Datenschutzrecht wird auf deutscher, europäischer und internationaler Ebene von verschiedenen Instanzen definiert, durchgesetzt und auch gebrochen. Mit der folgenden Übersicht der verschiedenen Rechtsprechungen, Urteile und dem Spannungsfeld der Zuständigkeiten soll eine kompetente Kritik der aktuellen Situation durch die Piratenpartei erleichtert werden.
Die Datenschutzrichtlinie (DSRL)
Die Datenschutzrichtlinie 95/46/EG wurde bereits 1975 vom europäischen Parlament im Rahmen der europäischen Datenströme gefordert und erst 1992 als Maßnahme vorgestellt und schließlich 1995 mit dem Ziel verabschiedet, eine bürgerrechtliche Sicherung zu etablieren. Richtlinien geben gemäß Art. 288 AEUV/249 EG das zu erreichende Harmonisierungsniveau in den Mitgliedsstaaten vor. Etwaige Spielräume bei der Umsetzung ins jeweilige nationale Recht werden von der EU eingeräumt.
Bereits im Art. 1 Abs. 2 schreibt die DSLR vor, dass der freie Verkehr von personenbezogenen Daten aus Gründen des Datenschutzes beschränkt werden darf. Somit ist eines der Kernthemen der Richtlinie die Schaffung einer Regulierung des europäischen Datenverkehrs nach den Gesichtspunkten der Datenqualität und Zulässigkeit der Datenverarbeitung.
Die DSRL findet keine Anwendung bei der Verarbeitung von Daten, die den privaten Schriftverkehr betreffen. Unter keinen Umständen findet die DSRL bei Datenverarbeitungen Anwendung, welche die öffentliche Sicherheit, Verteidigung oder Sicherheit des Staats oder Tätigkeiten des Staats im ‘Domaine Réservé’ angeht (Justiz und Polizei). In diesem Bereich greift dann der in den Erklärungen 20 und 21 der Schlussakte von Lissabon festgelegte Rahmenbeschluss 2008/977/JI des Rates vom 27 November 2008. Nach Art. 8 der DSRL gibt es für besonders sensible Daten – beispielsweise Gesundheitsdaten – sehr strikte Verarbeitungsbedingungen. Dass hier ein Vollzugsdefizit vorhanden ist, kann man sehr gut am Beispiel des Medicoleaks in Luxemburg sehen (Remesch, 2012).
Der Begriff der personenbezogenen Daten umfasst in diesem Kontext alle Informationen, die mit einer natürlichen Person in Verbindung gebracht werden können: etwa Video- und Audiomaterial, Fingerabdrücke, Schrift, Name oder Adresse. Interessant ist hierbei die im Art. 6 Abs 1 lit. b beschriebene Zweckbindung: eine nachträgliche Zweckänderung ist möglich, aber darf nicht dem ursprünglichen Zweck entgegen laufen.
Im Transparenzgebot (Art. 11 Abs. 1 lit c) steht geschrieben, dass der Betroffene bei Beginn der Speicherung seiner Daten zu informieren ist, spätestens bei der Übermittlung an Dritte. Dass dieses Transparenzgebot in der Praxis in Deutschland jedoch nur selten Anwendung findet, muss hier hoffentlich nicht noch anhand eines Beispiels veranschaulicht werden. Das Vollzugsdefizit des Transparenzgebotes bietet somit eine große Angriffsfläche für Kritik seitens von Bürgerrechtsorganisationen oder beispielsweise der Piratenpartei.
Gemäß Art. 12 lit. b DSRL hat der Betroffene das Recht, Auskunft, Berichtigung oder gar die Löschung seiner Daten zu verlangen. Die Weitergabe an Drittländer ist nur dann erlaubt, wenn diese eine angemessene Datenschutzgesetzgebung implementiert haben. Zu diesen Staaten zählen etwa die Schweiz, Kanada oder Argentinien. Nicht dazu zählen die Vereinigten Staaten – aufgrund ihrer stark inkonsistenten Datenschutztradition. An die USA werden widersprüchlicherweise dennoch personenbezogene Daten von EU-Bürgern weitergereicht. Dieses Vorgehen ist mit dem Safe-Harbor-Prinzip festgelegt (2000/520/EG), einem auf Selbstregulierung der Wirtschaft basierenden System. Dieses stellt einen umstrittenen Bruch mit der europäischen Datenschutztradition dar.
Verfassungsrechtlicher Rahmen
Wie sieht es nun mit der deutschen Gesetzgebung aus? Betrachtet man den verfassungsrechtlichen Rechtsrahmen, so hat das BVerfG bereits 1983 in visionärer Urteilskraft, anlässlich der damals geplanten Volkszählung, dem Sammeln von Daten einen eindeutigen Riegel vorgeschoben. Die Informationelle Selbstbestimmung unterliegt laut dem Urteil von 1983, genau wie das Allgemeine Persönlichkeitsrecht, einem Menschenwürdebezug durch Art. 1 Abs. 1 GG.
Dieser Schutzbereich betrifft jede Form der Sammlung personenbezogener Daten. Es gilt laut Urteil, auch Einschüchterungseffekte auf die Bevölkerung Deutschlands zu verhindern, die durch das heimliche Sammeln von Daten entstehen können. Solche Effekte würden das Handlungsvermögen der Bürger in einem auf freiheitlichen und demokratischen Prinzipien basierenden Staat einschränken. Weiterhin ist im BVerfG Urteil vom 15. Dezember 1983 eindeutig festgelegt, dass eine Datensammlung auf Vorrat ohne zuvor festgelegten Zweck verboten ist. Deutlicher geht es eigentlich nicht. Doch Politiker der deutschen Regierungen der letzten Jahre, also der CDU/CSU/SPD/GRUENE/FDP haben es mit der Deutlichkeit nicht so besonders.
In den auf das Volkszählungsurteil folgenden Dekaden hat das Verfassungsgericht den Datenschutz weiter ausgebaut, gestärkt und eine Folge von Fehltritten der von den etablierten Parteien geführten Regierungen abgewehrt:
- Automatisierung der KFZ-Kennzeichenerfassung in Hessen und Schleswig-Holstein. Schutz entfällt nicht aufgrund der öffentlichen Zugänglichkeit der Information (BVerfG, Urttiel vom 11. März 2008 – 1 BvR 2074/05).
- Private müssen vor anderen Privaten vor Datenschutzgefährdungen durch den Staat geschützt werden (BVerfG, Beschlluß vom 23. Oktober 2006 – 1 BvR 2072/02).
- Rasterfahndung – Grundrechtseingriff sehr hoch, aufgrund der Verdachtslosigkeit und der hohen Streubreite. Eingriff nur bei konkreter Gefahr auf innere Sicherheit anwendbar (BVerfG Beschluß vom 4. April 2006 – 1 BvR 518/02).
- Videoüberwachung im bayrischen Datenschutzgesetz wurde im Hinblick auf Anlass, Zweck und Grenzen des Eingriffes nicht präzise und bereichsspezifisch genug festgelegt. Es liegt eine grundrechtswidrige Unbestimmtheit vor (BVerfG, Beschluß vom 23. Februar 2007 und 13. Juni 2007).
Aufgrund dieser verfassungsrechtlichen Rahmenbedingungen konnten wir in Deutschland einen Verrechtlichungsschub feststellen. Das heißt, die Unübersichtlichkeit der vielen gesetzlichen Regelungen stehen im krassen Gegensatz zum genauso wichtigen Transparenzgebot. Ebenso findet das Transparenzgebot bei privaten Verbraucherverträgen Anwendung, so sieht die Rechtsprechung des EuGH eine Umsetzung der Richtlinien in Verbraucherverträgen vor (EuGH Slg. 2001, S. 3541).
In der Praxis findet das Transparenzgebot z.B. hinsichtlich der Speicherung personenbezogener Daten, wie sie etwa bei Facbeook Irland vorgenommen werden, kaum Anwendung. Interessant ist hierzu auch der Youtube-Film Was Facebook über Dich weiß. Gerade im Hinblick auf das am 26. April 2012 vom US-Senat verabschiedete Gesetz CISPA (H.R. 3523) ist die Missachtung der Rechtsprechung des EuGH durch private Firmen mehr als bedenklich, denn CISPA sieht den freien und freiwilligen Austausch gespeicherter personenbezogener Daten zwischen der US-Regierung und Privaten vor.
- Das Verfügungsrecht des Einzelnen am eigenen Bild unterliegt ebenso dem Art. 1 GG der Unveräußerlichkeit der Menschenwürde – es ist “Wesensausdruck seiner Person” (Kühlung 2011), (BVergG 120, 180).
- Fernmeldegeheimnis. Nicht nur Inhalt, sondern auch Umstand – sprich: ob, wann und wie oft Telekommunikationsverkehr stattgefunden hat – unterliegt dem Fernmeldegeheimnis (BVerfG, Urteil vom 2. März 2006). Ansonsten wäre der grundrechtliche Schutz unvollständig, Rückschlüsse auf Bewegungsdaten, Art und Intensität persönlicher und geschäftlicher Beziehungen wären möglich. Auch hierzu gibt es ein Urteil des Verfassungsgerichtes vom 2. März 2006 (2 BvR 2099/04, MMR 2006, 217/219).
Spätestens beim letzten aufgeführten Punkt sollte ersichtlich geworden sein, dass die sozialen Netzwerke, Werbenetzwerke und Email-Dienste, welche Millionen Deutsche so freizügig nutzen, verfassungswidrig handeln. Hier ist Kritik seitens Bürgerrechtsorganisationen oder der Piratenpartei möglich und notwendig, um die Diskrepanz zwischen dem Recht auf Informationelle Selbstbestimmung und der gegenwärtigen Ist-Situation in Deutschland und der EU zu beseitigen.
Leider schreibt das Bundesverfassungsgericht keinen allgemeinen Richtervorbehalt hinsichtlich des Zugriffes auf Telekommunikationsdaten durch Urheber vor. Hier ist der Rechtsrahmen etwas schwammig und es besteht Definitionsbedarf.
Vorratsdatenspeicherung
Obwohl es sich im Fall der Vorratsdatenspeicherung um Gemeinschaftsrecht (Rechtsordnung der EU) handelt, welches nicht der Prüfungskompetenz des BVerfG obliegt, sah sich das Verfassungsgericht gezwungen zu handeln, da es einen starken Einschüchterungseffekt durch die VDS erkannte. Die damit verbundenen Einschränkungen in Privatheit und Freiheit des Einzelnen sah das Gericht aber nur beim Abruf der Daten. Es untersagte also zunächst nicht die Speicherung, sondern nur den Abruf, insofern dieser nicht eine Straftat nach § 100a Abs. 2 StPO zum Gegenstand hatte.
Im Klartext: wenn es sich nicht um Mord, Totschlag oder Bandendiebstahl handelt und ein auf Tatsachen beruhender Verdacht nach Abs. 1 vorliegt, so ist der Abgriff der Vorratsdaten rechtswidrig. Ein Zugriff aufgrund von Urheberrechtsverletzungen scheidet somit eindeutig aus. Jeder, der etwas anderes fordert, handelt also verfassungswidrig: ein Hinweis, den sich beispielsweise die CDU oder die GEMA sehr zu Herzen nehmen sollte.
Weiter hat das BVerfG darauf folgend beschlossen, dass mehrere von der großen Koalition erlassenen Gesetze, z.b. §113a TKG und das Gesetz zur Neuregelung der Telekommunikationsüberwachung eine Verletzung von Art. 10 Abs 1 GG, Fernmeldegeheimnis darstellen und somit nichtig sind. Das Bundesverfassungsgericht ordnete also die sofortige Löschung der Vorratsdaten an.
Das Gericht betonte aber, die Implementierung der europäischen Richtlinie in nationales Recht könne auch grundgesetzkonform umgesetzt werden (Voraussetzungen hierbei: Transparenz, Rechtsschutzmöglichkeiten, Verschlüsselung, gesichertes Zugriffsregime, Voraussetzung der schweren Straftat, Richtervorbehalt, Kontrolle der Datenverwendung) und mit der Erfüllung der Aufgaben der Nachrichtendienste legitime Zwecke verfolgen. Somit wurde hier dem Gesetzgeber ein Türspalt geöffnet, die Richtlinie doch noch auf anderem Wege in deutsches Recht zu implementieren.
Hier gilt es für Bürger und Piraten, aufzupassen und gegebenenfalls eine Änderung der europäischen VDS-Richtlinie anzustreben. Diese muss früher oder später von der Bundesrepublik implementiert werden, ironischerweise auch, um weitere Datensammlungen zu unterbinden, insofern keine Totalerfassung erfolgt (Roßnagel, NJW 2010, 1238 (1240) Hornung, Schnabel, DVBI. 2010, 834 (827)).
Eine weitere Hintertür wird der Verfolgung von Urheberrechtsverletzungen im Internet über das Ermitteln der dynamischen IP-Adresse eröffnet, es handele sich um behördliche Auskunftsansprüche, für die kein Richtervorbehalt notwendig sei.
Aktueller und mindestens genauso bedenklich ist das geplante PNR-Abkommen (Passenger Name Record Agreement, 2011/0382 NLE) zwischen der EU und der USA: die Übermittlung von Fluggastdaten, die auch Flüge betrifft, die nur innerhalb der EU stattfinden. Laut dem Bundesdatenschutzbeauftragten ist das PNR-Abkommen grundrechtsgefährdend und würde einer Totalerfassung der deutschen Bürger nahe kommen: “Zu den Buchungsdaten zählen unter anderem Kreditkartennummern oder spezielle Essenswünsche” (Schaar, 2012).
E-Mail-Überwachung
Hier wird zwischen den Protokollen POP3 und IMAP unterschieden, um einzuordnen, ob der Telekommunikationsvorgang als abgeschlossen gilt. POP3 ist ein E-Mail Protokoll, bei dem E-Mails vom Server gelöscht werden, sobald sie der Nutzer in sein E-Mail Programm geladen hat. IMAP ist auch ein E-Mail Protokoll, nur dass hier die E-Mails auf dem Server verbleiben, auch wenn der Nutzer Sie sich in sein E-Mail Programm geladen hat. Wenn man POP3 nutzt, also die E-Mails aus dem Internet quasi physisch heruntergeladen wurden, dann greift das TKG nicht mehr, sondern das Recht auf informationelle Selbstbestimmung, da nun die E-Mails im heimischen Bereich gespeichert sind. Ein anderes Beispiel einer solchen Rechtsraumveränderung stellt ein Abgreifen von SMS direkt auf dem Handy des Einzelnen dar. SMS oder mit POP3 abgerufene E-Mails unterliegen also nicht mehr dem Schutze des Art. 10 Abs. 1 GG (Fernmeldegeheimnis), sondern dem Art. 13 Abs. 1 GG (Unverletzlichkeit der Wohnung).
Abschließend soll noch angemerkt sein, dass das BVerfG die Persönlichkeitsrechte mit der Schaffung eines neuen Grundrechtes weiter gestärkt hat – dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme vom 27. Februar 2008. Es soll als neue Ausprägung des Allgemeinen Persönlichkeitsrechts nach Art. 1 Abs 1 GG (Menschenwürde) und Art. 2 Abs. 1 GG (freie Entfaltung der Persönlichkeit) vor Eingriffen in IT-Systeme schützen wie etwa den heimlichen Online-Durchsuchungen durch den Verfassungsschutz in NRW.
Man kann also zusammenfassend bemerken, dass die datenschutzrechtliche Situation in Deutschland und der EU komplex, aber dennoch durchschaubar ist. Die europäische Datenschutzrichtlinie sieht auf den ersten Blick wie ein Regelwerk für den europäischen Datenverkehr aus, in dem Bürgerrechte eher eine zweitrangige Rolle spielen. Vereinbarungen wie das Safe-Harbour-Abkommen, das uneingeschränkte Teilen von SWIFT Zahlungsverkehrdaten und Fluggastdaten mit den USA passen ins Bild einer europäischen Union, die in Sachen Bürgerrechte den Faden verloren zu haben scheint.
Das deutsche Verfassungsgericht agiert hier durchaus deutlicher und hat in den letzten Jahrzehnten den Menschenrechten des Bürgers immer wieder den Rücken gestärkt. Fakt ist, die teils aufgrund von EU Richtlinien wiederkehrenden Versuche der deutschen Regierung eine anhaltslose Datenerfassung in der Bundesrepublik zu etablieren, werden mit einer ähnlichen Häufigkeit vom Bundesverfassungsgericht für verfassungswidrig, illegal und nichtig erklärt. Der Grund ist klar: Jede weitere Datenerfassung gefährdet die Sicherheit und den Fortbestand unseres Staates, in dem jeder Bürger ohne Angst und Einschüchterung seine demokratisch-freiheitlichen Aufgaben wahrnehmen können muss.
Schlussbemerkung
Falls diese Ausführungen von Interesse waren, kann dieser Artikel eventuell zum Startbeitrag einer Serie des Rechts im digitalen Zeitalter werden, in welcher dann auch beispielsweise auf den bereichsspezifischen Datenschutz im Telemedienbereich und Telekommunikationsbereich eingegangen werden kann.
Referenzen:
- Kühling, Jürgen; Seidel, Christian und Anastasios Sivridis: “Datenschutzrecht”. (C.F. Müller, 2011), S. 23-51
- Remesch, Steve: www.wort.lu, “‘Medicoleak’: Zwei Hausdurchsuchungen”. Zuletzt geändert am 10.04.2012. http://www.wort.lu/de/view/medicoleak-zwei-hausdurchsuchungen-4f840480e4b0aa5210634f8d.
- Schaar, Peter. BfDI: “Erfassung der Fluggastdaten gefährdet die verfassungsrechtliche Identität Deutschlands”. Zuletzt geändert am 27.04.2012. http://www.bfdi.bund.de/DE/Oeffentlichkeitsarbeit/Pressemitteilungen/2012/11ErfassunFluggastdaten.html.