Herausgabe von Daten an US-Behörden: Irische Regierung bittet EU-Kommission um Hilfe

Im April 2014 hatte ein US-Gericht entschieden (PDF), dass Microsoft dazu verpflichtet sei, Kundendaten die auf Servern in Irland gespeichert sind, an amerikanische Behörden herauszugeben. Gegen diesen Beschluss wehrte sich Microsoft, wurde jedoch auch durch ein Bundesgericht angewiesen, dem Durchsuchungsbefehl der US-Behörden nachzukommen. Für das Berufungsverfahren wurde der Vollzug ausgesetzt und Microsoft möchte die Daten auch nicht herausgeben. Andere Konzerne wie Apple und Cisco unterstützen die Position von Microsoft.

Zum einen besitzt das Verfahren eine mögliche wirtschaftliche Brisanz. Amerikanische Unternehmen müssten sich stets dem Risiko ausgesetzt sehen, dass Kundendaten, egal wo sie gespeichert sind, dem Zugriff von US-Behörden unterliegen.

Vor allem aber ist der Fall rechtlich interessant. Denn die amerikanischen Behörden haben nicht etwa die offiziellen Kanäle (Rechtshilfeabkommen zwischen der EU und den USA) genutzt, sondern sich direkt an das Unternehmen gewandt. Die ehemalige EU-Kommissarin für Justiz, Viviane Reding, hatte bereits im Juli 2014 die Befürchtung geäußert, „dass die extraterritoriale Anwendung ausländischer Gesetze (und darauf basierende gerichtliche Anweisungen gegen Unternehmen) gegen internationales Recht verstoßen“.

Nun hat der Irische Minister für Europaangelegenheiten und für den Datenschutz offiziell die EU-Kommission um ihre Unterstützung in diesem Gerichtsverfahren gebeten. Nach Aussage des Ministers könnte der Ausgang dieses Verfahrens möglicherweise schwerwiegende Folgen für den Datenschutz in der Europäischen Union besitzen. Durch den Versuch, die Herausgabe von Daten durch direkte Anordnungen gegenüber den Unternehmen zu erlangen, könnten die bestehenden Rechtshilfeabkommen praktisch umgangen werden.

Für international agierende Unternehmen besteht das sowohl schlichte als auch kaum zu lösende Problem, dass sie zwischen mehreren Rechtssystemen gefangen sind und nur zwischen den Rechtsverletzungen und den zu erwartenden Folgen wählen können. Dass sich eine solche Situation in einer digitalen Welt, in der immer mehr Wirtschaftszweige auf den ungehinderten Fluss von Daten angewiesen sind, als absolut unbefriedigend und revisionsbedürftig darstellt, dürfte wohl jedem einleuchten.

USA: Automobilhersteller einigen sich auf Datenschutzprinzipien

Das intelligente Auto als Teil des „Internets der Dinge“ wird in der Öffentlichkeit mit gemischten Gefühlen betrachtet. Einige sehen die Entwicklungsmöglichkeiten und Chancen, die Datenverarbeitungen im Zusammenhang mit Autos bieten, andere wiederum warnen vor dem „gläsernen Autofahrer“.

Viele der neu entwickelten Technologien und Dienstleistungen rund um das „Smart Car“ beruhen auf bzw. sind auf Informationen aus einer Vielzahl von Fahrzeugsystemen angewiesen und ihnen ist das Sammeln von Informationen, etwa über den Standort eines Fahrzeugs oder das Fahrverhalten, immanent.

In Amerika hat die “Alliance of Automobile Manufacturers (Auto Alliance)”, die viele wichtige Automobilhersteller (u.a. auch BMW of North America, Mercedes-Benz USA, Volkswagen Group of America und Ford Motor Company) zu ihren Mitgliedern zählt, nun Datenschutzprinzipien entwickelt und verabschiedet, die für den Umgang mit personenbezogenen Daten gelten.

Das Vertrauen der Verbraucher ist nach Ansicht der Auto Alliance entscheidend für den Erfolg von Fahrzeugtechnologien und Dienstleistungen. Den Mitgliedern ist zudem bewusst, dass Verbraucher wissen möchten, wie diese Fahrzeugtechnologien und Dienstleistungen funktionieren und ihnen selbst Vorteile bringen können, während sie gleichzeitig ihre Privatsphäre respektieren.

Die Datenschutzprinzipien

Die Datenschutzprinzipien (PDF) stellen nach Aussage der Auto Alliance einen Ansatz dar, um die Privatsphäre der Kunden zu schützen. Diese Prinzipien gelten für die Erfassung, Verwendung und Weitergabe von Informationen in Verbindung mit Fahrzeugtechnologien und -dienstleistungen für Pkw und leichte Nutzfahrzeuge, die an Verbraucher in den Vereinigten Staaten von Amerika verkauft oder von diesen geleased werden.

Die Datenschutzprinzipien enthalten unter anderem Regelungen zur Transparenz, der Datensparsamkeit oder auch der Datensicherheit. Interessant ist die allgemeine Definition des Anwendungsbereichs der Prinzipien. Diese gelten für sog. abgedeckte Informationen („covered information“), also solche Daten, die von den Prinzipien selbst definiert werden. Dabei handelt es sich um identifizierbare Informationen, die Fahrzeuge in elektronischer Form sammeln, erzeugen oder aufnehmen und die aus den Fahrzeugen durch einen teilnehmenden Automobilhersteller ausgelesen werden.

Was sind nun die „identifizierbaren Informationen“ (man denkt hierbei direkt an den Streit um den Personenbezug von IP-Adressen)? Auch dieser Begriff wird in den Prinzipien definiert. Es handelt sich um Informationen, die verknüpft sind oder vernünftigerweise verknüpfbar sind i) mit dem Fahrzeug aus dem die Daten abgerufen werden, ii) mit dem Eigentümer oder Leasingnehmer des Fahrzeugs oder iii) mit dem registrierten Benutzer einer Dienstleistung, die mit dem Fahrzeug verbunden ist. Der Anwendungsbereich scheint also durchaus weit gefasst zu sein, da eine Verknüpfung mit dem Fahrzeug selbst genügt.

Definiert werden im Übrigen etwa auch was „biometrische Daten“ und „Ortungsdaten“ sind.

Praktisch stellt sich für Automobilhersteller häufig die Frage, wie man den gesetzlich vorgegeben Informationspflichten im Datenschutzrecht nachkommen kann, ohne den Kunden jedes Mal mehrere ausgedruckte Papiere in die Hand drücken zu müssen. Dies mag im zu unterschreibenden Kauf- oder Leasingvertrag noch möglich sein. Doch was geschieht, wenn neue Dienste in Anspruch genommen und neue Datenverarbeitungsprozesse initiiert werden? Diesbezüglich geben die Datenschutzprinzipien einen pragmatischen und praktikablen Weg vor. Nach Ansicht der Automobilhersteller gibt es keinen one-size-fits-all-Ansatz. Die Unterzeichner der Prinzipien sollen vielmehr situationsbedingt und –angemessen entscheiden, wie sie ihre Kunden im konkreten Kontext am besten informieren können. Möglichkeiten sind Hinweise in der Betriebsanleitung, auf Papier oder auch in elektronischen Anmeldeformularen und/oder Nutzungsvereinbarungen. Möglich ist es jedoch auch, die Informationen über das bordeigene Display darzustellen. Die unterzeichnenden Autohersteller verpflichten sich zudem mindestens dazu, Informationen zur Erhebung, Verarbeitung und Nutzung der Daten öffentlich zugänglich im Internet bereit zu halten.

Fazit
Die Initiative der Auto Alliance ist definitiv zu begrüßen. Zwar stellen die Datenschutzprinzipien kein bindendes Recht dar. Jedoch bieten Sie für die beteiligten Mitglieder die Chance, den Kunden zu zeigen, wie wichtig ihnen der Datenschutz und die Privatsphäre sind. Zudem lässt sich dieser Initiative ebenfalls entnehmen, dass es in der Zukunft durchaus möglich sein wird (und meines Erachtens auch möglich sein muss), Innovation und technologischen Fortschritt zu gewährleisten und zu fördern, ohne den Schutz personenbezogener Daten zu vernachlässigen. Derartige selbstverpflichtende Initiativen der Wirtschaft sind insoweit ein wirksames Mittel, um gerade in dem sich stets und ständig entwickelnden Bereich der datenverarbeitenden Technologien für Vertrauen und Sicherheit zu sorgen, wenn gesetzliche Vorgaben nur noch überholte oder unzureichende Vorgaben machen können.

Intelligente Netze und Messsysteme: Kommission veröffentlicht Empfehlungen zum Datenschutz

Intelligente Netze (sog. smart grids) und daran angeschlossene Messsysteme (sog. smart meter) erfahren einen immer größeren Verbreitungsgrad. Über diese intelligenten, da digital ansteuer- und auslesbaren, Systeme können Energieunternehmen etwa Daten über das Heizverhalten oder den Stromverbrauch von Haushalten erheben und analysieren. Der Vorteil liegt auf der Hand: Strom kann aufgrund vorgenommener Analysen zum Beispiel besser verteilt werden. Welches Gebiet benötigt wann wieviel Strom? Wo und wann besteht grundsätzlich der geringste Heizbedarf? Auch eine bedarfsgerechtere Abrechnung des Energieverbrauchs ist möglich.

Da jedoch für diese Zwecke nicht nur die jeweiligen „nackten“ Messwerte abgelesen werden, spielt das Thema Datenschutz auch in diesem Bereich des ‚Internets der Dinge‘ eine wichtige Rolle. Die europäischen Datenschützer, versammelt in der sog. Artikel 29 Datenschutzgruppe, haben daher auch bereits im Jahr 2011 eine Stellungnahme zu Fragen des Datenschutzes und dem Smart Meetering verfasst (WP 183, PDF). Die europäischen Datenschützer empfehlen unter anderem vor dem Einsatz von intelligenten Messsystemen eine Datenschutz-Folgenabschätzung vorzunehmen (WP 183, S. 12).

Um eine solche Datenschutz-Folgenabschätzung, welche die potentiellen Risiken für personenbezogene Daten beim Einsatz intelligenter Zähler bereits in der Planungsphase aufzeigen und entsprechend minimieren soll, europaweit möglichst in einer einheitlichen Form durchzuführen, hat eine Arbeitsgruppe auf europäischer Ebene (Expert Group 2 (EG2)) ein Muster (Data Protection Impact Assessment Template for Smart Grid and Smart Metering systems, PDF) entworfen, welches von Unternehmen genutzt werden soll, die den Aufbau oder Investitionen in intelligente Netze oder Messgeräte planen.

Anfang Oktober 2014 hat nun die Europäische Kommission ihre Empfehlungen zum Einsatz des Musters für die Datenschutz-Folgenabschätzung veröffentlicht (2014/724/EU, PDF). Diese Empfehlungen richten sich an die Mitgliedstaaten und wie diese bei der Verbreitung des Musters mitwirken und Unternehmen unterstützen sollten. Interessant sind zudem die in dem Dokument von der Kommission aufgestellten Definitionen zu verschiedensten Begriffen, die derzeit im Datenschutzrecht diskutiert werden (z. B. der „konzeptionsbedingte Datenschutz“ (data protection by design) oder auch der „standardmäßige Datenschutz“ (data protection by default)).

Die Kommission empfiehlt, dass die Mitgliedstaaten mit der Wirtschaft, Interessenträgern der Zivilgesellschaft und auch den nationalen Datenschutzbehörden zusammenarbeiten sollten, um in einem frühen Stadium der Einführung intelligenter Netze und intelligenter Messsysteme die Verbreitung und Anwendung des Musters für die Datenschutz-Folgenabschätzung zu fördern und zu unterstützen. Etwas konkreter sind zudem Empfehlungen, wonach die Mitgliedstaaten sicherstellen sollten, dass die für die Datenverarbeitung Verantwortlichen nach der Durchführung einer Datenschutz-Folgenabschätzung die geeigneten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten treffen und die Folgenabschätzung sowie die anhaltende Eignung der festgelegten Maßnahmen während des gesamten Lebenszyklus der Anwendung bzw. des Systems überprüfen.

Der Einsatz des Musters zur Folgenabschätzung sowie die Umsetzungsmaßnahmen der Mitgliedstaaten sollen in einer zwei-jährigen Testphase erprobt und danach von der Kommission bewertet werden. Anhand eines nachfolgenden Prüfberichts will die Kommission dann entscheiden, ob das Muster eventuell angepasst werden muss.

Datenschützer entwickeln ein Hausaufgabenheft für Google

Seit 2012 haben europäische Datenschutzbehörden in einer koordinierten Aktion, unter Führung der französischen Datenschutzbehörde, die Datenschutzerklärung von Google und deren Vereinbarkeit mit europäischem Datenschutzrecht überprüft (hierzu meine Blogbeiträge: Europa gegen Google? – Die “Task-Force” macht ernst und Französische Datenschutzbehörde eröffnet Verfahren gegen Google). Nachdem in den letzten Jahren jeweils nationale Verfahren aus diesem koordinierten Vorgehen erwachsen sind (etwa in Spanien oder in Frankreich), hat das Gremium der europäischen Datenschutzbehörden (die Art. 29 Gruppe) nun einen Maßnahmenkatalog (PDF) (man könnte auch von einem datenschutzrechtlichen Hausaufgabenheft sprechen) entwickelt, der Maßnahmen vorschlägt, wie aus der Datenschutzbehörden die Datenschutzerklärung von Google anzupassen ist, um eine Konformität mit europäischem Datenschutzrecht herzustellen. Begleitet wird dieser Katalog von einem Brief (PDF) an Larry Page.

Die Vorschläge der Datenschützer sind dabei als mögliche Lösungsvarianten anzusehen und sollen Google dabei helfen, die Vorgaben der Aufsichtsbehörden umzusetzen. Nachfolgend einige Highlights des immerhin 6-seitigen Dokuments.

  • Die Datenschutzerklärung soll stets sichtbar und direkt aufrufbar sein, ohne dass Nutzer etwa zum Ende einer Webseite scrollen müssten.
  • Es sollen abschließend alle Datenarten aufgelistet werden, die von Google im Rahmen seiner Dienste verarbeitet werden.
  • Auch sollen abschließend alle Zwecke angegeben werden, die der Datenverarbeitung zugrunde liegen.
  • Allein auf einer Seite soll Google den Nutzern die Möglichkeit bieten, sich ein umfassendes Bild über die Datenverarbeitung zu verschaffen.
  • Sollten sich die Zweck der Datenverarbeitung ändern oder neue hinzukommen, so soll Google dies nicht in den Nutzungsbedingungen darstellen, sondern vielmehr in der Datenschutzerklärung darüber informieren.
  • Werden Daten an Dritte weitergegeben, so dürfe Google nicht einfach von „Partnern“ sprechen, sondern müsse diese Partner konkret benennen.
  • Passive Webseitenbesuchern sollen besser informiert werden. Zudem müsste ihnen die Möglichkeit einer Einwilligung in die Verarbeitung ihrer Daten gegeben werden. Die Art. 29 Gruppe weißt hier auf Google Analytics hin. So könnte der Dienst etwa derart eingestellt werden, dass eine Analyse des Nutzerverhaltens erst beginnt, wenn der Betroffene seine Einwilligung erteilt hat. Auch wird hier auf die in der Praxis etablierte Verfahrensweise des Einsatzes von Google Analytics in Deutschland hingewiesen (Kürzung der IP-Adresse; Abschluss eines Vertrages zur Auftragsdatenverarbeitung; Möglichkeit des Opt-out). Diese Lösung könnte, so die Idee der Datenschützer, auf andere Länder übertragen werden.
  • Google sollte zudem die Formulierungen seiner Datenschutzerklärung ändern und keine Begriffe wie „wir können“ verwenden.
  • Nach Ansicht der Art. 29 Gruppe könnte Google seine Datenschutzerklärung mehrschichtig aufbauen. Auf der ersten Ebene allgemeine Informationen mit Verweisen zu speziellen und umfangreicheren Erläuterungen der einzelnen Dienste. Auf der zweiten Ebene dann spezielle Informationen zum Datenumgang bei den einzelnen Diensten.
  • Zudem soll Google Richtlinien zur Datenspeicherung und der Speicherdauer entwickeln. Diese sollten den Datenschutzbehörden vorgelegt werden.

Die Vorgaben bzw. Empfehlungen der Art. 29 Gruppe sind durchaus eine interessante Zusammenstellung an Interpretationen des europäischen Datenschutzrechts und wie sich ein Diensteanbieter wie Google insoweit konform verhalten kann. Dennoch scheinen einige der Vorgaben praktisch kaum umsetzbar bzw. mit dem geltenden Datenschutzrecht nicht begründbar zu sein. Ein Beispiel: die umfassende Aufklärung der Datenverarbeitung allein auf einer Seite. Was ist überhaupt eine „Seite“? DinA4? Gerade Unternehmen wie Google verarbeiten eine große Menge an Daten. Die Verarbeitungsvorgänge sind teilweise nicht in einem Satz darzustellen. Möchte der Anbieter also zumindest ansatzweise umfassend und dazu noch verständlich aufklären, dann benötigt er eben auch einmal mehr als eine „Seite“ an Informationen. Dieses Dilemma ist aber nicht unbedingt neu. Unternehmen möchten umfassend aufklären: dann wird ihnen vorgeworfen, die Datenschutzerklärung sei zu lang und kompliziert. Diensteanbieter straffen die Informationen und reduzieren sie auf die Kernthemen: dann wird ihnen vorgeworfen, dass sie nicht ausreichend aufklären und Nutzer in die Irre führen. Es zeigt sich, dass der Anspruch des Rechts und die Umsetzung in der Praxis doch häufig kaum (oder nur mit massiven Verrenkungen) vereinbar sind.

Datenschutz und “Internet der Dinge” – Position der Europäischen Datenschützer

Die Artikel 29 Datenschutzgruppe (Art. 29 Gruppe), das Gremium der Vertreter der europäischen Aufsichtsbehörden für den Datenschutz, hat in einer neuen Stellungnahme (WP 223, PDF) zum „Internet der Dinge“ (IoT) ihre Positionen zu verschiedenen datenschutzrechtlichen Fragen im Zusammenhang mit der Datenverarbeitung rund um Smartwatches, Fitnesstracker oder intelligente Thermostate dargelegt. Im Folgenden möchte ich einige der in der Stellungnahme angesprochenen Themenbereiche näher beleuchten.

Räumlicher Anwendungsbereich
Nach Ansicht der Art. 29 Gruppe ist das europäischen Datenschutzrecht (bzw. die jeweilige nationale Umsetzung der Vorgaben der geltenden Datenschutzrichtlinie (DS-RL) 95/46/EG) zum einen dann anwendbar, wenn Datenverarbeitungen „im Rahmen der Tätigkeiten“ einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche (hierzu sogleich) in der Europäischen Union besitzt (Art. 4 Abs. 1 lit. a DS-RL). Was genau unter der Umschreibung „im Rahmen der Tätigkeiten“ zu verstehen ist, wird in dieser Stellungnahme nicht näher erläutert. Jedoch verweisen die Datenschützer auf das Google-Urteil des Europäischen Gerichtshofs (C-131/12) und die dort vorgenommene sehr weite (meines Erachtens mit dem Wortlaut der Datenschutzrichtlinie kaum zu vereinbarende) Auslegung dieses Begriffs. Sollte der für die Datenverarbeitung Verantwortliche nicht in der EU niedergelassen sein, ist das europäische Datenschutzrecht dennoch anwendbar, wenn er nach Art. 4 Abs. 1 lit. c DS-RL auf Mittel zurückgreift, welche in einem Mitgliedstaat belegen sind. Nach Ansicht der Datenschützer stellen alle Geräte, die zur Erhebung oder weiteren Verarbeitung von personenbezogenen Daten im Rahmen eines IoT-Dienstes eingesetzt werden, solche „Mittel“ im Sinne der DS-RL dar. Hierzu gehören aber auch die Smartphones oder Tablets der Nutzer, auf denen entsprechende Software oder Apps zum Analysieren oder Übermitteln der erhobenen Daten installiert sind.

Personenbezogene Daten
Für die Datenschützer sind die Informationen, die von den IoT-Geräten erhoben werden, in den meisten Fällen als personenbezogen im Sinne des Art. 2 DS-RL anzusehen. Entweder kann eine bestimmte Person direkt hierüber identifiziert oder es können Lebensmuster und –gewohnheiten einer Person oder Familie erkannt werden. Jedoch gehen die Datenschützer in ihrer Stellungnahme noch weiter. Selbst wenn Daten pseudonymisiert oder gar anonymsiert werden, so bestünde doch aufgrund der Schieren Menge an Informationen stets ein latentes Risiko einer Re-Identifizierung. Dies reiche aus, um von personenbezogenen Daten auszugehen.

Für die Datenverarbeitung Verantwortlicher
Bei der Frage des für die Verarbeitung Verantwortlichen geht es um die Bestimmung derjenigen Stelle, welche die gesetzlichen Pflichten des Datenschutzrechts treffen. Die Art. 29 Gruppe verweist darauf, dass im Bereich des Internet der Dinge viele verschiedene Spieler beteiligt sind und daher eine genaue Analyse Ihrer Beteiligungen an den jeweiligen Datenverarbeitungsprozessen vorzunehmen ist. Der Gerätehersteller ist nach Ansicht der Datenschützer vor allem dann für die Datenverarbeitung verantwortlich, wenn er nicht nur das physische Gerät verkauft, sondern auch die Software programmiert und damit vorgibt, wie und welche Daten erhoben und zu welchen Zwecken verarbeitet werden. Auch Internetplattformen, auf denen Nutzer die über das Gerät erhoben Daten teilen und veröffentlichen können, besitzen unter gewissen Umständen datenschutzrechtliche Pflichten. So ist etwa der Anbieter eines sozialen Netzwerkes nach Ansicht der Datenschützer dann als Verantwortlicher anzusehen, wenn er Daten aus dem IoT-Gerät eines Nutzers für eigene Zwecke verwendet, z.B. um personalisierte Werbung für passionierte Jogger auszuspielen. Und auch Anbieter von Drittdiensten, etwa speziellen Apps, die auf IoT-Daten zugreifen, sind als für die Verarbeitung Verantwortlichen anzusehen, wenn sie über eine vorhandene API auf Informationen auf dem jeweiligen Gerät zugreifen. Nach Ansicht der Art. 29 Gruppe bedarf es hierfür zumeist der Einwilligung des Betroffenen, welche im Rahmen des Installationsprozesses der App einzuholen ist.

Einwilligung nach der ePrivacy-Richtlinie
Die Art. 29 Gruppe weist in ihrer Stellungnahme darauf hin, dass neben den Regelungen der DS-RL auch einzelne Bestimmungen anderer Gesetze zur Anwendung kommen können. Insbesondere im Blick haben die Datenschützer hierbei Art. 5 Abs. 3 der sog. ePrivacy-Richtlinie (2002/58/EG). Danach ist die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung gegeben hat. Dieses Einwilligungserfordernis betrifft nach Ansicht der Datenschützer vor allem den Gerätehersteller. Zu beachten ist, dass die Einwilligung sich nicht nur auf personenbezogene Daten bezieht, sondern ganz allgemein auf Informationen, die in einem IoT-Gerät gespeichert sind.

Erlaubnistatbestände der Datenverarbeitung
Die Verarbeitung personenbezogener Daten, die über ein IoT-Gerät erhoben werden, bedarf nach dem geltenden Prinzip des Verbots mit Erlaubnisvorbehalt eines Erlaubnistatbestandes. Art. 7 DS-RL listet die möglichen gesetzlichen Grundlagen einer Verarbeitung personenbezogener Daten auf. Die Voraussetzungen einer der Alternativen des Art. 7 DS-RL sind neben den Voraussetzungen des Art. 5 Abs. 3 ePrivacy-Richtlinie zu erfüllen (der ja bereits bei einem Zugriff auf Informationen einschlägig ist). Nach Ansicht der Art. 29 Gruppe kommen im Rahmen des Einsatzes von IoT-Geräten vor allem drei Varianten des Art. 7 DS-RL in Betracht. Zum einen Art. 7 lit. a DS-RL, wenn der Betroffene seine Einwilligung in die Datenverarbeitung erteilt hat. Zum anderen Art. 7 lit. b DS-RL, wenn die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist. Die Art. 29 Gruppe weist darauf hin, dass der Anwendungsbereich dieses Erlaubnistatbestandes durch das Merkmal der „Erforderlichkeit“ begrenzt ist. Zum Dritten stellt auch Art. 7 lit. f DS-RL einen tauglichen Erlaubnistatbestand dar, wenn die Verarbeitung zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird erforderlich ist. Dies jedoch nur, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. In diesem Zusammenhang verweisen die Datenschützer erneut auf das Google-Urteil des EuGH und nehmen die Aussagen des Gerichts zum Anlass darauf einzugehen, dass eine Datenverarbeitung über IoT-Geräte sehr wahrscheinlich die Grundrechte auf Privatleben und den Schutz personenbezogener Daten in besonderer Weise berührt. Die Daten beziehen sich etwa auf die Gesundheit der Betroffenen oder ihre private Umgebung. Nach Ansicht der Art. 29 Gruppe ist eine Datenverarbeitung unter diesen Gegebenheiten kaum allein durch die wirtschaftlichen Interessen des jeweils Verantwortlichen zu rechtfertigen.

Zusammenfassung
Die Stellungnahme der Art. 29 Gruppe geht noch auf weitere Aspekte ein, etwa Anforderungen an die Datenqualität, die Verarbeitung besonderer Arten von personenbezogenen Daten (z. B. Gesundheitsdaten) oder auch zu ergreifende technische und organisatorische Maßnahmen, um die Datensicherheit zu gewährleisten. Insgesamt dient die Stellungnahme der Datenschützer sicherlich als informative Lektüre, um eine grobe Einschätzung des immer bedeutender werdenden Bereichs des Internets der Dinge aus Sicht der Aufsichtsbehörden zu erhalten. Meines Erachtens sind die Positionen der Art. 29 Gruppe freilich nicht in jedem Punkt las eine Art „obiter dictum“ hinzunehmen. So stellt sich etwa für Geräte- oder Softwarehersteller die Frage des Sinns (bzw. Unsinns) von Anonymisierungsverfahren, wenn nach Ansicht der Datenschützer selbst dann die datenschutzrechtlichen Pflichten eingreifen. Als ob also eine Anonymisierung von Daten gar nicht stattgefunden hätte. Warum sollten Unternehmen dann noch eine Anonymisierung (die mit tatsächlichen und finanziellen Aufwandverbunden ist) vornehmen? Auch in Zukunft werden das vernetzte Haus, das smarte Auto oder die intelligenten Uhren den Datenschutz vor Herausforderungen stellen. Es sollte daher auch genau auf eine mögliche Berücksichtigung dieser Technologien in der geplanten Datenschutz-Grundverordnung geachtet werden und wie das künftige Datenschutzrecht mit technologischen Entwicklungen umgehen wird.
Vg Wort

IT-Sicherheitsgesetz: Telemedienanbieter dürfen anlasslos speichern

Heute wurde der Referentenentwurf des Bundesinnenministeriums für ein IT-Sicherheitsgesetz (IT-SG) veröffentlicht (PDF). Viele der dort beschriebenen Änderungen beziehen sich auf das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik. Jedoch sollen auch Änderungen am Telemediengesetz (TMG) vorgenommen werden. Eine dieser Änderungen betrifft die anlasslose Erhebung und Speicherung von Nutzungsdaten. Hierzu soll ein neuer § 15 Abs. 9 TMG-E (S. 18) eingefügt werden.

Hier der Wortlaut:

(9) Soweit erforderlich, darf der Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner für Zwecke seines Telemedienangebotes genutzten technischen Einrichtungen erheben und verwenden. Absatz 8 Satz 2 gilt entsprechend.

Dieser Vorschlag ist nicht neu. Bereits im Jahre 2009 sah der Gesetzentwurf für ein Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes (BT Drs. 16/11967, PDF) die Ergänzung des TMG um eine identische Regelung vor. Damals wurde die Gesetzesänderung jedoch am Ende nicht vorgenommen. Der Grund: die Eilbedürftigkeit der übrigen Regelungen des Gesetzesentwurfs (so die Beschlussempfehlung und der Bericht des Innenausschusses, BT Drs. 16/13259, PDF).

Nun soll die bereits 2009 anvisierte Änderung doch kommen. Und das ist grundsätzlich auch zu begrüßen. Sinn und Zweck der neuen Vorschrift ist es laut der Begründung zum IT-SG, dass Diensteanbieter die Möglichkeit haben müssen, eine Infektion der von ihnen angebotenen Telemedien mit Schadprogrammen zu erkennen, um entsprechende Schutzmaßnahmen ergreifen zu können (S. 51). Telemediendiensteanbieter sollen in die Lage versetzt werden, rechtmäßig für den Zweck Daten erheben und verwenden zu können, um Angriffe (Denial of Service, Schadprogramme, Veränderung ihrer Werbeangebote von außerhalb) abwehren zu können.

Inhaltlich bezieht sich die geplante Regelung auf Nutzungsdaten (definiert in § 15 Abs. 1 TMG). Hierzu gehören insbesondere Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien. Umfasst hiervon ist z. B. auch die IP-Adresse (sei es nun eine solche, die dynamisch oder statisch vergeben wird).

Erlaubt soll die Erhebung und Verwendung der Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen der genutzten technischen Einrichtungen sein. Die Begründung des Referentenentwurfs gibt auch vor, was aus gesetzgeberischer Sicht auf jeden Fall erforderlich ist: die Erhebung und kurzfristige Speicherung und Auswertung der Nutzungsdaten.

Die Erlaubnis des neuen § 15 Abs. 9 TMG-E bezieht sich unter anderem auf das „Erkennen“ von Störungen. Die Erhebung und Verwendung der Daten ist daher nicht erst erlaubt, wenn ein Angriff stattgefunden hat und seine Auswirkungen eintreten. Bereits zum Erkennen von Störungen, also proaktiv, soll die Speicherung der Nutzungsdaten erlaubt sein. Die Gesetzesbegründung des IT-SG trennt ausdrücklich zwischen dem „Erkennen“ und einer nachfolgenden „Abwehr“ von Angriffen. Für die Erlaubnis, bereits proaktiv Nutzungsdaten speichern zu können, spricht auch der Verweis in der Gesetzesbegründung auf § 100 Abs. 1 TKG. Zu dieser Vorschrift hat der BGH erst kürzlich entschieden, dass gegen eine proaktive Speicherung von (dort: dynamischen) IP-Adressen durch Telekommunikationsanbieter für eine Woche keine Bedenken bestehen (vgl. die Meldung bei Heise). Auch im TKG spricht das Gesetz, wie nun in der vorgeschlagenen Anpassung des TMG, vom „Erkennen“ von Störungen oder Fehlern.

Die Frage, welche sich freilich zwangsläufig stellen wird, ist diejenige nach der erlaubten Dauer der Speicherung. Die Gesetzesbegründung spricht von „kurzfristig“, ohne konkretere Vorgaben zu machen. Durch den vorgenommenen Verweis auf § 100 Abs. 1 TKG wird eine einwöchige Speicherung vor dem Hintergrund der aktuellen Rechtsprechung sicherlich erlaubt sein. Der Begriff „kurzfristig“ ist aber meines Erachtens nicht auf diese eine Woche beschränkt. Auch eine längere Speicherung erscheint durchaus möglich. Gerade wenn man sich vor Augen führt, dass die Speicherung grundsätzlich unter der Bedingung der Erforderlichkeit steht. Was jedoch erforderlich ist, um einen Angriff zu erkennen oder abzuwehren, wird sich kaum pauschal für alle Situationen festlegen lassen. Es erscheint daher durchaus möglich, dass die „kurzfristige“ Speicherung auch mehr als eine Woche umfasst.

Die vorgeschlagene Regelung ist nach meinem Dafürhalten richtig und wichtig. Kritiker werden sicher bemängeln, dass auf diesem Wege zumindest eine kleine Vorratsdatenspeicherung im TMG Einzug erhält. Auch hier lässt sich jedoch auf die Argumentation des Bundesgerichtshofs im oben benannten Urteil verweisen. Die Zwecke, warum Daten gespeichert und für welche Zwecke sie genutzt werden dürfen, sind in dem Gesetz aber klar umrissen. Es geht nicht um eine Speicherung für eine spätere Verwendung durch Sicherheitsbehörden. Natürlich lässt sich nicht ausschließen, dass dennoch ein Zugriff in Einzelfällen stattfinden könnte. Die Möglichkeit des Zugriffs wird aber nicht durch das IT-SG geschaffen, sondern durch die gesetzlichen Grundlagen für die Arbeit der Sicherheitsbehörden. Wenn man diese Befugnisse ablehnt, muss man dort ansetzen. Die im IT-SG vorgeschlagene Regelung hat den berechtigten Schutz der Telemediendienste (bzw. den von ihnen genutzten technischen Einrichtungen) und damit auch den Schutz der Nutzer und ihrer Daten im Sinn.

Spanien: Datenschützer verhängen Bußgeld gegen Google wegen Cookies auf Blogspot

Mit Beschluss vom 14. Mai 2014 hat die spanische Datenschutzbehörde (AEPD) ein Bußgeld in Höhe von 25.000 € gegen Google verhängt (hier der Beschluss im Original (Spanisch), PDF).

In dem Verfahren ging es um die datenschutzrechtliche Prüfung von Cookies, welche über Blogs verbreitet wurden, die auf der Plattform „Blogger“ und unter Adressen wie „Beispiel.blogspot.com“ betrieben wurden. Dabei ging es jedoch nicht um die Verantwortlichkeit des Blogbetreibers, sondern um diejenige der Google Inc.

Untersucht wurden von den Datenschützern vor allem Analyse-Cookies (die im Rahmen von Google-Analytics arbeiteten) und solche für Zwecke der Schaltung von personalisierter Werbeanzeigen.

Nach Ansicht der Datenschützer verletzte der Einsatz der Cookies vorliegend die Vorgaben des spanischen Datenschutzrechts, insbesondere diejenige einer Einwilligung entsprechend Art. 5 Abs. 3 der Richtlinie 2002/58/EG (PDF) (ePrivacyRL, in der Fassung durch Richtlinie 2009/136/EG). Art. 5 Abs. 3 ePrivacyRL sieht für die Speicherung von Informationen oder den Zugriff auf Informationen auf Endgeräten des Nutzers (oder Teilnehmers) eine Einwilligung in Kenntnis der Sachlage vor. Diese Vorschrift gilt freilich nicht nur für Cookies, wird in der Praxis aber gerade für diese relevant. Von dem Einwilligungserfordernis gibt es jedoch Ausnahmen, unter anderem dann, wenn der Zugriff oder die Speicherung der Informationen unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Laut den tatsächlichen Feststellungen in dem Beschluss, wurden auf den Rechnern von Nutzern, die einen Blog unter einer „blogspot“-Adresse besuchten, unter anderem Analyse-Cookies und solche für Werbezwecke gesetzt. Der Einsatz der Cookies wurde dabei durch Google selbst festgelegt und konnte durch den Blogbetreiber nicht unterbunden werden.

Die Behörde beanstandet, dass es zwar Informationen zu dem Einsatz von Cookies und auch von Analyse-Cookies im speziellen in der Datenschutzerklärung von Google gebe. Diese seien für die Besucher des jeweiligen Blogs jedoch schwierig aufzufinden. Zudem würden die Besucher nicht darauf hingewiesen, dass Cookies zum Einsatz kämen und wo sie hierzu Informationen finden könnten. Auch würden entsprechende Informationen etwa nicht den Blogbetreibern zur Verfügung gestellt, die diese dann an ihre Besucher weiterleiten könnten.

Google brachte unter anderem vor, dass für den Einsatz der Cookies keine Einwilligung der Nutzer nötig sei, da er für die Zurverfügungstellung des Dienstes unbedingt erforderlich sei. Diese Sichtweise wies die Behörde jedoch zurück. Sie begründet ihren Beschluss damit, dass sowohl die Werbe-Cookies als auch die Analyse-Cookies nicht unbedingt erforderlich seien, damit die Plattform zum einen den Bloggern (für das Erstellen von Blogs) und auch deren Besuchern zur Verfügung gestellt werden könne.

Fazit
Wann Cookies (und damit der Zugriff bzw. die Speicherung von Informationen; Achtung, nicht nur “personenbezogene” Informationen!) unbedingt erforderlich sind, lässt sich kaum generell sagen, sondern hängt stark von dem jeweiligen Einzelfall ab. Die europäischen Datenschutzbehörden haben in einer Stellungnahme aus dem Jahre 2012 (WP 194, PDF) jedoch zumindest einige Leitlinien aufgestellt, wann nach ihrer Ansicht die Einwilligung beim Einsatz von Cookies entbehrlich sein kann.

Ausländische Telekommunikationsanbieter in den USA zum nationalen Routing verpflichtet

In der öffentlichen Debatte um die Einführung eines sog. „Schengen-Routings“ von Daten in Europa wurde häufig kritisiert, dass dies zu einer Zersplitterung des Internets führen würde und Europa oder Deutschland sich mit derartigen Maßnahmen vom Rest des Netzes abkapseln würden. Aus dem Bundeswirtschaftsministerium war in diesen Tagen zu hören, dass man ein nationales Routing allenfalls als freiwilliges Angebot zwischen den Unternehmen in Betracht ziehe. Anfang April hat sich auch der Handelsvertreter der Vereinigten Staaten von Amerika öffentlich gegen derartige Pläne ausgesprochen (hier mein Blogbeitrag dazu) und dies unter anderem mit einem faktischen Ausschluss und einer Diskriminierung ausländischer Anbieter begründet.

Blickt man jedoch in die USA, so zeigt sich, dass die Pflicht zu einem nationalen Routing für Telekommunikationsanbieter dort bereits Realität und eine rechtliche Pflicht ist. Der Grund: um amerikanischen Behörden einfacheren und direkten Zugriff auf gespeicherte Daten zu ermöglichen.

Ausländische, auf dem US-Markt agierende Unternehmen, schließen Verträge mit Regierungsstellen (u. a. dem Heimatschutzministerium oder dem Justizministerium) ab, in denen sie sich dazu verpflichten müssen, inländischen Datenverkehr allein innerhalb des Staatsgebietes von Amerika zu transportieren und zu speichern. Eine Auflistung von verschiedenen Verträgen, u. a. mit der Deutschen Telekom oder Telefonica Moviles) findet sich hier.

Anhand des Vertrages der Telefonica Moviles (abrufbar hier, PDF) möchte ich kurz auf ein paar der Pflichten eingehen, die dem Unternehmen auferlegt werden.

Wichtig ist zunächst unter Ziff. 1.7 die Definition der „Domestic Communications“. Dies umfasst sowohl die drahtlose als auch drahtgebundene Kommunikation, welche in den USA beginnt und endet. Aber ebenso den amerikanischen Anteil solcher Kommunikationen, die entweder in den USA beginnen oder dort enden. Zudem wird unter Ziff. 1.8 die „Domestic Communications Infrastructure“ definiert, wozu auch Anlagen und Geräte zum Routing zählen.

Nach Ziff. 2.1 des Vertrages besteht die Pflicht, dass sowohl die „Domestic Communications Infrastructure“ allein in den USA belegen sein darf und auch die durch sie abgewickelte nationalen Kommunikationsvorgänge allein durch diese Einrichtungen in den USA ausgeführt werden dürfen.

Nach Ziff. 2.3 des Vertrages besteht zudem eine Speicherpflicht für die nationalen Daten allein in den USA.

Zudem stellt Ziff. 2.8 explizit eine nationale Routing-Pflicht auf. Nationale Kommunikation darf danach nicht außerhalb der USA gerouted werden.

Und wie sieht es mit dem Zugang zu diesen Daten durch ausländische Behörden aus? Nach Ziff. 3.4 des Vertrages dürfen sowohl nationale Kommunikationsdaten (und zudem noch weitere Datenkategorien) weder direkt oder indirekt an ausländische Behörden weitergegeben werden, ohne dass eine vorherige schriftliche Zustimmung des amerikanischen Justizministeriums oder eine Anordnung eines amerikanischen (nicht etwa ausländischen) Gerichts vorliegt.

Die Verträge zeigen, dass ein nationales Routing in den USA bereits an der Tagesordnung ist. Einer der Gründe ist, den staatlichen Behörden einen einfachen Zugriff für Überwachungsmaßnahmen zu ermöglichen, wie sich etwa aus Ziff. 2.1 (b) ergibt.

Damit ist freilich noch nichts darüber gesagt, ob ein nationales Routing in Europa oder Deutschland tatsächlich gegen die Überwachung durch ausländische Geheimdienste schützen würde. Nur das Argument, dass dies eine neue Qualität des Eingriffs in den freien Fluss der Daten im Internet darstellen und Europa damit allein dastehen würde, kann damit kaum noch gelten.

EU-Datenschützer: ICANN-Verträge verstoßen gegen Datenschutzrecht

Die Internet Corporation for Assigned Names and Numbers (ICANN) sieht sich weiterhin Kritik der europäischen Datenschutzbehörden ausgesetzt. Sowohl der Zusammenschluss der nationalen Behörden, die Art. 29 Datenschutzgruppe, als auch der Europäische Datenschutzbeauftragte (EDSB), Peter Hustinx, haben in Briefen (Brief der Art. 29 Gruppe, (PDF) / Brief des EDSB, (PDF) ) an die Organisation zum Ausdruck gebracht, dass die derzeit bestehenden vertraglichen Pflichten zum Umgang mit personenbezogenen Daten gegen europäisches Datenschutzrecht verstoßen.

Die europäischen Datenschützer kritisieren Klauseln in Verträgen, welche sog. Domain Name Registrare auf der ganzen Welt mit der ICANN abschließen müssen. Die Registrare akkreditieren sich bei der ICANN und dürfen dann für ein bestimmtes Gebiet die Registrierung von Domain Namen durchführen (typische Beispiele für Deutschland sind etwa die Deutsche Telekom, 1&1 Internet oder united-domains AG). In den hierfür erforderlichen Akkreditierungsverträgen (RAA, Stand vom 27. Juni 2013) sind auch Bestimmungen enthalten, welche sich auf das Speichern personenbezogener Daten der Kunden der Registrare beziehen (siehe Nr. 3.4 des Vertrages sowie die Data Retention Specification (DRS), in denen die Datenarten genauer benannt werden). Diese Regelungen greifen die europäischen Datenschützer an.

Laut den Vorgaben der RAA besteht eine generelle Speicherpflicht von zwei Jahren für personenbezogene Daten der Kunden der Reistrare, welche einen Domain Namen registrieren (Nr. 3.4.3). Innerhalb dieses Zeitraums muss der Registrar diese Daten der ICANN nach einem begründeten Hinweis auch zugänglich machen.

Diese lange Speicherfrist hat bereits in der Vergangenheit Kritik hervorgerufen. Denn in Europa niedergelassene Registrare sind an europäisches Datenschutzrecht gebunden. Sie müssen sich daher beim Umgang mit personenbezogenen Daten an die Vorgaben der Datenschutz-Richtlinie (RL 95/46/EG, DS-RL) bzw. die jeweiligen nationalen Gesetze, und damit auch den Grundsatz der Zweckbindung (Art. 6 Abs. 1 b) DS-RL) und den Grundsatz der Datensparsamkeit/-minimierung (Art. 6 Abs. 1 f) DS-RL) halten.

Aus diesem Grund sieht die DRS (unter Nr. 2) die Möglichkeit vor, dass Registrare mit der ICANN abweichende Vereinbarungen in Bezug auf die Datenspeicherung vertraglich festlegen können, wenn eine Anwaltskanzlei oder eine anerkannte staatliche Stelle die Datenspeicherung für rechtswidrig erachtet. Für die Vereinbarung solcher Änderungen ist bei der ICANN zudem ein bestimmtes Verfahren vorgesehen. Das tatsächliche Probleme war jedoch, dass es verschiedene abweichende Vereinbarungen zwischen der ICAAN und europäischen Registraren gab, die sich inhaltlich nicht unbedingt decken müssen.

Hier wollte die Art. 29 Datenschutzgruppe ansetzen und die ICANN davon überzeugen, dass der bisherige Schriftverkehr zwischen beiden Institutionen als Leitlinie für europäische Anbieter angesehen werden sollte, wenn Abweichungen bei der Speicherpflicht von Daten vereinbart werden. Damit könnte für alle europäischen Registrare, die ja alle den Vorgaben der DS-RL unterliegen, ein einheitliches Verfahren mit denselben rechtlichen Vorgaben etabliert werden. Dies erkannte die ICANN jedoch bisher nicht an.

In letzter Zeit bemühte sich die ICAAN, auf die Kritik an der langen und aus Sicht der europäischen Datenschützer unverhältnismäßigen Speicherpflicht einzugehen. Denn das Problem für europäische Registrare ist offensichtlich. Sie sind vertraglich zu einer Speicherung gegenüber der ICANN verpflichtet, die jedoch durch die nationalen Datenschutzbehörden als rechtswidrig angesehen werden könnte. Die ICANN veröffentlichte daher im März 2014 einen Entwurf zur Spezifizierung der verschiedenen Datenarten, welche der Speicherfrist unterliegen, und welche Zwecke die Speicherung verfolgt (Data Retention Specification Data Elements and Legitimate Purposes, PDF). Dieser Entwurf sollte als Diskussionsgrundlage dienen. Der Brief des EDSB bezieht sich direkt auf diesen Entwurf.

Zwar erkennt der EDSB die Bemühungen der ICANN um Klarstellung und genauere Spezifizierung der Datenarten und Verarbeitungszwecke an. Dennoch sind aus seiner Sicht sowohl die Vorgaben der RAA als auch DRS mit europäischem Datenschutzrecht derzeit nicht vereinbar. Personenbezogene Daten sollten nur für die Zwecke der Vertragsdurchführung des Registrars mit seinen Kunden gespeichert werden und nicht etwa für andere Zwecke, wie z. B. um Betrug bei der Registrierung der Domain Namen vorzubeugen. Zudem sollten die Daten auch nur solange gespeichert werden, wie dies zur Durchführung des Vertrages absolut notwendig ist. Eine Speicherung für Zwecke der Kriminalitätsbekämpfung oder zur Durchsetzung von Urheberrechten sei damit nicht vereinbar.

Interessanterweise geht der EDSB in seinem Brief auch direkt auf die kürzlich ergangene Entscheidung des EuGH zur Vorratsdatenspeicherung ein. Er weist darauf hin, dass eine Speicherung geschäftlicher Verkehrsdaten für Zwecke der Bekämpfung schwerer Kriminalität erforderlich sein kann, die Richtlinie zur Vorratsdatenspeicherung jedoch die Vorgaben der Verhältnismäßigkeit nicht beachtete. Hieraus schließt Hustinx, dass die Voraussetzungen für eine Speicherung von Daten auf Vorrat in der EU in Zukunft besonderer Prüfung und rechtlichen Herausforderungen unterliegen werden.

Ministerkomitee des Europarates: Leitfaden der Menschenrechte von Internetnutzern

Am 16. April 2014 hat das Ministerkomitee des Europarates (Die Versammlung der Außenminister der Mitgliedstaaten) eine Empfehlung mit dem Titel „Guide to human rights for Internet users“ verabschiedet. Derartige Empfehlungen sind für die Mitgliedstaaten nicht bindend, geben jedoch die Sichtweise der für die Verabschiedung erforderlichen Mehrheit der Mitgliedstaaten wieder.
Die Empfehlung ist zweigeteilt. Zu Beginn richtet sie sich mit Forderungen an die Mitgliedstaaten. Der zweite Teil stellt den eigentlichen Leitfaden für die Bürger dar.

Empfehlungen an Mitgliedstaaten
Das Ministerkomitee stellt zunächst klar, dass die in der Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK) aufgestellten Rechte und Freiheiten sowohl offline als auch online gelten.

Zudem besitzen die Mitgliedstaaten im Rahmen der Wahrung des Schutzes der Menschenrechte auch die Pflicht, die Aufsicht über private Unternehmen auszuüben. Privatrechtliche Vereinbarungen müssen sich an den durch die Grundrechte aufgestellten Prinzipien messen lassen.

Das Internet besitzt besonderen Wert als öffentliches Gut. Bürger besitzen ein berechtigtes Interesse, das Internet ohne diskriminierende Einschränkungen, sicher und zuverlässig nutzen zu können.

Bürger sollten Unterstützung erhalten, wie sie ihre Menschenrechte online wirksam ausüben könne. Hierzu gehöre auch der Zugang zu wirksamen Rechtsschutzmöglichkeiten, wenn ihre Rechte und Freiheiten eingeschränkt wurden.

Für die Sicherstellung der gleichwertigen Geltung von Menschenrechten auch im Internet empfiehlt das Ministerkomitee den Mitgliedstaaten:

  • Die Umsetzung und Anwendung des Leitfadens der Menschenrechte für Internetnutzer unter den Bürgern, den öffentlichen Stellen und den privaten Unternehmen zu fördern und konkrete Maßnahmen für seine Anwendung durchzuführen;
  • Kontinuierlich Einschränkungen von Menschenrechten im Internet zu überwachen, zu prüfen und auch aufzuheben, wenn diese nicht im Einklang mit den Vorgaben der EMRK im Lichte der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) stehen;
  • Sicherzustellen, das Internetnutzer Zugang zu wirksamen Rechtsschutzmöglichkeiten besitzen, wenn ihre Rechte eingeschränkt wurden. Dies erfordere eine Koordinierung und Zusammenarbeit der relevanten Einrichtungen. Zudem müsse eine Zusammenarbeit mit der privaten Wirtschaft und Bürgerrechtsorganisationen stattfinden.
  • Auch mit Staaten zusammenzuarbeiten, die nicht Mitglied des Europarates sind, um Maßstäbe und Verfahren zu entwickeln, die Einfluss auf den Schutz der Rechte und Freiheiten im Internet besitzen.
  • Private Unternehmen zu unterstützen und zu fördern, im Rahmen ihrer unternehmerische Gesellschaftsverantwortung in einen Dialog mit staatlichen Behörden und der Zivilgesellschaft zu treten.

Leitfaden der Menschenrechte von Internetnutzern
In dem Leitfaden selbst werden den Bürgern Informationen zu verschiedenen Menschenrechten (etwa Meinungsfreiheit, Zugang zu Informationen, Versammlungsfreiheit etc.), jeweils mit Bezug zum Internet, gegeben. Beispielhaft sei hier das Recht auf Schutz des Privatlebens (Art. 8 EMRK) genannt. Dessen Schutzbereich umfasst auch den Schutz personenbezogener Daten (zu dem Schutzumfang der EMRK und im Vergleich hierzu durch die Charta der Grundrechte der Europäischen Union hatte ich bereits einmal etwas geschrieben). Der Leitfaden weist darauf hin, dass eine Nutzung des Internets grundsätzlich mit einer Verarbeitung personenbezogener Daten einhergeht. Die Verarbeitung darf jedoch nur auf der Grundlage eines Gesetzes oder einer Einwilligung erfolgen. Zudem dürfe der Bürger nicht Gegenstand einer ständigen Überwachungsmaßnahme sein. Bei einer Einschränkung dieses Rechts, etwa zum Zwecke der Kriminalitätsbekämpfung, muss der Bürger über die Grundlagen des Eingriffs und seine Rechtsschutzmöglichkeiten informiert werden. Auch am Arbeitsplatz müsse die Privatsphäre des Bürgers beachtet werden. Überwachungsmaßnahmen durch den Arbeitgeber müssten vorher mitgeteilt werden.

Fazit
Der verabschiedete Leitfaden ist absolut begrüßenswert. Er versucht in einer möglichst bürgernahen und unjuristischen Sprache über die Rechte im Internet aufzuklären und sollte jedem interessierten Bürger als Informationsquelle dienen. Abgesehen von dem Leitfaden selbst, sind die Empfehlungen an die Mitgliedstaaten ebenfalls nicht uninteressant. Insbesondere das Votum für eine engere Einbeziehung des privaten Sektors in Form einer geminsamen Zusammenarbeit mit staatlichen Stellen zum Nutzen der Bürger fällt deutlich aus und ist meines Erachtens auch ein richtiger Weg.