Entwurf zur ePrivacy-Verordnung: Bundesratsausschüsse fordern grundsätzliche Überprüfung und Nachbesserung

 

Im Januar 2017 hat die Europäische Kommission ihren Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation) veröffentlicht. Mit der neuen ePrivacy-VO soll die geltende ePrivacy-Richtlinie ersetzt werden. Zudem sollen die Regelungen zum Schutz der Privatsphäre im Bereich der elektronischen Kommunikation an die Vorgaben der Datenschutz-Grundverordnung angeglichen und darauf abgestimmt werden.

 

Am 22.5.2017 haben der Ausschuss für Agrarpolitik und Verbraucherschutz, der Ausschuss für Innere Angelegenheiten,
der Rechtsausschuss und
der Wirtschaftsausschuss des Bundesrates ihre Empfehlungen (PDF) zu dem Verordnungsentwurf abgegeben.

 

Im Bundesrat wird der Vorschlag zu ePrivacy-VO am 2.6.2017 im Plenum behandelt und über die Ausschussempfehlungen beraten. Nachfolgend möchte ich einige der immerhin 24 seitigen Empfehlungen der Ausschüsse näher beleuchten:

 

Grundsätzlich begrüßen die Ausschüsse, dass in der Union einfache und klare Regelungen zum Umgang mit personenbezogenen Daten geschaffen werden sollen. Auch wird die Zielsetzung des Verordnungsvorschlags begrüßt, ein hohes Niveau des Schutzes der Privatsphäre für die Nutzerinnen und Nutzer elektronischer Kommunikationsdienste zu schaffen.

 

Jedoch machen die Ausschüsse auch sehr deutlich, dass sie ganz generelle Vorbehalte gegen den Entwurf haben:

 

 Der Bundesrat hält gleichwohl eine grundsätzliche Überprüfung und Nachbesserung des Verordnungsvorschlags auch unter Inkaufnahme von Verzögerungen des Rechtsetzungsverfahrens für unerlässlich, um neben Detailmängeln grundsätzliche Defizite bei der Abgrenzung des Rechtsaktes zur Datenschutz-Grundverordnung, dem notwendigen Ausgleich zwischen dem Schutz der elektronischen Kommunikation und Sicherheitsbelangen sowie der Ausgestaltung des Aufsichtsregimes zu beheben.

 

Abgrenzung zum Anwendungsbereich der Datenschutz-Grundverordnung

 

Nach Auffassung der Ausschüsse ist es erforderlich, den Fortbestand besonderer Regelungen für den Schutz personenbezogener Daten im Rahmen der ePrivacy-VO bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste angesichts des durch die Datenschutz-Grundverordnung geschaffenen umfassenden Rechtsrahmens kritisch zu hinterfragen.

 

Diesbezüglich werden die Ausschüsse dann noch konkreter. Insbesondere sehen sie diese Anforderungen bei den Regelungen des Kapitels II der ePrivacy-VO nicht erfüllt und bitten die Bundesregierung deshalb,

 

sich für eine grundlegende Überarbeitung des Verordnungsvorschlags einzusetzen.

 

Insbesondere halten die Ausschüsse eine umfassende und regelungsspezifische Überarbeitung der Abgrenzung zwischen den allgemeinen Anforderungen der Datenschutz-Grundverordnung und den besonderen Anforderungen des Verordnungsvorschlags als deren Präzisierung und Ergänzung für unerlässlich.

 

Zudem weisen die Ausschüsse auf Widersprüche zu den Vorgaben der Datenschutz-Grundverordnung hin. Nach Auffassung der Ausschüsse lässt die Mehrzahl der Regelungen für Telekommunikationsdienste nicht erkennen, inwieweit sie im Fall personenbezogener Daten die Datenschutz-Grundverordnung als lex specialis verdrängen oder von dieser weiterhin ergänzt werden.

 

Dies führt die Empfehlung der Ausschüsse an einem praxisrelevanten Beispiel aus: Regelungen wie die Anforderungen an „Unerbetene Kommunikation“ (Art. 16 ePrivacy-VO; also insbesondere werbende Ansprachen) führen nach Ansicht der Ausschüsse statt zu einer Ergänzung zu einer Aushöhlung der Regelungen der Datenschutz-Grundverordnung für Direktwerbung im Online- Bereich. Denn durch Art. 16 ePrivacy-VO wird der Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung und das spezifische Widerspruchsrecht nach Art. 21 Abs. 2 Datenschutz-Grundverordnung durch ein Einwilligungserfordernis ersetzt, das aber etwa nicht auf automatisierte Anrufsysteme beschränkt ist.

 

Anwendungsbereich

 

Kritisch äußern sich die Ausschüsse auch zum sachlichen Anwendungsbereich. Dieser soll, anknüpfend an das Marktortprinzip der Datenschutz-Grundverordnung, angepasst werden, da Art. 3 Abs. 1 der ePrivacy-VO diesen vorrangig im Hinblick auf Kommunikationsdienste und Endeinrichtungen bestimmt, aber andere verpflichtete Stellen (zum Beispiel Softwareanbieter oder Betreiber öffentlich zugänglicher Verzeichnisse) ausspart.

 

Die ePrivacy-VO soll als Neuerung auch auf elektronische Kommunikation Anwendung finden, die nicht nur zwischen natürlichen Personen stattfindet, sondern auch zwischen juristischen Personen und Maschinen (M2M-Kommunikation) erfolgt. Nach Ansicht der Ausschüsse könnte dies Geschäftsmodelle und Unternehmen im Rahmen von vernetzten Fahrzeugen, automatisierten Lieferketten oder Fuhrparklösungen, unter anderem in der Automobilindustrie und der Logistikbranche, betreffen. Vor diesem Hintergrund fordern die Ausschüsse die Prüfung, ob diese Ausdehnung des Anwendungsbereichs der ePrivacy-VO auf die Übermittlung von M2M-Kommunikation zielführend ist oder

 

ob dadurch heute gängige Abläufe in der europäischen Wirtschaft in Frage gestellt und Spielräume für Innovationen im Bereich Industrie 4.0, dem Internet der Dinge sowie in anderen neuen Geschäftsfeldern zu stark eingeschränkt werden.

 

Tracking

 

Auch dem Thema des On- und Offline-Trackings widmen sich die Ausschüsse. Ihrer Auffassung nach stellen werbefinanzierte Angebote einen integralen Bestandteil der Internetwirtschaft dar. Analysen des Nutzerverhaltens auf Webseiten oder in Apps werden gerade bei mittelständischen Unternehmen häufig durch Dritte (so genannte Third-Party- Cookies) durchgeführt. Die Ausschüsse kritisieren, dass Beschränkungen beim Einsatz von Datenanalysemechanismen künftig dazu führen könnten, dass gerade der Mittelstand auf dem Gebiet der Onlineplattformen massive Wettbewerbsnachteile erleidet.

 

Als Folge fordern die Ausschüsse, dass die Vorschrift des Art. 8 Abs. 1 lit. d) ePrivacy-VO auch auf den Einsatz von Third-Party-Cookies ausgedehnt wird. Dies würde bedeuten, dass keine Einwilligung der betroffenen Nutzer eingeholt werden muss, wie dies derzeit im Vorschlag für den Einsatz von Technologien zur Analyse der Kunden- und Besucherströme vorgesehen ist.

 

Unerbetene Kommunikation

Natürlich befassen sich die Ausschüsse auch mit den Vorgaben zur unerbetenen Kommunikation, also etwa der E-Mail-Werbung und Newslettern. Hier verlangen die Ausschüsse, dass jedenfalls die elektronische Kommunikation im Rahmen eines bestehenden Vertrags (Beispiele: Übermittlung von Rechnungen, Mahnungen, Rückfragen, Zusatzinformationen oder Verbrauchs- oder Messdaten bei Serviceverträgen) oder einer laufenden Kundenbeziehung, weiter uneingeschränkt möglich sein muss und diese Kommunikation gerade nicht unter den Begriff der „unerwünschten Kommunikation“ (Art. 16 ePrivacy-VO) fällt.

Aktueller Stand der geplanten ePrivacy-Verordnung: Mitgliedstaaten sehen viele offene Fragen

Im Januar 2017 hat die Europäische Kommission den Entwurf für eine neue Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation), pdf) veröffentlicht (zu dem ersten Leak des Entwurfs im Dezember 2016, hier mein Beitrag).

Die Verordnung (ePrivacy-VO) soll die geltende Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG in der Fassung durch RL 2009/136/EG) ersetzen, zum Teil neue Regelungen schaffen und inhaltlich mit der Datenschutz-Grundverordnung abstimmen. Grundsätzlich soll diese neue Verordnung zum 25. Mai 2018 anwendbar sein. Ein sehr ambitioniertes Vorhaben.

Der Entwurf wird nun von dem Europäischen Parlament und auch dem Rat der Europäischen Union begutachtet und jeweils eigene Stellungnahmen und Änderungswünsche erarbeitet. Im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres im Europäischen Parlament ist die Abstimmung derzeit zunächst für Oktober 2017 geplant.

Auch der Rat (also die Mitgliedstaaten) befasst sich mit dem Entwurf, dort insbesondere in einer eigenen Arbeitsgruppe für Telekommunikation und Informationsdienste (WP TELE). In dieser Gruppe wurden bisher die Artikel 1 – 8 (von insgesamt 29) des Entwurfs näher besprochen. Hier liegt also noch einiges an Arbeit vor der Arbeitsgruppe.

Doch bereits zum aktuellen Zeitpunkt der Beratungen lassen sich mehrere kritische Themen identifizieren, bei denen die Mitgliedstaaten Diskussions- und ggf. Anpassungsbedarf sehen. Über diesen aktuellen Stand hat nun die Ratspräsidentschaft in einem Bericht (pdf) vom 19. Mai 2017 informiert.

So wird etwa die geplante Zuständigkeit der nationalen Datenschutzbehörden für die Überwachung der Regeln der ePrivacy-VO und deren Durchsetzung kritisch gesehen. Insbesondere sei dies nach Auffassung einiger Mitgliedstaaten nicht unbedingt der passende Weg, um das Problem der uneinheitlichen Durchsetzung der Regelungen in Europa zu lösen.

Zwar wurden die Ziele des Entwurfs in der WP TELE grundsätzlich positiv bewertet, insbesondere ein hohes Schutzniveau für die Privatsphäre zu garantieren. Jede erfordere die angedachte Form der EU-Verordnung einen höheren Detailgrad der Regelungen (als im Fall einer Richtlinie). Aus diesem Grund halten Delegationen der Mitgliedstaaten den angedachten Zeitpunkt der Anwendbarkeit am 25. Mai 2018 daher auch für schlicht unrealistisch.

Zudem besteht aus Sicht der Mitgliedstaaten Klärungsbedarf bei dem Verhältnis und Zusammenspiel der Regelungen mit anderem europäischen Recht, insbesondere der Datenschutz-Grundverordnung.

Ganz konkret kritisieren Delegationen auch den sachlichen Anwendungsbereich der ePrivacy-VO. Die Ausweitung auf over-the-top-Dienste (OTT) erfordere weitere Klärung. Auch existieren offene Fragen mit Blick auf die Ausweitung des Anwendungsbereichs auf die Maschine-Maschine-Kommunikation.

Hier lässt sich bereits erkennen, dass die Kritik der Delegationen im Rat teilweise schon bei den ganz grundsätzlichen Regelungen und Neuerungen (etwa Einbeziehung der OTT Dienste) ansetzt.

Auch die Vorschriften zu den Erlaubnistatbeständen, wann also Kommunikationsdaten verarbeitet werden dürfen, sehen manche Delegationen also zu eng an und fordern mehr Möglichkeiten und Flexibilität.

Auch das Thema „Cookies“ wird von den Mitgliedstaaten analysiert und die Regelungen im Entwurf kritisiert. Einige Delegationen fordern genauere Bestimmungen zu den Ausnahmen vom generellen Verbot der Datenverarbeitung über Cookies und auch das Gerätetracking. Hier soll über eine Liste mit weiteren Ausnahmen (auch von der Einwilligung der Nutzer) nachgedacht werden.

EuGH-Urteil zur Datenverarbeitung auf der Grundlage berechtigter Interessen

Am 4. Mai 2017 hat der EuGH sein Urteil in der Rechtssache C-13/16 (Rigas) gefällt. Das Urteil selbst würde ich nicht als „datenschutzrechtlichen Knaller“ bezeichnen. Weitaus unterhaltsamer und bestimmt auch streitbarer sind die Schlussanträge des Generalanwalts aus Februar 2017, auf die ich schon einmal auf Twitter hingewiesen hatte.

In seinen Schlussanträgen nimmt sich Generalanwalt Bobek die Zeit für ein „Nachwort zum Datenschutz“ (ab Rz. 91), das er damit einleitet, dass es sich vorliegend „um einen etwas sonderbaren Fall“ handelt. Und:

Der Fall erzeugt nicht nur beim uninformierten Betrachter ein gewisses gedankliches Unwohlsein mit Blick auf die angemessene Anwendung und das vernünftige Wirken von Datenschutzvorschriften.

Zudem geht der Generalanwalt auch detaillierter auf den hier interessierenden Erlaubnistatbestand der Interessenabwägung (Art. 7 lit. f) EU-Datenschutzrichtlinie) ein (ab Rz. 60). Nun aber zurück zum Urteil des EuGH.

Das Gericht befasst sich mit der Frage, wie Art. 7 lit. f) EU-Datenschutzrichtlinie auszulegen und anzuwenden ist. Danach ist die Verarbeitung personenbezogener Daten zulässig, wenn die Verarbeitung erforderlich ist zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Art. 1 Abs. 1 EU-Datenschutzrichtlinie geschützt sind, überwiegen.

Zunächst stellt der EuGH fest, dass nach Art. 7 lit. f) EU-Datenschutzrichtlinie eine Verarbeitung personenbezogener Daten unter drei kumulativen Voraussetzungen zulässig ist:

  • berechtigtes Interesse, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden (1),
  • Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses (2) und
  • kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person (3).

Im Hinblick auf die erste Voraussetzung stellt der EuGH fest, dass „kein Zweifel daran besteht“, dass das Interesse eines Dritten, eine persönliche Information über eine Person zu erlangen, die sein Eigentum verletzt hat, um gegen sie eine Schadensersatzklage zu erheben, berechtigt ist.

Mit Blick auf die zweite Voraussetzung, die Erforderlichkeit, geht der EuGH als Grundsatz davon aus, dass sich jegliche Ausnahmen und auch Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten stets auf das absolut Notwendige beschränken müssen. In der Praxis muss sich eine datenverarbeitende Stelle also die Frage stellen, ob es (für das Grundrecht auf Schutz personenbezogener Daten) weniger einschneidende aber ebenso effektive Möglichkeiten gibt, um das Ziel zu erreichen bzw. einen bestimmten Zweck zu erfüllen.

Bei der letzten Voraussetzung (der Interessenabwägung) ist von Bedeutung, dass sich schematische oder standardisierte Vorgaben praktisch verbieten. Der EuGH stellt vielmehr zu recht fest, dass die Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen grundsätzlich von den konkreten Umständen des betreffenden Einzelfalls abhängt. Ein möglicher Faktor ist etwa die Beeinträchtigung der Grundrechte der Betroffenen in unterschiedlicher Intensität, je nachdem, ob die in Rede stehenden Daten z. B. öffentlich zugänglich sind oder nicht.

Die Auslegung des EuGH ist, wie bereits erwähnt, nicht absolut überraschend. Die Ausführungen des EuGH zu Art. 7 lit. f) EU-Datenschutzrichtlinie lassen sich auch auf die zukünftige Auslegung und Anwendung des Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung übertragen.

Neue IT-Sicherheitspflichten für Cloud-Dienste und Online-Marktplätze

Heute verabschiedet der Bundestag den Entwurf des Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (BT Drs. 18/11242, pdf).

Mit dem Gesetz wird, wie der Titel bereits erahnen lässt, die sog. NIS-Richtlinie umgesetzt. Diese trat am 8. August 2016 in Kraft und muss bis zum 9. Mai 2018 in nationales Recht umgesetzt werden.

Viele der Pflichten der NIS-Richtlinie wurden bereits 2015 durch das deutsche IT-Sicherheitsgesetz umgesetzt. Nun werden noch einige wenige, jedoch nicht minder relevante, Anpassungen im nationalen Recht vorgenommen, um die letzten offenen Pflichten umzusetzen. Neu eingeführt werden nun insbesondere Regelungen (vgl. § 8c BSIG) für digitalen Dienste. Das sind: Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste.

Neu ist auch, dass die Begriffe „Online-Marktplatz“, „Online-Suchmaschine“ und „Cloud-Computing-Dienst“ nun in Deutschland legal definiert werden (vgl. § 2 Abs. 11 BSIG).

Von den Pflichten für digitale Dienste ausgenommen sind solche Dienste, die von einer natürlichen Person oder von Kleinstunternehmen oder kleinen Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission (pdf) angeboten werden. Hierunter fallen Unternehmen, die weniger als 250 Personen beschäftigen und entweder höchstens einen Jahresumsatz von 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft.

Neue Begriffsbestimmungen

Online-Marktplätze (Abs. 9 Nr. 1): Dienste, die es Verbrauchern oder Unternehmern ermöglichen, Kaufverträge oder Dienstleistungsverträge mit Unternehmern entweder auf der Website dieser Dienste oder auf der Website eines Unternehmers, die von diesen Diensten bereitgestellte Rechendienste verwendet, abzuschließen. Umfasst sind daher auch B2B-Plattformen. Nicht erfasst werden Online-Dienste, die lediglich den Zugang zu dritten Diensten vermitteln, bei denen ein Vertrag geschlossen werden kann. Der Online-Marktplatz muss also der endgültige Bestimmungsort für den Abschluss dieser Verträge sein und darf nicht als Vermittler agieren (so Erwägungsgrund 15 der NIS-Richtlinie). Nach der NIS-Richtlinie zählen zu den Online-Marktplätzen sls Online Stores tätige „Application Stores“, die den digitalen Vertrieb von Anwendungen oder Software-Programmen von Dritten ermöglichen (z. B. also die großen App-Stores).

Online-Suchmaschinen (Abs. 9 Nr. 2): Dienste, die es Nutzern ermöglichen, Suchen grundsätzlich auf allen Websites oder auf Websites in einer bestimmten Sprache anhand einer Abfrage zu einem beliebigen Thema in Form eines Stichworts, einer Wortgruppe oder einer anderen Eingabe vorzunehmen, die daraufhin Links anzeigen, über die der Abfrage entsprechende Inhalte abgerufen werden können. Nicht hiervon erfasst sind Online-Dienste und Funktionen in IT-Anwendungen, die Suchen jeweils nur auf bestimmte Websites oder Domains ermöglichen. Nach Erwägungsgrund 16 NIS-Richtlinie sind hier von auch nicht Online-Dienste erfasst, die die Preise für bestimmte Produkte oder Dienste bei verschiedenen Unternehmern miteinander vergleichen und den Nutzer anschließend an den bevorzugten Unternehmer weiterleiten, damit er das Produkt dort kauft.

Cloud-Computing-Dienste (Abs. 9 Nr. 3): Dienste, die den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen. „Rechenressourcen“ umfassen verschiedene Arten der Ressourcen, wie Netze, Server oder sonstige Infrastruktur, Speicher und Anwendungen. „Skalierbar“ bedeutet, dass Rechenressourcen unabhängig von ihrem geografischen Standort vom Anbieter des Cloud-Computing-Dienstes flexibel zugeteilt werden können, um Nachfrageschwankungen zu bewältigten.

Pflichten

Nach dem neuen § 8c Abs. 1 BSIG haben Anbieter digitaler Dienste geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.

Die Schutzpflichten der Anbieter beziehen sich also etwa nicht auf Informationen oder in den Systemen gespeicherte Daten, sondern auf die „Sicherheit der Netz- und Informationssysteme“.

Nach § 8c Abs. 2 BSIG müssen diese Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Das erforderliche Sicherheitsniveau ist also nicht als absolut zu verstehen, sondern es hängt von einer Verhältnismäßigkeitsprüfung im konkreten Fall ab. Die notwendigen Maßnahmen sollen noch durch  Durchführungsrechtsakte der Kommission nach Art. 16 Abs. 8 der NIS-Richtlinie näher bestimmt werden.

Nach § 8c Abs. 3 S. 1 BSIG sind die Anbieter digitaler Dienste zudem verpflichtet, jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Bußgelder

Zudem wird auch der bestehende § 14 BSIG angepasst und damit die Bußgeldvorschriften auf die Anbieter digitaler Dienste ausgeweitet. Bußgeldbewehrt (bis zu 50.000 EUR) soll es in Zukunft sein, wenn gegen §§ 8c Abs. 1 S. 1, 8c Abs. 3 S. 1 oder 8c Abs. 4 Nr. 1 oder Nr. 2 BSIG verstoßen wird, also etwa eine Meldung nach § 8c Abs. 3 S. 1 BSIG nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vornimmt.

Die Bußgeldvorschriften gelten für alle Anbieter, die digitale Dienste innerhalb Deutschlands anbieten, sofern sie nicht ihre Hauptniederlassung in einem anderen Mitgliedstaat der Europäischen Union haben oder, sofern sie nicht in einem anderen Mitgliedstaat der Europäischen Union niedergelassen sind, dort einen Vertreter benannt haben und in diesem Mitgliedstaat dieselben digitalen Dienste anbieten.

Die vorgenannten Änderungen sollen nach § 15 BSIG ab dem 10. Mai 2018 anwendbar sein.

Vorbereitung auf die Datenschutz-Grundverordnung: Amazon Web Services bietet neue Verträge für Kunden an

Letzte Woche habe ich darüber berichtet, dass Microsoft seine Verträge zur Auftragsverarbeitung für Kunden anpasst, um den Anforderungen der ab Mai 2018 anwendbaren EU-Datenschutz-Grundverordnung (DSGVO) zu genügen.

Gestern hat nun ein weiteres großes US-Unternehmen nachgezogen. In einem Blogbeitrag informiert Stephen Schmidt, der Verantwortliche für Informationssicherheit bei Amazon Web Services (AWS), über die Neuerungen, die das Unternehmen mit Blick auf die DSGVO bereits eingeführt hat und auch noch umsetzen wird.

Bereits für Kunden verfügbar ist ein neuer Vertrag zur Auftragsverarbeitung („GDPR DPA“). Dieser ist nach Art. 28 Abs. 3 DSGVO zwingend erforderlich, wenn Amazon als Auftragsverarbeiter für seine Kunden personenbezogene Daten verarbeitet.

Nach Art. 28 Abs. 1 DSGVO darf der Verantwortliche, also der Kunde von Amazon, nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Diese hinreichenden Garantien bietet Amazon nun nach den Informationen im Blogbeitrag. Öffentlich zugänglich ist dieser neue Vertrag leider nicht.

Laut Amazon stehen Kunden zudem auch Teams aus Experten für Datenschutzrecht bei Amazon als Ansprechpartner zur Verfügung. Zudem verweist der englische Blogbeitrag auf eine Übersichtsseite zum EU-Datenschutz und dort vorhandenen neuen Informationen zur DSGVO. Auf der deutschen Seite sind jedoch derzeit nur Informationen zur noch geltenden Datenschutz-Richtlinie aufgeführt.

Zudem informiert Schmidt in dem Beitrag über Zertifizierungen, die AWS bereits erhalten hat. Mit dieser Form von Zertifzierungen (wie etwa ISO 27017 oder ISO 27018) ist es in der Praxis für die Kunden (als Verantwortliche) möglich, den gesetzlich vorgeschriebenen Nachweis zu führen, dass Amazon als ihr Dienstleister die gemäß Art. 32 DSGVO erforderlichen Maßnahmen zur Sicherheit der Verarbeitung ergreift.

Datenschutzbehörde: Datenschutz-Grundverordnung verpflichtet Hersteller von IoT-Geräten zu Sicherheits-Updates

Gestern hat die Landesdatenschutzbeauftragte in Nordrhein-Westfalen ihren Tätigkeitsbericht (pdf) für das Jahre 2016 vorgestellt.

In ihrem Bericht befasst die Datenschutzbeauftragte auch ausführlich mit den „Risiken und Nebenwirkungen des Internet der Dinge“ (IoT). Nach Auffassung der Datenschützerin verarbeiten die unterschiedlichsten vernetzten Dinge (wie Kühlschrank, Waschmaschine oder Fernseher) zum Teil höchst sensible und persönliche Daten. Betroffen hiervon sind auch „personenbezogene Daten“ im Sinne des Datenschutzrechts. Für die Datenschutzbeauftragte spielt, neben den reinen datenschutzrechtlichen Anforderungen (also insbesondere die Frage, ob bestimmte Daten überhaupt verarbeitet werden dürfen) auch die IT-Sicherheit als „Basisvoraussetzung“ bei der Gewährleistung des Datenschutzes im Internet der Dinge eine entscheidende Bedeutung.

Zur Beurteilung des Datenschutzes ist nach Ansicht der Datenschutzbeauftragten in den Blick zu nehmen, welche Daten die Geräte im Einzelnen erheben und was mit ihnen geschieht. Zwar wünsche sie sich eigentlich die Speicherung und Nutzung der Daten ausschließlich lokal auf den Geräten – dies sei in der Praxis jedoch kaum durchführbar, da Hersteller die Einbindung des Gerätes in die Cloud verpflichtend ausgestalten. Dies kritisiert die Datenschutzbeauftragte: die technische Notwendigkeit hierfür sei nicht ersichtlich.

Die im Zusammenhang mit dem IoT stehenden Themen beträfen zentrale Elemente der ab Mai 2018 anwendbaren EU-Datenschutz-Grundverordnung (DSGVO). Nach Ansicht der Landesdatenschutzbeauftragten verpflichtet die DSGVO (leider wird kein konkreter Artikel genannt) Hersteller dazu, angemessene Maßnahmen zu treffen, um die Einhaltung der Datenschutzgrundsätze sicherzustellen. Wahrscheinlich stellt die Datenschutzbeauftragte hier zum einen auf die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO ab. Danach ist der für die Datenverarbeitung  Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO aufgezählten Datenschutzgrundsätze  verantwortlich und muss dessen Einhaltung nachweisen können. Zudem dürfte die Datenschutzbeauftragte Art. 24 Abs. 1 DSGVO im Blick haben, nach dem der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzen muss, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt.

Zum Umfang dieser DSGVO-Pflichten gehört es nach Ansicht der Datenschutzbeauftragten auch,

bei der Produktentwicklung auch die IT-Sicherheit zu berücksichtigen und notfalls zeitnah Updates bereitzustellen.

Diese Pflichten fasst die Datenschutzbeauftragte auch unter den „Datenschutz durch Technikgestaltung“ nach Art. 25 Abs. 1 DSGVO.

Die Datenschutzbeauftragte geht in ihrer Stellungnahme jedoch leider nicht auf die Problematik ein, dass sowohl Art. 25 Abs. 1 DSGVO als auch Art. 24 Abs. 1 DSGVO nicht per se den Produkthersteller adressieren, sondern allein der „Verantwortliche“ verpflichtet ist. In der Praxis kann es aber durchaus vorkommen, dass der Hersteller eines vernetzten Produktes gar nicht als Verantwortlicher für die spätere Datenverarbeitung agiert. In diesem Fall ist der Hersteller aber auch nicht nach der DSGVO verpflichtet. Nicht ohne Grund verweist wohl daher auch Erwägungsgrund 78 DSGVO darauf, dass

die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden

sollten, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen. Von einer Verpflichtung der Hersteller ist hier keine Rede.

Die Datenschutzbeauftragte informiert dennoch abschließend, dass die Hersteller, auch im Hinblick auf die DSGVO, gefordert sind, ihre Angebote auf Konformität mit dem Datenschutzrecht zu überprüfen und entsprechend anzupassen.

In der Zukunft wird man abwarten müssen, wie die Vorgaben der DSGVO, die nicht „Hersteller“ adressieren, durch die Aufsichtsbehörden und im Streitfall auch durch die Gerichte ausgelegt werden. Klar ist jedoch, dass Datenverarbeitungen im Internet der Dinge den Anforderungen der DSGVO genügen müssen.

Vorbereitung auf die Datenschutz-Grundverordnung: Microsoft passt Verträge für Kunden an

In einem Blogbeitrag vom 17. April 2017 informiert der stellv. Chefsyndikus von Microsoft, Rich Sauer, dass das Unternehmen sich mitten in der Phase der Anpassung von Verträgen und technischen und organisatorischen Maßnahmen befindet, um den zukünftigen Anforderungen der EU Datenschutz-Grundverordnung (DSGVO) und damit vor allem den zukünftigen Pflichten der Kunden unter der DSGVO gerecht zu werden.

Kunden von Microsoft, die z.B. Softwareprodukte in Form von Cloud-Lösungen nutzen, werden datenschutzrechtlich betrachtet als Verantwortlicher in Bezug auf Daten agieren, die im Rahmen der Nutzung dieser Produkte verarbeitet werden. Microsoft nimmt in dieser Situation die Rolle des Auftragsverarbeiters ein, der personenbezogene Daten im Auftrag des Kunden verarbeitet.

Nach Art. 28 Abs. 1 DSGVO darf der Verantwortliche, also der Kunde von Microsoft, nur mit Auftragsverarbeitern zusammenarbeiten,

die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen

der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Zwischen dem Verantwortlichen und seinem Auftragsverarbeiter muss zudem ein Vertrag geschlossen werden (Art. 28 Abs. 3 DGSVO).

Zudem sieht Art. 28 Abs. 3 DSGVO weitere, verpflichtend in den Vertrag zwischen dem Verantwortlichen und Auftragsverarbeiter aufzunehmende, Inhalte vor.

Microsoft hat nun angekündigt, einige der von der DSGVO vorgesehenen vertraglichen Regelungen bereits gegenüber Kunden anzubieten. Eine kurze Übersicht zu diesen Änderungen findet sich hier in den FAQ unter „Is Microsoft making any commitments in its volume licensing agreements to comply with the GDPR?“. Hierbei scheint es sich um Anpassungen der Regelungen zum Datentransfer in Drittstaaten außerhalb der EU und etwa auch das Recht des Kunden zu handeln, auf Anfragen von betroffenen Personen (z.B. zur Auskunft oder Löschung von Daten) reagieren zu können. Eine solche vertragliche Regelung ist in Art. 28 Abs. 3 lit. e) DSGVO verpflichtend vorgesehen.

Die generelle Übersichtsseite zur DSGVO bei Microsoft steht auch auf Deutsch zur Verfügung, nur leider nicht jener Teil zu den vertraglichen Anpassungen.

Zudem listet Microsoft auf der Übersichtsseite die technischen und organisatorischen Maßnahmen für die jeweiligen Produkte auf, die bei dem Anbieter umgesetzt wurden. Nach Art. 32 Abs. 1 DSGVO ist auch der Auftragsverarbeiter, also hier Microsoft, verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Microsoft scheint damit der erste der „großen Spieler“ zu sein, die derart öffentlich mit Anpassungen seiner Verträge im Hinblick auf die DSGVO werben. Das bedeutet freilich nicht, dass andere Unternehmen nicht auch bereits Ergänzungen ihrer Verträge vorgenommen haben. Die Vertragsanpassungen sind derzeit nur für gewerbliche Kunden verfügbar. Etwas mehr als ein Jahr bleibt Unternehmen Zeit, die eigenen Datenverarbeitungsprozesse an die Anforderungen der DSGVO anzupassen. Hierzu gehört inbesondere auch die Ergänzung existierender Verträge zur Auftragsdatenverarbeitung.

EU-Datenschützer: Nicht jede Verarbeitung birgt ein hohes Risiko für Betroffene

Die Art. 29 Datenschutzgruppe hat den Entwurf für Leitlinien zur Datenschutz-Folgenabschätzung nach der EU-Datenschutz-Grundverordnung (DSGVO) veröffentlicht (pdf). Bis zum 23. Mai 2017 haben interessierte Kreise die Möglichkeit, den Entwurf der Leitlinien zu kommentieren.

Bekanntermaßen sieht die ab dem 25. Mai 2018 geltende DSGVO in Art. 35 Abs. 1 die Pflicht für den Verantwortlichen vor, vor Beginn einer geplanten Datenverarbeitung eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen, wenn diese Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Diese Folgenabschätzung ist zu dokumentieren.

Nach Art. 35 Abs. 4 DSGVO sind die Aufsichtsbehörden verpflichtet, eine Liste der Verarbeitungsvorgänge, für die ihrer Ansicht nach eine Datenschutz-Folgenabschätzung durchzuführen ist, zu erstellen und zu veröffentlichen.

Mit den nun im Entwurf vorliegenden Leitlinien, möchten die europäischen Datenschützer ihre Interpretation der zum Teil doch recht offen gehaltenen Begrifflichkeiten darlegen und zudem erste Empfehlungen für datenverarbeitenden Stellen aussprechen, insbesondere auch zu der noch offenen Frage, wann die Aufsichtsbehörden wohl von einem „hohen Risiko“ für die Rechte und Freiheiten natürlicher Personen ausgehen.

In dem Entwurf benennen die Datenschützer zehn Kriterien, die Verantwortliche berücksichtigen könnten, wenn sie im Zuge der Prüfung einer Verarbeitung das Merkmal des „hohen Risikos“ interpretieren sollen. Hohe Risiken können aus Sicht der Datenschützer etwa bei der Erstellung von Profilen von Personen bestehen oder aber auch bei der Übermittlung von Daten in Länder außerhalb des EWR. Je mehr der zehn Kriterien erfüllt sind, desto eher sei von einem hohen Risiko der Verarbeitung auszugehen.

Die Datenschützer nennen auch einige Praxisbeispiele und ordnen diese nach den Kategorien „Folgenabschätzung erforderlich: ja/nein“ ein. So soll eine Folgenabschätzung etwa nötig sein, wenn Daten aus öffentlichen Profilen in sozialen Medien entnommen werden, um mit diesen eigene Profile zu erstellen, z. B. für Kontaktverzeichnisse. Keine Folgenabschätzung sei jedoch erforderlich, wenn ein Onlineshop-Betreiber eingeschränkt personalisierte Werbung auf seiner Webseite einblendet, die sich aus Daten aus vergangenem Kaufverhalten ergibt.

Zudem weisen die Datenschützer darauf hin, dass ihrer Ansicht nach aktuell vorgenommene Verarbeitungen grundsätzlich nicht einer Folgenabschätzung unterzogen werden müssen. Dies würde sich jedoch ändern, wenn sich etwa die Datenquantität oder die Verarbeitungszwecke ändern.

Ganz generell gehen die Datenschützer, meines Erachtens durchaus diskutabel, davon aus, dass eine Folgenabschätzung spätestens alle drei Jahre zu wiederholen sei. Aus der DSGVO selbst ergibt sich diese Frist von drei Jahren nicht.

European Commission: EU-US Privacy Shield complies with the requirements of the General Data Protection Regulation

Maria Grapini, Member of the European Parliament, asked the European Commission what measures the Commission is planning to adapt the EU-US Privacy Shield, which exists since July 2016, in order to comply with the (partly new) requirements of the upcoming General Data Protection Regulation (GDPR).

The Privacy Shield is based on an adequacy decision by the Commission, just like the former Safe Harbor framework which was invalidated by the European Court of Justice (ECJ). The Privacy Shield provides one possibility to legally transfer personal data from the European Union to companies in the USA, self-certified under the Privacy Shield framework.

In her answer, Justice Commissioner Jourová expressed a rather optimistic view.

Firstly, the Commission refers to the standards for an adequacy finding to ascertain that a third country ensures “a level of protection that is essentially equivalent to that guaranteed within the European Union”.

According to Art. 25 para 6 of the current EU Data Protection Directive (95/46/EC), the Commission may find that a third country ensures an adequate level of protection by reason of its domestic law or of the international commitments it has entered into for the protection of the private lives and basic freedoms and rights of individuals.

In its answer, the Commission refers to the decision by the ECJ in the Schrems case (C-362/14) and its interpretation of Art. 25 para 6. According to the ECJ, the word “adequate” signifies that

a third country cannot be required to ensure a level of protection identical to that guaranteed in the EU legal order.

However, the term “adequate level of protection” must be understood as requiring the third country in fact to ensure a level of protection of fundamental rights and freedoms that is essentially equivalent to that guaranteed within the European Union.

According to the Commission, this means that it is not necessary for the third country in question to have data protection rules which are a “photocopy” of the EU system. It is especially not necessary that each individual provision in European data protection law is reflected in the third country’s legal order.

Secondly, the Commissioner further comments on the question of the continuation of existing adequacy decisions under the future GDPR. The Commission emphasizes that the GDPR rests on the same core principles, rights and obligations as Directive 95/46/EC.

The Privacy Shield framework already reflects these core elements.

The Commission is therefore assuming that the EU-US Privacy Shield adequately respects the data protection principles, rights and obligations of the future GDPR in order to fulfill the requirements for an adequacy decision as of May 2018.

However, the Commission points to Recital 146 of the EU-US Privacy Shield, according to which it will assess whether there might be a need to adapt the Privacy Shield decision in the light of the entry into application of the GDPR. According to Justice Commissioner Jourová, this will also form part of the discussions with the U.S. authorities in the context of the annual review planned for the second half of 2017.

EU-Kommission: EU-US Datenschutzschild erfüllt Anforderungen der Datenschutz-Grundverordnung

Von der Abgeordneten im Europaparlament, Maria Grapini, wurde die Europäische Kommission gefragt, welche Maßnahmen die Kommission zur Anpassung des seit Juli 2016 existierenden EU-US Datenschutzschildes an die EU Datenschutz-Grundverordnung (DSGVO) plant. Das Datenschutzschild stellt, wie früher Safe Harbor, eine Angemessenheitsentscheidung der Kommission zum Schutzniveau für personenbezogene Daten, die an Unternehmen in den USA übertragen werden, dar. In ihrer Antwort (txt) äußert sich die Justiz-Kommissarin Jourová recht optimistisch.

Zunächst geht die Kommission auf die an einen Angemessenheitsbeschluss zum Datenschutzniveau in einem Drittstaat zu stellende Anforderungen ein. Hierzu verweist die Kommission auf das EuGH-Urteil zu Safe Harbor (Rechtssache C?362/14). Nach Art. 25 Abs. 6 der EU-Datenschutzrichtlinie kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau gewährleistet. Nach dem EuGH impliziert das Wort „angemessen“ in Art. 25 Abs. 6,

dass nicht verlangt werden kann, dass ein Drittland ein dem in der Unionsrechtsordnung garantiertes identisches Schutzniveau gewährleistet.

Das Drittland muss aber aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleisten, das dem in der Union garantierten Niveau der Sache nach gleichwertig ist.

In Ihrer Antwort stellt die Kommission hierzu fest, dass dies bedeutet, dass ein Drittland keine „fotokopierten“ Datenschutzregelungen der EU vorhalten muss. Insbesondere müsse nicht jede einzelne Norm des europäischen Datenschutzrechts in dem Datenschutzrecht des Drittstaates vorhanden sein.

Interessant sind die Ausführungen der Kommission zu der Frage nach der Fortgeltung derzeit existierender Angemessenheitsbeschlüsse, die sich an den weniger umfassenden Anforderungen der EU-Datenschutzrichtlinie orientieren, nach der Anwendbarkeit der DSGVO ab dem 25. Mai 2018.

Nach Ansicht der Kommission fußt die DSGVO auf den Grundprinzipien und Regelungen der existierenden EU-Datenschutzrichtlinie. Der EU-US Datenschutzschild beinhalte bereits diese Kernelemente. Die Kommission geht also davon aus, dass der EU-US Datenschutzschild die Datenschutzgrundsätze, Rechte und Pflichten der DSGVO ausreichend beachtet, um auch ab Mai 2018 die Anforderungen an einen Angemessenheitsbeschluss unter der DSGVO zu erfüllen.

Dennoch weist die Kommission darauf hin, dass sie im EU-US Datenschutzschild ausdrücklich darauf hingewiesen hat (dort Erwägungsgrund 146), dass sie prüfen wird, ob im Zuge der Anwendung der DSGVO ein Bedarf für Anpassungen besteht. Diese Prüfung ist Bestandteil der vorgeschriebenen jährlichen Überprüfung des EU-US Datenschutzschilds, die für das zweite Halbjahr 2017 geplant ist.