Intelligente Netze und Messsysteme: Kommission veröffentlicht Empfehlungen zum Datenschutz

Intelligente Netze (sog. smart grids) und daran angeschlossene Messsysteme (sog. smart meter) erfahren einen immer größeren Verbreitungsgrad. Über diese intelligenten, da digital ansteuer- und auslesbaren, Systeme können Energieunternehmen etwa Daten über das Heizverhalten oder den Stromverbrauch von Haushalten erheben und analysieren. Der Vorteil liegt auf der Hand: Strom kann aufgrund vorgenommener Analysen zum Beispiel besser verteilt werden. Welches Gebiet benötigt wann wieviel Strom? Wo und wann besteht grundsätzlich der geringste Heizbedarf? Auch eine bedarfsgerechtere Abrechnung des Energieverbrauchs ist möglich.

Da jedoch für diese Zwecke nicht nur die jeweiligen „nackten“ Messwerte abgelesen werden, spielt das Thema Datenschutz auch in diesem Bereich des ‚Internets der Dinge‘ eine wichtige Rolle. Die europäischen Datenschützer, versammelt in der sog. Artikel 29 Datenschutzgruppe, haben daher auch bereits im Jahr 2011 eine Stellungnahme zu Fragen des Datenschutzes und dem Smart Meetering verfasst (WP 183, PDF). Die europäischen Datenschützer empfehlen unter anderem vor dem Einsatz von intelligenten Messsystemen eine Datenschutz-Folgenabschätzung vorzunehmen (WP 183, S. 12).

Um eine solche Datenschutz-Folgenabschätzung, welche die potentiellen Risiken für personenbezogene Daten beim Einsatz intelligenter Zähler bereits in der Planungsphase aufzeigen und entsprechend minimieren soll, europaweit möglichst in einer einheitlichen Form durchzuführen, hat eine Arbeitsgruppe auf europäischer Ebene (Expert Group 2 (EG2)) ein Muster (Data Protection Impact Assessment Template for Smart Grid and Smart Metering systems, PDF) entworfen, welches von Unternehmen genutzt werden soll, die den Aufbau oder Investitionen in intelligente Netze oder Messgeräte planen.

Anfang Oktober 2014 hat nun die Europäische Kommission ihre Empfehlungen zum Einsatz des Musters für die Datenschutz-Folgenabschätzung veröffentlicht (2014/724/EU, PDF). Diese Empfehlungen richten sich an die Mitgliedstaaten und wie diese bei der Verbreitung des Musters mitwirken und Unternehmen unterstützen sollten. Interessant sind zudem die in dem Dokument von der Kommission aufgestellten Definitionen zu verschiedensten Begriffen, die derzeit im Datenschutzrecht diskutiert werden (z. B. der „konzeptionsbedingte Datenschutz“ (data protection by design) oder auch der „standardmäßige Datenschutz“ (data protection by default)).

Die Kommission empfiehlt, dass die Mitgliedstaaten mit der Wirtschaft, Interessenträgern der Zivilgesellschaft und auch den nationalen Datenschutzbehörden zusammenarbeiten sollten, um in einem frühen Stadium der Einführung intelligenter Netze und intelligenter Messsysteme die Verbreitung und Anwendung des Musters für die Datenschutz-Folgenabschätzung zu fördern und zu unterstützen. Etwas konkreter sind zudem Empfehlungen, wonach die Mitgliedstaaten sicherstellen sollten, dass die für die Datenverarbeitung Verantwortlichen nach der Durchführung einer Datenschutz-Folgenabschätzung die geeigneten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten treffen und die Folgenabschätzung sowie die anhaltende Eignung der festgelegten Maßnahmen während des gesamten Lebenszyklus der Anwendung bzw. des Systems überprüfen.

Der Einsatz des Musters zur Folgenabschätzung sowie die Umsetzungsmaßnahmen der Mitgliedstaaten sollen in einer zwei-jährigen Testphase erprobt und danach von der Kommission bewertet werden. Anhand eines nachfolgenden Prüfberichts will die Kommission dann entscheiden, ob das Muster eventuell angepasst werden muss.

Datenschützer entwickeln ein Hausaufgabenheft für Google

Seit 2012 haben europäische Datenschutzbehörden in einer koordinierten Aktion, unter Führung der französischen Datenschutzbehörde, die Datenschutzerklärung von Google und deren Vereinbarkeit mit europäischem Datenschutzrecht überprüft (hierzu meine Blogbeiträge: Europa gegen Google? – Die “Task-Force” macht ernst und Französische Datenschutzbehörde eröffnet Verfahren gegen Google). Nachdem in den letzten Jahren jeweils nationale Verfahren aus diesem koordinierten Vorgehen erwachsen sind (etwa in Spanien oder in Frankreich), hat das Gremium der europäischen Datenschutzbehörden (die Art. 29 Gruppe) nun einen Maßnahmenkatalog (PDF) (man könnte auch von einem datenschutzrechtlichen Hausaufgabenheft sprechen) entwickelt, der Maßnahmen vorschlägt, wie aus der Datenschutzbehörden die Datenschutzerklärung von Google anzupassen ist, um eine Konformität mit europäischem Datenschutzrecht herzustellen. Begleitet wird dieser Katalog von einem Brief (PDF) an Larry Page.

Die Vorschläge der Datenschützer sind dabei als mögliche Lösungsvarianten anzusehen und sollen Google dabei helfen, die Vorgaben der Aufsichtsbehörden umzusetzen. Nachfolgend einige Highlights des immerhin 6-seitigen Dokuments.

  • Die Datenschutzerklärung soll stets sichtbar und direkt aufrufbar sein, ohne dass Nutzer etwa zum Ende einer Webseite scrollen müssten.
  • Es sollen abschließend alle Datenarten aufgelistet werden, die von Google im Rahmen seiner Dienste verarbeitet werden.
  • Auch sollen abschließend alle Zwecke angegeben werden, die der Datenverarbeitung zugrunde liegen.
  • Allein auf einer Seite soll Google den Nutzern die Möglichkeit bieten, sich ein umfassendes Bild über die Datenverarbeitung zu verschaffen.
  • Sollten sich die Zweck der Datenverarbeitung ändern oder neue hinzukommen, so soll Google dies nicht in den Nutzungsbedingungen darstellen, sondern vielmehr in der Datenschutzerklärung darüber informieren.
  • Werden Daten an Dritte weitergegeben, so dürfe Google nicht einfach von „Partnern“ sprechen, sondern müsse diese Partner konkret benennen.
  • Passive Webseitenbesuchern sollen besser informiert werden. Zudem müsste ihnen die Möglichkeit einer Einwilligung in die Verarbeitung ihrer Daten gegeben werden. Die Art. 29 Gruppe weißt hier auf Google Analytics hin. So könnte der Dienst etwa derart eingestellt werden, dass eine Analyse des Nutzerverhaltens erst beginnt, wenn der Betroffene seine Einwilligung erteilt hat. Auch wird hier auf die in der Praxis etablierte Verfahrensweise des Einsatzes von Google Analytics in Deutschland hingewiesen (Kürzung der IP-Adresse; Abschluss eines Vertrages zur Auftragsdatenverarbeitung; Möglichkeit des Opt-out). Diese Lösung könnte, so die Idee der Datenschützer, auf andere Länder übertragen werden.
  • Google sollte zudem die Formulierungen seiner Datenschutzerklärung ändern und keine Begriffe wie „wir können“ verwenden.
  • Nach Ansicht der Art. 29 Gruppe könnte Google seine Datenschutzerklärung mehrschichtig aufbauen. Auf der ersten Ebene allgemeine Informationen mit Verweisen zu speziellen und umfangreicheren Erläuterungen der einzelnen Dienste. Auf der zweiten Ebene dann spezielle Informationen zum Datenumgang bei den einzelnen Diensten.
  • Zudem soll Google Richtlinien zur Datenspeicherung und der Speicherdauer entwickeln. Diese sollten den Datenschutzbehörden vorgelegt werden.

Die Vorgaben bzw. Empfehlungen der Art. 29 Gruppe sind durchaus eine interessante Zusammenstellung an Interpretationen des europäischen Datenschutzrechts und wie sich ein Diensteanbieter wie Google insoweit konform verhalten kann. Dennoch scheinen einige der Vorgaben praktisch kaum umsetzbar bzw. mit dem geltenden Datenschutzrecht nicht begründbar zu sein. Ein Beispiel: die umfassende Aufklärung der Datenverarbeitung allein auf einer Seite. Was ist überhaupt eine „Seite“? DinA4? Gerade Unternehmen wie Google verarbeiten eine große Menge an Daten. Die Verarbeitungsvorgänge sind teilweise nicht in einem Satz darzustellen. Möchte der Anbieter also zumindest ansatzweise umfassend und dazu noch verständlich aufklären, dann benötigt er eben auch einmal mehr als eine „Seite“ an Informationen. Dieses Dilemma ist aber nicht unbedingt neu. Unternehmen möchten umfassend aufklären: dann wird ihnen vorgeworfen, die Datenschutzerklärung sei zu lang und kompliziert. Diensteanbieter straffen die Informationen und reduzieren sie auf die Kernthemen: dann wird ihnen vorgeworfen, dass sie nicht ausreichend aufklären und Nutzer in die Irre führen. Es zeigt sich, dass der Anspruch des Rechts und die Umsetzung in der Praxis doch häufig kaum (oder nur mit massiven Verrenkungen) vereinbar sind.

Datenschutz und „Internet der Dinge“ – Position der Europäischen Datenschützer

Die Artikel 29 Datenschutzgruppe (Art. 29 Gruppe), das Gremium der Vertreter der europäischen Aufsichtsbehörden für den Datenschutz, hat in einer neuen Stellungnahme (WP 223, PDF) zum „Internet der Dinge“ (IoT) ihre Positionen zu verschiedenen datenschutzrechtlichen Fragen im Zusammenhang mit der Datenverarbeitung rund um Smartwatches, Fitnesstracker oder intelligente Thermostate dargelegt. Im Folgenden möchte ich einige der in der Stellungnahme angesprochenen Themenbereiche näher beleuchten.

Räumlicher Anwendungsbereich
Nach Ansicht der Art. 29 Gruppe ist das europäischen Datenschutzrecht (bzw. die jeweilige nationale Umsetzung der Vorgaben der geltenden Datenschutzrichtlinie (DS-RL) 95/46/EG) zum einen dann anwendbar, wenn Datenverarbeitungen „im Rahmen der Tätigkeiten“ einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche (hierzu sogleich) in der Europäischen Union besitzt (Art. 4 Abs. 1 lit. a DS-RL). Was genau unter der Umschreibung „im Rahmen der Tätigkeiten“ zu verstehen ist, wird in dieser Stellungnahme nicht näher erläutert. Jedoch verweisen die Datenschützer auf das Google-Urteil des Europäischen Gerichtshofs (C-131/12) und die dort vorgenommene sehr weite (meines Erachtens mit dem Wortlaut der Datenschutzrichtlinie kaum zu vereinbarende) Auslegung dieses Begriffs. Sollte der für die Datenverarbeitung Verantwortliche nicht in der EU niedergelassen sein, ist das europäische Datenschutzrecht dennoch anwendbar, wenn er nach Art. 4 Abs. 1 lit. c DS-RL auf Mittel zurückgreift, welche in einem Mitgliedstaat belegen sind. Nach Ansicht der Datenschützer stellen alle Geräte, die zur Erhebung oder weiteren Verarbeitung von personenbezogenen Daten im Rahmen eines IoT-Dienstes eingesetzt werden, solche „Mittel“ im Sinne der DS-RL dar. Hierzu gehören aber auch die Smartphones oder Tablets der Nutzer, auf denen entsprechende Software oder Apps zum Analysieren oder Übermitteln der erhobenen Daten installiert sind.

Personenbezogene Daten
Für die Datenschützer sind die Informationen, die von den IoT-Geräten erhoben werden, in den meisten Fällen als personenbezogen im Sinne des Art. 2 DS-RL anzusehen. Entweder kann eine bestimmte Person direkt hierüber identifiziert oder es können Lebensmuster und –gewohnheiten einer Person oder Familie erkannt werden. Jedoch gehen die Datenschützer in ihrer Stellungnahme noch weiter. Selbst wenn Daten pseudonymisiert oder gar anonymsiert werden, so bestünde doch aufgrund der Schieren Menge an Informationen stets ein latentes Risiko einer Re-Identifizierung. Dies reiche aus, um von personenbezogenen Daten auszugehen.

Für die Datenverarbeitung Verantwortlicher
Bei der Frage des für die Verarbeitung Verantwortlichen geht es um die Bestimmung derjenigen Stelle, welche die gesetzlichen Pflichten des Datenschutzrechts treffen. Die Art. 29 Gruppe verweist darauf, dass im Bereich des Internet der Dinge viele verschiedene Spieler beteiligt sind und daher eine genaue Analyse Ihrer Beteiligungen an den jeweiligen Datenverarbeitungsprozessen vorzunehmen ist. Der Gerätehersteller ist nach Ansicht der Datenschützer vor allem dann für die Datenverarbeitung verantwortlich, wenn er nicht nur das physische Gerät verkauft, sondern auch die Software programmiert und damit vorgibt, wie und welche Daten erhoben und zu welchen Zwecken verarbeitet werden. Auch Internetplattformen, auf denen Nutzer die über das Gerät erhoben Daten teilen und veröffentlichen können, besitzen unter gewissen Umständen datenschutzrechtliche Pflichten. So ist etwa der Anbieter eines sozialen Netzwerkes nach Ansicht der Datenschützer dann als Verantwortlicher anzusehen, wenn er Daten aus dem IoT-Gerät eines Nutzers für eigene Zwecke verwendet, z.B. um personalisierte Werbung für passionierte Jogger auszuspielen. Und auch Anbieter von Drittdiensten, etwa speziellen Apps, die auf IoT-Daten zugreifen, sind als für die Verarbeitung Verantwortlichen anzusehen, wenn sie über eine vorhandene API auf Informationen auf dem jeweiligen Gerät zugreifen. Nach Ansicht der Art. 29 Gruppe bedarf es hierfür zumeist der Einwilligung des Betroffenen, welche im Rahmen des Installationsprozesses der App einzuholen ist.

Einwilligung nach der ePrivacy-Richtlinie
Die Art. 29 Gruppe weist in ihrer Stellungnahme darauf hin, dass neben den Regelungen der DS-RL auch einzelne Bestimmungen anderer Gesetze zur Anwendung kommen können. Insbesondere im Blick haben die Datenschützer hierbei Art. 5 Abs. 3 der sog. ePrivacy-Richtlinie (2002/58/EG). Danach ist die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung gegeben hat. Dieses Einwilligungserfordernis betrifft nach Ansicht der Datenschützer vor allem den Gerätehersteller. Zu beachten ist, dass die Einwilligung sich nicht nur auf personenbezogene Daten bezieht, sondern ganz allgemein auf Informationen, die in einem IoT-Gerät gespeichert sind.

Erlaubnistatbestände der Datenverarbeitung
Die Verarbeitung personenbezogener Daten, die über ein IoT-Gerät erhoben werden, bedarf nach dem geltenden Prinzip des Verbots mit Erlaubnisvorbehalt eines Erlaubnistatbestandes. Art. 7 DS-RL listet die möglichen gesetzlichen Grundlagen einer Verarbeitung personenbezogener Daten auf. Die Voraussetzungen einer der Alternativen des Art. 7 DS-RL sind neben den Voraussetzungen des Art. 5 Abs. 3 ePrivacy-Richtlinie zu erfüllen (der ja bereits bei einem Zugriff auf Informationen einschlägig ist). Nach Ansicht der Art. 29 Gruppe kommen im Rahmen des Einsatzes von IoT-Geräten vor allem drei Varianten des Art. 7 DS-RL in Betracht. Zum einen Art. 7 lit. a DS-RL, wenn der Betroffene seine Einwilligung in die Datenverarbeitung erteilt hat. Zum anderen Art. 7 lit. b DS-RL, wenn die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist. Die Art. 29 Gruppe weist darauf hin, dass der Anwendungsbereich dieses Erlaubnistatbestandes durch das Merkmal der „Erforderlichkeit“ begrenzt ist. Zum Dritten stellt auch Art. 7 lit. f DS-RL einen tauglichen Erlaubnistatbestand dar, wenn die Verarbeitung zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird erforderlich ist. Dies jedoch nur, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. In diesem Zusammenhang verweisen die Datenschützer erneut auf das Google-Urteil des EuGH und nehmen die Aussagen des Gerichts zum Anlass darauf einzugehen, dass eine Datenverarbeitung über IoT-Geräte sehr wahrscheinlich die Grundrechte auf Privatleben und den Schutz personenbezogener Daten in besonderer Weise berührt. Die Daten beziehen sich etwa auf die Gesundheit der Betroffenen oder ihre private Umgebung. Nach Ansicht der Art. 29 Gruppe ist eine Datenverarbeitung unter diesen Gegebenheiten kaum allein durch die wirtschaftlichen Interessen des jeweils Verantwortlichen zu rechtfertigen.

Zusammenfassung
Die Stellungnahme der Art. 29 Gruppe geht noch auf weitere Aspekte ein, etwa Anforderungen an die Datenqualität, die Verarbeitung besonderer Arten von personenbezogenen Daten (z. B. Gesundheitsdaten) oder auch zu ergreifende technische und organisatorische Maßnahmen, um die Datensicherheit zu gewährleisten. Insgesamt dient die Stellungnahme der Datenschützer sicherlich als informative Lektüre, um eine grobe Einschätzung des immer bedeutender werdenden Bereichs des Internets der Dinge aus Sicht der Aufsichtsbehörden zu erhalten. Meines Erachtens sind die Positionen der Art. 29 Gruppe freilich nicht in jedem Punkt las eine Art „obiter dictum“ hinzunehmen. So stellt sich etwa für Geräte- oder Softwarehersteller die Frage des Sinns (bzw. Unsinns) von Anonymisierungsverfahren, wenn nach Ansicht der Datenschützer selbst dann die datenschutzrechtlichen Pflichten eingreifen. Als ob also eine Anonymisierung von Daten gar nicht stattgefunden hätte. Warum sollten Unternehmen dann noch eine Anonymisierung (die mit tatsächlichen und finanziellen Aufwandverbunden ist) vornehmen? Auch in Zukunft werden das vernetzte Haus, das smarte Auto oder die intelligenten Uhren den Datenschutz vor Herausforderungen stellen. Es sollte daher auch genau auf eine mögliche Berücksichtigung dieser Technologien in der geplanten Datenschutz-Grundverordnung geachtet werden und wie das künftige Datenschutzrecht mit technologischen Entwicklungen umgehen wird.
Vg Wort

Europäische Datenschützer: Big Data zwingt zum Umdenken – irgendwann

Die Artikel 29 Gruppe, das Gremium der Vertreter der Europäischen Datenschutzbehörden, hat auf ihrer Webseite eine Stellungnahme zu dem Phänomen „Big Data“ und dessen Auswirkungen auf das aktuelle Datenschutzrecht veröffentlicht (Stellungnahme WP 211, PDF). Der Grundtenor: Es gibt derzeit keinen Grund, von alt hergebrachten Prinzipien des Datenschutzrechts abzuweichen. Ich finde: wann dann?

Dass das derzeit geltende, aber auch im Entwurf befindliche, Datenschutzrecht und seine Grundprinzipien wie Datensparsamkeit und ein enger Zweckbindungsgrundsatz, nicht mit den unter dem Schlagwort „Big Data“ zusammengefassten Datenverarbeitungsprozessen (von großen Mengen an teilweise in keinem erkennbaren Zusammenhang stehenden Daten) kompatibel ist, habe ich bereits einmal in einem Blogbeitrag beschrieben.

Auch die Artikel 29 Gruppe erkennt an, dass über bestehende Grundprinzipien des Datenschutzrechts, vor dem Hintergrund der Entwicklungen auf dem Gebiet von Big Data-Anwendungen, neu nachgedacht werden könnte (!). Jedoch besteht nach ihrer Ansicht derzeit kein Grund daran zu zweifeln, dass die in der Datenschutzrichtlinie 1995/46/EG vorgegebenen Prinzipien weiterhin Gültigkeit besitzen und auch die angemessenen Mittel bereithalten, um die Entwicklung auf dem Gebiet von Big Data zu begleiten. Also: Innovation ja, aber nach alten Regeln.

Vor allem der Zweckbindungsgrundsatz spielt für die europäischen Datenschützer eine entscheidende Rolle. Personenbezogene Daten sollen von Anfang an nur für ganz konkret festgelegte Zwecke erhoben und danach verwendet werden dürfen. Abweichungen von diesen Zwecken bedürfen einer neuerlichen Erlaubnis (sei es eine Einwilligung oder ein anderer Erlaubnistatbestand). Die Einhaltung der derzeit geltenden gesetzlichen Vorgaben dient nach Ansicht der Artikel 29 Gruppe dazu, Vertrauen bei jedem Beteiligten zu schaffen, dessen Geschäftsmodell auf der Verarbeitung personenbezogener Daten beruht.

Es ist sicherlich zu begrüßen, dass nun auch die Europäischen Aufsichtsbehörden gemeinsam Positionen zu dem Umgang mit der Thematik Big Data suchen und finden. In Amerika ist man uns da jedoch ein paar lesenswerte Berichte weiter voraus (hierzu etwa der Bericht der Expertengruppe des Weißen Hauses, „BIG DATA: SEIZING OPPORTUNITIES, PRESERVING VALUES“, PDF; mein Beitrag). Wichtig wäre meiner Ansicht nach jedoch, dass man auch bereits jetzt offen für neue Ideen und rechtliche Innovationen im Bereich Datenschutz ist und dies nicht auf die lange Bank verschiebt, wenn etwa offensichtlich wird, dass geltende Datenschutzprinzipien faktisch nicht mehr gelten und beachtet werden (können) oder man sich an verdienten Prinzipien aus einer anderen Zeit der automatisierten Datenverarbeitung festklammert und dann jedoch den Anschluss an die technologische Entwicklung verpasst.

Derzeit haben wir auf europäischer Ebene mit der Datenschutz-Grundverordnung die Möglichkeit, gemeinsam neue Positionen und auch mögliche Antworten auf drängende Fragen der zukünftigen Regulierung von Datenverarbeitungsprozessen zu finden und festzuschreiben. Diese Chance sollten alle Interessierten und Beteiligten nutzen, um neue und warum nicht auch einmal abwegig anmutende Ideen in die Runde zu werfen. Auch die Artikel 29 Gruppe spielt hier aus meiner Sicht eine wichtige Rolle.

Datenschutz-Grundverordnung: Gefährlicher Einfluss des Google-Urteils

Nach dem Urteil des Europäischen Gerichtshofs (EuGH) im Mai 2014 in Sachen Google (C-131/12), haben sich selbstverständlich auf die Mitgliedstaaten im Rat der Europäischen Union mit den möglichen Konsequenzen der Entscheidung für die in Planung befindliche Datenschutz-Grundverordnung (DS-GVO) befasst.

In der letzten Woche wurden mehrere Dokumente aus der zuständigen Ratsarbeitsgruppe (Dapix) zu dem Thema veröffentlicht (diese und viele andere Dokumente finden sich auf einer Übersichtsseite hier im Blog). Aus den Papieren geht zum Teil hervor, wie die verschiedenen Mitgliedstaat den Einfluss der Entscheidung des EuGH auf die DS-GVO bewerten und welche Änderungen die derzeitige italienische Ratspräsidentschaft an dem Gesetzesentwurf vorschlägt.

Gesetzliche Festschreibung des Vorrangs des Datenschutzes
In einem Arbeitsdokument (11289/1/14 REV 1, PDF) vom 3. September 2014, welches sich direkt mit dem Urteil des EuGH befasst, geht es vor allem um mögliche Änderungen des geplanten Art. 17 DS-GVO (dem sog. Recht auf Vergessenwerden). Die Ratspräsidentschaft schlägt in diesem Dokument neue Änderungen am Gesetzestext vor. Aus meiner Sicht völlig unverständlich ist die Idee, einen neuen Erwägungsgrund 53a) in die DS-GVO einzufügen. Inhalt dieses Erwägungsgrundes (Seite 6 des PDF) soll die Klarstellung sein, dass es, im Fall der Ausübung des „Rechts auf Vergessenwerden“, eines angemessenen Ausgleichs bedarf, zwischen den Grundrechten aus Art. 7 und 8 der Grundrechtecharta der Betroffenen und den Interesse der Internetnutzer an einem freiem Informationszugang. Soweit so gut. Jedoch möchte die Ratspräsidentschaft, unter wörtlicher Übernahme der Ausführungen des EuGH in seinem Urteil, in Erwägungsgrund 53a) festschreiben, dass „im Allgemeinen“ die Grundrechte der Betroffenen den Interessen der Internetnutzer an einem freien Informationszugang vorgehen. Im Zweifel also pro Datenschutz. Im Zweifel müssen Suchmaschinenbetreiber also Löschen.

Dass ich diese Aussage des EuGH für falsch, ja mit den Vorgaben der Grundrechtecharta nicht für vereinbar, halte, habe ich bereits in meinem Beitrag zu dem Urteil dargelegt. Allein bin ich mit dieser Ansicht auch nicht (eine Übersicht von Beiträgen gibt es bei Thomas Stadler im Blog). Sollte dieser generelle Vorrang des Datenschutzes nun auch noch gesetzlich festgeschrieben werden und eine Abwägung der Rechte und Interessen nur in Ausnahmefällen zu Gunsten der Internet- und Suchmaschinennutzer ausfallen, so würde man meines Erachtens eine gefährliche Tendenz in der Rechtsprechung, nämlich dem Datenschutz als eine Art „Supergrundrecht“ den Vorrang einzuräumen, für die Zukunft zementieren. Hier besteht sicherlich die Gefahr, dass bei einer zukünftigen Gesetzesanwendung und –auslegung Gerichte nicht nur bei der Abwägung von Datenschutz und Informationsfreiheit, sondern auch bei der Kollision anderer Grundrechte mit dem Datenschutz auf den neuen Erwägungsgrund 53a) mit dem Argument referenzieren würden „Da steht es doch. Der Datenschutz überwiegt im Allgemeinen“.

Stellungnahmen der Mitgliedstaaten
In einem weiteren Dokument (12274/2/14 REV 2, PDF) vom 3. September 2014, sind die Stellungnahmen von verschiedenen Mitgliedstaaten in der Ratsarbeitsgruppe zu den möglichen Auswirkungen des Google-Urteils und zu konkreten Fragen der Ratspräsidentschaft zusammengefasst. Die Lektüre des Arbeitspapiers und der Kommentare der einzelnen Delegationen ist durchaus lesenswert, da man hier erkennt, dass die gezogenen Schlüsse teilweise doch stark voneinander abweichen. So stellt etwa die Delegation des Vereinigten Königreichs grundsätzlich klar, dass ihrer Ansicht nach die Entscheidung des EuGH nicht den Inhalt und die Arbeit an der DS-GVO bestimmen dürfe. Das Urteil biete hilfreiche Anhaltspunkte für die gemeinsame Arbeit. Jedoch befürchtet die Delegation, dass der Richterspruch (der zur derzeit geltenden Datenschutz-Richtlinie 95/46/EG ergangen ist), als eine Art Leitlinie für die Arbeit an der DS-GVO genutzt werden könnte. Dies sollte nicht der Fall sein.

Relativ einig sind sich die Mitgliedstaaten darin, dass es grundsätzlich den nationalen Gesetzgebern überlassen sein muss, die Leitlinien für erforderliche Abwägung des Rechts auf den Schutz personenbezogener Daten mit dem Recht auf Meinungs- und Pressefreiheit vorzugeben. Dies kann nicht in der DS-GVO erfolgen. Ebenfalls weitgehend einig ist man sich darin, dass es in Zukunft nicht eine Art „Zweit-Verantwortlichen“ geben soll, wenn öffentlich zugängliche Informationen weiterverbreitet werden, etwa durch einen Suchmaschinenbetreiber. Aus älteren Ratsdokumenten geht hervor, dass über eine Art abgestufte Verantwortlichkeit nachgedacht wurde und der Betroffene sich zunächst immer an den Erst-Verantwortlichen mit seinen Löschansprüchen wenden müsse. Dieser Gedanke scheint nach den Kommentaren der Delegationen nicht weiter verfolgt werden zu sollen.

Man wird abwarten müssen, welche Folgen das Google-Urteil tatsächlich für den Entwurf der DS-GVO des Rates haben wird. Es zeigt sich, dass die Diskussionen hier im vollen Gange sind und wenig überraschend nicht immer einheitlich sind. Die Stellungnahme der deutschen Delegation ist in dem zuletzt erwähnten Dokument leider nicht enthalten.

Bundesregierung zu Google’s Marktmacht: Geschäftspraxis grundsätzlich nicht verboten

Die Diskussion um eine marktbeherrschende Stellung von Google in Europa bzw. Deutschland und mögliche kartellrechtliche Konsequenzen, diente der Fraktion Bündnis 90/Die Grünen im deutschen Bundestag für eine kleine Anfrage an die Bundesregierung. Die Antwort vom 11. September 2014 ist nun online abrufbar (BT-Drs. 18/2520, PDF).

Wirklich neue oder überraschende Aussagen trifft die Bundesregierung in ihrer Antwort nicht. Dennoch lohnt sich für jeden interessierten Leser, der sich mit dem Themenkomplex rund um Google, seiner wirtschaftliche Position in Europa und den kartellrechtlichen Implikationen befasst, eine Lektüre.

Die Bundesregierung stellt in ihrer Antwort zunächst klar: „Auch marktbeherrschenden Unternehmen ist es erlaubt, in verschiedenen Geschäftsfeldern tätig zu sein.“

Danach wird in aller Kürze dargelegt, wann eine marktbeherrschende Stellung unter dem Kartellrecht angegriffen werden könnte. Daneben verweist die Bundesregierung auch auf das Gesetz gegen den unlauteren Wettbewerb (UWG), welches eine Tätigkeit in mehreren Geschäftsfeldern ebenfalls nicht grundsätzlich verbietet, solange die Vorgaben des Gesetzes beachtet werden. Ein Verstoß gegen das Wettbewerbsrecht könnte z. B. dann vorliegen, wenn Mitbewerber gezielt behindert oder irreführende (Werbe-)Aussagen getroffen werden.

Zu einer möglichen Reform des nationalen und europäischen Kartellrechts, besonders mit Blick auf das Internet, äußert sich die Bundesregierung zurückhaltend. Derzeit biete dies

grundsätzlich ein ausreichendes Instrumentarium, um einem
missbräuchlichen Verhalten marktbeherrschender Internetplattformen zu begegnen.

Von Interesse könnte dann noch die Antwort der Bundesregierung auf die Frage sein, was Bundeswirtschaftsminister Gabriel in seinem Beitrag in der FAZ mit einer „kartellrechtsähnlichen Regulierung von Internetplattformen“ meinte. Hierzu gibt die Bundesregierung in ihrer Antwort an, dass für den Fall,

dass auch in Anbetracht des laufenden Kartellverfahrens der Europäischen Kommission gegen Google Probleme fortbestehen, die als nicht hinnehmbar zu bewerten sind,

die Bundesregierung die Notwendigkeit einer Anpassung oder Modifizierung der verfügbaren kartellrechtlichen Instrumente prüfen wird.

Dies schließt die Frage ein, wie die Diskriminierung von Wettbewerbern durch marktbeherrschende Internet-Plattformbetreiber verhindert und ein diskriminierungsfreier Zugang zu Distributionswegen und Inhalten sichergestellt werden können.

Häufiger wurde durch Politiker in der Öffentlichkeit auch laut über eine „Zerschlagung“ des amerikanischen Unternehmens nachgedacht. Die Bundesregierung weist darauf hin, dass eine Entflechtung von Unternehmen bereits nach dem geltenden deutschen und europäischen Kartellrecht als Sanktion für ein verbotenes Verhalten in Betracht kommt,

wenn keine wirksameren Maßnahmen für die Abstellung des Verhaltens zur Verfügung stehen (ultima ratio). Für die Anordnung sind die Kartellbehörden zuständig.

Nach einem tatsächlich bestehenden Aktionsplan klingt diese Aussage zumindest nicht. Vor diesem Hintergrund sei auch noch einmal auf das im Juli 2014 erschienene Hauptgutachten der Monopolkommission hingewiesen (mein Beitrag hierzu). Die Monopolkommission sprach sich dort für eine Versachlichung der Debatte aus und äußerte auch Zweifel an öffentlichen Behauptungen, wie etwa dass es sich bei den derzeit bestehenden Internetsuchmaschinen oder sozialen Netzwerken um „wesentliche Einrichtungen“ im Sinne des Kartellrechts handele.

Die Bundesregierung verweist in ihrer Antwort zumeist auf das laufende Kartellverfahren bei der Europäischen Kommission gegen Google. Von dessen Ausgang scheint sie maßgeblich weitere eigene Schritte abhängig zu machen wollen. Zumindest scheint die deutsche Regierung, ganz im Sinne der Monopolkommission, eine Versachlichung der Debatte anzustreben und vorerst keine nationalen Alleingänge betreiben zu wollen.

Apple will Fitness-Daten der User schützen

Mit der ab morgen verfügbaren neuen Version des Betriebssystems iOS 8 führt Apple auch das sog. HealthKit ein. Dabei handelt es sich um eine für App-Entwickler zugängliche Plattform, auf der Gesundheitsdaten von Nutzern gespeichert werden, die zuvor durch eine App (etwa „Health“ von Apple selbst oder auch Apps von Drittanbietern) auf dem Smartphone erhoben wurden.

Nach einem Bericht der Washington Post wird Apple in Bezug auf die so erhobenen und gespeicherten Gesundheitsdaten besondere Schutzvorkehrungen treffen. Grundsätzlich sollen Gesundheitsdaten nur dann im HealthKit für Dritte abrufbar sein, wenn der Nutzer seine Einwilligung erteilt hat. Zudem sollen jegliche Informationen, die von Gesundheits-Apps erhoben werden, verschlüsselt auf dem iPhone abgespeichert werden. Sollte eine Übermittlung der Daten auf einen Server von Apple erforderlich sein, man denke etwa an ein Backup, das der Nutzer durchführen möchte, so soll auch diese Übertragung verschlüsselt erfolgen.

Zudem hat Apple App-Entwickler bereits darauf hingewiesen, dass eine Speicherung von Gesundheitsdaten nicht in der iCloud erfolgen solle. Möchten Entwickler auf die Daten in dem HealthKit zugreifen, so geben die Richtlinien für Entwickler vor, dass die jeweilige App eine Datenschutzerklärung besitzen muss. Eine Nutzung der Gesundheitsdaten für Zwecke der Werbung soll ebenfalls ausgeschlossen sein.

Nach dem deutschen Datenschutzrecht handelt es sich bei den hier in Rede stehenden Gesundheitsdaten um „besondere Arten personenbezogener Daten“ nach § 3 Abs. 9 BDSG. Diese Arten von Daten werden unter dem geltenden Datenschutzrecht als besonders schutzwürdig angesehen. Eine Einwilligung in die Verwendung solcher Daten (als ein möglicher Erlaubnistatbestand) muss sich nach § 4a Abs. 3 BDSG etwa ausdrücklich auf diese Daten beziehen. Der besondere Schutz dieser Datenkategorien rührt aus der europäischen Richtlinie 95/46/EG, nach deren Art. 8 Abs. 1 die Verarbeitung solch sensibler Daten grundsätzlich untersagt ist. Ausnahmen von diesem Verbot bestehen nach Art. 8 Abs. 2 der Richtlinie etwa für den Fall der ausdrücklichen Einwilligung oder wenn die betroffene Person die Daten offenkundig öffentlich zugänglich gemacht hat.

Weitere Informationen zur App „Helath“: https://www.apple.com/de/ios/whats-new/health/ und zum HealthKit: https://developer.apple.com/healthkit/

Hausaufgaben für den neuen Digitalkommisar – Datenschutz und Cookies

Der designierte Kommissionspräsident Jean Claude Juncker hat am 10. September die Verteilung der Zuständigkeiten in seinem Team und die Arbeitsorganisation der neuen Kommission bekanntgegeben. Eine Überraschung wär die Auswahl von Günther Oettinger als neuen Kommissar für digitale Wirtschaft und Gesellschaft. Über die Personalie an sich möchte ich hier nicht diskutieren, sondern auf eine Art Hausaufgabenheft hinweisen, welches Herrn Oettinger aufgegeben wurde (hier als PDF).

Dort legt Herr Juncker dar, was er von seinem Kommissar in den nächsten Jahren im Bereich digitalen Wirtschaft erwartet. Mit Blick auf das Datenschutzrecht von Interesse dürften folgende beide Anforderungen sein:

Die zuständigen Vize-presidentem der Kommission bei einer raschen Umsetzung der geplanten Datenschutz-Grundverordnung zu unterstützen. Die Verhandlungen sollen im Jahr 2015 abgeschlossen werden.

Nach dem Abschluss dieser Reform des Datenschutzrechts soll Herr Oettinger eine Reform der sog. e-Privacy Richtlinie (RL 2002/58/EG, in Deutschland auch bekannt als Cookie-Richtlinie) anstoßen und vorbereiten.

Die Regelungen der Cookie-Richtlinie (insbesondere zur Einwilligung) stellen seit Jahren den Gegenstand juristischer Diskussionen dar. Zuletzt überraschte die Meldung, dass Deutschland die Änderungen der e-Privacy Richtlinie (hin zu einem Opt-in bei der Datenverarbeitung über Cookies) bereits im TMG umgesetzt habe (hierzu der Beitrag von Adrian Schneider bei Telemedicus).

Man darf gespannt sein, welche Neuerungen Herr Oettinger vorschlagen wird, nicht nur bezogen auf die Thematik „Einwilligung und Cookies“.

Hausaufgaben für den neuen Digitalkommisar – Datenschutz und Cookies

Der designierte Kommissionspräsident Jean Claude Juncker hat am 10. September die Verteilung der Zuständigkeiten in seinem Team und die Arbeitsorganisation der neuen Kommission bekanntgegeben. Eine Überraschung wär die Auswahl von Günther Oettinger als neuen Kommissar für digitale Wirtschaft und Gesellschaft. Über die Personalie an sich möchte ich hier nicht diskutieren, sondern auf eine Art Hausaufgabenheft hinweisen, welches Herrn Oettinger aufgegeben wurde (hier als PDF).

Dort legt Herr Juncker dar, was er von seinem Kommissar in den nächsten Jahren im Bereich digitalen Wirtschaft erwartet. Mit Blick auf das Datenschutzrecht von Interesse dürften folgende beide Anforderungen sein:

Die zuständigen Vize-presidentem der Kommission bei einer raschen Umsetzung der geplanten Datenschutz-Grundverordnung zu unterstützen. Die Verhandlungen sollen im Jahr 2015 abgeschlossen werden.

Nach dem Abschluss dieser Reform des Datenschutzrechts soll Herr Oettinger eine Reform der sog. e-Privacy Richtlinie (RL 2002/58/EG, in Deutschland auch bekannt als Cookie-Richtlinie) anstoßen und vorbereiten.

Die Regelungen der Cookie-Richtlinie (insbesondere zur Einwilligung) stellen seit Jahren den Gegenstand juristischer Diskussionen dar. Zuletzt überraschte die Meldung, dass Deutschland die Änderungen der e-Privacy Richtlinie (hin zu einem Opt-in bei der Datenverarbeitung über Cookies) bereits im TMG umgesetzt habe (hierzu der Beitrag von Adrian Schneider bei Telemedicus).

Man darf gespannt sein, welche Neuerungen Herr Oettinger vorschlagen wird, nicht nur bezogen auf die Thematik „Einwilligung und Cookies“.

Digitale Agenda: IT-Sicherheit und das liebevoll gestrickte Datenschutzrecht

In der gestrigen Ausgabe der FAZ hat der deutsche Bundesinnenminister, Dr. de Maizière, in einem umfangreichen Beitrag (hier eine kurze Zusammenfassung) zu seiner persönlichen Vorstellung und auch der Aufgabe seines Ministeriums im Politikfeld „Digitale Agenda“ Stellung genommen. Egal wie man zu dem Beitrag und seinen Aussagen inhaltlich steht, lesen sollten ihn jeder, der sich privat oder beruflich mit der Digitalisierung auseinandersetzt.
Der Innenminister erkennt mit Blick auf das Internet und die Digitalisierung derzeit drei wichtige ordnungspolitische Vorhaben für sein Ministerium: Die Verabschiedung eines IT-Sicherheitsgesetzes, die Verabschiedung der Datenschutz-Grundverordnung und intensive Verhandlungen auf internationaler Ebene zur globalen Dimension der Digitalisierung. Die beiden ersten möchte hier etwas näher beleuchten.

Verabschiedung des ersten IT-Sicherheitsgesetzes
Die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen, so der Minister, zu den sichersten der Welt werden. Das geplante IT-Sicherheitsgesetz geht diese Woche in die Ressortabstimmung. Inhaltlich sei das Gesetz von folgendem Grundprinzip beseelt: wer durch den Einsatz von IT Risiken für andere schafft, hat auch die Verantwortung für den Schutz vor diesen Risiken. Diese Idee ist dem Recht nicht fremd. Sie liegt etwa den Verkehrssicherungspflichten zugrunde (wer auf öffentlicher Straße eine Grube gräbt, muss für effiziente Absperrung sorgen). Die Fragen, die sich im Zuge der Diskussionen um das Gesetz stellen könnten, sind diejenigen nach dem erforderlichen Grad des Risikos und wann man ein solches „schafft“? Ist es etwa ausreichend, dass ein Unternehmen einen unverschlüsselten E-Mail Dienst anbietet? Oder einen Internetdienst für hunderttausende Kunden unverschlüsselt betreibt? Reicht dies, um ein Risiko zu schaffen? Muss es sich bei dem Risiko bereits um eine konkrete Gefahr handeln oder ist doch die abstrakte Wahrscheinlichkeit ausreichend? Bestehen also quasi anlasslose Pflichten für Schutzvorkehrungen, weil ein gewisses Grundrisiko nie ganz auszuschließen ist? Zudem wird es wichtig sein zu klären, worauf sich die Risiken beziehen müssen. Allgemein auf die Interessen von Betroffenen oder zumindest doch auf (konkret festgelegte) geschützte Rechtspositionen? Der Innenminister nennt zudem eine Form der Eskalation der Schutzvorkehrungen: je höher das Risiko für die Gesellschaft, desto höhere Anforderungen an die Schutzmaßnahmen.

Gegliedert sind die Pflichten dem Beitrag zufolge nach verschiedenen Branchen der Wirtschaft. Adressaten der Pflichten sind die in diesen Branchen tätigen Unternehmen. Dazu gehören etwa der Bereich Energie, Informationstechnik, Verkehr, Gesundheit und auch das Finanzwesen. Es geht darum, einheitlich Standards innerhalb der Branchen entstehen zu lassen. Der Inhalt der jeweiligen Branchenstandards soll durch die Unternehmen zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgearbeitet und branchenspezifisch angepasst werden.

Zwar soll für Unternehmen auch grundsätzlich eine Meldepflicht bei Cyber-Angriffen eingeführt werden. Diese kann jedoch, solange es noch nicht zu einem gefährlichen Ausfall oder einer Beeinträchtigung der kritischen Infrastruktur gekommen ist, auch anonym an das BSI erfolgen. Diese Initiative scheint aus meiner Sicht durchaus einen positiven Anreiz bereit zu halten. Unternehmen könnten so dazu animiert werden, frühzeitig zu melden und das BSI mit Informationen zu versorgen. Die Frage wird freilich sein, welche Kriterien für die Bestimmung eines „gefährlichen Ausfalls“ oder „einer Beeinträchtigung der kritischen Infrastruktur“ aufgestellt werden und wie einfach diese praxisgerecht von Unternehmen im konkreten Fall als Maßstab anzuwenden sind. Der Anreiz würde wohl verpuffen, wenn es heißt: im Zweifel identifizierende Meldung.

Verabschiedung der Datenschutz-Grundverordnung
Auch befasst sich der Beitrag mit der geplanten Datenschutz-Grundverordnung. Diese besitze „überragende Bedeutung“. Und Herr de Maizière stellt zutreffend fest: „Sie wird unser liebevoll gestricktes deutsches Datenschutzrecht komplett“ ersetzen. Die Verhandlungen hierzu sollten nach dem Innenminister als Chance genutzt werden, um in dem geplanten Gesetz auch Antworten auf Fragen zu geben, die sich mit Blick auf neue Technologien und Phänomene wie Big Data, Cloud-Computing und das Internet der Dinge stellen. Dieser Ansatz ist meines Erachtens zu begrüßen, denn wie der Minister richtig erkennt, sind die derzeit geltenden Regelungen natürlich nicht mehr zeitgemäß. Sie müssen angepasst werden. Dies sollte daher im Rahmen der derzeitigen Verhandlungen erfolgen. Wenn sich die Beratungen aufgrund der Berücksichtigung des technologischen Fortschritts und dem Umgang hiermit im Datenschutzrecht dann „verzögern“ (dieser Vorwurf wird sicherlich erhoben werden), so ist dies nicht negativ zu bewerten und sollte nicht zu gesetzgeberischen Kurzschlussreaktionen führen.

Inhaltlich möchte der Minister neben den bekannten Schutzmechanismen für die Betroffenen (wie Einwilligung und Informationspflichten) weitere Maßnahmen vorsehen, die dann greifen sollen, wenn die bisherigen Konzepte an ihre Grenze stoßen. Er nennt etwa das Beispiel, dass eine Information des Betroffenen verlangt wird, diese jedoch erst erfolgen kann, wenn der Betroffene vorher identifiziert wird. Also eine Datenerhebung um Daten zu schützen. Man wird abwarten müssen, wie die Vorschläge zur Ausgestaltung der Datenschutz-Grundverordnung hier konkret aussehen werden. Der Minister spricht von zusätzlichen Schutzmechanismen, die dann greifen sollen, wenn etwa das Instrument der Einwilligung praktisch nicht mehr umsetzbar ist.