Internet-Law

Onlinerecht und Bürgerrechte 2.0

22.5.14

Wie die Union ihre Abgeordneten bei TTIP auf Linie bringen will

Das geplante transatlantische Freihandelsabkommen (Transatlantic Trade and Investment Partnership – TTIP) wird zur Zeit viel und kontrovers diskutiert. Leider sind die aktuellen Verhandlungspapiere noch nicht einmal der Bundesregierung bekannt.

Dennoch versucht die Union die Abgeordneten ihrer Bundestagsfraktion derzeit entsprechend einzunorden und zwar mithilfe eines Rundschreibens, das den Parlamentariern Argumentshilfe geben soll, die selbstverständlich ausschließlich pro TTIP ausgerichtet ist. Das Schreiben wiederholt die bekannte Legende von angeblich 400.000 neuen Arbeitsplätzen in Europa sowie die Behauptung, dass eine Absenkung europäischer Schutzstandards nicht zur Debatte stünde. Das ist schon deshalb falsch, weil eine Harmonisierung unterschiedlicher Standards erklärte Zielsetzung der Verhandlungen ist und kaum zu erwarten steht, dass sich die USA und vor allem die unmittelbar am Verhandlungstisch sitzenden Industrievertreter auf die z.T. deutlich höheren europäischen Standards einlassen werden. Harmonisierung bedeutet Angleichung und die geschieht durch Absenkung der höheren Standards, zumal sich die USA bislang nicht erkennbar auf europäische Positionen zubewegt. Die Gefahr eines “Race To The Bottom” ist diesen Verhandlungen immanent.

Zu dem zentralen Aspekt des Investitionsschutzes bleibt das Papier dann äußerst vage. Geradezu kühn ist die Behauptung, die Verhandlungen würden mit großer Transparenz geführt. Das Unionspapier ist ein interessantes Lehrstück dafür, wie originäre Wirtschaftsinteressen so dargestellt werden, dass sie am Ende immer dem Wohl aller Bürger dienen sollen. Dem wirtschafts- und energiepolitischen Sprecher der Fraktion von CDU/CSU haben erkennbar Industrielobbyisten die Feder geführt.

Relativ gut, ausführlich und ausgewogen ist übrigens der Wikipedia-Eintrag zu TTIP, der die Argumente beider Seiten ausführlich darstellt. Auch für Parlamentarier stellt er sicherlich eine bessere Informationsquelle dar, als das angesprochene äußerst einseitige Rundschreiben.

posted by Stadler at 17:24  

16.5.14

The ECJ is right, the result is wrong

Guest Contribution By Rigo Wenning (Gastbeitrag von Rigo Wenning) Legal Counsel, W3C

The pending EU privacy regulation has to address search engines

Introduction & Summary

Yesterday, the European Court of Justice decided on Case C-131/12. This decision has some rather surprising characteristics. This counts for the procedure as well as for the content. The first welcoming remarks hailing better privacy protection have faded into a disillusioned critique about the expected collateral damages of the decision with respect to freedom of speech and the added bureaucratic effort. A more down to earth view would suggest that the decision is actually a reminder that search and publicity reserve a lot of challenges, especially concerning the weighing of human rights against each other. It is also a reminder that data protection authorities are often bureaucrats with a regrettable lack of technical understanding. But this also addresses the technical community. I don’t think we can let the courts alone figure it out. In the following, I will try to show that the court was forced to decide the way it decided. This in turn transforms the case into a mandate for the privacy regulation to take the challenge into account. The challenge is to overcome the habit in the legal system to target the central entities in the distributed system that is the web and replace this lazy practice by something that plays well with the system. And there, the IT industry has to get active. Data protection is for the IT industry like environmental protection for the car industry. It makes their technology socially viable and it needs investment, e.g. standardizing the control interfaces for search crawlers.

The case

But let us first look at the underlying case. A local journal in Cataluña, La Vanguardia, has a PDF archive of its printed pages. On page 23 of La Vanguardia from 19 January 1998, there is a right column with small print announcements. It is part of a a database with past events exposed on the Internet. The PDFs are text PDFs, so a search engine can actually index the content. The announcement in question says:

Lesdues meitats indivises dun habitatge al carrer Montseny,8, propietat de MARIO COSTEJA GONZÁLEZ i ALICIA VARGAS COTS, respectivament. Superficie:90 m2.Cárregues: 8,5 milións de ptes. Tipas de sbhasta: 2 milions de ptes.cadascuna de lesmeitats.

Note that I the above paragraph reproduces the content, but contains a <div class="robots-nocontent"> element that tells the search engine not to take up that content. I’ll come back later to this issue of tagging.

Google indexed the PDFs and La Vanguardia has a rather high pagerank. A search on the name would obtain links to two pages of La Vanguardia’s newspaper, of 19 January and 9 March 1998 respectively, on which an announcement mentioning Mr Costeja González’s name appeared for a real-estate auction connected with attachment proceedings for the recovery of social security debts.

Mr González turned to the Agencia Española de Protección de Datos (Spanish Data Protection Agency; ‘the AEPD’) and requested La Vanguardia to remove the pages or alter them to avoid their indexing. He also requested that Google would not show the results anymore. There is no mention of the cached pages feature that Google has. Google refused and the AEPD and Mr González went to court. The Spanish court submitted the questions to the ECJ.

Is it privacy or Google-control? AEPD decision hard to understand

AEPD decided that the content on La Vanguardia could remain as this was justified by the intention to give maximum publicity to the auction in order to secure as many bidders as possible. I see everybody jump on the contradiction. But it is not the ECJ’s contradiction, it is a contradiction introduced by AEPD. And this way, the question was thus excluded from the decision of the ECJ.

Apart from the question how the AEPD could take this as an argument for the publication of an announcement from 1998, this creates a very interesting situation. There is a page on the on the Web that is currently served by a Web server and that is publicly available. There are a number of search engines that still have La Vanguardia’s archive indexed. Even La Vanguardia itself is still offering a search for names on its archives. But all this remains outside of the question submitted to the ECJ. This means that the AEPD, by its very decision not to further pursue La Vanguardia and other search engines, put the core question out of scope for the ECJ, who could only respond to the questions asked. The core question of the case is the justification of the AEPD that named classified adds from governmental procedures in journals can remain online for archives over a long time. This is a question that already the French legal service had to address in Légifrance and that all official journals have to address. A known and common question where a response on the European level wouldn’t have been a bad thing. But this question was not on the table. But what question was on the table?

It may be human to only look at the annoyance of the moment. And the annoyance of the moment was certainly the prominent listing within Google. The focus on somebody’s image within the services of Google blurs the clear view on the real issue behind the case. By the decision to let La Vanguardia go, the AEPD turned the case from a case about governmentally sponsored official publications with personal information into a case about the say of a data protection authority over Google. This is not a good basis for sensible solutions.

The court responds to 3 questions

Now there are two questions left:

  1. Is a search engine processing personal data?
  2. Can persons request removal of their personal data?

Additionally, the court addressed the question of territorial competence of data protection law. If one factors out the Google hype around the question, those are reasonable questions to ask.

In response to the questions, the ECJ undertakes a very detailed review of the various conditions and requirements of the legal texts in question. The English text (translated from Spanish) does not only sound like a very detached lawyer-like geeking exercise. In fact, the court remains deep in the weeds of detailed questions. One hardly gets the feeling the ECJ is addressing the higher exercise of weighing freedom of expression against privacy. Art. 10 of the ECHR or Art. 11 of the Charter of Fundamental Rights of the European Union are not cited a single time. The ECJ has simply not addressed that question, because the questions to the ECJ where such that it did not have to address it. So what are the questions the court addressed?

Is a search engine processing personal data?

Of course it does. But lawyers can’t be that simple. Instead, there is a detailed analysis whether Google can be a data controller. Of course they control what they process and what they provide to the public. They even make money with knowing it by providing detailed advertisement matching the search users are executing. The question about whether Google is a data controller serves for the court’s argumentation to determine whether Google can actually accomplish the request brought to them.

And Google? Google responds with the argument that made me laugh hard already when it was used to excuse the reading of people’s emails for the gmail advertisement: We do not actually read your email, the engine is doing that. Referring to uncle Harry or the man on the moon for things that one has diligently programmed and that one fully controls is a joke and will always remain a non-argument when confronted with real courts. If I would be the NSA, I would use the same argument in the current debate. From a legal point of view it was impossible for the ECJ to give in to this argumentation. Google said: We are only a cache and the court responded no you aren’t. It was inevitable, given the argumentation.

But Google is not a European company. One can’t follow all the rules of the world simultaneously. This counts even for Google. The international dimension was scrutinised and the court found a reasonable set of conditions to apply European or Spanish law to Google. In fact, Google is targeting the European market, makes money here, has even a Spanish subsidiary and thus has to respond to those rules. Reading the comments on the decision, many people think Google will now close the subsidiaries and contract directly from the US. But this isn’t so obvious as economic activity in a market as large as the European one needs some management and organisation that responds to local questions. If all goes wrong, such a targeted market will address the money flows to enforce its rules. While it is nice to read some of the romantic visions about the Internet in the blogosphere, it is prudent to keep a realistic view on things.

The right to be forgotten

Remains the question about the merits of a request to erase an entry in a database and to add a URI to the blacklist for the crawler. The Spanish court submitting the questions to the ECJ anchored the scope of the right to be forgotten within Article 14.a of Directive 95/46EC. Can a citizen ask a search engine to remove an entry?

Google is of the opinion that a search engine should only react once the publisher has erased the content. The Austrian Government supports this and addresses exactly the point about freedom of speech that Thomas Stadler was making, namely that (quoting from paragraph 64 of the judgement):

a national supervisory authority may order such an operator to erase information published by third parties from its filing systems only if the data in question have been found previously to be unlawful or incorrect or if the data subject has made a successful objection to the publisher of the website on which that information was published.

To all of us professionals of the Internet, this immediately makes sense and it addresses the end-to-end principle and works well with the distributed nature of the Internet in general and the Web in particular. But the ECJ did not follow that argument and here we are confronted with the most controversial question of the case. In articles about this subject matter there is often an undertone about courts not understanding the Internet. The counter argument to the Austrian position is of a rather legalistic and systemic nature which may not be understood, this time, by the netizens. I can only try to translate.

Mr González, the Italian, the Spanish and the Polish government do not accept the hierarchy. They say a person can request the removal from the search engine without having to pursue the publisher first. The Commission says that the fact that the information has been published lawfully and that it still appears on the original web page has no effect on the obligations of the search engine. Here the Polish government joins Austria and removes the obligation to act.

The court, confronted with the two opposite positions, makes a very systemic argument out of the legal nature of Directive 95/46EC. Processing of personal data is prohibited in Europe unless it is allowed. The ECJ draws from this fact that everybody who processes personal data must have a legal ground or the permission by the data subject to process that data. The journal La Vanguardia was already out of the question as described above because the AEDP declared they had a legal ground to publish the personal information. The ECJ could not reverse that decision as this was not a question it had to answer. Now they were looking for a reason for Google to process that data. And they couldn’t find one. So the prohibition prevails. And if someone requests removal and there is no legitimate grounds for processing (whatever that means), the person can ask to remove the data from the index.

Of course, the court ornaments all that with a flood of words of caution that this only counts in this very case and that this may be overridden by a legitimate interest of the Internet users concerning that information and that even a journalist could potentially use that information and that the court eventually did not feel very well with a mere prohibition and opened every window it could while closing the door. They already prepared the escape line.

Opinion: Who is responsible for the wrong result? Not the ECJ!

The decision has merits. It states the obvious: Google can’t just claim to be a cache and escape responsibility while making business on top of the functionality it controls. The decision is a clear warning for Google not to continue the argumentation around it’s not us, it’s just the engine. Search engines are processing personal data and they control the processing of that personal data. That means they are part of the relevant actors and can’t just hide in the woods of being an innocent middlebox that does nothing.

The decision identifies an additional impact on the privacy of individuals by the search engine over the publishing of the information. A fair assessment will follow the court in this analysis. But for the non-lawyers reading this: Having said that something impacts my right to privacy doesn’t say anything about the consequences that impact triggers or is supposed to trigger. Those consequences are not implied by the Charter of Fundamental Rights of the European Union. It only means we have to address the issue somehow. Nobody really questions that.

The decision shows why the Directive 95/46EC is outdated and needs urgent replacement. A court is not a parliament. A court is supposed to apply law, not to replace it. The ECJ did strictly apply the law. It could have been less strict and follow the Austrian position, but that would have been at the very limits of a possible argumentation. The Austrian position had also two branches that remained unexplored: One could argue that the search engine will only be forced to remove the entry from the index once the publisher has removed the content or one could argue that the search engine is only responsible if all other publishers have already removed the content. The latter would be a factual denial of the protection as duplication is so easy and frequently used in scenarios that follow the Streisand effect. The court hinted at this and made it one reason to have an independent right against the search engine operator. As Thomas Stadler already indicated, the funny thing here is that the ECJ is by its prominence responsible for the Streisand effect on Mr González. So the entire procedure had the exact opposite effect on him. While some people in Catalyuña knew about his difficulties of 1998 in the past, now the entire European union knows about it. Should we remove the court decision from the index?

If there is a feeling that the result of the decision is wrong, it is due to two factors: On the one hand, the AEDP’s decision to have the PDFs of La Vanguardia kept online is putting all the burden on the search engine while keeping the initial harm. This is hard to understand but not the fault of the ECJ. On the other hand, the search engines are an important part of the Web infrastructure. Manipulating search engines or opening the way for private persons to manipulate search engines is very sensitive. There is a feeling that the Directive 95/46EC on Data Protection is just too simplistic and one-sided in this respect. This in turn contributes to the finding in this opinion that Directive 95/46EC is the wrong tool for the Internet as it does not take into account the infrastructural responsibility of search engines. It also shows that if the privacy regulation is not decided by this parliament and has to be brought back into the next EU parliament, there could be a window of opportunity to introduce a provision establishing the Austrian position that a search engine is not infringing if the original source is not protected against indexing with tags or other means.

Finally, the decision has merits as it forces all search engine operators to think about their social responsibility and how they can contribute to the infrastructure they are living from. Search engines are the only actors of the Web that do not participate in standardisation in any way. Elements to control the crawlers are scattered all over the place. Every search engine has their own tags. In such a situation it is very hard for a new legislative effort to provide the right framework to put control into the hand of end users. The decision encourages all search engine operators to convene and discuss about controls and how to use them. The timing is right: The IETF talks about the next generation HTTP and W3C is still working on the HTML5 web platform. There is a decision to make whether to use the RDFa framework or something else. But at the end of the day, if the search engine operators remain inactive in this field, I predict that the courts will inflict things upon them on a case by case basis. This makes lawyers happy as it is very expensive. I don’t know whether it will make the search engine operators happy

posted by Stadler at 17:53  

25.4.14

Acht Mythen zur Vorratsdatenspeicherung

Die Befürworter einer Vorratsdatenspeicherung führen seit Jahren, mit gewissen Modifikationen, immer dieselben Argumente ins Feld. Grund genug, die gängigsten Begründungsansätze einmal zusammenfassend unter die Lupe zu nehmen.

Mythos 1: Die Vorratsdatenspeicherung ist zur Aufklärung von Straftaten unverzichtbar

Befürworter der Vorratsdatenspeicherung behaupten seit Jahren, dass ohne dieses Instrument viele Straftaten unaufgeklärt bleiben, die man ansonsten aufklären könnte.

Tatsächlich gibt es in keinem einzigen EU-Mitgliedsstaat (empirische) Belege dafür, dass die Vorratsdatenspeicherung zu einer erhöhten Aufklärungsquote geführt hat, obwohl sie in den meisten EU-Staaten über viele Jahre hinweg praktiziert worden ist.

Eine Studie des renommierten Max Planck Instituts (MPI) für ausländisches und internationales Strafrecht weist auf diesen Umstand hin und bemängelt, dass eine zuverlässige Einschätzung des Nutzens einer Vorratsdatenspeicherung durch das Fehlen systematischer empirischer Untersuchungen erschwert würde. Gleichwohl deutet eine vom MPI durchgeführte rechtsvergleichende Betrachtung zwischen Deutschland und der Schweiz darauf hin, dass die in der Schweiz seit Jahren praktizierte Vorratsdatenspeicherung nicht zu einer systematisch höheren Aufklärungsquote geführt hat.

Der Europäische Gerichtshof (EuGH) hatte in dem Verfahren über die Rechtmäßigkeit der Vorratsdatenspeicherung den Verfahrensbeteiligten die Frage gestellt, aufgrund welcher Daten der Gesetzgeber den Nutzen der Vorratsspeicherung für die Feststellung und Verfolgung von schweren Straftaten einschätzen kann und ob es Statistiken gibt, die darauf schließen lassen, dass sich die Feststellung und Verfolgung von schweren Straftaten seit dem Erlass der Richtlinie verbessert hat. Die Kommission und die Mitgliedsstaaten waren nicht in der Lage, befriedigende Antworten auf diese Fragen zu liefern. Auch dieser Umstand dürfte dazu beigetragen haben, dass der EuGH die Richtlinie ohne jede Übergangsfrist rückwirkend für unwirksam erklärt hat, auch wenn das so nicht im Urteil steht.

Der Nutzen einer Vorratsdatenspeicherung ist also nicht belegt. Man darf annehmen, dass ein tatsächlich messbarer positiver Effekt auf die Aufklärung von Straftaten von den Polizeibehörden längst offensiv als Argument in die Debatte eingebracht worden wäre. Ganz augenscheinlich gibt es diesen messbaren Effekt aber nicht, sondern nur subjektive Eindrücke von Polizeibeamten und Sicherheitspolitikern.

Mythos 2: Die Vorratsdatenspeicherung dient nur der Bekämpfung schwerster Straftaten

Politiker und hochrangige Polizeibeamte argumentieren zur Rechtfertigung einer Vorratsdatenspeicherung regelmäßig mit der Bekämpfung von Terrorismus, organisierter Kriminalität oder Kinderpornographie. Innenminister de Maizière sprach unlängst von der Bekämpfung “schwerster Verbrechen”. Diese Rhetorik ist grob irreführend. Das deutsche Strafrecht unterscheidet Verbrechen und Vergehen. Die Vorratsdatenspeicherung soll zur Bekämpfung schwererer Straftaten eingesetzt werden, zu denen auch eine ganze Reihe von Vergehen zählen. Es geht also keineswegs nur um die Bekämpfung von Verbrechen und schon gar nicht um schwerste Verbrechen.

Wenn man mit Polizeibeamten über die Vorratsdatenspeicherung diskutiert, was ich mehrfach auch öffentlich getan habe, werden als Beispiele interessanterweise fast ausschließlich Fälle aus dem Betrugsbereich angeführt, insbesondere Fälle das Phishings. Es kann deshalb unterstellt werden, dass die Vorratsdatenspeicherung einen geringen Effekt im Bereich der Massenkriminalität haben könnte, aber wohl kaum im Bereich der Schwerstkriminalität. Das kann man den Bürgern in dieser Form natürlich nicht sagen, weil sich die Vorratsdatenspeicherung in der öffentlichen Diskussion nur mit der Notwendigkeit einer geringfügig verbesserten Bekämpfung von Massenkriminalität kaum mehr rechtfertigen ließe.

In diesem Zusammenhang muss man sich auch bewusst machen, dass laut der Polizeilichen Kriminalstatistik 2012 ca. 70 % der Internetdelikte auf Betrugsstraftaten entfielen.

Die Vorratsdatenspeicherung wird öffentlich mit der angeblichen Notwendigkeit der Bekämpfung von Terrorismus und organisierter Kriminalität begründet, obwohl man weiß, dass sie im Kern anderen Zwecken dient.

Mythos 3: Bei der Vorratsdatenspeicherung werden nur Verbindungsdaten gespeichert

Neben den Verbindungsdaten wurden bei der Vorratsdatenspeicherung auch sog. Standortdaten und Gerätekennungen (insbesondere die sog. IMEI bei Handys) gespeichert. Die unlängst vom EuGH für unwirksam erklärte Richtlinie zur Vorratsdatenspeicherung definierte die zu speichernden Daten folgendermaßen:

Verkehrsdaten und Standortdaten sowie alle damit in Zusammenhang stehende Daten, die zur Feststellung des Teilnehmers oder Benutzers erforderlich sind.

Die deutsche Regelung umfasste u.a. Anschlusskennungen, Beginn und Ende der Verbindung, die internationale Kennung des Anschlusses und die internationale Kennung des Endgeräts, die Angabe der Funkzellen des anrufenden und des angerufenen Mobilfunkanschlusses, IP-Adressen und E-Mail-Adressen.

Malte Spitz, Politiker der Grünen, hat 2011 seinen Mobilfunkprovider auf Herausgabe der zu seiner Person gespeicherten Verkehrsdaten in Anspruch genommen. Geliefert wurden ihm schließlich 35.000 (!) Datensätze, die ein fast lückenloses Bewegungsprofil ergeben. Für den Zeitraum von Ende August 2009 bis Ende Februar 2010 wurden diese Daten von ZEIT-Online umgesetzt und mit im Netz verfügbaren Informationen (aus Twitter oder seinem Blog) zur Person von Malte Spitz verknüpft. Man kann damit für einen Zeitraum von 6 Monaten praktisch minutiös nachvollziehen, wo Malte Spitz sich gerade aufgehalten hat.

Dass Verbindungsdaten umfangreiche Rückschlüsse auf die dahinter stehenden Personen und deren Aktivitäten erlauben, haben Wissenschaftler der Universität Stanford unlängst in einer Studie nachgewiesen. Aus der Kombination unterschiedlicher Daten lassen sich häufig umfassende Persönlichkeits- und Bewegungsprofile erstellen.

Mythos 4: In Norwegen hat die Vorratsdatenspeicherung zur schnellen Aufklärung der Morde von Anders Breivik beigetragen

Diese Behauptung hört man immer wieder, sie wurde sogar vom SPD-Vorsitzenden und Vizekanzler Sigmar Gabriel verbreitet. Richtig ist, dass Breivik unmittelbar nach der Tat noch vor Ort auf der Insel Utøya festgenommen wurde. In Norwegen gab es zu diesem Zeitpunkt außerdem überhaupt keine (umgesetzte) Vorratsdatenspeicherung, worauf Gabriel anschließend sogar von Netzpolitikern der SPD hingewiesen wurde.

Von ähnlicher Qualität ist die Behauptung, die Morde der NSU hätten durch eine Vorratsdatenspeicherung (früher) aufgeklärt werden können. Für diese eher abwegige These gibt es keinerlei Anhaltspunkte. Die Aufklärung der NSU-Morde ist vor allem durch ein Behördenversagen erschwert worden. Damit TK-Verkehrsdaten überhaupt zu Erkenntnissen hätten führen können, hätte man zumindest das Umfeld der Täter eingrenzen müssen, was den Behörden bekanntlich nicht gelungen war. Um nachträglich festzustellen, wer aus dem NSU-Umfeld unmittelbar vor oder nach den Taten mit wem telefoniert hat, hätte man die Daten mehr als 10 Jahre speichern müssen. Denn die Polizei hatte bis zum Selbstmord von Mundlos und Böhnhardt Ende 2011 noch nicht einmal den Hauch einer Ahnung, wer hinten den 10 Morden steckt und, dass es sich um dieselben Täter handelt. Und selbst dann hätte man zunächst feststellen müssen, mit welchen Mobilfunkverträgen die Mitglieder des NSU ab dem Jahr 2000 telefoniert haben. Ob sich hieraus aber überhaupt brauchbare Erkenntnisse hätten ergeben können, bleibt darüberhinaus zweifelhaft. Letztlich handelt es sich hierbei um eine wüste Spekulation, der es an jeglicher tatsächlichen Grundlage mangelt. Ausweislich einer Untersuchung des Max-Planck-Instituts gibt es europaweit keine Erkenntnisse über einen Nutzen der Vorratsdatenspeicherung im Bereich der Terrorbekämpfung.

Mythos 5: Ohne Vorratsdatenspeicherung können Straftaten im Internet praktisch nicht mehr aufgeklärt werden

Dies wird von Vertretern der Polizeibehörden gerne als Argument angeführt.  Diese Aussage wird bereits durch einen Blick in die Polizeiliche Kriminalstatistik (PKS) widerlegt. Die Aufklärungsquote bei Straftaten mit dem Tatmittel Internet betrug im Jahre 2012 60,1 %. Die durchschnittliche Aufklärungsquote aller erfassten Straftaten lag nach der PKS im Jahre 2012 demgegenüber nur bei 54,4 %. Die Aufklärungsquote ist bei Internetstraftaten in Deutschland also auch ohne eine Vorratsdatenspeicherung überdurchschnittlich hoch.

Wer so argumentiert, erweckt außerdem den unzutreffenden Eindruck, die Telekommunikationsunternehmen würden derzeit überhaupt keine Verbindungs- und Standortdaten mehr speichern. Das Gegenteil ist richtig. Die Speicherpraxis ist allerdings von Anbieter zu Anbieter sehr unterschiedlich und unterscheidet sich auch danach, ob es sich um einen Festnetz-, Mobilfunk- oder Internetanschluss handelt. Es gibt zu diesem Themenkomplex Erhebungen der Bundesnetzagentur und einen nicht offiziell veröffentlichten Leitfaden der Generalstaatsanwaltschaft München. Speziell im Mobilfunkbereich werden danach Verkehrsdaten regelmäßig für einen längeren Zeitraum von mindestens 30 Tagen, bei manchen Anbietern sogar bis zu 180 Tagen gespeichert. Solange bei den TK-Anbietern gespeicherte Daten vorliegen, können diese grundsätzlich auch beauskunftet werden. Auch ohne eine gesetzliche Regelung einer Vorratsdatenspeicherung liegen damit also Verkehrsdaten für einen gewissen Zeitraum regelmäßig vor.

Mythos 6: Der Polizei müssen alle technisch möglichen Instrumentarien auch zur Verfügung gestellt werden

Nein. In einem Rechtsstaat gibt es keine Strafermittlung um jeden Preis. Darin besteht nämlich gerade der Unterschied zu Unrechtsstaaten wie der DDR, die jede Form der Überwachung und Kontrolle des Bürgers für legitim hielten. Der Rechtsstaat muss auf eine Totalüberwachung verzichten und damit evtl. einhergehende Defizite bei der Kriminalitätsbekämpfung in Kauf nehmen. Die aktuelle Diskussion um die Praktiken amerikanischer und britischer Geheimdienste, in der man auch den BND nicht aus den Augen verlieren sollte, wirft ohnehin die Frage auf, ob die Trennlinie zwischen Rechts- und Überwachungsstaat nicht längst überschritten ist.

In diesem Zusammenhang ist es auch notwendig, Instrumente wie die Vorratsdatenspeicherung nicht isoliert zu betrachten, sondern vielmehr eine Überwachungsgesamtbetrachtung anzustellen. Man erkennt dann, dass den Polizei- und Sicherheitsbehörden, eine ganze Fülle unterschiedlicher gesetzlicher Grundlagen für eine äußerst weitreichende Überwachung der Telekommunikation zur Verfügung stehen. Die Telekommunikationsüberwachung hat in Deutschland in ihrer Gesamtheit mittlerweile ein bedenkliches Ausmaß angenommen, das sich nur erfassen und bewerten lässt, wenn man sämtliche Befugnisse und Maßnahmen der TK-Überwachung in ihrer Gesamtheit betrachtet, was praktisch nie gemacht wird. Den meisten Bürgern ist das Ausmaß dessen, was der Staat tatsächlich darf und häufig auch über das gesetzlich zulässige Maß hinaus praktiziert, nicht ausreichend bewusst.

Mythos 7: Eine verfassungskonforme Neuregelung der Vorratsdatenspeicherung wäre problemlos möglich

Bereits die Umsetzung des Urteils des Bundesverfassungsgerichts hätte dem Gesetzgeber erhebliche Schwierigkeiten bereitet. Das BVerfG verlangt hinreichend anspruchsvolle und normenklare Regelungen hinsichtlich der Datensicherheit, der Datenverwendung, der Transparenz und des Rechtsschutzes.

Die Entscheidung des EuGH geht in entscheidenden Punkten aber noch über den Karlsruher Richterspruch hinaus. Anders als das BVerfG erläutert der EuGH auch nicht weiter, welche Anforderungen an eine grundrechtskonforme Regelung zu stellen sind, sondern beschränkt sich darauf zu begründen, warum die geltende Richtlinie unverhältnismäßig ist. Die Vorgaben des EuGH dürften kaum in rechtssicherer Art und Weise gesetzlich umsetzbar sein. Auch wenn der EuGH also eine Vorratsdatenspeicherung nicht per se für unzulässig hält, ist derzeit unklar, wie eine grundrechtskonforme gesetzliche Regelung aussehen müsste.

Mythos 8: Deutschland hat durch die Nichtumsetzung der Vorratsdatenspeicherung nach dem Urteil des BVerfG gegen Europarecht verstoßen

Nein. Der EuGH hat die Grundrechtsverstöße durch die Richtlinie über die Vorratsdatenspeicherung für so schwerwiegend erachtet, dass er die Richtlinie ohne Übergangsregelung rückwirkend für rechtsunwirksam erklärt hat. Es hat also zu keinem Zeitpunkt eine grundrechtskonforme und rechtswirksame europarechtliche Vorgabe für eine Vorratsdatenspeicherung gegeben. Durch das Urteil des EuGH hat sich vielmehr herausgestellt, dass Deutschland derzeit der einzige Mitgliedsstaat der EU ist, der die Vorratsdatenspeicherung korrekt umgesetzt hat, nämlich gar nicht.

posted by Stadler at 11:34  

18.11.13

Mit Europarecht gegen die Abhörpraxis des GCHQ?

Porf. Franz C. Mayer geht im Verfassungsblog der interessanten Frage nach, ob gegen die Abhöraktionen des britischen Geheimdienstes GCHQ mit Mitteln des EU-Rechts vorgegangen werden kann.

Mayer sieht zunächst Kerngewährleistungen des Unionsrechts betroffen, die sich u.a. aus Art. 8 der Charta der Grundrechte, aus Art. 16 AEUV und den Richtlinien zum Datenschutz (95/46/EG und 2002/58/EG) ergeben.

Sodann weist Mayer aber auf den Umstand hin, dass diese Kerngewährleistungen die Mitgliedsstaaten häufig gar nicht binden. Darauf, dass das europäische Datenschutzrecht den Bereich Strafverfolgung, innere Sicherheit und Staatsicherheit der Mitgliedsstaaten nicht regelt und insbesondere keine Handhabe gegen die Datenerhebung durch Geheimdienste bietet, hatte ich hier ebenfalls hingewiesen.

Mayer meint gleichwohl, dass diese Bereichsausnahmen des Europarechts für öffentliche und nationale Sicherheit eventuell nicht eingreifen werden, weil die britischen Maßnahmen zu breit, zu unbestimmt und zu ungezielt sein könnten. Sollte es ein diesbezügliches Verfahren vor dem EuGH geben, dürfte auch die Frage zentral sein, ob die europäischen Grundrechte nur die EU-Organe oder auch die Mitgliedsstaaten binden, was nach der Grundrechtecharta allerdings zweifelhaft erscheint.

Das Ganze ist am Ende aber natürlich auch eine politische Frage. Was ist die Gewährleistung eines hohen Datenschutzniveaus durch die EU denn überhaupt wert, wenn einzelne Mitgliedsstaaten gleichzeitig in uferloser Art und Weise den Internet- und Telefonverkehr überwachen und anlasslos und massenhaft Daten speichern? Zumal dies, wie wir mittlerweile wissen, durchaus auch zum Zwecke der Polit- und Wirtschaftsspionage geschieht.

Mayer fordert in seinem Beitrag schließlich mit Blick auf das deutsche Recht und die Rolle des BND, dass die sog. „strategische Fernmeldeu?berwachung“ – die in der Tat ein Relikt aus dem Kalten Krieg ist – eineinhalb Jahrzehnte nach der letzten Äußerung des BVerfG auf den verfassungsrechtlichen Prüfstand gehört. Eine Forderung, mit der er bei mir offene Türen einrennt.

Wir brauchen insoweit aber nicht nur eine neue juristische Debatte, sondern vor allen Dingen auch eine gesellschaftliche. Der tatsächliche Umfang der Überwachung durch Geheimdienste war einer breiten Öffentlichkeit bislang nicht bekannt, weil er von der Politik gezielt verschleiert wird und die Medien zu wenig berichtet haben. Es ist deshalb essentiell, die Rolle des BND bei der Überwachung des Internets besser auszuleuchten und kritisch zu hinterfragen.

posted by Stadler at 10:52  

18.9.13

Die Verwirklichung des vernetzten Kontinents

Letzte Woche hat die EU-Kommission einen Verordnungsvorschlag mit der hochtrabenden Bezeichnung

VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES über Maßnahmen zum europäischen Binnenmarkt der elektronischen Kommunikation und zur Verwirklichung des vernetzten Kontinents und zur Änderung der Richtlinien 2002/20/EG, 2002/21/EG und 2002/22/EG und der Verordnungen (EG) Nr. 1211/2009

veröffentlicht, der mittlerweile auch in deutscher Sprache vorliegt. Den äußerst umfangreichen Vorschlag will ich hier nicht im Detail besprechen. Eine Zusammenfassung findet sich beim Kollegen Lehofer.

Vielmehr möchte ich mich auf zwei Aspekte beschränken, die zum Teil bereits im Vorfeld zu Diskussionen geführt haben. Die Regelung zur Netzneutralität lässt selbst einen Mindeststandard vermissen. Art. 23 lautet (auszugsweise) wie folgt:

Artikel 23 – Freiheit der Bereitstellung und Inanspruchnahme eines offenen Internetzugangs und angemessenes Verkehrsmanagement

(1) Endnutzern steht es frei, über ihren Internetzugangsdienst Informationen und Inhalte abzurufen und zu verbreiten und Anwendungen und Dienste ihrer Wahl zu nutzen.

Endnutzern steht es frei, mit Anbietern von Internetzugangsdiensten Vereinbarungen über Datenvolumina und -geschwindigkeiten zu schließen und entsprechend solchen Datenvolumenvereinbarungen beliebige Angebote von Anbietern von Internetinhalten,-anwendungen und -diensten in Anspruch zu nehmen.

(2) Endnutzern steht es ferner frei, mit Anbietern öffentlicher elektronischer Kommunikation oder mit Anbietern von Inhalten, Anwendungen und Diensten die Erbringung von Spezialdiensten mit einer höheren Dienstqualität zu vereinbaren.

Um die Erbringung von Spezialdiensten für Endnutzer zu ermöglichen, steht es Anbietern von Inhalten, Anwendungen und Diensten sowie Anbietern öffentlicher elektronischer Kommunikation frei, miteinander Vereinbarungen über die Übertragung des diesbezüglichen Datenvolumens oder -verkehrs als Spezialdienste mit bestimmter Dienstqualität oder eigener Kapazität zu schließen. Durch die Bereitstellung von Spezialdiensten darf die allgemeine Qualität von Internetzugangsdiensten nicht in wiederholter oder ständiger Weise beeinträchtigt werden.

Die Formulierung, die sprachlich den Nutzer in den Vordergrund stellt, beinhaltet einen eher durchsichtigen Taschenspielertrick. Sie suggeriert nämlich eine Wahlfreiheit des Nutzers, die nicht existiert. Der Nutzer kann immer nur die Angebote in Anspruch nehmen, die ihm die (großen) Provider vorsetzen. Dem Nutzer steht allenfalls frei, diese Angebote anzunehmen oder es sein zu lassen. Die Regelung ermöglicht letztlich genau das, was die großen Anbieter wie die Telekom gefordert haben, nämlich eine Differenzierung nach sog. Diensteklassen und das Angebot von höherpreisigen Premiumdiensten. Von der Forderung nach Netzneutralität ist nur die Formulierung übrig geblieben, dass derartige Premiumdienste (“Spezialdienste”) die allgemeine Qualität des Internetzugangs nicht wiederholt bzw. nicht ständig beeinträchtigen dürfen. Was das genau bedeutet, bleibt unklar.

Mit dieser Regelung dürften die Wünsche der TK-Lobbyisten weitgehend erfüllt worden sein. Von der Forderung nach einer gesetzlichen Festschreibung der Netzneutralität ist allenfalls noch eine leere Hülle übrig geblieben.

Außerdem hat die Kommission offenbar wieder einmal Warnhinweisemodelle nach den Vorbildern “Three-Strikes-Out” oder “Hadopi” im Sinn. Nach Art. 25 Abs. 4 müssen Provider auf Anforderung der zuständigen Behörden kostenlos Informationen an ihre Kunden weiterleiten, die sich auf

unrechtmäßige Handlungen oder die Verbreitung schädlicher Inhalte, insbesondere wenn dadurch die Achtung der Rechte und Freiheiten anderer Personen beeinträchtigt werden kann, einschließlich Verstößen gegen Datenschutzrechte, das Urheberrecht und verwandte Schutzrechte und ihre rechtlichen Folgen

beziehen. Es gibt einige Untote der Netzpolitik die offenbar immer mal wiederkehren.

posted by Stadler at 12:57  

5.9.13

EU-Parlament stimmt wieder mal über Netzsperren ab

Vor knapp zwei Monaten hatte ich hier berichtet, dass es auf europäischer Ebene einen erneuten Vorstoß zur Einführung sog. Access-Sperren zur Unterbindung von Glücksspiel gibt.

Dieser Entschließungsantrag des Ausschusses für Binnenmarkt und Verbraucherschutz steht kommenden Dienstag den 10.09.2013 zur Abstimmung im Parlament (Punkt 142 der Tagesordnung – Online-Glücksspiel im Binnenmarkt).

Hierdurch wird zwar keine unmittelbare Verpflichtung zur Einführung von Netzsperren etabliert, gleichwohl würde das Parlament den Mitgliedstsaaten empfehlen, entsprechende Mechanismen einzuführen.

Es wäre also erneut sinnvoll und notwendig, Europaabgeordnete anzusprechen, um eine Zustimmung zu verhindern. Das gilt insbesondere für deutsche Abgeordnete, nachdem der Bundestag das Zugangserschwerungsgesetz nach langer und kontroverser Diskussion mit breiter Mehrheit aufgehoben hat und man eigentlich vermuten durfte, die Erkenntnis, dass Zugangssperren kein sinnvolles und rechtsstaatliches Instrumentarium sind, hätte sich durchgesetzt.

posted by Stadler at 13:52  

28.3.13

EU-Netzpolitik und Lobbyismus

Dass Unternehmen und Wirtschaftsverbände viel Geld dafür ausgeben, um die Gesetzgebung zu beinflussen, ist keine neue Erkenntnis. Im Internetzeitalter lassen sich aber gewisse Zusammenhänge aufdecken und aufklären, die früher nie das Licht der Öffentlichkeit erblickt hätten. Projekte wie Lobbyplag machen deutlich, wie unmittelbar und drastisch die Einflussnahme großer Unternehmen auf die Gesetzgebung und Politik ist.

In diesen Kontext passt eine aktuelle Berichterstattung des Blogs Netzkinder über die Stiftung European Internet Foundation (EIF), der zahlreiche Europaabgeordnete als sog. politische Mitglieder angehören. Auch der Stiftungsvorstand besteht ausschließlich aus Mitgliedern des Europaparlaments. Die Stiftung bietet außerdem sog. Business-Mitgliedschaften an. Zu den Business-Mitgliedern gehören praktisch alle großen US-IT-Unternehmen, wie Apple, Microsoft, Google, Amazon, IBM, Facebook, eBay, Oracle oder AT&T.  Diese Mitglieder finanzieren die Stiftung mit einem Jahresbeitrag von je EUR 10.000. Ob damit, wie Netzkinder behauptet, auch die Vermittlung exklusiver Kontakte zu EU-Abgeordneten verbunden ist, vermag ich nicht zu beurteilen.

Eine Stiftung, die vorwiegend von großen US-Technologiekonzernen finanziert wird, deren Zweck aber wie folgt definiert ist:

Our mission is to support Members of European Parliament in their efforts to shape policy and regulation responsive to the unique potential and character of the internet revolution.

erscheint mir merkwürdig. Denn das klingt für mich auf den ersten Blick ein bisschen wie die Geschichte vom Bock und vom Gärtner. Dass die aktuelle (europäische) Chef-Lobbyistin von Facebook, Erika Mann, zu den Gründern der Stiftung gehört, ist da ein vielleicht interessanter Nebenaspekt.

Ich lasse mich gerne eines besseren belehren und würde mir wünschen, dass beteiligte EU-Abgeordnete mal erklären, warum sie Mitglied dieser Stiftung geworden sind und wie die Kommunikation mit den sog. Business-Mitgliedern tatsächlich abläuft.

Denn, dass Unternehmen und Verbände ihre Interessen wahrnehmen, ist nicht unbedingt negativ zu bewerten. Aber Lobbyismus braucht dringend Transparenz. Dem Hinterzimmer-Lobbyismus, der das politische Geschehen über Jahrzehnte oder vermutlich eher Jahrhunderte hinweg beherrscht hat, muss in jedem Fall der Garaus gemacht werden.

posted by Stadler at 12:25  

11.2.13

Die Europäische Bürgerinitiative Right2Water könnte Erfolg haben

Die Europäische Bürgerinitiative (European Citizens’ Initiative) ist ein Bürgerbeteiligungsinstrument auf EU-Ebene, das zum 01.04.2012 eingeführt wurde. Wenn es gelingt, für ein bestimmtes Vorhaben die Unterstützung von mindestens einer Million Unionsbürger zu erhalten, die allerdings in mindestens sieben Mitgliedsstaaten ein bestimmtes Quorum erreichen müssen, dann muss das EU-Parlament eine Anhörung durchführen, an der auch die Kommission zu beteiligen ist. Eine Pflicht zur Gesetzgebung entsteht daraus aber nicht.

Mit der Initiative Right2Water steht zum ersten mal eine solche Europäische Bürgerinitiative kurz vor dem Erfolg. Mehr als eine Million Bürger – davon freilich mehr als 800.000 aus Deutschland – haben bereits unterschrieben, das notwendige Quorum ist aber erst in drei Mitgliedsstaaten erreicht. Weil die Initiative aber noch bis November Zeit hat, ist ein erfolgreicher Abschluss wahrscheinlich.

Die Initiative möchte eine marktwirtschaftliche Privatisierung und Liberalisierung der Wasserversorgung verhindern und die EU verpflichten, das Recht auf Zugang zu Wasser zu gewährleisten. Hintergrund ist eine geplante Richtlinie die eine Marktöffnung für öffentliche Aufträge erreichen will. Diese Richtlinie privatisiert letztlich nicht die Wasserversorgung, denn dies steht den Kommunen bereits jetzt grundsätzlich frei. Wenn die Kommune öffentliche Aufträge an ein externes Unternehmen vergibt, soll dieses Vorhaben allerdings künftig europaweit ausgeschrieben werden müssen. Von diesen Vergaberegeln soll nach der Forderung von Right2Water die Wasserversorgung ausgeschlossen bleiben.

posted by Stadler at 22:23  

11.12.12

Europäische Überwachungsunion

Bei der anlasslosen Speicherung von TK-Verbindungs- und Standortdaten hat das BVerfG in der Entscheidung zur Vorratsdatenspeicherung eine Speicherdauer von 6 Monaten als gerade noch verfassungsgemäß betrachtet.

Die EU will jetzt eine Richtlinie verabschieden, die die Speicherung von Fluggastdaten für die Dauer von fünf Jahren vorsieht. Zu dem Thema hatte ich schon einmal gebloggt. Es handelt sich dabei letztlich ebenfalls um Verbindungs- und Standortdaten, die speziell bei Vielfliegern auch die Erstellung von Bewegungsprofilen ermöglichen. Die Airlines sollen Daten wie Name, Anschrift, Reiseziel, Sitzplatzreservierung und Zahlungsmittel an eine sog. PNR-Zentralstelle weiterleiten, die in jedem Mitgliedsstaat errichtet wird. Diese Zentralstelle soll diese Daten verarbeiten dürfen, wenn der Verdacht einer schweren Straftat besteht. In diesem Fall darf  die PNR-Zentralstelle die Verarbeitung der Daten anhand im Voraus festgelegter Kriterien vornehmen. Das ist letztlich nichts anderes als eine Rasterfahndung.

Der Innenausschuss des EU-Parlaments wird nächste Woche über das Vorhaben abstimmen. Diese Abstimmung wird wohl bereits vorentscheidend sein für die Abstimmung im Plenum.

Mir stellt sich bei derartigen Vorhaben, die vor 10 Jahren noch jeder in den Bereich der Überwachungsfantasien verwiesen hätte, auch immer die Frage, was als nächstes kommt. Vielleicht, dass die Bahn die Passagierdaten von Reisenden ebenfalls erfassen und an eine staatliche Zentralstelle weiterleiten muss?

posted by Stadler at 09:20  

13.10.12

EU-Kommission will Patrick Beyer die Veröffentlichung von Schriftsätzen verbieten

Patrick Breyer ist einer der führenden Köpfe des AK Vorrat und mittlerweile Fraktionsvorsitzender der Piraten im Landtag von Schleswig-Holstein. Breyer hat vor einigen Monaten die EU-Kommission vor dem EuGH verklagt, nachdem die Kommission die Herausgabe eines Rechtsgutachtens zur Vorratsdatenspeicherung sowie von Schriftsätzen aus einem Vertragsverletzungsverfahren, das Österreich betraf, verweigert hatte.

Breyer hat sowohl seine Klageschrift als auch die Klageerwiderung der Kommission ins Netz gestellt. Die Kommission hat Breyer nunmehr aufgefordert, die Klageschrift und die Klageerwiderung vom Netz zu nehmen und auch nicht in sonstiger Weise der Öffentlichkeit zugänglich zu machen. Rechtlich stützt sich die Kommission vor allem darauf, dass der Gerichtshof Schriftsätze nur an die Parteien weiterleiten darf und das Recht zur Akteneinsicht in gerichtliche Akten im Interesse der Parteien eingeschränkt sei. Diese juristische Begründung ist keinesfalls tragfähig. Als Verfahrensbeteiligter ist Breyer nicht an die Vorschriften gebunden, die die Frage der Akteneinsicht durch das Gericht regeln. Zudem hat Breyer als Partei des Verfahrens ersichtlich gerade kein Interesse an einer Geheimhaltung und die Kommission kann sich als Behörde, die dazu verpflichtet ist, die Öffentlichkeit über grundrechtsintensive Materien wie die Vorratsdatenspeicherung zu informieren, insoweit nicht auf ein Geheimhaltungsbedürfnis berufen. Wenn die Kommission damit argumentiert, es gäbe keine rechtliche Grundlage dafür, dass eine Partei ihre eigenen Schriftsätze veröffentlicht, so ist dem entschieden zu widersprechen. Ein Bürger braucht keine rechtliche Grundlage dafür zu handeln. Nur staatliches Handeln bedarf einer ausdrücklichen rechtlichen Grundlage.

Obwohl Art. 42 der Charta der Europäischen Grundrechte ausdrücklich vorsieht, dass Unionsbürger das Recht auf Zugang zu den Dokumenten des Europäischen Parlaments, des Rates und der Kommission haben, betreibt die Kommission bei Themen wie der Vorratsdatenspeicherung eine Politik der Informationsunterdrückung. Und das hat einen ganz einfachen Grund: Wären alle verfügbaren Informationen zur Vorratsdatenspeicherung öffentlich, dann würde sich sehr schnell zeigen, dass es keinen belastbaren Nachweis für einen kriminalistischen Nutzen der Vorratsdatenspeicherung gibt und bislang von keinem einzigen Mitgliedsstaat entsprechende Nachweise vorgelegt werden konnten.

Wenn sich die Kommission für ihre Verletzung von Art. 42 der Europäischen Grundrechtscharta auf Dienstanweisungen für den Kanzler des EuGH beruft, mutet dies geradezu grotesk an. Das europäische Demokratiedefizit, das sich gerade auch an der mangelnden demokratischen Legitimation der Kommission zeigt, wirkt hier offenbar unmittelbar. Der Kommission liegt nämlich ganz offensichtlich das Handeln nach Gutsherrenart weiterhin näher als das nach rechtsstaatlichen Grundsätzen.

posted by Stadler at 12:22  
Nächste Seite »