Deutsch – Französischer Ministerrat: Verabschiedung der Datenschutzreform bis 2015

In der offiziellen gemeinsamen Erklärung (PDF) zum Deutsch – Französischen Ministerrat vom 19. Februar 2014, verpflichteten sich die Regierungen der beiden Länder zu verschiedenen Maßnahmen und Initiativen, die sowohl auf nationaler als auch auf internationaler Ebene im Bereich der Regulierung Internets, der digitalen Wirtschaft und des Datenschutzes vorangetrieben werden sollen.

Digitale Wirtschaft
Die Regierungen beider Länder wollen in der Zukunft

Innovationen fördern, damit Erzeugnisse und Dienstleistungen entwickelt werden, die in Europa zur Wertschöpfung beitragen.

Zudem möchten beide Regierungen prüfen, welche Instrumente benötigt werden, um die Finanzierung und das Wachstum von Start-up-Unternehmen in Europa zu fördern.

Schutz personenbezogener Daten
Weiterhin halten es die Minister von Deutschland und Frankreich für unerlässlich, dass ein

Rahmen geschaffen wird, der den…Schutz der personenbezogenen Daten gewährleistet.

Hierzu haben die Regierungen die Absicht, auf europäischer Ebene zu einer Verständigung über den Rahmen für personenbezogene Daten beizutragen. Damit dürfte die derzeit verhandelte Datenschutz-Grundverordnung gemeint sein. Ziel der Regierungen ist es, dass

eine Verabschiedung dieser Rechtsvorschriften bis spätestens 2015 sichergestellt wird.

Zudem haben sich die Minister verpflichtet, den Schutz der europäischen Bürger in Bezug auf Datentransfers mit Drittstaaten zu verbessern. Hier erwähnt die Erklärung explizit auch die derzeit umstrittene Safe Harbor Entscheidung, welche vielen Unternehmen als Grundlage der Datenübertragung nach Amerika dient.

Technologie und Innovation
Zudem soll eine deutsch-französische Arbeitsgruppe die Möglichkeiten des Erlasses von Vorschriften im Bereich neuer Technologien prüfen. Auch sieht die Erklärung die Absicht vor, die Entwicklung von Schlüsseltechnologien im Bereich der Datenspeicherung und Datenverarbeitung (v. a. Cloud Computing und Big Data) mit Hilfe von Technologiepartnerschaften zu begleiten.

Des weiteren sollen gemeinsame Vorschläge für eine europäische Regulierung der wichtigsten Internet-Plattformen vorgelegt werden,

durch die Internetdiensten und Internetnutzern offener Zugang gewährt und Interoperabilität, Transparenz und Nichtdiskriminierung sichergestellt werden sollen.

Hierbei soll es darum gehen, zum einen sowohl die Innovationsfähigkeit von europäischen Unternehmen in vollem Umfang zu erhalten, indem übermäßige Restriktionen abgeschafft bzw. nicht erzeugt werden, die ihnen im Markt vor allem von den großen Internet-Unternehmen auferlegt werden. Bereits im Frühjahr sollen hierzu konkrete Vorschläge vorliegen.

Merkel: „Wir müssen mehr machen im europäischen Datenschutz“

Kurz vor dem am 19. Februar 2014 in Paris stattfindenden deutsch-französischen Ministerrat, hat Bundeskanzlerin Merkel ein Interview für den YouTube-Kanal der Bundesregierung gegeben (Video), in dem sie unter anderem auf das Thema Datenschutz eingeht.

Im Hinblick auf eine enge internationale Zusammenarbeit im Bereich des Datenschutzrechts sieht Merkel in der Tat Nachholbedarf.

Wir müssen mehr machen im europäischen Datenschutz, das ist gar keine Frage.

Zudem weißt die Bundeskanzlerin auf die derzeit in Brüssel verhandelte Datenschutz-Grundverordnung hin, die einen einheitlichen rechtlichen Standard in Europa schaffen würde. Jedoch stellen sich die Verhandlungen zu diesem Gesetzesvorhaben aus ihrer Sicht nicht so einfach dar, da „manche Länder einen geringen Datenschutz haben als Deutschland. Und wir wollen nicht, dass unser Datenschutz aufgeweicht wird“.

Im Hinblick auf die derzeitige Praxis einiger Unternehmen, ihre europäischen Zentralen in Länder zu verlagern, in denen das Datenschutzrecht „am geringsten ist“, macht die Bundeskanzlerin klar: „das können wir in Europa auf Dauer auch nicht gut heißen“. Mit Frankreich werde man darüber sprechen, wie man in Europa ein hohes Maß an Datenschutz aufrecht erhalten kann.

Zudem wolle man in Paris darüber sprechen, welche europäischen Anbieter existieren,

die Sicherheit für die Bürgerinnen und Bürger bieten, dass man nicht erst mit seinen E-Mails und anderem über den Atlantik muss, sondern auch innerhalb Europas Kommunikationsnetzwerke aufbauen kann.

Hiermit spricht die Bundeskanzlerin das Thema des „Schengenroutings“ an, dass also Datenpakete, deren Absender und Empfänger in Europa sitzen, auch innerhalb europäischer Netze verbleiben sollen. Diese Idee rührt vor allem aus den Enthüllungen um die Abhöraktivitäten der NSA, die auch direkt transatlantische Datenkabel angezapft haben soll.

Man darf gespannt sein, ob der anstehende Ministerrat für neuen Schwung bei den Themen Datenschutz-Grundverordnung und einer in letzter Zeit häufig geforderten digitalen europäischen „Unabhängigkeit“ von Amerika sorgen wird.

Datenschutz und NSA: Bundesregierung beantwortet Fragen zur Datenübermittlung in die USA

Die Bundesregierung hat vergangene Woche eine kleine Anfrage der Fraktion DIE LINKE im Deutschen Bundestag beantwortet (BT-Drs. 18/321). Titel der Anfrage ist „Datenschutz bei der Zusammenarbeit deutscher Finanzdienstleister
mit IT-Unternehmen insbesondere aus den USA vor dem Hintergrund des NSA-Skandals“. Grund für die Anfrage waren Presseberichte, nach denen die Allianz SE ihre Rechenzentren auslagern und an das amerikanische IT-Unternehmen IBM übergeben möchte. Vor dem Hintergrund der Enthüllungen um den möglicherweise unverhältnismäßigen Zugriff amerikanischer Geheimdienste auf Daten europäischer Bürge bei amerikanischen Unternehmen, wollte DIE LINKE genauer wissen, wie die Bundesregierung hierzu steht. Ich möchte im Folgenden nur einige der behandelten Fragen und Antworten ansprechen.

Auftragsdatenverarbeitung
Zunächst geht die Bundesregierung auf die grundsätzlichen Anforderungen einer Auftragsdatenverarbeitung nach § 11 BDSG ein und weist darauf hin, dass in diesem Rahmen der Verantwortliche (Auftraggeber) bereits vor der Datenverarbeitung gewisse Prüfpflichten in Bezug auf den IT-Dienstleister besitzt. Sehr anschaulich hierzu ist im Übrigen das Informationsblatt des bayerischen Landesamtes für Datenschutzaufsicht.

Datenübermittlung in Drittländer
Auch wenn der Auftragnehmer nicht in der EU bzw. dem EWR, sondern in einem Drittstaat sitzt, bleibt der Auftraggeber in der EU verantwortlich. Die Bundesregierung stellt klar, dass auch bei einer Drittstaatenübermittlung die Anforderungen des § 11 BDSG (zumindest entsprechend) erfüllt sein müssen, was insofern wohl der Auffassung der deutschen Datenschutzbehörden entspricht. Zudem weist die Bundesregierung auf die zusätzlichen Voraussetzungen für einen Datentransfer in ein Drittland hin. Ein solcher ist verboten, wenn in dem Drittland keine angemessen Garantien für den Schutz der Daten bestehen, wie etwa in den USA.

Safe Harbor
Die Bundesregierung geht danach auf die Möglichkeit der Datenübermittlung in die USA unter der Safe Harbor-Entscheidung der EU Kommission ein. Diese habe für europäische Unternehmen, die personenbezogene Daten an in den USA tätige Firmen übermitteln, den Vorteil, dass sie keine zusätzlichen Garantien verlangen müssen. Öffentlich Stellung nehmen, zu der Ansicht des Landesdatenschutzbeauftragten von Schleswig-Holstein, Thilo Weichert, dass es „Riskant und unverantwortlich“ sei, die Daten einem US-Konzern anzuvertrauen, möchte die Bundesregierung mit Blick auf die unabhängige Aufgabenerfüllung der Datenschutzaufsichtsbehörden nicht.

Kooperation zwischen NSA und BND
Auf die Frage, ob „deutsche Geheimdienste von der NSA Daten deutscher Finanzdienstleistungsunternehmen erhalten“ haben, möchte die Bundesregierung nicht öffentlich antworten. „Ein Verstoß gegen die in diesem Zusammenhang vorausgesetzte Vertraulichkeit ließe negative Folgewirkungen für die Quantität und Qualität des Informationsaustausches befürchten“. Ausdrücklich geht die Bundesregierung jedoch davon aus, dass

„ein Zugriff der NSA in Kooperation mit entsprechenden IT-Dienstleistern auf Daten deutscher Finanzdienstleistungsunternehmen [ist] theoretisch nicht auszuschließen“ ist. „Allerdings dürfte ein solcher Zugriff regelmäßig rechtswidrig sein“.

Datenschutz-Grundverordnung und Safe Harbor
Die Bundesregierung gibt, mit Blick auf möglich Verstöße gegen die Safe Harbor-Entscheidung durch amerikanische Unternehmen, an, dass „gesetzliche Kontrollmöglichkeiten gemeinsam mit amerikanischen Behörden“ derzeit nicht bestehen. Deutschland setze sich zudem weiter dafür ein, dass der Schutz der Bürgerinnen und Bürger bei Drittstaatenübermittlungen
deutlich verbessert wird. Insbesondere in Bezug auf Safe Harbor möchte die Bundesregierung tätig werden und ist dies auch bereits. Mit Blick auf die europäische Datenschutzreform und die geplante Datenschutz-Grundverordnung weist sie darauf hin, dass für Modelle wie Safe Harbor „in der neuen europäischen Datenschutz-Grundverordnung ein robuster Rechtsrahmen mit klaren Vorgaben für Garantien der Bürgerinnen und Bürger geschaffen werden“ sollte. Zudem führt die Bundesregierung drei konkrete Verbesserungsvorschläge an:

Ziel sollte es insbesondere sein, die Individualrechte der Bürgerinnen und Bürger zu stärken und ihnen bessere Rechtsschutzmöglichkeiten zur Verfügung zu stellen, die Registrierung der US-Unternehmen in der EU vorzunehmen und die staatliche Kontrolle seitens der EU-Datenschutzaufsichtsbehörden in Modellen wie Safe Harbor zu stärken.

Interessant sind dabei insbesondere die letzten beiden Vorschläge. Denn bisher müssen sich amerikanische Unternehmen in Amerika bei dem dafür zuständigen Handelsministerium registrieren. Zum anderen lässt der Vorschlag einer Stärkung der Kontrollbefugnisse der europäischen Behörden aufhorchen. Denn bisher war es die Federal Trade Commission (FTC) in den USA, die wegen einer Verletzung der Safe Harbor-Grundsätze in Amerika tätig wurde.

Fazit
Die Antwort der Bundesregierung ist im Hinblick auf die Reformen zur Datenschutz-Grundverordnung und Safe Harbor durchaus interessant. Die Stärkung der Rechtsschutzmöglichkeiten der Betroffenen ist im Übrigen auch ein zentrales Anliegen der Europäischen Kommission, welche Ende letzten Jahres den USA in einer Mitteilung 13 notwendige Vorschläge zur Verbesserung von Safe Harbor gemacht hat.

Datenschutzreform: aktueller Stand der Verhandlungen im Rat

Die Verhandlungen zur geplanten Datenschutz-Grundverordnung (DS-GVO) (und natürlich auch zur Datenschutz-Richtlinie für den Bereich der Justiz und Strafverfolgung) im Rat der Europäischen Union dauern an. Nun ist im Internet das aktuelle Arbeitsdokument zu den Änderungsvorschlägen des Ministerrates (Datum: 16.12.2013) zur Datenschutz-Grundverordnung abrufbar.

Aufgrund des Umfangs des Dokuments möchte ich hier nur einen Überblick zu Änderungsvorschlägen zu einigen Themengebieten geben. Von Interesse ist dabei freilich insbesondere, inwieweit sich die im Ministerrat vorgeschlagenen Anpassungen mit denjenigen des Berichts des LIBE-Ausschusses im Europäischen Parlament decken oder abweichen.
Continue reading

Datenübermittlungen in Drittstaaten – Datenschutzsiegel als neue Grundlage?

Datenübermittlungen aus Europa in Drittstaaten, also solche Länder außerhalb der EU bzw. des EWR, sind im internationalen Wirtschaftsbereich ein wichtiges Thema. Damit personenbezogene Daten in ein Drittland übertragen werden dürfen, muss dort grundsätzlich ein angemessenes Schutzniveau bestehen (Stichwort: Safe Harbor).

Die geplante Datenschutz-Grundverordnung will an den bestehenden Möglichkeiten der Übermittlung und der nötigen Sicherstellung des entsprechenden Schutzniveaus (etwa durch Binding Corporate Rules, Standardvertragsklauseln oder Angemessenheitsbeschlüsse der Kommission) grundsätzlich festhalten. Der Bericht des LIBE-Ausschusses im Europäischen Parlament schlägt aber zudem eine interessante weitere Möglichkeit für Übermittlungen vor: die Erteilung von Datenschutzsiegeln durch Aufsichtsbehörden.

Für den Newsletter der Berliner Datenschtzrunde habe ich in einem Gastbeitrag etwas näher zu dieser vorgeschlagenen Neuerung Stellung genommen. Der Beitrag ist auch online abrufbar.

Brasilien: Gesetzentwurf der „Verfassung des Internets“ veröffentlicht

Bisher wird in den deutschen Medien kaum über eine interessante Gesetzesreform in Brasilien berichtet. Es geht dabei um den Marco Civil da Internet, ein Gesetz, mit dem im Prinzip die Rechte und Pflichten von Bürgern und Unternehmen bei der Nutzung des Internets in Brasilien geregelt werden sollen. Ebenso soll das, auch als „Verfassung des Internets“ bezeichnete, Gesetz Grundprinzipien und Leitlinien vorgeben, an die sich die brasilianischen Behörden und Ministerien halten sollen, wenn sie in diesem Bereich tätig werden. Auf Netzpolitik.org und Wikipedia finden sich weitere Informationen.

Im Zuge der Enthüllungen durch Edward Snowden wurde der Gesetzgebungsprozess (die ersten Entwürfe entstanden bereits im Jahre 2009) nun massiv beschleunigt.

Gesetzentwurf veröffentlicht

Heute wurde auf der Webseite von Intellectual Property Watch ein aktueller englischer Entwurf des Gesetzes präsentiert. Inhaltlich regelt dieser unter anderem Haftungsfragen, Rechte der Internetnutzer oder auch die Netzneutralität.
Continue reading

Datenschutz-Grundverordnung: Missverständnisse rund um #EUDataP

Nach der positiven Beschlussfassung (hier die inoffizielle, konsolidierte Version) im LIBE-Ausschuss des Europäischen Parlaments zur Datenschutz-Grundverordnung (DS-GVO), wurde in den Medien erneut breit über das Thema Datenschutz in Europa berichtet. Diese öffentliche Berichterstattung und Diskussion ist wichtig und auch richtig. Wer hätte sich vor 2 Jahren vorstellen können, dass die dröge Materie „Datenschutzrecht“ zu so einer medialen Aufmerksamkeit gelangt?

Ich möchte nachfolgend jedoch einige Punkte ansprechen, die in der öffentlichen Berichterstattung zur DS-GVO häufig ungenau, verzerrt oder schlicht falsch dargestellt werden. Dabei geht es mir nicht um die Belehrung von oben herab. Es erscheint vielmehr essentiell notwendig zu sein, den Bürgerinnen und Bürgern von Anfang an reinen Wein einzuschenken. Denn wenn mit Errungenschaften und Vorzügen eines neuen Gesetzes geworben wird, welche es aber per se schon nicht leisten kann oder von Anfang an nicht leisten wollte, dann wird Glaubwürdigkeit und Vertrauen verspielt. Sobald sich der erste Betroffene fragt „Aber das wurde uns doch versprochen?“, ist es hierfür zu spät.

Die DSG-VO wird der NSA das Handwerk legen

Wie Thomas Stadler heute in seinem Blog richtig schreibt, wird die DS-GVO Geheimdiensten keine Pflichten auferlegen und daher etwa ihre Tätigkeiten beschränken können. Zum einen, weil die Europäische Union im Bereich der nationalen Sicherheit nicht gesetzgebungsbefugt ist. Daher sind auch folgerichtig Gebiete „der nationalen Sicherheit“ (bzw. nach dem LIBE Entwurf, solche, „die außerhalb des Geltungsbereichs des Unionsrechts liegen“) aus dem Anwendungsbereich ausgeschlossen (Art. 2 a DS-GVO). Zum anderen kann die Europäische Union nicht Gesetze erlassen, an die sich ein drittstaatlicher Geheimdienst, wie die NSA, halten müsste. Grundlage deren Tätigkeit sind zunächst allein amerikanische Gesetze.
Continue reading

Datenschutz-Grundverordnung: LIBE-Ausschuss verständigt sich auf Änderungen

Am Montag, den 21. Oktober 2013, wird der federführende Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) des Europäischen Parlaments zum Entwurf des Berichts von Jan Philipp Albrecht und über die Änderungsanträge zur vorgeschlagenen Datenschutz-Grundverordnung (KOM (2012)11, DS-GVO) der Europäischen Kommission abstimmen. Kommt es hier zu einer Einigung, würde dies die Tür für informelle, interinstitutionelle Verhandlungen zwischen der Europäischen Kommission, dem Europäischen Parlament und dem Rat der Europäischen Union (sog. Trilog) öffnen. Ziel dieser Verhandlungen ist es, eine Einigung zwischen den drei Parteien zu erzielen, um so den Gesetzgebungsprozess zu beschleunigen.

Aufgrund der enormen Anzahl an Änderungsanträgen zum Verordnungsvorschlag der Kommission sah es, nach mehrmaligen Verlegungen bereits geplanter Abstimmungen, nicht unbedingt danach aus, dass der LIBE Ausschuss alsbald zu einer Einigung kommen würde. Nach ersten Medienberichten (EUobserver; Guardian) wurde nun jedoch ein Vorschlag erarbeitet, den alle vertretenen Parteien im Ausschuss unterstützen.
Continue reading

Australien: Gesetzesreform für besseren Schutz der Privatsphäre im digitalen Zeitalter

Im Juni 2013 erhielt die Australian Law Reform Commission (ALRC; eine Bundesbehörde, die Rechtsfragen des Justizministers beantwortet und Vorschläge für Modernisierungen des geltenden Rechts unterbreitet) den Auftrag, eine Untersuchung durchzuführen, inwieweit das australische Recht dahingehend angepasst werden kann, um schwere Eingriffe in die Privatsphäre zu verhindern und zu entschädigen.

Hierzu hat die ALRC nun ein erstes Themenpapier mit dem Titel „Serious Invasions of Privacy in the Digital Era“ veröffentlicht. Definiert sind darin zum einen 28 konkrete Fragen zu bestimmten Bereichen des Persönlichkeitsschutzes im digitalen Zeitalter und wie das geltende Recht hierauf reagieren kann. Zudem hat die ALRC in dem Themenpapier bereits den Status quo dargestellt und auch einige eigene Vorschläge unterbreitet.
Continue reading

Safe Harbor – LIBE Untersuchungsausschuss fordert Aussetzung

In der heutigen Anhörung des LIBE Untersuchungsausschusses zu den Überwachungstätigkeiten amerikanischer Geheimdienste und dem Zugriff dieser Dienste auf in die USA übermittelte Daten europäischer Bürger ging es vor allem um die Auswirkungen auf die Safe Harbor Entscheidung der Europäischen Kommission (zum Inhalt von Safe Harbor habe ich bereits hier etwas geschrieben). Hier eine kurze Einschätzung der Sitzung, ohne auf alle aufgeworfenen Fragen eingehen zu können.
Continue reading