Edward Snowden, Safe Harbor, Privacy Shield, Schrems II … Jeder Datenschützer in der EU hat sich ganz sicher damit befasst. Wir berichteten über die Entscheidung des Europäischen Gerichtshofs vom 16. Juli 2020, mit der das Privacy-Shield-Abkommen in sich zusammenbrach. Der EuGH sah in dem Abkommen keinen ausreichenden Schutz personenbezogener Daten und zwar hauptsächlich deshalb, weil amerikanische Geheimdienste in einem nicht genau bekannten Umfang und ohne ausreichende Kontrolle massenhaft Daten auswerten, insbesondere auch E-Mails. Der Datenaustausch zwischen Europa und den USA hat sich nach diesem EuGH-Urteil kaum vermindert. Viele datenschutzrechtliche Fragen sind aber auch nach einem halben Jahr nicht ansatzweise gelöst, allen voran: Ist ein rechtskonformer Datentransfer mit praxistauglichen Mitteln überhaupt noch umsetzbar? Auch das haben wir hier schon behandelt.
Weniger Aufmerksamkeit erhält bisher eine ganz naheliegende Frage: Erfüllen europäische und z.B. deutsche Geheimdienste eigentlich selbst diejenigen Anforderungen, an denen wir US-amerikanische Nachrichtendienste messen?
DIE DERZEITIGE RECHTSLAGE
Die Rechtslage ist – datenschutz-typisch – kompliziert: Für Datenverarbeitungen der NSA gelten (mittelbar) die strengen Vorgaben der DS-GVO, weil sie sich auf den Datenschutz US-amerikanischer Unternehmen etc. auswirken. EU-Nachrichtendienste folgen demgegenüber der Richtlinie 2016/680 „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten …“ oder bewegen sich (im Kernbereich nachrichtendienstlicher Tätigkeit) völlig außerhalb des EU-Rechts allein nach Maßgabe der nationalen Gesetze. Die DS-GVO ist jedenfalls nicht anwendbar (vgl. Art. 2 Abs. 2 lit. a und b DS-GVO).
Informationsbeschaffung und -auswertung durch die Nachrichtendienste werden in den Spezialgesetzen (BND-Gesetz, MAD-Gesetz, Verfassungsschutz-Gesetz) und im sogenannten G10-Gesetz behandelt. Wer sich damit befasst, fühlt sich vielleicht an die Berichte von Edward Snowden erinnert. Die deutsche Sektion von „Reporter ohne Grenzen“ und Prof. Nico Härting (Rechtsanwalt und Datenschützer) haben beim Europäischen Gerichtshof für Menschenrechte (kein Gericht der EU, sondern der Gerichtshof des Europarates für Verfahren nach der Europäischen Menschenrechtskonvention) 2017 Beschwerden gegen die Überwachungspraxis des Bundesnachrichtendienstes erhoben und jetzt einen wichtigen Teilerfolg erzielt: Der EGMR hat die Beschwerden zur Entscheidung angenommen und der deutschen Bundesregierung Fragen vorgelegt, die bis März beantwortet werden sollen.
DAS G10-GESETZ
Worum geht es? Der Bundesnachrichtendienst kann nach dem G10-Gesetz E-Mail-Kommunikation ohne Wissen der Beteiligten automatisiert prüfen und bei Übereinstimmung mit vorgegebenen Such-Rastern („Treffern“) individuell auswerten. Auf dieser zweiten Stufe können die E-Mails dann also auch von Geheimdienst-Mitarbeitern gelesen werden.
Nach den Vorgaben des G10-Gesetzes sind diese Vorgänge behördenintern und außerdem durch das parlamentarische Kontrollgremium des Deutschen Bundestages zu überwachen. Benachrichtigungspflichten gegenüber Betroffenen sind im Gesetz nur ausnahmsweise vorgesehen. Die Beschwerdeführer beim EGMR bezweifeln, ob überhaupt jemals Benachrichtigungen erfolgt sind.
In Verfahren vor deutschen Gerichten (Bundesverwaltungs- und Bundesverfassungsgericht) wollten sie Auskunft darüber erhalten, ob und ggf. welche ihrer Daten geheimdienstlich verarbeitet wurden. Die deutschen Gerichte verlangten jedoch als Anspruchsvoraussetzung den Nachweis darüber, dass die Kläger von Überwachungsmaßnahmen des Geheimdienstes überhaupt konkret betroffen waren. Naturgemäß konnten die Kläger diesen Nachweis mangels Benachrichtigung und Auskunft durch den Geheimdienst nicht erbringen.
Beim EGMR beschweren sich „Reporter ohne Grenzen“ und Prof. Nico Härting nun darüber, dass die sogenannte „strategische Fernmeldeüberwachung“ des BND gegen Art. 8 Abs. 1 (Recht auf Achtung des Privat- und Familienlebens) sowie bei „Reporter ohne Grenzen“ auch gegen Art. 10 Abs. 1 (Freiheit der Meinungsäußerung) verstößt, weil private Kommunikation kontrolliert wird, ohne dass Betroffene hierüber Informationen erhalten oder einen wirksamen gerichtlichen Schutz genießen.
FAZIT
Das genaue Ausmaß der „strategischen Überwachung“ ist kaum erkennbar. Für das Jahr 2012 hat das parlamentarische Kontrollgremium des Deutschen Bundestages in einem Bericht vom 19.12.2013 mitgeteilt, dass der BND 851.691 „Treffer“ erzielte, die weiter nachrichtendienstlich bearbeitet wurden. Nico Härting ermittelt durch Hochrechnung dieser „Treffer“ ein geschätztes Gesamtvolumen von 850 Millionen E-Mails allein im Jahr 2012. Das Verfahren ist datenschutzrechtlich und rechtspolitisch hochinteressant; wir werden weiter dazu berichten.
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.