Internet-Law

Onlinerecht und Bürgerrechte 2.0

24.10.13

Die Datenschutzgrundverordnung regelt die Überwachungsthematik nicht

In der gestrigen Pressemitteilung der Bundestagsfraktion der Grünen zur Zustimmung des Innenausschusses des EU-Parlaments zum Entwurf der geplanten Datenschutz-Grundverordnung steht ein bemerkenswerter Satz:

Endlich besteht die Chance, dass Daten europaweit effektiv geschützt werden – auch im Internet und gegen die Zugriffe von Geheimdiensten außerhalb der EU.

Ist das wirklich so? In einem Blogbeitrag zum Kanzlerduell hatte ich vor einigen Wochen erläuert, weshalb die Aussagen Angela Merkels zur NSA-Affäre und zum EU-Datenschutz falsch sind. Hat man also den Entwurf der Verordnung in diesem Punkt entscheidend nachgebessert? Es sieht auf den ersten Blick nicht so aus. In Art. 2 Nr. 2 des vom Innenausschuss beschlossenen Verordnungsentwurfs heißt es jetzt (die Streichung stellt die Änderung im Vergleich zur vorherigen Entwurfsfassung dar):

2. This Regulation does not apply to the processing of personal data:
(a) in the course of an activity which falls outside the scope of Union law , in particular national security;
(…)
(e) by competent public authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties.

Die Streichung des Insbesonderezusatzes zur nationalen Sicherheit hat m.E. nur kosmetische Funktion und bewirkt keine materielle Änderung. Die Datenerhebung durch Behörden im präventiven und repressiven polizeilichen Bereich wird ebensowenig erfasst, wie die Datenerhebung aus Gründen der (nationalen) Sicherheit durch irgendeinen Nationalstaat.

Aufschlussreich ist dazu auch der Erwägungsgrund 14:

This Regulation does not address issues of protection of fundamental rights and freedoms or the free flow of data related to activities which fall outside the scope of Union.

Der gesamte Bereich der TK-Überwachung – auch der durch ausländische Dienste – fällt also nach wie vor nicht in den Anwendungsbereich der geplanten EU-Verordnung. Man sollte sich insoweit also weder von der Union noch von den Grünen etwas anderes erzählen lassen.

posted by Stadler at 12:30  

19.10.13

Jagdszenen aus Niederbayern

Die niederbayerische Kleinstadt Abensberg ist vor allen Dingen wegen des Volksfests Gillamoos überregional bekannt. Und seit einigen Tagen auch wegen einer umstrittenen Form des Internetprangers, der im Netz auf viel Widerspruch gestoßen ist. Die Stadt Abensberg veröffentlicht nämlich Blitzer-Fotos von Geschwindigkeitsmessungen auf Facebook.

Der Kollege Udo Vettter hält das Vorgehen der Kommune sogar für strafrechtlich relevant. Denn bei den Fotos handelt es sich nach der Einschätzung des Strafverteidigers Vetter, vor allem auch wegen der eingeblendeten Messdaten, um “amtliche Schriftstücke eines Bußgeldverfahrens”. Und solche Dokumente dürfen nicht veröffentlicht werden, bevor sie in der Hauptverhandlung erörtert worden sind oder das Verfahren abgeschlossen ist. (§ 353d StGB).

Darüber hinaus ist aber auch ein ziemlich eindeutiger Verstoß gegen die Persönlichkeitsrechte der Betroffenen gegeben, der, nachdem eine Behörde handelt, als unmittelbarer Grundrechtseingriff zu bewerten ist. Die Gesichter sind zwar verpixelt, aber aufgrund des Fahrzeugs und der Kleidung des Fahrers, sowie der Angabe von Ort und Zeit des Verkehrsverstoßes, muss man gerade in einer Kleinstadt, in der fast jeder jeden kennt, davon ausgehen, dass die Betroffenen vor Ort nicht unerkannt bleiben werden. Und genau das ist vermutlich auch das Konzept dahinter. Es geht um die Erzeugung von sozialem Druck und damit in der Tat um eine Prangerwirkung.

Das Verhalten der Stadt ist also jedenfalls ein Fall für die Kommunalaufsicht und auch den bayerischen Datenschutzbeauftragten. Die Kommune hat wohl mittlerweile erkannt, dass Ihr Vorgehen weder juristisch noch mit Blick auf die Öffentlichkeitswirkung sonderlich durchdacht war und “fühlt sich vorverurteilt“.

posted by Stadler at 14:01  

15.10.13

Die Post-Privacy-Falle

Michael Seemann – aka mspro – ist seit Jahren einer der Protagonisten der Post-Privacy-Debatte. Seine nicht ganz neuen Thesen durfte er aktuell im Lichte der NSA-Affäre für ZEIT-Online wieder einmal aufwärmen. Warum die Verfechter einer Post-Privacy-Gesellschaft zwar in Teilen eine zutreffende Zustandsbeschreibung liefern, aber im Ergebnis zu falschen und gefährlichen Schlussfolgerung gelangen, habe ich vor zweieinhalb Jahren bereits einmal ausführlich erläutert. Der Titel meines damaligen Beitrags lautete “Von der informationellen Selbstbestimmung zur informationellen Fremdbestimmung”. An den Argumenten hat sich auch durch die NSA-Affäre nichts verändert, ganz im Gegenteil.

Man kann die Zustandsbeschreibung Seemanns teilen, wonach Privatheit oder informationelle Selbstbestimmung für viele Menschen keinen Wert mehr darstellt und ihnen auch nicht klar ist, warum dieser Grundwert, der durch ein Grundrecht geschützt ist, in der modernen Gesellschaft überhaupt noch von Relevanz sein sollte. Die NSA-Affäre bewegt die Menschen deshalb nicht, weil die Rechtsverletzung die dort stattfindet, den meisten Menschen zu abstrakt ist und viele auch meinen, sie seien davon nicht betroffen. Das Manko besteht also darin, dass es der Netzgemeinde und den Bürgerrechtlern bisher nicht gelungen ist, die Rechtsverletzungen durch Geheimdienste zu illustrieren, sie ausreichend zu veranschaulichen.

Wer wie Seemann das Ende des Privatsphärenbegriffs postuliert, um dann im selben Atemzug zu erklären, dass die NSA die Demokratie bedroht, eröffnet damit nur ein neues Paradoxon und gibt zu erkennen, dass sein Denken von einem tiefen Unverständnis des Wesens der Freiheitsrechte geprägt ist. Würde etwa jemand ernsthaft behaupten wollen, die Versammlungsfreiheit sei am Ende, nur weil sich die Gesellschaft gerade in einer Phase befindet, in der immer weniger Menschen bereit sind, für ihre Überzeugung auf die Straße zu gehen? Wohl kaum. Ebensowenig wird man das Grundrecht auf informationelle Selbstbestimmung für beendet erklären, nur weil viele Menschen sich daran gewöhnt haben, ihre Daten bereitwillig preiszugeben.

Es gilt zu erkennen, dass das was Seemann als Privatsphäre oder Privacy betrachtet, nur einen Baustein im Gesamtkonzept der Freiheitsrechte darstellt. Allen Freiheitsgrundrechten gemeinsam ist der Ansatz, dass man als Bürger das Recht hat, vom Staat möglichst in Ruhe gelassen zu werden. Wenn dieses Recht am Ende ist, dann gibt es gar keine Handhabe mehr gegen Überwachung. Wer Privatheit für erledigt erklärt, der erklärt damit das Konzept der Freiheitsrechte insgesamt für gescheitert.

Das Gegenteil von Privacy ist die Transparenz aller Daten. Transparenz bedeutet Kontrolle. Aus diesem Grunde muss der freiheitlich-demokratische Staat, der vom Spannungsverhältnis Staat-Bürger geprägt ist, dafür sorgen, dass die öffentliche Gewalt transparent agiert und maximal kontrolliert wird, während dem Bürger die größtmögliche Intransparenz zuzubilligen ist. Wer das Ende der Privatheit propagiert, ermöglicht damit den gläsernen und transparenten Bürger. Diese Forderung steht deshalb in der Tradition der Unfreiheit. Die Vorstellung von einer Gesellschaft, die keine Privatssphäre mehr kennt, atmet den Geist des Totalitarismus.

John F. Nebel hat in einer lesenswerten Replik auf die Thesen Michael Seemanns darauf hingewiesen, dass das Postulat vom Ende der Privatheit nichts an den Machtverhältnissen ändert. Die Mächtigen werden nach dem Ende der Privatheit nicht nur weiter überwachen, sondern sie werden dies sogar noch unbeschwerter und exzessiver tun können. Denn das Abwehrrecht des Bürgers, das wir in Deutschland als Grundrecht auf informationelle Selbstbestimmung kennen, gibt es als Korrektiv dann ja nicht mehr. Der These, wonach der Begriff der Privatsphäre nicht mehr als Argument gegen Überwachung taugt, ist daher vehement zu widersprechen. Das Recht auf Privatsphäre ist vielmehr das Einzige, was wirklich als Argument gegen staatliche Überwachung taugt. Das Bundesverfassungsgericht hat die informationelle Selbstbestimmung aus gutem Grund auch aus der Menschenwürde hergeleitet. Jeder Mensch muss nämlich das Recht haben, sich als Individiuum in Freiheit selbst zu verwirklichen und er muss sich keiner Behandlung aussetzen, die ihn zum bloßen Objekt von Machtinteressen degradiert. Und genau darum geht es sowohl in der Überwachungs- als auch in der Privacy-Debatte. Wir müssen die Bedeutung von Privatheit besser und vor allen Dingen anschaulicher erklären. Es gibt keine anderen geeigneten “Narrative” und auch Michael Seemann erklärt nicht, wie er die Debatte anders führen will. Es wäre für Seemann jetzt endlich an der Zeit gewesen, einen konstruktiven Ausweg aus der “Privatsphären-Falle” aufzuzeigen. Aber einen solchen Vorschlag bleibt er einmal mehr schuldig.

posted by Stadler at 12:36  

9.10.13

VG Schleswig hebt Anordnungen des ULD gegen Betreiber von Facebook-Fanseiten auf

Das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein kann von den Betreibern von Facebook-Fanpages nicht verlangen, diese Seiten wegen etwaiger datenschutzrechtlicher Verstöße zu deaktivieren. Das hat das Verwaltungsgericht Schleswig mit Urteil vom heutigen Tag entschieden (Az.: 8 A 218/11, 8 A 14/12, 8 A 37/12). Aus der Pressemitteilung ergibt sich, dass das Verwaltungsgericht den Betreiber einer Fanpage nicht für datenschutzrechtlich verantwortlich erachtet, weil der Seitenbetreiber keinen Einfluss auf den Datenverkehr zwischen dem Nutzer und Facebook nehmen kann. Das Verwaltungsgericht hat allerdings die Berufung zugelassen.

Die Entscheidung ist im Ergebnis nicht überraschend, nachdem in der juristischen Literatur und auch in diesem Blog schon vor einiger Zeit die Ansicht vertreten wurde, dass der Betreiber der Fanpage nicht als verantwortliche Stelle im Sinne des BDSG zu qualifizieren ist.

posted by Stadler at 18:00  

26.9.13

Arbeitgeber kann verlangen, dass Mitarbeiter elektronische Signaturkarte beantragt

Ein Arbeitgeber kann von seinem Arbeitnehmer die Beantragung einer qualifizierten elektronischen Signatur und die Nutzung einer elektronischen Signaturkarte verlangen, wenn dies für die Erbringung der Arbeitsleistung erforderlich und dem Arbeitnehmer zumutbar ist.

Das hat das Bundesarbeitsgericht mit Urteil vom 25.09.2013 (Az.: 0 AZR 270/12) entschieden.

Ein öffentlicher Arbeitgeber hatte eine Arbeitnehmerin angewiesen, eine qualifizierte Signatur bei einer Zertifizierungsstelle, einem Tochterunternehmen der Deutschen Telekom AG, zu beantragen. Dazu müssen die im Personalausweis enthaltenen Daten zur Identitätsfeststellung an die Zertifizierungsstelle übermittelt werden. Die Kosten für die Beantragung trägt der Arbeitgeber.

Die Arbeitnehmerin hatte sich geweigert und die Ansicht vertreten, der Arbeitgeber könne sie nicht verpflichten, ihre persönlichen Daten an Dritte zu übermitteln; dies verstoße gegen ihr Recht auf informationelle Selbstbestimmung. Auch sei nicht sichergestellt, dass mit ihren Daten kein Missbrauch getrieben werde.

Nach Ansicht des BAG hat der Arbeitgeber von seinem arbeitsvertraglichen Weisungsrecht angemessen Gebrauch gemacht. Der mit der Verpflichtung zur Nutzung einer elektronischen Signaturkarte verbundene Eingriff in das Recht auf informationelle Selbstbestimmung sei zumutbar. Die Übermittlung der Personalausweisdaten betrifft nach Meinung des BAG nur den äußeren Bereich der Privatsphäre; besonders sensible Daten seien nicht betroffen. Der Schutz dieser Daten wird durch die Vorschriften des Signaturgesetzes sichergestellt; sie werden nur durch die Zertifizierungsstelle genutzt. Auch durch den Einsatz der Signaturkarte entstünden für die Klägerin keine besonderen Risiken. Außerdem enthält die im Betrieb mit dem Personalrat abgeschlossene Dienstvereinbarung ausdrücklich eine Haftungsfreistellung; die gewonnenen Daten dürfen vom Arbeitgeber nicht zur Leistungs- und Verhaltenskontrolle verwendet werden.

(via lawblog.de)

posted by Stadler at 15:40  

13.9.13

OLG Frankfurt: Anlasslose, siebentägige Speicherung von IP-Adressen durch Telekom zulässig

Das OLG Frankfurt hat mit Urteil vom 28.08.2013 (Az.: 13 U 105/07) erneut entschieden, dass die anlasslose Speicherung von IP-Adressen durch einen Zugangsprovider (Telekom) zulässig ist.

Der Fall hat eine lange Vorgeschichte und war bereits einmal beim BGH und es könnte sein, dass das Verfahren nunmehr erneut dort landet, nachdem das OLG die Revision zugelassen hat.

Die Telekom hatte ihre Praxis, die von ihren Kunden benutzten dynamischen IP-Adressen für die Dauer von sieben Tagen zu speichern, zunächst auf Abrechnungszwecke gestützt. Diese Begründung hat beim BGH im Ergebnis nicht gehalten, weil die Telekom nicht unter Beweis gestellt hat, dass die Speicherung zu Abrechungszwecken bei Flatratekunden erforderlich ist. Gleichzeitig hat der BGH aber darauf hingewiesen, dass eine Speicherung nach § 100 Abs. 1 TKG in Betracht kommt, sofern dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlage erforderlich ist. Diese Entscheidung des BGH ist auf Kritik gestoßen.

Die Telekom hat ihren Vortrag nach der Zurückverweisung angepasst und das OLG Frankfurt hat die Speicherung nunmehr erneut bestätigt, aufgrund der deutlichen Vorgabe des BGH diesmal gestützt auf Fehlererkennung und -beseitigung. Die maßgebliche Passage im Urteil des OLG Frankfurt hierzu lautet:

Angesichts des auf dieser Grundlage erstatteten und im Termin zur mündlichen Verhandlung vom 3.07.2013 mündlich erläuterten und vertieften Gutachtens des gerichtlich bestellten Sachverständigen B vom 28.12.2012 ist der Senat zu der Überzeugung gelangt, dass die Speicherpraxis der Beklagten durch den Erlaubnistatbestand des § 100 I TKG gedeckt ist, weil es – jedenfalls nach dem derzeitigen Stand der Technik – keine anderen Möglichkeiten gibt, Störungen der Telekommunikationsanlagen zu erkennen, einzugrenzen und notfalls zu beseitigen.

Der Sachverständige hat in sich nachvollziehbar dargelegt, dass bei der Beklagten pro Monat mehr als 500.000 Abuse-Meldungen eingehen.

Circa 162.000 dieser Abuse-Meldungen stehen im Zusammenhang mit Spams. Diese Vorfälle werden typischerweise von Botnetzen ausgelöst und führen als Nebeneffekt nicht nur zu unerwünschter Werbung, sondern auch zu Kaperungen von Accounts oder Rechnern, zum Diebstahl von Informationen oder ähnliche Missbräuchen. Derartige Angriffe ermöglichen Cyberkriminellen monetäre Vorteile, weil gestohlene Informationen z. B. in Untergrundforen verkauft oder gekaperte Computer zum Versand von Spam-Nachrichten benutzt werden.

Etwa 164.000 der Abuse-Meldungen stehen im Zusammenhang mit Angriffen auf Business-Kunden und haben damit potentiell direkten Einfluss auf die Infrastruktur und Dienste der Beklagten.

Daneben gibt es weitere Abuse-Meldungen, die vorwiegend im Zusammenhang mit Schadcodes auf Webseiten, Hacking, Portscans und anderen Arten von Missbräuchen stehen.

Der Sachverständige hat weiter plausibel dargelegt, dass den vorstehend beschriebenen Missbräuchen, die der Beklagten durch die entsprechenden Meldungen bekannt werden, durch ein geeignetes Abuse-Handling entgegengewirkt werden muss.

Denn unbehandelte Abuse-Meldungen erlauben es Angreifern, den von ihnen einmal in Gang gesetzten Missbrauch ungestört fortzusetzen und mehr Spams zu versenden, mehr Rechner auszuspähen, größere Botnetze zu erstellen, mehr Hacking-Angriffe auf die Kundeninfrastruktur der Beklagten auszuführen und ähnliche Angriffe durchzuführen.

Durch das Abuse-Handling der Beklagten wird es überhaupt erst ermöglicht, eine große Zahl an infizierten Rechnern zeitnah herauszufiltern. Wollte man das von der Beklagten eingeführte Sicherheitssystem unterbinden oder in zeitlicher oder sonstiger Weise stärker einschränken, als die Beklagte dies bereits in Absprache mit dem Bundesbeauftragten für Datenschutz und Informationsfreiheit getan hat, würde die Zahl der infizierten Rechner nicht nur konstant bleiben, sie würde vielmehr – bei entsprechender Zunahme von Spams – ständig zunehmen.

Der Senat ist auf Grund des Gutachtens des gerichtlich bestellten Sachverständigen davon überzeugt, dass das Abuse-Handling der Beklagten es ermöglicht, derartige Missbräuche bereits im Vorfeld einzudämmen. So werden bei ca. 500.000 Abuse-Meldungen pro Monat unter anderem ca. 20.000 Nutzer von infizierten Rechnern über den von diesen regelmäßig nicht erkannten Missbrauch in Kenntnis gesetzt und darüber informiert, wie der Missbrauch behoben werden kann.

Ohne das von der Beklagten praktizierte Abuse-Handling könnte es, so hat der Sachverständige nachvollziehbar dargelegt, neben den beschriebenen Missbräuchen auch zu starken Belastungen – unter Umständen auch zu Überlastungen – des Systems der Beklagten kommen. Denn die Mailserver werden durch Spams überfrachtet. Solange die Kapazität des Systems der Beklagten ausreicht, bleibt das System zwar noch funktionstüchtig. Im anderen Fall, also dem Fall der Überlastung, würde dies jedoch dazu führen, dass Mails überhaupt nicht mehr angenommen werden könnten. Bei der sogenannten Denial-of-Service-Attacke ist die Leistungskapazität erschöpft. Derartige Stabilitätsprobleme sind in der momentanen Praxis zwar glücklicherweise eher selten, würden aber ohne ein entsprechendes Abuse-Handling-System häufiger auftreten; und zwar mit nicht auszuschließenden Auswirkungen auch auf andere Netzbetreiber in Deutschland.

Provider dürfen also aus Gründen des Abuse-Handlings eine Vorratsdatenspeicherung von sieben Tagen praktizieren. Dass der BGH dies anders beurteilen wird, bezweifle ich angesichts seiner Vorentscheidung.

posted by Stadler at 12:07  

3.9.13

Facebook will wieder mal Nutzerdaten kommerziell verwerten

Facebook möchte seine Nutzungsbedingungen erneut ändern und zwar wiederum in relativ drastischer Weise zu Lasten der Nutzer, wie der Vorschlag für die “Erklärung der Rechte und Pflichten” belegt. In der dortigen Ziff. 10 heißt es:

Unser Ziel ist es, Werbeanzeigen und sonstige kommerzielle bzw. gesponserte Inhalte, die für unsere Nutzer und Werbetreibenden wertvoll sind, zur Verfügung zu stellen. Um uns dabei zu helfen, erklärst du dich mit Folgendem einverstanden:

1. Du erteilst uns deine Erlaubnis zur Nutzung deines Namens, Profilbilds, deiner Inhalte und Informationen im Zusammenhang mit kommerziellen, gesponserten oder verwandten Inhalten (z. B. eine Marke, die dir gefällt), die von uns zur Verfügung gestellt oder aufgewertet werden. Dies bedeutet beispielsweise, dass du einem Unternehmen bzw. einer sonstigen Organisation die Erlaubnis erteilst, uns dafür zu bezahlen, deinen Namen und/oder dein Profilbild zusammen mit deinen Inhalten oder Informationen ohne irgendeine Entlohnung für dich zu veröffentlichen. Wenn du eine bestimmte Zielgruppe für deine Inhalte oder Informationen ausgewählt hast, werden wir deine Auswahl bei deren Nutzung respektieren. Solltest du jünger als achtzehn (18) Jahre alt sein bzw. gemäß einer anderen gesetzlichen Altersgrenze als minderjährig gelten, versicherst du, dass mindestens ein Elternteil bzw. Erziehungsberechtigter den Bedingungen dieses Abschnitts (sowie der Verwendung deines Namens, Profilbilds, deiner Inhalte und Informationen) in deinem Namen zugestimmt hat.

2. Wir geben deine Inhalte und Informationen nicht ohne deine Zustimmung an Werbetreibende weiter.

3. Du verstehst, dass wir bezahlte Dienstleistungen und Kommunikationen möglicherweise nicht immer als solche kennzeichnen.

Facebook möchte also den Namen, das Profilbild und die Inhalte von Nutzern für kommerzielle Zwecke verwenden, sprich damit Geld verdienen.

Vor der Frage, ob diese Änderungen mit den Vorgaben des deutschen Rechts vereinbar sind, steht natürlich die Klärung der Frage, ob deutsches Recht überhaupt gilt. Man sollte sich hierbei freilich nicht von der Streitfrage ablenken lassen, ob Facebook an deutsches oder irisches Datenschutzrecht gebunden ist.

Denn hier geht es vordergründig um Nutzungsbedingungen und damit um AGB-Kontrolle. Es geht hierbei auch nicht primär um datenschutzrechtliche Fragen, sondern gerade auch um solche des Persönlichkeitsrechts und des Urheberrechts. Facebook regelt sogar selbst die Geltung von deutschem Recht. § 17 Nr. 3 der “Erklärung der Rechte und Pflichten” enthält eine Ausnahmebestimmung für deutsche Nutzer dahingehend, dass diese Erklärung deutschem Recht unterliegt. Eine Rechtswahlklausel die ausländisches Recht zu Lasten eines Verbrauchers zur Anwendung bringen wollte, würde eine unangemessene Benachteiligung darstellen und wäre nach der Rechtsprechung des BGH unwirksam.

Bei den neuen Regelungen von Facebook dürfte es sich inhaltlich um überraschende Klauseln im Sinne von § 305c BGB handeln. Man wird darüber hinaus aber auch eine unangemessene Benachteiligung im Sinne von § 307 BGB diskutieren können.

Die Regelung wonach kommerzielle Kommunikation nicht immer als solche gekennzeichnet wird, verstößt gegen §§ 3, 4 Nr. 3 UWG. Die Verschleierung des Werbecharakters von geschäftlichen Handlungen ist wettbewerbswidrig. Zudem wird damit auch gegen § 6 Abs. 1 TMG verstoßen. Danach muss kommerzielle Kommunikation klar als solche zu erkennen sein. Es handelt sich hierbei übrigens um eine europarechtliche Vorgabe.

Es bleibt also festzuhalten, dass sich Facebook einmal mehr nicht um deutsches und europäisches Recht schert.

posted by Stadler at 09:09  

2.9.13

Merkel, NSA und der Datenschutz – Eine Nachbetrachtung zum TV-Duell

Derjenige Teil des gestrigen Fernsehduells zwischen Angela Merkel und Peer Steinbrück der sich mit der Spionagetätigkeit amerikanischer Geheimdienste wie NSA beschäftigt, ist eine kleine juristische Nachbetrachtung wert, auch wenn inhaltlich wenig Neues gesagt wurde.

Bundeskanzlerin Angela Merkel hat mehrfach versucht zu betonen, dass ausländische Geheimdienste wie die NSA auf deutschem Boden keine flächendeckende Überwachungstätigkeiten entfalten. Auf Nachfrage hin wollte sie aber nicht ausschließen, dass die Kommunikation deutscher Staatsbürger außerhalb des deutschen Staatsgebiets überwacht wird, sofern diese über internationale Kommunikationswege läuft, was, wie wir wissen, sehr häufig der Fall ist. Das Internet ist eben gerade keine nationale Angelegenheit.

Interessanter war aber der rhetorische Schwenk den Angela Merkel dann vollzogen hat (ab Minute 2: 52). Sie behauptet nämlich, dass es “außerhalb des deutschen Staatsgebietes” Länder geben würde, die ein völlig anderes Datenschutzrecht hätten und nennt anschließend ausdrücklich Großbritannien, USA und Irland.

Das ist datenschutzrechtlich in Bezug auf Großbritannien und Irland natürlich falsch. Denn beide Länder sind Mitglied der EU, d.h. dort wurden ebenfalls die Datenschutzrichtlinie und andere datenschutzrechtlichen Regelungen umgesetzt. Die Mitgliedsstaaten der EU haben ein in weiten Teilen harmonisiertes Datenschutzrecht. Dass es in einigen Staaten wie Irland Defizite bei der Umsetzung gegeben hat, mag sein. Das rechtfertigt es aber nicht, so zu tun, als würde es innerhalb der EU ein vollkommen unterschiedliches und uneinheitliches Datenschutzniveau geben.

Das Problem ist ein ganz anderes. Das europäische Datenschutzrecht regelt den öffentlichen Bereich nicht. Der Entwurf einer Datenschutzgrundverordnung – der von Angela Merkel im Fernsehduell auch explizit angesprochen wurde – klammert die Datenerhebung und Datenverarbeitung durch Behörden und öffentliche Stellen gezielt aus.

In Art. 2 Nr. 2 des Verorndungsentwurfs heißt es hierzu u.a.:

Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten, die vorgenommen wird

a) im Rahmen einer Tätigkeit, die nicht in den Geltungsbereich des Unionsrechts fällt, etwa im Bereich der nationalen Sicherheit,
(…)
e) zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Vollstreckung strafrechtlicher Sanktionen durch die zuständigen Behörden.

Das bedeutet, europäisches Datenschutzrecht soll auch künftig nicht für den Bereich der nationalen/inneren Sicherheit der Mitgliedsstaaten und den Bereich der Strafverfolgung gelten. Das heißt natürlich auch, dass die Tätigkeit von Geheimdiensten und Polizeibehörden nicht den datenschutzrechtlichen Vorschriften des EU-Rechts unterliegt. Wenn also beispielsweise der britische Dienst GCHQ oder der BND Daten erhebt, dann wird dafür auch in Zukunft nicht das europäische Datenschutzrecht der Maßstab sein. Die USA unterliegen als Nicht-EU-Mitglied erst recht nicht den Bindungen des europäischen Datenschutzrechts. Man könnte allenfalls europäische Stellen (Unternehmen und öffentliche Stellen) dazu zwingen, keine Daten mehr an einen sog. unsicheren Drittstaat, für den man die USA dann halten müsste, zu übermitteln. Das würde allerdings den Internetverkehr zum Erliegen bringen und stellt vermutlich nicht mal ein halbwegs ernsthaftes Drohszenario dar, auf das man Verhandlungen aufbauen könnte. Das gilt umso mehr, als auch europäische Geheimdienste ganz ähnliche Überwachungsmaßnahmen praktizieren wie die US-Dienste.

Der Schwenk Angela Merkels auf die Datenschutzgrundverordnung hat also vom eigentlichen Thema abgelenkt und war eine typische Nebelkerze.

Was mich bei dem TV-Duell aber noch viel stärker erstaunt hat, als die erwartbaren Ausflüchte zur Geheimdienstaffäre, war beispielsweise die Aussage Merkels, Renten würden in Deutschland nicht besteuert werden. Und vier hochbezahlte Journalisten lassen ihr diese Falschbehauptung ohne jede Nachfrage durchgehen. Auch in der heutigen Berichterstattung habe ich dazu nichts gelesen. Von Fakten muss man sich in diesem Wahlkampf als Kanzlerin bzw. Kandidat offenbar nicht beirren lassen.

posted by Stadler at 16:45  

4.8.13

Übermittlung von Metadaten an die NSA: Darf der BND das?

Der Spiegel meldet, dass der Bundesnachrichtendienst (BND) allein im Monat Dezember 2012 500 Millionen Metadaten erfasst habe, die anschließend z.T. auch an die NSA weitergeleitet worden seien. Laut Deutschlandradio hat der BND dies mittlerweile eingeräumt, beteuert aber gleichzeitig , dass es sich um ausländische TK-Verbindungen handeln würde und personenbezogene Daten deutscher Staatsbürger nicht betroffen seien.

Die Aussage halte ich bereits deshalb für fragwürdig, weil man anhand von Metadaten nicht zwingend feststellen kann, ob einer der Betroffenen Kommunikationsteilnehmer Deutscher ist und/oder sich gerader im Inland aufhält. Der BND kann also überhaupt nicht gewährleisten, dass deutsche Staatsbürger und Kommunikationsverbindungen mit Inlandsbezug nicht betroffen sind.

Die massenhafte Erfassung von TK-Verbindungsdaten wirft aber einmal mehr die Frage der politischen und parlamentarischen Kontrolle der Dienste auf. Das Bundesministerium des Inneren unterrichtet nach § 10 Abs. 1 G1o-Gesetz das Parlamentarische Kontrollgremium über die Durchführung des G10-Gesetzes. Das Gremium erstattet dem Deutschen Bundestag dann jährlich einen Bericht über die Durchführung sowie Art und Umfang der Maßnahmen, u.a. nach § 5 G10-Gesetz (sog. strategische Fernmeldekontrolle). In der letzten Unterrichtung des Bundestages durch das parlamentarische Kontrollgremium vom 14.03.2013 findet man nichts über die massenhafte Erfassung von TK-Verbindungsdaten durch den BND. Augenscheinlich ist das Parlament über diese massenhafte Datenerfassung nicht unterrichtet worden. Nachdem Beschränkungen von Art. 10 GG nach § 9 Abs. 1  G10-Gesetz nur auf Antrag des BND angeordnet werden, stellt sich ferner die Frage, ob es für die Erfassung von Meta-Daten einen Antrag des BND und eine entsprechend Anordnung durch Innenminister Friedrich gibt.

Die Übermittlung von Daten an ausländische Dienste ist in § 7a G10-Gesetz geregelt. Danach dürfen personenbezogene Daten, die im Wege der sog. strategischen Fernmeldekontrolle erhoben wurden, unter bestimmten Voraussetzungen an ausländische Dienste übermittelt werden. Voraussetzung ist es aber, dass die Übermittlung zur Wahrung außen- oder sicherheitspolitischer Belange der Bundesrepublik Deutschland oder erheblicher Sicherheitsinteressen des ausländischen Staates erforderlich ist und überwiegende schutzwürdige Interessen des Betroffenen nicht entgegenstehen, insbesondere in dem ausländischen Staat ein angemessenes Datenschutzniveau gewährleistet ist sowie davon auszugehen ist, dass die Verwendung der Daten durch den Empfänger in Einklang mit grundlegenden rechtsstaatlichen Prinzipien erfolgt.

Bereits dies dürfte bei einer Übermittlung an die NSA, wie die Snowden-Enthüllungen zeigen, kaum mehr begründbar sein. Diese Übermittlung setzt außerdem eine Einzelfallprüfung voraus. Die massenhafte Übermittlung von Verbindungsdaten ist durch diese Vorschrift nicht gedeckt.

Hier kommt kommt dann noch ein weiterer interessanter Aspekt in Spiel. Diese Übermittlung bedarf nach § 7a Abs. 1 S. 2 G10-Gesetz der Zustimmung des Bundeskanzleramtes. Und an dieser Stelle haben wir dann den unmittelbaren Bezug zu Kanzleramtsminister Pofalla und Bundeskanzlerin Merkel. Sie müssen die Übermittlung an die NSA und andere ausländische Dienste nämlich ausdrücklich genehmigt haben. Die bisherige Strategie der Bundesregierung, man sei überrascht und habe von allen Überwachungsmaßnahmen auch erst aus der Presse erfahren, wird hier also nicht mehr verfangen.

Materiell-rechtlich besteht das Problem darin, dass der BND grundsätzlich keine Daten zu inländischen TK-Anschlüssen erheben darf. Telekommunikationsanschlüsse im Ausland dürfen zwar erfasst werden, aber nur dann, wenn ausgeschlossen werden kann, dass Anschlüsse, deren Inhaber oder regelmäßige Nutzer deutsche Staatsangehörige sind, gezielt erfasst werden (§ 5 Abs. 2 S. 2 G10-Gesetz). Diese gesetzliche Einschränkung kann der BND jedenfalls bei einer massenhaften und automatisierten Erfassung von Verbindungsdaten (500 Millionen in einem Monat) nicht gewährleisten. Man kann bei Verbindungsdaten wie Telefonnummern, IP-Adressen oder E-Mail-Adressen nicht ausschließen, dass Inhaber oder regelmäßige Nutzer Deutsche sind und/oder die Verbindungsdaten Inlandsbezug haben.

Allein aus den öffentlich bekannten Informationen lässt sich also der Schluss ziehen, dass der BND die Vorgaben des G10-Gesetzes nicht befolgen kann und sich deshalb rechtswidrig verhält.

Viel wichtiger erscheint mir aber der Umstand, dass wir es jetzt mit einer Überwachungsmaßnahme zu tun haben, die direkt in den Verantwortungsbereich der Minister Friedrich und Pofalla fällt. Die Bundesregierung kann sich in diesem Fall also nicht auf Unkenntnis berufen.

posted by Stadler at 21:49  

18.7.13

Newsletter vom Verfassungsschutz

Das Bundesamt für Verfassungsschutz will offenbar seine Öffentlichkeitsarbeit verbessern und bietet neuerdings einen Newsletter an. Um den Newsletter abonnieren zu können, muss man allerdings einer eher langen Datenschutzerklärung zustimmen, die u.a. die Speicherung der IP-Adresse des Nutzers vorsieht.

Die Frage ist allerdings, ob diese Daten tatsächlich erhoben werden dürfen, denn für die Erbringung des Dienstes (Versand eines kostenlosen Newsletters) ist zwar eine E-Mail-Adresse erforderlich, aber nicht die Erfassung der IP-Adresse mit der der Nutzer das Angebot des Verfassungsschutzes aufgerufen hat. Es dürfte mithin ein Verstoß gegen § 15 TMG vorliegen.

Man hat außerdem natürlich als Bürger ein schlechtes Gefühl, wenn einem ausgerechnet der Verfassungsschutz sagt, dass man für den Versand eines Newsletters die IP-Adresse speichert.

Der Bundesdatenschutzbeauftragte ist für die Einhaltung der datenschutzrechtlichen Bestimmungen durch das Bundesamt für Verfassungsschutz zuständig und sollte diese Sache deshalb prüfen. Peter Schaar, bitte übernehmen Sie!

(via Holger Schmidt)

posted by Stadler at 12:12  
« Vorherige SeiteNächste Seite »