Bundesregierung zum Beschäftigungsdatenschutz in sozialen Netzwerken

Was ist „öffentlich“, was ist „privat“? Welche Regeln gelten für die Datenerhebung durch (zukünftige) Arbeitgeber in sozialen Netzwerken? Wann kommt die Datenschutz-Grundverordnung?

Zu diesen und andere Fragen hat die Bundesregierung in der Antwort auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag (BT-Drs. 18/1122, PDF) Stellung genommen.

Bestehende Regelung in § 32 BDSG
In ihrer Antwort verweist die Bundesregierung zunächst auf die Vorgaben des § 32 BDSG, der die Datenerhebung, -verarbeitung und –nutzung für Zwecke des Beschäftigungsverhältnisses regelt. Personenbezogene Daten eines Bewerbers oder eines Beschäftigten dürfen nach § 32 Abs. 1 S. 1 BDSG erhoben oder verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Die Vorschrift ist freilich nicht nur speziell für den Umgang mit Daten aus dem Internet konzipiert. Die Bundesregierung stellt jedoch klar:

Diese Vorgaben gelten auch für die Erhebung von Daten in
sozialen Netzwerken und Internetforen.

In der Datenschutz-Grundverordnung
DIE LINKE wollte zudem wissen, ob die Fragen der Datenerhebung von Bewerbern in sozialen Netzwerken auch Gegenstand der Verhandlungen zur geplanten Datenschutz-Grundverordnung (DS-GVO, PDF) sind. Hier verweist die Bundesregierung auf Art. 82 Abs. 1 DS-GVO, nach dem die Mitgliedstaaten beschäftigungsdatenschutzrechtliche Fragen in den Grenzen der Verordnung durch Gesetz regeln können.

Anmerkung: Wichtig an dieser Vorgabe ist die Beschränkung auf die „Grenzen“ der DS-GVO. Hierdurch wird den Mitgliedstaaten sowohl in Bezug auf eine mögliche Erhöhung oder auch mögliche Absenkung des Schutzniveaus von Beschäftigungsdaten eine Vorgabe gemacht. Nationale Regelungen, welche sich nicht an die Vorgaben der DS-GVO und den ihr zugrunde liegenden Prinzipien halten, würden sich nicht innerhalb dieser Grenzen bewegen.

Abgrenzung: privat – öffentlich
Zudem wollte DIE LINKE wissen, wann eine Unterhaltung in einem sozialen Netzwerk oder Internetforum als „öffentlich“ oder „privat“ anzusehen ist. Die Bundesregierung weist darauf hin, dass die Diskussion um die Abgrenzung von öffentlicher und privater Kommunikation in sozialen Netzwerken und Internetforen noch geführt wird und nicht abgeschlossen ist. Nach Ansicht der Bundesregierung ist

Eine Unterhaltung in sozialen Netzwerken oder Internetforen … zumeist dann eine öffentliche Kommunikation, wenn eine allgemeine Zugänglichkeit zu diesen Kommunikationsplattformen besteht.

Zudem merkt die Bundesregierung an, dass die allgemeine Zugänglichkeit nicht unbedingt dadurch ausgeschlossen wird, dass eine vorherige Registrierung erforderlich ist. Im Ergebnis bedürfe es jedoch einer Beurteilung im Einzelfall. Kriterien hierfür seien etwa: „Die Größe des Empfängerkreises, das Ziel und der Zweck des Kommunikationsforums oder die soziale Akzeptanz und Ortsüblichkeit“.

Wann kommt die DS-GVO?
Völlig unabhängig vom Thema Beschäftigungsdatenschutz möchte DIE LINKE auch wissen, wann die Verhandlungen zur DS-GVO beendet sein werden und mit einer Verabschiedung zu rechnen ist. Hier die Antwort:

Die Bundesregierung setzt sich dafür ein, dass die Verhandlungen über die Datenschutz-Grundverordnung entschieden vorangehen. Gegenwärtig sind trotz intensiver Arbeiten für eine große Anzahl von Mitgliedstaaten noch wichtige Fragen offen. Vor diesem Hintergrund begrüßt die Bundesregierung den Beschluss des Europäischen Rates, wonach die rechtzeitige Verabschiedung eines soliden EU-Datenschutzrahmens für die Vollendung des Digitalen Binnenmarktes bis zum Jahr 2015 als von entscheidender Bedeutung bezeichnet wird.

Nationale Regelungen zum Beschäftigungsdatenschutz plane die Bundesregierung, mit Blick auf die Verhandlungen zur DS-GVO, derzeit nicht. Sollte jedoch mit einem Abschluss der Verhandlungen „nicht in angemessener Zeit gerechnet werden können“, so soll eine nationale Regelung zum Beschäftigungsdatenschutz geschaffen werden.

EU-Datenschützer: ICANN-Verträge verstoßen gegen Datenschutzrecht

Die Internet Corporation for Assigned Names and Numbers (ICANN) sieht sich weiterhin Kritik der europäischen Datenschutzbehörden ausgesetzt. Sowohl der Zusammenschluss der nationalen Behörden, die Art. 29 Datenschutzgruppe, als auch der Europäische Datenschutzbeauftragte (EDSB), Peter Hustinx, haben in Briefen (Brief der Art. 29 Gruppe, (PDF) / Brief des EDSB, (PDF) ) an die Organisation zum Ausdruck gebracht, dass die derzeit bestehenden vertraglichen Pflichten zum Umgang mit personenbezogenen Daten gegen europäisches Datenschutzrecht verstoßen.

Die europäischen Datenschützer kritisieren Klauseln in Verträgen, welche sog. Domain Name Registrare auf der ganzen Welt mit der ICANN abschließen müssen. Die Registrare akkreditieren sich bei der ICANN und dürfen dann für ein bestimmtes Gebiet die Registrierung von Domain Namen durchführen (typische Beispiele für Deutschland sind etwa die Deutsche Telekom, 1&1 Internet oder united-domains AG). In den hierfür erforderlichen Akkreditierungsverträgen (RAA, Stand vom 27. Juni 2013) sind auch Bestimmungen enthalten, welche sich auf das Speichern personenbezogener Daten der Kunden der Registrare beziehen (siehe Nr. 3.4 des Vertrages sowie die Data Retention Specification (DRS), in denen die Datenarten genauer benannt werden). Diese Regelungen greifen die europäischen Datenschützer an.

Laut den Vorgaben der RAA besteht eine generelle Speicherpflicht von zwei Jahren für personenbezogene Daten der Kunden der Reistrare, welche einen Domain Namen registrieren (Nr. 3.4.3). Innerhalb dieses Zeitraums muss der Registrar diese Daten der ICANN nach einem begründeten Hinweis auch zugänglich machen.

Diese lange Speicherfrist hat bereits in der Vergangenheit Kritik hervorgerufen. Denn in Europa niedergelassene Registrare sind an europäisches Datenschutzrecht gebunden. Sie müssen sich daher beim Umgang mit personenbezogenen Daten an die Vorgaben der Datenschutz-Richtlinie (RL 95/46/EG, DS-RL) bzw. die jeweiligen nationalen Gesetze, und damit auch den Grundsatz der Zweckbindung (Art. 6 Abs. 1 b) DS-RL) und den Grundsatz der Datensparsamkeit/-minimierung (Art. 6 Abs. 1 f) DS-RL) halten.

Aus diesem Grund sieht die DRS (unter Nr. 2) die Möglichkeit vor, dass Registrare mit der ICANN abweichende Vereinbarungen in Bezug auf die Datenspeicherung vertraglich festlegen können, wenn eine Anwaltskanzlei oder eine anerkannte staatliche Stelle die Datenspeicherung für rechtswidrig erachtet. Für die Vereinbarung solcher Änderungen ist bei der ICANN zudem ein bestimmtes Verfahren vorgesehen. Das tatsächliche Probleme war jedoch, dass es verschiedene abweichende Vereinbarungen zwischen der ICAAN und europäischen Registraren gab, die sich inhaltlich nicht unbedingt decken müssen.

Hier wollte die Art. 29 Datenschutzgruppe ansetzen und die ICANN davon überzeugen, dass der bisherige Schriftverkehr zwischen beiden Institutionen als Leitlinie für europäische Anbieter angesehen werden sollte, wenn Abweichungen bei der Speicherpflicht von Daten vereinbart werden. Damit könnte für alle europäischen Registrare, die ja alle den Vorgaben der DS-RL unterliegen, ein einheitliches Verfahren mit denselben rechtlichen Vorgaben etabliert werden. Dies erkannte die ICANN jedoch bisher nicht an.

In letzter Zeit bemühte sich die ICAAN, auf die Kritik an der langen und aus Sicht der europäischen Datenschützer unverhältnismäßigen Speicherpflicht einzugehen. Denn das Problem für europäische Registrare ist offensichtlich. Sie sind vertraglich zu einer Speicherung gegenüber der ICANN verpflichtet, die jedoch durch die nationalen Datenschutzbehörden als rechtswidrig angesehen werden könnte. Die ICANN veröffentlichte daher im März 2014 einen Entwurf zur Spezifizierung der verschiedenen Datenarten, welche der Speicherfrist unterliegen, und welche Zwecke die Speicherung verfolgt (Data Retention Specification Data Elements and Legitimate Purposes, PDF). Dieser Entwurf sollte als Diskussionsgrundlage dienen. Der Brief des EDSB bezieht sich direkt auf diesen Entwurf.

Zwar erkennt der EDSB die Bemühungen der ICANN um Klarstellung und genauere Spezifizierung der Datenarten und Verarbeitungszwecke an. Dennoch sind aus seiner Sicht sowohl die Vorgaben der RAA als auch DRS mit europäischem Datenschutzrecht derzeit nicht vereinbar. Personenbezogene Daten sollten nur für die Zwecke der Vertragsdurchführung des Registrars mit seinen Kunden gespeichert werden und nicht etwa für andere Zwecke, wie z. B. um Betrug bei der Registrierung der Domain Namen vorzubeugen. Zudem sollten die Daten auch nur solange gespeichert werden, wie dies zur Durchführung des Vertrages absolut notwendig ist. Eine Speicherung für Zwecke der Kriminalitätsbekämpfung oder zur Durchsetzung von Urheberrechten sei damit nicht vereinbar.

Interessanterweise geht der EDSB in seinem Brief auch direkt auf die kürzlich ergangene Entscheidung des EuGH zur Vorratsdatenspeicherung ein. Er weist darauf hin, dass eine Speicherung geschäftlicher Verkehrsdaten für Zwecke der Bekämpfung schwerer Kriminalität erforderlich sein kann, die Richtlinie zur Vorratsdatenspeicherung jedoch die Vorgaben der Verhältnismäßigkeit nicht beachtete. Hieraus schließt Hustinx, dass die Voraussetzungen für eine Speicherung von Daten auf Vorrat in der EU in Zukunft besonderer Prüfung und rechtlichen Herausforderungen unterliegen werden.

Ministerkomitee des Europarates: Leitfaden der Menschenrechte von Internetnutzern

Am 16. April 2014 hat das Ministerkomitee des Europarates (Die Versammlung der Außenminister der Mitgliedstaaten) eine Empfehlung mit dem Titel „Guide to human rights for Internet users“ verabschiedet. Derartige Empfehlungen sind für die Mitgliedstaaten nicht bindend, geben jedoch die Sichtweise der für die Verabschiedung erforderlichen Mehrheit der Mitgliedstaaten wieder.
Die Empfehlung ist zweigeteilt. Zu Beginn richtet sie sich mit Forderungen an die Mitgliedstaaten. Der zweite Teil stellt den eigentlichen Leitfaden für die Bürger dar.

Empfehlungen an Mitgliedstaaten
Das Ministerkomitee stellt zunächst klar, dass die in der Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK) aufgestellten Rechte und Freiheiten sowohl offline als auch online gelten.

Zudem besitzen die Mitgliedstaaten im Rahmen der Wahrung des Schutzes der Menschenrechte auch die Pflicht, die Aufsicht über private Unternehmen auszuüben. Privatrechtliche Vereinbarungen müssen sich an den durch die Grundrechte aufgestellten Prinzipien messen lassen.

Das Internet besitzt besonderen Wert als öffentliches Gut. Bürger besitzen ein berechtigtes Interesse, das Internet ohne diskriminierende Einschränkungen, sicher und zuverlässig nutzen zu können.

Bürger sollten Unterstützung erhalten, wie sie ihre Menschenrechte online wirksam ausüben könne. Hierzu gehöre auch der Zugang zu wirksamen Rechtsschutzmöglichkeiten, wenn ihre Rechte und Freiheiten eingeschränkt wurden.

Für die Sicherstellung der gleichwertigen Geltung von Menschenrechten auch im Internet empfiehlt das Ministerkomitee den Mitgliedstaaten:

  • Die Umsetzung und Anwendung des Leitfadens der Menschenrechte für Internetnutzer unter den Bürgern, den öffentlichen Stellen und den privaten Unternehmen zu fördern und konkrete Maßnahmen für seine Anwendung durchzuführen;
  • Kontinuierlich Einschränkungen von Menschenrechten im Internet zu überwachen, zu prüfen und auch aufzuheben, wenn diese nicht im Einklang mit den Vorgaben der EMRK im Lichte der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) stehen;
  • Sicherzustellen, das Internetnutzer Zugang zu wirksamen Rechtsschutzmöglichkeiten besitzen, wenn ihre Rechte eingeschränkt wurden. Dies erfordere eine Koordinierung und Zusammenarbeit der relevanten Einrichtungen. Zudem müsse eine Zusammenarbeit mit der privaten Wirtschaft und Bürgerrechtsorganisationen stattfinden.
  • Auch mit Staaten zusammenzuarbeiten, die nicht Mitglied des Europarates sind, um Maßstäbe und Verfahren zu entwickeln, die Einfluss auf den Schutz der Rechte und Freiheiten im Internet besitzen.
  • Private Unternehmen zu unterstützen und zu fördern, im Rahmen ihrer unternehmerische Gesellschaftsverantwortung in einen Dialog mit staatlichen Behörden und der Zivilgesellschaft zu treten.

Leitfaden der Menschenrechte von Internetnutzern
In dem Leitfaden selbst werden den Bürgern Informationen zu verschiedenen Menschenrechten (etwa Meinungsfreiheit, Zugang zu Informationen, Versammlungsfreiheit etc.), jeweils mit Bezug zum Internet, gegeben. Beispielhaft sei hier das Recht auf Schutz des Privatlebens (Art. 8 EMRK) genannt. Dessen Schutzbereich umfasst auch den Schutz personenbezogener Daten (zu dem Schutzumfang der EMRK und im Vergleich hierzu durch die Charta der Grundrechte der Europäischen Union hatte ich bereits einmal etwas geschrieben). Der Leitfaden weist darauf hin, dass eine Nutzung des Internets grundsätzlich mit einer Verarbeitung personenbezogener Daten einhergeht. Die Verarbeitung darf jedoch nur auf der Grundlage eines Gesetzes oder einer Einwilligung erfolgen. Zudem dürfe der Bürger nicht Gegenstand einer ständigen Überwachungsmaßnahme sein. Bei einer Einschränkung dieses Rechts, etwa zum Zwecke der Kriminalitätsbekämpfung, muss der Bürger über die Grundlagen des Eingriffs und seine Rechtsschutzmöglichkeiten informiert werden. Auch am Arbeitsplatz müsse die Privatsphäre des Bürgers beachtet werden. Überwachungsmaßnahmen durch den Arbeitgeber müssten vorher mitgeteilt werden.

Fazit
Der verabschiedete Leitfaden ist absolut begrüßenswert. Er versucht in einer möglichst bürgernahen und unjuristischen Sprache über die Rechte im Internet aufzuklären und sollte jedem interessierten Bürger als Informationsquelle dienen. Abgesehen von dem Leitfaden selbst, sind die Empfehlungen an die Mitgliedstaaten ebenfalls nicht uninteressant. Insbesondere das Votum für eine engere Einbeziehung des privaten Sektors in Form einer geminsamen Zusammenarbeit mit staatlichen Stellen zum Nutzen der Bürger fällt deutlich aus und ist meines Erachtens auch ein richtiger Weg.

Europäische Datenschützer: Vorschläge zur Verbesserung von Safe Harbor

Die Vertreter der europäischen Datenschutzbehörden (Art. 29 Gruppe) haben Justizkommissarin Viviane Reding in einem Brief ihre Verbesserungsvorschläge (PDF) zur Überarbeitung der Safe Harbor Entscheidung der Europäischen Kommission übersendet. Derzeit wird diese Entscheidung, welche bestimmte Prinzipien zur Übermittlung von personenbezogenen Daten von Europa in die USA für teilnehmende amerikanische Unternehmen aufstellt, vor dem Hintergrund der Snowden-Enthüllungen überarbeitet. Die Kommission hatte dem amerikanischen Handelsministerium hierfür im November 2013 bereits 13 konkrete Vorgaben gemacht (Mitteilung der Kommission, COM(2013) 847, PDF), welche bis zum Sommer 2014 umgesetzt werden sollen. Im nachfolgenden möchte ich einige der Vorschläge der Art. 29 Gruppe ansprechen.

Zur Not: Aussetzen

Die Art. 29 Gruppe stellt zunächst klar, dass die Gewährleistung eines angemessenen Schutzniveaus unter Safe Harbor für die Daten europäischer Bürger derzeit fraglich erscheint. Sie begrüßt die Entscheidung der Kommission, Safe Harbor neu zu verhandeln und auch die 13 bereits identifizierten Änderungsvorgaben. Sollte der Überarbeitungsprozess jedoch zu keinem positiven Ergebnis gelangen, dann sprechen sich die Datenschützer für eine Aussetzung von Safe Harbor aus. Zudem verweisen sie auf die stets bestehende Möglichkeit für nationale Datenschutzbehörden, einzelne Datentransfers in die USA zu unterbinden.

Anwendbares Recht
Die Art. 29 Gruppe schlägt vor, in Safe Harbor klarzustellen, dass amerikanische Unternehmen, die keine Niederlassung in der EU besitzen, sich auch dann an europäisches (nationales) Datenschutzrecht halten müssen, wenn sie personenbezogene Daten in einem Mitgliedstaat erheben und hierzu auf Mittel zurückgreifen, welche in dem Mitgliedstaat belegen sind.

Anmerkung: Die Datenschutzbehörden verstehen unter diesen „Mitteln“ etwa PCs auf denen Cookies platziert werden. Die vorgeschlagene Änderung dient wohl vor allem der Information der amerikanischen Unternehmen, die eventuell davon ausgehen, dass sie europäische Vorgaben nicht zu beachten haben.

Transparenz
Wirtschaftszweige, welche nicht der Zuständigkeit der amerikanischen FTC und damit der Überwachung der Einhaltung der Safe Harbor Prinzipien unterliegen, sollten deutlicher hervorgehoben werden. Die online auf der Webseite des amerikanischen Handelsministeriums abrufbaren Zertifikate der teilnehmenden Unternehmen sollten genauer Auskunft darüber geben, welche Datenarten vom Zertifikat erfasst werden und welche Einheiten eines Konzerns umfasst sind.
Teilnehmende Unternehmen sollten Informationen zum Datenschutz und zur Einhaltung der Safe Harbor Prinzipien im Internet deutlicher und verständlicher präsentieren. Zudem sollten Betroffene deutlich auf ihr Auskunftsrecht und wie sie dieses ausüben können, hingewiesen werden. Auch die Aufgaben der verschiedenen beteiligten staatlichen Institutionen und ihre Befugnisse sollten in der Safe Harbor Entscheidung klarer festgelegt werden.

Rechtsschutz
Betroffenen sollte das Recht eingeräumt werden, vor einem zuständigen nationalen Gericht in der EU Klage gegen ein amerikanisches Unternehmen auf Schadenersatz erheben zu können, wenn eine rechtwidrige Datenverarbeitung vorliegt. Zudem sollten die amerikanischen Unternehmen dazu angehalten werden, europäische Anbieter zur außergerichtlichen Streitbeilegung zu wählen. Derzeit müssten viele Betroffene sich mit amerikanischen Anbietern einer solchen Streitbeilegung auseinandersetzen, was jedoch Schwierigkeiten bei der Rechtsdurchsetzung mit sich bringe.
Unabhängig davon sollte für Betroffene das Recht vorgesehen werden sich stets an die für sie zuständige nationale Datenschutzbehörde wenden und ihre Beschwerde dort einbringen zu können. Zudem sollten die Regeln zu Verantwortlichkeit der teilnehmenden amerikanischen Unternehmen deutlicher ausgestaltet werden.

Gebühren
Derzeit verlangen einige der Anbieter einer außergerichtlichen Streitbeilegung noch Gebühren, wenn sich europäische Nutzer an sie wenden. Die Art. 29 Gruppe fordert, dass diese Gebühren abgeschafft werden müssen.

Zugang durch US-Behörden
Ausnahmen von der Einhaltung der in Safe Harbor aufgestellten Prinzipien sollten eingeschränkt werden. Zudem ist es der Art. 29 Gruppe wichtig, dass das aus dem europäischen Recht bekannte Notwendigkeits- und Verhältnismäßigkeitsprinzip für Ausnahmen Anwendung findet. Die Möglichkeit zur Aussetzung von Datentransfers sollte deutlicher umschrieben werden.
Zudem schlagen die Datenschützer vor, dass der Begriff der „Verarbeitung personenbezogener Daten“ in Safe Harbor definiert wird und zwar in Form der europäischen Idee. Denn in den USA zählt die Erhebung von Daten noch nicht zur „Verarbeitung“, in Europa jedoch schon. Daher greifen in den USA Schutzmechanismen für eine Verarbeitung personenbezogener Daten erst nach der Stufe der Erhebung dieser Daten ein.

Weitergabe der Daten
Nach den bestehenden Prinzipien darf ein Unternehmen die ihm übermittelten Daten nur an Dritte weitergeben, wenn es Grundsätze der Informationspflicht und der Wahlmöglichkeit anwendet. Wenn Daten an einen Dritten weitergeben werden sollen, der im Auftrag und auf Anweisung tätig ist, kann dies etwa dann geschehen, sofern der Dritte selbst Safe Harbor angehört. Die Art. 29 Gruppe möchte diese Voraussetzung grundsätzlich auf jeden Dritten erstrecken, also auch auf solche Stellen, die selbst Verantwortliche sind und nicht im Auftrag handeln. Zudem sollten Dritte, die im Auftrag handeln, verpflichtend einen Vertrag mit der übermittelnden Stelle abschließen müssen.

Fazit
Es wurden hier nur einige Vorschläge der Art. 29 Gruppe angesprochen. Viele dieser Vorschläge decken sich bereits mit denjenigen der Kommission, einige gehen darüber hinaus. Die Verhandlungen mit den USA scheinen derzeit konstruktiv zu verlaufen, wie Paul Nemitz, Direktor der Direktion C der Generaldirektion Justiz, kürzlich in einer Anhörung (PDF) durch das britische Oberhaus (House of Lords) zum Thema Safe Harbor berichtete.

Hat der EuGH die Cloud für tot erklärt?

In seinem gestrigen Urteil (Az. C?293/12 und C?594/12) zur Vereinbarkeit der Vorgaben der Richtlinie 2006/24 (VDS-RL, PDF) zur Vorratsdatenspeicherung, hat sich der EuGH naturgemäß mit den einzelnen Vorschriften zur Umsetzung der Richtlinie in nationalstaatliches Recht befasst. Die Richtlinie wurde, in ihrer jetzigen Ausformung, für nichtig erklärt (siehe hierzu die Urteilsbesprechung bei Hans Peter Lehofer), da die derzeit geltenden Vorgaben unverhältnismäßige Eingriffe in die europäischen Grundrechte auf Privatsphäre (Art. 7 Charta der Grundrechte der EU, Charta) und auf den Schutz personenbezogener Daten (Art. 8 Charta) zur Folge hätten. Bisher kaum Beachtung scheinen jedoch einige, meines Erachtens für das allgegenwärtige Cloud Computing wichtige, Ausführungen des Gerichts gefunden zu haben.

In seinem Urteil prüft der EuGH ab Rz. 56 die Verhältnismäßigkeit der Vorgaben der VDS-RL im engeren Sinne. Die dort erlaubten Eingriffe in Grundrechte müssen auf das absolut notwendige Maß beschränkt sein. In Rz. 65 kommt das Gericht zu dem Schluss:

Somit ist festzustellen, dass die Richtlinie einen Eingriff in diese Grundrechte beinhaltet, der in der Rechtsordnung der Union von großem Ausmaß und von besonderer Schwere ist, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Maßnahmen zur Datensicherheit
„Gut“, möchte man denken. Damit ist die Prüfung abgeschlossen. Doch das Gericht fügt seiner Begründung noch drei weitere Randziffern (66-68) an. In diesen befasst es sich, freilich zunächst auch mit Blick auf die VDS-RL, mit der Sicherheit und dem Schutz von gespeicherten Daten. Der EuGH stellt fest, die VDS-RL keine ausreichenden Bestimmungen enthalte, dass die auf Vorrat gespeicherten Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu ihnen und jeder unberechtigten Nutzung geschützt sind (Rz. 66).

Solche Vorgaben zum Schutz personenbezogener Daten und gerade auch in Bezug auf Maßnahmen zur Gewährung der Datensicherheit kennen wir aus der Datenschutz-Richtlinie, 95/46/EG (DS-RL, PDF). Dort bestimmt Art. 17 DS-RL entsprechende Pflichten für die verantwortliche Stelle. Im Falle einer Auftragsdatenverarbeitung, wenn also die tatsächlichen Verarbeitungsprozesse von einem Dritten wahrgenommen werden, bestimmt Art. 17 Abs. 2 DS-RL, dass die verantwortliche Stelle nur solche Auftragnehmer auswählen darf, die technische Sicherheitsmaßnahmen bereithalten. Zudem muss sich der Verantwortliche hiervon auch selbst überzeugen. Art. 17 Abs. 3 DS-RL bestimmt zudem, dass auch den Auftragsdatenverarbeiter selbst Pflichten zur Datensicherheit nach dem für ihn geltenden nationalen Datenschutzrecht treffen.

Cloud Computing
Diese Konstellation, die Datenverarbeitung durch einen Auftragnehmer, ist das typische Beispiel, welches den meisten Cloud Computing-Lösungen zugrunde liegt. Man nehme etwa den Anbieter eines Internet-Speicherdienstes: Der Anbieter der Cloud ist der Auftragsdatenverarbeiter (er selbst sitzt z. B. in den USA, seine Server stehen auf der ganzen Welt), der Kunde ist die verantwortliche Stelle (ob diese rechtliche Einschätzung in der heutigen Zeit noch angemessen erscheint, soll hier nicht diskutiert werden; sie ist nicht unumstritten, wird so aber etwa von der Art. 29 Datenschutzgruppe vertreten, siehe Stellungnahme WP 196, PDF).

Zurück zum Urteil des EuGH. Auch das Gericht verweist für erforderliche Sicherheitsmaßnahmen auf die Vorgaben des Art. 17 DS-RL (Rz. 67), deren Einhaltung, wir erinnern uns an das Beispiel, der Kunde des Speicherdienstes zu prüfen hätte und der Speicherdienst als Auftragnehmer auch selbst einsetzen müsste. Doch nun wird es interessant und relevant.

Datenspeicherung in Drittstaaten
Der EuGH kritisiert in Rz. 68, dass die VDS-RL im Rahmen der erforderlichen Sicherheitsmaßnahmen keine Vorgaben dazu macht, dass die Daten nur innerhalb des Unionsgebietes gespeichert werden dürfen. Hieraus folgert das Gericht, dass

es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird.

Der in dem Zitat angesprochene Art. 8 Abs. 3 Charta bestimmt, dass die Einhaltung der Vorschriften zum Schutz personenbezogener Daten durch eine unabhängige Stelle überwacht werden müssen. In der Praxis sind dies in Europa die Datenschutzbehörden.

Was bedeutet diese Aussage nun? Der EuGH scheint der Auffassung zu sein, dass Daten, welche auf Servern in Drittstaaten gespeichert werden, nicht dem Schutzniveau des Art. 8 Charta entsprechend geschützt werden können. Dies deshalb, weil in dem jeweiligen Drittstaat möglicherweise keine unabhängige Stelle existiert, welche die Einhaltung der Vorgaben zum Datenschutz und zur Datensicherheit überwacht. Nun mag man einwenden, dass es ja gerade für Fälle der Übermittlung von Daten in Drittstaaten etwa Standardvertragsklauseln gibt oder auch Angemessenheitsbeschlüsse der Kommission, die einem Drittstaat (oder einem gewissen Wirtschaftsbereich) ein angemessenes Schutzniveau bescheinigen. Auf diese Instrumente scheint das Gericht aber überhaupt nicht abzustellen. Sein Verweis bezieht sich vielmehr auf das Vorhandensein einer unabhängigen Stelle im Sinne des Art. 8 Abs. 3 Charta. Diese Überwachung durch unabhängige Datenschutzbehörden ist für den EuGH entscheidend.

Hiergegen mag man ins Feld führen, dass es ja auch in Drittstaaten unabhängige Behörden gibt, welche die Einhaltung des dortigen Datenschutzrechts überwachen. Doch auch diesbezüglich scheint der EuGH den Grundrechtsschutz des Art. 8 Charta äußerst streng zu nehmen, denn er führt aus:

Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten.

Das Gericht knüpft das Erfordernis der Überwachung durch eine unabhängige Stelle an die „Grundlage des Unionsrechts“. Es mag also durchaus unabhängige Datenschutzbehörden in Drittstaaten geben. Diese überwachen die Einhaltung von Vorgaben zur Datensicherheit und zum Datenschutz jedoch grundsätzlich nicht auf Grundlage des Unionsrechts. Vielmehr gilt für diese Behörden ihr jeweils nationales Recht. Ebenso muss für europäische Datenschutzbehörden festgestellt werden, dass diese ihre Überwachungsmaßnahmen nicht in Drittstaaten ausdehnen können. Sie sind hinsichtlich ihrer öffentlich-rechtlichen Befugnisse vielmehr territorial beschränkt. Man könnte sich nun fragen, wann denn überhaupt eine Behörde auf der Grundlage des Unionsrechts die Einhaltung von Datenschutz- und Datensicherheitsstandards in einem Drittstaat wirksam überwachen kann?

Lösungen und Konsequenzen
Als einziger Ansatzpunkt würde mir einfallen, dass man z. B. Angemessenheitsbeschlüsse (wie etwa Safe Harbor) oder auch Standardvertragsklauseln als eine solche Grundlage des Unionsrechts ansieht, nach deren Vorgaben der Verarbeiter im Drittstaat handeln muss. Freilich wird hierdurch nicht das Problem gelöst, dass eine europäische Datenschutzbehörde nicht im Drittstaat hoheitlich tätig werden kann, also dort nicht direkt auf „Grundlage des Unionrechts“ überwachen kann.

Denn die Safe Harbor-Entscheidung, ebenso wie die Standardvertragsklauseln der EU sehen für Kontrollstellen die Möglichkeit vor, Datenübermittlungen in ein Drittland auszusetzen. Also gegen den Verantwortlichen in der EU vorzugehen. Dies jedoch nicht etwa dann, wenn die Behörde den Auftragnehmer in dem Drittstaat selbst kontrolliert und etwa Mängel bei der Datensicherheit festgestellt hat. Die Befugnisse der europäischen Behörden greifen dann, wenn feststeht, dass der Verarbeiter in dem Drittstaat die an ihn gestellten Vorgaben (sei es aus Vertragsklauseln oder Angemessenheitsbeschlüssen) nicht einhalten kann. Für Informationen hierzu ist die jeweilige europäische Behörde aber freilich auf Angaben Dritter angewiesen, also etwa von Behörden in dem Drittstaat oder des für die Datenverarbeitung Verantwortlichen selbst. Gut möglich, dass diese „mittelbare“ Überwachung ausreicht, um den Vorgaben des EuGH gerecht zu werden. Hierfür spricht meines Erachtens auch, dass der europäische Gesetzgeber die Datenschutz-Richtlinie mit entsprechenden Mechanismen zur Übermittlung und Speicherung von Daten in Drittstaaten ausgestaltet hat. Wohl wissend, dass nationale Behörden dann nur begrenzte Prüfmöglichkeiten besitzen. Und auch der EuGH selbst hat etwa in seinem Lindqvist-Urteil (Az. C-101/01) darauf hingewiesen, dass für die Mitgliedstaaten und die Kommission gewisse Pflichten zur Kontrolle solcher Datenübermittlungen bestehen (Rz. 63 ff.). Jedoch hat er diese Übermittlung nicht kategorisch ausgeschlossen oder von einer direkten Einflussnahmemöglichkeit europäischer Behörden abhängig gemacht (auch wenn die Frage der Voraussetzungen der Datenübermittlung dort nicht direkt Gegenstand der gerichtlichen Prüfung war und daher nicht vertieft wurde). Dennoch verbleibt ein gewisses Unwohlsein, welches sich vor allem aus der Deutlichkeit der Aussage des EuGH ergibt.

Ausblick
Die Ausführungen des EuGH zur Datenspeicherung in Drittstaaten sind durchaus bemerkenswert. Dies gerade vor dem Hintergrund der anhaltenden Diskussion um ein „Schengen-Routing“ und dem sog. Datenprotektionismus in Folge der Enthüllungen um die Überwachungstätigkeiten von Geheimdiensten. Wie dargestellt liegt die Konstellation der Speicherung von Daten in Drittstaaten vor allem auch dem Cloud Computing zugrunde. Ist die Cloud deshalb tot? Ich denke nicht. Denn die Ausführungen des EuGH sind dafür wohl von zu allgemeiner Natur. Dennoch stellen sich Fragen: Sollte eine Speicherung von personenbezogenen Daten in Ländern außerhalb der EU nun (unabhängig von der rechtlichen Grundlage der Übermittlung) nicht mehr möglich sein? Oder etwa nur wenn sich der Datenverarbeiter behördlichen Maßnahmen europäischer Stellen freiwillig unterwirft? Reicht die beschriebene „mittelbare“ Überwachungsmöglichkeit und dem folgend etwa Maßnahmen gegen den Verantwortlichen in der EU aus? Sollte dem nicht so sein, dann wäre dies ein Schritt zurück, hinter die Intention der geltenden DS-RL und würde der digitalen Wirtschaft und damit auch unserem täglichen Umgang mit Internetdiensten einen Bärendienst erweisen.

Handelsvertreter der USA kritisiert Pläne zum „Schengen“-Routing

Der Handelsvertreter der Vereinigten Staaten von Amerika (United States Trade Representative) hat sich in einem am 4. April vorgestellten Bericht zu Handelsschranken im Bereich der Telekommunikation (PDF) gegen Pläne in der Europäischen Union ausgesprochen, das sog. „Schengen“-Routing für Daten voranzutreiben. Dabei geht es bekanntlich um die Idee, Datenpakete, die als Start- und Zielpunkt europäische IP-Adressen besitzen, nicht über andere Länder außerhalb der EU zu transportieren. Öffentlichkeitswirksam stellt sich vor allem die Deutsche Telekom hinter diese Pläne. Auch die Politik hatte sich dem Thema bereits angenommen.

In seinem Bericht kritisiert der amerikanische Handelsvertreter (der in der Regierung von Präsident Obama Mitglied von Kabinettsrang ist), dass solche europäischen Datennetzwerke möglicherweise zu einem tatsächlichen Ausschluss oder einer Ungleichbehandlung gegenüber ausländischen Diensteanbietern führen können.

Der Handelsvertreter bezieht sich in seinen Anmerkungen auch direkt auf die Deutsche Telekom, die ein „Schengen“-Routing vor allem mit Verweis auf den Datenschutz begründe und zudem die Aufhebung der Safe Harbor Entscheidung der Europäischen Kommission fordere. Amerika und Europa teilten in Bezug auf den Schutz personenbezogener Daten dieselben Interessen. Die von der Deutschen Telekom und anderen Vertretern vorgeschlagene „drakonische Herangehensweise“ an dieses Thema stellt aus der Sicht des Handelsvertreters jedoch nichts anderes dar, als protektionistische Vorteile für Telekommunikationsanbieter, die ihren Sitz der Europa haben.

Das „Schengen“-Routing behindert aus Sicht des Handelsvertreters mögliche Innovationen und könnte gerade ausländische Anbieter davon abhalten, ihre Dienste in Europa anzubieten. Zudem stelle sich bei einem solchen verpflichtenden innereuropäischen Routing die Frage nach der Einhaltung von internationalen Handelsverpflichtungen der Europäischen Union in Bezug auf internetbasierte Diensten.

Deutsche Datenschutzbehörden: Unsere Daten sicherer machen – wir selbst haben es in der Hand!

Auf der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 27.-28. März 2014, haben die Datenschützer aus Bund und Ländern mehrere Beschlüsse zu verschiedensten Themengebieten gefasst. Nachfolgend eine kurze Übersicht.

Elektronische Kommunikation
Nach der Pressemitteilung stellen sich aus der Sicht der Datenschützer die „bisherigen rechtlichen und politischen Reaktionen auf das massenhafte Ausspähen der Kommunikation durch Nachrichtendienste“ als enttäuschend dar. Die Teilnehmer fordern in ihrem Beschluss („Gewährleistung der Menschenrechte bei der elektronischen Kommunikation“), dass die Grundrechte der Bevölkerung durch technische und organisatorische Maßnahmen wirksam zu schützen sind. Hierzu gehöre insbesondere die Bereitstellung einer von jeder Person einfach nutzbaren Verschlüsselungsinfrastruktur. Zudem müsse beim Transport von Daten eine standardisierte Verschlüsselung eingreifen. Zusätzlich bedarf es jedoch des Einsatzes von Mechanismen der Ende-zu-Ende-Verschlüsselung, die der Bevölkerung angeboten, aber auch ausreichend finanziert werden müssen.

Gesichtserkennung
Eine weitere Entschließung der Datenschutzbehörden befasst sich mit der biometrischen Gesichtserkennung durch Internetdienste („Biometrische Gesichtserkennung durch Internetdienste – Nur mit Wahrung des Selbstbestimmungsrechts Betroffener!“). Danach sehen die Datenschützer in der biometrische Gesichtserkennung eine Technik, „die sich zur Ausübung von sozialer Kontrolle eignet und der damit ein hohes Missbrauchspotential immanent ist„. Sie fordern daher, dass eine Verarbeitung biometrischer Merkmale der Gesichter der Nutzer in sozialen Medien nur mit der ausdrücklichen und informierten Einwilligung der Betroffenen erfolgen darf (§ 4a BDSG). Ein Verweis auf Klauseln in Allgemeinen Geschäftsbedingungen reiche nicht aus.

Öffentlichkeitsfahndung
Die Konferenz befasste sich zudem mit der polizeilichen Öffentlichkeitsfahndung mit Hilfe sozialer Netzwerke („Öffentlichkeitsfahndung mit Hilfe sozialer Netzwerke – Strenge Regeln erforderlich!“). Eine Nutzung sozialer Netzwerke privater Betreiber (wie z.B. Facebook) zur Öffentlichkeitsfahndung stellt sich aus datenschutzrechtlicher Sicht der Behörden als sehr problematisch dar. Wenn eine solche Fahndungsart gewählt wird, so sollte diese bestimmt Voraussetzungen beachten. Denn sie greife nicht zuletzt wegen der größeren Reichweite deutlich intensiver in die Grundrechte ein als die herkömmliche Öffentlichkeitsfahndung. So darf etwa eine Speicherung der Fahndungsdaten nur auf den Servern der Polizei erfolgen. Zudem sei es entscheidend, dass die „Fahndung nicht als Aufruf zu Hetzjagden und Selbstjustiz im Internet führt. Dazu muss die Kommentierungsfunktion zwingend deaktiviert sein“.

Beschäftigungsdatenschutz
Auch der Beschäftigungsdatenschutz war erneut Thema auf der Konferenz (Beschäftigtendatenschutzgesetz jetzt!). Die Datenschützer verweisen auf den Koalitionsvertrag, wonach, falls mit einem Abschluss der Verhandlungen über die Europäische Datenschutz-Grundverordnung nicht in angemessener Zeit gerechnet werden kann, eine nationale Regelung geschaffen werden solle. Dies reicht den Datenschützern nicht aus. „Aufgrund der voranschreitenden technischen Entwicklung, die eine immer weiter gehende Mitarbeiterüberwachung ermöglicht, besteht unmittelbarer Handlungsbedarf. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert die Bundesregierung deshalb auf, ein nationales Beschäftigtendatenschutzgesetzes um-gehend auf den Weg zu bringen„.

Datenschutzaufsicht in Europa
Zuletzt fordert die Konferenz in der Entschließung zur „Struktur der zukünftigen Datenschutzaufsicht in Europa„, dass während der im Rat der Europäischen Union andauernden Verhandlungen zur Datenschutz-Grundverordnung, bestimmte Kernelemente beachtet werden sollten, um in Zukunft einen effektiven und bürgernahen Kooperations- und Entscheidungsmechanismus der europäischen Datenschutzbehörden zu gewährleisten. Die Konferenz bekräftigt insbesondere den Grundsatz, dass jede Aufsichtsbehörde zur Kontrolle von datenschutzrechtlichen Verstößen befugt sein sollte, wenn Bürgerinnen und Bürger des jeweiligen Mitgliedstaats betroffen sind. Bei grenzüberschreitender Datenverarbeitung in Europa sollte die Aufsichtsbehörde am Ort der Hauptniederlassung nur federführend tätig werden und eng mit den anderen Aufsichtsbehörden kooperieren. Einigen sich die beteiligten Behörden, so soll die federführende Behörde die Maßnahme erlassen. In Streitfällen sollte der Europäische Datenschutzausschuss verbindlich entscheiden. Nach Ansicht der Konferenz besteht jedoch für die Einführung formeller, fristgebundener Verfahren zur Erlangung EU-weit gültiger Compliance-Entscheidungen kein Bedarf. Es dürfe bei der Klärung von Compliance-Fragen zu keiner Verlagerung der Verantwortlichkeit auf die Aufsichtsbehörden kommen.

UN Menschenrechtsausschuss kritisiert NSA Überwachung

In der Zeit vom 10. bis zum 28. März 2014 hat der Menschenrechtsausschuss der Vereinten Nationen während seiner 110. Sitzung unter anderem auch den Landesbericht der USA zur Einhaltung des Internationalen Pakts über bürgerliche und politische Rechte (ICCPR) begutachtet. Am 14. März wurden dazu auch Vertreter der amerikanischen Regierung direkt angehört und befragt (hier der Bericht der Sitzung vom 14. März).

Nun hat der Menschrechtsausschuss, der die Einhaltung der unter dem ICCPR garantierten Rechte kontrollieren soll, seinen (noch unbearbeiteten) Bericht in Bezug auf Amerika und auch die Tätigkeit der NSA veröffentlicht.

Danach ist der Ausschuss in Bezug auf die Überwachung der Kommunikation (innerhalb und außerhalb der USA) im Interesse der nationalen Sicherheit besorgt, welche durch die NSA sowohl durch das massenhafte Sammeln von Telefonmetadaten erfolgt (Abschnitt 215 des Patriot Act), als auch insbesondere die Sammlung von Daten bei US-Unternehmen durch das PRISM Programm (unter Abschnitt 702 des FISA Amendment Act) und das Anzapfen von Internetkabeln in Amerika unter dem Programm UPSTREAM. Diese Programme “wirken sich negativ” auf den Schutz der Privatsphäre aus (Anmerkung des Autors: der Schutz vor einer Überwachung des Privatlebens wird durch Art. 17 ICCPR garantiert). Des Weiteren kritisiert der Ausschuss, dass bis vor kurzem die Auslegung sowie Entscheidungen des zuständigen Gerichts (FISC) zum Großteil geheim gehalten wurden. Hierdurch wurde es von Überwachungsmaßnahmen betroffenen Personen nicht möglich gemacht, über die rechtlichen Grundlagen genaue Kenntnis zu erlangen. Nach der Ansicht des Ausschusses besteht zudem die Besorgnis, dass das derzeitige System der Kontrolle der Tätigkeiten der NSA nicht ausreicht, um die Rechte der Betroffenen wirksam zu schützen. Auch kritisiert der Ausschuss, dass trotz der geplanten Reformen der Schutz für Personen, die keine amerikanischen Staatsbürger sind, nur begrenzt gegeben ist. Zudem merkt der Ausschuss an, dass betroffene Personen im Falle des Missbrauchs der Überwachungsmaßnahmen, keine effektiven Rechtsschutzmöglichkeiten besitzen.

Der Ausschuss empfiehlt der amerikanischen Regierung daher (unter anderem):

  • Alle erforderlichen Maßnahmen zu unternehmen um sicherzustellen, dass die Überwachungsaktivitäten, sowohl innerhalb und außerhalb von Amerika, in Einklang mit Art. 17 ICCPR stehen. Insbesondere sollte sichergestellt werden, dass Eingriffe in das Recht auf Privatsphäre die Grundsätze der Verhältnismäßigkeit, Gesetzmäßigkeit und Erforderlichkeit beachten, die unabhängig von der Nationalität und dem Aufenthaltsort der Betroffenen.
  • Jeder Eingriff in das Recht auf Privatleben, den Schutz der Familie und der eigenen Wohnung muss auf einer gesetzlichen Grundlage beruhen, welche öffentlich zugänglich ist und die bestimmt, dass das Sammeln, der Zugang und die Nutzung von Kommunikationsdaten nur zu bestimmten Zwecken erfolgt.
  • Davon Abstand zu nehmen, eine verpflichtende Vorratsdatenspeicherung durch Dritte einzuführen.
  • Sicherzustellen, dass betroffenen Personen Zugang zu wirksamen Rechtsmitteln gegen rechtswidrige Überwachungsmaßnahmen besitzen.

Der UN Menschenrechtsausschuss findet klare Worte, um die Überwachungstätigkeit der NSA und das derzeit bestehende System in den USA als mit dem garantierten Schutz unter dem ICCPR unvereinbar zu erklären. Insbesondere der Hinweis darauf, dass Amerika keine Vorratsdatenspeicherung einführen solle (was jedoch derzeit als Reform in Bezug auf die Telefonmetadaten geplant wird), ist deutlich. Das Grundproblem in der vorliegenden Situation ist jedoch, dass die amerikanische Regierung stets argumentiert, dass die Rechte des ICCPR von ihr nur auf dem eigenen Hoheitsgebiet eingehalten werden müssten. Daher wird die Reform wohl auch nur für die Telefondaten amerikanischer Bürger gelten. Eine Bindung an die durch den ICCPR garantierten Rechte außerhalb des eigenen Staatsgebietes lehnt die amerikanische Regierung ab. Die Frage der extraterritorialen Geltung des ICCPR ist nicht unumstritten, jedoch geht auch der UN Menschrechtsausschuss davon aus, dass die Pflichten für Staaten, welche sich aus dem ICCPR ergeben, nicht auf das eigene Hoheitsgebiet beschränkt sind. Sie gelten vielmehr immer dann, wenn ein Staat effektive Kontrolle über Personen ausübt, was etwa im Fall von Entführungen durch Geheimdienste im Ausland bejaht wird, aber auch bei einer elektronischen Überwachung der Kommunikation (vgl. hierzu etwa die Ausführungen von Prof. Scheinin im LIBE Ausschuss des Europäischen Parlaments, PDF).

Das bin ich nicht! – Gedanken zum Profiling

Wenn wir im Rahmen des Profilings analysiert werden, dann nutzen Unternehmen oder Behörden nicht nur Daten, die sich direkt auf uns beziehen. Denn dies würde einfach eine personenbezogene Abwägung anhand bestimmter Kriterien darstellen (Herr X verdient 1.000 €, also bekommt er den Kredit nicht; Frau Y ist eine Frau, also bekommt sie keine Werbung für Rasierwasser angezeigt, etc.). Auf diese Weise kann natürlich auch ein Profil angelegt werden. Dies besteht jedoch aus von der betroffenen Person stammenden bzw. direkt aus diesen abgeleiteten Daten.

Der Sinn des Profilings liegt darin, aus einer Masse an Daten von verschiedenen Personen bestimmte Muster und Merkmale herauszufiltern, die man dann auf eine Person oder eine Personengruppe übertragen kann – freilich mit dem Risikofaktor einer gewissen Ungenauigkeit – die aber vorher dieser Person oder Personengruppe nicht zugeordnet waren. Meist geht es dabei um Vorhersagen und Wahrscheinlichkeitsprognosen. Es findet also auf der Grundlage gemeinsamer Merkmale die Analyse statt.

Aus einer Menge an Daten wird versucht, diese Gemeinsamkeiten von Personen zu erkennen und von diesen wiederum eine bestimmte, bisher noch nicht bestehende, also neue Information abzuleiten. Die Geburt eines neuen personenbezogenen Datums (vorausgesetzt, die Datenverarbeitung findet mit solchen Daten statt).

Dieses personenbezogene Datum wurde nicht durch den Betroffenen direkt bereitgestellt, es wurde auch nicht über Dritte dem für die Verarbeitung Verantwortlichen zugeleitet. Es entsteht auf der Grundlage von bestimmten Formeln und Vorhersagen. Es entsteht nicht an der Quelle, der es dann jedoch zugeordnet wird.

Die Folge ist, dass der Betroffene natürlich nicht weiß, welche neuen Informationen ihm zugeordnet werden. So kann mit der Zeit ein Online-Ich entstehen, welches entweder sehr genau mit dem Offline-Ich übereinstimmt (da die Vorhersagen und Wahrscheinlichkeitsberechnungen richtig lagen) oder aber erheblich von dem Offline-Ich abweicht.

Diese Situation, die man meines Erachtens nicht von vornherein als negativ brandmarken sollte, hält in Bezug auf das Datenschutzrecht interessante Fragen bereit:

  • Wie sieht es mit dem Grundsatz der Datengenauigkeit (Art. 6 (1) d) RL 95/46/EG) aus? Was wenn die Vorhersagen und das neue Merkmal fehlerhaft sind? Wer kann dies prüfen?
  • Wie weit reicht der Auskunftsanspruch des Betroffenen nach § 34 BDSG? (siehe zu dieser Diskussion etwa die Anmerkungen von Thomas Stadler und Daniel Schätzle zu einem Urteil des BGH in Bezug auf den Anspruch gegen die SCHUFA). Benötigen wir einen „automatischen“ Auskunfts- oder Informationsanspruch? Ein Hinweis, „Ihnen wurde ein neues Merkmal zugeordnet“?
  • Handelt die verantwortliche Stelle nach „Treu und Glauben“ (Art. 6 (1) a) RL 95/46/EG), wenn sie veraltete Daten für die Rechenprozesse nutzt? Besteht eine Kontrollpflicht zur Aktualisierung? („wenn nötig, auf den neuesten Stand gebracht werden“, Art. 6 (1) d) RL 95/46/EG) Wann wird das „nötig“? Muss ich den Betroffenen jeden Tag fragen, ob die Daten noch aktuell sind?

Man kann nun ansetzen und versuchen, auf diese Fragen Antworten nach geltendem Recht zu finden. Da knirscht und knarzt es wohl gewaltig. Da das Datenschutzrecht derzeit aber vor einer großen Reform steht, sollten wir uns auch überlegen, wie wir in Zukunft mit Techniken wie dem Profiling (an sich einem schlichten und für sich genommen neutralen Datenverarbeitungsprozess) umgehen wollen und diese Chance nutzen. Wichtig erscheint es, die Transparenzpflichten voranzutreiben. Dem Betroffenen muss verdeutlicht werden, was geschieht und wie es geschieht. Soweit wie möglich proaktiv. Dass uns neue Attribute zugeteilt werden, muss per se keine negativen Auswirkungen haben. Auch in der realen Welt teilen wir anderen Menschen stets bestimmte Attribute zu…auch diese können ungenau oder falsch sein. Zudem sollten Auskunfts- und Löschansprüche das halten, was sie versprechen, nämlich zu informieren und falsche Daten zu entfernen, jedoch keine Einladung darstellen, sein Online-Ich zum Mr. Perfect zurecht zu kürzen.

Bundesregierung zu Redtube: Gutes Maß an Rechtssicherheit erreicht.

Die Bundesregierung hat auf eine kleine Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN zum Thema „Klarheit für Verbraucherinnen und Verbraucher im Zusammenhang mit den Redtube-Abmahnungen“ (BT-Drs. 18/751, PDF) geantwortet. In einer ersten Antwort auf eine kleine Anfrage der DIE LINKE hatte die Bundesregierung zu den Redtube-Abmahnungen ausgeführt, dass aus ihrer Sicht die „Vervielfältigung, die bei Betrachten eines Videostreams erfolgt, unter den Voraussetzungen des § 53 Abs. 1 UrhG (so genannte Privatkopie-Schranke) zulässig“ sei (BT-Drs. 18/246).

Da jedoch zum Tatbestand des § 53 Abs. 1 UrhG auch die Voraussetzung erfüllt sein muss, dass „zur Vervielfältigung keine offensichtlich rechtswidrig hergestellte oder öffentlich zugänglich gemachte Vorlage verwendet“ wird, obliegt es den Nutzern zu beurteilen, ob es sich um eine solche Vorlage handelt. Die Fragesteller sehen hierin eine Rechtsunsicherheit für Verbraucher, da es für diese als juristische Laien kaum zu beurteilen sei, ob die Vorlage entweder offensichtlich rechtswidrig hergestellt oder aber offensichtlich rechtswidrig öffentlich zugänglich gemacht worden ist. Daher erbeten die Grünen u. a. eine Antwort darauf, ob die Bundesregierung hier gesetzgeberischen Handlungsbedarf sieht.

In der Öffentlichkeit wurde in Bezug auf die Redtube-Verfahren unter anderem auch darüber diskutiert, inwieweit es den beteiligten Richtern am LG Köln an technischer Expertise gemangelt haben könnte, um ein vorgelegtes Gutachten richtig beurteilen zu können. Die Bundesregierung geht in ihrer Antwort davon aus, dass

der hier angesprochene Sachverhalt […] nicht den Schluss zu[lässt], dass deutsche Gerichte mit den in technischer Hinsicht aufgeworfenen Fragen überfordert seien.

Hinsichtlich der Voraussetzungen des § 53 Abs. 1 UrhG, insbesondere in Bezug auf den oben beschrieben Halbsatz, weißt die Bundesregierung auf die Gesetzgebungsgeschichte der Vorschrift hin und führt aus:

Zugleich sollte aber mit dieser Einschränkung auch der Verbraucher geschützt werden. Er sollte nicht mit unerfüllbaren Prüfpflichten belastet werden. Denn die Einschränkung des letzten Halbsatzes ist so formuliert, dass es im Streitfall dem Rechtsinhaber – und nicht dem Verbraucher – obliegt zu beweisen, dass die Vorlage offensichtlich rechtswidrig hergestellt oder offensichtlich unerlaubt öffentlich zugänglich gemacht worden ist.

Auch geht die Bundesregierung jedoch davon aus, dass man diesbezüglich auf den jeweiligen Verbraucher und seinen individuellen Bildungs- und Kenntnisstand abstellen müsse. Für diesen müsse erkennbar sein, dass die Vorlage eine offensichtliche rechtswidrige Quelle war. Konkreter müssten nach der Bundesregierung hierbei die für den Verbraucher erkennbaren Gesamtumstände des Angebots berücksichtigt werden. Wann ein, aus der Sicht des jeweiligen Verbrauchers, legales Angebot vorliegt, hängt daher vom Einzelfall ab.

Allein das Vorhandensein eines Rechtsverletzungsmanagements zur Durchführung des sog. Notice-and-Take-Down-Verfahrens lässt daher noch nicht auf ein legales Angebot schließen, wenn alle anderen Umstände eine offensichtlich unerlaubt zugänglich gemachte Vorlage erkennen lassen.

Jedoch erklärt die Bundesregierung auch, dass eine Pflicht zu aktiven Nachforschungen durch den Verbraucher nicht besteht. Daher sei die geltende Rechtslageaus Sicht der Bundesregierung bereits verbraucherfreundlich ausgestaltet. Eine rechtssichere Klarstellung könne jedoch nur auf europäischer Ebene erfolgen.
Zuletzt merkt die Bundesregierung an, dass das LG Köln den Beschwerden gegen die zunächst ergangenen Beschlüsse zur Auskunft über die Anschlussinhaber stattgegeben habe. Damit habe das Gericht die Auffassung der Bundesregierung bestätigt.

Damit ist bereits ein gutes Maß an Rechtssicherheit erreicht.