5005/99/endg.WP 18
Gruppe für den Schutz von Personen
bei der Verarbeitung personenbezogener Daten
Empfehlung 2/99
zur
Achtung der Privatsphäre bei der Überwachung des Fernmeldeverkehrs
Angenommen am 3. Mai 1999
DIE GRUPPE FÜR DEN SCHUTZ VON PERSONEN BEI DER VERARBEITUNG
PERSONENBEZOGENER DATEN -
eingesetzt durch die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom
24. Oktober 1995 ,
gestützt auf Artikel 29 und Artikel 30 Absätze 1 und 3 dieser Richtlinie ,
gestützt auf ihre Geschäftsordnung, insbesondere die Artikel 12 und 14,
empfiehlt,
bei den auf europäischer Ebene zur Überwachung des Fernmeldeverkehrs beschlossenen
Maßnahmen die Grundrechte und -freiheiten natürlicher Personen, insbesondere ihre
Privatsphäre und das Brief- und Fernmeldegeheimnis, zu achten.
Der Anwendungsbereich dieser Empfehlung zielt auf die Überwachungen im weiteren Sinne
ab, d.h. die Überwachung des Inhalts des Fernmeldeverkehrs, aber auch der mit dem
Fernmeldeverkehr zusammenhängenden Daten, insbesondere durch vorbereitende
Maßnahmen wie "Monitoring" und "Datamining" der Verkehrsdaten, die beabsichtigt sein
könnten, um über die Zweckmäßigkeit einer Überwachung zu entscheiden .
A. Geltungsbereich der europäischen Bestimmungen zur Überwachung des
Fernmeldeverkehrs
1. In der Entschließung des Rates vom 17. Januar 1995 über die rechtmäßige Überwachung
des Fernmeldeverkehrs werden die technischen Voraussetzungen für die Überwachung
des Fernmeldeverkehrs genannt, ohne dabei auf die Bedingungen einzugehen, die bei
einer solchen Überwachung gegeben sein sollten. Nach dieser Entschließung sind
Netzbetreiber und Diensteanbieter verpflichtet, den «gesetzlich ermächtigten Behörden»
den überwachten Fernmeldeverkehr unverschlüsselt bereitzustellen.
Dies gilt für Telefonverbindungen über Fest- und Mobilfunknetze, elektronische Post,
Fax, Telex und Datenverkehr im Internet und umfaßt sowohl den Inhalt des
Fernmeldeverkehrs als auch die mit ihm zusammenhängenden Daten (diese beziehen sich
insbesondere auf die Verkehrsdaten, aber auch auf alle von der überwachten Person
erzeugten Signale - Ziffer 1.4.4 der Entschließung. Die Daten betreffen neben der
überwachten Person auch die Teilnehmer, die diese Person kontaktieren oder von ihr
kontaktiert werden .
Der Entschließung zufolge müssen die gesetzlich ermächtigten Behörden auch Zugang zu
Daten haben, die bei Teilnehmern mobiler Dienste die Bestimmung des geographischen
Standorts ermöglichen .
Diese Entschließung vom 17.1.1995 wird zur Zeit überarbeitet, insbesondere um sie an
die neuen Kommunikationstechniken anzupassen. Der Textentwurf präzisiert u.a. die
Anwendung der Überwachungsmaßnahmen auf den Fernmeldeverkehr über Satellit .
2. Ferner hat sich die Gruppe mit dem Anwendungsbereich der in der Ratsentschließung
vom 17. Januar 1995 vorgesehenen Maßnahmen befaßt. Eine zu einem späteren
Zeitpunkt erstellte, nicht veröffentlichte Fassung dieses Dokuments («Absichtserklärung»
vom 25. Oktober 1995) sieht vor, daß die Unterzeichner in bezug auf die
Spezifizierungen im Bereich der Fernmeldeverkehrsüberwachung mit dem Direktor des
«Federal Bureau of Investigation» der Vereinigten Staaten Verbindung aufnehmen
können. Vorbehaltlich des Einverständnisses der «Teilnehmer» sollen dieser Fassung
zufolge auch andere Staaten am Informationsaustausch teilnehmen und an der
Überarbeitung und Aktualisierung der Spezifizierungen mitwirken können.
Die Gruppe weist zum einen darauf hin, daß die Rechtstellung dieses Texts unklar ist -
insbesondere was die gültige Unterzeichnung durch die betroffenen Länder angeht - und
er, da nirgendwo veröffentlicht, nach der unten zitierten Rechtsprechung des
Europäischen Gerichtshofs für Menschenrechte für den Bürger nicht zugänglich ist. Zum
anderen kommt darin der Wille zum Ausdruck, die technischen Vorkehrungen zur
Überwachung des Fernmeldeverkehrs in Absprache mit Staaten zu entwickeln, die weder
der Europäischen Menschenrechtskonvention noch den Richtlinien 95/46/EG und
97/66/EG unterliegen.
3. Die Gruppe stellt fest, daß die Ratsentschließung die technischen Aspekte der
Überwachung des Fernmeldeverkehrs regeln soll, ohne die nationalen Vorschriften, die
das Abhören in juristischer Hinsicht regeln, anzutasten. Einige der in der Entschließung
zur Ausweitung der Überwachungsmöglichkeiten vorgesehenen Maßnahmen
widersprechen jedoch den nationalen Vorschriften bestimmter EU-Mitgliedstaaten, die ein
höheres Maß an Schutz vorsehen (insbesondere Ziffer 1.4, Zugriff auf die
verbindungsrelevanten Daten, einschließlich der Verbindungen von Teilnehmern mobiler
Dienste, ohne die zur Zeit verfûgbaren vorausbezahlten anonymen Dienste zu
berücksichtigen; Ziffer 1.5: Informationen über den geographischen Standort von
Teilnehmern mobiler Dienste und Ziffer 5.1: Verbot für Netzbetreiber/Diensteanbieter,
Informationen über durchgeführte Überwachungsmaßnahmen nachträglich
weiterzugeben).
4. Zwar verfolgt die Ratsentschließung das Ziel des «Schutzes nationaler Interessen,
insbesondere der staatlichen Sicherheit und der Aufklärung schwerer Verbrechen», die
Gruppe möchte aber auf die Gefahr des Abgehens von diesen ursprünglichen Zielen
aufmerksam machen, die durch eine Ausweitung der Überwachungs- und
Entschlüsselungstechniken auf eine wachsende Zahl von Ländern - einige davon
Drittländer - weiter verschärft würde.
Das Europäische Parlament vertritt in seiner Entschließung vom 16. September 1998 zu
den transatlantischen Beziehungen die Auffassung, daß «die wachsende Bedeutung des
Internet und der weltweiten Telekommunikation im allgemeinen und das ECHELON-
System im besonderen sowie die Gefahren ihres Mißbrauchs Maßnahmen zum Schutz
wirtschaftlicher Daten und eine wirksame Kodierung erfordern».
Diese Überlegungen verdeutlichen, mit welchen Risiken eine über Fragen der nationalen
Sicherheit im engeren Sinne - und sogar über den "dritten Pfeiler" der Europäischen
Union - hinausgehende Überwachung des Fernmeldeverkehrs verbunden ist. Vor allem in
Anbetracht der gemeinschaftsrechtlichen Bestimmungen zum Schutz der Grundrechte und
-freiheiten natürlicher Personen, insbesondere ihrer Privatsphäre, stellt sich die Frage nach
ihrer Legitimität.
5. Die Gruppe weist auch darauf hin, daß das Inkrafttreten des Vertrags von Amsterdam
hinsichtlich der Maßnahmen zur Überwachung des Fernmeldeverkehrs einen Wechsel der
Rechtsgrundlage nach sich ziehen wird. Zur derzeitigen Befugnis des Rates, den
Entschließungstext aufgrund der Artikel K.1(9) und K.3(2) des Vertrags zur
Zusammenarbeit von Polizei und Justiz auszuarbeiten, tritt ein Initiativrecht der
Europäischen Kommission aufgrund des neuen Artikels K.6 § 2.
B. Allgemeiner rechtlicher Rahmen
6. Die Gruppe erinnert daran, daß jede Überwachung des Fernmeldeverkehrs, d.h. jede
Kenntnisnahme von Inhalt von und/oder Daten im Zusammenhang mit privaten
Telekommunikationsverbindungen zwischen zwei oder mehreren Teilnehmern durch einen
Dritten, insbesondere der mit der Telekommunikationsnutzung verbundenen
Verkehrsdaten, eine Verletzung des Rechts von Einzelpersonen auf Privatsphäre und eine
Verletzung des Brief- und Fernmeldegeheimnisses darstellt. Nach Artikel 8 § 2 der
Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten vom
4. November 1950 und seiner Auslegung durch den Europäischen Gerichtshof für
Menschenrechte ist eine Überwachung nur zulässig, wenn sie drei Anforderungen genügt:
eine Rechtsgrundlage ist vorhanden, die Maßnahme ist in einer demokratischen
Gesellschaft erforderlich und trägt zu einem der in der Konvention genannten Ziele bei .
Die Rechtsgrundlage muß klare und ausführliche Bestimmungen über Grenzen und
Modalitäten dieses Eingriffs umfassen, was insbesondere angesichts der kontinuierlichen
Weiterentwicklung der technischen Hilfsmittel erforderlich ist .
Die Rechtsvorschrift muß
der Öffentlichkeit zugänglich sein, damit die Bürger die Folgen ihres Verhaltens absehen
können .
Eine großangelegte sondierende oder allgemeine Überwachung des Fernmeldeverkehrs
muß darin untersagt sein .
7. Das in den Rechtssystemen der Mitgliedstaaten verankerte Recht auf Schutz der
Privatsphäre ist auf Ebene der Europäischen Union in der Richtlinie 95/46/EG
festgeschrieben. Die Grundsätze der Europäischen Konvention zum Schutz der
Menschenrechte und Grundfreiheiten vom 4. November 1950 und des Übereinkommens
des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung
personenbezogener Daten vom 28. Januar 1981 werden in dieser Richtlinie präzisiert. Die
Richtlinie 97/66/EG konkretisiert die Bestimmungen der oben genannten Richtlinie,
indem sie die Mitgliedstaaten verpflichtet, die Vertraulichkeit der über öffentliche
Telekommunikationsnetze oder öffentlich zugängliche Telekommunikationsdienste
übermittelten Nachrichten sicherzustellen.
Nach Artikel 13 Absatz 1 der Richtlinie 95/46/EG können die Mitgliedstaten
Rechtsvorschriften erlassen, die bestimmte in der Richtlinie vorgesehene Pflichten (zum
Beispiel im Hinblick auf die Datenerhebung) und Rechte (zum Beispiel das Recht, über
eine Datenerhebung informiert zu werden) beschränken . Diese Ausnahmen müssen
jedoch auf die dort genannten Fälle beschränkt bleiben, d.h. die Maßnahme muß zum
Schutz der unter a) bis g) dieses Artikels genannten öffentlichen Interessen erforderlich
sein. Diese sind u.a. die Sicherheit des Staates, die Landesverteidigung, die öffentliche
Sicherheit und die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten.
Auch nach Artikel 14 Absatz 1 der Richtlinie 97/66/EG dürfen die Mitgliedstaaten die
Pflicht zur Wahrung der Vertraulichkeit von Nachrichten, die über öffentliche Netze
übermittelt werden, nur beschränken, wenn dies für die Sicherheit des Staates, die
Landesverteidigung, die öffentliche Sicherheit und die Verhütung, Ermittlung, Feststellung
und Verfolgung von Straftaten erforderlich ist.
C. Pflichten der Netzbetreiber und Diensteanbieter
8. Die Gruppe weist nachdrücklich darauf hin, daß die Pflichten, die die Richtlinien 95/46/EG
(Artikel 17 Absätze 1 und 2) und 97/66/EG (Artikel 4, 5 und 6) Netzbetreibern und
Diensteanbietern wie auch den Mitgliedstaaten in bezug auf Datensicherheit und
-vertraulichkeit auferlegen, die Regel und nicht die Ausnahme sind.
Sie erinnert daran, daß auch Artikel 7 des Übereinkommens des Europarates Nr. 108 vom
28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung
personenbezogener Daten und Artikel 4 der Empfehlung Nr. 4 des Europarates vom
7. Februar 1995 zum Schutz personenbezogener Daten in der Telekommunikation,
insbesondere bei Telefondiensten, den Netzbetreibern entsprechende Pflichten
auferlegen .
9. Diese Pflichten implizieren zum einen, daß Netzbetreiber und Diensteanbieter
Verkehrsdaten und die Fakturierung betreffende Daten nur unter bestimmten
Voraussetzungen verarbeiten dürfen: ausgehend von dem Grundsatz, daß Verkehrsdaten
betreffend Teilnehmer und Nutzer gelöscht oder anonymisiert werden müssen, sobald die
Verbindung beendet ist, sind die Zweckbestimmungen, für die die Daten verarbeitet
werden können, die Dauer ihrer eventuellen Aufbewahrung und der Zugang zu den Daten
strikt begrenzt .
10. Zum anderen müssen Netzbetreiber und Diensteanbieter demnach die notwendigen
Maßnahmen ergreifen, um die Überwachung des Fernmeldeverkehrs für Stellen, die
gesetzlich nicht dazu berechtigt sind, je nach Stand der Technik zu erschweren oder
unmöglich zu machen.
Die Gruppe unterstreicht in diesem Zusammenhang, daß der Einsatz effizienter modernster
Techniken bei der legitimen Überwachung nicht zu einer generellen Absenkung des
Niveaus der Vertraulichkeit und des Schutzes der Privatsphäre natürlicher Personen führen
darf.
Besondere Bedeutung gewinnen diese Verpflichtungen, wenn der Fernmeldeverkehr
zwischen Teilnehmern in den Mitgliedstaaten über Drittländer geleitet wird oder geleitet
werden kann, was insbesondere bei der Nutzung von Satelliten oder des Internet der Fall
ist.
11. In den unter die Richtlinie 95/46/EG fallenden Bereichen könnte die Tatsache, daß der
Fernmeldeverkehr über die Europäische Union hinausgehend zugänglich gemacht wird,
einen Verstoß gegen Artikel 25 der Richtlinie darstellen, da die ausländischen Stellen, die
diesen Verkehr überwachen, nicht zwangsläufig ein angemessenes Schutzniveau
nachweisen können.
D. Wahrung der Grundfreiheiten bei der Überwachung durch staatliche Behörden
12. In den einzelstaatlichen Rechtsvorschriften muß unter Beachtung aller oben genannter
Bestimmungen klar und umfassend sein,
- welche Dienststellen zur Anordnung der rechtmäßigen Überwachung des
Fernmeldeverkehrs berechtigt sind und welche Stellen zur Durchführung der
Überwachung befugt sind, sowie welche Rechtsgrundlage es dafür gibt,
- welche Zwecke mit einer solchen Überwachung verfolgt werden können, anhand deren
beurteilt werden kann, ob die Maßnahme in einem angemessenen Verhältnis zu den zu
schützenden nationalen Interessen steht,
- daß jede allgemeine oder sondierende Überwachung des Fernmeldeverkehrs im großen
Maßstab verboten ist,
- welche genauen Umstände und Bedingungen bei der Überwachung gegeben sein müssen
(z.B. Tatbestand, der die Maßnahme rechtfertigt, Dauer der Maßnahme), wobei nach dem
Grundsatz zu verfahren ist, daß jedes Eindringen in die Privatsphäre eines anderen als
Ausnahmefall anzusehen ist ,
- daß die Achtung dieses Grundsatzes der Spezifizität als Folge des Verbots jeder
allgemeinen oder sondierenden Überwachung insbesondere hinsichtlich der
Verkehrsdaten impliziert, daß die staatlichen Behörden zu diesen Daten nur jeweils in
Einzelfällen, nicht aber allgemein und proaktiv, Zugang haben.
- welche Sicherheitsvorkehrungen in bezug auf die Verarbeitung und die Speicherung der
Daten getroffen wurden, sowie die Dauer ihrer Aufbewahrung,
- mit welchen besonderen Garantien personenbezogene Daten über Personen, die indirekt
oder zufällig Gegenstand der Abhörung waren , verarbeitet werden können,
insbesondere die Kriterien zur Rechtfertigung der Aufbewahrung der Daten und die
Bedingungen für die Übermittlung dieser Daten an Dritte,
- wie die überwachte Person möglichst umgehend über die Überwachung zu unterrichten
ist,
- welche Rechtsmittel der überwachten Person zur Verfügung stehen,
- nach welchen Modalitäten diese Dienste durch eine unabhängige Aufsichtsbehörde
kontrolliert werden ,
- wie die tatsächlich praktizierte Politik der Überwachung des Fernmeldeverkehrs - bspw.
in Form regelmäßiger statistischer Berichte - bekanntgegeben wird,
- unter welchen konkreten Bedingungen die Daten im Rahmen bi- oder multilateraler
Vereinbarungen an Dritte weitergegeben werden können.
Brüssel, den 3. Mai 1999
Für die Gruppe
Der Vorsitzende
Peter HUSTINX
|