Onlinerecht und Bürgerrechte 2.0


Ex-Verfassungsrichter Hoffmann-Riem fordert staatlichen Systemschutz gegen NSA

Der NSA-Utnersuchungsausschuss wird am 22.05.2014 die früheren Verfassungsrichter Hans-Jürgen Papier und Wolfgang Hoffmann-Riem sowie den Wissenschaftler Matthias Bäcker als Sachverständige anhören. Die Sachverständigen reichen hierzu vorab üblicherweise eine schriftliche Stellungnahme ein. Diese sind bislang auf dem Server des Bundestages leider nicht veröffentlicht worden.

Wie die Süddeutsche heute in ihrer Printausgabe berichtet (SZ Nr. 113, Samstag/Sonntag, 17./18.Mai 2014, S. 7), hat der frühere Verfassungsrichter Wolfgang-Hoffmann in seiner 27-seitigen Stellungnahme gegenüber dem Ausschuss ein staatliches Schutzsystem gegen die Überwachungspraktiken der NSA gefordert. Hoffmann-Riem sieht insoweit eine staatliche Schutzpflicht als gegeben an, die er interessanterweise u.a. auch auf Art. 87f GG stützt. Nach Art. 87 f Abs. 1 GG gewährleistet der Bund im Bereich des Postwesens und der Telekommunikation flächendeckend angemessene und ausreichende Dienstleistungen. Und dies beinhaltet laut Hoffmann-Riem auch die Pflicht, eine ausreichend sichere Kommunikation zu gewährleisten.

Wolfgang Hoffmann-Riem galt in seiner Zeit am Bundesverfassungsgericht als Meinungsführer und war u.a. an den Urteilen zum großen Lauschangriff, zur Online-Durchsuchung, zur Rasterfahndung und den Eilentscheidungen zur Vorratsdatenspeicherung beteiligt. Manchen galt er gar als der einzig relevante Gegenspieler des damaligen Innenministers Schäuble.

Auf das vollständige Gutachten Hoffmann-Riems bin ich ebenso gespannt, wie auf die Stellungnahmen der anderen beiden Verfassungsrechtler.

posted by Stadler at 13:10  


The ECJ is right, the result is wrong

Guest Contribution By Rigo Wenning (Gastbeitrag von Rigo Wenning) Legal Counsel, W3C

The pending EU privacy regulation has to address search engines

Introduction & Summary

Yesterday, the European Court of Justice decided on Case C-131/12. This decision has some rather surprising characteristics. This counts for the procedure as well as for the content. The first welcoming remarks hailing better privacy protection have faded into a disillusioned critique about the expected collateral damages of the decision with respect to freedom of speech and the added bureaucratic effort. A more down to earth view would suggest that the decision is actually a reminder that search and publicity reserve a lot of challenges, especially concerning the weighing of human rights against each other. It is also a reminder that data protection authorities are often bureaucrats with a regrettable lack of technical understanding. But this also addresses the technical community. I don’t think we can let the courts alone figure it out. In the following, I will try to show that the court was forced to decide the way it decided. This in turn transforms the case into a mandate for the privacy regulation to take the challenge into account. The challenge is to overcome the habit in the legal system to target the central entities in the distributed system that is the web and replace this lazy practice by something that plays well with the system. And there, the IT industry has to get active. Data protection is for the IT industry like environmental protection for the car industry. It makes their technology socially viable and it needs investment, e.g. standardizing the control interfaces for search crawlers.

The case

But let us first look at the underlying case. A local journal in Cataluña, La Vanguardia, has a PDF archive of its printed pages. On page 23 of La Vanguardia from 19 January 1998, there is a right column with small print announcements. It is part of a a database with past events exposed on the Internet. The PDFs are text PDFs, so a search engine can actually index the content. The announcement in question says:

Lesdues meitats indivises dun habitatge al carrer Montseny,8, propietat de MARIO COSTEJA GONZÁLEZ i ALICIA VARGAS COTS, respectivament. Superficie:90 m2.Cárregues: 8,5 milións de ptes. Tipas de sbhasta: 2 milions de ptes.cadascuna de lesmeitats.

Note that I the above paragraph reproduces the content, but contains a <div class="robots-nocontent"> element that tells the search engine not to take up that content. I’ll come back later to this issue of tagging.

Google indexed the PDFs and La Vanguardia has a rather high pagerank. A search on the name would obtain links to two pages of La Vanguardia’s newspaper, of 19 January and 9 March 1998 respectively, on which an announcement mentioning Mr Costeja González’s name appeared for a real-estate auction connected with attachment proceedings for the recovery of social security debts.

Mr González turned to the Agencia Española de Protección de Datos (Spanish Data Protection Agency; ‘the AEPD’) and requested La Vanguardia to remove the pages or alter them to avoid their indexing. He also requested that Google would not show the results anymore. There is no mention of the cached pages feature that Google has. Google refused and the AEPD and Mr González went to court. The Spanish court submitted the questions to the ECJ.

Is it privacy or Google-control? AEPD decision hard to understand

AEPD decided that the content on La Vanguardia could remain as this was justified by the intention to give maximum publicity to the auction in order to secure as many bidders as possible. I see everybody jump on the contradiction. But it is not the ECJ’s contradiction, it is a contradiction introduced by AEPD. And this way, the question was thus excluded from the decision of the ECJ.

Apart from the question how the AEPD could take this as an argument for the publication of an announcement from 1998, this creates a very interesting situation. There is a page on the on the Web that is currently served by a Web server and that is publicly available. There are a number of search engines that still have La Vanguardia’s archive indexed. Even La Vanguardia itself is still offering a search for names on its archives. But all this remains outside of the question submitted to the ECJ. This means that the AEPD, by its very decision not to further pursue La Vanguardia and other search engines, put the core question out of scope for the ECJ, who could only respond to the questions asked. The core question of the case is the justification of the AEPD that named classified adds from governmental procedures in journals can remain online for archives over a long time. This is a question that already the French legal service had to address in Légifrance and that all official journals have to address. A known and common question where a response on the European level wouldn’t have been a bad thing. But this question was not on the table. But what question was on the table?

It may be human to only look at the annoyance of the moment. And the annoyance of the moment was certainly the prominent listing within Google. The focus on somebody’s image within the services of Google blurs the clear view on the real issue behind the case. By the decision to let La Vanguardia go, the AEPD turned the case from a case about governmentally sponsored official publications with personal information into a case about the say of a data protection authority over Google. This is not a good basis for sensible solutions.

The court responds to 3 questions

Now there are two questions left:

  1. Is a search engine processing personal data?
  2. Can persons request removal of their personal data?

Additionally, the court addressed the question of territorial competence of data protection law. If one factors out the Google hype around the question, those are reasonable questions to ask.

In response to the questions, the ECJ undertakes a very detailed review of the various conditions and requirements of the legal texts in question. The English text (translated from Spanish) does not only sound like a very detached lawyer-like geeking exercise. In fact, the court remains deep in the weeds of detailed questions. One hardly gets the feeling the ECJ is addressing the higher exercise of weighing freedom of expression against privacy. Art. 10 of the ECHR or Art. 11 of the Charter of Fundamental Rights of the European Union are not cited a single time. The ECJ has simply not addressed that question, because the questions to the ECJ where such that it did not have to address it. So what are the questions the court addressed?

Is a search engine processing personal data?

Of course it does. But lawyers can’t be that simple. Instead, there is a detailed analysis whether Google can be a data controller. Of course they control what they process and what they provide to the public. They even make money with knowing it by providing detailed advertisement matching the search users are executing. The question about whether Google is a data controller serves for the court’s argumentation to determine whether Google can actually accomplish the request brought to them.

And Google? Google responds with the argument that made me laugh hard already when it was used to excuse the reading of people’s emails for the gmail advertisement: We do not actually read your email, the engine is doing that. Referring to uncle Harry or the man on the moon for things that one has diligently programmed and that one fully controls is a joke and will always remain a non-argument when confronted with real courts. If I would be the NSA, I would use the same argument in the current debate. From a legal point of view it was impossible for the ECJ to give in to this argumentation. Google said: We are only a cache and the court responded no you aren’t. It was inevitable, given the argumentation.

But Google is not a European company. One can’t follow all the rules of the world simultaneously. This counts even for Google. The international dimension was scrutinised and the court found a reasonable set of conditions to apply European or Spanish law to Google. In fact, Google is targeting the European market, makes money here, has even a Spanish subsidiary and thus has to respond to those rules. Reading the comments on the decision, many people think Google will now close the subsidiaries and contract directly from the US. But this isn’t so obvious as economic activity in a market as large as the European one needs some management and organisation that responds to local questions. If all goes wrong, such a targeted market will address the money flows to enforce its rules. While it is nice to read some of the romantic visions about the Internet in the blogosphere, it is prudent to keep a realistic view on things.

The right to be forgotten

Remains the question about the merits of a request to erase an entry in a database and to add a URI to the blacklist for the crawler. The Spanish court submitting the questions to the ECJ anchored the scope of the right to be forgotten within Article 14.a of Directive 95/46EC. Can a citizen ask a search engine to remove an entry?

Google is of the opinion that a search engine should only react once the publisher has erased the content. The Austrian Government supports this and addresses exactly the point about freedom of speech that Thomas Stadler was making, namely that (quoting from paragraph 64 of the judgement):

a national supervisory authority may order such an operator to erase information published by third parties from its filing systems only if the data in question have been found previously to be unlawful or incorrect or if the data subject has made a successful objection to the publisher of the website on which that information was published.

To all of us professionals of the Internet, this immediately makes sense and it addresses the end-to-end principle and works well with the distributed nature of the Internet in general and the Web in particular. But the ECJ did not follow that argument and here we are confronted with the most controversial question of the case. In articles about this subject matter there is often an undertone about courts not understanding the Internet. The counter argument to the Austrian position is of a rather legalistic and systemic nature which may not be understood, this time, by the netizens. I can only try to translate.

Mr González, the Italian, the Spanish and the Polish government do not accept the hierarchy. They say a person can request the removal from the search engine without having to pursue the publisher first. The Commission says that the fact that the information has been published lawfully and that it still appears on the original web page has no effect on the obligations of the search engine. Here the Polish government joins Austria and removes the obligation to act.

The court, confronted with the two opposite positions, makes a very systemic argument out of the legal nature of Directive 95/46EC. Processing of personal data is prohibited in Europe unless it is allowed. The ECJ draws from this fact that everybody who processes personal data must have a legal ground or the permission by the data subject to process that data. The journal La Vanguardia was already out of the question as described above because the AEDP declared they had a legal ground to publish the personal information. The ECJ could not reverse that decision as this was not a question it had to answer. Now they were looking for a reason for Google to process that data. And they couldn’t find one. So the prohibition prevails. And if someone requests removal and there is no legitimate grounds for processing (whatever that means), the person can ask to remove the data from the index.

Of course, the court ornaments all that with a flood of words of caution that this only counts in this very case and that this may be overridden by a legitimate interest of the Internet users concerning that information and that even a journalist could potentially use that information and that the court eventually did not feel very well with a mere prohibition and opened every window it could while closing the door. They already prepared the escape line.

Opinion: Who is responsible for the wrong result? Not the ECJ!

The decision has merits. It states the obvious: Google can’t just claim to be a cache and escape responsibility while making business on top of the functionality it controls. The decision is a clear warning for Google not to continue the argumentation around it’s not us, it’s just the engine. Search engines are processing personal data and they control the processing of that personal data. That means they are part of the relevant actors and can’t just hide in the woods of being an innocent middlebox that does nothing.

The decision identifies an additional impact on the privacy of individuals by the search engine over the publishing of the information. A fair assessment will follow the court in this analysis. But for the non-lawyers reading this: Having said that something impacts my right to privacy doesn’t say anything about the consequences that impact triggers or is supposed to trigger. Those consequences are not implied by the Charter of Fundamental Rights of the European Union. It only means we have to address the issue somehow. Nobody really questions that.

The decision shows why the Directive 95/46EC is outdated and needs urgent replacement. A court is not a parliament. A court is supposed to apply law, not to replace it. The ECJ did strictly apply the law. It could have been less strict and follow the Austrian position, but that would have been at the very limits of a possible argumentation. The Austrian position had also two branches that remained unexplored: One could argue that the search engine will only be forced to remove the entry from the index once the publisher has removed the content or one could argue that the search engine is only responsible if all other publishers have already removed the content. The latter would be a factual denial of the protection as duplication is so easy and frequently used in scenarios that follow the Streisand effect. The court hinted at this and made it one reason to have an independent right against the search engine operator. As Thomas Stadler already indicated, the funny thing here is that the ECJ is by its prominence responsible for the Streisand effect on Mr González. So the entire procedure had the exact opposite effect on him. While some people in Catalyuña knew about his difficulties of 1998 in the past, now the entire European union knows about it. Should we remove the court decision from the index?

If there is a feeling that the result of the decision is wrong, it is due to two factors: On the one hand, the AEDP’s decision to have the PDFs of La Vanguardia kept online is putting all the burden on the search engine while keeping the initial harm. This is hard to understand but not the fault of the ECJ. On the other hand, the search engines are an important part of the Web infrastructure. Manipulating search engines or opening the way for private persons to manipulate search engines is very sensitive. There is a feeling that the Directive 95/46EC on Data Protection is just too simplistic and one-sided in this respect. This in turn contributes to the finding in this opinion that Directive 95/46EC is the wrong tool for the Internet as it does not take into account the infrastructural responsibility of search engines. It also shows that if the privacy regulation is not decided by this parliament and has to be brought back into the next EU parliament, there could be a window of opportunity to introduce a provision establishing the Austrian position that a search engine is not infringing if the original source is not protected against indexing with tags or other means.

Finally, the decision has merits as it forces all search engine operators to think about their social responsibility and how they can contribute to the infrastructure they are living from. Search engines are the only actors of the Web that do not participate in standardisation in any way. Elements to control the crawlers are scattered all over the place. Every search engine has their own tags. In such a situation it is very hard for a new legislative effort to provide the right framework to put control into the hand of end users. The decision encourages all search engine operators to convene and discuss about controls and how to use them. The timing is right: The IETF talks about the next generation HTTP and W3C is still working on the HTML5 web platform. There is a decision to make whether to use the RDFa framework or something else. But at the end of the day, if the search engine operators remain inactive in this field, I predict that the courts will inflict things upon them on a case by case basis. This makes lawyers happy as it is very expensive. I don’t know whether it will make the search engine operators happy

posted by Stadler at 17:53  


Wer gegen Netzsperren ist, muss auch das EuGH-Urteil zu Löschpflichten von Google ablehnen

Nach dem heutigen Urteil des EuGH zu Löschpflichten eines Suchmaschinenbetreibers, das nicht nur von mir kritisch besprochen wurde, fand ich die Zustimmung der Politik, von Teilen der netzpolitischen Szene und Teilen der Berichterstattung doch bemerkenswert.

Bei sucht man vergeblich nach einer kritischen Anmerkung, vielmehr findet man es dort gut, dass ein “Zusammenhang zwischen Verantwortung und Werbeanzeigen-Verkaufsniederlassung” hergestellt wird. Justizminister Heiko Maas meint, das Urteil würde die Datenschutzrechte von Verbraucherinnen und Verbrauchern im Internet stärken, der grüne Europaabgeordnete Jan Philipp Albrecht begrüßt das Urteil ebenfalls. Peter Schaar spricht von einem Etappensieg für den Datenschutz. Im Deutschlandfunk ist gar von einer “schallenden Ohrfeige für Google” die Rede und davon, dass das Gericht das digitale Selbstbestimmungsrecht der Bürger gestärkt habe.

Man mag es begrüßen, dass der EuGH eine weitgehende Anwendbarkeit des europäischen Datenschutzrechts auf Google und seine Suchmaschine bejaht. Das sollte aber nicht den Blick auf die materielle Entscheidung des Gerichtshofs versperren.

Die offensichtliche Parallele zu den Netzsperren, die die Sachentscheidung des EuGH aufweist, wird kaum gezogen. Dabei geht es bei den Access-Sperren und den Löschpflichten von Google im Kern um dasselbe, nämlich darum, durch staatlichen Zwang den Zugang zu Inhalten im Internet zu erschweren. In beiden Fällen geschieht dies durch die Inpflichtnahme eines Netzdienstleisters, der dafür sorgen soll, dass die Mehrheit der Nutzer nicht mehr auf Inhalte zugreift, die als rechtlich problematisch angesehen werden. Bei Lichte betrachtet besteht zwischen beiden Phänomenen also kein relevanter Unterschied. Sowohl Suchmaschinenbetreiber als auch Access-Provider sind im Grunde Zugangsanbieter. Man wird an dieser Stelle sicher einwenden, dass sich Google bereits jetzt nicht neutral verhält und aus unterschiedlichen Gründen selbst immer wieder die Suchmaschinenergebnisse beeinflusst und Suchtreffer entfernt. Das erscheint mir aber kein tragfähiges Argument für die Forderung nach einer noch weiterreichenderen Manipulation von Suchergebnissen zu sein.

Der EuGH etabliert mit dieser Entscheidung nichts anderes als eine weitere Spielart der Netzsperren, durch die die Meinungs- und Informationsfreiheit im Netz beeinträchtigt wird. Das ist für die europäischen Bürger mit Sicherheit keine gute Nachricht. Wer gegen Netzsperren aufgestanden ist, muss diese Entscheidung des EuGH ebenfalls ablehnen. Woher kommt also die Zustimmung? Vermutlich daher, dass es gegen Google geht und vermeintlich dem Datenschutz gedient wird. Für diese Art des Datenschutzes werden wir Bürger vermutlich aber früher oder später einen sehr hohen Preis zu zahlen haben.

Der EuGH unternimmt auch erst gar nicht den Versuch einer ergebnisoffenen Abwägung zwischen dem Persönlichkeitsrecht einerseits und der Meinungs- und Informationsfreiheit andererseits, sondern postuliert einen regelmäßigen Vorrang des Datenschutzes. An dieser Stelle zeigt sich nebenbei auch eine dogmatisch fragwürdige Gleichsetzung von Datenschutz und Persönlichkeitsrecht.Die Entscheidung des EuGH  deutet insgesamt auf einen gefährlichen Paradigmenwechsel hin, der sich in dieser Form bisher weder in der Rechtsprechung des BVerfG noch der des EGMR findet.

Dass Google im Grunde ein Medienanbieter ist, dem man auch ein Medienprivileg zubilligen kann und muss, wird vom EuGH völlig ausgeblendet.

Wer wie ich die Meinungs- und Informationsfreiheit für das vielleicht höchste Gut einer freiheitlich-demokratischen Gesellschaft hält, kann gar nicht anders, als dieses Urteil entschieden abzulehnen.

posted by Stadler at 21:31  


Die Haftung von Google und das Recht auf Vergessenwerden im Internet

Der EuGH hat mit Urteil vom heutigen Tage (Az.: C – 131/12) entschieden, dass Google als Verantwortlicher personenbezogene Daten im Sinne der Datenschutzrichtlinie verarbeitet. Das stellt nach Ansicht des EuGH einen Eingriff in die Rechte der betroffenen Personen dar, der einer Rechtfertigung bedarf.

Deshalb kann der Suchmaschinenbetreiber unter bestimmten Voraussetzungen verpflichtet sein, von der Ergebnisliste, die im Anschluss an eine anhand des Namens einer Person durchgeführte Suche angezeigt wird, Links zu von Dritten veröffentlichten Internetseiten mit Informationen über diese Person zu entfernen. Eine solche Verpflichtung kann nach Ansicht des EuGH sogar dann bestehen, wenn die Veröffentlichung an der Quelle rechtmäßig ist.

Anschließend betont der EuGH allerdings, dass eine Abwägung mit der Informationsfreiheit der Internetnutzer vorzunehmen ist.

Der EuGH führt dann weiter aus, dass aufgrund von Zeitablauf auch ein “Recht auf Vergessenwerden” besteht. In der Pressemitteilung des EuGH heißt es hierzu:

Zu der Frage, ob die betroffene Person nach der Richtlinie verlangen kann, dass Links zu Internetseiten aus einer solchen Ergebnisliste gelöscht werden, weil sie wünscht, dass die darin über sie enthaltenen Informationen nach einer gewissen Zeit „vergessen“ werden, stellt der Gerichtshof fest, dass die in der Ergebnisliste enthaltenen Informationen und Links gelöscht werden müssen, wenn auf Antrag der betroffenen Person festgestellt wird, dass zum gegenwärtigen Zeitpunkt die Einbeziehung der Links in die Ergebnisliste nicht mit der Richtlinie vereinbar ist. Auch eine ursprünglich rechtmäßige Verarbeitung sachlich richtiger Daten kann im Laufe der Zeit nicht mehr den Bestimmungen der Richtlinie entsprechen, wenn die Daten in Anbetracht aller Umstände des Einzelfalls, insbesondere der verstrichenen Zeit, den Zwecken, für die sie verarbeitet worden sind, nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen. Wendet sich die betroffene Person gegen die vom Suchmaschinenbetreiber vorgenommene Datenverarbeitung, ist u.a. zu prüfen, ob sie ein Recht darauf hat, dass die betreffenden Informationen über sie zum gegenwärtigen Zeitpunkt nicht mehr durch eine Ergebnisliste, die im Anschluss an eine anhand ihres Namens durchgeführte Suche angezeigt wird, mit ihrem Namen in Verbindung gebracht wird. Wenn dies der Fall ist, sind die Links zu Internetseiten, die diese Informationen enthalten, aus der Ergebnisliste zu löschen, es sei denn, es liegen besondere Gründe vor, z.B. die Rolle der betreffenden Person im öffentlichen Leben, die ein überwiegendes Interesse der breiten Öffentlichkeit am Zugang zu diesen Informationen über eine solche Suche rechtfertigen.

Der EuGH begründet die von ihm postulierten Löschpflichten von Google unmittelbar mit der Datenschutzrichtlinie. Diese Entscheidung bestätigt das, was von Datenschützern gerne in Abrede gestellt wird, nämlich dass das Datenschutzrecht in einem erheblichen Spannungsverhältnis zur Meinungs- und Informationsfreiheit steht. Die Entscheidung ist deshalb problematisch, weil sie zu weitreichenden Löschpflichten von Google führen wird und damit auch dazu, dass Google künftig mit einer Flut von entsprechenden Löschungsaufforderungen zu rechnen hat. Das Urteil hat das Potential, die Funktionsfähigkeit von Suchwerkzeugen erheblich einzuschränken und damit auch die Auffindbarkeit von Inhalten im Netz zu beeinträchtigen.

Das Urteil des EuGH liegt mittlerweile auch im Volltext vor. Der Volltext enthält noch einen bemerkenswerten Aspekt. Der EuGH spricht davon, dass Informationen erst durch Google einer allgemeinen Öffentlichkeit (“general public”) zugänglich gemacht werden, was bedeutet, dass sie ohne Google nur einer eingeschränkten Öffentlichkeit zugänglich sind. Google kann danach selbst bei Inhalten, die im Netz rechtmäßig veröffentlicht wurden, nicht länger davon ausgehen, dass auch die Indizierung für die Googlesuche stets rechtmäßig ist.

So manche Berichterstattung zu dem Urteil, erscheint mir nicht ganz zutreffend. Anders als SPON schreibt, geht es nicht nur um die Löschung sensibler persönlicher Daten, sondern um personenbezogene Daten ganz allgemein. Der EuGH postuliert einen grundsätzlichen Vorrang des Datenschutzrechts bzw. des Schutzes der Privatssphäre, worauf Carlo Piltz zu recht hinweist.

Auch der österreichische Medienrechtler Hans Peter Lehofer kritisiert das Urteil deutlich, ebenso wie der Berliner Kollege Niko Härting. Lehofer bringt das vom EuGH ausgelöste Dilemma mit einem Bonmot auf den Punkt:

Eine ketzerische Frage dazwischen: dürfte der Betroffene von Google auch verlangen, dass bei der Suche nach seiner Person ein Link auf dieses Urteil des EuGH aus den Ergebnlisten genommen wird (der Name des Betroffenen wurde vom EuGH nicht anonymisiert)?

Fürwahr, eine berechtigte Frage.

posted by Stadler at 10:48  


Nicht auf Augenhöhe

Ein Bundesgericht in New York hat unlängst entschieden, dass Microsoft verpflichtet werden kann, auch E-Mails und andere Inhalte die außerhalb der USA – beispielsweise auf europäischen Servern – gespeichert werden, an amerikanische Behörden herauszugeben.

Zu diesem Thema findet man ein lesenswertes Interview mit der Datenschutzrechtlerin Indra Spiecker in der FAZ. Spiecker weist auf den bislang wenig beachteten Aspekt hin, dass diese Entscheidung nicht nur amerikanische Anbieter betrifft, sondern auch europäische Anbieter die eine US-Niederlassung unterhalten. Die Reichweite des Urteils ist daher deutlich weiter, als bislang berichtet.

Spiecker merkt außerdem zurecht an, dass dieses Thema eigentlich auf die Tagesordnung des transatlantischen Freihandelsabkommen (TTIP) gehört, das gerade zwischen den USA und der EU verhandelt wird. Offenbar hat man aber datenschutzrechtliche Fragen ebenso gezielt ausgeklammert, wie sämtliche Fragen im Zusammenhang mit den Aktivitäten der NSA. Diese Fragen gehörten freilich wegen ihrer erheblichen wirtschaftlichen Bedeutung und des Potentials, den Handel zwischen der EU und den USA zu beeinträchtigen, zwingend auf die Agenda des Abkommens. Weder die EU-Kommission, noch die EU-Mitgliedsstaaten scheinen allerdings ein gesteigertes Interesse daran zu haben, auch solche Themen, die evident im Interesse der Bürger sind, auf die Tagesordnung zu bringen. Ist das Verhandlungsungleichgewicht zwischen der EU und den USA tatsächlich derart groß? Es hat fast den Anschein.

Angela Merkel jedenfalls hat in den letzten Monaten ziemlich viel Kreide gefressen. Während die Bundesregierung vor einiger Zeit noch ein No-Spy-Abkommen gefordert und empört darauf reagiert hat, dass die US-Dienste Merkels Handy abgehört haben, scheint das alles aktuell kein Thema mehr zu sein. Diese Chronologie des Scheiterns der Bundesregierung hat Constanze Kurz – ebenfalls für die FAZ – gerade nachgezeichnet. Und alle diejenigen, die ein kurzes Gedächtnis haben, sollten den Artikel von Constanze aufmerksam lesen. Man wird nach der Lektüre nämlich nicht um die Frage herumkommen, warum weder eine deutsche Regierungschefin noch eine EU-Kommission dazu in der Lage sind, auf Augenhöhe mit den Amerikanern zu verhandeln.

Das Satiremagazin Postillon titelte: “Merkel reist in USA, um sich bei Obama für NSA-Skandal zu entschuldigen”. Selten war Satire so bitter nah an der Wahrheit.

posted by Stadler at 21:36  


Acht Mythen zur Vorratsdatenspeicherung

Die Befürworter einer Vorratsdatenspeicherung führen seit Jahren, mit gewissen Modifikationen, immer dieselben Argumente ins Feld. Grund genug, die gängigsten Begründungsansätze einmal zusammenfassend unter die Lupe zu nehmen.

Mythos 1: Die Vorratsdatenspeicherung ist zur Aufklärung von Straftaten unverzichtbar

Befürworter der Vorratsdatenspeicherung behaupten seit Jahren, dass ohne dieses Instrument viele Straftaten unaufgeklärt bleiben, die man ansonsten aufklären könnte.

Tatsächlich gibt es in keinem einzigen EU-Mitgliedsstaat (empirische) Belege dafür, dass die Vorratsdatenspeicherung zu einer erhöhten Aufklärungsquote geführt hat, obwohl sie in den meisten EU-Staaten über viele Jahre hinweg praktiziert worden ist.

Eine Studie des renommierten Max Planck Instituts (MPI) für ausländisches und internationales Strafrecht weist auf diesen Umstand hin und bemängelt, dass eine zuverlässige Einschätzung des Nutzens einer Vorratsdatenspeicherung durch das Fehlen systematischer empirischer Untersuchungen erschwert würde. Gleichwohl deutet eine vom MPI durchgeführte rechtsvergleichende Betrachtung zwischen Deutschland und der Schweiz darauf hin, dass die in der Schweiz seit Jahren praktizierte Vorratsdatenspeicherung nicht zu einer systematisch höheren Aufklärungsquote geführt hat.

Der Europäische Gerichtshof (EuGH) hatte in dem Verfahren über die Rechtmäßigkeit der Vorratsdatenspeicherung den Verfahrensbeteiligten die Frage gestellt, aufgrund welcher Daten der Gesetzgeber den Nutzen der Vorratsspeicherung für die Feststellung und Verfolgung von schweren Straftaten einschätzen kann und ob es Statistiken gibt, die darauf schließen lassen, dass sich die Feststellung und Verfolgung von schweren Straftaten seit dem Erlass der Richtlinie verbessert hat. Die Kommission und die Mitgliedsstaaten waren nicht in der Lage, befriedigende Antworten auf diese Fragen zu liefern. Auch dieser Umstand dürfte dazu beigetragen haben, dass der EuGH die Richtlinie ohne jede Übergangsfrist rückwirkend für unwirksam erklärt hat, auch wenn das so nicht im Urteil steht.

Der Nutzen einer Vorratsdatenspeicherung ist also nicht belegt. Man darf annehmen, dass ein tatsächlich messbarer positiver Effekt auf die Aufklärung von Straftaten von den Polizeibehörden längst offensiv als Argument in die Debatte eingebracht worden wäre. Ganz augenscheinlich gibt es diesen messbaren Effekt aber nicht, sondern nur subjektive Eindrücke von Polizeibeamten und Sicherheitspolitikern.

Mythos 2: Die Vorratsdatenspeicherung dient nur der Bekämpfung schwerster Straftaten

Politiker und hochrangige Polizeibeamte argumentieren zur Rechtfertigung einer Vorratsdatenspeicherung regelmäßig mit der Bekämpfung von Terrorismus, organisierter Kriminalität oder Kinderpornographie. Innenminister de Maizière sprach unlängst von der Bekämpfung “schwerster Verbrechen”. Diese Rhetorik ist grob irreführend. Das deutsche Strafrecht unterscheidet Verbrechen und Vergehen. Die Vorratsdatenspeicherung soll zur Bekämpfung schwererer Straftaten eingesetzt werden, zu denen auch eine ganze Reihe von Vergehen zählen. Es geht also keineswegs nur um die Bekämpfung von Verbrechen und schon gar nicht um schwerste Verbrechen.

Wenn man mit Polizeibeamten über die Vorratsdatenspeicherung diskutiert, was ich mehrfach auch öffentlich getan habe, werden als Beispiele interessanterweise fast ausschließlich Fälle aus dem Betrugsbereich angeführt, insbesondere Fälle das Phishings. Es kann deshalb unterstellt werden, dass die Vorratsdatenspeicherung einen geringen Effekt im Bereich der Massenkriminalität haben könnte, aber wohl kaum im Bereich der Schwerstkriminalität. Das kann man den Bürgern in dieser Form natürlich nicht sagen, weil sich die Vorratsdatenspeicherung in der öffentlichen Diskussion nur mit der Notwendigkeit einer geringfügig verbesserten Bekämpfung von Massenkriminalität kaum mehr rechtfertigen ließe.

In diesem Zusammenhang muss man sich auch bewusst machen, dass laut der Polizeilichen Kriminalstatistik 2012 ca. 70 % der Internetdelikte auf Betrugsstraftaten entfielen.

Die Vorratsdatenspeicherung wird öffentlich mit der angeblichen Notwendigkeit der Bekämpfung von Terrorismus und organisierter Kriminalität begründet, obwohl man weiß, dass sie im Kern anderen Zwecken dient.

Mythos 3: Bei der Vorratsdatenspeicherung werden nur Verbindungsdaten gespeichert

Neben den Verbindungsdaten wurden bei der Vorratsdatenspeicherung auch sog. Standortdaten und Gerätekennungen (insbesondere die sog. IMEI bei Handys) gespeichert. Die unlängst vom EuGH für unwirksam erklärte Richtlinie zur Vorratsdatenspeicherung definierte die zu speichernden Daten folgendermaßen:

Verkehrsdaten und Standortdaten sowie alle damit in Zusammenhang stehende Daten, die zur Feststellung des Teilnehmers oder Benutzers erforderlich sind.

Die deutsche Regelung umfasste u.a. Anschlusskennungen, Beginn und Ende der Verbindung, die internationale Kennung des Anschlusses und die internationale Kennung des Endgeräts, die Angabe der Funkzellen des anrufenden und des angerufenen Mobilfunkanschlusses, IP-Adressen und E-Mail-Adressen.

Malte Spitz, Politiker der Grünen, hat 2011 seinen Mobilfunkprovider auf Herausgabe der zu seiner Person gespeicherten Verkehrsdaten in Anspruch genommen. Geliefert wurden ihm schließlich 35.000 (!) Datensätze, die ein fast lückenloses Bewegungsprofil ergeben. Für den Zeitraum von Ende August 2009 bis Ende Februar 2010 wurden diese Daten von ZEIT-Online umgesetzt und mit im Netz verfügbaren Informationen (aus Twitter oder seinem Blog) zur Person von Malte Spitz verknüpft. Man kann damit für einen Zeitraum von 6 Monaten praktisch minutiös nachvollziehen, wo Malte Spitz sich gerade aufgehalten hat.

Dass Verbindungsdaten umfangreiche Rückschlüsse auf die dahinter stehenden Personen und deren Aktivitäten erlauben, haben Wissenschaftler der Universität Stanford unlängst in einer Studie nachgewiesen. Aus der Kombination unterschiedlicher Daten lassen sich häufig umfassende Persönlichkeits- und Bewegungsprofile erstellen.

Mythos 4: In Norwegen hat die Vorratsdatenspeicherung zur schnellen Aufklärung der Morde von Anders Breivik beigetragen

Diese Behauptung hört man immer wieder, sie wurde sogar vom SPD-Vorsitzenden und Vizekanzler Sigmar Gabriel verbreitet. Richtig ist, dass Breivik unmittelbar nach der Tat noch vor Ort auf der Insel Utøya festgenommen wurde. In Norwegen gab es zu diesem Zeitpunkt außerdem überhaupt keine (umgesetzte) Vorratsdatenspeicherung, worauf Gabriel anschließend sogar von Netzpolitikern der SPD hingewiesen wurde.

Von ähnlicher Qualität ist die Behauptung, die Morde der NSU hätten durch eine Vorratsdatenspeicherung (früher) aufgeklärt werden können. Für diese eher abwegige These gibt es keinerlei Anhaltspunkte. Die Aufklärung der NSU-Morde ist vor allem durch ein Behördenversagen erschwert worden. Damit TK-Verkehrsdaten überhaupt zu Erkenntnissen hätten führen können, hätte man zumindest das Umfeld der Täter eingrenzen müssen, was den Behörden bekanntlich nicht gelungen war. Um nachträglich festzustellen, wer aus dem NSU-Umfeld unmittelbar vor oder nach den Taten mit wem telefoniert hat, hätte man die Daten mehr als 10 Jahre speichern müssen. Denn die Polizei hatte bis zum Selbstmord von Mundlos und Böhnhardt Ende 2011 noch nicht einmal den Hauch einer Ahnung, wer hinten den 10 Morden steckt und, dass es sich um dieselben Täter handelt. Und selbst dann hätte man zunächst feststellen müssen, mit welchen Mobilfunkverträgen die Mitglieder des NSU ab dem Jahr 2000 telefoniert haben. Ob sich hieraus aber überhaupt brauchbare Erkenntnisse hätten ergeben können, bleibt darüberhinaus zweifelhaft. Letztlich handelt es sich hierbei um eine wüste Spekulation, der es an jeglicher tatsächlichen Grundlage mangelt. Ausweislich einer Untersuchung des Max-Planck-Instituts gibt es europaweit keine Erkenntnisse über einen Nutzen der Vorratsdatenspeicherung im Bereich der Terrorbekämpfung.

Mythos 5: Ohne Vorratsdatenspeicherung können Straftaten im Internet praktisch nicht mehr aufgeklärt werden

Dies wird von Vertretern der Polizeibehörden gerne als Argument angeführt.  Diese Aussage wird bereits durch einen Blick in die Polizeiliche Kriminalstatistik (PKS) widerlegt. Die Aufklärungsquote bei Straftaten mit dem Tatmittel Internet betrug im Jahre 2012 60,1 %. Die durchschnittliche Aufklärungsquote aller erfassten Straftaten lag nach der PKS im Jahre 2012 demgegenüber nur bei 54,4 %. Die Aufklärungsquote ist bei Internetstraftaten in Deutschland also auch ohne eine Vorratsdatenspeicherung überdurchschnittlich hoch.

Wer so argumentiert, erweckt außerdem den unzutreffenden Eindruck, die Telekommunikationsunternehmen würden derzeit überhaupt keine Verbindungs- und Standortdaten mehr speichern. Das Gegenteil ist richtig. Die Speicherpraxis ist allerdings von Anbieter zu Anbieter sehr unterschiedlich und unterscheidet sich auch danach, ob es sich um einen Festnetz-, Mobilfunk- oder Internetanschluss handelt. Es gibt zu diesem Themenkomplex Erhebungen der Bundesnetzagentur und einen nicht offiziell veröffentlichten Leitfaden der Generalstaatsanwaltschaft München. Speziell im Mobilfunkbereich werden danach Verkehrsdaten regelmäßig für einen längeren Zeitraum von mindestens 30 Tagen, bei manchen Anbietern sogar bis zu 180 Tagen gespeichert. Solange bei den TK-Anbietern gespeicherte Daten vorliegen, können diese grundsätzlich auch beauskunftet werden. Auch ohne eine gesetzliche Regelung einer Vorratsdatenspeicherung liegen damit also Verkehrsdaten für einen gewissen Zeitraum regelmäßig vor.

Mythos 6: Der Polizei müssen alle technisch möglichen Instrumentarien auch zur Verfügung gestellt werden

Nein. In einem Rechtsstaat gibt es keine Strafermittlung um jeden Preis. Darin besteht nämlich gerade der Unterschied zu Unrechtsstaaten wie der DDR, die jede Form der Überwachung und Kontrolle des Bürgers für legitim hielten. Der Rechtsstaat muss auf eine Totalüberwachung verzichten und damit evtl. einhergehende Defizite bei der Kriminalitätsbekämpfung in Kauf nehmen. Die aktuelle Diskussion um die Praktiken amerikanischer und britischer Geheimdienste, in der man auch den BND nicht aus den Augen verlieren sollte, wirft ohnehin die Frage auf, ob die Trennlinie zwischen Rechts- und Überwachungsstaat nicht längst überschritten ist.

In diesem Zusammenhang ist es auch notwendig, Instrumente wie die Vorratsdatenspeicherung nicht isoliert zu betrachten, sondern vielmehr eine Überwachungsgesamtbetrachtung anzustellen. Man erkennt dann, dass den Polizei- und Sicherheitsbehörden, eine ganze Fülle unterschiedlicher gesetzlicher Grundlagen für eine äußerst weitreichende Überwachung der Telekommunikation zur Verfügung stehen. Die Telekommunikationsüberwachung hat in Deutschland in ihrer Gesamtheit mittlerweile ein bedenkliches Ausmaß angenommen, das sich nur erfassen und bewerten lässt, wenn man sämtliche Befugnisse und Maßnahmen der TK-Überwachung in ihrer Gesamtheit betrachtet, was praktisch nie gemacht wird. Den meisten Bürgern ist das Ausmaß dessen, was der Staat tatsächlich darf und häufig auch über das gesetzlich zulässige Maß hinaus praktiziert, nicht ausreichend bewusst.

Mythos 7: Eine verfassungskonforme Neuregelung der Vorratsdatenspeicherung wäre problemlos möglich

Bereits die Umsetzung des Urteils des Bundesverfassungsgerichts hätte dem Gesetzgeber erhebliche Schwierigkeiten bereitet. Das BVerfG verlangt hinreichend anspruchsvolle und normenklare Regelungen hinsichtlich der Datensicherheit, der Datenverwendung, der Transparenz und des Rechtsschutzes.

Die Entscheidung des EuGH geht in entscheidenden Punkten aber noch über den Karlsruher Richterspruch hinaus. Anders als das BVerfG erläutert der EuGH auch nicht weiter, welche Anforderungen an eine grundrechtskonforme Regelung zu stellen sind, sondern beschränkt sich darauf zu begründen, warum die geltende Richtlinie unverhältnismäßig ist. Die Vorgaben des EuGH dürften kaum in rechtssicherer Art und Weise gesetzlich umsetzbar sein. Auch wenn der EuGH also eine Vorratsdatenspeicherung nicht per se für unzulässig hält, ist derzeit unklar, wie eine grundrechtskonforme gesetzliche Regelung aussehen müsste.

Mythos 8: Deutschland hat durch die Nichtumsetzung der Vorratsdatenspeicherung nach dem Urteil des BVerfG gegen Europarecht verstoßen

Nein. Der EuGH hat die Grundrechtsverstöße durch die Richtlinie über die Vorratsdatenspeicherung für so schwerwiegend erachtet, dass er die Richtlinie ohne Übergangsregelung rückwirkend für rechtsunwirksam erklärt hat. Es hat also zu keinem Zeitpunkt eine grundrechtskonforme und rechtswirksame europarechtliche Vorgabe für eine Vorratsdatenspeicherung gegeben. Durch das Urteil des EuGH hat sich vielmehr herausgestellt, dass Deutschland derzeit der einzige Mitgliedsstaat der EU ist, der die Vorratsdatenspeicherung korrekt umgesetzt hat, nämlich gar nicht.

posted by Stadler at 11:34  


Ist die Vorratsdatenspeicherung nach der Entscheidung des EuGH tot?

Auf Heise-Online sind vorgestern im Abstand von weniger als 30 Minuten zwei Artikel erschienen, deren Überschriften und inhaltliche Aussage gegensätzlicher nicht sein könnten. Während der frühere Bundesdatenschutzbeauftragte Peter Schaar in einem Gastbeitrag die These vertritt, der EuGH habe die Vorratsdatenspeicherung beerdigt, wird über BKA-Präsident Ziercke berichtet, er würde an der Vorratsdatenspeicherung festhalten.

Kurz nach dem Urteil des EuGH, das schon deshalb überraschend war, weil es die Richtlinie ohne Übergangsregelung rückwirkend für ungültig erklärt hat, stehen sich, was die Bewertung der Entscheidung angeht, zwei Auffassungen gegenüber. Die einen, wie Ziercke und eine Reihe konservativer Politiker, meinen, der EuGH habe in etwa so entschieden wie das BVerfG vor einigen Jahren, weshalb man jetzt in Deutschland, orientiert an den Vorgaben aus Karlsruhe, zügig ein neues Gesetz angehen könne. Die anderen, wie beispielsweise Schaar, meinen, der EuGH habe einer anlasslosen Datenspeicherung eine Absage erteilt und damit eine Vorratsdatenspeicherung praktisch unmöglich gemacht.

Entspricht die Entscheidung des EuGH inhaltlich dem Urteil des BVerfG?

Nach aufmerksamer Lektüre der Entscheidung des EuGH muss man jedenfalls erkennen, dass die Argumentation des EuGH sich nur in Teilen mit der des BVerfG deckt und in einigen Punkten deutlich über den Karlsruher Richterspruch hinausgeht.

Die Rn. 57 – 59 des EuGH-Urteils lassen sich dahingend interpretieren, dass die anlasslose Speicherung sämtlicher TK-Verbindungsdaten, die ohne jede Ausnahme und ohne jede Differenzierung stattfindet, problematisch ist. Der EuGH stellt nämlich explizit darauf ab, dass auch Daten von Personen gespeichert werden, bei denen keinerlei Anhaltspunkt dafür besteht, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten steht. Außerdem bemängelt der EuGH, dass die Vorratsspeicherung weder auf die Daten eines bestimmten Zeitraums und/oder eines bestimmten geografischen Gebiets und/oder eines bestimmten Personenkreises beschränkt ist.

Wenn man aus diesen Ausführungen die Schlussfolgerung zieht, dass nicht ausnahmslos alle Daten gespeichert werden können, sondern bereits im ersten Schritt der Speicherung Einschränkungen vorzunehmen sind, ergibt sich ein qualitativ essentieller Unterschied zur Rechtsprechung des BVerfG, die die Speicherung als solche nicht eingeschränkt hat, sondern im Wesentlichen nur den Zugang zu den gespeicherten Daten exakter und restriktiver geregelt haben möchte. Sofern man das Urteil des EuGH in diesem Sinne interpretiert, dürfte eine gesetzliche Neuregelung der Vorratsdatenspeicherung tatsächlich schwierig sein, denn eine Differenzierung und Einschränkung bereits bei den zu speichernden Daten, bzw. den Personen, deren Daten gespeichert werden, steht im Widerspruch zum Konzept der anlasslosen Pauschalspeicherung. Man kann das Urteil des EuGH aber auch dahingehend interpetieren, dass sich die Unverhältnismäßigkeit nicht allein aus diesem Aspekt ergibt, sondern erst aus der Gesamtschau aller bzw. mehrerer vom EuGH beanstandeter Mängel, wie zusätzlich dem Fehlen von Garantien zur Verhinderung des Missbrauchs der Daten bzw. des unberechtigten Zugriffs.

Der EuGH hat zudem erklärt, dass er die von der Richtlinie vorgesehene Speicherdauer von sechs Monaten bis zu zwei Jahren für unverhältnismäßig erachtet, während das BVerfG eine Speicherdauer von sechs Monaten für noch zulässig hält. Der EuGH nennt in seiner Entscheidung allerdings keine konkrete Grenze, weshalb unklar bleibt, ob sechs Monate noch zulässig sind oder ob die Speicherdauer vielleicht auch deutlich verkürzt werden muss, auf beispielsweise zwei oder drei Monate.

Auch die vom BVerfG vorgenommene Differenzierung zwischen unmittelbarem und mittelbarem Abruf von Verkehrsdaten, die im Karlsruher Urteil ausführlich dargestellt wurde, findet sich in der Entscheidung des EuGH nicht wieder. Es muss deshalb davon ausgegangen werden, dass für alle Arten von Daten und für alle Formen des behördlichen Abrufs grundsätzlich dieselben (strengen) Anforderungen zu gelten haben.

Die Übereinstimmung zwischen der Entscheidung des EuGH und des BVerfG besteht insbesondere darin, dass beide Gerichte – in den Worten des BVerfG – hinreichend anspruchsvolle und normenklare Regelungen hinsichtlich der Datensicherheit, der Datenverwendung, der Transparenz und des Rechtsschutzes verlangen.

Während die Vorgaben des BVerfG noch relativ konkret sind, bleibt nach der Entscheidung des EuGH eher unklar, wie die vom EuGH postulierte Beschränkung der Vorratsdatenspeicherung auf das absolut Notwendige exakt ausgestaltet werden kann bzw. ob eine solche Ausgestaltung überhaupt möglich ist.

Der EuGH hat – anders als das BVerfG – letztlich nur die bestehende Richtlinie als unverhältnismäßig qualifiziert, ohne dem Gesetzgeber klare Kriterien vorzugeben, welche Anforderungen an eine rechtmäßige und grundrechtskonforme Vorratsdatenspeicherung zu stellen sind.

Rechtmäßige Umsetzung der Vorratsdatenspeicherung wird schwierig

Es bleibt festzuhalten, dass der EuGH die Vorratsdatenspeicherung zwar nicht komplett beerdigt hat, aber eine rechtskonforme gesetzliche Regelung gerade auch im Vergleich zu den Vorgaben des BVerfG nochmals deutlich erschwert hat.

Ob sich die EU-Kommission erneut an eine Richtlinie wagen wird, darf angesichts des Umstandes, dass die Entscheidung des EuGH nicht rechtssicher umgesetzt werden kann, eher bezweifelt werden.

Ob sich in Deutschland eine politische Mehrheit für einen Neuanlauf findet, erscheint mir offen zu sein. Der politische Prozess in Deutschland wird allerdings relativ stark von den Vertretern der Polizei- und Sicherheitsbehörden beeinflusst, die den politischen Entscheidern auf Bundes- und Landesebene seit Jahren einreden, die Vorratsdatenspeicherung sei unerlässlich für die Kriminalitätsbekämpfung, obwohl es dafür keinerlei empirischen Nachweise gibt und den Behörden in vielen Fällen wesentlich effektivere und ohnehin bereits bedenklich weitreichende Möglichkeiten der TK-Überwachung zur Verfügung stehen. Die letzten Äußerungen von Innenminister de Maizière und Polizeivertretern deuten jedenfalls nicht darauf hin, dass die Diskussion künftig sachlicher geführt werden wird. Es wird also vieles davon abhängen, wer die Deutungshoheit und Meinungsführerschaft erlangt. Es gibt in allen Parteien Gegner der Vorratsdatenspeicherung. Ob sich diese gegen die Angst-Rhetorik der Innenpolitiker und Polizeibeamten durchsetzen können, wird sich zeigen. Die Uhren sind vom EuGH jedenfalls wieder auf null gestellt worden und diesen Umstand müssen auch wir kritische Bürger nutzen, um uns in dieser Diskussion Gehör zu verschaffen. Denn schließlich sind es unsere Daten, die gespeichert werden sollen.

posted by Stadler at 11:05  


EuGH kassiert Richtlinie über Vorratsdatenspeicherung komplett

Zu der mit Spannung erwarteten Entscheidung des Europäischen Gerichtshofs (EuGH) zur Vorratsdatenspeicherung (Urteil vom 08.04.2014, Az.: C – 293/12 und C – 594/12) liegt bislang nur die Pressemitteilung vor.

Die gute Nachricht lautet in jedem Fall, dass der EuGH die Richtlinie vollständig für ungültig erklärt hat und insoweit eine zeitliche Begrenzung nicht vorgenommen hat. Es gibt damit keinerlei Übergangsregelungen, die Unwirksamkeit wirkt auf den Zeitpunkt des Inkrafttretens der Richtlinie zurück.

Damit steht auch fest, dass es keine europarechtliche Verpflichtung der Bundesrepupublik Deutschland gibt, eine Vorratsdatenspeicherung einzuführen.

Ob und in welchem Umfang die Entscheidung des EuGH Raum bietet für den Erlass einer neuen Richtlinie, wird sich erst nach eingehender Lektüre des Volltexts beurteilen lassen. Die politische Diskussion muss nach dieser Entscheidung von vorne beginnen, ein nationaler Alleingang und Schnellschuss in Deutschland – den die Union offenbar plant – ist nicht tunlich.

Der EuGH sieht in der Verpflichtung zur Vorratsspeicherung und der Gestattung des Zugangs der zuständigen nationalen Behörden zu ihnen einen besonders schwerwiegenden Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten.

Das Gericht geht allerdings davon aus, dass der Eingriff gerechtfertigt sein könnte, aber durch die konkrete Ausgestaltung der Richtlinie nicht ist. In der Pressemitteilung des EuGH heißt es hierzu:

Zwar ist die nach der Richtlinie vorgeschriebene Vorratsspeicherung der Daten zur Erreichung des mit ihr verfolgten Ziels geeignet, doch beinhaltet sie einen Eingriff von großem Ausmaß und von besonderer Schwere in die fraglichen Grundrechte, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Erstens erstreckt sich die Richtlinie nämlich generell auf sämtliche Personen, elektronische Kommunikationsmittel und Verkehrsdaten, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen.

Zweitens sieht die Richtlinie kein objektives Kriterium vor, das es ermöglicht, den Zugang der zuständigen nationalen Behörden zu den Daten und deren Nutzung zwecks Verhütung, Feststellung oder strafrechtlicher Verfolgung auf Straftaten zu beschränken, die im Hinblick auf das Ausmaß und die Schwere des Eingriffs in die fraglichen Grundrechte als so schwerwiegend angesehen werden können, dass sie einen solchen Eingriff rechtfertigen. Die Richtlinie nimmt im Gegenteil lediglich allgemein auf die von jedem Mitgliedstaat in seinem nationalen Recht bestimmten „schweren Straftaten“ Bezug. Überdies enthält die Richtlinie keine materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung. Vor allem unterliegt der Zugang zu den Daten keiner vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle.

Drittens schreibt die Richtlinie eine Dauer der Vorratsspeicherung der Daten von mindestens sechs Monaten vor, ohne dass eine Unterscheidung zwischen den Datenkategorien anhand der betroffenen Personen oder nach Maßgabe des etwaigen Nutzens der Daten für das verfolgte Ziel getroffen wird.

Die Speicherungsfrist liegt zudem zwischen mindestens sechs und höchstens 24 Monaten, ohne dass die Richtlinie objektive Kriterien festlegt, die gewährleisten, dass die Speicherung auf das absolut Notwendige beschränkt wird. Darüber hinaus stellt der Gerichtshof fest, dass die Richtlinie keine hinreichenden Garantien dafür bietet, dass die Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang und jeder unberechtigten Nutzung geschützt sind. Unter anderem gestattet sie es den Diensteanbietern, bei der Bestimmung des von ihnen angewandten Sicherheitsniveaus wirtschaftliche Erwägungen (insbesondere hinsichtlich der Kosten für die Durchführung der Sicherheitsmaßnahmen) zu berücksichtigen, und gewährleistet nicht, dass die Daten nach Ablauf ihrer Speicherungsfrist unwiderruflich vernichtet werden.

Der Gerichtshof rügt schließlich, dass die Richtlinie keine Speicherung der Daten im Unionsgebiet vorschreibt. Sie gewährleistet damit nicht in vollem Umfang, dass die Einhaltung der Erfordernisse des Datenschutzes und der Datensicherheit durch eine unabhängige Stelle überwacht wird, obwohl die Charta dies ausdrücklich fordert. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten.

Der Volltext der Entscheidung ist leider nicht wesentlich ergiebiger als die Pressemitteilung. Der EuGH hat keine wirklich konkreten Vorgaben gemacht, wie seine Rechtsprechung in eine grundrechtskonforme Richtliniengestaltung umzusetzen sein könnte.

Bereits das Urteil des BVerfG ist nicht einfach umsetzbar, aber nach dieser Entscheidung lässt sich juristisch kaum mehr prognostizieren, wo genau die Grenzen einer zulässigen und grundrechtskonformen Vorratsdatenspeicherung verlaufen.

Es könnte zwar durchaus einen neuen Anlauf für eine Vorratsdatenspeicherung geben, sowohl auf europäischer als auch auf nationaler Ebene. Stichhaltige Kriterien für eine grundrechtskonforme Ausgestaltung liefert der EuGH aber nicht. Vielleicht war auch genau das seine Absicht. Man darf deshalb annehmen, dass es so schnell keine neue Richtlinie über eine Vorratsdatenspeicherung geben wird, weil niemand so genau sagen kann, wie sie auszugestalten wäre. Was das für die Ambitionen von Bundesinnenminister de Maizière bedeutet, der gestern noch kräftig für eine züggige Einführung der Vorratsdatenspeicherung trommelte, bleibt abzuwarten. Mit Brecht könnte man also sagen: “Den Vorhang zu und alle Fragen offen.”

Der österreichische Kollege Hans Peter Lehofer weist allerdings zu recht darauf hin, dass auch eine (autonome) nationale Regelung den Anforderungen des EuGH genügen muss. Man kann also in Deutschland keinesfalls nunmehr am Maßstab der Entscheidung des BVerfG eine Neuregelung stricken, sondern muss vielmehr die vermutlich strengeren, jedenfalls unklareren Vorgaben des EuGH ebenfalls berücksichtigen.

posted by Stadler at 12:29  


De Maizière trommelt für die Vorratsdatenspeicherung

Der EuGH wird bekanntlich morgen über die Richtlinie zur Vorratsdatenspeicherung entscheiden. Es ist damit zu rechnen, dass der EuGH, entsprechend des Votums des Generalanwalts, die geltende Richtlinie kippen, aber einer Vorratsdatenspeicherung keine generelle Absage erteilen wird. Alles andere wäre jedenfalls eine große Überraschung.

Die Bundesregierung plant aber offenbar – unabhängig davon, ob eine europarechtliche Verpflichtung dazu besteht oder nicht – eine zügige Wiedereinführung der Vorratsdatenspeicherung, wobei man zumindest versuchen wird, die Vorgaben des BVerfG und des EuGH umzusetzen. Dieses Vorhaben dürfte gesetzgeberisch alles andere als trivial sein. Eine Neuregelung wird vermutlich auch neue Verfassungsbeschwerden nach sich ziehen. Der deutsche Gesetzgeber hat aber noch nie davor zurückgeschreckt, verfassungsrechtlich problematische Gesetze auf den Weg zu bringen.

Bundesinnenminister de Maizière trommelt derweil auch schon wieder kräftig für die Vorratsdatenspeicherung und zwar mit der Aussage:

Wir brauchen die zeitlich begrenzte Speicherung von Verbindungsdaten für die Bekämpfung schwerster Verbrechen.

Man darf erstaunt darüber sein, dass es dem Innenminister gelungen ist, in einem derart kurzen Satz drei Unrichtigkeiten unterzubringen.

Die Aussage suggeriert, dass die Vorratsdatenspeicherung nur zur Bekämpfung von Verbrechen angewandt werden soll und zwar zusätzlich eingeschränkt auf schwerste Verbrechen. Richtig ist demgegenüber, dass man einen Katalog sog. schwerer Straftaten aufstellen will, vermutlich angelehnt an § 100a StPO. Dieser Katalog enthält neben Verbrechenstatbeständen auch eine Vielzahl schwerer Vergehen. Die Vorratsdatenspeicherung wird also keineswegs auf schwerste Verbrechen beschränkt bleiben, wie de Maizière behauptet, sondern ein wesentliches größeres Spektrum an schwereren Straftaten abdecken. Alle Polizeibeamte, mit denen ich bisher gesprochen und diskutiert habe, haben sich auch immer nur auf Einzel- und Beispielsfälle aus dem Bereich der Massenkriminalität bezogen, insbesondere aus dem Betrugsbereich. Das wäre in jedem Fall der Hauptanwendungsbereich einer Vorratsdatenspeicherung und keinesfalls die Bekämpfung von Terrorismus oder organisierter Kriminalität.

Es wird vom Innenminister zudem der Eindruck erweckt, es ginge nur um sog. Verbindungsdaten. Tatsächlich hatte die vom BVerfG kassierte Regelung, wie auch die EU-Richtlinie, auch Standortdaten zum Gegenstand. Erst die Kombination von Verbindungs- und Standortdaten ermöglicht ein relativ exaktes Bewegungsprofil einer Person über einen längeren Zeitraum hinweg. Wie so ewtas konkret aussieht, hat der Grünenpolitiker Malte Spitz anhand seiner eigenen Daten mit Unterstütung von ZEIT-Online vor eniger Zeit anschaulich dargestellt.

Die Aussage de Maizières erweckt schließlich den Eindruck, die Vorratsdatenspeicherung sei zur Verbrechensbekämpfung notwendig. Tatsächlich gibt es in ganz Europa keinerlei (empirische) Nachweise für den Nutzen der Vorrastdatenspeicherung zu Zwecken der Kriminalitätsbekämpfung bzw. – vermeidung.

Eine Studie des Max Planck Instituts (MPI) für ausländisches und internationales Strafrecht weist auf diesen Umstand hin und bemängelt, dass eine zuverlässige Einschätzung des Nutzens einer Vorratsdatenspeicherung durch das Fehlen systematischer empirischer Untersuchungen erschwert würde. Gleichwohl deutet eine vom MPI durchgeführte rechtsvergleichende Betrachtung zwischen Deutschland und der Schweiz darauf hin, dass die in der Schweiz seit Jahren praktizierte Vorratsdatenspeicherung nicht zu einer systematisch höheren Aufklärungsquote geführt hat.

Es zeigt sich also einmal mehr, dass Fakten in dieser Diskussion kaum eine Rolle spielen.

posted by Stadler at 14:58  


LG Frankfurt: Auf Tracking muss vorab hingewiesen werden

Das Landgericht Frankfurt überrascht mit einer interessanten Entscheidung. Es hat einen Webseitenbetreiber dazu verurteilt, die Nutzung des Trackingtool Piwik zu unterlassen, sofern zu Beginn des Nutzungsvorgangs nicht auf den Einsatz der Trackingsoftware hingewiesen wird. (Urteil vom 18.02.2014, Az 3-10 O 86-12).

Die Urteilsbegründung des Landgerichts ist inhaltlich allerdings nicht ganz stimmig. Das Landgericht geht davon aus, dass wegen einer Anonymisierung der IP-Adressen überhaupt keine personenbezogenen Daten betroffen sind. Wenn dem so ist, dann sind die datenschutzrechtlichen Vorschriften der §§ 11 ff. TMG erst gar nicht anwendbar, weshalb es auch zu keinem Verstoß gegen § 15 Abs. 3 TMG gekommen sein kann.

Das Gericht möchte anschließend aber offenbar Anonymisierung und Pseudonymisierung gleichsetzen und meint, § 15 Abs. 3 TMG würde – entgegen seines Wortlauts – auch für anonymisierte Daten gelten. Diese Argumentation ist nicht konsistent.

Interessant bleibt aber die weitere Schlussfolgerung des Gerichts, dass auch bei unvollständig anonymisierten IP-Adressen die Pflicht des § 13 Abs. 1 TMG besteht, den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten. Eine Datenschutzerklärung, die in der Rubrik Kontakt zu finden ist, genügt hierfür nach Ansicht des Gerichts aber nicht.

Dieser Logik folgend wäre dann aber nicht nur jegliches Tracking oder der Einsatz von Cookies problematisch, sondern natürlich auch die Erstellung von Logfiles, die praktisch auf jedem Webserver stattfindet.

Man kann datenschutzrechtliche Vorschriften natürlich so auslegen, aber man kann die alltägliche Internetkommunikation, die jeder von uns betreibt, dann eben nicht mehr datenschutzkonform abbilden. Das aber dann nur den Gerichten, wie hier dem LG Frankfurt, anzulasten, wäre unfair. Das Problem als solches ist in der Konstruktion unseres Datenschutzrechts angelegt.

Während wir (Juristen) immer noch über IP-Adressen und Cookies diskutieren, ist die Karawane ohnehin längst weitergezogen. Technologien wie das Browser Fingerprinting werden den Einsatz von Cookies obsolet machen und die Fokussierung der Datenschützer auf die IP-Adressen lenkt nur von anderen, bedenklicheren Entwicklungen ab.

Dass das Gericht § 15 TMG als Markverhaltensregel im Sinne des UWG einordnet, ist am Ende wenig überraschend. Denn der Trend, Datenschutzverstöße als wettbewerbswidrig zu qualifizieren, verfestigt sich in der Rechtsprechung in letzter Zeit.

posted by Stadler at 14:54  
« Vorherige SeiteNächste Seite »