren, widerspricht den im neuen EU-Datenschutzrecht festgelegten Geboten der Verhältnismäßigkeit und der Datenminimierung.

Der Vorschlag ist auch im Hinblick auf die Datenschutz-Richtlinie für Polizei und Justiz problematisch. Die DS-JI-RL verpflichtet die Mitgliedstaaten zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 a DS-JI-RL). Hierfür legt sie Mindestanforderungen fest. Jedoch hindert sie die Mitgliedstaaten nicht daran, bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden Garantien festzulegen, die strenger sind als die Garantien der DS-JI-RL. Insbesondere dürfe die Angleichung der Rechtsvorschriften der Mitgliedstaaten nicht zu einer Lockerung des Schutzes personenbezogener Daten in diesen Ländern führen (EG 15 DS-JI-RL).

Möglichkeiten, über die datenschutzrechtlichen Vorgaben der DS-JI-RL im Sinne eines effektiven Grundrechtsschutzes hinauszugehen, sind in Deutschland geboten, weil der deutsche Gesetzgeber an die strikten Vorgaben des Bundesverfassungsgerichts zum informationellen Selbstbestimmungsrecht gebunden ist, die dieses im Volkszählungsurteil von 1983 entwickelt und seither in einer Vielzahl von Entscheidungen fortgeschrieben hat. Von daher ist es zwingend, dass der deutsche Gesetzgeber von den in § 12 GW-RL vorgesehenen Möglichkeiten Gebrauch macht, entsprechend des dort vorgesehenen risikobezogenen Ansatzes von einer generellen Identifikationspflicht der Nutzer von Online-Payments abzusehen, indem er insbesondere Schwellenwerte festlegt, unterhalb derer keine Verpflichtung zur namentlichen Registrierung besteht.

Wenn den Mitgliedstaaten die Möglichkeit genommen würde, bestimmte für Online-Transaktionen geeignete E-Geldprodukte mit niedrigem Risikopotential von der Identifikationspflicht auszunehmen, wäre dem deutschen Gesetzgeber eine verfassungskonforme Umsetzung der GW-Richtlinie nicht mehr möglich.