Internet-Law

Der EuGH hat heute (Urteil vom 19.04.2012, Az.: C?461/10) entschieden, dass Auskunftsansprüche gegen Internet-Service-Provider, die in Mitgliedstaaten auf Grundlage der sog. Enforcement-Richtlinie geschaffen wurden – in Deutschland betrifft dies § 101 Abs. 2, Abs. 9 UrhG – sowohl mit der Richtlinie über die Vorratsdatenspeicherung als auch mit der Datenschutzrichtlinie vereinbar sind. Mithilfe dieser Auskunftsansprüche werden in Fällen des Filesharing die von den Rechteinhabern ermittelten IP-Adressen dann von den Providern einem Kunden bzw. Anschlussinhaber zugeordnet.

In der Formulierung des EuGH

Die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) und die Richtlinie 2004/48 sind dahin auszulegen, dass sie nationalen Rechtsvorschriften wie den im Ausgangsverfahren in Rede stehenden nicht entgegenstehen, soweit es diese Rechtsvorschriften dem nationalen Gericht, bei dem eine klagebefugte Person beantragt hat, die Weitergabe personenbezogener Daten anzuordnen, ermöglichen, anhand der Umstände des Einzelfalls und unter gebührender Berücksichtigung der sich aus dem Grundsatz der Verhältnismäßigkeit ergebenden Erfordernisse eine Abwägung der einander gegenüberstehenden Interessen vorzunehmen.

erkenne ich freilich die deutsche Rechtswirklichkeit bei richterlichen Auskunftsbeschlüssen nach § 101 Abs. 9 UrhG kaum wieder. Denn eine Prüfung des Einzelfalls, die den Grundsatz der Verhältnismäßigkeit gebührend berücksichtigen würde, findet bei deutschen Gerichten schlicht nicht statt. Es ist vielmehr so, dass die nach § 101 Abs. 9 UrhG angerufenen Gerichte massenhaft, tetxbausteinartig und ohne jegliche Einzelfallprüfung diejnigen Auskunftsbeschlüsse erlassen, die den Provider erst ermächtigen, die Daten seines Kunden herauszugeben. Mir liegen diesbezüglich eine ganze Reihe von Akteneinsichten, insbesondere des Landgerichts Köln, vor, die dieses schematische und textbausteinartige Vorgehen des Gerichts belegen. Der eigentlich als zusätzliche Hürde gedachte Richtervorbehalt verkommt dadurch zur bloßen Makulatur.

Eine gute Erläuterung des Urteils liefert auch der Kollege Dosch.

Die durch EU-Verordnung geschaffene Behörde BEREC (Body of European Regulators for Electronic Communications) hat der Kommission einen ersten Bericht über Providerpraktiken zum „Traffic Management“ vorgelegt. Der Bericht gelangt zu dem Ergebnis, dass die Blockade von VoIP- und P2P-Traffic üblich ist, wobei die Internettelefonie (VoIP) primär im Mobilfunkbereich blockiert wird, zumeist entsprechend vertraglich vorgesehener Einschränkungen, während der Zugriff auf Peer-To-Peer-Netzwerke vorwiegend im Festnetzbereich beschränkt wird. Sofern ein solcher Blockademechanismus implementiert ist, wird er nach den Erkenntnissen von BEREC zumeist im Wege der Deep-Packet-Inspection (DPI) umgesetzt.

Darüber hinaus hat BEREC eine große Bandbreite weiterer Maßnahmen festgestellt, die unterschiedlich weit verbreitet sind. Hierzu gehört die Drosselung des Streamings ebenso wie die bevorzugte Behandlung bestimmter Services.  Die hierzulande vieldiskutierte Idee der Einführung von Diensteklassen scheint also bereits der Praxis einer ganzen Reihe von Providern zu entsprechen.

Der Bericht der BEREC – bislang ist nur eine Pressemitteilung veröffentlicht – wird die Netzneutralitätsdiskussion vermutlich wieder befeuern. Axel Spieß berichtet im Beck-Blog ergänzend von einem Konsultationsverfahren von BEREC zur Nicht-Diskriminierung.

Mit Urteil vom 16.02.2012 (Az.: C?360/10) hat der EuGH entschieden, dass den Betreiber eines sozialen Netzwerkes keine allgemeine Filterpflicht trifft, um die urheberrechtswidrige Nutzung musikalischer und audiovisueller Werke zu verhindern.

Der EuGH führt zunächst aus, dass er den Betreiber eines sozialen Netzwerkes als Hosting-Provider betrachtet, soweit er für die Nutzer seines Dienstes Inhalte speichert. Sodann bezieht sich der EuGH auf Art. 15 Abs. 1 der E-Commerce-Richtlinie und betont, dass es danach nationalen Stellen untersagt ist, Maßnahmen zu erlassen, die einen Hosting-Anbieter verpflichten würden, von ihm gespeicherte Informationen generell zu überwachen.

Die Anordnung ein Filtersystem einzurichten, würde nach Einschätzung des Gerichtshofs eine präventive Überwachung  und eine aktive Beobachtung der von den Nutzern beim Hosting-Anbieter gespeicherten Dateien erfordern. Eine solche Anordnung würde den Hosting-Anbieter zu einer allgemeinen Überwachung verpflichten, die nach Art. 15 Abs. 1 der E-Commerce-Richtlinie gerade verboten ist.

Sehr instruktiv sind folgende Ausführungen des EuGH zur Abwägung der Interessen der Rechteinhaber und der Hosting-Anbieter, sowie insbesondere zu den Grundrechten der Nutzer auf Informationsfreiheit und den Schutz ihrer personenbezogenen Daten:

Unter diesen Umständen ist festzustellen, dass die Anordnung, das streitige Filtersystem einzurichten, als Missachtung des Erfordernisses der Gewährleistung eines angemessenen Gleichgewichts zwischen dem Schutz des Rechts am geistigen Eigentum, das Inhaber von Urheberrechten genießen, und dem Schutz der unternehmerischen Freiheit, der Wirtschaftsteilnehmern wie den Hosting-Anbietern zukommt, einzustufen ist (vgl. entsprechend Urteil Scarlet Extended, Randnr. 49).

Darüber hinaus würden sich die Wirkungen dieser Anordnung nicht auf den Hosting-Anbieter beschränken, weil das streitige Filtersystem auch Grundrechte der Nutzer der Dienste dieses Anbieters beeinträchtigen kann, und zwar ihre durch die Art. 8 und 11 der Charta geschützten Rechte auf den Schutz personenbezogener Daten und auf freien Empfang oder freie Sendung von Informationen.

Die Anordnung, das streitige Filtersystem einzurichten, würde nämlich zum einen die Ermittlung, systematische Prüfung und Verarbeitung der Informationen in Bezug auf die auf dem sozialen Netzwerk von dessen Nutzern geschaffenen Profile bedeuten, wobei es sich bei den Informationen in Bezug auf diese Profile um geschützte personenbezogene Daten handelt, da sie grundsätzlich die Identifizierung der genannten Nutzer ermöglichen (vgl. entsprechend Urteil Scarlet Extended, Randnr. 51).

Zum anderen könnte die fragliche Anordnung die Informationsfreiheit beeinträchtigen, weil die Gefahr bestünde, dass das System nicht hinreichend zwischen einem unzulässigen und einem zulässigen Inhalt unterscheiden kann, so dass sein Einsatz zur Sperrung von Kommunikationen mit zulässigem Inhalt führen könnte. Denn es ist unbestritten, dass die Antwort auf die Frage der Zulässigkeit einer Übertragung auch von der Anwendung gesetzlicher Ausnahmen vom Urheberrecht abhängt, die von Mitgliedstaat zu Mitgliedstaat variieren. Ferner können bestimmte Werke in bestimmten Mitgliedstaaten gemeinfrei sein, oder sie können von den fraglichen Urhebern kostenlos ins Internet gestellt worden sein (vgl. entsprechend Urteil Scarlet Extended, Randnr. 52).

Eine Entscheidung, die zusammen mit dem vorangegangenen Urteil „Scarlet Extended, das sich mit der Frage von Filterpflichten von Zugangsprovidern beschäftigte, als wegweisend betrachtet werden muss. Die Rechtsprechung des EuGH nimmt ersichtlich auch mit Blick auf die Grundrechte mehr und mehr Konturen an.

Das Urteil des Europäischen Gerichtshofs stellt m.E. auch die Entscheidungen des BGH „Internet Versteigerung I„,  „Internet Versteigerung II“ und „Internet-Versteigerung III“ in Frage. Der BGH hatte dort ausgeführt, dass der Betreiber einer Handelsplattform (eBay) verpflichtet ist, Vorsorge zu treffen, dass es nicht zu weiteren Markenverletzungen kommt, sobald er einmal auf einen solchen Rechtsverstoß hingewiesen wurde. Insoweit hat der BGH auch ausdrücklich vom Einsatz einer Filtersoftware und von einem vorgeschalteten Filterverfahren gesprochen und eine entsprechende Vorabkontrolle zumindest in gewissem Umfang für zumutbar erachtet.

Parallel zur Frage der Umsetzung des umstrittenen ACTA-Abkommens hat die EU-Kommission eine Roadmap für eine Änderung bzw. Ergänzung der sog. Enforcement-Richtline (Durchsetzungsrichtlinie) vorgelegt. Heise hatte über dieses Papier bereits berichtet.

Auch wenn ACTA in dem Papier der Kommission nicht erwähnt wird, ist die Stoßrichtung exakt dieselbe. In beiden Fällen geht es um die bessere und effektivere Durchsetzung der Rechte des geistigen Eigentums. Es ist deshalb sogar naheliegend, dass die EU ACTA durch eine Ergänzung der Enforcement-Richtlinie umsetzen würde. ACTA-Kritiker sollten also diese Entwicklung parallel verfolgen.

Auch wenn das Papier der Kommission noch äußerst vage ist, lassen Formulierungen wie diese aufhorchen:

Other possible impacted parties may include various intermediaries such as Internet Platforms, Internet Service Providers or transport establishments who could play an important role in the fight against infringements of intellectual property rights.

Dass wieder einmal Provider oder gar Carrier eine wichtige Rolle bei der Bekämpfung der Verletzung von Immaterialrechtsgütern spielen sollen, stimmt bedenklich. Denn die hierfür in Betracht kommenden Maßnahmen sind einmal mehr Netzsperren oder ein Two- bzw. Three-Strikes-Konzept. Man hält also mit Vehemenz an diesen Ideen fest.

Das Papier deutet aber auch an, dass man den Begriff „Commercial Scale“ genauer definieren möchte, um kommerzielle Urheberrechtsverletzer ins Visier zu nehmen und nicht Verbraucher. In Deutschland ist die Rechtsauslegung derzeit ja derart eng, dass man bereits das Filesharing eines Musikalbums bzw. eines aktuellen Films als Rechtsverletzung in gewerblichem Ausmaß betrachtet.

Wer versucht, sich über die Inhalte des sog. Anti-Counterfeiting Trade Agreement (ACTA) zu informieren, hat es nicht leicht. Im Netz finden sich zwar jede Menge aufgeregter Aufrufe, die sich aber fast durchgehend durch eine starke Faktenarmut auszeichnen. Es betrübt mich richtiggehend, dass auch viele Falschinformationen verbreitet werden. Die aktuelle Diskussion ist leider in weiten Teilen äußerst unsachlich. Es gibt gute Gründe sich gegen ACTA auszusprechen, aber man sollte seriös argumentieren.

Wenn man sich den ACTA-Text anschaut, dann findet man dort fast nichts, was nicht in Deutschland ohnehin schon geltendes Recht wäre. ACTA geht allerdings punktuell über die bisherigen Regelungen des europäischen Rechts hinaus, was von Rechtswissenschaftlern kritisiert wird. Diese Feststellung ist einerseits erschreckend, weil sie belegt, dass Deutschland gerade in den letzten 10 Jahren das Urheberrecht und den gewerblichen Rechtsschutz fortlaufend zugunsten der Rechteinhaber verändert hat und praktisch alles was ACTA verlangt, längst umgesetzt hat.

Andererseits sind damit aber Thesen, wie man sie im Piratenpad lesen kann, wonach ACTA ähnlich wie SOPA eine Internetzensur einführen, eine Strafbarkeit der Privatkopie begründen und neue Grenz- bzw. Zollbefugnisse schaffen würde, fast durchgehend falsch.

Die spezifisch das Internet betreffenden Regelungen finden sich in Art. 27 des Abkommens. Die dortigen Forderungen nach einem wirksamen strafrechtlichen und zvilrechtlichen Vorgehen gegen Rechtsverletzungen (siehe z.B. §§ 97 ff. UrhG und §§ 106 ff. UrhG), nach Auskunftsansprüchen gegen Provider (siehe: § 101 UrhG, § 19 MarkenG) und nach Rechtsvorschriften zum Schutz technischer Maßnahmen, also Kopierschutz (siehe: §§ 95 a ff. UrhG), sind im deutschen Recht allesamt bereits vorhanden. Auch Netzsperren oder ein Three-Strikes-Modell sieht ACTA, entgegen anderslautender Behauptungen, nicht vor. Auch die des öfteren aufgestellte Behauptung, ACTA würde Internet-Provider dazu verpflichten Online-Inhalte zu überwachen, findet im Vertragtext keine Stütze.

Die vorsätzliche Verletzung von Urheberrechten (§§ 106 ff. UrhG) und gewerblichen Schutzrechten (siehe z.B. §§ 143 ff. MarkenG) ist in Deutschland längst strafbar, auch wenn teilweise etwas anderes behauptet wird. Die Strafbarkeit der Verletzung von Urheberrechten ist nach deutschem Recht auch nicht auf eine gewerbsmäßige Rechtsverletzung beschränkt, diese ist vielmehr „nur“ ein Strafschärfungsgrund.

Ein Recht auf Privatkopie im Wege des Filesharing gibt es nach deutschem Recht ohnehin nicht, was der Gesetzgeber in § 53 Abs. 1 S. 1 UrhG noch ergänzend dadurch klargestellt hat, dass eine privilegierte Privatkopie ausscheidet, wenn eine offensichtlich rechtswidrig hergestellte oder öffentlich zugänglich gemachte Kopiervorlage verwendet wird.

Auch die Beschlagnahmebefugnisse des Zoll sind als sog. Grenzbeschlagnahme im deutschen Recht bereits umfassend geregelt. Hierzu empfehle ich die Lektüre der §§ 146 ff. MarkenG, 142a PatG oder 111b UrhG. Auch insoweit bingt ACTA nicht viel Neues.

Wer sich gegen ACTA ausspricht, der muss sich also in einem ersten Schritt bewusst machen, dass ACTA im Vergleich zur geltenden deutschen Rechtslage keine Verschärfung mehr mit sich bringt, weil entsprechende Regelungen in Deutschland – anders als in manchen anderen Ländern – längst vorhanden sind.

Weshalb es aus meiner Sicht dennoch gute Gründe gibt, gegen ACTA zu sein, habe ich in einem anderen Beitrag erläutert. ACTA zememtiert eine urheberrechtliche Richtungsentscheidung, die einseitig die Rechteinhaber begünstig und wenig Rücksicht auf das Gemeinwohl nimmt. Wir brauchen m.E. eine andere Weichenstellung im Urheberrecht, weil das jetzige System weder funktioniert noch einen fairen Ausgleich schafft und u.a. im Bereich von Wissenschaft und Bildung – aber nicht nur dort – zu schädlichen Einschränkungen führt.

Wenn man ACTA kritisiert, dann sollte man sich dennoch an die sachlich zutreffenden Argumente halten.

Update:
Noch eine kurze Ergänzung, die sich mir aufgrund der aktuellen Twitter-Diskussion aufdrängt. ACTA ist ein völkerrechtlicher Vertrag und kein Gesetz. Gebunden werden damit also nur die Mitgliedsstaaten – in unserem Fall die EU – und nicht der Nutzer oder Provider. Die Mitgliedsstaaten müssen ACTA dann in innerstaatliches Recht umsetzen. Die EU wird diese Regelungen vermutlich in Form einer Richtlinie bzw. einer Ergänzung der sog. Enforcement-Richtlinie umsetzen. Für das deutsche Recht sehe ich auf den ersten Blick keinen nennenswerten Änderungsbedarf, weshalb ich mir vorstellen kann, dass man unsere nationalen Gesetze wie das UrhG, MarkenG oder PatG aufgrund des ACTA-Abkommens überhaupt nicht ergänzen wird.

Die Deutsche Gesellschaft für Recht und Informatik (DGRI) hat eine kritische und beachtenswerte Stellungnahme zum Entwurf der geplanten EU-Datenschutzverordnung verfasst. Die DGRI nimmt erkennbar auch Bezug auf die aktuelle rechtswissenschaftliche Diskussion, die die Politik bislang eher ignoriert hat.

An der Stellungnahme erscheinen mir zwei Punkte besonders erwähnenswert, nämlich der Hinweis darauf, dass nicht alle (personenbezogenen) Daten gleich sind und, dass das Einwilligungserfordernis gerade im Internet nicht praktikabel erscheint.

Das geltende Datenschutzrecht und auch die geplante Verordnung sind in einem Schwarz-Weiß-Schema verhaftet. Wenn ein Datum personenbezogen ist, unterliegt es einheitlich und ohne weitere Differenzierung dem strengen Schutzregime des Datenschutzrechts. Wird es nicht als personenbezogen bewertet, fällt es vollständig aus dem Anwendungsbereich.

Dieses äußerst starre Konzept wirft Probleme auf. Bereits die Unterscheidung, welche Daten personenbezogen sind und welche nicht, ist in vielen Fällen unklar und umstritten. Hierdurch entsteht eine erhebliche Rechtsunsicherheit, an der die EU-Verordnung nichts ändert. Aber auch dann, wenn Daten als personenbezogen bewertet werden, können sie sowohl in objektiver als auch in subjektiver Hinsicht für den Betroffenen von sehr unterschiedlicher Bedeutung sein.

Die Kommission hat heute den Entwurf für eine Datenschutzverordnung offiziell veröffentlicht, zusammen mit weiteren Materialien. Er wird jetzt dem Rat und dem Parlament zur weiteren Erörterung übermittelt. Der Entwurf war vorab bereits geleakt worden und hat speziell in Deutschland zu kontroversen Diskussionen geführt.

Die von mir geäußerten grundlegenden Bedenken möchte ich hier nur noch um einen Aspekt ergänzen. Die Datenschutzverordnung (siehe Art. 86) überlässt die Ausgestaltung und Weiterentwicklung des Datenschutzrechts in beträchtlichem Umfang der Kommission. Auch das ist unter rechtsstaatlichen Gesichtspunkten äußerst fragwürdig, weil die wesentlichen gesetzgeberischen Entscheidungen von einem gewählten Parlament getroffen werden müssten. Die EU ist in ihrer jetzigen Ausgestaltung antiparlamentarisch und der jetzige Verordnungsvorschlag verdeutlicht einmal mehr, dass ein Prozess eines schleichenden Abschieds vom Prinzip der parlamentarischen Demokratie im Gange ist. Nachdem dies vielen Bürgern überhaupt nicht bewusst ist, gilt es, diesen Umstand immer wieder zu betonen und ins Bewusstsein der Menschen rücken.

Das sog. Anti-Counterfeiting Trade Agreement (ACTA) soll verschiedene neue Instrumentarien zur Eindämmung von Produktpiraterie und Urheberrechtsverletzungen einführen. Es handelt sich um ein völkerrechtliches Abkommen, das sich am TRIPS-Abkommen orientiert und dessen Hauptziel eine bessere internationale Durchsetzung von Rechten des „geistigen Eigentums“ ist.

Die Verhandlungen,an denen unter anderem die USA und die EU teilnahmen, wurden geheim geführt. Das Ergebnis ist aus formellen und aus inhaltlichen Gründen als problematisch einzustufen.

Die Verhandlungen, in die weder die WTO noch die WIPO einbezogen worden sind, erfolgten ohne Konsultation der nationalen Parlamente und des Europaparlaments und wurde hinter verschlossenen Türen geführt. Ein Prozess, der der Schaffung weitreichender Regelungen im Bereich des Urheberrechts und der gewerblichen Schutzrechte dient, die sich anschließend in den teilnehmenden Staaten massiv gesellschaftlich und wirtschaftlich auswirken, ist transparent und demokratisch zu gestalten. Nachdem diese Voraussetzungen nicht im Ansatz erfüllt sind, muss allein dieser Umstand ausreichen, damit das Europaparlament das Abkommen nicht ratifiziert.

Schwerwiegender sind allerdings die inhaltlichen Einwände. Auch wenn im Laufe der Verhandlungen Instrumentarien wie Netzsperren wieder gestrichen worden sind, verfestigt ACTA eine Fehlentwicklung im Urheberrecht, die dringend einer Korrektur bedürfte. Führende deutsche und europäische Rechtswissenschaftler haben das Ergebnis deshalb kritisiert und das Europarlament aufgefordert, ACTA nicht zu ratifizieren.

ACTA steht nicht für den dringend notwendigen Ausgleich der widerstreitenden legitimen Interessen von Urhebern und Rechteinhabern einerseits und Nutzer andererseits. ACTA stärkt vielmehr erneut in sehr einseitiger Weise die Interessen der Content-Industrie, schadet aber dem Gemeinwohl der teilnehmenden Staaten. Welche Weichenstellung im Urheberrecht aus meiner Sicht geboten wäre, habe ich hier im Blog bereits ausführlich skizziert.

Auch die von Urheberrechtslobbyisten gerne verbreitete These, dass die fortlaufende Verschärfung des Urheberrechts zu Gunsten der Rechteinhaber wirtschaftlich notwendig und sinnvoll sei, erweist sich bei näherer Betrachtung als Trugschluss, sofern man gesamtwirtschaftliche Erwägungen im Blick hat und nicht die Singularinteressen einer einzelnen Branche.

Karl-Nikolaus Peifer, einer der renommiertesten deutschen Urheberrechtler und Mitunterzeichner der „OPINION OF EUROPEAN ACADEMICS ON ANTI-COUNTERFEITING TRADE AGREEMENT“ hat unlängst in einem Interview sehr anschaulich erläutert, warum das (digitale) Urheberrecht am Abgrund steht und welche Maßnahmen erforderlich wären, um die Legitimationskrise des Urheberrechts zu beenden und einen fairen und vor allen Dingen funktionierenden Ausgleich zwischen den Interessen von Urhebern und Nutzern herbeizuführen.

Die Europaparlamentarier sollten deshalb im Interesse der Menschen die sie gewählt haben und auch im Interesse der volkswirtschaftlichen Belange der Mitgliedsstaaten ACTA die Zustimmung versagen.

Der vorzeitig geleakte erste Entwurf einer EU-Datenschutzverordnung bietet reichlich Diskussionsbedarf. Johannes Masing, Richter am Bundesverfassungsgericht, hat den Entwurf vor allen Dingen mit Blick auf grundrechtliche und rechtsstaatliche Defizite kritisiert. Simon Möller formuliert bei Telemedicus nunmehr fünf Thesen zur geplanten Datenschutzverordnung, die die Kernprobleme zutreffend umreißen.

Neben der berechtigten Befürchtung des Verlusts von Grund- und Bürgerrechten muss der Entwurf der EU-Kommission auch deshalb kritisch betrachtet werden, weil er ein Datenschutzmodell fortschreibt, das aus den 70’er und 80’er Jahren stammt und im Internetzeitalter nicht mehr funktioniert. Der Entwurf ignoriert damit auch weitgehend die aktuelle rechtswissenschaftliche Diskussion über eine grundlegende und strukturelle Reform des Datenschutzrechts.

Wir befinden uns derzeit in einer Situation, in der wir zwar scheinbar und formal über ein hohes Datenschutzniveau verfügen, das aber in Wirklichkeit sehr niedrig ist, weil das Recht den Praxistest nicht mehr besteht und nicht zuletzt deshalb fast zwangsläufig massenhaft ignoriert wird. Infolge dieser Situation wird in der Rechtswissenschaft die Forderung nach einer grundlegenden Reform des Datenschutzrechts immer lauter. Warum das Grundkonzept des geltenden Datenschutzrechts, das auf dem Verbotsprinzip fußt, sich nicht mit der Funktionsweise der Internetkommunikation verträgt, habe ich in einem älteren Beitrag erläutert. Das geltende Datenschutzrecht muss ständig gebogen werden, um es überhaupt noch halbwegs internetkompatibel aussehen zu lassen. Der Umstand, dass die Auslegung des Datenschutzrechts in der Praxis von der Sichtweise der Datenschutzbehörden dominiert wird, die überwiegend eine enge Auslegung bevorzugen, kommt erschwerend hinzu. Dass man Cloud Computing, Hosting, den Betrieb von Facebook-Fanseiten oder auch die Nutzung von Google-Analytics als Auftragsdatenverarbeitung betrachten kann, mag nach geltendem Recht vertretbar sein. Diese Betrachtungsweise hat zu Ende gedacht aber zur Konsequenz, dass eine datenschutzkonforme Ausgestaltung tatsächlich nicht mehr in Betracht kommt. Nachdem man diese Konsequenz aber auch nicht ziehen kann, behilft man sich mit Placebo-Lösungen, die nicht geeignet sind, das Datenschuzniveau tatsächlich zu verbessern. Wie solche Scheinlösungen der Datenschutzbehörden aussehen, lässt sich sehr anschaulich anhand der Diskussion um Google Analytics nachvollziehen. Dem Datenschutz ist damit in der Sache natürlich nicht geholfen. Manchmal führen derartige Scheinlösungen der Datenschutzbehörden sogar zu einem Mehr an Datenerhebung. Es hat sich auch gezeigt, dass die Datenschutzaufsichtsbehörden teilweise selbst nicht mehr in der Lage sind, die Vorgaben zu erfüllen, deren Einhaltung sie von anderen verlangen. Auch die politische Diskussion, selbst bei den sich gerne progressiv gebenden Grünen, ähnelt in diesem Punkt einem Trauerspiel.

Was fehlt, ist eine ehrliche und offene Analyse des Ist-Zustands. Impulse hierfür kommen derzeit aus der Rechtswissenschaft und Teilen der Internet-Community, aber nicht aus der Politik und noch weniger von den Datenschutzaufsichtsbehörden. Der Enwurf der EU-Kommission lässt ebenfalls nicht erkennen, dass eine solche Analyse statgefunden hätte. Wenn die geplante Verordnung in dieser oder ähnlicher Form in Kraft tritt, wird ein bereits gescheitertes Grundkonzept nochmals über Jahre hinweg festgeschrieben.

Die Schieflage der gesamten Diskussion zeigt sich aber noch an anderen Umständen. Die EU übermittelt Bankdaten und Fluggastdaten ihrer Bürger in äußerst großzügiger und unkontrollierter Art und Weise an die USA. Damit wird die Idee des europäischen Datenschutzes, wonach eine Übermittlung an Stellen außerhalb der EU erhöhten Anforderungen unterliegt, auf den Kopf gestellt. Auch andere Fälle belegen, dass der Staat selbst vielfach wenig von Datenschutz hält. Dieses Messen mit zweierlei Maß führt insgesamt zu einer Legitimationskrise des Datenschutzrechts.

Während man einerseits gerne kleinteilig über datenschutzrechtliche Nebenaspekte wie Google Street View diskutiert, werden andererseits sensible Daten von Bürgern bereitwillig an ausländische Staaten übermittelt. In dieser Situation fällt es mir schwer, mich noch über Facebook oder Google aufzuregen.

Vor einigen Tagen hatte ich über einen Zeitungsbeitrag von Johannes Masing – Richter am Bundesverfassungsgericht – berichtet, der erwartungsgemäß zu kontroversen Reaktionen geführt hat. Masing vertritt die Ansicht, dass die geplante EU-Datenschutzverordnung dazu führen würde, dass deutsche Grundrechte nicht mehr gelten und auch das Bundesverfassungsgericht nicht mehr angerufen werden kann.

Hierzu hat Ralf Bendrath einen kritischen Kommentar auf netzpolitik.org verfasst. Unter dem Titel „Verfassungsrichter Masing trollt zur EU-Datenschutzreform“ wirft Bendrath dem Verfassungsrichter vor, seine Behauptungen seien „auf deutsch gesagt Blödsinn“. Das mag zwar als Polemik durchgehen, eine sachliche Auseinandersetzung mit den Argumenten Masings lässt Bendrath allerdings vermissen.

Ich möchte deshalb versuchen, die m.E. rechtsdogmatisch zwingende Argumentation Masings zu erläutern und zu erklären, weshalb er die geplante EU-Datenschutzverordnung für derart bedenklich und gefährlich hält.

Masings materiell-rechtliche Grundthese lautet, dass mit dem Inkraftreten einer EU-Datenschutzverordnung die Grundrechte des Grundgesetzes – im Anwendungsbereich der Verordnung – nicht mehr gelten. Das ist eine Schlussfolgerung, die angesichts des Anwendungsvorrangs des Gemeinschaftsrechts zwingend ist und die auch kein Europarechtler ernsthaft in Abrede stellen wird. Die EU-Verordnung geht dem gesamten deutschen Recht, einschließlich des Grundgesetzes, vor. Daraus folgt auch, dass das BVerfG Grundrechtsverstöße, die in den Anwendungsbereich der Verordnung fallen, nicht mehr überprüfen kann. Denn das würde bedeuten, dass das BVerfG die Verordnung am Maßstab der Grundrechte des GG misst und genau das ist ihm wegen des Vorrangs des Unionsrechts verwehrt.

Diese Konsequenz wäre weniger dramtisch, wenn die EU sowohl materiell-rechtlich als auch verfahrensrechtlich einen ebenbürtigen Grundrechtsschutz gewährleisten würde. Das ist aber bereits verfahrensrechtlich nicht der Fall – und hierauf weist Masing zu Recht hin – u.a. deshalb, weil das Gemeinschaftsrecht kein Pendant zur Verfassungsbeschwerde kennt. Der Bürger, der in seinen (europäischen) Grundrechten verletzt wird, hat also nicht die Möglichkeit, diese Rechtsverletzung vor dem EuGH geltend zu machen.

Masing zieht also zu Recht die Schlussfolgerung, dass die geplante Datenschutzverordnung eine tiefgreifende Änderung des Grundgesetzes mit sich bringt und gerade auch vor diesem Hintergrund diskutiert werden muss.

In diesem Zusammenhang muss man sich auch vor Augen führen, dass die europäische Rechtssetzung immer noch nicht vollständig dem demokratischen Bild einer parlamentarischen Gesetzgebung entspricht und nach wie vor erhebliche demokratische Defizite aufweist. Das Europäische Parlament ist zwar eingebunden, hat aber immer noch nicht die Rolle eines originären Gesetzgebers erhalten, wie beispielsweise der Bundestag.

Diese grundrechtsintensive europäische Verordnung wirft erhebliche verfassungsrechtliche Fragen auf. Denn eine  Verfassungsänderung erfordert in Deutschland der Zustimmung von zwei Dritteln der Mitglieder des Bundestages und von zwei Dritteln der Stimmen des Bundesrates (§ 79 Abs. 2 GG). Die Einhaltung dieser 2/3-Mehrheit verlangt das Grundgesetz nach Art. 23 Abs. 1 GG auch für Rechtssetzungsakte der EU durch die das Grundgesetz seinem Inhalt nach geändert oder ergänzt wird oder solche Änderungen oder Ergänzungen ermöglicht werden. Wenn man das für die geplante Datenschutzverordnung der EU bejaht, wofür vieles spricht, würde dies bedeuten, dass der Bundestag und der Bundesrat mit verfassungändernder Mehrheit zustimmen müssten.

Es ist deshalb auch Sache der nationalen Parlamente sich der Tragweite der EU-Datenschutzverordnung und der verfassungsrechtlichen Konsequenzen bewusst zu werden. Genau dieses Bewusstsein versucht Masing mit seinem inhaltlich sehr deutlichen Beitrag zu wecken.

Die Aussage Bendraths, er könne sich nicht erinnern, dass das BVerfG je wegen des BDSG bzw. des Datenschutzes tätig gewesen wäre, weshalb sich die von Masing aufgeworfenen Fragen eh nicht stellen würden, ist aus zweierlei Gründen falsch. Das Bundesverfassungsgericht hat sich nicht nur regelmäßig mit Verfassungsbeschwerden zu befassen, die sich auf das Grundrecht der informationellen Selbstbestimmung stützen, es hat dieses Grundrecht durch das Volkszählungsurteil sogar geprägt. Die Datenschutzverordnung ist allerdings in grundrechtlicher Hinsicht nicht auf die sog. informationelle Selbstbestimmung beschränkt, sondern berührt eine Reihe weiterer Grundrechte wie die Meinungsfreiheit und das Persönlichkeitsrecht. Im Anwendungsbereich der Verordnung ist auch insoweit dann eine Prüfung durch das BVerfG nicht mehr möglich.

Das möchte ich anhand eines praktischen Beispiels verdeutlichen. Wenn sich z.B. ein Bürger darauf beruft, dass eine Vorschrift der Verordnung oder auch nur die Anwendung einer Vorschrift durch eine (Datenschutz-)Behörde sein Grundrecht auf Meinungsfreiheit verletzt, dann hätte er nicht mehr die Möglichkeit, hiergegen Verfassungsbeschwerde zu erheben. Ein Rechtsschutz vor dem EuGH ist ohnehin nicht vorgesehen. Gerade zwischen dem Datenschutzrecht und der Meinungsfreiheit besteht allerdings ein regelrechtes Spannungsverhältnis, das gerade im Netz immer wieder zu Tage tritt, zumal der Datenschutz gerne gegen die Meinungsfreiheit in Stellung gebracht wird, wie z.B. die Spick-Mich-Entscheidung des BGH zeigt.

Es geht hier auch nicht um eine nationale Sichtweise, sondern darum, ein hohes Niveau der Grund- und Bürgerrechte aufrecht zu erhalten. Wie im Falle der Vorratsdatenspeicherung, erfordert eine bürgerrechtsfreundliche Haltung auch hier die Einnahme einer puntktuell EU-kritischen Position. Ich teile die Bedenken Masings, weshalb ich eine breite öffentliche Diskussion für dringend notwendig halte.

Update:
Ulf Buermeyer widerspricht Ralf Bendrath in einem Blogkommentar bei netzpolitik.org ebenfalls und erläutert das Kernanliegen Masings.