Datenschutzreform: Österreichs Bundesrat fordert Augenmaß und Ausnahmen

Die Verhandlungen zur Datenschutz-Grundverordnung befinden in ihrer entscheidenden Phase, den Trilog-Verhandlungen zwischen Kommission, Parlament und Rat. Österreich war in den Ratsverhandlungen eine der kritischsten Stimmen und hat auch gegen den Kompromissvariante des Rates zur Datenschutz-Grundverordnung gestimmt. Der österreichische Bundesrat nimmt den Trilog zum Anlass genommen, um gewisse, aus seiner Sicht unter anderem für die österreichische Wirtschaft und das geltende österreichische Datenschutzrecht, wichtige Forderungen an die beteiligten Akteure zu richten.

Das Schreiben des EU-Ausschusses des österreichischen Bundesrates findet sich hier (PDF).

Gefordert bzw. angemerkt wird dort unter anderem:

Der Schutz von juristischen Personen, wie er derzeit im österreichischen Datenschutzrecht gilt, soll beibehalten werden.

Dieser Schutz stellt in Europa durchaus eine Besonderheit dar. Denn die geltende Datenschutz-Richtlinie bezieht sich dem Wortlaut nach auch nur auf „natürliche Personen“ und verweist explizit in Erwägungsgrund 24 darauf, dass sie nicht andere Rechtsvorschriften zum Schutz juristischer Personen berührt. In Deutschland etwa unterfallen juristische Personen nicht dem Schutzbereich des Bundesdatenschutzgesetzes.

 

Bisher rechtmäßig durchgeführte Datenverarbeitungen dürften nicht ihre Rechtsgrundlage verlieren.

Was also derzeit legitim ist, darf in Zukunft nicht als rechtswidrig angesehen werden. Eventuell auch dann, wenn bestehende Erlaubnistatbestände im Datenschutzrecht angepasst werden.

 

Die Einführung eines Datenschutzbeauftragten für jedes Unternehmen würde vor allem für KMU und EPU zu einer unüberwindlichen Hürde führen.

Hier erkennt man, wie unterschiedlich die Wünsche und Vorstellungen der Mitgliedstaaten sind. Deutschland spricht sich seit langem für Vorgaben in der Datenschutz-Grundverordnung für die Bestellung von Datenschutzbeauftragten aus. Andere Mitgliedstaaten erkennen hierin eine Belastung für die Wirtschaft und wünschen sich praktikable Lösungen.

Datenschutzbehörde: Wann Online-Händler Kundenaccounts löschen müssen

Gestern hat der Sächsische Datenschutzbeauftragte seinen 7. Tätigkeitsbericht (PDF) für den nicht-öffentlichen Bereich vorgestellt. Wie generell in anderen, so finden sich auch in diesem Tätigkeitsbericht der Aufsichtsbehörde einige interessante und für die Praxis relevante Problemaufrisse und teilweise auch Lösungsvorschläge aus dem Datenschutzrecht.

Für den Bereich des eCommerce nicht uninteressant dürfte die in dem Tätigkeitsbericht (S. 47 f.) angesprochene Thematik der Löschung von Kundenaccounts sein.

Nach § 35 Abs. 2 BDSG sind personenbezogene Daten verpflichtend von der verantwortlichen Stelle, also etwa dem Betreiber eines Online-Shops, zu löschen, wenn “ihre Speicherung unzulässig ist, es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann, sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist, oder sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist“.

Der Datenschutzbeauftragte berichtet von Beschwerden, z. B. unzufriedener Kunden, die nichts mehr mit einem Online-Händler zu tun haben möchten, in denen eine mangelnde Löschung von Kundendaten beanstandet wird. Er weist jedoch auch gleichzeitig darauf hin, dass eine Löschung

regelmäßig nicht vollumfänglich gelingt bzw. auch nicht gelingen kann.

Man könnte noch ergänzen, „aus rechtlichen Gründen“. Insbesondere wegen der Vorgabe des § 35 Abs. 3 Nr. 1 BDSG. Danach tritt an die Stelle einer Löschung nämlich eine Sperrung der personenbezogenen Daten, soweit im Fall des Absatzes 2 Satz 2 Nr. 3 einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen. Daten müssen dann also nicht gelöscht, aber gesperrt werden. Das bedeutet, dass nur für eng begrenzte Zwecke auf sie Zugriff genommen werden darf.

Zu diesen Gründen kommt der Datenschutzbeauftragte dann auch direkt. Nach steuer- und handelsrechtlichen Vorschriften, insbesondere § 257 HGB und § 147 AO, sind nämlich Unternehmen gesetzlich dazu verpflichtet, bestimmte Unterlagen, etwa Belege zu Buchungen, aufzubewahren. Dies bedeutet jedoch nicht, dass alle zu einem Kundenaccount im Laufe gewisser Zeit hinzu gespeicherte Daten aufbewahrt und damit natürlich auch gespeichert werden dürfen.

Nach Auffassung des Datenschutzbeauftragten ist es

allein geboten, neben den Daten bisheriger Rechtsgeschäfte nur solche Daten zur Person des Kunden (in gesperrter Form) zu speichern, die seine (eindeutige) Identifizierung (mit dem Rechtsgeschäft) ermöglichen. Alle anderen Daten zur Person des Kunden sind nach Ende der Geschäftsbeziehung zu löschen, § 35 Abs. 2 Satz 2 Nr. 3, Abs. 3 Nr. 1 BDSG.

Grundsätzlich haben also Kunden einen Anspruch darauf, dass die sich auf ihre Person beziehenden Daten gelöscht werden. Dies gilt jedoch nicht für alle Daten, weil der Online-Händler bestimmte gesetzliche Aufbewahrungspflichten erfüllen muss. Auch der Datenschutzbeauftragte stellt fest, dass nach den steuer- und handelsrechtlichen Vorschriften die verantwortliche Stellen zwar verpflichtet ist, die Daten von Rechtsgeschäften weiter (in der Buchhaltung) zu speichern.

Wichtig ist der Hinweis des Datenschutzbeauftragten, dass diese Pflicht zur Aufbewahrung gewisser Daten seiner Ansicht nach nicht keine dauerhafte Unterhaltung eines Kundenkontos und

schon gar nicht die dauerhafte Bereitstellung einer darauf bezogenen Zugriffsmöglichkeit über das Internet. Wenn also ein Kunde keine dauerhafte Einrichtung eines Kundenkontos wünscht bzw. die Löschung eines eingerichteten Kundenkontos fordert, so ist diesem Wunsch zu entsprechen, d. h. die Zugangsdaten des Kunden sind zu löschen.

Aufzubewahrende und vorhandene Buchungsdaten sollten aus diesem Grund auch nur in der Buchhaltung bis zum Ablauf der steuer- und handelsrechtlichen Aufbewahrungsfristen weiter in gesperrter Form gespeichert werden.

Generalanwalt: Safe Harbor-Entscheidung verletzt europäische Grundrechte. Nicht Facebook.

Heute hat der Generalanwalt am EuGH seine Schlussanträge im Verfahren von Max Schrems gegen die irische Datenschutzbehörde (C-362/14) präsentiert. In der Presse (z.B. Golem und FAZ) und in Blogs (etwa bei Thomas Stadler) wurde bereits darüber berichtet und erste Schlussfolgerungen gezogen.

Ich möchte nachfolgend, nachdem ich die Schlussanträge einmal grob überfliegen konnte, auf einige Besonderheiten und besonders relevante Aussagen des Generalanwalts hinweisen, die vielleicht bisher noch nicht beleuchtet wurden.

Starke Stellung der Datenschutzbehörden

Wenig überraschend vertritt der Generalanwalt die Auffassung, dass nationale Datenschutzbehörden durch einen Angemessenheitsbeschluss der Kommission (um den es sich bei Safe Harbor handelt) nicht absolut gebunden sind und weiterhin die ihnen durch die Charta der Grundrechte der Europäischen Union und die Datenschutz-Richtlinie (RL 95/46/EG) übertragenen Befugnisse ausüben dürfen. Wenn es um den Schutz von Grundrechten (im vorliegenden Fall von Art. 7 und 8 der Charta) geht, dürfen nationale Behörden eigene Untersuchungen vornehmen und erforderlichenfalls auch Datentransfers in Drittstaaten untersagen, selbst wenn ein Angemessenheitsbeschluss der Kommission existiert. Rechtlich gesprochen nimmt eine Angemessenheitsentscheidung nach Art. 25 Abs. 6 RL 95/46/EG den Aufsichtsbehörden nicht ihre Befugnisse nach Art. 28 RL 95/46/EG (vgl. Rz. 120 der Schlussanträge).

Grundvoraussetzung: gleicher Schutz

Wenn personenbezogene Daten aus der Europäischen Union heraus, auf der Grundlage einer Angemessenheitsentscheidung, in Drittstaaten übertragen werden können sollen, dann muss in diesem Drittstaat dem Grunde nach dasselbe Schutzniveau gelten, wie es durch die Vorgaben der Grundrechtecharta und der RL 95/46/EG auch innerhalb der EU existiert (Rz. 144). Ein wichtiger Baustein hierfür ist die Existenz einer unabhängigen Kontrollinstanz, die die Einhaltung der datenschutzrechtlichen Vorgaben überwacht und durchsetzt (Rz. 145).

Unklare Ausnahmeregelungen für Zwecke der nationalen Sicherheit

Der Generalanwalt kritisiert die in der Safe Harbor-Entscheidung vorgesehenen Möglichkeiten, für Zwecke der nationalen Sicherheit von den vorgegebenen Prinzipien zum Schutz personenbezogener Daten abweichen zu können (Anhang I Absatz 4). Der Wortlaut der Vorschriften sei viel zu allgemein gehalten und werde von Sicherheitsbehörden in den USA weit ausgelegt und genutzt, um auf personenbezogene Daten zugreifen zu können (Rz. 164).

Keine Möglichkeit des Rechtsschutzes in den USA

Ebenfalls kritisiert der Generalanwalt, dass EU-Bürger keine Möglichkeit hätten, Rechtsschutz gegen Datenverarbeitungen zu suchen, die über jene Zwecke hinausgehen, für die die Daten ursprünglich in die USA übermittelt wurden (Rz. 165).

Facebook verletzt nicht die Vorgaben von Safe Harbor

Der Generalanwalt stellt zudem klar, dass Facebook nicht gegen die Vorgaben von Safe Harbor verstößt (Rz. 168). Denn ein Zugriff von Sicherheitsbehörden auf Daten oder eine Weiterleitung der Daten auf der Grundlage nationaler Gesetze in den USA ist in der Safe Harbor-Entscheidung gerade vorgesehen. Die Frage ist daher vielmehr, ob die Safe Harbor-Entscheidung selbst (und in ihr aufgestellte Prinzipien und auch die Ausnahmen) gegen europäisches Recht verstößt. Die in der Safe Harbor-Entscheidung ausdrücklich zugelassene Weitergabe von Daten für Zwecke der nationalen Sicherheit stellt einen Eingriff in die Grundrechte der EU-Bürger dar (nicht jedoch durch die privaten Unternehmen) und muss gerechtfertigt sein (Rz. 174).

Ausnahmeregelungen in Safe Harbor verstoßen gegen Grundrechte

Die in der Safe Harbor-Entscheidung vorgesehenen Ausnahmen sind nach Auffassung des Generalanwalts viel zu offen und ungenau formuliert, um einen Eingriff in die Grundrechte aus Art. 7 und 8 der Charta zu rechtfertigen. Es existieren keine ausreichenden und genau definierten Schutzmechanismen, um eine Massenüberwachung durch ausländische Sicherheitsbehörden zu unterbinden (Rz. 202).

Verstoß gegen Verhältnismäßigkeitsgrundsatz

Ein Eingriff in Grundrechte kann gerechtfertigt sein. Muss dafür jedoch geeignet, erforderlich und angemessen sein. Der Generalanwalt stellt klar, dass die EU-Kommission, mit Annahme der Safe Harbor-Entscheidung und ihrer Aufrechterhaltung, gegen den Verhältnismäßigkeitsgrundsatz verstoßen hat und eine Verletzung der Grundrechte aus Art. 7 und 8 der Charta sowie Art. 52 Abs. 1 der Charta vorliegt. Aus diesem Grund ist die Entscheidung der Kommission für ungültig zu erklären (Rz. 215 f.). Hinzu kommt nach Ansicht des Generalanwalts, dass die EU-Kommission Safe Harbor auch noch während der Verhandlungen über eine neue Version weiterhin in Kraft belassen hat (Rz. 233 und 236).

Ausblick

Abschließend möchte ich anmerken, dass man nun abwarten muss, wie der EuGH entscheiden wird. Ich denke, die Tendenz ist aber klar. Doch was bedeutet es, wenn von einem auf den anderen Tag Safe Harbor ungültig wäre? Natürlich dürften personenbezogene Daten aus Europa auch weiterhin in die USA übermittelt werden. Hierfür wäre dann jedoch eine andere Grundlage (Einwilligung, Standardvertragsklauseln, etc.) erforderlich. Ich denke zudem, dass man nicht unbedingt einen großen Gewinn für den transatlantischen Datenschutz einfährt, wenn Safe Harbor, ohne Nachfolgeregelungen, für ungültig erklärt wird. Denn dass die Datenstrome einfach aufhören zu fließen, daran kann niemand wirklich glauben. Man wird dann einfach eine Situation mit tausendfacher Rechtsverletzung kreieren. Die Unternehmen stehen natürlich zwischen zwei Stühlen. Verschiedenen, auf sie anwendbare Rechtsordnung. Auch wenn Safe Harbor fällt, werden Sicherheitsbehörden (im Übrigen nicht nur in Drittsaaten) auf Daten bei Unternehmen zugreifen. In diesem Zusammenhang sollte man sich auch einmal die Frage stellen, wie denn der Rechtsschutz und die Aufsicht über den Zugriff von Geheimdiensten bei uns in der EU ausgestaltet sind.

Justizministerium zweifelt an einheitlichem Datenschutzstandard in Europa

Die Europäische Kommission hat in einer Stellungnahme (abrufbar bei netzpolitik.org) den Gesetzesentwurf des Bundesministeriums für Justiz und Verbraucherschutz  (BMJV) zur „Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten“ (PDF) inhaltlich bemängelt.

Die Kommission stört sich insbesondere an der in § 113b des Entwurfs vorgesehenen Pflicht, Vorratsdaten allein im Inland zu speichern:

dass der betreffende Entwurf einer Verordnung eine Verletzung von Artikel 56 AEUV sowie Artikel 1 Absatz 2 der Richtlinie 95/46/EG darstellen würde.

Art. 1 Abs. 2 der Richtlinie 95/46/EG (die geltende Datenschutzrichtlinie) gibt vor, dass Mitgliedstaaten nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des Schutzes der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten beschränken oder untersagen dürfen. Noch deutlicher ist die Vorgabe in Erwägungsgrund 9 der Datenschutzrichtlinie. Danach dürfen die Mitgliedstaaten aufgrund des gleichwertigen Schutzes, der sich aus der Angleichung der einzelstaatlichen Rechtsvorschriften ergibt, den freien Verkehr personenbezogener Daten zwischen ihnen nicht mehr aus Gründen behindern, die den Schutz der Rechte und Freiheiten natürlicher Personen und insbesondere das Recht auf die Privatsphäre betreffen.

Die Pflicht zur Inlandsspeicherung in § 113b des Entwurfs würde aber den freien Verkehr personenbezogener Daten nicht nur behindern, sondern in Bezug auf die Speicherung Vorratsdaten schlicht untersagen.

Zweck der Datenschutzrichtlinie ist es zum einen, die Rechte und Freiheiten natürlicher Personen und insbesondere das Recht auf die Privatsphäre bei der Verarbeitung personenbezogener Daten zu schützen und zum anderen den freien Verkehr von personenbezogenen Daten innerhalb der EU nicht zu behindern.

Gleichwertiger Schutz innerhalb der EU?

Die Datenschutzrichtlinie gibt also auf europäischer Ebene für die Mitgliedstaaten verbindlich vor, dass in ihrem Anwendungsbereich ein gleichwertiges Schutzniveau für personenbezogene Daten existiert. Personenbezogene Daten dürfen innerhalb der EU übermittelt werden, wenn für die Datenverarbeitung (hier die Übermittlung) selbst eine Einwilligung oder gesetzliche Grundlage (z.B. ein Vertrag) existiert.

Das BMJV sieht dies jedoch anders. Die Gesetzesbegründung verweist zur Beschränkung der ebenfalls beeinträchtigten Dienstleistungsfreiheit (Art. 56 AEUV) auf die Notwendigkeit,

um  die  grundrechtlichen  Erfordernisse  des  Datenschutzes  und der  Datensicherheit zu gewährleisten.

Also nutzt die Begründung genau jene Argumente, auf die man ausweislich des Wortlauts der Datenschutzrichtlinie eine Beschränkung des freien Flusses personenbezogener Daten eben gerade nicht stützen darf. Das BMJV zweifelt damit freilich auch ein einheitliches Schutzniveau für personenbezogene Daten innerhalb der EU insgesamt an.

Kein Vertrauen in die Arbeit von Aufsichtsbehörden in anderen Mitgliedstaaten

Die Gesetzesbegründung sägt jedoch sogar noch weiter an den eigentlich existierenden europäischen Standards:

Zudem hätten die mit der Überprüfung der Einhaltung der Sicherheitsstandards und des Datenschutzes befassten deutschen öffentlichen Stellen in anderen Mitgliedstaaten der EU  keine unmittelbaren und gleich wirksamen Möglichkeiten zur Prüfung.

Das stimmt. Deutsche Datenschutzbehörden könnten nicht in anderen EU-Ländern tätig werden und die Einhaltung des Datenschutzrechts prüfen. Zuständig wäre vielmehr die jeweilige nationale Aufsichtsbehörde. Doch scheint das BMJV auch kein Vertrauen in die Kompetenz und Prüfungen durch andere europäische Aufsichtsbehörden zu besitzen:

Angesichts des Umfangs der Prüfpflichten und der Tatsache, dass es sich nicht um eine einmalige Überprüfung eines Anbieters sondern um die Wahrnehmung dauerhafter Aufgaben (zum Beispiel bei der Anpassung der Sicherheitskonzepte an den jeweiligen Stand der Technik) handelt, erscheint dies aber zu wenig wirksam.

Mit „dies“ bezieht sich die Gesetzesbegründung auf die in der Datenschutzrichtlinie ausdrücklich vorgesehene Möglichkeit, dass eine Aufsichtsbehörde (etwa in Deutschland) eine andere Behörde in einem EU-Mitgliedstaat um Amtshilfe ersuchen kann, um hoheitliche Maßnahmen vorzunehmen oder die Einhaltung des Datenschutzrechts zu prüfen. Auch mit dieser Begründung verkehrt das BMJV die geltenden Prinzipien der Datenschutzrichtlinie in ihr Gegenteil. Das Instrument der Amtshilfe wird dort ja gerade vorgesehen, weil es eben möglich ist, dass eine nationale Aufsichtsbehörde nicht zuständig ist. Ein gleichwertiges Schutzniveau für personenbezogene Daten existiert aber dennoch (bzw. gerade auch deshalb) innerhalb der EU.

Zudem fragt man sich, welcher „Umfang“ hier für die besondere Notwendigkeit einer Inlandsspeicherung und alleinigen Kontrolle durch deutsche Behörden spricht? Denn der in dem Gesetzesentwurf beschriebene Umfang an Pflichten in Bezug auf den Umgangt mit Daten und einzusetzende Datensicherheitsmaßnahmen ist kein anderer als jener, der für jedes normale Unternehmen gilt, wenn es personenbezogene Daten im Rahmen seiner Geschäftstätigkeit verarbeitet.

Mögliche Folgen?

Denkt man die Argumentation im Gesetzesentwurf zu Ende, so würde dies bedeuten, dass kein einheitliches Schutzniveau für personenbezogene Daten innerhalb der EU besteht. Personenbezogene Daten dürften dann auch grundsätzlich nicht in andere Mitgliedstaaten übermittelt werden bzw. nur dann, wenn besondere Anforderungen erfüllt sind. Im Prinzip würde man, überspitzt formuliert, jeden Staat außerhalb Deutschlands zum „unsicheren Drittstaat“ deklarieren.

Der Europäische Gerichtshof (EuGH) hat in seiner Entscheidung zur Richtlinie zur Einführung der Vorratsdatenspeicherung (C-293/12) bemängelt, dass die fraglichen Daten nicht „im Unionsgebiet auf Vorrat gespeichert werden“. Eine Pflicht zur Speicherung allein in einem Mitgliedstaat, hat der EuGH jedoch nicht aufgestellt.

Strategie automatisiertes und vernetztes Fahren – Neuerungen im Datenschutzrecht?

Heute hat das Bundeskabinett die durch Bundesverkehrsminister Alexander Dobrindt erarbeitete „Strategie automatisiertes und vernetztes Fahren“ beschlossen (PDF). Das mit der Strategie verfolgte Ziel des Bundesverkehrsministers:

Wir wollen unsere Erfolgsgeschichte beim Automobil digital fortschreiben und die Wachstums- und Wohlstandschancen der Mobilität 4.0 nutzen.

In der zu der Veröffentlichung der Strategie herausgegebenen Pressemeldung wurde zum Thema „Datenschutz“ konstatiert:

Neue Vorgaben im Datenschutzrecht?

Die Fahrer automatisierter und vernetzter Fahrzeuge müssen über die Erhebung und Verwertung von Daten informiert werden – und ihre Einwilligung geben. Die Daten gehören dem Nutzer.

Eine solche Ankündigung lies zunächst doch ein wenig aufhorchen. Nicht jene Feststellung, dass die Fahrer in vernetzten Fahrzeugen über stattfindende Datenverarbeitungen aufzuklären sind. Dies ist bereits jetzt gesetzlich vorgeschrieben (§ 4 Abs. 3 BDSG, § 13 Abs. 1 TMG). Doch das formulierte Postulat, dass Fahrer „ihre Einwilligung“ in eine Datenverarbeitung erteilen „müssen“ und die Aussage, „Daten gehören dem Nutzer“, würden in dieser Pauschalität die datenschutzrechtlichen Gegebenheiten und den geltenden Gesetzesrahmen nicht korrekt darstellen bzw. neue Anforderungen an die Datenverarbeitungen schaffen. Die Einwilligung ist derzeit nur eine von mehreren Möglichkeiten, um personenbezogene Daten verarbeiten zu können und „muss“ daher nicht zwingend vorliegen. Die Frage, wem Daten „gehören“, wird seit einiger Zeit im Datenschutzrecht kontrovers diskutiert – ohne, dass es bisher eine befriedigende Antwort darauf gegeben hätte. Dies mag daran liegen, dass ein Besitz oder gar an Eigentum an Daten im Datenschutzrecht nicht vorgesehen ist und daher andere Rechtsgebiete (Zivilrecht, Urheberrecht, etc.) bemüht werden müssen.

Das Datenschutzrecht muss beachtet werden

Betrachtet man nun die beschlossene Strategie selbst, so kann man aus Sicht des Datenschutzrechts feststellen, dass die geltenden Vorgaben erhalten bleiben und es etwa keine (in der Pressemitteilung anklingende) Pflicht zur Einholung der Einwilligung geben soll. Überhaupt nicht eingegangen wird auf das Postulat „Daten gehören dem Nutzer“.

Die Grundsätze des allgemeinen Datenschutzrechts sind zu beachten.

Mit diesem Hinweis beginnt der Abschnitt zum Datenschutz in der Strategie (S. 24 f.). Alles andere hätte auch verwundert.

Verpflichtende Anonymisierung und Pseudonymisierung?

Eine weitere Vorgabe der Strategie unterscheidet sich dann doch in einem bestimmten Punkt von den geltenden gesetzlichen Bestimmungen:

Bei der Erhebung, Verarbeitung und Verknüpfung von Daten müssen verstärkt Techniken zur Anonymisierung und Pseudonymisierung eingesetzt werden.

Die Strategie statuiert ihrem Wortlaut nach eine Pflicht („müssen“) zur Implementierung von Technologien zur Datenvermeidung und zur Verwirklichung des Grundsatzes der Datensparsamkeit. Vergleicht man damit die geltenden gesetzlichen Vorgaben, fällt auf, dass nach § 3a S. 2 BDSG keine generelle Pflicht zur Anonymisierung und Pseudonymisierung besteht. In § 3a S. 2 BDSG heißt es:

Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist.

Anonymisierung und Pseudonymisierung werden also derzeit als eine Art Zielvorgaben ausgegeben und mit dem Aufwand in einem angemessenen Verhältnis stehen. Die Nichtbeachtung dieser Zielvorgabe hat auch keinen direkten Einfluss auf die Rechtmäßigkeit einer Datenverarbeitung. Nach der Formulierung in der Strategie („müssen“), könnte sich dies eventuell ändern. Dies wird man, gerade mit Blick auf die anstehenden Änderungen durch die Datenschutz-Grundverordnung, jedoch abwarten müssen.

Generelle Einwilligungs-Pflicht?

Die Einwilligung muss dabei selektiv möglich und zudem widerruflich sein, soweit es um Funktionen geht, die nicht für das Funktionieren des Fahrzeugs bzw. für die Verkehrssicherheit erforderlich sind.

Die Strategie befasst sich mit den Anforderungen an die datenschutzrechtliche Einwilligung. Diese muss „selektiv“, also für einzelne Datenverarbeitungen getrennt möglich sein. Zudem soll ein Widerruf einer einmal erteilten Einwilligung möglich sein. Auch diese Vorgabe ist keine Neuerung im Vergleich zur geltenden Rechtslage (vgl. etwa § 13 Abs. 2 Nr. 4 TMG), zumindest soweit man das TMG betrachtet. Mit Blick auf das BDSG hat das Bundesarbeitsgericht im Jahre 2014 (Urteil vom 11.12.2014 – Az. 8 AZR 1010/13) entschieden, dass die Erteilung einer zeitlich nicht beschränkten Einwilligung zwar im Grundsatz nicht bedeutet, dass sie unwiderruflich erteilt worden wäre. Allerdings, so das BAG, deute ein Umkehrschluss aus § 28 Abs. 3a S. 1 BDSG darauf hin, dass eine einmal erteilte Einwilligung nicht generell „jederzeit mit Wirkung für die Zukunft widerrufen werden kann„. Eventuell denkt man im BMVI also darüber nach, ein generelles Widerrufsrecht im Datenschutzrecht, zumindest mit Blick auf das vernetzte Auto, einzuführen? Auch dies wird man abwarten müssen.

Festhalten kann man jedoch, dass die Ausführungen der Strategie zur Einwilligung sich einschränkend nur auf Funktionen des „SmartCar“ beziehen, die nicht für das Funktionieren des Fahrzeugs bzw. für die Verkehrssicherheit erforderlich sind. Oder anders: die Einwilligung ist eben nur dann notwendig, wenn nicht bereits ein Kauf-, Leasing- oder auch reiner Nutzungsvertrag über Dienste im Fahrzeug als Grundlage der Datenverarbeitung dient und diese Datenverarbeitung erforderlich ist, um den Vertrag durchzuführen oder Dienstfunktionen zu erbringen. Auch dies entspricht der geltenden Gesetzeslage (vgl. etwa § 28 Abs. 1 S. 1 Nr. 1 BDSG, § 14 Abs. 1 TMG oder § 15 Abs. 1 TMG).

Festzuhalten bleibt also aus Sicht des Datenschutzrechts, dass weit weniger Änderungen in der Strategie angedacht sind, als dies eventuell zunächst den Anschein hatte. Man baut die Einhaltung geltender Prinzipien, die eventuell punktuell angepasst werden könnten. Dabei muss freilich beachtet werden, dass jede Änderung des geltenden Datenschutzrechts nach In Kraft treten der Datenschutz-Grundverordnung auf ihre Daseinsberechtigung (also Vereinbarkeit mit den zukünftigen europäischen Vorgaben) geprüft werden muss.

Hessischer Datenschutzbeauftragter: Dynamische IP-Adresse ist nicht per se ein personenbezogenes Datum

Heute hat der Hessische Landesdatenschutzbeauftragte, Prof. Ronellenfitsch, seinen Tätigkeitsbericht für das Jahr 2014 vorgestellt.

Unter anderem behandelt der Tätigkeitsbericht ein Prüfverfahren hinsichtlich der „Fraport App“, die von der Fraport AG als eine Hilfe für Flugreisende und andere Besucher des Flughafens in Frankfurt am Main angeboten wird. Mit der App ist es u.a. möglich, sich den eigenen Standort auf dem Flughafen anzeigen zu lassen. Beabsichtigt war zunächst, mobile Geräte durch auf dem Gelände verteilte WLAN-Hotspots mit MAC- und IP-Adressen zu erfassen, sofern ihre WLAN-Schnittstelle aktiv war.

Der Datenschutzbeauftragte stellt in seinem Bericht drei Szenarien dar, wie die MAC- und IP-Adresse von Besuchern des Flughafens über WLAN-Hotspots erhoben werden können. Hierzu gehört gerade auch die Situation, dass die Fraport App nicht auf einem Gerät installiert ist und genutzt wird, sondern Besucher sich direkt mit einem WLAN-Hotspot verbinden. Dann bekommt der Nutzer eine dynamische IP-Adresse zugeteilt. Die Erfassung der dynamischen IP-Adresse stellt nach Auffassung des hessischen Datenschutzbeauftragten

kein datenschutzrechtliches Problem dar.

Diese Ansicht dürfte einige Beobachter zumindest überraschen. Denn eigentlich gehen die deutschen Datenschutzbehörden schon lange und beständig davon aus, dass IP-Adressen grundsätzlich einen Personenbezug aufweisen (vgl. etwa die Orientierungshilfe des Düsseldorfer Kreises zu Apps, PDF) und bei ihrem Umgang daher die Vorgaben des Datenschutzrechts zu beachten sind (z.B. Informationen zum Datenumgang bereitstellen oder eine Rechtsgrundlage für die Verarbeitung der IP-Adresse vorweisen zu können). Erst kürzlich hat etwa die bayerische Aufsichtsbehörde klargestellt, dass jeder Webseiten- oder App-Betreiber aufgrund des Personenbezugs von IP-Adressen eine Datenschutzerklärung vorhalten muss, um über den Umgang mit der IP-Adresse aufzuklären (hierzu mein Beitrag).

Die Auffassung des hessischen Landesdatenschützers scheint (erfreulicherweise) nun zumindest aber von einer pauschalen „Vorverurteilung“ einer IP-Adresse als personenbezogenes oder personenbeziehbares Datum abzurücken.

In seinem Tätigkeitsbericht führt der Landesdatenschützer aus, dass WLAN-Netzwerkbetreiber eine unmittelbare Identifikation anhand der IP-Adresse grundsätzlich nur bei statischen IP-Adressen vornehmen können. Die am Flughafen Frankfurt bereitgestellten WLAN-Hotspots werden aber über die Vergabe von dynamischen IP-Adressen betrieben.

Der Landesdatenschutzbeauftragte:

Eine Identifikation ist nur möglich, wenn die Nutzer während einer Sitzung selbst personenbezogene oder personenbeziehbare Daten hinterlassen. Dies ist nach den vorliegenden Dokumenten nicht der Fall. Deshalb sind dynamische IP-Adressen in diesem Szenario keine personenbeziehbaren Daten.

Die Auffassung des Landesdatenschützers verdient Zustimmung. Zum einen, weil sie von einer pauschalen Einordnung von IP-Adressen als personenbezogenes oder –beziehbares Daten abrückt. Zum anderen, weil sie eben gerade auf den Kontext und die konkrete Situation abstellt. Natürlich kann sich eine IP-Adresse zu einem personenbezogenen Datum „verwandeln“, wenn zu ihr personenbezogene Daten hinzugespeichert werden (z. B. wenn der Nutzer weitere Informationen eingibt). Dann muss selbstverständlich auch das Datenschutzrecht für den Umgang mit der IP-Adresse gelten.

Datenschutzreform: Kein Mitgliedstaat verfolgt die Absicht, zentrale Datenschutzprinzipien aufzuweichen

Im Rahmen ihrer Antwort (PDF) auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag zu dem Thema „Neuregelung des Beschäftigtendatenschutzes“, hat sich die Bundesregierung nicht nur mit spezifischen Fragen der Datenverarbeitung im Verhältnis zwischen Arbeitgeber und Arbeitnehmer befasst, sondern auch einige interessante Ausführungen zu anderen wichtigen Bereichen der geplanten Datenschutz-Grundverordnung (DS-GVO) gemacht und ihre Auffassung zu diesen Themen dargelegt.

Betrieblicher Datenschutzbeauftragter
Die Frage, ob es in Zukunft eine EU-weite Pflicht zur Bestellung von betrieblichen Datenschutzbeauftragten gibt, ist nach wie vor offen. Im Rat der Europäischen Union konnte hinsichtlich dieses Vorschlags (u.a. von Deutschland) bisher keine Mehrheit gewonnen werden.

In ihrer Antwort bekräftigt die Bundesregierung ihre Absicht, eine solche Pflicht eventuell noch innerhalb der aktuell laufenden Trilogverhandlungen auf EU-Ebene noch in die DS-GVO einfließen zu lassen.

Die Bundesregierung setzt sich in den Verhandlungen weiterhin dafür ein, dass die Mitgliedstaaten durch die Datenschutz-Grundverordnung verpflichtet werden, dieses in Deutschland bewährte Konzept zu übernehmen.

Was geschieht mit aktuell gültigen Betriebsvereinbarungen?
Nach derzeit geltendem Recht stellen Betriebsvereinbarungen eine „andere Rechtsvorschrift“ im Sinne des § 4 Abs. 1 BDSG dar und können daher als Grundlage von Datenverarbeitungen in Unternehmen dienen. Doch was geschieht mit geltenden Betriebsvereinbarungen, wenn die DS-GVO, als unmittelbar geltende europäische Verordnung, in Kraft tritt und zwei Jahre später Anwendung findet?

Die Bundesregierung verweist auf den grundsätzlichen Anwendungsvorrang des EU-Rechts vor kollidierenden nationalen Regelungen. Ob geltende Betriebsvereinbarungen dann keine Anwendung mehr finden, hängt jedoch von der finalen Fassung der DS-GVO und möglichen Öffnungsklauseln und den Voraussetzungen an nationale Regelungen ab. Die Bundesregierung verweist zudem darauf, dass die Ratsfassung der DS-GVO in Erwägungsgrund 124 klarstellt, dass in Art. 82 DS-GVO (der speziellen Vorschrift zum Umgang mit personenbezogenen Daten von Arbeitnehmern) erwähnte Kollektivvereinbarungen auch Betriebsvereinbarungen umfassen.

Keine „strengeren“ nationalen Gesetze im Vergleich zur DS-GVO?
In Zukunft stellt sich zudem die Frage, ob nationale Regelungen im Anwendungsbereich von Öffnungsklauseln der DS-GVO erlassen werden dürfen, die „strengere“ Vorgaben an die Verarbeitung personenbezogener Daten machen, als jene in der DS-GVO. Sollte dies möglich sein, wird sich freilich in Folge eine Situation einstellen, in der manche Mitgliedstaaten „strengere“ Datenschutzgesetze besitzen als andere. Eine Vereinheitlichung wäre damit zumindest nicht gänzlich erreicht.

Die Bundesregierung will sich dafür einsetzen, dass die Mitgliedstaaten sektorspezifische Rechtsvorschrift, die bereits auf Grundlage der geltenden Datenschutz-Richtlinie erlassen wurden, beibehalten werden können. Zudem möchte sich die Bundesregierung dafür einsetzen, dass Art. 82 DS-GVO im Bereich des Arbeitnehmerdatenschutzes nur als „Mindestnorm“ anzusehen ist. Mitgliedstaaten könnten also etwa in diesem Bereich abweichend „strenge“ Vorgaben machen.

Bleiben geltende Datenschutzprinzipien erhalten?
Die Fraktion DIE LINKE möchte wissen, welche EU-Mitgliedsstaaten

nach Kenntnis der Bundesregierung aus welchen Gründen oder mit welcher Begründung ggf. die Absicht, zentrale Datenschutzprinzipien, wie die Zweckbindung und die Datensparsamkeit, in der EU-Datenschutz-Grundverordnung aufzuweichen.

Die Bundesregierung kann eine solches „Aufweichen“ geltender Datenschutzprinzipien jedoch nicht ausmachen:

Nach Beobachtung der Bundesregierung verfolgt kein Mitgliedstaat die Absicht, zentrale Datenschutzprinzipien aufzuweichen.

Der Grundsatz der Datensparsamkeit finde sich in Art. 5 Abs. 1 (c) der DS-GVO. Zudem merkt die Bundesregierung an, dass sie sich in den Ratsverhandlungen für die Beibehaltung der Formulierung des ursprünglichen Kommissionsvorschlags ausgesprochen habe.

Auch der Grundsatz der Zweckbindung werde beibehalten und finde sich in Art. 5 Abs. 1 (b) der DS-GVO. Die Formulierung entspreche zudem im Wesentlichen derjenigen der Datenschutz-Richtlinie.

Zweckändernde Datenverarbeitung auch ohne Einwilligung oder Vertrag
Die „Zweckänderung“ war ein Thema, welches vor allem auch in der Öffentlichkeit heftig diskutiert wurde. Die Bundesregierung wurde für ihre Änderungsvorschläge zum Teil heftig kritisiert. In ihrer Antwort verweist sie darauf, dass das geltende Bundesdatenschutzgesetz bereits derzeit zahlreiche Regelungen zur zweckändernden Weiterverarbeitung enthalte. Zudem führt sie an, dass eine solche Weiterverarbeitung nicht heimlich geschehen kann, sondern der Betroffene hierüber zu informieren ist (Art. 14 Abs. 1b) und Art. 14a Abs. 3a DS-GVO Ratsfassung). Auch möchte sich die Bundesregierung weiterhin dafür einsetzen,

dass die Befugnis zur zweckändernden Datenverarbeitung ohne Rechtsgrundlage und allein auf Grundlage einer Interessenabwägung für den öffentlichen Bereich nicht in der Datenschutz-Grundverordnung enthalten sein wird.

Verhandlungen zur Datenschutzreform: Rechte der Betroffenen stehen im Mittelpunkt

Im September gehen die Trilogverhandlungen zur Datenschutz-Grundverordnung (DS-GVO) zwischen Kommission, Parlament und Rat weiter.

Da an den Trilogverhandlungen für den Rat nicht Vertreter eines jeden EU-Mitgliedstaates teilnehmen, versucht die amtierende Ratspräsidentschaft zuvor die Stimmung der Mitgliedstaaten zu bestimmten Verhandlungsthemen abzufragen und zu sortieren.

Ein Verhandlungsdokument zur Darstellung der verschiedenen Positionen und mit Vorschlägen für die nächsten Verhandlungen zu Kapitel III DS-GVO, welches bei statewatch.org veröffentlicht wurde, hat die Ratspräsidentschaft den Vertretern der Mitgliedstaaten Ende Juli zukommen lassen (Dokument, PDF).

In Kapitel III DS-GVO geht es vor allem um die Rechte der Betroffenen (und damit natürlich auch spiegelbildlich um die Pflichten der für die Verarbeitung Verantwortlichen). Themen sind unter anderem das Auskunftsrecht, das „Recht auf Vergessenwerden“, das Recht auf Datenportabiliät und auch Informationspflichten.

Die Ratspräsidentschaft bittet die Mitgliedstaaten um Kommentare und Anregungen, wie in Bezug auf Abweichungen zwischen den Positionen von Parlament und Rat in den Trilogverhandlungen vorgegangen werden soll, wo also etwa die Position des Parlaments unterstützt oder wo eine abweichende Position des Rates weiterverfolgt werden kann.

Behandelt werden unter anderem folgende Änderungsvorschläge:

  • Einführung von Bildern/Zeichen zur Visualisierung der Datenverarbeitungszwecke.
  • Informationen dazu, wie lange Daten gespeichert werden.
  • Im Fall von Datenübermittlungen in Drittstaaten, Informationen dazu, auf welcher Grundlage (Angemessenheitsbeschluss, Standardvertragsklauseln etc.) dies erfolgt.
  • Wie oft ein Auskunftsanspruch (etwa pro Jahr) kostenlos geltend werden darf.
  • Welche Pflichten beim „Recht auf Vergessenwerden“ bestehen. Insbesondere, ob es einen Unterschied macht, dass Daten rechtmäßig veröffentlicht wurden oder nicht. Zudem, wie weit die Pflicht für verantwortliche Stelle reicht, ob diese also weitere Stellen nur informieren oder selbst für eine Löschung der Daten Dritten sorgen müssen.
  • Welche Rechte bei einer automatisierten Einzelfallentscheidung bzw. einem Profiling existieren.