Datenschutz-Grundverordnung: LIBE-Ausschuss verständigt sich auf Änderungen

Am Montag, den 21. Oktober 2013, wird der federführende Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) des Europäischen Parlaments zum Entwurf des Berichts von Jan Philipp Albrecht und über die Änderungsanträge zur vorgeschlagenen Datenschutz-Grundverordnung (KOM (2012)11, DS-GVO) der Europäischen Kommission abstimmen. Kommt es hier zu einer Einigung, würde dies die Tür für informelle, interinstitutionelle Verhandlungen zwischen der Europäischen Kommission, dem Europäischen Parlament und dem Rat der Europäischen Union (sog. Trilog) öffnen. Ziel dieser Verhandlungen ist es, eine Einigung zwischen den drei Parteien zu erzielen, um so den Gesetzgebungsprozess zu beschleunigen.

Aufgrund der enormen Anzahl an Änderungsanträgen zum Verordnungsvorschlag der Kommission sah es, nach mehrmaligen Verlegungen bereits geplanter Abstimmungen, nicht unbedingt danach aus, dass der LIBE Ausschuss alsbald zu einer Einigung kommen würde. Nach ersten Medienberichten (EUobserver; Guardian) wurde nun jedoch ein Vorschlag erarbeitet, den alle vertretenen Parteien im Ausschuss unterstützen.
Continue reading

Australien: Gesetzesreform für besseren Schutz der Privatsphäre im digitalen Zeitalter

Im Juni 2013 erhielt die Australian Law Reform Commission (ALRC; eine Bundesbehörde, die Rechtsfragen des Justizministers beantwortet und Vorschläge für Modernisierungen des geltenden Rechts unterbreitet) den Auftrag, eine Untersuchung durchzuführen, inwieweit das australische Recht dahingehend angepasst werden kann, um schwere Eingriffe in die Privatsphäre zu verhindern und zu entschädigen.

Hierzu hat die ALRC nun ein erstes Themenpapier mit dem Titel „Serious Invasions of Privacy in the Digital Era“ veröffentlicht. Definiert sind darin zum einen 28 konkrete Fragen zu bestimmten Bereichen des Persönlichkeitsschutzes im digitalen Zeitalter und wie das geltende Recht hierauf reagieren kann. Zudem hat die ALRC in dem Themenpapier bereits den Status quo dargestellt und auch einige eigene Vorschläge unterbreitet.
Continue reading

Safe Harbor – LIBE Untersuchungsausschuss fordert Aussetzung

In der heutigen Anhörung des LIBE Untersuchungsausschusses zu den Überwachungstätigkeiten amerikanischer Geheimdienste und dem Zugriff dieser Dienste auf in die USA übermittelte Daten europäischer Bürger ging es vor allem um die Auswirkungen auf die Safe Harbor Entscheidung der Europäischen Kommission (zum Inhalt von Safe Harbor habe ich bereits hier etwas geschrieben). Hier eine kurze Einschätzung der Sitzung, ohne auf alle aufgeworfenen Fragen eingehen zu können.
Continue reading

Twitter’s Börsengang – Datenschutz als Investorenrisiko?

Aus dem vorläufigen Börsenprospekt von Twitter, der auf der Internetseite der amerikanischen Börsenaufsicht (SEC) abrufbar ist, lassen sich einige interessante Informationen zu dem Unternehmen selbst und seinem geplanten Börsengang entnehmen. Betrachtet man die dortigen Angaben allein aus dem Blickwinkel des Datenschutzrechts fällt auf, dass Bezugnahmen hierzu meist im Rahmen von möglichen Risiken erwähnt werden.

Grundsätzlich stellt Twitter klar, dass zu den Risiken, welche sich auf das Geschäft von Twitter und sein wirtschaftliches Wachstum auswirken können, vor allem auch Bedenken der Nutzer in Bezug auf den Datenschutz zählen:

A number of factors could potentially negatively affect user growth and engagement, including if: … there are user concerns related to privacy and communication, safety, security or other factors

Insbesondere negative öffentliche Berichterstattung über das Unternehmen, auch in Bezug auf den Datenschutz, könnten dem Ansehen von Twitter und dem Vertrauen in seine Produkte schaden:

Negative publicity about our company, including about … privacy and security practices … even if inaccurate, could adversely affect our reputation and the confidence in and the use of our products and services.

Auch die Einhaltung ausländischer Daten- und Verbraucherschutzgesetze und die Möglichkeit, gegen diese Gesetze zu verstoßen, sind ein Faktor, der zu einem Risiko für die zukünftige Entwicklung und das Wachstum des Unternehmens werden könnte.
Continue reading

Datenschutz-Grundverordnung: Kritik am Prinzip der zentralen Anlaufstelle

In einem Vermerk der litauischen Ratspräsidentschaft an die Mitglieder des Rates der europäischen Union vom 03. Oktober 2013 werden die Positionen der Mitgliedstaaten zu dem Prinzip der zentralen Anlaufstelle (one-stop-shop) der im Entwurf befindlichen Datenschutz-Grundverordnung (DS-GVO, KOM(2012) 11) zusammengefasst. Am kommenden Montag werden die Justiz- und Innenminister der Europäischen Union unter anderem auch hierüber diskutieren.

Um was geht es?
Mit dem in Art. 51 Abs. 2 DS-GVO vorgeschlagenen Prinzip der zentralen Anlaufstelle soll in Zukunft die Durchsetzung und Überwachung des Datenschutzrechts vereinfacht werden. Danach ist für Datenverarbeitungsvorgänge eines Verantwortlichen oder eines Auftragsdatenverarbeiters, der in mehreren EU-Mitgliedstaaten Niederlassungen besitzt, die Datenschutzaufsichtsbehörde desjenigen Mitgliedstaates alleine (!) zuständig, in dem sich die Hauptniederlassung des Verantwortlichen befindet. Nach Art. 4 Nr. 13 DS-GVO ist Hauptniederlassung der Ort der Niederlassung in der Union, an dem die Grundsatzentscheidungen hinsichtlich der Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten getroffen werden. Das Prinzip hat damit sowohl eine Erleichterung für Unternehmen zur Folge, die sich dann nur noch einer Aufsichtsbehörde gegenüber sehen. Und auch die Rechte der betroffenen Personen sollen so (prinzipiell) besser durchsetzbar sein. Als Paradebeispiel könnte man hier etwa die Niederlassung von Facebook in Irland anführen, welche die Europazentrale des Unternehmens darstellt.

Kritik der Mitgliedstaaten
Aus dem Vermerk geht hervor, dass dieses Prinzip der zentralen Anlaufstelle zwar grundsätzliche breite Zustimmung erfährt. Die tatsächliche Ausgestaltung in ihrer derzeit geplanten Form jedoch von der Mehrheit der Mitgliedstaaten nicht befürwortet wird.

Beschwerden ja, Durchsetzung nein
So wird vorgebracht, dass zwar die Möglichkeit für betroffene Personen bestehen soll, nach Art. 73 Abs. 1 DS-GVO eine Beschwerde wegen einer unrechtmäßigen Datenverarbeitung bei jeder nationalen Datenschutzbehörde vorzubringen, also nicht nur bei der Aufsichtsbehörde der Hauptniederlassung. Aber eventuelle Maßnahmen und Sanktionen könnten dann dennoch nur durch diese Hauptaufsichtsbehörde vollzogen werden. Um am Beispiel von Facebook zu bleiben: Deutsche Nutzer könnten bei einer deutschen Datenschutzbehörde eine Beschwerde vorbringen, sich aus einer tatsächlich festgestellten Verletzung datenschutzrechtlicher Vorschriften ergebende Maßnahmen würden jedoch alleine durch die irische Datenschutzbehörde vorgenommen werden.

Gefahr für den Schutz der Betroffenen
Diese sich ergebende Schere zwischen Beschwerde und Durchsetzung sehen viele Mitgliedstaaten als eine Gefahr für die Datenschutzrechte der Betroffenen an. Denn für die Betroffenen ist die Nähe, also der kurze und effektive Kommunikationsweg, zur jeweiligen Aufsichtsbehörde von entscheidender Bedeutung. Dieser würde jedoch erschwert, wenn für die Durchsetzung ihrer Rechte und das entsprechende Verfahren eine ausländische Aufsichtsbehörde zuständig wäre. Zudem sollte es Betroffenen möglich sein, eine Entscheidung „ihrer“ Aufsichtsbehörde zu erhalten und diese Entscheidung dann eventuell vor den eigenen nationalen Gerichten anzufechten.

Lösungsvorschläge
Der Vermerk fasst einige durch die Mitgliedstaaten vorgebrachte Vorschläge zur Modifikation des Prinzips der zentralen Anlaufstelle zusammen, wobei hier nur auf einzelne eingegangen werden soll.

  • Die Hauptaufsichtsbehörde könnte prinzipiell weiter allein zuständig sein, dennoch sollten einige Befugnisse nicht exklusiv durch sie ausgeübt werden. Gerade Überwachungs- und Kontrollbefugnisse bestimmter Datenverarbeitungsvorgänge könnten auch von nationalen Behörden ausgeführt werden, gerade wenn diese auf dem Gebiet ihres Mitgliedstaates stattgefunden haben.
  • Bei Datenverarbeitungsvorgängen, die sich auf mehrere Mitgliedstaaten beziehen, könnte etwa ein Mitbestimmungsverfahren, unter Einbeziehung anderer nationaler Behörden eingeführt werden. Hier gäbe es zwar immer noch eine Hauptaufsichtsbehörde. Diese könnte Maßnahmen von über die nationalen Grenzen hinausgehender Bedeutung jedoch nicht mehr alleine, sondern nur in Abstimmung mit anderen Behörden, treffen. Zwar besteht ein ähnliches Verfahren für gemeinsame Maßnahmen bereits in Art. 56 DS-GVO. Jedoch ist dort nur das „Miteinander“ bei den Maßnahmen geregelt, also das Recht auf eine Teilnahme und nicht das Recht, selbst Maßnahmen zu treffen.
  • Zudem sollten grundsätzlich die nationalen Behörden, bei denen eine Beschwerde eingegangen ist, mehr in den Entscheidungsprozess der zu treffenden Maßnahmen eingebunden werden. So würde dem für die Betroffenen wichtigen „Näheverhältnis“ zu ihrer Behörde Rechnung getragen und die oben beschriebene Schere etwas geschlossen.
  • Bei der Beteiligung mehrerer Aufsichtsbehörden in einem Verfahren würden sich freilich nicht immer übereinstimmende Meinungen zum Vorgehen herausbilden. Hierzu könnte dann ein Verfahren bei dem einzurichtenden Europäischen Datenschutzausschuss (Art. 64 DS-GVO, ein Zusammenschluss aller nationaler Datenschutzbehörden und des Europäischen Datenschutzbeauftragen) eingeführt werden, in dem dieser eine abschließende Stellungnahme abgibt, ja eventuell sogar eine abschließende Entscheidung fällt (auch wenn er dazu dann mit entsprechender, bisher nicht vorhandener, rechtlicher Befugnis ausgestattet werden müsste).

Ausblick
Am Montag werden die Justizminister das oben beschriebene Prinzip und mögliche Änderungen beraten, jedoch noch nicht abschließend. Der Grundkonsens im Rat scheint zu sein, dass etwas geändert werden muss, um den Rechten der Betroffenen besser und vor allem praxistauglicher Geltung verschaffen zu können. Welche Variante dies sein wird, bleibt abzuwarten. Es zeigt sich jedoch auch, dass der Rat nicht unbedingt das Gesetze verwässernde und Verbraucherrechte fressende Europäische Organ ist, zu welchem er in der öffentlichen Debatte häufig gemacht wird. Vielmehr geht es bei diesen Vorschlägen vor allem um Effektivität und Durchführbarkeit. Dies ist zu begrüßen.

Digitale Wirtschaft: Britischer Ausschuss tadelt Google und unterstützt Online-Werbung

Die Mitglieder des Ausschusses für Kultur, Medien und Sport des Britischen Unterhauses haben in einem Bericht (Supporting the creative economy) vom 26.09.2013 unter anderem ihre Ansichten zur Entwicklung der digitalen Wirtschaft in Großbritannien dargelegt.

Dabei geht es auch um Probleme und Herausforderungen auf dem Gebiet des Urheberrechts und des Datenschutzrechts, sowie um Implikationen für britische Unternehmen der kreativen und digitalen Wirtschaft.
Continue reading

EU Kommission prüft 180 Beschwerden gegen irische Datenschutzbehörde

Nach Aussage (PDF) der österreichischen Vereinigung „europe-v-facebook“ (evf) sind derzeit über 1.000 Beschwerden gegen Facebook bei der nationalen irischen Datenschutzbehörde anhängig. Es geht dabei um die Durchsetzung des Auskunftsrechts (Art. 12 der Datenschutzrichtlinie, RL 95/46/EG) gegenüber Facebook, zu den bei dem Anbieter über sie gespeicherten personenbezogenen Daten. Da die durch das Unternehmen bereitgestellten Informationen nur unvollständig seien, habe sich ein Teil der Betroffenen an die irischen Datenschützer gewendet.

Standard E-Mail und fehlender Aktenzugang

Da jedoch auch die Behörde zum Großteil nur mit Standardschreiben auf die Beschwerden der Betroffenen antworte und weitere Informationen zum Verfahrensstand und eine Einsicht in die Akten verweigere, sind einige Betroffene einen Schritt weiter gegangen und haben eine Beschwerde bei der Europäischen Kommission über die Arbeitsweise der irischen Datenschutzbehörde eingereicht. Darin wird Irland eine mangelnde Umsetzung der Datenschutzrichtlinie vorgeworfen, indem die irische Datenschutzbehörde die Auskunftsersuchen der Betroffenen nicht konsequent bearbeite und durchsetze.
Continue reading

Die Linke stellt kleine Anfrage zu XBox One, Safe Harbor und Prism

Mit einer kleinen Anfrage (BT-Drs. 17/14116) vom 25.06.2013 möchten Abgeordnete der Partei „Die Linke“ im Bundestag Antworten der Bundesregierung auf verschiedene datenschutzrechtliche Fragen in Bezug auf die Datenverarbeitung durch Spielekonsolen, aber auch darüber hinausgehende Einschätzungen zu Datenverarbeitungen durch amerikanische Unternehmen, erhalten.

Zunächst muss man anmerken, dass die Diskussion (meine Beiträge hierzu finden sich hier und hier) um die geplante neue XBox von Microsoft und um die diesbezüglich bestehenden Pläne des Unternehmens, alleine auf vorläufigen Informationen aus der Presse, zum Teil auch von Microsoft selbst, beruhen. Auch wenn einige Funktionen, wie etwa die obligatorische Kinect-Kamera, wohl ziemlich sicher umgesetzt werden, so liegen derzeit noch keine Tatsachen vor, aufgrund derer eine abschließende rechtliche Prüfung möglich wäre.
Continue reading

Europe vs. Facebook erstattet Anzeige gegen Facebook, Microsoft, Apple, Skype und Yahoo

Wie europe-v-facebeook.org (evf) heute in einer Pressemitteilung bekannt gibt, hat die Vereinigung zusammen mit Nutzern mehrere Beschwerden bei verschiedenen nationalen Datenschutzbehörden eingereicht.

Inhalt der Beschwerden
Evf stützt sein Vorbringen auf eine mögliche Verletzung europäischen Datenschutzrechts durch europäische Tochtergesellschaften großer amerikanischer Unternehmen. Ziel der Beschwerden sind Facebook, Apple, Microsoft, Skype und Yahoo. Die Beschwerden gingen an die Datenschutzbehörden in Irland (für Facebook und Apple), Deutschland (für Yahoo) und Luxemburg (für Skype und Microsoft).

Evf sieht in dem Export von Nutzerdaten von europäischen Tochterfirmen an ihre amerikanischen Muttergesellschaften einen Verstoß gegen die Vorgaben der geltenden Datenschutzrichtlinie (RL 95/46 EG, DS-RL), wenn sich die Vermutungen in Bezug auf die aufgedeckten Informationen zu dem Überwachungsprogramm Prism des amerikanischen Geheimdienstes als wahr herausstellen sollten. Ein Export von personenbezogenen Daten in ein Drittland außerhalb der EU ist nach geltendem Recht nur zulässig, wenn in diesem Drittland ein „angemessenes Datenschutzniveau“ besteht. Diese Feststellung wir durch die Europäische Kommission getroffen.
Continue reading

Problem Project Prism: Welche europäischen Lösungsansätze gibt es?

Nach dem Bekanntwerden des umfassenden Überwachungsprogrammes, Project Prism, des amerikanischen Geheimdienstes (einen Überblick über die Nachrichtenlage und die Entwicklungen gibt es bei Spiegel-Online und der SZ) erheben sich die politischen Stimmen in Europa. So wurde heute im Europäischen Parlament über das Thema diskutiert (Video), die für die Datenschutz-Grundverordnung zuständige EU-Justizkommissarin Viviane Reding erhofft sich durch den Skandal einen neuen Schub für die Verhandlungen zur Reform des Datenschutzrechts.

Doch können durch verschärfte Änderungen der geplanten Grundverordnung in Bezug auf die Übermittlung von personenbezogenen Daten europäischer Bürger an Unternehmen in Drittländer wirklich eine Lösung des Problems erwartet werden? Wohl nur zum Teil. Möchte man das europäische Grundrecht auf den Schutz personenbezogener Daten wirklich verteidigen, so bliebe nur eine Alternative, die niemand ernsthaft in Erwägung ziehen kann, nämlich die völlige digitale Trennung von den USA.
Continue reading