Gestern hat der Europäische Gerichtshof sein lange erwartetes Urteil über die Aufzeichnung des Surfverhaltens von Internetnutzern (auch Surfprotokollierung oder Tracking genannt) verkündet (Fall Breyer ./.Bundesrepublik, Az. C-582/14).
In Reaktionen und Berichten zu dem Urteil stoße ich mich immer wieder an drei Fehlschlüssen:
1. Der Gerichtshof hat keineswegs entschieden, dass unser Surfverhalten im Internet oder unsere IP-Adressen zur Abwehr von Angriffen, zur “Missbrauchsbekämpfung” oder zur “Störungsbeseitigung” verdachtslos auf Vorrat gespeichert werden dürften.
In Abs. 60 des Urteils heißt es nur in der Möglichkeitsform, Anbieter von Internetportale “könnten … ein berechtigtes Interesse daran haben, die Aufrechterhaltung der Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten.” Ob das tatsächlich der Fall ist und deswegen die Internetnutzung aller Bürger auf Vorrat gespeichert werden darf, werden die deutschen Gerichte entscheiden. Ich werde dafür kämpfen, dass rechtstreue Internetnutzer nicht aufgezeichnet werden und anonym surfen dürfen.
Allenfalls eine zielgerichtete Speicherung der Quelle eines Angriffs wäre aus meiner Sicht akzeptabel, nicht aber die dauerhafte und flächendeckende Aufzeichnung des Surfverhaltens völlig ungefährlicher Nutzer. Auch bei einer Speicherdauer von beispielsweise sieben Tagen wäre es inakzeptabel, das Surfverhalten der gesamten Bevölkerung – also von Nutzern, die mit Angriffen nicht das Entfernteste zu tun haben – flächendeckend aufzuzeichnen und dadurch hochsensible Inhaltsdaten Fehler- und Missbrauchsrisiken auszusetzen. In seinem Urteil zur Grundrechtswidrigkeit der Richtlinie zur Vorratsdatenspeicherung (Az. C‑293/12 und C‑594/12) kritisierte der EuGH zurecht die massenhafte Miterfassung von Personen, die in keinem auch nur entfernten Zusammenhang mit einer Straftat stehen.
Ein Gerichtsgutachten und die Praxis vieler Internetportale (z.B. Bundesdatenschutzbeauftragter, Bundesjustizministerium) belegen, dass Internetangebote auch ohne totale Aufzeichnung des Nutzerverhaltens sicher betrieben werden können. Das Bundesverfassungsgericht hat großen Wert auf die Feststellung gelegt, dass Internetnutzer durch das Telemediengesetz vor einer Aufzeichnung ihres Nutzungsverhaltens geschützt sind.
2. Der Europäische Gerichtshof hat das deutsche Telemediengesetz nicht für ungültig erklärt.
Das Telemediengesetz darf nur nicht mehr so ausgelegt werden, dass es eine Datenverarbeitung zur Gewährleistung der generellen Funktionsfähigkeit eines Dienstes von vornherein ausschließt. Ob und inwieweit eine Surfprotokollierung zur Gewährleistung der Funktionsfähigkeit eines Webservers geeignet, erforderlich und verhältnismäßig ist, wurde vom EuGH nicht entschieden und wird der Bundesgerichtshof zu entscheiden haben. Das Telemediengesetz bestimmt nach wie vor (§ 15 TMG): “Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich
ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten).“
3. Der Gerichtshof hat keineswegs entschieden, dass das Datenschutzrecht nur dann
gelte, wenn die speichernde Stelle selbst den Betroffenen identifizieren könne
(sogenannter relativer Begriff des Personenbezugs).
In Abs. 47 des Urteils wird vielmehr darauf abgestellt, dass sich Internet-Portalbetreiber anhand der in Surfprotokollen (Logfiles) enthaltenen IP-Adressen zulässigerweise – beispielsweise im Fall von “Cyberattacken” – “an die zuständige Behörde … wenden” können, damit diese die erforderlichen Informationen vom Internetzugangsanbieter anfordert und die Strafverfolgung einleitet. Die französische und englische Sprachfassung des Urteils ist an dieser Stelle deutlicher als die deutsche Übersetzung. Der Urteilsspruch selbst stellt aber auch in der deutschen Übersetzung darauf ab, ob es dem Betreiber möglich ist, den Anschlussinhaber anhand der Verbindungsdaten des Zugangsanbieters “bestimmen zu lassen”. Dies ist – beispielsweise im Fall einer Strafanzeige – stets der Fall, weil die Strafverfolgungsbehörden unter geringen Voraussetzungen eine Bestandsdatenabfrage vornehmen können. Nicht gefordert wird also, dass der Anbieter selbst eine IP-Adresse identifizieren oder die Identität in Erfahrung bringen kann. Gut so, denn das Recht auf informationelle Selbstbestimmung muss auch vor falschem Verdacht, unberechtigten Abmahnungen, Datenklau, Datenverlust und Datenmissbrauch schützen.
Insgesamt ist mein Ziel, nach der Vorabentscheidung des EuGH im weiteren Verfahren vor dem Bundesgerichtshof oder dem Bundesverfassungsgericht noch ein Verbot jeglicher massenhafter und flächendeckender Surfprotokollierung zu erstreiten.
Niemand hat das Recht, alles, was wir im Netz sagen und was wir tun, aufzuzeichnen. Was ich lese, schreibe und wonach ich suche, spiegelt meine privatesten und intimsten Interessen, Überzeugungen, Vorlieben und Schwächen wieder. Unser Leben wird immer digitaler, aber es darf damit nicht immer gläserner werden. Als Generation Internet müssen wir in der Lage sein, uns im Netz ebenso unbeobachtet und unbefangen informieren zu können, wie es unsere Eltern aus Zeitung, Radio oder Büchern tun konnten.
Dr. Patrick Breyer ist Landtagsabgeordneter in Schleswig-Holstein und seit April 2016 Vorsitzender der Piratenpartei.