Europäische Datenschützer: WhatsApp und Co. sollen wie TK-Anbieter reguliert werden

Die Europäische Kommission überarbeitet derzeit die geltenden Regeln zum Schutz der Privatsphäre und der Vertraulichkeit im Bereich der elektronischen Kommunikation. Die für diese Thematik einschlägige Richtlinie 2002/58/EG (konsolidiert durch Richtlinie 2009/136/EG, pdf; sog. ePrivacy Richtlinie) soll reformiert werden.

In einer neuen Stellungnahme (Stellungnahme 3/2016, pdf) haben sich nun auch die Vertreter der Datenschutzbehörden der verschiedenen Mitgliedstaaten (die Art. 29 Datenschutzgruppe) zu diesen Reformplänen geäußert und ihre Wünsche und Vorschläge für ein zukünftiges Regelwerk eingebracht.

Grundsätzlich unterstützen die Datenschützer das Ansinnen der europäischen Kommission, spezifische rechtliche Vorgaben für den Schutz der Privatsphäre und der Vertraulichkeit im Rahmen der elektronischen Kommunikation zu kreieren. Für den Schutz personenbezogener Daten gilt ab dem vom 20. Mai 2018 die Datenschutz-Grundverordnung (DSGVO). Die Vertraulichkeit der Kommunikation sollte jedoch durch ein spezielles rechtliches Instrument geschützt sein.

Nach Auffassung der Art. 29 Datenschutzgruppe werden die Regelungen der DSGVO nicht gelten, soweit die ePrivacy Richtlinie spezifische Pflichten mit demselben Ziel (wie jene in der DSGVO) vorsieht (Art. 95 DSGVO). In allen anderen Fällen soll die DSGVO anwendbar sein. Da jedoch, so die Datenschützer, Verkehrs-, Kommunikations- und Standortdaten in den meisten Fällen personenbezogene Daten darstellen, wird es in der Zukunft in einigen Fällen zu Überschneidungen der beiden gesetzlichen Instrumente kommen.

Der Wunsch der Datenschützer ist es, dass die Nachfolgeregelungen zur ePrivacy Richtlinie zusätzliche Vorgaben zum Schutz der Sicherheit der elektronischen Kommunikation vorsehen. Diese Schutzpflichten sollen insbesondere auch nicht davon abhängig sein, ob personenbezogene Daten verarbeitet werden.

Die Art. 29 Datenschutzgruppe fordert, dass die Nachfolgeregelungen zur ePrivacy Richtlinie den Wesensgehalt der aktuellen Regelungen beibehalten, diese jedoch effektiver und für die Praxis leichter anwendbar ausgestaltet werden sollen, insbesondere durch die Ausweitung des Anwendungsbereichs der Regelungen zur Geolokalisierung und den Verkehrsdaten.

Viele der aktuell geltenden Vorgaben der ePrivacy Richtlinie sind nicht auf Anbieter von Internettelefonie- , E-Mail- oder Kurznachrichtendiensten anwendbar. Nach Auffassung der Datenschützer muss die Nachfolgeregelung zur ePrivacy Richtlinie die Privatsphäre und Vertraulichkeit bei der Nutzung solcher Dienste, die sich für europäische Anwender als funktional gleichwertig zu den klassischen elektronischen Kommunikationsdiensten darstellen, schützen. Die Art. 29 Datenschutzgruppe Events in ihrer Stellungnahme beispielhaft Dienste wie WhatsApp, Google GMail, Skype and Facebook Messenger (sog. OTT-Dienste). Insbesondere müsse ein solcher Schutz für private Nachrichten zwischen einzelnen Nutzern oder auch Gruppen geschaffen werden. Die gesetzliche Verpflichtung zur Sicherstellung der Vertraulichkeit der Kommunikation muss nach Auffassung der Datenschützer ebenso für diese Diensteanbieter gelten.

Als problematisch sehen die europäischen Datenschützer die derzeit teils erheblich divergierende Auslegung und Anwendung der Regelungen der ePrivacy Richtlinie in den europäischen Mitgliedstaaten an. Welches gesetzgeberische Instrument die europäische Kommission für die Nachfolgeregelungen wählen soll, lassen die Datenschützer im Ergebnis zwar offen. Sie fordern jedoch, dass die neuen Regelungen eindeutig und klar sein müssen. Sollte eine Richtlinie gewählt werden, so dürften deren Regelungen nach Ansicht der Datenschützer jedoch nur wenig Interpretationsspielraum für die Mitgliedstaaten ermöglichen. Der europäische Datenschutzbeauftragte hat sich kürzlich in einer eigenen Stellungnahme (pdf) für das Instrument der Verordnung stark gemacht.

Auch fordert die Art. 29 Datenschutzgruppe, dass die Verarbeitung personenbezogener Daten im Rahmen des Angebots von öffentlich zugänglichen elektronischen Kommunikationsdiensten oder auch öffentlich zugänglichen privaten elektronischen Kommunikationsnetzen den Nachfolgeregelungen der ePrivacy Richtlinie unterfallen soll. Die Datenschützer beziehen sich hier auf das Angebot von WLANs in der Öffentlichkeit, etwa in Hotels, Bars oder Geschäften. Interessanterweise wird auch die Schaffung eines Hotspots durch eine Privatperson in die Überlegungen mit einbezogen.

Hinsichtlich des bekannten Art. 5 Abs. 3 (sog. Cookie-Regelung) fordern die Datenschützer, dass die geltenden Regelungen mit dem Ziel überarbeitet werden, die Vertraulichkeit der von Nutzern eingesetzten Geräte besser zu schützen. Die zukünftigen Vorgaben zur Erhebung bzw. zum Zugriff auf Informationen in dem Gerät eines Nutzers sollten weder von der Art des eingesetzten Gerätes noch von der Technologie des Unternehmens zum Zugriff auf die Informationen abhängen. Zusätzlich fordern die Datenschützer jedoch auch, dass die Europäische Kommission über weitere Ausnahmeregelungen für das grundsätzliche Erfordernis einer Einwilligung des Nutzers nachdenkt. Insbesondere soll es dann keine Einwilligung des Nutzers bedürfen, wenn die Verarbeitung von Informationen keine oder nur wenig Einfluss auf die Rechte der Nutzer und insbesondere auf die Vertraulichkeit der Kommunikation und ihre Privatsphäre hat. Beispielhaft nennen die Datenschützer hier das Thema „Sicherheit“. Wenn eine Verarbeitung von Informationen allein dafür erforderlich ist, um proaktiv oder auch defensiv ausgerichtet die technische Sicherheit eines Netzwerkes oder eines Dienstes zu gewährleisten, soll eine Einwilligung nicht erforderlich sein. Ein anders Beispiel sehen die Datenschützer im Bereich „Anonymisierung“. Wenn Informationen direkt nach der Erhebung unwiederbringlich anonymisiert werden, sei es auf dem Gerät oder an den Endpunkten des Netzwerkes, sollte eine Einwilligung nicht erforderlich sein. Diese Ausnahme dürfte jedoch zum Beispiel dann nicht gelten, wenn der Anbieter weiterhin Zugang zur den Quelldaten hat und damit die Möglichkeit einer De-Anonymisierung besteht.

USA: Automobilhersteller einigen sich auf Datenschutzprinzipien

Das intelligente Auto als Teil des „Internets der Dinge“ wird in der Öffentlichkeit mit gemischten Gefühlen betrachtet. Einige sehen die Entwicklungsmöglichkeiten und Chancen, die Datenverarbeitungen im Zusammenhang mit Autos bieten, andere wiederum warnen vor dem „gläsernen Autofahrer“.

Viele der neu entwickelten Technologien und Dienstleistungen rund um das „Smart Car“ beruhen auf bzw. sind auf Informationen aus einer Vielzahl von Fahrzeugsystemen angewiesen und ihnen ist das Sammeln von Informationen, etwa über den Standort eines Fahrzeugs oder das Fahrverhalten, immanent.

In Amerika hat die “Alliance of Automobile Manufacturers (Auto Alliance)”, die viele wichtige Automobilhersteller (u.a. auch BMW of North America, Mercedes-Benz USA, Volkswagen Group of America und Ford Motor Company) zu ihren Mitgliedern zählt, nun Datenschutzprinzipien entwickelt und verabschiedet, die für den Umgang mit personenbezogenen Daten gelten.

Das Vertrauen der Verbraucher ist nach Ansicht der Auto Alliance entscheidend für den Erfolg von Fahrzeugtechnologien und Dienstleistungen. Den Mitgliedern ist zudem bewusst, dass Verbraucher wissen möchten, wie diese Fahrzeugtechnologien und Dienstleistungen funktionieren und ihnen selbst Vorteile bringen können, während sie gleichzeitig ihre Privatsphäre respektieren.

Die Datenschutzprinzipien

Die Datenschutzprinzipien (PDF) stellen nach Aussage der Auto Alliance einen Ansatz dar, um die Privatsphäre der Kunden zu schützen. Diese Prinzipien gelten für die Erfassung, Verwendung und Weitergabe von Informationen in Verbindung mit Fahrzeugtechnologien und -dienstleistungen für Pkw und leichte Nutzfahrzeuge, die an Verbraucher in den Vereinigten Staaten von Amerika verkauft oder von diesen geleased werden.

Die Datenschutzprinzipien enthalten unter anderem Regelungen zur Transparenz, der Datensparsamkeit oder auch der Datensicherheit. Interessant ist die allgemeine Definition des Anwendungsbereichs der Prinzipien. Diese gelten für sog. abgedeckte Informationen („covered information“), also solche Daten, die von den Prinzipien selbst definiert werden. Dabei handelt es sich um identifizierbare Informationen, die Fahrzeuge in elektronischer Form sammeln, erzeugen oder aufnehmen und die aus den Fahrzeugen durch einen teilnehmenden Automobilhersteller ausgelesen werden.

Was sind nun die „identifizierbaren Informationen“ (man denkt hierbei direkt an den Streit um den Personenbezug von IP-Adressen)? Auch dieser Begriff wird in den Prinzipien definiert. Es handelt sich um Informationen, die verknüpft sind oder vernünftigerweise verknüpfbar sind i) mit dem Fahrzeug aus dem die Daten abgerufen werden, ii) mit dem Eigentümer oder Leasingnehmer des Fahrzeugs oder iii) mit dem registrierten Benutzer einer Dienstleistung, die mit dem Fahrzeug verbunden ist. Der Anwendungsbereich scheint also durchaus weit gefasst zu sein, da eine Verknüpfung mit dem Fahrzeug selbst genügt.

Definiert werden im Übrigen etwa auch was „biometrische Daten“ und „Ortungsdaten“ sind.

Praktisch stellt sich für Automobilhersteller häufig die Frage, wie man den gesetzlich vorgegeben Informationspflichten im Datenschutzrecht nachkommen kann, ohne den Kunden jedes Mal mehrere ausgedruckte Papiere in die Hand drücken zu müssen. Dies mag im zu unterschreibenden Kauf- oder Leasingvertrag noch möglich sein. Doch was geschieht, wenn neue Dienste in Anspruch genommen und neue Datenverarbeitungsprozesse initiiert werden? Diesbezüglich geben die Datenschutzprinzipien einen pragmatischen und praktikablen Weg vor. Nach Ansicht der Automobilhersteller gibt es keinen one-size-fits-all-Ansatz. Die Unterzeichner der Prinzipien sollen vielmehr situationsbedingt und –angemessen entscheiden, wie sie ihre Kunden im konkreten Kontext am besten informieren können. Möglichkeiten sind Hinweise in der Betriebsanleitung, auf Papier oder auch in elektronischen Anmeldeformularen und/oder Nutzungsvereinbarungen. Möglich ist es jedoch auch, die Informationen über das bordeigene Display darzustellen. Die unterzeichnenden Autohersteller verpflichten sich zudem mindestens dazu, Informationen zur Erhebung, Verarbeitung und Nutzung der Daten öffentlich zugänglich im Internet bereit zu halten.

Fazit
Die Initiative der Auto Alliance ist definitiv zu begrüßen. Zwar stellen die Datenschutzprinzipien kein bindendes Recht dar. Jedoch bieten Sie für die beteiligten Mitglieder die Chance, den Kunden zu zeigen, wie wichtig ihnen der Datenschutz und die Privatsphäre sind. Zudem lässt sich dieser Initiative ebenfalls entnehmen, dass es in der Zukunft durchaus möglich sein wird (und meines Erachtens auch möglich sein muss), Innovation und technologischen Fortschritt zu gewährleisten und zu fördern, ohne den Schutz personenbezogener Daten zu vernachlässigen. Derartige selbstverpflichtende Initiativen der Wirtschaft sind insoweit ein wirksames Mittel, um gerade in dem sich stets und ständig entwickelnden Bereich der datenverarbeitenden Technologien für Vertrauen und Sicherheit zu sorgen, wenn gesetzliche Vorgaben nur noch überholte oder unzureichende Vorgaben machen können.

Intelligente Netze und Messsysteme: Kommission veröffentlicht Empfehlungen zum Datenschutz

Intelligente Netze (sog. smart grids) und daran angeschlossene Messsysteme (sog. smart meter) erfahren einen immer größeren Verbreitungsgrad. Über diese intelligenten, da digital ansteuer- und auslesbaren, Systeme können Energieunternehmen etwa Daten über das Heizverhalten oder den Stromverbrauch von Haushalten erheben und analysieren. Der Vorteil liegt auf der Hand: Strom kann aufgrund vorgenommener Analysen zum Beispiel besser verteilt werden. Welches Gebiet benötigt wann wieviel Strom? Wo und wann besteht grundsätzlich der geringste Heizbedarf? Auch eine bedarfsgerechtere Abrechnung des Energieverbrauchs ist möglich.

Da jedoch für diese Zwecke nicht nur die jeweiligen „nackten“ Messwerte abgelesen werden, spielt das Thema Datenschutz auch in diesem Bereich des ‚Internets der Dinge‘ eine wichtige Rolle. Die europäischen Datenschützer, versammelt in der sog. Artikel 29 Datenschutzgruppe, haben daher auch bereits im Jahr 2011 eine Stellungnahme zu Fragen des Datenschutzes und dem Smart Meetering verfasst (WP 183, PDF). Die europäischen Datenschützer empfehlen unter anderem vor dem Einsatz von intelligenten Messsystemen eine Datenschutz-Folgenabschätzung vorzunehmen (WP 183, S. 12).

Um eine solche Datenschutz-Folgenabschätzung, welche die potentiellen Risiken für personenbezogene Daten beim Einsatz intelligenter Zähler bereits in der Planungsphase aufzeigen und entsprechend minimieren soll, europaweit möglichst in einer einheitlichen Form durchzuführen, hat eine Arbeitsgruppe auf europäischer Ebene (Expert Group 2 (EG2)) ein Muster (Data Protection Impact Assessment Template for Smart Grid and Smart Metering systems, PDF) entworfen, welches von Unternehmen genutzt werden soll, die den Aufbau oder Investitionen in intelligente Netze oder Messgeräte planen.

Anfang Oktober 2014 hat nun die Europäische Kommission ihre Empfehlungen zum Einsatz des Musters für die Datenschutz-Folgenabschätzung veröffentlicht (2014/724/EU, PDF). Diese Empfehlungen richten sich an die Mitgliedstaaten und wie diese bei der Verbreitung des Musters mitwirken und Unternehmen unterstützen sollten. Interessant sind zudem die in dem Dokument von der Kommission aufgestellten Definitionen zu verschiedensten Begriffen, die derzeit im Datenschutzrecht diskutiert werden (z. B. der „konzeptionsbedingte Datenschutz“ (data protection by design) oder auch der „standardmäßige Datenschutz“ (data protection by default)).

Die Kommission empfiehlt, dass die Mitgliedstaaten mit der Wirtschaft, Interessenträgern der Zivilgesellschaft und auch den nationalen Datenschutzbehörden zusammenarbeiten sollten, um in einem frühen Stadium der Einführung intelligenter Netze und intelligenter Messsysteme die Verbreitung und Anwendung des Musters für die Datenschutz-Folgenabschätzung zu fördern und zu unterstützen. Etwas konkreter sind zudem Empfehlungen, wonach die Mitgliedstaaten sicherstellen sollten, dass die für die Datenverarbeitung Verantwortlichen nach der Durchführung einer Datenschutz-Folgenabschätzung die geeigneten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten treffen und die Folgenabschätzung sowie die anhaltende Eignung der festgelegten Maßnahmen während des gesamten Lebenszyklus der Anwendung bzw. des Systems überprüfen.

Der Einsatz des Musters zur Folgenabschätzung sowie die Umsetzungsmaßnahmen der Mitgliedstaaten sollen in einer zwei-jährigen Testphase erprobt und danach von der Kommission bewertet werden. Anhand eines nachfolgenden Prüfberichts will die Kommission dann entscheiden, ob das Muster eventuell angepasst werden muss.

Internet der Dinge und Datenschutz: Anforderungen an die Einwilligung

Industrie 4.0, Internet der Dinge, Smart Car und mehr. Die Schlagworte, unter denen der Trend beschrieben wird, dass immer mehr Alltagsgegenstände einen Anschluss an das Internet erhalten und damit selbst „online sein können“, sind mannigfaltig. Daten- und Verbraucherschützer betrachten diese Entwicklung zum Teil kritisch. Die Nutzer von intelligenten Lampen, Kühlschränken oder Rauchmeldern wüssten nämlich häufig gar nicht, ob und wenn ja, welche Daten erhoben, gespeichert und womöglich übertragen werden.

Vor dem Hintergrund dieses, der technischen Entwicklung nun einmal geschuldeten Fehlens von Informationsmöglichkeiten an jedem vernetzten Haushaltsgerät (man denke an einen mehrseitigen Papierzettel, der von einem an der Decke hängenden intelligenten Rauchmelder baumelt), stellt sich aus datenschutzrechtlicher Sicht die Frage, wie man als verantwortliche Stelle, also etwa Gerätehersteller und -vertreiber, bei einer Verarbeitung personenbezogener Daten seinen Informationspflichten (§ 33 Abs. 1 BDSG oder § 13 Abs. 1 TMG) gerecht werden kann.

Fehlende Informationen für Nutzer
Die Problematik, dass sich auch in diesem Bereich rechtliche Anforderungen von den tatsächlichen Entwicklungen am Markt immer mehr entfernen, haben zuletzt die europäischen Datenschützer (versammelt in der sog. Artikel 29 Datenschutzgruppe) erkannt und in einer Stellungnahme zum „Internet der Dinge“ (WP 223, PDF) erste Einschätzungen zum Thema Datenschutz und vernetzte Geräte gegeben (hierzu bereits mein Blogbeitrag).

Nach Ansicht der Datenschützer besteht für Betroffene etwa die Gefahr, dass sie durch die für sie unsichtbare und nicht beherrschbare Datenverarbeitung die Kontrolle über ihre Daten verlieren. Zudem wüssten viele Nutzer nicht, dass die intelligenten Geräte auch untereinander kommunizieren und sich möglicherweise gegenseitig Daten zusenden. Die Artikel 29 Datenschutzgruppe befürchtet daher, dass die Betroffenen an der effektiven Ausübung ihrer Rechte gehindert werden könnten (vgl. S. 6, WP 223).

Unwirksamkeit der Einwilligung?
Dieser Mangel an Informationen darüber, dass personenbezogene Daten verarbeitet werden und wie die geschieht, würde im Falle des Erfordernisses einer Einwilligung, wenn also die Datenverarbeitung z. B. nicht auf ein Vertragsverhältnis gestützt werden könnte, möglicherweise zu deren Unwirksamkeit führen. Denn eine Einwilligung, etwa nach § 13 Abs. 2 TMG, setzt voraus, dass der Nutzer Kenntnis davon hat, worin er einwilligt. Er muss also zumindest darüber informiert werden, auf welche Daten sich die Einwilligung bezieht und welche Verwendungszwecke sie umfasst.

Die Artikel 29 Datenschutzgruppe folgert in ihrer Stellungnahme deshalb, dass in solchen Fällen die Einwilligung keine wirksame Grundlage für eine Datenverarbeitung darstellen könne (S. 7, WP 223).

Ein alternativer Ansatz
Interessanterweise stellt die Artikel 29 Datenschutzgruppe jedoch in einem anderen, kürzlich veröffentlichten Dokument (welches sich per se gar nicht auf das Internet der Dinge bezieht) dar, wie ihrer Ansicht nach eine Einwilligung möglicherweise doch wirksam eingeholt werden könnte. Es handelt sich um das „Hausaufgabenheft“ zur Datenschutzerklärung von Google (PDF). Dort führen die Datenschützer aus, wie ihrer Ansicht nach eine Datenschutzerklärung aufgebaut und präsentiert werden kann, um den gesetzlichen Anforderungen zu genügen.

Die Artikel 29 Datenschutzgruppe verweist in dem Dokument darauf, dass für die verantwortliche Stelle datenschutzrechtliche Informationspflichten bestehen und diese auch dann eingehalten werden müssen, der Betroffene verschiedene Arten von Endgeräten nutzt, wie etwa einen PC, ein Handy oder ein Tablet. Wenn jedoch das Endgerät aufgrund seiner Konstruktion nicht die Möglichkeit bietet, die erforderlichen Informationen zur Datenverarbeitung anzuzeigen (etwa aufgrund eines fehlenden Monitors), so sehen es die europäischen Datenschützer durchaus als gangbare Alternative an, wenn die Informationen auf demjenigen Endgerät angezeigt werden und abrufbar sind, auf dem der Nutzer das intelligente Gerät konfigurieren kann (S. 3).

Die Datenschützer erwähnen explizit Geräte des Unternehmens Nest, welches intelligente Rauchmelder oder Thermostate vertreibt. Auf diese Weise böte sich damit natürlich auch die Möglichkeit, auf dem „Konfigurationsgerät“ die Einwilligung der Nutzer für eine Datenverarbeitung einzuholen. Die so vorgeschlagene Vorgehensweise lässt sich in jedem Fall begrüßen und bietet für Unternehmen, die Produkte für das Internet der Dinge herstellen und vertreiben eine interessante Alternative, um ihren datenschutzrechtlichen Pflichten nachzukommen.

Datenschutz und „Internet der Dinge“ – Position der Europäischen Datenschützer

Die Artikel 29 Datenschutzgruppe (Art. 29 Gruppe), das Gremium der Vertreter der europäischen Aufsichtsbehörden für den Datenschutz, hat in einer neuen Stellungnahme (WP 223, PDF) zum „Internet der Dinge“ (IoT) ihre Positionen zu verschiedenen datenschutzrechtlichen Fragen im Zusammenhang mit der Datenverarbeitung rund um Smartwatches, Fitnesstracker oder intelligente Thermostate dargelegt. Im Folgenden möchte ich einige der in der Stellungnahme angesprochenen Themenbereiche näher beleuchten.

Räumlicher Anwendungsbereich
Nach Ansicht der Art. 29 Gruppe ist das europäischen Datenschutzrecht (bzw. die jeweilige nationale Umsetzung der Vorgaben der geltenden Datenschutzrichtlinie (DS-RL) 95/46/EG) zum einen dann anwendbar, wenn Datenverarbeitungen „im Rahmen der Tätigkeiten“ einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche (hierzu sogleich) in der Europäischen Union besitzt (Art. 4 Abs. 1 lit. a DS-RL). Was genau unter der Umschreibung „im Rahmen der Tätigkeiten“ zu verstehen ist, wird in dieser Stellungnahme nicht näher erläutert. Jedoch verweisen die Datenschützer auf das Google-Urteil des Europäischen Gerichtshofs (C-131/12) und die dort vorgenommene sehr weite (meines Erachtens mit dem Wortlaut der Datenschutzrichtlinie kaum zu vereinbarende) Auslegung dieses Begriffs. Sollte der für die Datenverarbeitung Verantwortliche nicht in der EU niedergelassen sein, ist das europäische Datenschutzrecht dennoch anwendbar, wenn er nach Art. 4 Abs. 1 lit. c DS-RL auf Mittel zurückgreift, welche in einem Mitgliedstaat belegen sind. Nach Ansicht der Datenschützer stellen alle Geräte, die zur Erhebung oder weiteren Verarbeitung von personenbezogenen Daten im Rahmen eines IoT-Dienstes eingesetzt werden, solche „Mittel“ im Sinne der DS-RL dar. Hierzu gehören aber auch die Smartphones oder Tablets der Nutzer, auf denen entsprechende Software oder Apps zum Analysieren oder Übermitteln der erhobenen Daten installiert sind.

Personenbezogene Daten
Für die Datenschützer sind die Informationen, die von den IoT-Geräten erhoben werden, in den meisten Fällen als personenbezogen im Sinne des Art. 2 DS-RL anzusehen. Entweder kann eine bestimmte Person direkt hierüber identifiziert oder es können Lebensmuster und –gewohnheiten einer Person oder Familie erkannt werden. Jedoch gehen die Datenschützer in ihrer Stellungnahme noch weiter. Selbst wenn Daten pseudonymisiert oder gar anonymsiert werden, so bestünde doch aufgrund der Schieren Menge an Informationen stets ein latentes Risiko einer Re-Identifizierung. Dies reiche aus, um von personenbezogenen Daten auszugehen.

Für die Datenverarbeitung Verantwortlicher
Bei der Frage des für die Verarbeitung Verantwortlichen geht es um die Bestimmung derjenigen Stelle, welche die gesetzlichen Pflichten des Datenschutzrechts treffen. Die Art. 29 Gruppe verweist darauf, dass im Bereich des Internet der Dinge viele verschiedene Spieler beteiligt sind und daher eine genaue Analyse Ihrer Beteiligungen an den jeweiligen Datenverarbeitungsprozessen vorzunehmen ist. Der Gerätehersteller ist nach Ansicht der Datenschützer vor allem dann für die Datenverarbeitung verantwortlich, wenn er nicht nur das physische Gerät verkauft, sondern auch die Software programmiert und damit vorgibt, wie und welche Daten erhoben und zu welchen Zwecken verarbeitet werden. Auch Internetplattformen, auf denen Nutzer die über das Gerät erhoben Daten teilen und veröffentlichen können, besitzen unter gewissen Umständen datenschutzrechtliche Pflichten. So ist etwa der Anbieter eines sozialen Netzwerkes nach Ansicht der Datenschützer dann als Verantwortlicher anzusehen, wenn er Daten aus dem IoT-Gerät eines Nutzers für eigene Zwecke verwendet, z.B. um personalisierte Werbung für passionierte Jogger auszuspielen. Und auch Anbieter von Drittdiensten, etwa speziellen Apps, die auf IoT-Daten zugreifen, sind als für die Verarbeitung Verantwortlichen anzusehen, wenn sie über eine vorhandene API auf Informationen auf dem jeweiligen Gerät zugreifen. Nach Ansicht der Art. 29 Gruppe bedarf es hierfür zumeist der Einwilligung des Betroffenen, welche im Rahmen des Installationsprozesses der App einzuholen ist.

Einwilligung nach der ePrivacy-Richtlinie
Die Art. 29 Gruppe weist in ihrer Stellungnahme darauf hin, dass neben den Regelungen der DS-RL auch einzelne Bestimmungen anderer Gesetze zur Anwendung kommen können. Insbesondere im Blick haben die Datenschützer hierbei Art. 5 Abs. 3 der sog. ePrivacy-Richtlinie (2002/58/EG). Danach ist die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung gegeben hat. Dieses Einwilligungserfordernis betrifft nach Ansicht der Datenschützer vor allem den Gerätehersteller. Zu beachten ist, dass die Einwilligung sich nicht nur auf personenbezogene Daten bezieht, sondern ganz allgemein auf Informationen, die in einem IoT-Gerät gespeichert sind.

Erlaubnistatbestände der Datenverarbeitung
Die Verarbeitung personenbezogener Daten, die über ein IoT-Gerät erhoben werden, bedarf nach dem geltenden Prinzip des Verbots mit Erlaubnisvorbehalt eines Erlaubnistatbestandes. Art. 7 DS-RL listet die möglichen gesetzlichen Grundlagen einer Verarbeitung personenbezogener Daten auf. Die Voraussetzungen einer der Alternativen des Art. 7 DS-RL sind neben den Voraussetzungen des Art. 5 Abs. 3 ePrivacy-Richtlinie zu erfüllen (der ja bereits bei einem Zugriff auf Informationen einschlägig ist). Nach Ansicht der Art. 29 Gruppe kommen im Rahmen des Einsatzes von IoT-Geräten vor allem drei Varianten des Art. 7 DS-RL in Betracht. Zum einen Art. 7 lit. a DS-RL, wenn der Betroffene seine Einwilligung in die Datenverarbeitung erteilt hat. Zum anderen Art. 7 lit. b DS-RL, wenn die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist. Die Art. 29 Gruppe weist darauf hin, dass der Anwendungsbereich dieses Erlaubnistatbestandes durch das Merkmal der „Erforderlichkeit“ begrenzt ist. Zum Dritten stellt auch Art. 7 lit. f DS-RL einen tauglichen Erlaubnistatbestand dar, wenn die Verarbeitung zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird erforderlich ist. Dies jedoch nur, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. In diesem Zusammenhang verweisen die Datenschützer erneut auf das Google-Urteil des EuGH und nehmen die Aussagen des Gerichts zum Anlass darauf einzugehen, dass eine Datenverarbeitung über IoT-Geräte sehr wahrscheinlich die Grundrechte auf Privatleben und den Schutz personenbezogener Daten in besonderer Weise berührt. Die Daten beziehen sich etwa auf die Gesundheit der Betroffenen oder ihre private Umgebung. Nach Ansicht der Art. 29 Gruppe ist eine Datenverarbeitung unter diesen Gegebenheiten kaum allein durch die wirtschaftlichen Interessen des jeweils Verantwortlichen zu rechtfertigen.

Zusammenfassung
Die Stellungnahme der Art. 29 Gruppe geht noch auf weitere Aspekte ein, etwa Anforderungen an die Datenqualität, die Verarbeitung besonderer Arten von personenbezogenen Daten (z. B. Gesundheitsdaten) oder auch zu ergreifende technische und organisatorische Maßnahmen, um die Datensicherheit zu gewährleisten. Insgesamt dient die Stellungnahme der Datenschützer sicherlich als informative Lektüre, um eine grobe Einschätzung des immer bedeutender werdenden Bereichs des Internets der Dinge aus Sicht der Aufsichtsbehörden zu erhalten. Meines Erachtens sind die Positionen der Art. 29 Gruppe freilich nicht in jedem Punkt las eine Art „obiter dictum“ hinzunehmen. So stellt sich etwa für Geräte- oder Softwarehersteller die Frage des Sinns (bzw. Unsinns) von Anonymisierungsverfahren, wenn nach Ansicht der Datenschützer selbst dann die datenschutzrechtlichen Pflichten eingreifen. Als ob also eine Anonymisierung von Daten gar nicht stattgefunden hätte. Warum sollten Unternehmen dann noch eine Anonymisierung (die mit tatsächlichen und finanziellen Aufwandverbunden ist) vornehmen? Auch in Zukunft werden das vernetzte Haus, das smarte Auto oder die intelligenten Uhren den Datenschutz vor Herausforderungen stellen. Es sollte daher auch genau auf eine mögliche Berücksichtigung dieser Technologien in der geplanten Datenschutz-Grundverordnung geachtet werden und wie das künftige Datenschutzrecht mit technologischen Entwicklungen umgehen wird.
Vg Wort