Datenschutz bei Satellitendaten: Greift die DSGVO im Weltall?

Fachbeitrag

Wer hat sich nicht schon einmal gefragt, ob auf den Fotos von der Erde, die von einem Satelliten gemacht werden, beim Zoomen private Details zu sehen sind? Dieser Beitrag beschäftigt sich mit datenschutzrechtlichen Fragen zu Daten aus dem Weltall von terrestrischen Geschehnissen, wie der Zugang zu den Daten für jeden frei oder auch käuflich ist und was dieser Zugang für datenschutzrechtliche Konsequenzen hat.

Demokratisierung der Satellitenbilder

Im Zuge der Berichterstattung in der Ukraine wurden vermehrt Aufnahmen vom Kriegsgeschehen von Satelliten in den Medien gezeigt. Dies unter anderem auch um zu verifizieren, dass die Bombardierungen und Zerstörungen tatsächlich stattfanden. Daten aus dem All unterstützen die Medien immer mehr bei ihrer Arbeit. Die Aufnahmen können von den Medienhäusern gezielt bei Satellitenbildfirmen in Auftrag gegeben werden.

Ursprünglich hatten nur Staaten das nötige Budget, Satelliten ins All zu schicken, die dann für militärische und nachrichtendienstliche Zwecke genutzt wurden. Inzwischen können auch private Anbieter kleinere Satelliten finanzieren. Es ist ein Markt für Satellitenbilder entstanden. Die „Fernerkundungsindustrie“ besteht sowohl aus öffentlich geförderten als auch aus privaten Anbietern.

Anbieter und Nutzen

Öffentliche Raumfahrtagenturen können ihre Daten kostenfrei zur Verfügung stellen, wie zum Beispiel über das Portal der Stadt Hamburg.

Die privaten Anbieter dagegen verfügen über eine höhere Auflösung und damit eine größere Genauigkeit, die für die Analyse der Inhalte eine entscheidende Rolle spielt. Alle 1,6 Stunden wird ein neues, hochauflösendes Bild gefertigt. Die Bildqualität mit digital aufbereiteten 15 Zentimetern pro Pixel ist sehr hoch, sodass sich Bewegungen nachvollziehen lassen. Gesichtserkennung und Echtzeitbilder sind derzeit noch nicht möglich – es ist aber nur eine Frage der Zeit, bis die Technologie auch dies ermöglicht.

Private Geo-Imaging-Dienste machen Aufnahmen, die dann in verschiedenster Weise genutzt werden können, zum Beispiel um das Wetter vorherzusagen, Staus zu umgehen, Gebäude und Grundstücke zu suchen etc. und natürlich für private Zwecke, wie z.B. die Überwachung des eigenen Hauses während des Urlaubs.

Datenschutz im All?

Jedes Gesetz hat einen räumlichen Anwendungsbereich, für das es gilt. In der Regel ist der Anwendungsbereich das Hoheitsgebiet, z.B. ein Staat. Das All, also der Weltraum, unterliegt jedoch keinem Hoheitsgebiet wie der Luftraum, in dem Flugzeuge fliegen. Um die Nutzung des Weltraumes dennoch juristisch zu regeln, wurden zunächst der Weltraumvertrag geschlossen und später das Satellitendatensicherheitsgesetz erlassen.

Weltraumvertrag

Während des Kalten Krieges kam die Idee, einen Weltraumvertrag zu schließen. Der „Vertrag über die Grundsätze zur Regelung der Tätigkeiten von Staaten bei der Erforschung und Nutzung des Weltraums einschließlich des Mondes und anderer Himmelskörper“ wurde am 27. Januar 1967 auf Basis der Erklärung der Vereinten Nationen vom 13. Dezember 1963 zu den Rechtsgrundsätzen hinsichtlich der Tätigkeiten im Weltraum vereinbart. Ziel des Vertrages war die Verhinderung der Inbesitznahme der Himmelskörper durch einzelne Staaten (damals der Sowjetunion und der USA; geregelt in Art. II). Außerdem sollten keinerlei Kernwaffen in den Weltraum verbracht werden (Art. IV) und der Weltraum nur für friedliche Zwecke, zivile Raumfahrt und Weltraumforschung genutzt werden, was jedem Staat explizit gestattet ist. Es gilt das Prinzip der Nutzungsfreiheit des Weltalls.

Ergänzende Prinzipienkataloge

Die ergänzenden Prinzipienkataloge sind für die Mitglieder der Vereinten Nationen rechtlich nicht bindend, sind aber als Resolutionen angenommen worden. Diese speziellen Regelungen kamen zustande, weil Entwicklungsländer, die keine eigenen Satelliten besaßen, Anspruch auf Zugriff der Daten von über ihrem Land kreisenden Satelliten erhoben. Es bestand das unbeschränkte Recht zur Fernerkundung ohne vorherige Zustimmung des erkundeten Staates oder eine Mitteilung an diesen. Im Gegenzug hatte der erkundete Staat Anspruch auf die gesammelten Daten aufgrund des Gedankens der Nichtdiskriminierung und gegen Vergütung. Hier wird wieder klar, dass der Weltraum keinem Hoheitsgebiet unterliegt, Satelliten frei um die Erde kreisen und unbeschränkt Aufnahmen machen.

Satellitendatensicherheitsgesetz (SatDSiG)

Mit dem „Gesetz zum Schutz vor Gefährdung der Sicherheit der Bundesrepublik Deutschland durch das Verbreiten von hochwertigen Erdfernerkundungsdaten“ (kurz: Satellitendatensicherheitsgesetz oder SatDSiG), das 2007 in Kraft trat, versucht der Gesetzgeber, sicherheits- und außenpolitische Interessen des Staates einerseits und privatwirtschaftliche bzw. wissenschaftliche Interessen miteinander zu vereinbaren. Das SatDSiG gilt nur für Satellitenbetreiber, die in Deutschland ansässig sind. Neben Deutschland haben auch die USA, Kanada, Japan und Frankreich ein solches Gesetz verabschiedet. Hintergrund war, dass die Qualität privater Satelliten mittlerweile der von militärisch und nachrichtendienstlich genutzten Satelliten des Staates entspricht und damit ein potenzielles Sicherheitsrisiko darstellt.

Genehmigungsvorbehalt und Satelliten-Geodaten

Gemäß § 3 Abs. 1 SatDSiG bedarf der Betrieb eines hochwertigen Erdfernerkundungssystems der Genehmigung. Vorab prüft das BAFA (Bundesamt für Wirtschaft und Ausfuhrkontrolle), welche Daten der Satellit sammeln wird.

Denn der Satellit sammelt sogenannte Geodaten. Geodaten sind im Sinne des § 2 Abs. 1 Nr. 2 SatDSiG

„Signale eines Sensors oder mehrerer Sensoren eines Orbital- oder Transportsystems und alle daraus abgeleiteten Produkte, unabhängig vom Grad ihrer Verarbeitung und der Art ihrer Speicherung oder Darstellung.“

Die Geodaten umfassen eben nicht nur Bilder, sondern alle weiteren Signale. Durch den Empfang und die Verwertung dieser Signale lassen sich Internetdaten, Telefonverbindungen, GPS-Tracker, Kreditkartengebrauch oder Daten von RFID-Sensoren zuordnen und geografisch lokalisieren.

Geodatenzugangsgesetz (GeoZG)

Sind die Geodaten von (deutschen) staatlichen Erdfernerkundungssystem erhoben worden, unterliegen sie dem Geodatenzugangsgesetz (GeoZG). In § 11 Abs. 1 GeoZG ist geregelt, dass Geodaten und Geodatendienste einschließlich zugehöriger Metadaten öffentlich zur Verfügung zu stellen sind. Eine Ausnahme gemäß § 12 GeoZG besteht dann, wenn der Zugang nachteilige Auswirkungen auf die internationalen Beziehungen, bedeutsame Schutzgüter der öffentlichen Sicherheit oder die Verteidigung hat. Hier wird nochmals deutlich, dass Geodaten für jedermann zur Verfügung stehen.

Sind Geodaten personenbezogene Daten im Sinne der DSGVO?

Grundsätzlich gilt: Alle Daten – demnach auch Geodaten – sind dann vom Schutzbereich der DSGVO umfasst, wenn ein Bezug zu einer natürlichen Person hergestellt werden kann. Es wird nicht zwischen staatlich oder privat erhobenen Geodaten unterschieden. Denn „personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, Art. 4 Nr. 1 DSGVO. Im Umkehrschluss bedeutet dies, dass sofern kein personenbezogener Verarbeitungszusammenhang besteht, die Geodaten nicht in den Anwendungsbereich der DSGVO fallen.

Per se sind z.B. Bilder aus dem All in erster Linie orts- und sachbezogene Informationen. Es ist aber auch möglich, dass durch die mit der digitalen Erfassung, Aufbereitung und Bereitstellung der Geodaten bestehenden Verknüpfungsmöglichkeiten mit anderen Informationen, insbesondere Identifikationsdaten einer Person, der Personenbezug hergestellt wird. Gerade bei Geodaten sind die Übergänge fließend und hängen oft vom Detaillierungsgrad der Information ab.

Bei der Konkretisierung hilft der Erwägungsgrund 26 Satz 3 und 4 zur DSGVO:

„Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern.“

„Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.“

Geodaten können Aussagekraft über eine Person bezüglich ihres Aufenthaltes, ihrer Nutzungsbeziehung zur abgebildeten Umwelt oder zum Eigentum haben. Sind Angaben jedoch zu großflächig und damit zu allgemein, kann kein Personenbezug angenommen werden. Die Übermittlung von Art und Umfang der wirtschaftlichen Flächennutzung eines Zielgebiets hat der Europäischen Gerichtshof (EuGH, Urt. v. 14.2.2000, Rs. C-369/98) jedoch als personenbezogene Daten angesehen.

Auch wenn bei der Frage, ob Personenbezug besteht, alle objektiven Faktoren berücksichtigt werden müssen, also insbesondere auch der erforderliche Zeitaufwand, wird es immer einfacher, kostengünstiger und schneller, den Personenbezug zu den Geodaten herzustellen. Der Name und die Adresse einer Person reichen aus, um im Zusammenhang mit den Geodaten ihre soziodemographischen Daten, wie z.B. Wohnort und Eigentumsverhältnisse für die Bonitätsprüfung einer Kreditvergabe automatisiert heranzuziehen. Im Ergebnis dürfte in vielen Fällen die DSGVO mit ihren Regelungen Anwendung finden, sofern der Verstoß in dem Geltungsbereich der DSGVO stattfindet und die Voraussetzungen vorliegen.

Ist eine einheitliche globale Regelung denkbar?

Die öffentlich oder privat gesammelten Daten aus dem Weltall werden weiterhin auch für jeden frei zugänglich oder käuflich sein, je nachdem, wofür sie gebraucht werden. Dass eine einheitliche globale Datenschutzregelung gefunden wird, ist unwahrscheinlich, da bereits die (friedliche) Nutzung des Weltalls zwischen den Ländern höchst strittig ist und immer wieder thematisiert wird. Um eine Einigung zu finden, müssten alle die gleichen Interessen verfolgen und Datenschutz gehört gewiss nicht dazu, wie leider bereits oft klar geworden ist.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.