Category Archives: Unternehmen

Intelligente Netze und Messsysteme: Kommission veröffentlicht Empfehlungen zum Datenschutz

Posted on by

Intelligente Netze (sog. smart grids) und daran angeschlossene Messsysteme (sog. smart meter) erfahren einen immer größeren Verbreitungsgrad. Über diese intelligenten, da digital ansteuer- und auslesbaren, Systeme können Energieunternehmen etwa Daten über das Heizverhalten oder den Stromverbrauch von Haushalten erheben und analysieren. Der Vorteil liegt auf der Hand: Strom kann aufgrund vorgenommener Analysen zum Beispiel besser verteilt werden. Welches Gebiet benötigt wann wieviel Strom? Wo und wann besteht grundsätzlich der geringste Heizbedarf? Auch eine bedarfsgerechtere Abrechnung des Energieverbrauchs ist möglich.

Da jedoch für diese Zwecke nicht nur die jeweiligen „nackten“ Messwerte abgelesen werden, spielt das Thema Datenschutz auch in diesem Bereich des ‚Internets der Dinge‘ eine wichtige Rolle. Die europäischen Datenschützer, versammelt in der sog. Artikel 29 Datenschutzgruppe, haben daher auch bereits im Jahr 2011 eine Stellungnahme zu Fragen des Datenschutzes und dem Smart Meetering verfasst (WP 183, PDF). Die europäischen Datenschützer empfehlen unter anderem vor dem Einsatz von intelligenten Messsystemen eine Datenschutz-Folgenabschätzung vorzunehmen (WP 183, S. 12).

Um eine solche Datenschutz-Folgenabschätzung, welche die potentiellen Risiken für personenbezogene Daten beim Einsatz intelligenter Zähler bereits in der Planungsphase aufzeigen und entsprechend minimieren soll, europaweit möglichst in einer einheitlichen Form durchzuführen, hat eine Arbeitsgruppe auf europäischer Ebene (Expert Group 2 (EG2)) ein Muster (Data Protection Impact Assessment Template for Smart Grid and Smart Metering systems, PDF) entworfen, welches von Unternehmen genutzt werden soll, die den Aufbau oder Investitionen in intelligente Netze oder Messgeräte planen.

Anfang Oktober 2014 hat nun die Europäische Kommission ihre Empfehlungen zum Einsatz des Musters für die Datenschutz-Folgenabschätzung veröffentlicht (2014/724/EU, PDF). Diese Empfehlungen richten sich an die Mitgliedstaaten und wie diese bei der Verbreitung des Musters mitwirken und Unternehmen unterstützen sollten. Interessant sind zudem die in dem Dokument von der Kommission aufgestellten Definitionen zu verschiedensten Begriffen, die derzeit im Datenschutzrecht diskutiert werden (z. B. der „konzeptionsbedingte Datenschutz“ (data protection by design) oder auch der „standardmäßige Datenschutz“ (data protection by default)).

Die Kommission empfiehlt, dass die Mitgliedstaaten mit der Wirtschaft, Interessenträgern der Zivilgesellschaft und auch den nationalen Datenschutzbehörden zusammenarbeiten sollten, um in einem frühen Stadium der Einführung intelligenter Netze und intelligenter Messsysteme die Verbreitung und Anwendung des Musters für die Datenschutz-Folgenabschätzung zu fördern und zu unterstützen. Etwas konkreter sind zudem Empfehlungen, wonach die Mitgliedstaaten sicherstellen sollten, dass die für die Datenverarbeitung Verantwortlichen nach der Durchführung einer Datenschutz-Folgenabschätzung die geeigneten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten treffen und die Folgenabschätzung sowie die anhaltende Eignung der festgelegten Maßnahmen während des gesamten Lebenszyklus der Anwendung bzw. des Systems überprüfen.

Der Einsatz des Musters zur Folgenabschätzung sowie die Umsetzungsmaßnahmen der Mitgliedstaaten sollen in einer zwei-jährigen Testphase erprobt und danach von der Kommission bewertet werden. Anhand eines nachfolgenden Prüfberichts will die Kommission dann entscheiden, ob das Muster eventuell angepasst werden muss.

Datenschützer entwickeln ein Hausaufgabenheft für Google

Posted on by

Seit 2012 haben europäische Datenschutzbehörden in einer koordinierten Aktion, unter Führung der französischen Datenschutzbehörde, die Datenschutzerklärung von Google und deren Vereinbarkeit mit europäischem Datenschutzrecht überprüft (hierzu meine Blogbeiträge: Europa gegen Google? – Die “Task-Force” macht ernst und Französische Datenschutzbehörde eröffnet Verfahren gegen Google). Nachdem in den letzten Jahren jeweils nationale Verfahren aus diesem koordinierten Vorgehen erwachsen sind (etwa in Spanien oder in Frankreich), hat das Gremium der europäischen Datenschutzbehörden (die Art. 29 Gruppe) nun einen Maßnahmenkatalog (PDF) (man könnte auch von einem datenschutzrechtlichen Hausaufgabenheft sprechen) entwickelt, der Maßnahmen vorschlägt, wie aus der Datenschutzbehörden die Datenschutzerklärung von Google anzupassen ist, um eine Konformität mit europäischem Datenschutzrecht herzustellen. Begleitet wird dieser Katalog von einem Brief (PDF) an Larry Page.

Die Vorschläge der Datenschützer sind dabei als mögliche Lösungsvarianten anzusehen und sollen Google dabei helfen, die Vorgaben der Aufsichtsbehörden umzusetzen. Nachfolgend einige Highlights des immerhin 6-seitigen Dokuments.

  • Die Datenschutzerklärung soll stets sichtbar und direkt aufrufbar sein, ohne dass Nutzer etwa zum Ende einer Webseite scrollen müssten.
  • Es sollen abschließend alle Datenarten aufgelistet werden, die von Google im Rahmen seiner Dienste verarbeitet werden.
  • Auch sollen abschließend alle Zwecke angegeben werden, die der Datenverarbeitung zugrunde liegen.
  • Allein auf einer Seite soll Google den Nutzern die Möglichkeit bieten, sich ein umfassendes Bild über die Datenverarbeitung zu verschaffen.
  • Sollten sich die Zweck der Datenverarbeitung ändern oder neue hinzukommen, so soll Google dies nicht in den Nutzungsbedingungen darstellen, sondern vielmehr in der Datenschutzerklärung darüber informieren.
  • Werden Daten an Dritte weitergegeben, so dürfe Google nicht einfach von „Partnern“ sprechen, sondern müsse diese Partner konkret benennen.
  • Passive Webseitenbesuchern sollen besser informiert werden. Zudem müsste ihnen die Möglichkeit einer Einwilligung in die Verarbeitung ihrer Daten gegeben werden. Die Art. 29 Gruppe weißt hier auf Google Analytics hin. So könnte der Dienst etwa derart eingestellt werden, dass eine Analyse des Nutzerverhaltens erst beginnt, wenn der Betroffene seine Einwilligung erteilt hat. Auch wird hier auf die in der Praxis etablierte Verfahrensweise des Einsatzes von Google Analytics in Deutschland hingewiesen (Kürzung der IP-Adresse; Abschluss eines Vertrages zur Auftragsdatenverarbeitung; Möglichkeit des Opt-out). Diese Lösung könnte, so die Idee der Datenschützer, auf andere Länder übertragen werden.
  • Google sollte zudem die Formulierungen seiner Datenschutzerklärung ändern und keine Begriffe wie „wir können“ verwenden.
  • Nach Ansicht der Art. 29 Gruppe könnte Google seine Datenschutzerklärung mehrschichtig aufbauen. Auf der ersten Ebene allgemeine Informationen mit Verweisen zu speziellen und umfangreicheren Erläuterungen der einzelnen Dienste. Auf der zweiten Ebene dann spezielle Informationen zum Datenumgang bei den einzelnen Diensten.
  • Zudem soll Google Richtlinien zur Datenspeicherung und der Speicherdauer entwickeln. Diese sollten den Datenschutzbehörden vorgelegt werden.

Die Vorgaben bzw. Empfehlungen der Art. 29 Gruppe sind durchaus eine interessante Zusammenstellung an Interpretationen des europäischen Datenschutzrechts und wie sich ein Diensteanbieter wie Google insoweit konform verhalten kann. Dennoch scheinen einige der Vorgaben praktisch kaum umsetzbar bzw. mit dem geltenden Datenschutzrecht nicht begründbar zu sein. Ein Beispiel: die umfassende Aufklärung der Datenverarbeitung allein auf einer Seite. Was ist überhaupt eine „Seite“? DinA4? Gerade Unternehmen wie Google verarbeiten eine große Menge an Daten. Die Verarbeitungsvorgänge sind teilweise nicht in einem Satz darzustellen. Möchte der Anbieter also zumindest ansatzweise umfassend und dazu noch verständlich aufklären, dann benötigt er eben auch einmal mehr als eine „Seite“ an Informationen. Dieses Dilemma ist aber nicht unbedingt neu. Unternehmen möchten umfassend aufklären: dann wird ihnen vorgeworfen, die Datenschutzerklärung sei zu lang und kompliziert. Diensteanbieter straffen die Informationen und reduzieren sie auf die Kernthemen: dann wird ihnen vorgeworfen, dass sie nicht ausreichend aufklären und Nutzer in die Irre führen. Es zeigt sich, dass der Anspruch des Rechts und die Umsetzung in der Praxis doch häufig kaum (oder nur mit massiven Verrenkungen) vereinbar sind.

Datenschutz und „Internet der Dinge“ – Position der Europäischen Datenschützer

Posted on by

Die Artikel 29 Datenschutzgruppe (Art. 29 Gruppe), das Gremium der Vertreter der europäischen Aufsichtsbehörden für den Datenschutz, hat in einer neuen Stellungnahme (WP 223, PDF) zum „Internet der Dinge“ (IoT) ihre Positionen zu verschiedenen datenschutzrechtlichen Fragen im Zusammenhang mit der Datenverarbeitung rund um Smartwatches, Fitnesstracker oder intelligente Thermostate dargelegt. Im Folgenden möchte ich einige der in der Stellungnahme angesprochenen Themenbereiche näher beleuchten.

Räumlicher Anwendungsbereich
Nach Ansicht der Art. 29 Gruppe ist das europäischen Datenschutzrecht (bzw. die jeweilige nationale Umsetzung der Vorgaben der geltenden Datenschutzrichtlinie (DS-RL) 95/46/EG) zum einen dann anwendbar, wenn Datenverarbeitungen „im Rahmen der Tätigkeiten“ einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche (hierzu sogleich) in der Europäischen Union besitzt (Art. 4 Abs. 1 lit. a DS-RL). Was genau unter der Umschreibung „im Rahmen der Tätigkeiten“ zu verstehen ist, wird in dieser Stellungnahme nicht näher erläutert. Jedoch verweisen die Datenschützer auf das Google-Urteil des Europäischen Gerichtshofs (C-131/12) und die dort vorgenommene sehr weite (meines Erachtens mit dem Wortlaut der Datenschutzrichtlinie kaum zu vereinbarende) Auslegung dieses Begriffs. Sollte der für die Datenverarbeitung Verantwortliche nicht in der EU niedergelassen sein, ist das europäische Datenschutzrecht dennoch anwendbar, wenn er nach Art. 4 Abs. 1 lit. c DS-RL auf Mittel zurückgreift, welche in einem Mitgliedstaat belegen sind. Nach Ansicht der Datenschützer stellen alle Geräte, die zur Erhebung oder weiteren Verarbeitung von personenbezogenen Daten im Rahmen eines IoT-Dienstes eingesetzt werden, solche „Mittel“ im Sinne der DS-RL dar. Hierzu gehören aber auch die Smartphones oder Tablets der Nutzer, auf denen entsprechende Software oder Apps zum Analysieren oder Übermitteln der erhobenen Daten installiert sind.

Personenbezogene Daten
Für die Datenschützer sind die Informationen, die von den IoT-Geräten erhoben werden, in den meisten Fällen als personenbezogen im Sinne des Art. 2 DS-RL anzusehen. Entweder kann eine bestimmte Person direkt hierüber identifiziert oder es können Lebensmuster und –gewohnheiten einer Person oder Familie erkannt werden. Jedoch gehen die Datenschützer in ihrer Stellungnahme noch weiter. Selbst wenn Daten pseudonymisiert oder gar anonymsiert werden, so bestünde doch aufgrund der Schieren Menge an Informationen stets ein latentes Risiko einer Re-Identifizierung. Dies reiche aus, um von personenbezogenen Daten auszugehen.

Für die Datenverarbeitung Verantwortlicher
Bei der Frage des für die Verarbeitung Verantwortlichen geht es um die Bestimmung derjenigen Stelle, welche die gesetzlichen Pflichten des Datenschutzrechts treffen. Die Art. 29 Gruppe verweist darauf, dass im Bereich des Internet der Dinge viele verschiedene Spieler beteiligt sind und daher eine genaue Analyse Ihrer Beteiligungen an den jeweiligen Datenverarbeitungsprozessen vorzunehmen ist. Der Gerätehersteller ist nach Ansicht der Datenschützer vor allem dann für die Datenverarbeitung verantwortlich, wenn er nicht nur das physische Gerät verkauft, sondern auch die Software programmiert und damit vorgibt, wie und welche Daten erhoben und zu welchen Zwecken verarbeitet werden. Auch Internetplattformen, auf denen Nutzer die über das Gerät erhoben Daten teilen und veröffentlichen können, besitzen unter gewissen Umständen datenschutzrechtliche Pflichten. So ist etwa der Anbieter eines sozialen Netzwerkes nach Ansicht der Datenschützer dann als Verantwortlicher anzusehen, wenn er Daten aus dem IoT-Gerät eines Nutzers für eigene Zwecke verwendet, z.B. um personalisierte Werbung für passionierte Jogger auszuspielen. Und auch Anbieter von Drittdiensten, etwa speziellen Apps, die auf IoT-Daten zugreifen, sind als für die Verarbeitung Verantwortlichen anzusehen, wenn sie über eine vorhandene API auf Informationen auf dem jeweiligen Gerät zugreifen. Nach Ansicht der Art. 29 Gruppe bedarf es hierfür zumeist der Einwilligung des Betroffenen, welche im Rahmen des Installationsprozesses der App einzuholen ist.

Einwilligung nach der ePrivacy-Richtlinie
Die Art. 29 Gruppe weist in ihrer Stellungnahme darauf hin, dass neben den Regelungen der DS-RL auch einzelne Bestimmungen anderer Gesetze zur Anwendung kommen können. Insbesondere im Blick haben die Datenschützer hierbei Art. 5 Abs. 3 der sog. ePrivacy-Richtlinie (2002/58/EG). Danach ist die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung gegeben hat. Dieses Einwilligungserfordernis betrifft nach Ansicht der Datenschützer vor allem den Gerätehersteller. Zu beachten ist, dass die Einwilligung sich nicht nur auf personenbezogene Daten bezieht, sondern ganz allgemein auf Informationen, die in einem IoT-Gerät gespeichert sind.

Erlaubnistatbestände der Datenverarbeitung
Die Verarbeitung personenbezogener Daten, die über ein IoT-Gerät erhoben werden, bedarf nach dem geltenden Prinzip des Verbots mit Erlaubnisvorbehalt eines Erlaubnistatbestandes. Art. 7 DS-RL listet die möglichen gesetzlichen Grundlagen einer Verarbeitung personenbezogener Daten auf. Die Voraussetzungen einer der Alternativen des Art. 7 DS-RL sind neben den Voraussetzungen des Art. 5 Abs. 3 ePrivacy-Richtlinie zu erfüllen (der ja bereits bei einem Zugriff auf Informationen einschlägig ist). Nach Ansicht der Art. 29 Gruppe kommen im Rahmen des Einsatzes von IoT-Geräten vor allem drei Varianten des Art. 7 DS-RL in Betracht. Zum einen Art. 7 lit. a DS-RL, wenn der Betroffene seine Einwilligung in die Datenverarbeitung erteilt hat. Zum anderen Art. 7 lit. b DS-RL, wenn die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist. Die Art. 29 Gruppe weist darauf hin, dass der Anwendungsbereich dieses Erlaubnistatbestandes durch das Merkmal der „Erforderlichkeit“ begrenzt ist. Zum Dritten stellt auch Art. 7 lit. f DS-RL einen tauglichen Erlaubnistatbestand dar, wenn die Verarbeitung zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird erforderlich ist. Dies jedoch nur, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. In diesem Zusammenhang verweisen die Datenschützer erneut auf das Google-Urteil des EuGH und nehmen die Aussagen des Gerichts zum Anlass darauf einzugehen, dass eine Datenverarbeitung über IoT-Geräte sehr wahrscheinlich die Grundrechte auf Privatleben und den Schutz personenbezogener Daten in besonderer Weise berührt. Die Daten beziehen sich etwa auf die Gesundheit der Betroffenen oder ihre private Umgebung. Nach Ansicht der Art. 29 Gruppe ist eine Datenverarbeitung unter diesen Gegebenheiten kaum allein durch die wirtschaftlichen Interessen des jeweils Verantwortlichen zu rechtfertigen.

Zusammenfassung
Die Stellungnahme der Art. 29 Gruppe geht noch auf weitere Aspekte ein, etwa Anforderungen an die Datenqualität, die Verarbeitung besonderer Arten von personenbezogenen Daten (z. B. Gesundheitsdaten) oder auch zu ergreifende technische und organisatorische Maßnahmen, um die Datensicherheit zu gewährleisten. Insgesamt dient die Stellungnahme der Datenschützer sicherlich als informative Lektüre, um eine grobe Einschätzung des immer bedeutender werdenden Bereichs des Internets der Dinge aus Sicht der Aufsichtsbehörden zu erhalten. Meines Erachtens sind die Positionen der Art. 29 Gruppe freilich nicht in jedem Punkt las eine Art „obiter dictum“ hinzunehmen. So stellt sich etwa für Geräte- oder Softwarehersteller die Frage des Sinns (bzw. Unsinns) von Anonymisierungsverfahren, wenn nach Ansicht der Datenschützer selbst dann die datenschutzrechtlichen Pflichten eingreifen. Als ob also eine Anonymisierung von Daten gar nicht stattgefunden hätte. Warum sollten Unternehmen dann noch eine Anonymisierung (die mit tatsächlichen und finanziellen Aufwandverbunden ist) vornehmen? Auch in Zukunft werden das vernetzte Haus, das smarte Auto oder die intelligenten Uhren den Datenschutz vor Herausforderungen stellen. Es sollte daher auch genau auf eine mögliche Berücksichtigung dieser Technologien in der geplanten Datenschutz-Grundverordnung geachtet werden und wie das künftige Datenschutzrecht mit technologischen Entwicklungen umgehen wird.
Vg Wort

IT-Sicherheitsgesetz: Telemedienanbieter dürfen anlasslos speichern

Posted on by

Heute wurde der Referentenentwurf des Bundesinnenministeriums für ein IT-Sicherheitsgesetz (IT-SG) veröffentlicht (PDF). Viele der dort beschriebenen Änderungen beziehen sich auf das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik. Jedoch sollen auch Änderungen am Telemediengesetz (TMG) vorgenommen werden. Eine dieser Änderungen betrifft die anlasslose Erhebung und Speicherung von Nutzungsdaten. Hierzu soll ein neuer § 15 Abs. 9 TMG-E (S. 18) eingefügt werden.

Hier der Wortlaut:

(9) Soweit erforderlich, darf der Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner für Zwecke seines Telemedienangebotes genutzten technischen Einrichtungen erheben und verwenden. Absatz 8 Satz 2 gilt entsprechend.

Dieser Vorschlag ist nicht neu. Bereits im Jahre 2009 sah der Gesetzentwurf für ein Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes (BT Drs. 16/11967, PDF) die Ergänzung des TMG um eine identische Regelung vor. Damals wurde die Gesetzesänderung jedoch am Ende nicht vorgenommen. Der Grund: die Eilbedürftigkeit der übrigen Regelungen des Gesetzesentwurfs (so die Beschlussempfehlung und der Bericht des Innenausschusses, BT Drs. 16/13259, PDF).

Nun soll die bereits 2009 anvisierte Änderung doch kommen. Und das ist grundsätzlich auch zu begrüßen. Sinn und Zweck der neuen Vorschrift ist es laut der Begründung zum IT-SG, dass Diensteanbieter die Möglichkeit haben müssen, eine Infektion der von ihnen angebotenen Telemedien mit Schadprogrammen zu erkennen, um entsprechende Schutzmaßnahmen ergreifen zu können (S. 51). Telemediendiensteanbieter sollen in die Lage versetzt werden, rechtmäßig für den Zweck Daten erheben und verwenden zu können, um Angriffe (Denial of Service, Schadprogramme, Veränderung ihrer Werbeangebote von außerhalb) abwehren zu können.

Inhaltlich bezieht sich die geplante Regelung auf Nutzungsdaten (definiert in § 15 Abs. 1 TMG). Hierzu gehören insbesondere Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien. Umfasst hiervon ist z. B. auch die IP-Adresse (sei es nun eine solche, die dynamisch oder statisch vergeben wird).

Erlaubt soll die Erhebung und Verwendung der Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen der genutzten technischen Einrichtungen sein. Die Begründung des Referentenentwurfs gibt auch vor, was aus gesetzgeberischer Sicht auf jeden Fall erforderlich ist: die Erhebung und kurzfristige Speicherung und Auswertung der Nutzungsdaten.

Die Erlaubnis des neuen § 15 Abs. 9 TMG-E bezieht sich unter anderem auf das „Erkennen“ von Störungen. Die Erhebung und Verwendung der Daten ist daher nicht erst erlaubt, wenn ein Angriff stattgefunden hat und seine Auswirkungen eintreten. Bereits zum Erkennen von Störungen, also proaktiv, soll die Speicherung der Nutzungsdaten erlaubt sein. Die Gesetzesbegründung des IT-SG trennt ausdrücklich zwischen dem „Erkennen“ und einer nachfolgenden „Abwehr“ von Angriffen. Für die Erlaubnis, bereits proaktiv Nutzungsdaten speichern zu können, spricht auch der Verweis in der Gesetzesbegründung auf § 100 Abs. 1 TKG. Zu dieser Vorschrift hat der BGH erst kürzlich entschieden, dass gegen eine proaktive Speicherung von (dort: dynamischen) IP-Adressen durch Telekommunikationsanbieter für eine Woche keine Bedenken bestehen (vgl. die Meldung bei Heise). Auch im TKG spricht das Gesetz, wie nun in der vorgeschlagenen Anpassung des TMG, vom „Erkennen“ von Störungen oder Fehlern.

Die Frage, welche sich freilich zwangsläufig stellen wird, ist diejenige nach der erlaubten Dauer der Speicherung. Die Gesetzesbegründung spricht von „kurzfristig“, ohne konkretere Vorgaben zu machen. Durch den vorgenommenen Verweis auf § 100 Abs. 1 TKG wird eine einwöchige Speicherung vor dem Hintergrund der aktuellen Rechtsprechung sicherlich erlaubt sein. Der Begriff „kurzfristig“ ist aber meines Erachtens nicht auf diese eine Woche beschränkt. Auch eine längere Speicherung erscheint durchaus möglich. Gerade wenn man sich vor Augen führt, dass die Speicherung grundsätzlich unter der Bedingung der Erforderlichkeit steht. Was jedoch erforderlich ist, um einen Angriff zu erkennen oder abzuwehren, wird sich kaum pauschal für alle Situationen festlegen lassen. Es erscheint daher durchaus möglich, dass die „kurzfristige“ Speicherung auch mehr als eine Woche umfasst.

Die vorgeschlagene Regelung ist nach meinem Dafürhalten richtig und wichtig. Kritiker werden sicher bemängeln, dass auf diesem Wege zumindest eine kleine Vorratsdatenspeicherung im TMG Einzug erhält. Auch hier lässt sich jedoch auf die Argumentation des Bundesgerichtshofs im oben benannten Urteil verweisen. Die Zwecke, warum Daten gespeichert und für welche Zwecke sie genutzt werden dürfen, sind in dem Gesetz aber klar umrissen. Es geht nicht um eine Speicherung für eine spätere Verwendung durch Sicherheitsbehörden. Natürlich lässt sich nicht ausschließen, dass dennoch ein Zugriff in Einzelfällen stattfinden könnte. Die Möglichkeit des Zugriffs wird aber nicht durch das IT-SG geschaffen, sondern durch die gesetzlichen Grundlagen für die Arbeit der Sicherheitsbehörden. Wenn man diese Befugnisse ablehnt, muss man dort ansetzen. Die im IT-SG vorgeschlagene Regelung hat den berechtigten Schutz der Telemediendienste (bzw. den von ihnen genutzten technischen Einrichtungen) und damit auch den Schutz der Nutzer und ihrer Daten im Sinn.

Spanien: Datenschützer verhängen Bußgeld gegen Google wegen Cookies auf Blogspot

Posted on by

Mit Beschluss vom 14. Mai 2014 hat die spanische Datenschutzbehörde (AEPD) ein Bußgeld in Höhe von 25.000 € gegen Google verhängt (hier der Beschluss im Original (Spanisch), PDF).

In dem Verfahren ging es um die datenschutzrechtliche Prüfung von Cookies, welche über Blogs verbreitet wurden, die auf der Plattform „Blogger“ und unter Adressen wie „Beispiel.blogspot.com“ betrieben wurden. Dabei ging es jedoch nicht um die Verantwortlichkeit des Blogbetreibers, sondern um diejenige der Google Inc.

Untersucht wurden von den Datenschützern vor allem Analyse-Cookies (die im Rahmen von Google-Analytics arbeiteten) und solche für Zwecke der Schaltung von personalisierter Werbeanzeigen.

Nach Ansicht der Datenschützer verletzte der Einsatz der Cookies vorliegend die Vorgaben des spanischen Datenschutzrechts, insbesondere diejenige einer Einwilligung entsprechend Art. 5 Abs. 3 der Richtlinie 2002/58/EG (PDF) (ePrivacyRL, in der Fassung durch Richtlinie 2009/136/EG). Art. 5 Abs. 3 ePrivacyRL sieht für die Speicherung von Informationen oder den Zugriff auf Informationen auf Endgeräten des Nutzers (oder Teilnehmers) eine Einwilligung in Kenntnis der Sachlage vor. Diese Vorschrift gilt freilich nicht nur für Cookies, wird in der Praxis aber gerade für diese relevant. Von dem Einwilligungserfordernis gibt es jedoch Ausnahmen, unter anderem dann, wenn der Zugriff oder die Speicherung der Informationen unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Laut den tatsächlichen Feststellungen in dem Beschluss, wurden auf den Rechnern von Nutzern, die einen Blog unter einer „blogspot“-Adresse besuchten, unter anderem Analyse-Cookies und solche für Werbezwecke gesetzt. Der Einsatz der Cookies wurde dabei durch Google selbst festgelegt und konnte durch den Blogbetreiber nicht unterbunden werden.

Die Behörde beanstandet, dass es zwar Informationen zu dem Einsatz von Cookies und auch von Analyse-Cookies im speziellen in der Datenschutzerklärung von Google gebe. Diese seien für die Besucher des jeweiligen Blogs jedoch schwierig aufzufinden. Zudem würden die Besucher nicht darauf hingewiesen, dass Cookies zum Einsatz kämen und wo sie hierzu Informationen finden könnten. Auch würden entsprechende Informationen etwa nicht den Blogbetreibern zur Verfügung gestellt, die diese dann an ihre Besucher weiterleiten könnten.

Google brachte unter anderem vor, dass für den Einsatz der Cookies keine Einwilligung der Nutzer nötig sei, da er für die Zurverfügungstellung des Dienstes unbedingt erforderlich sei. Diese Sichtweise wies die Behörde jedoch zurück. Sie begründet ihren Beschluss damit, dass sowohl die Werbe-Cookies als auch die Analyse-Cookies nicht unbedingt erforderlich seien, damit die Plattform zum einen den Bloggern (für das Erstellen von Blogs) und auch deren Besuchern zur Verfügung gestellt werden könne.

Fazit
Wann Cookies (und damit der Zugriff bzw. die Speicherung von Informationen; Achtung, nicht nur „personenbezogene“ Informationen!) unbedingt erforderlich sind, lässt sich kaum generell sagen, sondern hängt stark von dem jeweiligen Einzelfall ab. Die europäischen Datenschutzbehörden haben in einer Stellungnahme aus dem Jahre 2012 (WP 194, PDF) jedoch zumindest einige Leitlinien aufgestellt, wann nach ihrer Ansicht die Einwilligung beim Einsatz von Cookies entbehrlich sein kann.

Ausländische Telekommunikationsanbieter in den USA zum nationalen Routing verpflichtet

Posted on by

In der öffentlichen Debatte um die Einführung eines sog. „Schengen-Routings“ von Daten in Europa wurde häufig kritisiert, dass dies zu einer Zersplitterung des Internets führen würde und Europa oder Deutschland sich mit derartigen Maßnahmen vom Rest des Netzes abkapseln würden. Aus dem Bundeswirtschaftsministerium war in diesen Tagen zu hören, dass man ein nationales Routing allenfalls als freiwilliges Angebot zwischen den Unternehmen in Betracht ziehe. Anfang April hat sich auch der Handelsvertreter der Vereinigten Staaten von Amerika öffentlich gegen derartige Pläne ausgesprochen (hier mein Blogbeitrag dazu) und dies unter anderem mit einem faktischen Ausschluss und einer Diskriminierung ausländischer Anbieter begründet.

Blickt man jedoch in die USA, so zeigt sich, dass die Pflicht zu einem nationalen Routing für Telekommunikationsanbieter dort bereits Realität und eine rechtliche Pflicht ist. Der Grund: um amerikanischen Behörden einfacheren und direkten Zugriff auf gespeicherte Daten zu ermöglichen.

Ausländische, auf dem US-Markt agierende Unternehmen, schließen Verträge mit Regierungsstellen (u. a. dem Heimatschutzministerium oder dem Justizministerium) ab, in denen sie sich dazu verpflichten müssen, inländischen Datenverkehr allein innerhalb des Staatsgebietes von Amerika zu transportieren und zu speichern. Eine Auflistung von verschiedenen Verträgen, u. a. mit der Deutschen Telekom oder Telefonica Moviles) findet sich hier.

Anhand des Vertrages der Telefonica Moviles (abrufbar hier, PDF) möchte ich kurz auf ein paar der Pflichten eingehen, die dem Unternehmen auferlegt werden.

Wichtig ist zunächst unter Ziff. 1.7 die Definition der „Domestic Communications“. Dies umfasst sowohl die drahtlose als auch drahtgebundene Kommunikation, welche in den USA beginnt und endet. Aber ebenso den amerikanischen Anteil solcher Kommunikationen, die entweder in den USA beginnen oder dort enden. Zudem wird unter Ziff. 1.8 die „Domestic Communications Infrastructure“ definiert, wozu auch Anlagen und Geräte zum Routing zählen.

Nach Ziff. 2.1 des Vertrages besteht die Pflicht, dass sowohl die „Domestic Communications Infrastructure“ allein in den USA belegen sein darf und auch die durch sie abgewickelte nationalen Kommunikationsvorgänge allein durch diese Einrichtungen in den USA ausgeführt werden dürfen.

Nach Ziff. 2.3 des Vertrages besteht zudem eine Speicherpflicht für die nationalen Daten allein in den USA.

Zudem stellt Ziff. 2.8 explizit eine nationale Routing-Pflicht auf. Nationale Kommunikation darf danach nicht außerhalb der USA gerouted werden.

Und wie sieht es mit dem Zugang zu diesen Daten durch ausländische Behörden aus? Nach Ziff. 3.4 des Vertrages dürfen sowohl nationale Kommunikationsdaten (und zudem noch weitere Datenkategorien) weder direkt oder indirekt an ausländische Behörden weitergegeben werden, ohne dass eine vorherige schriftliche Zustimmung des amerikanischen Justizministeriums oder eine Anordnung eines amerikanischen (nicht etwa ausländischen) Gerichts vorliegt.

Die Verträge zeigen, dass ein nationales Routing in den USA bereits an der Tagesordnung ist. Einer der Gründe ist, den staatlichen Behörden einen einfachen Zugriff für Überwachungsmaßnahmen zu ermöglichen, wie sich etwa aus Ziff. 2.1 (b) ergibt.

Damit ist freilich noch nichts darüber gesagt, ob ein nationales Routing in Europa oder Deutschland tatsächlich gegen die Überwachung durch ausländische Geheimdienste schützen würde. Nur das Argument, dass dies eine neue Qualität des Eingriffs in den freien Fluss der Daten im Internet darstellen und Europa damit allein dastehen würde, kann damit kaum noch gelten.

EU-Datenschützer: ICANN-Verträge verstoßen gegen Datenschutzrecht

Posted on by

Die Internet Corporation for Assigned Names and Numbers (ICANN) sieht sich weiterhin Kritik der europäischen Datenschutzbehörden ausgesetzt. Sowohl der Zusammenschluss der nationalen Behörden, die Art. 29 Datenschutzgruppe, als auch der Europäische Datenschutzbeauftragte (EDSB), Peter Hustinx, haben in Briefen (Brief der Art. 29 Gruppe, (PDF) / Brief des EDSB, (PDF) ) an die Organisation zum Ausdruck gebracht, dass die derzeit bestehenden vertraglichen Pflichten zum Umgang mit personenbezogenen Daten gegen europäisches Datenschutzrecht verstoßen.

Die europäischen Datenschützer kritisieren Klauseln in Verträgen, welche sog. Domain Name Registrare auf der ganzen Welt mit der ICANN abschließen müssen. Die Registrare akkreditieren sich bei der ICANN und dürfen dann für ein bestimmtes Gebiet die Registrierung von Domain Namen durchführen (typische Beispiele für Deutschland sind etwa die Deutsche Telekom, 1&1 Internet oder united-domains AG). In den hierfür erforderlichen Akkreditierungsverträgen (RAA, Stand vom 27. Juni 2013) sind auch Bestimmungen enthalten, welche sich auf das Speichern personenbezogener Daten der Kunden der Registrare beziehen (siehe Nr. 3.4 des Vertrages sowie die Data Retention Specification (DRS), in denen die Datenarten genauer benannt werden). Diese Regelungen greifen die europäischen Datenschützer an.

Laut den Vorgaben der RAA besteht eine generelle Speicherpflicht von zwei Jahren für personenbezogene Daten der Kunden der Reistrare, welche einen Domain Namen registrieren (Nr. 3.4.3). Innerhalb dieses Zeitraums muss der Registrar diese Daten der ICANN nach einem begründeten Hinweis auch zugänglich machen.

Diese lange Speicherfrist hat bereits in der Vergangenheit Kritik hervorgerufen. Denn in Europa niedergelassene Registrare sind an europäisches Datenschutzrecht gebunden. Sie müssen sich daher beim Umgang mit personenbezogenen Daten an die Vorgaben der Datenschutz-Richtlinie (RL 95/46/EG, DS-RL) bzw. die jeweiligen nationalen Gesetze, und damit auch den Grundsatz der Zweckbindung (Art. 6 Abs. 1 b) DS-RL) und den Grundsatz der Datensparsamkeit/-minimierung (Art. 6 Abs. 1 f) DS-RL) halten.

Aus diesem Grund sieht die DRS (unter Nr. 2) die Möglichkeit vor, dass Registrare mit der ICANN abweichende Vereinbarungen in Bezug auf die Datenspeicherung vertraglich festlegen können, wenn eine Anwaltskanzlei oder eine anerkannte staatliche Stelle die Datenspeicherung für rechtswidrig erachtet. Für die Vereinbarung solcher Änderungen ist bei der ICANN zudem ein bestimmtes Verfahren vorgesehen. Das tatsächliche Probleme war jedoch, dass es verschiedene abweichende Vereinbarungen zwischen der ICAAN und europäischen Registraren gab, die sich inhaltlich nicht unbedingt decken müssen.

Hier wollte die Art. 29 Datenschutzgruppe ansetzen und die ICANN davon überzeugen, dass der bisherige Schriftverkehr zwischen beiden Institutionen als Leitlinie für europäische Anbieter angesehen werden sollte, wenn Abweichungen bei der Speicherpflicht von Daten vereinbart werden. Damit könnte für alle europäischen Registrare, die ja alle den Vorgaben der DS-RL unterliegen, ein einheitliches Verfahren mit denselben rechtlichen Vorgaben etabliert werden. Dies erkannte die ICANN jedoch bisher nicht an.

In letzter Zeit bemühte sich die ICAAN, auf die Kritik an der langen und aus Sicht der europäischen Datenschützer unverhältnismäßigen Speicherpflicht einzugehen. Denn das Problem für europäische Registrare ist offensichtlich. Sie sind vertraglich zu einer Speicherung gegenüber der ICANN verpflichtet, die jedoch durch die nationalen Datenschutzbehörden als rechtswidrig angesehen werden könnte. Die ICANN veröffentlichte daher im März 2014 einen Entwurf zur Spezifizierung der verschiedenen Datenarten, welche der Speicherfrist unterliegen, und welche Zwecke die Speicherung verfolgt (Data Retention Specification Data Elements and Legitimate Purposes, PDF). Dieser Entwurf sollte als Diskussionsgrundlage dienen. Der Brief des EDSB bezieht sich direkt auf diesen Entwurf.

Zwar erkennt der EDSB die Bemühungen der ICANN um Klarstellung und genauere Spezifizierung der Datenarten und Verarbeitungszwecke an. Dennoch sind aus seiner Sicht sowohl die Vorgaben der RAA als auch DRS mit europäischem Datenschutzrecht derzeit nicht vereinbar. Personenbezogene Daten sollten nur für die Zwecke der Vertragsdurchführung des Registrars mit seinen Kunden gespeichert werden und nicht etwa für andere Zwecke, wie z. B. um Betrug bei der Registrierung der Domain Namen vorzubeugen. Zudem sollten die Daten auch nur solange gespeichert werden, wie dies zur Durchführung des Vertrages absolut notwendig ist. Eine Speicherung für Zwecke der Kriminalitätsbekämpfung oder zur Durchsetzung von Urheberrechten sei damit nicht vereinbar.

Interessanterweise geht der EDSB in seinem Brief auch direkt auf die kürzlich ergangene Entscheidung des EuGH zur Vorratsdatenspeicherung ein. Er weist darauf hin, dass eine Speicherung geschäftlicher Verkehrsdaten für Zwecke der Bekämpfung schwerer Kriminalität erforderlich sein kann, die Richtlinie zur Vorratsdatenspeicherung jedoch die Vorgaben der Verhältnismäßigkeit nicht beachtete. Hieraus schließt Hustinx, dass die Voraussetzungen für eine Speicherung von Daten auf Vorrat in der EU in Zukunft besonderer Prüfung und rechtlichen Herausforderungen unterliegen werden.

Ministerkomitee des Europarates: Leitfaden der Menschenrechte von Internetnutzern

Posted on by

Am 16. April 2014 hat das Ministerkomitee des Europarates (Die Versammlung der Außenminister der Mitgliedstaaten) eine Empfehlung mit dem Titel „Guide to human rights for Internet users“ verabschiedet. Derartige Empfehlungen sind für die Mitgliedstaaten nicht bindend, geben jedoch die Sichtweise der für die Verabschiedung erforderlichen Mehrheit der Mitgliedstaaten wieder.
Die Empfehlung ist zweigeteilt. Zu Beginn richtet sie sich mit Forderungen an die Mitgliedstaaten. Der zweite Teil stellt den eigentlichen Leitfaden für die Bürger dar.

Empfehlungen an Mitgliedstaaten
Das Ministerkomitee stellt zunächst klar, dass die in der Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK) aufgestellten Rechte und Freiheiten sowohl offline als auch online gelten.

Zudem besitzen die Mitgliedstaaten im Rahmen der Wahrung des Schutzes der Menschenrechte auch die Pflicht, die Aufsicht über private Unternehmen auszuüben. Privatrechtliche Vereinbarungen müssen sich an den durch die Grundrechte aufgestellten Prinzipien messen lassen.

Das Internet besitzt besonderen Wert als öffentliches Gut. Bürger besitzen ein berechtigtes Interesse, das Internet ohne diskriminierende Einschränkungen, sicher und zuverlässig nutzen zu können.

Bürger sollten Unterstützung erhalten, wie sie ihre Menschenrechte online wirksam ausüben könne. Hierzu gehöre auch der Zugang zu wirksamen Rechtsschutzmöglichkeiten, wenn ihre Rechte und Freiheiten eingeschränkt wurden.

Für die Sicherstellung der gleichwertigen Geltung von Menschenrechten auch im Internet empfiehlt das Ministerkomitee den Mitgliedstaaten:

  • Die Umsetzung und Anwendung des Leitfadens der Menschenrechte für Internetnutzer unter den Bürgern, den öffentlichen Stellen und den privaten Unternehmen zu fördern und konkrete Maßnahmen für seine Anwendung durchzuführen;
  • Kontinuierlich Einschränkungen von Menschenrechten im Internet zu überwachen, zu prüfen und auch aufzuheben, wenn diese nicht im Einklang mit den Vorgaben der EMRK im Lichte der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) stehen;
  • Sicherzustellen, das Internetnutzer Zugang zu wirksamen Rechtsschutzmöglichkeiten besitzen, wenn ihre Rechte eingeschränkt wurden. Dies erfordere eine Koordinierung und Zusammenarbeit der relevanten Einrichtungen. Zudem müsse eine Zusammenarbeit mit der privaten Wirtschaft und Bürgerrechtsorganisationen stattfinden.
  • Auch mit Staaten zusammenzuarbeiten, die nicht Mitglied des Europarates sind, um Maßstäbe und Verfahren zu entwickeln, die Einfluss auf den Schutz der Rechte und Freiheiten im Internet besitzen.
  • Private Unternehmen zu unterstützen und zu fördern, im Rahmen ihrer unternehmerische Gesellschaftsverantwortung in einen Dialog mit staatlichen Behörden und der Zivilgesellschaft zu treten.

Leitfaden der Menschenrechte von Internetnutzern
In dem Leitfaden selbst werden den Bürgern Informationen zu verschiedenen Menschenrechten (etwa Meinungsfreiheit, Zugang zu Informationen, Versammlungsfreiheit etc.), jeweils mit Bezug zum Internet, gegeben. Beispielhaft sei hier das Recht auf Schutz des Privatlebens (Art. 8 EMRK) genannt. Dessen Schutzbereich umfasst auch den Schutz personenbezogener Daten (zu dem Schutzumfang der EMRK und im Vergleich hierzu durch die Charta der Grundrechte der Europäischen Union hatte ich bereits einmal etwas geschrieben). Der Leitfaden weist darauf hin, dass eine Nutzung des Internets grundsätzlich mit einer Verarbeitung personenbezogener Daten einhergeht. Die Verarbeitung darf jedoch nur auf der Grundlage eines Gesetzes oder einer Einwilligung erfolgen. Zudem dürfe der Bürger nicht Gegenstand einer ständigen Überwachungsmaßnahme sein. Bei einer Einschränkung dieses Rechts, etwa zum Zwecke der Kriminalitätsbekämpfung, muss der Bürger über die Grundlagen des Eingriffs und seine Rechtsschutzmöglichkeiten informiert werden. Auch am Arbeitsplatz müsse die Privatsphäre des Bürgers beachtet werden. Überwachungsmaßnahmen durch den Arbeitgeber müssten vorher mitgeteilt werden.

Fazit
Der verabschiedete Leitfaden ist absolut begrüßenswert. Er versucht in einer möglichst bürgernahen und unjuristischen Sprache über die Rechte im Internet aufzuklären und sollte jedem interessierten Bürger als Informationsquelle dienen. Abgesehen von dem Leitfaden selbst, sind die Empfehlungen an die Mitgliedstaaten ebenfalls nicht uninteressant. Insbesondere das Votum für eine engere Einbeziehung des privaten Sektors in Form einer geminsamen Zusammenarbeit mit staatlichen Stellen zum Nutzen der Bürger fällt deutlich aus und ist meines Erachtens auch ein richtiger Weg.

Europäische Datenschützer: Vorschläge zur Verbesserung von Safe Harbor

Posted on by

Die Vertreter der europäischen Datenschutzbehörden (Art. 29 Gruppe) haben Justizkommissarin Viviane Reding in einem Brief ihre Verbesserungsvorschläge (PDF) zur Überarbeitung der Safe Harbor Entscheidung der Europäischen Kommission übersendet. Derzeit wird diese Entscheidung, welche bestimmte Prinzipien zur Übermittlung von personenbezogenen Daten von Europa in die USA für teilnehmende amerikanische Unternehmen aufstellt, vor dem Hintergrund der Snowden-Enthüllungen überarbeitet. Die Kommission hatte dem amerikanischen Handelsministerium hierfür im November 2013 bereits 13 konkrete Vorgaben gemacht (Mitteilung der Kommission, COM(2013) 847, PDF), welche bis zum Sommer 2014 umgesetzt werden sollen. Im nachfolgenden möchte ich einige der Vorschläge der Art. 29 Gruppe ansprechen.

Zur Not: Aussetzen
Die Art. 29 Gruppe stellt zunächst klar, dass die Gewährleistung eines angemessenen Schutzniveaus unter Safe Harbor für die Daten europäischer Bürger derzeit fraglich erscheint. Sie begrüßt die Entscheidung der Kommission, Safe Harbor neu zu verhandeln und auch die 13 bereits identifizierten Änderungsvorgaben. Sollte der Überarbeitungsprozess jedoch zu keinem positiven Ergebnis gelangen, dann sprechen sich die Datenschützer für eine Aussetzung von Safe Harbor aus. Zudem verweisen sie auf die stets bestehende Möglichkeit für nationale Datenschutzbehörden, einzelne Datentransfers in die USA zu unterbinden.

Anwendbares Recht
Die Art. 29 Gruppe schlägt vor, in Safe Harbor klarzustellen, dass amerikanische Unternehmen, die keine Niederlassung in der EU besitzen, sich auch dann an europäisches (nationales) Datenschutzrecht halten müssen, wenn sie personenbezogene Daten in einem Mitgliedstaat erheben und hierzu auf Mittel zurückgreifen, welche in dem Mitgliedstaat belegen sind.

Anmerkung: Die Datenschutzbehörden verstehen unter diesen „Mitteln“ etwa PCs auf denen Cookies platziert werden. Die vorgeschlagene Änderung dient wohl vor allem der Information der amerikanischen Unternehmen, die eventuell davon ausgehen, dass sie europäische Vorgaben nicht zu beachten haben.

Transparenz
Wirtschaftszweige, welche nicht der Zuständigkeit der amerikanischen FTC und damit der Überwachung der Einhaltung der Safe Harbor Prinzipien unterliegen, sollten deutlicher hervorgehoben werden. Die online auf der Webseite des amerikanischen Handelsministeriums abrufbaren Zertifikate der teilnehmenden Unternehmen sollten genauer Auskunft darüber geben, welche Datenarten vom Zertifikat erfasst werden und welche Einheiten eines Konzerns umfasst sind.
Teilnehmende Unternehmen sollten Informationen zum Datenschutz und zur Einhaltung der Safe Harbor Prinzipien im Internet deutlicher und verständlicher präsentieren. Zudem sollten Betroffene deutlich auf ihr Auskunftsrecht und wie sie dieses ausüben können, hingewiesen werden. Auch die Aufgaben der verschiedenen beteiligten staatlichen Institutionen und ihre Befugnisse sollten in der Safe Harbor Entscheidung klarer festgelegt werden.

Rechtsschutz
Betroffenen sollte das Recht eingeräumt werden, vor einem zuständigen nationalen Gericht in der EU Klage gegen ein amerikanisches Unternehmen auf Schadenersatz erheben zu können, wenn eine rechtwidrige Datenverarbeitung vorliegt. Zudem sollten die amerikanischen Unternehmen dazu angehalten werden, europäische Anbieter zur außergerichtlichen Streitbeilegung zu wählen. Derzeit müssten viele Betroffene sich mit amerikanischen Anbietern einer solchen Streitbeilegung auseinandersetzen, was jedoch Schwierigkeiten bei der Rechtsdurchsetzung mit sich bringe.
Unabhängig davon sollte für Betroffene das Recht vorgesehen werden sich stets an die für sie zuständige nationale Datenschutzbehörde wenden und ihre Beschwerde dort einbringen zu können. Zudem sollten die Regeln zu Verantwortlichkeit der teilnehmenden amerikanischen Unternehmen deutlicher ausgestaltet werden.

Gebühren
Derzeit verlangen einige der Anbieter einer außergerichtlichen Streitbeilegung noch Gebühren, wenn sich europäische Nutzer an sie wenden. Die Art. 29 Gruppe fordert, dass diese Gebühren abgeschafft werden müssen.

Zugang durch US-Behörden
Ausnahmen von der Einhaltung der in Safe Harbor aufgestellten Prinzipien sollten eingeschränkt werden. Zudem ist es der Art. 29 Gruppe wichtig, dass das aus dem europäischen Recht bekannte Notwendigkeits- und Verhältnismäßigkeitsprinzip für Ausnahmen Anwendung findet. Die Möglichkeit zur Aussetzung von Datentransfers sollte deutlicher umschrieben werden.
Zudem schlagen die Datenschützer vor, dass der Begriff der „Verarbeitung personenbezogener Daten“ in Safe Harbor definiert wird und zwar in Form der europäischen Idee. Denn in den USA zählt die Erhebung von Daten noch nicht zur „Verarbeitung“, in Europa jedoch schon. Daher greifen in den USA Schutzmechanismen für eine Verarbeitung personenbezogener Daten erst nach der Stufe der Erhebung dieser Daten ein.

Weitergabe der Daten
Nach den bestehenden Prinzipien darf ein Unternehmen die ihm übermittelten Daten nur an Dritte weitergeben, wenn es Grundsätze der Informationspflicht und der Wahlmöglichkeit anwendet. Wenn Daten an einen Dritten weitergeben werden sollen, der im Auftrag und auf Anweisung tätig ist, kann dies etwa dann geschehen, sofern der Dritte selbst Safe Harbor angehört. Die Art. 29 Gruppe möchte diese Voraussetzung grundsätzlich auf jeden Dritten erstrecken, also auch auf solche Stellen, die selbst Verantwortliche sind und nicht im Auftrag handeln. Zudem sollten Dritte, die im Auftrag handeln, verpflichtend einen Vertrag mit der übermittelnden Stelle abschließen müssen.

Fazit
Es wurden hier nur einige Vorschläge der Art. 29 Gruppe angesprochen. Viele dieser Vorschläge decken sich bereits mit denjenigen der Kommission, einige gehen darüber hinaus. Die Verhandlungen mit den USA scheinen derzeit konstruktiv zu verlaufen, wie Paul Nemitz, Direktor der Direktion C der Generaldirektion Justiz, kürzlich in einer Anhörung (PDF) durch das britische Oberhaus (House of Lords) zum Thema Safe Harbor berichtete.

Handelsvertreter der USA kritisiert Pläne zum „Schengen“-Routing

Posted on by

Der Handelsvertreter der Vereinigten Staaten von Amerika (United States Trade Representative) hat sich in einem am 4. April vorgestellten Bericht zu Handelsschranken im Bereich der Telekommunikation (PDF) gegen Pläne in der Europäischen Union ausgesprochen, das sog. „Schengen“-Routing für Daten voranzutreiben. Dabei geht es bekanntlich um die Idee, Datenpakete, die als Start- und Zielpunkt europäische IP-Adressen besitzen, nicht über andere Länder außerhalb der EU zu transportieren. Öffentlichkeitswirksam stellt sich vor allem die Deutsche Telekom hinter diese Pläne. Auch die Politik hatte sich dem Thema bereits angenommen.

In seinem Bericht kritisiert der amerikanische Handelsvertreter (der in der Regierung von Präsident Obama Mitglied von Kabinettsrang ist), dass solche europäischen Datennetzwerke möglicherweise zu einem tatsächlichen Ausschluss oder einer Ungleichbehandlung gegenüber ausländischen Diensteanbietern führen können.

Der Handelsvertreter bezieht sich in seinen Anmerkungen auch direkt auf die Deutsche Telekom, die ein „Schengen“-Routing vor allem mit Verweis auf den Datenschutz begründe und zudem die Aufhebung der Safe Harbor Entscheidung der Europäischen Kommission fordere. Amerika und Europa teilten in Bezug auf den Schutz personenbezogener Daten dieselben Interessen. Die von der Deutschen Telekom und anderen Vertretern vorgeschlagene „drakonische Herangehensweise“ an dieses Thema stellt aus der Sicht des Handelsvertreters jedoch nichts anderes dar, als protektionistische Vorteile für Telekommunikationsanbieter, die ihren Sitz der Europa haben.

Das „Schengen“-Routing behindert aus Sicht des Handelsvertreters mögliche Innovationen und könnte gerade ausländische Anbieter davon abhalten, ihre Dienste in Europa anzubieten. Zudem stelle sich bei einem solchen verpflichtenden innereuropäischen Routing die Frage nach der Einhaltung von internationalen Handelsverpflichtungen der Europäischen Union in Bezug auf internetbasierte Diensten.