The future one-stop-shop mechanism

As many readers may know, the Council of the Europen Union is currently debating the future data protection regulation (a list of links to relevant documents can be found here). One of the „hottest“ topics is the future mechanism of cooperation between the European data protection authorities and how they may in the future work together to supervise international cooperations (or „controllers“, „proicessors“) in Europe and how citizens (or „data subjects“) may challenge decisions by authorities (the so called „one-stop-shop mechanism“).

After the current Italian presidency proposed an amended structure for the one-stop-shop mechanism (see the document here), I tried to structure this important new draft. Any comments are welcome.

One stop shop

Herausgabe von Daten an US-Behörden: Irische Regierung bittet EU-Kommission um Hilfe

Im April 2014 hatte ein US-Gericht entschieden (PDF), dass Microsoft dazu verpflichtet sei, Kundendaten die auf Servern in Irland gespeichert sind, an amerikanische Behörden herauszugeben. Gegen diesen Beschluss wehrte sich Microsoft, wurde jedoch auch durch ein Bundesgericht angewiesen, dem Durchsuchungsbefehl der US-Behörden nachzukommen. Für das Berufungsverfahren wurde der Vollzug ausgesetzt und Microsoft möchte die Daten auch nicht herausgeben. Andere Konzerne wie Apple und Cisco unterstützen die Position von Microsoft.

Zum einen besitzt das Verfahren eine mögliche wirtschaftliche Brisanz. Amerikanische Unternehmen müssten sich stets dem Risiko ausgesetzt sehen, dass Kundendaten, egal wo sie gespeichert sind, dem Zugriff von US-Behörden unterliegen.

Vor allem aber ist der Fall rechtlich interessant. Denn die amerikanischen Behörden haben nicht etwa die offiziellen Kanäle (Rechtshilfeabkommen zwischen der EU und den USA) genutzt, sondern sich direkt an das Unternehmen gewandt. Die ehemalige EU-Kommissarin für Justiz, Viviane Reding, hatte bereits im Juli 2014 die Befürchtung geäußert, „dass die extraterritoriale Anwendung ausländischer Gesetze (und darauf basierende gerichtliche Anweisungen gegen Unternehmen) gegen internationales Recht verstoßen“.

Nun hat der Irische Minister für Europaangelegenheiten und für den Datenschutz offiziell die EU-Kommission um ihre Unterstützung in diesem Gerichtsverfahren gebeten. Nach Aussage des Ministers könnte der Ausgang dieses Verfahrens möglicherweise schwerwiegende Folgen für den Datenschutz in der Europäischen Union besitzen. Durch den Versuch, die Herausgabe von Daten durch direkte Anordnungen gegenüber den Unternehmen zu erlangen, könnten die bestehenden Rechtshilfeabkommen praktisch umgangen werden.

Für international agierende Unternehmen besteht das sowohl schlichte als auch kaum zu lösende Problem, dass sie zwischen mehreren Rechtssystemen gefangen sind und nur zwischen den Rechtsverletzungen und den zu erwartenden Folgen wählen können. Dass sich eine solche Situation in einer digitalen Welt, in der immer mehr Wirtschaftszweige auf den ungehinderten Fluss von Daten angewiesen sind, als absolut unbefriedigend und revisionsbedürftig darstellt, dürfte wohl jedem einleuchten.

USA: Automobilhersteller einigen sich auf Datenschutzprinzipien

Das intelligente Auto als Teil des „Internets der Dinge“ wird in der Öffentlichkeit mit gemischten Gefühlen betrachtet. Einige sehen die Entwicklungsmöglichkeiten und Chancen, die Datenverarbeitungen im Zusammenhang mit Autos bieten, andere wiederum warnen vor dem „gläsernen Autofahrer“.

Viele der neu entwickelten Technologien und Dienstleistungen rund um das „Smart Car“ beruhen auf bzw. sind auf Informationen aus einer Vielzahl von Fahrzeugsystemen angewiesen und ihnen ist das Sammeln von Informationen, etwa über den Standort eines Fahrzeugs oder das Fahrverhalten, immanent.

In Amerika hat die “Alliance of Automobile Manufacturers (Auto Alliance)”, die viele wichtige Automobilhersteller (u.a. auch BMW of North America, Mercedes-Benz USA, Volkswagen Group of America und Ford Motor Company) zu ihren Mitgliedern zählt, nun Datenschutzprinzipien entwickelt und verabschiedet, die für den Umgang mit personenbezogenen Daten gelten.

Das Vertrauen der Verbraucher ist nach Ansicht der Auto Alliance entscheidend für den Erfolg von Fahrzeugtechnologien und Dienstleistungen. Den Mitgliedern ist zudem bewusst, dass Verbraucher wissen möchten, wie diese Fahrzeugtechnologien und Dienstleistungen funktionieren und ihnen selbst Vorteile bringen können, während sie gleichzeitig ihre Privatsphäre respektieren.

Die Datenschutzprinzipien

Die Datenschutzprinzipien (PDF) stellen nach Aussage der Auto Alliance einen Ansatz dar, um die Privatsphäre der Kunden zu schützen. Diese Prinzipien gelten für die Erfassung, Verwendung und Weitergabe von Informationen in Verbindung mit Fahrzeugtechnologien und -dienstleistungen für Pkw und leichte Nutzfahrzeuge, die an Verbraucher in den Vereinigten Staaten von Amerika verkauft oder von diesen geleased werden.

Die Datenschutzprinzipien enthalten unter anderem Regelungen zur Transparenz, der Datensparsamkeit oder auch der Datensicherheit. Interessant ist die allgemeine Definition des Anwendungsbereichs der Prinzipien. Diese gelten für sog. abgedeckte Informationen („covered information“), also solche Daten, die von den Prinzipien selbst definiert werden. Dabei handelt es sich um identifizierbare Informationen, die Fahrzeuge in elektronischer Form sammeln, erzeugen oder aufnehmen und die aus den Fahrzeugen durch einen teilnehmenden Automobilhersteller ausgelesen werden.

Was sind nun die „identifizierbaren Informationen“ (man denkt hierbei direkt an den Streit um den Personenbezug von IP-Adressen)? Auch dieser Begriff wird in den Prinzipien definiert. Es handelt sich um Informationen, die verknüpft sind oder vernünftigerweise verknüpfbar sind i) mit dem Fahrzeug aus dem die Daten abgerufen werden, ii) mit dem Eigentümer oder Leasingnehmer des Fahrzeugs oder iii) mit dem registrierten Benutzer einer Dienstleistung, die mit dem Fahrzeug verbunden ist. Der Anwendungsbereich scheint also durchaus weit gefasst zu sein, da eine Verknüpfung mit dem Fahrzeug selbst genügt.

Definiert werden im Übrigen etwa auch was „biometrische Daten“ und „Ortungsdaten“ sind.

Praktisch stellt sich für Automobilhersteller häufig die Frage, wie man den gesetzlich vorgegeben Informationspflichten im Datenschutzrecht nachkommen kann, ohne den Kunden jedes Mal mehrere ausgedruckte Papiere in die Hand drücken zu müssen. Dies mag im zu unterschreibenden Kauf- oder Leasingvertrag noch möglich sein. Doch was geschieht, wenn neue Dienste in Anspruch genommen und neue Datenverarbeitungsprozesse initiiert werden? Diesbezüglich geben die Datenschutzprinzipien einen pragmatischen und praktikablen Weg vor. Nach Ansicht der Automobilhersteller gibt es keinen one-size-fits-all-Ansatz. Die Unterzeichner der Prinzipien sollen vielmehr situationsbedingt und –angemessen entscheiden, wie sie ihre Kunden im konkreten Kontext am besten informieren können. Möglichkeiten sind Hinweise in der Betriebsanleitung, auf Papier oder auch in elektronischen Anmeldeformularen und/oder Nutzungsvereinbarungen. Möglich ist es jedoch auch, die Informationen über das bordeigene Display darzustellen. Die unterzeichnenden Autohersteller verpflichten sich zudem mindestens dazu, Informationen zur Erhebung, Verarbeitung und Nutzung der Daten öffentlich zugänglich im Internet bereit zu halten.

Fazit
Die Initiative der Auto Alliance ist definitiv zu begrüßen. Zwar stellen die Datenschutzprinzipien kein bindendes Recht dar. Jedoch bieten Sie für die beteiligten Mitglieder die Chance, den Kunden zu zeigen, wie wichtig ihnen der Datenschutz und die Privatsphäre sind. Zudem lässt sich dieser Initiative ebenfalls entnehmen, dass es in der Zukunft durchaus möglich sein wird (und meines Erachtens auch möglich sein muss), Innovation und technologischen Fortschritt zu gewährleisten und zu fördern, ohne den Schutz personenbezogener Daten zu vernachlässigen. Derartige selbstverpflichtende Initiativen der Wirtschaft sind insoweit ein wirksames Mittel, um gerade in dem sich stets und ständig entwickelnden Bereich der datenverarbeitenden Technologien für Vertrauen und Sicherheit zu sorgen, wenn gesetzliche Vorgaben nur noch überholte oder unzureichende Vorgaben machen können.

Wie regelt man zukünftig Datenschutz und Meinungsfreiheit? EU-Rat verhandelt über mehrere Optionen

Auf welche Weise wird es zukünftig möglich sein, einen angemessenen Ausgleich zwischen zwei gleichwertig geltenden Grundrechten in einem europäischen Gesetz herzustellen? Oder ist dies auf gesetzlicher Ebene überhaupt nicht möglich und sollte der Rechtsprechung überlassen bleiben? Diesen Fragen widmet sich derzeit der Rat der Europäischen Union im Rahmen der Verhandlungen zur geplanten Datenschutz-Grundverordnung (PDF, DS-GVO). Die Thematik wird insbesondere seit dem Urteil des EuGH in Sachen „Google“ (C-131/12) diskutiert, in dem der Gerichtshof einen generellen Vorrang des Grundrechts auf Datenschutz postulierte.

In einem nun veröffentlichten Dokument (PDF) aus der zuständigen Ratsarbeitsgruppe (DAPIX) vom 16. Oktober 2014, stellt die derzeitige italienische Ratspräsidentschaft vier grundsätzlich mögliche Optionen vor, um einen Ausgleich zwischen den Grundrechten auf Datenschutz und Meinungsfreiheit im zukünftigen Datenschutzrecht herstellen zu können.

Alternative 1
Es ist nicht erforderlich, in der DS-GVO eine Pflicht der Mitgliedstaaten aufzunehmen, dass diese bei der Anwendung der Gesetze verschiedene Grundrechte gegeneinander abwägen und in Einklang bringen müssen. Denn die Charta der Grundrechte der Europäischen Union (PDF) gelte ohnehin direkt in jedem Mitgliedstaat und verlange bereits, einen solchen Ausgleich herbeizuführen.

Alternative 2
Ähnlich dem vorgeschlagenen Art. 80 der DS-GVO müsse eine Pflicht für Mitgliedstaaten geschaffen werden, nach der das jeweilige nationale Recht beide hier in Rede stehenden Grundrechte miteinander in Einklang bringen muss. Unter „nationalem Recht“ sei dabei auch die nationale Rechtsprechung zu verstehen.

Alternative 3
Die DS-GVO sollte, ähnlich wie derzeit Art. 9 der Datenschutz-Richtlinie (RL 95/46/EG), diejenigen Artikel bzw. Kapitel der DS-GVO benennen, von denen die Mitgliedstaaten in ihrem nationalen Recht Ausnahmen vorsehen können, wenn es für den Ausgleich zwischen dem Recht auf Datenschutz und Meinungsfreiheit erforderlich ist. Diese national ausgestalteten Ausnahmen müssten dabei optionaler Natur sein und dem Verhältnismäßigkeitsprinzip genügen.

Alternative 4
Zuletzt wäre es denkbar, eine allgemeine Regelung (etwa in Art. 1 der DS-GVO) zu schaffen, die es den Mitgliedstaaten erlaubt, in ihrem nationalen Recht Ausnahmen von jeglichen Vorgaben der DS-GVO vorzusehen, wann immer dies erforderlich ist, um einen angemessenen Ausgleich zwischen Datenschutz und der Meinungsfreiheit herzustellen.

Die Alternativen 2 und 3 sind als ausformulierte Vorschläge in dem Dokument des Rates enthalten (Art. 80). Alternative 3 beruht dabei auf einem neuen Vorschlag von Deutschland.

Intelligente Netze und Messsysteme: Kommission veröffentlicht Empfehlungen zum Datenschutz

Intelligente Netze (sog. smart grids) und daran angeschlossene Messsysteme (sog. smart meter) erfahren einen immer größeren Verbreitungsgrad. Über diese intelligenten, da digital ansteuer- und auslesbaren, Systeme können Energieunternehmen etwa Daten über das Heizverhalten oder den Stromverbrauch von Haushalten erheben und analysieren. Der Vorteil liegt auf der Hand: Strom kann aufgrund vorgenommener Analysen zum Beispiel besser verteilt werden. Welches Gebiet benötigt wann wieviel Strom? Wo und wann besteht grundsätzlich der geringste Heizbedarf? Auch eine bedarfsgerechtere Abrechnung des Energieverbrauchs ist möglich.

Da jedoch für diese Zwecke nicht nur die jeweiligen „nackten“ Messwerte abgelesen werden, spielt das Thema Datenschutz auch in diesem Bereich des ‚Internets der Dinge‘ eine wichtige Rolle. Die europäischen Datenschützer, versammelt in der sog. Artikel 29 Datenschutzgruppe, haben daher auch bereits im Jahr 2011 eine Stellungnahme zu Fragen des Datenschutzes und dem Smart Meetering verfasst (WP 183, PDF). Die europäischen Datenschützer empfehlen unter anderem vor dem Einsatz von intelligenten Messsystemen eine Datenschutz-Folgenabschätzung vorzunehmen (WP 183, S. 12).

Um eine solche Datenschutz-Folgenabschätzung, welche die potentiellen Risiken für personenbezogene Daten beim Einsatz intelligenter Zähler bereits in der Planungsphase aufzeigen und entsprechend minimieren soll, europaweit möglichst in einer einheitlichen Form durchzuführen, hat eine Arbeitsgruppe auf europäischer Ebene (Expert Group 2 (EG2)) ein Muster (Data Protection Impact Assessment Template for Smart Grid and Smart Metering systems, PDF) entworfen, welches von Unternehmen genutzt werden soll, die den Aufbau oder Investitionen in intelligente Netze oder Messgeräte planen.

Anfang Oktober 2014 hat nun die Europäische Kommission ihre Empfehlungen zum Einsatz des Musters für die Datenschutz-Folgenabschätzung veröffentlicht (2014/724/EU, PDF). Diese Empfehlungen richten sich an die Mitgliedstaaten und wie diese bei der Verbreitung des Musters mitwirken und Unternehmen unterstützen sollten. Interessant sind zudem die in dem Dokument von der Kommission aufgestellten Definitionen zu verschiedensten Begriffen, die derzeit im Datenschutzrecht diskutiert werden (z. B. der „konzeptionsbedingte Datenschutz“ (data protection by design) oder auch der „standardmäßige Datenschutz“ (data protection by default)).

Die Kommission empfiehlt, dass die Mitgliedstaaten mit der Wirtschaft, Interessenträgern der Zivilgesellschaft und auch den nationalen Datenschutzbehörden zusammenarbeiten sollten, um in einem frühen Stadium der Einführung intelligenter Netze und intelligenter Messsysteme die Verbreitung und Anwendung des Musters für die Datenschutz-Folgenabschätzung zu fördern und zu unterstützen. Etwas konkreter sind zudem Empfehlungen, wonach die Mitgliedstaaten sicherstellen sollten, dass die für die Datenverarbeitung Verantwortlichen nach der Durchführung einer Datenschutz-Folgenabschätzung die geeigneten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten treffen und die Folgenabschätzung sowie die anhaltende Eignung der festgelegten Maßnahmen während des gesamten Lebenszyklus der Anwendung bzw. des Systems überprüfen.

Der Einsatz des Musters zur Folgenabschätzung sowie die Umsetzungsmaßnahmen der Mitgliedstaaten sollen in einer zwei-jährigen Testphase erprobt und danach von der Kommission bewertet werden. Anhand eines nachfolgenden Prüfberichts will die Kommission dann entscheiden, ob das Muster eventuell angepasst werden muss.

Internet der Dinge und Datenschutz: Anforderungen an die Einwilligung

Industrie 4.0, Internet der Dinge, Smart Car und mehr. Die Schlagworte, unter denen der Trend beschrieben wird, dass immer mehr Alltagsgegenstände einen Anschluss an das Internet erhalten und damit selbst „online sein können“, sind mannigfaltig. Daten- und Verbraucherschützer betrachten diese Entwicklung zum Teil kritisch. Die Nutzer von intelligenten Lampen, Kühlschränken oder Rauchmeldern wüssten nämlich häufig gar nicht, ob und wenn ja, welche Daten erhoben, gespeichert und womöglich übertragen werden.

Vor dem Hintergrund dieses, der technischen Entwicklung nun einmal geschuldeten Fehlens von Informationsmöglichkeiten an jedem vernetzten Haushaltsgerät (man denke an einen mehrseitigen Papierzettel, der von einem an der Decke hängenden intelligenten Rauchmelder baumelt), stellt sich aus datenschutzrechtlicher Sicht die Frage, wie man als verantwortliche Stelle, also etwa Gerätehersteller und -vertreiber, bei einer Verarbeitung personenbezogener Daten seinen Informationspflichten (§ 33 Abs. 1 BDSG oder § 13 Abs. 1 TMG) gerecht werden kann.

Fehlende Informationen für Nutzer
Die Problematik, dass sich auch in diesem Bereich rechtliche Anforderungen von den tatsächlichen Entwicklungen am Markt immer mehr entfernen, haben zuletzt die europäischen Datenschützer (versammelt in der sog. Artikel 29 Datenschutzgruppe) erkannt und in einer Stellungnahme zum „Internet der Dinge“ (WP 223, PDF) erste Einschätzungen zum Thema Datenschutz und vernetzte Geräte gegeben (hierzu bereits mein Blogbeitrag).

Nach Ansicht der Datenschützer besteht für Betroffene etwa die Gefahr, dass sie durch die für sie unsichtbare und nicht beherrschbare Datenverarbeitung die Kontrolle über ihre Daten verlieren. Zudem wüssten viele Nutzer nicht, dass die intelligenten Geräte auch untereinander kommunizieren und sich möglicherweise gegenseitig Daten zusenden. Die Artikel 29 Datenschutzgruppe befürchtet daher, dass die Betroffenen an der effektiven Ausübung ihrer Rechte gehindert werden könnten (vgl. S. 6, WP 223).

Unwirksamkeit der Einwilligung?
Dieser Mangel an Informationen darüber, dass personenbezogene Daten verarbeitet werden und wie die geschieht, würde im Falle des Erfordernisses einer Einwilligung, wenn also die Datenverarbeitung z. B. nicht auf ein Vertragsverhältnis gestützt werden könnte, möglicherweise zu deren Unwirksamkeit führen. Denn eine Einwilligung, etwa nach § 13 Abs. 2 TMG, setzt voraus, dass der Nutzer Kenntnis davon hat, worin er einwilligt. Er muss also zumindest darüber informiert werden, auf welche Daten sich die Einwilligung bezieht und welche Verwendungszwecke sie umfasst.

Die Artikel 29 Datenschutzgruppe folgert in ihrer Stellungnahme deshalb, dass in solchen Fällen die Einwilligung keine wirksame Grundlage für eine Datenverarbeitung darstellen könne (S. 7, WP 223).

Ein alternativer Ansatz
Interessanterweise stellt die Artikel 29 Datenschutzgruppe jedoch in einem anderen, kürzlich veröffentlichten Dokument (welches sich per se gar nicht auf das Internet der Dinge bezieht) dar, wie ihrer Ansicht nach eine Einwilligung möglicherweise doch wirksam eingeholt werden könnte. Es handelt sich um das „Hausaufgabenheft“ zur Datenschutzerklärung von Google (PDF). Dort führen die Datenschützer aus, wie ihrer Ansicht nach eine Datenschutzerklärung aufgebaut und präsentiert werden kann, um den gesetzlichen Anforderungen zu genügen.

Die Artikel 29 Datenschutzgruppe verweist in dem Dokument darauf, dass für die verantwortliche Stelle datenschutzrechtliche Informationspflichten bestehen und diese auch dann eingehalten werden müssen, der Betroffene verschiedene Arten von Endgeräten nutzt, wie etwa einen PC, ein Handy oder ein Tablet. Wenn jedoch das Endgerät aufgrund seiner Konstruktion nicht die Möglichkeit bietet, die erforderlichen Informationen zur Datenverarbeitung anzuzeigen (etwa aufgrund eines fehlenden Monitors), so sehen es die europäischen Datenschützer durchaus als gangbare Alternative an, wenn die Informationen auf demjenigen Endgerät angezeigt werden und abrufbar sind, auf dem der Nutzer das intelligente Gerät konfigurieren kann (S. 3).

Die Datenschützer erwähnen explizit Geräte des Unternehmens Nest, welches intelligente Rauchmelder oder Thermostate vertreibt. Auf diese Weise böte sich damit natürlich auch die Möglichkeit, auf dem „Konfigurationsgerät“ die Einwilligung der Nutzer für eine Datenverarbeitung einzuholen. Die so vorgeschlagene Vorgehensweise lässt sich in jedem Fall begrüßen und bietet für Unternehmen, die Produkte für das Internet der Dinge herstellen und vertreiben eine interessante Alternative, um ihren datenschutzrechtlichen Pflichten nachzukommen.

Recht auf Vergessen: Google veröffentlicht neue Zahlen – Facebook am meisten betroffen

Als Teil seiner online abrufbaren Transparenzberichte hat Google am 9. Oktober 2014 neue Zahlen und Statistiken zu Löschanfragen von Betroffenen präsentiert, die ihr sog. „Recht auf Vergessenwerden“ nach dem europäischen Datenschutzrecht wahrgenommen haben.

Die von Google bereitgestellten Statistiken geben Auskunft über die Gesamtzahl der Anfragen und der betroffenen Links. Auch kann man die Anfragen nach europäischen Ländern filtern. Zudem gibt Google auch Beispiele dafür, welche Arten von Anfragen gestellt wurden, worum es bei diesen inhaltlich ging und ob die betreffenden URLs aus der Ergebnisliste entfernt (bzw. unterdrückt) wurden oder nicht.
Seit dem Urteil des Europäischen Gerichtshofs (Rs C-131/12) vom 13. Mai 2014, hat Google nach eigenen Angaben 144.907 Ersuchen von Betroffenen erhalten. Diese bezogen sich auf insgesamt 497.507 URLs. Hieraus wird deutlich, dass die meisten Personen direkt nicht nur Suchergebnisse zu einer URL, sondern zu mehreren Quellen unterdrückt wissen wollen.

Die Zahlen für Deutschland: Insgesamt 24.979 Ersuchen, die sich auf 88.873 URLs bezogen.

Interessant ist zudem die Statistik, welche Webseiten (also Suchergebnisse mit URLs dieser Webseiten) im Schnitt am häufigsten von Löschanfragen betroffen waren. Spitzenreiter ist hier Facebook.com. Diesbezüglich wäre es natürlich besonders interessant, weitere Einzelheiten zu kennen. Denn wie die meisten wissen, kann man als Nutzer von Facebook Beiträge und Bilder völlig freiwillig der Öffentlichkeit (als dem gesamten Internet und damit auch der Suchmaschine von Google) zugänglich machen. In diesen Fällen wäre also wohl besonders zu untersuchen, ob eventuell die Person, die die Löschanfrage an Google gestellt hat, nicht vorher selbst in die Veröffentlichung eines Bildes oder Textes mit ihren personenbezogenen Daten eingewilligt hat. Freileich können sich die Löschgesuche aber vor allem auch auf diejenigen Fälle beziehen, in denen z.B. Bilder von einer Person ohne deren Zustimmung für die Öffentlichkeit sichtbar gemacht wurden, etwa weil sie aus ihrem Facebookprofil (dessen Inhalte nur für Freunde sichtbar sind) herauskopiert und erneut (öffentlich) gepostet/geteilt wurden.

Weitere beliebte „Löschziele“ der Antragsteller sind auch die Seiten von Youtube, das soziale Netzwerk Badoo und Personensuchmaschinen, wie etwa Yasni.

Die Initiative von Google, Informationen zu den Löschanfragen und ihrer Behandlung durch das Unternehmen zu veröffentlichen ist in jedem Fall zu begrüßen.

Konferenz der deutschen Datenschützer: „Recht, schwer gefunden zu werden“ soll weltweit gelten

Am 8. und 9. Oktober 2014 fand in Hamburg die 88. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) statt. Auf der Tagesordnung standen unter anderem die Kontrolle von Geheimdiensten, das Google-Urteil des EuGH und der Datenschutz im KfZ. Die Entschließungen der DSK sind nun auf der Webseite des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit abrufbar.
Mit Blick auf die Tätigkeit der Nachrichtendienste (Effektive Kontrolle der Nachrichtendienste herstellen!, PDF) stellt die DSK fest, dass deren Befugnisse auch die Überwachung der Telekommunikation einschließe und damit im Bereich der strategischen Auslandsüberwachung des BND ein Kontrolldefizit einhergeht. Da für die Betroffenen die durch Nachrichtendienste vorgenommene Datenverarbeitung in weitem Maße intransparent erfolgt, ist nach Ansicht der DSK auch der Individualrechtsschutz faktisch eingeschränkt. Die DSK bemängelt, dass bestimmte Bereiche nachrichtendienstlicher Tätigkeiten per se Eigeninitiativkontrolle durch die Datenschutzbeauftragten des Bundes und der Länder entzogen seien. Es fehle an einem eigenen Kontrollmandat der Datenschutzbeauftragten für Beschränkungen des Fernmeldegeheimnisses. Die DSK hält daher eine Einbindung der Datenschutzbeauftragten neben den parlamentarischen Kontrollinstanzen (G10-Kommission) für erforderlich.

Auch das „Google-Urteil“ des EuGH (Rs. C-131/12) war ein Thema der DSK (Zum Recht auf Sperrung von Suchergebnissen bei Anbietern von Suchmaschinen, PDF). Mit Blick auf die immer noch umstrittene Frage, ob nach einer erfolgreichen Beschwerde eines Betroffenen die Ergebnislisten auch bei einer Suche über „Google.com“ entsprecht angepasst (also bestimmte Ergebnisse unterdrückt) werden müssen, fordert die DSK, dass Anbieter von Suchmaschinen die Suchergebnisse bei einem begründeten Widerspruch weltweit unterbinden. Hinsichtlich der auch vom Bundesinnenministerium angestellten Überlegungen, unabhängige Schlichtungsstellen zu etablieren, die bei Beschwerden über zurückgewiesene Anträge von Betroffenen entscheiden sollen, scheint die DSK Zurückhaltung zu üben. Nach der Entschließung dürften alternative Streitbeilegungs-oder Streitschlichtungsverfahren das verfassungsmäßige Recht der Betroffenen auf eine unabhängige Kontrolle durch die dafür vorgesehenen staatlichen Institutionen (also Gerichte und/oder die Datenschutzbehörden) nicht beschneiden. Zuletzt streiten die Datenschützer eine Befugnis von Suchmaschinenbetreibern ab, dass diese bei einem positiven Antrag eines Betroffenen den jeweiligen Inhalteanbieter (also den Webseitenbetreiber) über die Sperrung von Suchergebnissen informieren dürften. Dies soll selbst dann gelt, wenn die Benachrichtigung nicht ausdrücklich den Namen des Betroffenen enthält. Meiner Ansicht nach ist dann aber, zumindest aus datenschutzrechtlicher Sicht fraglich, warum eine solche Information nicht erteilt werden dürfte? Denn personenbezogene Daten (wie der Name) werden ja dann nicht verarbeitet. Ironischerweise dürfte diese Sichtweise mit der geplanten Datenschutz-Grundverordnung ohnehin bald obsolet sein. Denn nach dem Entwurf der Kommission (Kom (2012) 11,  PDF) soll in Art. 17 Abs. 2 gerade eine solche Benachrichtigung verpflichtend eingeführt werden. Auf diese Pflicht weißt auch die italienische Ratspräsidentschaft in dem neuesten Dokument aus den Ratsverhandlungen zur Thematik des „Rechts auf Vergessenwerden“ hin (PDF).

Weitere Entschließungen der DSK:
Marktmacht und informationelle Selbstbestimmung (PDF)

Unabhängige und effektive Datenschutzaufsicht ist für Grundrechtschutz unabdingbar (PDF)

Datenschutz im Kraftfahrzeug (PDF)

Datenschützer entwickeln ein Hausaufgabenheft für Google

Seit 2012 haben europäische Datenschutzbehörden in einer koordinierten Aktion, unter Führung der französischen Datenschutzbehörde, die Datenschutzerklärung von Google und deren Vereinbarkeit mit europäischem Datenschutzrecht überprüft (hierzu meine Blogbeiträge: Europa gegen Google? – Die “Task-Force” macht ernst und Französische Datenschutzbehörde eröffnet Verfahren gegen Google). Nachdem in den letzten Jahren jeweils nationale Verfahren aus diesem koordinierten Vorgehen erwachsen sind (etwa in Spanien oder in Frankreich), hat das Gremium der europäischen Datenschutzbehörden (die Art. 29 Gruppe) nun einen Maßnahmenkatalog (PDF) (man könnte auch von einem datenschutzrechtlichen Hausaufgabenheft sprechen) entwickelt, der Maßnahmen vorschlägt, wie aus der Datenschutzbehörden die Datenschutzerklärung von Google anzupassen ist, um eine Konformität mit europäischem Datenschutzrecht herzustellen. Begleitet wird dieser Katalog von einem Brief (PDF) an Larry Page.

Die Vorschläge der Datenschützer sind dabei als mögliche Lösungsvarianten anzusehen und sollen Google dabei helfen, die Vorgaben der Aufsichtsbehörden umzusetzen. Nachfolgend einige Highlights des immerhin 6-seitigen Dokuments.

  • Die Datenschutzerklärung soll stets sichtbar und direkt aufrufbar sein, ohne dass Nutzer etwa zum Ende einer Webseite scrollen müssten.
  • Es sollen abschließend alle Datenarten aufgelistet werden, die von Google im Rahmen seiner Dienste verarbeitet werden.
  • Auch sollen abschließend alle Zwecke angegeben werden, die der Datenverarbeitung zugrunde liegen.
  • Allein auf einer Seite soll Google den Nutzern die Möglichkeit bieten, sich ein umfassendes Bild über die Datenverarbeitung zu verschaffen.
  • Sollten sich die Zweck der Datenverarbeitung ändern oder neue hinzukommen, so soll Google dies nicht in den Nutzungsbedingungen darstellen, sondern vielmehr in der Datenschutzerklärung darüber informieren.
  • Werden Daten an Dritte weitergegeben, so dürfe Google nicht einfach von „Partnern“ sprechen, sondern müsse diese Partner konkret benennen.
  • Passive Webseitenbesuchern sollen besser informiert werden. Zudem müsste ihnen die Möglichkeit einer Einwilligung in die Verarbeitung ihrer Daten gegeben werden. Die Art. 29 Gruppe weißt hier auf Google Analytics hin. So könnte der Dienst etwa derart eingestellt werden, dass eine Analyse des Nutzerverhaltens erst beginnt, wenn der Betroffene seine Einwilligung erteilt hat. Auch wird hier auf die in der Praxis etablierte Verfahrensweise des Einsatzes von Google Analytics in Deutschland hingewiesen (Kürzung der IP-Adresse; Abschluss eines Vertrages zur Auftragsdatenverarbeitung; Möglichkeit des Opt-out). Diese Lösung könnte, so die Idee der Datenschützer, auf andere Länder übertragen werden.
  • Google sollte zudem die Formulierungen seiner Datenschutzerklärung ändern und keine Begriffe wie „wir können“ verwenden.
  • Nach Ansicht der Art. 29 Gruppe könnte Google seine Datenschutzerklärung mehrschichtig aufbauen. Auf der ersten Ebene allgemeine Informationen mit Verweisen zu speziellen und umfangreicheren Erläuterungen der einzelnen Dienste. Auf der zweiten Ebene dann spezielle Informationen zum Datenumgang bei den einzelnen Diensten.
  • Zudem soll Google Richtlinien zur Datenspeicherung und der Speicherdauer entwickeln. Diese sollten den Datenschutzbehörden vorgelegt werden.

Die Vorgaben bzw. Empfehlungen der Art. 29 Gruppe sind durchaus eine interessante Zusammenstellung an Interpretationen des europäischen Datenschutzrechts und wie sich ein Diensteanbieter wie Google insoweit konform verhalten kann. Dennoch scheinen einige der Vorgaben praktisch kaum umsetzbar bzw. mit dem geltenden Datenschutzrecht nicht begründbar zu sein. Ein Beispiel: die umfassende Aufklärung der Datenverarbeitung allein auf einer Seite. Was ist überhaupt eine „Seite“? DinA4? Gerade Unternehmen wie Google verarbeiten eine große Menge an Daten. Die Verarbeitungsvorgänge sind teilweise nicht in einem Satz darzustellen. Möchte der Anbieter also zumindest ansatzweise umfassend und dazu noch verständlich aufklären, dann benötigt er eben auch einmal mehr als eine „Seite“ an Informationen. Dieses Dilemma ist aber nicht unbedingt neu. Unternehmen möchten umfassend aufklären: dann wird ihnen vorgeworfen, die Datenschutzerklärung sei zu lang und kompliziert. Diensteanbieter straffen die Informationen und reduzieren sie auf die Kernthemen: dann wird ihnen vorgeworfen, dass sie nicht ausreichend aufklären und Nutzer in die Irre führen. Es zeigt sich, dass der Anspruch des Rechts und die Umsetzung in der Praxis doch häufig kaum (oder nur mit massiven Verrenkungen) vereinbar sind.

Datenschutz und „Internet der Dinge“ – Position der Europäischen Datenschützer

Die Artikel 29 Datenschutzgruppe (Art. 29 Gruppe), das Gremium der Vertreter der europäischen Aufsichtsbehörden für den Datenschutz, hat in einer neuen Stellungnahme (WP 223, PDF) zum „Internet der Dinge“ (IoT) ihre Positionen zu verschiedenen datenschutzrechtlichen Fragen im Zusammenhang mit der Datenverarbeitung rund um Smartwatches, Fitnesstracker oder intelligente Thermostate dargelegt. Im Folgenden möchte ich einige der in der Stellungnahme angesprochenen Themenbereiche näher beleuchten.

Räumlicher Anwendungsbereich
Nach Ansicht der Art. 29 Gruppe ist das europäischen Datenschutzrecht (bzw. die jeweilige nationale Umsetzung der Vorgaben der geltenden Datenschutzrichtlinie (DS-RL) 95/46/EG) zum einen dann anwendbar, wenn Datenverarbeitungen „im Rahmen der Tätigkeiten“ einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche (hierzu sogleich) in der Europäischen Union besitzt (Art. 4 Abs. 1 lit. a DS-RL). Was genau unter der Umschreibung „im Rahmen der Tätigkeiten“ zu verstehen ist, wird in dieser Stellungnahme nicht näher erläutert. Jedoch verweisen die Datenschützer auf das Google-Urteil des Europäischen Gerichtshofs (C-131/12) und die dort vorgenommene sehr weite (meines Erachtens mit dem Wortlaut der Datenschutzrichtlinie kaum zu vereinbarende) Auslegung dieses Begriffs. Sollte der für die Datenverarbeitung Verantwortliche nicht in der EU niedergelassen sein, ist das europäische Datenschutzrecht dennoch anwendbar, wenn er nach Art. 4 Abs. 1 lit. c DS-RL auf Mittel zurückgreift, welche in einem Mitgliedstaat belegen sind. Nach Ansicht der Datenschützer stellen alle Geräte, die zur Erhebung oder weiteren Verarbeitung von personenbezogenen Daten im Rahmen eines IoT-Dienstes eingesetzt werden, solche „Mittel“ im Sinne der DS-RL dar. Hierzu gehören aber auch die Smartphones oder Tablets der Nutzer, auf denen entsprechende Software oder Apps zum Analysieren oder Übermitteln der erhobenen Daten installiert sind.

Personenbezogene Daten
Für die Datenschützer sind die Informationen, die von den IoT-Geräten erhoben werden, in den meisten Fällen als personenbezogen im Sinne des Art. 2 DS-RL anzusehen. Entweder kann eine bestimmte Person direkt hierüber identifiziert oder es können Lebensmuster und –gewohnheiten einer Person oder Familie erkannt werden. Jedoch gehen die Datenschützer in ihrer Stellungnahme noch weiter. Selbst wenn Daten pseudonymisiert oder gar anonymsiert werden, so bestünde doch aufgrund der Schieren Menge an Informationen stets ein latentes Risiko einer Re-Identifizierung. Dies reiche aus, um von personenbezogenen Daten auszugehen.

Für die Datenverarbeitung Verantwortlicher
Bei der Frage des für die Verarbeitung Verantwortlichen geht es um die Bestimmung derjenigen Stelle, welche die gesetzlichen Pflichten des Datenschutzrechts treffen. Die Art. 29 Gruppe verweist darauf, dass im Bereich des Internet der Dinge viele verschiedene Spieler beteiligt sind und daher eine genaue Analyse Ihrer Beteiligungen an den jeweiligen Datenverarbeitungsprozessen vorzunehmen ist. Der Gerätehersteller ist nach Ansicht der Datenschützer vor allem dann für die Datenverarbeitung verantwortlich, wenn er nicht nur das physische Gerät verkauft, sondern auch die Software programmiert und damit vorgibt, wie und welche Daten erhoben und zu welchen Zwecken verarbeitet werden. Auch Internetplattformen, auf denen Nutzer die über das Gerät erhoben Daten teilen und veröffentlichen können, besitzen unter gewissen Umständen datenschutzrechtliche Pflichten. So ist etwa der Anbieter eines sozialen Netzwerkes nach Ansicht der Datenschützer dann als Verantwortlicher anzusehen, wenn er Daten aus dem IoT-Gerät eines Nutzers für eigene Zwecke verwendet, z.B. um personalisierte Werbung für passionierte Jogger auszuspielen. Und auch Anbieter von Drittdiensten, etwa speziellen Apps, die auf IoT-Daten zugreifen, sind als für die Verarbeitung Verantwortlichen anzusehen, wenn sie über eine vorhandene API auf Informationen auf dem jeweiligen Gerät zugreifen. Nach Ansicht der Art. 29 Gruppe bedarf es hierfür zumeist der Einwilligung des Betroffenen, welche im Rahmen des Installationsprozesses der App einzuholen ist.

Einwilligung nach der ePrivacy-Richtlinie
Die Art. 29 Gruppe weist in ihrer Stellungnahme darauf hin, dass neben den Regelungen der DS-RL auch einzelne Bestimmungen anderer Gesetze zur Anwendung kommen können. Insbesondere im Blick haben die Datenschützer hierbei Art. 5 Abs. 3 der sog. ePrivacy-Richtlinie (2002/58/EG). Danach ist die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung gegeben hat. Dieses Einwilligungserfordernis betrifft nach Ansicht der Datenschützer vor allem den Gerätehersteller. Zu beachten ist, dass die Einwilligung sich nicht nur auf personenbezogene Daten bezieht, sondern ganz allgemein auf Informationen, die in einem IoT-Gerät gespeichert sind.

Erlaubnistatbestände der Datenverarbeitung
Die Verarbeitung personenbezogener Daten, die über ein IoT-Gerät erhoben werden, bedarf nach dem geltenden Prinzip des Verbots mit Erlaubnisvorbehalt eines Erlaubnistatbestandes. Art. 7 DS-RL listet die möglichen gesetzlichen Grundlagen einer Verarbeitung personenbezogener Daten auf. Die Voraussetzungen einer der Alternativen des Art. 7 DS-RL sind neben den Voraussetzungen des Art. 5 Abs. 3 ePrivacy-Richtlinie zu erfüllen (der ja bereits bei einem Zugriff auf Informationen einschlägig ist). Nach Ansicht der Art. 29 Gruppe kommen im Rahmen des Einsatzes von IoT-Geräten vor allem drei Varianten des Art. 7 DS-RL in Betracht. Zum einen Art. 7 lit. a DS-RL, wenn der Betroffene seine Einwilligung in die Datenverarbeitung erteilt hat. Zum anderen Art. 7 lit. b DS-RL, wenn die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist. Die Art. 29 Gruppe weist darauf hin, dass der Anwendungsbereich dieses Erlaubnistatbestandes durch das Merkmal der „Erforderlichkeit“ begrenzt ist. Zum Dritten stellt auch Art. 7 lit. f DS-RL einen tauglichen Erlaubnistatbestand dar, wenn die Verarbeitung zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird erforderlich ist. Dies jedoch nur, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. In diesem Zusammenhang verweisen die Datenschützer erneut auf das Google-Urteil des EuGH und nehmen die Aussagen des Gerichts zum Anlass darauf einzugehen, dass eine Datenverarbeitung über IoT-Geräte sehr wahrscheinlich die Grundrechte auf Privatleben und den Schutz personenbezogener Daten in besonderer Weise berührt. Die Daten beziehen sich etwa auf die Gesundheit der Betroffenen oder ihre private Umgebung. Nach Ansicht der Art. 29 Gruppe ist eine Datenverarbeitung unter diesen Gegebenheiten kaum allein durch die wirtschaftlichen Interessen des jeweils Verantwortlichen zu rechtfertigen.

Zusammenfassung
Die Stellungnahme der Art. 29 Gruppe geht noch auf weitere Aspekte ein, etwa Anforderungen an die Datenqualität, die Verarbeitung besonderer Arten von personenbezogenen Daten (z. B. Gesundheitsdaten) oder auch zu ergreifende technische und organisatorische Maßnahmen, um die Datensicherheit zu gewährleisten. Insgesamt dient die Stellungnahme der Datenschützer sicherlich als informative Lektüre, um eine grobe Einschätzung des immer bedeutender werdenden Bereichs des Internets der Dinge aus Sicht der Aufsichtsbehörden zu erhalten. Meines Erachtens sind die Positionen der Art. 29 Gruppe freilich nicht in jedem Punkt las eine Art „obiter dictum“ hinzunehmen. So stellt sich etwa für Geräte- oder Softwarehersteller die Frage des Sinns (bzw. Unsinns) von Anonymisierungsverfahren, wenn nach Ansicht der Datenschützer selbst dann die datenschutzrechtlichen Pflichten eingreifen. Als ob also eine Anonymisierung von Daten gar nicht stattgefunden hätte. Warum sollten Unternehmen dann noch eine Anonymisierung (die mit tatsächlichen und finanziellen Aufwandverbunden ist) vornehmen? Auch in Zukunft werden das vernetzte Haus, das smarte Auto oder die intelligenten Uhren den Datenschutz vor Herausforderungen stellen. Es sollte daher auch genau auf eine mögliche Berücksichtigung dieser Technologien in der geplanten Datenschutz-Grundverordnung geachtet werden und wie das künftige Datenschutzrecht mit technologischen Entwicklungen umgehen wird.
Vg Wort