Tag Archives: personenbezogene Daten

Safe Harbor: Europäischer Gerichtshof setzt historisches Zeichen gegen anlasslose Massenüberwachung

„Der Europäische Gerichtshof hat heute ein historisches Zeichen für den Datenschutz und gegen anlasslose Massenüberwachung gesetzt. Die Safe Harbor-Entscheidung macht unmissverständlich klar, dass geheimdienstliche Spähexzesse den Grundrechten und der Online-Wirtschaft schweren Schaden zufügen und mit freien transatlantischen Datenflüssen schlichtweg unvereinbar sind. Die politisch Verantwortlichen in Europa und den USA stehen nun in der Pflicht, die Missstände abzustellen und die längst überfälligen Reformen bei Aufsicht und Befugnissen der Geheimdienste vorzunehmen.“, kommentiert Alexander Sander, Geschäftsführer des Vereins Digitale Gesellschaft.

In dem Rechtsstreit zwischen dem österreichen Datenschutzaktivisten Max Schrems und Facebook hat der Europäische Gerichtshof (EuGH) heute entschieden, dass die vor rund 15 Jahren ergangene „Safe Harbor“ Entscheidung der EU-Kommission ungültig ist. Die Entscheidung bildete bislang die rechtliche Grundlage für die Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten, wo US-Unternehmen wie Facebook diese Daten speichern und verarbeiten. Sie besagte im Kern, dass in den USA ein angemessenes Schutzniveau für die Daten von Nutzerinnen und Nutzern aus der EU herrsche. Dieser pauschalen Annahme hat der EuGH nun vor dem Hintergrund der anlasslosen Massenüberwachung durch die NSA eine klare Absage erteilt.

Anders als teilweise im Vorfeld der Entscheidung von US-Seite zu vernehmen war, bedeutet das gerichtliche Votum keineswegs das Ende transatlantischer Datenflüsse. So sieht das europäische Datenschutzrecht zahlreiche Ausnahmen für die Übermittlung personenbezogener Daten auch ohne eine „Safe Harbor“ Regelung vor. Diese Ausnahmen greifen allerdings nur dann, wenn Nutzerinnen und Nutzer zunächst umfassend über den Verwendungszweck und die Weitergabe ihrer Daten an Dritte unterrichtet wurden. Datenverarbeitende Unternehmen aus den USA müssen europäische Nutzerinnen und Nutzer daher auch über die geheimdienstlichen Zugriffsmöglichkeiten auf ihre Daten informieren, damit diese weiterhin übermittelt werden dürfen. Aufgrund der Verschwiegenheitseverpflichtungen nach US-Recht dürfte dies für die Unternehmen allerdings kaum möglich sein. Der Ball liegt daher im Spielfeld der politisch Verantwortlichen auf beiden Seiten des Atlantiks. Sie stehen in der Pflicht, der geheimdienstlichen Massenüberwachung und damit einem der größten Hindernisse für freie Datenflüsse zwischen der EU und den USA endlich ein Ende zu bereiten. Online-Unternehmen und Zivilgesellschaft müssen diese Reformen nun selbstbewusst und unnachgiebig einfordern.

Eine ausführliche Analyse zu den Auswirkungen und Implikationen des Urteils finden Sie hier.

Spenden

Safe-Harbor-Entscheidung des Europäischen Gerichtshofs: Das Ende transatlantischer Datenflüsse?

Vor rund 15 Jahren entschied die EU-Kommission, dass die USA ein „sicherer Hafen“ für personenbezogene Daten aus der EU seien. Diese sogenannte „Safe Harbor“ Entscheidung bildet seither die Grundlage für einen ungehinderten transatlantischen Datenfluss. Davon profitieren vor allem US-amerikanische IT-Konzerne wie Google oder Facebook, welche die Daten europäischer Nutzerinnen und Nutzer auf Servern in den Vereinigten Staaten speichern und verarbeiten. Am morgigen Dienstag könnte der Europäische Gerichtshof (EuGH) die „Safe Harbor“ Entscheidung für ungültig erklären. Doch welche Folgen hätte ein solcher Richterspruch für die Datenübermittlung in die USA und für die Nutzung US-amerikanischer Online-Dienste in Europa?

Bei der mit Spannung erwarteten EuGH-Entscheidung in dem Verfahren des österreichischen Datenschutzaktivisten Max Schrems gegen Facebook geht es im Kern um die Frage, ob das Datenschutzniveau in den USA, wo Facebook die Daten seiner Nutzerinnen und Nutzer speichert, gemessen an europäischen Maßstäben als angemessen angesehen werden kann. Nur wenn dies der Fall ist, so schreibt es die EU-Datenschutzrichtlinie von 1995 vor, dürfen personenbezogene Daten überhaupt aus der EU über den Atlantik gesendet werden.

Was ist „Safe Harbor“?

Die Richtlinie sieht außerdem vor, dass die EU-Kommission in Einzelfällen anerkennen kann, dass ein Land über ein angemessenes Datenschutzniveau verfügt. Genau dies hat sie im Fall der USA im Jahr 2000 getan. Datenverarbeitende Unternehmen, die personenbezogene Daten aus der EU in die Vereinigten Staaten übertragen möchten, erklären im Gegenzug gegenüber der US-Handelskommission (Federal Trade Commission, FTC), dass sie bestimmte Datenschutzprinzipien einhalten werden. So müssen die Unternehmen unter anderem versprechen, personenbezogene Daten nur mit Einwilligung der Betroffenen zu sammeln und zu verwenden, diese Daten vor dem Zugriff Dritter zu schützen und sie nicht ohne Zustimmung der Betroffenen an Dritte weiterzugeben.

Ob und inwieweit die Unternehmen diese Versprechen tatsächlich einhalten, wurde von der EU-Kommission allerdings gar nicht und von der zuständigen FTC lediglich lax kontrolliert. Hinzu kommt, dass die Selbstverpflichtung der Unternehmen sich gerade nicht auf Datenübermittlungen in den Bereichen der nationalen Sicherheit und der Strafverfolgung erstreckt. Nicht zuletzt aus diesem Grund kritisieren Datenschutzbehörden und zivilgesellschaftliche Organisationen ebenso wie das EU-Parlament die „Safe Harbor“ Entscheidung schon seit Jahren.

2015_01 foerdermitglied_w

Die Kritik des Generalanwalts

Auch Generalanwalt Yves Bot, Rechtsgutachter in dem nun zur Entscheidung anstehenden EuGH-Verfahren, kam vor knapp zwei Wochen zu dem Ergebnis, dass die „Safe Harbor“ Entscheidung die EU-Grundrechte auf Privatsphäre und den Schutz personenbezogener Daten verletze und daher ungültig sei. Seinen Befund begründete Bot vor allem mit dem Umstand, dass US-amerikanische Geheimdienste wie die NSA faktisch unbeschränkten Zugriff auf die bei den dortigen Unternehmen gespeicherten Daten haben. Darüber hinaus vermisste der Generalanwalt eine wirksame unabhängige Kontrolle dieser Zugriffe ebenso wie effektive Rechtsmittel, mit denen sich Betroffene aus der EU gegen die Verwendung ihrer Daten durch Geheimdienste wehren können. Ein weiteres Indiz für die Unzulänglichkeiten der „Safe Harbor“ Entscheidung sah Bot in den aktuell laufenden Verhandlungen über ein neues Datenschutzabkommen zwischen der EU und den USA.

Das US-Außenministerium reagierte umgehend auf das Votum des Generalanwalts und erklärte, die Vereinigten Staaten seien „nicht dabei, irgendjemanden unüberlegt zu überwachen, auch keine normalen europäischen Bürger“; der Generalanwalt habe hinsichtlich der geheimdienstlichen Massenüberwachung Schlussfolgerungen der gerichtlichen Vorinstanz, dem irischen High Court, lediglich ungeprüft übernommen; das Privacy and Civil Liberties Oversight Board, ein der US-Regierung beigeordnetes Datenschutzgremium, sei nach eingehender Prüfung zu dem Ergebnis gelangt, dass es sich bei dem NSA-Programm PRISM nicht um Massenüberwachung handele. Unerwähnt blieb in der Stellungnahme, dass PRISM nur einen Baustein in der umfangreichen Überwachungsmaschinerie der NSA darstellt und keineswegs die einzige Methode ist, mit welcher der Dienst sich Zugriff auf personenbezogene Daten verschafft. Darüber hinaus darf die Einschränkung, dass die Überwachung nicht „unüberlegt“ sei, durchaus als Eingeständnis einer tatsächlich stattfindenden Überwachung gewertet werden.

Die Entscheidung des EuGH und die Folgen

Der EuGH ist an das Votum des Generalanwalts zwar nicht gebunden, folgt ihm jedoch in den meisten Fällen. Es ist daher durchaus wahrscheinlich, dass der Gerichtshof „Safe Harbor“ als ungültig verwerfen wird. Sollte das tatsächlich geschehen, wären transatlantische Übermittlungen personenbezogener Daten in rechtlicher Hinsicht zwar nicht gänzlich unmöglich, sie würden jedoch deutlich erhöhten Hürden unterliegen. Noch erheblicher könnten die politischen Konsequenzen einer solchen Entscheidung ausfallen.

Ist „Safe Harbor“ ungültig, so würden die USA zunächst nicht mehr als Drittstaat mit angemessenem Datenschutzniveau im Sinne des europäischen Datenschutzrechts gelten. Dies hätte zur Folge, dass personenbezogene Daten grundsätzlich nicht mehr in die Vereinigten Staaten übermittelt werden dürfen. Personenbezogene Daten zeichnen sich dadurch aus, dass sie einer bestimmten Person zugeordnet werden können, dass also die hinter dem jeweiligen Datum stehende Person bestimmbar ist.

Überwachung bekämpfen

Übermittlung nicht personenbezogener Daten

Soweit nur Daten ohne einen solchen Personenbezug übertragen werden sollen, ändert sich für Online-Dienste, Nutzerinnen und Nutzer daher nichts. Anonyme Suchanfragen wären grundsätzlich ebenso weiterhin möglich wie nicht personalisierte Webseitenzugriffe. Als problematisch könnte sich in diesem Zusammenhang allerdings der Umstand erweisen, dass bei jedem Zugriff auf eine Webseite auch die jeweilige IP-Adresse übermittelt wird.

Hier sind sich Juristen uneinig, ob es sich bei einer IP-Adresse um ein personenbezogenes Datum handelt. Manchen reicht für den Personenbezug schon die abstrakte Möglichkeit aus, notfalls unter Heranziehung Dritter, wie etwa dem Telekommunikationsprovider, die dahinter stehende Person zu bestimmen. Nach dieser Ansicht, die auch wir für richtig halten, sind IP-Adressen stets personenbezogene Daten. Andere wollen nur dann den Personenbezug bejahen, wenn die datenverarbeitende Stelle allein mit eigenen Mitteln in der Lage ist, aus der IP-Adresse die betreffende Person abzuleiten. Der EuGH hat sich in einem Urteil von 2011 (Urt. v. 24. November 2011, C-70/10) der erstgenannten Meinung angeschlossen. IP-Adressen, egal ob dynamisch oder statisch, weisen nach Ansicht des Gerichtshofs immer einen Personenbezug auf. Bleibt der EuGH in der morgigen Entscheidung bei dieser Auffassung, so ist jegliche Nutzung US-amerikanischer Online-Dienste stets zwingend mit der Übermittlung personenbezogener Daten verknüpft.

Übermittlung personenbezogener Daten

Zwar verbietet das EU-Recht die Übermittlung personenbezogener Daten in einen Drittstaat ohne angemessenes Datenschutzniveau, jedoch sieht es zugleich eine Reihe von Ausnahmen vor. So dürfen personenbezogene Daten jedenfalls dann in einen solchen Staat versendet werden, wenn dies für die Erfüllung eines Vertrages, für die Wahrung lebenswichtiger Interessen der Betroffenen oder für die gerichtliche Geltendmachung von Ansprüchen erforderlich ist. Bei der Nutzung von Online-Diensten dürften diese Ausnahmen in der Regel jedoch nicht greifen, sieht man einmal von gezielten Einkäufen oder Reisebuchungen ab.

Gerade für die Verwendung von sozialen Netzwerken und Suchmaschinen, deren Geschäftsmodelle im Wesentlichen auf der Verarbeitung und Vermarktung personenbezogener Daten beruhen, dürfte jedoch eine andere Ausnahme wichtig werden: Haben Nutzerinnen und Nutzer der Übermittlung ihrer personenbezogenen Daten zweifelsfrei ausdrücklich zugestimmt, dürfen die Informationen in einen Drittstaat ohne angemessenes Datenschutzniveau übertragen werden. Voraussetzung dafür ist jedoch stets, dass sie vor Abgabe der Einwilligung über die betroffenen Daten, über den genauen Verwendungszweck und die Reichweite der Datenverarbeitung, insbesondere eine eventuelle Weitergabe an Dritte, unterrichtet wurden. Online-Dienste in den USA müssten Nutzerinnen und Nutzer aus der EU daher zunächst darüber aufklären, welche Daten sie genau erheben, was sie mit diesen Daten anstellen und an wen sie die Daten unter welchen Bedingungen weitergeben.

Fazit

Gerade bei sozialen Netzwerken geschieht dies weitestgehend bereits heute im Wege allgemeiner Geschäftsbedingungen (AGB), denen Nutzerinnen und Nutzer vor der Verwendung des Dienstes zustimmen müssen. Bei anderen Diensten, etwa Suchmaschinen, ist das bisher hingegen eher unüblich, so dass sich hier tatsächlich eine Änderung ergeben würde – vor der Eingabe einer Suchanfrage müsste dann zunächst per Mausklick den AGB zugestimmt werden. Zudem müsste in den AGB auch darauf hingewiesen werden, dass und unter welchen Umständen US-Geheimdienste auf die bei den Anbietern gespeicherten personenbezogenen Daten zugreifen können. Dies dürfte für amerikanische Online-Dienste zugleich die heikelste Folge der Ungültigkeit von „Safe Harbor“ sein: Sie wären gezwungen, gegenüber ihren europäischen Nutzerinnen und Nutzern ihre Mithilfe an den Massenüberwachungsprogrammen der NSA offenzulegen. Das könnte sie vor unlösbare Probleme stellen, da es ihnen nach US-amerikanischem Recht untersagt ist, ihre Zusammenarbeit mit der NSA in irgendeiner Form öffentlich zu machen. Selbst die Tatsache, dass den Online-Diensten Äußerungen über die Kooperation verboten sind, dürfen sie der Allgemeinheit nicht mitteilen.

Spätestens an dieser Stelle wird noch einmal besonders deutlich, warum das US-Außenministerium so vehement auf das Votum des Generalanwalts beim EuGH reagiert hat. Eine Ungültigkeit von Safe Harbor würde zwar nicht unbedingt das Ende transatlantischer Datenflüsse bedeuten; im Interesse ihrer eigenen Online-Wirtschaft würde es die USA aber zu politischen Konsequenzen und Reformen im Bereich der geheimdienstlichen Massenüberwachung zwingen. Daher darf sich die europäische Öffentlichkeit auch nicht von der nach der Entscheidung zu erwartenden EuGH-Schelte blenden lassen, sondern muss diese Konsequenzen und Reformen selbstbewusst einfordern. Dadurch könnte sich schließlich die Erkenntnis durchsetzen, dass die geheimdienstlichen Spähexzesse nicht nur Grundrechte verletzen und die Rechtsstaatlichkeit erodieren, sondern auch schwerwiegende wirtschaftliche Schäden nach sich ziehen. Damit wäre ein entscheidender Beitrag zum Beginn eines politischen Umdenkens in Fragen der Massenüberwachung auf beiden Seiten des Atlantik geleistet.

Spenden

Vorratsdatenspeicherung: EU-Kommission soll Einführung in Deutschland stoppen

„Bereits im vergangenen Jahr hat der Europäische Gerichtshof der anlasslosen Protokollierung des Kommunikationsverkehrs eine klare Absage erteilt. Als Hüterin der Verträge ist die Kommission daher nun in der Pflicht, den deutschen Vorstoß zur Einführung der Vorratsdatenspeicherung zu stoppen. Der Gesetzentwurf verletzt die EU-Grundrechte auf Privatsphäre und den Schutz personenbezogener Daten ebenso wie die Interessen von Berufsgeheimnisträgern.“, erklärt Volker Tripp, politischer Referent des Vereins Digitale Gesellschaft.

In einem heute versandten Schreiben ruft der Digitale Gesellschaft e.V. die EU-Kommission dazu auf, den Gesetzentwurf der Bundesregierung zur Wiedereinführung der Vorratsdatenspeicherung in Deutschland zu stoppen. Das Vorhaben verstößt nach Ansicht des Vereins gegen ein Urteil des Europäischen Gerichtshofs vom April 2014, in dem die verdachtsunabhängige Bevorratung von Verkehrs- und Standortdaten aus der elektronischen Kommunikation für unvereinbar mit dem Unionsrecht erklärt wurde. Der Verein macht geltend, dass die vorgesehene Speicherung anlasslos erfolgt, sich nicht auf das notwendige Mindestmaß beschränkt und die Interessen von Berufsgeheimnisträgern nicht in angemessener Weise berücksichtigt. Der Gesetzentwurf verletzt daher die EU-Grundrechte auf Privatsphäre und den Schutz personenbezogener Daten.

Zurzeit prüft die EU-Kommission im Zuge einer sogenannten TRIS-Notifizierung, ob der deutsche Entwurf mit dem Unionsrecht vereinbar ist. Eine solche Notifizierung ist stets erforderlich, bevor ein EU-Mitgliedstaat technische Vorschriften ändert. Ab dem Zeitpunkt, in dem der Mitgliedstaat seinen Entwurf der Kommission vorlegt (hier: 5. Juni), gilt eine dreimonatige Stillhaltefrist, während der das Vorhaben nicht verabschiedet werden darf. Kommt die Kommission zu dem Ergebnis, dass der Entwurf mit dem EU-Recht unvereinbar ist oder weiterer Klärungsbedarf besteht, kann sie eine entsprechende Stellungnahme abgeben und Änderungen an dem Entwurf verlangen. In diesem Fall verlängert sich die Stillhaltefrist um einen weiteren Monat.

Das Schreiben an die EU-Kommission finden Sie hier (.pdf).

Spenden