Internet-Law

Onlinerecht und Bürgerrechte 2.0

15.9.16

Unterlassungsanspruch gegen die Eltern wegen Kinderfotos bei Facebook?

Eines der Boulevardthemen der letzten Tage war eine Klage einer 18-jährigen Östereicherin wegen zahlreicher Babyfotos, die ihre Eltern ins Netz bzw. auf Facebook gestellt und trotz Aufforderung der Tochter nicht wieder entfernt haben.

Das Thema verfügt, wie jeder Facebooknutzer weiß, über enorme praktische Bedeutung. Das Recht am eigenen Bild ist in Deutschland im KUG gesetzlich geregelt, als Ausfluß des allgemeinen Persönlichkeitsrechts genießt es auch grundrechtlichen Schutz. Bilder, auf der eine Person erkennbar ist, dürfen im Grundsatz nach § 22 KUG nur mit Einwilligung der abgebildeten Person verbreitet und veröffentlicht werden. Bei der Verbreitung und öffentlichen Abbildung geschäftsunfähiger Minderjähriger ist die Einwilligung des gesetzlichen Vertreters, im Regelfall die Eltern, maßgeblich. Bei beschränkt Geschäftsfähigen – Kinder ab dem 7. Lebensjahr – ist wegen der persönlichkeitsrechtlichen Komponente zusätzlich eine Einwilligung des Minderjährigen erforderlich, sofern das Kind bereits über eine ausreichende Einsichtsfähigkeit verfügt. Zum Teil gesteht die Rechtsprechung dem einsichtsfähigen Minderjährigen sogar die alleinige Entscheidung zu.

Der Minderjährige wird sich vor diesem Hintergrund ab einem gewissen Zeitpunkt, der nicht notwendigerweise erst mit der Volljährigkeit beginnt, sondern regelmäßig jedenfalls ab dem Alter von 14 Jahren, auch gegen seine Eltern mit Unterlassungsansprüchen zur Wehr setzen können, wenn diese Bilder ins Netz gestellt haben, die der Abgebildete dort nicht sehen will. In der Rechtsprechung und Literatur wird zwar überwiegend davon ausgegangen, dass eine einmal erteilte Einwilligung nur aus wichtigem Grund widerrufen werden kann. Auf einen solchen wichtigen Grund, der auch in einer geänderten Überzeugung bestehen kann, wird sich aber der Minderjährige stets berufen können, wenn die Fotos zu einem Zeitpunkt ins Netz gestellt wurden, in dem er wegen mangelnder Einsichtsfähigkeit noch nicht selbst mitentscheiden konnte. Andernfalls würde man seinen Willen, den er ja erstmals selbst bilden konnte, vollständig missachten. Sobald eine ausreichende Einsichtsfähigkeit besteht, dürfen auch Eltern keine Fotos ihrer Kinder bei Facebook oder anderswo mehr ohne Zustimmung ins Netz stellen.

posted by Stadler at 10:08  

20.4.16

BKA-Gesetz teilweise verfassungswidrig

Das Bundesverfassungsgericht hat das BKA-Gesetz für teilweise verfassungswidrig erklärt und hierbei insbesondere die Vorschriften zum Einsatz von heimlichen Überwachungsmaßnahmen zur Abwehr von Gefahren des internationalen Terrorismus beanstandet (Urteil vom 20. April 2016 – 1 BvR 966/09, 1 BvR 1140/09).

Das Gericht hat u.a. entschieden, dass die Erlaubnis von Wohnraumüberwachungen gegenüber Kontakt- und Begleitpersonen (§ 20h Abs. 1 Nr. 1 c BKAG) nicht mit Art. 13 Abs. 1, 4 GG vereinbar ist. Insgesamt ist bei der Wohnraumüberwachung der Schutz des Kernbereichs privater Lebensgestaltung in § 20h Abs. 5 BKAG unzureichend ausgestaltet. Nach Durchführung einer solchen Maßnahme müssen nach Ansicht des BVerfG – außer bei Gefahr im Verzug – zunächst alle Daten von einer unabhängigen Stelle gesichtet werden, ob sie höchstprivate Informationen enthalten, bevor sie vom Bundeskriminalamt verwertet werden dürfen.

Auch beim Zugriff auf informationstechnische Systeme (§ 20k BKAG) fehlt es nach Ansicht des BVerfG an einer hinreichenden Regelung zum Schutz des Kernbereichs privater Lebensgestaltung. Erforderlich ist, dass die Sichtung und Kontrolle im Wesentlichen von externen, nicht mit Sicherheitsaufgaben betrauten Personen wahrgenommen wird. Die tatsächliche Durchführung und Entscheidungsverantwortung muss demnach in den Händen von Personen liegen, die gegenüber dem BKA unabhängig sind. Indem § 20k Abs. 7 Satz 3 und 4 BKAG die Sichtung im Wesentlichen in die Hände von Mitarbeitern des Bundeskriminalamts legt, genügt er diesen Anforderungen nicht.

Allgemein beanstandet das Gericht, dass der Schutz der Berufsgeheimnisträger nicht tragfähig ausgestaltet ist und die Regelungen zur Gewährleistung von Transparenz, Rechtsschutz und aufsichtlicher Kontrolle nicht vollständig den verfassungsrechtlichen Anforderungen genügen. Es fehlt nach der Entscheidung des BVerfG an hinreichenden Vorgaben zu turnusmäßigen Pflichtkontrollen, an einer umfassenden Protokollierungspflicht, die es ermöglicht, die jeweiligen Überwachungsmaßnahmen zu prüfen, sowie an Berichtspflichten gegenüber Parlament und Öffentlichkeit.

Auch die Regelungen zur Datenlöschung sind vom Gericht beanstandet worden. Die Möglichkeit, von der Löschung erhobener Daten nach Zweckerfüllung allgemein abzusehen, soweit die Daten zur Verfolgung von Straftaten oder zur Verhütung oder zur Vorsorge für die künftige Verfolgung einer Straftat mit erheblicher Bedeutung erforderlich sind (§ 20v Abs. 6 Satz 5 BKAG), ist verfassungswidrig. Als nicht verfassungskonform betrachtet das Gericht auch die sehr kurze Frist für die Aufbewahrung der vom Bundeskriminalamt zu erstellenden Löschungsprotokolle, weil dadurch eine spätere Kontrolle nicht hinreichend gewährleistet wird.

Verfassungswidrig sind auch die Übermittlungsbefugnisse an andere inländische Behörden (§ 20v Abs. 5 BKAG). Das Gericht rügt hier zusätzlich, dass es bei allen Übermittlungsbefugnissen an einer hinreichenden Gewährleistung einer effektiven Kontrolle durch die Bundesdatenschutzbeauftragte fehlt.

Die Übermittlung von Daten an das Ausland setzt eine Begrenzung auf hinreichend gewichtige Zwecke, für die die Daten übermittelt und genutzt werden dürfen, sowie die Vergewisserung über einen menschenrechtlich und datenschutzrechtlich vertretbaren Umgang mit diesen Daten im Empfängerland voraus. Im Übrigen bedarf es auch hier der Sicherstellung einer wirksamen Kontrolle. Die Regelungen im BKA-Gesetz zur Übermittlung von Daten an öffentliche Stellen anderer Staaten genügen diesen verfassungsrechtlichen Anforderungen teilweise nicht. Das Gericht beanstandet, dass die Ermittlungszwecke zu weit gefasst sind. Die Erlaubnis zur Datenübermittlung allgemein zur Erfüllung der dem Bundeskriminalamt obliegenden Aufgaben (§ 14 Abs. 1 Satz 1 Nr. 1 BKAG) ist nicht hinreichend eingegrenzt und daher unverhältnismäßig. Außerdem ist nicht sichergestellt, dass Daten aus eingriffsintensiven Überwachungsmaßnahmen nur für Zwecke übermittelt werden dürfen, die dem Schutz von Rechtsgütern oder der Aufdeckung von Straftaten eines solchen Gewichts dienen, die verfassungsrechtlich ihre Neuerhebung mit vergleichbar schwerwiegenden Mitteln rechtfertigen könnten.

Das BVerfG hat damit zum wiederholten Male Überwachungsregelungen, die bereits bei ihrem Inkrafttreten umstritten waren, kassiert. Der Bundestag ist in diesem Bereich offenbar kaum mehr in der Lage, verfassungskonforme Gesetze zu schaffen. Dies liegt auch teilweise daran, dass der Gesetzgeber (bekannte) verfassungsrechtliche Grenzen bewusst ausreizt oder gar überschreitet. Steter Tropfen hölt auch hier den Stein, den jedes Mal bleiben auch immer einige fragwürdige Regelungen bestehen und bei den anderen hat man dann zumindest die Grenzen des Verfassungsgericht wieder einmal ausgelotet und kann dann bei der Neufassung exakt an diese Grenze gehen. Es bleibt dabei, dass diejenigen Gesetze und Befugnisse, die eine Überwachung des Bürgers ermöglichen, in den letzten 20 Jahren ganz erheblich ausgeweitet wurden, was durch das Bundesverfassungsgericht zwar immer wieder, aber eben auch nur zum Teil beanstandet wird. Aufgrund der gestiegenen technischen Möglichkeiten, insbesondere im Bereich der TK-Überwachung, wird der Bürger immer gläserner.

 

posted by Stadler at 11:18  

10.3.16

Sind Social Plugins rechtswidrig?

Das Landgericht Düsseldorf hat in einem brandaktuellen Urteil (Urteil vom 09.03.2016, Az.: 12 O 151/15) einem Unternehmen untersagt, auf seiner Website das „Social Plugin „Gefällt mir“ von Facebook zu integrieren“, ohne die Nutzer vorab darüber zu informieren, dass Facebook Zugriff auf die IP-Adresse und den Browserstring des Nutzers nimmt und ohne insoweit ausdrücklich und unübersehbar über den Zweck der Erhebung und Verwendung der an Facebook übermittelten Daten aufzuklären. Zusätzlich wurde dem Unternehmer auch verboten, das Plugin zu verwenden, ohne vorab die Einwilligung des Nutzers in die Datenverwendung einzuholen.

Wenn sich diese Rechtsprechung durchsetzt, kann man den Like Button und das Page Plugin von Facebook in Deutschland wohl nicht mehr rechtskonform in die eigene Website einbauen. Denn eine konkrete Information des Nutzers darüber, wie und zu welchem Zweck Facebook die Daten verarbeitet, ist schon deshalb nicht möglich, weil  kein Webseitenbetreiber mit Sicherheit sagen kann, was Facebook mit den Daten macht. Einen Ausweg bietet hier allenfalls die sog. Zwei-Klick-Lösung, wobei sich auch hier die Frage stellt, ob eine informierte Einwilligung des Nutzers in Betracht kommt, nachdem der Umfang der Datenverarbeitung durch Facebook am Ende immer unklar bleibt.

Das Landgericht Düsseldorf schließt sich in seinem Urteil zunächst der Meinung vom absoluten Personenbezug an und geht davon aus, dass (dynamische) IP-Adressen stets als personenbezogene Daten zu bewerten sind.

Anschließend qualifiziert das Landgericht Düsseldorf den Webseitenbetreiber als verantwortliche Stelle im Sinne des Datenschutzrechts. Dies scheint mir der zentrale, diskutable Aspekt der Entscheidung zu sein. Letztlich stützt das Landgericht seine Auffassung primär darauf, dass der Webseitenbetreiber die Daten, die Facebook dann verarbeitet, beschafft. Das Landgericht stellt damit eine Kausalitätsbetrachtung an, die in der Tendenz auf eine datenschutzrechtliche Störerhaftung hinausläuft.

Durch die Einbindung des Codes wirkt der Webseitenbetreiber natürlich an der Erhebung von Daten mit und er macht dies auch für eigene Zwecke, denn er möchte damit ja eine Empfehlung seines Angebots erreichen. Andererseits ist er nicht derjenige, der den Datenverarbeitungsvorgang steuert und kontrolliert.

Nach Art. 2 d) der Datenschutzrichtlinie ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Wenn man das eng am Wortlaut auslegt, wird man den Webseitenbetreiber nicht ohne weiteres als Verantwortlichen betrachten können, denn er entscheidet nicht (zusammen mit Facebook) über die Zwecke und Mittel der Datenverarbeitung. Er weiß im Zweifel noch nicht einmal genau, welche Daten Facebook erhebt. Andererseits leistet er zweifellos einen kausalen Beitrag für die Datenverabeitung durch Facebook, weshalb man ihn durchaus als eine Art Gehilfen von Facebook betrachten kann, der zudem auch ein gewisses Eigeninteresse an dem Vorgang der Datenverarbeitung hat.

Letztlich regelt das Gesetz diese Konstellation nicht eindeutig. Die entscheidende Frage lautet hier also, ob allein Facebook verantwortliche Stelle im Sinne des Datenschutzrechts ist oder ob daneben (auch) der Webseitenbetreiber datenschutzrechtlich verantwortlich ist. Ist verantwortliche Stelle also nur derjenige, der die Kontrolle und Herrschaft über die Daten und den Datenverarbeitungsvorgang hat, oder darüber hinausgehend jeder, der in kausaler Weise an der Beschaffung oder Verarbeitung der Daten mitwirkt? Diese Frage wird die Rechtsprechung eindeutig zu klären haben.

Das Urteil ist noch nicht rechtskräftig.

Thomas Schwenke hat FAQs zum Urteil zusammengestellt.

posted by Stadler at 11:01  

23.2.16

Verbandsklagerecht bei Datenschutzverstößen ab dem 24.02.2016

Das Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts vom 17.02.2016 ist heute im Bundesgesetzblatt verkündet worden und tritt morgen, am 24.02.2016, in Kraft.

Durch die Neuregelung werden u.a. die Unterlassungsansprüche bei verbraucherschutzgesetzwidrigen Praktiken erweitert um datenschutzrechtliche Verstöße, wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden.

Verbraucherschutz- und Wettbewerbsverbände können solche Datenschutzverstöße von nun an im Rahmen ihrer Verbandsklagebefugnis nach dem UklaG abmahnen und gerichtlich geltend machen.

posted by Stadler at 14:23  

14.2.16

Geldwäsche und Bitcoin

Gastbeitrag von Robin Oberschelp

Der Autor studiert derzeit Rechtswissenschaft an der Universität Bielefeld im Schwerpunkt Kriminalwissenschaften/Wirtschaftsstrafrecht. Der Beitrag behandelt die neue europäische Geldwäscherichtlinie und baut auf einer Seminararbeit auf.

Die wiederholt durch datenschutzrechtliche Skandale und eine entsprechende mediale Berichterstattung angefachte Diskussion um ausufernde Abhörmaßnahmen verschiedenster Sicherheitsbehörden hat großflächig und anlasslos konzipierte Datensammlungen erneut ins Blickfeld der Öffentlichkeit gerückt. So erklärte jüngst etwa der EuGH in seinem Urteil vom 06. Oktober 2015 die Entscheidung der Kommission, in welcher festgestellt wurde, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig (sogenanntes Safe-Harbor-Abkommen). Gleichwohl überdachte jemand, der in den letzten Monaten – etwa bei einer Onlinebestellung – personenbezogene Daten angeben musste, seine Entscheidung aufgrund des erschütterten Vertrauens in die informationstechnische Infrastruktur vermutlich mehrmals und bemühte sich um Anonymität.

Eine Möglichkeit dazu bietet die „Silk-Road“. Dabei handelt es sich um einen Online-Marktplatz, der nicht über typische Suchmaschinen auffindbar ist und auf dem – neben normalen Gütern und Gebrauchsgegenständen – problemlos auch illegale Betäubungsmittel oder Waffen erworben werden können. Eine der dort akzeptierten – virtuellen – Währungen wird als „Bitcoin“ bezeichnet. Die jeweiligen Unternehmen, welche derartige Zahlungsmittel akzeptieren, um sich bei den spezifischen Kundengruppen günstig zu positionieren, reichen von Online-Shops, über Unternehmen wie WikiLeaks bis hin zu Szenekneipen. Speziell für den Zahlungsverkehr könnte Bitcoin also ein geeignetes Instrumentarium zur Erschwerung der Überwachung darstellen. Dieses nur im Internet existente Zahlungsmittel erfährt allerdings nicht nur von durchschnittlichen Computernutzern Zuspruch, sondern vielmehr auch von Kriminellen, welche sich die dem System inhärente Anonymität für rechtswidrige oder betrügerische Geschäfte, etwa die Geldwäsche, zueigen machen wollen. Ströme von illegalem Geld können indes die Integrität, Stabilität und das Ansehen des Finanzsektors schädigen sowie eine Bedrohung für den Binnenmarkt der Union und die internationale Entwicklung darstellen.

Die Währung

Mit der Idee, eine Währung zu schaffen, die unabhängig von einem Kreditinstitut als eine vertrauenswürdige dritte Partei ist, wurde 2009 unter dem Pseudonym Satoshi Nakamoto das Konzept des virtuellen Zahlungsmittels Bitcoin vorgestellt. Es handelt sich dabei nicht etwa um gewöhnliche Münzen, wie der Begriff irreführenderweise vermuten lässt. Vielmehr sind Bitcoins kryptographische Rechnungseinheiten, deren Eigentum durch zugehörige digitale Schlüsselsignaturen nachgewiesen wird, welche in einem Peer-to-Peer-Netzwerk gehandelt und verwaltet werden (Abrufbar: Hier). Insoweit bilden im Kern all diejenigen Nutzer, welche einen Bitcoin-Client auf ihren Computern installiert haben und ausführen, ein dezentral organisiertes Rechnernetz, innerhalb dessen selbige überwiesen werden.

Tatsächlich können die Bitcoins problemlos auf zahlreichen Märkten erworben, verkauft und getauscht werden, wovon über 80 beim Internetauftritt von Bitcoincharts einsehbar sind. Die dort verfügbaren Währungen sind in vielfältiger Form vorhanden und reichen von Dollar über Euro bis hin zu Yen, wobei je nach Anbieter auch PayPal Guthaben akzeptiert werden oder eine direkte Banküberweisung möglich ist. Bei der Installation des Bitcoin-Clients wird auf dem Computer des Nutzers zunächst eine Datei namens „Wallet“ erzeugt und gespeichert, welche die Schlüssel zum eigenen Konto enthält. Darin sind jeweils ein öffentlicher und ein privater Schlüssel enthalten, die zusammen ein Schlüsselpaar bilden. Ersterer dient zur Identifizierung des entsprechenden Accounts beim Empfangen von Geldbeträgen und letzterer ermöglicht den Zugriff auf das Konto sowie das Senden von Bitcoins (Abrufbar: Hier). Dabei ist es den Nutzern möglich nach Belieben eine Vielzahl an Schlüsselpaaren zu generieren, um so auf ein hohes Maß an Anonymität hinzuwirken. Eine spezifische Transaktion kann sich folglich flexibel aus Zahlungseingängen mehrerer Bitcoin-Adressen zusammensetzen, wobei auf die gleiche Weise Guthaben an verschiedene Adressen ausgeschüttet werden kann (Abrufbar: Hier). Da die dezentrale Organisation des Bitcoin-Netzwerks die Abwesenheit einer originären Kontrollinstanz mit sich bringt, besteht jedoch die Notwendigkeit einer Methode um doppelten oder sich widersprechenden Zahlungen entgegenzuwirken. Konkret werden hierzu alle getätigten Geschäfte öffentlich in einem Transaktionsbuch – der sogenannten „Block-Chain“ – gespeichert und so dem Netzwerk bekannt gemacht.

Die Richtlinie

Bis zum 26. Juni 2017 sollen die bisherigen Sekundärrechtsakte durch die neue Richtlinie 2015/849/EU zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung abgelöst werden (Art. 67 Abs. 1).

Nach Art. 1 Abs. 3 lit. a wird unter anderem der Umtausch oder Transfer von Vermögensgegenständen in Kenntnis der Tatsache, dass diese aus einer kriminellen Tätigkeit oder aus der Teilnahme an einer solchen stammen und das selbige zum Zwecke der Verheimlichung des illegalen Ursprungs der Vermögensgegenstände erfolgt, vom Geldwäschebegriff erfasst. Ein solcher Vorgang ist denkbar einfach: Rechtswidrig erworbenes Bargeld wird in Bitcoins investiert und alsbald auf einer Online-Tauschbörse wiederum in Geld eingewechselt oder alternativ für den Erwerb von Waren und Dienstleistungen verwendet.

Eine wesentliche Neuerung liegt vor allem in der risikoorientierten Ausrichtung der aufgestellten Vorschriften. Nach Art. 6 Abs. 1 führt die Kommission insoweit eine Bewertung der Geldwäscherisiken für den Binnenmarkt durch, die mit grenzüberschreitenden Tätigkeiten im Zusammenhang stehen, wobei zu diesem Zweck ein – mindestens zweijährig aktualisierter – Bericht erstellt wird. Der Bericht, welcher an Mitgliedsstaaten und Verpflichtete (für Bitcoin-Tauschbörsen Art. 2 Abs. 1 Nr. 3 lit. e.) weiterzuleiten ist, soll insbesondere zu Zwecken der Ressourcenverteilung und Proritätensetzung die risikoträchtigen Bereiche und Sektoren umfassen sowie die gängigsten Methoden der Straftäter zum Waschen von illegal erwirtschafteten Erträgen einrahmen, Abs. 2.

Um den zur wirksamen Minderung und Steuerung der auf Unionsebene sowie bei den Verpflichteten ermittelten Risiken von Geldwäsche zu begegnen, ist es erforderlich, dass leztere über bestimmte Strategien, Kontrollen und Verfahren hierfür verfügen: Dazu gehören nach Art. 8 Abs. 4 lit. a insbesondere die Ausarbeitung interner Grundsätze, Kontrollen und Verfahren in Bezug auf eine vorbildliche Risikomanagementpraxis, Sorgfaltspflichten gegenüber Kunden, Mitarbeiterprüfungen, Verdachtsmeldungen, die Aufbewahrung von Unterlagen sowie die Benennung eines für die Einhaltung der einschlägigen Vorschriften zuständigen Beauftragten auf Leitungsebene, wenn dies angesichts des Umfangs und der Art der Geschäftstätigkeit angemessen ist. Die bei Bitcoin-Geschäften gegebene mangelnde physische Anwesenheit stellt insoweit einen anderen Fall mit hohem Risiko nach Art. 18 Abs. 1 dar, der erweiterte Sorgfaltspflichten begründet. Für diese Fälle wird in Abs. 3 auf die maßgeblich im Anhang III dargelegten – nicht erschöpfend enumerierten – Faktoren verwiesen, wonach Transaktionen, die Anonymität begünstigen können, ein Risiko darstellen, Abs. 2 lit. b.

Ein nächster wesentlicher Aspekt ist die Einrichtung zentraler Meldestellen zur wirksamen Bekämpfung der Geldwäsche (für Deutschland Art. 2 Abs. 3 des Beschlusses 2000/642/JI das Bundeskriminalamt). Sie fungieren nach Art. 32 Abs. 3 S. 2, 3 als nationale Zentralstellen, deren Aufgabe es ist, offen gelegte Informationen, die potenziell Geldwäsche betreffen, entgegenzunehmen und, soweit zulässig, solche Informationen zu ersuchen, sie zu analysieren sowie an die zuständigen Behörden weiterzugeben. Offenzulegen sind insbesondere komplexe oder unüblich große Transaktionen und alle untypischen Muster ohne offensichtlichen, erkennbar wirtschaftlichen oder rechtmäßigen Zweck. Herauszustellen ist, dass die Person, welche gemäß Art. 8 Abs. 4 lit. a benannt wurde, die ermittlungsrelevanten Informationen an die zentrale Meldestelle desjenigen Mitgliedstaats weiterleitet, in dessen Hoheitsgebiet der Verpflichtete niedergelassen ist. So steht einerseits kontinuierlich ein Ansprechpartner zur Verfügung, der gezielt Auskunft über die gerade behandelten Einzelfälle geben kann. Andererseits wird es erheblich erschwert, Zuständigkeiten, Instruktions- und Aufsichtspflichten zu verwischen, die sich bei betriebsweit einheitlicher Ausübung des Schweigerechts allenfalls aus den vorhandenen Organisationsplänen und Dienstanweisungen herauslesen lassen.

Vor diesem Hintergrund ist es weiterhin unabdingbar, dass die Mitarbeiter der Verpflichteten durch geeignete Fortbildungsprogramme an die Materie herangeführt werden, damit sie lernen, möglicherweise mit Geldwäsche zusammenhängende Transaktionen zu erkennen und gemäß den geltenden Bestimmungen sachgerecht zu beurteilen. Auch wenn die Begehung von Geldwäsche durch Bitcoins nur ein Teilaspekt eines ansonsten enorm komplexen und vielschichtigen Deliktfeldes ist, muss dennoch perspektivisch gedacht auf die Herausforderungen der im Wirtschaftsleben stetig mehr an Bedeutung gewinnenden Informationstechnologie reagiert werden können. Bedauerlicherweise wurden die Bestimmungen jedoch bei den Schulungen im Vergleich zur Vorgängerrichtlinie 2005/60/EG kaum angereichert oder modifiziert: Lediglich das neue Harmonisierungskonzept wurde im Rahmen von Art. 46 Abs. 1 insofern angepasst, als dass die Verpflichteten durch Maßnahmen in angemessenem Verhältnis zu ihren Risiken, ihrer Art und ihrer Größe, bei ihren Angestellten die Kenntnis der betreffenden Vorschriften sicherstellen. Die Gelegenheit durch gezieltere Festschreibungen zu Weiterbildungsprogrammen die tatsächlichen Möglichkeiten einer modernen Geldwäscheprävention auszuschöpfen, wurde vom Richtliniengeber erkennbar verpasst. Entsprechend wurde der Rechtsakt schließlich in unzureichender Form verabschiedet; der Nutzen dieses Blocks – an sich sinnvoller Vorschriften – ist bedauerlicherweise, wenn er nicht in der Praxis unionsweit mit Leben gefüllt wird, eher gering.

Das in weiten Teilen lückenhafte Regelungskonzept der Vorgängerrichtlinie zur Aufsicht und Zusammenarbeit wurde hingegen zeit- und realitätsgerecht angepasst. Nicht nur, dass über die Kontrolle der im geltenden Sekundärrechtsakt angelegten Maßnahmen hinaus auch die Anforderungen an Mitarbeitende und leitende Angestellte der Verpflichteten in Art. 47 und 48 normativ vertypt wurden. Gerade die grenzüberschreitende Zusammenarbeit als essentielles Gegengewicht zu den Risiken einer globalen Finanzwirtschaft wurde hinreichend berücksichtigt und entsprechend festgelegt. So muss eine Meldung nach Art. 33 Abs. 1 Uabs. 1 lit. a, die einen anderen Mitgliedsstaat betrifft, umgehend an die zentrale Meldestelle des betreffenden Landes weitergeleitet werden (Art. 53 Abs. 1 S. 4), es sei denn dieser kann den Informationsaustausch wegen eines Widerspruchs zu den Grundprinzipien des nationalen Rechts verweigern, Abs. 3 S. 1. Dieser Ausnahmefall muss so spezifiziert werden, dass es nicht zu Missbrauch und unzulässigen Einschränkungen der Analyse kommen kann, S. 2. Dies wird zudem in Art. 45 Abs. 3 abgesichert, wonach die Verpflichteten, welche Zweigstellen oder mehrheitlich in ihrem Besitz befindliche Tochterunternehmen in Drittländern unterhalten, in denen weniger strenge Anforderungen an die Bekämpfung von Geldwäsche gestellt werden, die Schranken des ursprünglichen Mitgliedstaats, anwenden, soweit das Recht des Drittlandes dies zulässt. Sollte die Umsetzung der in diesen Fällen erforderlichen Strategien und Verfahren nach dem Recht des Drittlandes unzulässig sein, ist seitens der Verpflichteten sicherzustellen, dass zusätzliche Maßnahmen angewendet und – falls diese nicht ausreichen – weitergehende Aufsichtsmaßnahmen ergriffen werden, um dem spezifischen Risiko wirksam zu begegnen, Abs. 5.

Die Häufigkeit und Intensität von Prüfungen der Verpflichteten, im Hinblick auf Eignung und Umsetzung interner Kontrollen, richtet sich darüber hinaus ebenfalls nach der spezifischen Risikobewertung (Art. 48 Abs. 6 lit. c), wobei diese nach Abs. 7 in regelmäßigen Abständen und bei Eintritt wichtiger Ereignisse oder Entwicklungen in der Geschäftsleitung oder -tätigkeit neu vorgenommen wird. Erfreulich ist in diesem Zusammenhang auch die nach Art. 51 S. 2 in regelmäßigen Abständen erfolgende Einberufung von Sitzungen zentraler Meldestellen der EU um Ansichten – etwa zu Trends und Faktoren – auszutauschen, Umsetzungsfragen zu klären, die Meldeformate durch das Computernetz der Financial Intelligence Unit zu standardisieren oder gemeinsam grenzüberschreitende Fälle zu analysieren (Abrufbar: http://fiu.net).

Auch die vormals wenig engmaschigen Sanktionsvorschriften für Fälle der Missachtung von Sorgfalts- und Meldepflichten oder Unterlassung interner Kontrollen wurden beträchtlich ausgebaut. Ein wichtiger Mechanismus, der an den Ruf eines Unternehmens im öffentlichen Wirtschaftsverkehr knüpft, ist in Art. 60 Abs. 1 Uabs. 1 enthalten. Danach wird eine Sanktion von den zuständigen Behörden unverzüglich, nach Unterrichtung der betroffenen Person auf ihrer offiziellen Website – für mindestens fünf Jahre (Abs. 3) – veröffentlicht, wobei geringstenfalls Art und Wesen des Verstoßes sowie die Identität der verantwortlichen Personen bekanntgemacht werden. Wenn die Veröffentlichung von Daten unverhältnismäßig ist, die Stabilität von Finanzmärkten oder laufende Ermittlungen gefährdet, besteht jedoch die Möglichkeit, selbige zu späterer Zeit oder unter Einschränkungen vorzunehmen, Uabs. 2. Hervorzuheben ist weiterhin die Einrichtung eines im angemessenen Verhältnis zu Art und Größe stehenden unabhängigen und anonymen Kanals, über den die Angestellten Verstöße intern melden können. Nicht verschwiegen werden soll jedoch an dieser Stelle, dass insbesondere nach einer Studie von Backes und Lindemann zum sogenannten „Business Keeper Monitoring System“ (BKMS) (Abrufbar: Hier), welches 2001 von einem Privatunternehmen entwickelt wurde und derzeit von mehreren deutschen und internationalen Großunternehmen sowie vom Landeskriminalamt Niedersachsen genutzt wird, bei Hinweisgebersystemen äußerste Zurückhaltung geboten ist.

Ausgangspunkt für Ermittlungen

Primär bietet das programminterne Transaktionsbuch einen maßgeblichen ersten Ansatzpunkt für polizeiliche und nachrichtendiestliche Ermittlungstätigkeiten. Dort können grundsätzlich sämtliche getätigten Zahlungen von jedermann öffentlich eingesehen und gegebenenfalls ausgewertet werden. Allerdings identifizieren sich die Nutzer insoweit lediglich durch ihre öffentlichen Schlüssel; ohne weitere Informationen kann jedoch niemand die Adressen einer Person zu seiner wahren Identität zurückverfolgen. Vielmehr könnten diese bei unbefangenem Blick mehreren Personen zuzuordnen sein (Abrufbar: Hier).

Zur Aufdeckung einer Transaktionsbeziehung muss also zwingend eine Verbindung zwischen einem bestimmten Geschäft und den zugehörigen personenbezogenen Daten hergestellt werden. Regelmäßig wird der spezifische Dienstleister dazu bei der Anmeldung persönliche Informationen von seinem Kunden abfragen oder sogar eine Kopie des Personalausweises verlangen. Darüber hinaus fordern viele Services, die Bitcoins akzeptieren, das Hinterlegen weiterer Daten zur Identifikation, wie etwa Mail- und Lieferadressen, Kontonummern oder sogar die IP (Abrufbar: Hier). Denknotwendig kann im Verdachtsfalle eine Abfrage der streitgegenständlichen Daten erfolgen, um so den jeweiligen Hinweisen nachzugehen und gegebenenfalls den Nachweis einer Straftat zu erbringen. Ein wichtiges Indiz und daneben auch eine Bedrohung der Anonymität stellt in diesem Zusammenhang die spezifische Summe einer Transaktion dar. Diese muss über die Block-Chain – wie im Beispiel von WikiLeaks – den öffentlichen Schlüssen zugeordnet werden, um so die im Transaktionsbuch ausgewiesenen Zahlungen schließlich zu einer Person zurückzuverfolgen.

Probleme

Um die Erfassung und Rückverfolgung einer Zahlung zu erschweren, besteht zusätzlich die Möglichkeit von einem Mixing-Service Gebrauch zu machen. Zu diesen gehören etwa „BitLaundry“, „Bitcoin Fog“ und „Blockchain.info“. Gleichsam als Zwischeninstanz, an welche die Nutzer Teile ihrer Bitcoins in einen großen Topf einzahlen, der vom spezifischen Dienstleister verwaltet wird und nach Wunsch Zahlungen für die jeweilige Person tätigt, sind diese dazu konzipiert, die Herkunft von Geldern zu verschleiern. Da es für den Sender – solange die Summe gleich bleibt – keinen Unterschied macht, ob sein Zahlungsempfänger Bitcoins erhält, die in der Vergangenheit ihm oder einem Dritten gehörten, wird das Kapital verschiedener Nutzer vermischt, um das Herstellen einer Verbindung zwischen Zahlungsein und -ausgängen zu erschweren (Abrufbar: Hier).

Mixing-Services, mögen sie zum Teil auch zu redlichen Geschäften verwendet werden, indizieren jedoch häufig durch Suggestivnamen ihren eigentlichen Zweck. Führt man sich dann noch vor Augen, dass selbige regelmäßig nur über die Verbindungsdaten anonymisierende Web-Browser wie Tor abrufbar sind, erscheint es schwierig, den Betreibern entsprechende Verpflichtungen aufzuerlegen. Insoweit ist eine Rückverfolgbarkeit erfahrungsgemäß nicht notwendigerweise immer durch die Ermittlung einer IP-Adresse gewährleistet. Schließlich kann diese lediglich der Zwischenpunkt einer längeren Kette von separaten Kommunikationsverbindungen sein, die durch einen Anonymisierungsdienst eingerichtet wurden (Abrufbar: Hier).

Die vorgenannten Services bringen dem Nutzer jedoch nicht ausschließlich Vorteile: In organisatorischer Hinsicht haben sie gemein, dass, im Gegensatz zum Bitcoin-Netzwerk, eine zentrale Instanz benötigt wird, die für eine gewisse Zeitspanne Einträge ihrer Kunden speichert, um die Guthaben zweckentsprechend dem Zielsystem zuzuführen (Abrufbar: Hier). Daneben werden Aufträge je nach Dienstleister erst ab einer Höhe von etwa 0,2 Bitcoins angenommen, wobei stets eine Mixgebühr zwischen 0,5 und 3 % des Gesamtwerts der Transaktion verlangt wird. Wenn ein Ermittler nunmehr die Adressen eines verdächtigen Nutzers kennt und weiß wie viele Bitcoins dieser in den Service eingezahlt hat, kann er in der Block-Chain unter den zeitlich relevanten Einträgen nach Auszahlungen in gleicher Höhe, abzüglich der jeweiligen Gebühr, suchen. Schwierigkeiten treten jedoch insbesondere dann auf, wenn die Auszahlungsgröße verändert wurde, die Zahlung über mehrere Adressen erfolgte oder sie über einen längeren Zeitraum sowie über mehrere Überweisungen verteilt wurde, wozu einige Dienstleister ihren Nutzern ausdrücklich raten.

Letztlich muss der Mixing-Sevice auch mit hinreichenden Informationen versorgt werden, um die Geldbeträge den Vorstellungen des Kunden entsprechend zur richtigen Zeit an die richtigen Adressen ausschütten zu können. Ein Aufschlüsseln der Beziehungsmuster innerhalb eines konspirativen Gesprächs ist insoweit nur dann möglich, wenn man die jeweiligen Kommunikationsinhalte betrachtet, wie etwa charakteristische Dateien, die ein Krimineller auf einem Server hinterlässt. Daten, welche innerhalb eines Verarbeitungsvorganges verwendet werden, sind jedoch weniger beständig, weshalb die daraus resultierenden Spuren leicht verwischen können.

Zukünftige Handlungskonzepte

Die Idee einer unionsweiten Modernisierung der Geldwäschevorschriften ist vor dem Hintergrund zunehmender Intellektualisierung und Internationalisierung der Tatplanung wie auch -ausführung grundsätzlich erfreulich. Um dem Einfluss des zunehmend sicherheitsorientierten kriminalpolitischen Gesamtklimas auf die an Innen- und Rechtspolitik gestellten Herausforderungen Rechnung zu tragen, erschöpft sich der Diskurs nicht in den bestehenden internationalen Rechtsakten. Vielmehr verbleibt weiterhin ein erheblicher Forschungsbedarf, insbesondere aus kriminologischer Sicht, um eine so wandelbare Materie wie die der Informationstechnologie juristisch einfangen und gegebenenfalls darauf reagieren zu können. Gerade die Vielzahl der Akteure, divergierende Rechtstraditionen, diametral unterschiedliche personelle und technische Standards sowie die Ressourcen der Mitglieds- und Drittstaaten machen es erforderlich, den Gesamtverlauf dieser Entwicklung durch eine koordinierte Versorgungsgestaltung und systematisches Monitoring unter Kontrolle zu halten.

Gegenwärtig können die weiten Auslegungsspielräume – die im Übrigen auch nicht in den Erwägungsgründen spezifiziert sind – im Rahmen der Richtlinie 2005/60/EG für verschiedenste Akteure im Wirtschaftsverkehr zu einer Zersplitterung der Geldwäschevorschriften auf Unionsebene führen und damit einhergehende Intransparenz bedingen. Eine solche Entwicklung ist ausgesprochen bedenklich, da der Geldwäsche für gewöhnlich eine transnationale Komponente innewohnt. Besonders das Fehlen eines konturenscharfen, belastbaren und einheitlichen Rechtsrahmens hat zersprengte einzelstaatliche Regelwerke zur Konsequenz, deren Auswirkungen nur schwerlich durch eine Korrektivinstanz aufgefangen werden können. Die dadurch begünstigten Missbräuche des unvollkommenen Sekundärrechtsakts lassen insoweit Verdrängungseffekte in Form von Kriminalitätsverschiebungen in die Dritt- oder Mitgliedsstaaten mit den aussichtsreichsten Bedingungen befürchten. Ein hohes Schutzniveau in der Europäischen Union ist vor diesem Hintergrund nicht gegeben. In Kombination mit Bitcoin wird so eine eklatant gefahrenträchtige Entwicklung gekennzeichnet, deren Schadenspotenziale für den Binnenmarkt nur schwer abzuschätzen sind.

Die risikoorientierte Ausrichtung als Fundament des kommenden Rechtsakts stellt allerdings ein tragfähiges zukünftiges Handlungskonzept im Bereich der Geldwäschebekämpfung dar. Es gilt die bestehenden Kooperationsstrukturen und Institutionengefüge fruchtbar zu machen und auszunutzen: Die formellen und materiellen Vorschriften werden vor diesem Hintergrund alsbald vereinheitlicht, um Rückzugsräume für Kriminelle zu schließen und gleichzeitig Kompetenzkonflikten vorzubeugen. Gerade weil derart komplexe Deliktsbilder mit vielfältigen Tatbestandskombinationen besonders langwierige und personalintensive Ermittlungen erfordern, bedarf es klar konturierter Schulungsmodelle um diesen entgegenzutreten. Der praktische Rahmen sollte insoweit durch wechselseitige Bereitstellung der technischen Expertise und von Ausbildungsprogrammen, etwa durch die Europäische Polizeiakademie (Cepol), gestärkt werden. Die entsprechenden Vorschriften zu diesem essentiellen Gestaltungsfaktor bieten indes nur unzureichende Handhabe und sind insoweit nach wie vor änderungsbedürftig.

Um das notwendige Vertrauen auf Unionsebene zu schaffen und fortwährende Skepsis auszuräumen, die bestehenden Kooperationsinstrumente zu nutzen, besteht weiterhin die Notwendigkeit, das neu zu definierende Aufgabenverständnis der Fachkräfte durch empirisch fundierte Konzepte zu flankieren und an diesen auszurichten. Eine Möglichkeit dazu bietet Art. 44, wonach zur Überprüfung der Wirksamkeit der zur Bekämpfung von Geldwäsche eingerichteten Systeme Daten zur Messung von Größe und Bedeutung der verschiedenen Sektoren, zu Verdachtsmeldungen und über die Zahl der grenzüberschreitenden Informationsersuchen, die von der zentralen Meldestelle gestellt wurden, erhoben werden sollen.

Ferner bietet sich die Erstellung eines genormten Verarbeitungsprotokolls im Sinne einer Standardisierung und verbindlichen Ausgestaltung des bereits bestehenden Informationsaustauschs an, welches die verschiedenen Arbeitsschritte, die jeweiligen Sachbearbeiter sowie die verwendete Hard- und Software festhält (vgl. in rudimentärer Form Art. 10 des Rahmenbeschlusses 2008/977/JI). Dieses kann alsbald von der Meldestelle zur Überprüfung der Rechtmäßigkeit einer Transaktion, zur Feststellung von Schutzlücken beim Institut und gegebenenfalls als Stützpfeiler zur Vollstreckung von Sanktionen herangezogen werden. Die Ergebnisse der Protokollauswertung sollten schließlich in die Bewertung des Schutzniveaus von Unions- und Drittstaaten einfließen und insoweit im Bereich der Verarbeitung an die gebildeten Risikokategorien anknüpfen, um Anreize für Verbesserungen zu schaffen. Auf dieser Basis ist es möglich, ein weitaus effizienteres und gleichzeitig praxistauglicheres Sicherheitsrecht zu konturieren und dabei gezielte, anstatt großflächige und eingriffsintensive kriminalpolitische Erwägungen vorzunehmen.

Ausblick

Bargeld wird in den Wirtschaftskreislauf, etwa in Kasinos eingebracht, auf Offshore Bankkonten bereits verstorbener Personen eingezahlt oder gegen Sachwerte getauscht. Dieses Vermögen wird mithilfe von Scheinfirmen sodann über einen gewissen Zeitraum verschoben bis die jeweilige Herkunft nicht mehr nachvollziehbar ist und im Anschluss, beispielsweise durch den Kauf von Immobilien, wieder zurückgeholt. Im Gegensatz zur herkömmlichen Variante kann man bei Bitcoin-Mixern jedoch gerade äußern, dass diese lediglich mit Beträgen im sechsstelligen Dollarbereich handeln und sich damit nicht für eine Geldwäsche im großen Stil eignen (Abrufbar: Hier). Gleichwohl hat die digitale Währung in der Vergangenheit einen rasanten Aufstieg erfahren und wurde mittlerweile sowohl von der Bundesregierung als privates Geld anerkannt wie auch von einem US-Richter als reguläre Währung eingestuft. Einige Projekte versuchen daher, das Prinzip zu imitieren, aber an entscheidenden Stellen Mängel des Systems zu beheben. Litecoin, Zerocoin, Ripple und PPCoin sind nur ein geringer Bruchteil dieser Abkömmlinge, welche unter dem Begriff Altcoins grassieren.

Die Informationstechnologie wird daher künftig nicht nur die Behörden der öffentlichen Sicherheit, sondern auch den Finanzsektor vor stetig neue Herausforderungen stellen. Bedenkt man, dass der hohe Komplexitätsfaktor des Internets eine flächendeckende Aufklärung nahezu unmöglich beziehungsweise schlichtweg zu teuer macht, erscheint der risikobasierte Ansatz als belastbares Konzept um die Geldwäsche auch über die EU-Grenzen hinaus schwerpunktorientiert anzugehen. Abzuwarten bleibt, ob die grenzüberschreitenden Kontrollstrategien im Hinblick auf zu erwartende Verdrängungseffekte sowie die unabhängigen Verpflichtetenprüfungen ressourcenorientiert durchgeführt werden und ihren Erfolg zeigen.

posted by Stadler at 21:46  

9.2.16

Werbung in automatisierten Bestätigungsmails ist als Spam zu qualifizieren

Der BGH hat mit Urteil vom 15.12.2015 (Az.: VI ZR 134/15), das jetzt im Volltext veröffentlicht wurde, entschieden, dass Werbezusätze in einer automatisierten Bestätigungs-E-Mail als unerlaubte Zusendung von Werbung zu betrachten sind, die einen rechtswidrigen Eingriff in das allgemeine Persönlichkeitsrecht des Betroffenen begründen.

Das gilt nach Ansicht des BGH jedenfalls dann, wenn der Empfänger dem Erhalt von Werbung zuvor ausdrücklich widersprochen hat. Ob in diesen Fällen auch dann von einer unerlaubten Werbung auszugehen ist, wenn es an einem ausdrücklichen Widerspruch fehlt, hat der BGH offengelassen. Angesichts der bisherigen ständigen Rechtsprechung zu Werbung per Telefax oder E-Mail und der Datenschutzrichtlinie für elektronische Kommunikation – vom BGH missverständlich nur als Datenschutzrichtlinie bezeichnet – kann allerdings für diese Fälle nichts anderes gelten. Nach Art. 13 Abs. 1 dieser Richtlinie darf elektronische Post (E-Mail) für Zwecke der Direktwerbung nur bei vorheriger Einwilligung der Teilnehmer gestattet werden.

Unternehmen, die in automatischen Bestätigungsmails Werbung unterbringen, verletzten damit das allgemeine Persönlichkeitsrecht des Empfängers und verhalten sich datenschutz- und wettbewerbswidrig.

 

posted by Stadler at 10:38  

8.2.16

Fehlende Datenschutzerklärung als abmahnfähiger Wettbewerbsverstoß

Das Landgericht Köln hat mit Beschluss vom 26.11.2015 (Az.: 33 O 230/15) eine einstweilige Verfügung erlassen, die dem Antragsgegner u.a. aufgibt, es zu unterlassen,

auf den Internetseiten der Domain www.anonym.de keine Datenschutzerklärung i.S.d. § 13 TMG zu platzieren.

Eine Begründung enthält der Beschluss nicht, weshalb wir nicht genau wissen, warum das LG Köln eine Datenschutzerklärung im konkreten Fall für erforderlich hält.

Die konkrete Tenorierung halte ich gleichwohl bereits deshalb für problematisch, weil die Vorschrift des § 13 TMG keineswegs zu einer Datenschutzerklärung verpflichtet, sondern dazu, den Nutzer zu Beginn des Nutzungsvorgangs

über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten.

Entsprechend hätte meines Erachtens auch tenoriert werden müssen. Voraussetzung ist allerdings stets die Feststellung des Gerichts, dass überhaupt personenbezogene Daten erhoben und verarbeitet werden.

In Zukunft wird man also möglicherweise neben dem Klassiker des fehlenden oder unvollständigen Impressums auch das Fehlen einer korrekten und vollständigen Datenschutzerklärung als Einfallstor für wettbewerbsrechtliche Abmahnungen auf dem Schirm haben müssen.

posted by Stadler at 11:52  

18.12.15

Ab heute wieder Vorratsdatenspeicherung in Deutschland

Das Gesetz zur Einführung einer Speicherfrist und einer Höchstspeicherfrist für Verkehrsdaten – Neusprech für Vorratsdatenspeicherung – ist am 17.12.2015 im Bundesgesetzblatt verkündet worden (BGBl 2015 Teil 1 Nr. 51, S. 2218). Es tritt am Tag nach seiner Verkündung, also heute, in Kraft.

Meine mittlerweile über hundert Blogbeiträge zum Thema Vorratsdatenspeicherung können sie hier nachlesen. Es werden noch einige hinzukommen, denn die ersten Verfassungsbeschwerden gegen die Neuregelung werden aller Voraussicht nach sehr bald erhoben sein.

posted by Stadler at 10:35  

2.11.15

Bundesmeldegesetz in Kraft getreten

Das neue Bundemeldegesetz (BMG) ist gestern in Kraft getreten. Es bringt einige Neuerungen im Meldewesen und zum Teil in datenschutzrechtlicher Hinsicht auch Verbesserungen.

Bei Melderegisterauskünften zu gewerblichen Zwecken, muss jetzt der Zweck der Anfrage angegeben werden (§ 44 Abs. 1 S. 2 BMG) und die Auskunft darf dann ausschließlich zu diesem Zweck zu verwenden (§ 47 Abs. 1 BMG).

Melderegisterauskünfte für Zwecke der Werbung und des Adresshandels sind nur noch mit Einwilligung der betroffenen Person möglich. Der Anfragende muss erklären, dass er die Daten nicht für Zwecke der Werbung oder des Adresshandels verwenden wird (§ 45 Abs. 3 Nr. 2 BMG).

Polizeiehörden, Geheimdienste, Staatsanwaltschaften und Gerichte können Meldedaten ohne weitere Voraussetzungen abrufen und erhalten länderübergreifend einen Onlinezugriff auf die Meldedaten.

Neu eingeführt wurde eine Mitwirkungspflicht des Wohnungsgebers (i.d.R. der Vermieter), der der meldepflichtigen Person den Einzug oder den Auszug schriftlich oder elektronisch zu bestätigen hat (§ 19 BMG).

posted by Stadler at 14:27  

9.10.15

Warum die Euphorie über das Safe-Harbor-Urteil unangebracht ist

Die Medien haben geradezu euphorisch auf das Urteil des EuGH vom 06.10.2015 reagiert, Prantl meint in der SZ gar, die Entscheidung würde die globale Datenwirtschaft verändern. Die euphorische Reaktion rührt auch daher, dass der Gerichtshof auch sehr deutlich den Datenzugriff von US-Geheimdiensten kritisiert, der erfolgt, ohne, dass es ausreichende Rechtsschutzmöglichkeiten für europäische Bürger gibt. An dieser Stelle muss natürlich die Frage erlaubt sein, welche effektiven Rechtsschutzmöglichkeiten ein europäischer Bürger beispielsweise gegen die Datenzugriffe des BND oder des GHCQ hat.

Das Urteil des EuGH besagt zunächst nur, dass die irische Datenschutzbehörde die von Max Schrems gerügten Verstöße inhaltlich prüfen kann und das Safe Harbor Abkommen sie nicht daran hindert, das zu tun. Darüber hinaus wird die Entscheidung der Kommission zu Safe Harbor ausdrücklich für ungültig erklärt.

Die EuGH-Entscheidung ist konsequent und entspricht den Vorgaben der Datenschutzrichtlinie, die davon ausgeht, dass Daten nach außerhalb des EU-Raums nur dann übermittelt werden dürfen, wenn im Empfängerstaat ein Datenschutzniveau sichergestellt ist, das dem europäischen entspricht.

Die Entscheidung des EuGH entspricht allerdings nicht der Lebenswirklichkeit, denn sie würde in konsequenter Umsetzung dazu führen, dass eine Übermittlung von personenbezogenen Daten in die USA bzw. an Unternehmen in den USA regelmäßig gar nicht mehr zulässig wäre. Während ich das schreibe, sind Sie vielleicht gerade bei Facebook eingeloggt und es werden terabyteweise Daten in die USA übermittelt und ich wage die Prognose, dass das auch in fünf Jahren nicht anders sein wird.

Wir werden infolge des EuGH-Urteils Europa nicht vom Internet abkoppeln und auch hiesige Unternehmen nicht daran hindern, personenbezogene Daten in die USA zu übermitteln. Das Urteil wird praktisch nicht viel ändern. Mit ihm verbindet sich allenfalls die Hoffnung, dass die Kommission jetzt mit den USA ein datenschutzrechtliches Abkommen verhandeln und abschließen wird, das über die Augenwischerei von Safe Harbor hinausgeht.

Die Entscheidung zeigt aber auch, dass das Grundkonzept unseres Datenschutzrechts, das auch durch die geplante Datenschutzgrundverordnung nicht in Frage gestellt wird, den Anforderungen des Internetzeitalters nicht genügt und letztlich zu unauflösbaren Widersprüchen führt. Hierüber habe ich in den letzten Jahren schon mehrfach gebloggt.

posted by Stadler at 12:26  
Nächste Seite »