Datenschutz und NSA: Bundesregierung beantwortet Fragen zur Datenübermittlung in die USA

Die Bundesregierung hat vergangene Woche eine kleine Anfrage der Fraktion DIE LINKE im Deutschen Bundestag beantwortet (BT-Drs. 18/321). Titel der Anfrage ist „Datenschutz bei der Zusammenarbeit deutscher Finanzdienstleister
mit IT-Unternehmen insbesondere aus den USA vor dem Hintergrund des NSA-Skandals“. Grund für die Anfrage waren Presseberichte, nach denen die Allianz SE ihre Rechenzentren auslagern und an das amerikanische IT-Unternehmen IBM übergeben möchte. Vor dem Hintergrund der Enthüllungen um den möglicherweise unverhältnismäßigen Zugriff amerikanischer Geheimdienste auf Daten europäischer Bürge bei amerikanischen Unternehmen, wollte DIE LINKE genauer wissen, wie die Bundesregierung hierzu steht. Ich möchte im Folgenden nur einige der behandelten Fragen und Antworten ansprechen.

Auftragsdatenverarbeitung
Zunächst geht die Bundesregierung auf die grundsätzlichen Anforderungen einer Auftragsdatenverarbeitung nach § 11 BDSG ein und weist darauf hin, dass in diesem Rahmen der Verantwortliche (Auftraggeber) bereits vor der Datenverarbeitung gewisse Prüfpflichten in Bezug auf den IT-Dienstleister besitzt. Sehr anschaulich hierzu ist im Übrigen das Informationsblatt des bayerischen Landesamtes für Datenschutzaufsicht.

Datenübermittlung in Drittländer
Auch wenn der Auftragnehmer nicht in der EU bzw. dem EWR, sondern in einem Drittstaat sitzt, bleibt der Auftraggeber in der EU verantwortlich. Die Bundesregierung stellt klar, dass auch bei einer Drittstaatenübermittlung die Anforderungen des § 11 BDSG (zumindest entsprechend) erfüllt sein müssen, was insofern wohl der Auffassung der deutschen Datenschutzbehörden entspricht. Zudem weist die Bundesregierung auf die zusätzlichen Voraussetzungen für einen Datentransfer in ein Drittland hin. Ein solcher ist verboten, wenn in dem Drittland keine angemessen Garantien für den Schutz der Daten bestehen, wie etwa in den USA.

Safe Harbor
Die Bundesregierung geht danach auf die Möglichkeit der Datenübermittlung in die USA unter der Safe Harbor-Entscheidung der EU Kommission ein. Diese habe für europäische Unternehmen, die personenbezogene Daten an in den USA tätige Firmen übermitteln, den Vorteil, dass sie keine zusätzlichen Garantien verlangen müssen. Öffentlich Stellung nehmen, zu der Ansicht des Landesdatenschutzbeauftragten von Schleswig-Holstein, Thilo Weichert, dass es „Riskant und unverantwortlich“ sei, die Daten einem US-Konzern anzuvertrauen, möchte die Bundesregierung mit Blick auf die unabhängige Aufgabenerfüllung der Datenschutzaufsichtsbehörden nicht.

Kooperation zwischen NSA und BND
Auf die Frage, ob „deutsche Geheimdienste von der NSA Daten deutscher Finanzdienstleistungsunternehmen erhalten“ haben, möchte die Bundesregierung nicht öffentlich antworten. „Ein Verstoß gegen die in diesem Zusammenhang vorausgesetzte Vertraulichkeit ließe negative Folgewirkungen für die Quantität und Qualität des Informationsaustausches befürchten“. Ausdrücklich geht die Bundesregierung jedoch davon aus, dass

„ein Zugriff der NSA in Kooperation mit entsprechenden IT-Dienstleistern auf Daten deutscher Finanzdienstleistungsunternehmen [ist] theoretisch nicht auszuschließen“ ist. „Allerdings dürfte ein solcher Zugriff regelmäßig rechtswidrig sein“.

Datenschutz-Grundverordnung und Safe Harbor
Die Bundesregierung gibt, mit Blick auf möglich Verstöße gegen die Safe Harbor-Entscheidung durch amerikanische Unternehmen, an, dass „gesetzliche Kontrollmöglichkeiten gemeinsam mit amerikanischen Behörden“ derzeit nicht bestehen. Deutschland setze sich zudem weiter dafür ein, dass der Schutz der Bürgerinnen und Bürger bei Drittstaatenübermittlungen
deutlich verbessert wird. Insbesondere in Bezug auf Safe Harbor möchte die Bundesregierung tätig werden und ist dies auch bereits. Mit Blick auf die europäische Datenschutzreform und die geplante Datenschutz-Grundverordnung weist sie darauf hin, dass für Modelle wie Safe Harbor „in der neuen europäischen Datenschutz-Grundverordnung ein robuster Rechtsrahmen mit klaren Vorgaben für Garantien der Bürgerinnen und Bürger geschaffen werden“ sollte. Zudem führt die Bundesregierung drei konkrete Verbesserungsvorschläge an:

Ziel sollte es insbesondere sein, die Individualrechte der Bürgerinnen und Bürger zu stärken und ihnen bessere Rechtsschutzmöglichkeiten zur Verfügung zu stellen, die Registrierung der US-Unternehmen in der EU vorzunehmen und die staatliche Kontrolle seitens der EU-Datenschutzaufsichtsbehörden in Modellen wie Safe Harbor zu stärken.

Interessant sind dabei insbesondere die letzten beiden Vorschläge. Denn bisher müssen sich amerikanische Unternehmen in Amerika bei dem dafür zuständigen Handelsministerium registrieren. Zum anderen lässt der Vorschlag einer Stärkung der Kontrollbefugnisse der europäischen Behörden aufhorchen. Denn bisher war es die Federal Trade Commission (FTC) in den USA, die wegen einer Verletzung der Safe Harbor-Grundsätze in Amerika tätig wurde.

Fazit
Die Antwort der Bundesregierung ist im Hinblick auf die Reformen zur Datenschutz-Grundverordnung und Safe Harbor durchaus interessant. Die Stärkung der Rechtsschutzmöglichkeiten der Betroffenen ist im Übrigen auch ein zentrales Anliegen der Europäischen Kommission, welche Ende letzten Jahres den USA in einer Mitteilung 13 notwendige Vorschläge zur Verbesserung von Safe Harbor gemacht hat.

LG Wiesbaden: Domaininhaber ist nicht zwingend Diensteanbieter

Mit Urteil vom 18.10.2013 (Az. 1 O 159/13) hat das Landgericht Wiesbaden u. a. entschieden, dass der Inhaber einer Domain und auch der Admin-C nicht zwingend mit dem Diensteanbieter i. S. d. § 2 Abs. 1 Nr. 1 TMG gleichzusetzen sind.

Der Sachverhalt

Die Kläger machten sowohl vertragliche als auch deliktische Ansprüche wegen der Nichterfüllung eines Reisevertrags geltend. Sie buchten über eine Internetseite eine Reise, wobei der vollständige Reisepreis erst zu spät bezhalt wurde und die Reise dann nicht angetreten werden konnte. Die Kläger verlangten nun zum einen den Reisepreis und Schadenersatz für vertane Urlaubszeit, da sich ihrer Ansicht nach aus der fehlenden Zahlung ohne vorherige Mahnung kein Kündigungsrecht ableiten ließe und infolgedessen ihnen die Reise zu Unrecht verweigert worden sei. Daher verklagten sie zunächst das im Impressum auf der Webseite angegeben Unternehmen. An der dortigen Adresse konnte die Klage jedoch nicht zugestellt werden. Die Kläger berichtigten sodann die Beklagtenpartei in ihrer Klage, nachdem sie über eine Anfrage bei der DENIC eG den Namen und die Anschrift der dort als Domaininhaberin und administrative Ansprechpartnerin eingetragenen Dame herausgefunden hatten. Diese verteidigte sich damit, dass sie lediglich Webmasterin im Dienstleistungsauftrag sei und die nur Webseite aufgebaut und gewartet habe.

Die Entscheidung

Ich möchte hier nur die Ausführungen des Gerichts im Zusammenhang mit § 5 TMG wiedergeben. Das LG lehnte daneben aber sowohl einen Vertragsschluss mit der Webmasterin als auch einen Schadenersatzanspruch wegen einer Schutzgesetzverletzung nach § 823 Abs. 2 BGB i. V. m. § 17 HGB ab.

Die Kläger stützten ihren Schadenersatzanspruch auch auf eine Schutzgesetzverletzung nach § 823 Abs. 2 BGB i. V. m. § 5 TMG, also wegen Verstößen gegen die Impressumspflicht. Das LG erkannte auch in der Tat solche Verstöße. Jedoch war die Webmasterin hier nicht der von § 5 Abs. 1 TMG in Bezug genommene „Diensteanbieter“, den die Impressums- und Informationspflichten treffen. Der „Diensteanbieter“ ist in § 2 Abs. 1 Nr. 1 TMG legaldefiniert. Danach muss die betreffende Person die „Nutzung“ von Telemedien ermöglichen und nach Außen als Erbringer von Diensten auftreten. Wie jedoch lediglich die „Bereitstellung“ ermöglicht wird, ist unbeachtlich. Das LG führt aus, dass als Diensteanbieter regelmäßig der Homepage-Inhaber anzusehen sein wird. Auf die alleinige Inhaberschaft einer Domain lässt sich die telemedienrechtliche Verantwortlichkeit aber nicht stützen. Die Inhaberschaft der Webseite, also des abrufbaren Inhalts an sich, ist nämlich von der Inhaberschaft der Domain und auch von der Stellung als Admin-C zu unterscheiden. Ein zwingender Schluss, dass die unter einer Domain nutzbaren Telemedien tatsächlich vom Domaininhaber und Admin-C angeboten werden, dürfe nicht gezogen werden. Insbesondere fehle es am erforderlichen Auftritt nach außen i.S.d. Definition des Diensteanbieters.

Dieses Ergebnis rechtfertige sich auch vor dem Hintergrund, dass der Abruf der Webseite grundsätzlich auch ohne die Kenntnis und Eingabe des Domainnamens möglich sei, auch wenn dies in der Praxis kaum vorkommen werde. Denn der Abruf erfolgt nicht über den Domeinnamen, sondern durch die diesem Namen zugeordnete IP-Adresse. Das LG weist auch darauf hin, dass dieses Ergebnis mit Sinn und Zweck des § 5 TMG in Einklang steht, da sich die Impressumspflicht parallel zu den presserechtlichen Impressumspflichten verhält, die sich an den Betreiber des Presseorgans richten.

Eine solche Stellung wird weder durch die Domaininhaberschaft, d.h. durch das Recht an der Domain, noch durch die Eigenschaft als Admin-C, d.h. als technischer Ansprechpartner der DENIC eG, vermittelt.

Zuletzt befasste sich das Gericht noch mit dem Schutzgesetzcharakter des § 5 TMG, auch wenn es darauf nicht mehr entscheidungsehrblich ankam. Selbst wenn man § 5 TMG als Schutzgesetz ansehen würde, so bestünden nach Auffassung der Kammer jedenfalls Zweifel, ob der vorliegend geltend gemachte Schaden in den sachlichen Schutzbereich der Norm fällt. Zwar sollen die Informationen, welche über die Impressumspflicht öffentlich gemacht werden müssen, gerade dazu dienen, Betroffenen die effektive Geltendmachung ihrer Rechte zu ermöglichen. Nach Ansicht des LG erschiene es aber zu weitgehend, eine auf § 5 TMG beruhende, deliktische Haftung für die Verletzung von Pflichten aus vertraglichen Schuldverhältnisse, welche mittels des betreffenden Telemediums eingegangen wurden, zu statuieren. Ein solcher deliktischer Schadensersatzanspruch hätte nach Ansicht des Gerichts wohl nur in der Situation eigenständige Bedeutung, wenn der nicht impressumspflichtige Vertragspartne auf der einen Seite und der impressumspflichtige Diensteanbieter auf der anderen Seite personenverschieden sind. Das Gericht möchte die Haftung des Diesteanbieters jedoch nicht derart weit ausdehnen:

Dass der Diensteanbieter in einer solchen Konstellation aufgrund eines Impressumsfehlers für die pflichtgemäße Erfüllung sämtlicher, mittels des Telemediums begründeter Verträge einstehen soll, scheint angesichts des vom Diensteanbieters unter Umständen kaum zu steuernden Haftungsrisikos weder vom Gesetzgeber erstrebt, noch sinnvoll und tragbar.

Datenübermittlungen in Drittstaaten – Datenschutzsiegel als neue Grundlage?

Datenübermittlungen aus Europa in Drittstaaten, also solche Länder außerhalb der EU bzw. des EWR, sind im internationalen Wirtschaftsbereich ein wichtiges Thema. Damit personenbezogene Daten in ein Drittland übertragen werden dürfen, muss dort grundsätzlich ein angemessenes Schutzniveau bestehen (Stichwort: Safe Harbor).

Die geplante Datenschutz-Grundverordnung will an den bestehenden Möglichkeiten der Übermittlung und der nötigen Sicherstellung des entsprechenden Schutzniveaus (etwa durch Binding Corporate Rules, Standardvertragsklauseln oder Angemessenheitsbeschlüsse der Kommission) grundsätzlich festhalten. Der Bericht des LIBE-Ausschusses im Europäischen Parlament schlägt aber zudem eine interessante weitere Möglichkeit für Übermittlungen vor: die Erteilung von Datenschutzsiegeln durch Aufsichtsbehörden.

Für den Newsletter der Berliner Datenschtzrunde habe ich in einem Gastbeitrag etwas näher zu dieser vorgeschlagenen Neuerung Stellung genommen. Der Beitrag ist auch online abrufbar.

EU Kommission fordert Anpassung von Safe Harbor

Die Europäische Kommission hat heute ihre im Juli angekündigte Einschätzung zur Zukunft der Safe Harbor Entscheidung, auf deren Grundlage ein Großteil der Datenströme privater Unternehmen zwischen Europa und den USA beruhen, vorgestellt. Dies ist Teil eines ganzen Maßnahmenpakets: ein generelles Dokument, „Rebuilding trust in EU-US data flows“ welches sich nicht allein auf Safe Harbor bezieht, sondern auf den transatlantischen Datenaustausch und dessen Zukunft insgesamt. Sowie eine eingehendere Untersuchung von Safe Harbor, „Communication on the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU“ (beide Dokumente stehen derzeit jedoch noch nicht in der endgültigen Version bereit).
Nachfolgend soll das Augenmerk jedoch vor allem auf den Implikationen für die Safe Harbor Entscheidung liegen.
Continue reading

Brasilien: Gesetzentwurf der „Verfassung des Internets“ veröffentlicht

Bisher wird in den deutschen Medien kaum über eine interessante Gesetzesreform in Brasilien berichtet. Es geht dabei um den Marco Civil da Internet, ein Gesetz, mit dem im Prinzip die Rechte und Pflichten von Bürgern und Unternehmen bei der Nutzung des Internets in Brasilien geregelt werden sollen. Ebenso soll das, auch als „Verfassung des Internets“ bezeichnete, Gesetz Grundprinzipien und Leitlinien vorgeben, an die sich die brasilianischen Behörden und Ministerien halten sollen, wenn sie in diesem Bereich tätig werden. Auf Netzpolitik.org und Wikipedia finden sich weitere Informationen.

Im Zuge der Enthüllungen durch Edward Snowden wurde der Gesetzgebungsprozess (die ersten Entwürfe entstanden bereits im Jahre 2009) nun massiv beschleunigt.

Gesetzentwurf veröffentlicht

Heute wurde auf der Webseite von Intellectual Property Watch ein aktueller englischer Entwurf des Gesetzes präsentiert. Inhaltlich regelt dieser unter anderem Haftungsfragen, Rechte der Internetnutzer oder auch die Netzneutralität.
Continue reading

Datenschutz-Grundverordnung: LIBE-Ausschuss verständigt sich auf Änderungen

Am Montag, den 21. Oktober 2013, wird der federführende Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) des Europäischen Parlaments zum Entwurf des Berichts von Jan Philipp Albrecht und über die Änderungsanträge zur vorgeschlagenen Datenschutz-Grundverordnung (KOM (2012)11, DS-GVO) der Europäischen Kommission abstimmen. Kommt es hier zu einer Einigung, würde dies die Tür für informelle, interinstitutionelle Verhandlungen zwischen der Europäischen Kommission, dem Europäischen Parlament und dem Rat der Europäischen Union (sog. Trilog) öffnen. Ziel dieser Verhandlungen ist es, eine Einigung zwischen den drei Parteien zu erzielen, um so den Gesetzgebungsprozess zu beschleunigen.

Aufgrund der enormen Anzahl an Änderungsanträgen zum Verordnungsvorschlag der Kommission sah es, nach mehrmaligen Verlegungen bereits geplanter Abstimmungen, nicht unbedingt danach aus, dass der LIBE Ausschuss alsbald zu einer Einigung kommen würde. Nach ersten Medienberichten (EUobserver; Guardian) wurde nun jedoch ein Vorschlag erarbeitet, den alle vertretenen Parteien im Ausschuss unterstützen.
Continue reading

Google ändert Nutzungsbedingungen – was es zu beachten gilt

Heute gab Google bekannt, dass es mit Wirkung zum 11. November 2013 neue Nutzungsbedingungen in all seinen Diensten verwenden wird.

Die Zusammenfassung der Änderungen (für Personen mit, wörtlich, „Abneigung gegen Juristendeutsch“) führt als wohl aus Sicht der Nutzer wichtigsten Punkt die folgende Anpassung auf:

Zunächst erläutern wir, wie und in welchem Rahmen Ihr Profilname und Foto in Google-Produkten erscheinen kann, etwa in Erfahrungsberichten, Bewertungen, Werbung oder in anderen kommerziellen Kontexten.
Continue reading

Australien: Gesetzesreform für besseren Schutz der Privatsphäre im digitalen Zeitalter

Im Juni 2013 erhielt die Australian Law Reform Commission (ALRC; eine Bundesbehörde, die Rechtsfragen des Justizministers beantwortet und Vorschläge für Modernisierungen des geltenden Rechts unterbreitet) den Auftrag, eine Untersuchung durchzuführen, inwieweit das australische Recht dahingehend angepasst werden kann, um schwere Eingriffe in die Privatsphäre zu verhindern und zu entschädigen.

Hierzu hat die ALRC nun ein erstes Themenpapier mit dem Titel „Serious Invasions of Privacy in the Digital Era“ veröffentlicht. Definiert sind darin zum einen 28 konkrete Fragen zu bestimmten Bereichen des Persönlichkeitsschutzes im digitalen Zeitalter und wie das geltende Recht hierauf reagieren kann. Zudem hat die ALRC in dem Themenpapier bereits den Status quo dargestellt und auch einige eigene Vorschläge unterbreitet.
Continue reading

Safe Harbor – LIBE Untersuchungsausschuss fordert Aussetzung

In der heutigen Anhörung des LIBE Untersuchungsausschusses zu den Überwachungstätigkeiten amerikanischer Geheimdienste und dem Zugriff dieser Dienste auf in die USA übermittelte Daten europäischer Bürger ging es vor allem um die Auswirkungen auf die Safe Harbor Entscheidung der Europäischen Kommission (zum Inhalt von Safe Harbor habe ich bereits hier etwas geschrieben). Hier eine kurze Einschätzung der Sitzung, ohne auf alle aufgeworfenen Fragen eingehen zu können.
Continue reading

Twitter’s Börsengang – Datenschutz als Investorenrisiko?

Aus dem vorläufigen Börsenprospekt von Twitter, der auf der Internetseite der amerikanischen Börsenaufsicht (SEC) abrufbar ist, lassen sich einige interessante Informationen zu dem Unternehmen selbst und seinem geplanten Börsengang entnehmen. Betrachtet man die dortigen Angaben allein aus dem Blickwinkel des Datenschutzrechts fällt auf, dass Bezugnahmen hierzu meist im Rahmen von möglichen Risiken erwähnt werden.

Grundsätzlich stellt Twitter klar, dass zu den Risiken, welche sich auf das Geschäft von Twitter und sein wirtschaftliches Wachstum auswirken können, vor allem auch Bedenken der Nutzer in Bezug auf den Datenschutz zählen:

A number of factors could potentially negatively affect user growth and engagement, including if: … there are user concerns related to privacy and communication, safety, security or other factors

Insbesondere negative öffentliche Berichterstattung über das Unternehmen, auch in Bezug auf den Datenschutz, könnten dem Ansehen von Twitter und dem Vertrauen in seine Produkte schaden:

Negative publicity about our company, including about … privacy and security practices … even if inaccurate, could adversely affect our reputation and the confidence in and the use of our products and services.

Auch die Einhaltung ausländischer Daten- und Verbraucherschutzgesetze und die Möglichkeit, gegen diese Gesetze zu verstoßen, sind ein Faktor, der zu einem Risiko für die zukünftige Entwicklung und das Wachstum des Unternehmens werden könnte.
Continue reading