Bundesrat: Datenschutz als Eignungskriterium für Carsharinganbieter

Heute hat sich der Bundesrat mit dem Gesetzentwurf der Bundesregierung für ein Gesetz zur Bevorrechtigung des Carsharing (Carsharinggesetz – CsgG, PDF) befasst und über die Empfehlungen der beteiligten Bundesratsausschüsse abgestimmt. Die Empfehlung zum dem Gesetzentwurf findet sich hier (PDF).

Mehrheitlich angenommen wurde im Bundesrat unter anderem der Vorschlag des Ausschusses für Umwelt, Naturschutz und Reaktorsicherheit, nach dem die Bundesregierung prüfen soll, ob der von Anbietern von Carsharingdiensten zu erfüllenden Anforderungskatalog um Kriterium ergänzt werden sollte,

 wonach Carsharinganbieter die Nutzung ihrer Dienstleistungen und Fahrzeuge nicht davon abhängig machen dürfen, dass die Kunden in die Erhebung, Verarbeitung, Verwertung oder Übermittlung von personenbezogenen Daten einwilligen, die für die Durchführung des jeweiligen Mietvertrags bzw. der Rahmenvereinbarung nicht zwingend erforderlich sind (Koppelungsverbot).

Zur Begründung wird ausgeführt, dass das Auswahlverfahren auch dazu genutzt werden sollte, im Rahmen des Mindestleistungsumfangs ein hohes Datenschutzniveau für die Kunden zu gewährleisten und nur solche Anbieter zu begünstigen, die den Kunden die freie Wahl lassen, ob ihre Daten über das für die Vertragsdurchführung Erforderliche hinaus genutzt werden.

Verwiesen wird in diesem Zusammenhang auf das in der Datenschutz-Grundverordnung (DSGVO) angelegte sog. Kopplungsverbot in Art. 7 Abs. 4. Wenn Carsharinganbieter personenbezogene Daten verarbeiten, sind sie ab dem 25. Mai 2018 (ab dann ist die DSGVO anwendbar) zwar ohnehin an die DSGVO gebunden. Würde eine datenschutzrechtliche Einwilligung entgegen den Vorgaben des Art. 7 Abs. 4 DSGVO an die Erfüllung eines Vertrags gekoppelt, wäre die Einwilligung daher nicht freiwillig erteilt, unwirksam und eventuell auch die entsprechende Datenverarbeitung unzulässig. Der Bundesrat möchte jedoch zusätzlich, als Auswahlkriterium für Carsharinganbieter, das Erfordernis aufstellen, dass personenbezogene Daten, die nicht für die Erbringung des Dienstes erforderlich sind, nur dann von dem Anbieter genutzt werden dürfen, wenn die Kunden die freie Wahl haben, ob sie dieser Nutzung von Daten zustimmen. Eine Kopplung der Einwilligung in die Datenverarbeitung mit dem Nutzungsvertrag soll dadurch unterbunden werden.

In der Praxis soll die Prüfung der Erfüllung dieser Voraussetzung durch die „zuständige Behörde“ erfolgen, so die Ausschussempfehlung. Es ist jedoch nicht klar, welche Behörde hier gemeint ist bzw. spricht viel dafür, dass dies nicht die zuständige Datenschutzbehörde, sondern die für die Erteilung der Sondernutzungserlaubnis zuständige Landesbehörde ist, die dann, so die Empfehlung, die dann die entsprechenden Allgemeinen Geschäftsbedingungen bzw. Datenschutzbestimmungen prüfen soll. Ob diese Regelung der Prüfung wirklich glück ist, erscheint zumindest fraglich. Denn bereits unter Datenschutzrechtlern (Berater oder auch Behörden) ist die Auslegung und Interpretation der Vorgaben der DSGVO und auch von Art. 7 Abs. 4 teilweise stark umstritten und die Feststellung einer unzulässigen Kopplung dürfte einer anderen, sachfremden Behörde nicht unbedingt leicht fallen. Zudem stellt sich etwa die Folgefrage, was geschieht, wenn die für die Erteilung der Sondernutzungserlaubnis zuständige Behörde eine Kopplung verneint, im Rahmen einer späteren Prüfung aber z.B. eine Landesdatenschutzbehörde eine Kopplung bejaht.

Bundesrat: Gesetzesvorschlag für ein neues Klagerecht der Datenschutzbehörden gegen Privacy Shield

In meinem Beitrag vom 19. April 2016 habe ich berichtet, dass das Land Hamburg (das Land Brandenburg hat sich dem angeschlossen) im Bundesrat einen Vorschlag für einen Antrag an die Bundesregierung eingebracht hat, mit dem die Bundesregierung aufgefordert werden soll, ein Klaggerecht für deutsche Datenschutzbehörden gegen sog. Angemessenheitsentscheidungen der Europäischen Kommission (wie vormals Safe Harbor und in Zukunft wohl das EU-US Privacy Shield) zu schaffen. Es solle eine entsprechende Gesetzesänderung auf Bundesebene im Verwaltungsrecht vorgenommen werden. Der Antrag ist auf der Webseite des Bundesrates abrufbar (PDF).

Hintergrund dieses Vorschlags ist das Urteil des Europäischen Gerichtshofs (EuGH) in der Sache „Schrems“ (C-362/14), mit dem die Safe Harbor-Entscheidung der Kommission für ungültig erklärt wurde. In dem Urteil verlangt das Gericht unter anderem, dass den nationalen Aufsichtsbehörden für den Datenschutz ein Klagerecht für den Fall zustehen muss, wenn ein Betroffener sich gegen eine Datenübermittlung in einen Drittstaat (wie die USA) wendet, die auf einer Angemessenheitsentscheidung der Europäischen Kommission (basierend auf Art. 25 Abs. 6 der Datenschutzrichtlinie (RL 95/46/EG) beruht. Dann müsse, so der EuGH, die Aufsichtsbehörde die Möglichkeit haben, vor den nationalen Gerichten von sich aus mit dem Ziel zu klagen, dass das angerufene Gericht die Frage der Gültigkeit eines Angemessenheitsbeschlusses (wie vormals Safe Harbor) dem EuGH vorlegt. Am 20. April 2016 (Pressemitteilung) haben sich auch die deutschen Datenschutzbehörden hinter den Vorschlag gestellt und die „rasche Schaffung eines Klagerechtes auch für die deutschen Datenschutzbehörden gefordert“.

Nun liegt ein entsprechender Gesetzesvorschlag (PDF) zur Einführung eines neuen „§ 38b BDSG – Verfahren zur Überprüfung von Rechtsakten nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG“ vor, der von dem Innenausschuss des Bundesrates erarbeitet und vom federführenden Rechtsausschuss angenommen wurde. Am 13. Mai 2016 soll der Bundesrat über diesen Antrag und den darin enthaltenen Gesetzesvorschlag beraten. Der Wortlaut des Vorschlags:

(1) Jede Aufsichtsbehörde ist im Rahmen ihrer Prüfung von Beschwerden eines Betroffenen über den Schutz seiner Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten, die aus der Bundesrepublik Deutschland an ausländische, nicht in § 4b Absatz 1 Satz 1 erfasste Stellen übermittelt werden, befugt, das Bundesverwaltungsgericht zur Entscheidung im ersten und letzten Rechtszug mit den Antrag anzurufen, festzustellen, dass ein zur Rechtfertigung der Übermittlung angewendeter Rechtsakt der Kommission nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG ungültig ist, weil das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisten.

(2) Absatz 1 gilt entsprechend für den Bundesbeauftragten oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die nach Landesrecht für die Kontrolle des Datenschutzes bei öffentlichen Stellen der Länder zuständigen Behörden.

Nachfolgend einige kurze Anmerkungen zu dem Vorschlag.

Nach Abs. 1 wären nur Prüfungen der Behörden hinsichtlich der „Verarbeitung“ personenbezogener Daten erfasst. Die Phase der Erhebung (§ 3 Abs. 3 BDSG) und auch ein „Nutzen“ (§ 3 Abs. 5 BDSG) personenbezogener Daten würden nicht dem Anwendungsbereich des neuen § 38b Abs. 1 BDSG unterfallen, selbst wenn eine Übermittlung der Daten stattfindet.

Aufsichtsbehörden könnten eine Feststellungsklage beim Bundesverwaltungsgericht erheben. Hierzu sollen sie „befugt“ sein. Nicht aus dem Urteil des EuGH wurde jedoch die Voraussetzung übernommen, dass die Aufsichtsbehörde die Beschwerde eines Betroffenen für „begründet“ erachten muss. (Rz. 64 des EuGH-Urteils: Insoweit ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen). § 38b Abs. 1 BDSG lässt die Klagemöglichkeit zum Bundesverwaltungsgericht ganz generell zu.

Der Klageantrag soll darauf gerichtet sein, festzustellen, dass „ein zur Rechtfertigung der Übermittlung angewendeter Rechtsakt der Kommission nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG ungültig ist“. Eine solche Feststellung kann ein nationales Gericht, ebenso wie eine nationale Aufsichtsbehörde, jedoch nicht treffen. Dies hat der EuGH in seinem Urteil ausdrücklich betont (Rz. 61 des EuGH-Urteils): „Gleichwohl ist allein der Gerichtshof befugt, die Ungültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission festzustellen“. Nach dem EuGH dürfen nationale Gerichte diesem nur ein Ersuchen um Vorabentscheidung über die Gültigkeit solcher Entscheidungen vorlegen. Zudem sind die nationalen Gerichte berechtigt, die Gültigkeit eines Unionsrechtsakts wie einer nach Art. 25 Abs. 6 der Richtlinie 95/46 ergangenen Entscheidung der Kommission zu prüfen. Die Feststellung ihrer Ungültigkeit, ist jedoch nicht möglich.
Selbst wenn also in Zukunft z.B. die dem EU-US Privacy Shield zugrundeliegende Entscheidung durch den EuGH für ungültig erklärt werden sollte, so dürfte, wenn das Verfahren nach der Entscheidung des EuGH zurück an das Bundesverwaltungsgericht kommt, dieses nicht die Ungültigkeit der Angemessenheitsentscheidung feststellen. Im Ergebnis müsste es vor dem Bundesverwaltungsgericht wohl eher um die Feststellung gehen, dass eine auf einer Angemessenheitsentscheidung beruhende Übermittlung unzulässig ist. Im Rahmen einer erforderlichen Inzidentprüfung könnte dann dem EuGH die Frage der Gültigkeit der zugrundeliegenden Entscheidung der Europäischen Kommission vorgelegt werden.

Mit Blick auf die Klagemöglichkeit der Aufsichtsbehörden bei Datenübermittlungen in Drittstaaten bleibt es also weiter spannend. Man muss nun abwarten, inwiefern der Bundesrat den nun vorliegenden Antrag und Gesetzesvorschlag annimmt und im Rahmen der Entschließung die Bundesregierung zum Handeln auffordert.

Bundesrat: Hamburg fordert neues Klagerecht für Datenschutzbehörden

In seinem Safe Harbor-Urteil (C-362/14) vom 6. Oktober 2015 stellte der Europäische Gerichtshof (EuGH) unter anderem fest, dass den nationalen Aufsichtsbehörden für den Datenschutz ein Klagerecht für den Fall zustehen muss, wenn ein Betroffener sich gegen eine Datenübermittlung in einen Drittstaat (wie die USA) wendet, die auf einer Angemessenheitsentscheidung der Europäischen Kommission beruht. Dann müsse die Aufsichtsbehörde die Möglichkeit haben, vor den nationalen Gerichten von sich aus mit dem Ziel zu klagen, dass das angerufene Gericht die Frage der Gültigkeit eines Angemessenheitsbeschlusses (wie vormals Safe Harbor) dem EuGH vorzulegen. Denn, auch dies hat der EuGH klargestellt, alleine er besitzt die Kompetenz, eine Kommissionsentscheidung für ungültig zu erklären.

Hier noch einmal die entsprechende Aufforderung des EuGH an den nationalen Gesetzgeber aus seinem Urteil:

Insoweit ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese, wenn sie die Zweifel der Kontrollstelle an der Gültigkeit der Entscheidung der Kommission teilen, um eine Vorabentscheidung über deren Gültigkeit ersuchen.

Ob ein solches Klagerecht der Behörden in Deutschland existiert, ist nach Auffassung des Landes Hamburg zumindest „unsicher“. Aus diesem Grund wird Hamburg in der nächsten Sitzung des Bundesrates, am 22. April 2016, vorschlagen, die Bundesregierung aufzufordern, entsprechende Gesetzesänderungen auf Bundesebene im Verwaltungsrecht vorzunehmen. Der entsprechende Antrag ist auf der Webseite des Bundesrates abrufbar (PDF). Nach Ansicht der Antragsteller soll mit der Einführung eines solchen Klagerechts auch nicht gewartet werden, bis das nationale Datenschutzrecht den zukünftigen Vorgaben der Datenschutz-Grundverordnung angepasst wurde. Diese Alternative hat in der Vergangenheit die Bundesregierung favorisiert, wie sich etwa aus der Antwort auf eine kleine Anfrage im Bundestag ergibt, PDF, dort S. 7).

Man darf gespannt sein, ob der Antrag aus Hamburg, nachdem er in den Ausschüssen des Bundesrates beraten wurde, in dieser Form der Bundesregierung zugeleitet wird.

Abmahnung bei Datenschutzverstößen: Bundesrat nimmt Stellung und will noch mehr (Update)

Am 4. Februar 2015 hat das Bundeskabinett den Entwurf für ein Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts (PDF) beschlossen. Ich berichtete hierzu im Blog. Im Rahmen des ordentlichen Gesetzgebungsverfahrens, hat sich nun auch der Bundesrat mit dem Gesetzesentwurf zu befassen und wird auf seiner nächsten Sitzung am 27. März 2015 über die eigenen Empfehlungen hierzu beraten.

Die Empfehlungen des federführenden Rechtsausschusses, des Ausschusses für Agrarpolitik und Verbraucherschutz, des Ausschuss für Innere Angelegenheiten und des Wirtschaftsausschusses wurden nun veröffentlicht (BR-Drs. 55/1/15, PDF) und bergen einige Überraschungen. Das Dokument enthält die Vorschläge jedes Ausschusses und es werden nicht alle dort aufgeführten Vorschläge in die finale Stellungnahme des Bundesrates aufgenommen, da sich die Vorschläge teilweise auch ausschließen. Dennoch möchte ich nachfolgend auf einige der Empfehlungen der Ausschüsse eingehen, gerade weil auch völlig neue Vorschläge gemacht werden.

Kein genereller Anspruch auf Beseitigung
Der Wirtschaftsausschuss gibt zu bedenken (Ziff. 5), dass bislang kein Bedarf für einen Beseitigungsanspruch im Unterlassungsklagengesetz (UKlag) gesehen wurde und dieser nun im Rahmen des Gesetzesentwurfs neu eingeführt werden soll. Sollte der Beseitigungsanspruch generell und nicht nur spezifisch für Verstöße gegen das Datenschutzrecht eingeführt werden, bestünde vielmehr die Gefahr, dass die Unternehmen in diesem Bereich weitgehenden Forderungen ausgesetzt werden, deren finanzieller und organisatorischer Aufwand in keinem Verhältnis zu der begangenen Verletzung des Verbraucherschutzes stünden.

Erweiterung des Verletzungstatbestandes in § 2 Abs. 2 S. 1 Nr. 11 UKlaG
Der Ausschuss für Agrarpolitik und Verbraucherschutz schlägt vor (Ziff. 6), den Wortlaut der vorgeschlagenen Nr. 11 auf jenen des ursprünglichen Referentenentwurfs zu ändern und damit zu erweitern. Es soll dann heißen:

11. die Vorschriften, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten.

Dem Ausschuss für Verbraucherschutz ist dabei ein Dorn im Auge, dass der Gesetzesentwurf der Bundesregierung den Anwendungsbereich der Nr. 11 grundsätzlich auf Vorschriften beschränkt, „welche die Zulässigkeit regeln“. Zur Begründung führt der Ausschuss aus, dass insbesondere Verstöße gegen die Rechte der betroffenen Verbraucherinnen und Verbraucher auf Benachrichtigung, Auskunft, Berichtigung, Löschung oder Sperrung nach den §§ 33, 34 und 35 Bundesdatenschutzgesetz (BDSG) erfasst werden sollten. Auch die Beschränkung der vorgeschlagenen Nr. 11 auf Datenverarbeitungen zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken kritisiert der Ausschuss.

Im Ergebnis strebt man hier also erneut jene unbestimmte Ausweitung der Vorschrift an, die bereits nach Veröffentlichung des Referentenentwurfs kritisiert und im Gesetzesentwurf folgerichtig nicht übernommen wurde.

Dieser Vorschlag des Ausschusses für Verbraucherschutz konkurriert mit einem Vorschlag des Ausschuss für Wirtschaft (Ziff. 7), der darum bittet, im weiteren Gesetzgebungsverfahren zu prüfen, wie die datenschutzrechtlichen Vorschriften, die für eine Verbandsklage in Betracht kommen sollen, konkretisiert und weiter eingegrenzt werden können. Der im Gesetzesentwurf verwendete Begriff der “vergleichbaren kommerziellen Zwecke” erscheint nämlich zu weitgehend. Denn haben Unternehmen Kontakt mit Verbrauchern, ist eigentlich per se von einer kommerziellen Verarbeitung von Daten auszugehen. Wäre dann also praktisch jede Datenverarbeitung eines Unternehmens mit Bezug zu einem Verbraucher eine solche für „vergleichbare kommerzielle Zwecke“? Der Anwendungsbereich ist für den Wirtschaftsausschuss damit unklar und stellt für die Unternehmen eine Rechtsunsicherheit dar.

Gefahr paralleler Rechtstreitigkeiten durch Verbraucherverbände und Datenschutzbehörden
Der Innen- als auch der Wirtschaftsausschuss (Ziff. 11) möchten im weiteren Gesetzgebungsverfahren die Pflicht für Gerichte zur Anhörung der zuständigen Datenschutzbehörde um eine Verpflichtung der anspruchsberechtigten Stellen ergänzen. Danach soll die zuständige Datenschutzaufsichtsbehörde bereits vor außergerichtlicher Geltendmachung oder vor Klageerhebung unterrichtet und angehört werden. Die Datenschutzbehörden besitzen schließ0lich auch einen gesetzlichen Beratungsauftrag, auch für Unternehmen (§ 38 Abs. 1 S. 2 BDSG). Dieser Beratungsauftrag sowie das Vertrauen von Unternehmen in die Verbindlichkeit von Aussagen der Datenschutzaufsichtsbehörden würden nach Ansicht der beiden Ausschüsse erheblich geschwächt, wenn Aufsichtsbehörden bei ihrer Beratungstätigkeit keine Kenntnis von etwaigen durch die Verbände eingeleiteten, gleich gelagerten Parallelverfahren hätten.

Neu: Einführung eines allgemeinen Koppelungsverbots im BDSG
Sowohl der Rechtsausschuss als auch der Innenausschuss (Ziff. 12) schlagen völlig unabhängig von dem ursprünglichen Gesetzesentwurf eine Anpassung des § 28 Abs. 3b BDSG vor. Es soll ein allgemeines Koppelungsverbots im Datenschutzrecht eingeführt werden. Derzeit sieht § 28 Abs. 3b BDSG noch vor, dass die verantwortliche Stelle den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen abhängig machen darf, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist.

Der letzte Teil des Satzes soll nun jedoch gestrichen werden: „Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen.”

Die mit diesem Vorschlag für die Einführung eines allgemeinen Koppelungsverbots verbundene Einschränkung der Vertragsgestaltungsfreiheit der Unternehmen erscheint für die Ausschüsse gerechtfertigt. Der Vorschlag zur entsprechenden Anpassung des BDSG ist jedoch nicht neu. Bereits im Rahmen der letzten BDSG-Novelle wurde ein solches allgemeines Kopplungsverbot durch den Bundesrat vorgeschlagen (BR-Drs. 4/09), jedoch am Ende nicht in das Gesetz aufgenommen.

Neu: Auskunftsrecht für Betroffene von Persönlichkeitsrechtsverletzungen
Der Rechtsausschuss schlägt zudem apart von den Anpassungen des Gesetzesentwurfs vor (Ziff. 15), dass im weiteren Gesetzgebungsverfahren geprüft werden möge, ob zur Umsetzung der Rechtsprechung des Bundesgerichtshofs (BGH) vom 1. Juli 2014 (Az. VI ZR 345/13) eine Ermächtigungsgrundlage geschaffen werden sollte, aufgrund derer ein von einer im Internet begangenen Persönlichkeitsrechtsverletzung Betroffener gegenüber dem Telemediendienstanbieter Auskünfte über die Nutzerdaten des Persönlichkeitsrechtsverletzers erlangen kann. Der BGH hatte in diesem Urteil entschieden, dass ein Geschädigter mangels datenschutzrechtlicher Ermächtigungsgrundlage im Sinne des § 12 Abs. 2 TMG keinen Anspruch gegenüber einem Online-Bewertungsportal auf Auskunft über Namen und Anschrift desjenigen Nutzers habe, der in dem Portal unwahre und damit unzulässige Tatsachenbehauptungen über ihn aufstellt (hierzu der Kollege Thomas Stadler in seinem Blog). Der Portalbetreiber als Dienstanbieter i. S. d. TMG ist nach der Rechtsprechung daher nicht befugt, ohne die Einwilligung des Nutzers Auskünfte über dessen personenbezogene Daten zu erteilen. Für den Rechtsausschuss ist das Fehlen des Auskunftsanspruchs bedenklich und stellt eine Regelungslücke dar, welche durch den Gesetzgeber geschlossen werden muss.

Fazit
Die Ausschüsse im Bundesrat scheinen den Gesetzesentwurf genutzt zu haben, um nicht nur an dem Entwurf selbst inhaltlich Anpassungen vorzuschlagen, sondern auch noch weitere datenschutzrechtliche Themen, die eventuell schon etwas länger auf der gesetzgeberischen To-Do-Liste stehen, in das Gesetzgebungsverfahren einzuführen. Ob ein solches Vorgehen, unabhängig von der inhaltlichen Diskussion, in jeder Hinsicht begrüßenswert erscheint, mag man positiv oder negativ beantworten. Innenminister de Maizère hat erst letzte Woche angekündigt, dass man die Verhandlungen zur europäischen Datenschutz-Grundverordnung (DS-GVO) bis Juni im Rat abschließen möchte, um dann die Verhandlungen mit dem Parlament und der Kommission aufzunehmen. Wenn dann etwa im Jahre 2015 die Datenschutz-Grundverordnung verbindliches Recht in Europa wird, so müssen sich deutsche Regelungen zum Datenschutz an diesen Vorgaben messen lassen und werden aufgrund des Vorrangs des EU-Rechts im Zweifel unwirksam sein. Auch in der DS-GVO soll es etwa Vorgaben für ein Verbandsklagerecht von Verbraucherorganisationen geben. Die genauen Voraussetzungen und die Reichweite des Klagerechts ist derzeit aber noch umstritten. Bestehende deutsche Regelungen, die nun auf die schnelle noch ins Gesetz gegossen werden, würden dann jedoch ihre Wirksamkeit verlieren. Man würde also gesetzliche Vorgaben mit bereits jetzt bekannter Haltbarkeit schaffen. Der Sinn hinter einem solchen Vorgehen erschließt sich mir nicht unbedingt.

Update vom 27.3.2015:
Heute hat der Bundesrat über die oben erwähnten Ausschussempfehlungen abgestimmt. In der angenommenen Stellungnahme des Bundesrates (BR-Drs. 55/15(B)) sind die von mir oben angesprochenen Änderungswünsche, insbesondere die “Rückkehr” zum Referentenentuwrf, das Kopplungsverbot und der Vorschlag zur Einführung eines Auskunftsanspruchs im TMG, enthalten. Es bleibt abzuwarten, wie und ob die vom Bundesrat vorgeschlagenen Änderungen im weiteren Gesetzgebungsverfahren Bestand haben werden.

Empfehlung im Bundesrat: Mehr Einsatz für den Schutz von Beschäftigtendaten

Am 27. März 2015 wird der Bundesrat erneut tagen. Auf der Tagesordnung wird auch die Stellungnahme des Bundesrates zum Jahreswirtschaftsbericht 2015 der Bundesregierung (BT-Drs. 18/3840, PDF) stehen.

Der im Bundesrat für die Beratung zu dem Jahreswirtschaftsbericht 2015 federführend verantwortliche Wirtschaftsausschuss möchte dem Bundesrat empfehlen, dass sich die Bundesregierung in den Verhandlungen um die Datenschutz-Grundverordnung im Rat der Europäischen Union verstärkt für die Berücksichtigung der Belange der Arbeitnehmer in einer digitalisierten Arbeitswelt einzusetzen. Dies geht aus der Empfehlung des Wirtschaftsausschusses (BR-Drs. 31/1/15, PDF) vom 13. März 2015 hervor.

Danach empfiehlt der Ausschuss dem Bundesrat festzustellen, dass

mit einer stärkeren Digitalisierung das Potenzial für neue Arbeitsplätze in Industrie, Dienstleistung und Handel besteht.

Gleichzeitig weist die Empfehlung des Wirtschaftsausschusses jedoch auch auf Risiken einer verstärkten Digitalisierung des Arbeitsmarktes hin. Nach Ansicht der Verfasser der Empfehlung bestehen diese vor allem in einer Schwächung der betrieblichen Mitbestimmung und in einem Missbrauch von Beschäftigtendaten, der verhindert werden müsse.

Nach der Empfehlung des Wirtschaftsausschusses soll der Bundesrat die Bundesregierung in diesem Zusammenhang darum bitten,

sich darüber hinaus im Europäischen Rat für die Berücksichtigung der Belange im Rahmen der Beratung und Beschlussfassung hinsichtlich einer Datenschutz-Grundverordnung und der Gestaltung des Digitalen Binnenmarktes einzusetzen.

IT-Sicherheitsgesetz: Bundesrat übt Kritik und sieht Gefahr der Vorratsdatenspeicherung

Im Dezember 2014 hat die Bundesregierung den Entwurf für das sog. IT-Sicherheitsgesetz beschlossen. Der Gesetzesentwurf (PDF) sieht vor allem Änderungen im BSI-Gesetz vor und möchte den Betreibern „kritischer Infrastrukturen“ gewisse Pflichten zum Schutz der informationstechnischen Systeme auferlegen. In diesem Zuge werden jedoch auch Vorschriften des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) geändert. Zu den möglichen Änderungen für Webseitenbetreiber hatte ich bereits einen Beitrag geschrieben.

Nun hat der für das IT-Sicherheitsgesetz im Bundesrat federführend zuständige Ausschuss für Innere Angelegenheiten seine Empfehlungen zu möglichen Anpassungen des Gesetzesentwurfs vorgelegt (PDF).

Präzisierung für mehr Rechtssicherheit
Laut der Beschlussempfehlung begrüßt der Bundesrat die „Initiative der Bundesregierung zur Verbesserung der IT-Sicherheit von Unternehmen und zum verstärkten Schutz der Bürgerinnen und Bürger im Internet“. Jedoch sieht die Empfehlung des Ausschusses auch vor, dass der Bundesrat im weiteren Gesetzgebungsverfahren dafür Sorge tragen soll, dass zur Schaffung von Planungs- und auch Rechtssicherheit eine weitere Konkretisierung von unbestimmten Rechtsbegriffen erfolgt. Laut der Empfehlung gilt dies vor allem für die Begriffe „Kritische Infrastrukturen“, die Definition der Meldeschwelle für Telekommunikationsunternehmen und den Begriff „Stand der Technik“. Gerade eine Einstufung als Betreiber einer kritischen Infrastruktur könne nämlich gravierend wirtschaftliche Folgen nach sich ziehen.

Regelungen zum Schutz der Meldedaten

Zudem sieht die Empfehlung vor, dass der Bundesrat darauf achten möge, „dass eindeutige und transparente Regelungen getroffen werden, die einen angemessenen Schutz und eine sinnvolle Verwendung der umfangreichen Datenmengen sicherstellen“, die das BSI aufgrund der vorgesehenen Meldepflicht erhält. Laut der vorgeschlagenen Begründung des Ausschusses zu seiner Empfehlung beantwortet der Gesetzentwurf nicht die Frage, wie das BSI mit diesen Datenmengen in Zukunft umgehen will.

Gefahr der Vorratsdatenspeicherung
Nach dem im Gesetzentwurf vorgeschlagenen § 100 Abs. 1 TKG-E sollen Telekommunikationsanbieter die gesetzliche Erlaubnis erhalten, Nutzungsdaten „zum Erkennen, Eingrenzen und Beseitigen von Störungen sowie von Missbrauch seiner für Zwecke seines Telemedienangebots genutzten technischen Einrichtungen“ zu erheben und zu verwenden. Der federführende Ausschuss ist hier in seiner Empfehlung klar:

Bei der damit eingeführten Speicherbefugnis handelt es sich im Kern um eine weitreichende Vorratsdatenspeicherung, für die unter anderem das Bundesverfassungsgericht und der Europäische Gerichtshof enge Grenzen gesetzt haben.

(Hervorhebung durch mich)

Der Ausschuss erkennt in dieser Möglichkeit der Speicherung von Nutzungsdaten jedoch keine Verbesserung der Informationssicherheit. Vielmehr geht er davon aus, dass die Speicherung

zu einer weiteren Gefahrenquelle werden

könnte.

Datenschutzreform: Bundesrat sieht weiterhin Nachbesserungsbedarf

Der Deutsche Bundesrat hat in seiner heutigen Sitzung zu der Mitteilung der Europäischen Kommission mit dem Titel „Ein offenes und sicheres Europa – Praktische Umsetzung“ (KOM(2014) 154 endg., PDF) Stellung genommen. In dem hierzu verabschiedeten Beschluss (BR-Drs. 123/14, PDF) bedauert der Bundesrat, dass in der Mitteilung die weitere Entwicklung des europäischen Datenschutzrechts nicht in den Blick genommen wurde.

Dies vor allem deshalb, weil aus Sicht des Bundesrates die anhaltenden Beratungen um die europäische Datenschutzreform „bereits weitreichend Reformerfordernisse aufgezeigt haben“. Für den Bundesrat stellt dabei die Verwirklichung wirksamer Garantien zum Schutz personenbezogener Daten, gerade unter den Bedingungen global vernetzter Kommunikation, eine der zentralen strategischen Aufgaben einer dem Schutz ihrer Bürgerinnen und Bürger verpflichteten Europäischen Union dar.

Wichtig ist dem Bundesrat dabei jedoch, dass ein zukünftig modernisiertes europäisches Datenschutzrecht „vor allem den unterschiedlichen Regelungsbedarfen des öffentlichen und des privaten Sektors Rechnung tragen“ muss. Die zu entwickelnden Vorgaben dürften nicht hinter bereits bestehende nationale Regelungen und den geltenden Rechtsakt der Union für den Datenschutz bei der grenzüberschreitenden Zusammenarbeit von Polizei und Justiz zurückfallen.

Der Bundesrat verweist des weiteren auf seine Stellungnahmen zu der vorgeschlagenen Datenschutz-Grundverordnung (BR-Drs. 52/12 und (2), PDF) und der Richtlinie für den Datenschutz bei Polizei und Justizbehörden (BR-Drs. 51/12 und (2), PDF) aus dem Jahre 2012. Die in diesen Beschlüssen aufgezeigten Nachbesserungserfordernisse würden weiterhin gelten.

Diese Forderungen, insbesondere das Kernanliegen zur Gewährleistung ausreichender Spielräume für nationale Datenschutzregelungen im öffentlichen Bereich, gelten fort.

Zwar erkennt der Bundesrat den Fortschritt der Verhandlungen auf europäischer Ebene, wie etwa die gemeinsame Position des Europäischen Parlaments vom März 2014, an. „Dennoch sieht der Bundesrat Klarstellungsbedarf insbesondere mit Blick auf die Möglichkeiten, in den Mitgliedstaaten besondere Anforderungen bei der Verarbeitung personenbezogener Daten vorzusehen“.

Erforderlich sei daher eine rasche Klärung der noch offenen Fragen im Rat der Europäischen Union. Dabei betont der Bundesrat, dass es unerlässlich sei, zeitnah einen einheitlichen Rechtsrahmen für den Datenschutz auf EU-Ebene zu finden.

Daneben ist dem Bundesrat jedoch wichtig, den Dialog und die Zusammenarbeit mit Drittstaaten auszubauen. Nur so könne gemeinsam den Herausforderungen des Datenschutzes in einer vernetzten Welt entgegengetreten werden. Er bedauere,

dass die bisherigen Anstrengungen der EU hierzu, zum Beispiel beim Dialog über Datenschutzfragen mit den Vereinigten Staaten von Amerika über die Safe-Harbor-Grundsätze oder ein Datenschutz-Rahmenabkommen im Bereich der Strafverfolgung, trotz unstreitigen Handlungsbedarfs bislang nur zu langsamen Fortschritten geführt haben.

Bundesrat möchte Datenhehlerei unter Strafe stellen

In seiner heutigen Sitzung hat der Deutsche Bundesrat einen Gesetzesentwurf zur Einführung des Straftatbestandes der Datenhehlerei beschlossen (BR-Drs. 70/14). Der Gesetzentwurf wurde bereits einmal im Jahre 2013 über den Bundesrat in den Bundestag eingebracht, fiel dann aber aufgrund der Wahlen dem Grundsatz der Diskontinuität zum Opfer (hier der Gesetzentwurf: BR-Drs. 284/13 (B)).

Eingeführt werden soll ein neuer § 202d StGB „Datenhehlerei“. Ziel des Entwurfes ist es, Strafbarkeitslücken beim Handel mit rechtswidrig erlangten Daten zu schließen. Mit einer Freiheitsstrafe von immerhin bis zu 5 Jahren oder Geldstrafe soll nach § 202d Abs. 1 StGB-E bestraft werden,

Wer Daten im Sinne von § 202a Absatz 2, die ein anderer ausgespäht oder
sonst durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen

Der Gesetzentwurf enthält jedoch insoweit eine Einschränkung, als dass von der Regelung nur die Daten, an deren Nichtweiterverwendung ein schutzwürdiges Interesse besteht und die nicht aus allgemein zugänglichen Quellen entnommen werden können, erfasst werden sollen. Handlungen, die ausschließlich der Erfüllung gesetzlicher Pflichten durch Amtsträger oder deren Beauftragte dienen, sollen nicht vom Tatbestand der Datenhehlerei erfasst werden. Hierdurch soll ausdrücklich klargestellt werden, dass Amtsträger oder deren Beauftragte beim Ankauf von Datenmaterial zur ausschließlichen Verwendung in einem Besteuerungsverfahren (Stichwort: Steuerdaten-CD), einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren nicht mit Strafe bedroht werden dürfen. Ausdrücklich wird in § 202d Abs. 4 StGB-E auch der Versuch der Datenhehlerei unter Strafe gestellt.

Zudem soll durch den Gesetzentwurf die Strafprozessordnung (StPO) in der Art angepasst werden, dass den Strafverfolgungsbehörden im Rahmen der Untersuchung und Verfolgung einer Datenhehlerei als notwendige Ermittlungsmaßnahmen ohne Wissen der Betroffenen die Überwachung und Aufzeichnung der Telekommunikation (§ 100a StPO) und das Abhören und Aufzeichnen des in einer Wohnung nichtöffentlich gesprochenen Wortes mit technischen Mitteln (§ 100c StPO) zur Verfügung stehen.

Der Gesetzentwurf wird nun der Bundesregierung zugeleitet, die diesen in den Bundestag einbringt. Hierbei können sich freilich noch Änderungen an dem vorgeschlagenen Gesetzestext ergeben und es bleibt abzuwarten, wie sich die endgültige Fassung darstellen wird.

Bundestagswahl 2013: Die Positionen der Parteien zum Datenschutz

Am 22. September 2013 wird ein neuer Bundestag gewählt. Die Parteien positionieren sich, teilweise mit bereits beschlossenen, teilweise mit vorläufigen Wahlprogrammen. Die abgedeckte Themenvielfalt ist naturgemäß groß. Doch wie stehen die verschiedenen Parteien zu dem zukunftsträchtigen Thema „Datenschutz“ und auch dem Internet? Wo liegen Unterschiede und wo zeigen sich Gemeinsamkeiten? Nachfolgend soll versucht werden, einen groben und nicht abschließenden Überblick über die verschiedenen Positionen zu geben.

CDU/CSU

Die Union hat noch kein endgültiges Wahlprogramm veröffentlicht. Dies soll am 24. Juni geschehen. Dennoch lassen sich aus der bis zum 30. April durchgeführten „Mitmach-Aktion“ „Was mir am Herzen liegt“ bereits erste Informationen entnehmen. Leitgedanke ist, Deutschland bis 2020 zum digitalen Wachstumsland Nummer 1 zu machen:
Continue reading