Anhörung im Innenausschuss des Bundestages – Meine Stellungnahme zum BDSG-E

Am 27. März 2017 habe ich die Ehre als Sachverständiger im Innenausschuss des Bundestages zu dem Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) sprechen zu dürfen. Darüber freue ich mich sehr.

Meine Stellungnahme, in der ich (aufgrund der knappen Bearbeitungszeit) nur einige Themen anschneiden konnte, kann man über die Seite des Innenausschusses herunterladen (PDF).

Schwerpunktmäßig geht es natürlich um die Anpassung des BDSG an die Vorgaben der Datenschutz-Grundverordnung. In einem allgemeinen Teil gehe ich aber auch auf die europäischen Vorgaben zur Anpassung des deutschen Rechts ein und stelle meine Meinung zu dem Streitpunkt dar, ob nationale Datenschutzbehörden möglicherweise gegen EU-Vorgaben verstoßende nationale Norman nicht anwenden dürfen (oder können). Viel Spass bei der Lektüre.

Für die Anhörung kann man sich noch bis zum 23. März 2017 über die Adresse innenausschuss@bundestag.de anmelden.

Aufsichtsbehörde: Website-Hosting bedarf eines Vertrags zur Auftragsdatenverarbeitung

In seinem kürzlich vorgestellten Tätigkeitsbericht für die Jahre 2015/2016 (pdf) berichtet das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) über Anfragen von Unternehmen, wie Dienstleistungen von Website-Hostern datenschutzrechtlich einzuordnen sind und welche gesetzlichen Anforderungen erfüllt werden müssen (S. 39).

Nach Ansicht des BayLDA handelt es sich etwa bei der Entgegennehme und Archivierung von E-Mails von Kunden oder Interessenten oder von Kontaktformulareintragungen auf der Website und bei einem Tracking des Verhaltens der Website-Nutzer im Auftrag um eine Verarbeitung personenbezogener Daten des Service-Providers im Auftrag für das jeweilige Unternehmen (z. B. Website- oder App-Betreiber). Dies bedeutet, dass die gesetzlichen Anforderungen des § 11 Abs. 2 S. 2 BDSG zu erfüllen sind und insbesondere ein Vertrag mit den dort benannten Regelungen zwischen Auftraggeber und Dienstleister abgeschlossen werden muss. Dieser Auftrag muss schriftlich erteilt werden. Das Fazit des BayLDA:

 Wenn ein Service-Provider zu einer solchen Vertragsregelung nicht bereit ist, kann er im geschäftlichen Bereich nicht datenschutzkonform eingesetzt werden.

Meiner Erfahrung nach ist der gesetzeskonforme Abschluss eines Vertrages zur Auftragsdatenverarbeitung in diesen Situationen in der Praxis eher die Ausnahme, als die Regel. Dies dürfte auch damit zusammenhängen, dass es heutzutage für Unternehmen sehr schnell und einfach möglich ist, online entsprechende Dienstleistungen eines Website-Hosters in Anspruch zu nehmen. An den schriftlichen Abschluss eines Vertrages zur Auftragsdatenverarbeitung wird dann oft nicht gedacht.

Für Unternehmen, die auf solche Dienstleister zurückgreifen, bedeutet dies, dass sie sich um den Abschluss entsprechender Verträge kümmern sollten, wenn dies nicht bereits geschehen ist. Erfolgt diese Auftragserteilung nicht den gesetzlichen Vorgaben entsprechend, droht schlimmstenfalls ein Bußgeld. Das BayLDA berichtet in seinem Tätigkeitsbericht über einen Sachverhalt, in dem die Behörde eine Geldbuße in fünfstelliger Höhe gegen ein Unternehmen festgesetzt hat. Das Unternehmen hatte in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt (S. 41).

In der Praxis stellt sich für Unternehmen, die einen solchen Dienstleister einsetzen und auch vertraglich verpflichten möchten, oft das Problem, dass der Dienstleister zum einen für die Erstellung und zum anderen für die Pflege des gesetzlich vorgeschriebenen Vertrages zur Auftragsdatenverarbeitung eine Gebühr verlangt. Auch hierüber berichtet das BayLDA (S. 41). Ob die Forderung nach einem Entgelt zulässig ist, dazu möchte sich das BayLDA in seinem Tätigkeitsbericht, mit Verweis auf die zivilrechtliche Implikation der Fragestellung, nicht äußern.

Datenschutzbehörde: Mögliche Bußgeldverfahren wegen Einsatz von Facebook Custom Audience

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat heute seinen neuen Tätigkeitsbericht für 2015/2016 vorgestellt. Dort (S. 30) berichtet die Behörde über eine durchgeführte Prüfung von bayerischen Unternehmen hinsichtlich des Einsatzes des Dienstes Facebook Custom Audience.

Unternehmen wurden unter anderem gefragt, ob der Dienst Facebook Custom Audience eingesetzt wird, ob E-Mail-Adressen oder Telefonnummern von Kunden an Facebook (gehasht) übertragen werden und ob für den Einsatz von Facebook Custom Audience ein „Facebook-Pixel“? eingesetzt wird.

Dass im Rahmen des Einsatzes des Dienstes datenschutzrechtliche Fragen zu beantworten sind, hat die Behörde bereits in ihrem letzten Tätigkeitsbericht dargestellt. Hierzu mein Blogbeitrag.

Nun berichtet das BayLDA, dass durch die Gespräche mit den verantwortlichen Stellen im Rahmen der Prüfung festgestellt wurde, dass das Verfahren Facebook Custom Audience in der Praxis durchaus Verbreitung findet. Das ist auch meine Erfahrung aus der Beratungspraxis. Laut Aussage des BayLDA waren sich die Unternehmen aber in keinem (!) Fall bewusst, dass dabei eine datenschutzrechtliche Problematik besteht.

Die Behörde berichtet weiter, dass das Thema auf Grund seiner großen Reichweite im Arbeitskreis Medien der deutschen Aufsichtsbehörden platziert und im Dezember 2016 hierzu ein erstes gemeinsames Treffen in Ansbach stattfand. Diese Information dürfte auch für Stellen außerhalb Bayerns von Interesse sein, die Custom Audience nutzen. Denn eventuell wird es in Zukunft auch in anderen Bundesländern Prüfungen der zuständigen Datenschutzbehörden zu dieser Thematik geben.

Beim BayLDA will man nun bei den geprüften Stellen, die angaben, das Verfahren einzusetzen, für Klarheit sorgen, welche Rahmenbedingungen konkret für einen weiteren Einsatz zu berücksichtigen sind.

Das BayLDA verweist in diesem Zusammenhang auch noch einmal ausdrücklich auf seine Ansicht, dass sowohl die Verfahren der Kundenliste als auch die des Zählpixels als datenschutzrechtlich problematisch einzustufen sind.

Nach Aussage der Aufsichtsbehörde könne es insbesondere (wie in der Vergangenheit) angekündigt zur Einleitung von Ordnungswidrigkeitsverfahren kommen.

Unternehmen, die den Dienst Custom Audience nutzen, sollten gerade vor dem Hintergrund, dass sich die Landesdatenschutzbehörden insgesamt mit dem Dienst zu befassen scheinen, prüfen, welche Form des Dienstes sie nutzen und welche datenschutzrechtlichen Anpassungsmaßnahmen eventuell vorzunehmen sind.

 

Datenschutzreform: Bundesratsausschüsse kritisieren Gesetzesentwurf der Bundesregierung zum neuen BDSG

Sieben Ausschüsse des Bundesrates haben sich mit dem „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs-und -Umsetzungsgesetz EU -DSAnpUG-EU, PDF)“ vom 2. Februar 2017 befasst und mit Datum vom 1. März 2017 ihre Empfehlungen zum Gesetzentwurf für ein neues BDSG abgegeben (Empfehlungen, BR Drs. 110/1/17, PDF).

Insgesamt finden die Ausschüsse wenig Gutes an dem Gesetzentwurf. Die Empfehlungen sind umfangreich (64 Seiten). Nachfolgend möchte ich nur beispielhaft einige Kritikpunkte der Bundesratsausschüsse beleuchten. Die Empfehlungen der Ausschüsse werden bereits nächste Woche, am 10. März 2017, im Bundesrat beraten.

Der zweite Schritt vor dem ersten

Ganz grundsätzlich kritisieren die Ausschüsse, dass eine umfassende Bewertung der vorgeschlagenen Neufassung des BDSG nicht möglich ist, da erforderliche Anpassungen des vorrangigen Fachrechts (also datenschutzrechtlicher Spezialvorschriften) bislang weder erfolgt noch konkret absehbar sind.

Auch die Praxis wird durch dieses Vorgehen vor erhebliche Schwierigkeiten gestellt. Denn dort müssen Verarbeitungsvorgänge an die Anforderungen anpasst werde. Doch wenn diese Anforderungen unklar bleiben, wird eine rechtssichere Umsetzung nur schwer möglich sein.

Aus Sicht der Ausschüsse lässt sich die Situation wie folgt darstellen:

Ansatz, bei dem der zweite Schritt vor dem ersten vollzogen wird.

Datenportabilität beschränken?

Die Ausschüsse schlagen vor, dass die Bundesregierung prüft, inwieweit ein Bedarf für eine Beschränkung des Rechts auf Datenübertragbarkeit gemäß Art. 20 DSGVO besteht. Nach Auffassung der Ausschüsse werden nämlich im Gesetzentwurf, Im Gegensatz zum Recht auf Auskunft, das in § 34 BDSG-E eine Beschränkung erfährt, das Recht auf Datenportabilität trotz seiner funktionalen Nähe zum Recht auf Auskunft bislang keine entsprechenden Beschränkungen vorgesehen.

Diese Kritik mag man verstehen, jedoch sehe ich nicht derart große Parallelen zum Auskunftsrecht, dass auch die Datenportabilität aus diesem Grund beschränkt werden müsste. Inhaltlich unterscheiden sich beide Rechte dann doch an einige Stellen. So besteht das Recht auf Datenportabilität etwa nur für durch die Person „bereitgestellte“ Daten, das Auskunftsrecht aber allgemein.

Definition „Anonymisieren“

Die Ausschüsse schlagen zudem die Aufnahme eines neuen § 2 Abs. 6 BDSG-E vor. In diesem Absatz soll das „Anonymisieren“ definiert werden. Hintergrund ist, dass § 27 Absatz 3 BDSG-E den Begriff “anonymisieren” verwendet, dieser aber weder im Gesetzentwurf noch in der DSGVO definiert wird. Vielmehr wird nur “pseudonymisieren” in der DSGVO verwendet und in Art. 4 Nr. 5 DSGVO definiert. Die vorgeschlagene Definition entspreche dem Verständnis des Begriffs im bisherigen § 3 Abs. 6a BDSG.

Vertretung im Europäischen Datenschutzausschuss und Verfahren der Zusammenarbeit der Aufsichtsbehörden

Die Bundesratsausschüsse sprechen sich zudem für eine Anpassung der Regelungen zur Vertretung Deutschlands im Europäischen Datenschutzausschuss (EDA) aus. Nach Auffassung der Ausschüsse räumt die Ausgestaltung des Verfahrens hinsichtlich der Vertretung der Bundesrepublik Deutschland im Europäischen Datenschutzausschuss im Gesetzentwurf (§ 17 und 18 BDSG-E) den Aufsichtsbehörden der Länder kein hinreichendes Gewicht ein. Die Ausschüsse verlangen, dass die Position der Landesdatenschutzbeauftragten im Hinblick auf deren Hauptvollzugsverantwortung des Datenschutzrechts in Deutschland gestärkt wird.

Nach Auffassung der Ausschüsse spricht der Umstand, dass der Bund für ein Sachgebiet die ausschließliche oder konkurrierende Gesetzgebungskompetenz besitzt, in keiner Weise dafür, dass die Bundesbeauftragte die Bundesrepublik Deutschland insoweit verhandlungsführend im Europäischen Datenschutzausschuss vertreten sollte, wenn der Vollzug dieses Gesetzes allein den Landesdatenschutzbeauftragten obliegt. Insbesondere werden es nämlich auch in Zukunft die Landesbehörden sein, die sich in ihrer Praxis mit privaten Unternehmen auseinanderzusetzen haben. Eine vergleichbare Sachnähe könne es bei der oder dem Bundesbeauftragten naturgemäß nicht geben.

Die vorgeschlagenen Änderungen sind durchaus nachvollziehbar. Man darf wohl auch in einer Analyse des Bundesrates eine landesnahe Auffassung erwarten. Zurecht dürfte aber die Kritik vorgebracht werden, dass in der praktischen Umsetzung und Überwachung der Einhaltung des Datenschutzes die Landesbehörden mehr Erfahrung besitzen als die BfDI.

Zweckändernde Datenverarbeitung

In § 24 Abs. 1 Nr. 2 BDSG-E soll das Wort “rechtlicher” durch das Wort “zivilrechtlicher” ersetzt werden.

Dort ist derzeit vorgesehen, dass die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nicht-öffentliche Stellen zulässig ist, wenn sie zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist.

Hintergrund der vorgeschlagenen Anpassung ist, dass Art. 23 Abs. 1 lit. j) DSGVO, der Vorgaben dazu macht, zur Sicherstellung welcher Maßnahmen Beschränkungen der Betroffenenrechte im nationalen Recht vorgenommen werden dürfen, nur von „zivilrechtlichen“ und nicht weiter von „rechtlichen“ Ansprüchen spricht.

Des Weiteren sollen in § 24 Abs. 1 Nr. 2 BDSG-E nach dem Wort “Ansprüche” die Wörter “gegenüber der betroffenen Person” eingefügt werden. Hintergrund dieses Vorschlages der Ausschüsse ist, dass in § 24 BDSG-E eine rechtliche Grundlage für nicht-öffentliche Stellen geschaffen wird, die es ihnen erlaubt, eine Weiterverarbeitung von personenbezogenen Daten unabhängig davon vorzunehmen, ob die Zwecke der Verarbeitung mit den ursprünglichen Zwecken, für die die Daten ursprünglich erhoben wurden, vereinbar sind.

Nach Auffassung der Ausschüsse ist diese Regelung für Verbraucherinnen und Verbraucher von besonderer Bedeutung. Die Ausschüsse kritisieren, dass es die Regelung in § 24 BDSG-E

beispielsweise Unternehmen der Digitalwirtschaft ermöglicht, ohne Einwilligung der betroffenen Verbraucherinnen und Verbraucher eine Weiterverarbeitung der personenbezogenen Daten mit dem Hinweis darauf vorzunehmen, diese Daten würden zur “Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche” gegenüber Dritten (zum Beispieleinem Geschäftspartner) gebraucht.

Nach Ansicht der Ausschüsse können nicht betroffene Verbraucher dafür verantwortlich gemacht werden, wenn Unternehmen ihre personenbezogenen Daten für die Durchsetzung zivilrechtlicher Ansprüche im Verhältnis zu Dritten benötigen. Deshalb sollte eine Weiterverarbeitung der personenbezogenen Daten zu anderen Zwecken nur erlaubt sein, wenn rechtliche Ansprüche des Unternehmens gegenüber der betroffenen Person selbst in Rede stehen.

Diesbezüglich ließe sich aber anführen, dass die entsprechenden Vorgaben der DSGVO (Art. 6 Abs. 4 und Art 23 Abs. 1 lit. j)) auch nur „Ansprüche“ erwähnen. Nicht jedoch solche, die gegenüber der betroffenen Person bestehen.

Beschäftigtendatenschutz

Natürlich wird von den Ausschüssen auch der Beschäftigtendatenschutz angesprochen. Nach deren Auffassung waren bereits die geltenden Regelungen zum Beschäftigtendatenschutz in § 32 BDSG ergänzungs-und überarbeitungsbedürftig. Nun ergeben sich aber weitere Anforderungen an den Gesetzgeber aus Art. 88 DSGVO.

Nach Auffassung der Bundesratsausschüsse werden diese aber durch § 26 BDSG-E nicht ausreichend umgesetzt. Daher fordern die Ausschüsse, dass zeitnah ein ergänzender Gesetzentwurf mit spezifischen Regelungen für Datenverarbeitung im Beschäftigtenkontext vorgelegt wird.

Fortgeltung bereits erteilter Einwilligungen?

Die Ausschüsse des Bundesrates scheinen zu bezweifeln, dass derzeit erteilte datenschutzrechtliche Einwilligungen auch nach Anwendbarkeit der DSGVO im Mai 2018 weiter wirksam sind.

Sie bitten die Bundesregierung daher um Prüfung einer gesetzlichen Klarstellung, unter welchen Voraussetzungen die bereits vor Inkrafttreten des Gesetzes erteilten Einwilligungen nicht fortgelten. Die Ausschüsse verweisen berechtigterweise darauf, dass die Voraussetzungen für eine wirksame Einwilligung nach der DSGVO nicht den Regelungen im BDSG entsprechen und teilweise darüber hinausgehen. Daher müssen Unternehmen unter Umständen eine erneute Einwilligung bei den Betroffenen einholen.

Zwar verweisen die Ausschüsse auf den Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 13./14. September 2016), der zwar tendenziell von einer Fortgeltung alter Einwilligung ausging. Dies jedoch auch nur unter dem Vorbehalt der „Grundsätzlichkeit“.

Streichen des Erfordernisses der Schriftlichkeit

Die Bundesratsausschüsse fordern zudem, dass geprüft werde, inwieweit vom Erfordernis der Schriftlichkeit der anzufertigenden Dokumentationen durch datenverarbeitende Stelle abgesehen werden kann.

In §§ 32 und 33 BDSG-E ist derzeit schriftliche Dokumentationspflichten für den Fall vorgesehen, wenn der Verantwortliche von einer Information des Betroffenen abgesehen hat. Dieses Erfordernis der schriftlichen Dokumentation geht aber über die Vorgaben der DSGVO hinaus. Diese sieht in Art. 12 Abs. 4 DSGVO nur vor, dass der Verantwortliche die betroffene Person (ohne spezielle Form) unterrichtet. Die derzeit vorgeschlagene Dokumentationspflicht im BDSG-E würde nach Auffassung der Ausschüsse zusätzlichen Erfüllungsaufwand für die Wirtschaft mit sich bringen.

Man muss nun abwarten, welche Empfehlungen konkret in der nächsten Sitzung des Bundesrates angenommen werden. Der Umfang der Anmerkungen und auch die Reichweite der Kritik zeigt aber, dass man in einigen Aspekten noch weit voneinander entfernt ist. Zudem muss beachtet werden, dass der Gesetzesentwurf nun auch im Bundestag liegt und dort (wohl im Innenausschuss) einer Analyse unterzogen wird.