Generalanwalt am EuGH: Für Google gilt spanisches Datenschutzrecht. Wirklich?

In dem Verfahren des Vorabentscheidungsersuchens des Audiencia Nacional (Spanien) zwischen der spanischen Datenschutzbehörde (AEPD) und Google vor dem Europäischen Gerichtshof (EuGH) (Aktenzeichen C-131/12), hat der zuständige Generalanwalt Jääskinen heute seine Schlussanträge gestellt. Die Ausführungen zur Anwendbarkeit europäischen bzw. national-staatlich umgesetzten Datenschutzrechts, scheinen jedoch diskussionswürdig. Die Schlussanträge sollen dem EuGH als Leitlinien für seine Entscheidungen dienen. Gebunden ist er hieran freilich nicht.
Continue reading

Spanische Datenschützer prüfen Sanktionen gegen Google

Die spanische Datenschutzbehörde (AEPD) teilt in einer Presseerklärung mit, dass sie gegenüber Google ein Sanktionsverfahren, hinsichtlich seiner neuen einheitlichen Datenschutzbestimmungen, eröffnet habe.

Dieses Verfahren soll im Detail klären, ob unter anderem die Zusammenführung und Kombination von personenbezogenen Daten aus verschiedenen Diensten des Anbieters in Einklang mit dem spanischen Datenschutzrecht steht, ob bei der Datenverarbeitung die Verhältnis- und Zweckmäßigkeit gewahrt bleibt und ob die gesetzlich gewährleisteten Rechte der Betroffenen auf Löschung und Berichtigung ihrer Daten wirksam ausgeübt und die Speicherfristen eingehalten werden.

Das Verfahren schließt sich an eine erste Untersuchung durch die AEPD an, nach deren Ergebnis sie 5 schwere Verstöße und einen leichten Verstoß gegen spanisches Datenschutzrecht für möglich hält.
Continue reading

Internationale Datenschützer haben Fragen zu Google Glass

Insgesamt 36 internationale Datenschutzbeauftragte und Datenschutzgremien (darunter die europäische Art. 29 Datenschutzgruppe und die kanadische Datenschutzbeauftragte) haben dem Vorstandsvorsitzenden von Google, Larry Page, einen Brief mit verschiedenen Fragen zu der bald erscheinenden Datenbrille von Google übersendet.

Risiken für den Datenschutz
Die Unterzeichner weisen auf verschiedene, in der Vergangenheit aufgeworfene Fragen in den Medien in Bezug auf die Brille hin. So sprechen sie die Angst vor einer dauernden Überwachung durch Brillenträger ebenso an, wie die Frage nach den Umständen der Datenerhebung und –verwendung über die Brille durch Google selbst. Auch weisen sie darauf hin, dass immer wieder betont wurde, dass die Datenschützer sich für eine Kontaktaufnahme durch die Unternehmen aussprechen, bevor neue Produkte und Technologien auf den Markt kommen, um so den Schutz der Daten und der Privatsphäre bereits in der Entwicklungsphase berücksichtigen zu können.

Man zeigt Verständnis dafür, dass auch andere Unternehmen derartige „wearable gadgets“ entwickeln. Da jedoch Google hier eine führende Rolle inne habe und wohl als erstes Unternehmen sein Produkt in der „freien Wildbahn“ testen und damit auch als erstes die ethischen und gesellschaftlichen Gesichtspunkte derartiger Entwicklungen zu spüren bekomme werde, möchte man Google nun direkte Fragen stellen. Denn bisher sei der Konzern auf keine unterzeichnende staatliche Stelle von sich aus zugekommen.
Continue reading

EUDataP – P wie Populismus

Die Verhandlungen zur Datenschutz-Grundverordnung (DS-GV) gehen in die heiße Phase. Vor der Sommerpause (Ende Juli) soll im federführenden LIBE Ausschuss des Europäischen Parlaments die Orientierungsabstimmung über mehr als 3000 Änderungsanträge zum Entwurf der Europäischen Kommission durchgeführt werden. Naturgemäß werfen die von dem neuen Datenschutzrecht betroffenen Wirtschaftskreise, ebenso wie die den Datenschutz verteidigenden Bürgerrechtler, noch einmal alles in die mediale Waagschale, um für ihre Position Stimmung zu machen. Grundsätzlich ist ein offener Schlagabtausch richtig und auch wichtig, um so das Interesse der Bevölkerung für das „trockene“ und dennoch zukunftsträchtige Thema Datenschutz zu wecken. Doch als externer Beobachter und zwischen den Stühlen sitzender Bürger fragt man sich natürlich, „wem soll ich nun glauben?“. Wird in Brüssel also gerade das Datenschutzrecht unaufhaltsam aufgeweicht und kommen infolge wirtschaftsbasierter Einflussnahme die Interessen der Bürgerinnen und Bürger zu kurz oder versucht die Kommission einen realitätsnäheren Rechtsrahmen zu schaffen, bei dem wirtschaftliche Belange auch zu berücksichtigen sind?
Continue reading

Datenschutz-Grundverordnung: Einwilligung – warum der „Abbau“ ein „Aufbau“ ist

„Ausdrücklich“, „eindeutig“, „explizit“… In der Diskussion um die geplanten gesetzlichen Änderungen des europäischen Datenschutzrechts und Datenschutz-Grundverordnung (DS-GV) zielt die Kritik der Bürgerrechtler und Verteidiger eines hohen datenschutzrechtlichen Standards häufig auf eine angeblich beabsichtigte Aufweichung der Anforderungen an die datenschutzrechtliche Einwilligung ab.

Im ursprünglichen Entwurf zur DS-GV sollte in Art. 4 Abs. 8 die Einwilligung als „jede ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgte explizite Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“ definiert werden.

Ergänzend wird in Erwägungsgrund 25 angeführt: „Die Einwilligung sollte explizit mittels einer geeigneten Methode erfolgen, die eine ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage abgegebene Willensbekundung der betroffenen Person in Form einer Erklärung oder einer eindeutigen Handlung ermöglicht.“ Dies bedeutet „etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite und durch jede sonstige Erklärung oder Verhaltensweise, mit der die betroffene Person in dem jeweiligen Kontext klar und deutlich ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert“.
Continue reading

Google Glass und MyGlass App: Der tiefe Blick in unsere Handys

In den nächsten Tagen wird Google die ersten produzierten Explorer-Modelle seine Datenbrille, Google Glass, an Kunden verschicken.

Bisher war noch wenig über genaue Funktionen und technische Eigenschaften von Glass bekannt. Google hat nun in einigen FAQ und technischen Spezifikationen mehr Informationen bereitgestellt. Aus diesen geht hervor, dass Glass eine Verbindung zu dem Handy des jeweiligen Nutzers benötigt, um etwa SMS senden und empfangen zu können. Dies geschieht über die ebenfalls erst kürzlich im Google Play Store erschienene MyGlass App.
Continue reading

Europa gegen Google? – Die “Task-Force” macht ernst

Die Privatsphäre-Bestimmungen von Google kommen auf den Prüfstand. Wie die französische Datenschutzbehörde (CNIL) sowie auch der Hamburgische Beauftrage für Datenschutz und Datensicherheit in Pressemitteilungen verkündeten, werden in sechs europäischen Ländern Untersuchungen und Prüfungen der jeweiligen Datenverarbeitungspraxis auf Grundlage der bestehenden Datenschutzerklärung (für Deutschland) von Google vorgenommen. Je nach Ausgang dieser Verfahren könnten aufsichtbehördliche Maßnahmen, wie etwa Bußgelder, die Folge sein.

Was war geschehen?
Im Februar 2012 wurde die CNIL von der Art. 29 Datenschutzgruppe (dem obersten Gremium europäischer Datenschutzbehörden) darum gebeten, die Bildung und Führung einer sog. „Task-Force“ zu übernehmen, um die damals kurz bevorstehende (und dann realisierte) Neueinführung der Datenschutzbestimmungen von Google auf deren Datenschutzrechtskonformität zu untersuchen. Der Konzern aus Amerika verwendet seitdem eine einheitliche Datenschutzerklärung für seine verschiedenen Dienste.
Continue reading

Datenschutz-Grundverordnung: Privatpersonen als Verantwortliche?

Die „household exemption“

Am 27.02.2013 veröffentlichte die Art. 29 Datenschutzgruppe eine (weitere) Stellungnahme zu den derzeitigen Diskussionen um die geplante Datenschutz-Grundverordnung (KOM(2012) 11 endg.). In Anhang 2 zu dieser Stellungnahme geht es um die Frage, wie in Zukunft Privatpersonen zu behandeln sind, die personenbezogene Daten verarbeiten? Die Lektüre lohnt sich.

Das Datenschutzgremium stellt richtigerweise fest, dass die derzeit geltende privilegierende Ausnahme zur Verarbeitung personenbezogener Daten durch natürliche Personen für private und familiäre Zwecke (Art. 3 Abs. 2 RL 95/46/EG) nicht mehr zeitgemäß und zu ungenau sei. Jedem Nutzer ist es heutzutage möglich im großen Umfang personenbezogene Daten, etwa in einem Blog, zu veröffentlichen und zum Abruf bereit zu halten. Doch wie ist zu verfahren, wenn er diesen Blog für private Zwecke und als Hobby betreibt? Soll dann trotzdem keine Handhabe für die Datenschutzbehörden bestehen, da für ihn die sog. „household exemption“ gilt?
Continue reading