Tag Archives: EU-Kommission

Privacy Shield: Zivilgesellschaftliche Koalition fordert erhebliche Nachbesserungen

Anlässlich des heutigen Treffens zwischen der EU-Justizkommissarin Vĕra Jourová und zivilgesellschaftlichen Gruppen in New York haben wir uns gemeinsam mit fast zwei Dutzend weiteren Organisationen in einem offenen Brief an verschiedene Vertreter der EU gewandt und weitreichende Nachbesserungen des sogenannten „Privacy Shield“ gefordert. Die Regelung soll künftig das „Safe Harbor“ Arrangement, welches der Europäische Gerichtshof (EuGH) im vergangenen Oktober aufgehoben hatte, als Rechtsgrundlage für transatlantische Datenflüsse ersetzen. 

Zu den Adressaten des Briefes gehören die Vorsitzende der Artikel 29 Gruppe, der Vorsitzende des EU-Innenausschusses sowie der Ständige Vertreter des Königsreichs Niederlande, welches aktuell die EU-Ratspräsidentschaft innehat. Das EU-Parlament und das Gremium der Datenschutzbeauftragten in der EU, die Artikel 29 Gruppe, müssen jeweils noch unverbindliche Stellungnahmen abgeben, bevor die EU-Kommission dem „Privacy Shield“ wirksam zustimmen kann. Außerdem ist der Artikel 31 Ausschuss, in dem sowohl Vertreter der Mitgliedstaaten als auch der Kommission sitzen, aufgefordert, eine bindende Bewertung abzugeben.

00001-langer-atem-berge_quelle

In dem Schreiben legen wir dezidiert dar, dass das „Privacy Shield“ weder den Vorgaben der „Safe Harbor“ Entscheidung des EuGH noch den Bedingungen, welche die Artikel 29 Gruppe für eine rechtskonforme Vereinbarung aufgestellt hatte, genügt. Zunächst müssten die USA die Überwachungsbefugnisse ihrer Geheimdienste grundlegend reformieren, so dass den massenhaften und faktisch unkontrollierten Zugriffen, Speicherungen und Verarbeitungen von personenbezogenen Daten europäischer Bürgerinnen und Bürger ein Ende bereitet wird. Auch fehlt es der geplanten Stelle des Ombudsmanns, bei dem Verstöße der US-Behörden beim Umgang mit persönlichen Daten geltend gemacht werden können, bislang an Unabhängigkeit und echten Untersuchungsrechten. Nachgebessert werden muss darüber hinaus auch bei den Schutzrechten von Europäerinnen und Europäern im Falle von Datensammlungen durch US-Unternehmen, bei den Rechtsschutzmöglichkeiten und bei Fragen der Transparenz.

Nur wenn es gelingt, diese bestehenden Unzulänglichkeiten zu bereinigen, kann das Privacy Shield künftig als rechtmäßige, vertrauenswürdige und wirksame Grundlage für transatlantische Datenflüsse dienen. Die Unterhändler sind es deshalb den Bürgerinnen, Bürgern und Unternehmen sowohl in der EU als auch in den USA schuldig, die in dem offenen Brief angesprochenen Punkte nachzuverhandeln und eine Lösung im Sinne der Grundrechte zu finden.

Den offenen Brief finden Sie hier im Volltext.

Zum Thema Privacy Shield haben wir übrigens auch in unserer Radiokolumne „In digitaler Gesellschaft“ bei FluxFM schon mehrfach berichtet:

Folge 4: Safe Harbor & Privacy Shield

Folge 8: Privacy Shield – die Überwachung geht weiter

Safe Harbor: Alter Wein in neuen Schläuchen

„Die Probleme, die zur Aufhebung von Safe Harbor geführt haben, sind alles andere als gelöst. Statt sich entschlossen für den Schutz europäischer Daten in den USA einzusetzen, hat sich die EU-Kommission eine Mogelpackung andrehen lassen. Wie schon bei Safe Harbor ist auch beim jetzigen EU-US-Privatsphäre-Schild der Bereich der nationalen Sicherheit von den Regelungen ausgenommen. Wenn die Kommission behauptet, es werde künftig keine Massenüberwachung von Daten aus der EU in den USA geben, ist das nicht mehr als ein schlechter Witz.“, erklärt Alexander Sander, Geschäftsführer des Vereins Digitale Gesellschaft.

Die EU-Kommission hat heute den Abschluss der Verhandlungen um eine Nachfolgeregelung zu Safe Harbor verkündet. Eine solche Neuauflage war erforderlich geworden, nachdem der Europäische Gerichtshof (EuGH) die Safe Harbor-Entscheidung im vergangenen Oktober unter anderem mit Hinweis auf die nahezu unbeschränkten Zugriffsbefugnisse von US-Sicherheitsbehörden auf die Daten von Bürgerinnen und Bürgern der EU aufgehoben hatte. Zukünftig sollen transatlantische Datenflüsse nach dem Willen der EU-Kommission nun auf Grundlage des „EU-US-Privatsphäre-Schilds“ stattfinden. Bisher handelt es sich dabei lediglich um eine politische Einigung mit den USA. Eine detaillierte und juristisch präzise Ausarbeitung werde noch etwa drei Monate in Anspruch nehmen, so die Kommission.

Die konkrete Formulierung dürfte sich als schwierig erweisen, da das „Privatsphäre Schild“ in einigen bereits jetzt bekannten Punkten klar gegen die Vorgaben des EuGH verstößt. So ist der Bereich der nationalen Sicherheit von der Regelung ausgenommen. Gerade dies war aber einer der Hauptkritikpunkte der Luxemburger Richter an Safe Harbor. Ferner soll der Zugriff amerikanischer Sicherheitsbehörden auf die Daten von Europäerinnen und Europäern begrenzt werden. Dies bedeutet vor allem, dass weiterhin Zugriffe stattfinden. Worin die Begrenzung des Zugriffs bestehen soll und wie weit sie genau geht, lässt die Kommission wohlweislich offen. Gänzlich unglaubhaft ist daher auch ihre Behauptung, es werde in den USA künftig keine Massenüberwachung von Daten aus der EU mehr stattfinden. So dürfte es für die NSA bereits technisch schwierig, wenn nicht gar unmöglich sein, etwa im Rahmen der „Upstream Collection“ genannten Massendatenerfassung an Internetknotenpunkten zwischen europäischen und anderen Daten zu unterscheiden. Auch bietet das vorgesehene Ombudsmannverfahren keinen ausreichenden und insbesondere keinen gerichtlichen Schutz gegen Datenschutzverstöße durch US-Behörden. Der Ombudsmann ist selbst Teil der US-Administration und verfügt damit nicht über dieselbe Unabhängigkeit und Durchsetzungskraft wie ein Gericht. Schließlich dürfte auch die vorgesehene jährliche Evaluierung des „Privatsphäre Schilds“ keine substanzielle Verbesserung bringen, da sie allein durch EU-Kommission und Federal Trade Commission und nicht durch unabhängige Stellen erfolgen wird.

00007-protest-gesichter-landesverrat-quelle

Safe Harbor: Reform der geheimdienstlichen Zugriffsbefugnisse ist unausweichlich

„Die angeblich intensiven Verhandlungen um eine neue Safe-Harbor-Regelung haben bislang nicht mehr als vage Ankündigungen hervorgebracht. Statt den Elefanten im Raum klar zu benennen und tiefgreifende Reformen bei den amerikanischen Überwachungsgesetzen einzufordern, eiert die EU-Kommission weiter rum und lässt Verbraucherinnen, Verbraucher und Unternehmen im Stich. Die europäischen Datenschutzbehörden müssen nun den Druck auf die Verhandlungen erhöhen und entschlossen gegen rechtswidrige transatlantische Datentransfers vorgehen.“, fordert Alexander Sander, Geschäftsführer des Vereins Digitale Gesellschaft.

An diesem Wochenende läuft die Schonfrist ab, welche die Artikel 29 Gruppe der EU-Kommission nach der Aufhebung der Safe Harbor Entscheidung durch den Europäischen Gerichtshof (EuGH) eingeräumt hatte. Bis Ende Januar 2016 sollte die Kommission nach Wunsch der europäischen Datenschützer eine neue Rechtsgrundlage für die Übermittlung personenbezogener Daten aus der EU in die USA aushandeln. Ein „Safe Harbor 2.0“ ist trotz angeblich intensiv geführter Verhandlungen, über die stets nur vage Informationen nach außen dringen, derzeit jedoch nicht in Sicht. Zwar berichten die Unterhändler gelegentlich über Fortschritte, etwa dass Bürgerinnen und Bürger der EU ähnliche Rechtsmittel gegen Datenschutzverstöße wie US-Amerikaner erhalten könnten, konkrete Ergebnisse gibt es bislang aber nicht.

Dabei ist seit der Entscheidung des EuGH ist klar, dass das vordergründigste Problem bei der transatlantischen Übermittlung personenbezogener Daten in den nahezu unbeschränkten gesetzlichen Zugriffsbefugnissen der US-Geheimdienste liegt. Obendrein ist es den datenverarbeitenden Unternehmen außerdem verboten, ihre Kundinnen und Kunden über ihre Kooperation mit diesen Behörden zu informieren. Ohne tiefgreifende Änderungen im Recht der US-Geheimdienste wird es nicht möglich sein, die Vorgaben der EuGH-Entscheidung zu erfüllen. Das gleiche gilt für Standardvertragsklauseln und Binding Corporate Rules, die nach dem Luxemburger Richterspruch ebenfalls keine taugliche Rechtsgrundlage für transatlantische Datenübertragungen mehr darstellen. Um den Druck auf die Verhandlungen zu erhöhen, müssen die europäischen Datenschutzbehörden deshalb nun ihren Ankündigungen Taten folgen lassen, und entschlossen rechtswidrige Datenflüsse zwischen der EU und den USA unterbinden. Nur auf diese Weise wird sich in den Safe Harbor Verhandlungen die Einsicht durchsetzen, dass Reformen der geheimdienstlichen Befugnisse unausweichlich sind.

00007-protest-gesichter-landesverrat-quelle

Vorentscheidung zur Europäischen Datenschutzgrundverordnung: Am Ende reichte es nur zur Sicherung von Mindeststandards

Gemeinsame Stellungnahme von European Digital Rights (EDRi), Bits of Freedom, Digital Rights Ireland, Privacy International und Digitale Gesellschaft e.V. zur Datenschutz-Entscheidung des Ausschusses für Bürgerliche Freiheiten des EU-Parlaments:

Im Januar 2012 hat die Europäische Kommission nach ausgiebigen Beratungen einen Verordnungsentwurf und eine Richtlinie veröffentlicht, die ein starkes Regelwerk für Datenschutz in der EU schaffen sollten. Die Initiative hatte drei vorranige Ziele: Die Modernisierung des rechtlichen Rahmens für den Schutz persönlicher Daten, die Harmonisierung der unterschiedlichen Regelungen in Europa und den Erhalt des bisherigen Datenschutzniveaus. Ausgangspunkt war das Bestreben, die Rechte von Individuen zu stärken und ihnen eine bessere Kontrolle über ihre persönlichen Informationen zu ermöglichen. Auch eine effizientere Rechtsdurchsetzung sollte erreicht werden. Beide Punkte stellen große Schwächen der gegenwärtigen Gesetzgebung dar.

„Konfrontiert mit dem womöglich größten Lobbyismus-Ansturm in der Geschichte der EU, sichert die Vereinbarung zumindest essentielle Elemente des Datenschutzes in Europa. Von den hohen Ambitionen des ursprünglichen Vorschlags ist jedoch leider wenig übrig geblieben“, so Joe McNamee, Geschäftsführer von European Digital Rights. „In den letzten vier Jahren wirkte es immer wieder so, als würden diese Vorschläge zerrieben. Insofern ist bereits das Zustandekommen der Datenschutzgrundverordnung ein Erfolg von Politikern aus verschiedensten Lagern ebenso wie der Zivilgesellschaft.“

Das Projekt der Modernisierung des europäischen Datenschutzes ist aufgrund der Gegenwehr einiger Industriegruppen, die lieber im letzten Jahrhundert verharren wollen, leider nur teilweise geglückt. Mit dem Thema Profilbildung ist eines der zentralen Elemente der Datenschutzmodernisierung nicht gründlich genug bearbeitet worden. Des Weiteren wird die Unterscheidung zwischen der „expliziten“ Zustimmung zur Verarbeitung sensibler Daten und der „Zustimmung“ für anderweitige Verarbeitungen bei der Umsetzung der Verordnung nicht hilfreich sein. Auch bedauern wir, dass es nicht gelungen ist, den schwammigen Begriff des „berechtigten Interesses“ für eine Datenverarbeitung zu reformieren. Wir sind jedoch froh, dass zumindest einige Schutzmaßnahmen ergänzt wurden.

Schwerwiegender ist, dass das Vorhaben, den Datenschutz in der EU zu harmonisieren, in sein Gegenteil verkehrt wurde. Die Anzahl der Ausnahmetatbestände in der jetzigen Verordnung ist größer als die der eigentlichen Artikel in der bisher gültigen Richtlinie von 1995. Zudem wurden auch die Möglichkeiten nationaler Ausnahmen in Art 21 ausgeweitet.

Alles in allem erreicht das neue Datenschutzpaket nur das absolute Mininum dessen, was in der aktuellen politischen Situation möglich war. Der finale Text ist zumindest um einiges besser als das, was der Rat und einige Parlamentsausschüsse vorgeschlagen hatten – er bleibt jedoch weit hinter den ursprünglichen Zielen zurück. EDRi, Bits of Freedom, Digital Rights Ireland, Privacy International und Digitale Gesellschaft e.V. bedanken sich für die Arbeit der Mit-Gesetzgeber, die sich stets dafür eingesetzt haben, die guten Vorschläge zu verteidigen. Jetzt gilt es, die nächsten Herausforderungen in den Blick zu nehmen: Die Implementierung der neuen Rechtsordnung, eine Reform der e-Privacy-Richtlinie und die Vorbereitung von Klagen, um gegebenenfalls die Verteidigung unserer fundamentalen Rechte sicherzustellen.

„Es ist erschütternd, dass es so schwer war, wenigstens diese Grundregeln auf den Weg zu bringen. All das passiert in einer Zeit, in der die Bedenken wegen Überwachung und beispiellosen Sicherheitslücken wachsen. Nichtsdestotrotz erhöhen datenhungrige Konzerne und Regierungen in Kombination mit mangelhaftem Technologiedesign die mit persönlichen Daten verbundene Verletzlichkeit“, ergänzt die Vorsitzende von Privacy International, Anna Fielder. „Jetzt haben wir ein rechtliches Werkzeug, die Mächtigen zur Verantwortung zu ziehen. Wir werden diesen Rechtsrahmen nutzen, um die Selbstbestimmung von Bürgerinnen und Bürgern, Verbraucherinnen und Verbrauchern zu stärken. Und wir werden die Tauglichkeit der neuen Regulierung im Hinblick auf neu entstehende Geschäftsmodelle, weitreichende und aberwitzige Regierungsprogramme sowie jedes System, das Individuen ihrer Autonomie beraubt, austesten.

Das englischsprachige Original der gemeinsamen Stellungnahme ist hier zu finden: https://edri.org/eu-data-protection-package-lacking-ambition-but-saving-the-basics/

 

Anhörung zum Telemediengesetz: Wie geht es weiter mit offenem WLAN und Host-Providerhaftung?

Offene WLAN-Netze und die Haftung von Host-Providern waren heute Thema im Wirtschaftsausschuss des Deutschen Bundestages. Im Rahmen einer Sachverständigenanhörung, zu der auch wir geladen waren, wurde der Gesetzentwurf der Bundesregierung zur Änderung des Telemediengesetzes erörtert.

Nach Vorstellung der Bundesregierung sollen mit dem geplanten Gesetz rechtssichere Bedingungen für den Betrieb offener Funknetze geschaffen und die Haftung von Host-Providern verschärft werden. Obwohl es sich bereits in den im Vorfeld abgegebenen schriftlichen Stellungnahmen abzeichnete, zerpflückten die Sachverständigen zur Überraschung einiger Abgeordneter der Großen Koalition den Regierungsentwurf während der knapp zweistündigen Anhörung in weiten Teilen.

006-protest-gesichter-fawks-quelle2

Verschärfung der Host-Providerhaftung: Unpraktikabel und europarechtswidrig

So bewerteten die sieben geladenen Experten die Änderungen bei der Host-Providerhaftung als völlig verfehlt und unpraktikabel. Unter Host-Providern sind ganz allgemein Dienste zu verstehen, die für ihre Nutzerinnen und Nutzer Informationen speichern. Es kann sich dabei um so unterschiedliche Angebote wie Youtube, Wikipedia, Dropbox oder auch One-Click-Hoster wie Rapidshare handeln.

Nach EU-Recht sind diese Dienste grundsätzlich nicht für rechtswidrige Informationen verantwortlich, die ihre Nutzerinnen und Nutzer bei ihnen speichern. Als Voraussetzung für die Haftungsfreistellung sieht das Europarecht lediglich vor, dass die Dienste keine Kenntnis von der Rechtswidrigkeit haben und die Informationen entfernen, sobald sie auf die Rechtswidrigkeit hingewiesen werden („Notice and takedown“).

Mit dem Entwurf der Bundesregierung soll sich das ändern. Die Kenntnis der Rechtswidrigkeit soll danach gesetzlich vermutet werden, wenn es sich bei dem Host-Provider um einen „gefahrgeneigten Dienst“ handelt. Das soll unter anderem dann der Fall sein, wenn die weit überwiegende Zahl der Inhalte rechtswidrig bei dem Anbieter gespeichert ist. Um diese Feststellung zu treffen, müsste der Anbieter jedoch alle bei ihm gespeicherten Inhalte proaktiv überwachen und im Hinblick auf ihre Rechtmäßigkeit bewerten.

Das dürfte ihm bereits deshalb schwerfallen, weil es einem gespeicherten Inhalt gar nicht ohne Weiteres anzusehen ist, ob er nun rechtswidrig oder rechtmäßig ist. Urheberrechtlich geschütztes Material darf beispielsweise bei einem One-Click-Hoster legal gespeichert werden, solange der Uploader der Öffentlichkeit keinen Zugriff darauf gewährt. Eine generelle Überwachung und Überprüfung der Inhalte hielten die Sachverständigen daher für unpraktikabel. Außerdem wiesen sie darauf hin, dass dies auch gegen die Vorgaben der europäischen E-Commerce-Richtlinie verstieße. Sie empfahlen daher durchweg, diese geplante Gesetzesänderung aus dem Entwurf zu streichen.

WLAN Störerhaftung

WLAN-Störerhaftung: Knackpunkt Europarecht

Auch in puncto WLAN-Störerhaftung stand die Vereinbarkeit des Regierungsentwurfs mit dem EU-Recht im Mittelpunkt. Die Kritik machte sich an genau den Punkten fest, die wir bereits im Juni dieses Jahres gemeinsam mit den Freifunkern und dem Verbraucherzentrale Bundesverband bei der EU-Kommission geltend gemacht hatten. Die Kommission hatte sich in einer nicht veröffentlichten, aber auf Netzpolitik.org geleakten Stellungnahme unseren Bedenken angeschlossen. Anfang November hatte der Bundesrat aus denselben Gründen empfohlen, den Regierungsentwurf in der vorliegenden Fassung nicht zu verabschieden.

In der heutigen Anhörung bemängelten nun auch die Sachverständigen, dass WLAN-Betreiber laut Entwurf nur dann von der Störerhaftung befreit werden sollen, wenn sie „zumutbare Maßnahmen“ ergriffen haben, um Rechtsverletzungen durch die Nutzerinnen und Nutzer zu verhindern. Damit überschreitet der Entwurf nach einhelliger Ansicht die Vorgaben der E-Commerce-Richtlinie.

Außerdem kritisierten die Experten, dass der Entwurf zwar beispielhaft zwei „zumutbare Maßnahmen“ benenne; allerdings seien diese nur sehr unscharf definiert und obendrein untauglich, um Rechtsverletzungen zu verhindern. Mit dem Regierungsentwurf würde daher die bestehende Rechtsunsicherheit bei der WLAN-Störerhaftung festgeschrieben und offene Funknetze in Deutschland damit faktisch unmöglich gemacht.

Positiv äußerte sich zu den geplanten Änderungen nur der Vertreter der Firma Hotsplots GmbH, die WLAN-Zugänge für gewerbliche Kunden wie Hotels und Gastronomie anbietet. Das verwundert wenig, beruht das Geschäftsmodell dieses Unternehmens doch im Kern auf der Ausnutzung der bestehenden Rechtsunsicherheiten und Haftungsrisiken für die Anbieter von WLAN-Zugängen.

Prozedere ließ keine Diskussionen zu

Leider ließ das Prozedere bei der Anhörung eine echte Diskussion unter den geladenen Experten nicht zu. Weder gab es Eingangsstatements der Sachverständigen, noch wurde ihnen Gelegenheit zur Nachfrage oder Replik auf die Ausführungen der jeweils anderen gegeben. Stattdessen richteten die Abgeordneten in drei Runden Fragen an die Experten. Insbesondere die Parlamentarier der Großen Koalition befragten dabei ausschließlich die von ihnen selbst bestellten Sachverständigen. Die Anzahl der Fragen, welche die Abgeordneten der verschiedenen Fraktionen stellen konnten, entsprach dabei zudem strikt den Mehrheitsverhältnissen im Ausschuss. Da die Oppositionsparteien zusammen nur über knapp 20% der Sitze verfügen, mussten sie sich jeweils mit nur einer Frage pro Runde zufrieden geben.

00002-langer-atem-marathon-quelle

Ausblick: Was lange währt, könnte noch länger dauern

Ein Aspekt, der gegen Ende der Anhörung zur Sprache kam, könnte für den weiteren Verlauf des Gesetzgebungsverfahrens von besonderer Bedeutung sein. Der Europäische Gerichtshof (EuGH) hat am 9. Dezember die Klage eines Hotspot-Betreibers verhandelt, der sich gegen die Abmahnung eines Musikunternehmens wegen illegalen Filesharings gewehrt hatte. In diesem Verfahren geht es im Kern um die Auslegung der E-Commerce-Richtlinie und die Voraussetzungen für die Störerhaftung. Mit einem Votum des Generalanwalts am EuGH, das vor der eigentlichen Entscheidung des Gerichtshofs ergehen muss, ist nicht vor März 2016 zu rechnen. Angesichts der zahlreichen europarechtlichen Probleme des Regierungsentwurfs könnte sich die Große Koalition nun auf die Strategie verlegen, das Gesetzgebungsverfahren zunächst auf Eis zu legen, um die Entscheidung des EuGH abzuwarten.

Nicht zuletzt vor diesem Hintergrund ist die Abschaffung der WLAN-Störerhaftung ein anschauliches Beispiel dafür, wie langwierig und mühsam politische Prozesse verlaufen und wie wichtig deshalb ein langer Atem ist. Schon im Jahr 2012 hatten wir einen Gesetzentwurf zur bedingungslosen Beseitigung der WLAN-Störerhaftung vorgelegt. Die Oppositionsfraktionen hatten unseren Entwurf sowohl 2013 als auch 2014 in den Bundestag eingebracht, wo er stets an den Stimmen der jeweiligen Regierungskoalition scheiterte. Im März 2015 erschien erstmals ein eigener Entwurf aus der Feder der Bundesregierung.

Wenn sich die Große Koalition nun tatsächlich dazu entschließt, die Entscheidung des EuGH abzuwarten, dann wäre die WLAN-Störerhaftung selbst mehr als ein Jahr später noch immer nicht abgeschafft. Das entbehrt nicht einer gewissen Ironie, geht es hier doch eigentlich nur um die Änderung eines einzigen Paragraphen im Telemediengesetz. Bei der Vorratsdatenspeicherung haben für ein weitaus umfangreicheres Gesetzespaket hingegen wenige Monate ausgereicht.

WLAN-Störerhaftung: Parlament muss dringend nachbessern

„Der Kabinettsentwurf zur WLAN-Störerhaftung verspielt digitale Chancen zugunsten einer kruden Sicherheitsesoterik. Die vorgesehenen Bedingungen für die Haftungsfreistellung verstoßen gegen das Europarecht und verhindern faktisch den Betrieb offener Funknetze. Hier muss das Parlament dringend nachbessern, damit wir endlich Anschluss an den international längst üblichen Standard bei freien Netzzugängen finden.“, fordert Volker Tripp, politischer Referent des Vereins Digitale Gesellschaft.

Heute wird der Bundestag in erster Lesung über den Kabinettsentwurf zur Änderung des Telemediengesetzes beraten. Danach müssen Betreiber von Drahtlosnetzen, die ihr WLAN für die Allgemeinheit öffnen, ihre Netze gegen unberechtigte Zugriffe sichern. Außerdem sind sie gezwungen, Nutzerinnen und Nutzern eine Rechtstreueerklärung abzunehmen. Ansonsten laufen die Betreiber Gefahr, für Rechtsverletzungen zu haften, die andere Personen über ihre Netzzugänge begehen. Mit diesen Einschränkungen möchte die Bundesregierung verhindern, dass offene WLAN-Netze zu Einfallstoren für anonyme Kriminalität im Internet werden.

Bereits im September war die EU-Kommission im Zuge eines Notifizierungsverfahrens zu dem Schluss gelangt, dass die von der Bundesregierung geplanten Bedingungen für die Haftungsfreistellung kein wirksames Mittel zur Bekämpfung von Rechtsverstößen im Internet darstellen. Als nutzlose Hürden für das Angebot offener Funknetzzugänge verstoßen sie nach Ansicht der Kommission daher gegen die Vorgaben der E-Commerce-Richtlinie sowie die EU-Grundrechte auf unternehmerische Freiheit und Meinungsfreiheit. Auch der Bundesrat hatte Anfang November gefordert, die WLAN-Störerhaftung bedingungslos abzuschaffen.

WLAN Störerhaftung

In der Tat ist nicht nachvollziehbar, wie etwa das Abklicken einer Rechtstreueerklärung irgendjemanden davon abhalten sollte, im Internet Rechtsverletzungen zu begehen. Gleiches gilt für die Sicherung eines Funknetzes mit Verschlüsselung und Passwort. Zudem sind diese Vorgaben mit offenen Internetzugängen, wie sie in vielen anderen Ländern bereits seit Jahren üblich sind, schlichtweg unvereinbar. Wichtige Zukunftschancen für digitale Bildung, Meinungs- und Informationsfreiheit, Online-Wirtschaft, Tourismus und die Flankierung des Breitbandausbaus würden damit zunichte gemacht. Auch gemeinnütziges Engagement, wie es etwa die Freifunker im Bereich der Flüchtlingshilfe leisten, wäre mit dem geplanten Gesetz nicht mehr möglich. Der Bundestag muss den Gesetzentwurf im parlamentarischen Prozess daher dringend korrigieren, um die WLAN-Störerhaftung endlich bedingungslos abzuschaffen.

Einen Gesetzentwurf zur bedingungslosen Abschaffung der WLAN-Störerhaftung hatte der Digitale Gesellschaft e.V. bereits im Jahr 2012 vorgelegt.

Anlässlich der Notifizierung des Kabinettsentwurfs hatte sich der Verein außerdem gemeinsam mit dem Förderverein Freie Netze e.V. sowie dem Verbraucherzentrale Bundesverband e.V. mit einer Stellungnahme an die EU-Kommission gewandt und darin dezidiert die oben genannten Verstöße gegen das Europarecht dargelegt.

Spenden

Kurzanalyse: Standardvertragsklauseln und Binding Corporate Rules als Ausweg nach der „Safe Harbor“-Entscheidung?

Nachdem der Europäische Gerichtshof (EuGH) heute die „Safe Harbor“-Regelung aus dem Jahr 2000 für ungültig erklärt hat, drängt sich die Frage auf, ob dies zugleich das Ende transatlantischer Datenflüsse bedeutet.

Wir hatten bereits gestern darauf hingewiesen, dass dies mit der Ungültigkeit von „Safe Harbor“ nun zwar grundsätzlich der Fall ist, personenbezogene Daten jedoch in bestimmten Ausnahmefällen selbst dann in Drittstaaten übertragen werden dürfen, wenn diese kein angemessenes Datenschutzniveau aufweisen. Diese Ausnahmen erweisen sich im Hinblick auf Datenübermittlungen in die USA bei näherer Betrachtung jedoch allesamt als problematisch.

Die praktisch wichtigste dieser Ausnahmen in der EU-Datenschutzrichtlinie lässt die Übermittlung personenbezogener Daten zu, wenn die Betroffenen ausdrücklich und zweifelsfrei in die Übermittlung eingewilligt haben. Allerdings setzt diese Ausnahme voraus, dass die Betroffenen zuvor über den Zweck der Übermittlung und Verarbeitung, die Weitergabe an Dritte sowie Bedingungen und Reichweite dieser Weitergabe unterrichtet wurden. Nach US-Recht wiederum ist es Unternehmen, die mit den dortigen Nachrichtendiensten wie etwa der NSA zusammenarbeiten, jedoch untersagt, Informationen über diese Zusammenarbeit preiszugeben. Aus diesem Grund dürfte es datenverarbeitende Unternehmen aus den USA vor große Schwierigkeiten stellen, den Anforderungen der EU-Datenschutzrichtlinie in diesem Punkt zu genügen.

Reaktion der EU-Kommission
In einer ersten Reaktion auf die Entscheidung des EuGH ließ die EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung, Vera Jourová, verlauten, dass personenbezogene Daten trotz der Ungültigkeit von „Safe Harbor“ weiterhin in die USA übermittelt werden dürften; Grundlage dafür seien die EU-Standardvertragsklauseln oder die „Binding Corporate Rules“. Diese Auffassung ist aus unserer Sicht jedoch nicht nachvollziehbar.

Spenden

EU-Standardvertragsklauseln
Die Standardvertragsklauseln basieren ebenso wie „Safe Harbor“ auf Entscheidungen der EU-Kommission. Es handelt sich dabei um fest vorgegebene Vertragswerke mit bestimmten Datenschutzgarantien für Datenexporteure und Datenimporteure. Inhaltlich entsprechen die Standardvertragsklauseln den Vorgaben der „Safe Harbor“ Regelung. Der Unterschied zwischen beiden besteht lediglich darin, dass sich „Safe Harbor“ auf das Datenschutzniveau eines ganzen Landes bezieht, die Standardvertragsklauseln hingegen nur auf das Datenschutzniveau innerhalb einzelner Unternehmen. Im Rahmen der Standardverträge muss der Datenimporteur bei Übermittlungen in einen unsicheren Drittstaat wie die USA zusichern, dass dort seines Wissens keine Rechtsvorschriften existieren, die die Garantien aus den Klauseln substanziell beeinträchtigen.

Genau dies hat der EuGH im Rahmen der „Safe Harbor“ Entscheidung in Frage gestellt und moniert, dass sich die Regelung gerade nicht auf die Bereiche der nationalen Sicherheit und der Strafverfolgung in den USA erstreckt. Zudem hat der Gerichtshof klargestellt, dass faktisch unbegrenzte behördliche Zugriffe auf personenbezogene Daten mangels Verhältnismäßigkeit niemals mit dem EU-Datenschutzrecht und den EU-Grundrechten vereinbar sein können. Und tatsächlich erlaubt Sektion 702 des FISA Amendment Act (FAA) von 2008 den US-Geheimdiensten ohne besondere Schranken, die Daten von Nicht-US-Bürgern abzugreifen. Dabei kann die NSA wie im Fall von PRISM mit Online-Unternehmen kooperieren oder wie bei der „Upstream Collection“ genannten Massendatenerfassung direkt selbst an Internetknotenpunkten ansetzen. Die Datenschutzgarantien der Standardvertragsklauseln werden dadurch ebenso unterlaufen wie die Vorgaben von „Safe Harbor“, so dass beide Regelungen letztlich an demselben Fehler leiden. Datenübermittlungen in die USA auf Grundlage der Standardverträge dürften daher ebenso unzulässig sein, wie der EuGH dies heute für Übermittlungen auf der Basis von „Safe Harbor“ angenommen hat.

Binding Corporate Rules
Auch die „Binding Corporate Rules“ bieten hier keinen Ausweg. Im Unterschied zu den Standardvertragsklauseln sind sie nicht fest vorgegeben, sondern können insbesondere von multinationalen Konzernen für Fälle konzerninterner Datenübermittlungen selbst gestaltet werden. Diese Regeln bedürfen der Genehmigung durch eine federführende sowie zwei weitere europäische Datenschutzbehörden, um wirksame Grundlage für die Datenübermittlung in einen unsicheren Drittstaat zu sein. Dabei müssen die Behörden prüfen, ob durch die selbst auferlegten Regeln ein angemessenes Datenschutzniveau innerhalb des jeweiligen Konzerns gewährleistet ist. Spätestens an diesem Punkt kommen wiederum die Überwachungsbefugnisse der US-Nachrichtendienste ins Spiel. Daher können Unternehmen mit Sitz in den Vereinigten Staaten auch im Wege der „Binding Corporate Rules“ ein angemessenes Datenschutzniveau nicht garantieren.

Fazit
Ganz so einfach, wie es EU-Kommission und Unternehmen wie Facebook nun vorgeben, werden die Auswirkungen des EuGH-Urteils nicht zu bewältigen sein. Ein zulässiger Ausweg kann jedenfalls nicht darin bestehen, die Datenübermittlung künftig schlicht auf eine andere formale Grundlage zu stellen. Den materiellen Anforderungen des EU-Datenschutzrechts ist auf diese Weise nicht auszuweichen. Vielmehr bedarf es substanzieller Änderungen bei den Überwachungspraktiken der US-Geheimdienste ebenso wie bei ihrer Aufsicht und den Rechtsmitteln für Personen, die nicht in den USA ansässig sind.

2015_01 foerdermitglied_w

Safe Harbor: Europäischer Gerichtshof setzt historisches Zeichen gegen anlasslose Massenüberwachung

„Der Europäische Gerichtshof hat heute ein historisches Zeichen für den Datenschutz und gegen anlasslose Massenüberwachung gesetzt. Die Safe Harbor-Entscheidung macht unmissverständlich klar, dass geheimdienstliche Spähexzesse den Grundrechten und der Online-Wirtschaft schweren Schaden zufügen und mit freien transatlantischen Datenflüssen schlichtweg unvereinbar sind. Die politisch Verantwortlichen in Europa und den USA stehen nun in der Pflicht, die Missstände abzustellen und die längst überfälligen Reformen bei Aufsicht und Befugnissen der Geheimdienste vorzunehmen.“, kommentiert Alexander Sander, Geschäftsführer des Vereins Digitale Gesellschaft.

In dem Rechtsstreit zwischen dem österreichen Datenschutzaktivisten Max Schrems und Facebook hat der Europäische Gerichtshof (EuGH) heute entschieden, dass die vor rund 15 Jahren ergangene „Safe Harbor“ Entscheidung der EU-Kommission ungültig ist. Die Entscheidung bildete bislang die rechtliche Grundlage für die Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten, wo US-Unternehmen wie Facebook diese Daten speichern und verarbeiten. Sie besagte im Kern, dass in den USA ein angemessenes Schutzniveau für die Daten von Nutzerinnen und Nutzern aus der EU herrsche. Dieser pauschalen Annahme hat der EuGH nun vor dem Hintergrund der anlasslosen Massenüberwachung durch die NSA eine klare Absage erteilt.

Anders als teilweise im Vorfeld der Entscheidung von US-Seite zu vernehmen war, bedeutet das gerichtliche Votum keineswegs das Ende transatlantischer Datenflüsse. So sieht das europäische Datenschutzrecht zahlreiche Ausnahmen für die Übermittlung personenbezogener Daten auch ohne eine „Safe Harbor“ Regelung vor. Diese Ausnahmen greifen allerdings nur dann, wenn Nutzerinnen und Nutzer zunächst umfassend über den Verwendungszweck und die Weitergabe ihrer Daten an Dritte unterrichtet wurden. Datenverarbeitende Unternehmen aus den USA müssen europäische Nutzerinnen und Nutzer daher auch über die geheimdienstlichen Zugriffsmöglichkeiten auf ihre Daten informieren, damit diese weiterhin übermittelt werden dürfen. Aufgrund der Verschwiegenheitseverpflichtungen nach US-Recht dürfte dies für die Unternehmen allerdings kaum möglich sein. Der Ball liegt daher im Spielfeld der politisch Verantwortlichen auf beiden Seiten des Atlantiks. Sie stehen in der Pflicht, der geheimdienstlichen Massenüberwachung und damit einem der größten Hindernisse für freie Datenflüsse zwischen der EU und den USA endlich ein Ende zu bereiten. Online-Unternehmen und Zivilgesellschaft müssen diese Reformen nun selbstbewusst und unnachgiebig einfordern.

Eine ausführliche Analyse zu den Auswirkungen und Implikationen des Urteils finden Sie hier.

Spenden

Werdet aktiv: Letzte Chance zur Rettung der Netzneutralität

Die Dreiecksverhandlungen zwischen EU-Kommission, Ministerrat und Europäischem Parlament über eine Verordnung für einen einheitlichen digitalen Binnenmarkt gehen ihrem Ende entgegen. Noch in dieser Woche soll der sogenannte Trilog mit einem Kompromiss abgeschlossen werden, dem auch die Netzneutralität zum Opfer fallen könnte.

Nachdem das Parlament im April vergangenen Jahres für eine weitgehend netzneutralitätsfreundliche Fassung der Verordnung gestimmt hatte, konnten sich die stark an den Wünschen der Telekommunikationslobby orientierten Positionen von Ministerrat und Kommission nun in den Verhandlungen durchsetzen. In der vergangenen Woche hatte das Parlament bereits einen Kompromissvorschlag verabschiedet, mit dem es weit von seinem ursprünglichen Beschluss abrückte und weitreichende Zugeständnisse gegenüber Rat und Kommission machte.

So verzichtete das Parlament bereits auf Definitionen der Netzneutralität und der Spezialdienste und gab seinen Widerstand gegen sachfremde Regelungen wie Spamschutz, Kindersicherungen oder Netzsperren auf. Im Gegenzug ist insbesondere der Rat lediglich zu eher symbolischen Zugeständnissen im Bereich des Roamings bereit. Im Hinblick auf die Netzneutralität entfernen sich die Vorschläge des Rates hingegen immer weiter von der ursprünglichen Position des Parlaments.

2015_01 foerdermitglied_w

Ihr könnt uns bei einer Rettungsaktion in letzter Minute unterstützen. Geht auf savetheinternet.eu und kontaktiert darüber kostenlos die Abgeordneten im Industrieausschuss (ITRE) des Europäischen Parlaments. Ruft sie dazu auf, die Netzneutralität zu verteidigen und in den Trilogverhandlungen nicht weiter nachzugeben.

Macht ihnen klar, dass es ein freies und offenes Netz in Europa künftig nur geben wird, wenn folgende Bedingungen erfüllt sind:

  • Eine enge Definition der Spezialdienste
    Spezialdienste dürfen keinen Ersatz für einen Internetzugangsdienst darstellen, müssen über logisch getrennte Kapazitäten erbracht werden und eine technische Notwendigkeit für eine besondere Qualität aufweisen.
  • Enge Grenzen für Netzwerkmanagement
    Nur in wenigen, klar definierten Einzelfällen (z.B. außergewöhnliche Netzwerkbelastung) darf Netzwerkmanagement zulässig sein; Kindersicherungen und die Bekämpfung von Urheberrechtsverletzungen gehören nicht dazu
  • Ausdrückliche Verankerung eines Diskriminierungsverbots
    Durch eine klare gesetzliche Definition der Netzneutralität muss sichergestellt werden, dass Ungleichbehandlungen zwischen funktional gleichwertigen Diensten verboten sind.
  • Sachfremde Elemente aus dem Gesetzestext entfernen
    Alle Elemente, die nichts mit Internetzugangsdiensten zu tun haben, müssen aus dem Gesetzestext verschwinden. Dazu gehören beispielsweise Regeln zum Spamschutz.

NN_infographics

Hier findet Ihr weitere Informationen und Anregungen für Eure Gespräche mit den Abgeordneten im ITRE-Ausschuss:

Fachgespräch: Netzneutralität ist das neue Waldsterben
Netzneutralität: Kommissionsvorschlag offenbart Oettingers Versagen
Save the Internet: Endspiel um die Netzneutralität
FAQ Netzneutralität

In diesem Video vom Fachgespräch zur Netzneutralität im Bundestagsausschuss Digitale Agenda könnt Ihr außerdem aus erster Hand erfahren, was die Telekommunikationsunternehmen entgegen ihrer bisherigen Bekundungen in Sachen Spezialdienste planen. Dr. Bernhard Rohleder, Hauptgeschäftsführer des BITKOM e.V., gesteht auf Nachfrage ein, dass von IPTV bis Gaming alle Dienste, für die es eine entsprechende Nachfrage gibt, als Spezialdienste angeboten werden könnten. Damit begibt er sich in direkten Widerspruch zum bisherigen Narrativ der Telekommunikationslobby, wonach Spezialdienste angeblich notwendig seien, um Telemedizin oder selbstfahrende Autos sicher zu ermöglichen. Damit Ihr nicht lange suchen müsst, haben wir die relevante Stelle im Video für Euch rausgesucht und den Timer entsprechend positioniert.

Digitale Strategie der EU: Buzzword-Bingo ohne Substanz

Gestern haben Andrus Ansip, Vizepräsident der EU-Kommission und Digitalkommissar, und sein Kollege Günther Oettinger ihre Strategie für einen digitalen europäischen Binnenmarkt vorgestellt. Das Papier, dem ein umfangreiches Faktenblatt beigefügt wurde, bleibt an vielen Stellen vage und unscharf, gibt aber gleichwohl Aufschluss darüber, wohin die Reise künftig gehen soll: Mehr Macht für Telekommunikationsunternehmen, Online-Dienste und Content-Industrie, mehr Überwachung und weniger Freiheiten für Nutzerinnen und Nutzer. Hier ein kurzer Überblick über die kritischsten Punkte der Kommissionsstrategie.

Geoblocking nur für bezahlte Inhalte abschaffen

Von dem bereits seit Langem angekündigten Vorhaben, Geoblocking innerhalb Europas zu verbieten, ist in dem Papier fast nichts übrig geblieben. Zwar benennt die Kommission das länderspezifische Blockieren von Online-Inhalten als Problem für den digitalen Binnenmarkt, will diese Praxis nun aber offenbar nur für bezahlte Dienste und Produkte untersagen. Online-Inhalte, die über Werbung oder öffentliche Gebühren finanziert werden, werden in dem Abschnitt zu Geoblocking nicht angesprochen.

Faktisch bedeutet dies, dass wir zwar künftig bei Amazon in Großbritannien einkaufen und unser Netflix-Abo überall in Europa nutzen können; die Inhalte öffentlich-rechtlicher Fernsehsender hingegen bekommen wir weiterhin nur im jeweiligen Heimatland zu sehen. Ebenso werden wir uns auf Gratis-Plattformen nach wie vor mit dem Hinweis herumärgern müssen, dass ein Video für uns nicht verfügbar ist.

Urheberrecht (irgendwie) harmonisieren

Die Reform des EU-Urheberrechts spricht das Papier nur in einigen dürren und wenig aussagekräftigen Worten an. Man brauche ein harmonisiertes Urheberrecht, das Innovationen und Investitionen befördere und die Verbreitung von Inhalten über Ländergrenzen hinweg ermögliche, heißt es dort. An konkreten Maßnahmen schlägt die Kommission allerdings lediglich vor, EU-weit einheitliche Urheberrechtsschranken für die grenzüberschreitende Verwendung von Inhalten im Bildungs- und Forschungsbereich zu schaffen, um Text- und Data-Mining zu diesen Zwecken zu vereinfachen.

Was fehlt sind Pläne für weitere Ausnahmen, die das europäische Urheberrecht fit für das digitale Zeitalter machen. Beim Teilen, Verlinken und Konsumieren von Inhalten im Netz besteht für Nutzerinnen und Nutzer bislang stets die Gefahr, gegen das Urheberrecht zu verstoßen. Hier bedarf es dringend einer Korrektur, etwa nach dem Vorbild der US-amerikanischen Fair Use-Regel. Auch das Urhebervertragsrecht, das die Beziehungen zwischen Urhebern und Verwertern regelt, muss zugunsten einer besseren Vergütung der Kreativen überarbeitet werden.

2015_01 foerdermitglied_w

Rechtsdurchsetzung wird Privatsache

Stärken möchte die EU-Kommission hingegen die Möglichkeiten von „Vermittlern“, gegen urheberrechtswidrige oder sonstwie illegale Inhalte vorzugehen. Solche Vermittler können Telekommunikationsunternehmen, aber auch Online-Anbieter wie Cloudspeicherdienste oder One-Click-Hoster sein. Bis Ende 2015 will die Kommission eine umfassende Bestandsaufnahme zur Rolle solcher Vermittler durchführen und in der Folge neue Maßnahmen vorschlagen, um illegale Inhalte aus dem Netz zu entfernen und den Vermittlern zusätzliche Sorgfaltspflichten aufzuerlegen. Letzteres klingt harmlos, dürfte aber tatsächlich bedeuten, dass den Vermittlern aufgetragen wird, die von ihnen gespeicherten oder durchgeleiteten Daten zu überwachen und nach Rechtsverstößen zu durchsuchen.

Im Urheberrecht möchte die Kommission außerdem ein System zur privaten Rechtsdurchsetzung schaffen, mit dem Rechtsverstöße von gewerblichem Ausmaß bekämpft werden können. Das wirkt zunächst so, als habe man dabei nicht den kleinen Filesharer im Auge. Tatsächlich geht die Rechtsprechung in Deutschland aber schon heute davon aus, dass ein „gewerbliches Ausmaß“ bereits beim Teilen eines einzelnen aktuellen Musikalbums vorliegt.

An dieser Stelle wird der Einfluss der Content-Lobby auf den Kommissionsvorschlag besonders deutlich. Anstatt das Urheberrecht zu liberalisieren und an die etablierten Nutzungsgewohnheiten im Netz anzupassen, beugt sich die Kommission den Interessen der Verwertungsindustrie und macht es ihr noch einfacher, Inhalte zu löschen und Nutzerinnen und Nutzer zu verfolgen. Obendrein widersprüchlich wird die Strategie der Kommission, wenn sie an anderer Stelle des Papiers vollmundig ankündigt, das Vertrauen in Online-Dienste und den Umgang mit personenbezogenen Daten stärken zu wollen.

Datenschutz oder was man dafür hält

Die Kommission betont zwar an verschiedenen Stellen des Papiers die Bedeutung des Datenschutzes und der Datenschutzgrundverordnung. Gleichzeitig will sie aber technische und rechtliche Barrieren für den Einsatz von Big Data-Techniken abbauen. 2016 will sie dazu eine Initiative für freie Datenflüsse in der EU auf den Weg bringen. Dabei hat sie allerdings nicht die Bürgerinnen und Bürgerinnen in Europa, sondern vor allem Unternehmen im Visier. Gesetzliche Verpflichtungen, Daten in einem bestimmten Mitgliedstaat zu speichern, will die Kommission abschaffen. Im Rahmen der Initiative will sie außerdem Fragen zum Eigentum an Daten, ihrer Interoperabilität und Verwendbarkeit aufwerfen und neu beantworten.

Was die Kommission im Bereich des Datenschutzes vorhat, gleicht einem Freifahrtschein für Unternehmen, mit unseren Daten zu machen, was sie wollen – Hauptsache, es bringt Geld ein. Für Nutzerinnen und Nutzer hingegen wird es noch schwieriger werden, die Kontrolle über ihre persönlichen Daten zu behalten oder auch nur zu wissen, wo genau diese Informationen gespeichert werden. Fraglich ist auch, wie diese Pläne der Kommission etwa zu Vorhaben wie der Vorratsdatenspeicherung passen sollen, bei der eine strikte Pflicht zur Speicherung im Inland vorgesehen ist. Dürfen Vorratsdaten aus Deutschland demnächst also auch in Großbritannien gespeichert werden? Den GCHQ würde das sicherlich freuen, weil er so noch leichter Zugriff auf sensible Daten erhalten würde.