Anpassung an die DSGVO: Sachsen-Anhalt reformiert Stellung des Landesdatenschutzbeauftragten

Als soweit ersichtlich erstes Bundesand ist nun ein Gesetzentwurf der Landesregierung Sachsen-Anhalt zur Anpassung des geltenden Landesdatenschutzgesetzes (DSG LSA) veröffentlicht worden (LT-Drs. 7/1736, 15.08.2017, pdf).

Mit dem „Entwurf eines Gesetzes zur Organisationsfortentwicklung des Landesbeauftragten für den Datenschutz“ soll die Organisation des Landesbeauftragten für den Datenschutz in Sachsen-Anhalt an die Vorgaben der EU Datenschutz-Grundverordnung (DSGVO) angepasst werden.

Lau der Begründung zum Entwurf ist dieser Teil eines zweistufigen Verfahrens zur Anpassung des DSG LSA an das EU-Recht. In dem vorliegenden Entwurf sollen die organisationsrechtlichen Fragestellungen behandelt werden. Dabei ist es das Ziel, zum 1. Januar 2018 eine arbeitsfähige Aufsichtsstruktur zu schaffen. In der zweiten Stufe sollen die materiell-rechtlichen Anpassungen an die neuen europarechtlichen Vorgaben vorgenommen werden. Dies betrifft z. B. die Neuregelung von sogenannten Betroffenenrechten in einem die DSGVO ausfüllenden Landesgesetz.

Momentan ist die Geschäftsstelle des Landesbeauftragten für den Datenschutz ist noch bei der Präsidentin des Landtags angesiedelt. Die Beibehaltung dieses Status quo scheidet jedoch als europarechtlich nicht zulässig in Zukunft aus. Hierzu wird § 21 Abs. 3 DSG LSA neu gefasst. Mit der Änderung soll der gesetzgeberische Auftrag aus Art. 52 DSGVO umgesetzt werden. Nach Art. 52 Abs. 1 DSGVO handelt jede Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung völlig unabhängig. Um diese „völlige“ Unabhängigkeit herzustellen, wird die Geschäftsstelle aus der Landtagsverwaltung herausgelöst und verselbständigt.

Ganz interessant ist, dass Sachsen-Anhalt laut der Gesetzesbegründung auch darüber nachgedacht hatte, eine große Datenschutzbehörde für die Bundesländer Sachsen, Sachsen-Anhalt und Thüringen zu schaffen. Diese Idee wird aber nicht weiter verfolgt, die entsprechende Bereitschaft von Sachsen und Thüringen nicht signalisiert worden ist.

Nachfolgend noch ein kurzer Überblick zu ein paar Neuerungen im DSG LSA.

In § 20 Abs. 1 S. 2 DSG LSA werden die Anforderungen an den Landesdatenschutzbeauftragten neu gefasst und der DSGVO angeglichen. So wird der Tatbestand der besonderen Sachkunde für das Mitglied der Aufsichtsbehörde aus Art. 53 Abs. 2 DSGVO übernommen und als Ernennungserfordernis für den Landesbeauftragten für den Datenschutz normiert. Nach der Gesetzesbegründung wird diese ein Berufsanfänger nicht haben. Zudem wird die Altersdiskriminierung hinsichtlich der Vollendung des 35. Lebensjahres wird gestrichen.

Der Landesbeauftragte wird durch eine entsprechende Regelung in § 21 DSG LSA sowohl Aufsichtsbehörde im Sinne der DSGVO als auch Aufsichtsbehörde für den Bereich von Polizei und Justiz bis hin zur Strafvollstreckung im Sinne der RL (EU) 2016/680.

Die Möglichkeit, Bußgelder gegenüber öffentlichen Stellen des Landes zu verhängen, soll in § 22 Abs. 1 DSG LSA ausgeschlossen werden. Diese Möglichkeit eröffnet Art. 83 Abs. 7 DSGVO. Nach dem geplanten § 22 Abs. 1 DSG LSA erfüllt der Landesbeauftragte für den Datenschutz gegenüber allen öffentlichen Stellen die Aufgaben aus Art. 57 DSGVO und dazu stehen ihm die Befugnisse aus Art. 58 DSGVO, also auch gegenüber öffentlichen Stellen, zu. Geldbußen können durch den Landesbeauftragten gegenüber öffentlichen Stellen aber nicht verhängt werden. Nach Auffassung der Landesregierung sollten die europarechtlich normierten Befugnisse (Art. 58 DSGVO) der Aufsichtsbehörde ausreichen, hier zu rechtmäßigem Verhalten bei den Behörden anzuhalten. Ob das in der Praxis tatsächlich der Fall sein wird, muss man wohl abwarten.

Klarstellend ist jedoch anzumerken, dass gegen öffentliche Stellen, die als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, wie auch derzeit Bußgelder nach den für nicht-öffentliche Stellen geltenden Vorschriften verhängt werden können.

Der neue § 31b Abs. 1 S. 1 DSG LSA konzentriert die Zuständigkeit für Streitigkeiten in Datenschutzangelegenheiten aus allen Verwaltungsgerichtsbezirken des Landes beim Verwaltungsgericht Magdeburg. Nach § 31b Abs. 3 DSG LSA kann auch eine Landesbehörde gegen eine sie betreffende Anordnung des Landesbeauftragten für den Datenschutz Anfechtungsklage erheben. Diese Regelung ist, aufgrund der Befugnisse des Datenschutzbeauftragten nach Art. 58 DSGVO, erforderlich. Soweit sich auf der Klägerseite das Land bzw. eine Landesbehörde und auf der Beklagtenseite der Landesbeauftragte gegenüberstehen, handelt es sich um einen Insichprozess. Diese sind u. a. dann statthaft, wenn der Gesetzgeber die Zulassung des Insichprozesses ausdrücklich normiert, was mit Abs. 3 geschieht.

Kaum beachtet: Bundestag beschließt Anpassungen vieler Spezialgesetze an die Datenschutz-Grundverordnung

In den letzten Monaten wurde öffentlich vor allen Dingen über die Anpassung des nationalen Datenschutzrechts an die Datenschutz-Grundverordnung im Zuge der Schaffung eines neuen BDSG berichtet und diskutiert. Relativ geräuschlos hat der Bundestag jedoch zudem am 1. Juni über einen Änderungsantrag (BT Drs. 18/12611, pdf) von CDU/CSU und SPD im Ausschuss für Arbeit und Soziales abgestimmt und weitreichende Änderungen in vielen Spezialgesetzen zur Anpassung bestehender gesetzlicher Vorgaben an die Datenschutz-Grundverordnung beschlossen.

Die durch den Änderungsantrag betroffenen Gesetze sind die folgenden:

  • Handelsgesetzbuch
  • Genossenschaftsgesetz
  • Patentgesetz
  • Gebrauchsmustergesetz
  • Markengesetz
  • Halbleiterschutzgesetz
  • Urheberrechtsgesetz
  • Verwertungsgesellschaftengesetz
  • Designgesetz
  • Finanzverwaltungsgesetz
  • Abgabenordnung
  • Zehntes Buch Sozialgesetzbuch

Insbesondere werden durch die Änderungen die Betroffenenrechte in den Artikel 12 – 22 Datenschutz-Grundverordnung beschränkt. Diesbezüglich ausdrücklich festzustellen, dass der deutsche Gesetzgeber nach Artikel 23 Datenschutz Grundverordnung zu einer solchen Beschränkung befugt ist. Die jeweilige Beschränkung muss aber der Sicherstellung eines der in Artikel 23 Abs.1 lit) a bis j) Datenschutz-Grundverordnung genannten Schutzzwecke dienen. Ob die nun beschlossenen Gesetzesänderungen in Gänze den die Vorgaben der Datenschutz-Grundverordnung erfüllen, wird sich erst in Zukunft zeigen. Viele der Änderungen betreffen insbesondere öffentliche Register, in denen personenbezogene Daten enthalten sein können. In diesen Fällen betreffen viele der nun beschlossenen Änderungen die Beschränkung des Auskunftsrechts betroffener Personen.

Die nun durch den Bundestag verabschiedeten Anpassungen sind aber nur ein kleiner Ausschnitt jener spezialgesetzlicher Regelungen in Deutschland, die aufgrund der Anwendbarkeit der Datenschutz-Grundverordnung ab 25. Mai 2018 geprüft und ggf. angepasst werden müssen.

Neue IT-Sicherheitspflichten für Cloud-Dienste und Online-Marktplätze

Heute verabschiedet der Bundestag den Entwurf des Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (BT Drs. 18/11242, pdf).

Mit dem Gesetz wird, wie der Titel bereits erahnen lässt, die sog. NIS-Richtlinie umgesetzt. Diese trat am 8. August 2016 in Kraft und muss bis zum 9. Mai 2018 in nationales Recht umgesetzt werden.

Viele der Pflichten der NIS-Richtlinie wurden bereits 2015 durch das deutsche IT-Sicherheitsgesetz umgesetzt. Nun werden noch einige wenige, jedoch nicht minder relevante, Anpassungen im nationalen Recht vorgenommen, um die letzten offenen Pflichten umzusetzen. Neu eingeführt werden nun insbesondere Regelungen (vgl. § 8c BSIG) für digitalen Dienste. Das sind: Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste.

Neu ist auch, dass die Begriffe „Online-Marktplatz“, „Online-Suchmaschine“ und „Cloud-Computing-Dienst“ nun in Deutschland legal definiert werden (vgl. § 2 Abs. 11 BSIG).

Von den Pflichten für digitale Dienste ausgenommen sind solche Dienste, die von einer natürlichen Person oder von Kleinstunternehmen oder kleinen Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission (pdf) angeboten werden. Hierunter fallen Unternehmen, die weniger als 250 Personen beschäftigen und entweder höchstens einen Jahresumsatz von 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft.

Neue Begriffsbestimmungen

Online-Marktplätze (Abs. 9 Nr. 1): Dienste, die es Verbrauchern oder Unternehmern ermöglichen, Kaufverträge oder Dienstleistungsverträge mit Unternehmern entweder auf der Website dieser Dienste oder auf der Website eines Unternehmers, die von diesen Diensten bereitgestellte Rechendienste verwendet, abzuschließen. Umfasst sind daher auch B2B-Plattformen. Nicht erfasst werden Online-Dienste, die lediglich den Zugang zu dritten Diensten vermitteln, bei denen ein Vertrag geschlossen werden kann. Der Online-Marktplatz muss also der endgültige Bestimmungsort für den Abschluss dieser Verträge sein und darf nicht als Vermittler agieren (so Erwägungsgrund 15 der NIS-Richtlinie). Nach der NIS-Richtlinie zählen zu den Online-Marktplätzen sls Online Stores tätige „Application Stores“, die den digitalen Vertrieb von Anwendungen oder Software-Programmen von Dritten ermöglichen (z. B. also die großen App-Stores).

Online-Suchmaschinen (Abs. 9 Nr. 2): Dienste, die es Nutzern ermöglichen, Suchen grundsätzlich auf allen Websites oder auf Websites in einer bestimmten Sprache anhand einer Abfrage zu einem beliebigen Thema in Form eines Stichworts, einer Wortgruppe oder einer anderen Eingabe vorzunehmen, die daraufhin Links anzeigen, über die der Abfrage entsprechende Inhalte abgerufen werden können. Nicht hiervon erfasst sind Online-Dienste und Funktionen in IT-Anwendungen, die Suchen jeweils nur auf bestimmte Websites oder Domains ermöglichen. Nach Erwägungsgrund 16 NIS-Richtlinie sind hier von auch nicht Online-Dienste erfasst, die die Preise für bestimmte Produkte oder Dienste bei verschiedenen Unternehmern miteinander vergleichen und den Nutzer anschließend an den bevorzugten Unternehmer weiterleiten, damit er das Produkt dort kauft.

Cloud-Computing-Dienste (Abs. 9 Nr. 3): Dienste, die den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen. „Rechenressourcen“ umfassen verschiedene Arten der Ressourcen, wie Netze, Server oder sonstige Infrastruktur, Speicher und Anwendungen. „Skalierbar“ bedeutet, dass Rechenressourcen unabhängig von ihrem geografischen Standort vom Anbieter des Cloud-Computing-Dienstes flexibel zugeteilt werden können, um Nachfrageschwankungen zu bewältigten.

Pflichten

Nach dem neuen § 8c Abs. 1 BSIG haben Anbieter digitaler Dienste geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.

Die Schutzpflichten der Anbieter beziehen sich also etwa nicht auf Informationen oder in den Systemen gespeicherte Daten, sondern auf die „Sicherheit der Netz- und Informationssysteme“.

Nach § 8c Abs. 2 BSIG müssen diese Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Das erforderliche Sicherheitsniveau ist also nicht als absolut zu verstehen, sondern es hängt von einer Verhältnismäßigkeitsprüfung im konkreten Fall ab. Die notwendigen Maßnahmen sollen noch durch  Durchführungsrechtsakte der Kommission nach Art. 16 Abs. 8 der NIS-Richtlinie näher bestimmt werden.

Nach § 8c Abs. 3 S. 1 BSIG sind die Anbieter digitaler Dienste zudem verpflichtet, jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Bußgelder

Zudem wird auch der bestehende § 14 BSIG angepasst und damit die Bußgeldvorschriften auf die Anbieter digitaler Dienste ausgeweitet. Bußgeldbewehrt (bis zu 50.000 EUR) soll es in Zukunft sein, wenn gegen §§ 8c Abs. 1 S. 1, 8c Abs. 3 S. 1 oder 8c Abs. 4 Nr. 1 oder Nr. 2 BSIG verstoßen wird, also etwa eine Meldung nach § 8c Abs. 3 S. 1 BSIG nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vornimmt.

Die Bußgeldvorschriften gelten für alle Anbieter, die digitale Dienste innerhalb Deutschlands anbieten, sofern sie nicht ihre Hauptniederlassung in einem anderen Mitgliedstaat der Europäischen Union haben oder, sofern sie nicht in einem anderen Mitgliedstaat der Europäischen Union niedergelassen sind, dort einen Vertreter benannt haben und in diesem Mitgliedstaat dieselben digitalen Dienste anbieten.

Die vorgenannten Änderungen sollen nach § 15 BSIG ab dem 10. Mai 2018 anwendbar sein.

Datenschutzbehörde: Datenschutz-Grundverordnung verpflichtet Hersteller von IoT-Geräten zu Sicherheits-Updates

Gestern hat die Landesdatenschutzbeauftragte in Nordrhein-Westfalen ihren Tätigkeitsbericht (pdf) für das Jahre 2016 vorgestellt.

In ihrem Bericht befasst die Datenschutzbeauftragte auch ausführlich mit den „Risiken und Nebenwirkungen des Internet der Dinge“ (IoT). Nach Auffassung der Datenschützerin verarbeiten die unterschiedlichsten vernetzten Dinge (wie Kühlschrank, Waschmaschine oder Fernseher) zum Teil höchst sensible und persönliche Daten. Betroffen hiervon sind auch „personenbezogene Daten“ im Sinne des Datenschutzrechts. Für die Datenschutzbeauftragte spielt, neben den reinen datenschutzrechtlichen Anforderungen (also insbesondere die Frage, ob bestimmte Daten überhaupt verarbeitet werden dürfen) auch die IT-Sicherheit als „Basisvoraussetzung“ bei der Gewährleistung des Datenschutzes im Internet der Dinge eine entscheidende Bedeutung.

Zur Beurteilung des Datenschutzes ist nach Ansicht der Datenschutzbeauftragten in den Blick zu nehmen, welche Daten die Geräte im Einzelnen erheben und was mit ihnen geschieht. Zwar wünsche sie sich eigentlich die Speicherung und Nutzung der Daten ausschließlich lokal auf den Geräten – dies sei in der Praxis jedoch kaum durchführbar, da Hersteller die Einbindung des Gerätes in die Cloud verpflichtend ausgestalten. Dies kritisiert die Datenschutzbeauftragte: die technische Notwendigkeit hierfür sei nicht ersichtlich.

Die im Zusammenhang mit dem IoT stehenden Themen beträfen zentrale Elemente der ab Mai 2018 anwendbaren EU-Datenschutz-Grundverordnung (DSGVO). Nach Ansicht der Landesdatenschutzbeauftragten verpflichtet die DSGVO (leider wird kein konkreter Artikel genannt) Hersteller dazu, angemessene Maßnahmen zu treffen, um die Einhaltung der Datenschutzgrundsätze sicherzustellen. Wahrscheinlich stellt die Datenschutzbeauftragte hier zum einen auf die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO ab. Danach ist der für die Datenverarbeitung  Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO aufgezählten Datenschutzgrundsätze  verantwortlich und muss dessen Einhaltung nachweisen können. Zudem dürfte die Datenschutzbeauftragte Art. 24 Abs. 1 DSGVO im Blick haben, nach dem der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzen muss, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt.

Zum Umfang dieser DSGVO-Pflichten gehört es nach Ansicht der Datenschutzbeauftragten auch,

bei der Produktentwicklung auch die IT-Sicherheit zu berücksichtigen und notfalls zeitnah Updates bereitzustellen.

Diese Pflichten fasst die Datenschutzbeauftragte auch unter den „Datenschutz durch Technikgestaltung“ nach Art. 25 Abs. 1 DSGVO.

Die Datenschutzbeauftragte geht in ihrer Stellungnahme jedoch leider nicht auf die Problematik ein, dass sowohl Art. 25 Abs. 1 DSGVO als auch Art. 24 Abs. 1 DSGVO nicht per se den Produkthersteller adressieren, sondern allein der „Verantwortliche“ verpflichtet ist. In der Praxis kann es aber durchaus vorkommen, dass der Hersteller eines vernetzten Produktes gar nicht als Verantwortlicher für die spätere Datenverarbeitung agiert. In diesem Fall ist der Hersteller aber auch nicht nach der DSGVO verpflichtet. Nicht ohne Grund verweist wohl daher auch Erwägungsgrund 78 DSGVO darauf, dass

die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden

sollten, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen. Von einer Verpflichtung der Hersteller ist hier keine Rede.

Die Datenschutzbeauftragte informiert dennoch abschließend, dass die Hersteller, auch im Hinblick auf die DSGVO, gefordert sind, ihre Angebote auf Konformität mit dem Datenschutzrecht zu überprüfen und entsprechend anzupassen.

In der Zukunft wird man abwarten müssen, wie die Vorgaben der DSGVO, die nicht „Hersteller“ adressieren, durch die Aufsichtsbehörden und im Streitfall auch durch die Gerichte ausgelegt werden. Klar ist jedoch, dass Datenverarbeitungen im Internet der Dinge den Anforderungen der DSGVO genügen müssen.

EU-Datenschützer: Nicht jede Verarbeitung birgt ein hohes Risiko für Betroffene

Die Art. 29 Datenschutzgruppe hat den Entwurf für Leitlinien zur Datenschutz-Folgenabschätzung nach der EU-Datenschutz-Grundverordnung (DSGVO) veröffentlicht (pdf). Bis zum 23. Mai 2017 haben interessierte Kreise die Möglichkeit, den Entwurf der Leitlinien zu kommentieren.

Bekanntermaßen sieht die ab dem 25. Mai 2018 geltende DSGVO in Art. 35 Abs. 1 die Pflicht für den Verantwortlichen vor, vor Beginn einer geplanten Datenverarbeitung eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen, wenn diese Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Diese Folgenabschätzung ist zu dokumentieren.

Nach Art. 35 Abs. 4 DSGVO sind die Aufsichtsbehörden verpflichtet, eine Liste der Verarbeitungsvorgänge, für die ihrer Ansicht nach eine Datenschutz-Folgenabschätzung durchzuführen ist, zu erstellen und zu veröffentlichen.

Mit den nun im Entwurf vorliegenden Leitlinien, möchten die europäischen Datenschützer ihre Interpretation der zum Teil doch recht offen gehaltenen Begrifflichkeiten darlegen und zudem erste Empfehlungen für datenverarbeitenden Stellen aussprechen, insbesondere auch zu der noch offenen Frage, wann die Aufsichtsbehörden wohl von einem „hohen Risiko“ für die Rechte und Freiheiten natürlicher Personen ausgehen.

In dem Entwurf benennen die Datenschützer zehn Kriterien, die Verantwortliche berücksichtigen könnten, wenn sie im Zuge der Prüfung einer Verarbeitung das Merkmal des „hohen Risikos“ interpretieren sollen. Hohe Risiken können aus Sicht der Datenschützer etwa bei der Erstellung von Profilen von Personen bestehen oder aber auch bei der Übermittlung von Daten in Länder außerhalb des EWR. Je mehr der zehn Kriterien erfüllt sind, desto eher sei von einem hohen Risiko der Verarbeitung auszugehen.

Die Datenschützer nennen auch einige Praxisbeispiele und ordnen diese nach den Kategorien „Folgenabschätzung erforderlich: ja/nein“ ein. So soll eine Folgenabschätzung etwa nötig sein, wenn Daten aus öffentlichen Profilen in sozialen Medien entnommen werden, um mit diesen eigene Profile zu erstellen, z. B. für Kontaktverzeichnisse. Keine Folgenabschätzung sei jedoch erforderlich, wenn ein Onlineshop-Betreiber eingeschränkt personalisierte Werbung auf seiner Webseite einblendet, die sich aus Daten aus vergangenem Kaufverhalten ergibt.

Zudem weisen die Datenschützer darauf hin, dass ihrer Ansicht nach aktuell vorgenommene Verarbeitungen grundsätzlich nicht einer Folgenabschätzung unterzogen werden müssen. Dies würde sich jedoch ändern, wenn sich etwa die Datenquantität oder die Verarbeitungszwecke ändern.

Ganz generell gehen die Datenschützer, meines Erachtens durchaus diskutabel, davon aus, dass eine Folgenabschätzung spätestens alle drei Jahre zu wiederholen sei. Aus der DSGVO selbst ergibt sich diese Frist von drei Jahren nicht.

Anhörung im Innenausschuss des Bundestages – Meine Stellungnahme zum BDSG-E

Am 27. März 2017 habe ich die Ehre als Sachverständiger im Innenausschuss des Bundestages zu dem Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) sprechen zu dürfen. Darüber freue ich mich sehr.

Meine Stellungnahme, in der ich (aufgrund der knappen Bearbeitungszeit) nur einige Themen anschneiden konnte, kann man über die Seite des Innenausschusses herunterladen (PDF).

Schwerpunktmäßig geht es natürlich um die Anpassung des BDSG an die Vorgaben der Datenschutz-Grundverordnung. In einem allgemeinen Teil gehe ich aber auch auf die europäischen Vorgaben zur Anpassung des deutschen Rechts ein und stelle meine Meinung zu dem Streitpunkt dar, ob nationale Datenschutzbehörden möglicherweise gegen EU-Vorgaben verstoßende nationale Norman nicht anwenden dürfen (oder können). Viel Spass bei der Lektüre.

Für die Anhörung kann man sich noch bis zum 23. März 2017 über die Adresse innenausschuss@bundestag.de anmelden.

Aufsichtsbehörde: Website-Hosting bedarf eines Vertrags zur Auftragsdatenverarbeitung

In seinem kürzlich vorgestellten Tätigkeitsbericht für die Jahre 2015/2016 (pdf) berichtet das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) über Anfragen von Unternehmen, wie Dienstleistungen von Website-Hostern datenschutzrechtlich einzuordnen sind und welche gesetzlichen Anforderungen erfüllt werden müssen (S. 39).

Nach Ansicht des BayLDA handelt es sich etwa bei der Entgegennehme und Archivierung von E-Mails von Kunden oder Interessenten oder von Kontaktformulareintragungen auf der Website und bei einem Tracking des Verhaltens der Website-Nutzer im Auftrag um eine Verarbeitung personenbezogener Daten des Service-Providers im Auftrag für das jeweilige Unternehmen (z. B. Website- oder App-Betreiber). Dies bedeutet, dass die gesetzlichen Anforderungen des § 11 Abs. 2 S. 2 BDSG zu erfüllen sind und insbesondere ein Vertrag mit den dort benannten Regelungen zwischen Auftraggeber und Dienstleister abgeschlossen werden muss. Dieser Auftrag muss schriftlich erteilt werden. Das Fazit des BayLDA:

 Wenn ein Service-Provider zu einer solchen Vertragsregelung nicht bereit ist, kann er im geschäftlichen Bereich nicht datenschutzkonform eingesetzt werden.

Meiner Erfahrung nach ist der gesetzeskonforme Abschluss eines Vertrages zur Auftragsdatenverarbeitung in diesen Situationen in der Praxis eher die Ausnahme, als die Regel. Dies dürfte auch damit zusammenhängen, dass es heutzutage für Unternehmen sehr schnell und einfach möglich ist, online entsprechende Dienstleistungen eines Website-Hosters in Anspruch zu nehmen. An den schriftlichen Abschluss eines Vertrages zur Auftragsdatenverarbeitung wird dann oft nicht gedacht.

Für Unternehmen, die auf solche Dienstleister zurückgreifen, bedeutet dies, dass sie sich um den Abschluss entsprechender Verträge kümmern sollten, wenn dies nicht bereits geschehen ist. Erfolgt diese Auftragserteilung nicht den gesetzlichen Vorgaben entsprechend, droht schlimmstenfalls ein Bußgeld. Das BayLDA berichtet in seinem Tätigkeitsbericht über einen Sachverhalt, in dem die Behörde eine Geldbuße in fünfstelliger Höhe gegen ein Unternehmen festgesetzt hat. Das Unternehmen hatte in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt (S. 41).

In der Praxis stellt sich für Unternehmen, die einen solchen Dienstleister einsetzen und auch vertraglich verpflichten möchten, oft das Problem, dass der Dienstleister zum einen für die Erstellung und zum anderen für die Pflege des gesetzlich vorgeschriebenen Vertrages zur Auftragsdatenverarbeitung eine Gebühr verlangt. Auch hierüber berichtet das BayLDA (S. 41). Ob die Forderung nach einem Entgelt zulässig ist, dazu möchte sich das BayLDA in seinem Tätigkeitsbericht, mit Verweis auf die zivilrechtliche Implikation der Fragestellung, nicht äußern.

Datenschutzreform: Bundesratsausschüsse kritisieren Gesetzesentwurf der Bundesregierung zum neuen BDSG

Sieben Ausschüsse des Bundesrates haben sich mit dem „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs-und -Umsetzungsgesetz EU -DSAnpUG-EU, PDF)“ vom 2. Februar 2017 befasst und mit Datum vom 1. März 2017 ihre Empfehlungen zum Gesetzentwurf für ein neues BDSG abgegeben (Empfehlungen, BR Drs. 110/1/17, PDF).

Insgesamt finden die Ausschüsse wenig Gutes an dem Gesetzentwurf. Die Empfehlungen sind umfangreich (64 Seiten). Nachfolgend möchte ich nur beispielhaft einige Kritikpunkte der Bundesratsausschüsse beleuchten. Die Empfehlungen der Ausschüsse werden bereits nächste Woche, am 10. März 2017, im Bundesrat beraten.

Der zweite Schritt vor dem ersten

Ganz grundsätzlich kritisieren die Ausschüsse, dass eine umfassende Bewertung der vorgeschlagenen Neufassung des BDSG nicht möglich ist, da erforderliche Anpassungen des vorrangigen Fachrechts (also datenschutzrechtlicher Spezialvorschriften) bislang weder erfolgt noch konkret absehbar sind.

Auch die Praxis wird durch dieses Vorgehen vor erhebliche Schwierigkeiten gestellt. Denn dort müssen Verarbeitungsvorgänge an die Anforderungen anpasst werde. Doch wenn diese Anforderungen unklar bleiben, wird eine rechtssichere Umsetzung nur schwer möglich sein.

Aus Sicht der Ausschüsse lässt sich die Situation wie folgt darstellen:

Ansatz, bei dem der zweite Schritt vor dem ersten vollzogen wird.

Datenportabilität beschränken?

Die Ausschüsse schlagen vor, dass die Bundesregierung prüft, inwieweit ein Bedarf für eine Beschränkung des Rechts auf Datenübertragbarkeit gemäß Art. 20 DSGVO besteht. Nach Auffassung der Ausschüsse werden nämlich im Gesetzentwurf, Im Gegensatz zum Recht auf Auskunft, das in § 34 BDSG-E eine Beschränkung erfährt, das Recht auf Datenportabilität trotz seiner funktionalen Nähe zum Recht auf Auskunft bislang keine entsprechenden Beschränkungen vorgesehen.

Diese Kritik mag man verstehen, jedoch sehe ich nicht derart große Parallelen zum Auskunftsrecht, dass auch die Datenportabilität aus diesem Grund beschränkt werden müsste. Inhaltlich unterscheiden sich beide Rechte dann doch an einige Stellen. So besteht das Recht auf Datenportabilität etwa nur für durch die Person „bereitgestellte“ Daten, das Auskunftsrecht aber allgemein.

Definition „Anonymisieren“

Die Ausschüsse schlagen zudem die Aufnahme eines neuen § 2 Abs. 6 BDSG-E vor. In diesem Absatz soll das „Anonymisieren“ definiert werden. Hintergrund ist, dass § 27 Absatz 3 BDSG-E den Begriff “anonymisieren” verwendet, dieser aber weder im Gesetzentwurf noch in der DSGVO definiert wird. Vielmehr wird nur “pseudonymisieren” in der DSGVO verwendet und in Art. 4 Nr. 5 DSGVO definiert. Die vorgeschlagene Definition entspreche dem Verständnis des Begriffs im bisherigen § 3 Abs. 6a BDSG.

Vertretung im Europäischen Datenschutzausschuss und Verfahren der Zusammenarbeit der Aufsichtsbehörden

Die Bundesratsausschüsse sprechen sich zudem für eine Anpassung der Regelungen zur Vertretung Deutschlands im Europäischen Datenschutzausschuss (EDA) aus. Nach Auffassung der Ausschüsse räumt die Ausgestaltung des Verfahrens hinsichtlich der Vertretung der Bundesrepublik Deutschland im Europäischen Datenschutzausschuss im Gesetzentwurf (§ 17 und 18 BDSG-E) den Aufsichtsbehörden der Länder kein hinreichendes Gewicht ein. Die Ausschüsse verlangen, dass die Position der Landesdatenschutzbeauftragten im Hinblick auf deren Hauptvollzugsverantwortung des Datenschutzrechts in Deutschland gestärkt wird.

Nach Auffassung der Ausschüsse spricht der Umstand, dass der Bund für ein Sachgebiet die ausschließliche oder konkurrierende Gesetzgebungskompetenz besitzt, in keiner Weise dafür, dass die Bundesbeauftragte die Bundesrepublik Deutschland insoweit verhandlungsführend im Europäischen Datenschutzausschuss vertreten sollte, wenn der Vollzug dieses Gesetzes allein den Landesdatenschutzbeauftragten obliegt. Insbesondere werden es nämlich auch in Zukunft die Landesbehörden sein, die sich in ihrer Praxis mit privaten Unternehmen auseinanderzusetzen haben. Eine vergleichbare Sachnähe könne es bei der oder dem Bundesbeauftragten naturgemäß nicht geben.

Die vorgeschlagenen Änderungen sind durchaus nachvollziehbar. Man darf wohl auch in einer Analyse des Bundesrates eine landesnahe Auffassung erwarten. Zurecht dürfte aber die Kritik vorgebracht werden, dass in der praktischen Umsetzung und Überwachung der Einhaltung des Datenschutzes die Landesbehörden mehr Erfahrung besitzen als die BfDI.

Zweckändernde Datenverarbeitung

In § 24 Abs. 1 Nr. 2 BDSG-E soll das Wort “rechtlicher” durch das Wort “zivilrechtlicher” ersetzt werden.

Dort ist derzeit vorgesehen, dass die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nicht-öffentliche Stellen zulässig ist, wenn sie zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist.

Hintergrund der vorgeschlagenen Anpassung ist, dass Art. 23 Abs. 1 lit. j) DSGVO, der Vorgaben dazu macht, zur Sicherstellung welcher Maßnahmen Beschränkungen der Betroffenenrechte im nationalen Recht vorgenommen werden dürfen, nur von „zivilrechtlichen“ und nicht weiter von „rechtlichen“ Ansprüchen spricht.

Des Weiteren sollen in § 24 Abs. 1 Nr. 2 BDSG-E nach dem Wort “Ansprüche” die Wörter “gegenüber der betroffenen Person” eingefügt werden. Hintergrund dieses Vorschlages der Ausschüsse ist, dass in § 24 BDSG-E eine rechtliche Grundlage für nicht-öffentliche Stellen geschaffen wird, die es ihnen erlaubt, eine Weiterverarbeitung von personenbezogenen Daten unabhängig davon vorzunehmen, ob die Zwecke der Verarbeitung mit den ursprünglichen Zwecken, für die die Daten ursprünglich erhoben wurden, vereinbar sind.

Nach Auffassung der Ausschüsse ist diese Regelung für Verbraucherinnen und Verbraucher von besonderer Bedeutung. Die Ausschüsse kritisieren, dass es die Regelung in § 24 BDSG-E

beispielsweise Unternehmen der Digitalwirtschaft ermöglicht, ohne Einwilligung der betroffenen Verbraucherinnen und Verbraucher eine Weiterverarbeitung der personenbezogenen Daten mit dem Hinweis darauf vorzunehmen, diese Daten würden zur “Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche” gegenüber Dritten (zum Beispieleinem Geschäftspartner) gebraucht.

Nach Ansicht der Ausschüsse können nicht betroffene Verbraucher dafür verantwortlich gemacht werden, wenn Unternehmen ihre personenbezogenen Daten für die Durchsetzung zivilrechtlicher Ansprüche im Verhältnis zu Dritten benötigen. Deshalb sollte eine Weiterverarbeitung der personenbezogenen Daten zu anderen Zwecken nur erlaubt sein, wenn rechtliche Ansprüche des Unternehmens gegenüber der betroffenen Person selbst in Rede stehen.

Diesbezüglich ließe sich aber anführen, dass die entsprechenden Vorgaben der DSGVO (Art. 6 Abs. 4 und Art 23 Abs. 1 lit. j)) auch nur „Ansprüche“ erwähnen. Nicht jedoch solche, die gegenüber der betroffenen Person bestehen.

Beschäftigtendatenschutz

Natürlich wird von den Ausschüssen auch der Beschäftigtendatenschutz angesprochen. Nach deren Auffassung waren bereits die geltenden Regelungen zum Beschäftigtendatenschutz in § 32 BDSG ergänzungs-und überarbeitungsbedürftig. Nun ergeben sich aber weitere Anforderungen an den Gesetzgeber aus Art. 88 DSGVO.

Nach Auffassung der Bundesratsausschüsse werden diese aber durch § 26 BDSG-E nicht ausreichend umgesetzt. Daher fordern die Ausschüsse, dass zeitnah ein ergänzender Gesetzentwurf mit spezifischen Regelungen für Datenverarbeitung im Beschäftigtenkontext vorgelegt wird.

Fortgeltung bereits erteilter Einwilligungen?

Die Ausschüsse des Bundesrates scheinen zu bezweifeln, dass derzeit erteilte datenschutzrechtliche Einwilligungen auch nach Anwendbarkeit der DSGVO im Mai 2018 weiter wirksam sind.

Sie bitten die Bundesregierung daher um Prüfung einer gesetzlichen Klarstellung, unter welchen Voraussetzungen die bereits vor Inkrafttreten des Gesetzes erteilten Einwilligungen nicht fortgelten. Die Ausschüsse verweisen berechtigterweise darauf, dass die Voraussetzungen für eine wirksame Einwilligung nach der DSGVO nicht den Regelungen im BDSG entsprechen und teilweise darüber hinausgehen. Daher müssen Unternehmen unter Umständen eine erneute Einwilligung bei den Betroffenen einholen.

Zwar verweisen die Ausschüsse auf den Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 13./14. September 2016), der zwar tendenziell von einer Fortgeltung alter Einwilligung ausging. Dies jedoch auch nur unter dem Vorbehalt der „Grundsätzlichkeit“.

Streichen des Erfordernisses der Schriftlichkeit

Die Bundesratsausschüsse fordern zudem, dass geprüft werde, inwieweit vom Erfordernis der Schriftlichkeit der anzufertigenden Dokumentationen durch datenverarbeitende Stelle abgesehen werden kann.

In §§ 32 und 33 BDSG-E ist derzeit schriftliche Dokumentationspflichten für den Fall vorgesehen, wenn der Verantwortliche von einer Information des Betroffenen abgesehen hat. Dieses Erfordernis der schriftlichen Dokumentation geht aber über die Vorgaben der DSGVO hinaus. Diese sieht in Art. 12 Abs. 4 DSGVO nur vor, dass der Verantwortliche die betroffene Person (ohne spezielle Form) unterrichtet. Die derzeit vorgeschlagene Dokumentationspflicht im BDSG-E würde nach Auffassung der Ausschüsse zusätzlichen Erfüllungsaufwand für die Wirtschaft mit sich bringen.

Man muss nun abwarten, welche Empfehlungen konkret in der nächsten Sitzung des Bundesrates angenommen werden. Der Umfang der Anmerkungen und auch die Reichweite der Kritik zeigt aber, dass man in einigen Aspekten noch weit voneinander entfernt ist. Zudem muss beachtet werden, dass der Gesetzesentwurf nun auch im Bundestag liegt und dort (wohl im Innenausschuss) einer Analyse unterzogen wird.

Gesetzentwurf zum automatisierten Fahren – Datenschutzrechtlich mangelhaft

Am 27. Januar 2017 hat das Bundeskabinett einen Gesetzesentwurf zur Anpassung des Straßenverkehrsgesetzes (StVG) beschlossen, um Regelungen für hoch- oder vollautomatisierte Fahrsysteme in KfZ zu schaffen. Zu dem Gesetzentwurf (PDF) habe ich hier einen kurzen allgemeinen Überblick gegeben.

Nachfolgend möchte ich mich etwas spezieller mit den datenschutzrechtlichen Implikationen des Vorschlags, dem neuen § 63a StVG-E, befassen. Um es vorwegzunehmen: meines Erachtens bietet der Entwurf eine datenschutzrechtliche Angriffspunkte.

Auch auf die Gefahr hin, zu pedantisch zu erscheinen, sollte man überlegen, die neue Überschrift „Abschnitt VIa Datenverarbeitung im Kraftfahrzeug“ anzupassen. Denn im nachfolgenden § 63a StVG-E geht es gerade nicht nur um Datenverarbeitungen im Kfz, sondern auch um den Umgang mit den Daten aus dem Speicher des Fahrzeugs durch Dritte.

 § 63a Datenverarbeitung bei Kraftfahrzeugen mit hoch- oder vollautomatisierter Fahrfunktion

(1) Kraftfahrzeuge mit hoch- oder vollautomatisierter Fahrfunktion gemäß § 1a zeichnen nach dem Stand der Technik entsprechend der internationalen Vorgaben jeweils auf, ob das Kraftfahrzeug durch den Fahrzeugführer oder mittels hoch- oder vollautomatisierter Fahrfunktionen gesteuert wird. Wird der Fahrzeugführer durch das hoch- oder vollautomatisierte System gemäß § 1a aufgefordert, die Fahrzeugsteuerung zu übernehmen, oder tritt eine technische Störung des hoch- oder vollautomatisierten Systems auf, findet gleichfalls eine Aufzeichnung nach dem Stand der Technik entsprechend den internationalen Vorgaben statt. (Hervorhebungen durch mich)

Der Gesetzgeber scheint davon auszugehen, dass das Kfz Daten aufzeichnet. Dies mag technisch zutreffend sein, wenn man davon ausgeht, dass in jedem Fahrzeug ein entsprechender Speicher eingebaut wird (werden muss). Datenschutzrechtlich würde man sich aber in jedem Fall die Frage stellen, wer konkret verpflichtet ist, die (personenbezogenen) Daten in dem Speicher aufzuzeichnen. Wer also, entsprechend der Definition in § 3 Abs. 7 BDSG die „verantwortliche Stelle“ ist. Nach § 3 Abs. 7 BDSG kann dies nur eine natürliche oder juristische Person oder Stelle sein. Das Kfz als Sache scheidet also aus. Da der Fahrzeugführer keinen Einfluss auf die Mittel der Speicherung der Daten (als die technischen Gegebenheiten) haben wird, dürfte der Schluss naheliegen, dass der Fahrzeughersteller als datenschutzrechtlich verantwortliche Stelle für die Speicherung anzusehen ist. Klar wird dies im Gesetzentwurf aber nicht. Der Fahrzeugführer hat keinen Einfluss darauf, welche Daten konkret und wie diese gespeichert werden.

 (2) Die gemäß Absatz 1 aufgezeichneten Daten sind den nach Landesrecht für die Überwachung des Straßenverkehrs zuständigen Behörden auf deren Verlangen zu übermitteln. (Hervorhebungen durch mich)

In § 63a Abs. 2 S. 1 StVG-E geht es dem klaren Wortlaut nach um eine Übermittlung der Daten aus dem Speicher an Behörden. Auch hier schließt sich aber die bereits oben aufgeworfene Frage an, wer für die Übermittlung der Daten aus dem Speicher datenschutzrechtlich verantwortlich ist? Auch hier ließe sich an den Fahrzeughersteller denken. Der Fahrzeugführer selbst hat keinen Einfluss auf die Übermittlung auf dem Speicher an die Behörden.

Zudem ist zu beachten, dass von einer „Übermittlung“ ausgegangen wird. Das bedeutet, dass die datenempfangende Stelle datenschutzrechtlich ein „Dritter“ sein muss (vgl. § 3 Abs. 4 S. 3 BDSG).

 Die übermittelten Daten dürfen durch diese gespeichert und genutzt werden. Der Umfang der Datenübermittlung ist auf das Maß zu beschränken, das für den Zweck der Feststellung des Absatzes 1 im Zusammenhang mit der eingeleiteten Kontrolle durch diese Behörden notwendige ist. Davon unberührt bleiben die allgemeinen Regelungen zur Verarbeitung personenbezogener Daten. (Hervorhebungen durch mich)

 Nach § 63a Abs. 2 S. 2 StVG-E dürfen die aus dem Speicher übermittelten Daten durch „diese“ gespeichert und genutzt werden. Mit „diese“ kann nur aus S. 1 und die Behörde Bezug genommen sein. Es stellt sich aber die Frage, für welche Zwecke die Behörde die Daten verwenden darf? Dies wird in S. 2 nicht erläutert.

Zwar wird zumindest grob in S. 3 ein Zweck beschrieben („Zweck der Feststellung des Absatzes 1“). Jedoch bezieht sich diese Zweckbestimmung allein auf die in S. 3 angesprochene Datenübermittlung und deren Umfang. Es fehlt an einem verbindenden Element zu S. 2 und der Speicherung und Nutzung.

Nun mag man sich fragen, ob sich der Zweck der Datenverwendung denn nicht aus dem Zusammenhang ergebe. Dies kann man evtl. so sehen. Jedoch könnte diese Ungenauigkeit im Gesetz spätestes ab Mai 2018, wenn die Datenschutz-Grundverordnung anwendbar ist, dazu führen, dass die nationalen Regelungen gegen die Vorgaben von Art. 6 Abs. 2 und 3 DSGVO verstoßen. Art. 6 Abs. 3 DSGVO dürfte wohl den Maßstab für die hier in Rede stehenden gesetzlichen Erlaubnistatbestände der Datenverarbeitung durch Behörden darstellen. Nach Art. 6 Abs. 3 DSGVO wird die Rechtsgrundlage für die Verarbeitungen, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e) DSGVO), durch das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, festgelegt. In dieser Rechtsgrundlage muss aber entweder der Zweck der Verarbeitung angegeben sein (der hier für die Speicherung und Nutzung fehlt) oder die Verarbeitung muss für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Man mag nun argumentieren, dass die Speicherung und Nutzung (§ 63a Abs. 2 S. 2 StVG-E) der Daten für die Erfüllung einer Aufgabe erforderlich sind, die in Ausübung öffentlicher Gewalt erfolgt. Hier kann man aber schon fragen, was konkret diese Aufgabe (mit Blick auf die Speicherung und Nutzung der Daten) ist. Wie gesagt, der „Zweck der Feststellung“ bezieht sich nur auf die Datenübermittlung. Dann ist jedoch immer noch die Vorgabe des Art. 6 Abs. 2 DSGVO zu beachten, nach dem national spezifischere Bestimmungen zur Anpassung der Anwendung u.a. von Art. 6 Abs. 1 lit. e) DSGVO eingeführt werden dürfen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung gewährleisten. Zu den Grundsätzen „Treu und Glauben“ und „Rechtmäßigkeit“ zählt auch die Transparenz der Datenverarbeitung gegenüber betroffenen Personen. Diese müssen wissen, für welche Zwecke Daten verarbeitet werden (vgl. auch ErwG 39 DSGVO). Ob diese Anforderungen hier erfüllt sind, darüber mag man diskutieren.

Begründung zum Gesetzentwurf, S. 22:

Absatz 2 des § 63a StVG (neu) regelt die Übermittlung und Verarbeitung der aufgezeichneten Daten für Kontrollen. Daneben bleibt das Zugangsregime nach anderen Vorschriften, wie zum Beispiel der Strafprozeßordnung (StPO) unberührt. Die Verpflichtung zur Übermittlung der Daten trifft den Datenverantwortlichen. (Hervorhebungen durch mich)

Hieraus könnte man zwar die Zwecke der Verarbeitung durch Behörden ableiten. Jedoch muss kritisch angemerkt werden, dass die Zwecke nicht im Gesetz selbst erwähnt sind.

Völlig unklar ist, wen der Gesetzgeber mit dem „Datenverantwortlichen“ meint. Dieser soll zur Übermittlung verpflichtet sein. Handelt es sich hierbei um die „verantwortliche Stelle“ des BDSG? Ist der Datenverantwortliche also z. B. der Fahrzeughersteller?  Leider bleiben diese Fragen unbeantwortet.

(3) Dritten sind die gemäß Absatz 1 gespeicherten Daten zu übermitteln, wenn sie glaubhaft machen, dass

1. die Daten zur Geltendmachung, Befriedigung oder Abwehr von Rechtsansprüchen im Zusammenhang mit einem in § 7 Absatz 1 geregelten Ereignis erforderlich sind und

2. das entsprechende Kraftfahrzeug mit automatisierter Fahrfunktion an diesem Ereignis beteiligt war. Absatz 2 Satz 2 findet entsprechend Anwendung. (Hervorhebungen durch mich)

 Nach § 63a Abs. 3 S. 1 StVG-E sollen die Daten auch noch an andere „Dritte“ übermittelt werden. Auch die in Abs. 2 referenzierten Behörden sind Dritte (siehe oben). Es stellt sich dann aber die Frage, welcher qualitative Unterschied zwischen den Dritten in Abs. 2 und Abs. 3 besteht. Oder ob ein solcher überhaupt existiert? Gilt Abs. 3 also evtl. auch für Behörden?

Dies mag man mit dem Argument ablehnen, dass doch klar sei, dass es hier in Abs. 3 um den am Unfall Beteiligten gehe. So klar ist dies meines Erachtens jedoch nicht. Denn aus dem Wortlaut ergibt sich nicht, dass der Dritte selbst einen Anspruch geltend machen muss. Die Daten müssen allgemein einfach zur Geltendmachung erforderlich sein, jedoch nicht notwendigerweise durch den die Daten empfangenden Dritten.

Begründung zum Gesetzentwurf, S. 22:

Absatz 3 gibt Beteiligten an einem Unfall (Dritte), in dem potenziell Fahrzeuge mit automatisierten Systemen verwickelt sind, die Möglichkeit, die aufgezeichneten Daten zu erhalten. (Hervorhebungen durch mich)

Mit dieser Begründung wird klarer, dass es sich bei dem Dritten um am Unfall Beteiligte handelt. Wie gesagt, lässt sich dies dem Wortlaut des Gesetzes aber nicht entnehmen.

Auch in Abs. 3 stellt sich erneut die Frage, wer denn datenschutzrechtlich für die Übermittlung verantwortlich ist? Die Gesetzesbegründung (siehe oben) bezieht sich nur auf Abs. 2.

Nach § 63a Abs. 3 S. 2 StVG-E soll „Absatz 2 Satz 2“ entsprechend Anwendung finden. Dort heißt es: „Die übermittelten Daten dürfen durch diese gespeichert und genutzt werden“. Auch hier fehlt also erneut eine Zweckbestimmung für die Speicherung und Nutzung der Daten bei den Dritten. Die Vorschrift endet schlicht mit der Anordnung der Übermittlung.

Zuletzt: dass es sich bei den Informationen in dem internen Speicher im Kfz um personenbezogene Daten handelt, dürfte wohl kaum bestreitbar sein. Hierfür sprechen auch mehrere Hinweise im Gesetzentwurf selbst, wenn etwa von dem eindeutigen “Identifikationsdatum des Speichermediums (Speicher-ID)” gesprochen wird, das beim Kraftfahrt-Bundesamt ergänzt werden muss. Die Zulassungsbehörden müssen etwa auch zusätzlich das eindeutige Identifikationsdatum des Speichermediums (Speicher-ID) erfassen (S. 15).

UN-Wirtschaftskommission für Europa: Datenschutz- und IT-Sicherheitsstandards für vernetzte Fahrzeuge

Eine informelle Arbeitsgruppe der Wirtschaftskommission für Europa der Vereinten Nationen (kurz UNECE), die u.a. Vorschläge und Vorlagen für ECE-Regelungen für Kraftfahrzeuge entwickelt, hat einen Vorschlag für Leitlinien zur IT-/Netz-Sicherheit und zum Datenschutz bei vernetzten Fahrzeugen und Kraftfahrzeugen mit automatisierten Fahrfunktionen veröffentlicht („Proposal for draft guidelines on cyber security and data protection“, PDF).

Die Vorschläge, die im März 2017 bei der Sitzung des UN/ECE-Weltforums für die Harmonisierung der Regelungen für Kraftfahrzeuge angenommen werden sollen, sind von besonderer Relevanz, da hierdurch einheitliche internationale Vorgaben zur IT-Sicherheit und zum Datenschutz bei intelligenten Fahrzeugen eingeführt werden könnten.

In dem Entwurf wird einleitend auf die Notwendigkeit klarer Vorgaben zur IT-Sicherheit und zum Datenschutz in vernetzten Fahrzeugen und solchen mit automatisierten Fahrfunktionen hingewiesen. Es müsse sichergestellt werden, dass Fahrzeuge vor äußeren Störungen und Manipulationen geschützt sind.

Die Leitlinien sollen für Fahrzeughersteller, System- und Teilezulieferer und Anbieter von Diensten, die auf den Fahrzeugsystemen installiert werden, gelten und diesen Vorgaben machen, um ein hohes IT-Sicherheitsniveau zu erreichen. Zudem sollen diese Leitlinien als Grundlage für die Entwicklung von Vorgaben in UN-Richtlinien dienen.

Wichtig ist zudem der Hinweis, dass die Leitlinien keinen Einfluss auf geltendes Datenschutzrecht haben. Die Vorgaben gliedern sich in vier Themenkomplexe, die ein vernetztes Fahrzeug bzw. ein solches mit automatisierten Fahrfunktionen jeweils erfüllen muss:

-          Allgemeine Vorgaben.

-          Datenschutz.

-          Safety (iSv „Betriebssicherheit“).

-          Security (iSv „Angriffssicherheit“).

Generell dürfen personenbezogene Daten in Fahrzeugen nur auf rechtlich zulässige und insbesondere transparente Weise verarbeitet werden. Das Datenschutzrecht ist also zu beachten. Fahrzeughersteller, System- und Teilezulieferer sowie Diensteanbeiter sollen die Prinzipien „Datenschutz durch Technikgestaltung“ (Privacy by Design) und „Datenschutz durch datenschutzfreundliche Voreinstellungen“ (Privacy by Default) beachten. Bereits auf der Ebene der Fertigung von Komponenten für vernetzte Fahrzeuge soll also der Datenschutz Beachtung finden. Diese Prinzipien finden sich etwa auch in der ab Mai 2018 unmittelbar anwendbaren EU Datenschutz-Grundverordnung. Zudem sollen die benannten Akteure sicherstellen, dass Datenverbindungen und –kommunikation nur verschlüsselt erfolgen.

Betroffene Personen sollen umfassend und klar darüber informiert werden, welche Daten von ihnen verarbeitet werden und für welche Zwecke dies geschieht. Dem Grundsatz der Datensparsamkeit folgend, sollen nur soviele Daten erhoben werden, wie für den konkreten Zweck erforderlich sind.

Auf Betriebssicherheitsebene sollen Standards, wie etwa ISO 26262, angewendet werden. Zudem werden gewisse Vorgaben an die Datenverbindung und –kommunikation selbst gemacht. Diese dürfen nicht andere Systeme beeinflussen, die Informationen erzeigen, die für die Kontrolle eines Fahrzeugs erforderlich sind. Zudem sollen die Verbindungen derart beschaffen sein, dass falsche Zugriffe oder auch Manipulationen am System über diese Verbindungen nicht möglich sind.

Zur erforderlichen Angriffssicherheit der Fahrzeuge und Systeme wird die Anforderung aufgestellt, dass Sicherheitsstandards, wie etwa nach ISO 27000 und ISO/IEC 15408, umgesetzt werden sollen. Zudem sollen vernetzte Fahrzeuge etwa mit der Fähigkeit ausgestattet sein, kryptographische Schlüssel verwalten zu können.

Man darf gespannt sein, in welcher Form diese Leitlinien am Ende durch das UN/ECE-Weltforum für die Harmonisierung der Regelungen für Kraftfahrzeuge beschlossen werden und in Zukunft die Mindeststandards für intelligente Fahrzeuge darstellen könnten. Auffällig ist, dass die vorgeschlagenen Maßnahmen oder Prinzipien inhaltlich nicht neu sind und mit Blick auf EU-Gesetze wie die Datenschutz-Grundverordnung oder den Vorschlag für die ePrivacy-Verordnung, viele gesetzliche Vorgaben aufnehmen. Klar ist jedoch: ohne Maßnahmen zur IT-Sicherheit und zum Datenschutz geht es nicht mehr.