201520.03.

Warum wir keine Vorratsdatenspeicherung brauchen

Eine anlasslose Vorratsdatenspeicherung (“VDS”) ist in Deutschland unter den derzeitigen rechtlichen Rahmenbedingungen nicht möglich; und das ist auch gut so. Das Risiko von Einzelattentaten Krimineller kann nicht die vollständige Überwachung aller Bürger auf Vorrat rechtfertigen. Das sollte sich eigentlich von selbst verstehen… Denjenigen, die das nicht so sehen, sei hier dringend die (nochmalige) Lektüre von Orwells 1984 angeraten.

Und dennoch wird nach den Anschlägen von Paris im Januar 2015 lauter denn je die Einführung der Vorratsdatenspeicherung gefordert. Und das wohlgemerkt oft plakativ, oberflächlich, populistisch und offensichtlich gestützt auf oder kokettierend mit gefährlichem Halbwissen. Die einschlägige und eindeutige Rechtsprechung des Bundesverfassungsgerichts und des Europäischen Gerichtshofs, die Gesetze bzw. die Richtlinie zur Vorratsdatenspeicherung für unwirksam erklärt haben, wird dabei ebenso ignoriert wie die Grundrechte aus dem Grundgesetz. Der Europäische Gerichtshof hatte erst 2014 entscheiden, dass die Vorratsdatenspeicherung klar begrenzt sein muss und dass eine anlasslose Speicherung nicht gerechtfertigt ist. Eine verfassungskonforme Umsetzung einer anlasslosen Vorratsdatenspeicherung dürfte demnach kaum mehr möglich sein.

Es drängt sich der Eindruck auf, dass vielen die Bedeutung des Grundrechts auf informationelle Selbstbestimmung, also das Recht eigenständig zu entscheiden was mit den eigenen Daten geschieht, nicht hinreichend bewusst ist. Eine Sensibilität dafür wird sich wohl erst einstellen, wenn man selbst betroffen ist, etwa in Fällen von Identitätdiebstahl oder Hackerangriffen – es sei denn,  ein gesellschaftliches und politisches Umdenken findet statt. Leider ist vielen ebenso nicht bewusst, wie gläsern jeder Einzelne durch eine VDS theoretisch werden kann. Wie mächtig solche Instrumente in “Perfektion” sein können, lassen die Dokumente von Edward Snowden seit nunmehr über einem Jahr auf erschreckende Weise erahnen: Denkbar ist damit ein Profil zu jedem Bürger, aggregiert und aufbereitetet aus Metadaten zu Standort/Bewegungsprofil (GPS), Socializing (GPS Abgleich mit anderen Bürgern), Online Aktivitäten (besuchte Webseiten, genutze Apps & Cloud Services, Social Media), Kommunikation (Telefon, Email, Social Media) und Interessen (aggregiert aus Online/Offline Aktivitäten). Keineswegs handelt es sich hier um rein technische Daten, die kaum einen persönlichen Bezug haben. Über diese Metadaten kann man automatisiert und in der Masse mehr über die Persönlichkeit, Gewohnheiten und Vorlieben einzelner Personen herausfinden, als es sich die Stasi je erträumt hätte. Die Unschuldsvermutung und das Prinzip des strafrechtlichen Anfangsverdachts werden ad absurdum geführt.

Sogesehen bringt es der Verfassungsgerichtshof Rumäniens in seinem Urteil gegen die Vorratsdatenspeicherung (Entscheidung Nr. 1258, 8. Oktober 2009) auf den Punkt:

Diese Maßnahme betrifft alle Personen gleichermaßen, unabhängig davon, ob sie eine strafbare Handlung begangen haben oder nicht, ob gegen sie ein Strafverfahren geführt wird oder nicht, was die Ge­fahr birgt, dass die Unschuldsvermutung ausgehebelt wird und alle Nutzer elekt­ronischer Kommunikationsdienste und öffentlicher Kommunikationsnetze a priori in den Verdacht der Begehung terroristischer oder sonstiger schwerer Straftaten geraten.

Beginnt man ersteinmal damit, solche Massen an Daten auf Vorrat zu sammeln, ergibt sich das Erfordernis eine Methode zu entwickeln um diese Datenflut zu analysieren und effizient zu nutzen von selbst; und damit im Übrigen auch ein erhebliches Macht- und Missbrauchpotential.

Ein entsprechendes Gesetz zur Vorratsdatenspeicherung müsste insbesondere dem Grundsatz der Verhältnismäßigkeit genügen. Dies ist der Fall, wenn das Gesetz geeignet ist den bezweckten Erfolg zu erfüllen (Geeignetheit), kein milderes, gleichwirksames Mittel zur Verfügung steht um den bezweckten Erfolg zu erreichen (Erforderlichkeit) und keine unverhältnismäßige Einschränkung von Grundrechten (Angemessenheit) vorliegt.

Schon das Kriterium der Geeignetheit wirft erhebliche Fragen auf. Es darf mit guten Gründen bezweifelt werden, dass die VDS überhaupt geeignet ist, einen Gesetzeszweck à la Schutz der Zivilbevölkerung vor terroristischen Gefahren, zu erfüllen, denn:

die VDS ist faktisch wirkungslos.

Die Erfahrungen aus anderen Ländern sprechen für sich. Sowohl in England (2009-2010 und ab 2014) als auch in Frankreich (seit 2006) wird die VDS, mit Unterbrechungen, eingesetzt. Dennoch kam es in beiden Ländern zu terroristischen Anschlägen von Einzeltätern. Darüber hinaus gibt es auch in keinem anderen EU-Mitgliedsstaat Belege dafür, dass die Vorratsdatenspeicherung zu einer erhöhten Aufklärungsquote oder zum Schutz vor terroristischen Attentaten geführt hat, obwohl sie in vielen EU-Staaten (u.a. Irland, Niederlande (verfassungswidrig, außer Kraft), Schweden, Ungarn, Rumänien (verfassungswidrig, außer Kraft), Tschechien (verfassungswidrig, außer Kraft) über Jahre eingesetzt worden ist.

Ohne Frage verbleibt durch entsprechende VDS Maßnahmen theoretisch und abstrakt eine Restwahrscheinlichkeit, dass auch Anschläge oder Ähnliches verhindert werden. Aber, wie Benjamin Franklin sinngemäß sagte, wer Freiheit für Sicherheit aufgibt, wird beides verlieren. Und genau das ist der Punkt. Es ist äußert bedauerlich, aber man wird das Risiko, dass solche Einzelattentate verübt werden, leider nie ganz ausschließen können. Auch nicht mit einer umfassenden Speicherung aller Daten der Bürger eines Landes. Wahrscheinlich sogar, insbesondere nicht dadurch.

Denn die Terroristen, gegen die sich die VDS ja primär richten soll, werden sich darauf einstellen und sich anpassen. Zum einen technisch, etwa durch die Nutzung von Verschlüsselung und/oder Anonymisierungstools, zum anderen natürlich auch in ihrem Verhalten, etwa durch den bewussten Verzicht auf elektronische Kommunikation. Ein schönes Negativbeispiel für ein solches Anpassen an verstärkte rechtliche und technische Rahmenbedingungen sind etwa vereinzelte Hidden Services im TOR-Netzwerk, sog. Darknet oder Deepweb (z.B. BlackMarket, SilkRoad, SilkRoad 2.0), auf denen in den letzten Jahren sämtliche illegalen Geschäfte und Waren “frei”, und lange ohne Strafverfolgung, gehandelt werden konnten .

Was bleibt ist die massive Einschränkung der Persönlichkeitsrechte sämtlicher Bürger, ohne dass dadurch der Zweck eines solches Gesetzes, der Schutz der Zivilbevölkerung vor Terrorismus, auch nur ansatzweise erfüllt wird; und im Übrigen auch nicht erfüllt werden könnte. Aber es kommt noch schlimmer, denn:

die VDS birgt Risiken

Logischerweise bringt die massenhafte Speicherung von Daten auch ein erhebliches Risiko mit sich. Auch hier zeigt die Erfahrung der letzten Jahre die Anfälligkeit von IT-Systemen nur zu deutlich. Zudem lassen die Snowden Dokumente erahnen welche technischen Fähigkeiten einige Geheimdienste und, wahrscheinlich etwas abgeschwächt, Kriminelle haben. Folgerichtig wird stets ein nicht unerhebliches Manipulations- und Missbrauchspotential hinsichtlich der vorgehaltenen Daten bestehen. Denkbar sind zum Beispiel Identitätsdiebstahl, die Manipulationen von erhobenen Daten oder sogar das Abgreifen und Nutzen von Daten zum Nachteil einzelner Bürger (Datenmissbrauch, Kreditkartenmissbrauch, Ausspähen von Daten, Stalking).

Es ist dringend erforderlich gesellschaftspolitisch über die Frage zu sprechen, ob wir als Bürger die vermeintliche Sicherheit der Freiheit vorziehen und es zulassen wollen, dass der Staat sämtliche Verbindungs- und Standortdaten der Telekommunikation eines jeden Bürgers ohne begründeten Verdacht speichert.

201511.03.

Lizenzverträge mit Großkunden verhandeln – aus der Beratungspraxis

Viele kleine und mittelständische Unternehmen sind stark abhängig von Aufträgen und Ausschreibungen, die von Großunternehmen vergeben werden. Gerade wenn es um IT- oder technologieverwandte Produkte geht, spielen hierbei Lizenzen eine zentrale Rolle. Es kann sich dabei sowohl um Softwarelizenzen als auch um Nutzungsrechte für urheberrechtlich, markenrechtlich oder patentrechtlich geschützte Werke handeln.

In Verhandlungen treten aus Anwaltssicht immer wieder die gleichen Fragestellungen auf. Großkunden versuchen in der Regel eine umfangreiche Übertragung von Nutzungsrechten aufzuzwingen. Hier gilt jedoch besondere Vorsicht, sowohl aus Sicht des Lieferanten als auch aus Sicht des Kunden. Denn was in anderen Bereichen selbstverständlich ist, ist hier oft nur auf den zweiten Blick als Problem zu erkennen: Man kann als Lieferant nicht mehr Rechte übertragen, als man selber hat.

Daher sollten aus Anwaltssicht immer dann die Alarmglocken läuten, wenn in einer Ausschreibung oder in einem Vertrag die Übertragung eines „ausschließlichen“ oder eines „inhaltlich unbeschränkten“ Nutzungsrechts gefordert wird.

Oft enthalten die eigenen Produkte nicht ausschließlich Eigenentwicklungen. Ein banales Beispiel hierfür sind Anbieter technischer Systeme und Anlagen. Regelmäßig beinhalten solche Produkte auch Standardsoftware von Dritten, zum Beispiel wenn es um Betriebssysteme, Datenbanken oder User-Interfaces geht.

Wenn der Kunde nun eine Übertragung einer Lizenz am finalisierten Endprodukt fordert, dann kann im Hinblick auf die enthaltene Drittanbietersoftware nur so viel an Nutzungsrechten übertragen werden, wie der Lieferant selbst von diesem Dritten erworben hat. Hier ist auch allgemein sicherzustellen, dass diese Nutzungsrechte überhaupt an den Kunden übertragen werden dürfen. Auch kann es sein, dass bei der Übertragung Besonderheiten aus den Lizenzbedingungen zu beachten sind.

Diese Grundsätze gelten nicht nur für Software sondern auch regelmäßig bei Hardware Produkten. Vom Mobiltelefon bis zur Industrieanlage enthalten technische Produkte in der Regel patentrechtlich geschützte Komponenten von Dritten. Hier ist gerade bei individuell maßgeschneiderten Produkten stets zu beachten, dass sämtliche Vorgaben und Lizenzbedingungen der ursprünglichen Rechteinhaber streng eingehalten werden müssen. Diese könnten zum Beispiel fordern, dass Produkte nur in einem bestimmten Kontext oder nur in einem begrenzten Umfang genutzt werden. Technologielizenzverträge in der Industrie bestimmen in der Regel unter anderem, was genau und wieviel mit der lizenzierten Technologie hergestellt oder bearbeitet werden darf. Hiervon kann die Lizenzgebühr abhängig sein.

In jedem Fall kann ein Lieferant nie mehr an Nutzungsrechten versprechen oder verschaffen, als er selber erworben hat. Daher muss, egal wie stark oder schwach die Verhandlungsposition des Lieferanten ist, dieser immer die Lizenzbedingungen genau prüfen und einen angemessenen Umfang vorgeben. Letztlich ist dies auch im Interesse des Kunden. Denn der Lieferant kann keine Rechte einräumen, die er nicht besitzt. Der Kunde muss sich aber darauf verlassen können, dass er den genauen Umfang seiner Nutzungsrechte kennt. Nur so kann sich auch der Kunde vor Ansprüchen Dritter schützen.

201510.03.

Datenschutzreform: Kommt das Konzernprivileg?

Die Europäische Union arbeitet nunmehr seit mehrere Jahren daran, dass Datenschutzrecht in einer Datenschutzgrundverordnung zu reformieren. Diese soll dann unmittelbar für alle EU-Mitgliedstaaten gelten.

Leider scheint es so, dass der letzte öffentliche Entwurf der Verordnung vom 21. Oktober 2014 deutlich abgeschwächt werden soll. Dies ergibt sich aus einem als “vertraulich” eingestuften Dokument der Arbeitsgruppe Dapix des EU-Rats. Das Dokument hat die Bürgerrechtsorganisation Statewatch veröffentlicht. Demnach sollen insbesondere Regelungen zur Datensparsamkeit gestrichen werden und der Grundsatz der Zweckbindung sowie die Einschränkungen der Verarbeitung von Daten durch Dritte erheblich aufgeweicht werden. Das Erheben von Daten soll demnach generell immer möglich sein, wenn es nicht “exzessiv” geschieht. Das Nutzertracking im Internet soll grundsätzlich erlaubt sein, sodass jeder Nutzer einem Tracking aktiv per Opt-Out widersprechen müsste. Generell fällt auf, dass der Entwurf eine Vielzahl von unbestimmten Rechtsbegriffen verwendet, die zwangsläufig bis zur gerichtlichen Klärung eine gewisse Rechtsunsicherheit mit sich bringen werden.

Abgesehen von den vielen negativen Änderungen enthält das veröffentliche Dokument jedoch auch als positiv zu bewertende Änderungsvorschläge; so bspw. zu Datenübermittlungen im Konzern. Das derzeit geltende Recht schreibt für den Fall, dass man Daten durch einen Dritten verarbeiten lässt (sog. Auftragsdatenverarbeitung) vor, dass man mit dem Dienstleister zwingend einen schriftlichen Vertrag gemäß § 11 BDSG abschließen muss. Dies gilt auch innerhalb des selben Konzerns. Das Datenschutzrecht kennt bislang also kein “Konzernprivileg”.

Davon weicht das aktuell geleakte Dokument ab: Erwägungsgrund 38a sieht vor, dass Datenübermittlungen innerhalb von Unternehmensgruppen bzw. eines Konzerns grundsätzlich aufgrund eines berechtigten Interesses der Verantwortlichen Stelle erlaubt sein sollen. Voraussetzung dafür ist allerdings u.a., dass die Übermittlung für verwaltungsinterne bzw. administrative Zwecke erfolgt.

Im Ergebnis bleibt zu hoffen, dass die erwähnten Aufweichungen der Verordnung nicht den Weg in die endgültige Fassung finden.