Das Google-Urteil des EuGH – übers Ziel hinaus geschossen?

Mit Urteil vom heutigen Tage hat der EuGH (Az. C-131/12) verschiedene wichtige Entscheidungen in Bezug auf die zukünftige Anwendung und Durchsetzung des europäischen Datenschutzrechts getroffen. Zur Entscheidung lag ihm dabei ein Verfahren zwischen Google und der spanischen Datenschutzbehörde (AEPD) vor. Die von einem spanischen Gericht vorgelegten Fragen betreffen grob folgende Themenkomplexe: 1. den räumlichen Anwendungsbereich der geltenden Datenschutzrichtlinie (DS-RL, RL 95/46/EG, PDF); 2. die Verantwortlichkeit von Suchmaschinenbetreibern für durch sie indexierte Webseiten und darauf befindliche Daten; 3. die Reichweite des Rechts auf Löschung von personenbezogenen Daten.

Sachverhalt
Der dem Urteil zugrunde liegender Sachverhalt stellt sich grob wie folgt dar: gegen einen Betroffenen wurden, aufgrund von Schulden bei der Sozialversicherung, Immobilienversteigerungen betrieben. Diese wurden in einer Zeitung zunächst offline und später auch online veröffentlicht. Die Bekanntmachung erfolgte dabei auf einer gesetzlichen Grundlage. Die AEPD lehnte daher Löschungsansprüche des Betroffenen gegen die online abrufbaren Bekanntmachungen gegen das Presseunternehmen ab. Jedoch wandte sich der Betroffene auch an Google und verlangte, dass die betreffenden Seiten aus dem Index der Suchmaschine zu nehmen seien. Dieser Beschwerde gab die AEPD statt und forderte Google auf, die Seiten aus dem Index zu entfernen. Hiergegen wendete sich Google.

Schlussanträge des Generalanwalts
Am 25.6.2013 präsentierte der zuständige Generalanwalt (GA) am EuGH, Jääskinen, seine Schlussanträge zu dem Verfahren. Hierzu hatte ich bereits einmal gebloggt. Die Ergebnisse der rechtlichen Analyse des GA waren die folgenden:

  • Verarbeitungen personenbezogener Daten werden im Rahmen der Tätigkeiten einer „Niederlassung“ des für die Verarbeitung Verantwortlichen im Sinne von Art. 4 Abs. 1 Buchst. a der DS-RL ausgeführt, wenn der Suchmaschinenbetreiber in einem Mitgliedstaat für die Vermarktung und den Verkauf von Werbeflächen der Suchmaschine eine Niederlassung oder eine Tochtergesellschaft einrichtet, deren Tätigkeit sich an die Einwohner dieses Staats richtet.

(Diese Auslegung stieß vielfach auf Kritik, da sie über den Wortlaut der Richtlinie hinausgehe und allein das Vorhandensein einer Niederlassung in einem europäischen Land ausreichen lassen würde, um das dortige Datenschutzrecht zur Anwendung zu bringen, auch wenn diese Niederlassung überhaupt nicht in der entscheidungserheblichen Datenverarbeitung beteiligt ist. Der Anwendungsbereich der DS-RL würde damit massiv ausgeweitet.)

  • Ein Internetsuchmaschinen-Diensteanbieter, dessen Suchmaschine nach Informationen sucht, die Dritte im Internet veröffentlicht oder gespeichert haben, diese Informationen automatisch indexiert, vorübergehend speichert und sie schließlich den Nutzern des Internets in einer bestimmten Rangfolge zur Verfügung stellt, „verarbeitet“ personenbezogene Daten im Sinne von Art. 2 Buchst. b der DS-RL, wenn die Informationen personenbezogene Daten enthalten.
  • Der Internetsuchmaschinen-Diensteanbieter kann jedoch hinsichtlich dieser personenbezogenen Daten außer in Bezug auf den Inhalt des Indexes seiner Suchmaschine nicht als der „für die Verarbeitung Verantwortliche“ angesehen werden, es sei denn, er indexiert oder archiviert personenbezogene Daten entgegen den Weisungen oder Aufforderungen des Webseitenurhebers.
  • Das in Art. 12 Buchst. b der DS-RL geregelte Recht auf Löschung und Sperrung von Daten sowie das in Art. 14 Buchst. a der DS-RL vorgesehene Widerspruchsrecht verleihen der betroffenen Person nicht das Recht, sich an den Suchmaschinenbetreiber zu wenden, um die Indexierung auf sie bezogener Informationen zu verhindern, die auf Webseiten von Dritten rechtmäßig veröffentlicht sind, und sich hierzu auf ihren Willen zu berufen, dass diese Informationen den Internetnutzern nicht bekannt werden, wenn sie der Ansicht ist, dass die Informationen ihr schaden könnten, oder sie sich wünscht, dass die Informationen vergessen werden.

Das Urteil des EuGH
Der EuGH geht in seinem Urteil über die vom GA vorgeschlagene rechtliche Lösung hinaus. Man wird wohl bereits jetzt sagen können, dass dieses Urteil in Zukunft teils erhebliche Auswirkungen auf das Geschäftsmodell jeglichen Suchdienstes im Internet haben wird. Thomas Stadler spricht in einem Blogbeitrag davon, dass Urteil habe das Potential, die Funktionsfähigkeit von Suchwerkzeugen erheblich einzuschränken.

1. anwendbares Recht
Hier folgt der EuGH (leider) im Prinzip der Lösung des GA. Der Begriff „im Rahmen der Tätigkeit“ einer Niederlassung i. S. d. Art. 4 Abs. 1 Buchst. a DS-RL sei weit auszulegen. Der durch die DS-RL gewährleistete Schutz dürfe nicht umgangen werden, nur weil ein Diensteanbieter in einem Drittstaat ansässig sei. Daher werden auch Verarbeitungsvorgänge eines Anbieters in einem Drittstaat (hier von Google Search in den USA) „im Rahmen der Tätigkeit“ einer in einem EU Staat befindlichen Niederlassung ausgeführt, wenn diese Niederlassung die Aufgabe hat, in dem Mitgliedstaat für den Verkauf von Werbeanzeigen auf der Internetseite des Anbieters und damit die allgemeine Rentabilität des Unternehmens zu sorgen. Die Tätigkeiten des ausländischen Unternehmens und der europäischen Niederlassung seien dann untrennbar miteinander verbunden.
Diese weite Auslegung des Art. 4 Abs. 1 Buchst. a DS-RL ist aus meiner Sicht kritikwürdig. Denn zum einen besitzt die DS-RL in Art. 4 Abs. 1 Buchst. c einen Tatbestand, der einen Anbieter aus einem Drittstaat europäischen Recht unterwerfen würde, wenn er auf Mittel in der EU zurückgreift. Diese Mittel könnten zB Computer oder aber auch Niederlassungen selbst sein. Mit der weiten Auslegung des Art. 4 Abs. 1 Buchst. a DS-RL durch den EuGH wird diese Tatbestandsalternative praktisch kaum noch relevant werden, obwohl sie aus meiner Sicht gerade diese Konstellationen (Anbieter aus Drittland erhebt Daten im Inland) im Blick hatte. Zum anderen scheint die weite Auslegung des EuGH einfach etwas zu weit zu gehen. Denn die hier relevanten Verarbeitungsprozess (Indexierung und Crawlen) werden eben nicht im „Rahmen der Tätigkeit“ der spanischen Niederlassung durchgeführt. Im Prinzip liest der EuGH den Art. 4 Abs. 1 Buchst. a DS-RL wie „die im wirtschaftlichen Zusammenhang mit den Tätigkeiten der Niederlassung stehe“.

2. Verantwortlichkeit von Google
Der EuGH erkennt, wie der GA, in der Suche, Speicherung und Indexierung von Informationen und eben auch personenbezogenen Daten im Internet durch Google eine „Verarbeitung personenbezogener Daten“ i. S. d. Art. 2 Buchst. b DS-RL. Jedoch geht das Gericht nicht mit der Auslegung des GA konform, dass Google nur dann für die Verarbeitung verantwortlich sei, wenn es um die Daten im Index selbst gehe oder entgegen von technischen Sperren personenbezogene Daten gecrawled habe. Google sei vielmehr für alle selbst ausgeführten Tätigkeiten in Bezug auf personenbezogene Daten auf Webseiten von Dritten verantwortlich. Denn die Tätigkeit der Suchmaschine unterscheide sich von derjenigen der ursprünglichen Herausgeber. Begründet wird diese weite Auslegung des Begriffes der Verantwortlichkeit jedoch auch mit Motiven, die nicht direkt etwas mit dem Verarbeitungsvorgang zu tun haben. Die Tätigkeit von Suchmaschinen habe Anteil an der weltweiten Verbreitung personenbezogener Daten. Sie machen Daten auch solchen Nutzern zugänglich, die die Originalwebseite eventuell gar nicht gefunden hätten. Zudem bestehe die Gefahr, dass bei einer Auflistung von Informationen zu einer Person (die, wohl gemerkt, frei im Netz verfügbar sind) und einer Suche anhand ihres Namens, die Suchenden einen strukturierten Überblick über die betreffende Person erhalten, anhand dessen sie ein Profil dieser Person erstellen können.

3. Löschpflichten
Ist danach klar, dass Google grundsätzlich verantwortlich ist, sobald es mit eigenen Mechanismen Informationen aus dem Netz zusammensucht und als Ergebnislisten darstellt, stellte sich die Frage, ob Google zu einer Löschung von Links in Ergebnislisten auf Webseiten Dritter verpflichtet ist, selbst wenn die Veröffentlichung rechtmäßig erfolgte. Diese Löschpflicht kann sich aus Art. 12 Buchst. b DS-RL ergeben. Dazu müsste ihre Verarbeitung nicht den Bestimmungen der DS-RL entsprechen.

Der EuGH prüft zunächst die Rechtsgrundlage der Datenverarbeitungsvorgänge von Google. Hierbei bezieht er sich auf Art. 7 Buchst. f DS-RL. Diese Grundlage stellt auf die „berechtigten Interessen“ des für die Verarbeitung Verantwortlichen oder Dritten ab. Jedoch dürfen das Interesse oder die Grundrechte oder Grundfreiheiten der betroffenen Person überwiegen. Erforderlich ist also eine Abwägung der sich gegenüberstehenden Rechte und Interessen. Nach dem EuGH

kann eine von einem Suchmaschinenbetreiber ausgeführte Verarbeitung personenbezogener Daten wie die im Ausgangsverfahren in Rede stehende die Grundrechte auf Achtung des Privatlebens und Schutz personenbezogener Daten erheblich beeinträchtigen, wenn die Suche mit dieser Suchmaschine anhand des Namens einer natürlichen Person durchgeführt wird, da diese Verarbeitung es jedem Internetnutzer ermöglicht, mit der Ergebnisliste einen strukturierten Überblick über die zu der betreffenden Person im Internet zu findenden Informationen zu erhalten, die potenziell zahlreiche Aspekte von deren Privatleben betreffen und ohne die betreffende Suchmaschine nicht oder nur sehr schwer hätten miteinander verknüpft werden können, und somit ein mehr oder weniger detailliertes Profil der Person zu erstellen.

Zudem steigere die Rolle des Internets und damit der weltweite Abruf der Informationen noch die Eingriffsintensität. Nun kommt das Gericht zu den berechtigten Interessen von Google. Hier führt es aus, dass wegen seiner potenziellen Schwere, ein solcher Eingriff nicht allein mit dem wirtschaftlichen Interesse des Suchmaschinenbetreibers an der Verarbeitung der Daten gerechtfertigt werden könne. Die Interessen von Google bügelt der EuGH damit in einem Satz ab.

Jedoch stellt der EuGH dann fest, dass eine Löschung aus den Ergebnislisten die berechtigten Interessen von Dritten, nämlich der Internetnutzer, beeinträchtigen könnte. Nun muss also eine Interessenabwägung in diesem Verhältnis vorgenommen werden. Hierbei stellt der EuGH jedoch als Ausgangspunkt klar:

Zwar überwiegen die durch diese Artikel geschützten Rechte der betroffenen Person im Allgemeinen gegenüber dem Interesse der Internetnutzer;

Jedoch könne der nötige Ausgleich in besonders gelagerten Fällen aber von der Art der betreffenden Information, von deren Sensibilität für das Privatleben der betroffenen Person und vom Interesse der Öffentlichkeit am Zugang zu der Information abhängen, das u. a. je nach der Rolle, die die Person im öffentlichen Leben spielt, variieren. Im Prinzip lässt der EuGH hier eine (meines Erachtens bedenkliche) Tendenz erkennen. Nämlich dass Informationen dann zu löschen sind bzw. das Interesse der betroffenen Person zunächst einmal grundsätzlich überwiege und eben nur in besonderen Fällen, etwa bei Prominenten oder tagesaktuellen oder historischen Geschehnissen, hinter dem Informationsinteresse der Internetnutzer zurückzutreten habe. Damit besteht also im Ausgangspunkt eine Löschpflicht, selbst bei rechtmäßiger Weise veröffentlichten Informationen, wenn die Interessen des Betroffenen überwiegen. Dies ist nach dem EuGH grundsätzlich der Fall, außer in besonderen Situationen. Wohlgemerkt beziehen sich die Ausführungen des Gerichts auf Suchmaschinenbetreiber und die von ihnen generierten Ergebnislisten, vor allem wenn nach Namen von Personen gesucht werden.

4. Recht auf Vergessen werden
Zum Schluss befasst sich der EuGH mit der Frage, ob ein Betroffener ein Recht darauf hat, das Informationen zu ihm, die im Internet veröffentlicht wurden, irgendwann vergessen werden müssen.

Hierzu stellt der EuGH fest, dass Daten nach Art. 12 Buchst. b DS-RL auch dann zu löschen sind, wenn sie nicht den Zwecken der Verarbeitung entsprechen, dafür nicht erheblich sind oder darüber hinausgehen, nicht auf den neuesten Stand gebracht sind oder länger als erforderlich aufbewahrt werden, es sei denn ihre Aufbewahrung ist für historische, statistische oder wissenschaftliche Zwecke erforderlich. Hieraus ergebe sich, dass auch eine ursprünglich rechtmäßige Verarbeitung sachlich richtiger Daten im Laufe der Zeit nicht mehr den Bestimmungen der Richtlinie entsprechen kann, wenn die Daten für die Zwecke, für die sie erhoben oder verarbeitet worden sind, nicht mehr erforderlich sind.

Im Rahmen der Prüfung des Löschungsrechts nach Art. 12 Buchst. b DS-RL gelte es auch die Voraussetzungen des Art. 6 Abs. 1 DS-RL zu beachten, insbesondere, dass Daten nicht mehr den ursprünglichen Zwecken entsprechen. Wenn sich herausstelle, dass die Informationen in Anbetracht aller Umstände des Einzelfalls den Zwecken der in Rede stehenden Verarbeitung durch den Suchmaschinenbetreiber nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen, müssen die betreffenden Informationen und Links der Ergebnisliste gelöscht werden, so das Gericht. Daher müsse auch geprüft werden, ob die betroffene Person ein Recht darauf habe, dass die betreffenden Information über sie zum gegenwärtigen Zeitpunkt nicht mehr durch eine Ergebnisliste, die im Anschluss an eine anhand ihres Namens durchgeführte Suche angezeigt wird, mit ihrem Namen in Verbindung gebracht wird. Hierbei weist der EuGH darauf hin, dass die Feststellung eines solchen Rechts nicht voraus setze, dass der betroffenen Person durch die Einbeziehung der betreffenden Information in die Ergebnisliste ein Schaden entstehe.

Und auch hier rückt der EuGH nicht von seiner eingeschlagenen Linie (des grundsätzlichen Vorrangs des Schutzes der Privatsphäre vor Informationsinteressen) ab. Er stellt vielmehr ausdrücklich klar, dass wenn die betroffene Person in Anbetracht ihrer Grundrechte aus den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union verlangen kann, dass die betreffende Information der breiten Öffentlichkeit nicht mehr durch Einbeziehung in eine derartige Ergebnisliste zur Verfügung gestellt wird, ist davon auszugehen, dass diese Rechte grundsätzlich nicht nur gegenüber dem wirtschaftlichen Interesse des Suchmaschinenbetreibers, sondern auch gegenüber dem Interesse der breiten Öffentlichkeit daran, die Information bei einer anhand des Namens der betroffenen Person durchgeführten Suche zu finden, überwiegen.

Fazit
Die Entscheidung des EuGH übertrifft wohl sämtliche Erwartungen an das Verfahren. Nicht nur weil das Gericht über die Linie des GA hinausgegangen ist, sondern vor allem mit welcher Deutlichkeit dies geschieht. Die Tendenz, dem Recht auf Schutz personenbezogener Daten grundsätzlich einen Vorrang einzuräumen und nur in besonderen Situationen eine Veröffentlichung zuzulassen, sollte man kritisch betrachten. Zudem scheint sich das Urteil vielerorts weniger durch juristische oder an Datenverarbeitungsprozessen ausgerichteten faktischen Feststellungen, sondern oft auch die allgemeine, aus Sicht der EuGH, negative Wirkung und das Geschäftsmodell von Google und dessen Suche in den Blick zu nehmen.

Datenschutz im Auto – Bundesregierung: „höchst komplex“

Das vernetzte Auto als Teil des Internets der Dinge wirft gerade auch im Bereich des Datenschutzrechts neue Fragen auf. Häufig drehen sich diese um das „Eigentum“ an Daten (wobei diese Begrifflichkeit im Datenschutzrecht verfehlt erscheint). Wer darf im Fahrzeug erhobene Daten verwenden? Wem „gehören“ diese Daten?

Auf eine kleine Anfrage der Fraktion Bündnis 90/Die Grünen im Bundestag hat nun die Bundesregierung ihre Sichtweise zum Thema „Datenschutz im Auto“ (BT-Drs. 18/1362, PDF) dargelegt.

Zunächst ist es der Bundesregierung wichtig, zwischen zwei Datenkategorien zu differenzieren: zum einen den Daten für Fahrzeugfunktionen (Daten in den Steuergeräten) und zum anderen den Daten für Servicefunktionen (Daten, welche bei der Nutzung des Infotainmentsystems anfallen).

Und wem „gehören“ diese Daten nun? Nach Ansicht der Bundesregierung besitzt der Fahrzeughalter grundsätzlich die tatsächliche Verfügungsgewalt über Daten in den Steuergeräten. Er entscheidet über die Verwendung des Fahrzeugs und ist für dessen verkehrssicheren Zustand verantwortlich. Rein faktisch stellt sich jedoch das Problem, dass die Daten für den Halter nutzlos sind, da er zum einen nicht die Geräte besitzt, um sie auslesen zu können. Zum anderen wird der Halter kaum das Fachwissen besitzen, um aus den ausgelesenen Daten Rückschlüsse ziehen zu können, sie also zu verstehen. Hierbei handeln die Stellen, welche die Daten auslesen und auswerten können zumeist im Auftrag des Halters. Bei zusätzlichen Servicefunktionen wird oft mit dem Hersteller selbst ein zivilrechtlicher Vertrag abgeschlossen, auf dessen Grundlage Daten verarbeitet werden dürfen.

Die Frage nach „Rechten an Daten“ stellt sich nach der Bundesregierung als „höchst komplex“ dar. Zum einen, weil das BDSG eine Art des Eigentums an Daten nicht kenne. Es unterscheidet zwischen dem für die Verarbeitung Verantwortlichen (und eventuell noch in seinem Auftrag Handelnden) und dem Betroffenen. Betroffener ist grundsätzlich der Fahrzeughalter und/oder Fahrer. Jedoch ist es auch durchaus denkbar, dass der Betroffene selbst der für die Verarbeitung Verantwortliche ist. Dies hängt nach der Bundesregierung davon ab, ob er selbst die Datenherrschaft über die gespeicherten Daten ausüben kann. Fehlt es an einer solchen effektiven Ausübungsmöglichkeit, etwa weil die technischen Geräte zum Auslesen der Daten fehlen oder die entsprechende Kenntnis nicht vorhanden ist, so ist nach Ansicht der Bundesregierung derjenige verantwortlich, der diese Gerätschaften oder Kenntnis besitzt. Also z. B. die Werkstatt oder der Hersteller. Deren Verantwortlichkeit liegt jedoch wiederum dann nicht vor, wenn sie ihre Aufgaben und Datenverarbeitungsvorgänge im Auftrag des Fahrzeughalters ausführen.

Interessant ist, dass die Bundesregierung die datenschutzrechtliche Verantwortlichkeit an die Datenherrschaft anknüpft. Diese wiederum bestehe aus zwei Komponenten: aus einer technischen Komponente (Auslesen und Zugang zu Daten) und einem Wissenselement, die Daten nutzen und verstehen zu können. Diese wird bei Daten im Auto grundsätzlich nicht bei den Haltern vorliegen. Ihre Verantwortlichkeit könne sich jedoch dadurch ergeben, dass mit Werkstätten, Herstellern etc. Verträge abgeschlossen werden, nach denen die Dienstleister allein im Auftrag des Halters handeln.

Die Zuordnung der Verantwortlichkeiten sei jedoch stets vom Einzelfall abhängig und könne nicht pauschal festgestellt werden. Aufgrund der Schwierigkeit der Zuordnung, spricht sich die Bundesregierung auch für eine Fortentwicklung des Systems der Verantwortlichkeit im Rahmen der geplanten Datenschutz-Grundverordnung aus.

Für die Datenverarbeitungen rund um das Kfz sollen zudem auch die allgemeinen datenschutzrechtlichen Vorgaben, insbesondere etwa auch das Gebot der Datensparsamkeit (§ 3a BDSG) gelten. Eine bestehende Regelungslücke kann die Bundesregierung nicht erkennen. So gelten für Datenverarbeitungsvorgänge im Auto auch die Vorgaben von spezielleren Gesetzen, wie etwa dem TMG. Aktuell werde daher von einer datenschutzgerechten Ausgestaltung ausgegangen.

EU: Rat sieht hohe Hürden für neue Vorratsdatenspeicherung

Wie geht es weiter mit der Vorratsdatenspeicherung? Wird es nach dem EuGH-Urteil (Az. C-293/12, C-594/12) eine neue EU-Richtlinie oder nationale Ansätze geben?

Sowohl auf nationaler als auch internationaler Ebene stellen sich Beteiligte diese Frage und diskutieren, ob und wenn ja, unter welchen Voraussetzungen, eine Neuregelung möglich sein könnte.

Ein internes Dokument des Rates der Europäischen Union (PDF, Stand: 05.05.2014), welches durch das Generalsekretariat für den Ausschuss der ständigen Vertreter vorbereitet wurde, zeigt, dass die Hürden für eine Neuregelung als sehr hoch angesehen werden. Mehr noch: nach der Analyse wird sich das Urteil allgemein auf laufende und zukünftige Gesetzgebungsprozesse auf europäischer Ebene auswirken.

Das Papier analysiert zunächst die jeweils wichtigsten Aussagen des Urteils des EuGH. Danach werden unter Rz. 15 diejenigen Voraussetzungen aufgezählt, welche die Richtlinie zur Vorratsdatenspeicherung vermissen ließ und daher für nichtig erklärt wurde. Nach Ansicht der Verfasser des Berichts spiegeln dieses fehlenden Voraussetzungen gleichzeitig diejenigen Kriterien wieder, die für eine Rechtmäßigkeit einer möglichen neuen Richtlinie erforderlich wären. 

Interessant sind dann vor allem die Rz. 19-21 des Berichts, in denen eigene Schlussfolgerungen gezogen werden. So zeige das Urteil deutlich, dass der EuGH strenge Voraussetzungen an Gesetze anlege die, mögen sie auch noch so sinnvoll und geeignet sein, einen bestimmten Zweck zu erreichen, intensive Grundrechtseingriffe implizieren und dem Verhältnismäßigkeitstest nicht genügen. Das Gericht werde hierbei sein Augenmerk vor allem auch auf das Vorhandensein von angemessenen Schutzvorkehrungen richten, die Grundrechtseingriffe auf ein Mindestmaß beschränken müssen. Diese Schutzvorkehrungen dürften zudem nicht dem nationalen Gesetzgeber zur Ausgestaltung überlassen werden, sondern müssen bereits in der EU-rechtlichen Vorgabe enthalten sein.

Diese strengen Voraussetzungen gelten insbesondere bei solchen Rechtsakten, welche die massenhafte Sammlung und Speicherung von personenbezogenen Daten zuließen und den Strafverfolgungsbehörden zur Verfügung stehen sollen. Hier verweist der Bericht dann in einer Fußnote etwa auf die geplante Richtlinie zur Speicherung von Fluggastdaten in der EU, in der ebenfalls eine mehrjährige Datenspeicherung vorgesehen werden soll.

Fazit
Der Bericht zeigt, dass die durch den EuGH aufgestellten Hürden für eine anlasslose Speicherung von Daten und deren Nutzung durch Strafverfolgungsbehörden streng sind. Insbesondere die Vorgabe nach bereits im EU-Rechtsakt aufzustellenden Sicherheiten, um den Grundrechtseingriff so gering wie möglich ausfallen zu lassen, wird man eventuell nur mit einer Rechtsverordnung beikommen können. Denn eine Richtlinie würde stets einen gewissen Umsetzungsspielraum für die Mitgliedstaaten mit sich bringen.

Bundesregierung zum Beschäftigungsdatenschutz in sozialen Netzwerken

Was ist „öffentlich“, was ist „privat“? Welche Regeln gelten für die Datenerhebung durch (zukünftige) Arbeitgeber in sozialen Netzwerken? Wann kommt die Datenschutz-Grundverordnung?

Zu diesen und andere Fragen hat die Bundesregierung in der Antwort auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag (BT-Drs. 18/1122, PDF) Stellung genommen.

Bestehende Regelung in § 32 BDSG
In ihrer Antwort verweist die Bundesregierung zunächst auf die Vorgaben des § 32 BDSG, der die Datenerhebung, -verarbeitung und –nutzung für Zwecke des Beschäftigungsverhältnisses regelt. Personenbezogene Daten eines Bewerbers oder eines Beschäftigten dürfen nach § 32 Abs. 1 S. 1 BDSG erhoben oder verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Die Vorschrift ist freilich nicht nur speziell für den Umgang mit Daten aus dem Internet konzipiert. Die Bundesregierung stellt jedoch klar:

Diese Vorgaben gelten auch für die Erhebung von Daten in
sozialen Netzwerken und Internetforen.

In der Datenschutz-Grundverordnung
DIE LINKE wollte zudem wissen, ob die Fragen der Datenerhebung von Bewerbern in sozialen Netzwerken auch Gegenstand der Verhandlungen zur geplanten Datenschutz-Grundverordnung (DS-GVO, PDF) sind. Hier verweist die Bundesregierung auf Art. 82 Abs. 1 DS-GVO, nach dem die Mitgliedstaaten beschäftigungsdatenschutzrechtliche Fragen in den Grenzen der Verordnung durch Gesetz regeln können.

Anmerkung: Wichtig an dieser Vorgabe ist die Beschränkung auf die „Grenzen“ der DS-GVO. Hierdurch wird den Mitgliedstaaten sowohl in Bezug auf eine mögliche Erhöhung oder auch mögliche Absenkung des Schutzniveaus von Beschäftigungsdaten eine Vorgabe gemacht. Nationale Regelungen, welche sich nicht an die Vorgaben der DS-GVO und den ihr zugrunde liegenden Prinzipien halten, würden sich nicht innerhalb dieser Grenzen bewegen.

Abgrenzung: privat – öffentlich
Zudem wollte DIE LINKE wissen, wann eine Unterhaltung in einem sozialen Netzwerk oder Internetforum als „öffentlich“ oder „privat“ anzusehen ist. Die Bundesregierung weist darauf hin, dass die Diskussion um die Abgrenzung von öffentlicher und privater Kommunikation in sozialen Netzwerken und Internetforen noch geführt wird und nicht abgeschlossen ist. Nach Ansicht der Bundesregierung ist

Eine Unterhaltung in sozialen Netzwerken oder Internetforen … zumeist dann eine öffentliche Kommunikation, wenn eine allgemeine Zugänglichkeit zu diesen Kommunikationsplattformen besteht.

Zudem merkt die Bundesregierung an, dass die allgemeine Zugänglichkeit nicht unbedingt dadurch ausgeschlossen wird, dass eine vorherige Registrierung erforderlich ist. Im Ergebnis bedürfe es jedoch einer Beurteilung im Einzelfall. Kriterien hierfür seien etwa: „Die Größe des Empfängerkreises, das Ziel und der Zweck des Kommunikationsforums oder die soziale Akzeptanz und Ortsüblichkeit“.

Wann kommt die DS-GVO?
Völlig unabhängig vom Thema Beschäftigungsdatenschutz möchte DIE LINKE auch wissen, wann die Verhandlungen zur DS-GVO beendet sein werden und mit einer Verabschiedung zu rechnen ist. Hier die Antwort:

Die Bundesregierung setzt sich dafür ein, dass die Verhandlungen über die Datenschutz-Grundverordnung entschieden vorangehen. Gegenwärtig sind trotz intensiver Arbeiten für eine große Anzahl von Mitgliedstaaten noch wichtige Fragen offen. Vor diesem Hintergrund begrüßt die Bundesregierung den Beschluss des Europäischen Rates, wonach die rechtzeitige Verabschiedung eines soliden EU-Datenschutzrahmens für die Vollendung des Digitalen Binnenmarktes bis zum Jahr 2015 als von entscheidender Bedeutung bezeichnet wird.

Nationale Regelungen zum Beschäftigungsdatenschutz plane die Bundesregierung, mit Blick auf die Verhandlungen zur DS-GVO, derzeit nicht. Sollte jedoch mit einem Abschluss der Verhandlungen „nicht in angemessener Zeit gerechnet werden können“, so soll eine nationale Regelung zum Beschäftigungsdatenschutz geschaffen werden.

EU-Datenschützer: ICANN-Verträge verstoßen gegen Datenschutzrecht

Die Internet Corporation for Assigned Names and Numbers (ICANN) sieht sich weiterhin Kritik der europäischen Datenschutzbehörden ausgesetzt. Sowohl der Zusammenschluss der nationalen Behörden, die Art. 29 Datenschutzgruppe, als auch der Europäische Datenschutzbeauftragte (EDSB), Peter Hustinx, haben in Briefen (Brief der Art. 29 Gruppe, (PDF) / Brief des EDSB, (PDF) ) an die Organisation zum Ausdruck gebracht, dass die derzeit bestehenden vertraglichen Pflichten zum Umgang mit personenbezogenen Daten gegen europäisches Datenschutzrecht verstoßen.

Die europäischen Datenschützer kritisieren Klauseln in Verträgen, welche sog. Domain Name Registrare auf der ganzen Welt mit der ICANN abschließen müssen. Die Registrare akkreditieren sich bei der ICANN und dürfen dann für ein bestimmtes Gebiet die Registrierung von Domain Namen durchführen (typische Beispiele für Deutschland sind etwa die Deutsche Telekom, 1&1 Internet oder united-domains AG). In den hierfür erforderlichen Akkreditierungsverträgen (RAA, Stand vom 27. Juni 2013) sind auch Bestimmungen enthalten, welche sich auf das Speichern personenbezogener Daten der Kunden der Registrare beziehen (siehe Nr. 3.4 des Vertrages sowie die Data Retention Specification (DRS), in denen die Datenarten genauer benannt werden). Diese Regelungen greifen die europäischen Datenschützer an.

Laut den Vorgaben der RAA besteht eine generelle Speicherpflicht von zwei Jahren für personenbezogene Daten der Kunden der Reistrare, welche einen Domain Namen registrieren (Nr. 3.4.3). Innerhalb dieses Zeitraums muss der Registrar diese Daten der ICANN nach einem begründeten Hinweis auch zugänglich machen.

Diese lange Speicherfrist hat bereits in der Vergangenheit Kritik hervorgerufen. Denn in Europa niedergelassene Registrare sind an europäisches Datenschutzrecht gebunden. Sie müssen sich daher beim Umgang mit personenbezogenen Daten an die Vorgaben der Datenschutz-Richtlinie (RL 95/46/EG, DS-RL) bzw. die jeweiligen nationalen Gesetze, und damit auch den Grundsatz der Zweckbindung (Art. 6 Abs. 1 b) DS-RL) und den Grundsatz der Datensparsamkeit/-minimierung (Art. 6 Abs. 1 f) DS-RL) halten.

Aus diesem Grund sieht die DRS (unter Nr. 2) die Möglichkeit vor, dass Registrare mit der ICANN abweichende Vereinbarungen in Bezug auf die Datenspeicherung vertraglich festlegen können, wenn eine Anwaltskanzlei oder eine anerkannte staatliche Stelle die Datenspeicherung für rechtswidrig erachtet. Für die Vereinbarung solcher Änderungen ist bei der ICANN zudem ein bestimmtes Verfahren vorgesehen. Das tatsächliche Probleme war jedoch, dass es verschiedene abweichende Vereinbarungen zwischen der ICAAN und europäischen Registraren gab, die sich inhaltlich nicht unbedingt decken müssen.

Hier wollte die Art. 29 Datenschutzgruppe ansetzen und die ICANN davon überzeugen, dass der bisherige Schriftverkehr zwischen beiden Institutionen als Leitlinie für europäische Anbieter angesehen werden sollte, wenn Abweichungen bei der Speicherpflicht von Daten vereinbart werden. Damit könnte für alle europäischen Registrare, die ja alle den Vorgaben der DS-RL unterliegen, ein einheitliches Verfahren mit denselben rechtlichen Vorgaben etabliert werden. Dies erkannte die ICANN jedoch bisher nicht an.

In letzter Zeit bemühte sich die ICAAN, auf die Kritik an der langen und aus Sicht der europäischen Datenschützer unverhältnismäßigen Speicherpflicht einzugehen. Denn das Problem für europäische Registrare ist offensichtlich. Sie sind vertraglich zu einer Speicherung gegenüber der ICANN verpflichtet, die jedoch durch die nationalen Datenschutzbehörden als rechtswidrig angesehen werden könnte. Die ICANN veröffentlichte daher im März 2014 einen Entwurf zur Spezifizierung der verschiedenen Datenarten, welche der Speicherfrist unterliegen, und welche Zwecke die Speicherung verfolgt (Data Retention Specification Data Elements and Legitimate Purposes, PDF). Dieser Entwurf sollte als Diskussionsgrundlage dienen. Der Brief des EDSB bezieht sich direkt auf diesen Entwurf.

Zwar erkennt der EDSB die Bemühungen der ICANN um Klarstellung und genauere Spezifizierung der Datenarten und Verarbeitungszwecke an. Dennoch sind aus seiner Sicht sowohl die Vorgaben der RAA als auch DRS mit europäischem Datenschutzrecht derzeit nicht vereinbar. Personenbezogene Daten sollten nur für die Zwecke der Vertragsdurchführung des Registrars mit seinen Kunden gespeichert werden und nicht etwa für andere Zwecke, wie z. B. um Betrug bei der Registrierung der Domain Namen vorzubeugen. Zudem sollten die Daten auch nur solange gespeichert werden, wie dies zur Durchführung des Vertrages absolut notwendig ist. Eine Speicherung für Zwecke der Kriminalitätsbekämpfung oder zur Durchsetzung von Urheberrechten sei damit nicht vereinbar.

Interessanterweise geht der EDSB in seinem Brief auch direkt auf die kürzlich ergangene Entscheidung des EuGH zur Vorratsdatenspeicherung ein. Er weist darauf hin, dass eine Speicherung geschäftlicher Verkehrsdaten für Zwecke der Bekämpfung schwerer Kriminalität erforderlich sein kann, die Richtlinie zur Vorratsdatenspeicherung jedoch die Vorgaben der Verhältnismäßigkeit nicht beachtete. Hieraus schließt Hustinx, dass die Voraussetzungen für eine Speicherung von Daten auf Vorrat in der EU in Zukunft besonderer Prüfung und rechtlichen Herausforderungen unterliegen werden.

Ministerkomitee des Europarates: Leitfaden der Menschenrechte von Internetnutzern

Am 16. April 2014 hat das Ministerkomitee des Europarates (Die Versammlung der Außenminister der Mitgliedstaaten) eine Empfehlung mit dem Titel „Guide to human rights for Internet users“ verabschiedet. Derartige Empfehlungen sind für die Mitgliedstaaten nicht bindend, geben jedoch die Sichtweise der für die Verabschiedung erforderlichen Mehrheit der Mitgliedstaaten wieder.
Die Empfehlung ist zweigeteilt. Zu Beginn richtet sie sich mit Forderungen an die Mitgliedstaaten. Der zweite Teil stellt den eigentlichen Leitfaden für die Bürger dar.

Empfehlungen an Mitgliedstaaten
Das Ministerkomitee stellt zunächst klar, dass die in der Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK) aufgestellten Rechte und Freiheiten sowohl offline als auch online gelten.

Zudem besitzen die Mitgliedstaaten im Rahmen der Wahrung des Schutzes der Menschenrechte auch die Pflicht, die Aufsicht über private Unternehmen auszuüben. Privatrechtliche Vereinbarungen müssen sich an den durch die Grundrechte aufgestellten Prinzipien messen lassen.

Das Internet besitzt besonderen Wert als öffentliches Gut. Bürger besitzen ein berechtigtes Interesse, das Internet ohne diskriminierende Einschränkungen, sicher und zuverlässig nutzen zu können.

Bürger sollten Unterstützung erhalten, wie sie ihre Menschenrechte online wirksam ausüben könne. Hierzu gehöre auch der Zugang zu wirksamen Rechtsschutzmöglichkeiten, wenn ihre Rechte und Freiheiten eingeschränkt wurden.

Für die Sicherstellung der gleichwertigen Geltung von Menschenrechten auch im Internet empfiehlt das Ministerkomitee den Mitgliedstaaten:

  • Die Umsetzung und Anwendung des Leitfadens der Menschenrechte für Internetnutzer unter den Bürgern, den öffentlichen Stellen und den privaten Unternehmen zu fördern und konkrete Maßnahmen für seine Anwendung durchzuführen;
  • Kontinuierlich Einschränkungen von Menschenrechten im Internet zu überwachen, zu prüfen und auch aufzuheben, wenn diese nicht im Einklang mit den Vorgaben der EMRK im Lichte der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) stehen;
  • Sicherzustellen, das Internetnutzer Zugang zu wirksamen Rechtsschutzmöglichkeiten besitzen, wenn ihre Rechte eingeschränkt wurden. Dies erfordere eine Koordinierung und Zusammenarbeit der relevanten Einrichtungen. Zudem müsse eine Zusammenarbeit mit der privaten Wirtschaft und Bürgerrechtsorganisationen stattfinden.
  • Auch mit Staaten zusammenzuarbeiten, die nicht Mitglied des Europarates sind, um Maßstäbe und Verfahren zu entwickeln, die Einfluss auf den Schutz der Rechte und Freiheiten im Internet besitzen.
  • Private Unternehmen zu unterstützen und zu fördern, im Rahmen ihrer unternehmerische Gesellschaftsverantwortung in einen Dialog mit staatlichen Behörden und der Zivilgesellschaft zu treten.

Leitfaden der Menschenrechte von Internetnutzern
In dem Leitfaden selbst werden den Bürgern Informationen zu verschiedenen Menschenrechten (etwa Meinungsfreiheit, Zugang zu Informationen, Versammlungsfreiheit etc.), jeweils mit Bezug zum Internet, gegeben. Beispielhaft sei hier das Recht auf Schutz des Privatlebens (Art. 8 EMRK) genannt. Dessen Schutzbereich umfasst auch den Schutz personenbezogener Daten (zu dem Schutzumfang der EMRK und im Vergleich hierzu durch die Charta der Grundrechte der Europäischen Union hatte ich bereits einmal etwas geschrieben). Der Leitfaden weist darauf hin, dass eine Nutzung des Internets grundsätzlich mit einer Verarbeitung personenbezogener Daten einhergeht. Die Verarbeitung darf jedoch nur auf der Grundlage eines Gesetzes oder einer Einwilligung erfolgen. Zudem dürfe der Bürger nicht Gegenstand einer ständigen Überwachungsmaßnahme sein. Bei einer Einschränkung dieses Rechts, etwa zum Zwecke der Kriminalitätsbekämpfung, muss der Bürger über die Grundlagen des Eingriffs und seine Rechtsschutzmöglichkeiten informiert werden. Auch am Arbeitsplatz müsse die Privatsphäre des Bürgers beachtet werden. Überwachungsmaßnahmen durch den Arbeitgeber müssten vorher mitgeteilt werden.

Fazit
Der verabschiedete Leitfaden ist absolut begrüßenswert. Er versucht in einer möglichst bürgernahen und unjuristischen Sprache über die Rechte im Internet aufzuklären und sollte jedem interessierten Bürger als Informationsquelle dienen. Abgesehen von dem Leitfaden selbst, sind die Empfehlungen an die Mitgliedstaaten ebenfalls nicht uninteressant. Insbesondere das Votum für eine engere Einbeziehung des privaten Sektors in Form einer geminsamen Zusammenarbeit mit staatlichen Stellen zum Nutzen der Bürger fällt deutlich aus und ist meines Erachtens auch ein richtiger Weg.

Europäische Datenschützer: Vorschläge zur Verbesserung von Safe Harbor

Die Vertreter der europäischen Datenschutzbehörden (Art. 29 Gruppe) haben Justizkommissarin Viviane Reding in einem Brief ihre Verbesserungsvorschläge (PDF) zur Überarbeitung der Safe Harbor Entscheidung der Europäischen Kommission übersendet. Derzeit wird diese Entscheidung, welche bestimmte Prinzipien zur Übermittlung von personenbezogenen Daten von Europa in die USA für teilnehmende amerikanische Unternehmen aufstellt, vor dem Hintergrund der Snowden-Enthüllungen überarbeitet. Die Kommission hatte dem amerikanischen Handelsministerium hierfür im November 2013 bereits 13 konkrete Vorgaben gemacht (Mitteilung der Kommission, COM(2013) 847, PDF), welche bis zum Sommer 2014 umgesetzt werden sollen. Im nachfolgenden möchte ich einige der Vorschläge der Art. 29 Gruppe ansprechen.

Zur Not: Aussetzen

Die Art. 29 Gruppe stellt zunächst klar, dass die Gewährleistung eines angemessenen Schutzniveaus unter Safe Harbor für die Daten europäischer Bürger derzeit fraglich erscheint. Sie begrüßt die Entscheidung der Kommission, Safe Harbor neu zu verhandeln und auch die 13 bereits identifizierten Änderungsvorgaben. Sollte der Überarbeitungsprozess jedoch zu keinem positiven Ergebnis gelangen, dann sprechen sich die Datenschützer für eine Aussetzung von Safe Harbor aus. Zudem verweisen sie auf die stets bestehende Möglichkeit für nationale Datenschutzbehörden, einzelne Datentransfers in die USA zu unterbinden.

Anwendbares Recht
Die Art. 29 Gruppe schlägt vor, in Safe Harbor klarzustellen, dass amerikanische Unternehmen, die keine Niederlassung in der EU besitzen, sich auch dann an europäisches (nationales) Datenschutzrecht halten müssen, wenn sie personenbezogene Daten in einem Mitgliedstaat erheben und hierzu auf Mittel zurückgreifen, welche in dem Mitgliedstaat belegen sind.

Anmerkung: Die Datenschutzbehörden verstehen unter diesen „Mitteln“ etwa PCs auf denen Cookies platziert werden. Die vorgeschlagene Änderung dient wohl vor allem der Information der amerikanischen Unternehmen, die eventuell davon ausgehen, dass sie europäische Vorgaben nicht zu beachten haben.

Transparenz
Wirtschaftszweige, welche nicht der Zuständigkeit der amerikanischen FTC und damit der Überwachung der Einhaltung der Safe Harbor Prinzipien unterliegen, sollten deutlicher hervorgehoben werden. Die online auf der Webseite des amerikanischen Handelsministeriums abrufbaren Zertifikate der teilnehmenden Unternehmen sollten genauer Auskunft darüber geben, welche Datenarten vom Zertifikat erfasst werden und welche Einheiten eines Konzerns umfasst sind.
Teilnehmende Unternehmen sollten Informationen zum Datenschutz und zur Einhaltung der Safe Harbor Prinzipien im Internet deutlicher und verständlicher präsentieren. Zudem sollten Betroffene deutlich auf ihr Auskunftsrecht und wie sie dieses ausüben können, hingewiesen werden. Auch die Aufgaben der verschiedenen beteiligten staatlichen Institutionen und ihre Befugnisse sollten in der Safe Harbor Entscheidung klarer festgelegt werden.

Rechtsschutz
Betroffenen sollte das Recht eingeräumt werden, vor einem zuständigen nationalen Gericht in der EU Klage gegen ein amerikanisches Unternehmen auf Schadenersatz erheben zu können, wenn eine rechtwidrige Datenverarbeitung vorliegt. Zudem sollten die amerikanischen Unternehmen dazu angehalten werden, europäische Anbieter zur außergerichtlichen Streitbeilegung zu wählen. Derzeit müssten viele Betroffene sich mit amerikanischen Anbietern einer solchen Streitbeilegung auseinandersetzen, was jedoch Schwierigkeiten bei der Rechtsdurchsetzung mit sich bringe.
Unabhängig davon sollte für Betroffene das Recht vorgesehen werden sich stets an die für sie zuständige nationale Datenschutzbehörde wenden und ihre Beschwerde dort einbringen zu können. Zudem sollten die Regeln zu Verantwortlichkeit der teilnehmenden amerikanischen Unternehmen deutlicher ausgestaltet werden.

Gebühren
Derzeit verlangen einige der Anbieter einer außergerichtlichen Streitbeilegung noch Gebühren, wenn sich europäische Nutzer an sie wenden. Die Art. 29 Gruppe fordert, dass diese Gebühren abgeschafft werden müssen.

Zugang durch US-Behörden
Ausnahmen von der Einhaltung der in Safe Harbor aufgestellten Prinzipien sollten eingeschränkt werden. Zudem ist es der Art. 29 Gruppe wichtig, dass das aus dem europäischen Recht bekannte Notwendigkeits- und Verhältnismäßigkeitsprinzip für Ausnahmen Anwendung findet. Die Möglichkeit zur Aussetzung von Datentransfers sollte deutlicher umschrieben werden.
Zudem schlagen die Datenschützer vor, dass der Begriff der „Verarbeitung personenbezogener Daten“ in Safe Harbor definiert wird und zwar in Form der europäischen Idee. Denn in den USA zählt die Erhebung von Daten noch nicht zur „Verarbeitung“, in Europa jedoch schon. Daher greifen in den USA Schutzmechanismen für eine Verarbeitung personenbezogener Daten erst nach der Stufe der Erhebung dieser Daten ein.

Weitergabe der Daten
Nach den bestehenden Prinzipien darf ein Unternehmen die ihm übermittelten Daten nur an Dritte weitergeben, wenn es Grundsätze der Informationspflicht und der Wahlmöglichkeit anwendet. Wenn Daten an einen Dritten weitergeben werden sollen, der im Auftrag und auf Anweisung tätig ist, kann dies etwa dann geschehen, sofern der Dritte selbst Safe Harbor angehört. Die Art. 29 Gruppe möchte diese Voraussetzung grundsätzlich auf jeden Dritten erstrecken, also auch auf solche Stellen, die selbst Verantwortliche sind und nicht im Auftrag handeln. Zudem sollten Dritte, die im Auftrag handeln, verpflichtend einen Vertrag mit der übermittelnden Stelle abschließen müssen.

Fazit
Es wurden hier nur einige Vorschläge der Art. 29 Gruppe angesprochen. Viele dieser Vorschläge decken sich bereits mit denjenigen der Kommission, einige gehen darüber hinaus. Die Verhandlungen mit den USA scheinen derzeit konstruktiv zu verlaufen, wie Paul Nemitz, Direktor der Direktion C der Generaldirektion Justiz, kürzlich in einer Anhörung (PDF) durch das britische Oberhaus (House of Lords) zum Thema Safe Harbor berichtete.

TTIP und Datenschutz: Bundesregierung gegen Senkung der EU-Standards

Auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag (BT-Drs. 18/1056, PDF) mit dem Titel „EU-USA-Freihandelsabkommen und Datenschutz“, hat die Bundesregierung ihre Sichtweise zu einer möglichen Einbeziehung von Fragen des Datenschutzrechts in die Verhandlungen dargelegt.

Die Bundesregierung betont mehrmals, dass die geltenden EU-Datenschutzstandards im Rahmen des Freihandelsabkommens (TTIP) nicht abgesenkt werden dürfen. Allgemeine Fragen des Datenschutzrechts sollten vielmehr in den dafür bereits bestehenden oder geplanten speziellen Instrumenten verhandelt werden. In dem geplanten Datenschutzrahmenabkommen zwischen der EU und den USA zur Regelung der Datenübermittlung und -verarbeitung im Zusammenhang mit der polizeilichen und justiziellen Zusammenarbeit. Aber auch im Rahmen der Überarbeitung der Safe Harbor-Entscheidung (also zur Frage von Datenübermittlungen in die USA durch private Unternehmen) und bei der Fortentwicklung des EU-Datenschutzrechts (also der geplanten Datenschutz-Grundverordnung).

Vor allem Drittstaatentransfers und diesen zugrunde liegende Voraussetzungen dürften nicht durch mögliche Verhandlungen im Rahmen des TTIP beeinträchtigt werden.

Zudem stellt die Bundesregierung klar:

Allgemeine oder konkrete Datenschutzfragen sind gegenwärtig nicht Gegenstand der TTIP-Verhandlungen. Das hohe Datenschutzniveau in Europa steht nach Auffassung der Bundesregierung nicht zur Disposition.

Ob konkrete Datenschutzfragen, also vor allem für spezielle Bereiche, wie etwa den E-Commerce, wirklich nicht behandelt werden, mag man jedoch bezweifeln. Denn auf einer Informationsseite des Bundesministeriums für Wirtschaft und Energie zum TTIP (die meines Erachtens recht gut über das Thema informiert), wird zum Thema Datenschutz explizit festgestellt:

Auch Fragen des Datenschutzes beim Dienstleistungshandel, bei E-Commerce oder im IKT-Bereich werden mit dem Ziel einer gemeinsamen Verständigung angesprochen.

Völlig ausgeklammert scheinen daher Fragen des Datenschutzes nicht zu sein. Auch wenn man freilich nicht weiß, in welcher Tiefe das Datenschutzrecht hier behandelt und tatsächlich über Anpassungen nachgedacht wird.

Hat der EuGH die Cloud für tot erklärt?

In seinem gestrigen Urteil (Az. C?293/12 und C?594/12) zur Vereinbarkeit der Vorgaben der Richtlinie 2006/24 (VDS-RL, PDF) zur Vorratsdatenspeicherung, hat sich der EuGH naturgemäß mit den einzelnen Vorschriften zur Umsetzung der Richtlinie in nationalstaatliches Recht befasst. Die Richtlinie wurde, in ihrer jetzigen Ausformung, für nichtig erklärt (siehe hierzu die Urteilsbesprechung bei Hans Peter Lehofer), da die derzeit geltenden Vorgaben unverhältnismäßige Eingriffe in die europäischen Grundrechte auf Privatsphäre (Art. 7 Charta der Grundrechte der EU, Charta) und auf den Schutz personenbezogener Daten (Art. 8 Charta) zur Folge hätten. Bisher kaum Beachtung scheinen jedoch einige, meines Erachtens für das allgegenwärtige Cloud Computing wichtige, Ausführungen des Gerichts gefunden zu haben.

In seinem Urteil prüft der EuGH ab Rz. 56 die Verhältnismäßigkeit der Vorgaben der VDS-RL im engeren Sinne. Die dort erlaubten Eingriffe in Grundrechte müssen auf das absolut notwendige Maß beschränkt sein. In Rz. 65 kommt das Gericht zu dem Schluss:

Somit ist festzustellen, dass die Richtlinie einen Eingriff in diese Grundrechte beinhaltet, der in der Rechtsordnung der Union von großem Ausmaß und von besonderer Schwere ist, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Maßnahmen zur Datensicherheit
„Gut“, möchte man denken. Damit ist die Prüfung abgeschlossen. Doch das Gericht fügt seiner Begründung noch drei weitere Randziffern (66-68) an. In diesen befasst es sich, freilich zunächst auch mit Blick auf die VDS-RL, mit der Sicherheit und dem Schutz von gespeicherten Daten. Der EuGH stellt fest, die VDS-RL keine ausreichenden Bestimmungen enthalte, dass die auf Vorrat gespeicherten Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu ihnen und jeder unberechtigten Nutzung geschützt sind (Rz. 66).

Solche Vorgaben zum Schutz personenbezogener Daten und gerade auch in Bezug auf Maßnahmen zur Gewährung der Datensicherheit kennen wir aus der Datenschutz-Richtlinie, 95/46/EG (DS-RL, PDF). Dort bestimmt Art. 17 DS-RL entsprechende Pflichten für die verantwortliche Stelle. Im Falle einer Auftragsdatenverarbeitung, wenn also die tatsächlichen Verarbeitungsprozesse von einem Dritten wahrgenommen werden, bestimmt Art. 17 Abs. 2 DS-RL, dass die verantwortliche Stelle nur solche Auftragnehmer auswählen darf, die technische Sicherheitsmaßnahmen bereithalten. Zudem muss sich der Verantwortliche hiervon auch selbst überzeugen. Art. 17 Abs. 3 DS-RL bestimmt zudem, dass auch den Auftragsdatenverarbeiter selbst Pflichten zur Datensicherheit nach dem für ihn geltenden nationalen Datenschutzrecht treffen.

Cloud Computing
Diese Konstellation, die Datenverarbeitung durch einen Auftragnehmer, ist das typische Beispiel, welches den meisten Cloud Computing-Lösungen zugrunde liegt. Man nehme etwa den Anbieter eines Internet-Speicherdienstes: Der Anbieter der Cloud ist der Auftragsdatenverarbeiter (er selbst sitzt z. B. in den USA, seine Server stehen auf der ganzen Welt), der Kunde ist die verantwortliche Stelle (ob diese rechtliche Einschätzung in der heutigen Zeit noch angemessen erscheint, soll hier nicht diskutiert werden; sie ist nicht unumstritten, wird so aber etwa von der Art. 29 Datenschutzgruppe vertreten, siehe Stellungnahme WP 196, PDF).

Zurück zum Urteil des EuGH. Auch das Gericht verweist für erforderliche Sicherheitsmaßnahmen auf die Vorgaben des Art. 17 DS-RL (Rz. 67), deren Einhaltung, wir erinnern uns an das Beispiel, der Kunde des Speicherdienstes zu prüfen hätte und der Speicherdienst als Auftragnehmer auch selbst einsetzen müsste. Doch nun wird es interessant und relevant.

Datenspeicherung in Drittstaaten
Der EuGH kritisiert in Rz. 68, dass die VDS-RL im Rahmen der erforderlichen Sicherheitsmaßnahmen keine Vorgaben dazu macht, dass die Daten nur innerhalb des Unionsgebietes gespeichert werden dürfen. Hieraus folgert das Gericht, dass

es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird.

Der in dem Zitat angesprochene Art. 8 Abs. 3 Charta bestimmt, dass die Einhaltung der Vorschriften zum Schutz personenbezogener Daten durch eine unabhängige Stelle überwacht werden müssen. In der Praxis sind dies in Europa die Datenschutzbehörden.

Was bedeutet diese Aussage nun? Der EuGH scheint der Auffassung zu sein, dass Daten, welche auf Servern in Drittstaaten gespeichert werden, nicht dem Schutzniveau des Art. 8 Charta entsprechend geschützt werden können. Dies deshalb, weil in dem jeweiligen Drittstaat möglicherweise keine unabhängige Stelle existiert, welche die Einhaltung der Vorgaben zum Datenschutz und zur Datensicherheit überwacht. Nun mag man einwenden, dass es ja gerade für Fälle der Übermittlung von Daten in Drittstaaten etwa Standardvertragsklauseln gibt oder auch Angemessenheitsbeschlüsse der Kommission, die einem Drittstaat (oder einem gewissen Wirtschaftsbereich) ein angemessenes Schutzniveau bescheinigen. Auf diese Instrumente scheint das Gericht aber überhaupt nicht abzustellen. Sein Verweis bezieht sich vielmehr auf das Vorhandensein einer unabhängigen Stelle im Sinne des Art. 8 Abs. 3 Charta. Diese Überwachung durch unabhängige Datenschutzbehörden ist für den EuGH entscheidend.

Hiergegen mag man ins Feld führen, dass es ja auch in Drittstaaten unabhängige Behörden gibt, welche die Einhaltung des dortigen Datenschutzrechts überwachen. Doch auch diesbezüglich scheint der EuGH den Grundrechtsschutz des Art. 8 Charta äußerst streng zu nehmen, denn er führt aus:

Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten.

Das Gericht knüpft das Erfordernis der Überwachung durch eine unabhängige Stelle an die „Grundlage des Unionsrechts“. Es mag also durchaus unabhängige Datenschutzbehörden in Drittstaaten geben. Diese überwachen die Einhaltung von Vorgaben zur Datensicherheit und zum Datenschutz jedoch grundsätzlich nicht auf Grundlage des Unionsrechts. Vielmehr gilt für diese Behörden ihr jeweils nationales Recht. Ebenso muss für europäische Datenschutzbehörden festgestellt werden, dass diese ihre Überwachungsmaßnahmen nicht in Drittstaaten ausdehnen können. Sie sind hinsichtlich ihrer öffentlich-rechtlichen Befugnisse vielmehr territorial beschränkt. Man könnte sich nun fragen, wann denn überhaupt eine Behörde auf der Grundlage des Unionsrechts die Einhaltung von Datenschutz- und Datensicherheitsstandards in einem Drittstaat wirksam überwachen kann?

Lösungen und Konsequenzen
Als einziger Ansatzpunkt würde mir einfallen, dass man z. B. Angemessenheitsbeschlüsse (wie etwa Safe Harbor) oder auch Standardvertragsklauseln als eine solche Grundlage des Unionsrechts ansieht, nach deren Vorgaben der Verarbeiter im Drittstaat handeln muss. Freilich wird hierdurch nicht das Problem gelöst, dass eine europäische Datenschutzbehörde nicht im Drittstaat hoheitlich tätig werden kann, also dort nicht direkt auf „Grundlage des Unionrechts“ überwachen kann.

Denn die Safe Harbor-Entscheidung, ebenso wie die Standardvertragsklauseln der EU sehen für Kontrollstellen die Möglichkeit vor, Datenübermittlungen in ein Drittland auszusetzen. Also gegen den Verantwortlichen in der EU vorzugehen. Dies jedoch nicht etwa dann, wenn die Behörde den Auftragnehmer in dem Drittstaat selbst kontrolliert und etwa Mängel bei der Datensicherheit festgestellt hat. Die Befugnisse der europäischen Behörden greifen dann, wenn feststeht, dass der Verarbeiter in dem Drittstaat die an ihn gestellten Vorgaben (sei es aus Vertragsklauseln oder Angemessenheitsbeschlüssen) nicht einhalten kann. Für Informationen hierzu ist die jeweilige europäische Behörde aber freilich auf Angaben Dritter angewiesen, also etwa von Behörden in dem Drittstaat oder des für die Datenverarbeitung Verantwortlichen selbst. Gut möglich, dass diese „mittelbare“ Überwachung ausreicht, um den Vorgaben des EuGH gerecht zu werden. Hierfür spricht meines Erachtens auch, dass der europäische Gesetzgeber die Datenschutz-Richtlinie mit entsprechenden Mechanismen zur Übermittlung und Speicherung von Daten in Drittstaaten ausgestaltet hat. Wohl wissend, dass nationale Behörden dann nur begrenzte Prüfmöglichkeiten besitzen. Und auch der EuGH selbst hat etwa in seinem Lindqvist-Urteil (Az. C-101/01) darauf hingewiesen, dass für die Mitgliedstaaten und die Kommission gewisse Pflichten zur Kontrolle solcher Datenübermittlungen bestehen (Rz. 63 ff.). Jedoch hat er diese Übermittlung nicht kategorisch ausgeschlossen oder von einer direkten Einflussnahmemöglichkeit europäischer Behörden abhängig gemacht (auch wenn die Frage der Voraussetzungen der Datenübermittlung dort nicht direkt Gegenstand der gerichtlichen Prüfung war und daher nicht vertieft wurde). Dennoch verbleibt ein gewisses Unwohlsein, welches sich vor allem aus der Deutlichkeit der Aussage des EuGH ergibt.

Ausblick
Die Ausführungen des EuGH zur Datenspeicherung in Drittstaaten sind durchaus bemerkenswert. Dies gerade vor dem Hintergrund der anhaltenden Diskussion um ein „Schengen-Routing“ und dem sog. Datenprotektionismus in Folge der Enthüllungen um die Überwachungstätigkeiten von Geheimdiensten. Wie dargestellt liegt die Konstellation der Speicherung von Daten in Drittstaaten vor allem auch dem Cloud Computing zugrunde. Ist die Cloud deshalb tot? Ich denke nicht. Denn die Ausführungen des EuGH sind dafür wohl von zu allgemeiner Natur. Dennoch stellen sich Fragen: Sollte eine Speicherung von personenbezogenen Daten in Ländern außerhalb der EU nun (unabhängig von der rechtlichen Grundlage der Übermittlung) nicht mehr möglich sein? Oder etwa nur wenn sich der Datenverarbeiter behördlichen Maßnahmen europäischer Stellen freiwillig unterwirft? Reicht die beschriebene „mittelbare“ Überwachungsmöglichkeit und dem folgend etwa Maßnahmen gegen den Verantwortlichen in der EU aus? Sollte dem nicht so sein, dann wäre dies ein Schritt zurück, hinter die Intention der geltenden DS-RL und würde der digitalen Wirtschaft und damit auch unserem täglichen Umgang mit Internetdiensten einen Bärendienst erweisen.

Handelsvertreter der USA kritisiert Pläne zum „Schengen“-Routing

Der Handelsvertreter der Vereinigten Staaten von Amerika (United States Trade Representative) hat sich in einem am 4. April vorgestellten Bericht zu Handelsschranken im Bereich der Telekommunikation (PDF) gegen Pläne in der Europäischen Union ausgesprochen, das sog. „Schengen“-Routing für Daten voranzutreiben. Dabei geht es bekanntlich um die Idee, Datenpakete, die als Start- und Zielpunkt europäische IP-Adressen besitzen, nicht über andere Länder außerhalb der EU zu transportieren. Öffentlichkeitswirksam stellt sich vor allem die Deutsche Telekom hinter diese Pläne. Auch die Politik hatte sich dem Thema bereits angenommen.

In seinem Bericht kritisiert der amerikanische Handelsvertreter (der in der Regierung von Präsident Obama Mitglied von Kabinettsrang ist), dass solche europäischen Datennetzwerke möglicherweise zu einem tatsächlichen Ausschluss oder einer Ungleichbehandlung gegenüber ausländischen Diensteanbietern führen können.

Der Handelsvertreter bezieht sich in seinen Anmerkungen auch direkt auf die Deutsche Telekom, die ein „Schengen“-Routing vor allem mit Verweis auf den Datenschutz begründe und zudem die Aufhebung der Safe Harbor Entscheidung der Europäischen Kommission fordere. Amerika und Europa teilten in Bezug auf den Schutz personenbezogener Daten dieselben Interessen. Die von der Deutschen Telekom und anderen Vertretern vorgeschlagene „drakonische Herangehensweise“ an dieses Thema stellt aus der Sicht des Handelsvertreters jedoch nichts anderes dar, als protektionistische Vorteile für Telekommunikationsanbieter, die ihren Sitz der Europa haben.

Das „Schengen“-Routing behindert aus Sicht des Handelsvertreters mögliche Innovationen und könnte gerade ausländische Anbieter davon abhalten, ihre Dienste in Europa anzubieten. Zudem stelle sich bei einem solchen verpflichtenden innereuropäischen Routing die Frage nach der Einhaltung von internationalen Handelsverpflichtungen der Europäischen Union in Bezug auf internetbasierte Diensten.