11 Einführung

Der europäische Datenschutz steht unter Reformdruck. Der Druck hat sich durch die Spähaktionen der National Securi-ty Agency (NSA) in den USA und europäischer Geheimdienste wie dem Government Communications Headquarters (GCHQ) in England, aber auch des Bundesnachrichtendienstes (BND) in Deutschland verschärft. Die Enthüllungen des ehemaligen NSA-Mitarbeiters Edward Snowden haben nicht nur ein brisantes In-formationsleck bei den Diensten offengelegt. Mehr noch belegen die Dokumente des Whistleblowers Snowden auch die Überwa-chungsaktivitäten der NSA: „ [...] the NSA keeps track of phone calls, monitors communications, and analyzes people s thoughts through data mining of Google searches and other online activ-ity”.2 Es ist fraglich, ob und inwieweit die Abhöraktionen zum Zweck der Terrorismus-Bekämpfung legal und verhältnismäßig sind.

Es besteht kein Zweifel, dass der für die geheime Kontrolle3 der Auslandsaufklärung zuständige Foreign Intelligence Surveillan-ce Court (FISC)4 in den USA, der nach dem zugrundeliegenden Gesetz des Foreign Intelligence Surveillance Act (FISA) auch als Court FISA bezeichnet wird, die großen Internet- und Telekom-munikationsbetreiber wie Google oder Verizon in die Überwa-chung einbezogen und die heimliche Herausgabe der Verkehrsda-ten verlangt hat. Dagegen hat sich etwa Verizon inzwischen er-

1 Zum Thema „Datenschutz 2013“ siehe auch den Tagungsbericht zum Köl-ner Datenschutztag 2013 (unter Report in diesem Heft).

2 James Bamford: What the NSA Really Knows, The New York Re-view of Books, August 15 – September 25, 2013. Vol. LX, Number 13. S. 4; s.a. Spiekermann in: Die Zeit, unter http://www.zeit.de/2013/42/datenschutzrecht-europa-buergerrechte.

3 Dazu kritisch Tinnefeld, ZD-Aktuell 2013, 03164 (Arcana des FISA Court und rechtsstaatliche Gerichtsöffentlichkeit).

4 Vgl. 50 USC § 1861(c)(2)(C).

folgreich gewehrt und eine Offenlegung der Spähaktionen auch gegenüber betroffenen Bürgern verlangt.5

Zwar sind die USA keine totalitäre Gesellschaft. Doch trifft das niederschmetternde Urteil über deren Geheimdienst zu, welches nicht etwa ein europäischer, sondern der amerikanische Journa-list und Jurist James Bamford fällt – einer der profundesten Ken-ner des US-Geheimdienstes NSA. Bamford fordert, dass Überwa-chungs-Technologien wie etwa PRISM und XKeyscore (XKS) in den USA oder Tempora in England, die geeignet sind, eine tota-le Tyrannei zu schaffen, nur gesetzmäßig und unter der Kontrol-le unabhängiger Aufsichtsbehörden eingesetzt werden dürfen, so dass wir nicht in einen Abgrund stürzen: „[...] so that we never cross the abyss. That is the abyss from which there is no return.”6

An dieser Stelle sei auf den Thriller „Blackout“ hingewiesen, der die Geschichte eines Cyberterroranschlags auf den europäi-schen Stromnetzverbund durch Ausnutzung von IT-Schwachstel-len in einem technisch realistischen Szenario zeigt.7 Der Autor Marc Elsberg führt die Einstellungen der Verantwortlichen in Staat und Wirtschaft vor Augen, die zunächst die Gefährdung der Stromversorgung trotz Warnungen nicht wahrhaben wollen, den Informanten nicht ernst nehmen, ihn gar selbst unter Ver-dacht stellen. Das hat zur Folge, dass der Ausfall des weitflächi-gen Stromverbundes zu einem Abbrechen notwendiger Energie-zufuhr und zu fatalen Folgen in der Gesellschaft führt. Aus den dadurch bedingten Verunsicherungen der Menschen entstehen Gewalthandlungen in der Gesellschaft.

Ähnliche Folgen lassen sich hinsichtlich einer totalen Überwa-chung voraussagen. Sie würde Privatsphären und kommunika-tive Freiheitsrechte wie das Telekommunikationsgeheimnis zer-stören und damit die Zivilgesellschaft in den Abgrund drängen. Daher ist die warnende Information des Whistleblowers Snow-den über grenzenlose Überwachungsaktivitäten von Geheim-diensten für die Intervention von Krisenstäben, für betroffene Bürger oder Bürgergruppen8, also für eine Öffentlichkeitsbetei-ligung9 erforderlich.10

In diesem Zusammenhang sei an einen anderen wichtigen Whistleblower erinnert: Daniel Ellsberg hat durch die Veröf-fentlichung der Pentagon-Papiere maßgeblich dazu beigetragen,

5 Tinnefeld, ZD 11/2013 (im Erscheinen).6 Bamford (Fn. 2), S. 7.7 Marc Elsberg, Blackout. Morgen ist es zu spät, 2012.8 Spiegel-Online, www.spiegel.de/kultur/gesellschaft/0,1518,913178,00.html.9 Zum Begriff vgl. Jan Ziekow, Gutachten D zum 69. Deutschen Juristentag,

2012, S.13 f. 10 Zur Bedeutung von Whistleblowern für den investigativen Journalismus vgl.

Tinnefeld/Buchner/Petri, Einführung in das Datenschutzrecht, 5. Aufl. 2012, S.16 f.

Prof. Dr. iur. utr. Marie-Theres Tinnefeld

Publizistin mit dem Schwerpunkt Informationsrecht und europäische Rechtskultur

E-Mail: tinnefeld@cs.hm.edu

Marie-Theres Tinnefeld

Datenschutz 2013

Die Spähaktionen weltweit agierender Geheimdienste haben Schockwellen in der Zivilgesellschaft ausgelöst. Die geheimen Informationsmonopole der Dienste machen eine Aufklärung ihrer Tätigkeit und völkerrechtlich verankerte Datenschutzregelungen erforderlich.1

772 DuD • Datenschutz und Datensicherheit 12 | 2013

SCHWERPUNKT

dass sich die amerikanische Öffentlichkeit gegen den Vietnam-krieg wandte. Die Papiere zeigten, wie die amerikanische Öffent-lichkeit durch die Johnson-Administration getäuscht und in den Krieg getrieben wurde.11

Wir brauchen eine politische Debatte über die Konsequenzen der millionenfachen Telekommunikations-Überwachung, des Abgreifens von Verkehrsdaten, aber auch von Inhaltsdaten durch volles „Kopieren“ aller Nutzerdaten bei Unterwasser-Glasfaser-Kabeln.12 Verschlüsselte Inhaltsdaten dürfen „nur“ dann, wenn der Nutzer etwa unter Verdacht terroristischer oder anderer kri-mineller Aktivitäten steht, entschlüsselt werden. Die Verschlüs-selung sollte aus datenschutzrechtlicher Sicht zunächst einmal der „Normalzustand“ sein. Andernfalls würden auch partizipa-tive Bürgerrechte verloren gehen, die durch transparentes Regie-rungshandeln und einen wirksamen Datenschutz gesichert wer-den können.

Die deutschen Geheimdienste arbeiten seit langem mit der NSA zusammen, teilweise noch aufgrund alter Verträge mit den Alli-ierten, die abgelöst werden müssen.13 Im Zusammenhang mit der globalen Telekommunikationsüberwachung soll hier die Tätig-keit des BND, die in den kritischen Fokus der Medien und Bür-gerrechtler geraten ist, zumindest kurz beleuchtet werden. Zu den Schlagzeilen gehört: „BND belauscht Internetverkehr von 25 In-ternet-Providern“.14

Es ist insbesondere fraglich, ob die strategische Überwachung des Auslands-Telekommunikationsverkehrs (z.B. E-Mails) mit-tels zentraler Suchbegriffe durch den BND auf einer verfassungs-mäßigen gesetzlichen Grundlage im Sinne des Gesetzes zur Be-schränkung des Brief-, Post- und Fernmeldegeheimnisses (G 10) erfolgt.15 Das Grundrecht aus Art. 10 Abs. 1 GG ist in Verbindung mit Art. 3 Abs. 1 GG nicht nur ein Grundrecht für Deutsche.16 Der § 5 Abs. 2 Satz 3 G 10 ist verfassungswidrig, weil in der Norm nur die Erfassung von Anschlüssen mit Auslandsbezug geregelt ist, deren Inhaber oder regelmäßige Nutzer deutsche Staatange-

11 Tinnefeld, DuD 2012, 893.12 Wiretapping in Form eines Querschnitts durch Glasfaserbündel und Ein-

bau einer Muffe. Verlauf: 1. Durchleitung der Signale pro Faser, Abgreifen spe-zieller Informationen gemäß Suchmaske/Puffergröße; 2. volles Kopieren al-ler Nutzerdaten an den Küstenknoten, die wenig oder gar nicht bewacht sind. Nach Ausführungen des Informatikers Uwe Brobeil vom 21.10.2013 geben Spie-gelveröffentlichungen, die von Snowden gebrieft sind, Aufschluss über die Ab-hörmethoden der NSA. Danach hat „die NSA entweder eine Backdoor, was ein versteckter Zugang zu einer Applikation sein kann oder besitzt einen generel-len Schlüssel für einen Algorithmus. Denn es ist nur ein Unternehmen bekannt, das eine Zusammenarbeit mit NSA abgelehnt hat. Wenn ich jetzt noch ein Pro-fil von den Kommunikationsteilnehmer sammle, dann kann ich mit vertretbarem Aufwand über den verwendeten Dienst im Datenstrom die verwendete Appli-kation zuordnen. Kommunikationsteilnehmer müssen auch bei verschlüssel-ten Strömen offen sein, da sonst eine Weiterleitung nicht möglich ist. Wenn man jetzt noch den Datenstrom duplizieren kann, ist ohne Verlust eine Analyse in Ru-he möglich. Bei interkontinentalen Verbindungen habe ich immer eine Chance, mich dazwischen zu hauen, da ein Kupferkabel per Tapping (Klammer ins Kabel hinein) ohne Aufwand eine Kopie gezogen werden kann. Bei Glas geht das nicht so einfach, jedoch ist ein Kabelbruch, den man in kurzer Zeit wieder überbrückt, nicht erkennbar, da ein Verlust von Paketen normal ist. Oder man holt sich die Ko-pie auf einem Router und dupliziert dort alle eingehenden Kabel.

13 Forschepoth, Überwachtes Deutschland. Post- und Telefonüberwachung in der alten Bundesrepublik, 2. Auflage 2013, S. 213 ff.

14 Siehe heise-online, http://www.heise.de/newsticker/meldung/Bericht-BND-belauscht-Internetverkehr-von-25-Internet-Providern-1973142.html?wt_mc=sm.feed.tw.ho; s.a. den Spiegel 41/2013. http://www.spiegel.de/spiegel/vorab/bnd-laesst-sich-abhoeren-von-verbindungen-deutscher-provider-geneh-migen-a-926221.html.

15 Zur strategischen Rasterfahndung des Bundesnachrichtendienstes, ihren Eingriffsbefugnissen und Regelungsdefiziten vgl. Huber, NJW 2013, 572.

16 Sinngemäß BVerfGE 100, 313, 363 f.

hörige sind.17 Das im G 10 festgelegte Verbot gezielter Erfassung bestimmter Telekommunikationsanschlüsse (§ 5 Abs. 2 Satz 2 G 10) muss sich auch auf Ausländer im Ausland erstrecken.

Außer der Überwachung nach dem G 10 erfolgt die Fernmelde-aufklärung des „offenen Himmels“ (via Funk bzw. Satellit) durch den BND und das Verwerten hierbei erlangter einschlägiger In-formationen auf der Grundlage des BND-Gesetzes (§§ 1 Abs. 2 und 2 Abs. 1 BNDG), sofern es sich um Vorgänge im Ausland handelt, „die von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik Deutschland sind, wenn sie nur auf die-se Weise zu erlangen sind und für ihre Erhebung keine andere Behörde zuständig ist“ (§ 2 Abs. 1 Nr. 4 BNDG). Auch in diesem Zusammenhang ist davon auszugehen, dass die deutsche Staats-gewalt bei extraterritorialem Handeln an Art. 10 Abs. 1 GG ge-bunden ist, so dass auch Ausländern der grundrechtliche Schutz bei einer strategischen Überwachung nach dem BND-Gesetz zukommen muss. Da die grundrechtlichen Bindungen an Art. 10 Abs. 1 GG im BND-Gesetz fehlen, dürfte auch diese Rechts-grundlage verfassungswidrig sein.18 Außerdem ist es verfassungs-mäßig geboten, eine unabhängige Kontrollinstanz einzuführen.

Anders als in der G 10-Kommission wird die Überwachung des „offenen Himmels“ durch das geheim tagende Parlamenta-rische Kontrollgremium des Deutschen Bundestags kontrolliert.

Die Bundesjustizministerin Leutheusser-Schnarrenberger for-dert eine Reform der Geheimdienstkontrolle: „Geheimdienste arbeiten grenzüberschreitend und müssen grenzüberschreitend kontrolliert werden.“19 Die Rechtsetzungsorgane der EU können allerdings nur im Rahmen einer ausdrücklichen Kompetenzzu-weisung tätig werden und entsprechende Einrichtungen schaf-fen.20

2 EU-Datenschutz

Der Schutz der Telekommunikation ist primärrechtlich in der EU-Grundrechte-Charta (EGRC) in Art. 7 EGRC und in Art. 8 EGRC geregelt. Beide Normen basieren auf Art. 8 EMRK. Da-nach ist das Recht auf Privatsphäre einschließlich der Familie und Wohnung, der Korrespondenz bzw. Telekommunikation ein Menschenrecht, das auch im Hinblick auf eine entsprechen-de personenbezogene Datenverarbeitung zu schützen ist.

Aufgrund von Art. 16 Abs. 2 AEUV sind Gesetzgebungsor-gane der EU ermächtigt, Verordnungen oder Richtlinien im Be-reich des Datenschutzes zu erlassen, „die in den Anwendungsbe-reich des Unionsrechts fallen, und über den freien Datenverkehr“. Die Frage ist, ob Geheimdienste vom supranationalen EU-Recht erfasst werden können. Diese Problematik ist nach den Massen-überwachungen im Rahmen der Neuordnung der geplanten da-tenschutzrechtlichen Regelungen aktuell geworden. Der Bericht-erstatter des Europäischen Parlaments, Jan Philipp Albrecht, be-tont, dass sowohl die geplante EU-DS-GVO21 als auch die geplante

17 Huber (Fn. 15), S. 572 m.w.N. 18 Huber (Fn. 15) m.w.N.19 Spiegel Online, www.spiegel.de/politik/deutschland/bundesjustizminis-

terin-fordert-reform-der-geheimdienstkontrolle-a-913337.html. 20 Dazu Tinnefeld/Buchner/Petri (Fn. 10), S. 84 ff.21 Vorschlag der Europäischen Kommission für eine Verordnung des Europäi-

schen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verar-beitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) vom 25.1.2012, KOM(2012) 11 endgültig sowie Entwurf eines Berichts über den Vorschlag für eine Verordnung des Europäischen Parlaments

DuD • Datenschutz und Datensicherheit 12 | 2013 773

SCHWERPUNKT

EU-Richtlinie, die die Datenverarbeitung zum Zwecke der Straf-verfolgung und der Polizei22 regeln soll, vor der nächsten Euro-pawahl 2014 verabschiedet werden sollen.23

Der Anwendungsbereich der polizeilichen Zusammenarbeit umfasst nur die Tätigkeit von Geheimdiensten, soweit sie polizei-liche Aufgaben wahrnehmen (Art. 87 Abs. 1 AEUV). In Deutsch-land besteht grundsätzlich ein Trennungsgebot zwischen Polizei und Nachrichtendiensten, das es in anderen europäischen Län-dern so nicht gibt.24 Allerdings werden auch andere europäische Geheimdienste mit Rücksicht auf ihre Traditionen teilweise aus dem Anwendungsbereich des sekundären Unionsrechts heraus-genommen.25

Die Trennung von polizeilicher Exekutivgewalt und nachrich-tendienstlichen Informationssammlungen in Deutschland soll-te auch zukünftig ihren hohen Stellenwert behalten und nicht im Wege des Antiterrorkampfes unter dem Motto „um Schlimme-res zu verhindern“ auf der Strecke bleiben.26 Hier sei der EGMR aus dem Jahr 1978 im Fall Klass gegen Deutschland zitiert, wo-nach unter dem Gesichtspunkt der Grundrechte „die Vertrags-staaten nicht im Namen des Kampfes gegen Spionage und Ter-rorismus zu jedweder Maßnahme greifen dürfen, die ihnen ge-eignet erscheint“.27

Angesichts der millionenfachen Überwachung von Telefonver-bindungen durch die NSA, aber auch durch andere Geheimdiens-te, erscheint ein internationales Datenschutzabkommen erforder-lich, das globale Standards zum Schutz der Telekommunikati-on und zum Schutz personenbezogener Daten bestimmt, wie sie im Internationalen Pakt über bürgerliche und politische Rechte (IPbpR) angelegt sind.

3 Völkerrechtliche Verankerung der Rechte auf Privatheit und Kommunikation

Die EMRK hat den Charakter eines regionalen Völkerrechts.28 Der Radius des IPbpR hat dagegen eine weltweite Dimension. Der Pakt beinhaltet verbindliche völkerrechtliche Verträge für die Staaten, die Vertragsparteien sind (Art. 2 Abs. 1 IPbpR). Diese

und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personen-bezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) vom 16.1.2013, 2012/0011 (COD).

22 Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Da-ten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, KOM(2012) 010 endgültig.

23 Albrecht, DuD 2013, 655 f. 24 Zum Prinzip der Trennung von Polizei und Nachrichtendiensten vgl. Pe-

tri, Handbuch des Polizeirechts, 5. Auflage 2012, Rdnr. 467. Der Kern des Tren-nungsgebotes zeigt sich auch in den Befugnisnormen. So heißt es in § 8 Abs. 3 BVerfSchG im Anschluss an den Polizeibrief der alliierten Militärgouverneure: „This agency shall have no police authority.“, s. Nachweis bei Denninger, Recht in globaler Unordnung, 2003, S. 146.

25 Böse, in Schwarze (Hg.), EU-Komm., 3. Auflage 2012, AEUV Art. 87 Rdnr. 4. 26 Zum Problem der Antiterrordatei s. Tinnefeld/Petri, MMR 2006, Heft 11, S. V.27 EGMR, Urteil vom 18.11.1978, Klass gegen Deutschland, Serie A, Band 78,

Begründung Absatz 49.28 Der Geltungsbereich der EMRK (Art. 1 EMRK) ist „grundsätzlich territorial

begrenzt zu verstehen“, EGMR, NJW 2003, 413.

Staaten sind verpflichtet „privacy, family, home, correspondence, honour and reputation“ (Art. 17 Abs. 1 IPbpR) unter den Schutz ihrer Rechtsordnung zu stellen.29 Die Bestimmung beruht im We-sentlichen auf der Allgemeinen Erklärung der Menschenrechte von 1948, die „nur“ eine unverbindliche Empfehlung für die Un-terzeichnerstaaten enthält. Sie hat gleichwohl eine erhebliche po-litische Wirkung entfaltet.Nach Auffassung des UN-Menschenrechtsausschusses, der die Einhaltung des IPbpR überwacht (Art. 28 ff. IPbpR), gilt das uni-verselle Menschenrecht des Einzelnen auf Schutz seiner Privat-heit vor Beeinträchtigen durch den Staat und vor solchen durch natürliche und juristische Personen.30 Art. 17 Abs. 1 IPbpR ent-hält anders als etwa Art. 8 Abs. 2 EMRK keine Schrankenrege-lung, etwa im Interesse der nationalen Sicherheit.31 Er schützt je-dermann vor ungesetzlichen willkürlichen Eingriffen. Die ent-sprechende Auslegung der Bestimmung kann jedoch zu „einer dynamischen Interpretation“ führen.32 Fragen der Sicherheit auch im Internet können dabei durchaus eine Rolle spielen. Aufgrund der massiven globalen Spähaktionen von Geheimdiensten wäre es aber sinnvoll, ein Zusatzprotokoll zu Art. 17 IPbpR anzustre-ben, um die Tätigkeit der Geheimdienste konkret an die Men-schenrechte zu binden, insbesondere an die Achtung der Privat-heit und Anerkennung vertraulicher Telekommunikation. Aus Gründen der Datensicherheit wird die weitere Forderung, dass der Schutz bereits in der Technologie selbst angelegt wird, ent-scheidend sein. Vonnöten wäre ebenso eine normative Festle-gung, dass Informationstechnologien von unabhängigen Daten-schutzinstanzen auf ihre Vereinbarkeit mit dem Recht auf Privat-heit und vertrauliche Telekommunikation geprüft werden, bevor sie auf den Markt kommen.

4 Fazit

Die Datenschutzdebatte wird bestimmt von der Forderung nach einem wirkkräftigen Datenschutzniveau, das sich auch global realisieren lässt. Globale Spähaktionen von Geheimdiensten kön-nen allerdings nicht im Rahmen eines regionalen Völkerrechts, sondern nur global, etwa durch ein Zusatzprotokoll im IPbpR nachhaltig geregelt werden. Zudem ist eine Sicherheitsstruktur gefragt, die sich auf konkrete Gefahren bezieht und nicht jeden (unbescholtenen) Bürger unter Terrorismusverdacht stellen kann. Im Kern geht es also um eine Freiheitsarchitektur, die im öffent-lichen und privaten Bereich universelle Menschenrechte wie die Rechte auf Privatheit und vertrauliche Telekommunikation ach-tet.

29 Zum Charakter von Art. 17 Abs. 1 IPbpR als Abwehrrecht und Schutzpflicht vgl. Schiedermair, Der Schutz des Privaten als internationales Grundrecht, 2012, S. 74 ff.

30 Vgl. General Comment No 16 v. 08/04/88 unter: www.2.ohchr.org/english/bodies/hrc/comments.htm.

31 Siehe die umfängliche Schrankenregelung in Art. 8 Abs. 2 EMRK: „There shall be no interference by a public autority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interest of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others.”

32 Schiedermair (Fn. 29), S. 80 f.

774 DuD • Datenschutz und Datensicherheit 12 | 2013

SCHWERPUNKT