Tag Archives: online-dienst

Safe-Harbor-Entscheidung des Europäischen Gerichtshofs: Das Ende transatlantischer Datenflüsse?

Vor rund 15 Jahren entschied die EU-Kommission, dass die USA ein „sicherer Hafen“ für personenbezogene Daten aus der EU seien. Diese sogenannte „Safe Harbor“ Entscheidung bildet seither die Grundlage für einen ungehinderten transatlantischen Datenfluss. Davon profitieren vor allem US-amerikanische IT-Konzerne wie Google oder Facebook, welche die Daten europäischer Nutzerinnen und Nutzer auf Servern in den Vereinigten Staaten speichern und verarbeiten. Am morgigen Dienstag könnte der Europäische Gerichtshof (EuGH) die „Safe Harbor“ Entscheidung für ungültig erklären. Doch welche Folgen hätte ein solcher Richterspruch für die Datenübermittlung in die USA und für die Nutzung US-amerikanischer Online-Dienste in Europa?

Bei der mit Spannung erwarteten EuGH-Entscheidung in dem Verfahren des österreichischen Datenschutzaktivisten Max Schrems gegen Facebook geht es im Kern um die Frage, ob das Datenschutzniveau in den USA, wo Facebook die Daten seiner Nutzerinnen und Nutzer speichert, gemessen an europäischen Maßstäben als angemessen angesehen werden kann. Nur wenn dies der Fall ist, so schreibt es die EU-Datenschutzrichtlinie von 1995 vor, dürfen personenbezogene Daten überhaupt aus der EU über den Atlantik gesendet werden.

Was ist „Safe Harbor“?

Die Richtlinie sieht außerdem vor, dass die EU-Kommission in Einzelfällen anerkennen kann, dass ein Land über ein angemessenes Datenschutzniveau verfügt. Genau dies hat sie im Fall der USA im Jahr 2000 getan. Datenverarbeitende Unternehmen, die personenbezogene Daten aus der EU in die Vereinigten Staaten übertragen möchten, erklären im Gegenzug gegenüber der US-Handelskommission (Federal Trade Commission, FTC), dass sie bestimmte Datenschutzprinzipien einhalten werden. So müssen die Unternehmen unter anderem versprechen, personenbezogene Daten nur mit Einwilligung der Betroffenen zu sammeln und zu verwenden, diese Daten vor dem Zugriff Dritter zu schützen und sie nicht ohne Zustimmung der Betroffenen an Dritte weiterzugeben.

Ob und inwieweit die Unternehmen diese Versprechen tatsächlich einhalten, wurde von der EU-Kommission allerdings gar nicht und von der zuständigen FTC lediglich lax kontrolliert. Hinzu kommt, dass die Selbstverpflichtung der Unternehmen sich gerade nicht auf Datenübermittlungen in den Bereichen der nationalen Sicherheit und der Strafverfolgung erstreckt. Nicht zuletzt aus diesem Grund kritisieren Datenschutzbehörden und zivilgesellschaftliche Organisationen ebenso wie das EU-Parlament die „Safe Harbor“ Entscheidung schon seit Jahren.

2015_01 foerdermitglied_w

Die Kritik des Generalanwalts

Auch Generalanwalt Yves Bot, Rechtsgutachter in dem nun zur Entscheidung anstehenden EuGH-Verfahren, kam vor knapp zwei Wochen zu dem Ergebnis, dass die „Safe Harbor“ Entscheidung die EU-Grundrechte auf Privatsphäre und den Schutz personenbezogener Daten verletze und daher ungültig sei. Seinen Befund begründete Bot vor allem mit dem Umstand, dass US-amerikanische Geheimdienste wie die NSA faktisch unbeschränkten Zugriff auf die bei den dortigen Unternehmen gespeicherten Daten haben. Darüber hinaus vermisste der Generalanwalt eine wirksame unabhängige Kontrolle dieser Zugriffe ebenso wie effektive Rechtsmittel, mit denen sich Betroffene aus der EU gegen die Verwendung ihrer Daten durch Geheimdienste wehren können. Ein weiteres Indiz für die Unzulänglichkeiten der „Safe Harbor“ Entscheidung sah Bot in den aktuell laufenden Verhandlungen über ein neues Datenschutzabkommen zwischen der EU und den USA.

Das US-Außenministerium reagierte umgehend auf das Votum des Generalanwalts und erklärte, die Vereinigten Staaten seien „nicht dabei, irgendjemanden unüberlegt zu überwachen, auch keine normalen europäischen Bürger“; der Generalanwalt habe hinsichtlich der geheimdienstlichen Massenüberwachung Schlussfolgerungen der gerichtlichen Vorinstanz, dem irischen High Court, lediglich ungeprüft übernommen; das Privacy and Civil Liberties Oversight Board, ein der US-Regierung beigeordnetes Datenschutzgremium, sei nach eingehender Prüfung zu dem Ergebnis gelangt, dass es sich bei dem NSA-Programm PRISM nicht um Massenüberwachung handele. Unerwähnt blieb in der Stellungnahme, dass PRISM nur einen Baustein in der umfangreichen Überwachungsmaschinerie der NSA darstellt und keineswegs die einzige Methode ist, mit welcher der Dienst sich Zugriff auf personenbezogene Daten verschafft. Darüber hinaus darf die Einschränkung, dass die Überwachung nicht „unüberlegt“ sei, durchaus als Eingeständnis einer tatsächlich stattfindenden Überwachung gewertet werden.

Die Entscheidung des EuGH und die Folgen

Der EuGH ist an das Votum des Generalanwalts zwar nicht gebunden, folgt ihm jedoch in den meisten Fällen. Es ist daher durchaus wahrscheinlich, dass der Gerichtshof „Safe Harbor“ als ungültig verwerfen wird. Sollte das tatsächlich geschehen, wären transatlantische Übermittlungen personenbezogener Daten in rechtlicher Hinsicht zwar nicht gänzlich unmöglich, sie würden jedoch deutlich erhöhten Hürden unterliegen. Noch erheblicher könnten die politischen Konsequenzen einer solchen Entscheidung ausfallen.

Ist „Safe Harbor“ ungültig, so würden die USA zunächst nicht mehr als Drittstaat mit angemessenem Datenschutzniveau im Sinne des europäischen Datenschutzrechts gelten. Dies hätte zur Folge, dass personenbezogene Daten grundsätzlich nicht mehr in die Vereinigten Staaten übermittelt werden dürfen. Personenbezogene Daten zeichnen sich dadurch aus, dass sie einer bestimmten Person zugeordnet werden können, dass also die hinter dem jeweiligen Datum stehende Person bestimmbar ist.

Überwachung bekämpfen

Übermittlung nicht personenbezogener Daten

Soweit nur Daten ohne einen solchen Personenbezug übertragen werden sollen, ändert sich für Online-Dienste, Nutzerinnen und Nutzer daher nichts. Anonyme Suchanfragen wären grundsätzlich ebenso weiterhin möglich wie nicht personalisierte Webseitenzugriffe. Als problematisch könnte sich in diesem Zusammenhang allerdings der Umstand erweisen, dass bei jedem Zugriff auf eine Webseite auch die jeweilige IP-Adresse übermittelt wird.

Hier sind sich Juristen uneinig, ob es sich bei einer IP-Adresse um ein personenbezogenes Datum handelt. Manchen reicht für den Personenbezug schon die abstrakte Möglichkeit aus, notfalls unter Heranziehung Dritter, wie etwa dem Telekommunikationsprovider, die dahinter stehende Person zu bestimmen. Nach dieser Ansicht, die auch wir für richtig halten, sind IP-Adressen stets personenbezogene Daten. Andere wollen nur dann den Personenbezug bejahen, wenn die datenverarbeitende Stelle allein mit eigenen Mitteln in der Lage ist, aus der IP-Adresse die betreffende Person abzuleiten. Der EuGH hat sich in einem Urteil von 2011 (Urt. v. 24. November 2011, C-70/10) der erstgenannten Meinung angeschlossen. IP-Adressen, egal ob dynamisch oder statisch, weisen nach Ansicht des Gerichtshofs immer einen Personenbezug auf. Bleibt der EuGH in der morgigen Entscheidung bei dieser Auffassung, so ist jegliche Nutzung US-amerikanischer Online-Dienste stets zwingend mit der Übermittlung personenbezogener Daten verknüpft.

Übermittlung personenbezogener Daten

Zwar verbietet das EU-Recht die Übermittlung personenbezogener Daten in einen Drittstaat ohne angemessenes Datenschutzniveau, jedoch sieht es zugleich eine Reihe von Ausnahmen vor. So dürfen personenbezogene Daten jedenfalls dann in einen solchen Staat versendet werden, wenn dies für die Erfüllung eines Vertrages, für die Wahrung lebenswichtiger Interessen der Betroffenen oder für die gerichtliche Geltendmachung von Ansprüchen erforderlich ist. Bei der Nutzung von Online-Diensten dürften diese Ausnahmen in der Regel jedoch nicht greifen, sieht man einmal von gezielten Einkäufen oder Reisebuchungen ab.

Gerade für die Verwendung von sozialen Netzwerken und Suchmaschinen, deren Geschäftsmodelle im Wesentlichen auf der Verarbeitung und Vermarktung personenbezogener Daten beruhen, dürfte jedoch eine andere Ausnahme wichtig werden: Haben Nutzerinnen und Nutzer der Übermittlung ihrer personenbezogenen Daten zweifelsfrei ausdrücklich zugestimmt, dürfen die Informationen in einen Drittstaat ohne angemessenes Datenschutzniveau übertragen werden. Voraussetzung dafür ist jedoch stets, dass sie vor Abgabe der Einwilligung über die betroffenen Daten, über den genauen Verwendungszweck und die Reichweite der Datenverarbeitung, insbesondere eine eventuelle Weitergabe an Dritte, unterrichtet wurden. Online-Dienste in den USA müssten Nutzerinnen und Nutzer aus der EU daher zunächst darüber aufklären, welche Daten sie genau erheben, was sie mit diesen Daten anstellen und an wen sie die Daten unter welchen Bedingungen weitergeben.

Fazit

Gerade bei sozialen Netzwerken geschieht dies weitestgehend bereits heute im Wege allgemeiner Geschäftsbedingungen (AGB), denen Nutzerinnen und Nutzer vor der Verwendung des Dienstes zustimmen müssen. Bei anderen Diensten, etwa Suchmaschinen, ist das bisher hingegen eher unüblich, so dass sich hier tatsächlich eine Änderung ergeben würde – vor der Eingabe einer Suchanfrage müsste dann zunächst per Mausklick den AGB zugestimmt werden. Zudem müsste in den AGB auch darauf hingewiesen werden, dass und unter welchen Umständen US-Geheimdienste auf die bei den Anbietern gespeicherten personenbezogenen Daten zugreifen können. Dies dürfte für amerikanische Online-Dienste zugleich die heikelste Folge der Ungültigkeit von „Safe Harbor“ sein: Sie wären gezwungen, gegenüber ihren europäischen Nutzerinnen und Nutzern ihre Mithilfe an den Massenüberwachungsprogrammen der NSA offenzulegen. Das könnte sie vor unlösbare Probleme stellen, da es ihnen nach US-amerikanischem Recht untersagt ist, ihre Zusammenarbeit mit der NSA in irgendeiner Form öffentlich zu machen. Selbst die Tatsache, dass den Online-Diensten Äußerungen über die Kooperation verboten sind, dürfen sie der Allgemeinheit nicht mitteilen.

Spätestens an dieser Stelle wird noch einmal besonders deutlich, warum das US-Außenministerium so vehement auf das Votum des Generalanwalts beim EuGH reagiert hat. Eine Ungültigkeit von Safe Harbor würde zwar nicht unbedingt das Ende transatlantischer Datenflüsse bedeuten; im Interesse ihrer eigenen Online-Wirtschaft würde es die USA aber zu politischen Konsequenzen und Reformen im Bereich der geheimdienstlichen Massenüberwachung zwingen. Daher darf sich die europäische Öffentlichkeit auch nicht von der nach der Entscheidung zu erwartenden EuGH-Schelte blenden lassen, sondern muss diese Konsequenzen und Reformen selbstbewusst einfordern. Dadurch könnte sich schließlich die Erkenntnis durchsetzen, dass die geheimdienstlichen Spähexzesse nicht nur Grundrechte verletzen und die Rechtsstaatlichkeit erodieren, sondern auch schwerwiegende wirtschaftliche Schäden nach sich ziehen. Damit wäre ein entscheidender Beitrag zum Beginn eines politischen Umdenkens in Fragen der Massenüberwachung auf beiden Seiten des Atlantik geleistet.

Spenden

Digitale Strategie der EU: Buzzword-Bingo ohne Substanz

Gestern haben Andrus Ansip, Vizepräsident der EU-Kommission und Digitalkommissar, und sein Kollege Günther Oettinger ihre Strategie für einen digitalen europäischen Binnenmarkt vorgestellt. Das Papier, dem ein umfangreiches Faktenblatt beigefügt wurde, bleibt an vielen Stellen vage und unscharf, gibt aber gleichwohl Aufschluss darüber, wohin die Reise künftig gehen soll: Mehr Macht für Telekommunikationsunternehmen, Online-Dienste und Content-Industrie, mehr Überwachung und weniger Freiheiten für Nutzerinnen und Nutzer. Hier ein kurzer Überblick über die kritischsten Punkte der Kommissionsstrategie.

Geoblocking nur für bezahlte Inhalte abschaffen

Von dem bereits seit Langem angekündigten Vorhaben, Geoblocking innerhalb Europas zu verbieten, ist in dem Papier fast nichts übrig geblieben. Zwar benennt die Kommission das länderspezifische Blockieren von Online-Inhalten als Problem für den digitalen Binnenmarkt, will diese Praxis nun aber offenbar nur für bezahlte Dienste und Produkte untersagen. Online-Inhalte, die über Werbung oder öffentliche Gebühren finanziert werden, werden in dem Abschnitt zu Geoblocking nicht angesprochen.

Faktisch bedeutet dies, dass wir zwar künftig bei Amazon in Großbritannien einkaufen und unser Netflix-Abo überall in Europa nutzen können; die Inhalte öffentlich-rechtlicher Fernsehsender hingegen bekommen wir weiterhin nur im jeweiligen Heimatland zu sehen. Ebenso werden wir uns auf Gratis-Plattformen nach wie vor mit dem Hinweis herumärgern müssen, dass ein Video für uns nicht verfügbar ist.

Urheberrecht (irgendwie) harmonisieren

Die Reform des EU-Urheberrechts spricht das Papier nur in einigen dürren und wenig aussagekräftigen Worten an. Man brauche ein harmonisiertes Urheberrecht, das Innovationen und Investitionen befördere und die Verbreitung von Inhalten über Ländergrenzen hinweg ermögliche, heißt es dort. An konkreten Maßnahmen schlägt die Kommission allerdings lediglich vor, EU-weit einheitliche Urheberrechtsschranken für die grenzüberschreitende Verwendung von Inhalten im Bildungs- und Forschungsbereich zu schaffen, um Text- und Data-Mining zu diesen Zwecken zu vereinfachen.

Was fehlt sind Pläne für weitere Ausnahmen, die das europäische Urheberrecht fit für das digitale Zeitalter machen. Beim Teilen, Verlinken und Konsumieren von Inhalten im Netz besteht für Nutzerinnen und Nutzer bislang stets die Gefahr, gegen das Urheberrecht zu verstoßen. Hier bedarf es dringend einer Korrektur, etwa nach dem Vorbild der US-amerikanischen Fair Use-Regel. Auch das Urhebervertragsrecht, das die Beziehungen zwischen Urhebern und Verwertern regelt, muss zugunsten einer besseren Vergütung der Kreativen überarbeitet werden.

2015_01 foerdermitglied_w

Rechtsdurchsetzung wird Privatsache

Stärken möchte die EU-Kommission hingegen die Möglichkeiten von „Vermittlern“, gegen urheberrechtswidrige oder sonstwie illegale Inhalte vorzugehen. Solche Vermittler können Telekommunikationsunternehmen, aber auch Online-Anbieter wie Cloudspeicherdienste oder One-Click-Hoster sein. Bis Ende 2015 will die Kommission eine umfassende Bestandsaufnahme zur Rolle solcher Vermittler durchführen und in der Folge neue Maßnahmen vorschlagen, um illegale Inhalte aus dem Netz zu entfernen und den Vermittlern zusätzliche Sorgfaltspflichten aufzuerlegen. Letzteres klingt harmlos, dürfte aber tatsächlich bedeuten, dass den Vermittlern aufgetragen wird, die von ihnen gespeicherten oder durchgeleiteten Daten zu überwachen und nach Rechtsverstößen zu durchsuchen.

Im Urheberrecht möchte die Kommission außerdem ein System zur privaten Rechtsdurchsetzung schaffen, mit dem Rechtsverstöße von gewerblichem Ausmaß bekämpft werden können. Das wirkt zunächst so, als habe man dabei nicht den kleinen Filesharer im Auge. Tatsächlich geht die Rechtsprechung in Deutschland aber schon heute davon aus, dass ein „gewerbliches Ausmaß“ bereits beim Teilen eines einzelnen aktuellen Musikalbums vorliegt.

An dieser Stelle wird der Einfluss der Content-Lobby auf den Kommissionsvorschlag besonders deutlich. Anstatt das Urheberrecht zu liberalisieren und an die etablierten Nutzungsgewohnheiten im Netz anzupassen, beugt sich die Kommission den Interessen der Verwertungsindustrie und macht es ihr noch einfacher, Inhalte zu löschen und Nutzerinnen und Nutzer zu verfolgen. Obendrein widersprüchlich wird die Strategie der Kommission, wenn sie an anderer Stelle des Papiers vollmundig ankündigt, das Vertrauen in Online-Dienste und den Umgang mit personenbezogenen Daten stärken zu wollen.

Datenschutz oder was man dafür hält

Die Kommission betont zwar an verschiedenen Stellen des Papiers die Bedeutung des Datenschutzes und der Datenschutzgrundverordnung. Gleichzeitig will sie aber technische und rechtliche Barrieren für den Einsatz von Big Data-Techniken abbauen. 2016 will sie dazu eine Initiative für freie Datenflüsse in der EU auf den Weg bringen. Dabei hat sie allerdings nicht die Bürgerinnen und Bürgerinnen in Europa, sondern vor allem Unternehmen im Visier. Gesetzliche Verpflichtungen, Daten in einem bestimmten Mitgliedstaat zu speichern, will die Kommission abschaffen. Im Rahmen der Initiative will sie außerdem Fragen zum Eigentum an Daten, ihrer Interoperabilität und Verwendbarkeit aufwerfen und neu beantworten.

Was die Kommission im Bereich des Datenschutzes vorhat, gleicht einem Freifahrtschein für Unternehmen, mit unseren Daten zu machen, was sie wollen – Hauptsache, es bringt Geld ein. Für Nutzerinnen und Nutzer hingegen wird es noch schwieriger werden, die Kontrolle über ihre persönlichen Daten zu behalten oder auch nur zu wissen, wo genau diese Informationen gespeichert werden. Fraglich ist auch, wie diese Pläne der Kommission etwa zu Vorhaben wie der Vorratsdatenspeicherung passen sollen, bei der eine strikte Pflicht zur Speicherung im Inland vorgesehen ist. Dürfen Vorratsdaten aus Deutschland demnächst also auch in Großbritannien gespeichert werden? Den GCHQ würde das sicherlich freuen, weil er so noch leichter Zugriff auf sensible Daten erhalten würde.