In der gegenwärtigen Diskussion um Uploadfilter werden die datenschutzrechtlichen Implikationen zumeist übersehen. Und so verwundert es nicht, dass der aktuelle Referentenentwurf zur Umsetzung der Urheberrechtsrichtlinie in deutsches Recht den Datenschutz bei Uploadfiltern nicht einmal erwähnt. Es kann aber kein Zweifel daran bestehen, dass bei der Umsetzung von Uploadfiltern auch besonders schutzwürdige personenbezogene Daten verarbeitet werden.
Auf der europäischen Ebene hat die DigiGes zwar mittlerweile eine gewisse Sensibilisierung für das Thema erreichen können. In der Antwort auf einen Brief, den die DigiGes gemeinsam mit der Europäischen Akademie für Informationsfreiheit und Datenschutz an den Europäischen Datenschutzausschuss geschickt hat, betont deren Vorsitzende, dass das Thema Datenschutz bei Uploadfiltern sehr wichtig sei und der Ausschuss eine Reihe von Fragen an die Kommission gerichtet habe. Allerdings räumt sie auch ein, dass sie an der Erstellung der Leitlinien für die nationale Umsetzung der Richtlinie durch die Kommission nicht beteiligt war. Diese Umsetzung liegt nunmehr bei den nationalen Gesetzgebern. Das Bundesjustizministerium muss das Problem endlich anerkennen und ernsthafte Versuche unternehmen, die Richtlinie ansatzweise datenschutzfreundlich auszugestalten sowie den Bundesbeauftragten für Datenschutz und Informationsfreiheit umgehend in das weitere Gesetzgebungsverfahren einbeziehen.
Konkrete Datenschutzprobleme…
Für die datenschutzrechtlichen Probleme gibt es im Wesentlichen drei Gründe.
Erstens bieten Uploadfilter technisch die Möglichkeit zu überwachen, wer wann wo was hochgeladen hat. Insbesondere bei Uploads in einem politischen, religiösen oder aus anderen Gründen besonders schützenswerten Kontext – man denke etwa an Gesundheitsangebote – ist das ein ernsthaftes Problem (Artikel 9 DSGVO). Eine Identifizierung der Betroffenen, und sei es nur durch technisch anfallende eindeutige Kennungen, birgt unnötige Risiken und wird Menschen von Uploads, insbesondere von politischer Meinungsäußerung abschrecken. Das gilt nicht nur für den reinen Upload sondern auch etwaige Beschwerde- oder Fair-Use-Mechanismen, bei denen die Nutzenden vor oder nach dem Upload weitere Kontextinformationen zum Upload und Kontaktdaten übermitteln: Eine Whistleblowerin wird nicht unter Klarnamen über einen zu Unrecht abgewiesenen Upload mit dem Anbieter verhandeln wollen.
Zweitens ist zu befürchten, dass gerade kleinere Anbieter aus Ressourcengründen auf die Filter-Infrastruktur größerer Plattformen zurückgreifen müssen. Das würde nicht nur deren Markt-, sondern auch ihre Datenmacht verstärken. Denn die Uploadfilter böten ihnen eine weitere Möglichkeit zur Nachverfolgung und damit Profilbildung großer Teile der Internetnutzenden.
Drittens sind Uploadfilter – datenschutzrechtlich betrachtet – automatisierte Entscheidungssysteme, an die die Datenschutz-Grundverordnung besondere Anforderungen stellt. Ihre Grundrechtsauswirkungen für Betroffene sind gemäß Artikel 22 DSGVO auch über den Datenschutz im engeren Sinne hinaus zu betrachten. Die DSGVO verlangt damit auch, die Auswirkungen der Filterentscheidungen auf die Meinungsfreiheit zu prüfen und abzuwägen, ob hierfür eine geeignete Rechtsgrundlage besteht. Experten wie Christopher Schmon von der EFF bezweifeln das und sehen hier zumindest rechtlichen Klärungsbedarf.
… sind lange bekannt.
Diese Probleme hat der europäische Gesetzgeber in der Urheberrechtsrichtlinie nicht berücksichtigt. Zumindest in der Umsetzung der Richtlinie in nationales Recht sollten sie nunmehr Beachtung finden, um die größten Datenschutz- und anderen Grundrechtsrisiken abzuwenden. Die DigiGes hat bereits seit dem Frühjahr 2019 in verschiedenen Stellungnahmen und Briefen an die Verantwortlichen ausdrücklich die Datenschutzproblematik angesprochen. Bereits im September 2019 haben wir gegenüber dem Bundesjustizministerium eine umfassende Datenschutz-Folgenabschätzung eingefordert. Nachdem wir als Mitgliedsorganisation von European Digital Rights (EDRi), dem europäischen Dachverband netzpolitischer Grundrechtsorganisationen, am Stakeholder-Dialog zum umstrittenen Artikel 17 teilgenommen haben, haben wir im Juli 2020 in einer ausführlichen Stellungnahme zum deutschen Umsetzungsentwurf erneut auf die Bedeutung des Datenschutzes und deren mangelhafte Berücksichtigung hingewiesen.
Mit unserer Kritik stehen wir nicht alleine da: Auch der Bundesdatenschutzbeauftragte hat schon früh auf die möglichen datenschutzrechtlichen Probleme bei der Urheberrechtsreform hingewiesen, wie sie insbesondere durch die Einführung von Uploadfiltern entstehen würden – bislang allerdings ohne größeren Erfolg. Im Juni 2020 haben 45 Abgeordnete des Europäischen Parlaments in einem gemeinsamen Brief die Beteiligung des Datenschutzausschusses bei der Ausarbeitung der Leitlinien zur nationalen Umsetzung gefordert.
Das Justizministerium muss handeln
Leider ist die Kommission nicht aktiv geworden und so liegt es nun an den nationalen Gesetzgebern den verpflichtenden Einsatz von Uploadfiltern auch im Interesse des Datenschutzes abzuwenden oder massiv einzuschränken um die Datenschutzrisiken zumindest abzumildern. Doch dazu müsste auch die Bundesregierung endlich anerkennen, dass Uploadfilter nicht ohne diese Risiken zu haben sind. In den weiteren Gesetzgebungsprozess müssen unabhängige Expertinnen und Experten und vor allem den Bundesdatenschutzbeauftragten endlich einbezogen werden. So könnte etwa eine Datenschutz-Folgenabschätzung im Rahmen des Gesetzgebungsverfahrens gemäß Artikel 35 Absatz 10 DSGVO durchgeführt werden und verpflichtende technische und organisatorische Maßnahmen für die Datenverarbeitung bei Uploadfiltern, z. B. Pseudonymisierung- und Anonymisierung oder Funktionstrennung bei Filter- und Beschwerdemechanismen vorgeschrieben werden (S. 21). Sollte sich herausstellen, dass die von Uploadfiltern ausgehenden Risiken in der Praxis nicht beherrschbar sind, darf der Gesetzgeber sie nicht vorschreiben.