Internet-Law

Onlinerecht und Bürgerrechte 2.0

16.4.19

Die Datenschutzkonferenz zum Tracking

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat eine Orientierungshilfe für Anbieter von Telemedien veröffentlicht, die sich primär mit der Zulässigkeit des sog. Tracking befasst.

Das Papier erläutert zunächst, dass die datenschutzrechtlichen Vorschriften des TMG keine Anwendung mehr finden und auch die ePrivacy-Richtlinie die Dienstanbieter nicht unmittelbar verpflichtet, weshalb mit Blick auf die Datenverarbeitung von Diensteanbietern allein auf die Regelungen der Datenschutz-Grundverordnung (DSGVO) abzustellen ist.

Die DSK stellt das „Tracking“ in den Mittelpunkt ihrer Betrachtung, worunter sie die Datenverarbeitungen zu einer in der Regel websiteübergreifenden Nachverfolgung des individuellen Nutzerverhaltens versteht.

Die DSK stellt dar, dass die Datenverarbeitung in Fällen des Tracking aufgrund von drei Erlaubnistatbestände in Betracht kommt. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), Vertrag (Art. 6 Abs. 1 lit. b) und Interessenabwägung (Art. 6 Abs. 1 lit. f).

Zum Thema Einwilligung wird erläutert, dass durch eine vorgeschaltete Abfrage beim ersten Aufruf einer Website oder einer App eine wirksame Einwilligung für einwilligungsbedürftige Datenverarbeitungen eingeholt werden kann, wobei betont wird, dass Cookies nicht per se einer Einwilligung bedürfen. Die Einwilligung erfordert in jedem Fall ein Opt-In.

Interessant sind aus meiner Sicht die Erläuterungen der Behörden zu Art. 6 Abs. 1 lit. f) DSGVO. Ganz allgemein wird dazu ausgeführt:

Ob die Voraussetzungen des Art. 6 Abs. 1 lit. f) DSGVO erfüllt sind, ist anhand einer dreistufigen Prüfung zu ermitteln:

1.Stufe: Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten

2.Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen

3.Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall.

Hier stellt sich mir die Frage, wie diese Vorgaben beim Einsatz automatisierter Tracking-Tools, die ja jeden Besucher der Website in gleicher Weise tracken, umgesetzt werden können, wenn doch eine Interessenabwägung im konkreten Einzelfall erfolgen muss. Die Software kann nicht abwägen. Insbesondere die 3. Stufe kann also beim Einsatz von Tracking-Tools jedenfalls nicht für den konkreten Einzelfall umgesetzt werden. An dieser Stelle sind wir bei einem generellen Problem des Datenschutzes bei Internetsachverhalten angelangt. Bei Massenphänomenen wie dem Tracking, ist eine Abwägung mit den Interessen der konkret betroffenen Person im Einzelfall gar nicht möglich. Gleichwohl tut man so, als würde man dennoch eine solche Abwägung vornehmen.

An diesem Punkt wird überdeutlich, dass die DSGVO nicht internettauglich ist und auch nicht in der Lage ist, typische Online-Datenverarbeitungsvorgänge zu erfassen. Das Kriterium der Abwägung im Einzelfall kann beim Tracking nicht zielführend sein. Vielmehr müssten allgemeingültige Kriterien definiert werden, die gerade unabhängig vom Einzelfall, den man von Ausnahmen abgesehen, in aller Regel gar nicht kennt, gelten. Ob die geplante ePrivacy-Verordnung diese Lücke sachgerecht schließen kann, bleibt abzuwarten.

Da in Fällen des Tracking eine Abwägung der Interessen des konkret betroffenen Nutzers, vor der Datenerhebung, letztlich nicht möglich ist, müsste dies konsequenterweise bedeuten, dass sich das Tracking nie auf den Gestattungstatbestand von Art. 6 Abs. 1 lit. f) stützen ließe. Diese Schlussfolgerung zieht das Papier allerdings nicht. Denn sonst wäre die Prüfung beendet und die Schlussfolgerung müsste lauten, dass das derzeit geltende Recht über keine geeignete Regelung verfügt und Tracking regelmäßig unzulässig ist.

Dass die DSK viele Fälle des Trackings gleichwohl als kritisch einstuft, zeigen die im Papier erläuterten Beispielsfälle.

posted by Thomas Stadler at 06:51  

7.4.19

Das geplante IT-Sicherheitsgesetz 2.0

Netzpolitik.org hat vor ein paar Tagen den Referentenentwurf eines IT-Sicherheitsgesetzes 2.0 veröffentlicht.

Die geplante Neuregelung soll zunächst die Aufgaben und Befugnisse des Bundesamt für Sicherheit in der Informationstechnik durch Änderung des BSIG erweitern.

Außerdem findet sich der bereits vom Bundesrat beschlossene Vorschlag eines neuen § 126a StGB (Zugänglichmachen von Leistungen zur Begehung von Straftaten) der auch als Darknet-Paragraph öffentlich diskutiert wurde, in dem Entwurf wieder.

Auch der ebenfalls bereits häufiger diskutierte Vorschlag eines „digitalen Hausfriedensbruchs“ taucht in dem Entwurf als unbefugte Nutzung informationstechnischer Systeme erneut auf, ebenso wie ein Vorschlag eines neuen § 163g StPO, der folgenden Wortlaut haben soll:

163g

Begründen bestimmte Tatsachen den Verdacht, dass jemand Täter oder Teilnehmer einer Straftat im Sinne von § 100g Absatz 1 StPO ist, so dürfen die Staatsanwaltschaft sowie die Behörden und Beamten des Polizeidienstes auch gegen den Willen des Inhabers auf Nutzerkonten oder Funktionen, die ein Anbieter eines Telekommunikations- oder Telemediendienstes dem Verdächtigen zur Verfügung stellt und mittels derer der Verdächtige im Rahmen der Nutzung des Telekommunikations- oder Telemediendienstes eine dauerhafte virtuelle Identität unterhält, zugreifen. Sie dürfen unter dieser virtuellen Identität mit Dritten in Kontakt treten. Der Verdächtige ist verpflichtet, die zur Nutzung der virtuellen Identität erforderlichen Zugangsdaten herauszugeben. § 95 Absatz 2 gilt entsprechend mit der Maßgabe, dass die Zugangsdaten auch herauszugeben sind, wenn sie geeignet sind, eine Verfolgung wegen einer Straftat oder einer Ordnungswidrigkeit herbeizuführen. Jedoch dürfen die durch Nutzung der Zugangsdaten gewonnenen Erkenntnisse in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Verdächtigen oder einen in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen des Verdächtigen nur mit Zustimmung des Verdächtigen verwendet werden.

Diese Vorschrift soll es den Ermittlungsbehörden ermöglichen, virtuelle Identitäten zu übernehmen, um künftig verdeckt unter der Identität eines Tatbeteiligten ermitteln zu können. Erstaunlich an der Vorschrift ist u.a., dass der Verdächtigte verpflichtet sein soll, die Zugangsdaten zu seinem Account herauszugeben und die Herausgabe auch zwangsweise mittels Ordnungsgeld und Ordnungshaft durchgesetzt werden soll. Weil das gegen den vielleicht fundamentalsten rechtsstaatlichen Grundsatz des Strafverfahrens, dass niemand als Beweismittel gegen sich selbst dienen muss (nemo tenetur se ipsum accusare), verstoßen würde, beeilt sich die Vorschrift klarzustellen, dass die durch Nutzung der Zugangsdaten gewonnenen Erkenntnisse in einem Straf- und Ordnungswidrigkeitenverfahren nur mit Zustimmung des Verdächtigen verwendet werden dürfen.

Ob dieses Beweisverwertungsverbot allerdings zu demselben Schutz des Verdächtigen/Beschuldigten führt, als wie wenn er die Preisgabe seiner Zugangsdaten schlicht verweigern könnte, erscheint schon deshalb zweifelhaft, weil es in Deutschland, anders als im US-Recht, keine fruit of the poisonous tree doctrine gibt. Zufallsfunde, die auf andere Straftaten hinweisen, könnten damit verwertet werden. Unklar bleibt auch, inwieweit die Erkenntnisse genutzt werden könnten, um weitere, noch nicht bekannte Tatumstände und -hintergründe zu ermitteln und damit neue Beweismittel zu schaffen, die nicht mehr von dem Beweisverwertungsverbot umfasst wären. Ob diese mittelbare Verwendung dann ebenfalls unzulässig wäre, bleibt offen. Die Vorschrift beinhaltet damit in jedem Fall eine Beschränkung des Grundsatzes „nemo tenetur se ipsum accusare“ und ist deshalb verfassungsrechtlich höchst problematisch.

Auch von dem Vorhaben, ein „Zugänglichmachen von Leistungen zur Begehung von Straftaten“ (§ 126 a StGB) zu regeln, scheint das Innenministerium, trotz mannigfacher Kritik nicht abgerückt zu sein.

Der aktuelle Textvorschlag

(1) Wer Dritten eine internetbasierte Leistung zugänglich macht, deren Zweck oder Tätigkeit darauf ausgerichtet ist, die Begehung von rechtswidrigen Taten zu ermöglichen, zu fördern oder zu erleichtern, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

weist allerdings keinerlei Bezug zu Darknet-Sachverhalten mehr auf. Die Vorschrift ist so weitgehend formuliert, dass sich praktisch jede beliebige Tätigkeit eines Internet Services Anbieters darunter subsumieren lässt. Das sieht offensichtlich auch die Gesetzesbegründung so, heißt es doch dort, dass die Vorschrift hinsichtlich ihres sachlichen Anwendungsbereichs auch zur Ermöglichung der Berücksichtigung der weiteren technischen Entwicklung weit gefasst ist und jegliche internetbasierte Zugänglichmachung von Leistungen erfasst. Wie dann die gebotene Eingrenzung des objektiven Tatbestands auf strafwürdige Sachverhalte erreicht werden soll, erschließt sich mir nicht. Denn die Tathandlung ist ja allein das Zugänglichmachen einer internetbasierten Leistung, die in vielen Fällen auch nicht vom Anbieter selbst stammen wird, sondern von einem Dritten. Jeder Access-Provider, jeder Anbieter von User-Generated Content macht zugänglich. Ob Inhalte/Dienste, die aus Sicht des Anbieters häufig fremde internetbasierte Leistungen darstellen, darauf ausgerichtet sind, Straftaten zu ermöglichen, kann der technische Anbieter oder der Plattformbetreiber im Regelfall weder prüfen noch beurteilen. Es stellt sich auch die Frage, wie eine solche Regelung mit den Providerprivilegien der §§ 8 ff. TMG, die auf die E-Commerce-Richtlinie zurückgehen, in Einklang zu bringen sein soll.

Die Regelung bewirkt nichts anderes als, dass in großem Umfang erlaubte und erwünschte Tätigkeiten pauschal dem objektiven Tatbestand einer Strafnorm unterworfen werden. Die Korrektur erfolgt dann nur über den subjektiven Tatbestand oder die allerdings eng begrenzten Ausnahmen.

Die Vorschrift ist in dieser Form nicht nur rechtspolitisch vollständig verfehlt, sondern mangels Bestimmtheit auch nicht verfassungskonform. Wenn der Gesetzgeber nicht dazu in der Lage ist, strafwürdiges Verhalten im objektiven Tatbestand einer Strafnorm konkret zu umschreiben, dann sollte er auch keine Strafvorschriften erlassen. Der Ansatz, mit Blick auf die künftige Entwicklung vorsorglich einfach mal jedwede Zugänglichmachung von Onlinediensten zu pönalisieren, kann in einem Rechtsstaat kein taugliches Mittel der Gesetzgebung sein.

posted by Stadler at 17:10  

3.4.19

BVerfG zur Darlegungslast beim Filesharing

Das Bundesverfassungsgericht hat mit Beschluss vom 18.02.2019 (Az.:
1 BvR 2556/17) entschieden, dass es nicht gegen Art. 6 Abs. 1 GG (Grundrecht auf Achtung des Familienlebens) verstößt, wenn ein Zivilgericht im Rahmen eines Filesharing-Verfahrens dem Anschlussinhaber aufgibt, darzulegen, wer von seinen Familienmitgliedern die Urheberrechtsverletzung begangen hat. Das Bundesverfassungsgericht betont, dass der Beklagte ja nicht gezwungen sei, dies zu offenbaren, in diesem Fall dann aber eben die negativen prozessualen Folgen, sprich den Prozessverlust, zu tragen habe.

Ausdrücklich offen gelassen hat das Gericht die Frage, ob der Anschlussinhaber gehalten ist, das Nutzungsverhalten seiner Angehörigen zu überwachen oder Nachforschungen anzustellen, wenn er nicht weiß, wer die Rechtsverletzung begangen hat. In diesem Fall dürfte allerdings die Beeinträchtigung von Art. 6 GG deutlich intensiver sein, als in dem entschiedenen Fall.

posted by Stadler at 22:22