Besuch von EU-Datenschützern: Google stimmt Vor-Ort-Kontrollen in den USA zu

Am 20. Februar 2015 gab die italienische Datenschutzbehörde bekannt, dass man sich im Rahmen eines Prüfverfahrens der Datenschutzrichtlinie des Suchmaschinenbetreibers Google und der Verarbeitung von personenbezogenen Daten von Nutzern, auf verschiedene Umsetzungs- und Änderungsmaßnahmen geeinigt habe, die von der Behörde vorgeschlagen wurden.

Danach wird Google bis zum Januar 2016 unter anderem die Art und die Form seiner Datenschutzhinweise überarbeiten. Die Informationen darüber, wie Google personenbezogene Daten verarbeitet sollen noch deutlicher und klarer abgefasst werden. Zudem soll der Suchmaschinenbetreiber auch die Einwilligung von Nutzern einholen, wenn deren Verhalten über verschiedene angebotene Dienste hinweg in Profilen gespeichert werden soll. Auch bei der Speicherdauer von Kundendaten soll Google nach den Wünschen den italienischen Datenschützer nachbessern. Insbesondere soll es in Zukunft festgelegte Zeiträume geben, nach denen nicht mehr erforderliche Nutzerdaten und Backups gelöscht werden müssen.

Google hat den durch die italienische Behörde vorgegebenen Änderungsmaßnahmen zugestimmt und hat nun bis Januar 2016 Zeit, diese umzusetzen. Um den Fortgang der Maßnahmen zu prüfen, erhält die italienische Datenschutzbehörde das Recht, Vor-Ort-Kontrollen am Hauptsitz des Suchmaschinenbetreibers in Kalifornien durchzuführen. Nach den Informationen der Behörde, ist dieses Vorgehen und auch das Zugeständnis von Google, die italienischen Datenschützer am Hauptsitz in den USA die Kontrolle der Änderungen zu ermöglichen, eine Premiere im europäischen Datenschutzrecht.

Das Verfahren der italienischen Behörde steht im Zusammenhang mit einer breiter angelegten Prüfaktion verschiedener Datenschutzbehörden in ganz Europa. Diese begannen mit der Einführung der neuen Datenschutzerklärung beim Suchmaschinenbetreiber im Jahre 2012. Erst kürzlich einigte sich Google etwa auch mit der Datenschutzbehörde in England (hierzu mein Beitrag). In Deutschland läuft derzeit noch ein Verfahren beim Hamburgischen Beauftragten für den Datenschutz.

Berliner Datenschutzbeauftragter: Safe Harbor am Ende?

Am 28. Januar 2015 wurde der 9. Europäische Datenschutztag gefeiert. Die deutschen Datenschutzaufsichtsbehörden nahmen dies bei der von Ihnen gemeinsam in Berlin initiieren Veranstaltung zum Anlass, um zuvor auf einer Pressekonferenz Kritik an der derzeitigen Praxis von Datentransfers in die USA zu üben (vgl. die Meldung bei heise online).

Nach Auffassung der deutschen Behörden können Datenübermittlungen in die USA nicht mehr ohne weiteres auf das bestehende Instrument „Safe Harbor“ gestützt werden. Hierbei handelt es sich um eine Entscheidung der Europäischen Kommission, die Unternehmen, welche sich einem freiwilligen Selbstzertifizierungssystem unterwerfen, ein angemessenes Datenschutzniveau bescheinigt und damit auch Übermittlungen personenbezogener Daten an diese Unternehmen aus der Europäischen Union gestattet (zu Safe Harbor hatte ich bereits früher einmal gebloggt).

Die deutschen Behörden haben nach der Safe Harbor Entscheidung unter bestimmten Voraussetzungen die Befugnis, einzelne Datenübermittlungen in die USA zu untersagen, insbesondere wenn die Vorgaben der Entscheidung systematisch verletzt werden würden. Aus Sicht der deutschen Aufsichtsbehörden sind die Voraussetzungen derzeit erfüllt. Aus diesem Grund wurden in Berlin und Bremen auch entsprechende Verwaltungsverfahren eingeleitet, die konkrete und laufende Datenübermittlungen unterbinden sollen. Diese laufen gegenwärtig noch und sind nicht abgeschlossen.

Der Berliner Datenschutzbeauftragte, Dr. Dix, hat im Rahmen der Veranstaltung am 28. Januar 2015 in Berlin einen Vortrag zum gegenwärtigen Stand von Safe Harbor aus Sicht der Aufsichtsbehörden gehalten. Dieser Vortrag ist nun kostenlos abrufbar (PDF) und durchaus interessant zu lesen, auch wenn man freilich nicht jeder in dem Beitrag vertretenen Ansichten folgen muss.

Wie es mit Safe Harbor weitergeht, bleibt abzuwarten. Das Vorabentscheidungsersuchen des irischen High Court an den EuGH im Verfahren zwischen Max Schrems und der irischen Datenschutzbehörde, dürfte die nächste wichtige Wegmarke darstellen.

Europäische Datenschutzbehörden prüfen Cookie-Einsatz auf beliebten Webseiten

Insgesamt acht europäische Datenschutzaufsichtsbehörden haben 478 besonders beliebte Webseiten und den datenschutzgerechten Einsatz von Cookies auf diesen Internetseiten untersucht, das gab die Art. 29 Datenschutzgruppe heute in einer Pressemitteilung (PDF) bekannt.

Mit dem Ergebnis der Prüfung waren die beteiligten Datenschutzbehörden insoweit zufrieden, als dass Webseitenbetreiber grundsätzlich über den Einsatz von Cookies informierten. Jedoch kritisiert die Art. 29 Datenschutzgruppe, dass viele Webseiten eine sehr große Anzahl an Cookies einsetzen, dass die automatischen Löschdaten der Cookies oft übertrieben lang vordefiniert seien und dass der Inhalt der dargebotenen Informationen zur Aufklärung nicht immer zufriedenstellend war. Zudem würden viele der geprüften Webseiten keine wirksame Einwilligung in den Einsatz von Cookies einholen.

Insbesondere auf den zuletzt genannten Kritikpunkt, das Fehlen einer wirksamen Einwilligung der Webseitenbesucher, gehen die Datenschützer in ihrer Pressemitteilung näher ein. Nach Ansicht der Art. 29 Datenschutzgruppe ist eine solche Einwilligung aufgrund der Vorgaben der europäischen Richtlinie 2002/58/EG (sog. E-Privacy-Richtlinie und deren Art. 5 Abs. 3) nicht nur beim Einsatz von Cookies, sondern etwa auch bei Technologien die dem Browser-Fingerprinting erforderlich. Die Einwilligung muss nach diesem Art. 5 Abs. 3 immer dann eingeholt werden, wenn Informationen gespeichert werden oder auf Informationen zugegriffen wird, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind.

Die beteiligten Behörden behalten sich ausdrücklich Durchsetzungsmaßnahmen in ihren Mitgliedstaaten auf der Grundlage der Ergebnisse der Prüfung vor.

Deutsche Behörden waren laut der Pressemitteilung der Art. 29 Datenschutzgruppe nicht an der Prüfaktion beteiligt. Erst letzte Woche habe ich hier über eine Entschließung der deutschen Datenschutzbehörden berichtet, die den deutschen Gesetzgeber kritisieren und eine richtlinenkonforme Umsetzung der E-Privacy-Richtlinie in das deutsche Recht fordern. Ihrer Ansicht nach wird nämlich im deutschen Datenschutzrecht nicht klar geregelt, dass der Einsatz von Cookies die Einwilligung von Betroffenen erfordert.

Deutsche Datenschutzbehörden: Mangelnde Umsetzung der Cookie-Richtlinie in Deutschland nicht hinnehmbar

Die Datenschutzbeauftragten des Bundes und der Länder kritisieren die Bundesregierung in einer neu veröffentlichten Entschließung scharf für eine, ihrer Ansicht nach, mangelnde Umsetzung der sog. E-Privacy Richtlinie (oder auch „Cookie-Richtlinie“; Richtlinie 2002/58/EG in der Fassung durch Richtlinie 2009/136/EG).

Nach Art. 5 Abs. 3 der Cookie-Richtlinie müssen die europäischen Mitgliedstaaten sicherstellen,

dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

Ziemlich genau vor einem Jahr wurde durch Telemedicus öffentlich bekannt, dass die EU-Kommission jedoch der Ansicht ist, dass die Vorgaben der Cookie-Richtlinie in Deutschland und im TMG umgesetzt wurden.

Die deutschen Behörden treten dieser Ansicht entgegen. Die europarechtlich vorgesehene Einwilligung bereits in den Zugriff auf in den Endgeräten der Nutzer gespeicherte Informationen sei

im deutschen Recht nicht enthalten.

In ihrer Entschließung fordern sie Bundesregierung auf, die E-Privacy-Richtlinie nun ohne weitere Verzögerungen vollständig in das nationale Recht zu überführen.

Der Kollege Adrian Schneider hatte im letzten Jahr die Sach- und Rechtslage in Bezug auf Cookies und eine Einwilligung nach dem deutschen Datenschutzrecht in einem Beitrag bei Telemedicus bereits näher erläutert.

Der Streit um eine (eventuell bereits erfolgte oder nicht erfolgte) Umsetzung der Cookie-Richtlinie in Deutschland, ist damit weiterhin nicht für alle Seiten zufriedenstellend entschieden. Derzeit gilt jedoch wohl weiterhin die Aussage der EU-Kommission und der Bundesregierung, dass eine Umsetzung der europarechtlichen Vorgaben erfolgt ist (auch wenn man die Umsetzung und die Begründung hierfür durchaus kritisch hinterfragen darf).

Bundesregierung: Gesundheits-Apps der Versicherungen nur mit Einwilligung möglich

Das Thema Gesundheitsdaten und Apps macht auch vor der deutschen Politik nicht halt. Letzte Woche hatte ich bereits berichtet, dass die europäischen Datenschützer kürzlich eine Stellungnahme zum Datenschutz bei Lifestyle-Apps und die Verarbeitung von Gesundheitsdaten veröffentlicht haben. Mobile Geräte und Apps auf solchen Geräten, um den eigenen Tagesablauf aufzuzeichnen, werden jedoch nicht unbedingt nur aus einem Fitness- oder Lifestyle-Gesichtspunkt angeschafft. Auch Versicherungsunternehmen sind an den so gesammelten Gesundheitsdaten interessiert, etwa um die Verträge und Tarife passgenauer auf ihre Kunden abstimmen zu können.

Eine nun veröffentlichten Antwort (PDF) der Bundesregierung auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag, setzt sich ebenfalls genauer mit der Frage des Datenschutzes bei Gesundheits-Apps und den Rechtsgrundlagen der Datenverarbeitung durch Versicherungen auseinander.

Die grundsätzliche Aussage der Bundesregierung:

Aus datenschutzrechtlicher Sicht ist die kontinuierliche Erhebung, Verarbeitung und Nutzung personenbezogener Daten der Versicherten zu ihrem Gesundheitszustand durch private Krankenversicherungsunternehmen nur nach vorheriger ausdrücklicher Einwilligung der Versicherten zulässig.

Die Bundesregierung geht in ihrer Antwort noch etwas genauer auf die Anforderungen des hier einschlägigen § 4a Abs. 3 BDSG ein.

Bedarf für eine Gesetzesänderung sieht die Bundesregierung vor dem Hintergrund der laufenden Verhandlungen zur Datenschutz-Grundverordnung auf europäischer Ebene jedoch nicht. Man werde dort dafür eintreten, dass eine Einwilligung auch in Zukunft nur dann wirksam ist, wenn sie informiert und freiwillig erteilt wird. Darüber hinaus bestehe kein Bedarf, neue gesetzliche Regelungen zu treffen.

Interessant ist noch die Antwort der Bundesregierung auf die Frage, wie in Zukunft sichergestellt werden soll, dass Personen, die ein Angebot der Versicherungen zum Aufzeichnen ihrer Gesundheitsdaten über Apps bewusst nicht in Anspruch nehmen möchten, in der Folge nicht etwa höhere Versicherungsbeiträge zahlen müssen. Die Bundesregierung verweist darauf, dass § 203 des Versicherungsvertragsgesetzes (VVG) abschließend regele, unter welchen Voraussetzungen die Beiträge in der privaten Krankenversicherung erhöht werden können. Eine Weigerung von Betroffenen, an erweiterten Datensammlungen bezüglich ihrer Gesundheit und ihres Lebenswandels durch Apps oder andere mobile Anwendungen teilzunehmen, erfülle die Voraussetzungen des § 203 VVG nicht.

Auch weist die Bundesregierung darauf hin, dass es sich bei den so gesammelten Gesundheitsdaten um sehr persönliche und sensible Informationen handeln kann. Laut der Antwort haben daher die Versicherungsunternehmen sicherzustellen, dass Aspekte der Datensicherheit ausreichend berücksichtigt werden und die im § 9 BDSG vorgegebenen technischen und organisatorischen Maßnahmen (wie z. B. durch Verwendung eines dem aktuellen Stand der Technik entsprechenden Verschlüsselungsverfahrens) getroffen werden, um etwa zu vermeiden, dass durch Fehler oder kriminelle Energie personenbezogene Daten über das Versicherungsunternehmen hinaus verbreitet werden können.

Jedoch sieht die Bundesregierung nicht nur die Versicherungen in der Pflicht, wenn es um den Einsatz neuer Techniken und Methoden geht, Gesundheitsdaten zu sammeln und auszuwerten. Laut der Antwort geht die Regierung davon aus, dass

Versicherte sich der besonderen Bedeutung ihrer Daten zum persönlichen Lebenswandel und ihrem Gesundheitsverhalten bewusst sind und daher sorgsam und zurückhaltend mit der Weitergabe entsprechender Informationen umgehen.

Datenschutz und Lifestyle-Apps: Europäische Datenschützer fordern Schutz der Gesundheitsdaten

Sog. Lifestyle-Apps, mobile Anwendungen auf Smartphones, Uhren oder Armbändern, die den täglichen Alltag einer Person aufzeichnen und dann Analysen der gesammelten Daten bieten, erfreuen sich immer größerer Beliebtheit. Ein Stichwort ist das sog. „quantified self“.

Das bei diesen Entwicklungen eine Vielzahl an Informationen erhoben, verarbeitet und analysiert wird, dürfte jedem klar. Es geht ja dem Träger zumeist gerade darum, dass das Gerät oder eine App seinen Alltag aufzeichnet und er daraus Schlüsse, etwa zur Verbesserung der eigenen Gesundheit, ziehen kann.

Die Vertreter der europäischen Datenschutzbehörden, versammelt in der sog. Art. 29 Gruppe, haben nun eine kurze Stellungnahme veröffentlicht (PDF), in der sie auf die grundsätzliche Definition des Begriffs „Gesundheitsdaten“, die möglichen Risiken einer Verarbeitung solcher Daten und der gesetzlichen Grundlagen des Umgangs mit diesen Daten eingehen. Nachfolgend möchte ich einige der in dem Papier besprochenen Themenfelder kurz darstellen.

Was sind „Gesundheitsdaten“?
Weit überwiegend befassen sich die Datenschützer mit der Frage, was denn überhaupt genau sog. „Gesundheitsdaten“ sind. Denn Art. 8 Abs. 1 der europäischen Datenschutzrichtlinie (RL 95/46/EG) definiert nur die „besonderen Kategorien personenbezogener Daten“, worunter auch „Daten über Gesundheit“ fallen. Was jedoch hierunter zu verstehen ist, das lässt die Richtlinie offen. Auch das deutsche Datenschutzrecht definiert nur die Oberkategorie der „besonderen Arten personenbezogener Daten“ (§ 3 Abs. 9 BDSG). Hierunter fallen auch Angaben über die Gesundheit. Was aber unter den „Angaben über die Gesundheit zu verstehen ist, das wird nicht erläutert.

Die Art. 29 Gruppe geht davon aus, dass es in Europa bestimmte Arten von Informationen gibt, die ohne weiteres als Gesundheitsdaten angesehen werden. Hierzu gehören medizinische Daten, Daten über den physischen oder psychischen Zustand, die im Zusammenhang mit einem beruflichen, medizinischen Kontext entstehen. Nach Ansicht der Datenschützer fallen jedoch unter den Begriff der Gesundheitsdaten noch vielmehr Informationen. So etwa die Information, dass sich eine Person ein Bein gebrochen hat, dass eine Person eine Brille oder Kontaktlinsen trägt oder aber Informationen zu dem Trink- oder Rauchverhalten.

Grundsätzlich möchten die Datenschützer den Begriff der Gesundheitsdaten sehr weit auslegen. So ist es nach ihrer Ansicht gerade auch möglich, dass „rohe“ und für sich genommen völlig belanglose Daten, wie etwa die Information „Person X hat heute 4786 Schritt zurückgelegt“, in Kombination mit anderen Informationen, aus denen man dann auf den Gesundheitszustand schließen kann, zu Gesundheitsdaten werden. Die Kombination von neutralen Informationen und ihre Analyse zu Zwecken der Gesundheit führen also zur Entstehung von Gesundheitsdaten.

Gesetzliche Grundlage der Datenverarbeitung

Nach Art. 8 Abs. 1 RL 95/46/EG ist die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich untersagt. Dieses Verbot wird durch einzelne gesetzliche Erlaubnistatbestände durchbrochen, etwa wenn die Verarbeitung zum Zweck der Gesundheitsvorsorge oder der medizinischen Diagnostik erforderlich ist und die Verarbeitung durch ärztliches Personal erfolgt. Relevant für die Praxis und gerade für die hier angesprochenen Lifestyle-Apps ist insofern die ausdrücklich Einwilligung der betroffenen Person (Art. 8 Abs. 2 a) RL 95/46/EG bzw. § 4a Abs. 3 BDSG).
Wenn ein Anbieter eines Armbandes oder einer Lifestyle-App Gesundheitsdaten erhebt und verarbeitet, wird nach Ansicht der Art. 29 Gruppe häufig allein die Einwilligung der Nutzer die einzige Möglichkeit darstellen, um diese Daten rechtmäßig verarbeiten zu können.

Zu beachtende Datenschutzprinzipien

Daneben weisen die Datenschützer auf wichtige Prinzipien hin, die beim Umgang mit personenbezogenen Daten und gerade mit besonders sensiblen Gesundheitsdaten zu beachten sind. Insbesondere eine genaue Information der Betroffenen über die erhobenen und verarbeiteten Daten und die Zwecke der Verarbeitung ist hier wichtig. Dies auch vor dem Hintergrund, dass Voraussetzung einer wirksamen Einwilligung ist, dass sie „für den konkreten Fall und in Kenntnis der Sachlage erfolgt“. Die Informationen zum Umgang mit den Gesundheitsdaten müssen den Nutzern von Apps bereits vor der ersten Datenverarbeitung erteilt werden, also nach Ansicht der Art. 29 Gruppe bereits vor dem Download einer App. Daneben gilt es weitere Datenschutzprinzipien wie den Zweckbindungsgrundsatz und das Gebot der Datensparsamkeit zu beachten.

Verbandsklagerecht bei Datenschutzverstößen: Geplante Änderungen und offene Fragen

Gestern hat das Bundeskabinett den Entwurf für ein Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts (PDF) beschlossen. Nach der Gesetzesbegründung soll durch eine geplante Neuregelung des § 2 Abs. 2 UKlaG ausdrücklich geregelt werden, dass datenschutzrechtliche Vorschriften, welche die Zulässigkeit der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten eines Verbrauchers durch einen Unternehmer zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens von Auskunfteien, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken regeln, Verbraucherschutzgesetze im Sinne des § 2 Abs. 1 UKlaG sind (neuer § 2 Abs. 2 S. 1 Nr. 11 UKlaG-E). Als Folge können dann anspruchsberechtigte Stellen (§ 3 UKlaG), wie etwa Verbraucherschutzverbände, Unterlassungs- und (ebenfalls neu geplant) Beseitigungsansprüche gegen Unternehmen geltend machen, die gegen Datenschutzvorschriften verstoßen, welche eine Datenverarbeitung zu oben benannten Zwecken regeln.

Zwei wichtige Änderungen
Einen ersten Referentenentwurf des Bundesministeriums für Justiz und Verbraucherschutz hatte ich hier im Blog bereits im Juni 2014 veröffentlicht und umfassend besprochen.

Der nun verabschiedete Entwurf ist vor allem in zwei Punkten angepasst worden:

  • Die datenschutzrechtlichen Vorschriften, gegen die verstoßen werden muss, um anspruchsberechtigten Stellen eine Klagemöglichkeit zu eröffnen, wurden thematisch eingeschränkt. Ob diese Beschränkung ausreicht bzw. wie diese Beschränkung grundsätzlich zu beurteilen ist, kann man noch einmal vertiefter erörtern. Gerade der Begriff „zu vergleichbaren kommerziellen Zwecken“ dürfte aufgrund seiner Unschärfe in der Praxis auf erhebliche Anwendungsschwierigkeiten stoßen.
  • Zudem soll ein neuer § 12a UKlaG-E eingeführt werden, der die Beteiligung der zuständigen Landesdatenschutzbehörden sicherstellen soll. Das Gericht hat nach dem Entwurf vor einer Entscheidung in einem Verfahren über einen Anspruch nach § 2 UKlaG, das eine Zuwiderhandlung gegen ein Verbraucherschutzgesetz nach § 2 Abs. 2 S. 1 Nr. 11 UKlaG-E zum Gegenstand hat, die zuständige inländische Datenschutzbehörde zu hören.

Konformität mit Europarecht
Ich möchte mich nachfolgend noch kurz einer möglichen Europarechtswidrigkeit des Gesetzesentwurfs widmen. Bereits in meinem Beitrag zu dem ersten Entwurf, habe ich hier Probleme mit der Vereinbarkeit europäischen Rechts gesehen. Die Begründung zum neuen Gesetzesentwurf sieht diesen mit europäischem Recht vereinbar. Insbesondere weißt die Gesetzesbegründung darauf hin, dass mit Blick auf die Datenschutzrichtlinie 95/46/EG der Europäische Gerichtshof zwar grundsätzlich von einer vollständigen Harmonisierung ausgehe. Dies beziehe sich allerdings nur auf das materielle Datenschutzrecht und nicht auf die Rechtsbehelfe und Sanktionen (Kapitel III). Der deutsche Gesetzgeber sieht konkret Kapitel III der Richtlinie 95/46/EG als nicht abschließend an. Die Mitgliedstaaten könnten daneben auch noch weitere Rechtsbehelfe zur Durchsetzung des Datenschutzrechts, insbesondere auch Verbandsklagen vorsehen.

Ob diese Ansicht zutreffend ist, möchte ich zumindest hinterfragen. So hat der Europäische Gerichtshof nämlich gerade mit Blick auf die benannten „Rechte“ und damit auch Rechtsbehelfe (also Instrumente, um diese Rechte durchzusetzen) ausdrücklich entscheiden (Urt. v. 6.11.2003, C-101/01, Rz. 95):

Wie sich insbesondere aus ihrer achten Begründungserwägung ergibt, bezweckt die Richtlinie 95/46, hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten in allen Mitgliedstaaten ein gleichwertiges Schutzniveau herzustellen. (Hervorhebung durch mich)

Und weiter geht der EuGH darauf ein, dass Mitgliedstaaten durchaus in bestimmten Bereichen die Möglichkeit besitzen, besondere Regelungen zu schaffen. Jedoch stellt er auch klar (Rz. 97):

Von diesen Möglichkeiten muss aber in der in der Richtlinie 95/46 vorgesehenen Art und Weise und im Einklang mit ihrem Ziel Gebrauch gemacht werden“

Für mich jedoch besonders relevant in Bezug auf die Frage der Europarechtskonformität der geplanten Übertragung von Klagemöglichkeiten auf Verbände ist Art. 28 Abs. 4 DS-RL. Danach kann sich jede Person oder ein sie vertretender Verband zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden (Hervorhebung durch den Autor). Verbände, die betroffene Personen vertreten, können sich also an die Datenschutzbehörden wenden. Dieses Recht steht auch den Betroffenen selbst zu.

Und die Datenschutzrichtlinie sieht eben eine solche Möglichkeit für Mitgliedstaaten nicht vor. Nach Art. 22 Richtlinie 95/46/EG haben Betroffene auch das Recht, bei der Verletzung der Rechte, die ihnen durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einzulegen. Der Verband oder eine Vertretung der Betroffenen ist in diesem Zusammenhang in der Richtlinie 95/46/EG aber gerade nicht aufgeführt und die Möglichkeit für Mitgliedstaaten, ein Verbandsklagerecht zu schaffen, ist nicht vorgesehen. Dass eine solche Möglichkeit über die Vorgaben der Richtlinie 95/46/EG hinausgeht, kann man meines Erachtens auch daraus ableiten, dass Art. 28 Abs. 4 Richtlinie 95/46/EG die Verbände ausdrücklich anspricht und ihre Tätigkeit regelt. Danach kann sich jede Person oder ein sie vertretender Verband sich zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden. Der Richtliniengeber hat also gerade nur einen Fall der Beteiligung von Verbänden geregelt und zwar jenen, dass diese Betroffene gegenüber einer Behörde vertreten. Nicht jedoch gegenüber einem Gericht.

Fazit
Man wird abwarten müssen, wie der Gesetzentwurf im ordentlichen Gesetzgebungsverfahren noch angepasst wird. Meines Erachtens bestehen jedoch nicht unbegründete Bedenken, dass hier eine Kollision mit europäischen Vorgaben existiert. Vielleicht muss diese Frage am Ende auch der Europäische Gerichtshof selbst entscheiden. Die Thematik an sich wird uns jedoch weiter beschäftigen, da die geplante Datenschutz-Grundverordnung ein Verbandsklagerecht vorsieht.

UK: Google einigt sich mit Aufsichtsbehörde auf Änderungen beim Datenschutz

Am 30. Januar 2015 gab die englische Datenschutzbehörde (ICO) bekannt, dass man sich im Rahmen eines Prüfverfahrens, welches die Verarbeitung von Nutzerdaten bei Google und den Inhalt der Datenschutzerklärung zum Gegenstand hatte, darüber verständigt hat, dass das US-Unternehmen eine Verpflichtungserklärung unterzeichnet und die Behörde im Gegenzug keine Zwangsmaßnahmen durchführt.

Hintergrund des Verfahrens ist eine europaweite und seit Jahren andauernde Überprüfung der Datenschutzerklärung und Verarbeitungstätigkeiten von Google, welche in verschiedenen europäischen Ländern von den jeweils zuständigen nationalen Behörden vorgenommen wurde und teilweise auch noch wird. Zuletzt hatte die niederländische Datenschutzbehörde für Aufsehen gesorgt, nachdem sie im Dezember 2014 ankündigte, gegen Google ein Bußgeld zu verhängen, welches mit fortschreitender Zeit bis zu 15 Million Euro betragen kann (hierzu mein Beitrag).

Die nun in England unterzeichnete Verpflichtungserklärung (PDF) beinhaltet unter anderem folgende Maßnahmen:

  • Google sorgt für eine fortgesetzte Bewertung der Auswirkungen zukünftiger Veränderungen der Datenverarbeitungsprozesse auf die Privatsphäre der Nutzer
  • Wesentliche Änderungen der Datenschutzerklärung sollen von Spezialisten für die Nutzererwartung begutachtet und mit repräsentativen Gruppen von Nutzern getestet werden
  • Auch in Zukunft wird Google proaktiv mit der Aufsichtsbehörde in England zusammenarbeiten und vor wesentlichen Änderungen der Datenverarbeitungsprozesse die Behörde rechtzeitig hierauf hinweisen

Zudem verpflichtet sich Google spezifische Änderungen an der Datenschutzerklärung bis zum 30. Juni 2015 vorzunehmen. Zu diesen Anpassungen gehören unter anderem:

  •  Google wird die Erreichbarkeit der Datenschutzhinweise verbessern
  • Google wird die Informationen über die Datenverarbeitung in der Datenschutzerklärung verbessern und deutlicher über die Zwecke der Verarbeitung und die Arten der Daten informieren
  • Google wird den Nutzern Informationen dazu bereitstellen, wie sie ihre gesetzlichen Rechte ausüben können
  • Zudem wird Google zwei Abschnitte der Nutzungsbedingungen (unter anderem jenen zur Verarbeitung von Daten im Rahmen des E-Mail-Dienstes) in die Datenschutzerklärung integrieren
  • Auch wird Google die gesamte Datenschutzerklärung mit Blick auf unscharfe und unbestimmte Begriffe und Informationen überarbeiten
  • Google wird eine überarbeitete Version der Account-Einstellungen entwickeln, welche es den Nutzern ermöglichen verschiedene Kontrollmöglichkeiten zu den Diensten auszuüben

Die Verpflichtungserklärung und die dort enthaltenen Vorgaben gelten nur für die englische Version der Datenschutzerklärung von Google.

Auch die Versammlung der europäischen Datenschützer, die sog. Art. 29 Gruppe, hatte im letzten Jahr Vorschläge veröffentlicht, wie Google seine Datenschutzerklärungen ihrer Ansicht nach verbessern könne (hierzu mein Beitrag). Die Verpflichtungserklärung aus England kopiert einige der dort entwickelten „Hausaufgaben“. In Deutschland läuft in diesem Zusammenhang derzeit ein durch den Hamburgischen Beauftragten für Datenschutz angestrengtes Verwaltungsverfahren gegen Google.

Datenschutzreform: Deutschland möchte Beschäftigtendatenschutz national regeln

Die Verhandlungen zur geplanten Datenschutz-Grundverordnung (DS-GVO, KOM (2012)11, PDF) gehen auch im Jahr 2015 weiter. Ziel der Verordnung stellt die Vereinheitlichung des europäischen Datenschutzrechts dar, wobei die DS-GVO anders als derzeit die Datenschutz-Richtlinie, zwingende, durch die Mitgliedstaaten nicht mehr in nationales Recht umzusetzende, Vorgaben machen würde.

Doch ob es am Ende tatsächlich bei solch durchgehenden und für die Mitgliedstaaten zwingeden Vorschriften in der DS-GVO bleibt, kann immer mehr bezweifelt werden. So zeigt sich in den Verhandlungen im Rat der Europäischen Union, dass große Sympathie dafür besteht, gerade im Bereich der öffentlichen Verwaltung sog. Öffnungsklauseln in die DS-GVO einzubauen, die den Mitgliedstaaten eine eigene nationale Ausgestaltungen der Regelungen zur Datenverarbeitung in bestimmten Themenfeldern, z. B. Steuern oder Sozialversicherungen, ermöglichen sollen.

Beschäftigtendatenschutz
Ein Dokument (PDF) aus dem November 2014 zeigt nun, dass Deutschland diese Möglichkeit von abweichenden nationalen Regelungen jedoch nicht nur für den öffentlichen Bereich favorisiert. Auch der Beschäftigtendatenschutz und der Umgang mit Arbeitnehmerdaten soll in den einzelnen EU-Mitgliedstaaten selbstständig geregelt werden können, solange solche Regelungen noch dem grundsätzlichen Schutzniveau der DS-GVO entsprechen bzw. darüber hinausgehen.

Tarifverträge
Für die deutsche Delegation von besonderer Bedeutung ist dabei, dass auch zukünftig Tarifverträge und Betriebsvereinbarungen als Grundlagen für Datenverarbeitungen innerhalb eines Unternehmens anerkannt werden. Unter dem geltenden deutschen Datenschutzrecht ist dies bereits der Fall. Derzeit lasse sich, so die deutschen Delegation, aus dem Entwurf der DS-GVO jedoch in keinster Weise ableiten, ob ein Tarifvertrag oder eine Betriebsvereinbarung auch in Zukunft als Grundlage einer Datenverarbeitung dienen können. Die EU-Kommission habe diesbezüglich zwar auf Art. 6 Abs. 1 c) DS-GVO (Verarbeitung zur Erfüllung einer gesetzlichen Verpflichtung) verwiesen. Dieser Schluss ist für die deutsche Delegation jedoch nicht zwingend und weder aus dem Text der DS-GVO selbst, noch aus den Erwägungsgründen abzuleiten.

Einwilligung
Auch die Besonderheiten einer datenschutzrechtlichen Einwilligung des Arbeitnehmers in seinem Beschäftigungsverhältnis sollen stärker Berücksichtigung finden. Dazu schlägt die deutsche Delegation vor, dass in Zukunft das jeweilige nationale Datenschutzrecht die Anfroderungen festlegen kann, nach denen eine datenschutzrechtliche Einwilligung im Arbeitsverhältnis erteilt werden kann. Problematisch an derartigen Einwilligungen ist häufig ihre Wirksamkeit, da man an dem Erfordernis der „Freiwilligkeit“ einer solchen Willensbekundung im Zusammenhang mit einem Beschäftigungsverhältnis zweifeln kann.

Sollten sich solche Vorschläge im Ergebnis durchsetzen, wird man sich natürlich die Frage stellen müssen, inwiefern die angedachte europaweite Vereinheitlichung des Datenschutzrechts mit der DS-GVO noch erzielt werden kann. Denn viele nationale Spezialregelungen würden freileich dazu führen, dass man, trotz einer allgemeinen gemeinsamen und verbindlichen Grundlage, in der Praxis doch wieder verschiedene Vorgaben im Umgang mit personenbezogenen Daten innerhalb Europas zu beachten hätte.

Eine aktuelle Liste an den Verhandlungsdokumenten des Rates zur Datenschutz-Grundverordnung findet man hier im Blog.

IT-Sicherheitsgesetz: Bundesrat übt Kritik und sieht Gefahr der Vorratsdatenspeicherung

Im Dezember 2014 hat die Bundesregierung den Entwurf für das sog. IT-Sicherheitsgesetz beschlossen. Der Gesetzesentwurf (PDF) sieht vor allem Änderungen im BSI-Gesetz vor und möchte den Betreibern „kritischer Infrastrukturen“ gewisse Pflichten zum Schutz der informationstechnischen Systeme auferlegen. In diesem Zuge werden jedoch auch Vorschriften des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) geändert. Zu den möglichen Änderungen für Webseitenbetreiber hatte ich bereits einen Beitrag geschrieben.

Nun hat der für das IT-Sicherheitsgesetz im Bundesrat federführend zuständige Ausschuss für Innere Angelegenheiten seine Empfehlungen zu möglichen Anpassungen des Gesetzesentwurfs vorgelegt (PDF).

Präzisierung für mehr Rechtssicherheit
Laut der Beschlussempfehlung begrüßt der Bundesrat die „Initiative der Bundesregierung zur Verbesserung der IT-Sicherheit von Unternehmen und zum verstärkten Schutz der Bürgerinnen und Bürger im Internet“. Jedoch sieht die Empfehlung des Ausschusses auch vor, dass der Bundesrat im weiteren Gesetzgebungsverfahren dafür Sorge tragen soll, dass zur Schaffung von Planungs- und auch Rechtssicherheit eine weitere Konkretisierung von unbestimmten Rechtsbegriffen erfolgt. Laut der Empfehlung gilt dies vor allem für die Begriffe „Kritische Infrastrukturen“, die Definition der Meldeschwelle für Telekommunikationsunternehmen und den Begriff „Stand der Technik“. Gerade eine Einstufung als Betreiber einer kritischen Infrastruktur könne nämlich gravierend wirtschaftliche Folgen nach sich ziehen.

Regelungen zum Schutz der Meldedaten

Zudem sieht die Empfehlung vor, dass der Bundesrat darauf achten möge, „dass eindeutige und transparente Regelungen getroffen werden, die einen angemessenen Schutz und eine sinnvolle Verwendung der umfangreichen Datenmengen sicherstellen“, die das BSI aufgrund der vorgesehenen Meldepflicht erhält. Laut der vorgeschlagenen Begründung des Ausschusses zu seiner Empfehlung beantwortet der Gesetzentwurf nicht die Frage, wie das BSI mit diesen Datenmengen in Zukunft umgehen will.

Gefahr der Vorratsdatenspeicherung
Nach dem im Gesetzentwurf vorgeschlagenen § 100 Abs. 1 TKG-E sollen Telekommunikationsanbieter die gesetzliche Erlaubnis erhalten, Nutzungsdaten „zum Erkennen, Eingrenzen und Beseitigen von Störungen sowie von Missbrauch seiner für Zwecke seines Telemedienangebots genutzten technischen Einrichtungen“ zu erheben und zu verwenden. Der federführende Ausschuss ist hier in seiner Empfehlung klar:

Bei der damit eingeführten Speicherbefugnis handelt es sich im Kern um eine weitreichende Vorratsdatenspeicherung, für die unter anderem das Bundesverfassungsgericht und der Europäische Gerichtshof enge Grenzen gesetzt haben.

(Hervorhebung durch mich)

Der Ausschuss erkennt in dieser Möglichkeit der Speicherung von Nutzungsdaten jedoch keine Verbesserung der Informationssicherheit. Vielmehr geht er davon aus, dass die Speicherung

zu einer weiteren Gefahrenquelle werden

könnte.