Change language: Deutsch
Teilen:

EU-Generalanwalt fordert rücksichtslos die Aufweichung des Datenschutzes

Freiheit, Demokratie und Transparenz Juristisches

Dieser Text von Jesper Lund, Vorsitzender der dänischen NGO IT-Pol und Chloé Berthélémy, Senior Policy Advisor bei European Digital Rights ist zuerst erschienen am 16. November 2022 auf edri.org. Lizenz: CC-BY 4.0


Am 27. Oktober veröffentlichte Generalanwalt Maciej Szpunar am Gerichtshof der Europäischen Union (EuGH) seine Schlussanträge zum französischen HADOPI-System gegen Urheberrechtsverletzungen im Internet. Der Fall hat potenziell wichtige Auswirkungen auf die laufende politische Debatte über die Vorratsdatenspeicherung durch Privatunternehmen und den Zugriff von Strafverfolgungsbehörden auf diese Daten.

Kontext: HADOPI ist eine französische Behörde, zuständig für die Verbreitung von Werken und den Schutz von Rechten im Internet. Im Januar 2022 wurde HADOPI mit einer weiteren Behörde zur Aufsichtsbehörde für audiovisuelle und digitale Kommunikation (ARCOM) zusammengelegt.

Der HADOPI-Fall wurde von vier Verbänden, darunter der französischen EDRi-Mitgliedsorganisation La Quadrature du Net, vor Gericht gebracht.

Das Verfahren hat potenziell wichtige Auswirkungen auf die laufende politische Debatte über die Vorratsspeicherung von Telekommunikations- und Standortdaten durch private Unternehmen und den damit verbundenen Zugriff von Strafverfolgungsbehörden auf diese Daten. Besorgniserregend ist, dass der Generalanwalt in seiner nicht bindenden Stellungnahme, die aber die endgültige Entscheidung des Gerichtshofs beeinflussen wird, eine Neujustierung (“readjustment”) der Rechtsprechung fordert, die der EuGH im Laufe der Jahre zum Schutz des Grundrechts auf Privatsphäre und Datenschutz vor Massenüberwachung geschaffen hat.

Die Identifizierung der Nutzer:innen einer IP-Adresse ist kein Zugriff auf zivile Identitätsdaten

Im Urteil »La Quadrature du Net« vom Oktober 2020 hat der EuGH eine wichtige Unterscheidung zwischen Verkehrs- und Standortdaten einerseits und zivilen Identitätsdaten (z. B. Name und Adresse der Nutzer:innen) andererseits getroffen.

Da zivile Identitätsdaten (Bestandsdaten) für sich genommen keine Informationen über die tatsächliche Kommunikation preisgeben, werden die Vorratsspeicherung und die sonstige Verarbeitung solcher Daten nicht als schwerwiegender Eingriff in die Grundrechte angesehen. Personenbezogene Identitätsdaten (Bestandsdaten) können daher zur Verfolgung aller Straftaten gespeichert und an die Strafverfolgungsbehörden weitergegeben werden.

Dagegen stellt die Vorratsspeicherung von Verkehrsdaten einen schwerwiegenden Eingriff in die Grundrechte dar. Bei Verkehrsdaten und Standortdaten im Allgemeinen ist nur eine gezielte Vorratsdatenspeicherung zum Zwecke der Bekämpfung schwerer Straftaten zulässig. Im Urteil »La Quadrature du Net« hat der EuGH klargestellt, dass die IP-Adresse, die der Quelle einer Internetverbindung zugewiesen wurde, für eine begrenzte Zeit für alle Nutzer auf Vorrat gespeichert werden dürfe.

Der EuGH begründet dies in zweierlei Hinsicht: Die Quell-IP-Adresse sei weniger sensibel als andere Verkehrsdaten, und der Zugang, zu den auf Vorrat gespeicherten IP-Adressdaten, könne bei einigen, online begangenen Straftaten, das einzige Mittel zur Ermittlung sein. In Anbetracht der Schwere des Eingriffs könnten jedoch nur schwere Straftaten die allgemeine und wahllose Vorratsspeicherung von IP-Quelladressen rechtfertigen.

Bei der Untersuchung von Online-Delikten ermitteln die Behörden in der Regel zunächst die vom unbekannten Täter verwendete dynamische IP-Adresse aus den Protokolldateien des Online-Diensteanbieters, bei dem die Straftat begangen wurde. Der nächste Schritt besteht darin, den Internetdienstanbieter (ISP) anzuweisen, den Namen und die Adresse des Nutzers der IP-Adresse offenzulegen.

Bei den offengelegten Informationen handelt es sich um zivile Identitätsdaten, aber die Offenlegung erfordert die Verarbeitung von Verkehrsdaten durch den Internetdienstanbieter. Bei der mündlichen Anhörung argumentierten Frankreich, Dänemark, Schweden, Finnland und Norwegen, dass diese Offenlegung ausschließlich als Offenlegung von zivilen Identitätsdaten betrachtet werden sollte, was bedeutet, dass sie nicht auf schwere Verbrechen beschränkt wäre. Das neue dänische Gesetz zur Vorratsdatenspeicherung stützt sich auf diese Auslegung des EU-Rechts.

Die vom französischen Gericht gestellten Fragen scheinen auch davon auszugehen, dass nur Daten zur zivilen Identität betroffen sind. Der Generalanwalt weist diese Auslegung zurück, da er in den Punkten 43 und 44 feststellt, dass die Offenlegung von zivilen Identitätsdaten in solchen Fällen die Verknüpfung dieser Daten mit gespeicherten IP-Adressen erfordert. Daher handelt es sich um einen Zugang zu Verkehrsdaten, der nach der aktuellen Rechtsprechung des EuGH die Offenlegung auf die Bekämpfung schwerer Straftaten beschränken würde.

Eine entsprechende Klarstellung im Urteil des EuGH wird nicht nur wichtige Auswirkungen auf die nationalen Gesetze zur Vorratsdatenspeicherung haben, in denen die Offenlegung von IP-Adressen (noch) ausschließlich als Zugang zu zivilen Identitätsdaten angesehen wird, sondern auch auf die laufenden Trilogverhandlungen zur e-Evidence-Verordnung.

Im Vorschlag der Kommission und im aktuellen Trilog-Text können Herausgabeanordnungen (production orders) für den Zugang zu Verkehrsdaten zum alleinigen Zweck der Identifizierung des Nutzers für alle Straftaten ausgestellt werden, was, nach Auslegung des Generalanwalts, nicht im Einklang mit der Rechtsprechung des EuGH ist. Im zweiten Zusatzprotokoll zum Übereinkommen des Europarats über Computerkriminalität wird diese Verwendung von Verkehrsdaten ebenfalls als Zugang zu Teilnehmerinformationen (Bestandsdatenauskunft) betrachtet.

Die erwartete Klarstellung des EuGH in dem bevorstehenden Urteil könnte jedoch auch in eine andere Richtung gehen. Denn der Generalanwalt schlägt eine wesentliche Änderung der Rechtsprechung vor, die faktisch den Zugriff auf gespeicherte IP-Adressen für alle Straftaten ohne Rücksicht auf die Schwere der Straftat zulässt, sei es straf- oder zivilrechtlich (z. B. Urheberrechtsverletzung).

Aushöhlung des Datenschutzes zur Eindämmung der „Online-Straflosigkeit“

Wie schon in seiner Stellungnahme in der Rechtssache M.I.C.M. (C-597/19) verweist der Generalanwalt auf ein Spannungsverhältnis in der Rechtsprechung des EuGH zwischen der Speicherung und Offenlegung von IP-Adressen und der positiven Verpflichtung der Mitgliedstaaten, dafür zu sorgen, dass die Inhaber von Rechten an geistigem Eigentum eine Entschädigung für die Verletzung dieser Rechte erhalten können.

Die Generalanwalt stellt zu Recht fest, dass Verstöße gegen Rechte des geistigen Eigentums keine schwere Straftat darstellen (Punkt 74). Daher verstößt der Zugriff auf IP-Adressen, die zur Bekämpfung schwerer Straftaten einbehalten werden gegen das geltende EU-Recht, wenn damit Urheberrechtsverletzungen sanktioniert werden.

Diese Schlussfolgerung ist für den Generalanwalt jedoch „unbefriedigend“, da er eine „systematische Straffreiheit für ausschließlich online begangene Straftaten“ befürchtet, wie etwa die unerlaubte Verbreitung von Filmen über Filesharing oder im Falle von Online-Diffamierung. Generalanwalt Szpunar ist der Ansicht, dass das EU-Recht nicht gegen nationale Maßnahmen verstoßen sollte, die die massenhafte Speicherung von IP-Adressen erzwingen, um jede Art von Straftaten zu bekämpfen, selbst sehr geringfügige.

Die einzige Bedingung für die Vorratsspeicherung von Quell-IP-Adressen sollte darin bestehen, dass die Ermittlung und Verfolgung der mutmaßlichen Straftat nicht auf andere Weise als durch den Zugang zu diesen Daten möglich ist.

Das vorgeschlagene Kriterium „einziges Ermittlungsmittel“ lässt die Schwere des Eingriffs (Vorratsspeicherung von IP-Adressen) völlig außer Acht, was mit dem in Artikel 52 Absatz 1 der Charta der Grundrechte verankerten Grundsatz der Verhältnismäßigkeit nicht vereinbar zu sein scheint. Als der EuGH in seinem Urteil vom Oktober 2020 die allgemeine und unterschiedslose Vorratsspeicherung von Quell-IP-Adressen erlaubte, allerdings nur zum Zweck der Bekämpfung schwerer Straftaten, war dies eine sorgfältige Abwägung zwischen den gegensätzlichen Rechten und Interessen, um die es hier geht: der schwerwiegende Eingriff in die Grundrechte, den eine solche Vorratsspeicherung von IP-Adressen darstellt, und die Anerkennung, dass der Zugang zu den gespeicherten IP-Adressen das einzige Mittel für die Ermittlung bei einigen Online-Straftaten sein könnte.

Eine einschneidende Maßnahme, die bei schweren Straftaten wie der Online-Verbreitung von Bildern, auf denen sexualisierte Gewalt gegen Kinder dargestellt wird, gerechtfertigt sein kann, sollte nicht automatisch auf andere Straftaten ausgedehnt werden, nur weil Ermittlungen schwierig sind, wenn Straftaten online begangen werden.

Das französische HADOPI-Gesetz verpflichtet den einzelnen Teilnehmer, seinen Internetanschluss gegen die Nutzung für Urheberrechtsverletzungen zu “sichern”, und sieht bei wiederholter Nichteinhaltung dieser Verpflichtung eine Höchststrafe von 3.000 € vor. Dies ist weit entfernt von der Vorstellung einer schweren Straftat, sei es straf- oder zivilrechtlich. Darüber hinaus beinhaltet die Durchsetzung des HADOPI-Gesetzes den massenhaften Zugang zu sensiblen Verkehrsdaten.

Seit 2009 hat die HADOPI-Behörde 12,7 Millionen Empfehlungen (Warnschreiben) ausgesprochen, die jeweils den Zugriff auf Verkehrsdaten erfordern, die nach geltendem EU-Recht nur zur Bekämpfung schwerer Straftaten gespeichert werden dürfen. Der Grundsatz der Verhältnismäßigkeit scheint im Streben nach maximalem Schutz von Urheberrechten völlig verloren gegangen zu sein. Es muss weniger einschneidende Wege geben, um die Interessen der Rechteinhaber zu schützen, z. B. Durchsetzungsmaßnahmen, die darauf abzielen, die Internetserver zu stören, die den unerlaubten Austausch urheberrechtlich geschützter Werke ermöglichen.

In einem breiteren Kontext als dem des HADOPI-Gesetzes beruht die Besorgnis des Generalanwalts über die “systemische Online-Straflosigkeit” auf einem Mythos. In vielen Fällen kann die Identifizierung eines Verdächtigen über andere Ermittlungsmethoden erfolgen und die Möglichkeit, online völlig anonym und unauffindbar zu bleiben, ist in der Praxis sehr begrenzt.

So könnten beispielsweise Personen, die ihre IP-Adresse verstecken, um illegale Hassreden im Internet zu verbreiten, über ihren Benutzernamen identifiziert werden, da Nutzer häufig denselben Benutzernamen für verschiedene Online-Plattformen und -Dienste verwenden, von denen einige aus kommerziellen Gründen mehr persönliche Daten speichern als andere. So untersuchte das FBI beispielsweise erfolgreich einen Fall von Morddrohungen gegen Anthony Fauci, die von einem anonymen ProtonMail-Konto aus versandt wurden, weil der Täter dieselbe E-Mail-Adresse für sein Instagram-Konto verwendete.

Die Behauptung, dass die obligatorische Vorratsspeicherung von IP-Adressen durch Internetdiensteanbieter bei einer Vielzahl von Straftaten stets das einzige Mittel zur Identifizierung des Täters ist, entspricht bei weitem nicht der heutigen Online-Realität, die zu Recht als das goldene Zeitalter der Überwachung für die Strafverfolgung bezeichnet wird.

Eine Senkung der Hürde für die Gewährung des Zugangs zu gespeicherten IP-Adressen könnte sehr leicht zu einem Wettlauf nach unten beim Schutz der Grundrechte im Internet führen, insbesondere mit dem Risiko, die Meinungs- und Informationsfreiheit zu beeinträchtigen. Die Möglichkeit der anonymen Meinungsäußerung ist wichtig, vor allem angesichts der bedauerlichen Tendenz zur Kriminalisierung des öffentlichen Protests, die auch in europäischen Demokratien zu beobachten ist. Straftatbestände wie Diffamierung und Beleidigung von Politikern können von mächtigen Akteuren gegen bereits unterdrückte Minderheiten oder andere ausgegrenzte Personen missbraucht werden (mehr dazu: indexoncensorship.org und greenpeace.org (PDF)). Sowohl der EuGH als auch der Europäische Gerichtshof für Menschenrechte (z. B. in der Rechtssache Benedik gegen Slowenien) haben die berechtigte Erwartung hervorgehoben, online anonym bleiben zu können.

Die enge Fokussierung auf die mögliche Gefahr der Straffreiheit für bestimmte Straftaten, wie sie die Generalanwalt vornimmt, geht am Gesamtbild des Grundrechtsschutzes in der digitalen Welt vorbei und könnte die Gesellschaft auf einen Orwell’schen Weg führen, bei dem die Online-Infrastruktur so gestaltet ist, dass jede Aktivität von staatlichen Behörden verfolgt werden kann.

Keine unabhängige Überprüfung für den Zugang zu IP-Adressen erforderlich

Nach Ansicht des Generalanwalts verlangt das EU-Recht keine vorherige Überprüfung des Zugriffs von HADOPI auf die mit den IP-Adressen der Nutzer verknüpften Personenstandsdaten durch ein Gericht oder eine unabhängige Verwaltungsstelle. Diese Schlussfolgerung steht in besonderem Widerspruch zur jüngsten Rechtsprechung des Gerichtshofs, der nachdrücklich die Notwendigkeit einer solchen vorherigen unabhängigen Überprüfung betont, um die vollständige Einhaltung der erforderlichen Bedingungen und Verfahren für den Datenzugriff sicherzustellen.

In seinem Urteil vom Oktober 2020 erlaubte der EuGH die generelle Vorratsspeicherung von IP-Adressen zur Bekämpfung schwerer Straftaten unter strenger Einhaltung der materiellen und vefahrensrechtlichen Bedingungen, die die Verwendung der gespeicherten Daten regeln sollten. In der Rechtssache Prokuratuur (C-746/18) entschied der EuGH, dass der Zugang zu Verkehrsdaten einer vorherigen Überprüfung durch ein Gericht oder eine unabhängige Verwaltungsbehörde unterzogen werden muss, um sicherzustellen, dass die materiellen und verfahrensrechtlichen Bedingungen vollständig eingehalten werden.

Eine vorherige unabhängige Überprüfung ist umso wichtiger, wenn die Bedingungen für die Vorratsspeicherung und den Zugriff auf IP-Adressen um das Kriterium “einziges Ermittlungsmittel” erweitert werden sollen, wie der Generalanwalt vorschlägt. Nur ein Gericht oder eine unabhängige Verwaltungsbehörde kann überprüfen, ob die Strafverfolgungsbehörden tatsächlich alle anderen Ermittlungsmöglichkeiten ausgeschöpft haben, und diese Bewertung wird immer von den spezifischen Fakten jeder einzelnen Ermittlung abhängen.

Der Generalanwalt begründet seine Auslegung damit, dass der Zugang zu den zivilen Identitätsdaten, die mit einer IP-Adresse verbunden sind, die zum Austausch einer geschützten Datei verwendet wird, nicht so sensibel ist, da es dieser Zugang den Behörden nicht ermöglicht, den Online-Klickverlauf der Nutzer:innen zu rekonstruieren und somit genaue Rückschlüsse auf deren Privatleben zu ziehen.

Mit dieser Auslegung der Rechtsprechung des EuGH schafft der Generalanwalt eine merkwürdige Unterscheidung zwischen einem schwerwiegenden Eingriff in das Recht auf Privatleben, der dem Zugriff von HADOPI auf die mit einer IP-Adresse verknüpfte zivile Identität entsprechen würde, und einem „besonders schwerwiegenden Eingriff“, der eine unabhängige Genehmigung erfordert (Punkt 99).

Dabei spielt der Generalanwalt den Grad des Eingriffs in die Privatsphäre herunter, den die Identifizierung der Person, die bestimmte Online-Dateien angesehen hat, mit sich bringen kann. Dateien, die Fotos, Videos oder Texte enthalten, können die sexuelle Orientierung, politische, religiöse oder philosophische Ansichten der Person offenbaren. Es ist nicht notwendig, den gesamten Klickverlauf von Nutzer:innen zu rekonstruieren, um sehr intime Informationen über ihr Leben zu erhalten.

Nicht zuletzt erscheint es wenig sinnvoll, die strikte Einhaltung materieller und verfahrensrechtlicher Bedingungen für den Zugriff auf gespeicherte IP-Adressen zu verlangen, wenn der Zugriff einfach von den Strafverfolgungsbehörden selbst genehmigt werden kann. Nur ein Gericht oder eine unabhängige Verwaltungsbehörde kann die Einhaltung dieser Bedingungen sicherstellen und vor Missbrauch schützen.

Es ist wirklich besorgniserregend für den Zustand der digitalen Rechte, dass der Generalanwalt vorschlägt, die Auslegung des Gesetzes an ein System anzupassen, das darauf ausgelegt ist, Rechteinhaber zum Nachteil des Schutzes der Privatsphäre und des Datenschutzes zu schützen. Die Folgen einer Änderung der Rechtsprechung könnten sehr weitreichend sein. Es bleibt zu hoffen, dass der Gerichtshof an der Rechtsprechung festhält, die er in den letzten Jahren ausführlich entwickelt hat und die sicherstellt, dass der Schutz der Privatsphäre und der Datenschutz im Bereich der Strafverfolgung ausreichend gewährleistet sind.


Dieser Text von Jesper Lund, Vorsitzender der dänischen NGO IT-Pol und Chloé Berthélémy, Senior Policy Advisor bei European Digital Rights ist zuerst erschienen am 16. November 2022 auf edri.org. Lizenz: CC-BY 4.0