Category Archives: Europa

Verhandlungen zur Datenschutz-Grundverordnung: offene Punkte und vorläufige Einigungen

Posted on by

Bis zum Ende des Jahres 2015 möchten die Europäische Kommission, das Europäische Parlament und der Rat der Europäischen Union die sogenannten Trilog-Verhandlungen zur europäischen Datenschutz-Grundverordnung (DS-GVO) abschließen. Seitdem der Trilog begonnen hat, wurden nur wenige Schriftstücke aus den Verhandlungen veröffentlicht bzw. geleakt. Nun hat die Plattform statewatch.org zwei neuere Dokumente des Rates (jeweils Stand vom 20. November 2015) veröffentlicht.

Vorläufig erzielte Kompromisse

Ein Dokument (pdf) befasst sich mit den bis zum 20. November 2015 zwischen den drei Verhandlungsparteien erzielten Kompromissen. Zudem enthält das Dokument Vorschläge der Ratspräsidentschaft für einige noch offene Punkte.

Betrachtet man das (immerhin 372 Seiten lange) Dokument, so fällt auf, dass Kompromisse vor allem für Artikel bzw. Themengebiete gefunden wurden, die man umgangssprachlich nicht als die „dicken Bretter“ bezeichnen würde. Dieses freilich nicht verwunderlich, da man sich in den Verhandlungen sicherlich zunächst mit solchen Themenkomplexen befasst hat, bei denen die geringsten Meinungsverschiedenheiten zu erwarten sind.

So hat man sich etwa darauf geeinigt, die sogenannte Haushaltsausnahme, also jene Vorschrift die bestimmt, wann die Datenschutz-Grundverordnung in Zukunft im Rahmen einer Datenverarbeitung für private Zwecke nicht anwendbar sein soll, nur dann eingreifen zu lassen, wenn die in Rede stehende Datenverarbeitung ausschließlich für persönliche Zwecke durchgeführt wird. In Zukunft dürfte es für die Inanspruchnahme der Ausnahmeregelung daher nicht ausreichen, dass mit einer Datenverarbeitung auch (!) private Zwecke verfolgt werden. Vor allem im Abschnitt der sich mit Zusammenarbeit der nationalen Datenschutzbehörden untereinander befasst, konnte man ebenfalls vorläufige Einigungen erzielen. Nicht einigen konnte man sich bisher hingegen auf die Höhe bzw. den möglichen Rahmen für zukünftige Bußgelder bei rechtswidrigen Datenverarbeitung.

Offene Punkte

Das zweite veröffentlichte Dokument (pdf) betrifft die wichtigsten noch offenen Punkte. In diesem Dokument schlägt die Ratspräsidentschaft den Mitgliedstaaten zu verschiedenen Themen ein bestimmtes Vorgehen vor und bittet um eine Rückmeldung hinsichtlich der vorgeschlagenen Lösungswege.

Zu den noch offenen Diskussionsfeldern gehört nach dem Dokument unter anderem die Frage, inwieweit die Datenschutz Grundverordnung auch für EU-Institutionen gelten soll. Die Kommission und der Rat möchten die Institutionen vom Anwendungsbereich der Datenschutz-Grundverordnung ausnehmen. Das Parlament ist für deren Einbeziehung.

Bekanntlicherweise sollen in der Datenschutz-Grundverordnung Öffnungsklauseln geschaffen werden, die es den Mitgliedstaaten erlauben würden, für bestimmte Bereiche bzw. bestimmte Datenverarbeitungsprozesse spezifische nationale Regelung zu schaffen. Vor allem der Rat möchte eine solche Öffnungsklausel in Art. 1 Abs. 2a DS-GVO vorsehen. In dem Dokument wird nun vorgeschlagen, die Ratsposition beizubehalten, obwohl das Parlament den entsprechenden Artikel anpassen möchte. Dem Parlament ist vor einigen an einer Konkretisierung dahingehend gelegen, dass nationale Vorschriften die Vorgaben der DS-GVO nicht ändern bzw. anpassen sondern nur konkretisieren bzw. spezifizieren können. Die Ratspräsidentschaft schlägt vor, Art. 1 Abs. 2a DS-GVO in einen neuen Art. 6 Abs. 2a DS-GVO zu verschieben. Jedoch keine inhaltlichen Änderungen am Vorschlag des Rates vorzunehmen.

Ein weiterer offener Themenkomplex ist die Frage, inwieweit die den nationalen Datenschutzbehörden zustehenden hoheitlichen Befugnisse und der Umfang der potentiellen Maßnahmen innerhalb der DS-GVO geregelt werden sollen oder ob die Mitgliedstaaten jeweils national den Umfang der Maßnahmen bestimmen können dürfen.

Im Anwendungsbereich der Datenschutz-Grundverordnung sollen in Zukunft Verbände die Möglichkeit haben, betroffene Personen gegenüber Datenschutzbehörden bzw. datenverarbeitenden Stellen zu vertreten und auch deren Rechte durchzusetzen. In den Verhandlungen besteht noch Uneinigkeit darüber, inwieweit Verbände oder andere Organisationen im Namen der Betroffenen auch Schadensersatzansprüche geltend machen können. Das Parlament ist für eine solche Möglichkeit. Der Rat möchte dies nur gestatten, soweit nationale Vorschriften die Geltendmachung von Schadenersatzansprüchen für den Betroffenen erlauben.

Ausblick

Nach dem Ratsdokument werden die nächsten Trilog- Verhandlungen am 10. Dezember 2015 stattfinden. Die Ratspräsidentschaft bekräftigt noch einmal ihre Intention, bis zum Ende des Jahres die Verhandlungen abzuschließen.

Wer auch im Dezember nicht auf Informationen zur Datenschutz-Grundverordnung und möglichen künftigen Regelungen verzichten möchte, den lade ich gerne dazu ein, an jedem Tag zwischen dem 1. und 24. Dezember eine Tür des EUDataP- Weihnachtskalenders zu öffnen. Dort werde ich jeden Tag einen kleinen Beitrag zur Datenschutz-Grundverordnung veröffentlichen.

Europäische Kommission veröffentlicht ihre Analyse des Safe Harbor-Urteils

Posted on by

Heute hat die Europäische Kommission in einer Mitteilung (PDF) ihre Analyse des Safe Harbor-Urteils des europäischen Gerichtshofs veröffentlicht.

Neue Erkenntnisse oder Informationen zu den rechtlichen Möglichkeiten für Datentransfers in die USA finden sich in der Position kaum. Zumeist verweist die Kommission auf Stellungnahmen der Art. 29 Datenschutzgruppe. Einige Kernpunkte des Papiers möchte ich nachfolgend dennoch ansprechen:

Standardvertragsklauseln

Mit Blick auf den Einsatz von Standardvertragsklauseln (welche durch die Europäische Kommission auf der Grundlage von Art. 26 Abs. 4 der Datenschutzrichtlinie erlassen wurden und „ausreichende Garantien“ im Sinne von Art. 26 Abs. 2 der Datenschutzrichtlinie darstellen) stellt die Kommission fest, dass nationale Datenschutzbehörden dem Grunde nach verpflichtet sind, diese als rechtmäßige Möglichkeit eines Datentransfers in einen Drittstaat zu akzeptieren. Der Grund hierfür ist die rechtliche Verbindlichkeit von Kommissionsentscheidungen in den Mitgliedstaaten.

Weiterhin stellt die Kommission fest, dass Datenschutzbehörden Datentransfers auf der Grundlage von Standardvertragsklauseln nicht mit der Begründung untersagen dürfen, dass die Standardvertragsklauseln keine ausreichenden Garantien bieten würden. Denn genau dies hat die Europäische Kommission verbindlich festgestellt. Natürlich ist es den nationalen Datenschutzbehörden unbenommen, Datentransfers auf der Grundlage der Standardvertragsklauseln auf ihre Rechtmäßigkeit (gerade mit Blick auf die Entscheidung des Europäischen Gerichtshofs) zu prüfen. Sollten seitens der Datenschutzbehörde Zweifel bestehen, legt die Kommission in ihrer Mitteilung nahe, dass die nationalen Behörden einen solchen Sachverhalt vor ein nationales Gericht zu Prüfung bringen sollten, damit dieses wiederum die Frage der Rechtmäßigkeit des Datentransfers und damit implizit auch der zugrunde liegenden Standardvertragsklauseln zum Europäischen Gerichtshof vorlegen kann.

Daneben weist die Europäische Kommission darauf hin, dass verantwortliche Stellen in der EU natürlich zusätzliche (auch vertragliche) Garantien vorsehen können. Dies gerade in den Fällen, wenn sie Informationen dazu erhalten, dass das Rechtssystem im Drittstaat die datenimportieren Stelle an der Erfüllung ihrer vertraglichen Pflichten aus den Standardvertragsklauseln hindern könnte.

Ausnahmeregelungen

Zudem befasst sich die Mitteilung der Europäischen Kommission mit den gesetzlichen Ausnahmeregelungen (Art. 26 Abs. 1 der Datenschutzrichtlinie). Hier weist die Europäische Kommission darauf hin, dass die datenexportierende Stelle gerade nicht dazu verpflichtet ist, dafür Sorge zu tragen, dass die importierende Stelle ausreichende Garantien mit Blick auf den Schutz personenbezogener Daten bietet. Denn die Ausnahmeregelungen gelten ja gerade für den Fall, dass ausreichende Garantien nicht existieren.

Kompetenzen der nationalen Datenschutzbehörden

Auch wenn die Europäische Kommission mehrmals darauf hinweist, dass nationale Datenschutzbehörden in völliger Unabhängigkeit handeln können und auch müssen, so stellt sie in ihrer Mitteilung dennoch ausdrücklich fest, dass die Datenschutzbehörden Datentransfers auf der Grundlage einer Angemessenheitsentscheidung der Kommission oder einer Entscheidung über das Vorhandensein ausreichender Garantien (wie Standardvertragsklauseln), im Rahmen von Beschwerden nur auf ihre Rechtmäßigkeit hin nur überprüfen(!) dürfen. Jedoch, so die Kommission, dürfen die nationalen Datenschutzbehörden in einem solchen Fall keine verbindliche Entscheidung treffen, sondern die Mitgliedstaaten müssen in einem solchen Fall ein Klagerecht für Datenschutzbehörden vorsehen, damit das Verfahren vor ein nationales Gericht gebracht werden kann.

The DPAs remain competent to examine claims within the meaning of Article 28(4) of Directive 95/46/EC that the data transfer complies with the requirements laid down by the Directive (as interpreted by the Court of Justice), but cannot make a definitive finding. (S. 14)

Weitere Auswirkungen des Urteils

Zuletzt kündigt die Kommission an das sie vor dem Hintergrund des Urteils alle bestehenden Angemessenheitsbeschlüsse für Drittstaaten (unter anderem Argentinien, Kanada, Israel und Schweiz) überprüfen werde und insbesondere jene Klauseln in den Angemessenheitsentscheidung anpassen wird, die der europäische Gerichtshof im Rahmen des Safe Harbor-Urteils für ungültig erklärt hat. Hierbei bezieht sich die Kommission auf Vorschriften, die die Ausübung der Kompetenzen der nationalen Datenschutzbehörden unter bestimmte Voraussetzungen stellen.

Datenschutzreform: Österreichs Bundesrat fordert Augenmaß und Ausnahmen

Posted on by

Die Verhandlungen zur Datenschutz-Grundverordnung befinden in ihrer entscheidenden Phase, den Trilog-Verhandlungen zwischen Kommission, Parlament und Rat. Österreich war in den Ratsverhandlungen eine der kritischsten Stimmen und hat auch gegen den Kompromissvariante des Rates zur Datenschutz-Grundverordnung gestimmt. Der österreichische Bundesrat nimmt den Trilog zum Anlass genommen, um gewisse, aus seiner Sicht unter anderem für die österreichische Wirtschaft und das geltende österreichische Datenschutzrecht, wichtige Forderungen an die beteiligten Akteure zu richten.

Das Schreiben des EU-Ausschusses des österreichischen Bundesrates findet sich hier (PDF).

Gefordert bzw. angemerkt wird dort unter anderem:

Der Schutz von juristischen Personen, wie er derzeit im österreichischen Datenschutzrecht gilt, soll beibehalten werden.

Dieser Schutz stellt in Europa durchaus eine Besonderheit dar. Denn die geltende Datenschutz-Richtlinie bezieht sich dem Wortlaut nach auch nur auf „natürliche Personen“ und verweist explizit in Erwägungsgrund 24 darauf, dass sie nicht andere Rechtsvorschriften zum Schutz juristischer Personen berührt. In Deutschland etwa unterfallen juristische Personen nicht dem Schutzbereich des Bundesdatenschutzgesetzes.

 

Bisher rechtmäßig durchgeführte Datenverarbeitungen dürften nicht ihre Rechtsgrundlage verlieren.

Was also derzeit legitim ist, darf in Zukunft nicht als rechtswidrig angesehen werden. Eventuell auch dann, wenn bestehende Erlaubnistatbestände im Datenschutzrecht angepasst werden.

 

Die Einführung eines Datenschutzbeauftragten für jedes Unternehmen würde vor allem für KMU und EPU zu einer unüberwindlichen Hürde führen.

Hier erkennt man, wie unterschiedlich die Wünsche und Vorstellungen der Mitgliedstaaten sind. Deutschland spricht sich seit langem für Vorgaben in der Datenschutz-Grundverordnung für die Bestellung von Datenschutzbeauftragten aus. Andere Mitgliedstaaten erkennen hierin eine Belastung für die Wirtschaft und wünschen sich praktikable Lösungen.

Generalanwalt: Safe Harbor-Entscheidung verletzt europäische Grundrechte. Nicht Facebook.

Posted on by

Heute hat der Generalanwalt am EuGH seine Schlussanträge im Verfahren von Max Schrems gegen die irische Datenschutzbehörde (C-362/14) präsentiert. In der Presse (z.B. Golem und FAZ) und in Blogs (etwa bei Thomas Stadler) wurde bereits darüber berichtet und erste Schlussfolgerungen gezogen.

Ich möchte nachfolgend, nachdem ich die Schlussanträge einmal grob überfliegen konnte, auf einige Besonderheiten und besonders relevante Aussagen des Generalanwalts hinweisen, die vielleicht bisher noch nicht beleuchtet wurden.

Starke Stellung der Datenschutzbehörden

Wenig überraschend vertritt der Generalanwalt die Auffassung, dass nationale Datenschutzbehörden durch einen Angemessenheitsbeschluss der Kommission (um den es sich bei Safe Harbor handelt) nicht absolut gebunden sind und weiterhin die ihnen durch die Charta der Grundrechte der Europäischen Union und die Datenschutz-Richtlinie (RL 95/46/EG) übertragenen Befugnisse ausüben dürfen. Wenn es um den Schutz von Grundrechten (im vorliegenden Fall von Art. 7 und 8 der Charta) geht, dürfen nationale Behörden eigene Untersuchungen vornehmen und erforderlichenfalls auch Datentransfers in Drittstaaten untersagen, selbst wenn ein Angemessenheitsbeschluss der Kommission existiert. Rechtlich gesprochen nimmt eine Angemessenheitsentscheidung nach Art. 25 Abs. 6 RL 95/46/EG den Aufsichtsbehörden nicht ihre Befugnisse nach Art. 28 RL 95/46/EG (vgl. Rz. 120 der Schlussanträge).

Grundvoraussetzung: gleicher Schutz

Wenn personenbezogene Daten aus der Europäischen Union heraus, auf der Grundlage einer Angemessenheitsentscheidung, in Drittstaaten übertragen werden können sollen, dann muss in diesem Drittstaat dem Grunde nach dasselbe Schutzniveau gelten, wie es durch die Vorgaben der Grundrechtecharta und der RL 95/46/EG auch innerhalb der EU existiert (Rz. 144). Ein wichtiger Baustein hierfür ist die Existenz einer unabhängigen Kontrollinstanz, die die Einhaltung der datenschutzrechtlichen Vorgaben überwacht und durchsetzt (Rz. 145).

Unklare Ausnahmeregelungen für Zwecke der nationalen Sicherheit

Der Generalanwalt kritisiert die in der Safe Harbor-Entscheidung vorgesehenen Möglichkeiten, für Zwecke der nationalen Sicherheit von den vorgegebenen Prinzipien zum Schutz personenbezogener Daten abweichen zu können (Anhang I Absatz 4). Der Wortlaut der Vorschriften sei viel zu allgemein gehalten und werde von Sicherheitsbehörden in den USA weit ausgelegt und genutzt, um auf personenbezogene Daten zugreifen zu können (Rz. 164).

Keine Möglichkeit des Rechtsschutzes in den USA

Ebenfalls kritisiert der Generalanwalt, dass EU-Bürger keine Möglichkeit hätten, Rechtsschutz gegen Datenverarbeitungen zu suchen, die über jene Zwecke hinausgehen, für die die Daten ursprünglich in die USA übermittelt wurden (Rz. 165).

Facebook verletzt nicht die Vorgaben von Safe Harbor

Der Generalanwalt stellt zudem klar, dass Facebook nicht gegen die Vorgaben von Safe Harbor verstößt (Rz. 168). Denn ein Zugriff von Sicherheitsbehörden auf Daten oder eine Weiterleitung der Daten auf der Grundlage nationaler Gesetze in den USA ist in der Safe Harbor-Entscheidung gerade vorgesehen. Die Frage ist daher vielmehr, ob die Safe Harbor-Entscheidung selbst (und in ihr aufgestellte Prinzipien und auch die Ausnahmen) gegen europäisches Recht verstößt. Die in der Safe Harbor-Entscheidung ausdrücklich zugelassene Weitergabe von Daten für Zwecke der nationalen Sicherheit stellt einen Eingriff in die Grundrechte der EU-Bürger dar (nicht jedoch durch die privaten Unternehmen) und muss gerechtfertigt sein (Rz. 174).

Ausnahmeregelungen in Safe Harbor verstoßen gegen Grundrechte

Die in der Safe Harbor-Entscheidung vorgesehenen Ausnahmen sind nach Auffassung des Generalanwalts viel zu offen und ungenau formuliert, um einen Eingriff in die Grundrechte aus Art. 7 und 8 der Charta zu rechtfertigen. Es existieren keine ausreichenden und genau definierten Schutzmechanismen, um eine Massenüberwachung durch ausländische Sicherheitsbehörden zu unterbinden (Rz. 202).

Verstoß gegen Verhältnismäßigkeitsgrundsatz

Ein Eingriff in Grundrechte kann gerechtfertigt sein. Muss dafür jedoch geeignet, erforderlich und angemessen sein. Der Generalanwalt stellt klar, dass die EU-Kommission, mit Annahme der Safe Harbor-Entscheidung und ihrer Aufrechterhaltung, gegen den Verhältnismäßigkeitsgrundsatz verstoßen hat und eine Verletzung der Grundrechte aus Art. 7 und 8 der Charta sowie Art. 52 Abs. 1 der Charta vorliegt. Aus diesem Grund ist die Entscheidung der Kommission für ungültig zu erklären (Rz. 215 f.). Hinzu kommt nach Ansicht des Generalanwalts, dass die EU-Kommission Safe Harbor auch noch während der Verhandlungen über eine neue Version weiterhin in Kraft belassen hat (Rz. 233 und 236).

Ausblick

Abschließend möchte ich anmerken, dass man nun abwarten muss, wie der EuGH entscheiden wird. Ich denke, die Tendenz ist aber klar. Doch was bedeutet es, wenn von einem auf den anderen Tag Safe Harbor ungültig wäre? Natürlich dürften personenbezogene Daten aus Europa auch weiterhin in die USA übermittelt werden. Hierfür wäre dann jedoch eine andere Grundlage (Einwilligung, Standardvertragsklauseln, etc.) erforderlich. Ich denke zudem, dass man nicht unbedingt einen großen Gewinn für den transatlantischen Datenschutz einfährt, wenn Safe Harbor, ohne Nachfolgeregelungen, für ungültig erklärt wird. Denn dass die Datenstrome einfach aufhören zu fließen, daran kann niemand wirklich glauben. Man wird dann einfach eine Situation mit tausendfacher Rechtsverletzung kreieren. Die Unternehmen stehen natürlich zwischen zwei Stühlen. Verschiedenen, auf sie anwendbare Rechtsordnung. Auch wenn Safe Harbor fällt, werden Sicherheitsbehörden (im Übrigen nicht nur in Drittsaaten) auf Daten bei Unternehmen zugreifen. In diesem Zusammenhang sollte man sich auch einmal die Frage stellen, wie denn der Rechtsschutz und die Aufsicht über den Zugriff von Geheimdiensten bei uns in der EU ausgestaltet sind.

Justizministerium zweifelt an einheitlichem Datenschutzstandard in Europa

Posted on by

Die Europäische Kommission hat in einer Stellungnahme (abrufbar bei netzpolitik.org) den Gesetzesentwurf des Bundesministeriums für Justiz und Verbraucherschutz  (BMJV) zur „Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“ (PDF) inhaltlich bemängelt.

Die Kommission stört sich insbesondere an der in § 113b des Entwurfs vorgesehenen Pflicht, Vorratsdaten allein im Inland zu speichern:

dass der betreffende Entwurf einer Verordnung eine Verletzung von Artikel 56 AEUV sowie Artikel 1 Absatz 2 der Richtlinie 95/46/EG darstellen würde.

Art. 1 Abs. 2 der Richtlinie 95/46/EG (die geltende Datenschutzrichtlinie) gibt vor, dass Mitgliedstaaten nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des Schutzes der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten beschränken oder untersagen dürfen. Noch deutlicher ist die Vorgabe in Erwägungsgrund 9 der Datenschutzrichtlinie. Danach dürfen die Mitgliedstaaten aufgrund des gleichwertigen Schutzes, der sich aus der Angleichung der einzelstaatlichen Rechtsvorschriften ergibt, den freien Verkehr personenbezogener Daten zwischen ihnen nicht mehr aus Gründen behindern, die den Schutz der Rechte und Freiheiten natürlicher Personen und insbesondere das Recht auf die Privatsphäre betreffen.

Die Pflicht zur Inlandsspeicherung in § 113b des Entwurfs würde aber den freien Verkehr personenbezogener Daten nicht nur behindern, sondern in Bezug auf die Speicherung Vorratsdaten schlicht untersagen.

Zweck der Datenschutzrichtlinie ist es zum einen, die Rechte und Freiheiten natürlicher Personen und insbesondere das Recht auf die Privatsphäre bei der Verarbeitung personenbezogener Daten zu schützen und zum anderen den freien Verkehr von personenbezogenen Daten innerhalb der EU nicht zu behindern.

Gleichwertiger Schutz innerhalb der EU?

Die Datenschutzrichtlinie gibt also auf europäischer Ebene für die Mitgliedstaaten verbindlich vor, dass in ihrem Anwendungsbereich ein gleichwertiges Schutzniveau für personenbezogene Daten existiert. Personenbezogene Daten dürfen innerhalb der EU übermittelt werden, wenn für die Datenverarbeitung (hier die Übermittlung) selbst eine Einwilligung oder gesetzliche Grundlage (z.B. ein Vertrag) existiert.

Das BMJV sieht dies jedoch anders. Die Gesetzesbegründung verweist zur Beschränkung der ebenfalls beeinträchtigten Dienstleistungsfreiheit (Art. 56 AEUV) auf die Notwendigkeit,

um  die  grundrechtlichen  Erfordernisse  des  Datenschutzes  und der  Datensicherheit zu gewährleisten.

Also nutzt die Begründung genau jene Argumente, auf die man ausweislich des Wortlauts der Datenschutzrichtlinie eine Beschränkung des freien Flusses personenbezogener Daten eben gerade nicht stützen darf. Das BMJV zweifelt damit freilich auch ein einheitliches Schutzniveau für personenbezogene Daten innerhalb der EU insgesamt an.

Kein Vertrauen in die Arbeit von Aufsichtsbehörden in anderen Mitgliedstaaten

Die Gesetzesbegründung sägt jedoch sogar noch weiter an den eigentlich existierenden europäischen Standards:

Zudem hätten die mit der Überprüfung der Einhaltung der Sicherheitsstandards und des Datenschutzes befassten deutschen öffentlichen Stellen in anderen Mitgliedstaaten der EU  keine unmittelbaren und gleich wirksamen Möglichkeiten zur Prüfung.

Das stimmt. Deutsche Datenschutzbehörden könnten nicht in anderen EU-Ländern tätig werden und die Einhaltung des Datenschutzrechts prüfen. Zuständig wäre vielmehr die jeweilige nationale Aufsichtsbehörde. Doch scheint das BMJV auch kein Vertrauen in die Kompetenz und Prüfungen durch andere europäische Aufsichtsbehörden zu besitzen:

Angesichts des Umfangs der Prüfpflichten und der Tatsache, dass es sich nicht um eine einmalige Überprüfung eines Anbieters sondern um die Wahrnehmung dauerhafter Aufgaben (zum Beispiel bei der Anpassung der Sicherheitskonzepte an den jeweiligen Stand der Technik) handelt, erscheint dies aber zu wenig wirksam.

Mit „dies“ bezieht sich die Gesetzesbegründung auf die in der Datenschutzrichtlinie ausdrücklich vorgesehene Möglichkeit, dass eine Aufsichtsbehörde (etwa in Deutschland) eine andere Behörde in einem EU-Mitgliedstaat um Amtshilfe ersuchen kann, um hoheitliche Maßnahmen vorzunehmen oder die Einhaltung des Datenschutzrechts zu prüfen. Auch mit dieser Begründung verkehrt das BMJV die geltenden Prinzipien der Datenschutzrichtlinie in ihr Gegenteil. Das Instrument der Amtshilfe wird dort ja gerade vorgesehen, weil es eben möglich ist, dass eine nationale Aufsichtsbehörde nicht zuständig ist. Ein gleichwertiges Schutzniveau für personenbezogene Daten existiert aber dennoch (bzw. gerade auch deshalb) innerhalb der EU.

Zudem fragt man sich, welcher „Umfang“ hier für die besondere Notwendigkeit einer Inlandsspeicherung und alleinigen Kontrolle durch deutsche Behörden spricht? Denn der in dem Gesetzesentwurf beschriebene Umfang an Pflichten in Bezug auf den Umgangt mit Daten und einzusetzende Datensicherheitsmaßnahmen ist kein anderer als jener, der für jedes normale Unternehmen gilt, wenn es personenbezogene Daten im Rahmen seiner Geschäftstätigkeit verarbeitet.

Mögliche Folgen?

Denkt man die Argumentation im Gesetzesentwurf zu Ende, so würde dies bedeuten, dass kein einheitliches Schutzniveau für personenbezogene Daten innerhalb der EU besteht. Personenbezogene Daten dürften dann auch grundsätzlich nicht in andere Mitgliedstaaten übermittelt werden bzw. nur dann, wenn besondere Anforderungen erfüllt sind. Im Prinzip würde man, überspitzt formuliert, jeden Staat außerhalb Deutschlands zum „unsicheren Drittstaat“ deklarieren.

Der Europäische Gerichtshof (EuGH) hat in seiner Entscheidung zur Richtlinie zur Einführung der Vorratsdatenspeicherung (C-293/12) bemängelt, dass die fraglichen Daten nicht „im Unionsgebiet auf Vorrat gespeichert werden“. Eine Pflicht zur Speicherung allein in einem Mitgliedstaat, hat der EuGH jedoch nicht aufgestellt.

Strategie automatisiertes und vernetztes Fahren – Neuerungen im Datenschutzrecht?

Posted on by

Heute hat das Bundeskabinett die durch Bundesverkehrsminister Alexander Dobrindt erarbeitete „Strategie automatisiertes und vernetztes Fahren“ beschlossen (PDF). Das mit der Strategie verfolgte Ziel des Bundesverkehrsministers:

Wir wollen unsere Erfolgsgeschichte beim Automobil digital fortschreiben und die Wachstums- und Wohlstandschancen der Mobilität 4.0 nutzen.

In der zu der Veröffentlichung der Strategie herausgegebenen Pressemeldung wurde zum Thema „Datenschutz“ konstatiert:

Neue Vorgaben im Datenschutzrecht?

Die Fahrer automatisierter und vernetzter Fahrzeuge müssen über die Erhebung und Verwertung von Daten informiert werden – und ihre Einwilligung geben. Die Daten gehören dem Nutzer.

Eine solche Ankündigung lies zunächst doch ein wenig aufhorchen. Nicht jene Feststellung, dass die Fahrer in vernetzten Fahrzeugen über stattfindende Datenverarbeitungen aufzuklären sind. Dies ist bereits jetzt gesetzlich vorgeschrieben (§ 4 Abs. 3 BDSG, § 13 Abs. 1 TMG). Doch das formulierte Postulat, dass Fahrer „ihre Einwilligung“ in eine Datenverarbeitung erteilen „müssen“ und die Aussage, „Daten gehören dem Nutzer“, würden in dieser Pauschalität die datenschutzrechtlichen Gegebenheiten und den geltenden Gesetzesrahmen nicht korrekt darstellen bzw. neue Anforderungen an die Datenverarbeitungen schaffen. Die Einwilligung ist derzeit nur eine von mehreren Möglichkeiten, um personenbezogene Daten verarbeiten zu können und „muss“ daher nicht zwingend vorliegen. Die Frage, wem Daten „gehören“, wird seit einiger Zeit im Datenschutzrecht kontrovers diskutiert – ohne, dass es bisher eine befriedigende Antwort darauf gegeben hätte. Dies mag daran liegen, dass ein Besitz oder gar an Eigentum an Daten im Datenschutzrecht nicht vorgesehen ist und daher andere Rechtsgebiete (Zivilrecht, Urheberrecht, etc.) bemüht werden müssen.

Das Datenschutzrecht muss beachtet werden

Betrachtet man nun die beschlossene Strategie selbst, so kann man aus Sicht des Datenschutzrechts feststellen, dass die geltenden Vorgaben erhalten bleiben und es etwa keine (in der Pressemitteilung anklingende) Pflicht zur Einholung der Einwilligung geben soll. Überhaupt nicht eingegangen wird auf das Postulat „Daten gehören dem Nutzer“.

Die Grundsätze des allgemeinen Datenschutzrechts sind zu beachten.

Mit diesem Hinweis beginnt der Abschnitt zum Datenschutz in der Strategie (S. 24 f.). Alles andere hätte auch verwundert.

Verpflichtende Anonymisierung und Pseudonymisierung?

Eine weitere Vorgabe der Strategie unterscheidet sich dann doch in einem bestimmten Punkt von den geltenden gesetzlichen Bestimmungen:

Bei der Erhebung, Verarbeitung und Verknüpfung von Daten müssen verstärkt Techniken zur Anonymisierung und Pseudonymisierung eingesetzt werden.

Die Strategie statuiert ihrem Wortlaut nach eine Pflicht („müssen“) zur Implementierung von Technologien zur Datenvermeidung und zur Verwirklichung des Grundsatzes der Datensparsamkeit. Vergleicht man damit die geltenden gesetzlichen Vorgaben, fällt auf, dass nach § 3a S. 2 BDSG keine generelle Pflicht zur Anonymisierung und Pseudonymisierung besteht. In § 3a S. 2 BDSG heißt es:

Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist.

Anonymisierung und Pseudonymisierung werden also derzeit als eine Art Zielvorgaben ausgegeben und mit dem Aufwand in einem angemessenen Verhältnis stehen. Die Nichtbeachtung dieser Zielvorgabe hat auch keinen direkten Einfluss auf die Rechtmäßigkeit einer Datenverarbeitung. Nach der Formulierung in der Strategie („müssen“), könnte sich dies eventuell ändern. Dies wird man, gerade mit Blick auf die anstehenden Änderungen durch die Datenschutz-Grundverordnung, jedoch abwarten müssen.

Generelle Einwilligungs-Pflicht?

Die Einwilligung muss dabei selektiv möglich und zudem widerruflich sein, soweit es um Funktionen geht, die nicht für das Funktionieren des Fahrzeugs bzw. für die Verkehrssicherheit erforderlich sind.

Die Strategie befasst sich mit den Anforderungen an die datenschutzrechtliche Einwilligung. Diese muss „selektiv“, also für einzelne Datenverarbeitungen getrennt möglich sein. Zudem soll ein Widerruf einer einmal erteilten Einwilligung möglich sein. Auch diese Vorgabe ist keine Neuerung im Vergleich zur geltenden Rechtslage (vgl. etwa § 13 Abs. 2 Nr. 4 TMG), zumindest soweit man das TMG betrachtet. Mit Blick auf das BDSG hat das Bundesarbeitsgericht im Jahre 2014 (Urteil vom 11.12.2014 – Az. 8 AZR 1010/13) entschieden, dass die Erteilung einer zeitlich nicht beschränkten Einwilligung zwar im Grundsatz nicht bedeutet, dass sie unwiderruflich erteilt worden wäre. Allerdings, so das BAG, deute ein Umkehrschluss aus § 28 Abs. 3a S. 1 BDSG darauf hin, dass eine einmal erteilte Einwilligung nicht generell „jederzeit mit Wirkung für die Zukunft widerrufen werden kann„. Eventuell denkt man im BMVI also darüber nach, ein generelles Widerrufsrecht im Datenschutzrecht, zumindest mit Blick auf das vernetzte Auto, einzuführen? Auch dies wird man abwarten müssen.

Festhalten kann man jedoch, dass die Ausführungen der Strategie zur Einwilligung sich einschränkend nur auf Funktionen des „SmartCar“ beziehen, die nicht für das Funktionieren des Fahrzeugs bzw. für die Verkehrssicherheit erforderlich sind. Oder anders: die Einwilligung ist eben nur dann notwendig, wenn nicht bereits ein Kauf-, Leasing- oder auch reiner Nutzungsvertrag über Dienste im Fahrzeug als Grundlage der Datenverarbeitung dient und diese Datenverarbeitung erforderlich ist, um den Vertrag durchzuführen oder Dienstfunktionen zu erbringen. Auch dies entspricht der geltenden Gesetzeslage (vgl. etwa § 28 Abs. 1 S. 1 Nr. 1 BDSG, § 14 Abs. 1 TMG oder § 15 Abs. 1 TMG).

Festzuhalten bleibt also aus Sicht des Datenschutzrechts, dass weit weniger Änderungen in der Strategie angedacht sind, als dies eventuell zunächst den Anschein hatte. Man baut die Einhaltung geltender Prinzipien, die eventuell punktuell angepasst werden könnten. Dabei muss freilich beachtet werden, dass jede Änderung des geltenden Datenschutzrechts nach In Kraft treten der Datenschutz-Grundverordnung auf ihre Daseinsberechtigung (also Vereinbarkeit mit den zukünftigen europäischen Vorgaben) geprüft werden muss.

Datenschutzreform: Kein Mitgliedstaat verfolgt die Absicht, zentrale Datenschutzprinzipien aufzuweichen

Posted on by

Im Rahmen ihrer Antwort (PDF) auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag zu dem Thema „Neuregelung des Beschäftigtendatenschutzes“, hat sich die Bundesregierung nicht nur mit spezifischen Fragen der Datenverarbeitung im Verhältnis zwischen Arbeitgeber und Arbeitnehmer befasst, sondern auch einige interessante Ausführungen zu anderen wichtigen Bereichen der geplanten Datenschutz-Grundverordnung (DS-GVO) gemacht und ihre Auffassung zu diesen Themen dargelegt.

Betrieblicher Datenschutzbeauftragter
Die Frage, ob es in Zukunft eine EU-weite Pflicht zur Bestellung von betrieblichen Datenschutzbeauftragten gibt, ist nach wie vor offen. Im Rat der Europäischen Union konnte hinsichtlich dieses Vorschlags (u.a. von Deutschland) bisher keine Mehrheit gewonnen werden.

In ihrer Antwort bekräftigt die Bundesregierung ihre Absicht, eine solche Pflicht eventuell noch innerhalb der aktuell laufenden Trilogverhandlungen auf EU-Ebene noch in die DS-GVO einfließen zu lassen.

Die Bundesregierung setzt sich in den Verhandlungen weiterhin dafür ein, dass die Mitgliedstaaten durch die Datenschutz-Grundverordnung verpflichtet werden, dieses in Deutschland bewährte Konzept zu übernehmen.

Was geschieht mit aktuell gültigen Betriebsvereinbarungen?
Nach derzeit geltendem Recht stellen Betriebsvereinbarungen eine „andere Rechtsvorschrift“ im Sinne des § 4 Abs. 1 BDSG dar und können daher als Grundlage von Datenverarbeitungen in Unternehmen dienen. Doch was geschieht mit geltenden Betriebsvereinbarungen, wenn die DS-GVO, als unmittelbar geltende europäische Verordnung, in Kraft tritt und zwei Jahre später Anwendung findet?

Die Bundesregierung verweist auf den grundsätzlichen Anwendungsvorrang des EU-Rechts vor kollidierenden nationalen Regelungen. Ob geltende Betriebsvereinbarungen dann keine Anwendung mehr finden, hängt jedoch von der finalen Fassung der DS-GVO und möglichen Öffnungsklauseln und den Voraussetzungen an nationale Regelungen ab. Die Bundesregierung verweist zudem darauf, dass die Ratsfassung der DS-GVO in Erwägungsgrund 124 klarstellt, dass in Art. 82 DS-GVO (der speziellen Vorschrift zum Umgang mit personenbezogenen Daten von Arbeitnehmern) erwähnte Kollektivvereinbarungen auch Betriebsvereinbarungen umfassen.

Keine „strengeren“ nationalen Gesetze im Vergleich zur DS-GVO?
In Zukunft stellt sich zudem die Frage, ob nationale Regelungen im Anwendungsbereich von Öffnungsklauseln der DS-GVO erlassen werden dürfen, die „strengere“ Vorgaben an die Verarbeitung personenbezogener Daten machen, als jene in der DS-GVO. Sollte dies möglich sein, wird sich freilich in Folge eine Situation einstellen, in der manche Mitgliedstaaten „strengere“ Datenschutzgesetze besitzen als andere. Eine Vereinheitlichung wäre damit zumindest nicht gänzlich erreicht.

Die Bundesregierung will sich dafür einsetzen, dass die Mitgliedstaaten sektorspezifische Rechtsvorschrift, die bereits auf Grundlage der geltenden Datenschutz-Richtlinie erlassen wurden, beibehalten werden können. Zudem möchte sich die Bundesregierung dafür einsetzen, dass Art. 82 DS-GVO im Bereich des Arbeitnehmerdatenschutzes nur als „Mindestnorm“ anzusehen ist. Mitgliedstaaten könnten also etwa in diesem Bereich abweichend „strenge“ Vorgaben machen.

Bleiben geltende Datenschutzprinzipien erhalten?
Die Fraktion DIE LINKE möchte wissen, welche EU-Mitgliedsstaaten

nach Kenntnis der Bundesregierung aus welchen Gründen oder mit welcher Begründung ggf. die Absicht, zentrale Datenschutzprinzipien, wie die Zweckbindung und die Datensparsamkeit, in der EU-Datenschutz-Grundverordnung aufzuweichen.

Die Bundesregierung kann eine solches „Aufweichen“ geltender Datenschutzprinzipien jedoch nicht ausmachen:

Nach Beobachtung der Bundesregierung verfolgt kein Mitgliedstaat die Absicht, zentrale Datenschutzprinzipien aufzuweichen.

Der Grundsatz der Datensparsamkeit finde sich in Art. 5 Abs. 1 (c) der DS-GVO. Zudem merkt die Bundesregierung an, dass sie sich in den Ratsverhandlungen für die Beibehaltung der Formulierung des ursprünglichen Kommissionsvorschlags ausgesprochen habe.

Auch der Grundsatz der Zweckbindung werde beibehalten und finde sich in Art. 5 Abs. 1 (b) der DS-GVO. Die Formulierung entspreche zudem im Wesentlichen derjenigen der Datenschutz-Richtlinie.

Zweckändernde Datenverarbeitung auch ohne Einwilligung oder Vertrag
Die „Zweckänderung“ war ein Thema, welches vor allem auch in der Öffentlichkeit heftig diskutiert wurde. Die Bundesregierung wurde für ihre Änderungsvorschläge zum Teil heftig kritisiert. In ihrer Antwort verweist sie darauf, dass das geltende Bundesdatenschutzgesetz bereits derzeit zahlreiche Regelungen zur zweckändernden Weiterverarbeitung enthalte. Zudem führt sie an, dass eine solche Weiterverarbeitung nicht heimlich geschehen kann, sondern der Betroffene hierüber zu informieren ist (Art. 14 Abs. 1b) und Art. 14a Abs. 3a DS-GVO Ratsfassung). Auch möchte sich die Bundesregierung weiterhin dafür einsetzen,

dass die Befugnis zur zweckändernden Datenverarbeitung ohne Rechtsgrundlage und allein auf Grundlage einer Interessenabwägung für den öffentlichen Bereich nicht in der Datenschutz-Grundverordnung enthalten sein wird.

Verhandlungen zur Datenschutzreform: Rechte der Betroffenen stehen im Mittelpunkt

Posted on by

Im September gehen die Trilogverhandlungen zur Datenschutz-Grundverordnung (DS-GVO) zwischen Kommission, Parlament und Rat weiter.

Da an den Trilogverhandlungen für den Rat nicht Vertreter eines jeden EU-Mitgliedstaates teilnehmen, versucht die amtierende Ratspräsidentschaft zuvor die Stimmung der Mitgliedstaaten zu bestimmten Verhandlungsthemen abzufragen und zu sortieren.

Ein Verhandlungsdokument zur Darstellung der verschiedenen Positionen und mit Vorschlägen für die nächsten Verhandlungen zu Kapitel III DS-GVO, welches bei statewatch.org veröffentlicht wurde, hat die Ratspräsidentschaft den Vertretern der Mitgliedstaaten Ende Juli zukommen lassen (Dokument, PDF).

In Kapitel III DS-GVO geht es vor allem um die Rechte der Betroffenen (und damit natürlich auch spiegelbildlich um die Pflichten der für die Verarbeitung Verantwortlichen). Themen sind unter anderem das Auskunftsrecht, das „Recht auf Vergessenwerden“, das Recht auf Datenportabiliät und auch Informationspflichten.

Die Ratspräsidentschaft bittet die Mitgliedstaaten um Kommentare und Anregungen, wie in Bezug auf Abweichungen zwischen den Positionen von Parlament und Rat in den Trilogverhandlungen vorgegangen werden soll, wo also etwa die Position des Parlaments unterstützt oder wo eine abweichende Position des Rates weiterverfolgt werden kann.

Behandelt werden unter anderem folgende Änderungsvorschläge:

  • Einführung von Bildern/Zeichen zur Visualisierung der Datenverarbeitungszwecke.
  • Informationen dazu, wie lange Daten gespeichert werden.
  • Im Fall von Datenübermittlungen in Drittstaaten, Informationen dazu, auf welcher Grundlage (Angemessenheitsbeschluss, Standardvertragsklauseln etc.) dies erfolgt.
  • Wie oft ein Auskunftsanspruch (etwa pro Jahr) kostenlos geltend werden darf.
  • Welche Pflichten beim „Recht auf Vergessenwerden“ bestehen. Insbesondere, ob es einen Unterschied macht, dass Daten rechtmäßig veröffentlicht wurden oder nicht. Zudem, wie weit die Pflicht für verantwortliche Stelle reicht, ob diese also weitere Stellen nur informieren oder selbst für eine Löschung der Daten Dritten sorgen müssen.
  • Welche Rechte bei einer automatisierten Einzelfallentscheidung bzw. einem Profiling existieren.

Datenschutz im vernetzten Auto: Neuer Gesetzesvorschlag aus den USA

Posted on by

Das Thema „Datenschutz und Datensicherheit im vernetzten Auto“ stellt sowohl die Wirtschaft als auch die Politik vor gewisse Herausforderungen. Viele der geltenden gesetzlichen Regelungen passen nicht mehr eins zu eins auf Informationsflüsse, die in einem „Smart Car“ stattfinden. Zudem wird auch darüber nachgedacht, ob es neuer Grundsätze und Prinzipien bedarf, um einen angemessenen Ausgleich zwischen den berechtigten Interessen der Beteiligten, der Wirtschaft (Nutzung und Verwertung der Daten) und den Betroffenen (Schutz der personenbezogenen Daten), herzustellen.

In Deutschland hat sich zuletzt Bundesjustizminister Maas öffentlich zu dem Thema geäußert und aus seiner Sicht wichtige Prinzipien aufgestellt, die in Zukunft beim Betrieb eines Smart Car beachtet werden sollten. So schlägt der Minister vor, schon bei der Entwicklung von neuen Fahrzeugen den Datenschutz zu berücksichtigen (Privacy by Design). Auch Prinzipien der Datenvermeidung und Datensparsamkeit müssen seiner Ansicht nach leitende Grundsätze sein. Zudem müsse es immer einen Aus-Knopf geben. Halter und Fahrer sollten das Recht und die Möglichkeit haben, Datenübermittlung zu erkennen, zu kontrollieren und gegebenenfalls auch zu stoppen.

Bereits im November 2014 veröffentlichte der Verband der Automobilindustrie (VDA) seine „Datenschutz-Prinzipien für vernetzte Fahrzeuge“ (PDF). Zweck dieser Prinzipien ist es, ergänzend zu den bestehenden gesetzlichen Regelungen in Deutschland, gemeinsame Datenschutz-Prinzipien für vernetzte Fahrzeuge aufzustellen. Die Prinzipien umfassen drei Kernpunkte: Transparenz, Selbstbestimmung und Datensicherheit.

In den USA haben nun zwei Senatoren einen Gesetzentwurf vorgelegt, um Verbraucher vor Gefahren für die Privatsphäre und die Sicherheit des vernetzten Autos zu schützen, den „Security and Privacy in Your Car Act of 2015“ oder kurz: SPY Car Act (PDF; über die Angemessenheit der Namenswahl lässt sich sicher streiten). Nachfolgend möchte ich einen kurzen Überblick zu den vorgeschlagenen Regelungen des SPY Car Act geben.

Die Vorgaben des Gesetzesentwurfs gliedern sich in zwei Obergruppen. Vorschriften zur Datensicherheit und Vorgaben zum Umgang mit personenbezogenen Daten, die beim Betrieb eines vernetzten Fahrzeugs entstehen.

Datensicherheit
Jegliches Fahrzeug, welches zum Vertrieb in den USA bestimmt ist, soll gewisse Sicherheitsstandards erfüllen. So müssen alle Zugangspunkte, durch die auf Daten aus dem Fahrzeug direkt oder indirekt zugegriffen werden kann, in einer angemessenen Art und Weise gegen unbefugten Zugriff geschützt werden. Hierzu gehört auch die Vorgabe, Systeme mit besonders kritischer Infrastruktur getrennt von anderen Komponenten zu verwenden. Auch eine Pflicht zur ständigen Prüfung der technischen Schutzvorkehrungen durch die Hersteller wird vorgesehen.

Im und am Fahrzeug, etwa durch Sensoren, gesammelte Daten, müssen des weiteren gegen unbefugten Zugriff geschützt sein. Dies gilt sowohl für ihre Speicherung im Fahrzeug selbst, als auch für ihre Übermittlung an Dritte und den Transportweg.

Zudem soll jedes Fahrzeug verpflichtend ein sog. „Cyber Dashboard“ enthalten, eine Übersicht zu den durch den Hersteller implementierten Sicherheitsvorkehrungen, die zum Schutz der Daten im Fahrzeug getroffen wurden. Die Informationen sollen in der Form einer standardisierten und leicht verständlichen Grafik dargeboten werden.

Datenschutz
Mit Blick auf den Schutz personenbezogener Daten und die Verarbeitung eben dieser, sieht der Entwurf vor, dass bestimmte Prinzipien zu beachten sind. Hier ähnelt der Vorschlag den Datenschutz-Prinzipien des VDA.

Transparenz: In jedem Fahrzeug sollen dem Eigentümer oder Mieter/Leasingnehmer verständliche und in einfacher Sprache abgefasste Informationen präsentiert werden, in denen über die Datenerhebung, -übermittlung, -speicherung und –nutzung aufgeklärt wird.

Kontrolle: Zudem soll es in jedem Fahrzeug die Möglichkeit für die Betroffenen geben, die Datenerhebung und –speicherung zu unterbinden. Gleichzeitig wird jedoch vorgegeben, dass durch eine solche Unterbindung, Bundesjustizminister Maas würde von dem „Aus-Knopf“ sprechen, keinen Einfluss auf die Nutzung des Navigationssystems oder anderer Funktionen haben soll. Zumindest soweit dies technisch möglich ist.

Datennutzungsbeschränkungen: Zuletzt sieht der Gesetzesentwurf vor, dass der Autohersteller und auch der Zulieferer die aus einem Fahrzeug erhobenen Daten nur dann für Werbe- und Marketingzwecke nutzen dürfen, wenn der Betroffene zuvor ausdrücklich eingewilligt hat. Der SPY Car Act definiert auch die Voraussetzungen zur Einholung der Einwilligung. Diese muss deutlich sichtbar und eindeutig erfolgen. Zudem muss sie von einfacher und leicht verständlicher Sprache begleitet sein. Und zuletzt darf die Erteilung der Einwilligung nicht Voraussetzung für die Nutzung von Funktionen des Fahrzeugs sein, die keinen Werbezwecken dienen.

Fazit
Gerade die Vorgaben zur Datensicherheit erinnern an in Deutschland und Europa bereits bekannte Prinzipien der sog. technischen und organisatorischen Maßnahmen (§ 9 BDSG und Anlage sowie Artikel 17 der Datenschutz-Richtlinie (RL 95/46/EG)). Auch dort werden für den Umgang mit personenbezogenen Daten auf technischer Ebene gewisse Vorgaben festgeschrieben. Dies jedoch abhängig von der jeweiligen Situation und orientiert am Prinzip der Verhältnismäßigkeit. Spezielle, auf das Smart Car abgestimmte Vorgaben existieren in Deutschland jedoch nicht.

Auch die Vorschriften zum Umgang mit personenbezogenen Daten dürften in Europa und Deutschland nicht für totales Erstaunen sorgen. Denn bereits derzeit gelten Prinzipien wie die Transparenz der Datenverarbeitung oder auch die Vorgaben an eine wirksame Einwilligung auch bei uns.

Datenschutzreform: Bundesratsausschüsse fordern weitere Anpassungen

Posted on by

Nachdem sich der Rat der Europäischen Union am 15. Juni 2015 auf eine allgemeine Ausrichtung zur geplanten Datenschutz-Grundverordnung (DS-GVO) verständigt hat und die Trilog-Verhandlungen zwischen Kommission, Parlament und Rat bereits begonnen haben (hierzu mein Beitrag mit einem Überblick zu dem Zeitplan sowie zu den ersten Verhandlungen), hat sich auch erneut der deutsche Bundesrat mit der DS-GVO befasst.

Der Bundesrat wird in seiner Sitzung am 10. Juli 2015 über neue Empfehlungen (PDF) des EU- und Innenausschuss beraten. Die beiden Ausschüsse empfehlen dem Bundesrat, zur DS-GVO erneut Stellung zu nehmen.

Nachfolgend möchte ich auf einige der Änderungsforderungen des Bundesrates eingehen.

DS-GVO für den „digitalen Binnenmarkt“?
Zunächst begrüßen die Ausschüsse, dass das Rechtsetzungsverfahren zur DS-GVO möglichst noch bis Ende 2015 abgeschlossen werden soll

um damit rechtssichere Grundlagen für den digitalen Binnenmarkt zu schaffen.

Die Ausschüsse richten ihr Hauptaugenmerk offensichtlich, wie dies in der öffentlichen Diskussion im Übrigen fast auch immer der Fall ist, auf die digitale Wirtschaft. Man kann jedoch nicht oft genug betonen, dass die DS-GVO eben gerade kein spezielles Gesetz für das Internet oder digitale Dienste darstellt, sondern jede Behörde, jedes Unternehmen, jeden Verein oder auch jede Privatperson betrifft, die personenbezogene Daten verarbeiten. Unabhängig von einem digitalen Handlungsfeld. Wichtig erscheint mir bei der nun stattfindenden Diskussion auf der Zielgeraden, diesen Effekt der DS-GVO nicht aus den Augen zu verlieren.

Pseudonyme
Kritisch beleuchten die Ausschüsse den stiefmütterlichen Umgang mit dem Instrument der Pseudonymisierung in der DS-GVO. Die Empfehlung bedauert,

dass im Standpunkt des Rates nur punktuell Anreize zur Verarbeitung pseudonymisierter Daten aufgenommen wurden.

Gerade vor dem Hintergrund, dass Datenanalysen einen wichtigen Bestandteil der zukünftigen Wirtschaft darstellen und nach Ansicht der Ausschüsse sogar von „elementarer Bedeutung“ sind, fordern die Ausschüsse die Bundesregierung dazu auf, sich auch in den Trilog-Verhandlungen dafür einzusetzen, dass neue Verfahren zur Verarbeitung pseudonymisierter Daten gefördert werden.

Zweckänderung
Einer der besonders umstrittenen Punkte in der DS-GVO ist die Möglichkeit einer Zweckänderung von Datenverarbeitungen. Hierzu fordern die Ausschüsse die Bundesregierung dazu auf, bei den

weiteren Beratungen einer Verschlechterung des durch die geltende Datenschutzrichtlinie 95/46/EG gewährleisteten Schutzniveaus konsequent entgegenzutreten.

Diese Forderung ist durchaus verständlich und wird auch von vielen Beteiligten in den Verhandlungen geteilt. Eine Datenschutzreform, die das geltende Schutzniveau unterschreitet, soll nicht das Ergebnis sein.

Meines Erachtens ziemlich spektakulär ist jedoch die zusätzliche Forderung der Bundesratsausschüsse.

Sie appellieren an die Bundesregierung

dafür Sorge zu tragen, dass die schutzwürdigen Interessen der Betroffenen Vorrang vor einer kommerziellen Weiterverwendung ihrer Daten für Big-Data-Konzepte und vor anderen Beeinträchtigungen ihrer Persönlichkeit erhalten.

Damit würde eine Interessenabwägung im Fall von kommerziellen „Big-Data-Konzepten“ (dieser Begriff ist freilich nirgends definiert) stets zu einer Unzulässigkeit der Datenverarbeitung führen. Ein solches Postulat ist jedoch meines Erachtens brandgefährlich. Dies aus mehreren Gründen: nirgends wird erläutert, was unter „Big Data“ oder „Big Data Konzepten“ zu verstehen ist? Wer wäre hiervon also betroffen? Jedes Unternehmen, welches ein CRM-System einsetzt?

Desweiteren stellt sich die Frage, welche Unternehmen denn nicht „kommerziell“ tätig werden und Daten verarbeiten? Die Wirtschaft handelt grundsätzlich aus kommerziellen Interessen. Ein Unternehmen kann nun einmal nicht von Luft und Liebe leben und muss Geld verdienen, um Mitarbeiter, Lieferanten, etc. zu bezahlen.

Der per-se etablierte Vorrang von schutzwürdigen Interessen der Betroffenen würde den Erlaubnistatbestand der Interessenabwägung im Datenschutzrecht für den „Big-Data“-Bereich (wie auch immer dieser verstanden wird) praktisch entleeren. Eine Verarbeitung von Daten wäre dann etwa nur auf der Grundlage einer Einwilligung oder eines Vertrages möglich.

Minderjährige
Zudem sprechen sich die Ausschüsse für eine Stärkung des Minderjährigenschutzes aus. Die Bundesregierung soll

sich dafür einzusetzen, dass personenbezogene Daten Minderjähriger nicht für Zwecke der Werbung und zur Profilbildung verwendet werden dürfen.

Also ein Postulat des absoluten Verarbeitungsverbots für diese Fälle. Eine Einwilligung würde nicht helfen. Selbst wenn also ein Minderjähriger (also alle Personen unter 18 Jahren!) mit personalisierter Werbung im Internet einverstanden wäre, so dürfte ein Unternehmen wie Youtube oder Facebook diese Werbung nicht auf der Grundlage von Daten über diesen Jugendlichen ausspielen. Eine solche Forderung verkennt meines Erachtens die Realitäten (gerade im Internet) und lässt zudem von einem informationellen Selbst(!)Bestimmungsrecht nichts mehr übrig.

Datenschutzbeauftragter
Auch dem Thema Pflicht zur Bestellung eines Datenschutzbeauftragten widmen sich die Ausschüsse. Nach der Empfehlung soll sich

die Bundesregierung dafür einsetzen, weiterhin für das in Deutschland bewährte Modell betriebsinterner Datenschutzkontrolle zu werben, dessen Vorzüge auch im Standpunkt des Europäischen Parlaments aufgegriffen wurden.

Man möchte also die Bestellpflicht direkt in der DS-GVO geregelt wissen. Falls eine verbindliche Bestellungspflicht nicht in die DS-GVO hineinzuverhandeln sei und es den Mitgliedstaaten und ihrem nationalen Recht überlassen bleibt, eine Bestellpflicht vorzusehen, so halten es die Ausschüsse jedoch

für erforderlich, auch auf die verbliebenen unionrechtlichen Detailanforderungen an die Ausgestaltung dieser Aufgaben (vergleiche Artikel 35 Absatz 2 bis Artikel 37) zu verzichten.

Denn selbst wenn es den nationalen Datenschutzgesetzen vorbehalten bliebe, die Voraussetzungen der verbindlichen Bestellungen eines Datenschutzbeauftragten vorzugeben, so sieht der Ratsentwurf der DS-GVO derzeit doch daneben umfängliche (und verbindliche) Anforderungen an die Bestellung eines Datenschutzbeauftragten vor.