Tag Archives: Einwilligung

Konsultation der EU-Kommission zur ePrivacy-Richtlinie: Vertraulichkeit und Sicherheit der elektronischen Kommunikation stärker schützen

Presseerklärung

Europa muss die Vertraulichkeit und Sicherheit der elektronischen Kommunikation stärker schützen

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) ist der Auffassung, dass es weiterhin besonderer Regelungen bedarf, die den Datenschutz für die elektronische Kommunikation in Europa sicherstellen. Darauf weisen der ehemalige Berliner Datenschutzbeauftragte Alexander Dix und der ehemalige Bundesdatenschutzbeauftragte Peter Schaar hin, jetzt Vorstandsmitglieder der Europäischen Akademie für Informationsfreiheit und Datenschutz. Die EAID-Stellungnahme erfolgte im Rahmen einer von der EU-Kommission durchgeführten Konsultation zur Evaluierung der Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie,  2002/58/EC). Die Kommission hat für Mitte 2017 einen entsprechenden Reformvorschlag angekündigt.

Angesichts der zentralen Bedeutung der elektronischen Kommunikation und der zunehmenden Risiken ihrer Überwachung und der umfassenden Registrierung des Kommunikationsverhaltens muss die Europäische Union dafür sorgen, dass die Vertraulichkeit und Sicherheit von technisch vermittelter Kommunikation stärker und effektiver als bisher geschützt wird.

Die Datenschützer betonen, dass europarechtliche Vorgaben zum Datenschutz bei elektronischen Kommunikationsdiensten durch den Erlass der Datenschutzgrundverordnung nicht überflüssig geworden sind. Die gegenwärtigen Vorgaben bedürfen allerdings einer grundlegenden Überarbeitung. Nur so lassen sich der Schutz der Kommunikationsdaten und des Fernmeldegeheimnisses auch in Zukunft auf hohem Niveau gewährleisten.

Es muss sichergestellt werden, dass die künftige Regelung zum Datenschutz bei der elektronischen Kommunikation auch für die Anbieter von sog. „Over-The-Top“ (OTT-)-Diensten wie Internet-Telefonie und Instant Messaging und anderen Diensten der Informationsgesellschaft gilt. Auch sollte das Telefonmarketing europaweit ebenso die Einwilligung des Angerufenen voraussetzen wie die Versendung von kommerziellen Nachrichten in sozialen Netzwerken, die nicht anders als Werbe-Mails behandelt werden dürfen (Opt-In-Prinzip). Schließlich muss jeder das Recht haben, seinen Kommunikationsverkehr (sein Heimnetzwerk, seine E-Mails, Smartphones und Datenträger) durch Passörter und Verschlüsselung zu sichern. Anbieter von Kommunikationsdiensten sollten verpflichtet werden, entsprechende Sicherheitsmaßnahmen zumindest anzubieten.
Angesichts der zunehmenden Bedeutung vermeintlich „kostenloser“ Dienste, welche die Nutzer tatsächlich mit ihren personenbezogenen bezahlen, verweisen die Datenschützer auf die Gefahr, dass der Datenschutz zum Luxusgut für Vermögende wird. Deshalb sollten existenziell bedeutsame Dienste im Sinne eines Universaldienstes kostenlos und ohne überschießende Datensammlung angeboten werden. Die Verarbeitung personenbezogener Daten muss sich hier ausschließlich auf das zu ihrer Erbringung erforderliche Maß beschränken. Cookies von Drittanbietern sollten stets standardmäßig deaktiviert und auch andere Techniken zum Tracking und Targeting nur mit ausdrücklicher Zustimmung der Nutzer eingesetzt werden.
Zur Sicherung einer einheitlichen Rechtsdurchsetzung sollten in allen Mitgliedstaaten die Datenschutzbehörden für die Umsetzung des künftigen Rechtakts zum Datenschutz bei elektronische Kommunikation zuständig sein, die im Europäischen Datenschutzausschuss für eine einheitliche Rechtsanwendung sorgen. Damit würden die bisherigen  Zuständigkeitsprobleme und Rechtsunsicherheiten behoben, die weder für die Nutzer noch für die Unternehmen nachvollziehbar sind.

Kontakt: dix@eaid-berlin.de

V.i.S.d.P.: Dr. Alexander Dix, Europäische Akademie, für Informationsfreiheit und Datenschutz, Bismarckallee 46/48, 14193 Berlin

EU-Datenschutz: Nach der Reform beginnt die Arbeit

(Anm. d. Verf.: Die Ergebnisse des Trilogs und Synopse der Positionen der EU-Gremien  sind abrufbar unter  http://www.emeeting.europarl.europa.eu/committees/agenda/201512/LIBE/LIBE%282015%291217_1/sitt-1739884)

Das von den Vertretern der EU-Institutionen (Europäisches Parlament, Kommission und Rat) am 15. Dezember 2015 erzielte Verhandlungsergebnis zum Datenschutz-Reformpaket ist ein wichtiger Meilenstein auf dem Weg in die globale Informationsgesellschaft: Statt 28 unterschiedlicher Datenschutzgesetze der Mitgliedstaaten gibt es zukünftig ein gemeinsames Datenschutzgesetz, die „Datenschutzgrundverordnung“ (DSGVO). Beachten müssen es nicht nur die hier ansässigen Unternehmen, sondern auch Konzerne, die ihre Hauptniederlassung außerhalb der EU haben, aber hier geschäftlich tätig sind („Marktortprinzip“ – Art. 3 Abs. 2)). Die Einhaltung der Regeln wird von unabhängigen Datenschutzbehörden überwacht, die sämtlich über dieselben, wirksamen Sanktionsmöglichkeiten verfügen. Bei schweren Verstößen können Sie Bußgelder in Höhe von bis zu 4% des Jahresumsatzes verhängen (Art. 79) – das lässt sich nicht mehr aus der Portokasse bezahlen. Schließlich sind eine Reihe von Versuchen gescheitert, die Datenschutzvorgaben praktisch in letzter Minute in zentralen Punkten abzuschwächen, etwa beim Anwendungsbereich (im Hinblick auf die Definition personenbezogener Daten) oder bei der Zweckbindung. Hier bleibt es bei strengen Regelungen, die Zweckänderungen an sehr enge Bedingungen knüpfen.

Trotzdem gibt es auch Bereiche, in denen das Ergebnis weniger positiv ausfällt als erhofft. So hat sich das EP nicht mit seiner Forderung durchsetzen können, dass die Einwilligung in die Verarbeitung personenbezogener Daten generell explizit erklärt werden muss – lediglich bei den „besonderen Kategorien personenbezogener Daten“ (Art. 9) – etwa über die Gesundheit – wird eine ausdrückliche Einwilligung gefordert, und nicht bloß eine „zweifelsfreie“: (Definition in Art. 2: „’the data subject’s consent‘ means any freely given, specific, informed and unambiguous indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agreement to personal data relating to them being processed;“).

Auch die Regelungen zum Profiling bleiben hinter den Forderungen der Datenschützer zurück, denn die entsprechenden Vorgaben beschränken sich auf solche Profilbildungen, die zu verbindlichen automatisierten Entscheidungen zuungunsten der Betroffenen führen.

Grundsätzliche Kritik richtete sich in den letzten Monaten dagegen, dass durch die Datenschutzgrundverordnung das deutsche Datenschutzniveau abgesenkt werde. Diese Befürchtung trifft nur zum Teil zu, etwa im Hinblick auf die strengeren Datenschutzbestimmungen im Telemediengesetz. Andererseits ist das deutsche Datenschutzniveau gerade hier nur in der Theorie hoch, aber de facto nicht. Das zeigte sich etwa am Beispiel Facebook: Deutsche Datenschutzbehörden sind mit Klagen dagegen gescheitert, Facebook – dessen Europazentrale in Dublin liegt – zur Einhaltung der deutschen Datenschutzbestimmungen zu verpflichten. Das häufig beschworene „hohe deutsche Datenschutzniveau“ blieb hier also reine Theorie. In Zukunft gilt aber: Jedes Unternehmen, das in Europa Geschäfte macht, muss sich an die einheitlichen europäischen Datenschutzregeln halten. Das ist ein echter Fortschritt, auch wenn die gemeinsamen europäischen Regeln in bestimmten Bereichen hinter dem nationalen Recht zurückbleiben. Zudem gibt es andere Bereiche – etwa das Melderecht – in denen die neue EU-Regelung strenger ist als der deutsche Gesetzgeber. Die voraussetzungslose Datenweitergabe der zwangsweise erhobenen Melderegisterdaten an jedermann ist mit der Datenschutzgrundverordnung nicht vereinbar und muss beendet werden.

Licht und Schatten gibt es schließlich auch bei der Bestimmung über die betrieblichen bzw. behördlichen Datenschutzbeauftragten. Einerseits verpflichtet Art. 35 staatliche Stellen und solche Unternehmen, deren Kerngeschäft in der Überwachung oder der Bewertung personenbezogener Daten besteht – etwa Auskunfteien – oder in der Verarbeitung von sensiblen Daten (etwa Gesundheitsdaten oder genetischen Informationen), zu Bestellung eines internen Datenschutzbeauftragten. Allerdings wurden die deutlich strengeren Vorgaben des deutschen BDSG nicht in die DSGVO übernommen. Der beschlossene Text enthält aber eine Öffnungsklausel, die es dem deutschen Gesetzgeber ermöglicht, an der weitergehenden Bestellungspflicht betrieblicher Datenschutzbeauftragter festzuhalten. (Art. 35 (4): „In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. …“

Auch wenn, wie zu erwarten, die nun beschlossenen Bestimmungen – neben der Datenschutzgrundverordnung auch die Datenschutzrichtlinie für Polizei und Justiz (JI-Richtlinie) – demnächst das formelle EU-Gesetzgebungverfahren passieren, bleibt auf europäischer und auf nationaler Ebene bis zu deren Inkrafttreten 2018 viel zu tun: In der EU muss die Kompatibilität anderer europarechtlicher Vorschriften mit der Grundverordnung überprüft werden. Dies gilt insbesondere für die Datenschutzrichtlinie zur elektronischen Kommunikation („ePrivacy-Richtlinie“). Die Regierungen und Parlamente der Mitgliedstaaten sind gehalten, das nationale Recht zu durchforsten. Dies gilt insbesondere für Deutschland mit seinen vielen bereichsspezifischen Datenschutzbestimmungen. Viele müssen überarbeitet werden, manche müssen wegfallen. Eine besondere Aufgabe kommt auf den Bundestag in Sachen Beschäftigtendatenschutz zu. Art. 82 DSGVO enthält die Möglichkeit, den Umgang mit Beschäftigtendaten detailliert zu regeln. („Member States may, by law or by collective agreements, provide for more specific rules to ensure the protection of the rights and freedoms in respect of the processing of employees‘ personal data in the employment context, …“). Bund und Länder müssen sich zudem mit der Frage auseinandersetzen, inwieweit die gesetzlichen Bestimmungen für Polizei und Justiz den Vorgaben der JI-Richtlinie angepasst werden müssen. Schließlich müssen Unternehmen und öffentliche Stellen ihre Praxis an die neuen Bestimmungen anpassen. Neue Prozesse müssen initiiert, bestehende Verfahren müssen geändert werden …

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) wird sich in den kommenden Jahren schwerpunktmäßig mit den Auswirkungen der neuen EU-Datenschutzregelungen beschäftigen. Für 2016 planen wir Workshops für Entscheider in Wirtschaft, Politik und Verwaltung zur Umsetzung der EU-Bestimmungen und zur Identifizierung des Reformbedarfs im nationalen Recht.

Mit freundlichen Grüßen, Peter Schaar

27.01.2016: EAID-Veranstaltung zu den Konsequenzen aus dem EuGH-Urteil zu Safe Harbor

Am Mittwoch, dem 27. Januar 2016, ab 18 Uhr (Vorabend des Europäischen Datenschutztags) führt die EAID in den Räumen der Europäischen Akademie Berlin (Grundewald), Bismarckallee 46/48, eine Vortrags- und Diskussionsveranstaltung Konsequenzen aus dem EuGH-Urteil vom 6. Oktober 2015 zu Safe Harbor durch.

Wegen der beschränkten Platzzahl wird um Anmeldung per E-Mail unter gf@eaid-berlin.de gebeten

 

Weitere Informationen

Facebook: Jede große Reise beginnt mit einem kleinen Schritt

Zunächst einmal herzlichen Dank für die Kommentare zu meiner Ankündigung, Facebook zu verlassen, die ich inzwischen umgesetzt habe.

Ich will hier eine kurze Erläuterung nachreichen: Es war immer mein Anliegen, nicht nur über den Datenschutz zu theoretisieren, sondern auch praktische Erfahrungen zu sammeln. Manches stellt sich nunmal aus der User-Sicht anders dar als von den rechtlichen Höhen der Datenschutzaufsicht. Dabei war mir natürlich seit langem klar, dass die Praxis von Facebook zur Realnamenspflicht und die Profilbildung  den Vorgaben des deutschen Telemediengesetzes nicht entspricht.

Die geänderten FB-Nutzungsbedingungen gehen jedoch darüber hinaus, denn FB räumt sich darin das Recht ein, uns auch außerhalb  seines Dienstes zu beobachten, unser Surfverhalten zu registrieren und sich auf dem den von uns verwendeten Geräten nach anderen Apps umzuschauen. Dies überschreitet aus meiner Sicht jedes akzeptable Maß und entspricht auch nicht den Vorgaben des Europäischen Datenschutzrechts, zu dessen Einhaltung sich FB eigentlich verpflichtet hat – und verpflichtet ist (Sitz der FB Inc.: Dublin). Dies gilt auch für die  „Einwilligung“, die dann als erteilt gilt, wenn man den Dienst nach dem Inkrafttreten der geänderten Regeln weiter nutzt. Diese Einwilligung ist aus meiner Sicht unwirksam, denn gerade bei einem marktbeherrschenden Unternehmen kann von der durch die EG-Datenschutzrichtlinie Freiwilligkeit der Einwilligung keine Rede sein. Auch die Vorstellung, allein durch die Dienstenutzung mit allem einverstanden zu sein, erscheint mir – insb. angesichts der Komplexität der Datensammlungen und -verarbeitungsvorgänge – nicht tragbar.

Daran ändert auch die neu eingeführte Wahlmöglichkeit nichts, keine verhaltensspezifisch personalisierte Werbung mehr zu erhalten. Dies ist lediglich ein Opt Out bezüglich der Werbezusendungen, ändert aber nichts an der Beobachtung und Profilbildung. Und die Möglichkeit, bestimmte Werbung „abzuwählen“, führt nicht etwa zu weniger Beobachtung und Registriereung sondern fügt unserem Profil weitere Elemente hinzu.

Für mich war mit den neuen Nutzungsbedingungen eine rote Linie überschritten. Ich werde also in Zukunft ohne FB auskommen müssen, jedenfalls solange der Dienst seine Praxis nicht wesentlich ändert, woran ich derzeit eher zweifele. Schön wären allerdings auch die hier im Forum diskutierten Projekte datenschutzgerechter Alternativen. Ich habe vor, mich demnächst etwas intensiver im Netz umzusehen – es würde mich wundern, wenn es derartige Ansätze noch nicht gibt. Von einigen, etwa Diaspora, hat man ja schon gehört. Vielleicht kann ja jemand von Erfahrungen berichten.

Mir ist völlig klar, dass mein individueller Austritt aus dem Dienst nicht viel ändert. Diese Erfahrung hatte vor einigen Jahren schon die damalige Verbraucherschutzministerin Ilse Aigner machen müssen. Andererseits möchte ich an den Satz des großen chinesischen Gelehrten Konfuzius erinnern: „Jede große Reise beginnt mit einem kleinen Schritt“.

Mit freundlichen Grüßen

Peter Schaar