Verhandlungen zur Datenschutz-Grundverordnung: offene Punkte und vorläufige Einigungen

Bis zum Ende des Jahres 2015 möchten die Europäische Kommission, das Europäische Parlament und der Rat der Europäischen Union die sogenannten Trilog-Verhandlungen zur europäischen Datenschutz-Grundverordnung (DS-GVO) abschließen. Seitdem der Trilog begonnen hat, wurden nur wenige Schriftstücke aus den Verhandlungen veröffentlicht bzw. geleakt. Nun hat die Plattform statewatch.org zwei neuere Dokumente des Rates (jeweils Stand vom 20. November 2015) veröffentlicht.

Vorläufig erzielte Kompromisse

Ein Dokument (pdf) befasst sich mit den bis zum 20. November 2015 zwischen den drei Verhandlungsparteien erzielten Kompromissen. Zudem enthält das Dokument Vorschläge der Ratspräsidentschaft für einige noch offene Punkte.

Betrachtet man das (immerhin 372 Seiten lange) Dokument, so fällt auf, dass Kompromisse vor allem für Artikel bzw. Themengebiete gefunden wurden, die man umgangssprachlich nicht als die „dicken Bretter“ bezeichnen würde. Dieses freilich nicht verwunderlich, da man sich in den Verhandlungen sicherlich zunächst mit solchen Themenkomplexen befasst hat, bei denen die geringsten Meinungsverschiedenheiten zu erwarten sind.

So hat man sich etwa darauf geeinigt, die sogenannte Haushaltsausnahme, also jene Vorschrift die bestimmt, wann die Datenschutz-Grundverordnung in Zukunft im Rahmen einer Datenverarbeitung für private Zwecke nicht anwendbar sein soll, nur dann eingreifen zu lassen, wenn die in Rede stehende Datenverarbeitung ausschließlich für persönliche Zwecke durchgeführt wird. In Zukunft dürfte es für die Inanspruchnahme der Ausnahmeregelung daher nicht ausreichen, dass mit einer Datenverarbeitung auch (!) private Zwecke verfolgt werden. Vor allem im Abschnitt der sich mit Zusammenarbeit der nationalen Datenschutzbehörden untereinander befasst, konnte man ebenfalls vorläufige Einigungen erzielen. Nicht einigen konnte man sich bisher hingegen auf die Höhe bzw. den möglichen Rahmen für zukünftige Bußgelder bei rechtswidrigen Datenverarbeitung.

Offene Punkte

Das zweite veröffentlichte Dokument (pdf) betrifft die wichtigsten noch offenen Punkte. In diesem Dokument schlägt die Ratspräsidentschaft den Mitgliedstaaten zu verschiedenen Themen ein bestimmtes Vorgehen vor und bittet um eine Rückmeldung hinsichtlich der vorgeschlagenen Lösungswege.

Zu den noch offenen Diskussionsfeldern gehört nach dem Dokument unter anderem die Frage, inwieweit die Datenschutz Grundverordnung auch für EU-Institutionen gelten soll. Die Kommission und der Rat möchten die Institutionen vom Anwendungsbereich der Datenschutz-Grundverordnung ausnehmen. Das Parlament ist für deren Einbeziehung.

Bekanntlicherweise sollen in der Datenschutz-Grundverordnung Öffnungsklauseln geschaffen werden, die es den Mitgliedstaaten erlauben würden, für bestimmte Bereiche bzw. bestimmte Datenverarbeitungsprozesse spezifische nationale Regelung zu schaffen. Vor allem der Rat möchte eine solche Öffnungsklausel in Art. 1 Abs. 2a DS-GVO vorsehen. In dem Dokument wird nun vorgeschlagen, die Ratsposition beizubehalten, obwohl das Parlament den entsprechenden Artikel anpassen möchte. Dem Parlament ist vor einigen an einer Konkretisierung dahingehend gelegen, dass nationale Vorschriften die Vorgaben der DS-GVO nicht ändern bzw. anpassen sondern nur konkretisieren bzw. spezifizieren können. Die Ratspräsidentschaft schlägt vor, Art. 1 Abs. 2a DS-GVO in einen neuen Art. 6 Abs. 2a DS-GVO zu verschieben. Jedoch keine inhaltlichen Änderungen am Vorschlag des Rates vorzunehmen.

Ein weiterer offener Themenkomplex ist die Frage, inwieweit die den nationalen Datenschutzbehörden zustehenden hoheitlichen Befugnisse und der Umfang der potentiellen Maßnahmen innerhalb der DS-GVO geregelt werden sollen oder ob die Mitgliedstaaten jeweils national den Umfang der Maßnahmen bestimmen können dürfen.

Im Anwendungsbereich der Datenschutz-Grundverordnung sollen in Zukunft Verbände die Möglichkeit haben, betroffene Personen gegenüber Datenschutzbehörden bzw. datenverarbeitenden Stellen zu vertreten und auch deren Rechte durchzusetzen. In den Verhandlungen besteht noch Uneinigkeit darüber, inwieweit Verbände oder andere Organisationen im Namen der Betroffenen auch Schadensersatzansprüche geltend machen können. Das Parlament ist für eine solche Möglichkeit. Der Rat möchte dies nur gestatten, soweit nationale Vorschriften die Geltendmachung von Schadenersatzansprüchen für den Betroffenen erlauben.

Ausblick

Nach dem Ratsdokument werden die nächsten Trilog- Verhandlungen am 10. Dezember 2015 stattfinden. Die Ratspräsidentschaft bekräftigt noch einmal ihre Intention, bis zum Ende des Jahres die Verhandlungen abzuschließen.

Wer auch im Dezember nicht auf Informationen zur Datenschutz-Grundverordnung und möglichen künftigen Regelungen verzichten möchte, den lade ich gerne dazu ein, an jedem Tag zwischen dem 1. und 24. Dezember eine Tür des EUDataP- Weihnachtskalenders zu öffnen. Dort werde ich jeden Tag einen kleinen Beitrag zur Datenschutz-Grundverordnung veröffentlichen.

Europäische Kommission veröffentlicht ihre Analyse des Safe Harbor-Urteils

Heute hat die Europäische Kommission in einer Mitteilung (PDF) ihre Analyse des Safe Harbor-Urteils des europäischen Gerichtshofs veröffentlicht.

Neue Erkenntnisse oder Informationen zu den rechtlichen Möglichkeiten für Datentransfers in die USA finden sich in der Position kaum. Zumeist verweist die Kommission auf Stellungnahmen der Art. 29 Datenschutzgruppe. Einige Kernpunkte des Papiers möchte ich nachfolgend dennoch ansprechen:

Standardvertragsklauseln

Mit Blick auf den Einsatz von Standardvertragsklauseln (welche durch die Europäische Kommission auf der Grundlage von Art. 26 Abs. 4 der Datenschutzrichtlinie erlassen wurden und „ausreichende Garantien“ im Sinne von Art. 26 Abs. 2 der Datenschutzrichtlinie darstellen) stellt die Kommission fest, dass nationale Datenschutzbehörden dem Grunde nach verpflichtet sind, diese als rechtmäßige Möglichkeit eines Datentransfers in einen Drittstaat zu akzeptieren. Der Grund hierfür ist die rechtliche Verbindlichkeit von Kommissionsentscheidungen in den Mitgliedstaaten.

Weiterhin stellt die Kommission fest, dass Datenschutzbehörden Datentransfers auf der Grundlage von Standardvertragsklauseln nicht mit der Begründung untersagen dürfen, dass die Standardvertragsklauseln keine ausreichenden Garantien bieten würden. Denn genau dies hat die Europäische Kommission verbindlich festgestellt. Natürlich ist es den nationalen Datenschutzbehörden unbenommen, Datentransfers auf der Grundlage der Standardvertragsklauseln auf ihre Rechtmäßigkeit (gerade mit Blick auf die Entscheidung des Europäischen Gerichtshofs) zu prüfen. Sollten seitens der Datenschutzbehörde Zweifel bestehen, legt die Kommission in ihrer Mitteilung nahe, dass die nationalen Behörden einen solchen Sachverhalt vor ein nationales Gericht zu Prüfung bringen sollten, damit dieses wiederum die Frage der Rechtmäßigkeit des Datentransfers und damit implizit auch der zugrunde liegenden Standardvertragsklauseln zum Europäischen Gerichtshof vorlegen kann.

Daneben weist die Europäische Kommission darauf hin, dass verantwortliche Stellen in der EU natürlich zusätzliche (auch vertragliche) Garantien vorsehen können. Dies gerade in den Fällen, wenn sie Informationen dazu erhalten, dass das Rechtssystem im Drittstaat die datenimportieren Stelle an der Erfüllung ihrer vertraglichen Pflichten aus den Standardvertragsklauseln hindern könnte.

Ausnahmeregelungen

Zudem befasst sich die Mitteilung der Europäischen Kommission mit den gesetzlichen Ausnahmeregelungen (Art. 26 Abs. 1 der Datenschutzrichtlinie). Hier weist die Europäische Kommission darauf hin, dass die datenexportierende Stelle gerade nicht dazu verpflichtet ist, dafür Sorge zu tragen, dass die importierende Stelle ausreichende Garantien mit Blick auf den Schutz personenbezogener Daten bietet. Denn die Ausnahmeregelungen gelten ja gerade für den Fall, dass ausreichende Garantien nicht existieren.

Kompetenzen der nationalen Datenschutzbehörden

Auch wenn die Europäische Kommission mehrmals darauf hinweist, dass nationale Datenschutzbehörden in völliger Unabhängigkeit handeln können und auch müssen, so stellt sie in ihrer Mitteilung dennoch ausdrücklich fest, dass die Datenschutzbehörden Datentransfers auf der Grundlage einer Angemessenheitsentscheidung der Kommission oder einer Entscheidung über das Vorhandensein ausreichender Garantien (wie Standardvertragsklauseln), im Rahmen von Beschwerden nur auf ihre Rechtmäßigkeit hin nur überprüfen(!) dürfen. Jedoch, so die Kommission, dürfen die nationalen Datenschutzbehörden in einem solchen Fall keine verbindliche Entscheidung treffen, sondern die Mitgliedstaaten müssen in einem solchen Fall ein Klagerecht für Datenschutzbehörden vorsehen, damit das Verfahren vor ein nationales Gericht gebracht werden kann.

The DPAs remain competent to examine claims within the meaning of Article 28(4) of Directive 95/46/EC that the data transfer complies with the requirements laid down by the Directive (as interpreted by the Court of Justice), but cannot make a definitive finding. (S. 14)

Weitere Auswirkungen des Urteils

Zuletzt kündigt die Kommission an das sie vor dem Hintergrund des Urteils alle bestehenden Angemessenheitsbeschlüsse für Drittstaaten (unter anderem Argentinien, Kanada, Israel und Schweiz) überprüfen werde und insbesondere jene Klauseln in den Angemessenheitsentscheidung anpassen wird, die der europäische Gerichtshof im Rahmen des Safe Harbor-Urteils für ungültig erklärt hat. Hierbei bezieht sich die Kommission auf Vorschriften, die die Ausübung der Kompetenzen der nationalen Datenschutzbehörden unter bestimmte Voraussetzungen stellen.

Deutsche Datenschutzbehörden veröffentlichen Orientierungshilfe für den Datenschutz bei Smart-TVs

Die Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) haben eine Orientierungshilfe zu den Datenschutzanforderung an Smart-TV-Dienste veröffentlicht (pdf, Stand: September 2015). Diese Orientierungshilfe richtet sich, so das Papier, an Anbieter von Smart-TV-Diensten und -Produkten. Hierzu gehören unter anderem Gerätehersteller App-Anbieter und Anbieter von HbbTV-Angeboten.

Nachfolgend möchte ich einen kurzen Überblick über einige in dem Papier behandelte Themen geben.

Was sind personenbezogene Daten?

Die Aufsichtsbehörden nennen in dem Papier Beispiele für ihrer Auffassung nach personenbezogene Daten im Umfeld von Smart-TVs. Hierzu gehören die IP-Adresse des Nutzers und Geräte-IDs, die dauerhaft mit dem Gerät verbunden sind. Nach Ansicht der Behörden ist hierbei unerheblich, dass eventuell mehrere Personen ein Fernsehgerät nutzen. Im Zweifel gehen die Behörden daher von einem Personenbezug aus. Weitere Beispiele sind Audiodaten, Foto -und Filmaufnahmen, das Fernsehanstalten oder Registrierungsdaten.

Wer ist datenschutzrechtlich verantwortlich?

Regelmäßig datenschutzrechtlich verantwortlich sind vor allem die Gerätehersteller, die etwa Updates auf Geräte aufspielen oder Statistiken über die Bedienung des Gerätes erstellen. Ebenfalls datenschutzrechtlich verantwortlich können App-Anbieter sein. Auch die Anbieter von HbbTV-Zusatzangeboten können oft als datenschutzrechtlich verantwortliche Stelle und Diensteanbieter im Sinne des Telemedienrechts qualifiziert werden.

Welches Recht gilt?

Grundsätzlich gilt das deutsche Datenschutzrecht, beim Umgang mit personenbezogenen Daten durch stellen mit Sitz in Deutschland. Nach Auffassung der Behörden gilt das deutsche Datenschutzrecht auch, wenn ein Anbieter, der außerhalb des europäischen Wirtschaftsraums niedergelassen ist, personenbezogene Daten im Inland erhebt. Interessant ist die Ansicht der Aufsichtsbehörden, dass das deutsche Datenschutzrecht nicht gilt, wenn ein Anbieter in einem anderen Mitgliedstaat des europäischen Wirtschaftsraums niedergelassen ist und in Deutschland personenbezogene Daten erhebt und dies nicht durch eine Niederlassung in Deutschland erfolgt. Dann gilt das Recht des jeweiligen Mitgliedstaates. Nach Auffassung des Düsseldorfer Kreises scheint also allein die Existenz einer Niederlassung in Deutschland (richtigerweise) noch nicht zur Anwendbarkeit deutschen Datenschutzrechts zu führen.

Rechtsgrundlagen der Datenverarbeitung

Danach geht die Orientierungshilfe auf die verschiedenen Erlaubnistatbestände des TMG zum Umgang mit personenbezogenen Daten ein. Das TMG stellt gerade im Bereich der Datenverarbeitung über Smart-TVs das gegenüber dem Bundesdatenschutzgesetz speziellere Gesetz dar.

Die Aufsichtsbehörden geben verschiedene Beispiele für die im TMG angesprochenen Bestands- und Nutzungsdaten. Nach Auffassung der Behörden stellen Bestandsdaten im Sinne des § 14 Abs. 1 TMG etwa Registrierungsdaten in einem online Portal dar. Nutzungsdaten im Sinne des§ 15 Abs. 1 TMG sind unter anderem die IP-Adresse und eindeutige Kennnummern.

Auch befasst sich die Orientierungshilfe mit dem Thema der pseudonymisierten Nutzungsprofile (§ 15 Abs. 3 TMG). Der erforderliche Hinweis auf die Erstellung solcher Nutzungsprofile muss nach Auffassung der Behörden zumindest in der Datenschutzerklärung erfolgen. Die Widerspruchsmöglichkeit (Opt-Out) kann in Form eines Links oder der Möglichkeit des Auskreuzens bereitgestellt werden. Nach Ansicht des Düsseldorfer Kreises genügt jedoch die Möglichkeit, per E-Mail oder per Post ein Opt-Out zu erklären, den gesetzlichen Anforderungen nicht.

Die Orientierungshilfe setzt sich im weiteren mit den Themen „Reichweitenmessung“ und „werbefinanzierte Dienste“ auseinander.

Datenschutzerklärung

Die Aufsichtsbehörden geben auch Hinweise dazu, wie die Nutzer von Smart-TVs wirksam über stattfindende Datenverarbeitungen zu informieren sind. Informationspflichten der Anbieter ergeben sich aus § 13 Abs. 1 TMG. Nach Auffassung der Behörden besteht für verantwortliche Stellen die Verpflichtung, die Datenschutzhinweise derart zu verankern, dass der Nutzer zwangsläufig und so frühzeitig wie möglich mit diesen in Berührung gelangt. Fraglich ist, wie der Begriff „zwangsläufig“ zu verstehen ist. Gehen die Behörden davon aus, dass Datenschutzerklärung per Popup eingeblendet werden müssen? In jedem Fall genügt eine Information, die im Impressum oder den Allgemeinen Geschäftsbedingungen erfolgt, nicht den Anforderungen an die Transparenz. Wichtig ist auch der Hinweis der Behörden, dass nicht sonstige Textbausteine, die häufig für herkömmliche Webseiten erstellt werden, genutzt werden dürfen. Nicht ausreichend sind ebenso die Wiedergabe gesetzlicher Normen oder allgemeine Floskeln zur Wichtigkeit des Datenschutzrechts.

Anforderungen an die IT-Sicherheit

Nach Auffassung der Behörden müssen die verantwortlichen Stellen regelmäßig Sicherheitsupdates für die eingesetzten Geräte anbieten. Zudem sollen personenbezogene Daten nach dem Stand der Technik verschlüsselt werden als Orientierung verweist der Düsseldorfer Kreis auf Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik. Zudem formuliert das Papier Mindestanforderungen. Hierzu gehören: HTTPS, Perfect Forward Secrecy, kein SSL2/SSL3, mindestens 2048-Bit beim X.509 Zertifikat, keine RC4-Verschlüsselung, kein SHA1-Hashverfahren.

Hinweise für jeden Beteiligten

Im letzten Abschnitt des Papiers gehen die Behörden auf die konkreten Situationen und Probleme ein, die sich für den jeweiligen Verantwortlichen bei der Datenverarbeitung stellen. Sowohl für Gerätehersteller, App- oder HbbTV-Anbieter werden konkrete Szenarien des Umgangs mit personenbezogenen Daten betrachtet und analysiert.