Tag Archives: Datenschutzaufsicht

Europäischer Datenschutz: Ende gut, alles gut?

Nachdem das EU-Reformpaket zum Datenschutz die letzten Hürden genommen hat, müsste man eigentlich erleichtert aufatmen. Die Datenschutz-Grundverordnung hat den Trilog von Rat, Kommission und Parlament überraschend gut überstanden. Auch die überzeugenden Voten im Europäischen Parlament und im Rat waren ein deutliches Signal für die Handlungsfähigkeit Europas beim Datenschutz – eine Handlungsfähigkeit, die man derzeit in anderen Bereichen, etwa der Flüchtlings- und Finanzpolitik, schmerzlich vermisst.

Wesentliche Elemente der von der Kommission angestoßenen Reform, die während des mehr als vierjährigen Verhandlungsmarathons immer wieder in Frage gestellt worden waren, blieben erhalten oder wurden sogar gegenüber dem Entwurfstext stärker akzentuiert. Dies gilt etwa für die Ausdehnung des Anwendungsbereichs auf Anbieter elektronischer Dienste mit Sitz in einem Drittland („Marktortprinzip“, Art. 3 Abs. 3 DS-GVO) oder die sehr deutliche Verschärfung der Sanktionen bei Datenschutzverstößen (Art. 83). Auch die Forderungen nach einer radikalen Aufweichung der Zweckbindung personenbezogener Daten blieben im Ergebnis erfolglos ebenso wie der Versuch, den Anwendungsbereich der europäischen Vorschriften drastisch einzuschränken.

Die Europäische Union hat also die (rechtlichen) Herausforderungen an das Datenschutzrecht angenommen und Konflikte zunächst durchgestanden. Die EU-weite Harmonisierung des Datenschutzrechts erfolgt auf verhältnismäßig hohem Level und schreibt nicht bloß einen kleinsten gemeinsamen Nenner fest.

Durchaus ambivalent ist es hingegen, dass der Verordnungstext den Mitgliedstaaten erhebliche Gestaltungsmöglichkeiten belässt. Dies eröffnet den nationalen Gesetzgebern zum einen die Chance, in bestimmten Bereichen über die in der Verordnung europaweit festgeschriebenen Mindeststandards hinauszugehen bzw. diese zu konkretisieren. Dies ist der Fall etwa beim Schutz von Gesundheitsdaten (Art. 9 Abs. 4 lit. a), beim Beschäftigtendatenschutz (Art. 88) und dies gilt auch für die Regelungen zur obligatorischen Benennung betrieblicher Datenschutzbeauftragter (Art. 37). Andererseits ist zu befürchten, dass die nationalstaatlichen Regelungsspielräume auch dazu herhalten müssen, bestehende Datenschutz-Schwachstellen beizubehalten  – etwa das deutsche Meldegesetz, das eine generelle Meldepflicht mit sehr freizügigen Übermittlungsmöglichkeiten ohne angemessene Zweckbindung kombiniert. Auch in anderen Mitgliedstaaten gibt es solche fragwürdigen Bestimmungen, die so eine zweite Chance bekommen haben.

Die Konferenz der Datenschutzbeauftragte des Bundes und der Länder hat jüngst gefordert, die von der Datenschutz-Grundverordnung eingeräumten nationalen Spielräume im Sinne eines möglichst hohen Datenschutzniveaus zu nutzen. Wem an einem starken deutschen Datenschutz gelegen ist, der kann diese Position nur unterstützen. Manche Äußerungen von Regierungsvertretern, etwa von Bundeswirtschaftsminister Gabriel und Bundesverkehrsminister Dobrint gegen die angeblich weltfremde und wirtschaftsfeindliche Maxime der „Datensparsamkeit“, lassen aber befürchten, dass in dieser Frage noch ein hartes Ringen bevorsteht.

Neues deutsches Zwei-Phasen-Modell?

Das Bundesinnenministerium hat inzwischen angekündigt, die erforderlichen Änderungen des deutschen Rechts in einem Zwei-Phasen-Modell zu realisieren. In einem ersten Schritt sollen die unbedingt erforderlichen Gesetzesänderungen erfolgen; in einem zweiten Schritt sollen dann weitere Anpassungen stattfinden. Zu der ersten Phase soll die Ausgestaltung der Befugnisse der Datenschutzaufsichtsbehörden und die Einpassung ihrer Sanktionsbefugnisse ins deutsche Rechtssystem gehören (Art. 51-59), auch im Hinblick auf den Rechtsschutz der Betroffenen und die gerichtliche Überprüfung der Aufsichtsmaßnahmen. Unbedingt erforderlich ist es auch, die Zusammenarbeit der deutschen Datenschutzbehörden und die Außenvertretung des deutschen Datenschutzes im neu einzurichtenden Europäischen Datenschutzausschuss zu klären. Die Gesetzgebungskompetenz für derartige Zuständigkeitsfragen liegt jedoch nicht ausschließlich beim Bund. Vielmehr muss hier eine gemeinsame Rechtsvorschrift von Bund und Ländern erlassen werden, etwa in Form eines noch auszuhandelnden Staatsvertrags. Schließlich gehört noch die Ausgestaltung des Verhältnisses von Datenschutz einerseits und der Freiheit der Meinungsäußerung und Informationsfreiheit andererseits (Art. 85 DS-GVO) zum Pflichtprogramm.

Das vom Bundesinnenministerium angekündigte Phasenmodell löst bei mir negative Assoziationen aus, erinnert es doch an die im Jahr 2000 ebenfalls in zwei Phasen angekündigte grundlegende Modernisierung des deutschen Datenschutzrechts: Nahezu sämtliche angekündigten, etwas ambitionierten Änderungen bleiben dabei auf der Strecke, denn die versprochene zweite Phase hat es nie gegeben. Auch damals saßen die Erfinder im Bundesinnenministerium.

Kompetenzfragen als Machtfragen

Bekanntlich gehören Kompetenzfragen zu den am schwierigsten zu lösenden Problemen. Anders als die bisherige Artikel-29-Gruppe wird der Europäische Datenschutzausschuss (Art. 60-67) im Falle eines Dissenses zwischen Datenschutzbehörden entscheiden. Dagegen bleibt es den Mitgliedstaaten überlassen, die jeweiligen Zuständigkeiten und die Außenvertretung der Datenschutzbehörden abzugrenzen, wenn – wie in Deutschland – mehr als eine Datenschutzbehörde eingerichtet wurde.

Eine Weile hatte man den Eindruck, Datenschutz sei aus Sicht der Politik ein gestriges Thema, von dem man sich am besten fern hält. Seit einiger Zeit hat sich der Wind aber gedreht: Niemand kann heute ernsthaft bestreiten, dass der Datenschutz eng mit der Digitalisierung der gesamten Gesellschaft verbunden ist und dass mit der datenschutzrechtlichen Kompetenzverteilung auch darüber entschieden wird, wer die Weichen in die Informationsgesellschaft stellt.

Das Bundesinnenministerium scheint davon auszugehen, dass die allermeisten datenschutzrechtlichen Spezialgesetze zunächst nicht geändert werden müssen. Ich halte diese Position für risikoreich: Zwar ist es richtig, dass die Grundverordnung für bestimmte Felder, insbesondere im Bereich der staatlichen Datenverarbeitung, weiterhin Regelungsspielräume enthält. Anderseits muss auch in diesen Bereichen die Einhaltung der europäischen Standards gewährleistet sein. Dies gilt zum Beispiel für das Sozialrecht: So sind im zehnten Buch des Sozialgesetzbuchs (SGB X) die derzeitigen Regelungen des Bundesdatenschutzgesetzes praktisch gedoppelt – etwa im Hinblick auf die Anforderungen an die Auftragsdatenverarbeitung. Es ist kaum vorstellbar, dass diese unverändert Bestand haben können, ohne bei den Rechtsanwendern zu unlösbaren Konflikten zu führen. Vergleichbare Konstellationen gibt es auch in vielen anderen Bereichen.

Betrieblichen Datenschutz und Beschäftigtendatenschutz nicht auf lange Bank schieben

Besonders intensiv waren die Diskussionen vor der Verabschiedung der Datenschutzgrundverordnung über die betrieblichen Datenschutzbeauftragten und über den Beschäftigtendatenschutz. In beiden Bereichen haben die Mitgliedsstaaten weiterhin Gestaltungsspielraum.

Bei den betrieblichen Datenschutzbeauftragten hatte Bundesregierung in letzter Sekunde im Trilog eine nationale Öffnungsklausel (Art. 37 Abs. 4) durchgesetzt, die das derzeitige deutsche Modell großenteils bewahren könnte – vorausgesetzt, eine entsprechende deutsche Bestimmung wird rechtzeitig – vor dem Inkrafttreten der DS-GVO in zwei Jahren – beschlossen. Nimmt man die Absicht des Bundesministeriums beim Wort, zunächst nur das „Unabweisbare“ gesetzlich neu zu regeln, dann würden die Regeln zum betrieblichen Datenschutzbeauftragten nicht dazu gehören.

Beim Datenschutz im Beschäftigungsverhältnis (Art. 88) stellt sich nicht nur die Frage nach einem deutschen Beschäftigten-Datenschutzgesetz. Auch die Zukunft der bisherigen Regelung des § 32 BDSG zum Umgang mit Beschäftigtendaten steht zur Disposition. Schon sind aus der Wirtschaft Warnungen zu vernehmen, hier einen „deutschen Sonderweg“ einzuschlagen. Es ist leider zu befürchten, dass derartige Meinungsäußerungen in der Politik ohne Wirkung bleiben werden. Angeblich soll es zwischen den Regierungsfraktionen der CDU/CSU und der SPD schon verabredet zu sein, in dieser Legislaturperiode auf ein Beschäftigtendatenschutzgesetz zu verzichten – ein klarer Bruch der Zusagen aus dem Koalitionsvertrag.

Anmerkung: Dieser Beitrag ist für das demnächst erscheinende Schwerpunktheft der Datenschutz-Nachrichten (DANA) vorgesehen, das sich mit der EU-Datenschutzreform beschäftigt.

Facebook: Jede große Reise beginnt mit einem kleinen Schritt

Zunächst einmal herzlichen Dank für die Kommentare zu meiner Ankündigung, Facebook zu verlassen, die ich inzwischen umgesetzt habe.

Ich will hier eine kurze Erläuterung nachreichen: Es war immer mein Anliegen, nicht nur über den Datenschutz zu theoretisieren, sondern auch praktische Erfahrungen zu sammeln. Manches stellt sich nunmal aus der User-Sicht anders dar als von den rechtlichen Höhen der Datenschutzaufsicht. Dabei war mir natürlich seit langem klar, dass die Praxis von Facebook zur Realnamenspflicht und die Profilbildung  den Vorgaben des deutschen Telemediengesetzes nicht entspricht.

Die geänderten FB-Nutzungsbedingungen gehen jedoch darüber hinaus, denn FB räumt sich darin das Recht ein, uns auch außerhalb  seines Dienstes zu beobachten, unser Surfverhalten zu registrieren und sich auf dem den von uns verwendeten Geräten nach anderen Apps umzuschauen. Dies überschreitet aus meiner Sicht jedes akzeptable Maß und entspricht auch nicht den Vorgaben des Europäischen Datenschutzrechts, zu dessen Einhaltung sich FB eigentlich verpflichtet hat – und verpflichtet ist (Sitz der FB Inc.: Dublin). Dies gilt auch für die  „Einwilligung“, die dann als erteilt gilt, wenn man den Dienst nach dem Inkrafttreten der geänderten Regeln weiter nutzt. Diese Einwilligung ist aus meiner Sicht unwirksam, denn gerade bei einem marktbeherrschenden Unternehmen kann von der durch die EG-Datenschutzrichtlinie Freiwilligkeit der Einwilligung keine Rede sein. Auch die Vorstellung, allein durch die Dienstenutzung mit allem einverstanden zu sein, erscheint mir – insb. angesichts der Komplexität der Datensammlungen und -verarbeitungsvorgänge – nicht tragbar.

Daran ändert auch die neu eingeführte Wahlmöglichkeit nichts, keine verhaltensspezifisch personalisierte Werbung mehr zu erhalten. Dies ist lediglich ein Opt Out bezüglich der Werbezusendungen, ändert aber nichts an der Beobachtung und Profilbildung. Und die Möglichkeit, bestimmte Werbung „abzuwählen“, führt nicht etwa zu weniger Beobachtung und Registriereung sondern fügt unserem Profil weitere Elemente hinzu.

Für mich war mit den neuen Nutzungsbedingungen eine rote Linie überschritten. Ich werde also in Zukunft ohne FB auskommen müssen, jedenfalls solange der Dienst seine Praxis nicht wesentlich ändert, woran ich derzeit eher zweifele. Schön wären allerdings auch die hier im Forum diskutierten Projekte datenschutzgerechter Alternativen. Ich habe vor, mich demnächst etwas intensiver im Netz umzusehen – es würde mich wundern, wenn es derartige Ansätze noch nicht gibt. Von einigen, etwa Diaspora, hat man ja schon gehört. Vielleicht kann ja jemand von Erfahrungen berichten.

Mir ist völlig klar, dass mein individueller Austritt aus dem Dienst nicht viel ändert. Diese Erfahrung hatte vor einigen Jahren schon die damalige Verbraucherschutzministerin Ilse Aigner machen müssen. Andererseits möchte ich an den Satz des großen chinesischen Gelehrten Konfuzius erinnern: „Jede große Reise beginnt mit einem kleinen Schritt“.

Mit freundlichen Grüßen

Peter Schaar

Herzlichen Glückwunsch Giovanni Butarelli und Wojciech Wiewiorowski zum LIBE-Votum für den Europäischen Datenschutzbeauftragten!

Die Hängepartie ist zu Ende: Mehr als zehn Monate brauchten die europäischen Institutionen, sich auf einen neuen Europäischen Datenschutzbeauftragten und seinen Stellvertreter zu einigen. Auch wenn die formelle Absegnung der Kandidaten noch aussteht, sind die Würfel nun endlich gefallen.

Der Rechts- und Innenausschuss des EP hat am 21. Oktober 2014 mit deutlichen Mehrheiten dafür votiert
http://www.europarl.europa.eu/news/de/news-room/content/20141021IPR75439/html/Civil-liberties-MEPs-vote-on-their-preferences-for-EU-data-protection-watchdog, dass Giovanni Butarelli der neue Europäische Datenschutzbeuaftragte und Wojciech Wiewiorowski sein Stellvertreter wird. Dieses Votum des Parlaments wird nun der Konferenz der Präsidenten von EU-Rat und Parlament vorgelegt. Dem Vernehmen nach hatte der Rat bereits vor einigen Tagen die beiden Kandidaten favorisiert, die in der Datenschutzcommunity zu Recht einen sehr guten Ruf genießen. Butarelli ist seit fünf Jahren Stellvertreter des bisherigen EU-Datenschutzbeauftragten Peter Hustinx und Wojciech Wiewiorowski leitet seit vier Jahren die polnische Datenschutzbehörde.

Auf das neue EU-Datenschutzteam warten große Aufgaben. Seine größte Herausforderung ist die Reform des Europäischen Datenschutzrechts, über die seit 2012 beraten wird. Aber auch auf anderen Feldern sind sie gefordert: Immer mehr europäische Institutionen sammeln personenbezogene Daten, deren Verartbeitung durch die EU-Datenschutzbehörde kontrolliert wird. Der Datenaustausch zwischen den Mitgliedstaaten auf Basis bestehender und geplanter EU-Rechtsinstrumente wird immer intensiver. Schließlich fließen auf Grund verschiedener Abkommen massenhaft Daten europäischer Bürgerinnen und Bürger in die USA, insb. Fluggast- und Bankdaten. Die zuggrundeliegenden Abkommen (PNR und TFTP) sind zeitlich befristet und müssen in den kommenden Jahren neu verhandelt werden. Gleiches gilt für das Safe Harbor-Abkommen mit den USA, das insbesondere seit dem Bekanntwerden der Überwachungsaktivitäten des US-Geheimdienstes NSA in der Kritik steht. Dabei wird die Frage zu beantworten sein, ob der  Datentransfers mit der EU-Grundrechtecharta vereinbar ist – angesichts der jüngeren Rechtsprechung des Europäischen Gerichtshofs zur Vorratsdatenspeicherung ist dies höchst zweifelhaft.

Mit freundlichen Grüßen

Peter Schaar

Bußgeldbescheid der CNIL gegen Google: Wann gilt das EU-Datenschutzrecht?

Die französische Datenschutzaufsichtsbehörde CNIL hat vor einigen Tagen gegen Google Inc. wegen Datenschutzvergehen ein Bußgeld von 150.000 Euro verhängt.
Die Sanktion richtet sich gegen die von Google im Frühjahr geänderten Nutzungs- und Datenschutzbedingungen, die nach Auffassung der Behörde gegen europäisches und französisches Datenschutzrecht verstößt. Dabei geht es im Wesentlichen um den Umfang und die Dauer der Speicherung, die Verknüpfung von Daten aus unterschiedlichen, vom Unternehmen angebotenen Diensten und um die unzureichenden Möglichkeiten der Nutzer, ihre Datenschutzrechte geltend zu machen.
Bemerkenswert an diesem Vorgehen ist nicht nur, dass sich eine nationale Datenschutzbehörde mit einem global agierenden Konzern anlegt – dies gehört zu ihren Aufgaben, wenn sie Verstöße feststellt. Von besonderer Bedeutung ist aber, dass die CNIL – in enger Zusammenarbeit mit Aufsichtsbehörden anderer Mitgliedstaaten (in Deutschland ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit beteiligt) – hiermit den Präzedenzfall schafft, dass das europäische Datenschutzrecht auch dann gilt, wenn ein Unternehmen, das seine Dienste aus einem Drittstaat – hier aus den Vereinigten Staaten – erbringt und dabei personenbezogene Daten europäischer Nutzerinnen und Nutzer verarbeitet.
Google beruft sich darauf, dass die Datenverarbeitung nicht im Verantwortungsbereich einer europäische Niederlassung stattfindet, sondern allein durch die kalifornische Muttergesellschaft. Dementsprechend sei das EU-Datenschutzrecht nicht einschlägig. Dagegen geht die CNIL davon aus, dass das französische Datenschutzgesetz gilt, weil Google Daten französischer Internetnutzer verarbeitet.
Gemäß Art. 4 der EG-Datenschutzrichtlinie ist das Datenschutzrecht der Mitgliedstaaten dann anzuwenden, wenn die Verarbeitung personenbezogener Daten im Rahmen einer Niederlassung erfolgt, die sich in dessen Hoheitsgebiet befindet.  Dasselbe gilt, wenn zum Zwecke der Verarbeitung personenbezogener Daten auf „Mittel“ zurückgegriffen wird, die sich in dem Hoheitsgebiet des Mitgliedstaats befinden.
Diese Vorgabe wurde in den Mitgliedstaaten unterschiedlich umgesetzt. Während   Art. 5 Abs. 2 des französischen Datenschutzgesetzes sich eng an den Wortlaut der Richtlinie hält,  sind die Anwendungsregeln des deutschen Rechts allgemeiner gehalten. Gemäß § 1 Abs. 5 Satz 2 BDSG ist das Gesetz stets auch dann anwendbar, wenn  eine in einem Drittsaat ansässige Stelle personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt. Das BDSG fordert in diesem Zusammenhang nicht die Verwendung von technischen Mitteln, die in Deutschland lokalisiert sind.
Im vorliegenden Fall kann die CNIL die Anwendbarkeit des französischen bzw. europäischen Datenschutzrechts damit begründen, dass Google zur Personalisierung seiner Angebote auf Cookies zurückgreift, die auf den Computern der Nutzer gespeichert werden.
Dies ist im Ergebnis zu begrüßen. Denn es wäre nicht einzusehen, dass im Internet auf Grund des Territorialprinzips der Schutz personenbezogener Daten europäischer Nutzerinnen und Nutzer generell nicht gegeben wäre, wenn ein Dienst aus einem Drittstaat wie den USA erbracht wird.
Andererseits ist die Anknüpfung an technische „Mittel“, wie sie die EG-Richtlinie vornimmt, angesichts der zunehmenden Entörtlichung der Informationsverarbeitung kein geeignetes Abgrenzungskriterium mehr. Denn was geschieht, wenn ein Dienst keine Cookies oder andere Identifikationsmerkmale auf den Computern der Nutzer platziert? Und wie steht es mit Cloud-Diensten, die auf Offshore-Servern betrieben werden, bei denen sich die Nutzer mit einer User-ID und einem Passwort anmelden? Soll in diesen Fällen der Schutz des europäischen Rechts wegfallen? Soll etwa die von Google angekündigte Umstellung seines Nutzer-Identifikationsverfahrens auf ein cookie-loses System dafür ausschlaggebend sein, ob sich das Unternehmen an europäisches Recht zu halten hat oder nicht?
Gerade weil IT-Dienste zunehmend global, unabhängig vom Ort der Datenverarbeitung erbracht werden, muss der Schutzanspruch des europäischen und nationalen Datenschutzrechts stets dann gewährleistet sein, wenn Daten im europäischen Rechtsraum erhoben werden. Immer wenn Internet-Dienste sich an Nutze innerhalb der EU wenden und dabei personenbezogene Daten verarbeiten, müssen sie sich an europäisches Recht zu halten haben – unabhängig vom Ort der Niederlassung oder vom Standort irgendwelcher technischen Einrichtungen.
Deshalb ist zu hoffen, dass die heiß diskutierte EU-Datenschutzgrundverordnung endlich beschlossen wird, die genau dieses „Marktortprinzip“ unmissverständlich festschreibt. Die Verordnung ist nach  Art. 3 Abs. 2 lit.a des Kommissions-Entwurfs immer dann anzuwenden, wenn die Verarbeitung personenbezogener Daten „dazu dient, diesen Personen in der Union Waren oder Dienstleistungen anzubieten“.
Ihr
Peter Schaar