Datenschutz im Auto – Bundesregierung: „höchst komplex“

Das vernetzte Auto als Teil des Internets der Dinge wirft gerade auch im Bereich des Datenschutzrechts neue Fragen auf. Häufig drehen sich diese um das „Eigentum“ an Daten (wobei diese Begrifflichkeit im Datenschutzrecht verfehlt erscheint). Wer darf im Fahrzeug erhobene Daten verwenden? Wem „gehören“ diese Daten?

Auf eine kleine Anfrage der Fraktion Bündnis 90/Die Grünen im Bundestag hat nun die Bundesregierung ihre Sichtweise zum Thema „Datenschutz im Auto“ (BT-Drs. 18/1362, PDF) dargelegt.

Zunächst ist es der Bundesregierung wichtig, zwischen zwei Datenkategorien zu differenzieren: zum einen den Daten für Fahrzeugfunktionen (Daten in den Steuergeräten) und zum anderen den Daten für Servicefunktionen (Daten, welche bei der Nutzung des Infotainmentsystems anfallen).

Und wem „gehören“ diese Daten nun? Nach Ansicht der Bundesregierung besitzt der Fahrzeughalter grundsätzlich die tatsächliche Verfügungsgewalt über Daten in den Steuergeräten. Er entscheidet über die Verwendung des Fahrzeugs und ist für dessen verkehrssicheren Zustand verantwortlich. Rein faktisch stellt sich jedoch das Problem, dass die Daten für den Halter nutzlos sind, da er zum einen nicht die Geräte besitzt, um sie auslesen zu können. Zum anderen wird der Halter kaum das Fachwissen besitzen, um aus den ausgelesenen Daten Rückschlüsse ziehen zu können, sie also zu verstehen. Hierbei handeln die Stellen, welche die Daten auslesen und auswerten können zumeist im Auftrag des Halters. Bei zusätzlichen Servicefunktionen wird oft mit dem Hersteller selbst ein zivilrechtlicher Vertrag abgeschlossen, auf dessen Grundlage Daten verarbeitet werden dürfen.

Die Frage nach „Rechten an Daten“ stellt sich nach der Bundesregierung als „höchst komplex“ dar. Zum einen, weil das BDSG eine Art des Eigentums an Daten nicht kenne. Es unterscheidet zwischen dem für die Verarbeitung Verantwortlichen (und eventuell noch in seinem Auftrag Handelnden) und dem Betroffenen. Betroffener ist grundsätzlich der Fahrzeughalter und/oder Fahrer. Jedoch ist es auch durchaus denkbar, dass der Betroffene selbst der für die Verarbeitung Verantwortliche ist. Dies hängt nach der Bundesregierung davon ab, ob er selbst die Datenherrschaft über die gespeicherten Daten ausüben kann. Fehlt es an einer solchen effektiven Ausübungsmöglichkeit, etwa weil die technischen Geräte zum Auslesen der Daten fehlen oder die entsprechende Kenntnis nicht vorhanden ist, so ist nach Ansicht der Bundesregierung derjenige verantwortlich, der diese Gerätschaften oder Kenntnis besitzt. Also z. B. die Werkstatt oder der Hersteller. Deren Verantwortlichkeit liegt jedoch wiederum dann nicht vor, wenn sie ihre Aufgaben und Datenverarbeitungsvorgänge im Auftrag des Fahrzeughalters ausführen.

Interessant ist, dass die Bundesregierung die datenschutzrechtliche Verantwortlichkeit an die Datenherrschaft anknüpft. Diese wiederum bestehe aus zwei Komponenten: aus einer technischen Komponente (Auslesen und Zugang zu Daten) und einem Wissenselement, die Daten nutzen und verstehen zu können. Diese wird bei Daten im Auto grundsätzlich nicht bei den Haltern vorliegen. Ihre Verantwortlichkeit könne sich jedoch dadurch ergeben, dass mit Werkstätten, Herstellern etc. Verträge abgeschlossen werden, nach denen die Dienstleister allein im Auftrag des Halters handeln.

Die Zuordnung der Verantwortlichkeiten sei jedoch stets vom Einzelfall abhängig und könne nicht pauschal festgestellt werden. Aufgrund der Schwierigkeit der Zuordnung, spricht sich die Bundesregierung auch für eine Fortentwicklung des Systems der Verantwortlichkeit im Rahmen der geplanten Datenschutz-Grundverordnung aus.

Für die Datenverarbeitungen rund um das Kfz sollen zudem auch die allgemeinen datenschutzrechtlichen Vorgaben, insbesondere etwa auch das Gebot der Datensparsamkeit (§ 3a BDSG) gelten. Eine bestehende Regelungslücke kann die Bundesregierung nicht erkennen. So gelten für Datenverarbeitungsvorgänge im Auto auch die Vorgaben von spezielleren Gesetzen, wie etwa dem TMG. Aktuell werde daher von einer datenschutzgerechten Ausgestaltung ausgegangen.

EU: Rat sieht hohe Hürden für neue Vorratsdatenspeicherung

Wie geht es weiter mit der Vorratsdatenspeicherung? Wird es nach dem EuGH-Urteil (Az. C-293/12, C-594/12) eine neue EU-Richtlinie oder nationale Ansätze geben?

Sowohl auf nationaler als auch internationaler Ebene stellen sich Beteiligte diese Frage und diskutieren, ob und wenn ja, unter welchen Voraussetzungen, eine Neuregelung möglich sein könnte.

Ein internes Dokument des Rates der Europäischen Union (PDF, Stand: 05.05.2014), welches durch das Generalsekretariat für den Ausschuss der ständigen Vertreter vorbereitet wurde, zeigt, dass die Hürden für eine Neuregelung als sehr hoch angesehen werden. Mehr noch: nach der Analyse wird sich das Urteil allgemein auf laufende und zukünftige Gesetzgebungsprozesse auf europäischer Ebene auswirken.

Das Papier analysiert zunächst die jeweils wichtigsten Aussagen des Urteils des EuGH. Danach werden unter Rz. 15 diejenigen Voraussetzungen aufgezählt, welche die Richtlinie zur Vorratsdatenspeicherung vermissen ließ und daher für nichtig erklärt wurde. Nach Ansicht der Verfasser des Berichts spiegeln dieses fehlenden Voraussetzungen gleichzeitig diejenigen Kriterien wieder, die für eine Rechtmäßigkeit einer möglichen neuen Richtlinie erforderlich wären. 

Interessant sind dann vor allem die Rz. 19-21 des Berichts, in denen eigene Schlussfolgerungen gezogen werden. So zeige das Urteil deutlich, dass der EuGH strenge Voraussetzungen an Gesetze anlege die, mögen sie auch noch so sinnvoll und geeignet sein, einen bestimmten Zweck zu erreichen, intensive Grundrechtseingriffe implizieren und dem Verhältnismäßigkeitstest nicht genügen. Das Gericht werde hierbei sein Augenmerk vor allem auch auf das Vorhandensein von angemessenen Schutzvorkehrungen richten, die Grundrechtseingriffe auf ein Mindestmaß beschränken müssen. Diese Schutzvorkehrungen dürften zudem nicht dem nationalen Gesetzgeber zur Ausgestaltung überlassen werden, sondern müssen bereits in der EU-rechtlichen Vorgabe enthalten sein.

Diese strengen Voraussetzungen gelten insbesondere bei solchen Rechtsakten, welche die massenhafte Sammlung und Speicherung von personenbezogenen Daten zuließen und den Strafverfolgungsbehörden zur Verfügung stehen sollen. Hier verweist der Bericht dann in einer Fußnote etwa auf die geplante Richtlinie zur Speicherung von Fluggastdaten in der EU, in der ebenfalls eine mehrjährige Datenspeicherung vorgesehen werden soll.

Fazit
Der Bericht zeigt, dass die durch den EuGH aufgestellten Hürden für eine anlasslose Speicherung von Daten und deren Nutzung durch Strafverfolgungsbehörden streng sind. Insbesondere die Vorgabe nach bereits im EU-Rechtsakt aufzustellenden Sicherheiten, um den Grundrechtseingriff so gering wie möglich ausfallen zu lassen, wird man eventuell nur mit einer Rechtsverordnung beikommen können. Denn eine Richtlinie würde stets einen gewissen Umsetzungsspielraum für die Mitgliedstaaten mit sich bringen.

Big Data Report des Weißen Hauses – ein Überblick

Am 1. Mai 2014 hat eine durch den amerikanischen Präsidenten eingesetzte Arbeitsgruppe zu den Auswirkungen und möglichen Regulierungsansätzen rund um das Thema Big Data und Privatsphäre ihren Bericht vorgestellt („Big Data:
Seizing Opportunities, Preserving Values“
, PDF). Gleichzeitig hat auch ein Beratergremium des Präsidenten für Technologie und Wissenschaft (President’s Council of Advisors on Science and Technology (PCAST)) einen eigenen Bericht zum Thema Big Data vorgelegt („Big Data: A Technological Perspective„, PDF). Im nachfolgenden möchte ich einen kurzen (sicherlich nicht vollständigen) Überblick über einige der Ergebnisse des erstgenannten Berichtes geben. Für Informationen zu dem Bericht des PCAST sei das offizielle Fact Sheet (PDF) empfohlen.

Der Grundtenor des Berichts ist sicherlich zu begrüßen: die massenhafte Analyse und Auswertung von Daten, sowohl im öffentlichen als auch im privaten Bereich, schaffen die Grundlage für zukünftiges wirtschaftliches Wachstum und gesellschaftlichen Nutzen und sollte daher unterstützt und gefördert werden. Dabei dürfe jedoch nicht übersehen werden, dass die derzeitigen gesetzlichen Vorgaben entweder überholt oder noch gar nicht vorhanden sind, um einen verhältnismäßigen Ausgleich zwischen den betroffenen Interessen aller Beteiligten zu schaffen.

Zunächst geht der Bericht auf den Begriff „Big Data“, die diesem zugrunde liegende massenhafte Erzeugung von Daten und wie er sich in Zukunft entwickeln wird, ein. Stichworte sind hier insbesondere das Internet der Dinge, tragbare Technologie oder intelligente Autos. Eines ist gewiss: es werden täglich mehr und mehr Daten erzeugt.

Die Frage, die man sich bei einer Untersuchung des Phänomens „Big Data“ stellen muss, sind seine Einsatzmöglichkeiten und Auswirkungen. Sowohl rechtlich, ethisch als auch gesellschaftlich und ob die bestehenden Vorgaben ausreichen. Die Möglichkeit, immer mehr Daten zu speichern und auszuwerten birgt die Gefahr eine „Daten-Asymmetrie“ zu erzeugen, aus der notwendigerweise eine Macht-Asymmetrie hervorgeht. Daten und Informationen sind Macht.

Danach geht der Bericht auf einige Bereiche ein, in denen Big Data bereits heute erfolgreich eingesetzt wird (industrielle Produktion, Gesundheitswesen, Energieversorgung).

Bei Big Data geht es darum, die bekannte Nadel im Heuhaufen zu suchen, wobei der Heuhaufen die Daten sind und die Nadel ein bestimmtes Muster oder eine Anomalie. Datenschutzrechtlich ist freilich der Heuhaufen relevant, wenn es also darum geht, eine gewisse Masse an Daten zu sammeln.

Big Data betrifft häufig Techniken, an deren Ende es um die möglichst genaue Individualisierung von Betroffenen geht. Der Bericht zeigt sowohl die Vorteile (bessere Werbung; bessere Gesundheitsvorsorge) als auch die Nachteile (Ungleichbehandlung bestimmter Personen oder Gruppen) auf. Problematisch seien insofern auch die sog. „filter bubbles“, wenn also einer Person einer bestimmten Gruppe zugeordnet wird und dann entsprechend nur noch mit auf diese Gruppe zugeschnitten Informationen versorgt wird.

Techniken der Anonymisierung von Daten helfen bereits heute, datenschutzrechtlichen Gesichtspunkten Rechnung zu tragen. Die Betroffenen sind dann nicht mehr erkennbar. Diese Techniken der „De-Identifizierung“ bewirken andererseits jedoch, dass die Möglichkeiten von Datenanalysen und ihr Potential teilweise nicht voll ausgeschöpft werden kann. Zudem lässt sich nicht vorhersagen, wie sich die Methoden zur „Re-Identifizierung“ in Zukunft entwickeln werden. Hierdurch entsteht jedoch Unsicherheit darüber, wie Betroffene in Zukunft die auf sie bezogenen Informationen kontrollieren können und wie sie etwa aus Datenanalysen abgeleiteten Entscheidungen widersprechen können.

Der Bericht analysiert im folgenden die derzeit bestehenden gesetzlichen Vorgaben und politischen Initiativen in den USA im Bereich von Open Data und der Nutzung von Big Data im öffentlichen Bereich. Essentiell wird hierbei in der Zukunft die Schaffung von Vertrauen in das Handeln der Regierung und der öffentlichen Stellen sein. Auch der Zugang zu Informationen, die über die eigene Person gespeichert sind, muss eine wichtige Rolle spielen. Gerade in diesem Bereich lässt sich die Gefahr eines Machtungleichgewichts aufgrund von gesammelten Daten und ihrer Analyse durch staatliche Stellen erkennen. Wichtig seien hier für die Zukunft Regelungen, die eine effiziente Überwachung des staatlichen Handelns garantieren.

Ein möglicher Lösungsansatz zur Etablierung datenschutzrechtlicher Sicherungen beim Umgang mit Daten könnten dabei „Datenmarkierungen“ darstellen. Hierbei werden Informationen nach einem festgelegten Schema markierte („tagged“), woraus sich verschiedene Verwendungsmöglichkeiten und Zugriffsrechte für die Behörden ergeben. Manche Behörden benötigen etwa nur den Namen, die Anschrift und das Geburtsdatum, andere öffentliche Stellen jedoch zusätzlich etwa Zugriff auf Steuerinformationen. Die Tags bestimmen, wer auf die Daten Zugriff hat und für welche Zwecke sie verwendet werden können. Dieses System wird derzeit bereits beim amerikanischen Heimatschutzministerium verwendet.

Ein weiterer Untersuchungsbereich betrifft die Datenanalyse durch Strafverfolgungsbehörden. Hier geht der Bericht etwa auf die Möglichkeit der Vorhersage von Verbrechen in besonders gefährdeten Gebieten ein. Zudem untersucht er die Frage, wann staatliche Stellen auf Daten zugreifen können, die durch Betroffene an Dritte preisgegeben und von diesen gespeichert werden („third-party-doctrine“). Ob also etwa Strafverfolgungsbehörden ohne richterliche Anordnung auf Daten bei einem Telekommunikationsunternehmen zugreifen können, wie die Verbindungsdaten von Telefonaten. Hierbei geht es vor allem um die Frage der technischen Entwicklung und wie historische Schutzbereiche (private Wohnung) auf diese Übertragen werden können (Speicherung in der Cloud). Der Schutz von Metadaten wird in dem Bericht speziell angesprochen und es wird geraten, diesen Schutz zu stärken, da auch diese Daten sensible Informationen über Betroffene preisgeben können.

Danach untersucht der Bericht Big Data im privat-wirtschaftlichen Bereich. Auch hier bestehe die Gefahr einer Machtasymmetrie zwischen Verbrauchern und Unternehmen, wobei der Einsatz von Big Data freilich auch hier immense Vorteile bereit halte. Etwas genauer untersucht der Bericht den Bereich der Online-Werbung. Internetdienste sind auf diese Art der Einnahmequellen angewiesen. Dabei spielen viele Parteien eine Rolle bei der Darbietung von Werbung. Problematisch hierbei ist aus der Sicht des Berichts, dass die Verbraucher meist nur mit dem Webseitenbetreiber selbst in Kontakt kommen, jedoch nicht mit den dahinter stehenden Werbenetzwerken und anderen Beteiligten, die eventuell auch Informationen über sie speichern. Dadurch verstehen sie auch zumeist nicht, welche Rolle sie und ihre Daten in diesen Verarbeitungsprozessen spielen.

In Zukunft wird es besonders wichtig sein, den Verbrauchern mit der erforderlichen Transparenz in Bezug auf Datenverarbeitung zu begegnen und sinnvolle Wahlmöglichkeiten zur Verfügung zu stellen. Der Bericht zeigt dabei auch, dass allein ein „Mehr“ an Informationen nicht unbedingt der beste Weg ist. Denn obwohl die Werbeindustrie teilweise freiwillig Maßnahmen ergriffen hat, um Nutzer besser zu informieren (Icons auf der Webseite), wurden diese Hinweise von Verbrauchern kaum verstanden oder genutzt.

Danach befasst sich der Bericht mit Datendiensteanbietern, den sog. data brokers. Diese Unternehmen sammeln und analysieren Daten aus verschiedenen Quellen und bieten ihre Dienste (z. B. Nutzerprofile, Produktmarketing) anderen Unternehmen an, ohne jedoch meist direkten Kontakt mit den Verbrauchern zu besitzen. Vorteil ihrer Arbeit ist etwa die möglichst genaue Ausspielung von Werbung oder Anpassung von Angeboten auf die Bedürfnisse des Verbrauchers, was jedoch zugleich die machtvolle Möglichkeit bietet, Daten der Nutzer ohne ihr Wissen algorithmisch zu analysieren.

In diesem Zusammenhang geht der Bericht auf den Einsatz von Algorithmen und die Gefahr einer Diskriminierung der Betroffenen durch automatische Entscheidungen ein. Hier bestehe noch der Bedarf nach weiterer Offenheit der Analysemethoden und auch die Frage der Verantwortlichkeit für Entscheidungen von Algorithmen müsse untersucht werden. Betroffene sollten Zugang zu gespeicherten Informationen erhalten, um so etwa falsche Daten korrigieren zu können.

Durch den Trend, dass immer mehr Geräte Daten erzeugen und miteinander kommunizieren, wird das Prinzip der Datenminimierung an die Grenze seiner Belastbarkeit geführt, ja wenn nicht sogar obsolet. Daten, ob sie nun analog oder digital entstehen, werden analysiert und kombiniert. Aufgrund der geringen Kosten für Speicherplatz ist diese Entwicklung auch nicht unbedingt überraschend.

Der Bericht regt vor diesem Hintergrund dazu an, über die Wertigkeit der Einwilligung und vorheriger Informationen nachzudenken. Sich auf die Kontrolle der Datenerhebung und die Umstände der Speicherung zu fokussieren könnte für einen wirksamen Schutz der Privatsphäre nicht mehr ausreichend sein. Das Konstrukt der Einwilligung mag noch in der Beziehung zwischen dem Verbraucher und z. B. dem Webseitenbetreiber den nötigen Nutzen bringen, da hier eine direkte Verbindung besteht. Da Daten jedoch immer mehr von Dritten analysiert und gespeichert werden, sollte man darüber nachdenken, sich regelungstechnisch auf die Kontrolle des Datenumgangs fokussieren. Der Vorteil hiervon wäre unter anderem, dass die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung dann von dem Betroffenen (der heutzutage sowieso allenfalls eine deklaratorische Einwilligung abgibt, da er die Informationen der Datenverarbeitung erst gar nicht lies oder nicht versteht) auf die verarbeitende Stelle übergeht.

Fazit
Dies sind nur einige der in dem wirklich lesenswerten Bericht angesprochenen Themenfelder. Am Ende listet der Bericht seine konkreten Empfehlungen noch einmal auf. Darunter findet sich auch der Vorschlag, Ausländern in den USA dieselben oder zumindest ähnliche Rechte in Bezug auf ihre Daten einzuräumen, wie den amerikanischen Bürgern. Dieser Vorschlag ist gerade vor dem Hintergrund der andauernden Verhandlungen der EU mit den USA um ein Rahmenabkommen beim Datenschutz im Bereich der Strafverfolgung interessant. Denn dort war und ist bisher immer noch die Frage strittig, ob europäische Bürger Rechtsschutzmöglichkeiten in den USA erhalten sollen, wenn ihre Daten rechtswidrig verarbeitet wurden. Vielleicht zeichnet sich hier also ein Umdenken ab. Insgesamt stellt der Big Data Bericht sicherlich einen wichtigen Beitrag zur Diskussion um eine Regulierungsnotwendigkeit vor dem Hintergrund neuer technologischer Entwicklungen dar und sollte auch in Deutschland und Europa gelesen und berücksichtigt werden.

Bundesregierung zum Beschäftigungsdatenschutz in sozialen Netzwerken

Was ist „öffentlich“, was ist „privat“? Welche Regeln gelten für die Datenerhebung durch (zukünftige) Arbeitgeber in sozialen Netzwerken? Wann kommt die Datenschutz-Grundverordnung?

Zu diesen und andere Fragen hat die Bundesregierung in der Antwort auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag (BT-Drs. 18/1122, PDF) Stellung genommen.

Bestehende Regelung in § 32 BDSG
In ihrer Antwort verweist die Bundesregierung zunächst auf die Vorgaben des § 32 BDSG, der die Datenerhebung, -verarbeitung und –nutzung für Zwecke des Beschäftigungsverhältnisses regelt. Personenbezogene Daten eines Bewerbers oder eines Beschäftigten dürfen nach § 32 Abs. 1 S. 1 BDSG erhoben oder verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Die Vorschrift ist freilich nicht nur speziell für den Umgang mit Daten aus dem Internet konzipiert. Die Bundesregierung stellt jedoch klar:

Diese Vorgaben gelten auch für die Erhebung von Daten in
sozialen Netzwerken und Internetforen.

In der Datenschutz-Grundverordnung
DIE LINKE wollte zudem wissen, ob die Fragen der Datenerhebung von Bewerbern in sozialen Netzwerken auch Gegenstand der Verhandlungen zur geplanten Datenschutz-Grundverordnung (DS-GVO, PDF) sind. Hier verweist die Bundesregierung auf Art. 82 Abs. 1 DS-GVO, nach dem die Mitgliedstaaten beschäftigungsdatenschutzrechtliche Fragen in den Grenzen der Verordnung durch Gesetz regeln können.

Anmerkung: Wichtig an dieser Vorgabe ist die Beschränkung auf die „Grenzen“ der DS-GVO. Hierdurch wird den Mitgliedstaaten sowohl in Bezug auf eine mögliche Erhöhung oder auch mögliche Absenkung des Schutzniveaus von Beschäftigungsdaten eine Vorgabe gemacht. Nationale Regelungen, welche sich nicht an die Vorgaben der DS-GVO und den ihr zugrunde liegenden Prinzipien halten, würden sich nicht innerhalb dieser Grenzen bewegen.

Abgrenzung: privat – öffentlich
Zudem wollte DIE LINKE wissen, wann eine Unterhaltung in einem sozialen Netzwerk oder Internetforum als „öffentlich“ oder „privat“ anzusehen ist. Die Bundesregierung weist darauf hin, dass die Diskussion um die Abgrenzung von öffentlicher und privater Kommunikation in sozialen Netzwerken und Internetforen noch geführt wird und nicht abgeschlossen ist. Nach Ansicht der Bundesregierung ist

Eine Unterhaltung in sozialen Netzwerken oder Internetforen … zumeist dann eine öffentliche Kommunikation, wenn eine allgemeine Zugänglichkeit zu diesen Kommunikationsplattformen besteht.

Zudem merkt die Bundesregierung an, dass die allgemeine Zugänglichkeit nicht unbedingt dadurch ausgeschlossen wird, dass eine vorherige Registrierung erforderlich ist. Im Ergebnis bedürfe es jedoch einer Beurteilung im Einzelfall. Kriterien hierfür seien etwa: „Die Größe des Empfängerkreises, das Ziel und der Zweck des Kommunikationsforums oder die soziale Akzeptanz und Ortsüblichkeit“.

Wann kommt die DS-GVO?
Völlig unabhängig vom Thema Beschäftigungsdatenschutz möchte DIE LINKE auch wissen, wann die Verhandlungen zur DS-GVO beendet sein werden und mit einer Verabschiedung zu rechnen ist. Hier die Antwort:

Die Bundesregierung setzt sich dafür ein, dass die Verhandlungen über die Datenschutz-Grundverordnung entschieden vorangehen. Gegenwärtig sind trotz intensiver Arbeiten für eine große Anzahl von Mitgliedstaaten noch wichtige Fragen offen. Vor diesem Hintergrund begrüßt die Bundesregierung den Beschluss des Europäischen Rates, wonach die rechtzeitige Verabschiedung eines soliden EU-Datenschutzrahmens für die Vollendung des Digitalen Binnenmarktes bis zum Jahr 2015 als von entscheidender Bedeutung bezeichnet wird.

Nationale Regelungen zum Beschäftigungsdatenschutz plane die Bundesregierung, mit Blick auf die Verhandlungen zur DS-GVO, derzeit nicht. Sollte jedoch mit einem Abschluss der Verhandlungen „nicht in angemessener Zeit gerechnet werden können“, so soll eine nationale Regelung zum Beschäftigungsdatenschutz geschaffen werden.

EU-Datenschützer: ICANN-Verträge verstoßen gegen Datenschutzrecht

Die Internet Corporation for Assigned Names and Numbers (ICANN) sieht sich weiterhin Kritik der europäischen Datenschutzbehörden ausgesetzt. Sowohl der Zusammenschluss der nationalen Behörden, die Art. 29 Datenschutzgruppe, als auch der Europäische Datenschutzbeauftragte (EDSB), Peter Hustinx, haben in Briefen (Brief der Art. 29 Gruppe, (PDF) / Brief des EDSB, (PDF) ) an die Organisation zum Ausdruck gebracht, dass die derzeit bestehenden vertraglichen Pflichten zum Umgang mit personenbezogenen Daten gegen europäisches Datenschutzrecht verstoßen.

Die europäischen Datenschützer kritisieren Klauseln in Verträgen, welche sog. Domain Name Registrare auf der ganzen Welt mit der ICANN abschließen müssen. Die Registrare akkreditieren sich bei der ICANN und dürfen dann für ein bestimmtes Gebiet die Registrierung von Domain Namen durchführen (typische Beispiele für Deutschland sind etwa die Deutsche Telekom, 1&1 Internet oder united-domains AG). In den hierfür erforderlichen Akkreditierungsverträgen (RAA, Stand vom 27. Juni 2013) sind auch Bestimmungen enthalten, welche sich auf das Speichern personenbezogener Daten der Kunden der Registrare beziehen (siehe Nr. 3.4 des Vertrages sowie die Data Retention Specification (DRS), in denen die Datenarten genauer benannt werden). Diese Regelungen greifen die europäischen Datenschützer an.

Laut den Vorgaben der RAA besteht eine generelle Speicherpflicht von zwei Jahren für personenbezogene Daten der Kunden der Reistrare, welche einen Domain Namen registrieren (Nr. 3.4.3). Innerhalb dieses Zeitraums muss der Registrar diese Daten der ICANN nach einem begründeten Hinweis auch zugänglich machen.

Diese lange Speicherfrist hat bereits in der Vergangenheit Kritik hervorgerufen. Denn in Europa niedergelassene Registrare sind an europäisches Datenschutzrecht gebunden. Sie müssen sich daher beim Umgang mit personenbezogenen Daten an die Vorgaben der Datenschutz-Richtlinie (RL 95/46/EG, DS-RL) bzw. die jeweiligen nationalen Gesetze, und damit auch den Grundsatz der Zweckbindung (Art. 6 Abs. 1 b) DS-RL) und den Grundsatz der Datensparsamkeit/-minimierung (Art. 6 Abs. 1 f) DS-RL) halten.

Aus diesem Grund sieht die DRS (unter Nr. 2) die Möglichkeit vor, dass Registrare mit der ICANN abweichende Vereinbarungen in Bezug auf die Datenspeicherung vertraglich festlegen können, wenn eine Anwaltskanzlei oder eine anerkannte staatliche Stelle die Datenspeicherung für rechtswidrig erachtet. Für die Vereinbarung solcher Änderungen ist bei der ICANN zudem ein bestimmtes Verfahren vorgesehen. Das tatsächliche Probleme war jedoch, dass es verschiedene abweichende Vereinbarungen zwischen der ICAAN und europäischen Registraren gab, die sich inhaltlich nicht unbedingt decken müssen.

Hier wollte die Art. 29 Datenschutzgruppe ansetzen und die ICANN davon überzeugen, dass der bisherige Schriftverkehr zwischen beiden Institutionen als Leitlinie für europäische Anbieter angesehen werden sollte, wenn Abweichungen bei der Speicherpflicht von Daten vereinbart werden. Damit könnte für alle europäischen Registrare, die ja alle den Vorgaben der DS-RL unterliegen, ein einheitliches Verfahren mit denselben rechtlichen Vorgaben etabliert werden. Dies erkannte die ICANN jedoch bisher nicht an.

In letzter Zeit bemühte sich die ICAAN, auf die Kritik an der langen und aus Sicht der europäischen Datenschützer unverhältnismäßigen Speicherpflicht einzugehen. Denn das Problem für europäische Registrare ist offensichtlich. Sie sind vertraglich zu einer Speicherung gegenüber der ICANN verpflichtet, die jedoch durch die nationalen Datenschutzbehörden als rechtswidrig angesehen werden könnte. Die ICANN veröffentlichte daher im März 2014 einen Entwurf zur Spezifizierung der verschiedenen Datenarten, welche der Speicherfrist unterliegen, und welche Zwecke die Speicherung verfolgt (Data Retention Specification Data Elements and Legitimate Purposes, PDF). Dieser Entwurf sollte als Diskussionsgrundlage dienen. Der Brief des EDSB bezieht sich direkt auf diesen Entwurf.

Zwar erkennt der EDSB die Bemühungen der ICANN um Klarstellung und genauere Spezifizierung der Datenarten und Verarbeitungszwecke an. Dennoch sind aus seiner Sicht sowohl die Vorgaben der RAA als auch DRS mit europäischem Datenschutzrecht derzeit nicht vereinbar. Personenbezogene Daten sollten nur für die Zwecke der Vertragsdurchführung des Registrars mit seinen Kunden gespeichert werden und nicht etwa für andere Zwecke, wie z. B. um Betrug bei der Registrierung der Domain Namen vorzubeugen. Zudem sollten die Daten auch nur solange gespeichert werden, wie dies zur Durchführung des Vertrages absolut notwendig ist. Eine Speicherung für Zwecke der Kriminalitätsbekämpfung oder zur Durchsetzung von Urheberrechten sei damit nicht vereinbar.

Interessanterweise geht der EDSB in seinem Brief auch direkt auf die kürzlich ergangene Entscheidung des EuGH zur Vorratsdatenspeicherung ein. Er weist darauf hin, dass eine Speicherung geschäftlicher Verkehrsdaten für Zwecke der Bekämpfung schwerer Kriminalität erforderlich sein kann, die Richtlinie zur Vorratsdatenspeicherung jedoch die Vorgaben der Verhältnismäßigkeit nicht beachtete. Hieraus schließt Hustinx, dass die Voraussetzungen für eine Speicherung von Daten auf Vorrat in der EU in Zukunft besonderer Prüfung und rechtlichen Herausforderungen unterliegen werden.

Europäische Datenschützer: Vorschläge zur Verbesserung von Safe Harbor

Die Vertreter der europäischen Datenschutzbehörden (Art. 29 Gruppe) haben Justizkommissarin Viviane Reding in einem Brief ihre Verbesserungsvorschläge (PDF) zur Überarbeitung der Safe Harbor Entscheidung der Europäischen Kommission übersendet. Derzeit wird diese Entscheidung, welche bestimmte Prinzipien zur Übermittlung von personenbezogenen Daten von Europa in die USA für teilnehmende amerikanische Unternehmen aufstellt, vor dem Hintergrund der Snowden-Enthüllungen überarbeitet. Die Kommission hatte dem amerikanischen Handelsministerium hierfür im November 2013 bereits 13 konkrete Vorgaben gemacht (Mitteilung der Kommission, COM(2013) 847, PDF), welche bis zum Sommer 2014 umgesetzt werden sollen. Im nachfolgenden möchte ich einige der Vorschläge der Art. 29 Gruppe ansprechen.

Zur Not: Aussetzen

Die Art. 29 Gruppe stellt zunächst klar, dass die Gewährleistung eines angemessenen Schutzniveaus unter Safe Harbor für die Daten europäischer Bürger derzeit fraglich erscheint. Sie begrüßt die Entscheidung der Kommission, Safe Harbor neu zu verhandeln und auch die 13 bereits identifizierten Änderungsvorgaben. Sollte der Überarbeitungsprozess jedoch zu keinem positiven Ergebnis gelangen, dann sprechen sich die Datenschützer für eine Aussetzung von Safe Harbor aus. Zudem verweisen sie auf die stets bestehende Möglichkeit für nationale Datenschutzbehörden, einzelne Datentransfers in die USA zu unterbinden.

Anwendbares Recht
Die Art. 29 Gruppe schlägt vor, in Safe Harbor klarzustellen, dass amerikanische Unternehmen, die keine Niederlassung in der EU besitzen, sich auch dann an europäisches (nationales) Datenschutzrecht halten müssen, wenn sie personenbezogene Daten in einem Mitgliedstaat erheben und hierzu auf Mittel zurückgreifen, welche in dem Mitgliedstaat belegen sind.

Anmerkung: Die Datenschutzbehörden verstehen unter diesen „Mitteln“ etwa PCs auf denen Cookies platziert werden. Die vorgeschlagene Änderung dient wohl vor allem der Information der amerikanischen Unternehmen, die eventuell davon ausgehen, dass sie europäische Vorgaben nicht zu beachten haben.

Transparenz
Wirtschaftszweige, welche nicht der Zuständigkeit der amerikanischen FTC und damit der Überwachung der Einhaltung der Safe Harbor Prinzipien unterliegen, sollten deutlicher hervorgehoben werden. Die online auf der Webseite des amerikanischen Handelsministeriums abrufbaren Zertifikate der teilnehmenden Unternehmen sollten genauer Auskunft darüber geben, welche Datenarten vom Zertifikat erfasst werden und welche Einheiten eines Konzerns umfasst sind.
Teilnehmende Unternehmen sollten Informationen zum Datenschutz und zur Einhaltung der Safe Harbor Prinzipien im Internet deutlicher und verständlicher präsentieren. Zudem sollten Betroffene deutlich auf ihr Auskunftsrecht und wie sie dieses ausüben können, hingewiesen werden. Auch die Aufgaben der verschiedenen beteiligten staatlichen Institutionen und ihre Befugnisse sollten in der Safe Harbor Entscheidung klarer festgelegt werden.

Rechtsschutz
Betroffenen sollte das Recht eingeräumt werden, vor einem zuständigen nationalen Gericht in der EU Klage gegen ein amerikanisches Unternehmen auf Schadenersatz erheben zu können, wenn eine rechtwidrige Datenverarbeitung vorliegt. Zudem sollten die amerikanischen Unternehmen dazu angehalten werden, europäische Anbieter zur außergerichtlichen Streitbeilegung zu wählen. Derzeit müssten viele Betroffene sich mit amerikanischen Anbietern einer solchen Streitbeilegung auseinandersetzen, was jedoch Schwierigkeiten bei der Rechtsdurchsetzung mit sich bringe.
Unabhängig davon sollte für Betroffene das Recht vorgesehen werden sich stets an die für sie zuständige nationale Datenschutzbehörde wenden und ihre Beschwerde dort einbringen zu können. Zudem sollten die Regeln zu Verantwortlichkeit der teilnehmenden amerikanischen Unternehmen deutlicher ausgestaltet werden.

Gebühren
Derzeit verlangen einige der Anbieter einer außergerichtlichen Streitbeilegung noch Gebühren, wenn sich europäische Nutzer an sie wenden. Die Art. 29 Gruppe fordert, dass diese Gebühren abgeschafft werden müssen.

Zugang durch US-Behörden
Ausnahmen von der Einhaltung der in Safe Harbor aufgestellten Prinzipien sollten eingeschränkt werden. Zudem ist es der Art. 29 Gruppe wichtig, dass das aus dem europäischen Recht bekannte Notwendigkeits- und Verhältnismäßigkeitsprinzip für Ausnahmen Anwendung findet. Die Möglichkeit zur Aussetzung von Datentransfers sollte deutlicher umschrieben werden.
Zudem schlagen die Datenschützer vor, dass der Begriff der „Verarbeitung personenbezogener Daten“ in Safe Harbor definiert wird und zwar in Form der europäischen Idee. Denn in den USA zählt die Erhebung von Daten noch nicht zur „Verarbeitung“, in Europa jedoch schon. Daher greifen in den USA Schutzmechanismen für eine Verarbeitung personenbezogener Daten erst nach der Stufe der Erhebung dieser Daten ein.

Weitergabe der Daten
Nach den bestehenden Prinzipien darf ein Unternehmen die ihm übermittelten Daten nur an Dritte weitergeben, wenn es Grundsätze der Informationspflicht und der Wahlmöglichkeit anwendet. Wenn Daten an einen Dritten weitergeben werden sollen, der im Auftrag und auf Anweisung tätig ist, kann dies etwa dann geschehen, sofern der Dritte selbst Safe Harbor angehört. Die Art. 29 Gruppe möchte diese Voraussetzung grundsätzlich auf jeden Dritten erstrecken, also auch auf solche Stellen, die selbst Verantwortliche sind und nicht im Auftrag handeln. Zudem sollten Dritte, die im Auftrag handeln, verpflichtend einen Vertrag mit der übermittelnden Stelle abschließen müssen.

Fazit
Es wurden hier nur einige Vorschläge der Art. 29 Gruppe angesprochen. Viele dieser Vorschläge decken sich bereits mit denjenigen der Kommission, einige gehen darüber hinaus. Die Verhandlungen mit den USA scheinen derzeit konstruktiv zu verlaufen, wie Paul Nemitz, Direktor der Direktion C der Generaldirektion Justiz, kürzlich in einer Anhörung (PDF) durch das britische Oberhaus (House of Lords) zum Thema Safe Harbor berichtete.

TTIP und Datenschutz: Bundesregierung gegen Senkung der EU-Standards

Auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag (BT-Drs. 18/1056, PDF) mit dem Titel „EU-USA-Freihandelsabkommen und Datenschutz“, hat die Bundesregierung ihre Sichtweise zu einer möglichen Einbeziehung von Fragen des Datenschutzrechts in die Verhandlungen dargelegt.

Die Bundesregierung betont mehrmals, dass die geltenden EU-Datenschutzstandards im Rahmen des Freihandelsabkommens (TTIP) nicht abgesenkt werden dürfen. Allgemeine Fragen des Datenschutzrechts sollten vielmehr in den dafür bereits bestehenden oder geplanten speziellen Instrumenten verhandelt werden. In dem geplanten Datenschutzrahmenabkommen zwischen der EU und den USA zur Regelung der Datenübermittlung und -verarbeitung im Zusammenhang mit der polizeilichen und justiziellen Zusammenarbeit. Aber auch im Rahmen der Überarbeitung der Safe Harbor-Entscheidung (also zur Frage von Datenübermittlungen in die USA durch private Unternehmen) und bei der Fortentwicklung des EU-Datenschutzrechts (also der geplanten Datenschutz-Grundverordnung).

Vor allem Drittstaatentransfers und diesen zugrunde liegende Voraussetzungen dürften nicht durch mögliche Verhandlungen im Rahmen des TTIP beeinträchtigt werden.

Zudem stellt die Bundesregierung klar:

Allgemeine oder konkrete Datenschutzfragen sind gegenwärtig nicht Gegenstand der TTIP-Verhandlungen. Das hohe Datenschutzniveau in Europa steht nach Auffassung der Bundesregierung nicht zur Disposition.

Ob konkrete Datenschutzfragen, also vor allem für spezielle Bereiche, wie etwa den E-Commerce, wirklich nicht behandelt werden, mag man jedoch bezweifeln. Denn auf einer Informationsseite des Bundesministeriums für Wirtschaft und Energie zum TTIP (die meines Erachtens recht gut über das Thema informiert), wird zum Thema Datenschutz explizit festgestellt:

Auch Fragen des Datenschutzes beim Dienstleistungshandel, bei E-Commerce oder im IKT-Bereich werden mit dem Ziel einer gemeinsamen Verständigung angesprochen.

Völlig ausgeklammert scheinen daher Fragen des Datenschutzes nicht zu sein. Auch wenn man freilich nicht weiß, in welcher Tiefe das Datenschutzrecht hier behandelt und tatsächlich über Anpassungen nachgedacht wird.

Hat der EuGH die Cloud für tot erklärt?

In seinem gestrigen Urteil (Az. C?293/12 und C?594/12) zur Vereinbarkeit der Vorgaben der Richtlinie 2006/24 (VDS-RL, PDF) zur Vorratsdatenspeicherung, hat sich der EuGH naturgemäß mit den einzelnen Vorschriften zur Umsetzung der Richtlinie in nationalstaatliches Recht befasst. Die Richtlinie wurde, in ihrer jetzigen Ausformung, für nichtig erklärt (siehe hierzu die Urteilsbesprechung bei Hans Peter Lehofer), da die derzeit geltenden Vorgaben unverhältnismäßige Eingriffe in die europäischen Grundrechte auf Privatsphäre (Art. 7 Charta der Grundrechte der EU, Charta) und auf den Schutz personenbezogener Daten (Art. 8 Charta) zur Folge hätten. Bisher kaum Beachtung scheinen jedoch einige, meines Erachtens für das allgegenwärtige Cloud Computing wichtige, Ausführungen des Gerichts gefunden zu haben.

In seinem Urteil prüft der EuGH ab Rz. 56 die Verhältnismäßigkeit der Vorgaben der VDS-RL im engeren Sinne. Die dort erlaubten Eingriffe in Grundrechte müssen auf das absolut notwendige Maß beschränkt sein. In Rz. 65 kommt das Gericht zu dem Schluss:

Somit ist festzustellen, dass die Richtlinie einen Eingriff in diese Grundrechte beinhaltet, der in der Rechtsordnung der Union von großem Ausmaß und von besonderer Schwere ist, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Maßnahmen zur Datensicherheit
„Gut“, möchte man denken. Damit ist die Prüfung abgeschlossen. Doch das Gericht fügt seiner Begründung noch drei weitere Randziffern (66-68) an. In diesen befasst es sich, freilich zunächst auch mit Blick auf die VDS-RL, mit der Sicherheit und dem Schutz von gespeicherten Daten. Der EuGH stellt fest, die VDS-RL keine ausreichenden Bestimmungen enthalte, dass die auf Vorrat gespeicherten Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu ihnen und jeder unberechtigten Nutzung geschützt sind (Rz. 66).

Solche Vorgaben zum Schutz personenbezogener Daten und gerade auch in Bezug auf Maßnahmen zur Gewährung der Datensicherheit kennen wir aus der Datenschutz-Richtlinie, 95/46/EG (DS-RL, PDF). Dort bestimmt Art. 17 DS-RL entsprechende Pflichten für die verantwortliche Stelle. Im Falle einer Auftragsdatenverarbeitung, wenn also die tatsächlichen Verarbeitungsprozesse von einem Dritten wahrgenommen werden, bestimmt Art. 17 Abs. 2 DS-RL, dass die verantwortliche Stelle nur solche Auftragnehmer auswählen darf, die technische Sicherheitsmaßnahmen bereithalten. Zudem muss sich der Verantwortliche hiervon auch selbst überzeugen. Art. 17 Abs. 3 DS-RL bestimmt zudem, dass auch den Auftragsdatenverarbeiter selbst Pflichten zur Datensicherheit nach dem für ihn geltenden nationalen Datenschutzrecht treffen.

Cloud Computing
Diese Konstellation, die Datenverarbeitung durch einen Auftragnehmer, ist das typische Beispiel, welches den meisten Cloud Computing-Lösungen zugrunde liegt. Man nehme etwa den Anbieter eines Internet-Speicherdienstes: Der Anbieter der Cloud ist der Auftragsdatenverarbeiter (er selbst sitzt z. B. in den USA, seine Server stehen auf der ganzen Welt), der Kunde ist die verantwortliche Stelle (ob diese rechtliche Einschätzung in der heutigen Zeit noch angemessen erscheint, soll hier nicht diskutiert werden; sie ist nicht unumstritten, wird so aber etwa von der Art. 29 Datenschutzgruppe vertreten, siehe Stellungnahme WP 196, PDF).

Zurück zum Urteil des EuGH. Auch das Gericht verweist für erforderliche Sicherheitsmaßnahmen auf die Vorgaben des Art. 17 DS-RL (Rz. 67), deren Einhaltung, wir erinnern uns an das Beispiel, der Kunde des Speicherdienstes zu prüfen hätte und der Speicherdienst als Auftragnehmer auch selbst einsetzen müsste. Doch nun wird es interessant und relevant.

Datenspeicherung in Drittstaaten
Der EuGH kritisiert in Rz. 68, dass die VDS-RL im Rahmen der erforderlichen Sicherheitsmaßnahmen keine Vorgaben dazu macht, dass die Daten nur innerhalb des Unionsgebietes gespeichert werden dürfen. Hieraus folgert das Gericht, dass

es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird.

Der in dem Zitat angesprochene Art. 8 Abs. 3 Charta bestimmt, dass die Einhaltung der Vorschriften zum Schutz personenbezogener Daten durch eine unabhängige Stelle überwacht werden müssen. In der Praxis sind dies in Europa die Datenschutzbehörden.

Was bedeutet diese Aussage nun? Der EuGH scheint der Auffassung zu sein, dass Daten, welche auf Servern in Drittstaaten gespeichert werden, nicht dem Schutzniveau des Art. 8 Charta entsprechend geschützt werden können. Dies deshalb, weil in dem jeweiligen Drittstaat möglicherweise keine unabhängige Stelle existiert, welche die Einhaltung der Vorgaben zum Datenschutz und zur Datensicherheit überwacht. Nun mag man einwenden, dass es ja gerade für Fälle der Übermittlung von Daten in Drittstaaten etwa Standardvertragsklauseln gibt oder auch Angemessenheitsbeschlüsse der Kommission, die einem Drittstaat (oder einem gewissen Wirtschaftsbereich) ein angemessenes Schutzniveau bescheinigen. Auf diese Instrumente scheint das Gericht aber überhaupt nicht abzustellen. Sein Verweis bezieht sich vielmehr auf das Vorhandensein einer unabhängigen Stelle im Sinne des Art. 8 Abs. 3 Charta. Diese Überwachung durch unabhängige Datenschutzbehörden ist für den EuGH entscheidend.

Hiergegen mag man ins Feld führen, dass es ja auch in Drittstaaten unabhängige Behörden gibt, welche die Einhaltung des dortigen Datenschutzrechts überwachen. Doch auch diesbezüglich scheint der EuGH den Grundrechtsschutz des Art. 8 Charta äußerst streng zu nehmen, denn er führt aus:

Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten.

Das Gericht knüpft das Erfordernis der Überwachung durch eine unabhängige Stelle an die „Grundlage des Unionsrechts“. Es mag also durchaus unabhängige Datenschutzbehörden in Drittstaaten geben. Diese überwachen die Einhaltung von Vorgaben zur Datensicherheit und zum Datenschutz jedoch grundsätzlich nicht auf Grundlage des Unionsrechts. Vielmehr gilt für diese Behörden ihr jeweils nationales Recht. Ebenso muss für europäische Datenschutzbehörden festgestellt werden, dass diese ihre Überwachungsmaßnahmen nicht in Drittstaaten ausdehnen können. Sie sind hinsichtlich ihrer öffentlich-rechtlichen Befugnisse vielmehr territorial beschränkt. Man könnte sich nun fragen, wann denn überhaupt eine Behörde auf der Grundlage des Unionsrechts die Einhaltung von Datenschutz- und Datensicherheitsstandards in einem Drittstaat wirksam überwachen kann?

Lösungen und Konsequenzen
Als einziger Ansatzpunkt würde mir einfallen, dass man z. B. Angemessenheitsbeschlüsse (wie etwa Safe Harbor) oder auch Standardvertragsklauseln als eine solche Grundlage des Unionsrechts ansieht, nach deren Vorgaben der Verarbeiter im Drittstaat handeln muss. Freilich wird hierdurch nicht das Problem gelöst, dass eine europäische Datenschutzbehörde nicht im Drittstaat hoheitlich tätig werden kann, also dort nicht direkt auf „Grundlage des Unionrechts“ überwachen kann.

Denn die Safe Harbor-Entscheidung, ebenso wie die Standardvertragsklauseln der EU sehen für Kontrollstellen die Möglichkeit vor, Datenübermittlungen in ein Drittland auszusetzen. Also gegen den Verantwortlichen in der EU vorzugehen. Dies jedoch nicht etwa dann, wenn die Behörde den Auftragnehmer in dem Drittstaat selbst kontrolliert und etwa Mängel bei der Datensicherheit festgestellt hat. Die Befugnisse der europäischen Behörden greifen dann, wenn feststeht, dass der Verarbeiter in dem Drittstaat die an ihn gestellten Vorgaben (sei es aus Vertragsklauseln oder Angemessenheitsbeschlüssen) nicht einhalten kann. Für Informationen hierzu ist die jeweilige europäische Behörde aber freilich auf Angaben Dritter angewiesen, also etwa von Behörden in dem Drittstaat oder des für die Datenverarbeitung Verantwortlichen selbst. Gut möglich, dass diese „mittelbare“ Überwachung ausreicht, um den Vorgaben des EuGH gerecht zu werden. Hierfür spricht meines Erachtens auch, dass der europäische Gesetzgeber die Datenschutz-Richtlinie mit entsprechenden Mechanismen zur Übermittlung und Speicherung von Daten in Drittstaaten ausgestaltet hat. Wohl wissend, dass nationale Behörden dann nur begrenzte Prüfmöglichkeiten besitzen. Und auch der EuGH selbst hat etwa in seinem Lindqvist-Urteil (Az. C-101/01) darauf hingewiesen, dass für die Mitgliedstaaten und die Kommission gewisse Pflichten zur Kontrolle solcher Datenübermittlungen bestehen (Rz. 63 ff.). Jedoch hat er diese Übermittlung nicht kategorisch ausgeschlossen oder von einer direkten Einflussnahmemöglichkeit europäischer Behörden abhängig gemacht (auch wenn die Frage der Voraussetzungen der Datenübermittlung dort nicht direkt Gegenstand der gerichtlichen Prüfung war und daher nicht vertieft wurde). Dennoch verbleibt ein gewisses Unwohlsein, welches sich vor allem aus der Deutlichkeit der Aussage des EuGH ergibt.

Ausblick
Die Ausführungen des EuGH zur Datenspeicherung in Drittstaaten sind durchaus bemerkenswert. Dies gerade vor dem Hintergrund der anhaltenden Diskussion um ein „Schengen-Routing“ und dem sog. Datenprotektionismus in Folge der Enthüllungen um die Überwachungstätigkeiten von Geheimdiensten. Wie dargestellt liegt die Konstellation der Speicherung von Daten in Drittstaaten vor allem auch dem Cloud Computing zugrunde. Ist die Cloud deshalb tot? Ich denke nicht. Denn die Ausführungen des EuGH sind dafür wohl von zu allgemeiner Natur. Dennoch stellen sich Fragen: Sollte eine Speicherung von personenbezogenen Daten in Ländern außerhalb der EU nun (unabhängig von der rechtlichen Grundlage der Übermittlung) nicht mehr möglich sein? Oder etwa nur wenn sich der Datenverarbeiter behördlichen Maßnahmen europäischer Stellen freiwillig unterwirft? Reicht die beschriebene „mittelbare“ Überwachungsmöglichkeit und dem folgend etwa Maßnahmen gegen den Verantwortlichen in der EU aus? Sollte dem nicht so sein, dann wäre dies ein Schritt zurück, hinter die Intention der geltenden DS-RL und würde der digitalen Wirtschaft und damit auch unserem täglichen Umgang mit Internetdiensten einen Bärendienst erweisen.

RFID-Technologie: Bald spezielle gesetzliche Regelungen?

„RFID“, das bedeutet „Radiofrequenz-Identifikation“ und unter RFID-Technologie versteht man Verfahren zur kontaktlosen Identifizierung von Objekten oder Personen per Funk. Bekannte Beispiele dürften etwa RFID-Chips in Büchern sein, die in Bibliotheken ausgeliehen werden oder auch in Ausweisen. Das System besteht aus zwei Komponenten: Einem elektronischen Mikrochip mit Antenne, auf dem Daten gespeichert werden können, und einem Lesegerät, das die gespeicherten Daten erfasst, auslesen und z. B. für eine weitere Nutzung in eine Datenbank übertragen kann.

In einer Petition an den Deutschen Bundestag (Nr. 22315) aus dem Januar 2012, wurde vor dem Hintergrund von dem Einsatz von RFID-Chips in Kleidungsstücken gefordert, dass diese Chips „unverzüglich, kostenlos und ohne Aufforderung des Käufers von Gegenständen vom Verkäufer entfernt werden müssen“. Denn oft werden diese Chips in der Kleidung belassen und können daher grundsätzlich durch Lesegeräte in anderen Geschäften ausgelesen werden, woraus sich die Gefahr ergebe, dass „unbefugte Dritte an diese gefunkten Informationen gelangen und u.U. zum Nachteil des Besitzers der Ware nützen“ können. Daher müsse der Bundestag tätig werden und die Gesetze anpassen. Das erforderliche Quorum erreichte die Petition nicht.

Interessant ist die Antwort des Petitionsausschusses (PDF) des Deutschen Bundestages vom 20.02.2014 dennoch. In seiner Begründung stellt der Ausschuss fest:

Ebenso wie der Bundesrat setzt sich auch der Petitionsausschuss dafür ein, die Verbraucherinformation beim Einsatz der RFID-Technik zu verstärken und ein Datenschutzkonzept zu erstellen.

Die Bundesregierung wurde im Zusammenhang mit der Petition auch um eine Stellungnahme gebeten. Sie stimmt der Forderung nach einer generellen Deaktivierung der RFID-Chips auf der Ebene der Verbraucher (am sog. „Point of Sale“) grundsätzlich zu. Jedoch verweist sie auch auf zu beachtende branchenspezifische Prozesse nach dem Verkaufsvorgang, wie z.B. Garantieleistungen, die hier zu berücksichtigen sind. Außerdem verweist die Bundesregierung auf einen „Bericht der Bundesregierung zu den Aktivitäten, Planungen und zu einem möglichen gesetzgeberischen Handlungsbedarf in Bezug auf die datenschutzrechtlichen Auswirkungen der RFID-Technologie“ (PDF) aus dem Jahre 2008. Hierin spricht sich die Bundesregierung für den Vorrang einer Selbstverpflichtung der Wirtschaft hinsichtlich des Datenschutzes bei RFID-Anwendungen aus. Sollte es jedoch in absehbarer Zeit keine effektive Selbstverpflichtung durch die Wirtschaft geben, dann erwäge die Bundesregierung die Prüfung einer gesetzlichen Regelung. Zudem sei nach dem Bericht der gesetzgeberische Handlungsbedarf dann erneut zu prüfen, wenn sich die Anwendungsstrukturen im Endkundenbereich konkretisieren.

Der Petitionsausschuss (als auch der Bundesrat) sehen angesichts der zunehmenden Verbreitung von RFID sowohl im privatwirtschaftlichen als auch im öffentlichen Bereich (z. B. Reisepass) die in dem Bericht aufgestellten Voraussetzungen für gesetzliche Regelungen inzwischen als erfüllt an. Der Ausschuss hält

die derzeit geltende Rechtslage für nicht angemessen.

Daher plädiert der Ausschuss für den Fall des Scheiterns einer Selbstverpflichtungserklärung der Wirtschaft für eine gesetzliche Regelung. In dieser sollte u. a. normiert werden, dass RFID-Chips im Regelfall bei der Übergabe von Waren an Verbraucher kostenlos und automatisch deaktiviert werden müssen. Der Petitionsausschuss empfiehlt daher die Petition dem Bundesministerium der Inneren und dem Bundesministerium für Wirtschaft und Energie zur Erwägung zu überweisen. Auch die Fraktionen des Deutschen Bundestages sollen von der Petition Kenntnis erhalten.

Ob es letztendlich zu einem Gesetzesvorschlag kommen wird, bleibt freilich abzuwarten. Das Thema Datenschutz und RFID ist nicht unbedingt neu. Bereits 2005 hat sich die Art. 29 Datenschutzgruppe auf europäischer Ebene hiermit befasst (Arbeitspapier WP 105, PDF). Zudem wurde durch die Art. 29 Datenschutzgruppe (Stellungnahme WP 180, PDF) und danach durch die Europäische Kommission (Rahmen für Datenschutzfolgenabschätzungen für RFID-Anwendungen, englisch, PDF) ein durch Wirtschaftsvertreter vorgelegter und mit den Datenschützern verhandelter Rahmen zur Datenschutzfolgenabschätzung bei dem Einsatz von RFID-Anwendungen positiv bewertet und angenommen. Spezielle gesetzliche Vorgaben existieren derzeit jedoch nicht. In dem oben erwähnten Bericht der damaligen Bundesregierung, wurde die Schaffung von bereichsspezifischen Regelungen noch abgelehnt, da

differenzierte und zumindest mittelfristig sinnvolle Lösungen schwierig sind, so lange noch keine hinreichend verfestigte Anwendungsstruktur oder zumindest eine hinreichend sichere Zukunftsprognose über die Entwicklung einer Technologie vorliegt.

Europäische Datenschutzbehörden zur Benachrichtigungspflicht bei Datenschutzverletzungen

Wer ist zu benachrichtigen, wenn unberechtigterweise auf personenbezogene Daten zugegriffen wird? Wann sind nicht nur die jeweils zuständige Datenschutzbehörde, sondern auch die Betroffenen selbst zu informieren?

Die Art. 29 Datenschutzgruppe (der Zusammenschluss der europäischen Datenschutzbehörden) hat sich in ihrer neuesten Stellungnahme (WP 213, PDF) einer Erläuterung der Pflichten von datenverarbeitenden Stellen angenommen, die jeweiligen Datenschutzbehörden und eventuell auch die Betroffenen zu informieren, wenn der Schutz personenbezogener Daten verletzt wird („data breach notification“).

Europarechtliche Grundlage der Benachrichtigungspflicht ist Art. 4 Abs. 3 (RL 2002/58/EG, in ihrer Fassung durch RL 2009/136/EG, Datenschutzrichtlinie für die elektronische Kommunikation). Danach hat der Betreiber von öffentlich zugänglichen elektronischen Kommunikationsdiensten, im Fall einer Verletzung des Schutzes personenbezogener Daten, die zuständige nationale Behörde von der Verletzung unverzüglich zu benachrichtigen. Art. 2 lit. i) RL 2002/58/EG definiert die Verletzung des Schutzes personenbezogener Daten als

eine Verletzung der Sicherheit, die auf unbeabsichtigte oder unrechtmäßige Weise zur
Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in der Gemeinschaft verarbeitet werden.

Für Unternehmen von besonderer Bedeutung ist zudem, welche Informationen der Behörde mitgeteilt werden müssen. Die Anforderungen hieran finden sich in der Verordnung 2013/611/EG (PDF).

Die Art. 29 Datenschutzgruppe geht in ihrer Stellungnahme auf die verschiedenen Problembereiche rund um eine Benachrichtigungspflicht ein.

Für Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste besteht bei einer Verletzung des Schutzes personenbezogener Daten eine Mitteilungspflicht an die Datenschutzbehörde. Eine Ausnahme ist nicht vorgesehen. Sie hat grundsätzlich innerhalb von 24 Stunden zu erfolgen, Art. 2 Abs. 2 Verordnung 2013/611/EG. Diese 24 Stunden Frist verlängert sich auf eine 72 Stunden Frist, wenn der Betreiber innerhalb der 24 Stunden nicht alle für die Meldung erforderlichen Informationen bereitstellen kann. Dann ist innerhalb der ersten 24 Stunden eine „Erstbenachrichtigung“ an die Behörde ausreichend, Art. 2 Abs. 3 Verordnung 611/2013/EG. Nach dieser Erstbenachrichtigung beginnen die weiteren 72 Stunden, in denen der Betreiber die restlichen Informationen sammeln kann.

Etwas anders stellt sich die Situation in Bezug auf die Benachrichtigung der Betroffenen dar. Diese ist nach Art. 4 Abs. 1 RL 2002/58/EG nur vorzunehmen, wenn „durch die Verletzung personenbezogener Daten die personenbezogenen Daten, oder Teilnehmer oder Personen in ihrer Privatsphäre, beeinträchtigt werden“. Die Art. 29 Datenschutzgruppe geht in ihrer Stellungnahme auf einige Beispiele ein, wann der Fall einer solchen „Beeinträchtigung“ vorliegt.

Von dieser Benachrichtigungspflicht der Betroffenen besteht jedoch erneut eine Rückausnahme für die Betreiber, wenn er nämlich nach Art. 4 Abs. 3 RL 2002/58/EG

zur Zufriedenheit der zuständigen Behörde nachgewiesen hat, dass er geeignete technische Schutzmaßnahmen getroffen hat und dass diese Maßnahmen auf die von der Sicherheitsverletzung betroffenen Daten angewendet wurden.

Insbesondere erwähnt die Richtlinie eine Verschlüsselung der Daten. Die Art. 29 Datenschutzgruppe weist darauf hin, dass freilich auch bei einer ausreichenden Verschlüsselung der Daten die Behörde zu benachrichtigen ist. Wenn jedoch die Vertraulichkeit des Schlüssels gewährleistet ist, dann gehen die Datenschützer davon aus, dass eine „Beeinträchtigung“ der Betroffenen nicht vorliegt und diese daher nicht benachrichtigt werden müssen. Selbst jedoch bei tauglicher Verschlüsselung kann eine Benachrichtigungspflicht an die Betroffenen entstehen. Dann nämlich, wenn etwa ein Verlust von Daten negative Auswirkungen haben kann (z. B. wenn der Betreiber keine Sicherheitskopien bereithält).

Die Art. 29 Datenschutzgruppe ist daher der Auffassung, dass es für die Verantwortlichen von entscheidender Bedeutung ist, vorausschauend zu planen und zu handeln. Sie weist zudem auf die Pflicht für Betreiber zur Ergreifung geeigneter technischer und organisatorischer Maßnahmen hin, Art. 4 Abs. 1 RL 2002/58/EG (siehe auch Art. 17 der RL 95/46/EG, PDF). Eine Erfüllung dieser Sicherheitspflichten wird auch dazu führen, dass die Gefahr der Verletzung des Schutzes personenbezogener Daten verringert wird, wie auch eine mögliche negative Folge für die Betroffenen, sollte dieser Fall dennoch eintreten.

Insgesamt dürfte die neue Stellungnahme der europäischen Datenschützer eine willkommene Handreichung für Datenschutzpraktiker darstellen, da sie sowohl abstrakt als auch konkret einzelne (evtl. unklare) Problembereiche in Bezug auf die Benachrichtigungspflichten anspricht und die Sichtweise der Behörden erläutert.