Tag Archives: Google

America First: Datenschutz nur noch für (US-)Inländer

Die amerikanischen Technologie-Giganten Google, Facebook, Microsoft, Twitter und Amazon  werden womöglich die ersten Opfer der von Präsident Trump verfolgten „America First“- Politik sein. Trump unterzeichnete  am 25. Januar  2017 die Anordnung (Executive Order)  zur Verbesserung der öffentlichen Sicherheit. Schon jetzt ist deutlich, dass die Politik der Trump-Administration  einem gemeinsamen Datenschutz-Verständnis  zwischen den USA und der EU diametral  entgegen laufen.

Section 14 hat folgenden Wortlaut:

„Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“

Auch wenn sich diese Bestimmung vermutlich zunächst gegen diejenigen Personen richten soll, die sich illegal in den Vereinigten Staaten aufhalten, hat sie doch auch erhebliche Auswirkungen auf den transatlantischen Datentransfer. Vor allem das Abkommen zwischen der Europäischen Union und der US-Regierung „Privacy Shield“ ist betroffen. Das  erst im letzten Sommer ausgehandelte  Abkommen gestattet es Unternehmen, welche die Einhaltung der Privacy Shield Prinzipien gewährleisten, personenbezogene Daten aus der Europäischen Union in die USA zu übermitteln.

Voraussetzung für die Übermittlung ist ein „angemessenes Datenschutzniveau“, also ein dem EU-Recht gleichwertiger Schutz für die in die USA transferierten personenbezogenen Daten. Die Europäische Kommission hat am 12. Juli 2016 auf Basis des US-Rechts und der Zusicherungen der Obama-Administration die Existenz eines gleichwertigen  Datenschutzes festgestellt (Angemessenheitsbeschluss). Privacy Shield trat damit an die Stelle des Safe Harbour Arrangements, welches der Europäische Gerichtshof am 6. Oktober 2015 annulliert hatte, da es  den in  Art. 8 der EU-Grundrechtecharta garantierten Schutz personenbezogener Daten nicht gewährleistete.

Zu den Zusicherungen der US-Seite gehörte die Auslegung des US-Rechts in der Weise, dass die US Datenschutzbestimmungen – soweit rechtlich zulässig –  auch für Daten von EU-Bürgern angewandt werden. Damit dürfte jetzt Schluss sein.

Eine wichtige Basis bildete auch der vom US-Kongress im Februar 2016 gebilligte Judicial Redress Act (JRA), der  die Grundlage dafür bereitstellt, dass sich EU-Bürgerinnen und Bürger an US-Behörden wenden können, wenn sie der Auffassung sind, dass US-Behörden ihre Daten zu Unrecht verarbeiten.  Allerdings räumt der JRA den EU-Bürgern solche Klagerechte nicht selbst ein, sondern macht dies von einer Anordnung des US-Justizministers (Attorney General) abhängig. Die scheidende Obama-Administration hat eine entsprechende Erklärung wenige Tage vor der Inauguration Donald Trumps herausgegeben, die neben der Europäischen Union als Ganzes, 26 ihrer Mitgliedstaaten und Zypern umfasst  Die oben zitierte Executive Order  könnte so verstanden werden, dass das Justizministerium die „Privilegierung“ der Bürger anderer Staaten zurücknimmt, welche am 1. Februar 2017 in Kraft treten soll.

Unabhängig davon ist zu befürchten, dass die – nach den Snowden-Enthüllungen   von US-Präsident Obama angeordneten – partiellen Sicherungen des Datenschutzes für Nicht-Amerikaner bei der geheimdienstlichen Überwachung außer Kraft gesetzt werden. Damit würden auch die Erklärungen des US-Geheimdienstkoordinators im Rahmen der Privacy Shield—Verhandlungen obsolet.

Vor diesem Hintergrund muss die EU-Kommission unverzüglich handeln. Sie darf mit der Prüfung, ob die Voraussetzungen für eine Fortgeltung des Angemessenheitsbeschlusses zum Privacy Shield  noch gegeben sind, nicht erst bis zur ersten, im Sommer d.J. vorgesehenen regulären Privacy Shield Review warten. Aber auch die europäischen Datenschutzbehörden sind gefragt. Der Europäische Gerichtshof hat Ihnen in seiner Safe Harbour-Entscheidung auferlegt, Zweifeln an einem angemessenen Datenschutzniveau selbstständig nachzugehen und damit nicht auf eine entsprechende  Feststellung der Kommission zu warten.

EuGH-Entscheidung zur Google-Suche – Etappensieg für den Datenschutz

Einen Monat nach seiner wegweisenden Entscheidung zur Vorratsdatenspeicherung hat der europäische Gerichtshof (EuGH) erneut ein wichtiges Urteil zum Datenschutz gesprochen: In seiner heutigen Entscheidung C-131/12 hat der EuGH klargestellt, dass sich die Firma Google an europäisches Datenschutzrecht halten muss, wenn sie in Europa tätig ist und dabei personenbezogene Daten verarbeitet. Insbesondere hat das Gericht damit Praktiken einen Riegel vorgeschoben, durch die Aufteilung der Konzernaktivitäten auf verschiedene formell unabhängige juristische Personen dem europäischen Datenschutzrecht zu entfliehen. Google Spanien handelt – so die Gerichtsentscheidung – als Teil der weltweit agierenden Google-Gruppe auf spanischem Boden. Dementsprechend unterliegen die auch in Europa abrufbaren personenbezogenen Suchergebnisse spanischem Recht, obwohl die Konzernmutter ihren Sitz in den USA hat.

Die Entscheidung ist jedoch auch aus einem anderen Grund bemerkenswert: Sie macht deutlich, dass Unternehmen, deren Aktivitäten in großem Umfang darin bestehen, weltweit verfügbare Informationen zu sammeln, zu bewerten und aufzubereiten, datenschutzrechtlich verantwortlich sind. Sie können sich nicht mit dem Argument herausreden, lediglich technisch das zusammenzufassen, was ohnehin schon im Internet verfügbar ist. Dies bedeutet, dass Informationen, die nach europäischem Recht gelöscht werden müssen oder die nicht weiter verbreitet werden dürfen, auch von Suchmaschinenbetreibern nicht unkontrolliert verwendet werden dürfen.

Um hier einem Missverständnis vorzubeugen: Der EuGH hat hier kein absolutes „Recht auf Vergessenwerden“ formuliert. Wie auch das deutsche Bundesverfassungsgericht macht auch der europäische Gerichtshof deutlich, dass es um eine Interessenabwägung geht. Bei dieser Interessenabwägung ist nicht allein die Sensitivität des einzelnen Datums entscheidend, sondern der Kontext, in dem die Daten angefallen sind und wie sie verwendet werden. So spielt es eine entscheidende Rolle, inwieweit die Daten von einer Person stammen, die in der Öffentlichkeit steht. Auch das deutsche Recht kennt entsprechende Regelungen, bei denen Personen der Zeitgeschichte anders behandelt werden als Menschen, die nicht zu öffentlichen Debatten Anlass geben (vgl. die „Lebach-Entscheidung“ des Bundesverfassungsgerichts von 1973).

Bemerkenswert ist, dass das höchste europäische zum zweiten Mal in kurzer Folge deutlich gemacht hat, dass es sich als Wächter der europäischen Grundrechte versteht. Diese Meta- Botschaft ist auch im Hinblick auf die Debatte um die Zukunft des EU-Datenschutzes von großer Bedeutung.

Mit freundlichen Grüßen

Peter Schaar

Bußgeldbescheid der CNIL gegen Google: Wann gilt das EU-Datenschutzrecht?

Die französische Datenschutzaufsichtsbehörde CNIL hat vor einigen Tagen gegen Google Inc. wegen Datenschutzvergehen ein Bußgeld von 150.000 Euro verhängt.
Die Sanktion richtet sich gegen die von Google im Frühjahr geänderten Nutzungs- und Datenschutzbedingungen, die nach Auffassung der Behörde gegen europäisches und französisches Datenschutzrecht verstößt. Dabei geht es im Wesentlichen um den Umfang und die Dauer der Speicherung, die Verknüpfung von Daten aus unterschiedlichen, vom Unternehmen angebotenen Diensten und um die unzureichenden Möglichkeiten der Nutzer, ihre Datenschutzrechte geltend zu machen.
Bemerkenswert an diesem Vorgehen ist nicht nur, dass sich eine nationale Datenschutzbehörde mit einem global agierenden Konzern anlegt – dies gehört zu ihren Aufgaben, wenn sie Verstöße feststellt. Von besonderer Bedeutung ist aber, dass die CNIL – in enger Zusammenarbeit mit Aufsichtsbehörden anderer Mitgliedstaaten (in Deutschland ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit beteiligt) – hiermit den Präzedenzfall schafft, dass das europäische Datenschutzrecht auch dann gilt, wenn ein Unternehmen, das seine Dienste aus einem Drittstaat – hier aus den Vereinigten Staaten – erbringt und dabei personenbezogene Daten europäischer Nutzerinnen und Nutzer verarbeitet.
Google beruft sich darauf, dass die Datenverarbeitung nicht im Verantwortungsbereich einer europäische Niederlassung stattfindet, sondern allein durch die kalifornische Muttergesellschaft. Dementsprechend sei das EU-Datenschutzrecht nicht einschlägig. Dagegen geht die CNIL davon aus, dass das französische Datenschutzgesetz gilt, weil Google Daten französischer Internetnutzer verarbeitet.
Gemäß Art. 4 der EG-Datenschutzrichtlinie ist das Datenschutzrecht der Mitgliedstaaten dann anzuwenden, wenn die Verarbeitung personenbezogener Daten im Rahmen einer Niederlassung erfolgt, die sich in dessen Hoheitsgebiet befindet.  Dasselbe gilt, wenn zum Zwecke der Verarbeitung personenbezogener Daten auf „Mittel“ zurückgegriffen wird, die sich in dem Hoheitsgebiet des Mitgliedstaats befinden.
Diese Vorgabe wurde in den Mitgliedstaaten unterschiedlich umgesetzt. Während   Art. 5 Abs. 2 des französischen Datenschutzgesetzes sich eng an den Wortlaut der Richtlinie hält,  sind die Anwendungsregeln des deutschen Rechts allgemeiner gehalten. Gemäß § 1 Abs. 5 Satz 2 BDSG ist das Gesetz stets auch dann anwendbar, wenn  eine in einem Drittsaat ansässige Stelle personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt. Das BDSG fordert in diesem Zusammenhang nicht die Verwendung von technischen Mitteln, die in Deutschland lokalisiert sind.
Im vorliegenden Fall kann die CNIL die Anwendbarkeit des französischen bzw. europäischen Datenschutzrechts damit begründen, dass Google zur Personalisierung seiner Angebote auf Cookies zurückgreift, die auf den Computern der Nutzer gespeichert werden.
Dies ist im Ergebnis zu begrüßen. Denn es wäre nicht einzusehen, dass im Internet auf Grund des Territorialprinzips der Schutz personenbezogener Daten europäischer Nutzerinnen und Nutzer generell nicht gegeben wäre, wenn ein Dienst aus einem Drittstaat wie den USA erbracht wird.
Andererseits ist die Anknüpfung an technische „Mittel“, wie sie die EG-Richtlinie vornimmt, angesichts der zunehmenden Entörtlichung der Informationsverarbeitung kein geeignetes Abgrenzungskriterium mehr. Denn was geschieht, wenn ein Dienst keine Cookies oder andere Identifikationsmerkmale auf den Computern der Nutzer platziert? Und wie steht es mit Cloud-Diensten, die auf Offshore-Servern betrieben werden, bei denen sich die Nutzer mit einer User-ID und einem Passwort anmelden? Soll in diesen Fällen der Schutz des europäischen Rechts wegfallen? Soll etwa die von Google angekündigte Umstellung seines Nutzer-Identifikationsverfahrens auf ein cookie-loses System dafür ausschlaggebend sein, ob sich das Unternehmen an europäisches Recht zu halten hat oder nicht?
Gerade weil IT-Dienste zunehmend global, unabhängig vom Ort der Datenverarbeitung erbracht werden, muss der Schutzanspruch des europäischen und nationalen Datenschutzrechts stets dann gewährleistet sein, wenn Daten im europäischen Rechtsraum erhoben werden. Immer wenn Internet-Dienste sich an Nutze innerhalb der EU wenden und dabei personenbezogene Daten verarbeiten, müssen sie sich an europäisches Recht zu halten haben – unabhängig vom Ort der Niederlassung oder vom Standort irgendwelcher technischen Einrichtungen.
Deshalb ist zu hoffen, dass die heiß diskutierte EU-Datenschutzgrundverordnung endlich beschlossen wird, die genau dieses „Marktortprinzip“ unmissverständlich festschreibt. Die Verordnung ist nach  Art. 3 Abs. 2 lit.a des Kommissions-Entwurfs immer dann anzuwenden, wenn die Verarbeitung personenbezogener Daten „dazu dient, diesen Personen in der Union Waren oder Dienstleistungen anzubieten“.
Ihr
Peter Schaar