UK: Google einigt sich mit Aufsichtsbehörde auf Änderungen beim Datenschutz

Am 30. Januar 2015 gab die englische Datenschutzbehörde (ICO) bekannt, dass man sich im Rahmen eines Prüfverfahrens, welches die Verarbeitung von Nutzerdaten bei Google und den Inhalt der Datenschutzerklärung zum Gegenstand hatte, darüber verständigt hat, dass das US-Unternehmen eine Verpflichtungserklärung unterzeichnet und die Behörde im Gegenzug keine Zwangsmaßnahmen durchführt.

Hintergrund des Verfahrens ist eine europaweite und seit Jahren andauernde Überprüfung der Datenschutzerklärung und Verarbeitungstätigkeiten von Google, welche in verschiedenen europäischen Ländern von den jeweils zuständigen nationalen Behörden vorgenommen wurde und teilweise auch noch wird. Zuletzt hatte die niederländische Datenschutzbehörde für Aufsehen gesorgt, nachdem sie im Dezember 2014 ankündigte, gegen Google ein Bußgeld zu verhängen, welches mit fortschreitender Zeit bis zu 15 Million Euro betragen kann (hierzu mein Beitrag).

Die nun in England unterzeichnete Verpflichtungserklärung (PDF) beinhaltet unter anderem folgende Maßnahmen:

  • Google sorgt für eine fortgesetzte Bewertung der Auswirkungen zukünftiger Veränderungen der Datenverarbeitungsprozesse auf die Privatsphäre der Nutzer
  • Wesentliche Änderungen der Datenschutzerklärung sollen von Spezialisten für die Nutzererwartung begutachtet und mit repräsentativen Gruppen von Nutzern getestet werden
  • Auch in Zukunft wird Google proaktiv mit der Aufsichtsbehörde in England zusammenarbeiten und vor wesentlichen Änderungen der Datenverarbeitungsprozesse die Behörde rechtzeitig hierauf hinweisen

Zudem verpflichtet sich Google spezifische Änderungen an der Datenschutzerklärung bis zum 30. Juni 2015 vorzunehmen. Zu diesen Anpassungen gehören unter anderem:

  •  Google wird die Erreichbarkeit der Datenschutzhinweise verbessern
  • Google wird die Informationen über die Datenverarbeitung in der Datenschutzerklärung verbessern und deutlicher über die Zwecke der Verarbeitung und die Arten der Daten informieren
  • Google wird den Nutzern Informationen dazu bereitstellen, wie sie ihre gesetzlichen Rechte ausüben können
  • Zudem wird Google zwei Abschnitte der Nutzungsbedingungen (unter anderem jenen zur Verarbeitung von Daten im Rahmen des E-Mail-Dienstes) in die Datenschutzerklärung integrieren
  • Auch wird Google die gesamte Datenschutzerklärung mit Blick auf unscharfe und unbestimmte Begriffe und Informationen überarbeiten
  • Google wird eine überarbeitete Version der Account-Einstellungen entwickeln, welche es den Nutzern ermöglichen verschiedene Kontrollmöglichkeiten zu den Diensten auszuüben

Die Verpflichtungserklärung und die dort enthaltenen Vorgaben gelten nur für die englische Version der Datenschutzerklärung von Google.

Auch die Versammlung der europäischen Datenschützer, die sog. Art. 29 Gruppe, hatte im letzten Jahr Vorschläge veröffentlicht, wie Google seine Datenschutzerklärungen ihrer Ansicht nach verbessern könne (hierzu mein Beitrag). Die Verpflichtungserklärung aus England kopiert einige der dort entwickelten „Hausaufgaben“. In Deutschland läuft in diesem Zusammenhang derzeit ein durch den Hamburgischen Beauftragten für Datenschutz angestrengtes Verwaltungsverfahren gegen Google.

Bis zu 15 Mio. Euro: Niederländische Datenschutzbehörde verhängt Zwangsgeld gegen Google

Die niederländische Datenschutzbehörde (CBP) gab gestern bekannt, dass sie im Zuge behördlicher Anordnungen gegenüber Google ein Zwangsgeld verhängt habe, dessen Höhe bis zu einem Betrag von 15 Mio. Euro steigen kann.

Nach Angaben der Behörde bietet Google seine Dienste in den Niederlanden unter Verstoß gegen das nationale Datenschutzrecht an. Im November 2013 hat die CBP ein umfassendes Gutachten (PDF, Englisch) veröffentlicht, in dem die datenschutzrechtliche Zulässigkeit der Datenverarbeitung durch die Dienste von Google untersucht wird. Auf der Grundlage der Ergebnisse dieses Gutachtens geht die Behörde nun gegen das amerikanische Unternehmen vor.

Die CBP fordert Google insbesondere zu drei umzusetzenden Maßnahmen auf:

  • Das Unternehmen muss die Einwilligung seiner Nutzer einholen, wenn es personenbezogene Daten aus verschiedenen Diensten kombiniert. Die Einwilligung müsse „ohne jeden Zweifel“ erfolgen, was derzeit nicht sichergestellt sei. So stört sich die Behörde insbesondere daran, dass Google Informationen zu dieser Verknüpfung von Daten in seinen Nutzungsbedingungen und der Datenschutzerklärung bereitstelle, was jedoch nicht ausreichend sei.
  • Zudem müssten die Informationen in den Datenschutzerklärungen darüber, wie verschiedene Dienste von Google personenbezogene Daten nutzen, deutlicher und umfassender bereitgestellt werden.
  • Auch solle Google deutlich machen, dass es sich bei YouTube um einen Dienst von Google handelt. In den Niederlanden habe Google hinsichtlich dieser letzten Forderungen bereits Maßnahmen ergriffen.

Das Vorgehen der CBP steht im Zusammenhang mit einer europaweit angelegten Prüfung der Datenschutzbestimmungen und Datenverarbeitung durch Google, die seit 2012 durch die französische Datenschutzbehörde koordiniert und im Rahmen der sog. Art. 29 Datenschutzgruppe durchgeführt wird. In mehreren Ländern haben Datenschutzbehörden bereits verwaltungsrechtliche Verfahren gegen Google eröffnet. So etwa die spanische Datenschutzbehörde (mein Beitrag) als auch die französische Aufsichtsbehörde (mein Beitrag). In Deutschland hat der Hamburgische Datenschutzbeauftragte im September 2014 eine Anordnung gegen das Unternehmen erlassen.

Erst jüngst hat die Art. 29 Datenschutzgruppe im Zusammenhang mit diesen Verfahren auch eine Stellungnahme veröffentlicht, wie aus ihrer Sicht die Datenschutzerklärung von Google angepasst werden könnte, um den datenschutzrechtlichen Ansprüchen in Europe zu genügen. Man könnte auch von einem “Hausaufagbenheft” für Google sprechen (mein Beitrag dazu).

In den Niederlanden hat Google nun bis Februar 2015 Zeit, um die Forderungen der CBP umzusetzen. Sollte das Unternehmen dem nicht nachkommen, so kündigt die Behörde bereits an, dass ein Zwangsgeld bis zu einer Höhe von 15 Mio. Euro verhängt werden könnte.

Internationale Datentransfers: Neues Prüfverfahren durch europäische Behörden

Die Übermittlung von personenbezogenen Daten aus der EU bzw. aus dem EWR in einen sog. Drittstaat, stellt Unternehmen regelmäßig vor die Herausforderung, bestimmte datenschutzrechtliche Anforderungen zu erfüllen, um den Datenfluss zu legitimieren. Nach der europäischen Datenschutzrichtlinie (RL 95/46/EG) ist im Grundsatz jede Übermittlung in Drittstaaten verboten, solange nicht ein angemessenes Schutzniveau für die übermittelten Daten geschaffen wird. Dieses angemessene Schutzniveau kann auf mehreren Wegen hergestellt werden. Ein Beispiel für Übermittlungen in die USA ist etwa die Selbstzertifizierung der die Daten empfangenden Stelle unter Safe Harbor. Daneben werden in der Praxis oft die sog. Standardvertragsklauseln der Europäischen Kommission eingesetzt. Hierbei handelt es sich um Musterverträge (eine Übersicht findet sich hier), die zwischen dem „Datenexporteur“ in der EU/dem EWR und dem „Datenimporteur“ (im Drittland) abgeschlossen werden können. Werden die Verträge ohne inhaltliche Änderungen (oder zumindest ohne solche, die zum Nachteil des Schutzniveaus der Daten von den Mustertexten abweichen) abgeschlossen, so wird automatisch ein angemessenes Schutzniveau der Daten angenommen. Eine Genehmigung der Standardverträge durch eine Aufsichtsbehörde ist dann (zumindest in Deutschland und einigen anderen Ländern der EU) nicht erforderlich, da die Behörden an die Entscheidung der EU-Kommission gebunden sind. Manche Behörden verlangen jedoch zumindest, die Verwendung der Verträge ihr gegenüber anzuzeigen. Anders sieht es für Individualverträge aus, welche der Genehmigung der Behörde bedürfen.

Die europäischen Datenschutzbehörden, versammelt in der Artikel 29 Datenschutzgruppe (Art. 29 Gruppe), haben nun in einer neuen Stellungnahme (WP 226, PDF) ein Verfahren im Zusammenhang mit der Prüfung und Genehmigung von Standard- als auch Individualverträgen vorgestellt, welches vor allem für international tätige und in mehreren Mitgliedstaaten ansässige Unternehmen interessant sein dürfte, die personenbezogene Daten in Drittstaaten übermitteln.

Die Art. 29 Gruppe erkennt die praktische Schwierigkeit, dass ein Unternehmen mit mehreren Niederlassungen in der EU möglicherweise (je nach dem nationalen Recht) gezwungen ist, in jedem Mitgliedstaat, von dem aus personenbezogene Daten in ein Drittland übermittelt werden sollen, eine Genehmigung der Behörde für inhaltlich dieselben Verträge einzuholen. Es besteht das Risiko, dass eine Aufsichtsbehörde die ihr vorgelegten Verträge als ausreichend anerkennt, eine andere Behörde jedoch Nachbesserungen fordert. Die Folge ist ein nicht zu unterschätzender Mehraufwand für Unternehmen und im schlimmsten Fall eine Divergenz der Verträge oder sogar ein Absehen von deren Verwendung, unter einem ja eigentlich vollharmonisierten europäischen Datenschutzrecht!

Unternehmen, die Übermittlungen aus mehreren Mitgliedstaaten in einen Drittstaat auf der Grundlage inhaltlicher gleicher Verträge planen, können nun ein neu geschaffenes Kooperations-Verfahren der europäischen Aufsichtsbehörden in Anspruch nehmen, um eine für alle Verträge einheitliche Entscheidung und damit vor allem eine gewisse Rechtssicherheit zu erhalten.

Das Verfahren ist nach der Stellungnahme der Art. 29 Gruppe grob wie folgt aufgebaut:

1. Das Unternehmen sucht sich diejenige Aufsichtsbehörde in einem Mitgliedstaat (in dem es eine Niederlassung besitzt) aus, die seiner Meinung nach als führende Behörde agieren sollte. Folgende Kriterien sollten der Entscheidung zugrunde liegen: der Ort der Niederlassung, an dem die Vertragsklauseln ausgehandelt bzw. entworfen werden; der Ort der Niederlassung, an dem die meisten Entscheidungen in Bezug auf die Zwecke und Mittel der Datenverarbeitung getroffen werden; den Ort der Niederlassung, um das Verfahren am effektivsten durchzuführen und die Vertragsklauseln durchzusetzen; den Ort einer Niederlassung, von dem aus die meisten Datenübermittlungen stattfinden; der Ort der Niederlassung des europäischen Hauptsitzes.

2. Das Unternehmen hat dieser Behörde den Vertragsentwurf (schriftlich als auch per E-Mail) zu übersenden und dabei auf die Art der verwendeten Standardvertragsklauseln hinzuweisen. Zudem muss auf Abweichungen zu den Mustern hingewiesen werden. Zudem sollte angegeben werden, aus welchen Mitgliedstaaten die Übermittlungen erfolgen.

3. Die Aufsichtsbehörden können entscheiden, ob im konkreten Fall ein solches Kooperations-Verfahren überhaupt sinnvoll erscheint oder nicht (etwa wenn Änderungen an den Mustertexten sich nicht auf den Datenschutz beziehen).

4. Die Wahl der führenden Behörde bleibt letztendlich den beteiligten Aufsichtsbehörden vorbehalten. Sie können etwa eine andere als die von dem Unternehmen gewählte Behörde als führend bestimmen. In diesem Fall müssen sie jedoch die Präsidentin der Art. 29 Gruppe informieren, die diese Übertragung durchführt.

5. Nach Eingang der Unterlagen soll das Unternehmen innerhalb von 2 Wochen Nachricht erhalten, ob das Kooperations-Verfahren eingeleitet wird.

6. Nimmt die ausgewählte Behörde die Bestimmung als führende Behörde an, so wird sie alle anderen von der Entscheidung betroffenen Behörden kontaktieren (also jene Behörden in Mitgliedstaaten, in denen sich Niederlassungen befinden, die ebenfalls Daten übermitteln sollen). Zudem werden gleichzeitig Prüfbehörden bestimmt, die neben der führenden Behörde die Verträge inhaltlich kontrollieren. Sind mehr als 9 Mitgliedstaaten betroffen, so werden 2 Prüfbehörden bestimmt. Ansonsten nur eine.

7. Andere betroffene Behörden können innerhalb von 2 Wochen der Einsetzung der Behörden und der Verteilung der Rollen widersprechen. Die Prüfbehörden sollen ihrer Benennung zustimmen.

8. Ähnlich wie bei der EU-weiten Prüfung von verbindlichen Unternehmensregelungen (BCR), soll auch hier ein freiwilliges System der gegenseitigen Anerkennung von behördlichem Handeln zwischen europäischen Aufsichtsbehörden eingerichtet werden.

Hat die führende Behörde ihre Analyse beendet, so wird sie das Ergebnis den Prüfbehörden mitteilen. Die Prüfbehörden haben dann einen Monat Zeit, um eigene Anmerkungen oder Änderungen vorzuschlagen. Diese Monatsfrist soll nur in Ausnahmefällen verlängert werden können. Sollte keine Reaktion der Prüfbehörde erfolgen, so gilt dies als ihre Zustimmung zum Vorschlag der führenden Behörde.

9. Danach wird das Ergebnis an alle anderen betroffenen Behörden weitergeleitet. Solche Behörden, die Teil des Systems der gegenseitigen Anerkennungen von Entscheidungen sind, werden die positive Entscheidung der führenden Behörden nur umsetzen (entsprechend den nationalen Vorgaben also etwa ihre Genehmigung erteilen).

Aufsichtsbehörden, die nicht an dem gegenseitigen Anerkennungsverfahren teilnehmen, haben eine Frist von einem Monat, um der Entscheidung der führenden Behörde zu widersprechen. Eine Fristverlängerung kann nur in Ausnahmefällen gewährt werden. Erfolgt keine Antwort der Behörde, so gilt dies als ihre Zustimmung.

10. Als letzten Schritt wird die führende Behörde das Antwortschreiben an das Unternehmen im Namen der betroffenen Aufsichtsbehörden unterzeichnen und ihr Ergebnis bekannt geben. Ab diesem Moment ist das Kooperations-Verfahren abgeschlossen und das Unternehmen kann die jeweiligen nationalen Behörden kontaktieren, um die erforderlichen Genehmigungen für die Verträge zu erhalten.

Recht auf Vergessenwerden – Europäische Datenschützer veröffentlichen Richtlinien

Nach dem Urteil des Europäischen Gerichtshofs (EuGH) in Sachen „Google“ (C-131/12) aus dem Mai 2014, besitzen Betroffene einen Anspruch gegen Suchmaschinenbetreiber, mit dem sie unter gewissen Umständen Einträge aus Ergebnislisten entfernen lassen können.

Die Vertreter der europäischen Datenschutzbehörden, versammelt in der Art. 29 Datenschutzgruppe (Art. 29 Gruppe), haben nun Richtlinien veröffentlicht (PDF), nach denen sie in Zukunft Beschwerden von Betroffenen bearbeiten möchten, die zuvor mit Ansprüchen gegenüber Suchmaschinenbetreibern gescheitert sind. Das Dokument enthält zudem interessante Informationen dazu, wie die Datenschützer das Urteil des EuGH auslegen. Nachfolgend möchte ich einige Aspekte der Richtlinien näher besprechen.

Im Allgemeinen überwiegt der Datenschutz
Zunächst verweisen (man muss sagen, leider) die Datenschützer auf die Aussage des EuGH, dass im Rahmen der Abwägung zwischen dem Grundrecht auf Schutz personenbezogener Daten mit den Grundrechten der Unternehmen und der Internetnutzer, der Datenschutz im Allgemeinen überwiegen soll. Dass dieser generelle Vorrang eines Grundrechts vor anderen Grundrechten meines Erachtens mit der Charta der Grundrechte der Europäischen Union (EU-Charta) nicht begründbar ist, hatte ich bereits einmal geschrieben. An dieser Einschätzung ändert sich meines Erachtens auch nichts, wenn darauf verwiesen wird, dass ein fairer oder angemessener Ausgleich zwischen den kollidierenden Grundrechtspositionen gefunden werden muss. Denn wenn dieser faire Ausgleich bereits unter dem Vorzeichen des generellen Vorrangs des Datenschutzes steht, dann existiert von Anfang an ein Ungleichgewicht.

Positiv hervorzuheben ist, dass die Art. 29 Gruppe explizit auf das Grundrecht auf Informationsfreiheit nach Art. 11 EU-Charta verweist. Auf der anderen Seite gehen die Datenschützer jedoch davon aus, dass die Auswirkungen von Löschansprüchen auf dieses Grundrecht gar keine große Auswirkungen haben werden, da ja die Originalseiten gar nicht gelöscht werden.

Verantwortung der Niederlassungen
Die Art. 29 Gruppe schein ein Problem zu erkennen, welches bereits in letzter Zeit in Deutschland durch die juristische Nachrichtenlandschaft ging. Einige Landgerichte haben Ansprüche, die gegen die deutsche Niederlassung von Google geltend gemacht wurden, mit der Begründung abgelehnt, dass nach dem Urteil des EuGH allein die Google Inc. in den USA verantwortlich sei. Die nationalen Niederlassungen seien nicht der richtige Anspruchsgegner und damit nicht „passivlegitimiert“. In ihren Richtlinien verweisen die Datenschützer auf das Problem, dass die geltende Datenschutzrichtlinie keine Aussage zu der Verantwortlichkeit von Niederlassungen in der europäischen Union trifft, die eine verantwortliche Stelle, welche in einem Drittland (wie den USA), in der EU besitzt. Nichtsdestotrotz fordern die Datenschützer unter Verweis auf die effektive Durchsetzung der Rechte der Betroffenen, dass diese ihre Ansprüche auch gegenüber nationalen Niederlassungen geltend machen können müssen. Meines Erachtens war der EuGH in seinem Urteil klar: verantwortliche Stelle und damit alleiniger Anspruchsgegner eines datenschutzrechtlichen Anspruchs ist die Google Inc. in den USA. Zwar waren die europäischen Niederlassungen für den EuGH von Relevanz, um europäisches Datenschutzrecht für anwendbar zu erklären. Jedoch bleibt das amerikanische Unternehmen die verantwortliche Stelle. Lösch- oder Widerspruchsansprüche bestehen nur diesem gegenüber. Man kann sich auch fragen, was denn passiert, wenn es in einem europäischen Mitgliedstaat gar keine Niederlassung gibt? Sind dann die Bürger in diesen Staaten darauf angewiesen, allein gegen das in Amerika ansässige Unternehmen vorzugehen? Es existiert ja keine nationale Niederlassung. Damit wären sie im Rahmen der Durchsetzung ihrer Rechte natürlich benachteiligt.

Keine Informationen an Webmaster
Wenig überraschend gehen die Datenschützer auch davon aus, dass Suchmaschinenbetreiber den Webmaster einer Seite nicht darüber informieren dürfen, dass ein Link auf seine Seite aus der Ergebnisliste entfernt wurde. Die Art. 29 Gruppe erkennt keine gesetzliche Grundlage, nach der eine solche Mitteilung, die personenbezogene Daten enthält, erfolgen dürfte. Auch diese Sichtweise ist meines Erachtens, zumindest teilweise, zu kritisieren. Denn zum einen müsste man für jeden Einzelfall prüfen, ob die Information an den Webmaster personenbezogene Daten enthält. Denn wenn nicht (der Name des Antragstellers wird nie mitgeteilt), dann würde das Datenschutzrecht keine Anwendung finden. Selbst wenn eine Rechtsgrundlage erforderlich wäre, dann könnte man hier an Art. 7 (c) (Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt) oder an Art. 7 (f) (Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird) der Datenschutzrichtlinie (RL 95/46/EG) denken. Warum soll etwa ein Presseverlag kein berechtigtes Interesse geltend machen können, hierüber informiert zu werden?

Am Ende des Dokumentes befinden sich dann Fallgruppen und Kriterien, nach denen die europäischen Datenschutzbehörden bestimmte Sachverhalte beurteilen können. Interessant hierbei ist etwa, dass die Datenschützer in Zukunft auch Suchen nach Pseudonymen und Nicknames als taugliche Voraussetzung eines Anspruchs ansehen wollen, wenn diese der Identität einer Person zugeordnet werden können. Das Urteil des EuGH bezog sich jedoch allein auf den Namen einer Person.

Intelligente Netze und Messsysteme: Kommission veröffentlicht Empfehlungen zum Datenschutz

Intelligente Netze (sog. smart grids) und daran angeschlossene Messsysteme (sog. smart meter) erfahren einen immer größeren Verbreitungsgrad. Über diese intelligenten, da digital ansteuer- und auslesbaren, Systeme können Energieunternehmen etwa Daten über das Heizverhalten oder den Stromverbrauch von Haushalten erheben und analysieren. Der Vorteil liegt auf der Hand: Strom kann aufgrund vorgenommener Analysen zum Beispiel besser verteilt werden. Welches Gebiet benötigt wann wieviel Strom? Wo und wann besteht grundsätzlich der geringste Heizbedarf? Auch eine bedarfsgerechtere Abrechnung des Energieverbrauchs ist möglich.

Da jedoch für diese Zwecke nicht nur die jeweiligen „nackten“ Messwerte abgelesen werden, spielt das Thema Datenschutz auch in diesem Bereich des ‚Internets der Dinge‘ eine wichtige Rolle. Die europäischen Datenschützer, versammelt in der sog. Artikel 29 Datenschutzgruppe, haben daher auch bereits im Jahr 2011 eine Stellungnahme zu Fragen des Datenschutzes und dem Smart Meetering verfasst (WP 183, PDF). Die europäischen Datenschützer empfehlen unter anderem vor dem Einsatz von intelligenten Messsystemen eine Datenschutz-Folgenabschätzung vorzunehmen (WP 183, S. 12).

Um eine solche Datenschutz-Folgenabschätzung, welche die potentiellen Risiken für personenbezogene Daten beim Einsatz intelligenter Zähler bereits in der Planungsphase aufzeigen und entsprechend minimieren soll, europaweit möglichst in einer einheitlichen Form durchzuführen, hat eine Arbeitsgruppe auf europäischer Ebene (Expert Group 2 (EG2)) ein Muster (Data Protection Impact Assessment Template for Smart Grid and Smart Metering systems, PDF) entworfen, welches von Unternehmen genutzt werden soll, die den Aufbau oder Investitionen in intelligente Netze oder Messgeräte planen.

Anfang Oktober 2014 hat nun die Europäische Kommission ihre Empfehlungen zum Einsatz des Musters für die Datenschutz-Folgenabschätzung veröffentlicht (2014/724/EU, PDF). Diese Empfehlungen richten sich an die Mitgliedstaaten und wie diese bei der Verbreitung des Musters mitwirken und Unternehmen unterstützen sollten. Interessant sind zudem die in dem Dokument von der Kommission aufgestellten Definitionen zu verschiedensten Begriffen, die derzeit im Datenschutzrecht diskutiert werden (z. B. der „konzeptionsbedingte Datenschutz“ (data protection by design) oder auch der „standardmäßige Datenschutz“ (data protection by default)).

Die Kommission empfiehlt, dass die Mitgliedstaaten mit der Wirtschaft, Interessenträgern der Zivilgesellschaft und auch den nationalen Datenschutzbehörden zusammenarbeiten sollten, um in einem frühen Stadium der Einführung intelligenter Netze und intelligenter Messsysteme die Verbreitung und Anwendung des Musters für die Datenschutz-Folgenabschätzung zu fördern und zu unterstützen. Etwas konkreter sind zudem Empfehlungen, wonach die Mitgliedstaaten sicherstellen sollten, dass die für die Datenverarbeitung Verantwortlichen nach der Durchführung einer Datenschutz-Folgenabschätzung die geeigneten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten treffen und die Folgenabschätzung sowie die anhaltende Eignung der festgelegten Maßnahmen während des gesamten Lebenszyklus der Anwendung bzw. des Systems überprüfen.

Der Einsatz des Musters zur Folgenabschätzung sowie die Umsetzungsmaßnahmen der Mitgliedstaaten sollen in einer zwei-jährigen Testphase erprobt und danach von der Kommission bewertet werden. Anhand eines nachfolgenden Prüfberichts will die Kommission dann entscheiden, ob das Muster eventuell angepasst werden muss.

Internet der Dinge und Datenschutz: Anforderungen an die Einwilligung

Industrie 4.0, Internet der Dinge, Smart Car und mehr. Die Schlagworte, unter denen der Trend beschrieben wird, dass immer mehr Alltagsgegenstände einen Anschluss an das Internet erhalten und damit selbst „online sein können“, sind mannigfaltig. Daten- und Verbraucherschützer betrachten diese Entwicklung zum Teil kritisch. Die Nutzer von intelligenten Lampen, Kühlschränken oder Rauchmeldern wüssten nämlich häufig gar nicht, ob und wenn ja, welche Daten erhoben, gespeichert und womöglich übertragen werden.

Vor dem Hintergrund dieses, der technischen Entwicklung nun einmal geschuldeten Fehlens von Informationsmöglichkeiten an jedem vernetzten Haushaltsgerät (man denke an einen mehrseitigen Papierzettel, der von einem an der Decke hängenden intelligenten Rauchmelder baumelt), stellt sich aus datenschutzrechtlicher Sicht die Frage, wie man als verantwortliche Stelle, also etwa Gerätehersteller und -vertreiber, bei einer Verarbeitung personenbezogener Daten seinen Informationspflichten (§ 33 Abs. 1 BDSG oder § 13 Abs. 1 TMG) gerecht werden kann.

Fehlende Informationen für Nutzer
Die Problematik, dass sich auch in diesem Bereich rechtliche Anforderungen von den tatsächlichen Entwicklungen am Markt immer mehr entfernen, haben zuletzt die europäischen Datenschützer (versammelt in der sog. Artikel 29 Datenschutzgruppe) erkannt und in einer Stellungnahme zum „Internet der Dinge“ (WP 223, PDF) erste Einschätzungen zum Thema Datenschutz und vernetzte Geräte gegeben (hierzu bereits mein Blogbeitrag).

Nach Ansicht der Datenschützer besteht für Betroffene etwa die Gefahr, dass sie durch die für sie unsichtbare und nicht beherrschbare Datenverarbeitung die Kontrolle über ihre Daten verlieren. Zudem wüssten viele Nutzer nicht, dass die intelligenten Geräte auch untereinander kommunizieren und sich möglicherweise gegenseitig Daten zusenden. Die Artikel 29 Datenschutzgruppe befürchtet daher, dass die Betroffenen an der effektiven Ausübung ihrer Rechte gehindert werden könnten (vgl. S. 6, WP 223).

Unwirksamkeit der Einwilligung?
Dieser Mangel an Informationen darüber, dass personenbezogene Daten verarbeitet werden und wie die geschieht, würde im Falle des Erfordernisses einer Einwilligung, wenn also die Datenverarbeitung z. B. nicht auf ein Vertragsverhältnis gestützt werden könnte, möglicherweise zu deren Unwirksamkeit führen. Denn eine Einwilligung, etwa nach § 13 Abs. 2 TMG, setzt voraus, dass der Nutzer Kenntnis davon hat, worin er einwilligt. Er muss also zumindest darüber informiert werden, auf welche Daten sich die Einwilligung bezieht und welche Verwendungszwecke sie umfasst.

Die Artikel 29 Datenschutzgruppe folgert in ihrer Stellungnahme deshalb, dass in solchen Fällen die Einwilligung keine wirksame Grundlage für eine Datenverarbeitung darstellen könne (S. 7, WP 223).

Ein alternativer Ansatz
Interessanterweise stellt die Artikel 29 Datenschutzgruppe jedoch in einem anderen, kürzlich veröffentlichten Dokument (welches sich per se gar nicht auf das Internet der Dinge bezieht) dar, wie ihrer Ansicht nach eine Einwilligung möglicherweise doch wirksam eingeholt werden könnte. Es handelt sich um das „Hausaufgabenheft“ zur Datenschutzerklärung von Google (PDF). Dort führen die Datenschützer aus, wie ihrer Ansicht nach eine Datenschutzerklärung aufgebaut und präsentiert werden kann, um den gesetzlichen Anforderungen zu genügen.

Die Artikel 29 Datenschutzgruppe verweist in dem Dokument darauf, dass für die verantwortliche Stelle datenschutzrechtliche Informationspflichten bestehen und diese auch dann eingehalten werden müssen, der Betroffene verschiedene Arten von Endgeräten nutzt, wie etwa einen PC, ein Handy oder ein Tablet. Wenn jedoch das Endgerät aufgrund seiner Konstruktion nicht die Möglichkeit bietet, die erforderlichen Informationen zur Datenverarbeitung anzuzeigen (etwa aufgrund eines fehlenden Monitors), so sehen es die europäischen Datenschützer durchaus als gangbare Alternative an, wenn die Informationen auf demjenigen Endgerät angezeigt werden und abrufbar sind, auf dem der Nutzer das intelligente Gerät konfigurieren kann (S. 3).

Die Datenschützer erwähnen explizit Geräte des Unternehmens Nest, welches intelligente Rauchmelder oder Thermostate vertreibt. Auf diese Weise böte sich damit natürlich auch die Möglichkeit, auf dem „Konfigurationsgerät“ die Einwilligung der Nutzer für eine Datenverarbeitung einzuholen. Die so vorgeschlagene Vorgehensweise lässt sich in jedem Fall begrüßen und bietet für Unternehmen, die Produkte für das Internet der Dinge herstellen und vertreiben eine interessante Alternative, um ihren datenschutzrechtlichen Pflichten nachzukommen.

Datenschützer entwickeln ein Hausaufgabenheft für Google

Seit 2012 haben europäische Datenschutzbehörden in einer koordinierten Aktion, unter Führung der französischen Datenschutzbehörde, die Datenschutzerklärung von Google und deren Vereinbarkeit mit europäischem Datenschutzrecht überprüft (hierzu meine Blogbeiträge: Europa gegen Google? – Die “Task-Force” macht ernst und Französische Datenschutzbehörde eröffnet Verfahren gegen Google). Nachdem in den letzten Jahren jeweils nationale Verfahren aus diesem koordinierten Vorgehen erwachsen sind (etwa in Spanien oder in Frankreich), hat das Gremium der europäischen Datenschutzbehörden (die Art. 29 Gruppe) nun einen Maßnahmenkatalog (PDF) (man könnte auch von einem datenschutzrechtlichen Hausaufgabenheft sprechen) entwickelt, der Maßnahmen vorschlägt, wie aus der Datenschutzbehörden die Datenschutzerklärung von Google anzupassen ist, um eine Konformität mit europäischem Datenschutzrecht herzustellen. Begleitet wird dieser Katalog von einem Brief (PDF) an Larry Page.

Die Vorschläge der Datenschützer sind dabei als mögliche Lösungsvarianten anzusehen und sollen Google dabei helfen, die Vorgaben der Aufsichtsbehörden umzusetzen. Nachfolgend einige Highlights des immerhin 6-seitigen Dokuments.

  • Die Datenschutzerklärung soll stets sichtbar und direkt aufrufbar sein, ohne dass Nutzer etwa zum Ende einer Webseite scrollen müssten.
  • Es sollen abschließend alle Datenarten aufgelistet werden, die von Google im Rahmen seiner Dienste verarbeitet werden.
  • Auch sollen abschließend alle Zwecke angegeben werden, die der Datenverarbeitung zugrunde liegen.
  • Allein auf einer Seite soll Google den Nutzern die Möglichkeit bieten, sich ein umfassendes Bild über die Datenverarbeitung zu verschaffen.
  • Sollten sich die Zweck der Datenverarbeitung ändern oder neue hinzukommen, so soll Google dies nicht in den Nutzungsbedingungen darstellen, sondern vielmehr in der Datenschutzerklärung darüber informieren.
  • Werden Daten an Dritte weitergegeben, so dürfe Google nicht einfach von „Partnern“ sprechen, sondern müsse diese Partner konkret benennen.
  • Passive Webseitenbesuchern sollen besser informiert werden. Zudem müsste ihnen die Möglichkeit einer Einwilligung in die Verarbeitung ihrer Daten gegeben werden. Die Art. 29 Gruppe weißt hier auf Google Analytics hin. So könnte der Dienst etwa derart eingestellt werden, dass eine Analyse des Nutzerverhaltens erst beginnt, wenn der Betroffene seine Einwilligung erteilt hat. Auch wird hier auf die in der Praxis etablierte Verfahrensweise des Einsatzes von Google Analytics in Deutschland hingewiesen (Kürzung der IP-Adresse; Abschluss eines Vertrages zur Auftragsdatenverarbeitung; Möglichkeit des Opt-out). Diese Lösung könnte, so die Idee der Datenschützer, auf andere Länder übertragen werden.
  • Google sollte zudem die Formulierungen seiner Datenschutzerklärung ändern und keine Begriffe wie „wir können“ verwenden.
  • Nach Ansicht der Art. 29 Gruppe könnte Google seine Datenschutzerklärung mehrschichtig aufbauen. Auf der ersten Ebene allgemeine Informationen mit Verweisen zu speziellen und umfangreicheren Erläuterungen der einzelnen Dienste. Auf der zweiten Ebene dann spezielle Informationen zum Datenumgang bei den einzelnen Diensten.
  • Zudem soll Google Richtlinien zur Datenspeicherung und der Speicherdauer entwickeln. Diese sollten den Datenschutzbehörden vorgelegt werden.

Die Vorgaben bzw. Empfehlungen der Art. 29 Gruppe sind durchaus eine interessante Zusammenstellung an Interpretationen des europäischen Datenschutzrechts und wie sich ein Diensteanbieter wie Google insoweit konform verhalten kann. Dennoch scheinen einige der Vorgaben praktisch kaum umsetzbar bzw. mit dem geltenden Datenschutzrecht nicht begründbar zu sein. Ein Beispiel: die umfassende Aufklärung der Datenverarbeitung allein auf einer Seite. Was ist überhaupt eine „Seite“? DinA4? Gerade Unternehmen wie Google verarbeiten eine große Menge an Daten. Die Verarbeitungsvorgänge sind teilweise nicht in einem Satz darzustellen. Möchte der Anbieter also zumindest ansatzweise umfassend und dazu noch verständlich aufklären, dann benötigt er eben auch einmal mehr als eine „Seite“ an Informationen. Dieses Dilemma ist aber nicht unbedingt neu. Unternehmen möchten umfassend aufklären: dann wird ihnen vorgeworfen, die Datenschutzerklärung sei zu lang und kompliziert. Diensteanbieter straffen die Informationen und reduzieren sie auf die Kernthemen: dann wird ihnen vorgeworfen, dass sie nicht ausreichend aufklären und Nutzer in die Irre führen. Es zeigt sich, dass der Anspruch des Rechts und die Umsetzung in der Praxis doch häufig kaum (oder nur mit massiven Verrenkungen) vereinbar sind.

Datenschutz und “Internet der Dinge” – Position der Europäischen Datenschützer

Die Artikel 29 Datenschutzgruppe (Art. 29 Gruppe), das Gremium der Vertreter der europäischen Aufsichtsbehörden für den Datenschutz, hat in einer neuen Stellungnahme (WP 223, PDF) zum „Internet der Dinge“ (IoT) ihre Positionen zu verschiedenen datenschutzrechtlichen Fragen im Zusammenhang mit der Datenverarbeitung rund um Smartwatches, Fitnesstracker oder intelligente Thermostate dargelegt. Im Folgenden möchte ich einige der in der Stellungnahme angesprochenen Themenbereiche näher beleuchten.

Räumlicher Anwendungsbereich
Nach Ansicht der Art. 29 Gruppe ist das europäischen Datenschutzrecht (bzw. die jeweilige nationale Umsetzung der Vorgaben der geltenden Datenschutzrichtlinie (DS-RL) 95/46/EG) zum einen dann anwendbar, wenn Datenverarbeitungen „im Rahmen der Tätigkeiten“ einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche (hierzu sogleich) in der Europäischen Union besitzt (Art. 4 Abs. 1 lit. a DS-RL). Was genau unter der Umschreibung „im Rahmen der Tätigkeiten“ zu verstehen ist, wird in dieser Stellungnahme nicht näher erläutert. Jedoch verweisen die Datenschützer auf das Google-Urteil des Europäischen Gerichtshofs (C-131/12) und die dort vorgenommene sehr weite (meines Erachtens mit dem Wortlaut der Datenschutzrichtlinie kaum zu vereinbarende) Auslegung dieses Begriffs. Sollte der für die Datenverarbeitung Verantwortliche nicht in der EU niedergelassen sein, ist das europäische Datenschutzrecht dennoch anwendbar, wenn er nach Art. 4 Abs. 1 lit. c DS-RL auf Mittel zurückgreift, welche in einem Mitgliedstaat belegen sind. Nach Ansicht der Datenschützer stellen alle Geräte, die zur Erhebung oder weiteren Verarbeitung von personenbezogenen Daten im Rahmen eines IoT-Dienstes eingesetzt werden, solche „Mittel“ im Sinne der DS-RL dar. Hierzu gehören aber auch die Smartphones oder Tablets der Nutzer, auf denen entsprechende Software oder Apps zum Analysieren oder Übermitteln der erhobenen Daten installiert sind.

Personenbezogene Daten
Für die Datenschützer sind die Informationen, die von den IoT-Geräten erhoben werden, in den meisten Fällen als personenbezogen im Sinne des Art. 2 DS-RL anzusehen. Entweder kann eine bestimmte Person direkt hierüber identifiziert oder es können Lebensmuster und –gewohnheiten einer Person oder Familie erkannt werden. Jedoch gehen die Datenschützer in ihrer Stellungnahme noch weiter. Selbst wenn Daten pseudonymisiert oder gar anonymsiert werden, so bestünde doch aufgrund der Schieren Menge an Informationen stets ein latentes Risiko einer Re-Identifizierung. Dies reiche aus, um von personenbezogenen Daten auszugehen.

Für die Datenverarbeitung Verantwortlicher
Bei der Frage des für die Verarbeitung Verantwortlichen geht es um die Bestimmung derjenigen Stelle, welche die gesetzlichen Pflichten des Datenschutzrechts treffen. Die Art. 29 Gruppe verweist darauf, dass im Bereich des Internet der Dinge viele verschiedene Spieler beteiligt sind und daher eine genaue Analyse Ihrer Beteiligungen an den jeweiligen Datenverarbeitungsprozessen vorzunehmen ist. Der Gerätehersteller ist nach Ansicht der Datenschützer vor allem dann für die Datenverarbeitung verantwortlich, wenn er nicht nur das physische Gerät verkauft, sondern auch die Software programmiert und damit vorgibt, wie und welche Daten erhoben und zu welchen Zwecken verarbeitet werden. Auch Internetplattformen, auf denen Nutzer die über das Gerät erhoben Daten teilen und veröffentlichen können, besitzen unter gewissen Umständen datenschutzrechtliche Pflichten. So ist etwa der Anbieter eines sozialen Netzwerkes nach Ansicht der Datenschützer dann als Verantwortlicher anzusehen, wenn er Daten aus dem IoT-Gerät eines Nutzers für eigene Zwecke verwendet, z.B. um personalisierte Werbung für passionierte Jogger auszuspielen. Und auch Anbieter von Drittdiensten, etwa speziellen Apps, die auf IoT-Daten zugreifen, sind als für die Verarbeitung Verantwortlichen anzusehen, wenn sie über eine vorhandene API auf Informationen auf dem jeweiligen Gerät zugreifen. Nach Ansicht der Art. 29 Gruppe bedarf es hierfür zumeist der Einwilligung des Betroffenen, welche im Rahmen des Installationsprozesses der App einzuholen ist.

Einwilligung nach der ePrivacy-Richtlinie
Die Art. 29 Gruppe weist in ihrer Stellungnahme darauf hin, dass neben den Regelungen der DS-RL auch einzelne Bestimmungen anderer Gesetze zur Anwendung kommen können. Insbesondere im Blick haben die Datenschützer hierbei Art. 5 Abs. 3 der sog. ePrivacy-Richtlinie (2002/58/EG). Danach ist die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung gegeben hat. Dieses Einwilligungserfordernis betrifft nach Ansicht der Datenschützer vor allem den Gerätehersteller. Zu beachten ist, dass die Einwilligung sich nicht nur auf personenbezogene Daten bezieht, sondern ganz allgemein auf Informationen, die in einem IoT-Gerät gespeichert sind.

Erlaubnistatbestände der Datenverarbeitung
Die Verarbeitung personenbezogener Daten, die über ein IoT-Gerät erhoben werden, bedarf nach dem geltenden Prinzip des Verbots mit Erlaubnisvorbehalt eines Erlaubnistatbestandes. Art. 7 DS-RL listet die möglichen gesetzlichen Grundlagen einer Verarbeitung personenbezogener Daten auf. Die Voraussetzungen einer der Alternativen des Art. 7 DS-RL sind neben den Voraussetzungen des Art. 5 Abs. 3 ePrivacy-Richtlinie zu erfüllen (der ja bereits bei einem Zugriff auf Informationen einschlägig ist). Nach Ansicht der Art. 29 Gruppe kommen im Rahmen des Einsatzes von IoT-Geräten vor allem drei Varianten des Art. 7 DS-RL in Betracht. Zum einen Art. 7 lit. a DS-RL, wenn der Betroffene seine Einwilligung in die Datenverarbeitung erteilt hat. Zum anderen Art. 7 lit. b DS-RL, wenn die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist. Die Art. 29 Gruppe weist darauf hin, dass der Anwendungsbereich dieses Erlaubnistatbestandes durch das Merkmal der „Erforderlichkeit“ begrenzt ist. Zum Dritten stellt auch Art. 7 lit. f DS-RL einen tauglichen Erlaubnistatbestand dar, wenn die Verarbeitung zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird erforderlich ist. Dies jedoch nur, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. In diesem Zusammenhang verweisen die Datenschützer erneut auf das Google-Urteil des EuGH und nehmen die Aussagen des Gerichts zum Anlass darauf einzugehen, dass eine Datenverarbeitung über IoT-Geräte sehr wahrscheinlich die Grundrechte auf Privatleben und den Schutz personenbezogener Daten in besonderer Weise berührt. Die Daten beziehen sich etwa auf die Gesundheit der Betroffenen oder ihre private Umgebung. Nach Ansicht der Art. 29 Gruppe ist eine Datenverarbeitung unter diesen Gegebenheiten kaum allein durch die wirtschaftlichen Interessen des jeweils Verantwortlichen zu rechtfertigen.

Zusammenfassung
Die Stellungnahme der Art. 29 Gruppe geht noch auf weitere Aspekte ein, etwa Anforderungen an die Datenqualität, die Verarbeitung besonderer Arten von personenbezogenen Daten (z. B. Gesundheitsdaten) oder auch zu ergreifende technische und organisatorische Maßnahmen, um die Datensicherheit zu gewährleisten. Insgesamt dient die Stellungnahme der Datenschützer sicherlich als informative Lektüre, um eine grobe Einschätzung des immer bedeutender werdenden Bereichs des Internets der Dinge aus Sicht der Aufsichtsbehörden zu erhalten. Meines Erachtens sind die Positionen der Art. 29 Gruppe freilich nicht in jedem Punkt las eine Art „obiter dictum“ hinzunehmen. So stellt sich etwa für Geräte- oder Softwarehersteller die Frage des Sinns (bzw. Unsinns) von Anonymisierungsverfahren, wenn nach Ansicht der Datenschützer selbst dann die datenschutzrechtlichen Pflichten eingreifen. Als ob also eine Anonymisierung von Daten gar nicht stattgefunden hätte. Warum sollten Unternehmen dann noch eine Anonymisierung (die mit tatsächlichen und finanziellen Aufwandverbunden ist) vornehmen? Auch in Zukunft werden das vernetzte Haus, das smarte Auto oder die intelligenten Uhren den Datenschutz vor Herausforderungen stellen. Es sollte daher auch genau auf eine mögliche Berücksichtigung dieser Technologien in der geplanten Datenschutz-Grundverordnung geachtet werden und wie das künftige Datenschutzrecht mit technologischen Entwicklungen umgehen wird.
Vg Wort

Europäische Datenschützer: Big Data zwingt zum Umdenken – irgendwann

Die Artikel 29 Gruppe, das Gremium der Vertreter der Europäischen Datenschutzbehörden, hat auf ihrer Webseite eine Stellungnahme zu dem Phänomen “Big Data” und dessen Auswirkungen auf das aktuelle Datenschutzrecht veröffentlicht (Stellungnahme WP 211, PDF). Der Grundtenor: Es gibt derzeit keinen Grund, von alt hergebrachten Prinzipien des Datenschutzrechts abzuweichen. Ich finde: wann dann?

Dass das derzeit geltende, aber auch im Entwurf befindliche, Datenschutzrecht und seine Grundprinzipien wie Datensparsamkeit und ein enger Zweckbindungsgrundsatz, nicht mit den unter dem Schlagwort „Big Data“ zusammengefassten Datenverarbeitungsprozessen (von großen Mengen an teilweise in keinem erkennbaren Zusammenhang stehenden Daten) kompatibel ist, habe ich bereits einmal in einem Blogbeitrag beschrieben.

Auch die Artikel 29 Gruppe erkennt an, dass über bestehende Grundprinzipien des Datenschutzrechts, vor dem Hintergrund der Entwicklungen auf dem Gebiet von Big Data-Anwendungen, neu nachgedacht werden könnte (!). Jedoch besteht nach ihrer Ansicht derzeit kein Grund daran zu zweifeln, dass die in der Datenschutzrichtlinie 1995/46/EG vorgegebenen Prinzipien weiterhin Gültigkeit besitzen und auch die angemessenen Mittel bereithalten, um die Entwicklung auf dem Gebiet von Big Data zu begleiten. Also: Innovation ja, aber nach alten Regeln.

Vor allem der Zweckbindungsgrundsatz spielt für die europäischen Datenschützer eine entscheidende Rolle. Personenbezogene Daten sollen von Anfang an nur für ganz konkret festgelegte Zwecke erhoben und danach verwendet werden dürfen. Abweichungen von diesen Zwecken bedürfen einer neuerlichen Erlaubnis (sei es eine Einwilligung oder ein anderer Erlaubnistatbestand). Die Einhaltung der derzeit geltenden gesetzlichen Vorgaben dient nach Ansicht der Artikel 29 Gruppe dazu, Vertrauen bei jedem Beteiligten zu schaffen, dessen Geschäftsmodell auf der Verarbeitung personenbezogener Daten beruht.

Es ist sicherlich zu begrüßen, dass nun auch die Europäischen Aufsichtsbehörden gemeinsam Positionen zu dem Umgang mit der Thematik Big Data suchen und finden. In Amerika ist man uns da jedoch ein paar lesenswerte Berichte weiter voraus (hierzu etwa der Bericht der Expertengruppe des Weißen Hauses, „BIG DATA: SEIZING OPPORTUNITIES, PRESERVING VALUES“, PDF; mein Beitrag). Wichtig wäre meiner Ansicht nach jedoch, dass man auch bereits jetzt offen für neue Ideen und rechtliche Innovationen im Bereich Datenschutz ist und dies nicht auf die lange Bank verschiebt, wenn etwa offensichtlich wird, dass geltende Datenschutzprinzipien faktisch nicht mehr gelten und beachtet werden (können) oder man sich an verdienten Prinzipien aus einer anderen Zeit der automatisierten Datenverarbeitung festklammert und dann jedoch den Anschluss an die technologische Entwicklung verpasst.

Derzeit haben wir auf europäischer Ebene mit der Datenschutz-Grundverordnung die Möglichkeit, gemeinsam neue Positionen und auch mögliche Antworten auf drängende Fragen der zukünftigen Regulierung von Datenverarbeitungsprozessen zu finden und festzuschreiben. Diese Chance sollten alle Interessierten und Beteiligten nutzen, um neue und warum nicht auch einmal abwegig anmutende Ideen in die Runde zu werfen. Auch die Artikel 29 Gruppe spielt hier aus meiner Sicht eine wichtige Rolle.

Google-Urteil: Europäische Datenschützer entwickeln Netzwerk für Beschwerden

Die europäischen Datenschutzbehörden, versammelt in der sog. Artikel 29 Gruppe, haben gestern bekannt gegeben (Pressemitteilung, PDF), dass als Reaktion auf das Urteil des Europäischen Gerichtshofs (EuGH) in Sachen Google aus dem Mai diesen Jahres (C-131/12) , Maßnahmen ergriffen werden sollen, um Beschwerden koordiniert bearbeiten zu können.

Nachdem sich die Vertreter der europäischen Datenschutzbehörden im Juli mit den Anbietern der großen Internetsuchmaschinen in Brüssel trafen (Pressemitteilung, PDF), um über die Folgen und die Umsetzung des Google-Urteils in der Praxis zu beraten, entwickeln die Aufsichtsbehörden nun ein gemeinsames Verfahren, mit dem Beschwerden von Betroffenen bearbeitet werden sollen, deren Antrag auf Entfernung von Suchergebnissen abgelehnt wurde.

Nähere Details des europaweit geplanten Systems der Behörden sind noch nicht bekannt. Laut der Pressemitteilung werden wohl in jedem Land besondere Kontaktpersonen in den Behörden benannt, die den Informationsaustausch und Kontakt mit den Kollegen in ausländischen Datenschutzbehörden sicherstellen sollen. Der Artikel 29 Gruppe geht es vor allem darum, eine einheitliche Herangehensweise zu entwickeln, so dass gleich gelagerte Fälle auch gleich entschieden werden können. Die von den Aufsichtsbehörden anzulegenden Prüfkriterien sollen auf diese Weise vereinheitlicht werden. Innerhalb dieses Netzwerkes soll ein gemeinsames Archiv von Entscheidungen der Behörden in anderen Beschwerdeverfahren vorgehalten werden.

Das, wohl virtuell aufgesetzte System (im Prinzip dürfte es sich um eine gemeinsame Datenbank handeln), soll zudem Bedienelemente und Funktionen enthalten, damit bei einer Beschwerde europaweit nach vergleichbaren Verfahren gesucht werden kann oder neue bzw. besonders schwierige Sachverhalte identifiziert werden können.

Die Artikel 29 Gruppe versucht begrüßenswerter Weise, die Beschwerdeverfahren europaweit soweit als möglich zu vereinheitlichen. Abweichende Entscheidungen zu ähnlich gelagerten Fällen in verschiedenen europäischen Ländern würden bei Betroffenen wohl für Verwirrung sorgen. Auf der anderen Seite muss man auch anerkennen, dass es sich bei den Beschwerden im Rahmen des „Rechts auf Vergessenwerden“ häufig um schwierige und komplexe Abwägungsfragen handeln wird. Eine schablonenhafte Herangehensweise scheint mir insoweit nicht unbedingt durchweg als der richtige Weg. Die vorzunehmende Güterabwägung (Datenschutz einerseits, Meinungsfreiheit und Recht auf Informationszugang anderseits) sollte keinem vorher feststehenden Ergebnis zum Opfer fallen. Die Verständigung auf besonders zu beachtende Kriterien im Rahmen der Abwägung ist sicher nicht verkehrt. Doch sollte mit derartigen Methoden äußerst sorgsam umgegangen werden, wenn man das Grundprinzip einer auf den Einzelfall beschränkten Güterabwägung von kollidierenden Grundrechten nicht langsam abbauen möchte.

Eine kleine Randnotiz: die Artikel 29 Gruppe spricht nicht mehr von dem „Recht auf Vergessenwerden“ (right to be forgotten), sondern von einem Recht „entlistet zu werden“ (right to be de-listed).