Category Archives: EAID-Blog

Führt das Fehlen von Dateianordnungen beim BND zur Rechtswidrigkeit der Datenverarbeitung?

In der 130. Sitzung des NSA-Untersuchungsausschusses des Deutschen Bundestags am 15.2.2017 ist die Frage angesprochen worden, wie das Fehlen einer im BND-Gesetz vorgesehenen Dateianordnung zu bewerten sei. Der Bundestagsabgeordnete Schipanski wird in einem Beitrag des Blogs Netzpolitik mit der Aussage zitiert, ich hätte als ehemaliger Bundesbeauftragter für den Datenschutz die Auffassung vertreten, dass es sich beim Fehlen einer Dateianordnung bloß um einen „formalen“ Gesetzesverstoß handele, der keine materielle Rechtswidrigkeit der Datei zur Folge habe.

Richtig ist: Nicht jeder Verstoß gegen Verfahrensvorschriften des Datenschutzrechts führt automatisch zur Rechtswidrigkeit der entsprechenden Datei. Aus einem fahrlässigen „Versäumen“ einer gesetzlich vorgesehenen Verpflichtung allein ergibt sich nicht zwingend eine Löschungsverpflichtung der betreffenden Daten. Anders sieht es aber aus, wenn eine Dateianordnung – und damit auch die Meldung gegenüber dem/der Bundesdatenschutzbeauftragten willentlich oder sogar systematisch unterbleibt und somit eine datenschutzrechtliche Prüfung der Datei nicht möglich ist. Zudem muss berücksichtigt werden, dass die Dateianordnung, die von der zuständigen Fachaufsicht (beim BND übt das Bundeskanzleramt diese Funktion aus) zu genehmigen ist, die Zwecke der Verarbeitung und die Voraussetzungen der Speicherung, Übermittlung und Nutzung (betroffener Personenkreis, Arten der Daten) festzulegen hat. Ohne Dateianordnung fehlen diese zentralen verfahrensrechtlichen Sicherungen.

Eine solche Praxis – die es offenbar gegeben hat – ist nicht nur als „minder schwerer“ Formalverstoß zu bewerten, sondern als Aushebelung der unabhängigen Datenschutzkontrolle, die vom Bundesverfassungsgericht in seiner Rechtsprechung seit dem Volkszählungsurteil von 1983 als unabdingbar für die Wahrung der Grundrechte angesehen wird.

Das BVerfG führt dazu in Rz. 207 des Urteils des Ersten Senats vom 24. April 2013 – 1 BvR 1215/07 -(„Antiterrordatei“) aus:

„Die aufsichtliche Kontrolle flankiert die subjektivrechtliche Kontrolle durch die Gerichte objektivrechtlich. Sie dient – neben administrativen Zwecken – der Gewährleistung der Gesetzmäßigkeit der Verwaltung insgesamt und schließt dabei den Schutz der subjektiven Rechte der Betroffenen ein. Dass auch Anforderungen an die aufsichtliche Kontrolle zu den Voraussetzungen einer verhältnismäßigen Ausgestaltung der Datenverarbeitung gehören können (vgl. BVerfGE 100, 313 <361> unter Verweis auf BVerfGE 30, 1 <23 f., 30 f.>; 65, 1 <46>; 67, 157 <185>), trägt dem Umstand Rechnung, dass es sich bei der Speicherung und Verarbeitung von Daten um Eingriffe handelt, die für die Betreffenden oftmals nicht unmittelbar wahrnehmbar sind und deren freiheitsgefährdende Bedeutung vielfach nur mittelbar oder erst später im Zusammenwirken mit weiteren Maßnahmen zum Tragen kommt. Eingriffe in das Recht auf informationelle Selbstbestimmung können deshalb auch dann unverhältnismäßig sein, wenn sie nicht durch ein hinreichend wirksames aufsichtsrechtliches Kontrollregime flankiert sind. Dies hat umso größeres Gewicht, je weniger eine subjektivrechtliche Kontrolle sichergestellt werden kann.“

Die  Umgehung der gesetzlich vorgeschriebenen Kontrollmechanismen und sonstigen verfahrensrechtlichen Sicherungen führt also zur materiellen Rechtswidrigkeit.

„Datenschutzanpassungs- und Umsetzungsgesetz“ – Zu kurz gesprungen

Unhandlich und trotzdem unvollständig  …

Die Bundesregierung hat heute den Entwurf für ein „Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)“ beschlossen. So unhandlich der Titel ist, so unlesbar ist die Vorschrift selbst. Allein die zentrale Vorschrift, das neue Bundesdatenschutzgesetz, umfasst 85 Paragraphen und ist damit doppelt so lang wie das bisherige BDSG. Wer in Zukunft wissen will, welche Datenschutzbestimmungen in Deutschland zu beachten sind, muss die EU-Datenschutzgrundverordnung (DSGVO) und das neue BDSG nebeneinanderlegen. Zudem bleibt völlig unklar, was aus den datenschutzrechtlichen Regelungen in den vielen Spezialgesetzen wird – vom Sozialgesetzbuch über das Telekommunikations- und Medienrecht bis zum Bundesstatistikgesetz -, die (zunächst) in Kraft bleiben, ganz zu schweigen von den vielfältigen Bestimmungen im Landesrecht.

Ohne Rat von auf das Datenschutzrecht spezialisierten Anwälten wird es Unternehmen und Bürgern also auch in Zukunft nicht leicht fallen, sich datenschutzkonform zu verhalten oder Datenschutzrechte – etwa das Recht auf Auskunft oder Löschung – durchzusetzen.

… europarechtswidrig …

Die Unhandlichkeit des Gesetzeswerks ist vor allem der Tatsache geschuldet, dass man in der Bundesregierung mit der von der Europäischen Union beschlossenen Datenschutzreform nicht einverstanden ist, unbeschadet der Tatsache, dass Deutschland der EU-DSGVO (Verordnung (EU) 2016/679) und der Datenschutzrichtlinie für Polizei und Justiz (Richtlinie (EU) 2016/680) zugestimmt hat, die im Mai 2018 wirksam werden. Den ganzen Text durchzieht das Bemühen, soviel vom alten BDSG zu „retten“ wie möglich. Das Ergebnis ist fatal: Das neue BDSG wiederholt viele Vorschriften des DSGVO, unterscheidet sich aber vielfach im Detail. Dies widerspricht zum einen dem „Wiederholungsverbot“ bei direkt anwendbarem EU-Recht. Viel gravierender ist es aber, dass in der Substanz von den europarechtlichen Vorgaben abgewichen wird, insbesondere bei der Verarbeitung personenbezogener Daten für andere Zwecke, bei den Rechten der Betroffenen und bei den Befugnissen der Datenschutzbehörden.

Paradoxer Weise werden trotz der hohen Regelungsintensität die in der DSGVO enthaltenen Gestaltungsspielräume für nationale Datenschutzregelungen nur unzureichend ausgefüllt. So fehlen etwa jegliche Ausführungen zum Ausgleich zwischen den Rechtsgütern Datenschutz und Meinungsfreiheit, die gerade angesichts der aktuellen Diskussionen über Fakenews und Hatespeach dringend erforderlich wären. Diese schwierige Materie will der Bund offenbar den Ländern überlassen – mit ungewissem Ausgang.

… auf reduziertem Datenschutzniveau

Die Frage drängt sich auf: Warum das ganze? Die DSGVO wird ab Mai 2018 als direkt in den Mitgliedstaaten anwendbares Recht gelten und der deutsche Gesetzgeber hätte sich mit einer schlanken Regelung begnügen können, die sich auf die wesentlichen Dinge – etwa die Ausgestaltung der Aufsichtsbefugnisse der Datenschutzbehörden, die Benennung betrieblicher Datenschutzbeauftragter, den Rechtsschutz der Betroffenen und das Füllen der expliziten Regelungsspielräume etwa bei Beschäftigten-, Gesundheits- und Forschungsdaten. Warum also so kompliziert und wortreich, wo es doch einfacher ginge?

Die Antwort erschließt sich erst auf den zweiten Blick: Viele der Regelungen senken das Datenschutzniveau gegenüber der DSGVO ab. So werden die Rechte auf Information, Auskunft und Löschung personenbezogener Daten eingeschränkt. Auf der anderen Seite werden insbesondere den Behörden zusätzliche Befugnisse eingeräumt: Sie dürfen mehr Daten erheben, auswerten und übermitteln als in der DSGVO vorgesehen. Last but not least: Auch die Videoüberwachung soll ausgeweitet werden, wobei im Zweifel die Rechte der Betroffenen zurückzustehen haben.

Fazit

Die Bundesregierung bemüht sich also nach Kräften, die Legende vom „hohen deutschen Datenschutzniveau“ zu entkräften. Dies ist insbesondere deshalb fatal, weil sie zugleich auch einen der größten europapolitischen Erfolge – an dem übrigens auch der neue SPD-Kanzlerkandidat Martin Schulz in seiner Funktion als Präsident des Europäischen Parlaments maßgeblich mitgewirkt hat -, die EU-Datenschutzreform konterkariert. Der deutsche Bundestag und der Bundesrat sollten dieses für die Zukunft der Informationsgesellschaft zentrale Vorhaben nicht durchwinken, sonderm kritisch überprüfen und korrigieren.

America First: Datenschutz nur noch für (US-)Inländer

Die amerikanischen Technologie-Giganten Google, Facebook, Microsoft, Twitter und Amazon  werden womöglich die ersten Opfer der von Präsident Trump verfolgten „America First“- Politik sein. Trump unterzeichnete  am 25. Januar  2017 die Anordnung (Executive Order)  zur Verbesserung der öffentlichen Sicherheit. Schon jetzt ist deutlich, dass die Politik der Trump-Administration  einem gemeinsamen Datenschutz-Verständnis  zwischen den USA und der EU diametral  entgegen laufen.

Section 14 hat folgenden Wortlaut:

„Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“

Auch wenn sich diese Bestimmung vermutlich zunächst gegen diejenigen Personen richten soll, die sich illegal in den Vereinigten Staaten aufhalten, hat sie doch auch erhebliche Auswirkungen auf den transatlantischen Datentransfer. Vor allem das Abkommen zwischen der Europäischen Union und der US-Regierung „Privacy Shield“ ist betroffen. Das  erst im letzten Sommer ausgehandelte  Abkommen gestattet es Unternehmen, welche die Einhaltung der Privacy Shield Prinzipien gewährleisten, personenbezogene Daten aus der Europäischen Union in die USA zu übermitteln.

Voraussetzung für die Übermittlung ist ein „angemessenes Datenschutzniveau“, also ein dem EU-Recht gleichwertiger Schutz für die in die USA transferierten personenbezogenen Daten. Die Europäische Kommission hat am 12. Juli 2016 auf Basis des US-Rechts und der Zusicherungen der Obama-Administration die Existenz eines gleichwertigen  Datenschutzes festgestellt (Angemessenheitsbeschluss). Privacy Shield trat damit an die Stelle des Safe Harbour Arrangements, welches der Europäische Gerichtshof am 6. Oktober 2015 annulliert hatte, da es  den in  Art. 8 der EU-Grundrechtecharta garantierten Schutz personenbezogener Daten nicht gewährleistete.

Zu den Zusicherungen der US-Seite gehörte die Auslegung des US-Rechts in der Weise, dass die US Datenschutzbestimmungen – soweit rechtlich zulässig –  auch für Daten von EU-Bürgern angewandt werden. Damit dürfte jetzt Schluss sein.

Eine wichtige Basis bildete auch der vom US-Kongress im Februar 2016 gebilligte Judicial Redress Act (JRA), der  die Grundlage dafür bereitstellt, dass sich EU-Bürgerinnen und Bürger an US-Behörden wenden können, wenn sie der Auffassung sind, dass US-Behörden ihre Daten zu Unrecht verarbeiten.  Allerdings räumt der JRA den EU-Bürgern solche Klagerechte nicht selbst ein, sondern macht dies von einer Anordnung des US-Justizministers (Attorney General) abhängig. Die scheidende Obama-Administration hat eine entsprechende Erklärung wenige Tage vor der Inauguration Donald Trumps herausgegeben, die neben der Europäischen Union als Ganzes, 26 ihrer Mitgliedstaaten und Zypern umfasst  Die oben zitierte Executive Order  könnte so verstanden werden, dass das Justizministerium die „Privilegierung“ der Bürger anderer Staaten zurücknimmt, welche am 1. Februar 2017 in Kraft treten soll.

Unabhängig davon ist zu befürchten, dass die – nach den Snowden-Enthüllungen   von US-Präsident Obama angeordneten – partiellen Sicherungen des Datenschutzes für Nicht-Amerikaner bei der geheimdienstlichen Überwachung außer Kraft gesetzt werden. Damit würden auch die Erklärungen des US-Geheimdienstkoordinators im Rahmen der Privacy Shield—Verhandlungen obsolet.

Vor diesem Hintergrund muss die EU-Kommission unverzüglich handeln. Sie darf mit der Prüfung, ob die Voraussetzungen für eine Fortgeltung des Angemessenheitsbeschlusses zum Privacy Shield  noch gegeben sind, nicht erst bis zur ersten, im Sommer d.J. vorgesehenen regulären Privacy Shield Review warten. Aber auch die europäischen Datenschutzbehörden sind gefragt. Der Europäische Gerichtshof hat Ihnen in seiner Safe Harbour-Entscheidung auferlegt, Zweifeln an einem angemessenen Datenschutzniveau selbstständig nachzugehen und damit nicht auf eine entsprechende  Feststellung der Kommission zu warten.

Presseerklärung: Alexander Dix ist „International Privacy Champion 2017“

Berlin, den 26. Januar 2017

Presseerklärung

Die einflussreiche US-Datenschutzorganisation EPIC (Electronic Privacy Information Center) hat Dr. Alexander Dix mit ihrem internationalen Datenschutzpreis „International Privacy Champion“ für das Jahr 2017 ausgezeichnet. Dix ist stellvertretender Vorsitzender der Europäischen Akademie für Informationsfreieheit und Datenschutz (EAID) und war bis 2015 langjähriger Landesbeauftragter für Datenschutz und Informationsfreiheit der Länder Brandenburg und Berlin.

Dr. Dix, dem die Auszeichnung in Brüssel übergeben wurde, bedankte sich für den Preis und erklärte: „Ich war und bin der Auffassung, dass Datenschutz und Informationsfreiheit nur auf internationaler Ebene effektiv verteidigt werden können. EPIC hat hier beeindruckende Leistungen vorzuweisen. Internationale Kooperation ist für die Durchsetzung von Datenschutz und Open Government weiterhin von entscheidender Bedeutung.“

Peter Schaar, der die EAID gemeinsam mit Dix leitet, erklärte: „Wir freuen uns sehr über die wichtige Auszeichnung für Dr. Dix. Er hat sich mit großem Einsatz und Erfolg für internationale Lösungen beim Datenschutz und bei der Informationsfreiheit eingesetzt. Als langjähriger Vorsitzender der Internationalen Arbeitsgruppe für den Datenschutz in der Telekommunikation („Berlin Group“) hat er den internationalen Datenschutz wie kaum ein Zweiter geprägt. Ich freue mich darüber, dass ich mit ihm in der EAID weiterhin eng zusammenarbeiten kann.“

Presseerklärung von EPIC: https://epic.org/press/PRESS-Release-EPIC-Dix-24-1-17.pdf

Biographische Angaben zu Dr. Alexander Dix: https://www.eaid-berlin.de/?page_id=1326

Kontakt: Peter Schaar
Tel. +49 30 75449550
psch@eaid-berlin.de
dix@eaid-berlin.de

New ECJ ruling on data retention: Preservation of civil rights even in difficult times!

Translation – German version see here.

The European Court of Justice has made a Christmas present to more than 500 million EU citizens. With its new judgment on data retention (C-203/15 of 21 December 2016) – the highest court of the European Union stresses the importance of fundamental rights. All Member States are required to respect the rights represented in the European Charter of Fundamental Rights in their national legislation. The ECJ issued an important signal that can hardly be surmounted taking into account the current political discussions on internal and external threats and the strengthening of authoritarian political currents providing the public with simplistic answers to difficult questions.

The ECJ remains true to itself

The ruling of the European Court of Justice is in line with its judgment of 8 April 2014, by which the Court annulled Directive 2006/24/EC on the retention of data. The general obligation to retain traffic and location data required by this Directive was not limited to the absolutely necessary and thus disproportionate to the fundamental rights of respect for private life and the protection of personal data (Articles 7 and 8 of the European Charter of Fundamental Rights).

Despite the annulment of the Data Retention Directive by the ECJ, several Member States have continued or even broadened their practice of data retention. The latter took place in Great Britain, where shortly after the ECJ ruling – in July 2014 – a new legal basis for data retention was passed, which even went beyond the abolished EC directive. According to the British Parliament’s intention to implement the so-called „Investigatory Powers Act“, the major current commitments to compulsory data storage and the supervisory powers of the security authorities are to be extended in the short term and will include web services, in particular transactions on social networks. On November 29, 2016, the upper and lower house agreed on a corresponding legal text, which is to enter into force soon after its formal approval by the Queen. In other Member States, too, there are – differently broad-ranging – legal requirements which oblige providers of telecommunications and internet services to reserve traffic and location data whose conservation is not necessary for the provision or the billing of the respective service.

European Charter of Fundamental Rights binding for national legislature

A Swedish and a British court had asked the ECJ to clarify whether the respective national regulations on the retention of data corresponded to the European legal requirements.

In its new ruling the ECJ answered this question by stating that national regulations which provide a general and indiscriminate storage of data are not in line with the EU law. A national regulation providing for the storage of traffic and location data, is to be regarded as serious interference in fundamental rights. Member States must not maintain or re-adopt rules which are based on, or even go beyond, an EU act which has been annulled on grounds of its fundamental illegality.

The provisions of EU law bind the national legislature. The EU Directive 2002/58/EC on data protection in electronic communications (the ePrivacy Directive) has to be interpreted in the light of the Charter of Fundamental Rights. Exceptions to the protection of personal data should be limited to the absolutely necessary. This applies not only to the rules on data retention, but also to the access of authorities to the stored data. A national provision providing for general and indiscriminate data retention which does not require a link between the purpose for which the data is originally intended to be stored and a threat to public security, and in particular is not limiting the data on a period and / or a geographical area and / or of a group of persons which could be involved in a serious criminal act, transcends the limits of the absolutely necessary and can not be regarded as justified in a democratic society. Laws of Member States that do not meet these requirements must be abolished or amended accordingly.

With regard to the contested British and Swedish laws, the competent national courts which had appealed to the ECJ are now required to enforce the ECJ ruling in substance. However, even the parliaments and governments of the Member States are, too, responsible for reviewing and, where appropriate, correcting the relevant provisions of national law.

What happens to German data retention?

The implications of the ECJ ruling for the German data retention recently reintroduced must also be urgently examined. The retention obligations of the new German Data Retention Act remain behind the predecessor regulation, which was repealed by the Federal Constitutional Court in 2010. However, it is highly doubtful whether the provisions of the ECJ will be fulfilled by the new data retention act, since it obliges the telecommunications providers to store the data without any material restriction on a specific area or a particular risk situation.

The fact that the Federal Government or the parliamentary fractions backing them will now carry out this examination in an objective manner appears to be highly unlikely in the light of the additional powers which they have recently decided to hand over to the security authorities. In the end, the Federal Constitutional Court will probably have to ensure clarity again.

Peter Schaar (21 December 2016)

Neues EuGH-Urteil zur Vorratsdatenspeicherung: Bürgerrechte auch in schwierigen Zeiten bewahren!

English version see here

Der Europäische Gerichtshof hat den mehr als 500 Millionen EU-Bürgerinnen und -Bürgern ein Weihnachtsgeschenk gemacht. Mit seinem neuen Urteil zur Vorratsdatenspeicherung (
C-203/15 v. 21. Dezember 2016) – unterstreicht das höchste Gericht der Europäischen Union die Bedeutung der Grund- und Bürgerrechte. Alle Mitgliedstaaten sind gehalten, die in der Europäischen Grundrechtecharta verbrieften Rechte auch in ihrer nationalen Gesetzgebung zu berücksichtigen. Damit setzt der EuGH ein wichtiges Signal, das angesichts der aktuellen politischen Diskussion über innere und äußere Bedrohungen und dem Erstarken von autoritären politischen Strömungen kaum zu überschätzen ist.

Der EuGH bleibt sich treu

Die Entscheidung des Europäischen Gerichtshofs liegt auf einer Linie mit seinem Urteil vom 8. April 2014, mit dem das Gericht die Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten für ungültig erklärt hatte. Die mit dieser Richtlinie vorgeschriebene allgemeine Verpflichtung zur Vorratsspeicherung von Verkehrs- und Standortdaten beschränkte sich nicht auf das absolut notwendige Maß und griff damit unverhältnismäßig in die Grundrechte auf Achtung des Privatlebens und den Schutz personenbezogener Daten (Art. 7 und 8 EUGRCh) ein.

Trotz der Annullierung der VDS-Richtlinie setzten mehrere Mitgliedstaaten ihre Praxis der Vorratsdatenspeicherung fort oder erweiterten sie sogar. Letzteres geschah in Großbritannien, wo im Eilverfahren bereits kurze Zeit nach dem EuGH-Urteil – im Juli 2014 – neue gesetzliche Grundlagen zur Vorratsdatenspeicherung beschlossen wurden, die sogar über die annullierte EU-Richtlinie hinausgingen. Die weitgehenden aktuellen Verpflichtungen zur obligatorischen Datenspeicherung und die Überwachungsbefugnisse der Sicherheitsbehörden sollen nach dem Willen des britischen Parlaments mit dem sog. „Investigatory Powers Act“ kurzfristig sogar noch ausgeweitet werden und künftig auch sämtliche Web-Dienste umfassen, etwa Transaktionen in sozialen Netzwerken oder im Rahmen von Online-Spielen. Am 29. November 2016 einigten sich  das Ober- und Unterhaus auf einen entsprechenden Gesetzestext,
der nach seiner formalen Billigung durch die Queen demnächst in Kraft treten soll. Auch in anderen Mitgliedstaaten gibt es – unterschiedlich weit reichende – gesetzliche Vorgaben, welche die Anbieter von Telekommunikations- und Internetdiensten dazu verpflichten, Verkehrs- und Standortdaten auch dann vorzuhalten, wenn diese für die Erbringung oder Abrechnung des jeweiligen Dienstes nicht bzw. nicht mehr erforderlich sind.

EU-Grundrechtecharta bindet auch den nationalen Gesetzgeber

Ein schwedisches und ein britisches Gericht hatten dem EuGH die Frage zur Klärung vorgelegt, ob die jeweiligen nationalen Regelungen zur Vorratsdatenspeicherung den europarechtlichen Vorgaben entsprechen.

Der EuGH beantwortet diese Frage dahingehend, dass das Unionsrecht nationalen Regelungen entgegensteht, die eine allgemeine und unterschiedslose Speicherung von Daten vorsehen. Der Grundrechtseingriff, der mit einer nationalen Regelung einhergehe, die eine Speicherung von Verkehrs- und Standortdaten vorsieht, sei als besonders schwerwiegend anzusehen. Die Mitgliedstaaten dürfen nicht – wie geschehen – Regelungen, die auf einem wegen seiner Grundrechtswidrigkeit annullierten EU-Rechtsakt basieren oder sogar über diesen hinausgehen, einfach beibehalten oder neu beschließen.

Die Vorgaben des EU-Rechts binden den nationalen Gesetzgeber. Die EU-Datenschutzrichtlinie 2002/58/EG für elektronische Kommunikation („ePrivacy“-Richtlinie) sei im Lichte der Grundrechtecharta auszulegen. Ausnahmen vom Schutz personenbezogener Daten seien auf das absolut Notwendige zu beschränken. Dies gelte nicht nur für die Regeln über die Vorratsdatenspeicherung selbst, sondern auch für den Zugang von Behörden zu den gespeicherten Daten. Eine nationale Regelung, die eine „allgemeine und unterschiedslose Vorratsdatenspeicherung“ vorsieht, keinen Zusammenhang zwischen den Daten, deren Vorratsspeicherung vorgesehen ist, und einer Bedrohung der öffentlichen Sicherheit verlangt und sich insbesondere nicht auf die Daten eines Zeitraums und/oder eines geografischen Gebiets und/oder eines Personenkreises, der in irgendeiner Weise in eine schwere Straftat verwickelt sein könnte, beschränkt, überschreite die Grenzen des absolut Notwendigen und könne nicht als in einer demokratischen Gesellschaft gerechtfertigt angesehen werden. Gesetze der Mitgliedstaaten, die diesen Anforderungen nicht entsprechen, müssen dementsprechend aufgehoben bzw. geändert werden.

Im Hinblick auf die angefochtenen britischen und schwedischen Gesetze liegt der Ball jetzt wieder bei den zuständigen nationalen Gerichten, die den EuGH zur Klärung der strittigen Rechtsfragen angerufen hatten und die nun für die Durchsetzung der EuGH-Vorgaben sorgen müssen. Besondere Verantwortung tragen aber auch die Parlamente und Regierungen der Mitgliedstaaten, denen es obliegt, die jeweiligen Bestimmungen des nationalen Rechts zu überprüfen und ggf. zu korrigieren.

Was wird aus der deutschen Vorratsdatenspeicherung ?

Welche Konsequenzen sich für die jüngst wieder eingeführte deutsche Vorratsdatenspeicherung ergeben, muss ebenfalls dringend überprüft werden. Zwar bleiben die Speicherungsverpflichtungen des neuen deutschen Vorratsdatenspeicherungsgesetzes hinter der vom Bundesverfassungsgericht 2010 aufgehobenen Vorgängerregelung zurück. Es ist jedoch höchst zweifelhaft, ob damit auch die Vorgaben des EuGH erfüllt werden, denn auch nach der neuen Regelung sind die Daten unterschiedslos und flächendeckend zu speichern, ohne jede sachliche Begrenzung auf einen Gefahrenbereich oder eine besondere Risikosituation.

Dass die Bundesregierung bzw. die sie tragenden Parlamentsfraktionen diese Prüfung nun ergebnisoffen vornehmen werden, erscheint angesichts der von diesen gerade beschlossenen und angekündigten Befugnisserweiterungen für die Sicherheitsbehörden höchst unwahrscheinlich. Letztlich wird wohl erneut das Bundesverfassungsgericht hier für Klarheit sorgen müssen.

Peter Schaar (21. Dezember 2016)

Brauchen wir eine Digitalcharta?

Am 1. Dezember 2016 veröffentlichten verschiedene Zeitungen ganzseitige Anzeigen unter der Überschrift „Wir fordern digitale Grundrechte – Charta der digitalen Grundrechte der Europäischen Union“. Bei dieser „Digitalcharta“ handelt es sich um die Zusammenstellung von Forderungen bzw. Vorschlägen, die sich nicht auf reine Individualrechte beschränken, sondern auch staatliches und unternehmerisches Handeln umfassen. Das erkennbare Ziel der Autorinnen und Autoren ist es, eine Diskussion darüber anzustoßen, wie unsere grundlegenden Werte, Grund- und Menschenrechte in einer zunehmend durch digitale Technik geprägten Welt bewahrt werden können. Sie greifen damit ein weit verbreitetes Unbehagen auf, das nicht auf die überschaubare Netzcommunity beschränkt ist. Zugleich setzen sie einen Kontrapunkt zu unreflektierter Technikbegeisterung und weltfremden Versprechungen einer Rückkehr in eine vermeintlich gute alte Zeit ohne Globalisierung und Digitaltechnik.

Immer lauter hört man aus dem Silicon Valley das hohe Lied der „Disruption“, die Begeisterung über die revolutionäre Veränderung der Wirtschaft und unserer Lebensverhältnisse durch digitale Technik. In der Tat lässt sich kaum leugnen, dass die von der Digitalisierung bewirkten Veränderungen vergleichbar sind mit denjenigen der industriellen Revolution des 18. und 19. Jahrhunderts. Bestehende gesellschaftliche Ungleichheiten und Konflikte verschärfen sich und sie werden überlagert von neuen, bisher unbekannten Fragestellungen.

Die mit der Digitalisierung verbundenen Problemstellungen gehen weit über den Datenschutz hinaus, der bereits in der EU verfassungs- und einfachgesetzlich normiert ist (Art. 8 EU-Grundrechtecharta, Datenschutzgrundverordnung). So wichtig der Datenschutz weiterhin bleibt, so bedeutsam ist es, dass wir uns – wie die Digitalcharta es tut – auch mit den anderen Folgen der Digitalisierung auseinandersetzen.

In den letzten Jahren ist es zu einer in der Geschichte unvergleichlichen auf Informationen und Daten basierenden globalen Machtkonzentration bei Unternehmen und staatlichen Stellen gekommen, welche die ungeheuren Informations- und Datenbestände kontrollieren. Gefahren für Freiheits- und Menschenrechte gehen längst nicht mehr allein vom staatlichen „Leviathan“ aus. Auch weltweit agierende Internetunternehmen setzen nach eigenen Interessen Regeln über den Zugang zu Informationen und den Umgang mit ihnen. Sie nutzen dabei Unterschiede zwischen den Rechtsordnungen und Steuersystemen aus.

Spätestens seit den Enthüllungen Edward Snowden ist nicht mehr zu leugnen, dass auch staatliche Stellen, insbesondere aus dem Kreis der Sicherheitsbehörden, an den enormen privatwirtschaftlich angehäuften Informations- und Datenschätzen partizipieren. Viele nachrichtendienstliche Überwachungsaktivitäten erfolgen im Ausland, um der Rechtsbindung durch nationale Verfassungen und Gesetze und der gerichtlichen und parlamentarischen Kontrolle zu entgehen. Grund zum Handeln gibt es also genug.

Dass kollektive Erfahrungen und neue Probleme zur Überprüfung gesellschaftlicher Sichtweisen und Regeln führen, ist kein einmaliges Phänomen. Zahlreiche Aufrufe, Verfassungsdokumente und Grundrechtskataloge belegen dies, etwa die Magna Charta aus dem Jahr 1215, die US-Verfassung von 1788, das westdeutsche Grundgesetz von 1949 bis hin zur Charta der Grundrechte der Europäischen Union aus dem Jahr 2001. Alle diese Dokumente sind in erster Linie (in juristische Sprache gekleidete) politische Manifeste, die teils fundamental mit der vorigen Rechtsordnung brechen oder sie fortschreiben sollen. In dieser Tradition versteht sich offenbar die Digitalcharta.

Ob die Vorschläge in absehbarer Zeit vom Europäischen Parlament beschlossen und Eingang in die EU-Grundrechtecharta finden werden, ist höchst unsicher. Unabhängig davon ist es aber an der Zeit, dass unser politisches System die digitalen Herausforderungen aktiv bearbeitet. Die Debatte darüber ist jedenfalls eröffnet!

Sollen Grundrechte auch vor Machtmissbrauch durch Private schützen?

Die Digitalcharta ist unmittelbar nach ihrer Veröffentlichung heftig kritisiert worden. Eine besonders heiß diskutierte Frage ist, ob Grundrechte nicht nur gegenüber staatlichen Stellen sondern auch gegenüber privaten Stellen gelten sollen, wie dies Art. 1 Abs. 3 vorsieht.

„(3)  Die Rechte aus dieser Charta gelten gegenüber staatlichen Stellen und Privaten.“

Juristen sprechen in diesem Zusammenhang von „Drittwirkung“. Die traditionelle deutsche Verfassungslehre verneint eine direkte Drittwirkung der Grundrechte des Grundgesetzes.

Historisch wurden die Grund- und Menschenrechte als Instrumente gegen staatliche Willkür erkämpft. Sie begrenzen staatliche Machtausübung gegenüber den Bürgern. Diese Funktion als „Abwehrrechte“  gegenüber dem Staat ist auch heute noch von herausragender Bedeutung. Aber sie wird überlagert von objektiv-rechtlichen Aspekten, insbesondere dem Menschen- und Gesellschaftsbild des Grundgesetzes, das selbst eine Drittwirkung nicht explizit ausschließt.

Die Rechtsprechung des Bundesverfassungsgerichts zur Menschenwürde und zum allgemeinen Persönlichkeitsrecht belegt die überragende Bedeutung des Grundgesetzes und insbesondere der Grundrechte bei der einfachen Gesetzgebung und bei der Auslegung von Gesetzen, die „im Lichte der Grundrechte“ zu erfolgen hat.

Besonders deutlich wird die Absicht des Grundgesetzes, privates Handeln zu steuern, beim Grundrecht auf Eigentum:

„Eigentum verpflichtet. Sein Gebrauch soll zugleich dem Wohle der Allgemeinheit dienen.“ (Art. 14 Abs. 2 GG)

Mir erscheint es sinnvoll, die Sozialpflichtigkeit des Eigentums im Hinblick auf die digitalen Herausforderungen zu konkretisieren. Wenn man den ungeheuren Einfluss und die überragende Definitionsmacht heutiger digitaler Plattformen berücksichtigt, wäre ist geradezu fahrlässig, die durch Grundrechte beabsichtigte Machtbegrenzung nur auf staatliche Akteure zu beziehen. Auch Unternehmen haben die Menschenwürde zu achten, sie haben bei den der Allgemeinheit zur Verfügung gestellten Diensten die Meinungsfreiheit zu garantieren, Diskriminierung zu unterlassen und für Transparenz zu sorgen.

Allerdings lassen sich derartige Rechtsfortbildungen sinnvollerweise nicht mehr allein durch nationales Recht realisieren, sondern auf internationaler oder zumindest europäischer Ebene. Deshalb halte ich es für richtig, dass die Digitalcharta einen EU-weiten Regelungsanspruch formuliert. Der Blick über den deutschen Tellerrand zeigt zudem, dass die Diskussion über die Drittwirkung von Grundrechten in der Europäischen Union weitaus weniger intensiv geführt wird als in der deutschen Rechtswissenschaft. Unter dem Begriff der „horizontalen Wirkung“ bejaht etwa der Europäische Gerichtshof die direkte Anwendbarkeit von EU-Recht – auch von Grundrechten – auf das Verhältnis zwischen Privaten, soweit eine EU-Rechtsvorschrift hinreichend präzise formuliert ist. Eine entsprechende Klausel, die klarstellt, dass bestimmte digitale Rechte (und Pflichten) auch gegenüber Privaten anzuwenden sind, wäre also durchaus konsequent und zulässig.

Verbesserungsbedarf

Die Autoren der Digitalcharta haben zur Diskussion ihrer Vorschläge aufgerufen. In der Tat sind nicht alle Artikel der vorgeschlagenen Digitalcharta gleichermaßen gelungen. Kritisch sehe ich insbesondere die widersprüchlichen Ausführungen zur Meinungsfreiheit und Öffentlichkeit in Art. 5:

„(1) Jeder hat das Recht, in der digitalen Welt seine Meinung frei zu äußern. Eine Zensur findet nicht statt.
(2) Digitale Hetze, Mobbing sowie Aktivitäten, die geeignet sind, den Ruf oder die Unversehrtheit einer Person ernsthaft zu gefährden, sind zu verhindern.
(3) Ein pluraler öffentlicher Diskursraum ist sicherzustellen.
(4) Staatliche Stellen und die Betreiber von Informations- und Kommunikationsdiensten sind verpflichtet, für die Einhaltung von Abs. 1, 2 und 3 zu sorgen.“

Für bedenklich halte ich die im zweiten Absatz vorgesehenen Einschränkungen der Meinungsfreiheit und des Zensurverbots. Es stellt sich die Frage, wie die Tatbestände der digitalen „Hetze und Mobbing sowie Aktivitäten, die geeignet sind, den Ruf oder die Unversehrtheit einer Person ernsthaft zu gefährden“ zu verstehen sind.

Wer einmal Ziel aggressiver Kritik, Anmache bis hin zum Shitstorm geworden ist, empfindet eine solche Situation als unangenehm. Trotzdem wäre es falsch, darauf mit einem generellen Verbot zu reagieren. In einer pluralen Demokratie müssen wir auch unsachliche Äußerungen und Wut anderer ertragen, ohne nach dem Staatsanwalt oder Foren-Zensor zu rufen.

Zudem darf nicht außer Acht gelassen werden, dass die Meinungsfreiheit vor dem Hintergrund unterschiedlicher historischer Erfahrungen international verschieden eingeschätzt wird. Die vorgeschlagenen Regelungen implizieren, dass nicht nur unzulässige, sondern auch nicht strafbare Meinungsäußerungen in der digitalen Welt zu verhindern seien. Dies wird der überragenden Bedeutung der Informations- und Meinungsfreiheit in der demokratischen Gesellschaft nicht gerecht.

Verschärft wird dieses Problem dadurch, dass nicht etwa eine nachträgliche Löschung verlangt wird, sondern die generelle Verhinderung solcher Äußerungen. Dies würde letztlich doch auf Zensur hinauslaufen.

Zudem sind die Adressaten entsprechender Verpflichtungen nicht zu Ende gedacht. So sollen nicht nur „staatliche Stellen“, sondern auch die Betreiber von Kommunikations- und Informationsdiensten für die Durchsetzung sorgen. Ich kann mir nicht vorstellen, dass die Autoren einer durchgängigen Inhaltskontrolle im Sinne von „deep packet inspection“ das Wort reden, aber leider lassen sich die Formulierungen genau so auslegen.

An Stelle der missverständlichen Regelungen sollte Art. 5 daher umformuliert werden:

„…(2) Dieses Recht kann durch gesetzliche Bestimmungen beschränkt werden, soweit dies zum Schutz berechtigter persönlicher oder gesellschaftlicher Interessen unerlässlich ist. … (4)

Die Betreiber von Plattformen, die dem öffentlichen Informations- und Meinungsaustausch dienen, sind verpflichtet, unzulässige Beiträge zu löschen, sobald sie von ihnen Kenntnis erlangt haben.“

Peter Schaar

Tracking und Profiling – online und offline

Dass die Online-Welt immer mehr mit der Offline-Welt zusammenwächst, zeigt sich auch in der immer schnelleren Entwicklung von Techniken zur Beobachtung und Ortung von Menschen und der Verfolgung ihrer Bewegungen zu den verschiedensten Zwecken. Lange Zeit wurde dieses Thema ausschließlich bezogen auf die Internet-Nutzung diskutiert. Inzwischen jedoch haben die Anbieter von Internet-Inhalten erkannt, dass Online-Profile sehr viel aussagekräftiger werden, wenn sie zum einen das Verhalten der Nutzer webseitenübergreifend abbilden und zum anderen auch ihr Verhalten offline miteinbeziehen.

Zu diesem Thema veranstaltete die Europäische Akademie für Informationsfreiheit und Datenschutz am 23. November 2016 im Abgeordnetenhaus von Berlin einen Workshop, an dem auch zahlreiche ausländische Experten teilnahmen, die sich an der vorausgegangenen Herbstsitzung der Internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation (sog. Berlin-Group) beteiligt hatten.

Zunächst berichtete Tobias Judin von der norwegischen Datenschutzaufsichtsbehörde Datatilsynet über die Ergebnisse einer Prüfung diverser Tracking-Technologien, die in Norwegen in öffentlich zugänglichen Bereichen eingesetzt werden. Diese reichen von WiFi-Netzen über Bluetooth-Technologie und den Einsatz von Beacons in Ladengeschäften bis hin zu intelligenter Videoanalyse, die über den Einsatz herkömmlicher Kameras weit hinausgeht. Judin erläuterte die Einordnung dieser Technologien nach norwegischem Recht, die sich durchaus auf andere europäische Länder übertragen lässt. Er bezeichnete die Transparenz beim Einsatz solcher Technik durch Unternehmen als essentiell als notwendig, wenn auch nicht als hinreichend. Darüber hinaus sei die informierte Einwilligung der Betroffenen einzuholen. So ist der Betreiber einer Ladenkette, der seine Kunden in den Geschäften lokalisieren lassen und über eine App gezielte Angebote machen will, dazu verpflichtet, sowohl elektronisch in der App als auch in den jeweiligen Geschäften durch analoge Hinweise auf diese Ortungsmöglichkeit hinzuweisen, um den Kunden eine Entscheidung zu ermöglichen, ob sie davon Gebrauch machen wollen. Für den Einsatz intelligenter Videoanalyse müssen – so Judin – nach norwegischem Recht strengere rechtliche Voraussetzungen erfüllt sein als für WiFi- und Beacon-Technologie.

Achim Klabunde, Leiter des IT-Bereichs beim Europäischen Datenschutzbeauftragten, widmete sich der technisch unterstützten Beobachtung durch öffentliche Stellen. Soweit es sich dabei um EU-Institutionen handelt, werden sie vom Europäischen Datenschutzbeauftragten kontrolliert. Dabei sparte er die öffentliche Sicherheit und Grenzkontrollen aus und konzentrierte sich auf die Beobachtung der Internet-Nutzung durch Unionsbehörden. Er beleuchtete die Reichweiten-Analyse und die Nutzung von sozialen Netzen, wobei er die neueste Entscheidung des EuGH zum Personenbezug von IP-Adressen und die festgestellte Unvereinbarkeit des deutschen Verbots der Speicherung von Nutzungsdaten für Sicherheitszwecke nach dem TMG mit in seine Analyse einbezog.

Die Perspektive der US-Federal Trade Commission beleuchtete in einem Video-Statement der Guilherme Roschke, Counsel for International Consumer Protection der FTC. Er schilderte die umfangreichen Aktivitäten der FTC im Zusammenhang mit verschiedenen Formen des geräteübergreifenden Online-Tracking durch Internet-Unternehmen, die ihre Kunden darüber entweder überhaupt nicht oder irreführend informieren. Dies reicht von „history sniffing“, bei dem die Nutzungshistorie des Browsers ausgelesen wird, bis hin zur unbemerkten Herstellung von Internet-Verbindungen durch moderne Fernsehgeräte, ein Thema, das auch in Deutschland für Diskussionen gesorgt hat. Bemerkenswert war die Aussage, dass die FTC – wie auch die europäischen Datenschutzbehörden – der Auffassung ist, dass Daten, die mittels technischer Identifikationsmerkmale wie der IP- oder der Mac-Adresse zur Personalisierung verwendet werden können, nicht generell als anonyme Daten anzusehen sind.

Abschließend berichtete Frank Wagner von der Deutschen Telekom über den gegenwärtigen Stand der internationalen Diskussion über den Do-Not-Track-Standard. Das World Wide Web Consortium (W3C) hat vor mehreren Jahren hierzu eine Arbeitsgruppe eingesetzt, die inzwischen mehrere Entwürfe für ein browsergestütztes Verfahren vorgelegt hat, mit dem Nutzer den von ihnen besuchten Webseiten mitteilen können, ob sie eine Speicherung ihrer Nutzungsdaten nach Ende der Nutzung akzeptieren oder nicht. Während die US-Internet-Wirtschaft offenbar kein Interesse an einem solchen Standard hat und das W3C deshalb Ende 2016 die Arbeiten daran einstellen wird, erläuterte Wagner die Absicht der Deutschen Telekom, gemeinsam mit anderen europäischen Stakeholdern dafür werben zu wollen, dass die Datenschutzbehörden in der Union den Do-Not-Track-Standard als eine Möglichkeit der informierten Einwilligung nach der Datenschutz-Grundverordnung qualifizieren.

 

Alexander Dix

Presseerklärung: EAID wendet sich gegen die Aufweichung des Europäischen Datenschutzes durch deutsche Gesetze

Berlin, den  1. Dezember 2016

Presseerklärung: EAID wendet sich gegen die Aufweichung des Europäischen Datenschutzes durch deutsche Gesetze

 – Stellungnahme zum Referentenentwurf des BMI für ein neues Bundesdatenschutzgesetz –

Die Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) befürchtet eine deutliche Verschlechterung des Datenschutzes, wenn die Pläne des Bundesministeriums des Innern (BMI) für ein „Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU“ realisiert werden.

In ihrer Stellungnahme kritisiert die EAID, dass viele der im Gesetz vorgesehenen Vorschriften hinsichtlich ihres Schutzniveaus nicht nur hinter dem durch das EU-Datenschutzrecht vorgegebenen Schutzniveau zurückbleiben, sondern sogar unterhalb des bisherigen deutschen Datenschutzniveaus liegen. Auf besondere Kritik stößt dabei das Vorhaben, staatlichen Stellen und Unternehmen weitergehende Befugnisse zur Verarbeitung personenbezogener Daten einzuräumen als im EU-Recht vorgesehen:
„Die für einen bestimmten Zweck erhobenen Daten dürften nahezu uferlos für andere Zwecke verwendet werden, und zwar auch dann, wenn schützenswerte Interessen der Betroffenen entgegenstehen. Das ist nicht nur europarechtswidrig, sondern es senkt auch das jetzige deutsche Datenschutzniveau ab“, kritisiert Peter Schaar, Vorsitzender der EAID.
Nicht akzeptabel ist auch die Aushöhlung der Rechte der Betroffenen auf Information über die Datenverarbeitung, über Auskunft über die zu ihrer Person gespeicherten Daten und auf Widerspruch gegen eine Datenverarbeitung. „Damit würden die in Deutschland lebenden Menschen datenschutzrechtlich schlechter gestellt als die Bürgerinnen und Bürger in anderen Ländern der EU“, führt Dr. Alexander Dix aus, stellvertretender EAID-Vorsitzender.
Die vorgesehenen Regelungen schaden auch den europäischen Unternehmen, die auf Basis des EU-Rechts gleichmäßige Bedingungen für grenzüberschreitende europaweite Geschäftsmodelle brauchen, um so auf Augenhöhe mit der internationalen Konkurrenz agieren zu können. Die vom Entwurf vorgesehenen zahlreichen Abweichungen konterkarieren das vom europäischen Gesetzgeber beabsichtigte Ziel, für alle Bürgerinnen und Bürgern der EU und für die im Europäischen Wirtschaftsraum tätigen Unternehmen einen gleichmäßig wirksamen Datenschutz zu garantieren.
Der Wortlaut der EAID-Stellungnahme ist abrufbar unter www.eaid-berlin.de
Kontakt: Peter Schaar, Tel. 030-754 49 550, psch(a)eaid-berlin.de

Wird Deutschland zum Schlusslicht beim Europäischen Datenschutz?

Das Bundesministerium des Innern (BMI) hat am 23. November 2016 den Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) – zitiert als E-BDSG – an die Verbände versandt. Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) wird innerhalb der kurzen für das Anhörungsverfahren vorgesehenen Frist bis zum 7. Dezember zu dem Entwurf offiziell Stellung nehmen. Der vorliegende Beitrag ist insofern eine vorläufige Einschätzung, die allein vom Autor verantwortet wird.

Nachdem bereits Ende August ein Vorentwurf bekannt geworden war, der zu erheblicher Kritik Anlass gab (vgl. etwa meinen Blogpost), hat das BMI zwar einige der gröbsten handwerklichen Fehler abgemildert. Bereits eine erste Durchsicht des umfangreichen Gesetzentwurfs offenbart aber eine Reihe von inhaltlichen und formalen Schwachpunkten und Mängeln, von denen zu hoffen ist, dass sie im weiteren Gesetzgebungsverfahren (Ressortabstimmmung, Beratung im Deutschen Bundestag und im Bundesrat) ausgebessert und beseitigt werden.

Das E-BDSG weicht in verschiedenen Feldern von den Vorgaben der Datenschutzgrundverordnung (DSGVO) ab, und zwar nicht nur dort, in denen der europäische Gesetzgeber Raum für nationale Regelungen gelassen hat, etwa beim Schutz von Beschäftigtendaten oder bei den Vorschriften zu den betrieblichen Datenschutzbeauftragten.

In zentralen Punkten – insbesondere bei den Betroffenenrechten – werden die Vorgaben der DSGVO aufgeweicht mit dem Ergebnis, dass deutsche Bürgerinnen und Bürger zukünftig weniger Datenschutzrechte haben als die übrigen Europäer.

Schließlich ist zu fragen, ob auf diesem Wege Regelungen, mit denen die Bundesregierung bei den Verhandlungen der Datenschutzreform im Rat und im Europaparlament keine Mehrheiten gefunden hat, nun auf dem Umweg eines „Datenschutzanpassungsgesetzes“ doch noch realisiert werden sollen – zum Schaden Europas.

 

EU-weites „level playing field“?

Niemandem wäre damit gedient, wenn ab 25. Mai 2018, wenn die DSGVO wirksam wird – an die Stelle der 28 nationalen Datenschutzgesetze 28 neue, unterschiedliche „Ausführungsgesetze“ treten, wie es dem Ministerium offenbar vorschwebt: Mit verschiedenen Regelungen zur Datenerhebung, Speicherung und Verwendung, mit unterschiedlichen nationalen Vorgaben zu den Rechten auf Auskunft, Löschung und Widerspruch der Betroffenen, ergänzt um Sonderregelungen, die teils deutlich hinter dem EU-Recht zurückbleiben.

Die vorgesehenen Regelungen schaden auch den europäischen Unternehmen, die auf Basis des EU-Rechts gleichmäßige Bedingungen für grenzüberschreitende europaweite Geschäftsmodelle brauchen, um so auf Augenhöhe mit der internationalen Konkurrenz agieren zu können. Die vom Entwurf vorgesehenen zahlreichen Abweichungen konterkarieren das vom europäischen Gesetzgeber beabsichtigte Ziel, für alle Bürgerinnen und Bürgern der EU und für die im Europäischen Wirtschaftsraum tätigen Unternehmen einen gleichmäßigen wirksamen Datenschutz zu garantieren.

Große Unternehmen, die sich umfangreiche Rechtsabteilungen und teure Anwälte leisten können, werden auch in Zukunft mit einer solchen unübersichtlichen Situation umgehen können. Dies gilt aber nicht für kleinere und mittlere Unternehmen, die nicht über derartige Ressourcen verfügen. Neben den Bürgerinnen und Bürgern, deren Datenschutz ausgehöhlt wird, wären sie die Hauptleidtragenden des deutschen Sonderwegs.

 

Absenkung der Betroffenenrechte

Art. 23 DGSVO räumt den von der Datenverarbeitung betroffenen Personen ein Auskunftsrecht über die zu ihnen gespeicherten Daten ein. Nach Art. 14 DSGVO müssen Behörden und Unternehmen die Betroffenen informieren, wenn sie personenbezogene Daten verarbeiten.

Wenn es nach dem BMI geht, müssten davon abweichend gemäß § 32 i.V.m. § 31 E-BDSG öffentliche Stellen die Betroffenen nicht informieren bzw. ihnen keine Auskunft erteilen, wenn „die Information die ordnungsgemäße Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgaben“ gefährden oder „die Information die öffentliche Sicherheit oder  Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würden“. Eine solche Regelung überlässt es weitgehend den Behörden, welche Auskünfte gegeben werden, denn schließlich gibt es viele Gründe, weshalb die Informationsherausgabe die ordnungsgemäße Aufgabenerfüllung gefährden könnte. Unternehmen müssten keine Auskunft erteilen, wenn „die Information die Geschäftszwecke des Verantwortlichen erheblich gefährden würde“. Damit würden Geschäftsinteressen generell über den Schutz persönlicher Daten gestellt. Zudem müssten Unternehmen keine Auskunft erteilen, wenn „die zuständige öffentliche Stelle gegenüber dem Verantwortlichen (Unternehmen) festgestellt hat, dass das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde.“ Auch diese Bestimmung lässt viel Interpretationsspielraum.

Nach Art. 17 DSGVO haben die betroffenen Person das Recht, von Behörden und Unternehmen die Löschung von zu Unrecht gespeicherten oder nicht mehr benötigten Daten zu verlangen. In Deutschland soll jedoch kein Recht auf Datenlöschung bestehen, „wenn eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.“ (§ 33 E-BDSG) Eine solche Vorschrift wäre geradezu eine Einladung an Unternehmen und staatliche Stellen, ihre Daten so zu speichern, dass eine Löschung nur unter größerem Aufwand möglich ist. Sie müssten die Daten selbst dann nicht löschen, wenn ihre Speicherung rechtswidrig war.

Gemäß Art. 21 DSGVO haben die Betroffenen das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit der Verarbeitung ihrer personenbezogenen Daten zu widersprechen, wenn die Verarbeitung im Interesse einer verantwortlichen Stelle (Behörde bzw. Unternehmen)  oder eines Dritten erfolgt und keine ausdrückliche gesetzliche Regelung die Datenverarbeitung erlaubt. Der Gesetzentwurf schränkt dieses Widerspruchsrecht erheblich ein (§ 34 E-BDSG).

Die für die Absenkung der Betroffenenrechte angeführten Begründungen, das geringere Datenschutzniveau liege im öffentlichen Interesse oder diene dem Schutz der Freiheitsrechte anderer Personen (Art. 23 DSGVO), ist selbst bei wohlwollender Auslegung der Datenschutzgrundverordnung abwegig. Die Absenkung des Datenschutzniveaus unter das EU-Level ist mit dem deutschen Grundrecht auf informationelle Selbstbestimmung und dem durch Art. 8 der EU-Grundrechtecharta garantierten Grundrecht auf Schutz personenbezogener Daten nicht zu vereinbaren. Das BMI bleibt jede Begründung schuldig, warum Geschäftsinteressen etwa von Auskunfteien oder Inkassounternehmen schwerer wiegen als die Datenschutzrechte der betroffenen Bürgerinnen und Bürger.

 

Fallbeispiele

Ein Kunde verlangt von seiner Bank aussagekräftige Informationen über das zur automatisierten Bewertung seiner Kreditwürdigkeit verwendete Scoring-Verfahren.

Europa: Die Bank erteilt diese Auskünfte, denn sie ist dazu gem. Art. 15 der Datenschutzgrundverordnung (DSGVO) verpflichtet.

Deutschland: Die Bank lehnt die Auskunft zu den Details des Bewertungsverfahrens ab, denn nach § 32 E-BDSG würden die erfragten Information die eigenen Geschäftszwecke „erheblich gefährden“; sie seien zudem Betriebs- und Geschäftsgeheimnisse des Unternehmens.

Die Besucherin eines Einkaufszentrums erkundigt sich nach dem Umfang und der genauen Speicherungsdauer der Videoaufnahmen der installierten Überwachungskameras.

Europa: Der Betreiber teilt ihr mit, wo die Kameras installiert sind und dass die Aufnahmen nach drei Tagen gelöscht werden. So sieht es die EU-Datenschutzverordnung vor.

Deutschland: Der Betreiber verweigert die erbetene Informationen mit der Begründung, die zuständige Behörde sehe darin eine Gefährdung der öffentlichen Sicherheit und Ordnung.

Ein Versicherungsnehmer verlangt von der Versicherung die Löschung unzulässig gespeicherter Gesundheitsdaten.

Europa: Nach Art. 17 der EU-Datenschutzverordnung hat er ein Recht dazu. Die Versicherung muss die Daten löschen.

Deutschland: Die Versicherung lehnt die Löschung der Daten ab. Gemäß § 33 E-BDSG müsse sie die Daten nicht löschen, denn „wegen der besonderen Art der Speicherung“ sei die Löschung nur mit unverhältnismäßig hohem Aufwand möglich.

 

Exzessive Videoüberwachung

Europa- und verfassungsrechtlich nicht akzeptabel ist auch der deutsche Sonderweg bei der Videoüberwachung: Künftig soll hier – nicht nur für öffentliche Stellen, sondern auch im privatwirtschaftlichen Bereich – die Maxime gelten: Sicherheit geht vor Datenschutz.

Damit soll ein entsprechendes Vorhaben der Bundesregierung fortgeschrieben werden, das auch nach derzeitiger Rechtslage verfassungsrechtlich problematisch ist (vgl. Stellungnahme der EAID zum „Videoüberwachungsverbesserungsgesetz“ v. 6. November 2016)  Die in der Datenschutzgrundverordnung vorgesehene Interessenabwägung müsste so einseitig zu Lasten der Grundrechte erfolgen – ein klarer Verstoß gegen Art. 8 EU-Grundrechtecharta.

 

Beschäftigtendaten

Im Hinblick auf den Beschäftigtendatenschutz begnügt sich das E-BDSG mit einem Minimalprogramm, indem es den alten § 32 BDSG unverändert übernimmt.

Erhebliche Zweifel sind angebracht, ob diese Vorschrift den Vorgaben aus Art. 88 Abs. 2 DSGVO entspricht. Eine solche nationale Regelung soll nämlich „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz“ umfassen.

Davon findet sich nichts im BMI-Entwurf, der deshalb erneut nicht die Erwartungen an einen dringend erforderlichen modernen Beschäftigtendatenschutz erfüllt. Dies ist besonders bedauerlich, weil im Zuge der Digitalisierung der Arbeitswelt hier klare Grenzen der Datenerfassung und -verwendung immer dringlicher werden.

 

Europarechtsbruch mit Ansage

Schließlich wiederholt der Entwurf an vielen Stellen die Vorgaben der Datenschutzgrundverordnung (DSGVO) und wandelt diese Bestimmungen teils in schwer nachvollziehbarer Weise ab. Damit verstößt der Entwurf gegen das europarechtliche Wiederholungsverbot bei direkt anwendbaren EU-Verordnungen, das Abweichungen des nationalen Rechts von EU-rechtlichen Vorgaben verhindern soll.

Als Randnote sei darauf hingewiesen, dass das neue BDSG am 25. Mai 2018 in Kraft treten soll, dem Datum des Wirksamwerdens der Datenschutzgrundverordnung. Da das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ aber auch die Richtlinie für die Bereiche Justiz und Polizei umsetzen soll, deren Umsetzung bis zum 6. Mai 2018 zu erfolgen hat (Art. 63 Abs. 1 RL (EU) 2016/680), handelt es sich sozusagen um einen Europarechtsverstoß mit Ansage – ein ziemlich einmaliger Vorgang.

« Older Entries