von QUIRIN WEINZIERL
Dass der Supreme Court technologischen Entwicklungen stets einen Schritt hinterherhinkt, ist eine Binsenweisheit. Ein in der Informationsgesellschaft wesentlicher blinder Fleck des U.S.- Verfassungsrechts war der mangelnde Schutz vor dem staatlichen Zugriff auf private Daten, die Dritte gespeichert haben. Nun, im Fall Carpenter, sah der Supreme Court einen „seismic shift […] in digital technology“ und etablierte eben diesen Schutz für Mobilfunk-Standortdaten. Dies scheint 20 Jahre zu spät zu kommen. Nichtsdestotrotz gibt das Urteil Anlass zu Hoffnung.
Das verfassungsrechtliche Datenschutzrecht für die öffentliche Hand ruht in den USA im Vierten Zusatzartikel der U.S. Verfassung. Der dort verankerte Schutz vor Durchsuchungen („searches“), die nur auf richterlichen Beschluss („warrant“) stattfinden dürfen, schützt gerade auch vor staatlicher Überwachung und Datensammlung.
Der Status Quo: Reasonable Expectation of Privacy und Third Party Doctrine
Herzstück der Rechtsprechung des Supreme Courts zur Einordnung einer staatlichen Informationserhebung als Durchsuchung, mithin eines Eingriffs i.S. deutscher Grundrechtsdogmatik, ist die Reasonable Expectation of Privacy (REOP)-Doktrin. Entwickelt hat die REOP-Doktrin Richter Harlan in einer wegweisenden Dissenting Opinion im Fall Katz (1967) (s. hierzu Thomas, Dissent S. 2 ff.).
Danach liegt eine Durchsuchung vor, wenn der Einzelne in Bezug auf die erhobenen Daten eine REOP hatte. Er muss im spezifischen Kontext eine ‚actual (subjective) expectation of privacy‘ hinsichtlich der gesammelten Informationen haben, die besteht „when an individual seeks to preserve something as private“ (S. 5). Diese Erwartung muss auch ‚reasonable‘ sein, d.h. „one that society is prepared to recognize as reasonable“ (S. 5). Dahinter verbirgt sich eine Abwägungsentscheidung zwischen dem Schutzinteresse des Einzelnen und den staatlichen Ermittlungsbefugnissen. In der Sache knüpft die REOP-Doktrin also nur bedingt an die tatsächliche expecation of privacy an. Sie stellt vielmehr eine normative Grenzziehung dar.
In Anwendung des REOP-Tests nahm der Supreme Court einen wesentlichen Teil von Informationen aus dem Schutzbereich faktisch aus: Solche, die sich in den Händen Dritter befinden. Nach der Third Party Doctrine (TPD) hat der Einzelne keine REOP hinsichtlich des staatlichen Zugriffs auf Informationen, die er freiwillig („voluntarily“) Dritten offenbarte – auch dann nicht, wenn er davon ausging, dass diese nur für gewisse Zwecke benutzt würden (S. 9). Der Supreme Court befand in den Fällen Miller (1976, Bankdaten) und Smith (1979, Telefonverbindungsdaten), dass der Einzelne mit der freiwilligen Offenbarung bewussten das Risiko einer Weitergabe eingeht (‚assumption of risk‘, s. S. 10).
Gerade die konservativen Richter sahen in der REOP-Doktrin jedoch einen ahistorischen, letztlich jede staatliche Überwachung rechtfertigenden Schein-Test (s. hierzu die Kritik von Thomas, Dissent S. 5 ff.). Daher entwickelte der Supreme Court in jüngerer Zeit eine Art Kernbereichsschutz des Vierten Zusatzartikels, der neben dem REOP-Test steht. In den zwei von Antonin Scalia verfassten Urteilen Jones (2012) und Jardines (2013) stellte er fest, dass eine Durchsuchung jedenfalls dann vorliegt, wenn der Staat zur Informationserhebung (hier von GPS-Daten) physisch in den privaten Bereich eindringt (New Trespass Theory).
Bis zur Entscheidung in Carpenter bestand Schutz vor staatlicher Informationsgewinnung also in zwei Fällen: Einerseits bei einem physischen Eindringen in einen geschützten Bereich, andererseits bei der Verletzung einer REOP. Eine REOP bestand aber nach der TPD gerade nicht hinsichtlich Informationen, die ein Dritter über eine Person hat.
Der Fall Carpenter: Aufgabe der Third Party Doctrine
Eben eine solche Situation lag im Fall Carpenter vor. Hier ging es um Standortdaten, die Mobilfunkanbieter sammeln, wenn sich ein Mobiltelefon in das Netz einer Funkantenne einwählt (Cell-Site Location Information, CSLI). Die Regierung erhielt von einem Mobilfunkanbieter ohne einen „warrant“ 12 898 solcher Standortdaten, die einen Zeitraum von 127 Tagen abdeckten.
In seinem Urteil, verfasst von John Roberts, hält der Supreme Court nun fest, dass derartige CSLI einerseits Standortdaten ähnlich GPS-Daten betreffen. Standortdaten stehen in Roberts Lesart von Jones und Jardines unter besonderem Schutz. Damit gibt er den New Trespass Theory-Fällen en passant ein besonderes Framing: In seiner Auslegung schützen diese nicht den physischen Bereich, sondern gerade „a person’s expectation of privacy in his physical location and movements“ (S. 7). Carpenters CSLI-Daten sind damit grundsätzlich geschützt.
Gleichzeitig befinden sich diese Daten in der Hand Dritter, nämlich der Mobilfunkanbieter. Somit läge eigentlich eine nicht geschützte TPD-Situation vor. Hier nun zeigt sich die Bedeutung des Falles. Denn Roberts hält fest, dass eine „Ausdehnung“ (S. 11) der TPD auf CSLI über den (historischen) Zweck des Vierten Zusatzartikels hinausginge. Seiner Meinung nach weisen die involvierten CSLI-Daten qualitative Unterschiede zu den Daten in Miller und Smith auf. Ein ständig mitumhergetragenes Smartphone, das die permanente Erfassung von Standortdaten erlaubt, stellt nach Roberts Ansicht ein „neues Phänomen“ dar.
Deshalb bestehe, trotz der TPD-Situation, eine „expectation of privacy“, die auch „reasonable“, also geschützt, sei. Bei dieser Beurteilung tritt Roberts im Kern in eine Abwägungsentscheidung ein. Wesentlich stellt er dabei darauf ab, welche Bedeutung die gesammelten Informationen für den Einzelnen haben. Sie erlauben ein „intimate window into a person’s life“ und ermöglichen Rückschlüsse auf “familial, political, professional, religious, and sexual associations”. Die Erhebung der CSLI-Daten ist deshalb – von einer möglichen de minimis Grenze für punktuelle und „real-time“ Abfragen abgesehen (S. 11, Fn. 3; 17-18) – eine Durchsuchung und bedurfte eines warrant.
Seismic Shift in Constitutional Doctrine?
Mit diesem Urteil schränkte der Supreme Court die TPD erheblich ein. Auch hinsichtlich Daten in der Hand Dritter kann nunmehr eine REOP (in Roberts Worten ein „legitimate privacy interest”) bestehen. Dahinter scheint ein tieferer Bewusstseinswandel – jedenfalls Roberts und der vier liberalen RichterInnen um ihn – zu liegen. Die verbleibenden vier konservativen Richter schlagen einen anderen Weg ein: in ihren Augen schützt der Vierte Zusatzartikel eigentlich nur das Eigentum (s. Kennedy, Dissent S. 8 ff.; eher auf eine generelle rechtliche Zuordnung stellt Gorsuch ab, Dissent S. 12 f.). Gleichzeitig scheinen auch sie – allen voran Gorsuch (Dissent S. 14 ff.) – bereit, auf dieser Grundlage die TPD im Ergebnis aufzugeben.
Zwei Entwicklungen sind von besonderer Bedeutung. Erstens kommt der Supreme Court immer stärker davon ab, Personen eine REOP aufgrund formaler Überlegungen wie der „assumption of risk“ abzusprechen. Bereits in Smith und Miller war die Freiwilligkeit der Datenoffenbarung eine Fiktion, da die Nutzung bestimmter Dienste für gesellschaftliche Teilhabe unverzichtbar ist. Solche sozialen Notwendigkeiten preist Roberts nun ausdrücklich ein (vgl. S. 17). Dieser Gedanke lässt sich auf andere Dienste der Informationsgesellschaft, gerade die sozialen Medien, übertragen. Gesellschaftliche Teilhabe ist ohne ihre Nutzung heute schwer vorstellbar. Die von Roberts gewählte Begründung greift – obwohl die Entscheidung „a norrow one“ (S. 17 f.) sein soll – ebenso für diese. Auch hinsichtlich solcher Daten in den Händen Dritter könnte die TPD fallen.
Zweitens justiert der Supreme Court – d.h. die tragende Mehrheit – das Schutzziel des Vierten Zusatzartikels nach. Er erkennt an, dass staatliche Datensammlung die Privatheit in schwerwiegender Weise beeinträchtigen kann – nicht (nur) wegen Eingriffen in den persönlichen Bereich oder frustrierterer Erwartungen, sondern da sie eine Profilbildung erlaubt (worauf die Dissenter mit keinem Wort eingehen). Entscheidend für das Vorliegen einer Durchsuchung sind nunmehr die Möglichkeiten, die sich aus der Verwendung der Daten ergeben. Gerade Datensätze von Facebook und Co. sowie Big Data Analysen ermöglichen eine umfassende Profilbildung und sogar die Erschaffung neuer Erkenntnisse und Daten. Dank der Begründung in Carpenter zeichnet sich ab, dass derartige Daten nun ebenfalls vor staatlichem Zugriff geschützt sind.
Damit nähert sich das Datenschutzrecht auf beiden Seiten des Atlantiks an. Der Fokus auf dem persönlichkeitsbeeinträchtigenden Zugriff auf private Daten liegt auch den Entscheidungen des BVerfG zur Vorratsdatenspeicherung zu Grunde (BVerfGE 121, 1 (20)). Schließlich könnte diese Neuausrichtung auch für die Bewertung des Privacy Shield durch den EuGH von Bedeutung sein – der mangelnde Schutz vor staatlichem Zugriff auf Daten Privater war ein Hauptkritikpunkt des EuGH an Safe Harbor (insbes. EuGH Rs. C-362/14, Rn. 94).
Bei den Neuerungen in Carpenter handelt es sich trotz Kennedys Rücktritt nicht um ein einmaliges verfassungsrechtliches Beben. Denn nicht Kennedy, sondern Roberts war der entscheidende swing voter. Damit steht der Supreme Court gerade am Anfang, den „seismic shift[…] in digital technology“ (S. 15) in einen verfassungsrechtlichen ‚seismic shift in constitutional doctrine‘ zu übersetzen.
Zitiervorschlag: Weinzierl, Der Fall Carpenter – Seismische Veränderungen im U.S. Datenschutzrecht?, JuWissBlog Nr. 69/2018 v. 11.7.2018, https://www.juwiss.de/69-2018/
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz.
1 Kommentar. Hinterlasse eine Antwort
[…] QUIRIN WEINZIERL reports on the US Supreme Court ruling in the Carpenter case, which – 20 years late – establishes some protection against state access to private mobile phone location data (German). […]