Category Archives: EU-Charta

Hat der EuGH die Cloud für tot erklärt?

Posted on by

In seinem gestrigen Urteil (Az. C?293/12 und C?594/12) zur Vereinbarkeit der Vorgaben der Richtlinie 2006/24 (VDS-RL, PDF) zur Vorratsdatenspeicherung, hat sich der EuGH naturgemäß mit den einzelnen Vorschriften zur Umsetzung der Richtlinie in nationalstaatliches Recht befasst. Die Richtlinie wurde, in ihrer jetzigen Ausformung, für nichtig erklärt (siehe hierzu die Urteilsbesprechung bei Hans Peter Lehofer), da die derzeit geltenden Vorgaben unverhältnismäßige Eingriffe in die europäischen Grundrechte auf Privatsphäre (Art. 7 Charta der Grundrechte der EU, Charta) und auf den Schutz personenbezogener Daten (Art. 8 Charta) zur Folge hätten. Bisher kaum Beachtung scheinen jedoch einige, meines Erachtens für das allgegenwärtige Cloud Computing wichtige, Ausführungen des Gerichts gefunden zu haben.

In seinem Urteil prüft der EuGH ab Rz. 56 die Verhältnismäßigkeit der Vorgaben der VDS-RL im engeren Sinne. Die dort erlaubten Eingriffe in Grundrechte müssen auf das absolut notwendige Maß beschränkt sein. In Rz. 65 kommt das Gericht zu dem Schluss:

Somit ist festzustellen, dass die Richtlinie einen Eingriff in diese Grundrechte beinhaltet, der in der Rechtsordnung der Union von großem Ausmaß und von besonderer Schwere ist, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Maßnahmen zur Datensicherheit
„Gut“, möchte man denken. Damit ist die Prüfung abgeschlossen. Doch das Gericht fügt seiner Begründung noch drei weitere Randziffern (66-68) an. In diesen befasst es sich, freilich zunächst auch mit Blick auf die VDS-RL, mit der Sicherheit und dem Schutz von gespeicherten Daten. Der EuGH stellt fest, die VDS-RL keine ausreichenden Bestimmungen enthalte, dass die auf Vorrat gespeicherten Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu ihnen und jeder unberechtigten Nutzung geschützt sind (Rz. 66).

Solche Vorgaben zum Schutz personenbezogener Daten und gerade auch in Bezug auf Maßnahmen zur Gewährung der Datensicherheit kennen wir aus der Datenschutz-Richtlinie, 95/46/EG (DS-RL, PDF). Dort bestimmt Art. 17 DS-RL entsprechende Pflichten für die verantwortliche Stelle. Im Falle einer Auftragsdatenverarbeitung, wenn also die tatsächlichen Verarbeitungsprozesse von einem Dritten wahrgenommen werden, bestimmt Art. 17 Abs. 2 DS-RL, dass die verantwortliche Stelle nur solche Auftragnehmer auswählen darf, die technische Sicherheitsmaßnahmen bereithalten. Zudem muss sich der Verantwortliche hiervon auch selbst überzeugen. Art. 17 Abs. 3 DS-RL bestimmt zudem, dass auch den Auftragsdatenverarbeiter selbst Pflichten zur Datensicherheit nach dem für ihn geltenden nationalen Datenschutzrecht treffen.

Cloud Computing
Diese Konstellation, die Datenverarbeitung durch einen Auftragnehmer, ist das typische Beispiel, welches den meisten Cloud Computing-Lösungen zugrunde liegt. Man nehme etwa den Anbieter eines Internet-Speicherdienstes: Der Anbieter der Cloud ist der Auftragsdatenverarbeiter (er selbst sitzt z. B. in den USA, seine Server stehen auf der ganzen Welt), der Kunde ist die verantwortliche Stelle (ob diese rechtliche Einschätzung in der heutigen Zeit noch angemessen erscheint, soll hier nicht diskutiert werden; sie ist nicht unumstritten, wird so aber etwa von der Art. 29 Datenschutzgruppe vertreten, siehe Stellungnahme WP 196, PDF).

Zurück zum Urteil des EuGH. Auch das Gericht verweist für erforderliche Sicherheitsmaßnahmen auf die Vorgaben des Art. 17 DS-RL (Rz. 67), deren Einhaltung, wir erinnern uns an das Beispiel, der Kunde des Speicherdienstes zu prüfen hätte und der Speicherdienst als Auftragnehmer auch selbst einsetzen müsste. Doch nun wird es interessant und relevant.

Datenspeicherung in Drittstaaten
Der EuGH kritisiert in Rz. 68, dass die VDS-RL im Rahmen der erforderlichen Sicherheitsmaßnahmen keine Vorgaben dazu macht, dass die Daten nur innerhalb des Unionsgebietes gespeichert werden dürfen. Hieraus folgert das Gericht, dass

es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird.

Der in dem Zitat angesprochene Art. 8 Abs. 3 Charta bestimmt, dass die Einhaltung der Vorschriften zum Schutz personenbezogener Daten durch eine unabhängige Stelle überwacht werden müssen. In der Praxis sind dies in Europa die Datenschutzbehörden.

Was bedeutet diese Aussage nun? Der EuGH scheint der Auffassung zu sein, dass Daten, welche auf Servern in Drittstaaten gespeichert werden, nicht dem Schutzniveau des Art. 8 Charta entsprechend geschützt werden können. Dies deshalb, weil in dem jeweiligen Drittstaat möglicherweise keine unabhängige Stelle existiert, welche die Einhaltung der Vorgaben zum Datenschutz und zur Datensicherheit überwacht. Nun mag man einwenden, dass es ja gerade für Fälle der Übermittlung von Daten in Drittstaaten etwa Standardvertragsklauseln gibt oder auch Angemessenheitsbeschlüsse der Kommission, die einem Drittstaat (oder einem gewissen Wirtschaftsbereich) ein angemessenes Schutzniveau bescheinigen. Auf diese Instrumente scheint das Gericht aber überhaupt nicht abzustellen. Sein Verweis bezieht sich vielmehr auf das Vorhandensein einer unabhängigen Stelle im Sinne des Art. 8 Abs. 3 Charta. Diese Überwachung durch unabhängige Datenschutzbehörden ist für den EuGH entscheidend.

Hiergegen mag man ins Feld führen, dass es ja auch in Drittstaaten unabhängige Behörden gibt, welche die Einhaltung des dortigen Datenschutzrechts überwachen. Doch auch diesbezüglich scheint der EuGH den Grundrechtsschutz des Art. 8 Charta äußerst streng zu nehmen, denn er führt aus:

Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten.

Das Gericht knüpft das Erfordernis der Überwachung durch eine unabhängige Stelle an die „Grundlage des Unionsrechts“. Es mag also durchaus unabhängige Datenschutzbehörden in Drittstaaten geben. Diese überwachen die Einhaltung von Vorgaben zur Datensicherheit und zum Datenschutz jedoch grundsätzlich nicht auf Grundlage des Unionsrechts. Vielmehr gilt für diese Behörden ihr jeweils nationales Recht. Ebenso muss für europäische Datenschutzbehörden festgestellt werden, dass diese ihre Überwachungsmaßnahmen nicht in Drittstaaten ausdehnen können. Sie sind hinsichtlich ihrer öffentlich-rechtlichen Befugnisse vielmehr territorial beschränkt. Man könnte sich nun fragen, wann denn überhaupt eine Behörde auf der Grundlage des Unionsrechts die Einhaltung von Datenschutz- und Datensicherheitsstandards in einem Drittstaat wirksam überwachen kann?

Lösungen und Konsequenzen
Als einziger Ansatzpunkt würde mir einfallen, dass man z. B. Angemessenheitsbeschlüsse (wie etwa Safe Harbor) oder auch Standardvertragsklauseln als eine solche Grundlage des Unionsrechts ansieht, nach deren Vorgaben der Verarbeiter im Drittstaat handeln muss. Freilich wird hierdurch nicht das Problem gelöst, dass eine europäische Datenschutzbehörde nicht im Drittstaat hoheitlich tätig werden kann, also dort nicht direkt auf „Grundlage des Unionrechts“ überwachen kann.

Denn die Safe Harbor-Entscheidung, ebenso wie die Standardvertragsklauseln der EU sehen für Kontrollstellen die Möglichkeit vor, Datenübermittlungen in ein Drittland auszusetzen. Also gegen den Verantwortlichen in der EU vorzugehen. Dies jedoch nicht etwa dann, wenn die Behörde den Auftragnehmer in dem Drittstaat selbst kontrolliert und etwa Mängel bei der Datensicherheit festgestellt hat. Die Befugnisse der europäischen Behörden greifen dann, wenn feststeht, dass der Verarbeiter in dem Drittstaat die an ihn gestellten Vorgaben (sei es aus Vertragsklauseln oder Angemessenheitsbeschlüssen) nicht einhalten kann. Für Informationen hierzu ist die jeweilige europäische Behörde aber freilich auf Angaben Dritter angewiesen, also etwa von Behörden in dem Drittstaat oder des für die Datenverarbeitung Verantwortlichen selbst. Gut möglich, dass diese „mittelbare“ Überwachung ausreicht, um den Vorgaben des EuGH gerecht zu werden. Hierfür spricht meines Erachtens auch, dass der europäische Gesetzgeber die Datenschutz-Richtlinie mit entsprechenden Mechanismen zur Übermittlung und Speicherung von Daten in Drittstaaten ausgestaltet hat. Wohl wissend, dass nationale Behörden dann nur begrenzte Prüfmöglichkeiten besitzen. Und auch der EuGH selbst hat etwa in seinem Lindqvist-Urteil (Az. C-101/01) darauf hingewiesen, dass für die Mitgliedstaaten und die Kommission gewisse Pflichten zur Kontrolle solcher Datenübermittlungen bestehen (Rz. 63 ff.). Jedoch hat er diese Übermittlung nicht kategorisch ausgeschlossen oder von einer direkten Einflussnahmemöglichkeit europäischer Behörden abhängig gemacht (auch wenn die Frage der Voraussetzungen der Datenübermittlung dort nicht direkt Gegenstand der gerichtlichen Prüfung war und daher nicht vertieft wurde). Dennoch verbleibt ein gewisses Unwohlsein, welches sich vor allem aus der Deutlichkeit der Aussage des EuGH ergibt.

Ausblick
Die Ausführungen des EuGH zur Datenspeicherung in Drittstaaten sind durchaus bemerkenswert. Dies gerade vor dem Hintergrund der anhaltenden Diskussion um ein „Schengen-Routing“ und dem sog. Datenprotektionismus in Folge der Enthüllungen um die Überwachungstätigkeiten von Geheimdiensten. Wie dargestellt liegt die Konstellation der Speicherung von Daten in Drittstaaten vor allem auch dem Cloud Computing zugrunde. Ist die Cloud deshalb tot? Ich denke nicht. Denn die Ausführungen des EuGH sind dafür wohl von zu allgemeiner Natur. Dennoch stellen sich Fragen: Sollte eine Speicherung von personenbezogenen Daten in Ländern außerhalb der EU nun (unabhängig von der rechtlichen Grundlage der Übermittlung) nicht mehr möglich sein? Oder etwa nur wenn sich der Datenverarbeiter behördlichen Maßnahmen europäischer Stellen freiwillig unterwirft? Reicht die beschriebene „mittelbare“ Überwachungsmöglichkeit und dem folgend etwa Maßnahmen gegen den Verantwortlichen in der EU aus? Sollte dem nicht so sein, dann wäre dies ein Schritt zurück, hinter die Intention der geltenden DS-RL und würde der digitalen Wirtschaft und damit auch unserem täglichen Umgang mit Internetdiensten einen Bärendienst erweisen.

EuGH: Gerichtliche Sperranordnungen von Internetseiten können mit EU-Recht vereinbar sein

Posted on by

Der Gerichtshof der Europäischen Union (EuGH) hat in einem heutigen Urteil (Az.: C-314/12) entschieden, dass eine gerichtlichen Anordnung, mit der einem Anbieter von Internetzugangsdiensten verboten wird, seinen Kunden den Zugang zu einer Website zu ermöglichen, auf der ohne Zustimmung der Rechtsinhaber Schutzgegenstände online zugänglich gemacht werden, mit dem Unionsrecht vereinbar ist. Dies jedoch nur dann, wenn die Sperrmaßnahmen zum einen den Internetnutzern nicht unnötig die Möglichkeit vorenthalten, in rechtmäßiger Weise Zugang zu den verfügbaren Informationen zu erlangen, und zum anderen bewirken, dass unerlaubte Zugriffe auf die Schutzgegenstände verhindert oder zumindest erschwert werden.

In dem heute entschiedenen Fall ging es vor allem um die Frage, ob und wie eine gerichtliche Anordnung gegen einen Internetzugangsdienstanbieter (Access-Provider) ergehen kann, dieser müsse den Zugang zu einer Webseite sperren, auf der urheberrechtlich geschützte Filme zum Download angeboten werden oder per Streaming angesehen werden können (vorliegend handelte es sich um kino.to). Dies eventuell sogar dann, wenn der Access-Provider nicht unerhebliche Anstrengungen hierfür auf sich nehmen muss und diese Speere dennoch relativ leicht umgangen werden kann.

Zum Verfahren
Das Handelsgericht Wien untersagte dem Access-Provider (UPC Telekabel Wien GmbH), seinen Kunden Zugang zur Webseite kino.to zu vermitteln, wenn die von der Rechteinhaberin (Constantin Film Verleih GmbH und Wega Filmproduktionsgesellschaft GmbH) benannten Filme dort zur Verfügung gestellt würden. Hierzu sollte sie insbesondere eine DNS-Sperre der Domain nutzen und aktuell und auch zukünftig nachgewiesene IP-Adressen blockieren. Das Gericht erkannte an, dass diese beiden Maßnahmen ohne erheblichen Aufwand getroffen, aber sehr leicht umgangen werden könnten. Trotzdem stellten sie die effektivsten Methoden zur Zugangshinderung dar. In der nächsten Instanz änderte das Oberlandesgericht Wien diese Verfügung dahin ab, dass es die Vermittlung des Zugangs zu kino.to ohne Nennung konkreter zu ergreifenden Maßnahmen (also im Sinne einer allgemeinen Sperrverfügung) untersagte. Begründet wurde dies unter Rückgriff auf Art. 8 Abs. 3 der Richtlinie 2001/29 (PDF) und Erwägungsgrund 59 dieser Richtlinie. Nach Art. 8 Abs. 3 Richtlinie 2001/29 stellen die Mitgliedstaaten sicher, „dass die Rechtsinhaber gerichtliche Anordnungen gegen Vermittler beantragen können, deren Dienste von einem Dritten zur Verletzung eines Urheberrechts oder verwandter Schutzrechte genutzt werden“.

Das Gericht stellte fest, dass der Access-Provider vorliegend seinen Kunden den Zugriff auf rechtswidrig zugänglich gemachte Inhalte ermögliche und er damit ein „Vermittler“ im Sinne der europarechtlichen Vorschrift sei. Dies unabhängig davon, ob die Kunden selbst rechtswidrig handelten. Das Oberlandesgericht Wien führte weiter aus, dass dem Access-Provider der Eingriff in das geistige Eigentum der Rechteinhaberin generell, ohne Nennung bestimmter Maßnahmen, zu verbieten sei. Dem Access-Provider werde durch diese Verfügung die Erzielung eines Erfolgs (namentlich die Verhinderung des Eingriffs in das Recht des geistigen Eigentums) aufgegeben. Die Wahl der Mittel zur Erzielung dieses Erfolgs obliege dabei dem Access-Provider, der jedoch alles ihm Mögliche und Zumutbare unternehmen müsse.

Entscheidung des EuGH
Zunächst stellte sich die Frage, ob der Access-Provider gemäß Art. 8 Abs. 3 der Richtlinie 2001/29 als Vermittler angesehen werden kann, dessen Dienste von dem das Urheberrecht Verletzenden (dem Betreiber der Seite kino.to) „genutzt“ werden. Denn man könnte ja auch argumentieren, dass der Dienst nur von den Kunden des Access-Providers selbst genutzt wird. Der Generalanwalt am EuGH hat den Access-Provider vorliegend als „Vermittler“ im Sinne der europarechtlichen Vorgabe angesehen und, unter Rückgriff auf Wortlaut sowie Sinn und Zwecke der Norm, in seinen Schlussanträgen auch eine „Nutzung“ durch den Betreiber der Webseite kino.to bejaht (Rz. 59).

Der EuGH folgt dieser Auffassung (Rz. 40 des Urteils). Er begründet dies vor allem auch damit, dass Urheber nicht nur dann die Möglichkeit zum Schutz ihrer Rechte haben müssten, wenn sie einen Zugriff der Kunden des Access-Providers auf geschützte Werke nachweisen könnten, sondern bereits Maßnahmen zur Vorbeugung von Urheberrechtsverstößen ergreifen treffen können müssen. Dieses vorbeugende Wirkung setzt aber die Möglichkeit des Tätigwerdens auch ohne tatsächlichen Nachweis des Zugriffs auf die Inhalte voraus.

Danach stellte sich die Frage, ob es mit den unionsrechtlichen Vorgaben vereinbar ist, insbesondere auch mit den gewährten Grundrechten, einem Access-Provider im Rahmen von Art. 8 Abs. 3 der Richtlinie 2001/29 ganz allgemein gerichtlich zu verbieten, seinen Kunden den Zugang zu einer bestimmten Website zu ermöglichen, auf der ausschließlich oder doch weit überwiegend Inhalte ohne Zustimmung der Rechteinhaber zugänglich gemacht werden. Hier stellte sich noch die nationale Besonderheit, dass der Access-Provider Beugestrafen wegen einer Verletzung dieser Anordnung durch den Nachweis abwenden konnte, dass er alle zumutbaren Maßnahmen zu deren Erfüllung ergriffen hat. Der Generalanwalt am EuGH hatte in seinen Schlussanträgen eine solche allgemeine und ohne konkrete Maßnahmen verbundene Anordnung für mit den Grundrechten der Beteiligten unvereinbar erklärt und abgelehnt (R. 90).

Der EuGH hält eine solche (allgemeine) Anordnung für zulässig (Rz. 42 ff. des Urteils). Eine solche Anordnung lasse nämlich unter anderem „den Wesensgehalt des Rechts auf unternehmerische Freiheit eines Anbieters von Internetzugangsdiensten wie des im Ausgangsverfahren in Rede stehenden unangetastet“. Jedoch beurteilte der EuGH den vorliegenden Fall gerade auch mit Blick auf die konkreten Umstände. Denn wie erwähnt überließ es die Anordnung im Ausgangsverfahren dem Access-Provider Adressaten, die konkreten Maßnahmen zu bestimmen, die zur Erreichung des angestrebten Ziels zu treffen sind. Daher, so der EuGH, könne er sich für „die Umsetzung derjenigen Maßnahmen entscheiden, die seinen Ressourcen und Möglichkeiten am besten entsprechen und mit den übrigen von ihm bei der Ausübung seiner Tätigkeit zu erfüllenden Pflichten und Anforderungen vereinbar sind“. Der EuGH geht dann näher auf die an die Form der Maßnahme zu stellenden Kriterien ein. Zum einen muss der Access-Provider auch für die Beachtung des Grundrechts der Internetnutzer auf Informationsfreiheit Sorge tragen. Wichtig ist, dass die Maßnahmen zielorientiert seien. Der Verletzung des Urheberrechts durch einen Dritten muss ein Ende gesetzt werden, ohne dass Internetnutzer, die die Dienste dieses Anbieters in Anspruch nehmen, um rechtmäßig Zugang zu Informationen zu erlangen, dadurch beeinträchtigt werden. Zudem stellt der EuGH klar, dass nicht ausgeschlossen ist, dass die Durchführung einer Anordnung nicht zu einer vollständigen Beendigung der Verletzung des Rechts des geistigen Eigentums der Betroffenen führt. Auch ist nicht ausgeschlossen, dass keine technische Möglichkeit zur vollständigen Beendigung der Verletzung des Rechts des geistigen Eigentums besteht oder in der Praxis realisierbar ist. Das Recht am geistigen Eigentum bestehe nicht bedingungslos.

Jedoch, so der EuGH, müssen die Maßnahmen hinreichend wirksam sein, um einen wirkungsvollen Schutz des betreffenden Grundrechts sicherzustellen. Sie müssen also bewirken, dass unerlaubte Zugriffe auf die Werke verhindert oder zumindest erschwert werden und dass die Internetnutzer, die die Dienste des Adressaten der Anordnung in Anspruch nehmen, zuverlässig davon abgehalten werden, auf die ihnen unter Verletzung des genannten Grundrechts zugänglich gemachten Schutzgegenstände zuzugreifen. Auch wenn die Maßnahme also die Rechtsverletzung nicht vollständig ausschließen kann, so kann sie dennoch angemessen sein, um das erforderliche Gleichgewicht zwischen allen anwendbaren Grundrechten herzustellen. Dieser wirksame Ausgleich zwischen dem Schutz des geistigen Eigentums und dem Verhindern des Zugriffs auf geschützte Inhalte einerseits, und dem Recht der Internetnutzer auf Informationszugang andererseits, ist durch die nationalen Gerichte zu beurteilen.

Das Grundrecht auf Datenschutz in Europa

Posted on by

Im Zuge der Enthüllungen in der NSA-Affäre und den andauernden Verhandlungen für eine Reform des europäischen Datenschutzrechts wird häufig darauf verwiesen, dass der Schutz personenbezogener Daten in Europa ein Grundrecht darstellt (so etwa die EU Justizkommissarin Viviane Reding in einem Interview). Nachfolgend möchte ich darauf eingehen, wo dieses Grundrecht auf Datenschutz gesetzlich festgeschrieben und wie es tatsächlich ausgestaltet ist. Dazu beschränke ich mich jedoch auf die Ebene der EU und des Europarates (zu weiteren internationalen Datenschutzabkommen hatte ich bereits einmal etwas geschrieben).

A. Europäische Menschenrechtskonvention

Auf der supranationalen Ebene des Europarats, dem sowohl alle europäischen Mitgliedstaaten, aber auch andere Nationen wie die Türkei oder Russland angehören, garantiert die Europäische Menschenrechtskonvention (EMRK) Personen, welche der Hoheitsgewalt der einzelnen Mitgliedstaaten unterliegen, gewisse Grundrechte und –freiheiten.
Continue reading