Datenschutz-Grundverordnung: Missverständnisse rund um #EUDataP

Nach der positiven Beschlussfassung (hier die inoffizielle, konsolidierte Version) im LIBE-Ausschuss des Europäischen Parlaments zur Datenschutz-Grundverordnung (DS-GVO), wurde in den Medien erneut breit über das Thema Datenschutz in Europa berichtet. Diese öffentliche Berichterstattung und Diskussion ist wichtig und auch richtig. Wer hätte sich vor 2 Jahren vorstellen können, dass die dröge Materie „Datenschutzrecht“ zu so einer medialen Aufmerksamkeit gelangt?

Ich möchte nachfolgend jedoch einige Punkte ansprechen, die in der öffentlichen Berichterstattung zur DS-GVO häufig ungenau, verzerrt oder schlicht falsch dargestellt werden. Dabei geht es mir nicht um die Belehrung von oben herab. Es erscheint vielmehr essentiell notwendig zu sein, den Bürgerinnen und Bürgern von Anfang an reinen Wein einzuschenken. Denn wenn mit Errungenschaften und Vorzügen eines neuen Gesetzes geworben wird, welche es aber per se schon nicht leisten kann oder von Anfang an nicht leisten wollte, dann wird Glaubwürdigkeit und Vertrauen verspielt. Sobald sich der erste Betroffene fragt „Aber das wurde uns doch versprochen?“, ist es hierfür zu spät.

Die DSG-VO wird der NSA das Handwerk legen

Wie Thomas Stadler heute in seinem Blog richtig schreibt, wird die DS-GVO Geheimdiensten keine Pflichten auferlegen und daher etwa ihre Tätigkeiten beschränken können. Zum einen, weil die Europäische Union im Bereich der nationalen Sicherheit nicht gesetzgebungsbefugt ist. Daher sind auch folgerichtig Gebiete „der nationalen Sicherheit“ (bzw. nach dem LIBE Entwurf, solche, “die außerhalb des Geltungsbereichs des Unionsrechts liegen”) aus dem Anwendungsbereich ausgeschlossen (Art. 2 a DS-GVO). Zum anderen kann die Europäische Union nicht Gesetze erlassen, an die sich ein drittstaatlicher Geheimdienst, wie die NSA, halten müsste. Grundlage deren Tätigkeit sind zunächst allein amerikanische Gesetze.
Continue reading

Datenschutz-Grundverordnung: LIBE-Ausschuss verständigt sich auf Änderungen

Am Montag, den 21. Oktober 2013, wird der federführende Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) des Europäischen Parlaments zum Entwurf des Berichts von Jan Philipp Albrecht und über die Änderungsanträge zur vorgeschlagenen Datenschutz-Grundverordnung (KOM (2012)11, DS-GVO) der Europäischen Kommission abstimmen. Kommt es hier zu einer Einigung, würde dies die Tür für informelle, interinstitutionelle Verhandlungen zwischen der Europäischen Kommission, dem Europäischen Parlament und dem Rat der Europäischen Union (sog. Trilog) öffnen. Ziel dieser Verhandlungen ist es, eine Einigung zwischen den drei Parteien zu erzielen, um so den Gesetzgebungsprozess zu beschleunigen.

Aufgrund der enormen Anzahl an Änderungsanträgen zum Verordnungsvorschlag der Kommission sah es, nach mehrmaligen Verlegungen bereits geplanter Abstimmungen, nicht unbedingt danach aus, dass der LIBE Ausschuss alsbald zu einer Einigung kommen würde. Nach ersten Medienberichten (EUobserver; Guardian) wurde nun jedoch ein Vorschlag erarbeitet, den alle vertretenen Parteien im Ausschuss unterstützen.
Continue reading

Google ändert Nutzungsbedingungen – was es zu beachten gilt

Heute gab Google bekannt, dass es mit Wirkung zum 11. November 2013 neue Nutzungsbedingungen in all seinen Diensten verwenden wird.

Die Zusammenfassung der Änderungen (für Personen mit, wörtlich, „Abneigung gegen Juristendeutsch“) führt als wohl aus Sicht der Nutzer wichtigsten Punkt die folgende Anpassung auf:

Zunächst erläutern wir, wie und in welchem Rahmen Ihr Profilname und Foto in Google-Produkten erscheinen kann, etwa in Erfahrungsberichten, Bewertungen, Werbung oder in anderen kommerziellen Kontexten.
Continue reading

Australien: Gesetzesreform für besseren Schutz der Privatsphäre im digitalen Zeitalter

Im Juni 2013 erhielt die Australian Law Reform Commission (ALRC; eine Bundesbehörde, die Rechtsfragen des Justizministers beantwortet und Vorschläge für Modernisierungen des geltenden Rechts unterbreitet) den Auftrag, eine Untersuchung durchzuführen, inwieweit das australische Recht dahingehend angepasst werden kann, um schwere Eingriffe in die Privatsphäre zu verhindern und zu entschädigen.

Hierzu hat die ALRC nun ein erstes Themenpapier mit dem Titel „Serious Invasions of Privacy in the Digital Era“ veröffentlicht. Definiert sind darin zum einen 28 konkrete Fragen zu bestimmten Bereichen des Persönlichkeitsschutzes im digitalen Zeitalter und wie das geltende Recht hierauf reagieren kann. Zudem hat die ALRC in dem Themenpapier bereits den Status quo dargestellt und auch einige eigene Vorschläge unterbreitet.
Continue reading

Safe Harbor – LIBE Untersuchungsausschuss fordert Aussetzung

In der heutigen Anhörung des LIBE Untersuchungsausschusses zu den Überwachungstätigkeiten amerikanischer Geheimdienste und dem Zugriff dieser Dienste auf in die USA übermittelte Daten europäischer Bürger ging es vor allem um die Auswirkungen auf die Safe Harbor Entscheidung der Europäischen Kommission (zum Inhalt von Safe Harbor habe ich bereits hier etwas geschrieben). Hier eine kurze Einschätzung der Sitzung, ohne auf alle aufgeworfenen Fragen eingehen zu können.
Continue reading

Twitter’s Börsengang – Datenschutz als Investorenrisiko?

Aus dem vorläufigen Börsenprospekt von Twitter, der auf der Internetseite der amerikanischen Börsenaufsicht (SEC) abrufbar ist, lassen sich einige interessante Informationen zu dem Unternehmen selbst und seinem geplanten Börsengang entnehmen. Betrachtet man die dortigen Angaben allein aus dem Blickwinkel des Datenschutzrechts fällt auf, dass Bezugnahmen hierzu meist im Rahmen von möglichen Risiken erwähnt werden.

Grundsätzlich stellt Twitter klar, dass zu den Risiken, welche sich auf das Geschäft von Twitter und sein wirtschaftliches Wachstum auswirken können, vor allem auch Bedenken der Nutzer in Bezug auf den Datenschutz zählen:

A number of factors could potentially negatively affect user growth and engagement, including if: … there are user concerns related to privacy and communication, safety, security or other factors

Insbesondere negative öffentliche Berichterstattung über das Unternehmen, auch in Bezug auf den Datenschutz, könnten dem Ansehen von Twitter und dem Vertrauen in seine Produkte schaden:

Negative publicity about our company, including about … privacy and security practices … even if inaccurate, could adversely affect our reputation and the confidence in and the use of our products and services.

Auch die Einhaltung ausländischer Daten- und Verbraucherschutzgesetze und die Möglichkeit, gegen diese Gesetze zu verstoßen, sind ein Faktor, der zu einem Risiko für die zukünftige Entwicklung und das Wachstum des Unternehmens werden könnte.
Continue reading

Datenschutz-Grundverordnung: Kritik am Prinzip der zentralen Anlaufstelle

In einem Vermerk der litauischen Ratspräsidentschaft an die Mitglieder des Rates der europäischen Union vom 03. Oktober 2013 werden die Positionen der Mitgliedstaaten zu dem Prinzip der zentralen Anlaufstelle (one-stop-shop) der im Entwurf befindlichen Datenschutz-Grundverordnung (DS-GVO, KOM(2012) 11) zusammengefasst. Am kommenden Montag werden die Justiz- und Innenminister der Europäischen Union unter anderem auch hierüber diskutieren.

Um was geht es?
Mit dem in Art. 51 Abs. 2 DS-GVO vorgeschlagenen Prinzip der zentralen Anlaufstelle soll in Zukunft die Durchsetzung und Überwachung des Datenschutzrechts vereinfacht werden. Danach ist für Datenverarbeitungsvorgänge eines Verantwortlichen oder eines Auftragsdatenverarbeiters, der in mehreren EU-Mitgliedstaaten Niederlassungen besitzt, die Datenschutzaufsichtsbehörde desjenigen Mitgliedstaates alleine (!) zuständig, in dem sich die Hauptniederlassung des Verantwortlichen befindet. Nach Art. 4 Nr. 13 DS-GVO ist Hauptniederlassung der Ort der Niederlassung in der Union, an dem die Grundsatzentscheidungen hinsichtlich der Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten getroffen werden. Das Prinzip hat damit sowohl eine Erleichterung für Unternehmen zur Folge, die sich dann nur noch einer Aufsichtsbehörde gegenüber sehen. Und auch die Rechte der betroffenen Personen sollen so (prinzipiell) besser durchsetzbar sein. Als Paradebeispiel könnte man hier etwa die Niederlassung von Facebook in Irland anführen, welche die Europazentrale des Unternehmens darstellt.

Kritik der Mitgliedstaaten
Aus dem Vermerk geht hervor, dass dieses Prinzip der zentralen Anlaufstelle zwar grundsätzliche breite Zustimmung erfährt. Die tatsächliche Ausgestaltung in ihrer derzeit geplanten Form jedoch von der Mehrheit der Mitgliedstaaten nicht befürwortet wird.

Beschwerden ja, Durchsetzung nein
So wird vorgebracht, dass zwar die Möglichkeit für betroffene Personen bestehen soll, nach Art. 73 Abs. 1 DS-GVO eine Beschwerde wegen einer unrechtmäßigen Datenverarbeitung bei jeder nationalen Datenschutzbehörde vorzubringen, also nicht nur bei der Aufsichtsbehörde der Hauptniederlassung. Aber eventuelle Maßnahmen und Sanktionen könnten dann dennoch nur durch diese Hauptaufsichtsbehörde vollzogen werden. Um am Beispiel von Facebook zu bleiben: Deutsche Nutzer könnten bei einer deutschen Datenschutzbehörde eine Beschwerde vorbringen, sich aus einer tatsächlich festgestellten Verletzung datenschutzrechtlicher Vorschriften ergebende Maßnahmen würden jedoch alleine durch die irische Datenschutzbehörde vorgenommen werden.

Gefahr für den Schutz der Betroffenen
Diese sich ergebende Schere zwischen Beschwerde und Durchsetzung sehen viele Mitgliedstaaten als eine Gefahr für die Datenschutzrechte der Betroffenen an. Denn für die Betroffenen ist die Nähe, also der kurze und effektive Kommunikationsweg, zur jeweiligen Aufsichtsbehörde von entscheidender Bedeutung. Dieser würde jedoch erschwert, wenn für die Durchsetzung ihrer Rechte und das entsprechende Verfahren eine ausländische Aufsichtsbehörde zuständig wäre. Zudem sollte es Betroffenen möglich sein, eine Entscheidung „ihrer“ Aufsichtsbehörde zu erhalten und diese Entscheidung dann eventuell vor den eigenen nationalen Gerichten anzufechten.

Lösungsvorschläge
Der Vermerk fasst einige durch die Mitgliedstaaten vorgebrachte Vorschläge zur Modifikation des Prinzips der zentralen Anlaufstelle zusammen, wobei hier nur auf einzelne eingegangen werden soll.

  • Die Hauptaufsichtsbehörde könnte prinzipiell weiter allein zuständig sein, dennoch sollten einige Befugnisse nicht exklusiv durch sie ausgeübt werden. Gerade Überwachungs- und Kontrollbefugnisse bestimmter Datenverarbeitungsvorgänge könnten auch von nationalen Behörden ausgeführt werden, gerade wenn diese auf dem Gebiet ihres Mitgliedstaates stattgefunden haben.
  • Bei Datenverarbeitungsvorgängen, die sich auf mehrere Mitgliedstaaten beziehen, könnte etwa ein Mitbestimmungsverfahren, unter Einbeziehung anderer nationaler Behörden eingeführt werden. Hier gäbe es zwar immer noch eine Hauptaufsichtsbehörde. Diese könnte Maßnahmen von über die nationalen Grenzen hinausgehender Bedeutung jedoch nicht mehr alleine, sondern nur in Abstimmung mit anderen Behörden, treffen. Zwar besteht ein ähnliches Verfahren für gemeinsame Maßnahmen bereits in Art. 56 DS-GVO. Jedoch ist dort nur das „Miteinander“ bei den Maßnahmen geregelt, also das Recht auf eine Teilnahme und nicht das Recht, selbst Maßnahmen zu treffen.
  • Zudem sollten grundsätzlich die nationalen Behörden, bei denen eine Beschwerde eingegangen ist, mehr in den Entscheidungsprozess der zu treffenden Maßnahmen eingebunden werden. So würde dem für die Betroffenen wichtigen „Näheverhältnis“ zu ihrer Behörde Rechnung getragen und die oben beschriebene Schere etwas geschlossen.
  • Bei der Beteiligung mehrerer Aufsichtsbehörden in einem Verfahren würden sich freilich nicht immer übereinstimmende Meinungen zum Vorgehen herausbilden. Hierzu könnte dann ein Verfahren bei dem einzurichtenden Europäischen Datenschutzausschuss (Art. 64 DS-GVO, ein Zusammenschluss aller nationaler Datenschutzbehörden und des Europäischen Datenschutzbeauftragen) eingeführt werden, in dem dieser eine abschließende Stellungnahme abgibt, ja eventuell sogar eine abschließende Entscheidung fällt (auch wenn er dazu dann mit entsprechender, bisher nicht vorhandener, rechtlicher Befugnis ausgestattet werden müsste).

Ausblick
Am Montag werden die Justizminister das oben beschriebene Prinzip und mögliche Änderungen beraten, jedoch noch nicht abschließend. Der Grundkonsens im Rat scheint zu sein, dass etwas geändert werden muss, um den Rechten der Betroffenen besser und vor allem praxistauglicher Geltung verschaffen zu können. Welche Variante dies sein wird, bleibt abzuwarten. Es zeigt sich jedoch auch, dass der Rat nicht unbedingt das Gesetze verwässernde und Verbraucherrechte fressende Europäische Organ ist, zu welchem er in der öffentlichen Debatte häufig gemacht wird. Vielmehr geht es bei diesen Vorschlägen vor allem um Effektivität und Durchführbarkeit. Dies ist zu begrüßen.