Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

11

Europa

11.1

Europäische Grundrechtecharta

In der vom Europäischen Rat in Nizza in einer Erklärung proklamierten Charta der Grundrechte der Europäischen Union ist auch das Grundrecht auf Schutz personenbezogener Daten verankert. Die Union setzt damit einen in den letzten Jahren deutlich erkennbaren Akzent auf die Verbesserung des Datenschutzes.

Das Ergebnis von Nizza mag insofern unbefriedigend erscheinen, als eine rechtsverbindliche Verabschiedung der Grundrechtecharta als Teil der Unionsverträge nicht erfolgte und die Charta vom Europäischen Rat lediglich im Wege eines feierlichen Bekenntnisses beschlossen wurde. Allerdings verweist Art. 6 Abs. 2 EUV bereits auf die Achtung der Grundrechte, wie sie in der Europäischen Menschenrechtskonvention (EMRK) und in den gemeinsamen Verfassungsüberlieferungen der Mitgliedstaaten gewährleistet sind. Solange kein Konsens über die rechtsverbindliche Verabschiedung der Grundrechtecharta als Teil einer europäischen Verfassung erzielt ist, wird das gemeinsame Bekenntnis zu den Formulierungen der Europäischen Grundrechtecharta auch hierüber Eingang in die Rechtsanwendung der Union, insbesondere in die Rechtsprechung des EuGH, finden können.

In Art. 8 der Charta wurde explizit ein Datenschutzgrundrecht festgeschrieben und mit den grundlegenden Maßgaben für seine Ausgestaltung und Durchsetzung versehen. Die Charta verlangt eine Einhaltung der Zweckbindung, des Gesetzes- oder Einwilligungsvorbehalts sowie des Auskunfts- und Berichtigungsanspruchs der betroffenen Person und gibt damit die tragenden Grundsätze des Datenschutzrechts, wie sie auch in der Datenschutzrichtlinie der EU enthalten sind, in knapper Form vor. Auch die Garantie einer institutionalisierten, unabhängigen Datenschutzkontrolle als wesentliche Voraussetzung dafür, dass dieses Grundrecht mit Leben gefüllt wird, ist bereits in Art. 8 der Charta niedergelegt.

Unabhängig von der formellen primärrechtlichen Einordnung der Grundrechtecharta stellt die Aufnahme des Datenschutzgrundrechts einen weiteren Meilenstein in dem Bemühen der EU dar, auf europäischer Ebene Schrittmacher in Sachen Datenschutz zu sein (vgl. auch die nachfolgenden Tzn.).

11.2

Cyber-Crime Convention

Vom Europarat wird gegenwärtig der Entwurf einer Konvention, einer so genannten Cyber-Crime Convention, ausgearbeitet. Darin soll ein weit reichender internationaler Mindeststandard der Strafbarkeit sowie der prozessualen Eingriffsbefugnisse und internationalen Rechtshilfenormen für die Bekämpfung von Computerkriminalität festgeschrieben werden. Bislang ist der Entwurf einseitig auf die Strafverfolgung ausgerichtet und berücksichtigt weder rechtsstaatliche Anforderungen noch datenschutzrechtliche Belange. Die EU-Kommission ist inzwischen mit einer ausgewogeneren Initiative mit präventiver Schwerpunktsetzung an die Öffentlichkeit getreten.

Der Entwurf einer Cyber-Crime Convention des Europarats soll bereits in diesem Jahr unterschriftsreif und potenziell weltweit anwendbar sein. Anders als es der Titel suggeriert, geht es in dem Entwurf nicht nur um Internet-Kriminalität, sondern auch um die Verfolgung sonstiger Computerdelikte. Darüber hinaus sollen ganz allgemein Befugnisse der Strafverfolgungsbehörden zum Zugriff auf elektronisch gespeicherte Daten geschaffen bzw. international vereinheitlicht werden. Die Verpflichtungen der Staaten aus der Konvention sollen - abgesehen von besonderen Rechtshilferegelungen - unabhängig von der grenzüberschreitenden Natur der Straftaten und Ermittlungsmaßnahmen gelten.

Der Europaratsentwurf greift tief in entscheidende aktuelle Fragestellungen der nationalen Rechtspolitik ein. Wie weitgehend das Recht von Nutzern auf Anonymität in der Informationsgesellschaft im Verhältnis zur Strafverfolgung sein kann, welche Datenspuren in Netzen vorgeschrieben werden sollen, inwieweit Selbstschutzmaßnahmen gegen fremde Datenzugriffe zugunsten staatlicher Behörden beschränkt werden dürfen, welche Kommunikation für eigene Zwecke oder für fremde Staaten durch Strafverfolger belauscht werden darf, all dieses haben demokratisch legitimierte Gesetzgebungsorgane zu entscheiden. Auch wenn es auf der Hand liegt, dass zur Bekämpfung von Computerkriminalität oder zur Gewinnung elektronischer Beweise für sonstige Strafverfolgung eine internationale Zusammenarbeit unerlässlich ist, dürfen Regierungen die Parlamente in diesem hochbrisanten Bereich nicht im Wege der Begründung völkerrechtlicher Bindungen vor vollendete Tatsachen stellen. Vielmehr muss im Vorwege ausreichender demokratischer Konsens hergestellt werden. Eine Vielzahl der im Entwurf vorgesehenen Regelungen betreffen Eingriffsbefugnisse, die in Deutschland auch gegenwärtig eine ausgeprägte rechtspolitische Debatte zum Hintergrund haben.

Eine im europäischen Rahmen zustande kommende internationale Vereinbarung über Strafverfolgung im Bereich von elektronischen Netzen darf nicht einseitig Eingriffsbefugnisse der sensibelsten Art wie Abhörbefugnisse und Aufzeichnung von Verbindungsdaten zum Inhalt haben, sondern muss gleichermaßen im Sinne eines internationalen Mindeststandards an Rechtsstaatlichkeit einen angemessenen Schutz der Grundrechte von Nutzern und unbeteiligten Dritten gewährleisten. Die rechtsstaatliche Ausgestaltung von Straftatbeständen und prozessualen Ermittlungsmaßnahmen überlässt der Entwurf jedoch der Disposition der Unterzeichnerstaaten. Der Konventionsentwurf lässt eine immerhin in seiner Präambel beschworene Balance zwischen Strafverfolgungsinteressen und Grundrechtsschutz im Text vollkommen vermissen.

Dieses grundsätzliche Defizit ist auch im Bereich der Rechtshilfevorschriften festzustellen. Wenn sich die Staaten zur Übermittlung hochsensibler personenbezogener Informationen verpflichten sollen, so muss die Konvention selbst bereits für einen angemessenen Datenschutzstandard im Empfängerland sorgen.

Besonders schwieriges Terrain wird mit der Einführung einer Strafbarkeit so genannter "Hacking-Tools" beschritten. Es bedarf einer sorgfältigen Diskussion unter Einbeziehung von Experten der Datensicherheit, um zu klären, ob mit einer solchen Strafnorm nicht gleichzeitig Selbstschutzmaßnahmen gefährdet werden, die angesichts der Unmöglichkeit staatlicher Sicherheitsgewährleistungen für die Integrität von Datennetzen anerkanntermaßen immer unverzichtbarer werden.

Ebenso sensibel ist die geplante Einführung von aktiven Mitwirkungspflichten Privater bei Strafermittlungen über bestehende Pflichten zum Bereitstellen von Überwachungsschnittstellen hinaus. Sollen - anders als bisher im deutschen Strafprozess - etwa Systemadministratoren im Einzelfall zur Preisgabe von Schlüsseln oder Kennwörtern gezwungen werden können? Was soll für Zeugnisverweigerungsberechtigte gelten? Auch diese Frage hat derart weit reichende Implikationen, dass sie nicht originär auf der Ebene einer exekutiv dominierten internationalen Vereinbarung beantwortet werden darf.

Aus Sicht des deutschen Datenschutzrechts erscheinen auch Verpflichtungen zur Aufzeichnung und Sicherstellung von Inhalts- und Verbindungsdaten untragbar, die tatbestandlich völlig unklar bleiben. Die in der deutschen Multimediagesetzgebung verankerten Grundsätze der Datenvermeidung und -sparsamkeit dürfen nicht auf internationalem Wege untergraben werden. Darüber hinaus darf es auch in anderen Staaten nicht zur Einführung einer Vorratshaltung von Datenbeständen kommen, sofern ihre Speicherung nicht im Einzelfall durch einen konkreten Straftatenverdacht veranlasst wird.

Bei der Durchführung von Abhör- und anderen Ermittlungsmaßnahmen in Rechtshilfe für andere Staaten muss nicht nur - wie im Entwurf bereits vorgesehen - die Einhaltung der Rechtsvorschriften des ersuchten Staates, sondern auch das Vorliegen einer entsprechenden justiziellen Anordnung im ersuchenden Staat gewährleistet werden. Nur wenn der Zugriff auf personenbezogene Daten in beiden Rechtsordnungen rechtlich zulässig ist, kann verhindert werden, dass Rechtshilfe zu einem Instrument der Umgehung eigener rechtsstaatlicher Anforderungen missbraucht werden kann.

Im Januar 2001 veröffentlichte nun die EU-Kommission einen eigenen Vorschlag zur international koordinierten Bekämpfung von Computerkriminalität, in dem sie sich auch kritisch mit der Europaratsinitiative auseinandersetzt. Bemerkenswert erscheint an dem Vorschlag, der in einem transparenten Verfahren öffentlich diskutiert werden soll, dass die EU-Kommission technische Sicherheitsmaßnahmen wie starke Verschlüsselung - und damit den Selbstschutz der Nutzer - an erste Stelle setzt. So könne auch das dringend erforderliche Vertrauen der breiten Bevölkerung in die Datensicherheit beim E-Commerce gestärkt werden.

Die Kommission dringt auf die Berücksichtigung des nach den geltenden EU-Richtlinien im Bereich Datenschutz und Telekommunikation bereits erreichten Schutzes der Privatsphäre gegenüber Abhörmaßnahmen und anderen Befugnissen der Strafverfolgungsbehörden. Insbesondere gegenüber einer generellen Mindestspeicherung von Verbindungsdaten erhebt die Kommission Bedenken und verweist auf das Recht auf anonyme Nutzung von Datennetzen, welches lediglich in begrenzten und begründeten Einzelfällen zu durchbrechen sei. Die Kommission möchte eine Koordinierungsrolle bei der Meinungsbildung der EU-Mitgliedstaaten im Rahmen der Europaratsinitiative übernehmen.

Damit sind die auch aus unserer Sicht zentralen Belange in die Diskussion eingebracht, die im Rahmen der internationalen Zusammenarbeit zur Computerstraftatenbekämpfung sorgfältig zu berücksichtigen sind. Nunmehr ist zu hoffen, dass die durch den Cyber-Crime-Konventionsentwurf berührten rechtspolitischen Fragestellungen aus dem Hinterstübchen internationaler Expertengremien dorthin gebracht werden, wo sie in einer Demokratie hingehören, nämlich in die öffentliche Diskussion und in die Parlamente. Wir werden uns an dem Diskussionsprozess beteiligen, um auch für die Zukunft eine freie Teilnahme der Mehrheit der rechtstreuen Nutzer des Internets an der Informationsgesellschaft zu sichern. Eine Stellungnahme zum Konventionsentwurf des Europarats haben wir dem Justizministerium zugeleitet.

11.3

Safe-Harbor-Principles

Mit der EU-Datenschutzrichtlinie verlangt die Europäische Gemeinschaft innerhalb des gesamten Bereichs der Europäischen Union ein einheitliches Mindestniveau an Datenschutz. Der Datenexport in Drittländer ist nur zulässig, wenn dort ein angemessenes Datenschutzniveau herrscht. In den USA soll dies mit den Safe-Harbor-Principles gewährleistet werden.

Die EU-Datenschutzrichtlinie hat die Einrichtung einer "Datenschutzgruppe" vorgesehen, welche für die Kommission Stellungnahmen zum Datenschutzstandard des jeweiligen Empfängerlandes verfasst. Im Zusammenhang mit den USA hat die Datenschutzgruppe festgestellt, dass die Rechtsordnung dieses Staates nicht generell einen angemessenen Datenschutz gewährleistet.

Eine generelle Einstufung der USA als Drittland ohne hinreichenden Datenschutz hätte allerdings zur Folge gehabt, dass eine Weitergabe von personenbezogenen Daten von einigen Ausnahmefällen abgesehen nur mit Einwilligung der Betroffenen erfolgen dürfte.

Um diese Konsequenz zu vermeiden, haben sich die Europäische Union und die Vereinigten Staaten auf die so genannte "Safe-Harbor"-Regelung geeinigt. Diese Vereinbarung soll privaten Unternehmen mit Sitz in der Europäischen Union ermöglichen, denjenigen Stellen in den USA personenbezogene Daten zu übermitteln, die aufgrund ihrer Geschäftsbedingungen zum Datenschutz ("Privacy Policy") auch nach unionsrechtlichen Bewertungsmaßstäben einen hinreichenden Datenschutz gewährleisten. Um im Bild des Begriffs "Safe Harbor" zu bleiben: Man soll diese Unternehmen wie einen sicheren Hafen im Meer der Daten verarbeitenden Stellen getrost ansteuern können.

Wie sieht nun diese Vereinbarung inhaltlich aus? Die EU-Kommission und das US-amerikanische Handelsministerium haben im Zusammenwirken mit anderen Stellen Leitlinien zum Datenschutz ausgearbeitet. Diese Leitlinien sind teils in Grundsätze zum Datenschutz, teils in Antworten auf häufig gestellte Fragen (Frequently Asked Questions - FAQ) gefasst. Beispiele für zu beachtende Grundsätze sind etwa, dass die Datenempfänger angemessene Sicherheitsvorkehrungen zu treffen haben, um einen Verlust, Missbrauch und unbefugten Zugriff usw. zu verhindern, oder dass betroffenen Privatpersonen Auskunft über die über sie gespeicherten personenbezogenen Daten zu erteilen ist.

Das US-Handelsunternehmen veröffentlicht die Dokumente, welche den zu erfüllenden Datenschutzstandard beschreiben. Will nun eine Organisation in den Genuss der Vorteile der Safe-Harbor-Regelung kommen, muss sie sich öffentlich und eindeutig verpflichten, die in den Grundsätzen und FAQ geforderten Datenschutzstandards einzuhalten. Darüber hinaus muss sie den gesetzlichen Überwachungsbefugnissen der Federal Trade Commission (FTC) unterliegen, einer Institution, die für die Ahndung von Wettbewerbsverstößen zuständig ist. Wenn das beteiligte Unternehmen der FTC gegenüber seinen Beitritt zu den genannten Datenschutzstandards erklärt, nimmt das US-amerikanische Handelsministerium das betreffende Unternehmen in die Liste aller Safe-Harbor-Stellen auf. Danach gilt das Unternehmen als eine Stelle mit angemessenem Datenschutzniveau mit der Folge, dass an sie personenbezogene Daten grundsätzlich ebenso übermittelt werden kann wie an eine Stelle mit Sitz in der Europäischen Union.

Eine datenschutzrechtliche Bewertung der Safe-Harbor-Regelung muss verschiedene Gesichtspunkte berücksichtigen. Das amerikanische System gründet stärker auf den Selbstschutz des Verbrauchers und ist damit schwerlich mit dem europäischen Datenschutzsystem vergleichbar. Einerseits fehlt es in den Vereinigten Staaten an einer umfassenden datenschutzrechtlichen Gesetzgebung, andererseits verfügt die FTC letztlich über wesentlich weiter reichende Befugnisse als die deutschen Aufsichtsbehörden. Die Werthaltigkeit der Vereinbarung, die offenbar von den US-amerikanischen Unternehmen nur zögerlich angenommen wird, wird sich erst in der Zukunft herausstellen.