Prism: Europäische Datenschützer fordern Aufklärung und kündigen Untersuchungen an

In einem Brief des Vorsitzenden der Art. 29 Datenschutzgruppe, Jacob Kohnstamm, an die Vizepräsidenten der EU-Kommission, Viviane Reding, vom 13. August 2013, fordern die europäischen Datenschutzbehörden weitere Aufklärung in Sachen Prism und XKeyscore und kündigen zudem an, dass sich die Datenschutzgruppe umfassender mit dem Thema befassen wird.

Auch wenn die Datenschützer einerseits ihr Verständnis dafür zum Ausdruck bringen, dass in Bezug auf die nationale Sicherheit verschiedene Staaten unterschiedliche weite Vorstellungen und Herangehensweisen besitzen, wie sie Informationen sammeln und nutzen, so drücken die Datenschützer dennoch ihre tiefe Besorgnis über die bekannt gewordenen Informationen zu den Überwachungstätigkeiten der USA durch Programme wie Prism und XKeyscore aus.
Continue reading

Bundesregierung erkannte bereits 2010 Probleme bei Safe Harbor

Wie aus der Antwort der Bundesregierung auf eine kleine Anfrage der SPD Fraktion im Bundestag aus dem Jahre 2010 hervorgeht, erkannte die Bundesregierung bereits damals die Gefahr und eventuell sich ergebende völkerrechtliche Probleme beim Zugriff von amerikanischen Behörden auf in den USA gespeicherte Daten europäischer Bürger.

Die Anfrage der SPD bezog sich konkret auf die auch derzeit in der Kritik stehende Safe Harbor Entscheidung (2000/520/EG) der Europäischen Kommission (dazu mein Blogbeitrag). Unter Antwort Nr. 25 führt die Bundesregierung aus:

Es ist schon heute absehbar, dass eine Einbeziehung von Daten europäischen Ursprungs, die unter „Safe Harbor“ in die Vereinigten Staaten von Amerika übermittelt wurden und dort dem Zugriff von US-Behörden ausgesetzt sind, völkerrechtliche Fragen der territorialen Souveränität aufwerfen würde, welche einer erfolgreichen Einigung im Wege stehen könnten.

Bei dieser „Einigung“ ging es um Verhandlungen der Europäischen Union und den USA um ein internationales Datenschutzabkommen zum Austausch von Daten im Rahmen der polizeilichen und justiziellen Zusammenarbeit. Die Verhandlungen hierzu sind im Übrigen immer noch nicht abgeschlossen. Streitgegenstand: Rechtsschutz für Europäer in den USA (hierzu mein Beitrag).
Continue reading

Abkommen, Vertrag, Beschluss – Was ist Safe-Harbor? (Update)

Nach der Ankündigung der deutschen Datenschutzbehörden, neue Genehmigungen für Datenübermittlungen in die USA nicht mehr erteilen zu wollen, da mit hoher Wahrscheinlichkeit gegen die Grundsätze von Safe-Harbor verstoßen wird, mehren sich in der Öffentlichkeit die Stimmen, die eine „Kündigung“ von Safe-Harbor fordern oder die „Safe-Harbor-Klausel“ auf Eis legen wollen. Inwiefern die nationalen Datenschutzbehörden hier tatsächlich tätig werden können, hat Adrian Schneider bei Telemedicus näher untersucht.

Nachfolgend soll es vor allem um den Versuch gehen eine Antwort auf die Frage zu finden, was Safe-Harbor rechtlich darstellt und wie und wenn ja wer sich davon lösen kann.

Entstehung
Die Verhandlungen zwischen der Europäischen Kommission und der amerikanischen Regierung, vertreten durch das Handelsministerium, begannen 1998. Die Praxis bestand darin, dass in Form eines Briefwechsels Vorschläge, für die Grundsätze einer Datenübermittlung mit angemessenem Schutznievau aus Europa in die USA, gegenseitig ausgetauscht und kommentiert wurden (viele Dokumente und Briefe finden sich auf der Seite des amerikanischen Handelsministeriums). Auf europäischer Seite wurde zudem die Art. 29 Datenschutzgruppe über die Verhandlungen informiert und diese gab mehrere Stellungnahmen im Laufe des Prozesses ab (WP 15, WP 19, WP 21, WP 23, WP 27, WP 31, WP 32, alle abrufbar über die Internetseite der Datenschutzgruppe).
Continue reading

Rechtswahlfreiheit im Datenschutzrecht?

In einem Beitrag auf dem cr-online Blog zu dem Thema der „Rechtswahlfreiheit in Datenschutzbestimmungen“ kommt Prof. Härting zu dem Ergebnis: „Weder aus Art. 6 noch aus Art. 9 ROM-I-VO lässt sich ableiten, dass für das Datenschutzrecht keine Rechtswahlwahlfreiheit gilt.

Prof. Härting geht davon aus, dass die Parteien eines Vertrages grundsätzlich frei darin sind, ein beliebiges Datenschutzrecht zu wählen.

Ich sehe dies jedoch anders (z.B. in der K&R 2012, 640) und möchte hier einige Gründe anführen, warum meines Erachtens eine freie Wahl des anwendbaren Datenschutzrechts in Europa gerade nicht möglich ist (dennoch lässt sich, aufgrund divergierender Urteile von deutschen Gerichten, dem Thema eine Diskussionsbedürftigkeit nicht absprechen).
Continue reading

Irische Datenschutzbehörde: PRISM von Safe-Harbor gedeckt

Die österreichische Initiative europe-v-facebook (evf) berichtet in einer Pressemitteilung, dass die irische Datenschutzbehörde keinen Handlungsbedarf hinsichtlich einer möglichen Unzulässigkeit des massenhaften Abgreifens und der Weitergabe von personenbezogenen Daten europäischer Bürger durch amerikanische Unternehmen an ausländische Behörden und Geheimdienste sieht.

Safe-Harbor eingehalten
Evf veröffentlicht ein Antwortschreiben der irischen Datenschutzbehörde, in welchem die Behörde ausführt, dass nach ihrer Meinung die Europäische Kommission bei ihrer Entscheidung über das Safe-Harbor-Abkommen im Jahre 2000 die Weitergabe von personenbezogenen Daten europäischer Bürger durch in Amerika ansässige Datenverarbeiter bereits vorhergesehen habe. Solange sich ein amerikanisches Unternehmen an dem Safe-Harbor-Programm beteilige, geht die Behörde davon aus, dass dieses Unternehmen auch seine Pflichten in Bezug auf eine Datenübertragung von Europa in die USA ausreichend erfüllt habe.
Continue reading

Deutsche Datenschützer: keine neuen Genehmigungen für Datenübermittlungen

Kommt der Datenfluss zwischen deutschen und amerikanischen Unternehmen bald zum erliegen? Wohl nicht. Dennoch könnten sich für international tätige, in Deutschland ansässige Unternehmen in den nächsten Monaten erhebliche Probleme bei der Übermittlung von personenbezogenen Daten in die USA ergeben. Denn: In einer Presseerklärung stellt die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (der sog. Düsseldorfer Kreis) fest, dass

„die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind“.
Continue reading

1995: Die Überwachungswunschliste der europäischen Behörden

Die Diskussion der letzten Wochen, um die aufgedeckten Überwachungsprogramme der USA (PRISM) und auch etwa des britischen Geheimdienstes (TEMPORA), haben uns gezeigt, dass in dieser digitalen Welt aus Einsen und Nullen, in der wir (ob wir nun wollen oder nicht) leben, ein Großteil staatlicher (Überwachungs-)Tätigkeit unter einem Deckmantel des Schweigens und hinter einer intransparenten Mauer abläuft. Das Bild von der Spitze des Eisberges, dessen gesamter Körper unsichtbar unter der Wasseroberfläche schwimmt, mag hier bemüht werden.

Sicher ist die Empörung der Europäer und auch der Deutschen, als meist überwachtes europäisches Land, gerechtfertigt. Doch zeigt ein Blick in die Geschichte, dass der Wunsch nach umfangreicher Überwachung der internationalen Kommunikation kein rein amerikanischer oder angel-sächsischer, von dem Ziel der Terrorismusbekämpfung getragener, Ausdruck nationalen Sicherheitsdenkens ist. Auch bei uns, in der Europäischen Union, wurde vor über 15 Jahren dieser Wunsch (und das ganz offen) auf höchster Ebene zum Ausdruck gebracht.
Continue reading

OLG Hamburg: Abmahnung bei fehlenden Datenschutzhinweisen

Das OLG Hamburg hat mit Urteil vom 27.06.2013 (Az. 3 U 26/12) unter anderem entschieden, dass es einen abmahnfähigen Wettbewerbsverstoß darstellt, wenn ein Webseitenbetreiber personenbezogene Daten von Nutzern erhebt, jedoch keine Informationen über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu Beginn des Nutzungsvorgangs (so die gesetzliche Pflicht aus § 13 Abs. 1 S. 1 TMG) erteilt. Fehlen diese notwendigen Informationen im Rahmen der Vorhaltung einer Eingabemöglichkeit von Nutzerdaten (hier um Informationen zu erhalten bzw. ein Blutzuckermessgerät testen zu können), so verstößt dieses Verhalten nicht nur gegen das Datenschutzrecht, sondern berechtigt Wettbewerber auch dazu, den Webseitenbetreiber abzumahnen.

Diese Entscheidung ist deshalb interessant, weil es in der Rechtsprechung und der Literatur allgemein umstritten ist, inwiefern und wenn ja welche datenschutzrechtlichen Vorschriften einen Wettbewerbsbezug aufweisen und bei einer Verletzung solcher Vorschriften der Diensteanbieter eventuell durch Wettbewerber abgemahnt werden kann.
Continue reading

EU Kommission prüft 180 Beschwerden gegen irische Datenschutzbehörde

Nach Aussage (PDF) der österreichischen Vereinigung „europe-v-facebook“ (evf) sind derzeit über 1.000 Beschwerden gegen Facebook bei der nationalen irischen Datenschutzbehörde anhängig. Es geht dabei um die Durchsetzung des Auskunftsrechts (Art. 12 der Datenschutzrichtlinie, RL 95/46/EG) gegenüber Facebook, zu den bei dem Anbieter über sie gespeicherten personenbezogenen Daten. Da die durch das Unternehmen bereitgestellten Informationen nur unvollständig seien, habe sich ein Teil der Betroffenen an die irischen Datenschützer gewendet.

Standard E-Mail und fehlender Aktenzugang

Da jedoch auch die Behörde zum Großteil nur mit Standardschreiben auf die Beschwerden der Betroffenen antworte und weitere Informationen zum Verfahrensstand und eine Einsicht in die Akten verweigere, sind einige Betroffene einen Schritt weiter gegangen und haben eine Beschwerde bei der Europäischen Kommission über die Arbeitsweise der irischen Datenschutzbehörde eingereicht. Darin wird Irland eine mangelnde Umsetzung der Datenschutzrichtlinie vorgeworfen, indem die irische Datenschutzbehörde die Auskunftsersuchen der Betroffenen nicht konsequent bearbeite und durchsetze.
Continue reading

Die Linke stellt kleine Anfrage zu XBox One, Safe Harbor und Prism

Mit einer kleinen Anfrage (BT-Drs. 17/14116) vom 25.06.2013 möchten Abgeordnete der Partei „Die Linke“ im Bundestag Antworten der Bundesregierung auf verschiedene datenschutzrechtliche Fragen in Bezug auf die Datenverarbeitung durch Spielekonsolen, aber auch darüber hinausgehende Einschätzungen zu Datenverarbeitungen durch amerikanische Unternehmen, erhalten.

Zunächst muss man anmerken, dass die Diskussion (meine Beiträge hierzu finden sich hier und hier) um die geplante neue XBox von Microsoft und um die diesbezüglich bestehenden Pläne des Unternehmens, alleine auf vorläufigen Informationen aus der Presse, zum Teil auch von Microsoft selbst, beruhen. Auch wenn einige Funktionen, wie etwa die obligatorische Kinect-Kamera, wohl ziemlich sicher umgesetzt werden, so liegen derzeit noch keine Tatsachen vor, aufgrund derer eine abschließende rechtliche Prüfung möglich wäre.
Continue reading