Hessischer Datenschützer: Hinweise zur Android-Apps und deren Entwicklung

Der Hessische Datenschutzbeauftragte hat auf seiner Internetseite ein Dokument (PDF) bereitgestellt, in dem die datenschutzrechtliche Situation bei Android-Apps und die erforderlichen Berechtigungen für den Zugriff auf personenbezogene Daten näher beleuchtet wird.

Hintergrund des Appells, „Aufgabe für App-Anbieter – Transparenz für Android App-Nutzer herstellen!“ sind Beschwerden von Nutzern, die sich auf Berechtigungen von Apps beziehen. Die hessische Behörde prüfte daher unter anderem, ob Android-Apps unzulässig personenbezogene Daten nutzen oder die Bedeutung und Funktionsweise von systeminternen Berechtigungen – die eine App unter Android-OS benötigt – von den Betroffenen missverstanden werden.

In seiner Erläuterung geht der Datenschutzbeauftragte zunächst auf die allgemeine Funktion von Berechtigungen von Apps unter Android ein. Anhand des Beispiels einer Navigations-App werden dann verschiedene Berechtigungen analysiert und nach ihrer Erforderlichkeit für die Erbringung des Dienstes gefragt. Diese Frage ist datenschutzrechtlich relevant. Zum einen wenn keine Einwilligung zur Nutzung der Daten vorliegt, um die Daten im Rahmen von gesetzlichen Erlaubnistatbeständen rechtmäßig verarbeiten zu können. Zum anderen aber auch aufgrund allgemeiner datenschutzrechtlicher Prinzipien, wie demjenigen der Datensparsamkeit, auf welches von Seiten der Datenschutzbehörden häufig hingewiesen wird.

In dem Dokument weist der Datenschutzbeauftragte daraufhin, dass aus seiner Sicht nicht die Beschreibung der Verwendungsmöglichkeiten dieser Berechtigungen in den Informationen oder Nutzungsbedingungen ausschlaggebend für die datenschutzrechtliche Bewertung sei, sondern die tatsächliche Verwendung der eingeräumten Berechtigungen. Diese werde durch seine Behörde geprüft und an den gesetzlichen Maßstäben gemessen.

Wichtig erscheint ein weiterer Hinweis des Datenschutzbeauftragten: damit neue Apps auch abwärtskompatibel sind, also mit älteren Android-Versionen funktionieren, muss eine App teilweise mehr Berechtigungen verlangen, als für ihre Nutzung unter der aktuellsten Version eigentlich erforderlich sind.

Zum Schluss gibt das Dokument App-Anbietern noch einige allgemeine Hinweise mit auf den Weg. Diese sollten in der Beschreibung ihrer App im Google Play Store detailliert und vollständig folgende Angaben machen oder darauf verlinken:

  • Welche Berechtigungen werden für welche Softwarefunktionalität gebraucht?
  • Wie werden die dadurch gewonnen Daten verarbeitet?

Zudem sollten diese Angaben nach Ansicht der Behörde auch Teil der Datenschutzerklärung der jeweiligen App sein.

Spanien: Datenschützer verhängen Bußgeld gegen Google wegen Cookies auf Blogspot

Mit Beschluss vom 14. Mai 2014 hat die spanische Datenschutzbehörde (AEPD) ein Bußgeld in Höhe von 25.000 € gegen Google verhängt (hier der Beschluss im Original (Spanisch), PDF).

In dem Verfahren ging es um die datenschutzrechtliche Prüfung von Cookies, welche über Blogs verbreitet wurden, die auf der Plattform „Blogger“ und unter Adressen wie „Beispiel.blogspot.com“ betrieben wurden. Dabei ging es jedoch nicht um die Verantwortlichkeit des Blogbetreibers, sondern um diejenige der Google Inc.

Untersucht wurden von den Datenschützern vor allem Analyse-Cookies (die im Rahmen von Google-Analytics arbeiteten) und solche für Zwecke der Schaltung von personalisierter Werbeanzeigen.

Nach Ansicht der Datenschützer verletzte der Einsatz der Cookies vorliegend die Vorgaben des spanischen Datenschutzrechts, insbesondere diejenige einer Einwilligung entsprechend Art. 5 Abs. 3 der Richtlinie 2002/58/EG (PDF) (ePrivacyRL, in der Fassung durch Richtlinie 2009/136/EG). Art. 5 Abs. 3 ePrivacyRL sieht für die Speicherung von Informationen oder den Zugriff auf Informationen auf Endgeräten des Nutzers (oder Teilnehmers) eine Einwilligung in Kenntnis der Sachlage vor. Diese Vorschrift gilt freilich nicht nur für Cookies, wird in der Praxis aber gerade für diese relevant. Von dem Einwilligungserfordernis gibt es jedoch Ausnahmen, unter anderem dann, wenn der Zugriff oder die Speicherung der Informationen unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Laut den tatsächlichen Feststellungen in dem Beschluss, wurden auf den Rechnern von Nutzern, die einen Blog unter einer „blogspot“-Adresse besuchten, unter anderem Analyse-Cookies und solche für Werbezwecke gesetzt. Der Einsatz der Cookies wurde dabei durch Google selbst festgelegt und konnte durch den Blogbetreiber nicht unterbunden werden.

Die Behörde beanstandet, dass es zwar Informationen zu dem Einsatz von Cookies und auch von Analyse-Cookies im speziellen in der Datenschutzerklärung von Google gebe. Diese seien für die Besucher des jeweiligen Blogs jedoch schwierig aufzufinden. Zudem würden die Besucher nicht darauf hingewiesen, dass Cookies zum Einsatz kämen und wo sie hierzu Informationen finden könnten. Auch würden entsprechende Informationen etwa nicht den Blogbetreibern zur Verfügung gestellt, die diese dann an ihre Besucher weiterleiten könnten.

Google brachte unter anderem vor, dass für den Einsatz der Cookies keine Einwilligung der Nutzer nötig sei, da er für die Zurverfügungstellung des Dienstes unbedingt erforderlich sei. Diese Sichtweise wies die Behörde jedoch zurück. Sie begründet ihren Beschluss damit, dass sowohl die Werbe-Cookies als auch die Analyse-Cookies nicht unbedingt erforderlich seien, damit die Plattform zum einen den Bloggern (für das Erstellen von Blogs) und auch deren Besuchern zur Verfügung gestellt werden könne.

Fazit
Wann Cookies (und damit der Zugriff bzw. die Speicherung von Informationen; Achtung, nicht nur “personenbezogene” Informationen!) unbedingt erforderlich sind, lässt sich kaum generell sagen, sondern hängt stark von dem jeweiligen Einzelfall ab. Die europäischen Datenschutzbehörden haben in einer Stellungnahme aus dem Jahre 2012 (WP 194, PDF) jedoch zumindest einige Leitlinien aufgestellt, wann nach ihrer Ansicht die Einwilligung beim Einsatz von Cookies entbehrlich sein kann.

Datenschutz bei Smart-TVs: Datenschützer legen Voraussetzungen fest

Der Zusammenschluss der deutschen Datenschutzbehörden für den nicht-öffentlichen Bereich (Düsseldorfer Kreis) hat zusammen mit den Datenschutzbeauftragten der öffentlich-rechtlichen Rundfunkanstalten eine gemeinsame Position zum Datenschutz bei sog. Smart-TVs veröffentlicht (Gemeinsame Position: Smartes Fernsehen nur mit smartem Datenschutz, PDF).

In ihrer Position weisen die Datenschützer darauf hin, dass im Alltag immer mehr internetfähige Fernsehgeräte benutzt werden. Hierbei entsteht, neben dem normalen Fernsehsignal, ein Rückkanal an den Hersteller des Gerätes oder zum Fernsehsender über das Internet. Über diesen Kanal ist es grundsätzlich möglich, das Nutzungsverhalten der Zuschauer zu erfassen. Die Datenschützer sehen in dieser Möglichkeit der Aufzeichnung des Nutzerverhaltens eine Gefahr für das Recht auf freien Informationszugang, welches „empfindlich beeinträchtigt“ werden könnte.

Die Datenschutzbehörden stellen daher folgende Anforderungen an einen datenschutzrechtskonformen Einsatz von Smart-TVs und der Datenverarbeitung:

Eine Profilbildung über das individuelle Fernsehverhalten der Nutzer ist ohne informierte und ausdrückliche Einwilligung der Zuschauer unzulässig.

Web- oder HbbTV-Dienste unterliegen als Telemedien dem TMG und dessen datenschutzrechtlichen Anforderungen. Die Mindestvorgaben an Hersteller, Sendeanstalten oder andere Dritte lauten hierbei: auch personenbeziehbare Daten der Nutzer dürfen nur verwendet werden, wenn dies zur Erbringung des jeweiligen Dienstes erforderlich ist. Zudem müssen Betroffene zu Beginn der Nutzung über die Datenerhebung informiert werden.

Grundsätzlich dürfen Nutzungsprofile nur mit Pseudonymen erstellt werden und die Nutzer dürfen der Profilerstellung nicht widersprochen haben. Zu beachten ist, dass nach Ansicht der Datenschützer IP-Adressen und Gerätekennungen keine Pseudonyme i. S. d. TMG darstellen.

Zudem haben nach Ansicht der Datenschützer die Gerätehersteller und Diensteanbieter das Prinzip des „Privacy by Default“ zu beachten. Es solle eine anonyme Nutzung der Dienste ermöglicht werden. Eine Nutzung der Webdienste dürfe erst nach einer umfassenden Information der Nutzer erfolgen. Zudem müssten die Nutzer die Kontrolle über die auf den Geräten gespeicherten Daten besitzen (z. B. Verwaltung von Cookies).

Zuletzt weisen die Datenschutzbehörden darauf hin, dass nach ihrer Auffassung die Gerätehersteller, Fernsehsender oder sonstige Web-Dienste über sicherheitstechnische Mechanismen verfügen müssten, die die Geräte und den Datenverkehr vor dem Zugriff unbefugter Dritter schützen.

Datenschutzreform: neue Ratsdokumente belegen anhaltenden Diskussionsbedarf

Unter EUDataP-links.com, einer Unterseite dieses Blogs, habe ich neue Dokumente aus der DAPIX (die für den Datenschutz zuständige Ratsarbeitsgruppe) zur Datenschutzreform verlinkt. Thematisch geht es dabei vor allem um den Dauerbrenner „one-stop-shop“ und den Datentransfer in Drittstaaten.

Wie sich aus den Dokumenten ergibt, besteht weiterhin anhaltender Diskussionsbedarf zwischen den europäischen Mitgliedstaaten in Bezug auf das Streben nach einer gemeinsamen Position zur geplanten Datenschutz-Grundverordnung (DS-GVO). Die Dokumente datieren von Ende April 2014, bilden daher wohl nicht den aktuellsten Stand der Verhandlungen ab.

Dennoch zeigt ein Blick in die Papiere und dabei insbesondere in die Fußnoten, dass Mitgliedstaaten teilweise erheblichen Diskussions- und Änderungsbedarf hinsichtlich elementarer Grundsätze der geplanten DS-GVO sehen. Beispielhaft möchte ich kurz auf das Dokument zu Datentransfers in Drittstaaten eingehen (8087/1/14 REV 1, PDF).

Einige Mitgliedstaaten zweifeln die Wirksamkeit des Prinzips der Angemessenheitsentscheidungen durch die Europäische Kommission an (siehe Fn. 13). Diese Angemessenheitsentscheidungen werden von der Kommission getroffen, um einem Drittland oder auch nur einem bestimmten Industriebereich eines Drittlandes, ein angemessenes Datenschutzniveau zu attestieren und damit Datentransfers aus der EU dorthin zu ermöglichen. Frankreich möchte zudem wissen, ob Datenübermittlungen im Rahmen des Cloud-Computing nach Ansicht der Kommission ebenfalls einen internationalen Datentransfer darstellen. Deutschland schlägt vor, dass in der DS-GVO Regelungen für die Einrichtung von Selbstverpflichtungsmechanismen in Drittstaaten (wie etwa Safe Harbor in den USA) aufgenommen werden.

Zudem werden in dem Ratsdokument auch neue Anforderungen an die den Datentransfers zugrundeliegenden Instrumenten gestellt. So sollen in unternehmensweit geltende Richtlinien (BCRs), welche durch die nationalen Datenschutzbehörden freigegeben werden müssen, nach Art. 43 Abs. 2 (l) auch Hinweise auf die in einem Konzern vorgehaltenen Mechanismen gegeben werden, welche dort existieren, um eine Datenschutzbehörde auf Anforderungen des Rechts eines Drittstaates hinzuweisen, die ein Unternehmen des Konzerns verpflichten und sich negativ auf den durch die BCRs gewährten Schutz der personenbezogenen Daten auswirken können. Im Blick hatte man hierbei wohl vor allem Anfragen und Herausgabeverlangen von drittstaatlichen Behörden.

Auf Vorschlag der deutschen Delegation (Fn. 75) wurde zudem die Voraussetzung einer „ausdrücklichen“ Einwilligung in Art. 44 Abs. 1 (a) eingefügt, die als Grundlage einer Datenübermittlung in einen Drittstaat dienen kann. Vorher war hier nur von einer „Einwilligung“ die Rede.

Bereits ein Blick in dieses Dokument zu einem besonderen Themenbereich zeigt, dass die Diskussionen im Rat weiter anhalten, Vorschläge gemacht und Änderungen eingearbeitet werden. Wenn man die Fußnoten und damit die Anmerkungen der Mitgliedstaaten liest, dann fällt zudem auf, dass Deutschland einer der aktivsten Diskussionsteilnehmer ist, sei es nun durch das Einbringen eigener Vorschläge oder kritische Anmerkungen.

Datenschutz im Auto – Bundesregierung: „höchst komplex“

Das vernetzte Auto als Teil des Internets der Dinge wirft gerade auch im Bereich des Datenschutzrechts neue Fragen auf. Häufig drehen sich diese um das „Eigentum“ an Daten (wobei diese Begrifflichkeit im Datenschutzrecht verfehlt erscheint). Wer darf im Fahrzeug erhobene Daten verwenden? Wem „gehören“ diese Daten?

Auf eine kleine Anfrage der Fraktion Bündnis 90/Die Grünen im Bundestag hat nun die Bundesregierung ihre Sichtweise zum Thema „Datenschutz im Auto“ (BT-Drs. 18/1362, PDF) dargelegt.

Zunächst ist es der Bundesregierung wichtig, zwischen zwei Datenkategorien zu differenzieren: zum einen den Daten für Fahrzeugfunktionen (Daten in den Steuergeräten) und zum anderen den Daten für Servicefunktionen (Daten, welche bei der Nutzung des Infotainmentsystems anfallen).

Und wem „gehören“ diese Daten nun? Nach Ansicht der Bundesregierung besitzt der Fahrzeughalter grundsätzlich die tatsächliche Verfügungsgewalt über Daten in den Steuergeräten. Er entscheidet über die Verwendung des Fahrzeugs und ist für dessen verkehrssicheren Zustand verantwortlich. Rein faktisch stellt sich jedoch das Problem, dass die Daten für den Halter nutzlos sind, da er zum einen nicht die Geräte besitzt, um sie auslesen zu können. Zum anderen wird der Halter kaum das Fachwissen besitzen, um aus den ausgelesenen Daten Rückschlüsse ziehen zu können, sie also zu verstehen. Hierbei handeln die Stellen, welche die Daten auslesen und auswerten können zumeist im Auftrag des Halters. Bei zusätzlichen Servicefunktionen wird oft mit dem Hersteller selbst ein zivilrechtlicher Vertrag abgeschlossen, auf dessen Grundlage Daten verarbeitet werden dürfen.

Die Frage nach „Rechten an Daten“ stellt sich nach der Bundesregierung als “höchst komplex” dar. Zum einen, weil das BDSG eine Art des Eigentums an Daten nicht kenne. Es unterscheidet zwischen dem für die Verarbeitung Verantwortlichen (und eventuell noch in seinem Auftrag Handelnden) und dem Betroffenen. Betroffener ist grundsätzlich der Fahrzeughalter und/oder Fahrer. Jedoch ist es auch durchaus denkbar, dass der Betroffene selbst der für die Verarbeitung Verantwortliche ist. Dies hängt nach der Bundesregierung davon ab, ob er selbst die Datenherrschaft über die gespeicherten Daten ausüben kann. Fehlt es an einer solchen effektiven Ausübungsmöglichkeit, etwa weil die technischen Geräte zum Auslesen der Daten fehlen oder die entsprechende Kenntnis nicht vorhanden ist, so ist nach Ansicht der Bundesregierung derjenige verantwortlich, der diese Gerätschaften oder Kenntnis besitzt. Also z. B. die Werkstatt oder der Hersteller. Deren Verantwortlichkeit liegt jedoch wiederum dann nicht vor, wenn sie ihre Aufgaben und Datenverarbeitungsvorgänge im Auftrag des Fahrzeughalters ausführen.

Interessant ist, dass die Bundesregierung die datenschutzrechtliche Verantwortlichkeit an die Datenherrschaft anknüpft. Diese wiederum bestehe aus zwei Komponenten: aus einer technischen Komponente (Auslesen und Zugang zu Daten) und einem Wissenselement, die Daten nutzen und verstehen zu können. Diese wird bei Daten im Auto grundsätzlich nicht bei den Haltern vorliegen. Ihre Verantwortlichkeit könne sich jedoch dadurch ergeben, dass mit Werkstätten, Herstellern etc. Verträge abgeschlossen werden, nach denen die Dienstleister allein im Auftrag des Halters handeln.

Die Zuordnung der Verantwortlichkeiten sei jedoch stets vom Einzelfall abhängig und könne nicht pauschal festgestellt werden. Aufgrund der Schwierigkeit der Zuordnung, spricht sich die Bundesregierung auch für eine Fortentwicklung des Systems der Verantwortlichkeit im Rahmen der geplanten Datenschutz-Grundverordnung aus.

Für die Datenverarbeitungen rund um das Kfz sollen zudem auch die allgemeinen datenschutzrechtlichen Vorgaben, insbesondere etwa auch das Gebot der Datensparsamkeit (§ 3a BDSG) gelten. Eine bestehende Regelungslücke kann die Bundesregierung nicht erkennen. So gelten für Datenverarbeitungsvorgänge im Auto auch die Vorgaben von spezielleren Gesetzen, wie etwa dem TMG. Aktuell werde daher von einer datenschutzgerechten Ausgestaltung ausgegangen.

Big Data Report des Weißen Hauses – ein Überblick

Am 1. Mai 2014 hat eine durch den amerikanischen Präsidenten eingesetzte Arbeitsgruppe zu den Auswirkungen und möglichen Regulierungsansätzen rund um das Thema Big Data und Privatsphäre ihren Bericht vorgestellt (“Big Data:
Seizing Opportunities, Preserving Values”
, PDF). Gleichzeitig hat auch ein Beratergremium des Präsidenten für Technologie und Wissenschaft (President’s Council of Advisors on Science and Technology (PCAST)) einen eigenen Bericht zum Thema Big Data vorgelegt (“Big Data: A Technological Perspective“, PDF). Im nachfolgenden möchte ich einen kurzen (sicherlich nicht vollständigen) Überblick über einige der Ergebnisse des erstgenannten Berichtes geben. Für Informationen zu dem Bericht des PCAST sei das offizielle Fact Sheet (PDF) empfohlen.

Der Grundtenor des Berichts ist sicherlich zu begrüßen: die massenhafte Analyse und Auswertung von Daten, sowohl im öffentlichen als auch im privaten Bereich, schaffen die Grundlage für zukünftiges wirtschaftliches Wachstum und gesellschaftlichen Nutzen und sollte daher unterstützt und gefördert werden. Dabei dürfe jedoch nicht übersehen werden, dass die derzeitigen gesetzlichen Vorgaben entweder überholt oder noch gar nicht vorhanden sind, um einen verhältnismäßigen Ausgleich zwischen den betroffenen Interessen aller Beteiligten zu schaffen.

Zunächst geht der Bericht auf den Begriff “Big Data”, die diesem zugrunde liegende massenhafte Erzeugung von Daten und wie er sich in Zukunft entwickeln wird, ein. Stichworte sind hier insbesondere das Internet der Dinge, tragbare Technologie oder intelligente Autos. Eines ist gewiss: es werden täglich mehr und mehr Daten erzeugt.

Die Frage, die man sich bei einer Untersuchung des Phänomens “Big Data” stellen muss, sind seine Einsatzmöglichkeiten und Auswirkungen. Sowohl rechtlich, ethisch als auch gesellschaftlich und ob die bestehenden Vorgaben ausreichen. Die Möglichkeit, immer mehr Daten zu speichern und auszuwerten birgt die Gefahr eine “Daten-Asymmetrie” zu erzeugen, aus der notwendigerweise eine Macht-Asymmetrie hervorgeht. Daten und Informationen sind Macht.

Danach geht der Bericht auf einige Bereiche ein, in denen Big Data bereits heute erfolgreich eingesetzt wird (industrielle Produktion, Gesundheitswesen, Energieversorgung).

Bei Big Data geht es darum, die bekannte Nadel im Heuhaufen zu suchen, wobei der Heuhaufen die Daten sind und die Nadel ein bestimmtes Muster oder eine Anomalie. Datenschutzrechtlich ist freilich der Heuhaufen relevant, wenn es also darum geht, eine gewisse Masse an Daten zu sammeln.

Big Data betrifft häufig Techniken, an deren Ende es um die möglichst genaue Individualisierung von Betroffenen geht. Der Bericht zeigt sowohl die Vorteile (bessere Werbung; bessere Gesundheitsvorsorge) als auch die Nachteile (Ungleichbehandlung bestimmter Personen oder Gruppen) auf. Problematisch seien insofern auch die sog. “filter bubbles”, wenn also einer Person einer bestimmten Gruppe zugeordnet wird und dann entsprechend nur noch mit auf diese Gruppe zugeschnitten Informationen versorgt wird.

Techniken der Anonymisierung von Daten helfen bereits heute, datenschutzrechtlichen Gesichtspunkten Rechnung zu tragen. Die Betroffenen sind dann nicht mehr erkennbar. Diese Techniken der “De-Identifizierung” bewirken andererseits jedoch, dass die Möglichkeiten von Datenanalysen und ihr Potential teilweise nicht voll ausgeschöpft werden kann. Zudem lässt sich nicht vorhersagen, wie sich die Methoden zur “Re-Identifizierung” in Zukunft entwickeln werden. Hierdurch entsteht jedoch Unsicherheit darüber, wie Betroffene in Zukunft die auf sie bezogenen Informationen kontrollieren können und wie sie etwa aus Datenanalysen abgeleiteten Entscheidungen widersprechen können.

Der Bericht analysiert im folgenden die derzeit bestehenden gesetzlichen Vorgaben und politischen Initiativen in den USA im Bereich von Open Data und der Nutzung von Big Data im öffentlichen Bereich. Essentiell wird hierbei in der Zukunft die Schaffung von Vertrauen in das Handeln der Regierung und der öffentlichen Stellen sein. Auch der Zugang zu Informationen, die über die eigene Person gespeichert sind, muss eine wichtige Rolle spielen. Gerade in diesem Bereich lässt sich die Gefahr eines Machtungleichgewichts aufgrund von gesammelten Daten und ihrer Analyse durch staatliche Stellen erkennen. Wichtig seien hier für die Zukunft Regelungen, die eine effiziente Überwachung des staatlichen Handelns garantieren.

Ein möglicher Lösungsansatz zur Etablierung datenschutzrechtlicher Sicherungen beim Umgang mit Daten könnten dabei “Datenmarkierungen” darstellen. Hierbei werden Informationen nach einem festgelegten Schema markierte (“tagged”), woraus sich verschiedene Verwendungsmöglichkeiten und Zugriffsrechte für die Behörden ergeben. Manche Behörden benötigen etwa nur den Namen, die Anschrift und das Geburtsdatum, andere öffentliche Stellen jedoch zusätzlich etwa Zugriff auf Steuerinformationen. Die Tags bestimmen, wer auf die Daten Zugriff hat und für welche Zwecke sie verwendet werden können. Dieses System wird derzeit bereits beim amerikanischen Heimatschutzministerium verwendet.

Ein weiterer Untersuchungsbereich betrifft die Datenanalyse durch Strafverfolgungsbehörden. Hier geht der Bericht etwa auf die Möglichkeit der Vorhersage von Verbrechen in besonders gefährdeten Gebieten ein. Zudem untersucht er die Frage, wann staatliche Stellen auf Daten zugreifen können, die durch Betroffene an Dritte preisgegeben und von diesen gespeichert werden (“third-party-doctrine”). Ob also etwa Strafverfolgungsbehörden ohne richterliche Anordnung auf Daten bei einem Telekommunikationsunternehmen zugreifen können, wie die Verbindungsdaten von Telefonaten. Hierbei geht es vor allem um die Frage der technischen Entwicklung und wie historische Schutzbereiche (private Wohnung) auf diese Übertragen werden können (Speicherung in der Cloud). Der Schutz von Metadaten wird in dem Bericht speziell angesprochen und es wird geraten, diesen Schutz zu stärken, da auch diese Daten sensible Informationen über Betroffene preisgeben können.

Danach untersucht der Bericht Big Data im privat-wirtschaftlichen Bereich. Auch hier bestehe die Gefahr einer Machtasymmetrie zwischen Verbrauchern und Unternehmen, wobei der Einsatz von Big Data freilich auch hier immense Vorteile bereit halte. Etwas genauer untersucht der Bericht den Bereich der Online-Werbung. Internetdienste sind auf diese Art der Einnahmequellen angewiesen. Dabei spielen viele Parteien eine Rolle bei der Darbietung von Werbung. Problematisch hierbei ist aus der Sicht des Berichts, dass die Verbraucher meist nur mit dem Webseitenbetreiber selbst in Kontakt kommen, jedoch nicht mit den dahinter stehenden Werbenetzwerken und anderen Beteiligten, die eventuell auch Informationen über sie speichern. Dadurch verstehen sie auch zumeist nicht, welche Rolle sie und ihre Daten in diesen Verarbeitungsprozessen spielen.

In Zukunft wird es besonders wichtig sein, den Verbrauchern mit der erforderlichen Transparenz in Bezug auf Datenverarbeitung zu begegnen und sinnvolle Wahlmöglichkeiten zur Verfügung zu stellen. Der Bericht zeigt dabei auch, dass allein ein “Mehr” an Informationen nicht unbedingt der beste Weg ist. Denn obwohl die Werbeindustrie teilweise freiwillig Maßnahmen ergriffen hat, um Nutzer besser zu informieren (Icons auf der Webseite), wurden diese Hinweise von Verbrauchern kaum verstanden oder genutzt.

Danach befasst sich der Bericht mit Datendiensteanbietern, den sog. data brokers. Diese Unternehmen sammeln und analysieren Daten aus verschiedenen Quellen und bieten ihre Dienste (z. B. Nutzerprofile, Produktmarketing) anderen Unternehmen an, ohne jedoch meist direkten Kontakt mit den Verbrauchern zu besitzen. Vorteil ihrer Arbeit ist etwa die möglichst genaue Ausspielung von Werbung oder Anpassung von Angeboten auf die Bedürfnisse des Verbrauchers, was jedoch zugleich die machtvolle Möglichkeit bietet, Daten der Nutzer ohne ihr Wissen algorithmisch zu analysieren.

In diesem Zusammenhang geht der Bericht auf den Einsatz von Algorithmen und die Gefahr einer Diskriminierung der Betroffenen durch automatische Entscheidungen ein. Hier bestehe noch der Bedarf nach weiterer Offenheit der Analysemethoden und auch die Frage der Verantwortlichkeit für Entscheidungen von Algorithmen müsse untersucht werden. Betroffene sollten Zugang zu gespeicherten Informationen erhalten, um so etwa falsche Daten korrigieren zu können.

Durch den Trend, dass immer mehr Geräte Daten erzeugen und miteinander kommunizieren, wird das Prinzip der Datenminimierung an die Grenze seiner Belastbarkeit geführt, ja wenn nicht sogar obsolet. Daten, ob sie nun analog oder digital entstehen, werden analysiert und kombiniert. Aufgrund der geringen Kosten für Speicherplatz ist diese Entwicklung auch nicht unbedingt überraschend.

Der Bericht regt vor diesem Hintergrund dazu an, über die Wertigkeit der Einwilligung und vorheriger Informationen nachzudenken. Sich auf die Kontrolle der Datenerhebung und die Umstände der Speicherung zu fokussieren könnte für einen wirksamen Schutz der Privatsphäre nicht mehr ausreichend sein. Das Konstrukt der Einwilligung mag noch in der Beziehung zwischen dem Verbraucher und z. B. dem Webseitenbetreiber den nötigen Nutzen bringen, da hier eine direkte Verbindung besteht. Da Daten jedoch immer mehr von Dritten analysiert und gespeichert werden, sollte man darüber nachdenken, sich regelungstechnisch auf die Kontrolle des Datenumgangs fokussieren. Der Vorteil hiervon wäre unter anderem, dass die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung dann von dem Betroffenen (der heutzutage sowieso allenfalls eine deklaratorische Einwilligung abgibt, da er die Informationen der Datenverarbeitung erst gar nicht lies oder nicht versteht) auf die verarbeitende Stelle übergeht.

Fazit
Dies sind nur einige der in dem wirklich lesenswerten Bericht angesprochenen Themenfelder. Am Ende listet der Bericht seine konkreten Empfehlungen noch einmal auf. Darunter findet sich auch der Vorschlag, Ausländern in den USA dieselben oder zumindest ähnliche Rechte in Bezug auf ihre Daten einzuräumen, wie den amerikanischen Bürgern. Dieser Vorschlag ist gerade vor dem Hintergrund der andauernden Verhandlungen der EU mit den USA um ein Rahmenabkommen beim Datenschutz im Bereich der Strafverfolgung interessant. Denn dort war und ist bisher immer noch die Frage strittig, ob europäische Bürger Rechtsschutzmöglichkeiten in den USA erhalten sollen, wenn ihre Daten rechtswidrig verarbeitet wurden. Vielleicht zeichnet sich hier also ein Umdenken ab. Insgesamt stellt der Big Data Bericht sicherlich einen wichtigen Beitrag zur Diskussion um eine Regulierungsnotwendigkeit vor dem Hintergrund neuer technologischer Entwicklungen dar und sollte auch in Deutschland und Europa gelesen und berücksichtigt werden.

Deutsche Datenschutzbehörden: Unsere Daten sicherer machen – wir selbst haben es in der Hand!

Auf der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 27.-28. März 2014, haben die Datenschützer aus Bund und Ländern mehrere Beschlüsse zu verschiedensten Themengebieten gefasst. Nachfolgend eine kurze Übersicht.

Elektronische Kommunikation
Nach der Pressemitteilung stellen sich aus der Sicht der Datenschützer die “bisherigen rechtlichen und politischen Reaktionen auf das massenhafte Ausspähen der Kommunikation durch Nachrichtendienste” als enttäuschend dar. Die Teilnehmer fordern in ihrem Beschluss („Gewährleistung der Menschenrechte bei der elektronischen Kommunikation“), dass die Grundrechte der Bevölkerung durch technische und organisatorische Maßnahmen wirksam zu schützen sind. Hierzu gehöre insbesondere die Bereitstellung einer von jeder Person einfach nutzbaren Verschlüsselungsinfrastruktur. Zudem müsse beim Transport von Daten eine standardisierte Verschlüsselung eingreifen. Zusätzlich bedarf es jedoch des Einsatzes von Mechanismen der Ende-zu-Ende-Verschlüsselung, die der Bevölkerung angeboten, aber auch ausreichend finanziert werden müssen.

Gesichtserkennung
Eine weitere Entschließung der Datenschutzbehörden befasst sich mit der biometrischen Gesichtserkennung durch Internetdienste („Biometrische Gesichtserkennung durch Internetdienste – Nur mit Wahrung des Selbstbestimmungsrechts Betroffener!“). Danach sehen die Datenschützer in der biometrische Gesichtserkennung eine Technik, “die sich zur Ausübung von sozialer Kontrolle eignet und der damit ein hohes Missbrauchspotential immanent ist“. Sie fordern daher, dass eine Verarbeitung biometrischer Merkmale der Gesichter der Nutzer in sozialen Medien nur mit der ausdrücklichen und informierten Einwilligung der Betroffenen erfolgen darf (§ 4a BDSG). Ein Verweis auf Klauseln in Allgemeinen Geschäftsbedingungen reiche nicht aus.

Öffentlichkeitsfahndung
Die Konferenz befasste sich zudem mit der polizeilichen Öffentlichkeitsfahndung mit Hilfe sozialer Netzwerke („Öffentlichkeitsfahndung mit Hilfe sozialer Netzwerke – Strenge Regeln erforderlich!“). Eine Nutzung sozialer Netzwerke privater Betreiber (wie z.B. Facebook) zur Öffentlichkeitsfahndung stellt sich aus datenschutzrechtlicher Sicht der Behörden als sehr problematisch dar. Wenn eine solche Fahndungsart gewählt wird, so sollte diese bestimmt Voraussetzungen beachten. Denn sie greife nicht zuletzt wegen der größeren Reichweite deutlich intensiver in die Grundrechte ein als die herkömmliche Öffentlichkeitsfahndung. So darf etwa eine Speicherung der Fahndungsdaten nur auf den Servern der Polizei erfolgen. Zudem sei es entscheidend, dass die “Fahndung nicht als Aufruf zu Hetzjagden und Selbstjustiz im Internet führt. Dazu muss die Kommentierungsfunktion zwingend deaktiviert sein”.

Beschäftigungsdatenschutz
Auch der Beschäftigungsdatenschutz war erneut Thema auf der Konferenz (Beschäftigtendatenschutzgesetz jetzt!). Die Datenschützer verweisen auf den Koalitionsvertrag, wonach, falls mit einem Abschluss der Verhandlungen über die Europäische Datenschutz-Grundverordnung nicht in angemessener Zeit gerechnet werden kann, eine nationale Regelung geschaffen werden solle. Dies reicht den Datenschützern nicht aus. “Aufgrund der voranschreitenden technischen Entwicklung, die eine immer weiter gehende Mitarbeiterüberwachung ermöglicht, besteht unmittelbarer Handlungsbedarf. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert die Bundesregierung deshalb auf, ein nationales Beschäftigtendatenschutzgesetzes um-gehend auf den Weg zu bringen“.

Datenschutzaufsicht in Europa
Zuletzt fordert die Konferenz in der Entschließung zur “Struktur der zukünftigen Datenschutzaufsicht in Europa“, dass während der im Rat der Europäischen Union andauernden Verhandlungen zur Datenschutz-Grundverordnung, bestimmte Kernelemente beachtet werden sollten, um in Zukunft einen effektiven und bürgernahen Kooperations- und Entscheidungsmechanismus der europäischen Datenschutzbehörden zu gewährleisten. Die Konferenz bekräftigt insbesondere den Grundsatz, dass jede Aufsichtsbehörde zur Kontrolle von datenschutzrechtlichen Verstößen befugt sein sollte, wenn Bürgerinnen und Bürger des jeweiligen Mitgliedstaats betroffen sind. Bei grenzüberschreitender Datenverarbeitung in Europa sollte die Aufsichtsbehörde am Ort der Hauptniederlassung nur federführend tätig werden und eng mit den anderen Aufsichtsbehörden kooperieren. Einigen sich die beteiligten Behörden, so soll die federführende Behörde die Maßnahme erlassen. In Streitfällen sollte der Europäische Datenschutzausschuss verbindlich entscheiden. Nach Ansicht der Konferenz besteht jedoch für die Einführung formeller, fristgebundener Verfahren zur Erlangung EU-weit gültiger Compliance-Entscheidungen kein Bedarf. Es dürfe bei der Klärung von Compliance-Fragen zu keiner Verlagerung der Verantwortlichkeit auf die Aufsichtsbehörden kommen.

LIBE-Ausschuss fordert mehr Datenschutz in zukünftigem eCall-System

Ab dem 1. Oktober 2015 sollen alle neuen Fahrzeugtypen in Europa mit einem bordeigenen eCall-System ausgerüstet sein. Die Anforderungen für dieses Notrufsystem, welches im Falle eines Unfalls automatisch die wichtigsten Daten wie etwa Standort, Fahrzeugtyp oder Benzinart an die Notrufstelle übermittelt, sollen in der “Verordnung über Anforderungen für die Typgenehmigung zur Einführung des bordeigenen eCall-Systems in Fahrzeuge” (COM(2013) 316) festgelegt werden. Die Idee hinter der Einführung des Systems, nämlich noch schneller und effizienter am Unfallort sein und helfen zu können, wird mehrheitlich begrüßt. Kritik erhob sich in der Vergangenheit jedoch in Bezug auf die möglichen datenschutzrechtlichen Gefahren beim Einsatz der Systeme, da diese zumindest theoretisch eine dauernde Aufzeichnung des Standortes des Fahrzeuges ermöglichen könnten oder etwa die erhobenen Daten später für andere Zwecke nutzbar seien.

Der LIBE-Ausschuss des europäischen Parlaments hat nun letzte Woche seine Stellungnahme zu der vorgeschlagenen Verordnung abgegeben.

Das Ziel der Stellungnahme wird in der Begründung klar umschrieben: “Mit dieser Stellungnahme soll dafür gesorgt werden, dass mit dem Rechtsinstrument, das am Ende des Verfahrens erlassen werden wird, die vollständige Einhaltung der Datenschutzgrundsätze der Richtlinien 95/46/EG und 2002/58/EG sichergestellt ist“. Dem zuständigen Verfasser, Axel Voss, ist es wichtig, dass in Bezug auf die Datenverarbeitung eine Unterscheidung zwischen staatlichen 112-eCall-Systemen und zusätzlich möglichen, privaten eCall-Systemen vorgenommen wird. Für diese privaten Systeme, die eventuell weitere Zusatzfunktionen bieten, müssen andere Anforderungen hinsichtlich des Datenschutzes gelten. Insbesondere sollte die Verarbeitung personenbezogener Daten dort davon abhängig gemacht werden, dass die betroffenen Personen zuvor ihre Zustimmung erteilt haben oder ein Vertrag abgeschlossen wurde.

Diese Vorgaben finden sich dann auch in den einzelnen Änderungsanträgen zu der Verordnung. So soll etwa in Erwägungsgrund 6 klargestellt werden, dass Positionsdaten des Fahrzeugs gerade nur im Notfall erhoben werden dürfen. Im Normalbetrieb sollen die mit einem bordeigenen eCall-System ausgestatten Fahrzeuge nicht verfolgbar sein (Änderungsantrag 5). Fahrzeughersteller sollen bei der Erfüllung ihrer Pflichten darauf achten, technischen Datenschutz (Privacy by Design) in die bordeigenen Systeme zu integrieren (Änderungsantrag 8). Zudem soll der “für die Verarbeitung Verantwortliche” als Begriff in die Verordnung eingeführt werden (Änderungsantrag 9), wobei die Definition aus der geltenden Datenschutz-Richtlinie (95/46/EG) übernommen wird. Weitere Änderungen, wie etwa die Voraussetzung einer ausdrücklichen Zustimmung der Betroffenen, wenn sonstige zusätzliche Informationen im Zusammenhang mit der Bereitstellung eines privaten eCall-Dienstes verarbeitet werden, beziehen sich zudem auf Artikel 6 der vorgeschlagenen Verordnung, der die “Privatsphäre und den Datenschutz” regelt. Zudem soll für das bordeigene System klar festgelegt werden, welche Datenarten erhoben und übermittelt werden dürfen: Der “Mindestdatensatz darf maximal die Informationen enthalten,…nämlich manuelle oder automatische Aktivierung, Fahrzeugtyp, Fahrzeugenergiespeicherart, Zeitstempel, Fahrzeugposition, Fahrtrichtung, minimale Anzahl der angelegten Sicherheitsgurte. Vom bordeigenen eCall-System dürfen keine weiteren Daten abgesetzt werden” (Hervorhebung durch mich).

Zuletzt soll nach der Stellungnahme des LIBE-Ausschusses auch eine Änderung aufgenommen werden, wonach in den Mitgliedstaaten Sanktionen für Verstöße gegen die datenschutzrechtlichen Vorgaben aus Artikel 6 festgelegt sein müssen (Änderungsantrag 17).

Datenschutzreform: aktueller Stand der Verhandlungen im Rat

Die Verhandlungen zur geplanten Datenschutz-Grundverordnung (DS-GVO) (und natürlich auch zur Datenschutz-Richtlinie für den Bereich der Justiz und Strafverfolgung) im Rat der Europäischen Union dauern an. Nun ist im Internet das aktuelle Arbeitsdokument zu den Änderungsvorschlägen des Ministerrates (Datum: 16.12.2013) zur Datenschutz-Grundverordnung abrufbar.

Aufgrund des Umfangs des Dokuments möchte ich hier nur einen Überblick zu Änderungsvorschlägen zu einigen Themengebieten geben. Von Interesse ist dabei freilich insbesondere, inwieweit sich die im Ministerrat vorgeschlagenen Anpassungen mit denjenigen des Berichts des LIBE-Ausschusses im Europäischen Parlament decken oder abweichen.
Continue reading

Datenschutz-Grundverordnung: Missverständnisse rund um #EUDataP

Nach der positiven Beschlussfassung (hier die inoffizielle, konsolidierte Version) im LIBE-Ausschuss des Europäischen Parlaments zur Datenschutz-Grundverordnung (DS-GVO), wurde in den Medien erneut breit über das Thema Datenschutz in Europa berichtet. Diese öffentliche Berichterstattung und Diskussion ist wichtig und auch richtig. Wer hätte sich vor 2 Jahren vorstellen können, dass die dröge Materie „Datenschutzrecht“ zu so einer medialen Aufmerksamkeit gelangt?

Ich möchte nachfolgend jedoch einige Punkte ansprechen, die in der öffentlichen Berichterstattung zur DS-GVO häufig ungenau, verzerrt oder schlicht falsch dargestellt werden. Dabei geht es mir nicht um die Belehrung von oben herab. Es erscheint vielmehr essentiell notwendig zu sein, den Bürgerinnen und Bürgern von Anfang an reinen Wein einzuschenken. Denn wenn mit Errungenschaften und Vorzügen eines neuen Gesetzes geworben wird, welche es aber per se schon nicht leisten kann oder von Anfang an nicht leisten wollte, dann wird Glaubwürdigkeit und Vertrauen verspielt. Sobald sich der erste Betroffene fragt „Aber das wurde uns doch versprochen?“, ist es hierfür zu spät.

Die DSG-VO wird der NSA das Handwerk legen

Wie Thomas Stadler heute in seinem Blog richtig schreibt, wird die DS-GVO Geheimdiensten keine Pflichten auferlegen und daher etwa ihre Tätigkeiten beschränken können. Zum einen, weil die Europäische Union im Bereich der nationalen Sicherheit nicht gesetzgebungsbefugt ist. Daher sind auch folgerichtig Gebiete „der nationalen Sicherheit“ (bzw. nach dem LIBE Entwurf, solche, “die außerhalb des Geltungsbereichs des Unionsrechts liegen”) aus dem Anwendungsbereich ausgeschlossen (Art. 2 a DS-GVO). Zum anderen kann die Europäische Union nicht Gesetze erlassen, an die sich ein drittstaatlicher Geheimdienst, wie die NSA, halten müsste. Grundlage deren Tätigkeit sind zunächst allein amerikanische Gesetze.
Continue reading