Deutsch – Französischer Ministerrat: Verabschiedung der Datenschutzreform bis 2015

In der offiziellen gemeinsamen Erklärung (PDF) zum Deutsch – Französischen Ministerrat vom 19. Februar 2014, verpflichteten sich die Regierungen der beiden Länder zu verschiedenen Maßnahmen und Initiativen, die sowohl auf nationaler als auch auf internationaler Ebene im Bereich der Regulierung Internets, der digitalen Wirtschaft und des Datenschutzes vorangetrieben werden sollen.

Digitale Wirtschaft
Die Regierungen beider Länder wollen in der Zukunft

Innovationen fördern, damit Erzeugnisse und Dienstleistungen entwickelt werden, die in Europa zur Wertschöpfung beitragen.

Zudem möchten beide Regierungen prüfen, welche Instrumente benötigt werden, um die Finanzierung und das Wachstum von Start-up-Unternehmen in Europa zu fördern.

Schutz personenbezogener Daten
Weiterhin halten es die Minister von Deutschland und Frankreich für unerlässlich, dass ein

Rahmen geschaffen wird, der den…Schutz der personenbezogenen Daten gewährleistet.

Hierzu haben die Regierungen die Absicht, auf europäischer Ebene zu einer Verständigung über den Rahmen für personenbezogene Daten beizutragen. Damit dürfte die derzeit verhandelte Datenschutz-Grundverordnung gemeint sein. Ziel der Regierungen ist es, dass

eine Verabschiedung dieser Rechtsvorschriften bis spätestens 2015 sichergestellt wird.

Zudem haben sich die Minister verpflichtet, den Schutz der europäischen Bürger in Bezug auf Datentransfers mit Drittstaaten zu verbessern. Hier erwähnt die Erklärung explizit auch die derzeit umstrittene Safe Harbor Entscheidung, welche vielen Unternehmen als Grundlage der Datenübertragung nach Amerika dient.

Technologie und Innovation
Zudem soll eine deutsch-französische Arbeitsgruppe die Möglichkeiten des Erlasses von Vorschriften im Bereich neuer Technologien prüfen. Auch sieht die Erklärung die Absicht vor, die Entwicklung von Schlüsseltechnologien im Bereich der Datenspeicherung und Datenverarbeitung (v. a. Cloud Computing und Big Data) mit Hilfe von Technologiepartnerschaften zu begleiten.

Des weiteren sollen gemeinsame Vorschläge für eine europäische Regulierung der wichtigsten Internet-Plattformen vorgelegt werden,

durch die Internetdiensten und Internetnutzern offener Zugang gewährt und Interoperabilität, Transparenz und Nichtdiskriminierung sichergestellt werden sollen.

Hierbei soll es darum gehen, zum einen sowohl die Innovationsfähigkeit von europäischen Unternehmen in vollem Umfang zu erhalten, indem übermäßige Restriktionen abgeschafft bzw. nicht erzeugt werden, die ihnen im Markt vor allem von den großen Internet-Unternehmen auferlegt werden. Bereits im Frühjahr sollen hierzu konkrete Vorschläge vorliegen.

Neues Urteil: Wie dürfen Auskunfteien über gesperrte Daten informieren?

Der Hessische Verwaltungsgerichtshof hat mit Beschluss vom 02.01.2014 (Az.: 10 B 1397/13) entschieden, dass ein Kreditschutzunternehmen Dritten gegenüber keine Auskunft über die Sperrung von Daten geben darf. Die Auskunft darf auch nicht so ausgestaltet sein, dass sie von dem Anfragenden als versteckte Mitteilung einer Datensperrung verstanden werden kann.

Sachverhalt
Die Situation ist eine alltägliche. Im Zuge des Abschlusses eines gewerblichen Leasingvertrages für ein Auto möchte sich der Leasinggeber der Kreditwürdigkeit des Leasingnehmers versichern. Dazu fragt er bei Kreditschutzunternehmen an, ob Daten zu den Betroffenen vorlägen. Sind Einträge vorhanden, geht dies meist zu Lasten des Leasingnehmers. Im hier entschiedenen Fall wurde das Kreditschutzunternehmen, nach Beschwerden von Betroffenen, die neue Leasingverträge abschließen wollten, von der hessischen Datenschutzaufsichtsbehörde dazu verpflichtet bei teilweiser oder vollständiger Sperrung von Daten Betroffener, Dritten keine Auskünfte zu den Betroffenen zu erteilen, die einen Hinweis auf die Speicherung von Daten enthielten. Formulierungen, wie etwa „über gespeicherte Datenarten wird derzeit/generell keine Auskunft erteilt“, „… ist nicht möglich …“, „… ist nicht gestattet …“ seien unzulässig, da sie für anfragende Unternehmen dennoch den Schluss zuließen, dass Daten vorhanden seien und damit negative Folgen haben könnten.

Entscheidung
Wie auch schon das VG Darmstadt (Az.: 5 L 304/13.DA), so sieht der VGH den Bescheid der Datenschutzbehörde als rechtmäßig an. Die von dem Kreditschutzunternehmen bisher verwendete Formulierung, wonach „eine Auskunftserteilung zurzeit nicht möglich ist“, sei nämlich nicht mit den Vorgaben des § 35 Abs. 4a BDSG vereinbar. Danach darf die Tatsache der Sperrung von personenbezogenen Daten nicht übermittelt werden.

Nun kann man sich freilich auf den Standpunkt stellen, dass das Unternehmen ja die Tatsche der Sperrung gerade nicht mitteilt. Doch der VGH geht davon aus, dass der Gesetzgeber mit der Bestimmung in § 35 Abs. 4a BDSG offensichtlich sicherstellen wollte, „dass in der Außenwirkung für den Betroffenen, auf den sich die personenbezogenen Daten beziehen, die Sperrung dieselbe Wirkung entfaltet wie eine Löschung“. Die Auskunftserteilung im Fall der Sperrung muss also einer solchen wie im Fall der Löschung von Daten gleichen. Nur dann könne die mit der Sperrung, als gegenüber der Löschung geringerem Mittel, vom Gesetzgeber beabsichtigte gleiche Wirkung erreicht werden.

Für diese Auffassung scheint in der Tat der gesetzgeberische Wille zu sprechen. § 35 Abs. 4a BDSG beruht auf einem Entwurf zur Änderung des BDSG aus dem Jahre 2008 (BT-Drs. 16/10529). Dort heißt es (S. 19):

Die Vorschrift darf auch nicht dadurch umgangen werden, dass eine Formulierung gewählt wird, aus der auf die Tatsache der Sperre bzw. das Vorliegen einer Unregelmäßigkeit geschlossen werden kann.

Nun ist es freilich eine Auslegungsfrage, wer als Empfänger einer Auskunft etwas aus dem Wortlaut einer solchen schließen kann. Es wird jedoch davon ausgegangen, dass allein durch die Kenntnis, dass bestimmte Daten gesperrt wurden, negative Rückschlüsse auf den Betroffenen gezogen werden könnten. Formulierungen wie „zurzeit“ oder „derzeit“ sieht der VGH daher nicht als neutral genug an, um einem solchen Rückschluss vorbeugen zu können. Wie eine solche „Nichtmitteilung“ vorzunehmen ist, lässt das Gesetz jedoch offen. Der VGH erkennt an,

dass es im Einzelfall schwierig sein kann, diese dargelegten Voraussetzungen zu erfüllen. Dies kann jedoch nicht dazu führen, dass ein Betroffener, dessen personenbezogene Daten nicht gelöscht, sondern lediglich gesperrt sind, auskunftsbegehrenden Stellen gegenüber schlechter gestellt wird.

Was tun?
Die Datenschutzbehörde ordnete folgende Vorgehensweise an:

  • Bei teilweise gesperrten Daten: Dritten zu diesen Daten keine Auskunft oder ausschließlich die Auskunft, dass zu den betroffenen Datenarten keine Daten gespeichert seien, zu geben
  • Bei vollständiger Sperrung von Daten: Dritten zu dem Betroffenen keine Auskunft oder die Auskunft, dass keine Daten zu dem Betroffenen gespeichert seien, zu geben

Sowohl VG als auch VGH sahen diese Vorgaben als recht- und insbesondere auch verhältnismäßig an. Zur Not bleibe laut dem VGH eben nur eine Alternative: die Antwort zu verweigern.

Datenschutz und NSA: Bundesregierung beantwortet Fragen zur Datenübermittlung in die USA

Die Bundesregierung hat vergangene Woche eine kleine Anfrage der Fraktion DIE LINKE im Deutschen Bundestag beantwortet (BT-Drs. 18/321). Titel der Anfrage ist „Datenschutz bei der Zusammenarbeit deutscher Finanzdienstleister
mit IT-Unternehmen insbesondere aus den USA vor dem Hintergrund des NSA-Skandals“. Grund für die Anfrage waren Presseberichte, nach denen die Allianz SE ihre Rechenzentren auslagern und an das amerikanische IT-Unternehmen IBM übergeben möchte. Vor dem Hintergrund der Enthüllungen um den möglicherweise unverhältnismäßigen Zugriff amerikanischer Geheimdienste auf Daten europäischer Bürge bei amerikanischen Unternehmen, wollte DIE LINKE genauer wissen, wie die Bundesregierung hierzu steht. Ich möchte im Folgenden nur einige der behandelten Fragen und Antworten ansprechen.

Auftragsdatenverarbeitung
Zunächst geht die Bundesregierung auf die grundsätzlichen Anforderungen einer Auftragsdatenverarbeitung nach § 11 BDSG ein und weist darauf hin, dass in diesem Rahmen der Verantwortliche (Auftraggeber) bereits vor der Datenverarbeitung gewisse Prüfpflichten in Bezug auf den IT-Dienstleister besitzt. Sehr anschaulich hierzu ist im Übrigen das Informationsblatt des bayerischen Landesamtes für Datenschutzaufsicht.

Datenübermittlung in Drittländer
Auch wenn der Auftragnehmer nicht in der EU bzw. dem EWR, sondern in einem Drittstaat sitzt, bleibt der Auftraggeber in der EU verantwortlich. Die Bundesregierung stellt klar, dass auch bei einer Drittstaatenübermittlung die Anforderungen des § 11 BDSG (zumindest entsprechend) erfüllt sein müssen, was insofern wohl der Auffassung der deutschen Datenschutzbehörden entspricht. Zudem weist die Bundesregierung auf die zusätzlichen Voraussetzungen für einen Datentransfer in ein Drittland hin. Ein solcher ist verboten, wenn in dem Drittland keine angemessen Garantien für den Schutz der Daten bestehen, wie etwa in den USA.

Safe Harbor
Die Bundesregierung geht danach auf die Möglichkeit der Datenübermittlung in die USA unter der Safe Harbor-Entscheidung der EU Kommission ein. Diese habe für europäische Unternehmen, die personenbezogene Daten an in den USA tätige Firmen übermitteln, den Vorteil, dass sie keine zusätzlichen Garantien verlangen müssen. Öffentlich Stellung nehmen, zu der Ansicht des Landesdatenschutzbeauftragten von Schleswig-Holstein, Thilo Weichert, dass es „Riskant und unverantwortlich“ sei, die Daten einem US-Konzern anzuvertrauen, möchte die Bundesregierung mit Blick auf die unabhängige Aufgabenerfüllung der Datenschutzaufsichtsbehörden nicht.

Kooperation zwischen NSA und BND
Auf die Frage, ob „deutsche Geheimdienste von der NSA Daten deutscher Finanzdienstleistungsunternehmen erhalten“ haben, möchte die Bundesregierung nicht öffentlich antworten. „Ein Verstoß gegen die in diesem Zusammenhang vorausgesetzte Vertraulichkeit ließe negative Folgewirkungen für die Quantität und Qualität des Informationsaustausches befürchten“. Ausdrücklich geht die Bundesregierung jedoch davon aus, dass

„ein Zugriff der NSA in Kooperation mit entsprechenden IT-Dienstleistern auf Daten deutscher Finanzdienstleistungsunternehmen [ist] theoretisch nicht auszuschließen“ ist. „Allerdings dürfte ein solcher Zugriff regelmäßig rechtswidrig sein“.

Datenschutz-Grundverordnung und Safe Harbor
Die Bundesregierung gibt, mit Blick auf möglich Verstöße gegen die Safe Harbor-Entscheidung durch amerikanische Unternehmen, an, dass „gesetzliche Kontrollmöglichkeiten gemeinsam mit amerikanischen Behörden“ derzeit nicht bestehen. Deutschland setze sich zudem weiter dafür ein, dass der Schutz der Bürgerinnen und Bürger bei Drittstaatenübermittlungen
deutlich verbessert wird. Insbesondere in Bezug auf Safe Harbor möchte die Bundesregierung tätig werden und ist dies auch bereits. Mit Blick auf die europäische Datenschutzreform und die geplante Datenschutz-Grundverordnung weist sie darauf hin, dass für Modelle wie Safe Harbor „in der neuen europäischen Datenschutz-Grundverordnung ein robuster Rechtsrahmen mit klaren Vorgaben für Garantien der Bürgerinnen und Bürger geschaffen werden“ sollte. Zudem führt die Bundesregierung drei konkrete Verbesserungsvorschläge an:

Ziel sollte es insbesondere sein, die Individualrechte der Bürgerinnen und Bürger zu stärken und ihnen bessere Rechtsschutzmöglichkeiten zur Verfügung zu stellen, die Registrierung der US-Unternehmen in der EU vorzunehmen und die staatliche Kontrolle seitens der EU-Datenschutzaufsichtsbehörden in Modellen wie Safe Harbor zu stärken.

Interessant sind dabei insbesondere die letzten beiden Vorschläge. Denn bisher müssen sich amerikanische Unternehmen in Amerika bei dem dafür zuständigen Handelsministerium registrieren. Zum anderen lässt der Vorschlag einer Stärkung der Kontrollbefugnisse der europäischen Behörden aufhorchen. Denn bisher war es die Federal Trade Commission (FTC) in den USA, die wegen einer Verletzung der Safe Harbor-Grundsätze in Amerika tätig wurde.

Fazit
Die Antwort der Bundesregierung ist im Hinblick auf die Reformen zur Datenschutz-Grundverordnung und Safe Harbor durchaus interessant. Die Stärkung der Rechtsschutzmöglichkeiten der Betroffenen ist im Übrigen auch ein zentrales Anliegen der Europäischen Kommission, welche Ende letzten Jahres den USA in einer Mitteilung 13 notwendige Vorschläge zur Verbesserung von Safe Harbor gemacht hat.

Datenübermittlungen in Drittstaaten – Datenschutzsiegel als neue Grundlage?

Datenübermittlungen aus Europa in Drittstaaten, also solche Länder außerhalb der EU bzw. des EWR, sind im internationalen Wirtschaftsbereich ein wichtiges Thema. Damit personenbezogene Daten in ein Drittland übertragen werden dürfen, muss dort grundsätzlich ein angemessenes Schutzniveau bestehen (Stichwort: Safe Harbor).

Die geplante Datenschutz-Grundverordnung will an den bestehenden Möglichkeiten der Übermittlung und der nötigen Sicherstellung des entsprechenden Schutzniveaus (etwa durch Binding Corporate Rules, Standardvertragsklauseln oder Angemessenheitsbeschlüsse der Kommission) grundsätzlich festhalten. Der Bericht des LIBE-Ausschusses im Europäischen Parlament schlägt aber zudem eine interessante weitere Möglichkeit für Übermittlungen vor: die Erteilung von Datenschutzsiegeln durch Aufsichtsbehörden.

Für den Newsletter der Berliner Datenschtzrunde habe ich in einem Gastbeitrag etwas näher zu dieser vorgeschlagenen Neuerung Stellung genommen. Der Beitrag ist auch online abrufbar.

EU Kommission fordert Anpassung von Safe Harbor

Die Europäische Kommission hat heute ihre im Juli angekündigte Einschätzung zur Zukunft der Safe Harbor Entscheidung, auf deren Grundlage ein Großteil der Datenströme privater Unternehmen zwischen Europa und den USA beruhen, vorgestellt. Dies ist Teil eines ganzen Maßnahmenpakets: ein generelles Dokument, „Rebuilding trust in EU-US data flows“ welches sich nicht allein auf Safe Harbor bezieht, sondern auf den transatlantischen Datenaustausch und dessen Zukunft insgesamt. Sowie eine eingehendere Untersuchung von Safe Harbor, „Communication on the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU“ (beide Dokumente stehen derzeit jedoch noch nicht in der endgültigen Version bereit).
Nachfolgend soll das Augenmerk jedoch vor allem auf den Implikationen für die Safe Harbor Entscheidung liegen.
Continue reading

Brasilien: Gesetzentwurf der „Verfassung des Internets“ veröffentlicht

Bisher wird in den deutschen Medien kaum über eine interessante Gesetzesreform in Brasilien berichtet. Es geht dabei um den Marco Civil da Internet, ein Gesetz, mit dem im Prinzip die Rechte und Pflichten von Bürgern und Unternehmen bei der Nutzung des Internets in Brasilien geregelt werden sollen. Ebenso soll das, auch als „Verfassung des Internets“ bezeichnete, Gesetz Grundprinzipien und Leitlinien vorgeben, an die sich die brasilianischen Behörden und Ministerien halten sollen, wenn sie in diesem Bereich tätig werden. Auf Netzpolitik.org und Wikipedia finden sich weitere Informationen.

Im Zuge der Enthüllungen durch Edward Snowden wurde der Gesetzgebungsprozess (die ersten Entwürfe entstanden bereits im Jahre 2009) nun massiv beschleunigt.

Gesetzentwurf veröffentlicht

Heute wurde auf der Webseite von Intellectual Property Watch ein aktueller englischer Entwurf des Gesetzes präsentiert. Inhaltlich regelt dieser unter anderem Haftungsfragen, Rechte der Internetnutzer oder auch die Netzneutralität.
Continue reading

Twitter’s Börsengang – Datenschutz als Investorenrisiko?

Aus dem vorläufigen Börsenprospekt von Twitter, der auf der Internetseite der amerikanischen Börsenaufsicht (SEC) abrufbar ist, lassen sich einige interessante Informationen zu dem Unternehmen selbst und seinem geplanten Börsengang entnehmen. Betrachtet man die dortigen Angaben allein aus dem Blickwinkel des Datenschutzrechts fällt auf, dass Bezugnahmen hierzu meist im Rahmen von möglichen Risiken erwähnt werden.

Grundsätzlich stellt Twitter klar, dass zu den Risiken, welche sich auf das Geschäft von Twitter und sein wirtschaftliches Wachstum auswirken können, vor allem auch Bedenken der Nutzer in Bezug auf den Datenschutz zählen:

A number of factors could potentially negatively affect user growth and engagement, including if: … there are user concerns related to privacy and communication, safety, security or other factors

Insbesondere negative öffentliche Berichterstattung über das Unternehmen, auch in Bezug auf den Datenschutz, könnten dem Ansehen von Twitter und dem Vertrauen in seine Produkte schaden:

Negative publicity about our company, including about … privacy and security practices … even if inaccurate, could adversely affect our reputation and the confidence in and the use of our products and services.

Auch die Einhaltung ausländischer Daten- und Verbraucherschutzgesetze und die Möglichkeit, gegen diese Gesetze zu verstoßen, sind ein Faktor, der zu einem Risiko für die zukünftige Entwicklung und das Wachstum des Unternehmens werden könnte.
Continue reading

Digitale Wirtschaft: Britischer Ausschuss tadelt Google und unterstützt Online-Werbung

Die Mitglieder des Ausschusses für Kultur, Medien und Sport des Britischen Unterhauses haben in einem Bericht (Supporting the creative economy) vom 26.09.2013 unter anderem ihre Ansichten zur Entwicklung der digitalen Wirtschaft in Großbritannien dargelegt.

Dabei geht es auch um Probleme und Herausforderungen auf dem Gebiet des Urheberrechts und des Datenschutzrechts, sowie um Implikationen für britische Unternehmen der kreativen und digitalen Wirtschaft.
Continue reading

Prism: Europäische Datenschützer fordern Aufklärung und kündigen Untersuchungen an

In einem Brief des Vorsitzenden der Art. 29 Datenschutzgruppe, Jacob Kohnstamm, an die Vizepräsidenten der EU-Kommission, Viviane Reding, vom 13. August 2013, fordern die europäischen Datenschutzbehörden weitere Aufklärung in Sachen Prism und XKeyscore und kündigen zudem an, dass sich die Datenschutzgruppe umfassender mit dem Thema befassen wird.

Auch wenn die Datenschützer einerseits ihr Verständnis dafür zum Ausdruck bringen, dass in Bezug auf die nationale Sicherheit verschiedene Staaten unterschiedliche weite Vorstellungen und Herangehensweisen besitzen, wie sie Informationen sammeln und nutzen, so drücken die Datenschützer dennoch ihre tiefe Besorgnis über die bekannt gewordenen Informationen zu den Überwachungstätigkeiten der USA durch Programme wie Prism und XKeyscore aus.
Continue reading

Abkommen, Vertrag, Beschluss – Was ist Safe-Harbor? (Update)

Nach der Ankündigung der deutschen Datenschutzbehörden, neue Genehmigungen für Datenübermittlungen in die USA nicht mehr erteilen zu wollen, da mit hoher Wahrscheinlichkeit gegen die Grundsätze von Safe-Harbor verstoßen wird, mehren sich in der Öffentlichkeit die Stimmen, die eine „Kündigung“ von Safe-Harbor fordern oder die „Safe-Harbor-Klausel“ auf Eis legen wollen. Inwiefern die nationalen Datenschutzbehörden hier tatsächlich tätig werden können, hat Adrian Schneider bei Telemedicus näher untersucht.

Nachfolgend soll es vor allem um den Versuch gehen eine Antwort auf die Frage zu finden, was Safe-Harbor rechtlich darstellt und wie und wenn ja wer sich davon lösen kann.

Entstehung
Die Verhandlungen zwischen der Europäischen Kommission und der amerikanischen Regierung, vertreten durch das Handelsministerium, begannen 1998. Die Praxis bestand darin, dass in Form eines Briefwechsels Vorschläge, für die Grundsätze einer Datenübermittlung mit angemessenem Schutznievau aus Europa in die USA, gegenseitig ausgetauscht und kommentiert wurden (viele Dokumente und Briefe finden sich auf der Seite des amerikanischen Handelsministeriums). Auf europäischer Seite wurde zudem die Art. 29 Datenschutzgruppe über die Verhandlungen informiert und diese gab mehrere Stellungnahmen im Laufe des Prozesses ab (WP 15, WP 19, WP 21, WP 23, WP 27, WP 31, WP 32, alle abrufbar über die Internetseite der Datenschutzgruppe).
Continue reading