EuGH-Urteil zur Datenverarbeitung auf der Grundlage berechtigter Interessen

Am 4. Mai 2017 hat der EuGH sein Urteil in der Rechtssache C-13/16 (Rigas) gefällt. Das Urteil selbst würde ich nicht als „datenschutzrechtlichen Knaller“ bezeichnen. Weitaus unterhaltsamer und bestimmt auch streitbarer sind die Schlussanträge des Generalanwalts aus Februar 2017, auf die ich schon einmal auf Twitter hingewiesen hatte.

In seinen Schlussanträgen nimmt sich Generalanwalt Bobek die Zeit für ein „Nachwort zum Datenschutz“ (ab Rz. 91), das er damit einleitet, dass es sich vorliegend „um einen etwas sonderbaren Fall“ handelt. Und:

Der Fall erzeugt nicht nur beim uninformierten Betrachter ein gewisses gedankliches Unwohlsein mit Blick auf die angemessene Anwendung und das vernünftige Wirken von Datenschutzvorschriften.

Zudem geht der Generalanwalt auch detaillierter auf den hier interessierenden Erlaubnistatbestand der Interessenabwägung (Art. 7 lit. f) EU-Datenschutzrichtlinie) ein (ab Rz. 60). Nun aber zurück zum Urteil des EuGH.

Das Gericht befasst sich mit der Frage, wie Art. 7 lit. f) EU-Datenschutzrichtlinie auszulegen und anzuwenden ist. Danach ist die Verarbeitung personenbezogener Daten zulässig, wenn die Verarbeitung erforderlich ist zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Art. 1 Abs. 1 EU-Datenschutzrichtlinie geschützt sind, überwiegen.

Zunächst stellt der EuGH fest, dass nach Art. 7 lit. f) EU-Datenschutzrichtlinie eine Verarbeitung personenbezogener Daten unter drei kumulativen Voraussetzungen zulässig ist:

  • berechtigtes Interesse, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden (1),
  • Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses (2) und
  • kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person (3).

Im Hinblick auf die erste Voraussetzung stellt der EuGH fest, dass „kein Zweifel daran besteht“, dass das Interesse eines Dritten, eine persönliche Information über eine Person zu erlangen, die sein Eigentum verletzt hat, um gegen sie eine Schadensersatzklage zu erheben, berechtigt ist.

Mit Blick auf die zweite Voraussetzung, die Erforderlichkeit, geht der EuGH als Grundsatz davon aus, dass sich jegliche Ausnahmen und auch Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten stets auf das absolut Notwendige beschränken müssen. In der Praxis muss sich eine datenverarbeitende Stelle also die Frage stellen, ob es (für das Grundrecht auf Schutz personenbezogener Daten) weniger einschneidende aber ebenso effektive Möglichkeiten gibt, um das Ziel zu erreichen bzw. einen bestimmten Zweck zu erfüllen.

Bei der letzten Voraussetzung (der Interessenabwägung) ist von Bedeutung, dass sich schematische oder standardisierte Vorgaben praktisch verbieten. Der EuGH stellt vielmehr zu recht fest, dass die Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen grundsätzlich von den konkreten Umständen des betreffenden Einzelfalls abhängt. Ein möglicher Faktor ist etwa die Beeinträchtigung der Grundrechte der Betroffenen in unterschiedlicher Intensität, je nachdem, ob die in Rede stehenden Daten z. B. öffentlich zugänglich sind oder nicht.

Die Auslegung des EuGH ist, wie bereits erwähnt, nicht absolut überraschend. Die Ausführungen des EuGH zu Art. 7 lit. f) EU-Datenschutzrichtlinie lassen sich auch auf die zukünftige Auslegung und Anwendung des Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung übertragen.

Neue IT-Sicherheitspflichten für Cloud-Dienste und Online-Marktplätze

Heute verabschiedet der Bundestag den Entwurf des Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (BT Drs. 18/11242, pdf).

Mit dem Gesetz wird, wie der Titel bereits erahnen lässt, die sog. NIS-Richtlinie umgesetzt. Diese trat am 8. August 2016 in Kraft und muss bis zum 9. Mai 2018 in nationales Recht umgesetzt werden.

Viele der Pflichten der NIS-Richtlinie wurden bereits 2015 durch das deutsche IT-Sicherheitsgesetz umgesetzt. Nun werden noch einige wenige, jedoch nicht minder relevante, Anpassungen im nationalen Recht vorgenommen, um die letzten offenen Pflichten umzusetzen. Neu eingeführt werden nun insbesondere Regelungen (vgl. § 8c BSIG) für digitalen Dienste. Das sind: Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste.

Neu ist auch, dass die Begriffe „Online-Marktplatz“, „Online-Suchmaschine“ und „Cloud-Computing-Dienst“ nun in Deutschland legal definiert werden (vgl. § 2 Abs. 11 BSIG).

Von den Pflichten für digitale Dienste ausgenommen sind solche Dienste, die von einer natürlichen Person oder von Kleinstunternehmen oder kleinen Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission (pdf) angeboten werden. Hierunter fallen Unternehmen, die weniger als 250 Personen beschäftigen und entweder höchstens einen Jahresumsatz von 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft.

Neue Begriffsbestimmungen

Online-Marktplätze (Abs. 9 Nr. 1): Dienste, die es Verbrauchern oder Unternehmern ermöglichen, Kaufverträge oder Dienstleistungsverträge mit Unternehmern entweder auf der Website dieser Dienste oder auf der Website eines Unternehmers, die von diesen Diensten bereitgestellte Rechendienste verwendet, abzuschließen. Umfasst sind daher auch B2B-Plattformen. Nicht erfasst werden Online-Dienste, die lediglich den Zugang zu dritten Diensten vermitteln, bei denen ein Vertrag geschlossen werden kann. Der Online-Marktplatz muss also der endgültige Bestimmungsort für den Abschluss dieser Verträge sein und darf nicht als Vermittler agieren (so Erwägungsgrund 15 der NIS-Richtlinie). Nach der NIS-Richtlinie zählen zu den Online-Marktplätzen sls Online Stores tätige „Application Stores“, die den digitalen Vertrieb von Anwendungen oder Software-Programmen von Dritten ermöglichen (z. B. also die großen App-Stores).

Online-Suchmaschinen (Abs. 9 Nr. 2): Dienste, die es Nutzern ermöglichen, Suchen grundsätzlich auf allen Websites oder auf Websites in einer bestimmten Sprache anhand einer Abfrage zu einem beliebigen Thema in Form eines Stichworts, einer Wortgruppe oder einer anderen Eingabe vorzunehmen, die daraufhin Links anzeigen, über die der Abfrage entsprechende Inhalte abgerufen werden können. Nicht hiervon erfasst sind Online-Dienste und Funktionen in IT-Anwendungen, die Suchen jeweils nur auf bestimmte Websites oder Domains ermöglichen. Nach Erwägungsgrund 16 NIS-Richtlinie sind hier von auch nicht Online-Dienste erfasst, die die Preise für bestimmte Produkte oder Dienste bei verschiedenen Unternehmern miteinander vergleichen und den Nutzer anschließend an den bevorzugten Unternehmer weiterleiten, damit er das Produkt dort kauft.

Cloud-Computing-Dienste (Abs. 9 Nr. 3): Dienste, die den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen. „Rechenressourcen“ umfassen verschiedene Arten der Ressourcen, wie Netze, Server oder sonstige Infrastruktur, Speicher und Anwendungen. „Skalierbar“ bedeutet, dass Rechenressourcen unabhängig von ihrem geografischen Standort vom Anbieter des Cloud-Computing-Dienstes flexibel zugeteilt werden können, um Nachfrageschwankungen zu bewältigten.

Pflichten

Nach dem neuen § 8c Abs. 1 BSIG haben Anbieter digitaler Dienste geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.

Die Schutzpflichten der Anbieter beziehen sich also etwa nicht auf Informationen oder in den Systemen gespeicherte Daten, sondern auf die „Sicherheit der Netz- und Informationssysteme“.

Nach § 8c Abs. 2 BSIG müssen diese Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Das erforderliche Sicherheitsniveau ist also nicht als absolut zu verstehen, sondern es hängt von einer Verhältnismäßigkeitsprüfung im konkreten Fall ab. Die notwendigen Maßnahmen sollen noch durch  Durchführungsrechtsakte der Kommission nach Art. 16 Abs. 8 der NIS-Richtlinie näher bestimmt werden.

Nach § 8c Abs. 3 S. 1 BSIG sind die Anbieter digitaler Dienste zudem verpflichtet, jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Bußgelder

Zudem wird auch der bestehende § 14 BSIG angepasst und damit die Bußgeldvorschriften auf die Anbieter digitaler Dienste ausgeweitet. Bußgeldbewehrt (bis zu 50.000 EUR) soll es in Zukunft sein, wenn gegen §§ 8c Abs. 1 S. 1, 8c Abs. 3 S. 1 oder 8c Abs. 4 Nr. 1 oder Nr. 2 BSIG verstoßen wird, also etwa eine Meldung nach § 8c Abs. 3 S. 1 BSIG nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vornimmt.

Die Bußgeldvorschriften gelten für alle Anbieter, die digitale Dienste innerhalb Deutschlands anbieten, sofern sie nicht ihre Hauptniederlassung in einem anderen Mitgliedstaat der Europäischen Union haben oder, sofern sie nicht in einem anderen Mitgliedstaat der Europäischen Union niedergelassen sind, dort einen Vertreter benannt haben und in diesem Mitgliedstaat dieselben digitalen Dienste anbieten.

Die vorgenannten Änderungen sollen nach § 15 BSIG ab dem 10. Mai 2018 anwendbar sein.

Vorbereitung auf die Datenschutz-Grundverordnung: Amazon Web Services bietet neue Verträge für Kunden an

Letzte Woche habe ich darüber berichtet, dass Microsoft seine Verträge zur Auftragsverarbeitung für Kunden anpasst, um den Anforderungen der ab Mai 2018 anwendbaren EU-Datenschutz-Grundverordnung (DSGVO) zu genügen.

Gestern hat nun ein weiteres großes US-Unternehmen nachgezogen. In einem Blogbeitrag informiert Stephen Schmidt, der Verantwortliche für Informationssicherheit bei Amazon Web Services (AWS), über die Neuerungen, die das Unternehmen mit Blick auf die DSGVO bereits eingeführt hat und auch noch umsetzen wird.

Bereits für Kunden verfügbar ist ein neuer Vertrag zur Auftragsverarbeitung („GDPR DPA“). Dieser ist nach Art. 28 Abs. 3 DSGVO zwingend erforderlich, wenn Amazon als Auftragsverarbeiter für seine Kunden personenbezogene Daten verarbeitet.

Nach Art. 28 Abs. 1 DSGVO darf der Verantwortliche, also der Kunde von Amazon, nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Diese hinreichenden Garantien bietet Amazon nun nach den Informationen im Blogbeitrag. Öffentlich zugänglich ist dieser neue Vertrag leider nicht.

Laut Amazon stehen Kunden zudem auch Teams aus Experten für Datenschutzrecht bei Amazon als Ansprechpartner zur Verfügung. Zudem verweist der englische Blogbeitrag auf eine Übersichtsseite zum EU-Datenschutz und dort vorhandenen neuen Informationen zur DSGVO. Auf der deutschen Seite sind jedoch derzeit nur Informationen zur noch geltenden Datenschutz-Richtlinie aufgeführt.

Zudem informiert Schmidt in dem Beitrag über Zertifizierungen, die AWS bereits erhalten hat. Mit dieser Form von Zertifzierungen (wie etwa ISO 27017 oder ISO 27018) ist es in der Praxis für die Kunden (als Verantwortliche) möglich, den gesetzlich vorgeschriebenen Nachweis zu führen, dass Amazon als ihr Dienstleister die gemäß Art. 32 DSGVO erforderlichen Maßnahmen zur Sicherheit der Verarbeitung ergreift.

Datenschutzbehörde: Datenschutz-Grundverordnung verpflichtet Hersteller von IoT-Geräten zu Sicherheits-Updates

Gestern hat die Landesdatenschutzbeauftragte in Nordrhein-Westfalen ihren Tätigkeitsbericht (pdf) für das Jahre 2016 vorgestellt.

In ihrem Bericht befasst die Datenschutzbeauftragte auch ausführlich mit den „Risiken und Nebenwirkungen des Internet der Dinge“ (IoT). Nach Auffassung der Datenschützerin verarbeiten die unterschiedlichsten vernetzten Dinge (wie Kühlschrank, Waschmaschine oder Fernseher) zum Teil höchst sensible und persönliche Daten. Betroffen hiervon sind auch „personenbezogene Daten“ im Sinne des Datenschutzrechts. Für die Datenschutzbeauftragte spielt, neben den reinen datenschutzrechtlichen Anforderungen (also insbesondere die Frage, ob bestimmte Daten überhaupt verarbeitet werden dürfen) auch die IT-Sicherheit als „Basisvoraussetzung“ bei der Gewährleistung des Datenschutzes im Internet der Dinge eine entscheidende Bedeutung.

Zur Beurteilung des Datenschutzes ist nach Ansicht der Datenschutzbeauftragten in den Blick zu nehmen, welche Daten die Geräte im Einzelnen erheben und was mit ihnen geschieht. Zwar wünsche sie sich eigentlich die Speicherung und Nutzung der Daten ausschließlich lokal auf den Geräten – dies sei in der Praxis jedoch kaum durchführbar, da Hersteller die Einbindung des Gerätes in die Cloud verpflichtend ausgestalten. Dies kritisiert die Datenschutzbeauftragte: die technische Notwendigkeit hierfür sei nicht ersichtlich.

Die im Zusammenhang mit dem IoT stehenden Themen beträfen zentrale Elemente der ab Mai 2018 anwendbaren EU-Datenschutz-Grundverordnung (DSGVO). Nach Ansicht der Landesdatenschutzbeauftragten verpflichtet die DSGVO (leider wird kein konkreter Artikel genannt) Hersteller dazu, angemessene Maßnahmen zu treffen, um die Einhaltung der Datenschutzgrundsätze sicherzustellen. Wahrscheinlich stellt die Datenschutzbeauftragte hier zum einen auf die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO ab. Danach ist der für die Datenverarbeitung  Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO aufgezählten Datenschutzgrundsätze  verantwortlich und muss dessen Einhaltung nachweisen können. Zudem dürfte die Datenschutzbeauftragte Art. 24 Abs. 1 DSGVO im Blick haben, nach dem der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzen muss, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt.

Zum Umfang dieser DSGVO-Pflichten gehört es nach Ansicht der Datenschutzbeauftragten auch,

bei der Produktentwicklung auch die IT-Sicherheit zu berücksichtigen und notfalls zeitnah Updates bereitzustellen.

Diese Pflichten fasst die Datenschutzbeauftragte auch unter den „Datenschutz durch Technikgestaltung“ nach Art. 25 Abs. 1 DSGVO.

Die Datenschutzbeauftragte geht in ihrer Stellungnahme jedoch leider nicht auf die Problematik ein, dass sowohl Art. 25 Abs. 1 DSGVO als auch Art. 24 Abs. 1 DSGVO nicht per se den Produkthersteller adressieren, sondern allein der „Verantwortliche“ verpflichtet ist. In der Praxis kann es aber durchaus vorkommen, dass der Hersteller eines vernetzten Produktes gar nicht als Verantwortlicher für die spätere Datenverarbeitung agiert. In diesem Fall ist der Hersteller aber auch nicht nach der DSGVO verpflichtet. Nicht ohne Grund verweist wohl daher auch Erwägungsgrund 78 DSGVO darauf, dass

die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden

sollten, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen. Von einer Verpflichtung der Hersteller ist hier keine Rede.

Die Datenschutzbeauftragte informiert dennoch abschließend, dass die Hersteller, auch im Hinblick auf die DSGVO, gefordert sind, ihre Angebote auf Konformität mit dem Datenschutzrecht zu überprüfen und entsprechend anzupassen.

In der Zukunft wird man abwarten müssen, wie die Vorgaben der DSGVO, die nicht „Hersteller“ adressieren, durch die Aufsichtsbehörden und im Streitfall auch durch die Gerichte ausgelegt werden. Klar ist jedoch, dass Datenverarbeitungen im Internet der Dinge den Anforderungen der DSGVO genügen müssen.

Vorbereitung auf die Datenschutz-Grundverordnung: Microsoft passt Verträge für Kunden an

In einem Blogbeitrag vom 17. April 2017 informiert der stellv. Chefsyndikus von Microsoft, Rich Sauer, dass das Unternehmen sich mitten in der Phase der Anpassung von Verträgen und technischen und organisatorischen Maßnahmen befindet, um den zukünftigen Anforderungen der EU Datenschutz-Grundverordnung (DSGVO) und damit vor allem den zukünftigen Pflichten der Kunden unter der DSGVO gerecht zu werden.

Kunden von Microsoft, die z.B. Softwareprodukte in Form von Cloud-Lösungen nutzen, werden datenschutzrechtlich betrachtet als Verantwortlicher in Bezug auf Daten agieren, die im Rahmen der Nutzung dieser Produkte verarbeitet werden. Microsoft nimmt in dieser Situation die Rolle des Auftragsverarbeiters ein, der personenbezogene Daten im Auftrag des Kunden verarbeitet.

Nach Art. 28 Abs. 1 DSGVO darf der Verantwortliche, also der Kunde von Microsoft, nur mit Auftragsverarbeitern zusammenarbeiten,

die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen

der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Zwischen dem Verantwortlichen und seinem Auftragsverarbeiter muss zudem ein Vertrag geschlossen werden (Art. 28 Abs. 3 DGSVO).

Zudem sieht Art. 28 Abs. 3 DSGVO weitere, verpflichtend in den Vertrag zwischen dem Verantwortlichen und Auftragsverarbeiter aufzunehmende, Inhalte vor.

Microsoft hat nun angekündigt, einige der von der DSGVO vorgesehenen vertraglichen Regelungen bereits gegenüber Kunden anzubieten. Eine kurze Übersicht zu diesen Änderungen findet sich hier in den FAQ unter „Is Microsoft making any commitments in its volume licensing agreements to comply with the GDPR?“. Hierbei scheint es sich um Anpassungen der Regelungen zum Datentransfer in Drittstaaten außerhalb der EU und etwa auch das Recht des Kunden zu handeln, auf Anfragen von betroffenen Personen (z.B. zur Auskunft oder Löschung von Daten) reagieren zu können. Eine solche vertragliche Regelung ist in Art. 28 Abs. 3 lit. e) DSGVO verpflichtend vorgesehen.

Die generelle Übersichtsseite zur DSGVO bei Microsoft steht auch auf Deutsch zur Verfügung, nur leider nicht jener Teil zu den vertraglichen Anpassungen.

Zudem listet Microsoft auf der Übersichtsseite die technischen und organisatorischen Maßnahmen für die jeweiligen Produkte auf, die bei dem Anbieter umgesetzt wurden. Nach Art. 32 Abs. 1 DSGVO ist auch der Auftragsverarbeiter, also hier Microsoft, verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Microsoft scheint damit der erste der „großen Spieler“ zu sein, die derart öffentlich mit Anpassungen seiner Verträge im Hinblick auf die DSGVO werben. Das bedeutet freilich nicht, dass andere Unternehmen nicht auch bereits Ergänzungen ihrer Verträge vorgenommen haben. Die Vertragsanpassungen sind derzeit nur für gewerbliche Kunden verfügbar. Etwas mehr als ein Jahr bleibt Unternehmen Zeit, die eigenen Datenverarbeitungsprozesse an die Anforderungen der DSGVO anzupassen. Hierzu gehört inbesondere auch die Ergänzung existierender Verträge zur Auftragsdatenverarbeitung.

EU-Datenschützer: Nicht jede Verarbeitung birgt ein hohes Risiko für Betroffene

Die Art. 29 Datenschutzgruppe hat den Entwurf für Leitlinien zur Datenschutz-Folgenabschätzung nach der EU-Datenschutz-Grundverordnung (DSGVO) veröffentlicht (pdf). Bis zum 23. Mai 2017 haben interessierte Kreise die Möglichkeit, den Entwurf der Leitlinien zu kommentieren.

Bekanntermaßen sieht die ab dem 25. Mai 2018 geltende DSGVO in Art. 35 Abs. 1 die Pflicht für den Verantwortlichen vor, vor Beginn einer geplanten Datenverarbeitung eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen, wenn diese Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Diese Folgenabschätzung ist zu dokumentieren.

Nach Art. 35 Abs. 4 DSGVO sind die Aufsichtsbehörden verpflichtet, eine Liste der Verarbeitungsvorgänge, für die ihrer Ansicht nach eine Datenschutz-Folgenabschätzung durchzuführen ist, zu erstellen und zu veröffentlichen.

Mit den nun im Entwurf vorliegenden Leitlinien, möchten die europäischen Datenschützer ihre Interpretation der zum Teil doch recht offen gehaltenen Begrifflichkeiten darlegen und zudem erste Empfehlungen für datenverarbeitenden Stellen aussprechen, insbesondere auch zu der noch offenen Frage, wann die Aufsichtsbehörden wohl von einem „hohen Risiko“ für die Rechte und Freiheiten natürlicher Personen ausgehen.

In dem Entwurf benennen die Datenschützer zehn Kriterien, die Verantwortliche berücksichtigen könnten, wenn sie im Zuge der Prüfung einer Verarbeitung das Merkmal des „hohen Risikos“ interpretieren sollen. Hohe Risiken können aus Sicht der Datenschützer etwa bei der Erstellung von Profilen von Personen bestehen oder aber auch bei der Übermittlung von Daten in Länder außerhalb des EWR. Je mehr der zehn Kriterien erfüllt sind, desto eher sei von einem hohen Risiko der Verarbeitung auszugehen.

Die Datenschützer nennen auch einige Praxisbeispiele und ordnen diese nach den Kategorien „Folgenabschätzung erforderlich: ja/nein“ ein. So soll eine Folgenabschätzung etwa nötig sein, wenn Daten aus öffentlichen Profilen in sozialen Medien entnommen werden, um mit diesen eigene Profile zu erstellen, z. B. für Kontaktverzeichnisse. Keine Folgenabschätzung sei jedoch erforderlich, wenn ein Onlineshop-Betreiber eingeschränkt personalisierte Werbung auf seiner Webseite einblendet, die sich aus Daten aus vergangenem Kaufverhalten ergibt.

Zudem weisen die Datenschützer darauf hin, dass ihrer Ansicht nach aktuell vorgenommene Verarbeitungen grundsätzlich nicht einer Folgenabschätzung unterzogen werden müssen. Dies würde sich jedoch ändern, wenn sich etwa die Datenquantität oder die Verarbeitungszwecke ändern.

Ganz generell gehen die Datenschützer, meines Erachtens durchaus diskutabel, davon aus, dass eine Folgenabschätzung spätestens alle drei Jahre zu wiederholen sei. Aus der DSGVO selbst ergibt sich diese Frist von drei Jahren nicht.

European Commission: EU-US Privacy Shield complies with the requirements of the General Data Protection Regulation

Maria Grapini, Member of the European Parliament, asked the European Commission what measures the Commission is planning to adapt the EU-US Privacy Shield, which exists since July 2016, in order to comply with the (partly new) requirements of the upcoming General Data Protection Regulation (GDPR).

The Privacy Shield is based on an adequacy decision by the Commission, just like the former Safe Harbor framework which was invalidated by the European Court of Justice (ECJ). The Privacy Shield provides one possibility to legally transfer personal data from the European Union to companies in the USA, self-certified under the Privacy Shield framework.

In her answer, Justice Commissioner Jourová expressed a rather optimistic view.

Firstly, the Commission refers to the standards for an adequacy finding to ascertain that a third country ensures “a level of protection that is essentially equivalent to that guaranteed within the European Union”.

According to Art. 25 para 6 of the current EU Data Protection Directive (95/46/EC), the Commission may find that a third country ensures an adequate level of protection by reason of its domestic law or of the international commitments it has entered into for the protection of the private lives and basic freedoms and rights of individuals.

In its answer, the Commission refers to the decision by the ECJ in the Schrems case (C-362/14) and its interpretation of Art. 25 para 6. According to the ECJ, the word “adequate” signifies that

a third country cannot be required to ensure a level of protection identical to that guaranteed in the EU legal order.

However, the term “adequate level of protection” must be understood as requiring the third country in fact to ensure a level of protection of fundamental rights and freedoms that is essentially equivalent to that guaranteed within the European Union.

According to the Commission, this means that it is not necessary for the third country in question to have data protection rules which are a “photocopy” of the EU system. It is especially not necessary that each individual provision in European data protection law is reflected in the third country’s legal order.

Secondly, the Commissioner further comments on the question of the continuation of existing adequacy decisions under the future GDPR. The Commission emphasizes that the GDPR rests on the same core principles, rights and obligations as Directive 95/46/EC.

The Privacy Shield framework already reflects these core elements.

The Commission is therefore assuming that the EU-US Privacy Shield adequately respects the data protection principles, rights and obligations of the future GDPR in order to fulfill the requirements for an adequacy decision as of May 2018.

However, the Commission points to Recital 146 of the EU-US Privacy Shield, according to which it will assess whether there might be a need to adapt the Privacy Shield decision in the light of the entry into application of the GDPR. According to Justice Commissioner Jourová, this will also form part of the discussions with the U.S. authorities in the context of the annual review planned for the second half of 2017.

EU-Kommission: EU-US Datenschutzschild erfüllt Anforderungen der Datenschutz-Grundverordnung

Von der Abgeordneten im Europaparlament, Maria Grapini, wurde die Europäische Kommission gefragt, welche Maßnahmen die Kommission zur Anpassung des seit Juli 2016 existierenden EU-US Datenschutzschildes an die EU Datenschutz-Grundverordnung (DSGVO) plant. Das Datenschutzschild stellt, wie früher Safe Harbor, eine Angemessenheitsentscheidung der Kommission zum Schutzniveau für personenbezogene Daten, die an Unternehmen in den USA übertragen werden, dar. In ihrer Antwort (txt) äußert sich die Justiz-Kommissarin Jourová recht optimistisch.

Zunächst geht die Kommission auf die an einen Angemessenheitsbeschluss zum Datenschutzniveau in einem Drittstaat zu stellende Anforderungen ein. Hierzu verweist die Kommission auf das EuGH-Urteil zu Safe Harbor (Rechtssache C?362/14). Nach Art. 25 Abs. 6 der EU-Datenschutzrichtlinie kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau gewährleistet. Nach dem EuGH impliziert das Wort „angemessen“ in Art. 25 Abs. 6,

dass nicht verlangt werden kann, dass ein Drittland ein dem in der Unionsrechtsordnung garantiertes identisches Schutzniveau gewährleistet.

Das Drittland muss aber aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleisten, das dem in der Union garantierten Niveau der Sache nach gleichwertig ist.

In Ihrer Antwort stellt die Kommission hierzu fest, dass dies bedeutet, dass ein Drittland keine „fotokopierten“ Datenschutzregelungen der EU vorhalten muss. Insbesondere müsse nicht jede einzelne Norm des europäischen Datenschutzrechts in dem Datenschutzrecht des Drittstaates vorhanden sein.

Interessant sind die Ausführungen der Kommission zu der Frage nach der Fortgeltung derzeit existierender Angemessenheitsbeschlüsse, die sich an den weniger umfassenden Anforderungen der EU-Datenschutzrichtlinie orientieren, nach der Anwendbarkeit der DSGVO ab dem 25. Mai 2018.

Nach Ansicht der Kommission fußt die DSGVO auf den Grundprinzipien und Regelungen der existierenden EU-Datenschutzrichtlinie. Der EU-US Datenschutzschild beinhalte bereits diese Kernelemente. Die Kommission geht also davon aus, dass der EU-US Datenschutzschild die Datenschutzgrundsätze, Rechte und Pflichten der DSGVO ausreichend beachtet, um auch ab Mai 2018 die Anforderungen an einen Angemessenheitsbeschluss unter der DSGVO zu erfüllen.

Dennoch weist die Kommission darauf hin, dass sie im EU-US Datenschutzschild ausdrücklich darauf hingewiesen hat (dort Erwägungsgrund 146), dass sie prüfen wird, ob im Zuge der Anwendung der DSGVO ein Bedarf für Anpassungen besteht. Diese Prüfung ist Bestandteil der vorgeschriebenen jährlichen Überprüfung des EU-US Datenschutzschilds, die für das zweite Halbjahr 2017 geplant ist.

Anhörung im Innenausschuss des Bundestages – Meine Stellungnahme zum BDSG-E

Am 27. März 2017 habe ich die Ehre als Sachverständiger im Innenausschuss des Bundestages zu dem Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) sprechen zu dürfen. Darüber freue ich mich sehr.

Meine Stellungnahme, in der ich (aufgrund der knappen Bearbeitungszeit) nur einige Themen anschneiden konnte, kann man über die Seite des Innenausschusses herunterladen (PDF).

Schwerpunktmäßig geht es natürlich um die Anpassung des BDSG an die Vorgaben der Datenschutz-Grundverordnung. In einem allgemeinen Teil gehe ich aber auch auf die europäischen Vorgaben zur Anpassung des deutschen Rechts ein und stelle meine Meinung zu dem Streitpunkt dar, ob nationale Datenschutzbehörden möglicherweise gegen EU-Vorgaben verstoßende nationale Norman nicht anwenden dürfen (oder können). Viel Spass bei der Lektüre.

Für die Anhörung kann man sich noch bis zum 23. März 2017 über die Adresse innenausschuss@bundestag.de anmelden.

Datenschutzreform: Bundesratsausschüsse kritisieren Gesetzesentwurf der Bundesregierung zum neuen BDSG

Sieben Ausschüsse des Bundesrates haben sich mit dem „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs-und -Umsetzungsgesetz EU -DSAnpUG-EU, PDF)“ vom 2. Februar 2017 befasst und mit Datum vom 1. März 2017 ihre Empfehlungen zum Gesetzentwurf für ein neues BDSG abgegeben (Empfehlungen, BR Drs. 110/1/17, PDF).

Insgesamt finden die Ausschüsse wenig Gutes an dem Gesetzentwurf. Die Empfehlungen sind umfangreich (64 Seiten). Nachfolgend möchte ich nur beispielhaft einige Kritikpunkte der Bundesratsausschüsse beleuchten. Die Empfehlungen der Ausschüsse werden bereits nächste Woche, am 10. März 2017, im Bundesrat beraten.

Der zweite Schritt vor dem ersten

Ganz grundsätzlich kritisieren die Ausschüsse, dass eine umfassende Bewertung der vorgeschlagenen Neufassung des BDSG nicht möglich ist, da erforderliche Anpassungen des vorrangigen Fachrechts (also datenschutzrechtlicher Spezialvorschriften) bislang weder erfolgt noch konkret absehbar sind.

Auch die Praxis wird durch dieses Vorgehen vor erhebliche Schwierigkeiten gestellt. Denn dort müssen Verarbeitungsvorgänge an die Anforderungen anpasst werde. Doch wenn diese Anforderungen unklar bleiben, wird eine rechtssichere Umsetzung nur schwer möglich sein.

Aus Sicht der Ausschüsse lässt sich die Situation wie folgt darstellen:

Ansatz, bei dem der zweite Schritt vor dem ersten vollzogen wird.

Datenportabilität beschränken?

Die Ausschüsse schlagen vor, dass die Bundesregierung prüft, inwieweit ein Bedarf für eine Beschränkung des Rechts auf Datenübertragbarkeit gemäß Art. 20 DSGVO besteht. Nach Auffassung der Ausschüsse werden nämlich im Gesetzentwurf, Im Gegensatz zum Recht auf Auskunft, das in § 34 BDSG-E eine Beschränkung erfährt, das Recht auf Datenportabilität trotz seiner funktionalen Nähe zum Recht auf Auskunft bislang keine entsprechenden Beschränkungen vorgesehen.

Diese Kritik mag man verstehen, jedoch sehe ich nicht derart große Parallelen zum Auskunftsrecht, dass auch die Datenportabilität aus diesem Grund beschränkt werden müsste. Inhaltlich unterscheiden sich beide Rechte dann doch an einige Stellen. So besteht das Recht auf Datenportabilität etwa nur für durch die Person „bereitgestellte“ Daten, das Auskunftsrecht aber allgemein.

Definition „Anonymisieren“

Die Ausschüsse schlagen zudem die Aufnahme eines neuen § 2 Abs. 6 BDSG-E vor. In diesem Absatz soll das „Anonymisieren“ definiert werden. Hintergrund ist, dass § 27 Absatz 3 BDSG-E den Begriff „anonymisieren“ verwendet, dieser aber weder im Gesetzentwurf noch in der DSGVO definiert wird. Vielmehr wird nur „pseudonymisieren“ in der DSGVO verwendet und in Art. 4 Nr. 5 DSGVO definiert. Die vorgeschlagene Definition entspreche dem Verständnis des Begriffs im bisherigen § 3 Abs. 6a BDSG.

Vertretung im Europäischen Datenschutzausschuss und Verfahren der Zusammenarbeit der Aufsichtsbehörden

Die Bundesratsausschüsse sprechen sich zudem für eine Anpassung der Regelungen zur Vertretung Deutschlands im Europäischen Datenschutzausschuss (EDA) aus. Nach Auffassung der Ausschüsse räumt die Ausgestaltung des Verfahrens hinsichtlich der Vertretung der Bundesrepublik Deutschland im Europäischen Datenschutzausschuss im Gesetzentwurf (§ 17 und 18 BDSG-E) den Aufsichtsbehörden der Länder kein hinreichendes Gewicht ein. Die Ausschüsse verlangen, dass die Position der Landesdatenschutzbeauftragten im Hinblick auf deren Hauptvollzugsverantwortung des Datenschutzrechts in Deutschland gestärkt wird.

Nach Auffassung der Ausschüsse spricht der Umstand, dass der Bund für ein Sachgebiet die ausschließliche oder konkurrierende Gesetzgebungskompetenz besitzt, in keiner Weise dafür, dass die Bundesbeauftragte die Bundesrepublik Deutschland insoweit verhandlungsführend im Europäischen Datenschutzausschuss vertreten sollte, wenn der Vollzug dieses Gesetzes allein den Landesdatenschutzbeauftragten obliegt. Insbesondere werden es nämlich auch in Zukunft die Landesbehörden sein, die sich in ihrer Praxis mit privaten Unternehmen auseinanderzusetzen haben. Eine vergleichbare Sachnähe könne es bei der oder dem Bundesbeauftragten naturgemäß nicht geben.

Die vorgeschlagenen Änderungen sind durchaus nachvollziehbar. Man darf wohl auch in einer Analyse des Bundesrates eine landesnahe Auffassung erwarten. Zurecht dürfte aber die Kritik vorgebracht werden, dass in der praktischen Umsetzung und Überwachung der Einhaltung des Datenschutzes die Landesbehörden mehr Erfahrung besitzen als die BfDI.

Zweckändernde Datenverarbeitung

In § 24 Abs. 1 Nr. 2 BDSG-E soll das Wort „rechtlicher“ durch das Wort „zivilrechtlicher“ ersetzt werden.

Dort ist derzeit vorgesehen, dass die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nicht-öffentliche Stellen zulässig ist, wenn sie zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist.

Hintergrund der vorgeschlagenen Anpassung ist, dass Art. 23 Abs. 1 lit. j) DSGVO, der Vorgaben dazu macht, zur Sicherstellung welcher Maßnahmen Beschränkungen der Betroffenenrechte im nationalen Recht vorgenommen werden dürfen, nur von „zivilrechtlichen“ und nicht weiter von „rechtlichen“ Ansprüchen spricht.

Des Weiteren sollen in § 24 Abs. 1 Nr. 2 BDSG-E nach dem Wort „Ansprüche“ die Wörter „gegenüber der betroffenen Person“ eingefügt werden. Hintergrund dieses Vorschlages der Ausschüsse ist, dass in § 24 BDSG-E eine rechtliche Grundlage für nicht-öffentliche Stellen geschaffen wird, die es ihnen erlaubt, eine Weiterverarbeitung von personenbezogenen Daten unabhängig davon vorzunehmen, ob die Zwecke der Verarbeitung mit den ursprünglichen Zwecken, für die die Daten ursprünglich erhoben wurden, vereinbar sind.

Nach Auffassung der Ausschüsse ist diese Regelung für Verbraucherinnen und Verbraucher von besonderer Bedeutung. Die Ausschüsse kritisieren, dass es die Regelung in § 24 BDSG-E

beispielsweise Unternehmen der Digitalwirtschaft ermöglicht, ohne Einwilligung der betroffenen Verbraucherinnen und Verbraucher eine Weiterverarbeitung der personenbezogenen Daten mit dem Hinweis darauf vorzunehmen, diese Daten würden zur „Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche“ gegenüber Dritten (zum Beispieleinem Geschäftspartner) gebraucht.

Nach Ansicht der Ausschüsse können nicht betroffene Verbraucher dafür verantwortlich gemacht werden, wenn Unternehmen ihre personenbezogenen Daten für die Durchsetzung zivilrechtlicher Ansprüche im Verhältnis zu Dritten benötigen. Deshalb sollte eine Weiterverarbeitung der personenbezogenen Daten zu anderen Zwecken nur erlaubt sein, wenn rechtliche Ansprüche des Unternehmens gegenüber der betroffenen Person selbst in Rede stehen.

Diesbezüglich ließe sich aber anführen, dass die entsprechenden Vorgaben der DSGVO (Art. 6 Abs. 4 und Art 23 Abs. 1 lit. j)) auch nur „Ansprüche“ erwähnen. Nicht jedoch solche, die gegenüber der betroffenen Person bestehen.

Beschäftigtendatenschutz

Natürlich wird von den Ausschüssen auch der Beschäftigtendatenschutz angesprochen. Nach deren Auffassung waren bereits die geltenden Regelungen zum Beschäftigtendatenschutz in § 32 BDSG ergänzungs-und überarbeitungsbedürftig. Nun ergeben sich aber weitere Anforderungen an den Gesetzgeber aus Art. 88 DSGVO.

Nach Auffassung der Bundesratsausschüsse werden diese aber durch § 26 BDSG-E nicht ausreichend umgesetzt. Daher fordern die Ausschüsse, dass zeitnah ein ergänzender Gesetzentwurf mit spezifischen Regelungen für Datenverarbeitung im Beschäftigtenkontext vorgelegt wird.

Fortgeltung bereits erteilter Einwilligungen?

Die Ausschüsse des Bundesrates scheinen zu bezweifeln, dass derzeit erteilte datenschutzrechtliche Einwilligungen auch nach Anwendbarkeit der DSGVO im Mai 2018 weiter wirksam sind.

Sie bitten die Bundesregierung daher um Prüfung einer gesetzlichen Klarstellung, unter welchen Voraussetzungen die bereits vor Inkrafttreten des Gesetzes erteilten Einwilligungen nicht fortgelten. Die Ausschüsse verweisen berechtigterweise darauf, dass die Voraussetzungen für eine wirksame Einwilligung nach der DSGVO nicht den Regelungen im BDSG entsprechen und teilweise darüber hinausgehen. Daher müssen Unternehmen unter Umständen eine erneute Einwilligung bei den Betroffenen einholen.

Zwar verweisen die Ausschüsse auf den Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 13./14. September 2016), der zwar tendenziell von einer Fortgeltung alter Einwilligung ausging. Dies jedoch auch nur unter dem Vorbehalt der „Grundsätzlichkeit“.

Streichen des Erfordernisses der Schriftlichkeit

Die Bundesratsausschüsse fordern zudem, dass geprüft werde, inwieweit vom Erfordernis der Schriftlichkeit der anzufertigenden Dokumentationen durch datenverarbeitende Stelle abgesehen werden kann.

In §§ 32 und 33 BDSG-E ist derzeit schriftliche Dokumentationspflichten für den Fall vorgesehen, wenn der Verantwortliche von einer Information des Betroffenen abgesehen hat. Dieses Erfordernis der schriftlichen Dokumentation geht aber über die Vorgaben der DSGVO hinaus. Diese sieht in Art. 12 Abs. 4 DSGVO nur vor, dass der Verantwortliche die betroffene Person (ohne spezielle Form) unterrichtet. Die derzeit vorgeschlagene Dokumentationspflicht im BDSG-E würde nach Auffassung der Ausschüsse zusätzlichen Erfüllungsaufwand für die Wirtschaft mit sich bringen.

Man muss nun abwarten, welche Empfehlungen konkret in der nächsten Sitzung des Bundesrates angenommen werden. Der Umfang der Anmerkungen und auch die Reichweite der Kritik zeigt aber, dass man in einigen Aspekten noch weit voneinander entfernt ist. Zudem muss beachtet werden, dass der Gesetzesentwurf nun auch im Bundestag liegt und dort (wohl im Innenausschuss) einer Analyse unterzogen wird.