Datenschutz in Deutschland und in der EU

Die Datenschutzrichtlinie 95/46/EG (DSRL)

Bereits 1975 vom europäischen Parlament im Rahmen der europäischen Datenströme gefordert und erst 1992 als Maßnahme vorgestellt, schliesslich 1995 verabschiedet mit dem Ziel eine bürgerrechtliche Sicherung zu etablieren.

Richtlinien geben gemäß Art. 288 AEUV / 249 EG das zu erreichende Harmonisierungsniveau in den Mitgliedsstaaten vor, Spielräume in der Umsetzung ins jeweilige nationale Recht sind vorhanden.

Bereits im Art. 1 Abs. 2 schreibt die DSRL vor dass der freie Verkehr von personenbezogenen Daten aus Gründen des Datenschutzes beschränkt werden darf. Somit ist das Herzstück der Richtlinie - die Schaffung eines europäischen Datenverkehrs, u.a. nach den Gesichtspunkten der Datenqualität und Zulässigkeit der Datenverarbeitung.

Die DSLR findet keine Anwendung bei der Verarbeitung von Daten die den privaten Schriftverkehr betreffen. Unter keinen Umständen findet die DSLR bei Datenverarbeitungen Anwendung, welche die öffentliche Sicherheit, Verteidigung oder Sicherheit des Staats oder Tätigkeiten des Staats im Domaine Réservé angeht (Justiz und Polizei). In diesem Bereich greifen dann der in den Erklärungen 20 und 21 der Schlussakte von Lissabon festgelegter Rahmenbeschluss 2008/977/JI des Rates (vom 27.11.2008, ABI. EU 2008, L 350/60).

Nach Art. 8 der DSRL gibt es für besonders sensible Daten, beispielsweise Gesundheitsdaten sehr strikte Verarbeitungsbedingungen. Das hier ein Vollzugsdefizit gegeben ist, kann man sehr gut am Beispiel des "Medicoleaks" in Luxemburg sehen (Remesch, 2012).

Der Begriff Personenbezogene Daten umfasst in diesem Kontext alle Informationen die mit einer natürlichen Person in Verbindung gebracht werden können, wie etwa Video-, Audiomaterial, Fingerabdrücke, Schrift, Name, Adresse. Interessant ist hierbei die im Art. 6 Abs 1 lit. b beschriebene Zweckbindung. Eine nachträgliche Zweckänderung ist möglich, aber darf nicht dem ursprünglichen Zweck entgegen laufen. Im Transparenzgebot (Art. 11 Abs. 1 lit c) steht geschrieben, dass der Betroffene bei Beginn der Speicherung seiner Daten zu informieren ist, spätestens bei der Übermittlung an Dritte. Das dieses Transparenzgebotes in der Praxis in Deutschland so gut wie nie Anwendung findet, muss hier hoffentlich nicht noch anhand eines Beispiels veranschaulicht werden. Hier existiert also meiner Einschätzung nach eine potentielle Angriffsfläche seitens Bürgerrechtsorganisationen oder z.B. der Piratenpartei.

Gemäß Art. 12 lit. b DSLR hat der Betroffene hat das Recht zur Auskunft, Berichtigung oder die Löschung seiner Daten zu verlangen.

Die Wetiergabe an Drittländer ist nur dann erlaubt, wenn diese eine angemessene Datenschutzgesetzgebung implementiert haben. Zu dieen Staaten zählen etwa die Schweiz, Kanada oder Argentinien. Nicht dazu zählen die Vereinigten Staaten, aufgrund der stark inkonsistenten Datenschutztradition. An die USA werden widersprüchlicherweise dennoch personenbezogene Daten von EU Bürgern weitergereicht, dies ist im Safe-Harbor Prinzip festgelegt (2000/520/EG), ein auf Selbstregulierung der Wirtschaft basierendes System. Dies stellt einen umstrittenen Bruch mit europäischer Datenschutztradition dar.

Verfassungsrechtlicher Rahmen

Wie sieht es nun mit der deutschen Gesetzgebung aus? Schauen wir uns einmal den verfassungsrechtlichen Rechtsrahmen an. Hier hat das BVerfGE bereits 1983 in visionärer Urteilskraft, anlässlich der geplanten Volkszählung, dem Sammeln von Daten einen eindeutigen Riegel vorgeschoben. Die Informationelle Selbstbestimmung unterliegt darin, genau wie das Allgemeine Persönlichkeitsrecht einem Menschenwürdebezug durch Art. 1 Abs. 1 GG. Dieser Schutzbereich betrifft jede Form der Sammlung personenbezogener Daten. Es gilt laut Urteil auch Einschüchterungseffekte zu verhindern, die such das heimliche Sammeln von Daten entstehen. Solche Effekte würden das Handlungsvermögen der Bürger in einem auf freiheitliche und demokratische Prinzipien basierendem Staat, einschränken. Es ist weiterhin im BVerfG, Urt. v. 15.12. 1983 - 1 BvR 209/83 eindeutig festgelegt, dass eine Datensammlung auf Vorrat ohne zuvor festgelegten Zweck verboten ist.

In den folgenden Dekaden nach dem Volkszählungsurteil hat das Verfassungsgericht den Datenschutz weiter ausgebaut und gestärkt und eine Folge von Fehltritten der CDU oder SPD Regierungen abgewehrt.

  • Automatisierung der KFZ Kennzeichen Erfassung in Hessen und Schleswig-Holstein. - Schutz entfällt nicht aufgrund der öffentlichen Zugänglichkeit der Information. (BVerfG, Urt. v. 11.3.2008 - 1 BvR 2074/05)

  • Staat muss Private vor anderen Privaten vor Datenschutzgefährdungen schützen. (BVerfG, Beschl. v. 23.10.2006 - 1 BvR 2072/02)

  • Rasterfahndung - Grundrechtseingriff sehr hoch, aufgrund der Verdachtslosigkeit und der hohen Streubreite. Eingriff nur bei konkreter Gefahr auf innere Sicherheit anwendbar (BVerfG Beschl. v. 4.4.2006 - 1 BvR 518/02).

  • Videoüberwachung im bayrischen Datenschutzgesetz wurde im Hinblick auf Anlass, Zweck und Grenzen des Eingriffes nicht präzise und bereichsspezifisch genug festgelegt - Es liegt eine Grundrechtswidrige Unbestimmtheit vor (BVerfG, Beschl. v. 23.2.2007 u. 13.6.2007).

Aufgrund dieser verfassungsrechtlichen Rahmenbedingungen konnten wir in Deutschland einen Verrechtlichungsschub feststellen, d.h. die Unübersichtlichkeit der vielen gesetzlichen Regelungen stehen im krassen Gegensatz zum genauso wichtigen Transparenzgebot. Ebenso findet das Transparenzgebot bei privaten Verbraucherverträgen anwendung, so sieht die Rechtssprechung des EuGH eine Umsetzung der Richtlinien in Verbraucherverträgen vor (EuGH Slg. 2001, S. 3541). In der Praxis findet das Transparenzgebot beispielswese hinsichtlich der Speicherung persönlichkeitsbezogenen Daten, wie beispielsweise bei Facbeook Irland, kaum Anwendung. Siehe hierzu: http://www.youtube.com/watch?v=lYDx0Z75rt4

  • Das Verfügungsrecht des Einzelnen am eigenen Bild unterliegt ebenso dem Art. 1 GG der unveräußerlichkeit der Menschenwürde - es ist "Wesensausdruck seiner Person" (Kühlung 2011). (BVergGE 120, 180)

  • Fernmeldegeheimnis. Nicht nur Inhalt sonder auch Umstand, sprich, ob, wann und wie oft Telekommunikationsverkehr stattgefunden hat, unterliegt dem Fernmeldegeheimnis (BVerfG, Urt. v. 2.3.2006). Ansonsten wäre der grundrechtliche Schutz unvollständig, Rückschlüsse auf Bewegungsdaten, Art und Intensität persönlicher und geschäftlicher Beziehungen wären möglich. Auch hierzu gibt es ein Urteil des Verfassungsgerichtes vom 2.3. 2006 - 2 BvR 2099/04, MMR 2006, 217 (219).

Ich hoffe es ist jedem spätestens bei letztem Stichpunkt ersichtlich geworden, das jegliche soziale Netzwerke die Millionen Deutsche so freizügig nutzen - Verfassungswidrig handeln. Es besteht hier meiner Meinung nach ein gewisser Angriffsvektor seitens Bürgerrechtsorganisationen oder der Piratenpartei, den es zu nutzen gilt - um die Diskrepanz zwischen dem Recht auf Informationelle Selbstbestimmung und der gegenwärtigen unerträglichen Ist-Situation in Deutschland und auch der ganzen EU zu beseitigen.

Leider schreibt das Bundesverfassungsgericht keinen allgemeinen Richtervorbehalt hinsichtlich des Zugriffes auf Telekommunikationsdaten durch Urheber vor. Hier ist der Rechtsrahmen etwas schwammig und es besteht Definitionsbedarf.

Vorratsdatenspeicherung

Obwohl es sich hier um Gemeinschaftsrecht (Rechtsordnung der EU) handelt, welches nicht der Prüfungskompetenz des BVerfG obliegt, sah sich das Gericht hier gezwungen zu handeln, da es einen starken Einschüchterungseffekt durch die VDS erkannte. Die damit verbunden Einschränkung in Privatheit und Freiheit des einzelnen sah das Gericht aber nur, wenn es zum Abruf der Daten kam. Es untersagt also nicht die Speicherung, sondern nur den Abruf, insofern dieser nicht eine Straftat nach § 100a Abs. 2 StPO zum Gegenstand hatte ( http://dejure.org/gesetze/StPO/100a.html ). Im Klartext, wenn es sich nicht um Mord und Totschlag oder Bandendiebstahl handelt und ein auf Tatsachen beruhender Verdacht nach Abs. 1 vorliegt, so ist der Abgriff der Vorratsdaten rechtswidrig. Ein Zugriff aufgrund von Urheberrechtsverletzungen scheidet somit eindeutig aus. Jeder der etwas anderes fordert, handelt also verfassungswidrig, sehr verehrte CDU, sehr verehrte GEMA.

Weiter noch, hat das BVerfG dann beschlossen, dass mehrere von der Regierung geschaffene Gesetze, z.b. §113a TKG eine Verletzung von Art. 10 Abs 1 GG, Fernmeldegeheimnis darstellen und nichtig sind. Das Bundesverfassungsgericht ordnete also die sofortige Löschung der Vorratsdaten an ( http://www.gesetze-im-internet.de/tkg2004/_113a.html ) .

Das Gericht betonte aber, die Implementierung der europäischen Richtlinie in nationales Recht könne auch Grundgesetzkonform verlaufen (Transparent, Rechtschutzmöglichkeiten, Veschlüsselung, gesichertes Zugriffsregime, Voraussetzung schwerer Straftat, Richtervorbehalt, Kontrolle der Datenverwendung) und mit der Erfüllung der Aufgaben der Nachrichtendienste legitime Zwecke verfolgen - somit wurde hier dem Gesetzgeber ein Türspalt geöffnet die Richtlinie doch noch auf anderem Wege in deutsches Recht zu implementieren.

Hier gilt es für uns Piraten aufzupassen und gegebenenfalls eine Änderung der europäischen VDS Richtlinie zu verfolgen - die früher oder später von der Bundesrepublik implementiert werden muss - auch um ironischerweise weitere Datensammlungen zu unterbinden, insofern keine Totalerfassung erfolgt (Roßnagel, NJW 2010, 1238 (1240) Hornung, Schnabel, DVBI. 2010, 834 (827)).

Eine weitere Hintertür wird der Verfolgung von Urheberrechtsverletzungen im Internet über das Ermitteln der dynamischen IP-Adresse eröffnet, es handele sich um behördliche Auskunftsansprüche für die kein Richtervorbehalt notwendig sei.

E-Mail Überwachung

Hier wird zwischen den Protokollen POP3 und IMAP Unterschieden um einzuordnen, ob der Telekommunikationsvorgang als abgeschlossen gilt. Wenn dem so ist, greift das TKG nicht mehr, sondern die informationelle Selbstbestimmung, ein Abgreifen von SMS direkt auf dem Handy des Einzelnen oder E-Mails auf einem privaten Rechner unterliegt also nicht mehr dem Schutze des Art. 10 Abs. 1 GG (Fernmeldegeheimnis), sonder Art 13 Abs. 1 GG (Unverletzlichkeit der Wohnung).

Abschließend hat das BVerfG die Persönlichkeitsrechte mit der Schaffung eines neuen Grundrechtes weiterhin gestärkt - dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme v. 27.2.2008. Es soll als neue Ausprägung des Allgemeinen Persönlichkeitsrecht aus Art. 1 Abs 1 GG vor Eingriffen in IT System schützen, wie etwa den heimlichen Online-Durchsuchungen in NRW durch den Verfassungsschutz ( https://www.datenschutzzentrum.de/grundrecht/neues-grundrecht.pdf ).

Ich hoffe die Ausführungen waren von Interesse. Ich werde den Artikel eventuell zu einer Serie machen und vor allem noch auf bereichspezifischen Datenschutz im Telemedienbereich und Telekommunikationsbereich eingehen.

Referenzen:

Kühling, Jürgen, Seidel, Christian and Anastasios Sivridis. Datenschutzrecht. (C.F. Müller, 2011), 23-51

Remesch, Steve. Wort.lu. "'Medicoleak': Zwei Hausdurchsuchungen". Last modified on 10.04.2012. http://www.wort.lu/de/view/medicoleak-zwei-hausdurchsuchungen-4f840480e4b0aa5210634f8d