Tag Archives: Einwilligung

Safe-Harbor-Entscheidung des Europäischen Gerichtshofs: Das Ende transatlantischer Datenflüsse?

Vor rund 15 Jahren entschied die EU-Kommission, dass die USA ein „sicherer Hafen“ für personenbezogene Daten aus der EU seien. Diese sogenannte „Safe Harbor“ Entscheidung bildet seither die Grundlage für einen ungehinderten transatlantischen Datenfluss. Davon profitieren vor allem US-amerikanische IT-Konzerne wie Google oder Facebook, welche die Daten europäischer Nutzerinnen und Nutzer auf Servern in den Vereinigten Staaten speichern und verarbeiten. Am morgigen Dienstag könnte der Europäische Gerichtshof (EuGH) die „Safe Harbor“ Entscheidung für ungültig erklären. Doch welche Folgen hätte ein solcher Richterspruch für die Datenübermittlung in die USA und für die Nutzung US-amerikanischer Online-Dienste in Europa?

Bei der mit Spannung erwarteten EuGH-Entscheidung in dem Verfahren des österreichischen Datenschutzaktivisten Max Schrems gegen Facebook geht es im Kern um die Frage, ob das Datenschutzniveau in den USA, wo Facebook die Daten seiner Nutzerinnen und Nutzer speichert, gemessen an europäischen Maßstäben als angemessen angesehen werden kann. Nur wenn dies der Fall ist, so schreibt es die EU-Datenschutzrichtlinie von 1995 vor, dürfen personenbezogene Daten überhaupt aus der EU über den Atlantik gesendet werden.

Was ist „Safe Harbor“?

Die Richtlinie sieht außerdem vor, dass die EU-Kommission in Einzelfällen anerkennen kann, dass ein Land über ein angemessenes Datenschutzniveau verfügt. Genau dies hat sie im Fall der USA im Jahr 2000 getan. Datenverarbeitende Unternehmen, die personenbezogene Daten aus der EU in die Vereinigten Staaten übertragen möchten, erklären im Gegenzug gegenüber der US-Handelskommission (Federal Trade Commission, FTC), dass sie bestimmte Datenschutzprinzipien einhalten werden. So müssen die Unternehmen unter anderem versprechen, personenbezogene Daten nur mit Einwilligung der Betroffenen zu sammeln und zu verwenden, diese Daten vor dem Zugriff Dritter zu schützen und sie nicht ohne Zustimmung der Betroffenen an Dritte weiterzugeben.

Ob und inwieweit die Unternehmen diese Versprechen tatsächlich einhalten, wurde von der EU-Kommission allerdings gar nicht und von der zuständigen FTC lediglich lax kontrolliert. Hinzu kommt, dass die Selbstverpflichtung der Unternehmen sich gerade nicht auf Datenübermittlungen in den Bereichen der nationalen Sicherheit und der Strafverfolgung erstreckt. Nicht zuletzt aus diesem Grund kritisieren Datenschutzbehörden und zivilgesellschaftliche Organisationen ebenso wie das EU-Parlament die „Safe Harbor“ Entscheidung schon seit Jahren.

2015_01 foerdermitglied_w

Die Kritik des Generalanwalts

Auch Generalanwalt Yves Bot, Rechtsgutachter in dem nun zur Entscheidung anstehenden EuGH-Verfahren, kam vor knapp zwei Wochen zu dem Ergebnis, dass die „Safe Harbor“ Entscheidung die EU-Grundrechte auf Privatsphäre und den Schutz personenbezogener Daten verletze und daher ungültig sei. Seinen Befund begründete Bot vor allem mit dem Umstand, dass US-amerikanische Geheimdienste wie die NSA faktisch unbeschränkten Zugriff auf die bei den dortigen Unternehmen gespeicherten Daten haben. Darüber hinaus vermisste der Generalanwalt eine wirksame unabhängige Kontrolle dieser Zugriffe ebenso wie effektive Rechtsmittel, mit denen sich Betroffene aus der EU gegen die Verwendung ihrer Daten durch Geheimdienste wehren können. Ein weiteres Indiz für die Unzulänglichkeiten der „Safe Harbor“ Entscheidung sah Bot in den aktuell laufenden Verhandlungen über ein neues Datenschutzabkommen zwischen der EU und den USA.

Das US-Außenministerium reagierte umgehend auf das Votum des Generalanwalts und erklärte, die Vereinigten Staaten seien „nicht dabei, irgendjemanden unüberlegt zu überwachen, auch keine normalen europäischen Bürger“; der Generalanwalt habe hinsichtlich der geheimdienstlichen Massenüberwachung Schlussfolgerungen der gerichtlichen Vorinstanz, dem irischen High Court, lediglich ungeprüft übernommen; das Privacy and Civil Liberties Oversight Board, ein der US-Regierung beigeordnetes Datenschutzgremium, sei nach eingehender Prüfung zu dem Ergebnis gelangt, dass es sich bei dem NSA-Programm PRISM nicht um Massenüberwachung handele. Unerwähnt blieb in der Stellungnahme, dass PRISM nur einen Baustein in der umfangreichen Überwachungsmaschinerie der NSA darstellt und keineswegs die einzige Methode ist, mit welcher der Dienst sich Zugriff auf personenbezogene Daten verschafft. Darüber hinaus darf die Einschränkung, dass die Überwachung nicht „unüberlegt“ sei, durchaus als Eingeständnis einer tatsächlich stattfindenden Überwachung gewertet werden.

Die Entscheidung des EuGH und die Folgen

Der EuGH ist an das Votum des Generalanwalts zwar nicht gebunden, folgt ihm jedoch in den meisten Fällen. Es ist daher durchaus wahrscheinlich, dass der Gerichtshof „Safe Harbor“ als ungültig verwerfen wird. Sollte das tatsächlich geschehen, wären transatlantische Übermittlungen personenbezogener Daten in rechtlicher Hinsicht zwar nicht gänzlich unmöglich, sie würden jedoch deutlich erhöhten Hürden unterliegen. Noch erheblicher könnten die politischen Konsequenzen einer solchen Entscheidung ausfallen.

Ist „Safe Harbor“ ungültig, so würden die USA zunächst nicht mehr als Drittstaat mit angemessenem Datenschutzniveau im Sinne des europäischen Datenschutzrechts gelten. Dies hätte zur Folge, dass personenbezogene Daten grundsätzlich nicht mehr in die Vereinigten Staaten übermittelt werden dürfen. Personenbezogene Daten zeichnen sich dadurch aus, dass sie einer bestimmten Person zugeordnet werden können, dass also die hinter dem jeweiligen Datum stehende Person bestimmbar ist.

Überwachung bekämpfen

Übermittlung nicht personenbezogener Daten

Soweit nur Daten ohne einen solchen Personenbezug übertragen werden sollen, ändert sich für Online-Dienste, Nutzerinnen und Nutzer daher nichts. Anonyme Suchanfragen wären grundsätzlich ebenso weiterhin möglich wie nicht personalisierte Webseitenzugriffe. Als problematisch könnte sich in diesem Zusammenhang allerdings der Umstand erweisen, dass bei jedem Zugriff auf eine Webseite auch die jeweilige IP-Adresse übermittelt wird.

Hier sind sich Juristen uneinig, ob es sich bei einer IP-Adresse um ein personenbezogenes Datum handelt. Manchen reicht für den Personenbezug schon die abstrakte Möglichkeit aus, notfalls unter Heranziehung Dritter, wie etwa dem Telekommunikationsprovider, die dahinter stehende Person zu bestimmen. Nach dieser Ansicht, die auch wir für richtig halten, sind IP-Adressen stets personenbezogene Daten. Andere wollen nur dann den Personenbezug bejahen, wenn die datenverarbeitende Stelle allein mit eigenen Mitteln in der Lage ist, aus der IP-Adresse die betreffende Person abzuleiten. Der EuGH hat sich in einem Urteil von 2011 (Urt. v. 24. November 2011, C-70/10) der erstgenannten Meinung angeschlossen. IP-Adressen, egal ob dynamisch oder statisch, weisen nach Ansicht des Gerichtshofs immer einen Personenbezug auf. Bleibt der EuGH in der morgigen Entscheidung bei dieser Auffassung, so ist jegliche Nutzung US-amerikanischer Online-Dienste stets zwingend mit der Übermittlung personenbezogener Daten verknüpft.

Übermittlung personenbezogener Daten

Zwar verbietet das EU-Recht die Übermittlung personenbezogener Daten in einen Drittstaat ohne angemessenes Datenschutzniveau, jedoch sieht es zugleich eine Reihe von Ausnahmen vor. So dürfen personenbezogene Daten jedenfalls dann in einen solchen Staat versendet werden, wenn dies für die Erfüllung eines Vertrages, für die Wahrung lebenswichtiger Interessen der Betroffenen oder für die gerichtliche Geltendmachung von Ansprüchen erforderlich ist. Bei der Nutzung von Online-Diensten dürften diese Ausnahmen in der Regel jedoch nicht greifen, sieht man einmal von gezielten Einkäufen oder Reisebuchungen ab.

Gerade für die Verwendung von sozialen Netzwerken und Suchmaschinen, deren Geschäftsmodelle im Wesentlichen auf der Verarbeitung und Vermarktung personenbezogener Daten beruhen, dürfte jedoch eine andere Ausnahme wichtig werden: Haben Nutzerinnen und Nutzer der Übermittlung ihrer personenbezogenen Daten zweifelsfrei ausdrücklich zugestimmt, dürfen die Informationen in einen Drittstaat ohne angemessenes Datenschutzniveau übertragen werden. Voraussetzung dafür ist jedoch stets, dass sie vor Abgabe der Einwilligung über die betroffenen Daten, über den genauen Verwendungszweck und die Reichweite der Datenverarbeitung, insbesondere eine eventuelle Weitergabe an Dritte, unterrichtet wurden. Online-Dienste in den USA müssten Nutzerinnen und Nutzer aus der EU daher zunächst darüber aufklären, welche Daten sie genau erheben, was sie mit diesen Daten anstellen und an wen sie die Daten unter welchen Bedingungen weitergeben.

Fazit

Gerade bei sozialen Netzwerken geschieht dies weitestgehend bereits heute im Wege allgemeiner Geschäftsbedingungen (AGB), denen Nutzerinnen und Nutzer vor der Verwendung des Dienstes zustimmen müssen. Bei anderen Diensten, etwa Suchmaschinen, ist das bisher hingegen eher unüblich, so dass sich hier tatsächlich eine Änderung ergeben würde – vor der Eingabe einer Suchanfrage müsste dann zunächst per Mausklick den AGB zugestimmt werden. Zudem müsste in den AGB auch darauf hingewiesen werden, dass und unter welchen Umständen US-Geheimdienste auf die bei den Anbietern gespeicherten personenbezogenen Daten zugreifen können. Dies dürfte für amerikanische Online-Dienste zugleich die heikelste Folge der Ungültigkeit von „Safe Harbor“ sein: Sie wären gezwungen, gegenüber ihren europäischen Nutzerinnen und Nutzern ihre Mithilfe an den Massenüberwachungsprogrammen der NSA offenzulegen. Das könnte sie vor unlösbare Probleme stellen, da es ihnen nach US-amerikanischem Recht untersagt ist, ihre Zusammenarbeit mit der NSA in irgendeiner Form öffentlich zu machen. Selbst die Tatsache, dass den Online-Diensten Äußerungen über die Kooperation verboten sind, dürfen sie der Allgemeinheit nicht mitteilen.

Spätestens an dieser Stelle wird noch einmal besonders deutlich, warum das US-Außenministerium so vehement auf das Votum des Generalanwalts beim EuGH reagiert hat. Eine Ungültigkeit von Safe Harbor würde zwar nicht unbedingt das Ende transatlantischer Datenflüsse bedeuten; im Interesse ihrer eigenen Online-Wirtschaft würde es die USA aber zu politischen Konsequenzen und Reformen im Bereich der geheimdienstlichen Massenüberwachung zwingen. Daher darf sich die europäische Öffentlichkeit auch nicht von der nach der Entscheidung zu erwartenden EuGH-Schelte blenden lassen, sondern muss diese Konsequenzen und Reformen selbstbewusst einfordern. Dadurch könnte sich schließlich die Erkenntnis durchsetzen, dass die geheimdienstlichen Spähexzesse nicht nur Grundrechte verletzen und die Rechtsstaatlichkeit erodieren, sondern auch schwerwiegende wirtschaftliche Schäden nach sich ziehen. Damit wäre ein entscheidender Beitrag zum Beginn eines politischen Umdenkens in Fragen der Massenüberwachung auf beiden Seiten des Atlantik geleistet.

Spenden

FAQ zur WLAN-Störerhaftung: Sie können es nicht

Das Bundeswirtschaftsministerium (BMWi) hat ein FAQ  zum Gesetzentwurf der Bundesregierung zur Änderung des Telemediengesetzes online gestellt. Mit dem Entwurf soll die sogenannte „WLAN-Störerhaftung“, die hierzulande noch immer eines der größten Hindernisse für eine weitreichende Versorgung mit offenen Funknetzen darstellt, abgeschafft werden. Nach der Veröffentlichung des Entwurfs hagelte es zivilgesellschaftliche Kritik, die das Ministerium nun in dem FAQ aufgreift.

Leider bleibt die Auseinandersetzung mit der Kritik oberflächlich und verdeutlicht sogar, wie wenig das BMWi die Problematik offener WLAN-Zugänge verstanden hat. Dies wollen wir im Folgenden anhand einiger Beispiele veranschaulichen.

Der Entwurf selbst sieht vor, dass WLAN-Anbieter grundsätzlich nicht als Störer für Rechtsverletzungen ihrer Nutzerinnen und Nutzer haften. Um in den Genuss dieser Haftungsfreistellung zu kommen, müssen die Anbieter allerdings bestimmte „zumutbare Maßnahmen“ ergreifen. Dazu müssen sie ihr Funknetz verschlüsseln und nur solchen Nutzerinnen und Nutzern Zugang gewähren, die zuvor erklärt haben, keine Rechtsverletzungen zu begehen. Sind die Anbieter weder „geschäftsmäßig“ noch als „öffentliche Einrichtung“ tätig, müssen sie die Nutzerinnen und Nutzer zudem namentlich kennen.

2015_01 foerdermitglied_w

1. Namenskenntnis (Frage 1)
Zunächst ist das BMWi bemüht, den Eindruck zu zerstreuen, mit der Pflicht zur Namenskenntnis sei eine Vorratsdatenspeicherung durch die Hintertür verbunden. Weder von geschäftsmäßigen Betreibern oder öffentlichen Einrichtungen noch von privaten WLAN-Anbietern verlange der Gesetzentwurf, dass sie die Namen von Nutzerinnen und Nutzern protokollieren, registrieren oder anderweitig erfassen, so das BMWi. Nur im Zeitpunkt der WLAN-Überlassung müsse die Namenskenntnis gegeben sein.

Tatsächlich verlangt der Entwurf nur die Kenntnis des Namens selbst, eine explizite Pflicht zur Speicherung dieser Information findet sich dort hingegen nicht. Unweigerlich stellt sich daher die Frage, welcher Zweck mit dieser Regelung verfolgt werden soll. Besteht ihr Ziel darin, Rechtsverletzungen durch Nutzerinnen und Nutzer effektiv verfolgen zu können, so wäre sie dazu bereits offensichtlich ungeeignet. So ist weder klar, wie der Anbieter sicherstellen soll, dass die erhobene Namensinformation korrekt ist, noch wie gewährleistet ist, dass er sie zum Zeitpunkt der Verfolgung einer Rechtsverletzung bereit hält. Auch ein disziplinierender Effekt auf die Nutzerinnen und Nutzer dürfte auszuschließen sein, da sie mangels Überprüfung der Richtigkeit ihrer Angaben ohne Weiteres falsche oder erdachte Namen nennen könnten. Die Pflicht zur Namenskenntnis stellt daher eine unnötige, weil funktionslose Hürde für das Teilen des eigenen WLAN-Zugangs mit Anderen dar.

2. Verschlüsselung (Frage 5)
Dass sämtliche WLAN-Anbieter verpflichtet sein sollen, ihre Zugänge zu verschlüsseln, begründet das BMWi mit den Interessen des WLAN-Betreibers selbst. Die Verschlüsselung verhindere, dass Unbefugte über den Zugang surfen und auf die Daten des Betreibers zugreifen; überdies diene sie dem Schutz des Kommunikationsgeheimnisses.

An dieser Stelle offenbart das BMWi sein völliges Unverständnis für die Funktionsweise offener WLAN-Zugänge und widerspricht sich zugleich inhaltlich selbst. Die Verschlüsselung des Zugangs passt mit dem Ziel, den Betrieb offener Funknetze zu ermöglichen, schlicht nicht zusammen. Bei einem offenen Zugang kann jede beliebige Person ohne Weiteres auf das Netz zugreifen, während ein verschlüsselter Zugang dafür sorgt, dass nur diejenigen Zugriff haben, die zuvor das entsprechende Passwort in Erfahrung gebracht haben. Folgerichtig gibt es bei einem offenen Netzzugang auch keine „Unbefugten“, da es ja gerade im Interesse des Anbieters liegt, allen Menschen, die das Netz nutzen wollen, Zugang zu verschaffen. Wer also die „Unbefugten“ sein sollen, vor denen die WLAN-Betreiber angeblich geschützt werden sollen, bleibt das Geheimnis des BMWi.

Auch in technischer Hinsicht erscheint die Haltung des BMWi in der Verschlüsselungsfrage wenig nachvollziehbar. Dass Nutzerinnen und Nutzer auf die Daten des Betreibers zugreifen, lässt sich effektiv vor allem durch den Einsatz entsprechender Router, die das eigene Netz des Betreibers sicher vom öffentlich betriebenen Netz abschotten, erreichen. Eine Verschlüsselung des Zugangs würde im Übrigen auch kaum zu einem wirksamen Schutz des Kommunikationsgeheimnisses beitragen. Zwar würde damit verhindert, dass Dritte den Datenverkehr eines WLAN-Hotspots belauschen, der Betreiber könnte aber immer noch Einblick in die Kommunikation der Nutzerinnen und Nutzer nehmen. Der einzige Weg, um auch das zu unterbinden, ist der konsequente Einsatz von Ende-zu-Ende-Verschlüsselung seitens der Nutzerinnen und Nutzer. In diesem Zusammenhang entbehrt es auch nicht einer gewissen Ironie, dass das Innenministerium parallel fordert, Verschlüsselungsstandards zu schwächen und mit Hintertüren für Geheimdienste und Polizei zu versehen.

Forderung1_1

3. Einwilligung, keine Rechtsverletzungen zu begehen (Frage 6)
Zur Einwilligung der Nutzerinnen und Nutzer, keine Rechtsverletzungen zu begehen, führt das BMWi lediglich aus, in welcher Art und Weise diese Einwilligung eingeholt werden kann. So könne dem Zugang eine entsprechende Erklärung, der per Klick zugestimmt wird, vorgeschaltet werden; alternativ sei es auch möglich, die Nutzungsbedingungen in die AGB zu integrieren oder ein Passwort in der Speisekarte abzudrucken.

Abgesehen davon, dass nicht verständlich ist, wieso der Abdruck eines Passworts in der Speisekarte einer Einwilligungserklärung der Nutzerinnen und Nutzer gleichkommen sollte, beantwortet das BMWi leider nicht die weitaus brennendere Frage, wozu die Einwilligung eigentlich gut sein soll. Dass Erklärungen, denen mit einem Klick zustimmt wird, keinerlei echte Hürde darstellen, dürfte etwa von Nutzungsbedingungen für Software oder Pornoseiten hinlänglich bekannt sein und mittlerweile einen Gemeinplatz darstellen. Bei der Pflicht zur Einwilligung handelt es sich daher um eine weitere unnötige, weil funktionslose Belastung der Betreiber offener WLAN-Zugänge.

4. Warum keine komplette Abschaffung? (Frage 10)
Die Entscheidung, die Störerhaftung nicht konsequent und bedingungslos abzuschaffen (wie von uns und Anderen gefordert), begründet das BMWi mit dem hohen Wert des geistigen Eigentums in Europa. Bei einer vollständigen Abschaffung der Störerhaftung, so das BMWi, könne jeder über das WLAN eines anderen auf dessen Daten zugreifen, Urheberrechtsverletzungen oder Straftaten begehen; der Gesetzentwurf sei das Ergebnis einer verantwortungsvollen Interessenabwägung zwischen den Interessen der Hotspot-Anbieter sowie der Nutzerinnen und Nutzer einerseits und den Interessen der Rechteinhaber und des Staates andererseits.

Schon der Ausgangspunkt der Überlegungen des BMWi ist nichts weiter als eine unbewiesene Behauptung. Bislang ist das Ministerium einen empirischen Beleg für die Annahme schuldig geblieben, gänzlich offene WLAN-Zugänge würden zu einem Wildwuchs bei Urheberrechtsverletzungen und anderen Straftaten führen. Darüber hinaus tragen die in dem Gesetzentwurf vorgesehenen Betreiberpflichten (Namenskenntnis, Verschlüsselung, Einwilligungserklärung) wie oben bereits dargestellt weder zu einem wirksamen Schutz vor Urheberrechtsverletzungen und anderen Straftaten noch zur Verfolgung derartiger Vergehen bei. Vielmehr entpuppen sie sich bei näherer Betrachtung als ein aus Ängsten, Befürchtungen und mangelndem technischen Sachverstand geborenes Placebo, deren Folge eine weitere Verringerung des Angebots offener WLAN-Zugänge sein wird. Damit ist zugleich bereits die Grundlage der vom BMWi vorgenommenen Interessenabwägung fehlerhaft.

Spenden

5. Private und ihre Pflichten (Fragen 12, 13)
Zu der Frage, warum Betreiber, die weder geschäftsmäßig noch als öffentliche Einrichtung WLAN-Zugänge anbieten, die Namen der Nutzerinnen und Nutzern kennen müssen, erklärt das BMWi, das Risiko von Straftaten oder Urheberrechtsverletzungen sei im geschützten privaten Bereich höher einzuschätzen als in der Öffentlichkeit.

An dieser Stelle wird erneut deutlich, wie wenig durchdacht der Gesetzentwurf tatsächlich ist. Mit der Pflicht zur Namenskenntnis zielt das BMWi auf Betreiber ab, die nur gelegentlich Dritten über ihr WLAN Zugang zum Internet gewähren. Warum ausgerechnet Denjenigen, die weder geschäftsmäßig noch als öffentliche Einrichtung ein Funknetz betreiben, die weitestreichenden Pflichten auferlegt werden sollen, erscheint bereits wenig sachgerecht. Darüber hinaus wäre es für einen solchen Betreiber auch ein Leichtes, sich von dieser Pflicht zu befreien, indem er seinen WLAN-Zugang dauerhaft und nicht nur gelegentlich öffnet. Dann wäre er nach Lesart des BMWi als „geschäftsmäßiger Betreiber“ anzusehen, so dass die Pflicht zur Namenskenntnis nicht mehr greifen würde. Schließlich entbehrt auch die Einschätzung, das Risiko von Rechtsverletzungen sei im privaten Bereich höher als in der Öffentlichkeit, einer empiririschen Grundlage.