Dr. Daniel Neuhöfer, LL.M., Köln, 19. März 2014 Unsicheres Internet staatlich verordnet? Spagat zwischen Vertrauen und Sicherheit das Wissen staatlicher Stellen
Übersicht I. Datenschutz warum und weshalb? II. Datenzugriff durch inländische Behörden III. Datenzugriff durch ausländische Behörden IV. Zwischenstaatliche Datenübermittlung 2
I. Datenschutz warum und weshalb? These: Freiheit und Sicherheit bedingen einander Ohne Sicherheit keine Freiheit Ohne Freiheit keine Sicherheit Schlussfolgerungen Es ist stets eine Abwägung zu treffen: Wie stark darf der Staat im Interesse der Sicherheit in die Freiheiten des Einzelnen eingreifen? Maßnahmen müssen tatsächlich geeignet und verhältnismäßig sein, um Sicherheit zu gewährleisten. Der Kerngehalt der Freiheit darf niemals angetastet werden. Effiziente staatliche Maßnahmen sind zum Schutz der freiheitlichen Gesellschaft notwendig. 3
I. Datenschutz warum und weshalb? Datenschutz: Informationelle Selbstbestimmung als Freiheitsgrundrecht (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG) Grundsatzentscheidung des BVerfG ( Volkszählungsurteil, 1983, BVerfGE 65, 1 ff.) mit folgender Kernaussage: Individuelle Selbstbestimmung setzt [ ] - auch unter den Bedingungen moderner Informationsverarbeitungstechnologien - voraus, dass dem Einzelnen Entscheidungsfreiheit über vorzunehmende oder zu unterlassende Handlungen einschließlich der Möglichkeit gegeben ist, sich auch entsprechend dieser Entscheidung tatsächlich zu verhalten. 4
I. Datenschutz warum und weshalb? Erläuterung des Bundesverfassungsgerichts: Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist. 5
II. Datenzugriff durch inländische Behörden Präventive Polizei- und Geheimdiensttätigkeit Landes- und bundespolizeiliche Tätigkeit zur Gefahrenabwehr Geheimdiensttätigkeit Landesverfassungsschutzbehörden Bundesverfassungsschutz Bundesnachrichtendienst Militärischer Abschirmdienst Zollfahndungsdienst 6
II. Datenzugriff durch inländische Behörden Strafverfolgungstätigkeit Strafverfolgungsbehörden (insbes. Staatsanwaltschaft und Polizei) nach Maßgabe der Strafprozessordnung (StPO) Vielfach Doppelfunktion: Polizeibehörden, Zollfahndungsdienst sind auch zur Aufklärung von Straftaten zuständig Gefahr: Vermischung von Eingriffsbefugnissen Sonstige behördliche Ermittlungstätigkeit Insbesondere Aufsichtsbehörden, z. B.: Bundesanstalt für Finanzdienstleistungen (BaFin) Datenschutzaufsichtsbehörden 7
III. Datenzugriff durch ausländische Behörden Grundsatz: Vorrang des Völkerrechts Kurzformel: Das Völkerrecht regelt das rechtliche Verhältnis von Völkerrechtssubjekten (meist Staaten) zueinander. Grundsatz: Souveränität innerhalb des eigenen Staatsgebietes Die Rechtsordnung eines jeden Staates ist in territorialer Hinsicht zu respektieren. Eingriffe ausländischer Staaten sind unzulässig. Tatsächlich: Überschreiten territorialer Grenzen durch staatliche (Geheimdienst-)Tätigkeit Prominentester Fall dank Edward Snowden: USA durch PRISM-Programm der NSA Aber auch viele andere Staaten verfügen über ein eigenes Überwachungsregime 8
III. Datenzugriff durch ausländische Behörden Beispiel: Zugriffsmöglichkeiten nach US-Recht Beispiele gesetzlicher Überwachungsgrundlagen Foreign Intelligence Surveillance Act (FISA) NSA/PRISM-Gesetz Sec. 702: Targetting von Zielpersonen zu Ermittlungszwecken = Analyse der gesamten Kommunikation mit einer Zielperson bzw. der Kommunikation von Dritten über diese Zielperson Maßnahmen nicht absichtlich gegen US-Bürger bzw. sich in den USA aufhaltende Personen richten. Sec. 215: Herausgabe von any tangible things (auch Serverdaten) im Rahmen von Terrorismus-/Spionageermittlungen aufgrund Gerichtsbeschluss. Der Anordnungsempfänger kann durch gag order zu Verschwiegenheit verpflichtet werden. Electronic Communications Privacy Act (ECPA) Durch gerichtlichen Durchsuchungsbeschluss nach US- Strafprozessordnung kann gespeicherte Kommunikation überwacht werden. Ist die Kommunikation älter als 180 Tage, genügt u. U. nur eine behördliche Anordnung. National Security Letters (NSL) Ohne Gerichtsbeschluss können Behörden zu Zwecken der nationalen Sicherheit Bestandsdaten von Kunden bestimmter Unternehmen wie Banken, Finanzdienstleistern oder Wirtschaftsauskunfteien abfragen. Das FBI kann sogar gegenüber Internet Service Providers derartige Anordnungen erlassen. 9
III. Datenzugriff durch ausländische Behörden Beispiel: Zugriffsmöglichkeiten nach US-Recht Territorialer Anwendungsbereich (sehr weit!) Unternehmenssitz in den USA, Mutter- oder Schwesterunternehmen in den USA, Niederlassungen oder Büros in den USA oder kontinuierliches und systematisches Betreiben von Geschäften in den USA. Schutzmöglichkeit für deutsche Unternehmen? Nutzung von Cloud -Diensten ohne jeden Mindestkontakt in die USA. Dann nur Datenübermittlung aufgrund Rechtshilfeersuchen nach deutschem Recht. Völliger Ausschluss eines Datenübermittlungsrisikos an die USA ist nicht möglich. 10
IV. Zwischenstaatliche Datenübermittlung Im Strafverfahren: Rechtshilfeersuchen als Normalfall D. h., ein anderer Staat setzt die vom ersuchenden Staat beantragte Maßnahme wie z. B. den Zugriff auf einen Datenserver um. Geheimdienste Die Übermittlung von Daten von deutschen Geheimdiensten an ausländische Behörden ist grundsätzlich im Rahmen der Verhältnismäßigkeit zulässig (BVerfGE 110, 313 ff.). Gesetzliche Grundlagen bietet für Geheimdienste insbes. das Art.10- Gesetz, BND-Gesetz, BVerfSchG (hiernach grds. ausreichend: Erforderlichkeit zur Erfüllung von Aufgaben des Empfängers oder zur Wahrung erheblicher Sicherheitsinteressen des Empfängers). Inwieweit ausländische Behörden an deutsche Stellen Informationen weitergeben, bestimmt sich nach dem für sie geltenden Recht. Aber tatsächlich gibt es offenbar Geheimabkommen zur Regelung von Geheimdiensttätigkeit (vgl. nur Memorandum of Agreement zur gemeinsamen Fernmeldeaufklärung von NSA und BND in Bad Aibling (Bayern)). Frage: Wären Informationen eines ausländischen Geheimdienstes im Strafverfahren verwertbar? Wenn der ausländische Staat zustimmt und die Beweismittel nach dortigem Recht legal gewonnen wurden, dürfte dem nichts im Wege stehen (Beispiel: BGHSt 34, 334). Ein anderes Ergebnis ist aber denkbar, wenn das ausländische Recht deutsche Grundrechte elementar außer Acht lässt. 11
Meine Frage an Sie: Sind Sie mit Frau Merkel einer Meinung? Seit jeher stehen Freiheit und Sicherheit in einem gewissen Konflikt zueinander. Sie müssen durch Recht und Gesetz immer wieder in der Balance gehalten werden. Regierungserklärung der Bundeskanzlerin vom 29.01.2014 im Deutschen Bundestag. Quelle: Wikipedia 12
Vielen Dank für Ihre Aufmerksamkeit Ihr Ansprechpartner Dr. Daniel Neuhöfer, LL.M. Willy-Brandt-Allee 11, 53113 Bonn Tel +49 228 72625-0 Fax +49 228 72625-99 neuhoefer@redeker.de www.redeker.de Berlin Bonn Brüssel Leipzig London München Rechtsanwälte, Partnerschaftsgesellschaft mbb, Sitz Bonn, Essen PR 1947
www.redeker.de Berlin Leipziger Platz 3, 10117 Berlin Tel +49 30 885665-0, Fax +49 30 885665-99, berlin@redeker.de Bonn Willy-Brandt-Allee 11, 53113 Bonn Tel +49 228 72625-0, Fax +49 228 72625-99, bonn@redeker.de Brüssel 172, Av. de Cortenbergh, 1000 Brüssel Tel +32 2 74003-20, Fax +32 2 74003-29, bruessel@redeker.de Leipzig Mozartstraße 10, 04107 Leipzig Tel +49 341 21378-0, Fax +49 341 21378-30, leipzig@redeker.de London 265 Strand, London WC2R 1BH Tel +44 20 706723 00, Fax +44 20 743003 06, london@redeker.de München Maffeistraße 4, 80333 München Tel +49 89 2420678-0, Fax +49 89 2420678-69, muenchen@redeker.de Rechtsanwälte, Partnerschaftsgesellschaft mbb, Sitz Bonn, Essen PR 1947