Internet-Law

Onlinerecht und Bürgerrechte 2.0

6.12.16

Fordern kann man viel… – zur sog. Charta für digitale Grundrechte

Von Dr. Arnd-Christian Kulow und Thomas Stadler

Am 30.11.2016 hat eine Initiative von Netzaktivisten, Politikern, Wissenschaftlern und Autoren den Entwurf einer „Charta der Digitalen Grundrechte der Europäischen Union“ vorgestellt.

Wir entsprechen dem Wunsch der Initiatoren und kommentieren den Vorschlag nachfolgend. „Gewogen und für zu leicht befunden“ ist vielleicht noch das mildeste Verdikt, jedenfalls von juristischer Seite. Die im einzelnen geäußerte und höchst berechtigte Kritik soll hier allerdings nicht nochmals vollständig wiederholt werden. Wir haben am Textende einige weiterführende Links zu kritischen Anmerkungen aufgenommen.

Die grundlegende Frage die sich uns stellt ist, ob das Vorgehen der Initiatoren als solches überhaupt hilfreich war und ist oder eher nicht. Um die Antwort vorwegzumehmen: Diese Charta ist nicht geeignet, die Grundrechte im digitalen Zeitalter zu stärken und sollte daher nicht weiter verfolgt werden. Eine öffentliche Debatte jedenfalls dieses Textes halten wir nicht für zielführend.

Wir unterstellen eine gute Absicht bei den Initiatoren und ja, die Digitalisierung wirft Fragen auf, die auch das Recht beantworten muss. Eine „Charta“ zu entwerfen, ist eine Möglichkeit einen Diskurs anzustoßen. Andern Orts ist schon gesagt worden, dass die Charta mit „digitalen“ Grundrechten allerdings etwas fordert, was es nicht gibt. Nein, das ist keine Beckmesserei, sondern mahnt sprachliche Klarheit an, die gerade bei solchen Texten notwendige Bedingung der Wirksamkeit ist.

Die Charta ist in doppelter Hinsicht anmaßend. Sie kombiniert Elemente des deutschen Grundgesetzes mit denen der Charta der Grundrechte der Europäischen Union, berücksichtigt aber in keinster Weise verfassungsjuristisches Handwerkszeug. Dies verwundert, sind doch renommierte Juristen unter den Initiatoren. Es ist längst verfassungsrechtliches Allgemeingut, dass Verfassungstexte und diesen nachempfundene „Charten“ Textstufen durchlaufen. In rechtlichen Kontexten, zumal wenn sie Neuland betreten ist „robustes“ Arbeiten angesagt und nicht mehr oder weniger freies Assoziieren.

Was hätte die Verfasser also tun sollen?

Es wäre zunächst eine Bestandsaufnahme von Grundrechten und einfachgesetzlichen Regelungen mit Bezug auf digitale Sachverhalte in allen Verfassungen und Rechtsordnungen der EU-Mitgliedstaaten durchzuführen gewesen. Brauchen wir überhaupt „digitale Grundrechte“ oder genügen uns die vorhandenen vollauf? So haben ja bekanntlich der Bundesgerichtshof und das Bundesverfassungsgericht mit dem Allgemeinen Persönlichkeitsrecht schon sehr früh ein unbenanntes Grundrecht geschaffen, das gleichwohl in der Lage ist, auf neue Fragen der Digitalisierung zu antworten: das Grundrecht auf informationelle Selbstbestimmung und das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zeugen davon.

In einem zweiten Schritt hätte dann eine Defizitanalyse, bzw. wertende Rechtsvergleichung stattfinden müssen, um festzustellen, welche Lücken vorhanden sind und wie diese geschlossen werden können.

Die so gefundenen Ergebnisse hätte man anschließend mit dem Ziel einer Präzisierung bestehender Grundrechte sowohl in Fachkreisen als auch generell öffentlich diskutieren können. An einer derart strukturierten, methodischen Vorgehensweise fehlt es ganz augenscheinlich aber vollständig.

Was hat man stattdessen getan?

Die Verfasser versuchen, parallel zur bereits vorhandenen Grundrechtecharta der EU eine zweite (vollständige) Charta der digitalen Grundrechte zu schaffen, wobei beide offenbar gleichberechtigt nebeneinander stehen sollen. Der Ansatz verwundert bereits deshalb, weil man meinen könnte, die Unterscheidung zwischen einer Online- und Offlinewelt sei zu überwinden und nicht zu vertiefen.

Gibt es etwa eine besondere Menschenwürde im digitalen Raum oder vielleicht doch nur eine einzige universelle Menschenwürde? Wer die Frage in letzterem Sinne beantwortet, wird sich der Erkenntnis nicht verschließen können, dass Art. 1 Abs. 1 des Chartaentwurfs vollständig überflüssig ist.

Das erste ernsthafte juristische Problem wirft sodann bereits Art. 1 Abs. 3 des Entwurfs auf, der postuliert, dass die Charta gegenüber staatlichen Stellen und Privaten gelten soll. Das ist in zweierlei Hinsicht bemerkenswert. Grundrechtsverpflichtete waren bislang stets nur staatliche Stellen, nachdem Grundrechte per definitionem Abwehrrechte gegenüber dem Staat sind. Träger von Grundrechten sind demzufolge (nur) Private, vorrangig natürliche Personen. Wenn man nun den Kreis der Grundrechtsverpflichteten auf Private ausdehnt, stellt dies nicht nur einen Bruch mit der bisherigen verfassungsrechtlichen Dogmatik dar, sondern wirft Folgefragen auf, die niemand mehr widerspruchsfrei wird beantworten können. Es entstünde nämlich dadurch die Situation, dass Private (zugleich) Grundrechtsberechtigte und –verpflichtete wären. Wird also das Verfassungsrecht zum Privatrecht, oder welche Bedeutung hat es, wenn Grundrechte zwischen Privaten gelten? Und wer wacht darüber? Diese Rolle wird selbstverständlich der Staat einehmen. Was das bedeutet ist klar. Die Charta macht ihn zum Leviathan: zum freiheitsfressenden Monster.

Darüber hinaus gilt die Grundrechtecharta der EU nach ihrem Art. 51 nur für Stellen der EU, für die Mitgliedsstaaten aber nur dann, wenn sie Unionsrecht durchführen. Das hat seinen  Grund darin, dass die EU keine umfassende Regelungskompetenz für alle Rechts- und Lebensbereiche besitzt und demzufolge auch keinen Grundrechtskatalog definieren kann, der uneingeschränkt für sämtliches Handeln der Mitgliedsstaaten gilt. Das soll nach Art. 1 Abs. 3 dieses Entwurfs allerdings anders sein, die Charta soll für jedwedes staatliches Handeln gelten und damit auch jegliches Handeln der Mitgliedsstaaten regeln. Das ist schlicht nicht europarechtskonform.

Die Grundkonzeption der Charta funktioniert auch bei anderen Grundrechten nicht, was wir exemplarisch anhand von Art. 5 (Meinungsfreiheit) verdeutlichen wollen. Soweit Art. 5 Abs. 1 des Entwurfs die Meinungsfreiheit auch für die digitale Welt – was ist das eigentlich? – gewährleistet, so ist dies schlicht überflüssig. Die Meinungsfreiheit ist bereits in Art. 11 der Grundrechtecharta und in sämtlichen Verfassungen der Mitgliedsstaaten gewährleistet, in Deutschland in Art. 5 GG.

Die sich anschließende Regelung in Art. 5 Abs. 2 der Digitalcharta ist je nach Lesart merkwürdig, gefährlich oder überflüssig. Eine Auslegung, die auf eine sinnvolle Regelung hindeuten könnte, erschließt sich uns derzeit nicht. Die Vorschrift fordert, dass digitale Hetze, Mobbing sowie Aktivitäten, die geeignet sind, den Ruf oder die Unversehrtheit einer Person ernsthaft zu gefährden, zu verhindern sind und zwar durch die Grundrechtsverpflichteten, also durch staatliche Stellen und Private. Wenn also alle staatlichen Stellen und alle Privaten diese Pflicht trifft, ist also im Grunde jeder dazu verpflichtet das zu verhindern. Auch der Hetzer ist danach verpflichtet, sich selbst in die Schranken zu weisen. Hier zeigt sich bereits die Absurdität der Ausweitung des Kreises der Grundrechtsverpflichteten auf Private.

Was soll damit aber sachlich-inhaltlich geregelt werden? Handelt es sich um eine Schranke wie in Art. 5 Abs. 2 GG, wonach das Grundrecht auf Meinungsfreiheit seine Schranken in den allgemeinen Gesetzen, den gesetzlichen Bestimmungen des Jugend- und Ehrschutzes findet? Wenn das gemeint sein sollte, ist die Formulierung komplett misslungen. Dem Wortlaut nach soll eine unmittelbare Handlungspflicht normiert werden, was Fragen aufwirft, zumal es sich bei unbestimmten Begriffen wie Mobbing und Hetze noch nicht einmal um Rechtsbegriffe handelt. Letztlich gehört eine solche Regelung systematisch in ein einfaches Gesetz. Sie kann nicht Verfassungsrang haben, weil sonst unterbunden wird, dass  sie uneingeschränkt auch anhand des Grundrechts überprüft und an diesem gemessen wird. Hetzerische Postings sind nach unserem aktuellen Verständnis von Meinungsfreiheit, wie es durch das Bundesverfassungsgericht (BVerfG) und den Europäischen Gerichtshof für Menschenrechte (EGMR) geprägt worden ist, keineswegs per se unzulässig. Es ist ganz im Gegenteil so, dass ein freiheitlich-demokratischer Staat in diesem Bereich u.U. sehr viel von dem ertragen muss, was man als hetzerisch, rassistisch oder diskriminierend empfindet.

Darüber hinaus muss der hier zum Grundrechtsverpflichteten mutierte Private – angesprochen sind damit u.a. Betreiber von sozialen Netzen oder Meinungsportalen – auch immer die Informationsfreiheit seiner Nutzer berücksichtigen. Die Informationsfreiheit regelt Art. 5 des Entwurfs interessanterweise aber nicht, sie wird vielmehr scheinbar in Art. 2 Abs. 1 als Recht auf freie Information angesprochen. Ob damit tatsächlich die Informationsfreiheit im Sinne von Art. 5 Abs. 1 S. 1 (2. Alt.) GG und Art. 11 Abs. 1 S. 2 EU-Grundrechtecharta abgebildet wird, erscheint angesichts des Wortlauts fraglich. Wer, wie die Verfasser dieser Charta, den Anspruch hat, die Meinungsfreiheit nochmals für den Digitalbereich zu regeln, der sollte dies zumindest vollständig tun und nicht die Hälfte weglassen.

Der aktuelle Textvorschlag wirft insgesamt die Frage auf, ob die dort skizzierte Vorstellung von Meinungsfreiheit nicht möglicherweise (deutlich) hinter dem Rahmen zurückbleibt, den EGMR und BVerfG abgesteckt haben. Die Meinungsfreiheit soll hier in einer Art und Weise einschränkt werden, die die Bedeutung und Tragweite dieses für jeden demokratischen Rechtsstaat schlicht konstituierenden Grundrechts fundamental verkennt.

Man kann insgesamt sicherlich darüber diskutieren, ob der tradierte Katalog der Grundrechte ergänzungsbedürftig ist. Existierende Grundrechte wie die Meinungsfreiheit müssen dafür aber nicht neu- und vor allem nicht umdefiniert werden.

Die Charta vergisst zudem auch, dass das vom BVerfG in der Lebach-Entscheidung in seiner Verfassungsgemäßheit bestätigte Allgemeine Persönlichkeitsrecht in seinen Ausprägungen des Rechts auf informationelle Selbstbestimmung und Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme sehr wohl in der Lage ist, den Herausforderungen der Digitalisierung zu begegnen. Dass die datenschutzrechtlichen Regelungen des Entwurfs defizitär sind und der Entwurf insoweit ein „heilloses Durcheinander aus Buzzwords, unvollständigen Begriffssammlungen und ungenutzten Chancen“ darstellt, hat Malte Engeler treffend herausgearbeitet. Insgesamt ist die Frage zu stellen, ob wirklich Lücken des grundrechtlichen Systems zu beklagen sind oder ob wir nicht eher ein Vollzugsgedefizit beobachten können, an dem auch neue und veränderte Grundrechte nichts ändern werden. Die Schaffung neuer Grundrechtskataloge ist nicht die Antwort auf die zunehmende Gefährdung der Grundrechte in der sog. digitalen Welt. Vielmehr sollte man sich Gedanken darüber machen, wie man den bereits vorhandenen und weitestgehend ausreichenden Rechten und Regelungen zu stärkerer Geltung verhilft.

Eine methodische und wissenschaftliche Vorgehensweise unter Berücksichtigung des vorhandenen Grundrechtsniveaus hätte die Intiatoren vor ihrem zentralen Fehler bewahrt: Den an das Grundgesetz angelehnten und um Elemente der Grundrechtecharta ergänzten Entwurf allen Ernstes Europa als Lösung anzudienen. Wolfgang Michal kritisiert den Entwurf völlig zurecht als deutschen Sonderweg. Bescheidenheit und Integrationskompetenz, das sollten wir Europa anbieten, auch im Bereich der Informationstechnologie.

 

Weiterführende Links:

Unstable – Der Digitalcharta fehlt ihr Datenschutzfundament (Malte Engeler)

Verkehrte Welt: Zur Zweckentfremdung von “Grundrechten” und zur Verklärung des “Nichtwissens” (Niko Härting)

„Digi­tale Grund­rechte“ – warum eigent­lich? (Niko Härting)

Digitale Chartastimmung (Markus Kompa)

Kommentare zur “Charta der digitalen Grundrechte der Europäischen Union” (Jürgen Geuter)

Vorschlag für EU-Digitalgrundrechte: Nachbesserungen beim Urheberrecht nötig (Julia Reda)

Digitalcharta: Dinge verbieten, im Namen der Freiheit (Simon Assion)

posted by Arnd Kulow at 09:20  

19.10.16

EuGH entscheidet zum Personenbezug von IP-Adressen

Zu der Frage, ob und unter welchen Voraussetzungen IP-Adressen personenbezogene Daten im Sinne des Datenschutzrechts darstellen, existiert seit vielen Jahren eine kontroverse Diskussion in der deutschen Rechtswissenschaft. Den Streitstand habe ich in einem älteren Blogbeitrag dargestellt.

Vor zwei Jahren hat der BGH dem EuGH die Frage vorgelegt, ob eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn lediglich ein Dritter – also der Zugangsprovider – über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt. Zudem wollte der BGH vom EuGH wissen, ob eine Vorschrift des nationalen Rechts mit dem Inhalt des § 15 Abs. 1 TMG gegen die Datenschutzrichtlinie verstößt.

In seiner Entscheidung vom 19.10.2016 (Az.: C-582/14) schließt sich der EuGH in der Tendenz der Theorie vom relativen Personenbezug an und führt aus, dass eine IP-Adresse nicht stets als personenbezogenes Datum im Sinne der Datenschutzrichtlinie zu betrachten ist, sondern nur dann, wenn der speichernde Diensteanbieter über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen. Solche rechtlichen Mittel gibt es allerdings nicht allgemein, sondern nur aufgrund puntktueller gesetzlicher Regelungen wie z.B. § 101 Abs. 2 und Abs. 9 UrhG oder im Falle von strafbarem Verhalten über den Umweg als Betroffener Einsicht in die Ermittlungsakte der Staatsanwaltschaft nehmen zu können. Man wird vor diesem Hintergrund davon auszugehen haben, dass dynamische IP-Adressen, entgegen der beispielsweise von den Datenschutzaufsichtsbehörden vertretenen Auffassung, jedenfalls nicht generell als personenbezogen zu betrachten sind. Der EuGH geht zwar in seiner Entscheidung davon aus, dass das deutsche Recht entsprechende Mittel vorsehen würde, betont aber, dass das vorlegende Gerich, diese Frage zu prüfen habe.

Des weiteren hält der EuGH die deutsche Vorschrift des § 15 Abs. 1 TMG für europarechtswidrig, weil auch der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu gewährleisten, zu einer Speicherung personenbezogener Daten berechtigen könne. Der speichernde Anbieter kann nach Ansicht des EuGH ein berechtigtes Interesse daran haben, die Aufrechterhaltung der Funktionsfähigkeit der von ihm allgemein zugänglich gemachten Websites über die konkrete Nutzung hinaus zu gewährleisten. Zu diesem Zweck darf er personenbezogene Daten, auch IP-Adressen, speichern.

posted by Stadler at 12:32  

15.9.16

Unterlassungsanspruch gegen die Eltern wegen Kinderfotos bei Facebook?

Eines der Boulevardthemen der letzten Tage war eine Klage einer 18-jährigen Östereicherin wegen zahlreicher Babyfotos, die ihre Eltern ins Netz bzw. auf Facebook gestellt und trotz Aufforderung der Tochter nicht wieder entfernt haben.

Das Thema verfügt, wie jeder Facebooknutzer weiß, über enorme praktische Bedeutung. Das Recht am eigenen Bild ist in Deutschland im KUG gesetzlich geregelt, als Ausfluß des allgemeinen Persönlichkeitsrechts genießt es auch grundrechtlichen Schutz. Bilder, auf der eine Person erkennbar ist, dürfen im Grundsatz nach § 22 KUG nur mit Einwilligung der abgebildeten Person verbreitet und veröffentlicht werden. Bei der Verbreitung und öffentlichen Abbildung geschäftsunfähiger Minderjähriger ist die Einwilligung des gesetzlichen Vertreters, im Regelfall die Eltern, maßgeblich. Bei beschränkt Geschäftsfähigen – Kinder ab dem 7. Lebensjahr – ist wegen der persönlichkeitsrechtlichen Komponente zusätzlich eine Einwilligung des Minderjährigen erforderlich, sofern das Kind bereits über eine ausreichende Einsichtsfähigkeit verfügt. Zum Teil gesteht die Rechtsprechung dem einsichtsfähigen Minderjährigen sogar die alleinige Entscheidung zu.

Der Minderjährige wird sich vor diesem Hintergrund ab einem gewissen Zeitpunkt, der nicht notwendigerweise erst mit der Volljährigkeit beginnt, sondern regelmäßig jedenfalls ab dem Alter von 14 Jahren, auch gegen seine Eltern mit Unterlassungsansprüchen zur Wehr setzen können, wenn diese Bilder ins Netz gestellt haben, die der Abgebildete dort nicht sehen will. In der Rechtsprechung und Literatur wird zwar überwiegend davon ausgegangen, dass eine einmal erteilte Einwilligung nur aus wichtigem Grund widerrufen werden kann. Auf einen solchen wichtigen Grund, der auch in einer geänderten Überzeugung bestehen kann, wird sich aber der Minderjährige stets berufen können, wenn die Fotos zu einem Zeitpunkt ins Netz gestellt wurden, in dem er wegen mangelnder Einsichtsfähigkeit noch nicht selbst mitentscheiden konnte. Andernfalls würde man seinen Willen, den er ja erstmals selbst bilden konnte, vollständig missachten. Sobald eine ausreichende Einsichtsfähigkeit besteht, dürfen auch Eltern keine Fotos ihrer Kinder bei Facebook oder anderswo mehr ohne Zustimmung ins Netz stellen.

posted by Stadler at 10:08  

20.4.16

BKA-Gesetz teilweise verfassungswidrig

Das Bundesverfassungsgericht hat das BKA-Gesetz für teilweise verfassungswidrig erklärt und hierbei insbesondere die Vorschriften zum Einsatz von heimlichen Überwachungsmaßnahmen zur Abwehr von Gefahren des internationalen Terrorismus beanstandet (Urteil vom 20. April 2016 – 1 BvR 966/09, 1 BvR 1140/09).

Das Gericht hat u.a. entschieden, dass die Erlaubnis von Wohnraumüberwachungen gegenüber Kontakt- und Begleitpersonen (§ 20h Abs. 1 Nr. 1 c BKAG) nicht mit Art. 13 Abs. 1, 4 GG vereinbar ist. Insgesamt ist bei der Wohnraumüberwachung der Schutz des Kernbereichs privater Lebensgestaltung in § 20h Abs. 5 BKAG unzureichend ausgestaltet. Nach Durchführung einer solchen Maßnahme müssen nach Ansicht des BVerfG – außer bei Gefahr im Verzug – zunächst alle Daten von einer unabhängigen Stelle gesichtet werden, ob sie höchstprivate Informationen enthalten, bevor sie vom Bundeskriminalamt verwertet werden dürfen.

Auch beim Zugriff auf informationstechnische Systeme (§ 20k BKAG) fehlt es nach Ansicht des BVerfG an einer hinreichenden Regelung zum Schutz des Kernbereichs privater Lebensgestaltung. Erforderlich ist, dass die Sichtung und Kontrolle im Wesentlichen von externen, nicht mit Sicherheitsaufgaben betrauten Personen wahrgenommen wird. Die tatsächliche Durchführung und Entscheidungsverantwortung muss demnach in den Händen von Personen liegen, die gegenüber dem BKA unabhängig sind. Indem § 20k Abs. 7 Satz 3 und 4 BKAG die Sichtung im Wesentlichen in die Hände von Mitarbeitern des Bundeskriminalamts legt, genügt er diesen Anforderungen nicht.

Allgemein beanstandet das Gericht, dass der Schutz der Berufsgeheimnisträger nicht tragfähig ausgestaltet ist und die Regelungen zur Gewährleistung von Transparenz, Rechtsschutz und aufsichtlicher Kontrolle nicht vollständig den verfassungsrechtlichen Anforderungen genügen. Es fehlt nach der Entscheidung des BVerfG an hinreichenden Vorgaben zu turnusmäßigen Pflichtkontrollen, an einer umfassenden Protokollierungspflicht, die es ermöglicht, die jeweiligen Überwachungsmaßnahmen zu prüfen, sowie an Berichtspflichten gegenüber Parlament und Öffentlichkeit.

Auch die Regelungen zur Datenlöschung sind vom Gericht beanstandet worden. Die Möglichkeit, von der Löschung erhobener Daten nach Zweckerfüllung allgemein abzusehen, soweit die Daten zur Verfolgung von Straftaten oder zur Verhütung oder zur Vorsorge für die künftige Verfolgung einer Straftat mit erheblicher Bedeutung erforderlich sind (§ 20v Abs. 6 Satz 5 BKAG), ist verfassungswidrig. Als nicht verfassungskonform betrachtet das Gericht auch die sehr kurze Frist für die Aufbewahrung der vom Bundeskriminalamt zu erstellenden Löschungsprotokolle, weil dadurch eine spätere Kontrolle nicht hinreichend gewährleistet wird.

Verfassungswidrig sind auch die Übermittlungsbefugnisse an andere inländische Behörden (§ 20v Abs. 5 BKAG). Das Gericht rügt hier zusätzlich, dass es bei allen Übermittlungsbefugnissen an einer hinreichenden Gewährleistung einer effektiven Kontrolle durch die Bundesdatenschutzbeauftragte fehlt.

Die Übermittlung von Daten an das Ausland setzt eine Begrenzung auf hinreichend gewichtige Zwecke, für die die Daten übermittelt und genutzt werden dürfen, sowie die Vergewisserung über einen menschenrechtlich und datenschutzrechtlich vertretbaren Umgang mit diesen Daten im Empfängerland voraus. Im Übrigen bedarf es auch hier der Sicherstellung einer wirksamen Kontrolle. Die Regelungen im BKA-Gesetz zur Übermittlung von Daten an öffentliche Stellen anderer Staaten genügen diesen verfassungsrechtlichen Anforderungen teilweise nicht. Das Gericht beanstandet, dass die Ermittlungszwecke zu weit gefasst sind. Die Erlaubnis zur Datenübermittlung allgemein zur Erfüllung der dem Bundeskriminalamt obliegenden Aufgaben (§ 14 Abs. 1 Satz 1 Nr. 1 BKAG) ist nicht hinreichend eingegrenzt und daher unverhältnismäßig. Außerdem ist nicht sichergestellt, dass Daten aus eingriffsintensiven Überwachungsmaßnahmen nur für Zwecke übermittelt werden dürfen, die dem Schutz von Rechtsgütern oder der Aufdeckung von Straftaten eines solchen Gewichts dienen, die verfassungsrechtlich ihre Neuerhebung mit vergleichbar schwerwiegenden Mitteln rechtfertigen könnten.

Das BVerfG hat damit zum wiederholten Male Überwachungsregelungen, die bereits bei ihrem Inkrafttreten umstritten waren, kassiert. Der Bundestag ist in diesem Bereich offenbar kaum mehr in der Lage, verfassungskonforme Gesetze zu schaffen. Dies liegt auch teilweise daran, dass der Gesetzgeber (bekannte) verfassungsrechtliche Grenzen bewusst ausreizt oder gar überschreitet. Steter Tropfen hölt auch hier den Stein, den jedes Mal bleiben auch immer einige fragwürdige Regelungen bestehen und bei den anderen hat man dann zumindest die Grenzen des Verfassungsgericht wieder einmal ausgelotet und kann dann bei der Neufassung exakt an diese Grenze gehen. Es bleibt dabei, dass diejenigen Gesetze und Befugnisse, die eine Überwachung des Bürgers ermöglichen, in den letzten 20 Jahren ganz erheblich ausgeweitet wurden, was durch das Bundesverfassungsgericht zwar immer wieder, aber eben auch nur zum Teil beanstandet wird. Aufgrund der gestiegenen technischen Möglichkeiten, insbesondere im Bereich der TK-Überwachung, wird der Bürger immer gläserner.

 

posted by Stadler at 11:18  

10.3.16

Sind Social Plugins rechtswidrig?

Das Landgericht Düsseldorf hat in einem brandaktuellen Urteil (Urteil vom 09.03.2016, Az.: 12 O 151/15) einem Unternehmen untersagt, auf seiner Website das „Social Plugin „Gefällt mir“ von Facebook zu integrieren“, ohne die Nutzer vorab darüber zu informieren, dass Facebook Zugriff auf die IP-Adresse und den Browserstring des Nutzers nimmt und ohne insoweit ausdrücklich und unübersehbar über den Zweck der Erhebung und Verwendung der an Facebook übermittelten Daten aufzuklären. Zusätzlich wurde dem Unternehmer auch verboten, das Plugin zu verwenden, ohne vorab die Einwilligung des Nutzers in die Datenverwendung einzuholen.

Wenn sich diese Rechtsprechung durchsetzt, kann man den Like Button und das Page Plugin von Facebook in Deutschland wohl nicht mehr rechtskonform in die eigene Website einbauen. Denn eine konkrete Information des Nutzers darüber, wie und zu welchem Zweck Facebook die Daten verarbeitet, ist schon deshalb nicht möglich, weil  kein Webseitenbetreiber mit Sicherheit sagen kann, was Facebook mit den Daten macht. Einen Ausweg bietet hier allenfalls die sog. Zwei-Klick-Lösung, wobei sich auch hier die Frage stellt, ob eine informierte Einwilligung des Nutzers in Betracht kommt, nachdem der Umfang der Datenverarbeitung durch Facebook am Ende immer unklar bleibt.

Das Landgericht Düsseldorf schließt sich in seinem Urteil zunächst der Meinung vom absoluten Personenbezug an und geht davon aus, dass (dynamische) IP-Adressen stets als personenbezogene Daten zu bewerten sind.

Anschließend qualifiziert das Landgericht Düsseldorf den Webseitenbetreiber als verantwortliche Stelle im Sinne des Datenschutzrechts. Dies scheint mir der zentrale, diskutable Aspekt der Entscheidung zu sein. Letztlich stützt das Landgericht seine Auffassung primär darauf, dass der Webseitenbetreiber die Daten, die Facebook dann verarbeitet, beschafft. Das Landgericht stellt damit eine Kausalitätsbetrachtung an, die in der Tendenz auf eine datenschutzrechtliche Störerhaftung hinausläuft.

Durch die Einbindung des Codes wirkt der Webseitenbetreiber natürlich an der Erhebung von Daten mit und er macht dies auch für eigene Zwecke, denn er möchte damit ja eine Empfehlung seines Angebots erreichen. Andererseits ist er nicht derjenige, der den Datenverarbeitungsvorgang steuert und kontrolliert.

Nach Art. 2 d) der Datenschutzrichtlinie ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Wenn man das eng am Wortlaut auslegt, wird man den Webseitenbetreiber nicht ohne weiteres als Verantwortlichen betrachten können, denn er entscheidet nicht (zusammen mit Facebook) über die Zwecke und Mittel der Datenverarbeitung. Er weiß im Zweifel noch nicht einmal genau, welche Daten Facebook erhebt. Andererseits leistet er zweifellos einen kausalen Beitrag für die Datenverabeitung durch Facebook, weshalb man ihn durchaus als eine Art Gehilfen von Facebook betrachten kann, der zudem auch ein gewisses Eigeninteresse an dem Vorgang der Datenverarbeitung hat.

Letztlich regelt das Gesetz diese Konstellation nicht eindeutig. Die entscheidende Frage lautet hier also, ob allein Facebook verantwortliche Stelle im Sinne des Datenschutzrechts ist oder ob daneben (auch) der Webseitenbetreiber datenschutzrechtlich verantwortlich ist. Ist verantwortliche Stelle also nur derjenige, der die Kontrolle und Herrschaft über die Daten und den Datenverarbeitungsvorgang hat, oder darüber hinausgehend jeder, der in kausaler Weise an der Beschaffung oder Verarbeitung der Daten mitwirkt? Diese Frage wird die Rechtsprechung eindeutig zu klären haben.

Das Urteil ist noch nicht rechtskräftig.

Thomas Schwenke hat FAQs zum Urteil zusammengestellt.

posted by Stadler at 11:01  

23.2.16

Verbandsklagerecht bei Datenschutzverstößen ab dem 24.02.2016

Das Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts vom 17.02.2016 ist heute im Bundesgesetzblatt verkündet worden und tritt morgen, am 24.02.2016, in Kraft.

Durch die Neuregelung werden u.a. die Unterlassungsansprüche bei verbraucherschutzgesetzwidrigen Praktiken erweitert um datenschutzrechtliche Verstöße, wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden.

Verbraucherschutz- und Wettbewerbsverbände können solche Datenschutzverstöße von nun an im Rahmen ihrer Verbandsklagebefugnis nach dem UklaG abmahnen und gerichtlich geltend machen.

posted by Stadler at 14:23  

14.2.16

Geldwäsche und Bitcoin

Gastbeitrag von Robin Oberschelp

Der Autor studiert derzeit Rechtswissenschaft an der Universität Bielefeld im Schwerpunkt Kriminalwissenschaften/Wirtschaftsstrafrecht. Der Beitrag behandelt die neue europäische Geldwäscherichtlinie und baut auf einer Seminararbeit auf.

Die wiederholt durch datenschutzrechtliche Skandale und eine entsprechende mediale Berichterstattung angefachte Diskussion um ausufernde Abhörmaßnahmen verschiedenster Sicherheitsbehörden hat großflächig und anlasslos konzipierte Datensammlungen erneut ins Blickfeld der Öffentlichkeit gerückt. So erklärte jüngst etwa der EuGH in seinem Urteil vom 06. Oktober 2015 die Entscheidung der Kommission, in welcher festgestellt wurde, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig (sogenanntes Safe-Harbor-Abkommen). Gleichwohl überdachte jemand, der in den letzten Monaten – etwa bei einer Onlinebestellung – personenbezogene Daten angeben musste, seine Entscheidung aufgrund des erschütterten Vertrauens in die informationstechnische Infrastruktur vermutlich mehrmals und bemühte sich um Anonymität.

Eine Möglichkeit dazu bietet die „Silk-Road“. Dabei handelt es sich um einen Online-Marktplatz, der nicht über typische Suchmaschinen auffindbar ist und auf dem – neben normalen Gütern und Gebrauchsgegenständen – problemlos auch illegale Betäubungsmittel oder Waffen erworben werden können. Eine der dort akzeptierten – virtuellen – Währungen wird als „Bitcoin“ bezeichnet. Die jeweiligen Unternehmen, welche derartige Zahlungsmittel akzeptieren, um sich bei den spezifischen Kundengruppen günstig zu positionieren, reichen von Online-Shops, über Unternehmen wie WikiLeaks bis hin zu Szenekneipen. Speziell für den Zahlungsverkehr könnte Bitcoin also ein geeignetes Instrumentarium zur Erschwerung der Überwachung darstellen. Dieses nur im Internet existente Zahlungsmittel erfährt allerdings nicht nur von durchschnittlichen Computernutzern Zuspruch, sondern vielmehr auch von Kriminellen, welche sich die dem System inhärente Anonymität für rechtswidrige oder betrügerische Geschäfte, etwa die Geldwäsche, zueigen machen wollen. Ströme von illegalem Geld können indes die Integrität, Stabilität und das Ansehen des Finanzsektors schädigen sowie eine Bedrohung für den Binnenmarkt der Union und die internationale Entwicklung darstellen.

Die Währung

Mit der Idee, eine Währung zu schaffen, die unabhängig von einem Kreditinstitut als eine vertrauenswürdige dritte Partei ist, wurde 2009 unter dem Pseudonym Satoshi Nakamoto das Konzept des virtuellen Zahlungsmittels Bitcoin vorgestellt. Es handelt sich dabei nicht etwa um gewöhnliche Münzen, wie der Begriff irreführenderweise vermuten lässt. Vielmehr sind Bitcoins kryptographische Rechnungseinheiten, deren Eigentum durch zugehörige digitale Schlüsselsignaturen nachgewiesen wird, welche in einem Peer-to-Peer-Netzwerk gehandelt und verwaltet werden (Abrufbar: Hier). Insoweit bilden im Kern all diejenigen Nutzer, welche einen Bitcoin-Client auf ihren Computern installiert haben und ausführen, ein dezentral organisiertes Rechnernetz, innerhalb dessen selbige überwiesen werden.

Tatsächlich können die Bitcoins problemlos auf zahlreichen Märkten erworben, verkauft und getauscht werden, wovon über 80 beim Internetauftritt von Bitcoincharts einsehbar sind. Die dort verfügbaren Währungen sind in vielfältiger Form vorhanden und reichen von Dollar über Euro bis hin zu Yen, wobei je nach Anbieter auch PayPal Guthaben akzeptiert werden oder eine direkte Banküberweisung möglich ist. Bei der Installation des Bitcoin-Clients wird auf dem Computer des Nutzers zunächst eine Datei namens „Wallet“ erzeugt und gespeichert, welche die Schlüssel zum eigenen Konto enthält. Darin sind jeweils ein öffentlicher und ein privater Schlüssel enthalten, die zusammen ein Schlüsselpaar bilden. Ersterer dient zur Identifizierung des entsprechenden Accounts beim Empfangen von Geldbeträgen und letzterer ermöglicht den Zugriff auf das Konto sowie das Senden von Bitcoins (Abrufbar: Hier). Dabei ist es den Nutzern möglich nach Belieben eine Vielzahl an Schlüsselpaaren zu generieren, um so auf ein hohes Maß an Anonymität hinzuwirken. Eine spezifische Transaktion kann sich folglich flexibel aus Zahlungseingängen mehrerer Bitcoin-Adressen zusammensetzen, wobei auf die gleiche Weise Guthaben an verschiedene Adressen ausgeschüttet werden kann (Abrufbar: Hier). Da die dezentrale Organisation des Bitcoin-Netzwerks die Abwesenheit einer originären Kontrollinstanz mit sich bringt, besteht jedoch die Notwendigkeit einer Methode um doppelten oder sich widersprechenden Zahlungen entgegenzuwirken. Konkret werden hierzu alle getätigten Geschäfte öffentlich in einem Transaktionsbuch – der sogenannten „Block-Chain“ – gespeichert und so dem Netzwerk bekannt gemacht.

Die Richtlinie

Bis zum 26. Juni 2017 sollen die bisherigen Sekundärrechtsakte durch die neue Richtlinie 2015/849/EU zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung abgelöst werden (Art. 67 Abs. 1).

Nach Art. 1 Abs. 3 lit. a wird unter anderem der Umtausch oder Transfer von Vermögensgegenständen in Kenntnis der Tatsache, dass diese aus einer kriminellen Tätigkeit oder aus der Teilnahme an einer solchen stammen und das selbige zum Zwecke der Verheimlichung des illegalen Ursprungs der Vermögensgegenstände erfolgt, vom Geldwäschebegriff erfasst. Ein solcher Vorgang ist denkbar einfach: Rechtswidrig erworbenes Bargeld wird in Bitcoins investiert und alsbald auf einer Online-Tauschbörse wiederum in Geld eingewechselt oder alternativ für den Erwerb von Waren und Dienstleistungen verwendet.

Eine wesentliche Neuerung liegt vor allem in der risikoorientierten Ausrichtung der aufgestellten Vorschriften. Nach Art. 6 Abs. 1 führt die Kommission insoweit eine Bewertung der Geldwäscherisiken für den Binnenmarkt durch, die mit grenzüberschreitenden Tätigkeiten im Zusammenhang stehen, wobei zu diesem Zweck ein – mindestens zweijährig aktualisierter – Bericht erstellt wird. Der Bericht, welcher an Mitgliedsstaaten und Verpflichtete (für Bitcoin-Tauschbörsen Art. 2 Abs. 1 Nr. 3 lit. e.) weiterzuleiten ist, soll insbesondere zu Zwecken der Ressourcenverteilung und Proritätensetzung die risikoträchtigen Bereiche und Sektoren umfassen sowie die gängigsten Methoden der Straftäter zum Waschen von illegal erwirtschafteten Erträgen einrahmen, Abs. 2.

Um den zur wirksamen Minderung und Steuerung der auf Unionsebene sowie bei den Verpflichteten ermittelten Risiken von Geldwäsche zu begegnen, ist es erforderlich, dass leztere über bestimmte Strategien, Kontrollen und Verfahren hierfür verfügen: Dazu gehören nach Art. 8 Abs. 4 lit. a insbesondere die Ausarbeitung interner Grundsätze, Kontrollen und Verfahren in Bezug auf eine vorbildliche Risikomanagementpraxis, Sorgfaltspflichten gegenüber Kunden, Mitarbeiterprüfungen, Verdachtsmeldungen, die Aufbewahrung von Unterlagen sowie die Benennung eines für die Einhaltung der einschlägigen Vorschriften zuständigen Beauftragten auf Leitungsebene, wenn dies angesichts des Umfangs und der Art der Geschäftstätigkeit angemessen ist. Die bei Bitcoin-Geschäften gegebene mangelnde physische Anwesenheit stellt insoweit einen anderen Fall mit hohem Risiko nach Art. 18 Abs. 1 dar, der erweiterte Sorgfaltspflichten begründet. Für diese Fälle wird in Abs. 3 auf die maßgeblich im Anhang III dargelegten – nicht erschöpfend enumerierten – Faktoren verwiesen, wonach Transaktionen, die Anonymität begünstigen können, ein Risiko darstellen, Abs. 2 lit. b.

Ein nächster wesentlicher Aspekt ist die Einrichtung zentraler Meldestellen zur wirksamen Bekämpfung der Geldwäsche (für Deutschland Art. 2 Abs. 3 des Beschlusses 2000/642/JI das Bundeskriminalamt). Sie fungieren nach Art. 32 Abs. 3 S. 2, 3 als nationale Zentralstellen, deren Aufgabe es ist, offen gelegte Informationen, die potenziell Geldwäsche betreffen, entgegenzunehmen und, soweit zulässig, solche Informationen zu ersuchen, sie zu analysieren sowie an die zuständigen Behörden weiterzugeben. Offenzulegen sind insbesondere komplexe oder unüblich große Transaktionen und alle untypischen Muster ohne offensichtlichen, erkennbar wirtschaftlichen oder rechtmäßigen Zweck. Herauszustellen ist, dass die Person, welche gemäß Art. 8 Abs. 4 lit. a benannt wurde, die ermittlungsrelevanten Informationen an die zentrale Meldestelle desjenigen Mitgliedstaats weiterleitet, in dessen Hoheitsgebiet der Verpflichtete niedergelassen ist. So steht einerseits kontinuierlich ein Ansprechpartner zur Verfügung, der gezielt Auskunft über die gerade behandelten Einzelfälle geben kann. Andererseits wird es erheblich erschwert, Zuständigkeiten, Instruktions- und Aufsichtspflichten zu verwischen, die sich bei betriebsweit einheitlicher Ausübung des Schweigerechts allenfalls aus den vorhandenen Organisationsplänen und Dienstanweisungen herauslesen lassen.

Vor diesem Hintergrund ist es weiterhin unabdingbar, dass die Mitarbeiter der Verpflichteten durch geeignete Fortbildungsprogramme an die Materie herangeführt werden, damit sie lernen, möglicherweise mit Geldwäsche zusammenhängende Transaktionen zu erkennen und gemäß den geltenden Bestimmungen sachgerecht zu beurteilen. Auch wenn die Begehung von Geldwäsche durch Bitcoins nur ein Teilaspekt eines ansonsten enorm komplexen und vielschichtigen Deliktfeldes ist, muss dennoch perspektivisch gedacht auf die Herausforderungen der im Wirtschaftsleben stetig mehr an Bedeutung gewinnenden Informationstechnologie reagiert werden können. Bedauerlicherweise wurden die Bestimmungen jedoch bei den Schulungen im Vergleich zur Vorgängerrichtlinie 2005/60/EG kaum angereichert oder modifiziert: Lediglich das neue Harmonisierungskonzept wurde im Rahmen von Art. 46 Abs. 1 insofern angepasst, als dass die Verpflichteten durch Maßnahmen in angemessenem Verhältnis zu ihren Risiken, ihrer Art und ihrer Größe, bei ihren Angestellten die Kenntnis der betreffenden Vorschriften sicherstellen. Die Gelegenheit durch gezieltere Festschreibungen zu Weiterbildungsprogrammen die tatsächlichen Möglichkeiten einer modernen Geldwäscheprävention auszuschöpfen, wurde vom Richtliniengeber erkennbar verpasst. Entsprechend wurde der Rechtsakt schließlich in unzureichender Form verabschiedet; der Nutzen dieses Blocks – an sich sinnvoller Vorschriften – ist bedauerlicherweise, wenn er nicht in der Praxis unionsweit mit Leben gefüllt wird, eher gering.

Das in weiten Teilen lückenhafte Regelungskonzept der Vorgängerrichtlinie zur Aufsicht und Zusammenarbeit wurde hingegen zeit- und realitätsgerecht angepasst. Nicht nur, dass über die Kontrolle der im geltenden Sekundärrechtsakt angelegten Maßnahmen hinaus auch die Anforderungen an Mitarbeitende und leitende Angestellte der Verpflichteten in Art. 47 und 48 normativ vertypt wurden. Gerade die grenzüberschreitende Zusammenarbeit als essentielles Gegengewicht zu den Risiken einer globalen Finanzwirtschaft wurde hinreichend berücksichtigt und entsprechend festgelegt. So muss eine Meldung nach Art. 33 Abs. 1 Uabs. 1 lit. a, die einen anderen Mitgliedsstaat betrifft, umgehend an die zentrale Meldestelle des betreffenden Landes weitergeleitet werden (Art. 53 Abs. 1 S. 4), es sei denn dieser kann den Informationsaustausch wegen eines Widerspruchs zu den Grundprinzipien des nationalen Rechts verweigern, Abs. 3 S. 1. Dieser Ausnahmefall muss so spezifiziert werden, dass es nicht zu Missbrauch und unzulässigen Einschränkungen der Analyse kommen kann, S. 2. Dies wird zudem in Art. 45 Abs. 3 abgesichert, wonach die Verpflichteten, welche Zweigstellen oder mehrheitlich in ihrem Besitz befindliche Tochterunternehmen in Drittländern unterhalten, in denen weniger strenge Anforderungen an die Bekämpfung von Geldwäsche gestellt werden, die Schranken des ursprünglichen Mitgliedstaats, anwenden, soweit das Recht des Drittlandes dies zulässt. Sollte die Umsetzung der in diesen Fällen erforderlichen Strategien und Verfahren nach dem Recht des Drittlandes unzulässig sein, ist seitens der Verpflichteten sicherzustellen, dass zusätzliche Maßnahmen angewendet und – falls diese nicht ausreichen – weitergehende Aufsichtsmaßnahmen ergriffen werden, um dem spezifischen Risiko wirksam zu begegnen, Abs. 5.

Die Häufigkeit und Intensität von Prüfungen der Verpflichteten, im Hinblick auf Eignung und Umsetzung interner Kontrollen, richtet sich darüber hinaus ebenfalls nach der spezifischen Risikobewertung (Art. 48 Abs. 6 lit. c), wobei diese nach Abs. 7 in regelmäßigen Abständen und bei Eintritt wichtiger Ereignisse oder Entwicklungen in der Geschäftsleitung oder -tätigkeit neu vorgenommen wird. Erfreulich ist in diesem Zusammenhang auch die nach Art. 51 S. 2 in regelmäßigen Abständen erfolgende Einberufung von Sitzungen zentraler Meldestellen der EU um Ansichten – etwa zu Trends und Faktoren – auszutauschen, Umsetzungsfragen zu klären, die Meldeformate durch das Computernetz der Financial Intelligence Unit zu standardisieren oder gemeinsam grenzüberschreitende Fälle zu analysieren (Abrufbar: http://fiu.net).

Auch die vormals wenig engmaschigen Sanktionsvorschriften für Fälle der Missachtung von Sorgfalts- und Meldepflichten oder Unterlassung interner Kontrollen wurden beträchtlich ausgebaut. Ein wichtiger Mechanismus, der an den Ruf eines Unternehmens im öffentlichen Wirtschaftsverkehr knüpft, ist in Art. 60 Abs. 1 Uabs. 1 enthalten. Danach wird eine Sanktion von den zuständigen Behörden unverzüglich, nach Unterrichtung der betroffenen Person auf ihrer offiziellen Website – für mindestens fünf Jahre (Abs. 3) – veröffentlicht, wobei geringstenfalls Art und Wesen des Verstoßes sowie die Identität der verantwortlichen Personen bekanntgemacht werden. Wenn die Veröffentlichung von Daten unverhältnismäßig ist, die Stabilität von Finanzmärkten oder laufende Ermittlungen gefährdet, besteht jedoch die Möglichkeit, selbige zu späterer Zeit oder unter Einschränkungen vorzunehmen, Uabs. 2. Hervorzuheben ist weiterhin die Einrichtung eines im angemessenen Verhältnis zu Art und Größe stehenden unabhängigen und anonymen Kanals, über den die Angestellten Verstöße intern melden können. Nicht verschwiegen werden soll jedoch an dieser Stelle, dass insbesondere nach einer Studie von Backes und Lindemann zum sogenannten „Business Keeper Monitoring System“ (BKMS) (Abrufbar: Hier), welches 2001 von einem Privatunternehmen entwickelt wurde und derzeit von mehreren deutschen und internationalen Großunternehmen sowie vom Landeskriminalamt Niedersachsen genutzt wird, bei Hinweisgebersystemen äußerste Zurückhaltung geboten ist.

Ausgangspunkt für Ermittlungen

Primär bietet das programminterne Transaktionsbuch einen maßgeblichen ersten Ansatzpunkt für polizeiliche und nachrichtendiestliche Ermittlungstätigkeiten. Dort können grundsätzlich sämtliche getätigten Zahlungen von jedermann öffentlich eingesehen und gegebenenfalls ausgewertet werden. Allerdings identifizieren sich die Nutzer insoweit lediglich durch ihre öffentlichen Schlüssel; ohne weitere Informationen kann jedoch niemand die Adressen einer Person zu seiner wahren Identität zurückverfolgen. Vielmehr könnten diese bei unbefangenem Blick mehreren Personen zuzuordnen sein (Abrufbar: Hier).

Zur Aufdeckung einer Transaktionsbeziehung muss also zwingend eine Verbindung zwischen einem bestimmten Geschäft und den zugehörigen personenbezogenen Daten hergestellt werden. Regelmäßig wird der spezifische Dienstleister dazu bei der Anmeldung persönliche Informationen von seinem Kunden abfragen oder sogar eine Kopie des Personalausweises verlangen. Darüber hinaus fordern viele Services, die Bitcoins akzeptieren, das Hinterlegen weiterer Daten zur Identifikation, wie etwa Mail- und Lieferadressen, Kontonummern oder sogar die IP (Abrufbar: Hier). Denknotwendig kann im Verdachtsfalle eine Abfrage der streitgegenständlichen Daten erfolgen, um so den jeweiligen Hinweisen nachzugehen und gegebenenfalls den Nachweis einer Straftat zu erbringen. Ein wichtiges Indiz und daneben auch eine Bedrohung der Anonymität stellt in diesem Zusammenhang die spezifische Summe einer Transaktion dar. Diese muss über die Block-Chain – wie im Beispiel von WikiLeaks – den öffentlichen Schlüssen zugeordnet werden, um so die im Transaktionsbuch ausgewiesenen Zahlungen schließlich zu einer Person zurückzuverfolgen.

Probleme

Um die Erfassung und Rückverfolgung einer Zahlung zu erschweren, besteht zusätzlich die Möglichkeit von einem Mixing-Service Gebrauch zu machen. Zu diesen gehören etwa „BitLaundry“, „Bitcoin Fog“ und „Blockchain.info“. Gleichsam als Zwischeninstanz, an welche die Nutzer Teile ihrer Bitcoins in einen großen Topf einzahlen, der vom spezifischen Dienstleister verwaltet wird und nach Wunsch Zahlungen für die jeweilige Person tätigt, sind diese dazu konzipiert, die Herkunft von Geldern zu verschleiern. Da es für den Sender – solange die Summe gleich bleibt – keinen Unterschied macht, ob sein Zahlungsempfänger Bitcoins erhält, die in der Vergangenheit ihm oder einem Dritten gehörten, wird das Kapital verschiedener Nutzer vermischt, um das Herstellen einer Verbindung zwischen Zahlungsein und -ausgängen zu erschweren (Abrufbar: Hier).

Mixing-Services, mögen sie zum Teil auch zu redlichen Geschäften verwendet werden, indizieren jedoch häufig durch Suggestivnamen ihren eigentlichen Zweck. Führt man sich dann noch vor Augen, dass selbige regelmäßig nur über die Verbindungsdaten anonymisierende Web-Browser wie Tor abrufbar sind, erscheint es schwierig, den Betreibern entsprechende Verpflichtungen aufzuerlegen. Insoweit ist eine Rückverfolgbarkeit erfahrungsgemäß nicht notwendigerweise immer durch die Ermittlung einer IP-Adresse gewährleistet. Schließlich kann diese lediglich der Zwischenpunkt einer längeren Kette von separaten Kommunikationsverbindungen sein, die durch einen Anonymisierungsdienst eingerichtet wurden (Abrufbar: Hier).

Die vorgenannten Services bringen dem Nutzer jedoch nicht ausschließlich Vorteile: In organisatorischer Hinsicht haben sie gemein, dass, im Gegensatz zum Bitcoin-Netzwerk, eine zentrale Instanz benötigt wird, die für eine gewisse Zeitspanne Einträge ihrer Kunden speichert, um die Guthaben zweckentsprechend dem Zielsystem zuzuführen (Abrufbar: Hier). Daneben werden Aufträge je nach Dienstleister erst ab einer Höhe von etwa 0,2 Bitcoins angenommen, wobei stets eine Mixgebühr zwischen 0,5 und 3 % des Gesamtwerts der Transaktion verlangt wird. Wenn ein Ermittler nunmehr die Adressen eines verdächtigen Nutzers kennt und weiß wie viele Bitcoins dieser in den Service eingezahlt hat, kann er in der Block-Chain unter den zeitlich relevanten Einträgen nach Auszahlungen in gleicher Höhe, abzüglich der jeweiligen Gebühr, suchen. Schwierigkeiten treten jedoch insbesondere dann auf, wenn die Auszahlungsgröße verändert wurde, die Zahlung über mehrere Adressen erfolgte oder sie über einen längeren Zeitraum sowie über mehrere Überweisungen verteilt wurde, wozu einige Dienstleister ihren Nutzern ausdrücklich raten.

Letztlich muss der Mixing-Sevice auch mit hinreichenden Informationen versorgt werden, um die Geldbeträge den Vorstellungen des Kunden entsprechend zur richtigen Zeit an die richtigen Adressen ausschütten zu können. Ein Aufschlüsseln der Beziehungsmuster innerhalb eines konspirativen Gesprächs ist insoweit nur dann möglich, wenn man die jeweiligen Kommunikationsinhalte betrachtet, wie etwa charakteristische Dateien, die ein Krimineller auf einem Server hinterlässt. Daten, welche innerhalb eines Verarbeitungsvorganges verwendet werden, sind jedoch weniger beständig, weshalb die daraus resultierenden Spuren leicht verwischen können.

Zukünftige Handlungskonzepte

Die Idee einer unionsweiten Modernisierung der Geldwäschevorschriften ist vor dem Hintergrund zunehmender Intellektualisierung und Internationalisierung der Tatplanung wie auch -ausführung grundsätzlich erfreulich. Um dem Einfluss des zunehmend sicherheitsorientierten kriminalpolitischen Gesamtklimas auf die an Innen- und Rechtspolitik gestellten Herausforderungen Rechnung zu tragen, erschöpft sich der Diskurs nicht in den bestehenden internationalen Rechtsakten. Vielmehr verbleibt weiterhin ein erheblicher Forschungsbedarf, insbesondere aus kriminologischer Sicht, um eine so wandelbare Materie wie die der Informationstechnologie juristisch einfangen und gegebenenfalls darauf reagieren zu können. Gerade die Vielzahl der Akteure, divergierende Rechtstraditionen, diametral unterschiedliche personelle und technische Standards sowie die Ressourcen der Mitglieds- und Drittstaaten machen es erforderlich, den Gesamtverlauf dieser Entwicklung durch eine koordinierte Versorgungsgestaltung und systematisches Monitoring unter Kontrolle zu halten.

Gegenwärtig können die weiten Auslegungsspielräume – die im Übrigen auch nicht in den Erwägungsgründen spezifiziert sind – im Rahmen der Richtlinie 2005/60/EG für verschiedenste Akteure im Wirtschaftsverkehr zu einer Zersplitterung der Geldwäschevorschriften auf Unionsebene führen und damit einhergehende Intransparenz bedingen. Eine solche Entwicklung ist ausgesprochen bedenklich, da der Geldwäsche für gewöhnlich eine transnationale Komponente innewohnt. Besonders das Fehlen eines konturenscharfen, belastbaren und einheitlichen Rechtsrahmens hat zersprengte einzelstaatliche Regelwerke zur Konsequenz, deren Auswirkungen nur schwerlich durch eine Korrektivinstanz aufgefangen werden können. Die dadurch begünstigten Missbräuche des unvollkommenen Sekundärrechtsakts lassen insoweit Verdrängungseffekte in Form von Kriminalitätsverschiebungen in die Dritt- oder Mitgliedsstaaten mit den aussichtsreichsten Bedingungen befürchten. Ein hohes Schutzniveau in der Europäischen Union ist vor diesem Hintergrund nicht gegeben. In Kombination mit Bitcoin wird so eine eklatant gefahrenträchtige Entwicklung gekennzeichnet, deren Schadenspotenziale für den Binnenmarkt nur schwer abzuschätzen sind.

Die risikoorientierte Ausrichtung als Fundament des kommenden Rechtsakts stellt allerdings ein tragfähiges zukünftiges Handlungskonzept im Bereich der Geldwäschebekämpfung dar. Es gilt die bestehenden Kooperationsstrukturen und Institutionengefüge fruchtbar zu machen und auszunutzen: Die formellen und materiellen Vorschriften werden vor diesem Hintergrund alsbald vereinheitlicht, um Rückzugsräume für Kriminelle zu schließen und gleichzeitig Kompetenzkonflikten vorzubeugen. Gerade weil derart komplexe Deliktsbilder mit vielfältigen Tatbestandskombinationen besonders langwierige und personalintensive Ermittlungen erfordern, bedarf es klar konturierter Schulungsmodelle um diesen entgegenzutreten. Der praktische Rahmen sollte insoweit durch wechselseitige Bereitstellung der technischen Expertise und von Ausbildungsprogrammen, etwa durch die Europäische Polizeiakademie (Cepol), gestärkt werden. Die entsprechenden Vorschriften zu diesem essentiellen Gestaltungsfaktor bieten indes nur unzureichende Handhabe und sind insoweit nach wie vor änderungsbedürftig.

Um das notwendige Vertrauen auf Unionsebene zu schaffen und fortwährende Skepsis auszuräumen, die bestehenden Kooperationsinstrumente zu nutzen, besteht weiterhin die Notwendigkeit, das neu zu definierende Aufgabenverständnis der Fachkräfte durch empirisch fundierte Konzepte zu flankieren und an diesen auszurichten. Eine Möglichkeit dazu bietet Art. 44, wonach zur Überprüfung der Wirksamkeit der zur Bekämpfung von Geldwäsche eingerichteten Systeme Daten zur Messung von Größe und Bedeutung der verschiedenen Sektoren, zu Verdachtsmeldungen und über die Zahl der grenzüberschreitenden Informationsersuchen, die von der zentralen Meldestelle gestellt wurden, erhoben werden sollen.

Ferner bietet sich die Erstellung eines genormten Verarbeitungsprotokolls im Sinne einer Standardisierung und verbindlichen Ausgestaltung des bereits bestehenden Informationsaustauschs an, welches die verschiedenen Arbeitsschritte, die jeweiligen Sachbearbeiter sowie die verwendete Hard- und Software festhält (vgl. in rudimentärer Form Art. 10 des Rahmenbeschlusses 2008/977/JI). Dieses kann alsbald von der Meldestelle zur Überprüfung der Rechtmäßigkeit einer Transaktion, zur Feststellung von Schutzlücken beim Institut und gegebenenfalls als Stützpfeiler zur Vollstreckung von Sanktionen herangezogen werden. Die Ergebnisse der Protokollauswertung sollten schließlich in die Bewertung des Schutzniveaus von Unions- und Drittstaaten einfließen und insoweit im Bereich der Verarbeitung an die gebildeten Risikokategorien anknüpfen, um Anreize für Verbesserungen zu schaffen. Auf dieser Basis ist es möglich, ein weitaus effizienteres und gleichzeitig praxistauglicheres Sicherheitsrecht zu konturieren und dabei gezielte, anstatt großflächige und eingriffsintensive kriminalpolitische Erwägungen vorzunehmen.

Ausblick

Bargeld wird in den Wirtschaftskreislauf, etwa in Kasinos eingebracht, auf Offshore Bankkonten bereits verstorbener Personen eingezahlt oder gegen Sachwerte getauscht. Dieses Vermögen wird mithilfe von Scheinfirmen sodann über einen gewissen Zeitraum verschoben bis die jeweilige Herkunft nicht mehr nachvollziehbar ist und im Anschluss, beispielsweise durch den Kauf von Immobilien, wieder zurückgeholt. Im Gegensatz zur herkömmlichen Variante kann man bei Bitcoin-Mixern jedoch gerade äußern, dass diese lediglich mit Beträgen im sechsstelligen Dollarbereich handeln und sich damit nicht für eine Geldwäsche im großen Stil eignen (Abrufbar: Hier). Gleichwohl hat die digitale Währung in der Vergangenheit einen rasanten Aufstieg erfahren und wurde mittlerweile sowohl von der Bundesregierung als privates Geld anerkannt wie auch von einem US-Richter als reguläre Währung eingestuft. Einige Projekte versuchen daher, das Prinzip zu imitieren, aber an entscheidenden Stellen Mängel des Systems zu beheben. Litecoin, Zerocoin, Ripple und PPCoin sind nur ein geringer Bruchteil dieser Abkömmlinge, welche unter dem Begriff Altcoins grassieren.

Die Informationstechnologie wird daher künftig nicht nur die Behörden der öffentlichen Sicherheit, sondern auch den Finanzsektor vor stetig neue Herausforderungen stellen. Bedenkt man, dass der hohe Komplexitätsfaktor des Internets eine flächendeckende Aufklärung nahezu unmöglich beziehungsweise schlichtweg zu teuer macht, erscheint der risikobasierte Ansatz als belastbares Konzept um die Geldwäsche auch über die EU-Grenzen hinaus schwerpunktorientiert anzugehen. Abzuwarten bleibt, ob die grenzüberschreitenden Kontrollstrategien im Hinblick auf zu erwartende Verdrängungseffekte sowie die unabhängigen Verpflichtetenprüfungen ressourcenorientiert durchgeführt werden und ihren Erfolg zeigen.

posted by Stadler at 21:46  

9.2.16

Werbung in automatisierten Bestätigungsmails ist als Spam zu qualifizieren

Der BGH hat mit Urteil vom 15.12.2015 (Az.: VI ZR 134/15), das jetzt im Volltext veröffentlicht wurde, entschieden, dass Werbezusätze in einer automatisierten Bestätigungs-E-Mail als unerlaubte Zusendung von Werbung zu betrachten sind, die einen rechtswidrigen Eingriff in das allgemeine Persönlichkeitsrecht des Betroffenen begründen.

Das gilt nach Ansicht des BGH jedenfalls dann, wenn der Empfänger dem Erhalt von Werbung zuvor ausdrücklich widersprochen hat. Ob in diesen Fällen auch dann von einer unerlaubten Werbung auszugehen ist, wenn es an einem ausdrücklichen Widerspruch fehlt, hat der BGH offengelassen. Angesichts der bisherigen ständigen Rechtsprechung zu Werbung per Telefax oder E-Mail und der Datenschutzrichtlinie für elektronische Kommunikation – vom BGH missverständlich nur als Datenschutzrichtlinie bezeichnet – kann allerdings für diese Fälle nichts anderes gelten. Nach Art. 13 Abs. 1 dieser Richtlinie darf elektronische Post (E-Mail) für Zwecke der Direktwerbung nur bei vorheriger Einwilligung der Teilnehmer gestattet werden.

Unternehmen, die in automatischen Bestätigungsmails Werbung unterbringen, verletzten damit das allgemeine Persönlichkeitsrecht des Empfängers und verhalten sich datenschutz- und wettbewerbswidrig.

 

posted by Stadler at 10:38  

8.2.16

Fehlende Datenschutzerklärung als abmahnfähiger Wettbewerbsverstoß

Das Landgericht Köln hat mit Beschluss vom 26.11.2015 (Az.: 33 O 230/15) eine einstweilige Verfügung erlassen, die dem Antragsgegner u.a. aufgibt, es zu unterlassen,

auf den Internetseiten der Domain www.anonym.de keine Datenschutzerklärung i.S.d. § 13 TMG zu platzieren.

Eine Begründung enthält der Beschluss nicht, weshalb wir nicht genau wissen, warum das LG Köln eine Datenschutzerklärung im konkreten Fall für erforderlich hält.

Die konkrete Tenorierung halte ich gleichwohl bereits deshalb für problematisch, weil die Vorschrift des § 13 TMG keineswegs zu einer Datenschutzerklärung verpflichtet, sondern dazu, den Nutzer zu Beginn des Nutzungsvorgangs

über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten.

Entsprechend hätte meines Erachtens auch tenoriert werden müssen. Voraussetzung ist allerdings stets die Feststellung des Gerichts, dass überhaupt personenbezogene Daten erhoben und verarbeitet werden.

In Zukunft wird man also möglicherweise neben dem Klassiker des fehlenden oder unvollständigen Impressums auch das Fehlen einer korrekten und vollständigen Datenschutzerklärung als Einfallstor für wettbewerbsrechtliche Abmahnungen auf dem Schirm haben müssen.

posted by Stadler at 11:52  

18.12.15

Ab heute wieder Vorratsdatenspeicherung in Deutschland

Das Gesetz zur Einführung einer Speicherfrist und einer Höchstspeicherfrist für Verkehrsdaten – Neusprech für Vorratsdatenspeicherung – ist am 17.12.2015 im Bundesgesetzblatt verkündet worden (BGBl 2015 Teil 1 Nr. 51, S. 2218). Es tritt am Tag nach seiner Verkündung, also heute, in Kraft.

Meine mittlerweile über hundert Blogbeiträge zum Thema Vorratsdatenspeicherung können sie hier nachlesen. Es werden noch einige hinzukommen, denn die ersten Verfassungsbeschwerden gegen die Neuregelung werden aller Voraussicht nach sehr bald erhoben sein.

posted by Stadler at 10:35  
Nächste Seite »