Gruppe 29:

5005/99/endg.WP 18
Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten

Empfehlung 2/99
zur Achtung der Privatsphäre bei der Überwachung des Fernmeldeverkehrs

Angenommen am 3. Mai 1999

DIE GRUPPE FÜR DEN SCHUTZ VON PERSONEN BEI DER VERARBEITUNG PERSONENBEZOGENER DATEN -

eingesetzt durch die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 , gestützt auf Artikel 29 und Artikel 30 Absätze 1 und 3 dieser Richtlinie , gestützt auf ihre Geschäftsordnung, insbesondere die Artikel 12 und 14,

bei den auf europäischer Ebene zur Überwachung des Fernmeldeverkehrs beschlossenen Maßnahmen die Grundrechte und -freiheiten natürlicher Personen, insbesondere ihre Privatsphäre und das Brief- und Fernmeldegeheimnis, zu achten. Der Anwendungsbereich dieser Empfehlung zielt auf die Überwachungen im weiteren Sinne ab, d.h. die Überwachung des Inhalts des Fernmeldeverkehrs, aber auch der mit dem Fernmeldeverkehr zusammenhängenden Daten, insbesondere durch vorbereitende Maßnahmen wie "Monitoring" und "Datamining" der Verkehrsdaten, die beabsichtigt sein könnten, um über die Zweckmäßigkeit einer Überwachung zu entscheiden .

A. Geltungsbereich der europäischen Bestimmungen zur Überwachung des Fernmeldeverkehrs

1. In der Entschließung des Rates vom 17. Januar 1995 über die rechtmäßige Überwachung des Fernmeldeverkehrs werden die technischen Voraussetzungen für die Überwachung des Fernmeldeverkehrs genannt, ohne dabei auf die Bedingungen einzugehen, die bei einer solchen Überwachung gegeben sein sollten. Nach dieser Entschließung sind Netzbetreiber und Diensteanbieter verpflichtet, den ½gesetzlich ermächtigten Behörden╗ den überwachten Fernmeldeverkehr unverschlüsselt bereitzustellen. Dies gilt für Telefonverbindungen über Fest- und Mobilfunknetze, elektronische Post, Fax, Telex und Datenverkehr im Internet und umfaßt sowohl den Inhalt des Fernmeldeverkehrs als auch die mit ihm zusammenhängenden Daten (diese beziehen sich insbesondere auf die Verkehrsdaten, aber auch auf alle von der überwachten Person erzeugten Signale - Ziffer 1.4.4 der Entschließung. Die Daten betreffen neben der überwachten Person auch die Teilnehmer, die diese Person kontaktieren oder von ihr kontaktiert werden .

Der Entschließung zufolge müssen die gesetzlich ermächtigten Behörden auch Zugang zu Daten haben, die bei Teilnehmern mobiler Dienste die Bestimmung des geographischen Standorts ermöglichen .

Diese Entschließung vom 17.1.1995 wird zur Zeit überarbeitet, insbesondere um sie an die neuen Kommunikationstechniken anzupassen. Der Textentwurf präzisiert u.a. die Anwendung der Überwachungsmaßnahmen auf den Fernmeldeverkehr über Satellit .

2. Ferner hat sich die Gruppe mit dem Anwendungsbereich der in der Ratsentschließung vom 17. Januar 1995 vorgesehenen Maßnahmen befaßt. Eine zu einem späteren Zeitpunkt erstellte, nicht veröffentlichte Fassung dieses Dokuments (½Absichtserklärung╗ vom 25. Oktober 1995) sieht vor, daß die Unterzeichner in bezug auf die Spezifizierungen im Bereich der Fernmeldeverkehrsüberwachung mit dem Direktor des ½Federal Bureau of Investigation╗ der Vereinigten Staaten Verbindung aufnehmen können. Vorbehaltlich des Einverständnisses der ½Teilnehmer╗ sollen dieser Fassung zufolge auch andere Staaten am Informationsaustausch teilnehmen und an der Überarbeitung und Aktualisierung der Spezifizierungen mitwirken können. Die Gruppe weist zum einen darauf hin, daß die Rechtstellung dieses Texts unklar ist - insbesondere was die gültige Unterzeichnung durch die betroffenen Länder angeht - und er, da nirgendwo veröffentlicht, nach der unten zitierten Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte für den Bürger nicht zugänglich ist. Zum anderen kommt darin der Wille zum Ausdruck, die technischen Vorkehrungen zur Überwachung des Fernmeldeverkehrs in Absprache mit Staaten zu entwickeln, die weder der Europäischen Menschenrechtskonvention noch den Richtlinien 95/46/EG und 97/66/EG unterliegen.

3. Die Gruppe stellt fest, daß die Ratsentschließung die technischen Aspekte der Überwachung des Fernmeldeverkehrs regeln soll, ohne die nationalen Vorschriften, die das Abhören in juristischer Hinsicht regeln, anzutasten. Einige der in der Entschließung zur Ausweitung der Überwachungsmöglichkeiten vorgesehenen Maßnahmen widersprechen jedoch den nationalen Vorschriften bestimmter EU-Mitgliedstaaten, die ein höheres Maß an Schutz vorsehen (insbesondere Ziffer 1.4, Zugriff auf die verbindungsrelevanten Daten, einschließlich der Verbindungen von Teilnehmern mobiler Dienste, ohne die zur Zeit verfûgbaren vorausbezahlten anonymen Dienste zu berücksichtigen; Ziffer 1.5: Informationen über den geographischen Standort von Teilnehmern mobiler Dienste und Ziffer 5.1: Verbot für Netzbetreiber/Diensteanbieter, Informationen über durchgeführte Überwachungsmaßnahmen nachträglich weiterzugeben).

4. Zwar verfolgt die Ratsentschließung das Ziel des ½Schutzes nationaler Interessen, insbesondere der staatlichen Sicherheit und der Aufklärung schwerer Verbrechen╗, die Gruppe möchte aber auf die Gefahr des Abgehens von diesen ursprünglichen Zielen aufmerksam machen, die durch eine Ausweitung der Überwachungs- und Entschlüsselungstechniken auf eine wachsende Zahl von Ländern - einige davon Drittländer - weiter verschärft würde.

Das Europäische Parlament vertritt in seiner Entschließung vom 16. September 1998 zu den transatlantischen Beziehungen die Auffassung, daß ½die wachsende Bedeutung des Internet und der weltweiten Telekommunikation im allgemeinen und das ECHELON- System im besonderen sowie die Gefahren ihres Mißbrauchs Maßnahmen zum Schutz wirtschaftlicher Daten und eine wirksame Kodierung erfordern╗. Diese Überlegungen verdeutlichen, mit welchen Risiken eine über Fragen der nationalen Sicherheit im engeren Sinne - und sogar über den "dritten Pfeiler" der Europäischen Union - hinausgehende Überwachung des Fernmeldeverkehrs verbunden ist. Vor allem in Anbetracht der gemeinschaftsrechtlichen Bestimmungen zum Schutz der Grundrechte und -freiheiten natürlicher Personen, insbesondere ihrer Privatsphäre, stellt sich die Frage nach ihrer Legitimität.

5. Die Gruppe weist auch darauf hin, daß das Inkrafttreten des Vertrags von Amsterdam hinsichtlich der Maßnahmen zur Überwachung des Fernmeldeverkehrs einen Wechsel der Rechtsgrundlage nach sich ziehen wird. Zur derzeitigen Befugnis des Rates, den Entschließungstext aufgrund der Artikel K.1(9) und K.3(2) des Vertrags zur Zusammenarbeit von Polizei und Justiz auszuarbeiten, tritt ein Initiativrecht der Europäischen Kommission aufgrund des neuen Artikels K.6 º 2.

6. Die Gruppe erinnert daran, daß jede Überwachung des Fernmeldeverkehrs, d.h. jede Kenntnisnahme von Inhalt von und/oder Daten im Zusammenhang mit privaten Telekommunikationsverbindungen zwischen zwei oder mehreren Teilnehmern durch einen Dritten, insbesondere der mit der Telekommunikationsnutzung verbundenen Verkehrsdaten, eine Verletzung des Rechts von Einzelpersonen auf Privatsphäre und eine Verletzung des Brief- und Fernmeldegeheimnisses darstellt. Nach Artikel 8 º 2 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten vom 4. November 1950 und seiner Auslegung durch den Europäischen Gerichtshof für Menschenrechte ist eine Überwachung nur zulässig, wenn sie drei Anforderungen genügt:

eine Rechtsgrundlage ist vorhanden, die Maßnahme ist in einer demokratischen Gesellschaft erforderlich und trägt zu einem der in der Konvention genannten Ziele bei . Die Rechtsgrundlage muß klare und ausführliche Bestimmungen über Grenzen und Modalitäten dieses Eingriffs umfassen, was insbesondere angesichts der kontinuierlichen Weiterentwicklung der technischen Hilfsmittel erforderlich ist .

Die Rechtsvorschrift muß der Öffentlichkeit zugänglich sein, damit die Bürger die Folgen ihres Verhaltens absehen können .

Eine großangelegte sondierende oder allgemeine Überwachung des Fernmeldeverkehrs muß darin untersagt sein .

7. Das in den Rechtssystemen der Mitgliedstaaten verankerte Recht auf Schutz der Privatsphäre ist auf Ebene der Europäischen Union in der Richtlinie 95/46/EG festgeschrieben. Die Grundsätze der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten vom 4. November 1950 und des Übereinkommens des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 28. Januar 1981 werden in dieser Richtlinie präzisiert. Die Richtlinie 97/66/EG konkretisiert die Bestimmungen der oben genannten Richtlinie, indem sie die Mitgliedstaaten verpflichtet, die Vertraulichkeit der über öffentliche Telekommunikationsnetze oder öffentlich zugängliche Telekommunikationsdienste übermittelten Nachrichten sicherzustellen.

Nach Artikel 13 Absatz 1 der Richtlinie 95/46/EG können die Mitgliedstaten Rechtsvorschriften erlassen, die bestimmte in der Richtlinie vorgesehene Pflichten (zum Beispiel im Hinblick auf die Datenerhebung) und Rechte (zum Beispiel das Recht, über eine Datenerhebung informiert zu werden) beschränken . Diese Ausnahmen müssen jedoch auf die dort genannten Fälle beschränkt bleiben, d.h. die Maßnahme muß zum Schutz der unter a) bis g) dieses Artikels genannten öffentlichen Interessen erforderlich sein. Diese sind u.a. die Sicherheit des Staates, die Landesverteidigung, die öffentliche Sicherheit und die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten. Auch nach Artikel 14 Absatz 1 der Richtlinie 97/66/EG dürfen die Mitgliedstaaten die Pflicht zur Wahrung der Vertraulichkeit von Nachrichten, die über öffentliche Netze übermittelt werden, nur beschränken, wenn dies für die Sicherheit des Staates, die Landesverteidigung, die öffentliche Sicherheit und die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten erforderlich ist.

8. Die Gruppe weist nachdrücklich darauf hin, daß die Pflichten, die die Richtlinien 95/46/EG (Artikel 17 Absätze 1 und 2) und 97/66/EG (Artikel 4, 5 und 6) Netzbetreibern und Diensteanbietern wie auch den Mitgliedstaaten in bezug auf Datensicherheit und -vertraulichkeit auferlegen, die Regel und nicht die Ausnahme sind. Sie erinnert daran, daß auch Artikel 7 des Übereinkommens des Europarates Nr. 108 vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten und Artikel 4 der Empfehlung Nr. 4 des Europarates vom 7. Februar 1995 zum Schutz personenbezogener Daten in der Telekommunikation, insbesondere bei Telefondiensten, den Netzbetreibern entsprechende Pflichten auferlegen .

9. Diese Pflichten implizieren zum einen, daß Netzbetreiber und Diensteanbieter Verkehrsdaten und die Fakturierung betreffende Daten nur unter bestimmten Voraussetzungen verarbeiten dürfen: ausgehend von dem Grundsatz, daß Verkehrsdaten betreffend Teilnehmer und Nutzer gelöscht oder anonymisiert werden müssen, sobald die Verbindung beendet ist, sind die Zweckbestimmungen, für die die Daten verarbeitet werden können, die Dauer ihrer eventuellen Aufbewahrung und der Zugang zu den Daten strikt begrenzt .

10. Zum anderen müssen Netzbetreiber und Diensteanbieter demnach die notwendigen Maßnahmen ergreifen, um die Überwachung des Fernmeldeverkehrs für Stellen, die gesetzlich nicht dazu berechtigt sind, je nach Stand der Technik zu erschweren oder unmöglich zu machen.

Die Gruppe unterstreicht in diesem Zusammenhang, daß der Einsatz effizienter modernster Techniken bei der legitimen Überwachung nicht zu einer generellen Absenkung des Niveaus der Vertraulichkeit und des Schutzes der Privatsphäre natürlicher Personen führen darf.

Besondere Bedeutung gewinnen diese Verpflichtungen, wenn der Fernmeldeverkehr zwischen Teilnehmern in den Mitgliedstaaten über Drittländer geleitet wird oder geleitet werden kann, was insbesondere bei der Nutzung von Satelliten oder des Internet der Fall ist.

11. In den unter die Richtlinie 95/46/EG fallenden Bereichen könnte die Tatsache, daß der Fernmeldeverkehr über die Europäische Union hinausgehend zugänglich gemacht wird, einen Verstoß gegen Artikel 25 der Richtlinie darstellen, da die ausländischen Stellen, die diesen Verkehr überwachen, nicht zwangsläufig ein angemessenes Schutzniveau nachweisen können.

D. Wahrung der Grundfreiheiten bei der Überwachung durch staatliche Behörden

12. In den einzelstaatlichen Rechtsvorschriften muß unter Beachtung aller oben genannter Bestimmungen klar und umfassend sein,

- welche Dienststellen zur Anordnung der rechtmäßigen Überwachung des Fernmeldeverkehrs berechtigt sind und welche Stellen zur Durchführung der Überwachung befugt sind, sowie welche Rechtsgrundlage es dafür gibt,

- welche Zwecke mit einer solchen Überwachung verfolgt werden können, anhand deren beurteilt werden kann, ob die Maßnahme in einem angemessenen Verhältnis zu den zu schützenden nationalen Interessen steht,

- daß jede allgemeine oder sondierende Überwachung des Fernmeldeverkehrs im großen Maßstab verboten ist,

- welche genauen Umstände und Bedingungen bei der Überwachung gegeben sein müssen (z.B. Tatbestand, der die Maßnahme rechtfertigt, Dauer der Maßnahme), wobei nach dem Grundsatz zu verfahren ist, daß jedes Eindringen in die Privatsphäre eines anderen als Ausnahmefall anzusehen ist ,

- daß die Achtung dieses Grundsatzes der Spezifizität als Folge des Verbots jeder allgemeinen oder sondierenden Überwachung insbesondere hinsichtlich der Verkehrsdaten impliziert, daß die staatlichen Behörden zu diesen Daten nur jeweils in Einzelfällen, nicht aber allgemein und proaktiv, Zugang haben.

- welche Sicherheitsvorkehrungen in bezug auf die Verarbeitung und die Speicherung der Daten getroffen wurden, sowie die Dauer ihrer Aufbewahrung,

- mit welchen besonderen Garantien personenbezogene Daten über Personen, die indirekt oder zufällig Gegenstand der Abhörung waren , verarbeitet werden können, insbesondere die Kriterien zur Rechtfertigung der Aufbewahrung der Daten und die Bedingungen für die Übermittlung dieser Daten an Dritte,

- wie die überwachte Person möglichst umgehend über die Überwachung zu unterrichten ist,

- nach welchen Modalitäten diese Dienste durch eine unabhängige Aufsichtsbehörde kontrolliert werden ,

- wie die tatsächlich praktizierte Politik der Überwachung des Fernmeldeverkehrs - bspw. in Form regelmäßiger statistischer Berichte - bekanntgegeben wird,

- unter welchen konkreten Bedingungen die Daten im Rahmen bi- oder multilateraler Vereinbarungen an Dritte weitergegeben werden können.