UN Menschenrechtsausschuss kritisiert NSA Überwachung

In der Zeit vom 10. bis zum 28. März 2014 hat der Menschenrechtsausschuss der Vereinten Nationen während seiner 110. Sitzung unter anderem auch den Landesbericht der USA zur Einhaltung des Internationalen Pakts über bürgerliche und politische Rechte (ICCPR) begutachtet. Am 14. März wurden dazu auch Vertreter der amerikanischen Regierung direkt angehört und befragt (hier der Bericht der Sitzung vom 14. März).

Nun hat der Menschrechtsausschuss, der die Einhaltung der unter dem ICCPR garantierten Rechte kontrollieren soll, seinen (noch unbearbeiteten) Bericht in Bezug auf Amerika und auch die Tätigkeit der NSA veröffentlicht.

Danach ist der Ausschuss in Bezug auf die Überwachung der Kommunikation (innerhalb und außerhalb der USA) im Interesse der nationalen Sicherheit besorgt, welche durch die NSA sowohl durch das massenhafte Sammeln von Telefonmetadaten erfolgt (Abschnitt 215 des Patriot Act), als auch insbesondere die Sammlung von Daten bei US-Unternehmen durch das PRISM Programm (unter Abschnitt 702 des FISA Amendment Act) und das Anzapfen von Internetkabeln in Amerika unter dem Programm UPSTREAM. Diese Programme “wirken sich negativ” auf den Schutz der Privatsphäre aus (Anmerkung des Autors: der Schutz vor einer Überwachung des Privatlebens wird durch Art. 17 ICCPR garantiert). Des Weiteren kritisiert der Ausschuss, dass bis vor kurzem die Auslegung sowie Entscheidungen des zuständigen Gerichts (FISC) zum Großteil geheim gehalten wurden. Hierdurch wurde es von Überwachungsmaßnahmen betroffenen Personen nicht möglich gemacht, über die rechtlichen Grundlagen genaue Kenntnis zu erlangen. Nach der Ansicht des Ausschusses besteht zudem die Besorgnis, dass das derzeitige System der Kontrolle der Tätigkeiten der NSA nicht ausreicht, um die Rechte der Betroffenen wirksam zu schützen. Auch kritisiert der Ausschuss, dass trotz der geplanten Reformen der Schutz für Personen, die keine amerikanischen Staatsbürger sind, nur begrenzt gegeben ist. Zudem merkt der Ausschuss an, dass betroffene Personen im Falle des Missbrauchs der Überwachungsmaßnahmen, keine effektiven Rechtsschutzmöglichkeiten besitzen.

Der Ausschuss empfiehlt der amerikanischen Regierung daher (unter anderem):

  • Alle erforderlichen Maßnahmen zu unternehmen um sicherzustellen, dass die Überwachungsaktivitäten, sowohl innerhalb und außerhalb von Amerika, in Einklang mit Art. 17 ICCPR stehen. Insbesondere sollte sichergestellt werden, dass Eingriffe in das Recht auf Privatsphäre die Grundsätze der Verhältnismäßigkeit, Gesetzmäßigkeit und Erforderlichkeit beachten, die unabhängig von der Nationalität und dem Aufenthaltsort der Betroffenen.
  • Jeder Eingriff in das Recht auf Privatleben, den Schutz der Familie und der eigenen Wohnung muss auf einer gesetzlichen Grundlage beruhen, welche öffentlich zugänglich ist und die bestimmt, dass das Sammeln, der Zugang und die Nutzung von Kommunikationsdaten nur zu bestimmten Zwecken erfolgt.
  • Davon Abstand zu nehmen, eine verpflichtende Vorratsdatenspeicherung durch Dritte einzuführen.
  • Sicherzustellen, dass betroffenen Personen Zugang zu wirksamen Rechtsmitteln gegen rechtswidrige Überwachungsmaßnahmen besitzen.

Der UN Menschenrechtsausschuss findet klare Worte, um die Überwachungstätigkeit der NSA und das derzeit bestehende System in den USA als mit dem garantierten Schutz unter dem ICCPR unvereinbar zu erklären. Insbesondere der Hinweis darauf, dass Amerika keine Vorratsdatenspeicherung einführen solle (was jedoch derzeit als Reform in Bezug auf die Telefonmetadaten geplant wird), ist deutlich. Das Grundproblem in der vorliegenden Situation ist jedoch, dass die amerikanische Regierung stets argumentiert, dass die Rechte des ICCPR von ihr nur auf dem eigenen Hoheitsgebiet eingehalten werden müssten. Daher wird die Reform wohl auch nur für die Telefondaten amerikanischer Bürger gelten. Eine Bindung an die durch den ICCPR garantierten Rechte außerhalb des eigenen Staatsgebietes lehnt die amerikanische Regierung ab. Die Frage der extraterritorialen Geltung des ICCPR ist nicht unumstritten, jedoch geht auch der UN Menschrechtsausschuss davon aus, dass die Pflichten für Staaten, welche sich aus dem ICCPR ergeben, nicht auf das eigene Hoheitsgebiet beschränkt sind. Sie gelten vielmehr immer dann, wenn ein Staat effektive Kontrolle über Personen ausübt, was etwa im Fall von Entführungen durch Geheimdienste im Ausland bejaht wird, aber auch bei einer elektronischen Überwachung der Kommunikation (vgl. hierzu etwa die Ausführungen von Prof. Scheinin im LIBE Ausschuss des Europäischen Parlaments, PDF).

EuGH: Gerichtliche Sperranordnungen von Internetseiten können mit EU-Recht vereinbar sein

Der Gerichtshof der Europäischen Union (EuGH) hat in einem heutigen Urteil (Az.: C-314/12) entschieden, dass eine gerichtlichen Anordnung, mit der einem Anbieter von Internetzugangsdiensten verboten wird, seinen Kunden den Zugang zu einer Website zu ermöglichen, auf der ohne Zustimmung der Rechtsinhaber Schutzgegenstände online zugänglich gemacht werden, mit dem Unionsrecht vereinbar ist. Dies jedoch nur dann, wenn die Sperrmaßnahmen zum einen den Internetnutzern nicht unnötig die Möglichkeit vorenthalten, in rechtmäßiger Weise Zugang zu den verfügbaren Informationen zu erlangen, und zum anderen bewirken, dass unerlaubte Zugriffe auf die Schutzgegenstände verhindert oder zumindest erschwert werden.

In dem heute entschiedenen Fall ging es vor allem um die Frage, ob und wie eine gerichtliche Anordnung gegen einen Internetzugangsdienstanbieter (Access-Provider) ergehen kann, dieser müsse den Zugang zu einer Webseite sperren, auf der urheberrechtlich geschützte Filme zum Download angeboten werden oder per Streaming angesehen werden können (vorliegend handelte es sich um kino.to). Dies eventuell sogar dann, wenn der Access-Provider nicht unerhebliche Anstrengungen hierfür auf sich nehmen muss und diese Speere dennoch relativ leicht umgangen werden kann.

Zum Verfahren
Das Handelsgericht Wien untersagte dem Access-Provider (UPC Telekabel Wien GmbH), seinen Kunden Zugang zur Webseite kino.to zu vermitteln, wenn die von der Rechteinhaberin (Constantin Film Verleih GmbH und Wega Filmproduktionsgesellschaft GmbH) benannten Filme dort zur Verfügung gestellt würden. Hierzu sollte sie insbesondere eine DNS-Sperre der Domain nutzen und aktuell und auch zukünftig nachgewiesene IP-Adressen blockieren. Das Gericht erkannte an, dass diese beiden Maßnahmen ohne erheblichen Aufwand getroffen, aber sehr leicht umgangen werden könnten. Trotzdem stellten sie die effektivsten Methoden zur Zugangshinderung dar. In der nächsten Instanz änderte das Oberlandesgericht Wien diese Verfügung dahin ab, dass es die Vermittlung des Zugangs zu kino.to ohne Nennung konkreter zu ergreifenden Maßnahmen (also im Sinne einer allgemeinen Sperrverfügung) untersagte. Begründet wurde dies unter Rückgriff auf Art. 8 Abs. 3 der Richtlinie 2001/29 (PDF) und Erwägungsgrund 59 dieser Richtlinie. Nach Art. 8 Abs. 3 Richtlinie 2001/29 stellen die Mitgliedstaaten sicher, „dass die Rechtsinhaber gerichtliche Anordnungen gegen Vermittler beantragen können, deren Dienste von einem Dritten zur Verletzung eines Urheberrechts oder verwandter Schutzrechte genutzt werden“.

Das Gericht stellte fest, dass der Access-Provider vorliegend seinen Kunden den Zugriff auf rechtswidrig zugänglich gemachte Inhalte ermögliche und er damit ein „Vermittler“ im Sinne der europarechtlichen Vorschrift sei. Dies unabhängig davon, ob die Kunden selbst rechtswidrig handelten. Das Oberlandesgericht Wien führte weiter aus, dass dem Access-Provider der Eingriff in das geistige Eigentum der Rechteinhaberin generell, ohne Nennung bestimmter Maßnahmen, zu verbieten sei. Dem Access-Provider werde durch diese Verfügung die Erzielung eines Erfolgs (namentlich die Verhinderung des Eingriffs in das Recht des geistigen Eigentums) aufgegeben. Die Wahl der Mittel zur Erzielung dieses Erfolgs obliege dabei dem Access-Provider, der jedoch alles ihm Mögliche und Zumutbare unternehmen müsse.

Entscheidung des EuGH
Zunächst stellte sich die Frage, ob der Access-Provider gemäß Art. 8 Abs. 3 der Richtlinie 2001/29 als Vermittler angesehen werden kann, dessen Dienste von dem das Urheberrecht Verletzenden (dem Betreiber der Seite kino.to) „genutzt“ werden. Denn man könnte ja auch argumentieren, dass der Dienst nur von den Kunden des Access-Providers selbst genutzt wird. Der Generalanwalt am EuGH hat den Access-Provider vorliegend als „Vermittler“ im Sinne der europarechtlichen Vorgabe angesehen und, unter Rückgriff auf Wortlaut sowie Sinn und Zwecke der Norm, in seinen Schlussanträgen auch eine „Nutzung“ durch den Betreiber der Webseite kino.to bejaht (Rz. 59).

Der EuGH folgt dieser Auffassung (Rz. 40 des Urteils). Er begründet dies vor allem auch damit, dass Urheber nicht nur dann die Möglichkeit zum Schutz ihrer Rechte haben müssten, wenn sie einen Zugriff der Kunden des Access-Providers auf geschützte Werke nachweisen könnten, sondern bereits Maßnahmen zur Vorbeugung von Urheberrechtsverstößen ergreifen treffen können müssen. Dieses vorbeugende Wirkung setzt aber die Möglichkeit des Tätigwerdens auch ohne tatsächlichen Nachweis des Zugriffs auf die Inhalte voraus.

Danach stellte sich die Frage, ob es mit den unionsrechtlichen Vorgaben vereinbar ist, insbesondere auch mit den gewährten Grundrechten, einem Access-Provider im Rahmen von Art. 8 Abs. 3 der Richtlinie 2001/29 ganz allgemein gerichtlich zu verbieten, seinen Kunden den Zugang zu einer bestimmten Website zu ermöglichen, auf der ausschließlich oder doch weit überwiegend Inhalte ohne Zustimmung der Rechteinhaber zugänglich gemacht werden. Hier stellte sich noch die nationale Besonderheit, dass der Access-Provider Beugestrafen wegen einer Verletzung dieser Anordnung durch den Nachweis abwenden konnte, dass er alle zumutbaren Maßnahmen zu deren Erfüllung ergriffen hat. Der Generalanwalt am EuGH hatte in seinen Schlussanträgen eine solche allgemeine und ohne konkrete Maßnahmen verbundene Anordnung für mit den Grundrechten der Beteiligten unvereinbar erklärt und abgelehnt (R. 90).

Der EuGH hält eine solche (allgemeine) Anordnung für zulässig (Rz. 42 ff. des Urteils). Eine solche Anordnung lasse nämlich unter anderem „den Wesensgehalt des Rechts auf unternehmerische Freiheit eines Anbieters von Internetzugangsdiensten wie des im Ausgangsverfahren in Rede stehenden unangetastet“. Jedoch beurteilte der EuGH den vorliegenden Fall gerade auch mit Blick auf die konkreten Umstände. Denn wie erwähnt überließ es die Anordnung im Ausgangsverfahren dem Access-Provider Adressaten, die konkreten Maßnahmen zu bestimmen, die zur Erreichung des angestrebten Ziels zu treffen sind. Daher, so der EuGH, könne er sich für „die Umsetzung derjenigen Maßnahmen entscheiden, die seinen Ressourcen und Möglichkeiten am besten entsprechen und mit den übrigen von ihm bei der Ausübung seiner Tätigkeit zu erfüllenden Pflichten und Anforderungen vereinbar sind“. Der EuGH geht dann näher auf die an die Form der Maßnahme zu stellenden Kriterien ein. Zum einen muss der Access-Provider auch für die Beachtung des Grundrechts der Internetnutzer auf Informationsfreiheit Sorge tragen. Wichtig ist, dass die Maßnahmen zielorientiert seien. Der Verletzung des Urheberrechts durch einen Dritten muss ein Ende gesetzt werden, ohne dass Internetnutzer, die die Dienste dieses Anbieters in Anspruch nehmen, um rechtmäßig Zugang zu Informationen zu erlangen, dadurch beeinträchtigt werden. Zudem stellt der EuGH klar, dass nicht ausgeschlossen ist, dass die Durchführung einer Anordnung nicht zu einer vollständigen Beendigung der Verletzung des Rechts des geistigen Eigentums der Betroffenen führt. Auch ist nicht ausgeschlossen, dass keine technische Möglichkeit zur vollständigen Beendigung der Verletzung des Rechts des geistigen Eigentums besteht oder in der Praxis realisierbar ist. Das Recht am geistigen Eigentum bestehe nicht bedingungslos.

Jedoch, so der EuGH, müssen die Maßnahmen hinreichend wirksam sein, um einen wirkungsvollen Schutz des betreffenden Grundrechts sicherzustellen. Sie müssen also bewirken, dass unerlaubte Zugriffe auf die Werke verhindert oder zumindest erschwert werden und dass die Internetnutzer, die die Dienste des Adressaten der Anordnung in Anspruch nehmen, zuverlässig davon abgehalten werden, auf die ihnen unter Verletzung des genannten Grundrechts zugänglich gemachten Schutzgegenstände zuzugreifen. Auch wenn die Maßnahme also die Rechtsverletzung nicht vollständig ausschließen kann, so kann sie dennoch angemessen sein, um das erforderliche Gleichgewicht zwischen allen anwendbaren Grundrechten herzustellen. Dieser wirksame Ausgleich zwischen dem Schutz des geistigen Eigentums und dem Verhindern des Zugriffs auf geschützte Inhalte einerseits, und dem Recht der Internetnutzer auf Informationszugang andererseits, ist durch die nationalen Gerichte zu beurteilen.

BAG: Datenschutzrechtlicher Auskunftsanspruch auch vor den Arbeitsgerichten

Mit Beschluss vom 3.2.2014 (Az.: 10 AZB 77/13) hat das Bundesarbeitsgericht (BAG) entschieden, dass ein datenschutzrechtlicher Auskunftsanspruch auch vor den Arbeitsgerichten geltend gemacht werden kann, wenn die personenbezogenen Daten im Zusammenhang mit einem Arbeitsverhältnis stehen.

Der Kläger, als früherer Arbeitnehmer der Beklagten, begehrte von dieser Auskunft über bei ihr zu seiner Person gespeicherte Daten (§ 34 BDSG), nachdem über seine Tätigkeit und die Beendigung des Arbeitsverhältnisses in mehreren Nachrichtenportalen berichtet wurde.

Das Landesarbeitsgericht hatte den Rechtsweg zu den Arbeitsgerichten noch für unzulässig erklärt.

Das BAG sah den Rechtsweg jedoch für eröffnet an. § 2 Abs. 1 Nr. 4 Buchst. a ArbGG erweitere die Zuständigkeit der Arbeitsgerichte auf bürgerliche Rechtsstreitigkeiten zwischen Arbeitnehmern und Arbeitgebern über Ansprüche, die mit dem Arbeitsverhältnis in rechtlichem oder unmittelbar wirtschaftlichem Zusammenhang stehen. Hier beruhe der datenschutzrechtliche Auskunftsanspruch auf dem ehemaligen Arbeitsverhältnis und sei durch dieses bedingt. Denn das Auskunftsverlangen des Klägers beruhe auf einer Berichterstattung gerade über dieses Arbeitsverhältnis und die Form seiner Beendigung. Der Anspruch beziehe sich damit auf personenbezogene Daten, die nach § 32 BDSG für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt wurden. Somit bestehe der erforderliche rechtliche Zusammenhang mit dem Arbeitsverhältnis. Welche Motive dem Anspruch zugrunde liegen sei ebenso unerheblich, wie die Tatsache, dass der Anspruch nach § 34 BDSG auch auf anderen Rechtswegen geltend gemacht werden könne.

Das bin ich nicht! – Gedanken zum Profiling

Wenn wir im Rahmen des Profilings analysiert werden, dann nutzen Unternehmen oder Behörden nicht nur Daten, die sich direkt auf uns beziehen. Denn dies würde einfach eine personenbezogene Abwägung anhand bestimmter Kriterien darstellen (Herr X verdient 1.000 €, also bekommt er den Kredit nicht; Frau Y ist eine Frau, also bekommt sie keine Werbung für Rasierwasser angezeigt, etc.). Auf diese Weise kann natürlich auch ein Profil angelegt werden. Dies besteht jedoch aus von der betroffenen Person stammenden bzw. direkt aus diesen abgeleiteten Daten.

Der Sinn des Profilings liegt darin, aus einer Masse an Daten von verschiedenen Personen bestimmte Muster und Merkmale herauszufiltern, die man dann auf eine Person oder eine Personengruppe übertragen kann – freilich mit dem Risikofaktor einer gewissen Ungenauigkeit – die aber vorher dieser Person oder Personengruppe nicht zugeordnet waren. Meist geht es dabei um Vorhersagen und Wahrscheinlichkeitsprognosen. Es findet also auf der Grundlage gemeinsamer Merkmale die Analyse statt.

Aus einer Menge an Daten wird versucht, diese Gemeinsamkeiten von Personen zu erkennen und von diesen wiederum eine bestimmte, bisher noch nicht bestehende, also neue Information abzuleiten. Die Geburt eines neuen personenbezogenen Datums (vorausgesetzt, die Datenverarbeitung findet mit solchen Daten statt).

Dieses personenbezogene Datum wurde nicht durch den Betroffenen direkt bereitgestellt, es wurde auch nicht über Dritte dem für die Verarbeitung Verantwortlichen zugeleitet. Es entsteht auf der Grundlage von bestimmten Formeln und Vorhersagen. Es entsteht nicht an der Quelle, der es dann jedoch zugeordnet wird.

Die Folge ist, dass der Betroffene natürlich nicht weiß, welche neuen Informationen ihm zugeordnet werden. So kann mit der Zeit ein Online-Ich entstehen, welches entweder sehr genau mit dem Offline-Ich übereinstimmt (da die Vorhersagen und Wahrscheinlichkeitsberechnungen richtig lagen) oder aber erheblich von dem Offline-Ich abweicht.

Diese Situation, die man meines Erachtens nicht von vornherein als negativ brandmarken sollte, hält in Bezug auf das Datenschutzrecht interessante Fragen bereit:

  • Wie sieht es mit dem Grundsatz der Datengenauigkeit (Art. 6 (1) d) RL 95/46/EG) aus? Was wenn die Vorhersagen und das neue Merkmal fehlerhaft sind? Wer kann dies prüfen?
  • Wie weit reicht der Auskunftsanspruch des Betroffenen nach § 34 BDSG? (siehe zu dieser Diskussion etwa die Anmerkungen von Thomas Stadler und Daniel Schätzle zu einem Urteil des BGH in Bezug auf den Anspruch gegen die SCHUFA). Benötigen wir einen „automatischen“ Auskunfts- oder Informationsanspruch? Ein Hinweis, „Ihnen wurde ein neues Merkmal zugeordnet“?
  • Handelt die verantwortliche Stelle nach „Treu und Glauben“ (Art. 6 (1) a) RL 95/46/EG), wenn sie veraltete Daten für die Rechenprozesse nutzt? Besteht eine Kontrollpflicht zur Aktualisierung? („wenn nötig, auf den neuesten Stand gebracht werden“, Art. 6 (1) d) RL 95/46/EG) Wann wird das „nötig“? Muss ich den Betroffenen jeden Tag fragen, ob die Daten noch aktuell sind?

Man kann nun ansetzen und versuchen, auf diese Fragen Antworten nach geltendem Recht zu finden. Da knirscht und knarzt es wohl gewaltig. Da das Datenschutzrecht derzeit aber vor einer großen Reform steht, sollten wir uns auch überlegen, wie wir in Zukunft mit Techniken wie dem Profiling (an sich einem schlichten und für sich genommen neutralen Datenverarbeitungsprozess) umgehen wollen und diese Chance nutzen. Wichtig erscheint es, die Transparenzpflichten voranzutreiben. Dem Betroffenen muss verdeutlicht werden, was geschieht und wie es geschieht. Soweit wie möglich proaktiv. Dass uns neue Attribute zugeteilt werden, muss per se keine negativen Auswirkungen haben. Auch in der realen Welt teilen wir anderen Menschen stets bestimmte Attribute zu…auch diese können ungenau oder falsch sein. Zudem sollten Auskunfts- und Löschansprüche das halten, was sie versprechen, nämlich zu informieren und falsche Daten zu entfernen, jedoch keine Einladung darstellen, sein Online-Ich zum Mr. Perfect zurecht zu kürzen.

Bundesregierung zu Redtube: Gutes Maß an Rechtssicherheit erreicht.

Die Bundesregierung hat auf eine kleine Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN zum Thema „Klarheit für Verbraucherinnen und Verbraucher im Zusammenhang mit den Redtube-Abmahnungen“ (BT-Drs. 18/751, PDF) geantwortet. In einer ersten Antwort auf eine kleine Anfrage der DIE LINKE hatte die Bundesregierung zu den Redtube-Abmahnungen ausgeführt, dass aus ihrer Sicht die „Vervielfältigung, die bei Betrachten eines Videostreams erfolgt, unter den Voraussetzungen des § 53 Abs. 1 UrhG (so genannte Privatkopie-Schranke) zulässig“ sei (BT-Drs. 18/246).

Da jedoch zum Tatbestand des § 53 Abs. 1 UrhG auch die Voraussetzung erfüllt sein muss, dass „zur Vervielfältigung keine offensichtlich rechtswidrig hergestellte oder öffentlich zugänglich gemachte Vorlage verwendet“ wird, obliegt es den Nutzern zu beurteilen, ob es sich um eine solche Vorlage handelt. Die Fragesteller sehen hierin eine Rechtsunsicherheit für Verbraucher, da es für diese als juristische Laien kaum zu beurteilen sei, ob die Vorlage entweder offensichtlich rechtswidrig hergestellt oder aber offensichtlich rechtswidrig öffentlich zugänglich gemacht worden ist. Daher erbeten die Grünen u. a. eine Antwort darauf, ob die Bundesregierung hier gesetzgeberischen Handlungsbedarf sieht.

In der Öffentlichkeit wurde in Bezug auf die Redtube-Verfahren unter anderem auch darüber diskutiert, inwieweit es den beteiligten Richtern am LG Köln an technischer Expertise gemangelt haben könnte, um ein vorgelegtes Gutachten richtig beurteilen zu können. Die Bundesregierung geht in ihrer Antwort davon aus, dass

der hier angesprochene Sachverhalt […] nicht den Schluss zu[lässt], dass deutsche Gerichte mit den in technischer Hinsicht aufgeworfenen Fragen überfordert seien.

Hinsichtlich der Voraussetzungen des § 53 Abs. 1 UrhG, insbesondere in Bezug auf den oben beschrieben Halbsatz, weißt die Bundesregierung auf die Gesetzgebungsgeschichte der Vorschrift hin und führt aus:

Zugleich sollte aber mit dieser Einschränkung auch der Verbraucher geschützt werden. Er sollte nicht mit unerfüllbaren Prüfpflichten belastet werden. Denn die Einschränkung des letzten Halbsatzes ist so formuliert, dass es im Streitfall dem Rechtsinhaber – und nicht dem Verbraucher – obliegt zu beweisen, dass die Vorlage offensichtlich rechtswidrig hergestellt oder offensichtlich unerlaubt öffentlich zugänglich gemacht worden ist.

Auch geht die Bundesregierung jedoch davon aus, dass man diesbezüglich auf den jeweiligen Verbraucher und seinen individuellen Bildungs- und Kenntnisstand abstellen müsse. Für diesen müsse erkennbar sein, dass die Vorlage eine offensichtliche rechtswidrige Quelle war. Konkreter müssten nach der Bundesregierung hierbei die für den Verbraucher erkennbaren Gesamtumstände des Angebots berücksichtigt werden. Wann ein, aus der Sicht des jeweiligen Verbrauchers, legales Angebot vorliegt, hängt daher vom Einzelfall ab.

Allein das Vorhandensein eines Rechtsverletzungsmanagements zur Durchführung des sog. Notice-and-Take-Down-Verfahrens lässt daher noch nicht auf ein legales Angebot schließen, wenn alle anderen Umstände eine offensichtlich unerlaubt zugänglich gemachte Vorlage erkennen lassen.

Jedoch erklärt die Bundesregierung auch, dass eine Pflicht zu aktiven Nachforschungen durch den Verbraucher nicht besteht. Daher sei die geltende Rechtslageaus Sicht der Bundesregierung bereits verbraucherfreundlich ausgestaltet. Eine rechtssichere Klarstellung könne jedoch nur auf europäischer Ebene erfolgen.
Zuletzt merkt die Bundesregierung an, dass das LG Köln den Beschwerden gegen die zunächst ergangenen Beschlüsse zur Auskunft über die Anschlussinhaber stattgegeben habe. Damit habe das Gericht die Auffassung der Bundesregierung bestätigt.

Damit ist bereits ein gutes Maß an Rechtssicherheit erreicht.

Bundesrat möchte Datenhehlerei unter Strafe stellen

In seiner heutigen Sitzung hat der Deutsche Bundesrat einen Gesetzesentwurf zur Einführung des Straftatbestandes der Datenhehlerei beschlossen (BR-Drs. 70/14). Der Gesetzentwurf wurde bereits einmal im Jahre 2013 über den Bundesrat in den Bundestag eingebracht, fiel dann aber aufgrund der Wahlen dem Grundsatz der Diskontinuität zum Opfer (hier der Gesetzentwurf: BR-Drs. 284/13 (B)).

Eingeführt werden soll ein neuer § 202d StGB „Datenhehlerei“. Ziel des Entwurfes ist es, Strafbarkeitslücken beim Handel mit rechtswidrig erlangten Daten zu schließen. Mit einer Freiheitsstrafe von immerhin bis zu 5 Jahren oder Geldstrafe soll nach § 202d Abs. 1 StGB-E bestraft werden,

Wer Daten im Sinne von § 202a Absatz 2, die ein anderer ausgespäht oder
sonst durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen

Der Gesetzentwurf enthält jedoch insoweit eine Einschränkung, als dass von der Regelung nur die Daten, an deren Nichtweiterverwendung ein schutzwürdiges Interesse besteht und die nicht aus allgemein zugänglichen Quellen entnommen werden können, erfasst werden sollen. Handlungen, die ausschließlich der Erfüllung gesetzlicher Pflichten durch Amtsträger oder deren Beauftragte dienen, sollen nicht vom Tatbestand der Datenhehlerei erfasst werden. Hierdurch soll ausdrücklich klargestellt werden, dass Amtsträger oder deren Beauftragte beim Ankauf von Datenmaterial zur ausschließlichen Verwendung in einem Besteuerungsverfahren (Stichwort: Steuerdaten-CD), einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren nicht mit Strafe bedroht werden dürfen. Ausdrücklich wird in § 202d Abs. 4 StGB-E auch der Versuch der Datenhehlerei unter Strafe gestellt.

Zudem soll durch den Gesetzentwurf die Strafprozessordnung (StPO) in der Art angepasst werden, dass den Strafverfolgungsbehörden im Rahmen der Untersuchung und Verfolgung einer Datenhehlerei als notwendige Ermittlungsmaßnahmen ohne Wissen der Betroffenen die Überwachung und Aufzeichnung der Telekommunikation (§ 100a StPO) und das Abhören und Aufzeichnen des in einer Wohnung nichtöffentlich gesprochenen Wortes mit technischen Mitteln (§ 100c StPO) zur Verfügung stehen.

Der Gesetzentwurf wird nun der Bundesregierung zugeleitet, die diesen in den Bundestag einbringt. Hierbei können sich freilich noch Änderungen an dem vorgeschlagenen Gesetzestext ergeben und es bleibt abzuwarten, wie sich die endgültige Fassung darstellen wird.

Europarat: Abgeordnete fordern besseren Schutz der Bürger im Internet

Am 11. März hat der Ausschuss für Kultur, Wissenschaft, Bildung und Medien der Parlamentarischen Versammlung des Europarates einen Bericht des deutschen Bundestagsabgeordneten Axel Fischer zur Verbesserung des Schutzes der Nutzer und der Sicherheit im Internet angenommen („Improving user protection and security in cyberspace“ PDF).

Der Bericht enthält sowohl den Entwurf eines Entschlusses als auch den Entwurf einer Empfehlung der Parlamentarischen Versammlung des Europarates. Über beide Entwürfe werden am 9. April in Straßburg verhandelt.

Entwurf eines Entschlusses

Mit der Verabschiedung des Entschlusses würde die Parlamentarische Vollversammlung kein bindendes Recht schaffen, jedoch ihre Position in Bezug auf das Thema Datenschutz, Überwachung und Privatheit im Internet zum Ausdruck bringen. Einige Kernpunkte, die in dem Entschluss angeprangert und auch gefordert werden:

  • Das Vertrauen der Bürger in Internetdienste wurde durch die Enthüllungen und Informationen über Eingriffe in ihre privaten Daten durch europäische und amerikanische Behörden und auch private Unternehmen erschüttert
  • Alle Mitgliedstaaten sind aufgefordert in Zusammenarbeit mit der Internetwirtschaft eine weltweite Initiative zur Verbesserung des Schutzes der Nutzer und der Sicherheit des Internets zu starten
  • Mitgliedstaaten sollen unter anderem folgende Prinzipien effektiv umsetzen und achten:
  1. das Privatleben, die Korrespondenz und die persönlichen Daten müssen auch online geschützt sein
  2. das Abfangen, die Überwachung, die Profilbildung und das Speichern persönlicher Daten durch öffentliche Stellen und Unternehmen ist nur aufgrund einer gesetzlichen Grundlage erlaubt und verstößt nicht gegen Art. 8 EMRK
  3. Mitgliedstaaten besitzen eine positive Rechtspflicht gegenüber ihren Bürgern, diese vor dem Abfangen, Überwachen der Profilbildung und der Speicherung ihrer persönlichen Daten zu schützen
  • Internetzugangs- und Diensteanbieter sollten automatisch Verschlüsselungstechniken einsetzen
  • Gesetzestreue Internetnutzer haben das Recht auf Anonymität
  • Cloud-Computing-Anbieter sollten die Schutzstandards für Nutzer nicht dadurch umgehen, dass sie ihre Datenzentren in „schwächere“ Rechtssysteme verlagern
  • Mitgliedstaaten sollten gesetzliche Grundlagen zur Regulierung von Online-Spiele-Anbietern schaffen; hierbei sollte dasjenige Recht anwendbar sein, in dem sich der Nutzer befindet, auf den der Dienst ausgerichtet ist
  • Betroffene müssen die Möglichkeit effektiven Rechtsschutzes besitzen

Entwurf einer Empfehlung

Der Entwurf für eine Empfehlung enthält konkrete Forderungen der Parlamentarischen Versammlung an das Ministerkomitee, die von jenem auch beantwortet werden müssen. Einige der Kernpunkte sind hier:

  • Als besonders dringliche Angelegenheit die derzeit stattfindende Überarbeitung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen 108) abzuschließen
  • Über-europäische Bestrebungen zur Internationalisierung der ICANN zu unterstützen und zu koordinieren
  • Beobachterstaaten einzuladen, mit den Mitgliedstaaten aktiv bei der Verbesserung des Schutzes der Nutzer und der Sicherheit des Internets mitzuwirken

Die beiden Entwürfe, die noch durch eine Begründung des Berichterstatters Fischer begleitet werden, finden teilweise sehr deutliche und klare Worte, wenn es um die erforderlichen Maßnahmen zum Schutz der Internetnutzer geht. Insbesondere der klare Hinweis auf eine staatliche Schutzpflicht oder ein Recht auf Anonymität sind durchaus bemerkenswert. Es bleibt jedoch abzuwarten, ob die Parlamentarische Versammlung im April die Entwürfe auch ohne Änderungen übernimmt.

Deutsche Datenschutzbehörden veröffentlichen Orientierungshilfe zur Videoüberwachung

Die Aufsichtsbehörden des Bundes und der Länder für den Datenschutz im nicht-öffentlichen Bereich (sog. Düsseldorfer Kreis) haben eine Orientierungshilfe für den rechtskonformen Einsatz zum Betrieb privater Videoüberwachungsanlagen veröffentlicht („Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen„, PDF).
Die Orientierungshilfe soll darüber informieren, unter welchen Voraussetzungen eine Videoüberwachung zulässig ist und welche gesetzlichen Vorgaben dabei einzuhalten sind. Entscheidende Vorschrift ist dabei § 6b BDSG.

Folgende Voraussetzungen sind nach dem Hinweis der Datenschützer bei der Videoüberwachung öffentlich zugänglicher Räume zu beachten:

  • Zweck der Videoüberwachung: bereits vor Einsatz der Videoüberwachung ist das verfolgte Ziel zu konkretisieren. Berechtigte Interessen können ideeller, wirtschaftlicher oder auch rechtlicher Natur sein. Notwendig sind jedoch konkrete Tatsachen, die am besten dokumentiert werden (z. B. Straftaten).
  • Geeignetheit und Erforderlichkeit der Videoüberwachung: Ebenfalls vor der Inbetriebnahme der Kamera ist zu prüfen, ob die Überwachung geeignet und erforderlich ist, um das festgelegte Ziel zu erreichen. „Die Erforderlichkeit einer Videoüberwachung kann nur dann bejaht werden, wenn der beabsichtigte Zweck nicht genauso gut mit einem anderen (wirtschaftlich und organisatorisch) zumutbaren, in die Rechte des Betroffenen weniger eingreifenden, Mittel erreicht werden kann„.
  • Beachtung der schutzwürdigen Interessen des Betroffenen: Die schutzwürdigen Interessen der betroffenen Personen dürfen diejenigen des Betreibers nicht überwiegen. Erforderlich ist daher eine Abwägung der gegenüberstehenden Interessen. „Maßstab der Bewertung ist das informationelle Selbstbestimmungsrecht als besondere Ausprägung des Persönlichkeitsrechts auf der einen und der Schutz des Eigentums oder der körperlichen Unversehrtheit auf der anderen Seite„.
  • Maßnahmen vor Einrichtung: Zudem muss vor Inbetriebnahme der konkrete Zweck der Videoüberwachung schriftlich festgelegt werden und es sind technische und organisatorische Maßnahmen zu treffen (§ 9 BDSG). Ebenfalls ist eine Vorabkontrolle nach § 4d Abs. 5 BDSG erforderlich, wenn „bei dem Einsatz der Videotechnik von besonderen Risiken für die Rechte und Freiheiten der Betroffenen auszugehen ist„.
  • Hinweispflicht: Zudem ist nach § 6b Abs. 2 BDSG der Umstand der Beobachtung und die jeweils verantwortliche Stelle durch geeignete Maßnahmen erkennbar zu machen. Hierzu bieten sich etwas Schilder oder graphische Symbole an.

Weitere Hinweise geben die Datenschutzbehörden auch zu der Durchführung der Videoüberwachung und der damit einhergehenden Datenverarbeitung an sich, wie etwa zur Speicherdauer und zur Unterrichtungspflicht. Zudem informiert die Orientierungshilfe zu besonderen Konstellationen wie den Einsatz von Webcams oder die Videoüberwachung von Beschäftigten.

Merkel: Wir brauchen eine digitale Agenda!

Bundeskanzlerin Merkel hat sich in ihrem wöchentlichen Podcast, kurz vor der Eröffnung der diesjährigen CeBit Messe in Hannover, mit dem Thema digitale Wirtschaft, Breitband, Datenschutz und Datensicherheit beschäftigt. Das Video ist hier abrufbar, die Textversion hier.

Erfreulich ist, dass die Thematik um die digitale Zukunft Deutschlands und auch Europas einen immer höheren Stellenwert in Regierungskreisen zu erreichen scheint. Dies scheint mir auch geboten. Wie ich bereits zum Thema „Internet der Dinge“ geschrieben hatte, sehe ich gerade für Deutschland doch ein Potential, um sich hier am Weltmerkt zu etablieren und Standards zu setzen.

Digitale Agenda
Die Bundeskanzlerin erklärt in dem Interview, dass die Bundesregierung eine Digitale Agenda von 2014 bis 2017 aufstellen werde. Verantwortlich seien dabei im Kern das Wirtschaftsministerium, das Ministerium für Verkehr und Infrastruktur und das Bundesministerium des Innern. Nach Ansicht der Bundeskanzlerin handelt es sich hierbei um ein übergreifendes Thema. Der Wohlstand in Deutschland werde maßgeblich davon abhängen, wie die klassische Industrie mit der Verschmelzung der digitalen Welt zurecht komme.

Zum einen geht es der Bundeskanzlerin um die Teilhabe der Bevölkerung an neuen Technologien. Hierfür müsse jedoch die Voraussetzung geschaffen werden, dass alle Bürger auch Zugang zu den Entwicklungen haben und daher der Breitbandausbau vorangetrieben werden. Zweitens möchte die Bundeskanzlerin, vor allem auf europäischer Ebene, einen digitalen Markt schaffen. Europa müsse also attraktiv für Unternehmen werden und diese müssen auch wettbewerbsfähig sein. Derzeit hinke Europa hier hinter Staaten wie Amerika oder asiatischen Ländern hinterher. Zudem geht es der Kanzlerin um den Datenschutz. Das derzeit geltende Datenschutzrecht ist in Europa zersplittert. An der Verabschiedung eines einheitlichen Standards, nämlich der derzeit verhandelten Datenschutz-Grundverordnung, werde gearbeitet. Dies wäre gerade auch für die Ansiedlung neuer Firmen in Europa hilfreich. Jedoch betont die Bundeskanzlerin, dass Deutschland den Anspruch habe, seinen hohen Standard beim Datenschutz nicht aufzugeben. Zuletzt verweist die Kanzlerin auch auf nötige Fortschritte bei der Medienerziehung und Aufklärung.

LG Saarbrücken: Todesanzeigen im Internet sind erlaubt

Das Landgericht (LG) Saarbrücken hat mit Urteil vom 14.02.2014 (Az.: 13 S 4/14, derzeit noch nicht online abrufbar) entschieden, dass eine Internetseite mit „virtuellen Grabstätten“ nicht gegen das Datenschutzrecht und das postmortale Persönlichkeitsrecht der verstorbenen Person verstößt, wenn die Daten der Todesanzeige aus allgemein zugänglichen Quellen entnommen wurden. Es wies damit die Berufung des Betreibers der entsprechenden Internetseite gegen ein Urteil des Amtsgerichts (AG) Saarlouis (Az. 29 C 1892/12 (16)) teilweise zurück. In Bezug auf Kommentare unter der entsprechenden Todesanzeige, welche die Witwe des Verstorbenen in ihren Rechten verletzten, änderte das LG das erstinstanzliche Urteil jedoch nur ab (und bestätigte damit im Prinzip insoweit die Ansicht des AG).

Dieser, zugegebenermaßen etwas ungewöhnliche Fall, zeigt deutlich, dass nicht notwendigerweise jeder Umgang mit personenbezogenen Daten verboten sein muss. Zudem beleuchtet er, wenn auch nur in einem Nebensatz, die Frage, inwieweit sich eigentlich Verstorbene, bzw. deren Angehörige, auf den Schutz personenbezogener Daten berufen können.

Sachverhalt
Auf einer Internetseite veröffentlichte der Beklagte eine Todesanzeige unter vollständiger Nennung von Vor- und Zunamen, Geburts- und Sterbedatum, Wohnort, Berufsbezeichnung und letzter Ruhestätte des Verstorbenen. Diese Daten waren bereits in Sterbeanzeigen, die u. a. die Witwe selbst aufgegeben hatte, enthalten. Zudem war es Dritten möglich, Kondolenzeinträge (also im Prinzip Kommentare) zu verfassen. Diese Chance nutzte auch eine Dame um mehr oder minder direkt zum Ausdruck zu bringen, dass sie die Geliebte des Verstorbenen gewesen sei. In einem separaten Verfahren wurde sie daraufhin verurteilt, Veröffentlichungen dieser Art zu unterlassen. In erster Instanz erkannte der Beklagte bereits die begehrte Löschung dieser sieben Kondolenzeinträge der Dame an.

Entscheidung
Das LG sah die Verarbeitung der personenbezogenen Daten des Verstorbenen zum Zwecke der Darstellung in der Todesanzeige als rechtmäßig an. Dieser Löschungsanspruch ergebe sich weder aus § 35 Abs. 2 S. 2 Nr. 1 BDSG noch aus dem postmortalen Persönlichkeitsrechts ihres verstorbenen Ehemannes oder ihren eigenen Rechten (§ 1004 Abs. 1 S. 1 BGB analog). Ich möchte mich hier auf einige datenschutzrechtliche Gesichtspunkte der Entscheidung beschränken.

Zum einen tendiert das LG bereits dazu, personenbezogene Daten Verstorbener nicht in den Schutzbereich des BDSG aufzunehmen. Doch selbst wenn diese Schutz genießen würden, so würde die Datenverarbeitung doch rechtmäßig erfolgen.
Ob Daten Verstorbener vom BDSG geschützt werden ist zumindest nicht unumstritten. Gegen eine Einbeziehung könnte jedoch sprechen, dass Rechte der Betroffenen (wie etwa dasjenige auf Löschung oder Auskunft) gerade eine lebende Person voraussetzen. Ein weiteres Argument gegen die Erstreckung des Schutzes auf Verstorbene könnte zudem sein, dass das Bundesverfassungsgericht davon ausgeht, dass das allgemeine Persönlichkeitsrecht mit dem Tod des Betroffenen erlischt. Das Recht auf informationelle Selbstbestimmung, welches als Grundlage des Schutzes personenbezogener Daten dient, ist jedoch nur ein besonderer Teil dieses allgemeinen Persönlichkeitsrechts und erlischt dann folgerichtig ebenso. Schutzlos steht das Ansehen der Verstorbenen (und so mittelbar auch der Umgang mit ihren Daten) damit jedoch nicht. Denn das Bundesverfassungsgericht geht ebenso davon aus, dass der Schutz der Menschenwürde (Art. 1 Abs. 1 GG) nicht mit dem Tode endet (vgl. etwa Az.: 1 BvR 435/68).

Nach dem LG sei jedoch die Speicherung und Veröffentlichung der Todesanzeige rechtmäßig, da sich der Betreiber auf den Erlaubnistatbestand des § 29 Abs. 1 Nr. 2 BDSG berufen könne. Danach ist das geschäftsmäßige Erheben, Speichern und Nutzen personenbezogener Daten zum Zwecke der Übermittlung zulässig, wenn die Daten aus allgemein zugänglichen Quellen entnommen werden können, es sei denn, dass das schutzwürdige Interesse des Betroffenen offensichtlich überwiegt.
Vorliegend waren die Daten allgemein zugänglich, da die Witwe bereits selbst Todesanzeigen veröffentlicht hatte. Die Verarbeitung wäre nur dann unzulässig, wenn ein schutzwürdiges Interesse des Betroffenen am Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle „offensichtlich überwiegt“. Eine umfangreiche Einzelfallprüfung der widerstreitenden Interessen durch den Beklagten war daher nicht erforderlich. Die erleichterten Voraussetzungen der Datenverarbeitung werden vor allem als ein Ausfluss des Grundrechts der Informationsfreiheit aus Art. 5 Abs. 1 S. 1 GG angesehen. Das LG führt weiter aus, dass vorliegend eine Abwägung nur mit dem postmortalen Persönlichkeitsrechts des Verstorbenen in Betracht käme, da (entsprechend der oben erwähnten Ansicht des Bundesverfassungsgerichts) das Recht auf informationelle Selbstbestimmung mit dessen Tode erloschen sei. Die hier zu beurteilende Todesanzeige verletze den Verstorbenen jedoch nicht in seinem geschützten Achtungsanspruch. Denn es handele sich um wertneutrale Daten, ohne wertenden Bezug zur Persönlichkeit. Auch „dass die Daten durch eine Veröffentlichung im Internet einer breiteren Öffentlichkeit zugänglich gemacht und möglicherweise auch dauerhaft verfügbar gehalten werden, ändert an dieser Bewertung im Grundsatz nichts“.