Hat der EuGH die Cloud für tot erklärt?

In seinem gestrigen Urteil (Az. C?293/12 und C?594/12) zur Vereinbarkeit der Vorgaben der Richtlinie 2006/24 (VDS-RL, PDF) zur Vorratsdatenspeicherung, hat sich der EuGH naturgemäß mit den einzelnen Vorschriften zur Umsetzung der Richtlinie in nationalstaatliches Recht befasst. Die Richtlinie wurde, in ihrer jetzigen Ausformung, für nichtig erklärt (siehe hierzu die Urteilsbesprechung bei Hans Peter Lehofer), da die derzeit geltenden Vorgaben unverhältnismäßige Eingriffe in die europäischen Grundrechte auf Privatsphäre (Art. 7 Charta der Grundrechte der EU, Charta) und auf den Schutz personenbezogener Daten (Art. 8 Charta) zur Folge hätten. Bisher kaum Beachtung scheinen jedoch einige, meines Erachtens für das allgegenwärtige Cloud Computing wichtige, Ausführungen des Gerichts gefunden zu haben.

In seinem Urteil prüft der EuGH ab Rz. 56 die Verhältnismäßigkeit der Vorgaben der VDS-RL im engeren Sinne. Die dort erlaubten Eingriffe in Grundrechte müssen auf das absolut notwendige Maß beschränkt sein. In Rz. 65 kommt das Gericht zu dem Schluss:

Somit ist festzustellen, dass die Richtlinie einen Eingriff in diese Grundrechte beinhaltet, der in der Rechtsordnung der Union von großem Ausmaß und von besonderer Schwere ist, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Maßnahmen zur Datensicherheit
„Gut“, möchte man denken. Damit ist die Prüfung abgeschlossen. Doch das Gericht fügt seiner Begründung noch drei weitere Randziffern (66-68) an. In diesen befasst es sich, freilich zunächst auch mit Blick auf die VDS-RL, mit der Sicherheit und dem Schutz von gespeicherten Daten. Der EuGH stellt fest, die VDS-RL keine ausreichenden Bestimmungen enthalte, dass die auf Vorrat gespeicherten Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu ihnen und jeder unberechtigten Nutzung geschützt sind (Rz. 66).

Solche Vorgaben zum Schutz personenbezogener Daten und gerade auch in Bezug auf Maßnahmen zur Gewährung der Datensicherheit kennen wir aus der Datenschutz-Richtlinie, 95/46/EG (DS-RL, PDF). Dort bestimmt Art. 17 DS-RL entsprechende Pflichten für die verantwortliche Stelle. Im Falle einer Auftragsdatenverarbeitung, wenn also die tatsächlichen Verarbeitungsprozesse von einem Dritten wahrgenommen werden, bestimmt Art. 17 Abs. 2 DS-RL, dass die verantwortliche Stelle nur solche Auftragnehmer auswählen darf, die technische Sicherheitsmaßnahmen bereithalten. Zudem muss sich der Verantwortliche hiervon auch selbst überzeugen. Art. 17 Abs. 3 DS-RL bestimmt zudem, dass auch den Auftragsdatenverarbeiter selbst Pflichten zur Datensicherheit nach dem für ihn geltenden nationalen Datenschutzrecht treffen.

Cloud Computing
Diese Konstellation, die Datenverarbeitung durch einen Auftragnehmer, ist das typische Beispiel, welches den meisten Cloud Computing-Lösungen zugrunde liegt. Man nehme etwa den Anbieter eines Internet-Speicherdienstes: Der Anbieter der Cloud ist der Auftragsdatenverarbeiter (er selbst sitzt z. B. in den USA, seine Server stehen auf der ganzen Welt), der Kunde ist die verantwortliche Stelle (ob diese rechtliche Einschätzung in der heutigen Zeit noch angemessen erscheint, soll hier nicht diskutiert werden; sie ist nicht unumstritten, wird so aber etwa von der Art. 29 Datenschutzgruppe vertreten, siehe Stellungnahme WP 196, PDF).

Zurück zum Urteil des EuGH. Auch das Gericht verweist für erforderliche Sicherheitsmaßnahmen auf die Vorgaben des Art. 17 DS-RL (Rz. 67), deren Einhaltung, wir erinnern uns an das Beispiel, der Kunde des Speicherdienstes zu prüfen hätte und der Speicherdienst als Auftragnehmer auch selbst einsetzen müsste. Doch nun wird es interessant und relevant.

Datenspeicherung in Drittstaaten
Der EuGH kritisiert in Rz. 68, dass die VDS-RL im Rahmen der erforderlichen Sicherheitsmaßnahmen keine Vorgaben dazu macht, dass die Daten nur innerhalb des Unionsgebietes gespeichert werden dürfen. Hieraus folgert das Gericht, dass

es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird.

Der in dem Zitat angesprochene Art. 8 Abs. 3 Charta bestimmt, dass die Einhaltung der Vorschriften zum Schutz personenbezogener Daten durch eine unabhängige Stelle überwacht werden müssen. In der Praxis sind dies in Europa die Datenschutzbehörden.

Was bedeutet diese Aussage nun? Der EuGH scheint der Auffassung zu sein, dass Daten, welche auf Servern in Drittstaaten gespeichert werden, nicht dem Schutzniveau des Art. 8 Charta entsprechend geschützt werden können. Dies deshalb, weil in dem jeweiligen Drittstaat möglicherweise keine unabhängige Stelle existiert, welche die Einhaltung der Vorgaben zum Datenschutz und zur Datensicherheit überwacht. Nun mag man einwenden, dass es ja gerade für Fälle der Übermittlung von Daten in Drittstaaten etwa Standardvertragsklauseln gibt oder auch Angemessenheitsbeschlüsse der Kommission, die einem Drittstaat (oder einem gewissen Wirtschaftsbereich) ein angemessenes Schutzniveau bescheinigen. Auf diese Instrumente scheint das Gericht aber überhaupt nicht abzustellen. Sein Verweis bezieht sich vielmehr auf das Vorhandensein einer unabhängigen Stelle im Sinne des Art. 8 Abs. 3 Charta. Diese Überwachung durch unabhängige Datenschutzbehörden ist für den EuGH entscheidend.

Hiergegen mag man ins Feld führen, dass es ja auch in Drittstaaten unabhängige Behörden gibt, welche die Einhaltung des dortigen Datenschutzrechts überwachen. Doch auch diesbezüglich scheint der EuGH den Grundrechtsschutz des Art. 8 Charta äußerst streng zu nehmen, denn er führt aus:

Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten.

Das Gericht knüpft das Erfordernis der Überwachung durch eine unabhängige Stelle an die „Grundlage des Unionsrechts“. Es mag also durchaus unabhängige Datenschutzbehörden in Drittstaaten geben. Diese überwachen die Einhaltung von Vorgaben zur Datensicherheit und zum Datenschutz jedoch grundsätzlich nicht auf Grundlage des Unionsrechts. Vielmehr gilt für diese Behörden ihr jeweils nationales Recht. Ebenso muss für europäische Datenschutzbehörden festgestellt werden, dass diese ihre Überwachungsmaßnahmen nicht in Drittstaaten ausdehnen können. Sie sind hinsichtlich ihrer öffentlich-rechtlichen Befugnisse vielmehr territorial beschränkt. Man könnte sich nun fragen, wann denn überhaupt eine Behörde auf der Grundlage des Unionsrechts die Einhaltung von Datenschutz- und Datensicherheitsstandards in einem Drittstaat wirksam überwachen kann?

Lösungen und Konsequenzen
Als einziger Ansatzpunkt würde mir einfallen, dass man z. B. Angemessenheitsbeschlüsse (wie etwa Safe Harbor) oder auch Standardvertragsklauseln als eine solche Grundlage des Unionsrechts ansieht, nach deren Vorgaben der Verarbeiter im Drittstaat handeln muss. Freilich wird hierdurch nicht das Problem gelöst, dass eine europäische Datenschutzbehörde nicht im Drittstaat hoheitlich tätig werden kann, also dort nicht direkt auf „Grundlage des Unionrechts“ überwachen kann.

Denn die Safe Harbor-Entscheidung, ebenso wie die Standardvertragsklauseln der EU sehen für Kontrollstellen die Möglichkeit vor, Datenübermittlungen in ein Drittland auszusetzen. Also gegen den Verantwortlichen in der EU vorzugehen. Dies jedoch nicht etwa dann, wenn die Behörde den Auftragnehmer in dem Drittstaat selbst kontrolliert und etwa Mängel bei der Datensicherheit festgestellt hat. Die Befugnisse der europäischen Behörden greifen dann, wenn feststeht, dass der Verarbeiter in dem Drittstaat die an ihn gestellten Vorgaben (sei es aus Vertragsklauseln oder Angemessenheitsbeschlüssen) nicht einhalten kann. Für Informationen hierzu ist die jeweilige europäische Behörde aber freilich auf Angaben Dritter angewiesen, also etwa von Behörden in dem Drittstaat oder des für die Datenverarbeitung Verantwortlichen selbst. Gut möglich, dass diese „mittelbare“ Überwachung ausreicht, um den Vorgaben des EuGH gerecht zu werden. Hierfür spricht meines Erachtens auch, dass der europäische Gesetzgeber die Datenschutz-Richtlinie mit entsprechenden Mechanismen zur Übermittlung und Speicherung von Daten in Drittstaaten ausgestaltet hat. Wohl wissend, dass nationale Behörden dann nur begrenzte Prüfmöglichkeiten besitzen. Und auch der EuGH selbst hat etwa in seinem Lindqvist-Urteil (Az. C-101/01) darauf hingewiesen, dass für die Mitgliedstaaten und die Kommission gewisse Pflichten zur Kontrolle solcher Datenübermittlungen bestehen (Rz. 63 ff.). Jedoch hat er diese Übermittlung nicht kategorisch ausgeschlossen oder von einer direkten Einflussnahmemöglichkeit europäischer Behörden abhängig gemacht (auch wenn die Frage der Voraussetzungen der Datenübermittlung dort nicht direkt Gegenstand der gerichtlichen Prüfung war und daher nicht vertieft wurde). Dennoch verbleibt ein gewisses Unwohlsein, welches sich vor allem aus der Deutlichkeit der Aussage des EuGH ergibt.

Ausblick
Die Ausführungen des EuGH zur Datenspeicherung in Drittstaaten sind durchaus bemerkenswert. Dies gerade vor dem Hintergrund der anhaltenden Diskussion um ein „Schengen-Routing“ und dem sog. Datenprotektionismus in Folge der Enthüllungen um die Überwachungstätigkeiten von Geheimdiensten. Wie dargestellt liegt die Konstellation der Speicherung von Daten in Drittstaaten vor allem auch dem Cloud Computing zugrunde. Ist die Cloud deshalb tot? Ich denke nicht. Denn die Ausführungen des EuGH sind dafür wohl von zu allgemeiner Natur. Dennoch stellen sich Fragen: Sollte eine Speicherung von personenbezogenen Daten in Ländern außerhalb der EU nun (unabhängig von der rechtlichen Grundlage der Übermittlung) nicht mehr möglich sein? Oder etwa nur wenn sich der Datenverarbeiter behördlichen Maßnahmen europäischer Stellen freiwillig unterwirft? Reicht die beschriebene „mittelbare“ Überwachungsmöglichkeit und dem folgend etwa Maßnahmen gegen den Verantwortlichen in der EU aus? Sollte dem nicht so sein, dann wäre dies ein Schritt zurück, hinter die Intention der geltenden DS-RL und würde der digitalen Wirtschaft und damit auch unserem täglichen Umgang mit Internetdiensten einen Bärendienst erweisen.

Handelsvertreter der USA kritisiert Pläne zum „Schengen“-Routing

Der Handelsvertreter der Vereinigten Staaten von Amerika (United States Trade Representative) hat sich in einem am 4. April vorgestellten Bericht zu Handelsschranken im Bereich der Telekommunikation (PDF) gegen Pläne in der Europäischen Union ausgesprochen, das sog. „Schengen“-Routing für Daten voranzutreiben. Dabei geht es bekanntlich um die Idee, Datenpakete, die als Start- und Zielpunkt europäische IP-Adressen besitzen, nicht über andere Länder außerhalb der EU zu transportieren. Öffentlichkeitswirksam stellt sich vor allem die Deutsche Telekom hinter diese Pläne. Auch die Politik hatte sich dem Thema bereits angenommen.

In seinem Bericht kritisiert der amerikanische Handelsvertreter (der in der Regierung von Präsident Obama Mitglied von Kabinettsrang ist), dass solche europäischen Datennetzwerke möglicherweise zu einem tatsächlichen Ausschluss oder einer Ungleichbehandlung gegenüber ausländischen Diensteanbietern führen können.

Der Handelsvertreter bezieht sich in seinen Anmerkungen auch direkt auf die Deutsche Telekom, die ein „Schengen“-Routing vor allem mit Verweis auf den Datenschutz begründe und zudem die Aufhebung der Safe Harbor Entscheidung der Europäischen Kommission fordere. Amerika und Europa teilten in Bezug auf den Schutz personenbezogener Daten dieselben Interessen. Die von der Deutschen Telekom und anderen Vertretern vorgeschlagene „drakonische Herangehensweise“ an dieses Thema stellt aus der Sicht des Handelsvertreters jedoch nichts anderes dar, als protektionistische Vorteile für Telekommunikationsanbieter, die ihren Sitz der Europa haben.

Das „Schengen“-Routing behindert aus Sicht des Handelsvertreters mögliche Innovationen und könnte gerade ausländische Anbieter davon abhalten, ihre Dienste in Europa anzubieten. Zudem stelle sich bei einem solchen verpflichtenden innereuropäischen Routing die Frage nach der Einhaltung von internationalen Handelsverpflichtungen der Europäischen Union in Bezug auf internetbasierte Diensten.

RFID-Technologie: Bald spezielle gesetzliche Regelungen?

„RFID“, das bedeutet „Radiofrequenz-Identifikation“ und unter RFID-Technologie versteht man Verfahren zur kontaktlosen Identifizierung von Objekten oder Personen per Funk. Bekannte Beispiele dürften etwa RFID-Chips in Büchern sein, die in Bibliotheken ausgeliehen werden oder auch in Ausweisen. Das System besteht aus zwei Komponenten: Einem elektronischen Mikrochip mit Antenne, auf dem Daten gespeichert werden können, und einem Lesegerät, das die gespeicherten Daten erfasst, auslesen und z. B. für eine weitere Nutzung in eine Datenbank übertragen kann.

In einer Petition an den Deutschen Bundestag (Nr. 22315) aus dem Januar 2012, wurde vor dem Hintergrund von dem Einsatz von RFID-Chips in Kleidungsstücken gefordert, dass diese Chips „unverzüglich, kostenlos und ohne Aufforderung des Käufers von Gegenständen vom Verkäufer entfernt werden müssen“. Denn oft werden diese Chips in der Kleidung belassen und können daher grundsätzlich durch Lesegeräte in anderen Geschäften ausgelesen werden, woraus sich die Gefahr ergebe, dass „unbefugte Dritte an diese gefunkten Informationen gelangen und u.U. zum Nachteil des Besitzers der Ware nützen“ können. Daher müsse der Bundestag tätig werden und die Gesetze anpassen. Das erforderliche Quorum erreichte die Petition nicht.

Interessant ist die Antwort des Petitionsausschusses (PDF) des Deutschen Bundestages vom 20.02.2014 dennoch. In seiner Begründung stellt der Ausschuss fest:

Ebenso wie der Bundesrat setzt sich auch der Petitionsausschuss dafür ein, die Verbraucherinformation beim Einsatz der RFID-Technik zu verstärken und ein Datenschutzkonzept zu erstellen.

Die Bundesregierung wurde im Zusammenhang mit der Petition auch um eine Stellungnahme gebeten. Sie stimmt der Forderung nach einer generellen Deaktivierung der RFID-Chips auf der Ebene der Verbraucher (am sog. „Point of Sale“) grundsätzlich zu. Jedoch verweist sie auch auf zu beachtende branchenspezifische Prozesse nach dem Verkaufsvorgang, wie z.B. Garantieleistungen, die hier zu berücksichtigen sind. Außerdem verweist die Bundesregierung auf einen „Bericht der Bundesregierung zu den Aktivitäten, Planungen und zu einem möglichen gesetzgeberischen Handlungsbedarf in Bezug auf die datenschutzrechtlichen Auswirkungen der RFID-Technologie“ (PDF) aus dem Jahre 2008. Hierin spricht sich die Bundesregierung für den Vorrang einer Selbstverpflichtung der Wirtschaft hinsichtlich des Datenschutzes bei RFID-Anwendungen aus. Sollte es jedoch in absehbarer Zeit keine effektive Selbstverpflichtung durch die Wirtschaft geben, dann erwäge die Bundesregierung die Prüfung einer gesetzlichen Regelung. Zudem sei nach dem Bericht der gesetzgeberische Handlungsbedarf dann erneut zu prüfen, wenn sich die Anwendungsstrukturen im Endkundenbereich konkretisieren.

Der Petitionsausschuss (als auch der Bundesrat) sehen angesichts der zunehmenden Verbreitung von RFID sowohl im privatwirtschaftlichen als auch im öffentlichen Bereich (z. B. Reisepass) die in dem Bericht aufgestellten Voraussetzungen für gesetzliche Regelungen inzwischen als erfüllt an. Der Ausschuss hält

die derzeit geltende Rechtslage für nicht angemessen.

Daher plädiert der Ausschuss für den Fall des Scheiterns einer Selbstverpflichtungserklärung der Wirtschaft für eine gesetzliche Regelung. In dieser sollte u. a. normiert werden, dass RFID-Chips im Regelfall bei der Übergabe von Waren an Verbraucher kostenlos und automatisch deaktiviert werden müssen. Der Petitionsausschuss empfiehlt daher die Petition dem Bundesministerium der Inneren und dem Bundesministerium für Wirtschaft und Energie zur Erwägung zu überweisen. Auch die Fraktionen des Deutschen Bundestages sollen von der Petition Kenntnis erhalten.

Ob es letztendlich zu einem Gesetzesvorschlag kommen wird, bleibt freilich abzuwarten. Das Thema Datenschutz und RFID ist nicht unbedingt neu. Bereits 2005 hat sich die Art. 29 Datenschutzgruppe auf europäischer Ebene hiermit befasst (Arbeitspapier WP 105, PDF). Zudem wurde durch die Art. 29 Datenschutzgruppe (Stellungnahme WP 180, PDF) und danach durch die Europäische Kommission (Rahmen für Datenschutzfolgenabschätzungen für RFID-Anwendungen, englisch, PDF) ein durch Wirtschaftsvertreter vorgelegter und mit den Datenschützern verhandelter Rahmen zur Datenschutzfolgenabschätzung bei dem Einsatz von RFID-Anwendungen positiv bewertet und angenommen. Spezielle gesetzliche Vorgaben existieren derzeit jedoch nicht. In dem oben erwähnten Bericht der damaligen Bundesregierung, wurde die Schaffung von bereichsspezifischen Regelungen noch abgelehnt, da

differenzierte und zumindest mittelfristig sinnvolle Lösungen schwierig sind, so lange noch keine hinreichend verfestigte Anwendungsstruktur oder zumindest eine hinreichend sichere Zukunftsprognose über die Entwicklung einer Technologie vorliegt.

Europäische Datenschutzbehörden zur Benachrichtigungspflicht bei Datenschutzverletzungen

Wer ist zu benachrichtigen, wenn unberechtigterweise auf personenbezogene Daten zugegriffen wird? Wann sind nicht nur die jeweils zuständige Datenschutzbehörde, sondern auch die Betroffenen selbst zu informieren?

Die Art. 29 Datenschutzgruppe (der Zusammenschluss der europäischen Datenschutzbehörden) hat sich in ihrer neuesten Stellungnahme (WP 213, PDF) einer Erläuterung der Pflichten von datenverarbeitenden Stellen angenommen, die jeweiligen Datenschutzbehörden und eventuell auch die Betroffenen zu informieren, wenn der Schutz personenbezogener Daten verletzt wird („data breach notification“).

Europarechtliche Grundlage der Benachrichtigungspflicht ist Art. 4 Abs. 3 (RL 2002/58/EG, in ihrer Fassung durch RL 2009/136/EG, Datenschutzrichtlinie für die elektronische Kommunikation). Danach hat der Betreiber von öffentlich zugänglichen elektronischen Kommunikationsdiensten, im Fall einer Verletzung des Schutzes personenbezogener Daten, die zuständige nationale Behörde von der Verletzung unverzüglich zu benachrichtigen. Art. 2 lit. i) RL 2002/58/EG definiert die Verletzung des Schutzes personenbezogener Daten als

eine Verletzung der Sicherheit, die auf unbeabsichtigte oder unrechtmäßige Weise zur
Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in der Gemeinschaft verarbeitet werden.

Für Unternehmen von besonderer Bedeutung ist zudem, welche Informationen der Behörde mitgeteilt werden müssen. Die Anforderungen hieran finden sich in der Verordnung 2013/611/EG (PDF).

Die Art. 29 Datenschutzgruppe geht in ihrer Stellungnahme auf die verschiedenen Problembereiche rund um eine Benachrichtigungspflicht ein.

Für Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste besteht bei einer Verletzung des Schutzes personenbezogener Daten eine Mitteilungspflicht an die Datenschutzbehörde. Eine Ausnahme ist nicht vorgesehen. Sie hat grundsätzlich innerhalb von 24 Stunden zu erfolgen, Art. 2 Abs. 2 Verordnung 2013/611/EG. Diese 24 Stunden Frist verlängert sich auf eine 72 Stunden Frist, wenn der Betreiber innerhalb der 24 Stunden nicht alle für die Meldung erforderlichen Informationen bereitstellen kann. Dann ist innerhalb der ersten 24 Stunden eine „Erstbenachrichtigung“ an die Behörde ausreichend, Art. 2 Abs. 3 Verordnung 611/2013/EG. Nach dieser Erstbenachrichtigung beginnen die weiteren 72 Stunden, in denen der Betreiber die restlichen Informationen sammeln kann.

Etwas anders stellt sich die Situation in Bezug auf die Benachrichtigung der Betroffenen dar. Diese ist nach Art. 4 Abs. 1 RL 2002/58/EG nur vorzunehmen, wenn „durch die Verletzung personenbezogener Daten die personenbezogenen Daten, oder Teilnehmer oder Personen in ihrer Privatsphäre, beeinträchtigt werden“. Die Art. 29 Datenschutzgruppe geht in ihrer Stellungnahme auf einige Beispiele ein, wann der Fall einer solchen „Beeinträchtigung“ vorliegt.

Von dieser Benachrichtigungspflicht der Betroffenen besteht jedoch erneut eine Rückausnahme für die Betreiber, wenn er nämlich nach Art. 4 Abs. 3 RL 2002/58/EG

zur Zufriedenheit der zuständigen Behörde nachgewiesen hat, dass er geeignete technische Schutzmaßnahmen getroffen hat und dass diese Maßnahmen auf die von der Sicherheitsverletzung betroffenen Daten angewendet wurden.

Insbesondere erwähnt die Richtlinie eine Verschlüsselung der Daten. Die Art. 29 Datenschutzgruppe weist darauf hin, dass freilich auch bei einer ausreichenden Verschlüsselung der Daten die Behörde zu benachrichtigen ist. Wenn jedoch die Vertraulichkeit des Schlüssels gewährleistet ist, dann gehen die Datenschützer davon aus, dass eine „Beeinträchtigung“ der Betroffenen nicht vorliegt und diese daher nicht benachrichtigt werden müssen. Selbst jedoch bei tauglicher Verschlüsselung kann eine Benachrichtigungspflicht an die Betroffenen entstehen. Dann nämlich, wenn etwa ein Verlust von Daten negative Auswirkungen haben kann (z. B. wenn der Betreiber keine Sicherheitskopien bereithält).

Die Art. 29 Datenschutzgruppe ist daher der Auffassung, dass es für die Verantwortlichen von entscheidender Bedeutung ist, vorausschauend zu planen und zu handeln. Sie weist zudem auf die Pflicht für Betreiber zur Ergreifung geeigneter technischer und organisatorischer Maßnahmen hin, Art. 4 Abs. 1 RL 2002/58/EG (siehe auch Art. 17 der RL 95/46/EG, PDF). Eine Erfüllung dieser Sicherheitspflichten wird auch dazu führen, dass die Gefahr der Verletzung des Schutzes personenbezogener Daten verringert wird, wie auch eine mögliche negative Folge für die Betroffenen, sollte dieser Fall dennoch eintreten.

Insgesamt dürfte die neue Stellungnahme der europäischen Datenschützer eine willkommene Handreichung für Datenschutzpraktiker darstellen, da sie sowohl abstrakt als auch konkret einzelne (evtl. unklare) Problembereiche in Bezug auf die Benachrichtigungspflichten anspricht und die Sichtweise der Behörden erläutert.

Deutsche Datenschutzbehörden: Unsere Daten sicherer machen – wir selbst haben es in der Hand!

Auf der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 27.-28. März 2014, haben die Datenschützer aus Bund und Ländern mehrere Beschlüsse zu verschiedensten Themengebieten gefasst. Nachfolgend eine kurze Übersicht.

Elektronische Kommunikation
Nach der Pressemitteilung stellen sich aus der Sicht der Datenschützer die „bisherigen rechtlichen und politischen Reaktionen auf das massenhafte Ausspähen der Kommunikation durch Nachrichtendienste“ als enttäuschend dar. Die Teilnehmer fordern in ihrem Beschluss („Gewährleistung der Menschenrechte bei der elektronischen Kommunikation“), dass die Grundrechte der Bevölkerung durch technische und organisatorische Maßnahmen wirksam zu schützen sind. Hierzu gehöre insbesondere die Bereitstellung einer von jeder Person einfach nutzbaren Verschlüsselungsinfrastruktur. Zudem müsse beim Transport von Daten eine standardisierte Verschlüsselung eingreifen. Zusätzlich bedarf es jedoch des Einsatzes von Mechanismen der Ende-zu-Ende-Verschlüsselung, die der Bevölkerung angeboten, aber auch ausreichend finanziert werden müssen.

Gesichtserkennung
Eine weitere Entschließung der Datenschutzbehörden befasst sich mit der biometrischen Gesichtserkennung durch Internetdienste („Biometrische Gesichtserkennung durch Internetdienste – Nur mit Wahrung des Selbstbestimmungsrechts Betroffener!“). Danach sehen die Datenschützer in der biometrische Gesichtserkennung eine Technik, „die sich zur Ausübung von sozialer Kontrolle eignet und der damit ein hohes Missbrauchspotential immanent ist„. Sie fordern daher, dass eine Verarbeitung biometrischer Merkmale der Gesichter der Nutzer in sozialen Medien nur mit der ausdrücklichen und informierten Einwilligung der Betroffenen erfolgen darf (§ 4a BDSG). Ein Verweis auf Klauseln in Allgemeinen Geschäftsbedingungen reiche nicht aus.

Öffentlichkeitsfahndung
Die Konferenz befasste sich zudem mit der polizeilichen Öffentlichkeitsfahndung mit Hilfe sozialer Netzwerke („Öffentlichkeitsfahndung mit Hilfe sozialer Netzwerke – Strenge Regeln erforderlich!“). Eine Nutzung sozialer Netzwerke privater Betreiber (wie z.B. Facebook) zur Öffentlichkeitsfahndung stellt sich aus datenschutzrechtlicher Sicht der Behörden als sehr problematisch dar. Wenn eine solche Fahndungsart gewählt wird, so sollte diese bestimmt Voraussetzungen beachten. Denn sie greife nicht zuletzt wegen der größeren Reichweite deutlich intensiver in die Grundrechte ein als die herkömmliche Öffentlichkeitsfahndung. So darf etwa eine Speicherung der Fahndungsdaten nur auf den Servern der Polizei erfolgen. Zudem sei es entscheidend, dass die „Fahndung nicht als Aufruf zu Hetzjagden und Selbstjustiz im Internet führt. Dazu muss die Kommentierungsfunktion zwingend deaktiviert sein“.

Beschäftigungsdatenschutz
Auch der Beschäftigungsdatenschutz war erneut Thema auf der Konferenz (Beschäftigtendatenschutzgesetz jetzt!). Die Datenschützer verweisen auf den Koalitionsvertrag, wonach, falls mit einem Abschluss der Verhandlungen über die Europäische Datenschutz-Grundverordnung nicht in angemessener Zeit gerechnet werden kann, eine nationale Regelung geschaffen werden solle. Dies reicht den Datenschützern nicht aus. „Aufgrund der voranschreitenden technischen Entwicklung, die eine immer weiter gehende Mitarbeiterüberwachung ermöglicht, besteht unmittelbarer Handlungsbedarf. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordert die Bundesregierung deshalb auf, ein nationales Beschäftigtendatenschutzgesetzes um-gehend auf den Weg zu bringen„.

Datenschutzaufsicht in Europa
Zuletzt fordert die Konferenz in der Entschließung zur „Struktur der zukünftigen Datenschutzaufsicht in Europa„, dass während der im Rat der Europäischen Union andauernden Verhandlungen zur Datenschutz-Grundverordnung, bestimmte Kernelemente beachtet werden sollten, um in Zukunft einen effektiven und bürgernahen Kooperations- und Entscheidungsmechanismus der europäischen Datenschutzbehörden zu gewährleisten. Die Konferenz bekräftigt insbesondere den Grundsatz, dass jede Aufsichtsbehörde zur Kontrolle von datenschutzrechtlichen Verstößen befugt sein sollte, wenn Bürgerinnen und Bürger des jeweiligen Mitgliedstaats betroffen sind. Bei grenzüberschreitender Datenverarbeitung in Europa sollte die Aufsichtsbehörde am Ort der Hauptniederlassung nur federführend tätig werden und eng mit den anderen Aufsichtsbehörden kooperieren. Einigen sich die beteiligten Behörden, so soll die federführende Behörde die Maßnahme erlassen. In Streitfällen sollte der Europäische Datenschutzausschuss verbindlich entscheiden. Nach Ansicht der Konferenz besteht jedoch für die Einführung formeller, fristgebundener Verfahren zur Erlangung EU-weit gültiger Compliance-Entscheidungen kein Bedarf. Es dürfe bei der Klärung von Compliance-Fragen zu keiner Verlagerung der Verantwortlichkeit auf die Aufsichtsbehörden kommen.

EuGH: Gerichtliche Sperranordnungen von Internetseiten können mit EU-Recht vereinbar sein

Der Gerichtshof der Europäischen Union (EuGH) hat in einem heutigen Urteil (Az.: C-314/12) entschieden, dass eine gerichtlichen Anordnung, mit der einem Anbieter von Internetzugangsdiensten verboten wird, seinen Kunden den Zugang zu einer Website zu ermöglichen, auf der ohne Zustimmung der Rechtsinhaber Schutzgegenstände online zugänglich gemacht werden, mit dem Unionsrecht vereinbar ist. Dies jedoch nur dann, wenn die Sperrmaßnahmen zum einen den Internetnutzern nicht unnötig die Möglichkeit vorenthalten, in rechtmäßiger Weise Zugang zu den verfügbaren Informationen zu erlangen, und zum anderen bewirken, dass unerlaubte Zugriffe auf die Schutzgegenstände verhindert oder zumindest erschwert werden.

In dem heute entschiedenen Fall ging es vor allem um die Frage, ob und wie eine gerichtliche Anordnung gegen einen Internetzugangsdienstanbieter (Access-Provider) ergehen kann, dieser müsse den Zugang zu einer Webseite sperren, auf der urheberrechtlich geschützte Filme zum Download angeboten werden oder per Streaming angesehen werden können (vorliegend handelte es sich um kino.to). Dies eventuell sogar dann, wenn der Access-Provider nicht unerhebliche Anstrengungen hierfür auf sich nehmen muss und diese Speere dennoch relativ leicht umgangen werden kann.

Zum Verfahren
Das Handelsgericht Wien untersagte dem Access-Provider (UPC Telekabel Wien GmbH), seinen Kunden Zugang zur Webseite kino.to zu vermitteln, wenn die von der Rechteinhaberin (Constantin Film Verleih GmbH und Wega Filmproduktionsgesellschaft GmbH) benannten Filme dort zur Verfügung gestellt würden. Hierzu sollte sie insbesondere eine DNS-Sperre der Domain nutzen und aktuell und auch zukünftig nachgewiesene IP-Adressen blockieren. Das Gericht erkannte an, dass diese beiden Maßnahmen ohne erheblichen Aufwand getroffen, aber sehr leicht umgangen werden könnten. Trotzdem stellten sie die effektivsten Methoden zur Zugangshinderung dar. In der nächsten Instanz änderte das Oberlandesgericht Wien diese Verfügung dahin ab, dass es die Vermittlung des Zugangs zu kino.to ohne Nennung konkreter zu ergreifenden Maßnahmen (also im Sinne einer allgemeinen Sperrverfügung) untersagte. Begründet wurde dies unter Rückgriff auf Art. 8 Abs. 3 der Richtlinie 2001/29 (PDF) und Erwägungsgrund 59 dieser Richtlinie. Nach Art. 8 Abs. 3 Richtlinie 2001/29 stellen die Mitgliedstaaten sicher, „dass die Rechtsinhaber gerichtliche Anordnungen gegen Vermittler beantragen können, deren Dienste von einem Dritten zur Verletzung eines Urheberrechts oder verwandter Schutzrechte genutzt werden“.

Das Gericht stellte fest, dass der Access-Provider vorliegend seinen Kunden den Zugriff auf rechtswidrig zugänglich gemachte Inhalte ermögliche und er damit ein „Vermittler“ im Sinne der europarechtlichen Vorschrift sei. Dies unabhängig davon, ob die Kunden selbst rechtswidrig handelten. Das Oberlandesgericht Wien führte weiter aus, dass dem Access-Provider der Eingriff in das geistige Eigentum der Rechteinhaberin generell, ohne Nennung bestimmter Maßnahmen, zu verbieten sei. Dem Access-Provider werde durch diese Verfügung die Erzielung eines Erfolgs (namentlich die Verhinderung des Eingriffs in das Recht des geistigen Eigentums) aufgegeben. Die Wahl der Mittel zur Erzielung dieses Erfolgs obliege dabei dem Access-Provider, der jedoch alles ihm Mögliche und Zumutbare unternehmen müsse.

Entscheidung des EuGH
Zunächst stellte sich die Frage, ob der Access-Provider gemäß Art. 8 Abs. 3 der Richtlinie 2001/29 als Vermittler angesehen werden kann, dessen Dienste von dem das Urheberrecht Verletzenden (dem Betreiber der Seite kino.to) „genutzt“ werden. Denn man könnte ja auch argumentieren, dass der Dienst nur von den Kunden des Access-Providers selbst genutzt wird. Der Generalanwalt am EuGH hat den Access-Provider vorliegend als „Vermittler“ im Sinne der europarechtlichen Vorgabe angesehen und, unter Rückgriff auf Wortlaut sowie Sinn und Zwecke der Norm, in seinen Schlussanträgen auch eine „Nutzung“ durch den Betreiber der Webseite kino.to bejaht (Rz. 59).

Der EuGH folgt dieser Auffassung (Rz. 40 des Urteils). Er begründet dies vor allem auch damit, dass Urheber nicht nur dann die Möglichkeit zum Schutz ihrer Rechte haben müssten, wenn sie einen Zugriff der Kunden des Access-Providers auf geschützte Werke nachweisen könnten, sondern bereits Maßnahmen zur Vorbeugung von Urheberrechtsverstößen ergreifen treffen können müssen. Dieses vorbeugende Wirkung setzt aber die Möglichkeit des Tätigwerdens auch ohne tatsächlichen Nachweis des Zugriffs auf die Inhalte voraus.

Danach stellte sich die Frage, ob es mit den unionsrechtlichen Vorgaben vereinbar ist, insbesondere auch mit den gewährten Grundrechten, einem Access-Provider im Rahmen von Art. 8 Abs. 3 der Richtlinie 2001/29 ganz allgemein gerichtlich zu verbieten, seinen Kunden den Zugang zu einer bestimmten Website zu ermöglichen, auf der ausschließlich oder doch weit überwiegend Inhalte ohne Zustimmung der Rechteinhaber zugänglich gemacht werden. Hier stellte sich noch die nationale Besonderheit, dass der Access-Provider Beugestrafen wegen einer Verletzung dieser Anordnung durch den Nachweis abwenden konnte, dass er alle zumutbaren Maßnahmen zu deren Erfüllung ergriffen hat. Der Generalanwalt am EuGH hatte in seinen Schlussanträgen eine solche allgemeine und ohne konkrete Maßnahmen verbundene Anordnung für mit den Grundrechten der Beteiligten unvereinbar erklärt und abgelehnt (R. 90).

Der EuGH hält eine solche (allgemeine) Anordnung für zulässig (Rz. 42 ff. des Urteils). Eine solche Anordnung lasse nämlich unter anderem „den Wesensgehalt des Rechts auf unternehmerische Freiheit eines Anbieters von Internetzugangsdiensten wie des im Ausgangsverfahren in Rede stehenden unangetastet“. Jedoch beurteilte der EuGH den vorliegenden Fall gerade auch mit Blick auf die konkreten Umstände. Denn wie erwähnt überließ es die Anordnung im Ausgangsverfahren dem Access-Provider Adressaten, die konkreten Maßnahmen zu bestimmen, die zur Erreichung des angestrebten Ziels zu treffen sind. Daher, so der EuGH, könne er sich für „die Umsetzung derjenigen Maßnahmen entscheiden, die seinen Ressourcen und Möglichkeiten am besten entsprechen und mit den übrigen von ihm bei der Ausübung seiner Tätigkeit zu erfüllenden Pflichten und Anforderungen vereinbar sind“. Der EuGH geht dann näher auf die an die Form der Maßnahme zu stellenden Kriterien ein. Zum einen muss der Access-Provider auch für die Beachtung des Grundrechts der Internetnutzer auf Informationsfreiheit Sorge tragen. Wichtig ist, dass die Maßnahmen zielorientiert seien. Der Verletzung des Urheberrechts durch einen Dritten muss ein Ende gesetzt werden, ohne dass Internetnutzer, die die Dienste dieses Anbieters in Anspruch nehmen, um rechtmäßig Zugang zu Informationen zu erlangen, dadurch beeinträchtigt werden. Zudem stellt der EuGH klar, dass nicht ausgeschlossen ist, dass die Durchführung einer Anordnung nicht zu einer vollständigen Beendigung der Verletzung des Rechts des geistigen Eigentums der Betroffenen führt. Auch ist nicht ausgeschlossen, dass keine technische Möglichkeit zur vollständigen Beendigung der Verletzung des Rechts des geistigen Eigentums besteht oder in der Praxis realisierbar ist. Das Recht am geistigen Eigentum bestehe nicht bedingungslos.

Jedoch, so der EuGH, müssen die Maßnahmen hinreichend wirksam sein, um einen wirkungsvollen Schutz des betreffenden Grundrechts sicherzustellen. Sie müssen also bewirken, dass unerlaubte Zugriffe auf die Werke verhindert oder zumindest erschwert werden und dass die Internetnutzer, die die Dienste des Adressaten der Anordnung in Anspruch nehmen, zuverlässig davon abgehalten werden, auf die ihnen unter Verletzung des genannten Grundrechts zugänglich gemachten Schutzgegenstände zuzugreifen. Auch wenn die Maßnahme also die Rechtsverletzung nicht vollständig ausschließen kann, so kann sie dennoch angemessen sein, um das erforderliche Gleichgewicht zwischen allen anwendbaren Grundrechten herzustellen. Dieser wirksame Ausgleich zwischen dem Schutz des geistigen Eigentums und dem Verhindern des Zugriffs auf geschützte Inhalte einerseits, und dem Recht der Internetnutzer auf Informationszugang andererseits, ist durch die nationalen Gerichte zu beurteilen.

Das bin ich nicht! – Gedanken zum Profiling

Wenn wir im Rahmen des Profilings analysiert werden, dann nutzen Unternehmen oder Behörden nicht nur Daten, die sich direkt auf uns beziehen. Denn dies würde einfach eine personenbezogene Abwägung anhand bestimmter Kriterien darstellen (Herr X verdient 1.000 €, also bekommt er den Kredit nicht; Frau Y ist eine Frau, also bekommt sie keine Werbung für Rasierwasser angezeigt, etc.). Auf diese Weise kann natürlich auch ein Profil angelegt werden. Dies besteht jedoch aus von der betroffenen Person stammenden bzw. direkt aus diesen abgeleiteten Daten.

Der Sinn des Profilings liegt darin, aus einer Masse an Daten von verschiedenen Personen bestimmte Muster und Merkmale herauszufiltern, die man dann auf eine Person oder eine Personengruppe übertragen kann – freilich mit dem Risikofaktor einer gewissen Ungenauigkeit – die aber vorher dieser Person oder Personengruppe nicht zugeordnet waren. Meist geht es dabei um Vorhersagen und Wahrscheinlichkeitsprognosen. Es findet also auf der Grundlage gemeinsamer Merkmale die Analyse statt.

Aus einer Menge an Daten wird versucht, diese Gemeinsamkeiten von Personen zu erkennen und von diesen wiederum eine bestimmte, bisher noch nicht bestehende, also neue Information abzuleiten. Die Geburt eines neuen personenbezogenen Datums (vorausgesetzt, die Datenverarbeitung findet mit solchen Daten statt).

Dieses personenbezogene Datum wurde nicht durch den Betroffenen direkt bereitgestellt, es wurde auch nicht über Dritte dem für die Verarbeitung Verantwortlichen zugeleitet. Es entsteht auf der Grundlage von bestimmten Formeln und Vorhersagen. Es entsteht nicht an der Quelle, der es dann jedoch zugeordnet wird.

Die Folge ist, dass der Betroffene natürlich nicht weiß, welche neuen Informationen ihm zugeordnet werden. So kann mit der Zeit ein Online-Ich entstehen, welches entweder sehr genau mit dem Offline-Ich übereinstimmt (da die Vorhersagen und Wahrscheinlichkeitsberechnungen richtig lagen) oder aber erheblich von dem Offline-Ich abweicht.

Diese Situation, die man meines Erachtens nicht von vornherein als negativ brandmarken sollte, hält in Bezug auf das Datenschutzrecht interessante Fragen bereit:

  • Wie sieht es mit dem Grundsatz der Datengenauigkeit (Art. 6 (1) d) RL 95/46/EG) aus? Was wenn die Vorhersagen und das neue Merkmal fehlerhaft sind? Wer kann dies prüfen?
  • Wie weit reicht der Auskunftsanspruch des Betroffenen nach § 34 BDSG? (siehe zu dieser Diskussion etwa die Anmerkungen von Thomas Stadler und Daniel Schätzle zu einem Urteil des BGH in Bezug auf den Anspruch gegen die SCHUFA). Benötigen wir einen „automatischen“ Auskunfts- oder Informationsanspruch? Ein Hinweis, „Ihnen wurde ein neues Merkmal zugeordnet“?
  • Handelt die verantwortliche Stelle nach „Treu und Glauben“ (Art. 6 (1) a) RL 95/46/EG), wenn sie veraltete Daten für die Rechenprozesse nutzt? Besteht eine Kontrollpflicht zur Aktualisierung? („wenn nötig, auf den neuesten Stand gebracht werden“, Art. 6 (1) d) RL 95/46/EG) Wann wird das „nötig“? Muss ich den Betroffenen jeden Tag fragen, ob die Daten noch aktuell sind?

Man kann nun ansetzen und versuchen, auf diese Fragen Antworten nach geltendem Recht zu finden. Da knirscht und knarzt es wohl gewaltig. Da das Datenschutzrecht derzeit aber vor einer großen Reform steht, sollten wir uns auch überlegen, wie wir in Zukunft mit Techniken wie dem Profiling (an sich einem schlichten und für sich genommen neutralen Datenverarbeitungsprozess) umgehen wollen und diese Chance nutzen. Wichtig erscheint es, die Transparenzpflichten voranzutreiben. Dem Betroffenen muss verdeutlicht werden, was geschieht und wie es geschieht. Soweit wie möglich proaktiv. Dass uns neue Attribute zugeteilt werden, muss per se keine negativen Auswirkungen haben. Auch in der realen Welt teilen wir anderen Menschen stets bestimmte Attribute zu…auch diese können ungenau oder falsch sein. Zudem sollten Auskunfts- und Löschansprüche das halten, was sie versprechen, nämlich zu informieren und falsche Daten zu entfernen, jedoch keine Einladung darstellen, sein Online-Ich zum Mr. Perfect zurecht zu kürzen.

Europarat: Abgeordnete fordern besseren Schutz der Bürger im Internet

Am 11. März hat der Ausschuss für Kultur, Wissenschaft, Bildung und Medien der Parlamentarischen Versammlung des Europarates einen Bericht des deutschen Bundestagsabgeordneten Axel Fischer zur Verbesserung des Schutzes der Nutzer und der Sicherheit im Internet angenommen („Improving user protection and security in cyberspace“ PDF).

Der Bericht enthält sowohl den Entwurf eines Entschlusses als auch den Entwurf einer Empfehlung der Parlamentarischen Versammlung des Europarates. Über beide Entwürfe werden am 9. April in Straßburg verhandelt.

Entwurf eines Entschlusses

Mit der Verabschiedung des Entschlusses würde die Parlamentarische Vollversammlung kein bindendes Recht schaffen, jedoch ihre Position in Bezug auf das Thema Datenschutz, Überwachung und Privatheit im Internet zum Ausdruck bringen. Einige Kernpunkte, die in dem Entschluss angeprangert und auch gefordert werden:

  • Das Vertrauen der Bürger in Internetdienste wurde durch die Enthüllungen und Informationen über Eingriffe in ihre privaten Daten durch europäische und amerikanische Behörden und auch private Unternehmen erschüttert
  • Alle Mitgliedstaaten sind aufgefordert in Zusammenarbeit mit der Internetwirtschaft eine weltweite Initiative zur Verbesserung des Schutzes der Nutzer und der Sicherheit des Internets zu starten
  • Mitgliedstaaten sollen unter anderem folgende Prinzipien effektiv umsetzen und achten:
  1. das Privatleben, die Korrespondenz und die persönlichen Daten müssen auch online geschützt sein
  2. das Abfangen, die Überwachung, die Profilbildung und das Speichern persönlicher Daten durch öffentliche Stellen und Unternehmen ist nur aufgrund einer gesetzlichen Grundlage erlaubt und verstößt nicht gegen Art. 8 EMRK
  3. Mitgliedstaaten besitzen eine positive Rechtspflicht gegenüber ihren Bürgern, diese vor dem Abfangen, Überwachen der Profilbildung und der Speicherung ihrer persönlichen Daten zu schützen
  • Internetzugangs- und Diensteanbieter sollten automatisch Verschlüsselungstechniken einsetzen
  • Gesetzestreue Internetnutzer haben das Recht auf Anonymität
  • Cloud-Computing-Anbieter sollten die Schutzstandards für Nutzer nicht dadurch umgehen, dass sie ihre Datenzentren in „schwächere“ Rechtssysteme verlagern
  • Mitgliedstaaten sollten gesetzliche Grundlagen zur Regulierung von Online-Spiele-Anbietern schaffen; hierbei sollte dasjenige Recht anwendbar sein, in dem sich der Nutzer befindet, auf den der Dienst ausgerichtet ist
  • Betroffene müssen die Möglichkeit effektiven Rechtsschutzes besitzen

Entwurf einer Empfehlung

Der Entwurf für eine Empfehlung enthält konkrete Forderungen der Parlamentarischen Versammlung an das Ministerkomitee, die von jenem auch beantwortet werden müssen. Einige der Kernpunkte sind hier:

  • Als besonders dringliche Angelegenheit die derzeit stattfindende Überarbeitung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen 108) abzuschließen
  • Über-europäische Bestrebungen zur Internationalisierung der ICANN zu unterstützen und zu koordinieren
  • Beobachterstaaten einzuladen, mit den Mitgliedstaaten aktiv bei der Verbesserung des Schutzes der Nutzer und der Sicherheit des Internets mitzuwirken

Die beiden Entwürfe, die noch durch eine Begründung des Berichterstatters Fischer begleitet werden, finden teilweise sehr deutliche und klare Worte, wenn es um die erforderlichen Maßnahmen zum Schutz der Internetnutzer geht. Insbesondere der klare Hinweis auf eine staatliche Schutzpflicht oder ein Recht auf Anonymität sind durchaus bemerkenswert. Es bleibt jedoch abzuwarten, ob die Parlamentarische Versammlung im April die Entwürfe auch ohne Änderungen übernimmt.

Merkel: Wir brauchen eine digitale Agenda!

Bundeskanzlerin Merkel hat sich in ihrem wöchentlichen Podcast, kurz vor der Eröffnung der diesjährigen CeBit Messe in Hannover, mit dem Thema digitale Wirtschaft, Breitband, Datenschutz und Datensicherheit beschäftigt. Das Video ist hier abrufbar, die Textversion hier.

Erfreulich ist, dass die Thematik um die digitale Zukunft Deutschlands und auch Europas einen immer höheren Stellenwert in Regierungskreisen zu erreichen scheint. Dies scheint mir auch geboten. Wie ich bereits zum Thema „Internet der Dinge“ geschrieben hatte, sehe ich gerade für Deutschland doch ein Potential, um sich hier am Weltmerkt zu etablieren und Standards zu setzen.

Digitale Agenda
Die Bundeskanzlerin erklärt in dem Interview, dass die Bundesregierung eine Digitale Agenda von 2014 bis 2017 aufstellen werde. Verantwortlich seien dabei im Kern das Wirtschaftsministerium, das Ministerium für Verkehr und Infrastruktur und das Bundesministerium des Innern. Nach Ansicht der Bundeskanzlerin handelt es sich hierbei um ein übergreifendes Thema. Der Wohlstand in Deutschland werde maßgeblich davon abhängen, wie die klassische Industrie mit der Verschmelzung der digitalen Welt zurecht komme.

Zum einen geht es der Bundeskanzlerin um die Teilhabe der Bevölkerung an neuen Technologien. Hierfür müsse jedoch die Voraussetzung geschaffen werden, dass alle Bürger auch Zugang zu den Entwicklungen haben und daher der Breitbandausbau vorangetrieben werden. Zweitens möchte die Bundeskanzlerin, vor allem auf europäischer Ebene, einen digitalen Markt schaffen. Europa müsse also attraktiv für Unternehmen werden und diese müssen auch wettbewerbsfähig sein. Derzeit hinke Europa hier hinter Staaten wie Amerika oder asiatischen Ländern hinterher. Zudem geht es der Kanzlerin um den Datenschutz. Das derzeit geltende Datenschutzrecht ist in Europa zersplittert. An der Verabschiedung eines einheitlichen Standards, nämlich der derzeit verhandelten Datenschutz-Grundverordnung, werde gearbeitet. Dies wäre gerade auch für die Ansiedlung neuer Firmen in Europa hilfreich. Jedoch betont die Bundeskanzlerin, dass Deutschland den Anspruch habe, seinen hohen Standard beim Datenschutz nicht aufzugeben. Zuletzt verweist die Kanzlerin auch auf nötige Fortschritte bei der Medienerziehung und Aufklärung.

Das Internet der Dinge und Deutschlands Chance

In der digitalen Wirtschaft werden derzeit grundsätzlich zwei Trends der Zukunft diskutiert. Big Data und das Internet der Dinge, wobei beide Bereiche meines Erachtens nicht strikt voneinander zu trennen sind. Beide Entwicklungen enormes Potential für Deutschland und Europa.

Big Data
Big Data, also die Entwicklung des stetigen Wachstums der weltweiten Datenmassen und die Frage nach dem Umgang mit diesen Datenbergen, darf man wohl als eine logische Entwicklung des technischen Fortschritts einer stetig wachsenden Weltbevölkerung bezeichnen. Immer mehr Menschen nutzen das Internet, ja wachsen mit diesem als gegebene Normalität auf. Sei es über den PC, das Handy oder das Tablet. In den Entwicklungsländern nutzen jedoch derzeit nur 31% der Bevölkerung das Internet (Zahlen für 2013 der International Telecommunication Union der Vereinten Nationen). Das Datenaufkommen dürfte daher auch künftig nicht geringer werden.

Man kann sich nun natürlich fragen, wie man mit dieser Tatsache umgeht und ob man ihr positiv oder skeptisch gegenübersteht. Dabei geht es bereits um so fundamentale Fragen, wie etwa derjenigen der Datensparsamkeit im Datenschutzrecht. Sehen wir Daten als „Gefahr“ an und möchten wir ihre Entstehung im Keim ersticken bzw. regulieren oder erkennen wir ein Potential des wirtschaftlichen und gesellschaftlichen Wohlstandes und lassen die Daten sprudeln. Unternehmen und auch Regierungen dürften grundsätzlich ein großes Interesse an Daten und auch an einem Mehr an Daten besitzen. Ebenso wie die Wissenschaft und Forschung. In welchem Schritt des Lebenszyklus eines Datums man regulierend eingreifen möchte, ist wohl vor allem zu Beginn weniger eine rechtliche, als vielmehr eine ideologische Frage. Hier treffen dann auch kulturelle Unterschiede in der Welt aufeinander. Über die tatsächliche rechtliche Ausgestaltung der Vorgaben der Datennutzung, kann man sich auch trefflich streiten. Wichtig erscheint mir jedoch, dass man auf Grundlage der tatsächlichen Fakten und Entwicklungen das Recht schafft und anpasst.

Internet der Dinge
Das Internet der Dinge, also die Verknüpfung von immer mehr Gegenständen in eigenen Netzwerken oder mit dem Internet selbst, ist meines Erachtens ein ebenso nachvollziehbarer Trend. Bisher waren es das Mobiltelefon, der Laptop und das Tablet. Jedoch sollen in Zukunft nun auch andere Alltags- und Haushaltsgegenstände in den Genuss der Digitalisierung kommen. Hierfür gibt es mehrere Schlagwörter: Smart Home, Smart Car, Wearable Technology etc. Uhren, Armbänder, Brillen, aber auch der Fernseher, die Waschmaschine oder der Kühlschrank, ja teilweise auch die Kleidung selbst. Und nicht zuletzt, des Deutschen liebsten Spielzeug, das Auto. All diese Gegenstände werden Daten erzeugen (wenn man nicht gesetzlich vorschreiben möchte, dass sie es nicht dürfen) und damit ebenfalls zum Wachstum des weltweiten Datenflusses beitragen.

Deutschlands Chance
Diese beiden Entwicklungen vollziehen sich bereits derzeit und werden es, in größerem Umfang, auch in der Zukunft tun. Ob wir wollen oder nicht. Man betrachte nur die Technikaffinität in Amerika oder Asien. Die Frage für Deutschland und für Europa darf meines Erachtens nicht sein „Wollen wir da mitmachen?“, sondern „Wie können wir hier führend werden?“. Denn in den letzten Wochen und Monaten ist auch auf politischer Ebene die Erkenntnis gereift, dass Deutschland, das weltweite als Sinnbild für hervorragende Produkte, Industrietechnik und Ingenieurarbeit gilt, im Bereich der Digitalisierung ins Hintertreffen geraten ist. Große Internetkonzerne haben keine deutschen Wurzeln.

Bundeskanzlerin Merkel konstatierte am Wochenende: „Wohlstand wird nur auf dem Erdteil entstehen, wo auch die neuesten Produkte hergestellt werden“ und „Wir werden die Standards für den Umgang mit Daten mit Sicherheit nicht setzen können, wenn wir die Technologie nicht beherrschen„.

Und hier sehe ich gerade für unsere deutsche Wirtschaft eine enorme Chance. Deutschland ist bekannt für seine hochqualitativen, weltweit gefragten Produkte, auch wenn die Exporte 2013 zurückgingen. Wenn sich nun das Internet mit den „normalen“ Produkten verbindet, dann besitzt die deutsche Wirtschaft doch hervorragende Startvoraussetzungen, um diesen Trend mit zu prägen. Denn die „offline“ Grundprodukte werden bereits hier produziert. Und das erfolgreich. Für die Wirtschaft muss es nun darum gehen, diese vorhandenen Waren dem Internet der Dinge anzupassen, in diese Entwicklung zu investieren und ihnen digitales Leben einzuhauchen. Eigentlich müssten in jedem Industrie- und auch Zuliefererbetrieb, der an der Fertigung von Endkundenprodukte beteiligt ist, bereits Entwicklungen anlaufen, um die Möglichkeiten der Vernetzung zu erforschen und zu implementieren. Unternehmen sollten Think-Tanks und Start-Ups unterstützen, die auf diesem Gebiet arbeiten.

Es mag sein, dass wir die Digitalisierung verschlafen haben und aufholen müssen. Doch der Trend, hin zu einer vernetzten Produktwelt, in der nicht nur die „Modeprodukte“ wie Mobiltelefone oder Tablets, die aus anderen Ländern importiert werden, sondern eben auch Produkte der Industrieparadedisziplinen der deutschen Wirtschaft (Stichwort: Auto), eine wesentliche Rolle spielen, gibt uns gerade diese Möglichkeit der Aufholens. Und auch des Setzens von Standards. In meinen Augen hält das Internet der Dinge enormes Potential für Deutschland und Europa bereit. Das sollten wir nicht verschlafen.