Digitale Agenda: IT-Sicherheit und das liebevoll gestrickte Datenschutzrecht

In der gestrigen Ausgabe der FAZ hat der deutsche Bundesinnenminister, Dr. de Maizière, in einem umfangreichen Beitrag (hier eine kurze Zusammenfassung) zu seiner persönlichen Vorstellung und auch der Aufgabe seines Ministeriums im Politikfeld „Digitale Agenda“ Stellung genommen. Egal wie man zu dem Beitrag und seinen Aussagen inhaltlich steht, lesen sollten ihn jeder, der sich privat oder beruflich mit der Digitalisierung auseinandersetzt.
Der Innenminister erkennt mit Blick auf das Internet und die Digitalisierung derzeit drei wichtige ordnungspolitische Vorhaben für sein Ministerium: Die Verabschiedung eines IT-Sicherheitsgesetzes, die Verabschiedung der Datenschutz-Grundverordnung und intensive Verhandlungen auf internationaler Ebene zur globalen Dimension der Digitalisierung. Die beiden ersten möchte hier etwas näher beleuchten.

Verabschiedung des ersten IT-Sicherheitsgesetzes
Die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen, so der Minister, zu den sichersten der Welt werden. Das geplante IT-Sicherheitsgesetz geht diese Woche in die Ressortabstimmung. Inhaltlich sei das Gesetz von folgendem Grundprinzip beseelt: wer durch den Einsatz von IT Risiken für andere schafft, hat auch die Verantwortung für den Schutz vor diesen Risiken. Diese Idee ist dem Recht nicht fremd. Sie liegt etwa den Verkehrssicherungspflichten zugrunde (wer auf öffentlicher Straße eine Grube gräbt, muss für effiziente Absperrung sorgen). Die Fragen, die sich im Zuge der Diskussionen um das Gesetz stellen könnten, sind diejenigen nach dem erforderlichen Grad des Risikos und wann man ein solches „schafft“? Ist es etwa ausreichend, dass ein Unternehmen einen unverschlüsselten E-Mail Dienst anbietet? Oder einen Internetdienst für hunderttausende Kunden unverschlüsselt betreibt? Reicht dies, um ein Risiko zu schaffen? Muss es sich bei dem Risiko bereits um eine konkrete Gefahr handeln oder ist doch die abstrakte Wahrscheinlichkeit ausreichend? Bestehen also quasi anlasslose Pflichten für Schutzvorkehrungen, weil ein gewisses Grundrisiko nie ganz auszuschließen ist? Zudem wird es wichtig sein zu klären, worauf sich die Risiken beziehen müssen. Allgemein auf die Interessen von Betroffenen oder zumindest doch auf (konkret festgelegte) geschützte Rechtspositionen? Der Innenminister nennt zudem eine Form der Eskalation der Schutzvorkehrungen: je höher das Risiko für die Gesellschaft, desto höhere Anforderungen an die Schutzmaßnahmen.

Gegliedert sind die Pflichten dem Beitrag zufolge nach verschiedenen Branchen der Wirtschaft. Adressaten der Pflichten sind die in diesen Branchen tätigen Unternehmen. Dazu gehören etwa der Bereich Energie, Informationstechnik, Verkehr, Gesundheit und auch das Finanzwesen. Es geht darum, einheitlich Standards innerhalb der Branchen entstehen zu lassen. Der Inhalt der jeweiligen Branchenstandards soll durch die Unternehmen zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgearbeitet und branchenspezifisch angepasst werden.

Zwar soll für Unternehmen auch grundsätzlich eine Meldepflicht bei Cyber-Angriffen eingeführt werden. Diese kann jedoch, solange es noch nicht zu einem gefährlichen Ausfall oder einer Beeinträchtigung der kritischen Infrastruktur gekommen ist, auch anonym an das BSI erfolgen. Diese Initiative scheint aus meiner Sicht durchaus einen positiven Anreiz bereit zu halten. Unternehmen könnten so dazu animiert werden, frühzeitig zu melden und das BSI mit Informationen zu versorgen. Die Frage wird freilich sein, welche Kriterien für die Bestimmung eines „gefährlichen Ausfalls“ oder „einer Beeinträchtigung der kritischen Infrastruktur“ aufgestellt werden und wie einfach diese praxisgerecht von Unternehmen im konkreten Fall als Maßstab anzuwenden sind. Der Anreiz würde wohl verpuffen, wenn es heißt: im Zweifel identifizierende Meldung.

Verabschiedung der Datenschutz-Grundverordnung
Auch befasst sich der Beitrag mit der geplanten Datenschutz-Grundverordnung. Diese besitze „überragende Bedeutung“. Und Herr de Maizière stellt zutreffend fest: „Sie wird unser liebevoll gestricktes deutsches Datenschutzrecht komplett“ ersetzen. Die Verhandlungen hierzu sollten nach dem Innenminister als Chance genutzt werden, um in dem geplanten Gesetz auch Antworten auf Fragen zu geben, die sich mit Blick auf neue Technologien und Phänomene wie Big Data, Cloud-Computing und das Internet der Dinge stellen. Dieser Ansatz ist meines Erachtens zu begrüßen, denn wie der Minister richtig erkennt, sind die derzeit geltenden Regelungen natürlich nicht mehr zeitgemäß. Sie müssen angepasst werden. Dies sollte daher im Rahmen der derzeitigen Verhandlungen erfolgen. Wenn sich die Beratungen aufgrund der Berücksichtigung des technologischen Fortschritts und dem Umgang hiermit im Datenschutzrecht dann „verzögern“ (dieser Vorwurf wird sicherlich erhoben werden), so ist dies nicht negativ zu bewerten und sollte nicht zu gesetzgeberischen Kurzschlussreaktionen führen.

Inhaltlich möchte der Minister neben den bekannten Schutzmechanismen für die Betroffenen (wie Einwilligung und Informationspflichten) weitere Maßnahmen vorsehen, die dann greifen sollen, wenn die bisherigen Konzepte an ihre Grenze stoßen. Er nennt etwa das Beispiel, dass eine Information des Betroffenen verlangt wird, diese jedoch erst erfolgen kann, wenn der Betroffene vorher identifiziert wird. Also eine Datenerhebung um Daten zu schützen. Man wird abwarten müssen, wie die Vorschläge zur Ausgestaltung der Datenschutz-Grundverordnung hier konkret aussehen werden. Der Minister spricht von zusätzlichen Schutzmechanismen, die dann greifen sollen, wenn etwa das Instrument der Einwilligung praktisch nicht mehr umsetzbar ist.

Recht auf Vergessen – wie geht es weiter?

Nach dem Google-Urteil des EuGH vom 13.5.2014 (Az. C-131/12) und der anschließenden, in der Öffentlichkeit teilweise kritisierten Umsetzung durch Google, stellte sich für europäische Datenschutzbehörden die Frage, wie man mit der Entscheidung und Beschwerden von Betroffenen umgeht, die dieses Recht ausüben möchten. Doch auch der Rat der Europäischen Union hat sich, vor dem Hintergrund der möglichen Auswirkungen des Urteils auf die andauernden Verhandlungen zur Datenschutz-Grundverordnung (DS-GVO), mit dem Thema befasst.

Treffen mit den Datenschutzbehörden
Am gestrigen Donnerstag trafen sich Vertreter von verschiedenen europäischen Datenschutzbehörden mit Anbietern von Internetsuchmaschinen in Brüssel. Wie die Artikel 29 Datenschutzgruppe (der Zusammenschluss der europäischen Aufsichtsbehörden) zuvor in einer Pressemitteilung bekannt gab (PDF), war dieses Treffen ein Teil der Initiative der Datenschützer, bis zum Herbst diesen Jahres gemeinsame Richtlinien für Datenschutzbehörden zu entwerfen, wie diese mit Beschwerden umgehen sollen, die im Anschluss an einen abgelehnten Löschantrag bei ihnen eingehen. Eine offizielle Mitteilung zu den Ergebnissen des Treffens liegt noch nicht vor. Jedoch berichtet Reuters, unter Berufung auf einen nicht genannten Teilnehmer, einige Details:

  • So haben die Datenschützer Google insbesondere dazu befragt, warum Einträge in Ergebnislisten nur auf den europäischen Angeboten gelöscht (bzw. gesperrt) werden, jedoch nicht unter der .com-Adresse. Aus Sicht der Datenschützer greife diese Umsetzung des Urteils zu kurz.
  • Bis zum Ende des Monats sollen die Suchmaschinenbetreiber weitere Informationen zur Umsetzung des Urteils bereitstellen. Diese würden in den Prozess der Entwicklung von Richtlinien für Datenschutzbehörden einfließen. Ein erster Entwurf solcher Richtlinien für Aufsichtsbehörden könnte bis Mitte September fertig gestellt sein.

Auch Bloomberg berichtet zu dem Treffen und einigen statistischen Informationen. Danach habe Google bisher mehr als 91.000 Löschanfragen erhalten, die sich auf 328.000 Internetadressen beziehen. Unter Berufung auf einen ebenfalls nicht genannten Teilnehmer des Treffens wird weiter berichtet, dass Google 30% der Anträge zurückweise und in 15% der Fälle zusätzliche Informationen zu dem Sachverhalt anfordere.

Auswirkungen auf die Datenschutz-Grundverordnung
Doch nicht nur die Datenschützer treibt die Umsetzung des Google-Urteils um. Auch in der Arbeitsgruppe Dapix des Rates der Europäischen Union, in der die DS-GVO verhandelt wird, hat man sich die Entscheidung des EuGH näher angesehen. In einem nun veröffentlichten Dokument (PDF) der Präsidentschaft an die Delegationen wird das Urteil näher erläutert und seine möglichen Folgen für die Verhandlungen analysiert. Nachfolgend einige der in dem Papier angesprochenen Themen:

Der EuGH hatte festgestellt, dass der Löschanspruch dann geltend gemacht werden kann, wenn die Verarbeitung der personenbezogenen Daten nicht mehr erforderlich ist. Dies insbesondere dann, wenn die verarbeiteten Daten den ursprünglichen Zwecken in Anbetracht der verstrichenen Zeit nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen. Die Präsidentschaft ist sich jedoch nicht sicher, ob der derzeitige Wortlaut (es geht dabei um Art. 17 DS-GVO in der Fassung des Textes im Rat nach der griechischen Ratspräsidentschaft, abrufbar hier, PDF) deutlich genug zum Ausdruck bringt, dass bei der Frage, ob die Daten den ursprünglichen Zwecken nicht mehr entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen, nicht auf den Betreiber der Originalwebseite, sondern auf den Betreiber der Suchmaschine abzustellen ist. Dies betrifft insbesondere auch die Frage des berechtigten Interessen bei einer vorzunehmenden Abwägung im Rahmen der Prüfung eines Erlaubnistatbestandes für die Verarbeitung.

Zudem stelle sich die Frage nach dem Verhältnis von Meinungsfreiheit und dem Recht auf Schutz personenbezogener Daten. Der EuGH hatte entschieden, dass sich allein der Betreiber der Originalwebseite auf die (sowohl in der derzeit geltenden Datenschutz-Richtlinie als auch in der DS-GVO vorgesehene) Ausnahme für die Verarbeitung von Daten zu ausschließlich journalistischen Zwecken berufen könne. Die Präsidentschaft stellt hierzu die Frage in den Raum, ob dies nicht auch für die nachfolgenden Datenverarbeiter (wie z.B. den Suchmaschinenbetreiber) gelten solle. Zu beachten ist hierbei, dass Fragen des Rechts auf freie Meinungsäußerung (aus kompetenzrechtlichen Gründen) nicht detailliert innerhalb der DS-GVO geregelt werden können.

Eine weiterer offener Punkt sei, ob es bei der Ausübung des Löschanspruchs eine gesetzlich festgelegte Reihenfolge geben soll, die der Betroffene zu beachten habe. Dass er sich also zunächst immer an den Betreiber der Originalwebseite wenden müsse und nur dann an den nachfolgenden Verarbeiter herantreten könne, wenn der Betreiber der Originalwebseite nicht mehr existiere oder nicht dem EU-Recht unterfalle. Dieser Vorschlag sei in der Vergangenheit von einigen Delegationen im Rat vorgebracht worden. Jedoch gibt die Präsidentschaft zu bedenken, dass ein solches System vom EuGH als nicht ausreichend erachtet wurde, um den Rechten des Betroffenen ausreichend Geltung zu verschaffen.

Datenschutzreform: Bundesrat sieht weiterhin Nachbesserungsbedarf

Der Deutsche Bundesrat hat in seiner heutigen Sitzung zu der Mitteilung der Europäischen Kommission mit dem Titel „Ein offenes und sicheres Europa – Praktische Umsetzung“ (KOM(2014) 154 endg., PDF) Stellung genommen. In dem hierzu verabschiedeten Beschluss (BR-Drs. 123/14, PDF) bedauert der Bundesrat, dass in der Mitteilung die weitere Entwicklung des europäischen Datenschutzrechts nicht in den Blick genommen wurde.

Dies vor allem deshalb, weil aus Sicht des Bundesrates die anhaltenden Beratungen um die europäische Datenschutzreform „bereits weitreichend Reformerfordernisse aufgezeigt haben“. Für den Bundesrat stellt dabei die Verwirklichung wirksamer Garantien zum Schutz personenbezogener Daten, gerade unter den Bedingungen global vernetzter Kommunikation, eine der zentralen strategischen Aufgaben einer dem Schutz ihrer Bürgerinnen und Bürger verpflichteten Europäischen Union dar.

Wichtig ist dem Bundesrat dabei jedoch, dass ein zukünftig modernisiertes europäisches Datenschutzrecht „vor allem den unterschiedlichen Regelungsbedarfen des öffentlichen und des privaten Sektors Rechnung tragen“ muss. Die zu entwickelnden Vorgaben dürften nicht hinter bereits bestehende nationale Regelungen und den geltenden Rechtsakt der Union für den Datenschutz bei der grenzüberschreitenden Zusammenarbeit von Polizei und Justiz zurückfallen.

Der Bundesrat verweist des weiteren auf seine Stellungnahmen zu der vorgeschlagenen Datenschutz-Grundverordnung (BR-Drs. 52/12 und (2), PDF) und der Richtlinie für den Datenschutz bei Polizei und Justizbehörden (BR-Drs. 51/12 und (2), PDF) aus dem Jahre 2012. Die in diesen Beschlüssen aufgezeigten Nachbesserungserfordernisse würden weiterhin gelten.

Diese Forderungen, insbesondere das Kernanliegen zur Gewährleistung ausreichender Spielräume für nationale Datenschutzregelungen im öffentlichen Bereich, gelten fort.

Zwar erkennt der Bundesrat den Fortschritt der Verhandlungen auf europäischer Ebene, wie etwa die gemeinsame Position des Europäischen Parlaments vom März 2014, an. „Dennoch sieht der Bundesrat Klarstellungsbedarf insbesondere mit Blick auf die Möglichkeiten, in den Mitgliedstaaten besondere Anforderungen bei der Verarbeitung personenbezogener Daten vorzusehen“.

Erforderlich sei daher eine rasche Klärung der noch offenen Fragen im Rat der Europäischen Union. Dabei betont der Bundesrat, dass es unerlässlich sei, zeitnah einen einheitlichen Rechtsrahmen für den Datenschutz auf EU-Ebene zu finden.

Daneben ist dem Bundesrat jedoch wichtig, den Dialog und die Zusammenarbeit mit Drittstaaten auszubauen. Nur so könne gemeinsam den Herausforderungen des Datenschutzes in einer vernetzten Welt entgegengetreten werden. Er bedauere,

dass die bisherigen Anstrengungen der EU hierzu, zum Beispiel beim Dialog über Datenschutzfragen mit den Vereinigten Staaten von Amerika über die Safe-Harbor-Grundsätze oder ein Datenschutz-Rahmenabkommen im Bereich der Strafverfolgung, trotz unstreitigen Handlungsbedarfs bislang nur zu langsamen Fortschritten geführt haben.

Datenschutzreform: neue Ratsdokumente belegen anhaltenden Diskussionsbedarf

Unter EUDataP-links.com, einer Unterseite dieses Blogs, habe ich neue Dokumente aus der DAPIX (die für den Datenschutz zuständige Ratsarbeitsgruppe) zur Datenschutzreform verlinkt. Thematisch geht es dabei vor allem um den Dauerbrenner „one-stop-shop“ und den Datentransfer in Drittstaaten.

Wie sich aus den Dokumenten ergibt, besteht weiterhin anhaltender Diskussionsbedarf zwischen den europäischen Mitgliedstaaten in Bezug auf das Streben nach einer gemeinsamen Position zur geplanten Datenschutz-Grundverordnung (DS-GVO). Die Dokumente datieren von Ende April 2014, bilden daher wohl nicht den aktuellsten Stand der Verhandlungen ab.

Dennoch zeigt ein Blick in die Papiere und dabei insbesondere in die Fußnoten, dass Mitgliedstaaten teilweise erheblichen Diskussions- und Änderungsbedarf hinsichtlich elementarer Grundsätze der geplanten DS-GVO sehen. Beispielhaft möchte ich kurz auf das Dokument zu Datentransfers in Drittstaaten eingehen (8087/1/14 REV 1, PDF).

Einige Mitgliedstaaten zweifeln die Wirksamkeit des Prinzips der Angemessenheitsentscheidungen durch die Europäische Kommission an (siehe Fn. 13). Diese Angemessenheitsentscheidungen werden von der Kommission getroffen, um einem Drittland oder auch nur einem bestimmten Industriebereich eines Drittlandes, ein angemessenes Datenschutzniveau zu attestieren und damit Datentransfers aus der EU dorthin zu ermöglichen. Frankreich möchte zudem wissen, ob Datenübermittlungen im Rahmen des Cloud-Computing nach Ansicht der Kommission ebenfalls einen internationalen Datentransfer darstellen. Deutschland schlägt vor, dass in der DS-GVO Regelungen für die Einrichtung von Selbstverpflichtungsmechanismen in Drittstaaten (wie etwa Safe Harbor in den USA) aufgenommen werden.

Zudem werden in dem Ratsdokument auch neue Anforderungen an die den Datentransfers zugrundeliegenden Instrumenten gestellt. So sollen in unternehmensweit geltende Richtlinien (BCRs), welche durch die nationalen Datenschutzbehörden freigegeben werden müssen, nach Art. 43 Abs. 2 (l) auch Hinweise auf die in einem Konzern vorgehaltenen Mechanismen gegeben werden, welche dort existieren, um eine Datenschutzbehörde auf Anforderungen des Rechts eines Drittstaates hinzuweisen, die ein Unternehmen des Konzerns verpflichten und sich negativ auf den durch die BCRs gewährten Schutz der personenbezogenen Daten auswirken können. Im Blick hatte man hierbei wohl vor allem Anfragen und Herausgabeverlangen von drittstaatlichen Behörden.

Auf Vorschlag der deutschen Delegation (Fn. 75) wurde zudem die Voraussetzung einer „ausdrücklichen“ Einwilligung in Art. 44 Abs. 1 (a) eingefügt, die als Grundlage einer Datenübermittlung in einen Drittstaat dienen kann. Vorher war hier nur von einer „Einwilligung“ die Rede.

Bereits ein Blick in dieses Dokument zu einem besonderen Themenbereich zeigt, dass die Diskussionen im Rat weiter anhalten, Vorschläge gemacht und Änderungen eingearbeitet werden. Wenn man die Fußnoten und damit die Anmerkungen der Mitgliedstaaten liest, dann fällt zudem auf, dass Deutschland einer der aktivsten Diskussionsteilnehmer ist, sei es nun durch das Einbringen eigener Vorschläge oder kritische Anmerkungen.

Datenschutz im Auto – Bundesregierung: „höchst komplex“

Das vernetzte Auto als Teil des Internets der Dinge wirft gerade auch im Bereich des Datenschutzrechts neue Fragen auf. Häufig drehen sich diese um das „Eigentum“ an Daten (wobei diese Begrifflichkeit im Datenschutzrecht verfehlt erscheint). Wer darf im Fahrzeug erhobene Daten verwenden? Wem „gehören“ diese Daten?

Auf eine kleine Anfrage der Fraktion Bündnis 90/Die Grünen im Bundestag hat nun die Bundesregierung ihre Sichtweise zum Thema „Datenschutz im Auto“ (BT-Drs. 18/1362, PDF) dargelegt.

Zunächst ist es der Bundesregierung wichtig, zwischen zwei Datenkategorien zu differenzieren: zum einen den Daten für Fahrzeugfunktionen (Daten in den Steuergeräten) und zum anderen den Daten für Servicefunktionen (Daten, welche bei der Nutzung des Infotainmentsystems anfallen).

Und wem „gehören“ diese Daten nun? Nach Ansicht der Bundesregierung besitzt der Fahrzeughalter grundsätzlich die tatsächliche Verfügungsgewalt über Daten in den Steuergeräten. Er entscheidet über die Verwendung des Fahrzeugs und ist für dessen verkehrssicheren Zustand verantwortlich. Rein faktisch stellt sich jedoch das Problem, dass die Daten für den Halter nutzlos sind, da er zum einen nicht die Geräte besitzt, um sie auslesen zu können. Zum anderen wird der Halter kaum das Fachwissen besitzen, um aus den ausgelesenen Daten Rückschlüsse ziehen zu können, sie also zu verstehen. Hierbei handeln die Stellen, welche die Daten auslesen und auswerten können zumeist im Auftrag des Halters. Bei zusätzlichen Servicefunktionen wird oft mit dem Hersteller selbst ein zivilrechtlicher Vertrag abgeschlossen, auf dessen Grundlage Daten verarbeitet werden dürfen.

Die Frage nach „Rechten an Daten“ stellt sich nach der Bundesregierung als „höchst komplex“ dar. Zum einen, weil das BDSG eine Art des Eigentums an Daten nicht kenne. Es unterscheidet zwischen dem für die Verarbeitung Verantwortlichen (und eventuell noch in seinem Auftrag Handelnden) und dem Betroffenen. Betroffener ist grundsätzlich der Fahrzeughalter und/oder Fahrer. Jedoch ist es auch durchaus denkbar, dass der Betroffene selbst der für die Verarbeitung Verantwortliche ist. Dies hängt nach der Bundesregierung davon ab, ob er selbst die Datenherrschaft über die gespeicherten Daten ausüben kann. Fehlt es an einer solchen effektiven Ausübungsmöglichkeit, etwa weil die technischen Geräte zum Auslesen der Daten fehlen oder die entsprechende Kenntnis nicht vorhanden ist, so ist nach Ansicht der Bundesregierung derjenige verantwortlich, der diese Gerätschaften oder Kenntnis besitzt. Also z. B. die Werkstatt oder der Hersteller. Deren Verantwortlichkeit liegt jedoch wiederum dann nicht vor, wenn sie ihre Aufgaben und Datenverarbeitungsvorgänge im Auftrag des Fahrzeughalters ausführen.

Interessant ist, dass die Bundesregierung die datenschutzrechtliche Verantwortlichkeit an die Datenherrschaft anknüpft. Diese wiederum bestehe aus zwei Komponenten: aus einer technischen Komponente (Auslesen und Zugang zu Daten) und einem Wissenselement, die Daten nutzen und verstehen zu können. Diese wird bei Daten im Auto grundsätzlich nicht bei den Haltern vorliegen. Ihre Verantwortlichkeit könne sich jedoch dadurch ergeben, dass mit Werkstätten, Herstellern etc. Verträge abgeschlossen werden, nach denen die Dienstleister allein im Auftrag des Halters handeln.

Die Zuordnung der Verantwortlichkeiten sei jedoch stets vom Einzelfall abhängig und könne nicht pauschal festgestellt werden. Aufgrund der Schwierigkeit der Zuordnung, spricht sich die Bundesregierung auch für eine Fortentwicklung des Systems der Verantwortlichkeit im Rahmen der geplanten Datenschutz-Grundverordnung aus.

Für die Datenverarbeitungen rund um das Kfz sollen zudem auch die allgemeinen datenschutzrechtlichen Vorgaben, insbesondere etwa auch das Gebot der Datensparsamkeit (§ 3a BDSG) gelten. Eine bestehende Regelungslücke kann die Bundesregierung nicht erkennen. So gelten für Datenverarbeitungsvorgänge im Auto auch die Vorgaben von spezielleren Gesetzen, wie etwa dem TMG. Aktuell werde daher von einer datenschutzgerechten Ausgestaltung ausgegangen.

Bundesregierung zum Beschäftigungsdatenschutz in sozialen Netzwerken

Was ist „öffentlich“, was ist „privat“? Welche Regeln gelten für die Datenerhebung durch (zukünftige) Arbeitgeber in sozialen Netzwerken? Wann kommt die Datenschutz-Grundverordnung?

Zu diesen und andere Fragen hat die Bundesregierung in der Antwort auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag (BT-Drs. 18/1122, PDF) Stellung genommen.

Bestehende Regelung in § 32 BDSG
In ihrer Antwort verweist die Bundesregierung zunächst auf die Vorgaben des § 32 BDSG, der die Datenerhebung, -verarbeitung und –nutzung für Zwecke des Beschäftigungsverhältnisses regelt. Personenbezogene Daten eines Bewerbers oder eines Beschäftigten dürfen nach § 32 Abs. 1 S. 1 BDSG erhoben oder verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Die Vorschrift ist freilich nicht nur speziell für den Umgang mit Daten aus dem Internet konzipiert. Die Bundesregierung stellt jedoch klar:

Diese Vorgaben gelten auch für die Erhebung von Daten in
sozialen Netzwerken und Internetforen.

In der Datenschutz-Grundverordnung
DIE LINKE wollte zudem wissen, ob die Fragen der Datenerhebung von Bewerbern in sozialen Netzwerken auch Gegenstand der Verhandlungen zur geplanten Datenschutz-Grundverordnung (DS-GVO, PDF) sind. Hier verweist die Bundesregierung auf Art. 82 Abs. 1 DS-GVO, nach dem die Mitgliedstaaten beschäftigungsdatenschutzrechtliche Fragen in den Grenzen der Verordnung durch Gesetz regeln können.

Anmerkung: Wichtig an dieser Vorgabe ist die Beschränkung auf die „Grenzen“ der DS-GVO. Hierdurch wird den Mitgliedstaaten sowohl in Bezug auf eine mögliche Erhöhung oder auch mögliche Absenkung des Schutzniveaus von Beschäftigungsdaten eine Vorgabe gemacht. Nationale Regelungen, welche sich nicht an die Vorgaben der DS-GVO und den ihr zugrunde liegenden Prinzipien halten, würden sich nicht innerhalb dieser Grenzen bewegen.

Abgrenzung: privat – öffentlich
Zudem wollte DIE LINKE wissen, wann eine Unterhaltung in einem sozialen Netzwerk oder Internetforum als „öffentlich“ oder „privat“ anzusehen ist. Die Bundesregierung weist darauf hin, dass die Diskussion um die Abgrenzung von öffentlicher und privater Kommunikation in sozialen Netzwerken und Internetforen noch geführt wird und nicht abgeschlossen ist. Nach Ansicht der Bundesregierung ist

Eine Unterhaltung in sozialen Netzwerken oder Internetforen … zumeist dann eine öffentliche Kommunikation, wenn eine allgemeine Zugänglichkeit zu diesen Kommunikationsplattformen besteht.

Zudem merkt die Bundesregierung an, dass die allgemeine Zugänglichkeit nicht unbedingt dadurch ausgeschlossen wird, dass eine vorherige Registrierung erforderlich ist. Im Ergebnis bedürfe es jedoch einer Beurteilung im Einzelfall. Kriterien hierfür seien etwa: „Die Größe des Empfängerkreises, das Ziel und der Zweck des Kommunikationsforums oder die soziale Akzeptanz und Ortsüblichkeit“.

Wann kommt die DS-GVO?
Völlig unabhängig vom Thema Beschäftigungsdatenschutz möchte DIE LINKE auch wissen, wann die Verhandlungen zur DS-GVO beendet sein werden und mit einer Verabschiedung zu rechnen ist. Hier die Antwort:

Die Bundesregierung setzt sich dafür ein, dass die Verhandlungen über die Datenschutz-Grundverordnung entschieden vorangehen. Gegenwärtig sind trotz intensiver Arbeiten für eine große Anzahl von Mitgliedstaaten noch wichtige Fragen offen. Vor diesem Hintergrund begrüßt die Bundesregierung den Beschluss des Europäischen Rates, wonach die rechtzeitige Verabschiedung eines soliden EU-Datenschutzrahmens für die Vollendung des Digitalen Binnenmarktes bis zum Jahr 2015 als von entscheidender Bedeutung bezeichnet wird.

Nationale Regelungen zum Beschäftigungsdatenschutz plane die Bundesregierung, mit Blick auf die Verhandlungen zur DS-GVO, derzeit nicht. Sollte jedoch mit einem Abschluss der Verhandlungen „nicht in angemessener Zeit gerechnet werden können“, so soll eine nationale Regelung zum Beschäftigungsdatenschutz geschaffen werden.

Deutsche Datenschutzbehörden: Unsere Daten sicherer machen – wir selbst haben es in der Hand!

Auf der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 27.-28. März 2014, haben die Datenschützer aus Bund und Ländern mehrere Beschlüsse zu verschiedensten Themengebieten gefasst. Nachfolgend eine kurze Übersicht.

Elektronische Kommunikation
Nach der Pressemitteilung stellen sich aus der Sicht der Datenschützer die „bisherigen rechtlichen und politischen Reaktionen auf das massenhafte Ausspähen der Kommunikation durch Nachrichtendienste“ als enttäuschend dar. Die Teilnehmer fordern in ihrem Beschluss („Gewährleistung der Menschenrechte bei der elektronischen Kommunikation“), dass die Grundrechte der Bevölkerung durch technische und organisatorische Maßnahmen wirksam zu schützen sind. Hierzu gehöre insbesondere die Bereitstellung einer von jeder Person einfach nutzbaren Verschlüsselungsinfrastruktur. Zudem müsse beim Transport von Daten eine standardisierte Verschlüsselung eingreifen. Zusätzlich bedarf es jedoch des Einsatzes von Mechanismen der Ende-zu-Ende-Verschlüsselung, die der Bevölkerung angeboten, aber auch ausreichend finanziert werden müssen.

Gesichtserkennung
Eine weitere Entschließung der Datenschutzbehörden befasst sich mit der biometrischen Gesichtserkennung durch Internetdienste („Biometrische Gesichtserkennung durch Internetdienste – Nur mit Wahrung des Selbstbestimmungsrechts Betroffener!“). Danach sehen die Datenschützer in der biometrische Gesichtserkennung eine Technik, „die sich zur Ausübung von sozialer Kontrolle eignet und der damit ein hohes Missbrauchspotential immanent ist„. Sie fordern daher, dass eine Verarbeitung biometrischer Merkmale der Gesichter der Nutzer in sozialen Medien nur mit der ausdrücklichen und informierten Einwilligung der Betroffenen erfolgen darf (§ 4a BDSG). Ein Verweis auf Klauseln in Allgemeinen Geschäftsbedingungen reiche nicht aus.

Öffentlichkeitsfahndung
Die Konferenz befasste sich zudem mit der polizeilichen Öffentlichkeitsfahndung mit Hilfe sozialer Netzwerke („Öffentlichkeitsfahndung mit Hilfe sozialer Netzwerke – Strenge Regeln erforderlich!“). Eine Nutzung sozialer Netzwerke privater Betreiber (wie z.B. Facebook) zur Öffentlichkeitsfahndung stellt sich aus datenschutzrechtlicher Sicht der Behörden als sehr problematisch dar. Wenn eine solche Fahndungsart gewählt wird, so sollte diese bestimmt Voraussetzungen beachten. Denn sie greife nicht zuletzt wegen der größeren Reichweite deutlich intensiver in die Grundrechte ein als die herkömmliche Öffentlichkeitsfahndung. So darf etwa eine Speicherung der Fahndungsdaten nur auf den Servern der Polizei erfolgen. Zudem sei es entscheidend, dass die „Fahndung nicht als Aufruf zu Hetzjagden und Selbstjustiz im Internet führt. Dazu muss die Kommentierungsfunktion zwingend deaktiviert sein“.

Beschäftigungsdatenschutz
Auch der Beschäftigungsdatenschutz war erneut Thema auf der Konferenz (Beschäftigtendatenschutzgesetz jetzt!). Die Datenschützer verweisen auf den Koalitionsvertrag, wonach, falls mit einem Abschluss der Verhandlungen über die Europäische Datenschutz-Grundverordnung nicht in angemessener Zeit gerechnet werden kann, eine nationale Regelung geschaffen werden solle. Dies reicht den Datenschützern nicht aus. „Aufgrund der voranschreitenden technischen Entwicklung, die eine immer weiter gehende Mitarbeiterüberwachung ermöglicht, besteht unmittelbarer Handlungsbedarf. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert die Bundesregierung deshalb auf, ein nationales Beschäftigtendatenschutzgesetzes um-gehend auf den Weg zu bringen„.

Datenschutzaufsicht in Europa
Zuletzt fordert die Konferenz in der Entschließung zur „Struktur der zukünftigen Datenschutzaufsicht in Europa„, dass während der im Rat der Europäischen Union andauernden Verhandlungen zur Datenschutz-Grundverordnung, bestimmte Kernelemente beachtet werden sollten, um in Zukunft einen effektiven und bürgernahen Kooperations- und Entscheidungsmechanismus der europäischen Datenschutzbehörden zu gewährleisten. Die Konferenz bekräftigt insbesondere den Grundsatz, dass jede Aufsichtsbehörde zur Kontrolle von datenschutzrechtlichen Verstößen befugt sein sollte, wenn Bürgerinnen und Bürger des jeweiligen Mitgliedstaats betroffen sind. Bei grenzüberschreitender Datenverarbeitung in Europa sollte die Aufsichtsbehörde am Ort der Hauptniederlassung nur federführend tätig werden und eng mit den anderen Aufsichtsbehörden kooperieren. Einigen sich die beteiligten Behörden, so soll die federführende Behörde die Maßnahme erlassen. In Streitfällen sollte der Europäische Datenschutzausschuss verbindlich entscheiden. Nach Ansicht der Konferenz besteht jedoch für die Einführung formeller, fristgebundener Verfahren zur Erlangung EU-weit gültiger Compliance-Entscheidungen kein Bedarf. Es dürfe bei der Klärung von Compliance-Fragen zu keiner Verlagerung der Verantwortlichkeit auf die Aufsichtsbehörden kommen.

Merkel: Wir brauchen eine digitale Agenda!

Bundeskanzlerin Merkel hat sich in ihrem wöchentlichen Podcast, kurz vor der Eröffnung der diesjährigen CeBit Messe in Hannover, mit dem Thema digitale Wirtschaft, Breitband, Datenschutz und Datensicherheit beschäftigt. Das Video ist hier abrufbar, die Textversion hier.

Erfreulich ist, dass die Thematik um die digitale Zukunft Deutschlands und auch Europas einen immer höheren Stellenwert in Regierungskreisen zu erreichen scheint. Dies scheint mir auch geboten. Wie ich bereits zum Thema „Internet der Dinge“ geschrieben hatte, sehe ich gerade für Deutschland doch ein Potential, um sich hier am Weltmerkt zu etablieren und Standards zu setzen.

Digitale Agenda
Die Bundeskanzlerin erklärt in dem Interview, dass die Bundesregierung eine Digitale Agenda von 2014 bis 2017 aufstellen werde. Verantwortlich seien dabei im Kern das Wirtschaftsministerium, das Ministerium für Verkehr und Infrastruktur und das Bundesministerium des Innern. Nach Ansicht der Bundeskanzlerin handelt es sich hierbei um ein übergreifendes Thema. Der Wohlstand in Deutschland werde maßgeblich davon abhängen, wie die klassische Industrie mit der Verschmelzung der digitalen Welt zurecht komme.

Zum einen geht es der Bundeskanzlerin um die Teilhabe der Bevölkerung an neuen Technologien. Hierfür müsse jedoch die Voraussetzung geschaffen werden, dass alle Bürger auch Zugang zu den Entwicklungen haben und daher der Breitbandausbau vorangetrieben werden. Zweitens möchte die Bundeskanzlerin, vor allem auf europäischer Ebene, einen digitalen Markt schaffen. Europa müsse also attraktiv für Unternehmen werden und diese müssen auch wettbewerbsfähig sein. Derzeit hinke Europa hier hinter Staaten wie Amerika oder asiatischen Ländern hinterher. Zudem geht es der Kanzlerin um den Datenschutz. Das derzeit geltende Datenschutzrecht ist in Europa zersplittert. An der Verabschiedung eines einheitlichen Standards, nämlich der derzeit verhandelten Datenschutz-Grundverordnung, werde gearbeitet. Dies wäre gerade auch für die Ansiedlung neuer Firmen in Europa hilfreich. Jedoch betont die Bundeskanzlerin, dass Deutschland den Anspruch habe, seinen hohen Standard beim Datenschutz nicht aufzugeben. Zuletzt verweist die Kanzlerin auch auf nötige Fortschritte bei der Medienerziehung und Aufklärung.

Deutsch – Französischer Ministerrat: Verabschiedung der Datenschutzreform bis 2015

In der offiziellen gemeinsamen Erklärung (PDF) zum Deutsch – Französischen Ministerrat vom 19. Februar 2014, verpflichteten sich die Regierungen der beiden Länder zu verschiedenen Maßnahmen und Initiativen, die sowohl auf nationaler als auch auf internationaler Ebene im Bereich der Regulierung Internets, der digitalen Wirtschaft und des Datenschutzes vorangetrieben werden sollen.

Digitale Wirtschaft
Die Regierungen beider Länder wollen in der Zukunft

Innovationen fördern, damit Erzeugnisse und Dienstleistungen entwickelt werden, die in Europa zur Wertschöpfung beitragen.

Zudem möchten beide Regierungen prüfen, welche Instrumente benötigt werden, um die Finanzierung und das Wachstum von Start-up-Unternehmen in Europa zu fördern.

Schutz personenbezogener Daten
Weiterhin halten es die Minister von Deutschland und Frankreich für unerlässlich, dass ein

Rahmen geschaffen wird, der den…Schutz der personenbezogenen Daten gewährleistet.

Hierzu haben die Regierungen die Absicht, auf europäischer Ebene zu einer Verständigung über den Rahmen für personenbezogene Daten beizutragen. Damit dürfte die derzeit verhandelte Datenschutz-Grundverordnung gemeint sein. Ziel der Regierungen ist es, dass

eine Verabschiedung dieser Rechtsvorschriften bis spätestens 2015 sichergestellt wird.

Zudem haben sich die Minister verpflichtet, den Schutz der europäischen Bürger in Bezug auf Datentransfers mit Drittstaaten zu verbessern. Hier erwähnt die Erklärung explizit auch die derzeit umstrittene Safe Harbor Entscheidung, welche vielen Unternehmen als Grundlage der Datenübertragung nach Amerika dient.

Technologie und Innovation
Zudem soll eine deutsch-französische Arbeitsgruppe die Möglichkeiten des Erlasses von Vorschriften im Bereich neuer Technologien prüfen. Auch sieht die Erklärung die Absicht vor, die Entwicklung von Schlüsseltechnologien im Bereich der Datenspeicherung und Datenverarbeitung (v. a. Cloud Computing und Big Data) mit Hilfe von Technologiepartnerschaften zu begleiten.

Des weiteren sollen gemeinsame Vorschläge für eine europäische Regulierung der wichtigsten Internet-Plattformen vorgelegt werden,

durch die Internetdiensten und Internetnutzern offener Zugang gewährt und Interoperabilität, Transparenz und Nichtdiskriminierung sichergestellt werden sollen.

Hierbei soll es darum gehen, zum einen sowohl die Innovationsfähigkeit von europäischen Unternehmen in vollem Umfang zu erhalten, indem übermäßige Restriktionen abgeschafft bzw. nicht erzeugt werden, die ihnen im Markt vor allem von den großen Internet-Unternehmen auferlegt werden. Bereits im Frühjahr sollen hierzu konkrete Vorschläge vorliegen.

Merkel: „Wir müssen mehr machen im europäischen Datenschutz“

Kurz vor dem am 19. Februar 2014 in Paris stattfindenden deutsch-französischen Ministerrat, hat Bundeskanzlerin Merkel ein Interview für den YouTube-Kanal der Bundesregierung gegeben (Video), in dem sie unter anderem auf das Thema Datenschutz eingeht.

Im Hinblick auf eine enge internationale Zusammenarbeit im Bereich des Datenschutzrechts sieht Merkel in der Tat Nachholbedarf.

Wir müssen mehr machen im europäischen Datenschutz, das ist gar keine Frage.

Zudem weißt die Bundeskanzlerin auf die derzeit in Brüssel verhandelte Datenschutz-Grundverordnung hin, die einen einheitlichen rechtlichen Standard in Europa schaffen würde. Jedoch stellen sich die Verhandlungen zu diesem Gesetzesvorhaben aus ihrer Sicht nicht so einfach dar, da „manche Länder einen geringen Datenschutz haben als Deutschland. Und wir wollen nicht, dass unser Datenschutz aufgeweicht wird“.

Im Hinblick auf die derzeitige Praxis einiger Unternehmen, ihre europäischen Zentralen in Länder zu verlagern, in denen das Datenschutzrecht „am geringsten ist“, macht die Bundeskanzlerin klar: „das können wir in Europa auf Dauer auch nicht gut heißen“. Mit Frankreich werde man darüber sprechen, wie man in Europa ein hohes Maß an Datenschutz aufrecht erhalten kann.

Zudem wolle man in Paris darüber sprechen, welche europäischen Anbieter existieren,

die Sicherheit für die Bürgerinnen und Bürger bieten, dass man nicht erst mit seinen E-Mails und anderem über den Atlantik muss, sondern auch innerhalb Europas Kommunikationsnetzwerke aufbauen kann.

Hiermit spricht die Bundeskanzlerin das Thema des „Schengenroutings“ an, dass also Datenpakete, deren Absender und Empfänger in Europa sitzen, auch innerhalb europäischer Netze verbleiben sollen. Diese Idee rührt vor allem aus den Enthüllungen um die Abhöraktivitäten der NSA, die auch direkt transatlantische Datenkabel angezapft haben soll.

Man darf gespannt sein, ob der anstehende Ministerrat für neuen Schwung bei den Themen Datenschutz-Grundverordnung und einer in letzter Zeit häufig geforderten digitalen europäischen „Unabhängigkeit“ von Amerika sorgen wird.