Tag Archives: ePrivacy-RL

Neues EuGH-Urteil zur Vorratsdatenspeicherung: Bürgerrechte auch in schwierigen Zeiten bewahren!

English version see here

Der Europäische Gerichtshof hat den mehr als 500 Millionen EU-Bürgerinnen und -Bürgern ein Weihnachtsgeschenk gemacht. Mit seinem neuen Urteil zur Vorratsdatenspeicherung (
C-203/15 v. 21. Dezember 2016) – unterstreicht das höchste Gericht der Europäischen Union die Bedeutung der Grund- und Bürgerrechte. Alle Mitgliedstaaten sind gehalten, die in der Europäischen Grundrechtecharta verbrieften Rechte auch in ihrer nationalen Gesetzgebung zu berücksichtigen. Damit setzt der EuGH ein wichtiges Signal, das angesichts der aktuellen politischen Diskussion über innere und äußere Bedrohungen und dem Erstarken von autoritären politischen Strömungen kaum zu überschätzen ist.

Der EuGH bleibt sich treu

Die Entscheidung des Europäischen Gerichtshofs liegt auf einer Linie mit seinem Urteil vom 8. April 2014, mit dem das Gericht die Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten für ungültig erklärt hatte. Die mit dieser Richtlinie vorgeschriebene allgemeine Verpflichtung zur Vorratsspeicherung von Verkehrs- und Standortdaten beschränkte sich nicht auf das absolut notwendige Maß und griff damit unverhältnismäßig in die Grundrechte auf Achtung des Privatlebens und den Schutz personenbezogener Daten (Art. 7 und 8 EUGRCh) ein.

Trotz der Annullierung der VDS-Richtlinie setzten mehrere Mitgliedstaaten ihre Praxis der Vorratsdatenspeicherung fort oder erweiterten sie sogar. Letzteres geschah in Großbritannien, wo im Eilverfahren bereits kurze Zeit nach dem EuGH-Urteil – im Juli 2014 – neue gesetzliche Grundlagen zur Vorratsdatenspeicherung beschlossen wurden, die sogar über die annullierte EU-Richtlinie hinausgingen. Die weitgehenden aktuellen Verpflichtungen zur obligatorischen Datenspeicherung und die Überwachungsbefugnisse der Sicherheitsbehörden sollen nach dem Willen des britischen Parlaments mit dem sog. „Investigatory Powers Act“ kurzfristig sogar noch ausgeweitet werden und künftig auch sämtliche Web-Dienste umfassen, etwa Transaktionen in sozialen Netzwerken oder im Rahmen von Online-Spielen. Am 29. November 2016 einigten sich  das Ober- und Unterhaus auf einen entsprechenden Gesetzestext,
der nach seiner formalen Billigung durch die Queen demnächst in Kraft treten soll. Auch in anderen Mitgliedstaaten gibt es – unterschiedlich weit reichende – gesetzliche Vorgaben, welche die Anbieter von Telekommunikations- und Internetdiensten dazu verpflichten, Verkehrs- und Standortdaten auch dann vorzuhalten, wenn diese für die Erbringung oder Abrechnung des jeweiligen Dienstes nicht bzw. nicht mehr erforderlich sind.

EU-Grundrechtecharta bindet auch den nationalen Gesetzgeber

Ein schwedisches und ein britisches Gericht hatten dem EuGH die Frage zur Klärung vorgelegt, ob die jeweiligen nationalen Regelungen zur Vorratsdatenspeicherung den europarechtlichen Vorgaben entsprechen.

Der EuGH beantwortet diese Frage dahingehend, dass das Unionsrecht nationalen Regelungen entgegensteht, die eine allgemeine und unterschiedslose Speicherung von Daten vorsehen. Der Grundrechtseingriff, der mit einer nationalen Regelung einhergehe, die eine Speicherung von Verkehrs- und Standortdaten vorsieht, sei als besonders schwerwiegend anzusehen. Die Mitgliedstaaten dürfen nicht – wie geschehen – Regelungen, die auf einem wegen seiner Grundrechtswidrigkeit annullierten EU-Rechtsakt basieren oder sogar über diesen hinausgehen, einfach beibehalten oder neu beschließen.

Die Vorgaben des EU-Rechts binden den nationalen Gesetzgeber. Die EU-Datenschutzrichtlinie 2002/58/EG für elektronische Kommunikation („ePrivacy“-Richtlinie) sei im Lichte der Grundrechtecharta auszulegen. Ausnahmen vom Schutz personenbezogener Daten seien auf das absolut Notwendige zu beschränken. Dies gelte nicht nur für die Regeln über die Vorratsdatenspeicherung selbst, sondern auch für den Zugang von Behörden zu den gespeicherten Daten. Eine nationale Regelung, die eine „allgemeine und unterschiedslose Vorratsdatenspeicherung“ vorsieht, keinen Zusammenhang zwischen den Daten, deren Vorratsspeicherung vorgesehen ist, und einer Bedrohung der öffentlichen Sicherheit verlangt und sich insbesondere nicht auf die Daten eines Zeitraums und/oder eines geografischen Gebiets und/oder eines Personenkreises, der in irgendeiner Weise in eine schwere Straftat verwickelt sein könnte, beschränkt, überschreite die Grenzen des absolut Notwendigen und könne nicht als in einer demokratischen Gesellschaft gerechtfertigt angesehen werden. Gesetze der Mitgliedstaaten, die diesen Anforderungen nicht entsprechen, müssen dementsprechend aufgehoben bzw. geändert werden.

Im Hinblick auf die angefochtenen britischen und schwedischen Gesetze liegt der Ball jetzt wieder bei den zuständigen nationalen Gerichten, die den EuGH zur Klärung der strittigen Rechtsfragen angerufen hatten und die nun für die Durchsetzung der EuGH-Vorgaben sorgen müssen. Besondere Verantwortung tragen aber auch die Parlamente und Regierungen der Mitgliedstaaten, denen es obliegt, die jeweiligen Bestimmungen des nationalen Rechts zu überprüfen und ggf. zu korrigieren.

Was wird aus der deutschen Vorratsdatenspeicherung ?

Welche Konsequenzen sich für die jüngst wieder eingeführte deutsche Vorratsdatenspeicherung ergeben, muss ebenfalls dringend überprüft werden. Zwar bleiben die Speicherungsverpflichtungen des neuen deutschen Vorratsdatenspeicherungsgesetzes hinter der vom Bundesverfassungsgericht 2010 aufgehobenen Vorgängerregelung zurück. Es ist jedoch höchst zweifelhaft, ob damit auch die Vorgaben des EuGH erfüllt werden, denn auch nach der neuen Regelung sind die Daten unterschiedslos und flächendeckend zu speichern, ohne jede sachliche Begrenzung auf einen Gefahrenbereich oder eine besondere Risikosituation.

Dass die Bundesregierung bzw. die sie tragenden Parlamentsfraktionen diese Prüfung nun ergebnisoffen vornehmen werden, erscheint angesichts der von diesen gerade beschlossenen und angekündigten Befugnisserweiterungen für die Sicherheitsbehörden höchst unwahrscheinlich. Letztlich wird wohl erneut das Bundesverfassungsgericht hier für Klarheit sorgen müssen.

Peter Schaar (21. Dezember 2016)

Konsultation der EU-Kommission zur ePrivacy-Richtlinie: Vertraulichkeit und Sicherheit der elektronischen Kommunikation stärker schützen

Presseerklärung

Europa muss die Vertraulichkeit und Sicherheit der elektronischen Kommunikation stärker schützen

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) ist der Auffassung, dass es weiterhin besonderer Regelungen bedarf, die den Datenschutz für die elektronische Kommunikation in Europa sicherstellen. Darauf weisen der ehemalige Berliner Datenschutzbeauftragte Alexander Dix und der ehemalige Bundesdatenschutzbeauftragte Peter Schaar hin, jetzt Vorstandsmitglieder der Europäischen Akademie für Informationsfreiheit und Datenschutz. Die EAID-Stellungnahme erfolgte im Rahmen einer von der EU-Kommission durchgeführten Konsultation zur Evaluierung der Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie,  2002/58/EC). Die Kommission hat für Mitte 2017 einen entsprechenden Reformvorschlag angekündigt.

Angesichts der zentralen Bedeutung der elektronischen Kommunikation und der zunehmenden Risiken ihrer Überwachung und der umfassenden Registrierung des Kommunikationsverhaltens muss die Europäische Union dafür sorgen, dass die Vertraulichkeit und Sicherheit von technisch vermittelter Kommunikation stärker und effektiver als bisher geschützt wird.

Die Datenschützer betonen, dass europarechtliche Vorgaben zum Datenschutz bei elektronischen Kommunikationsdiensten durch den Erlass der Datenschutzgrundverordnung nicht überflüssig geworden sind. Die gegenwärtigen Vorgaben bedürfen allerdings einer grundlegenden Überarbeitung. Nur so lassen sich der Schutz der Kommunikationsdaten und des Fernmeldegeheimnisses auch in Zukunft auf hohem Niveau gewährleisten.

Es muss sichergestellt werden, dass die künftige Regelung zum Datenschutz bei der elektronischen Kommunikation auch für die Anbieter von sog. „Over-The-Top“ (OTT-)-Diensten wie Internet-Telefonie und Instant Messaging und anderen Diensten der Informationsgesellschaft gilt. Auch sollte das Telefonmarketing europaweit ebenso die Einwilligung des Angerufenen voraussetzen wie die Versendung von kommerziellen Nachrichten in sozialen Netzwerken, die nicht anders als Werbe-Mails behandelt werden dürfen (Opt-In-Prinzip). Schließlich muss jeder das Recht haben, seinen Kommunikationsverkehr (sein Heimnetzwerk, seine E-Mails, Smartphones und Datenträger) durch Passörter und Verschlüsselung zu sichern. Anbieter von Kommunikationsdiensten sollten verpflichtet werden, entsprechende Sicherheitsmaßnahmen zumindest anzubieten.
Angesichts der zunehmenden Bedeutung vermeintlich „kostenloser“ Dienste, welche die Nutzer tatsächlich mit ihren personenbezogenen bezahlen, verweisen die Datenschützer auf die Gefahr, dass der Datenschutz zum Luxusgut für Vermögende wird. Deshalb sollten existenziell bedeutsame Dienste im Sinne eines Universaldienstes kostenlos und ohne überschießende Datensammlung angeboten werden. Die Verarbeitung personenbezogener Daten muss sich hier ausschließlich auf das zu ihrer Erbringung erforderliche Maß beschränken. Cookies von Drittanbietern sollten stets standardmäßig deaktiviert und auch andere Techniken zum Tracking und Targeting nur mit ausdrücklicher Zustimmung der Nutzer eingesetzt werden.
Zur Sicherung einer einheitlichen Rechtsdurchsetzung sollten in allen Mitgliedstaaten die Datenschutzbehörden für die Umsetzung des künftigen Rechtakts zum Datenschutz bei elektronische Kommunikation zuständig sein, die im Europäischen Datenschutzausschuss für eine einheitliche Rechtsanwendung sorgen. Damit würden die bisherigen  Zuständigkeitsprobleme und Rechtsunsicherheiten behoben, die weder für die Nutzer noch für die Unternehmen nachvollziehbar sind.

Kontakt: dix@eaid-berlin.de

V.i.S.d.P.: Dr. Alexander Dix, Europäische Akademie, für Informationsfreiheit und Datenschutz, Bismarckallee 46/48, 14193 Berlin

EU-Datenschutz: Nach der Reform beginnt die Arbeit

(Anm. d. Verf.: Die Ergebnisse des Trilogs und Synopse der Positionen der EU-Gremien  sind abrufbar unter  http://www.emeeting.europarl.europa.eu/committees/agenda/201512/LIBE/LIBE%282015%291217_1/sitt-1739884)

Das von den Vertretern der EU-Institutionen (Europäisches Parlament, Kommission und Rat) am 15. Dezember 2015 erzielte Verhandlungsergebnis zum Datenschutz-Reformpaket ist ein wichtiger Meilenstein auf dem Weg in die globale Informationsgesellschaft: Statt 28 unterschiedlicher Datenschutzgesetze der Mitgliedstaaten gibt es zukünftig ein gemeinsames Datenschutzgesetz, die „Datenschutzgrundverordnung“ (DSGVO). Beachten müssen es nicht nur die hier ansässigen Unternehmen, sondern auch Konzerne, die ihre Hauptniederlassung außerhalb der EU haben, aber hier geschäftlich tätig sind („Marktortprinzip“ – Art. 3 Abs. 2)). Die Einhaltung der Regeln wird von unabhängigen Datenschutzbehörden überwacht, die sämtlich über dieselben, wirksamen Sanktionsmöglichkeiten verfügen. Bei schweren Verstößen können Sie Bußgelder in Höhe von bis zu 4% des Jahresumsatzes verhängen (Art. 79) – das lässt sich nicht mehr aus der Portokasse bezahlen. Schließlich sind eine Reihe von Versuchen gescheitert, die Datenschutzvorgaben praktisch in letzter Minute in zentralen Punkten abzuschwächen, etwa beim Anwendungsbereich (im Hinblick auf die Definition personenbezogener Daten) oder bei der Zweckbindung. Hier bleibt es bei strengen Regelungen, die Zweckänderungen an sehr enge Bedingungen knüpfen.

Trotzdem gibt es auch Bereiche, in denen das Ergebnis weniger positiv ausfällt als erhofft. So hat sich das EP nicht mit seiner Forderung durchsetzen können, dass die Einwilligung in die Verarbeitung personenbezogener Daten generell explizit erklärt werden muss – lediglich bei den „besonderen Kategorien personenbezogener Daten“ (Art. 9) – etwa über die Gesundheit – wird eine ausdrückliche Einwilligung gefordert, und nicht bloß eine „zweifelsfreie“: (Definition in Art. 2: „’the data subject’s consent‘ means any freely given, specific, informed and unambiguous indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agreement to personal data relating to them being processed;“).

Auch die Regelungen zum Profiling bleiben hinter den Forderungen der Datenschützer zurück, denn die entsprechenden Vorgaben beschränken sich auf solche Profilbildungen, die zu verbindlichen automatisierten Entscheidungen zuungunsten der Betroffenen führen.

Grundsätzliche Kritik richtete sich in den letzten Monaten dagegen, dass durch die Datenschutzgrundverordnung das deutsche Datenschutzniveau abgesenkt werde. Diese Befürchtung trifft nur zum Teil zu, etwa im Hinblick auf die strengeren Datenschutzbestimmungen im Telemediengesetz. Andererseits ist das deutsche Datenschutzniveau gerade hier nur in der Theorie hoch, aber de facto nicht. Das zeigte sich etwa am Beispiel Facebook: Deutsche Datenschutzbehörden sind mit Klagen dagegen gescheitert, Facebook – dessen Europazentrale in Dublin liegt – zur Einhaltung der deutschen Datenschutzbestimmungen zu verpflichten. Das häufig beschworene „hohe deutsche Datenschutzniveau“ blieb hier also reine Theorie. In Zukunft gilt aber: Jedes Unternehmen, das in Europa Geschäfte macht, muss sich an die einheitlichen europäischen Datenschutzregeln halten. Das ist ein echter Fortschritt, auch wenn die gemeinsamen europäischen Regeln in bestimmten Bereichen hinter dem nationalen Recht zurückbleiben. Zudem gibt es andere Bereiche – etwa das Melderecht – in denen die neue EU-Regelung strenger ist als der deutsche Gesetzgeber. Die voraussetzungslose Datenweitergabe der zwangsweise erhobenen Melderegisterdaten an jedermann ist mit der Datenschutzgrundverordnung nicht vereinbar und muss beendet werden.

Licht und Schatten gibt es schließlich auch bei der Bestimmung über die betrieblichen bzw. behördlichen Datenschutzbeauftragten. Einerseits verpflichtet Art. 35 staatliche Stellen und solche Unternehmen, deren Kerngeschäft in der Überwachung oder der Bewertung personenbezogener Daten besteht – etwa Auskunfteien – oder in der Verarbeitung von sensiblen Daten (etwa Gesundheitsdaten oder genetischen Informationen), zu Bestellung eines internen Datenschutzbeauftragten. Allerdings wurden die deutlich strengeren Vorgaben des deutschen BDSG nicht in die DSGVO übernommen. Der beschlossene Text enthält aber eine Öffnungsklausel, die es dem deutschen Gesetzgeber ermöglicht, an der weitergehenden Bestellungspflicht betrieblicher Datenschutzbeauftragter festzuhalten. (Art. 35 (4): „In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. …“

Auch wenn, wie zu erwarten, die nun beschlossenen Bestimmungen – neben der Datenschutzgrundverordnung auch die Datenschutzrichtlinie für Polizei und Justiz (JI-Richtlinie) – demnächst das formelle EU-Gesetzgebungverfahren passieren, bleibt auf europäischer und auf nationaler Ebene bis zu deren Inkrafttreten 2018 viel zu tun: In der EU muss die Kompatibilität anderer europarechtlicher Vorschriften mit der Grundverordnung überprüft werden. Dies gilt insbesondere für die Datenschutzrichtlinie zur elektronischen Kommunikation („ePrivacy-Richtlinie“). Die Regierungen und Parlamente der Mitgliedstaaten sind gehalten, das nationale Recht zu durchforsten. Dies gilt insbesondere für Deutschland mit seinen vielen bereichsspezifischen Datenschutzbestimmungen. Viele müssen überarbeitet werden, manche müssen wegfallen. Eine besondere Aufgabe kommt auf den Bundestag in Sachen Beschäftigtendatenschutz zu. Art. 82 DSGVO enthält die Möglichkeit, den Umgang mit Beschäftigtendaten detailliert zu regeln. („Member States may, by law or by collective agreements, provide for more specific rules to ensure the protection of the rights and freedoms in respect of the processing of employees‘ personal data in the employment context, …“). Bund und Länder müssen sich zudem mit der Frage auseinandersetzen, inwieweit die gesetzlichen Bestimmungen für Polizei und Justiz den Vorgaben der JI-Richtlinie angepasst werden müssen. Schließlich müssen Unternehmen und öffentliche Stellen ihre Praxis an die neuen Bestimmungen anpassen. Neue Prozesse müssen initiiert, bestehende Verfahren müssen geändert werden …

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) wird sich in den kommenden Jahren schwerpunktmäßig mit den Auswirkungen der neuen EU-Datenschutzregelungen beschäftigen. Für 2016 planen wir Workshops für Entscheider in Wirtschaft, Politik und Verwaltung zur Umsetzung der EU-Bestimmungen und zur Identifizierung des Reformbedarfs im nationalen Recht.

Mit freundlichen Grüßen, Peter Schaar