Recht auf Vergessen – Warum Google nicht überreagiert

Gestern wurde berichtet, dass verschiedene Medienunternehmen (u. a. der Guardian und die BBC) nicht mit der Art und Weise einverstanden sind, wie Google im Zuge der Umsetzung des Urteils des EuGH vom 13. Mai 2014 (Az. C-131/12) begonnen habe, Links aus Suchergebnislisten zu Beiträgen auf ihren Webseiten zu entfernen. Diese Löschungen wurden unter anderem mit der Begründung kritisiert, dass Google hier überreagiere, dass die betroffenen Presseunternehmen nicht die Gründe der Löschung und auch allgemein nicht die Kriterien kennen würden, nach denen Google die Anfragen bearbeite. Zudem könnten sie sich daher auch nicht gegen eine Löschung aus den Ergebnislisten wehren.

Dass sich nun Erstaunen und Verwunderung über diese Praxis breit macht, mag verständlich sein. Wenn man sich jedoch das EuGH-Urteil betrachtet, ist es einfach nur die logische Konsequenz der Vorgaben der europäischen Richter und keine Überraktion oder dergleichen.

Zum einen verlangt weder das EuGH-Urteil noch das geltende Datenschutzrecht, dass Google Dritten, die Urheber der Originalseite sind (in diesem Fall den Presseunternehmen), die Gründe darlegen muss, warum es einen Eintrag aus der Ergebnisliste entfernt. Klar ist vielmehr, dass derartige Löschantrage direkt an den für die Verarbeitung Verantwortlichen gerichtet werden können und von diesem zu prüfen sind. Selbst wenn Google die Kriterien veröffentlichen würde, nach denen es die Anträge beurteilt, so würde dies den Presseunternehmen wohl wenig helfen. Nach dem Urteil des EuGH sind die generell anzulegenden Maßstäbe nämlich vorgegeben: der Ausgleich der sich gegenüberstehenden Interessen kann in „besonders gelagerten Fällen von der Art der betreffenden Information, von deren Sensibilität für das Privatleben der betroffenen Person und vom Interesse der Öffentlichkeit am Zugang zu der Information“ abhängen, das u. a. je nach der Rolle, die die Person im öffentlichen Leben spielt, variieren kann. Damit sind die Prüfkriterien öffentlich vorgegeben.

Hier wird jedoch bereits eine negative Konsequenz des EuGH-Urteils deutlich: das Interesse der Öffentlichkeit und auch des Dritten, dass Informationen weiterhin in Ergebnislisten angezeigt werden, hat in dem von Google einzurichtenden Verfahren der Prüfung von Löschanträgen, keinen Vertreter. Beteiligt sind grundsätzlich nur der Betroffene und Google. Der Suchmaschinenbetreiber befindet sich jedoch zudem in der unangenehmen Lage, dass bei einer Nichterfüllung des Löschwunsches, der Betroffene immer noch einen Antrag bei der Datenschutzbehörde oder bei einem Gericht stellen kann. Wollte man verlangen, dass Google sich bei der Prüfung auch in die Lage der Webseitenbetreiber und der Öffentlichkeit versetzt, so würde man dem Suchmaschinenbetreiber eine unabhängige Rolle zusprechen wollen, die er aber nicht besitzt.

Nun könnte man argumentieren, dass Google dann eben in Zweifelsfällen den Eintrag nicht löschen darf, sondern es auf ein Verfahren bei der Datenschutzbehörde oder einem Gericht ankommen lassen muss. Hier kommen wir zu der nächsten, sich in der Praxis negativ auswirkenden Vorgabe des EuGH-Urteils. Denn der Gerichtshof hat klargestellt, dass „im Allgemeinen“ die Rechte der Betroffenen auf Privatsphäre und Datenschutz gegenüber dem Interesse der Internetnutzer am Zugang zu den Informationen überwiegen. Nur „in besonders gelagerten Fällen“ könne ein Ausgleich der verschiedenen Interessen etwa von der Art der Informationen oder deren Sensibilität für das Privatleben der betroffenen Person abhängen. Dies bedeutet freilich nichts anderes, als dass im Zweifel die Löschung der Links in der Ergebnisliste vorgenommen werden muss. Dies ergibt sich bereits aus dem Grundprinzip des hier in Rede stehenden Löschanspruchs. Diese stützt sich unter anderem auf die Erfüllung der Voraussetzung des Art. 7 f) der Datenschutz-Richtlinie (DS-RL), wonach die Verarbeitung zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Es ist also im Rahmen der Prüfung der Rechtmäßigkeit stets eine Abwägung der Interessen und Grundrechte vorzunehmen. Das ist der gesetzlich vorgesehene Standardfall. Die vom EuGH angesprochenen „besonders gelagerten Fälle“ können daher nicht die Abwägung und damit verbundene Schwierigkeiten an sich betreffen. Denn ansonsten würde der gesetzlich vorgesehene Standardfall zu dem vom EuGH erwähnten besonders gelagerten Fall. Google muss, wenn es dem Urteil des Gerichtshofs folgen will, also gerade auch bei Zweifelsfällen im Rahmen der Abwägung, die nicht besonders gelagert sind, die Einträge in Ergebnislisten löschen. Über diese vorgegebene Wertung zugunsten der Rechte der Betroffenen, mag man sich, meines Erachtens zu Recht, aufregen. Diese Vorgabe besteht aber nun und Google scheint sie umzusetzen. Was sich nun in der Praxis zeigt, sind die Ergebnisse des Anlegens dieser Pro-Datenschutz-Schablone.

Noch ein Gedanke zu der Forderung, dass dann eben die Datenschutzbehörde über derartige Löschanträge und damit auch die Abwägung von dem Recht auf Schutz personenbezogener Daten und dem Recht auf Informationsfreiheit entscheiden solle. Mir ist immer noch nicht klar, wie ein solches Vorgehen und eine damit verbundene Anordnung der Löschung von Links aus Ergebnislisten mit Art. 11 Abs. 1 der Grundrechtecharta der Europäischen Union vereinbar ist. Dort heißt es: „Jede Person hat das Recht…Informationen und Ideen ohne behördliche Eingriffe und ohne Rücksicht auf Staatsgrenzen zu empfangen und weiterzugeben“. Die Löschanordnung durch eine Aufsichtsbehörde würde jedoch genau einen solchen Eingriff in das Recht auf den Empfang von Informationen im Internet darstellen.

Zum Teil wird auch kritisiert, dass Google keine Volljuristen einstelle, um die eingehenden Anträge zu prüfen und die Abwägung vorzunehmen. Eine solche Anforderung ergibt sich weder aus dem EuGH-Urteil, noch aus dem geltenden Datenschutzrecht. Natürlich wäre es wünschenswert, wenn die Abwägung von im Presse- oder Datenschutzrecht versierten Juristen vorgenommen wird. Eine Pflicht hierzu, besteht aber nicht.

Die sich nun ausbreitende Diskussion zeigt, dass der EuGH mit seinem Urteil (wie von mir bereits beschrieben), eventuell doch über das Ziel des erforderlichen Ausgleichs der Grundrechte zwischen Privatsphäre und Datenschutz einerseits, wirtschaftlicher Betätigung und Informationszugang anderseits, hinausgeschossen sein könnte. Wenn man sich als Suchmaschinenbetreiber nun strikt an diese Vorgaben hält, dann wird in der Praxis dieses bisher nur erahnte und sich abstrakt abzeichnende Defizit der Anerkennung einer Gleichwertigkeit von Grundrechten und –freiheiten der beteiligten Parteien im Internet deutlich.

Neue Datenschutzerklärung – Windows verwendet E-Mail-Inhalte nicht für Werbung

Windows hat seinen Dienstleistungsvertrag (MSA) und seine Datenschutzerklärung für Windows-Dienste überarbeitet (eine Übersicht findet sich hier).

MSA
In Bezug auf Änderungen an seinem Dienstleistungsvertrag erläutert Microsoft, dass

Inhalte von E-Mails, Chats, Videoanrufen oder Voicemails nicht für gezielte Werbung

verwendet werden. Ebenso werden auch keine Dokumente, Fotos oder andere persönlichen Dateien der Kunden für gezielte Werbung genutzt.

Zudem hat Microsoft Verhaltensregeln in den Dienstleistungsvertrag aufgenommen (Ziff. 1.2) und aktualisiert (siehe auch Ziff. 3.5). Diese leicht verständlichen Richtlinien sollen für Nutzer festlegen, welche Verhaltensweisen etwa Maßnahmen am Microsoft-Konto zur Folge haben können, wenn sie gegen die Verhaltensregeln verstoßen. Hierbei geht es z. B. um pornographische Inhalte, die Verletzung der Privatsphäre anderer Nutzer oder auch der Einsatz von Schadsoftware.

Das vollständig überarbeitete MSA findet man hier.

Datenschutzerklärung
Zu den Änderungen an der Datenschutzerklärung führt das Unternehmen aus, dass jeweils eigene Datenschutzerklärungen für das Microsoft-Konto, Outlook.com, OneDrive und Familiy Safety erstellt wurden.

Die neue Datenschutzerklärung der Windows-Dienste ist dabei recht übersichtlich aufgemacht. Der Nutzer erhält zu den wichtigen Themen Vorabinformationen und kann, bei Wunsch, jeweils über einen Klick weitere Details zu den einzelnen Diensten nachlesen. Dies dürfte sich durchaus positiv auf die Akzeptanz des bei Verbrauchern oft ungeliebten „Kleingedruckten“ auswirken. Denn die Datenschutzerklärung verläuft damit nicht mehr einfach monoton über mehrere Seiten hinweg, sondern stellt sich in ihrer Grundform als kompakte Informationsbasis dar. Zudem erhält jedes Produkt von Microsoft eine eigene Datenschutzerklärung, womit die jeweiligen Informationen für Nutzer leichter auffindbar sein sollen. Dieser Ansatz unterscheidet sich damit etwa von demjenigen von Google, welches eine gemeinsame Datenschutzerklärung für all seine Dienste verwendet.

Die neuen Bestimmungen treten am 31. Juli 2014 in Kraft.

OVG Berlin-Brandenburg: Ein Blitzerfoto darf im Internet zur Einsicht bereitgehalten werden

Das OVG Berlin-Brandenburg (OVG BB) hat mit Beschluss vom 29.4.2014 (Az. 12 S 23.14) entschieden, dass die im Land Brandenburg eröffnete Möglichkeit, das zum Nachweis einer Verkehrsordnungswidrigkeit gefertigte Beweisfoto im Internet nach Eingabe individueller Zugangsdaten abzurufen, keine Verletzung des Rechts auf informationelle Selbstbestimmung darstellt. Dies auch nicht wegen der bloßen Befürchtung, Dritte könnten sich illegal Zugang zu dem Bild verschaffen. Ein Unterlassungs- oder Löschanspruch des Betroffenen bestehe nicht.

Sachverhalt
Dem Antragsteller (der wegen überhöhter Geschwindigkeit geblitzt wurde) war die Möglichkeit eingeräumt worden, das Beweisfoto online einzusehen. Dazu wurden dem Antragsteller im Anhörungsschreiben von der Behörde Zugangsdaten per Post übermittelt, mit denen er den Zugang freischalten konnte.
Dieses konkrete Foto wurde im Laufe des Verfahrens entfernt. Jedoch wollte der Antragsteller in einem Unterlassungsanspruch für die Zukunft gelten machen, dass Lichtbilder des Antragstellers und seiner Fahrzeuge, die im Zusammenhang mit der Verfolgung von Verkehrsordnungswidrigkeiten angefertigt werden, in der Zukunft nicht derart abrufbar sind.

Entscheidung
Das Gericht bezweifelt bereits ein Rechtsschutzbedürfnis für den Antrag. Denn der Antragsteller habe es selbst in der Hand, einen Konflikt mit der Behörde über derartige Fotos zu vermeiden. Er kann sich nämlich einfach an die Verkehrsvorschriften halten, so dass er nicht mehr geblitzt werde.
Da der Antragsteller jedoch anscheinend freimütig vor dem OVG BB erklärte, dass er sich auch „künftig verkehrsordnungswidrig verhalten“ wolle und daher eventuell mit weiteren Fotos zu rechnen sei, machte das OVG BB zudem Ausführungen zu einer fehlenden Verletzung des Rechts auf informationelle Selbstbestimmung.

Das Gericht stellt fest, dass der Eingriff, der zur Existenz des Fotos führt, auf einer hinreichenden Rechtsgrundlage beruhe, in diesem Fall § 100h Abs. 1 S.1 Nr. 1 StPO iVm § 46 Abs. 1 OWiG. Der Antragsteller sei zudem nicht in seinem Grundrecht verletzt.

Zudem verweist das OVG BB auf die rechtliche Möglichkeit, dass Verfahrensakten im Ordnungswidrigkeitenverfahren elektronisch geführt werden dürfen, § 110b OWiG. Entsprechende Bildunterlagen seien als Bestandteil dieser Verfahrensakten anzusehen. Die Akteneinsicht könne nach § 110d Abs. 2 Satz 1 OWiG auch durch Übermittlung von elektronischen Dokumenten oder deren Wiedergabe auf einem Bildschirm erfolgen.
Der Antragsteller brachte vor, dass dies nur für das Akteneinsichtsrecht des Verteidigers gelte. Das Gericht wies diese Sichtweise jedoch zurück. Diese Akteneinsicht zwischen Behörde und Verteidiger gelte nur für die Regelung in § 110d Abs. 2 Satz 3 OWiG, die hier jedoch nicht zur Anwendung gelange. Die Möglichkeit, sich das Beweisfoto auf einer Internetseite anzuschauen, finde nach dem OVG BB ihre Grundlage in den Bestimmungen der §§ 49 Abs. 1, 110d Abs. 2 S. 1 OWiG.

Dabei sei das Verfahren so ausgestaltet, dass nur derjenige, der über die Zugangsdaten verfüge, auf das Bild zugreifen könne. Damit werde keine öffentliche oder potentiell öffentliche Zugriffsmöglichkeit geschaffen, sondern die Vertraulichkeit im Verhältnis zu dem Empfänger des Anhörungsschreibens, das die Zugangsdaten enthält, gewahrt. Mit einem solchen Verfahren werde der Zugang grundsätzlich auf die berechtigten Nutzer beschränkt.
Das Vorbringen des Antragstellers, dass sich Dritte eventuell Zugang zu dem Bild verschaffen könnten, lies das Gericht ebenfalls nicht als Argument gelten. Denn soweit eine solche Möglichkeit in der Sphäre des Betroffenen besteht (z. B. weil das Schreiben offen verwahrt werde), könne dies der Behörde nicht entgegengehalten werden.

Zuletzt macht das OVG BB interessante Ausführungen zur Datensicherheit im Internet.

Die Möglichkeit, dass sich besonders versierte Nutzer in illegaler Weise Kenntnis von den Zugangsdaten verschaffen könnten, indem sie etwa Sicherheitslücken in der Technik des Antragsgegners, des Betroffenen oder Dritter, die in den Übermittlungsvorgang eingeschaltet sind, nutzen, um den Datenverkehr auszuspähen, schließt den Gebrauch einer grundsätzlich auf Vertraulichkeit angelegten, gesetzlich zugelassenen Abruftechnik nicht aus. Der Antragsgegner hat nur dafür zu sorgen, dass er eine auf Wahrung der Datensicherheit ausgelegte Informationstechnik verwendet und erkannte Sicherheitslücken schließt, soweit diese in seiner Einflusssphäre liegen.

Diese Anforderungen waren vorliegend erfüllt bzw. wurde nichts anderes glaubhaft gemacht.

Fazit
Das OVG BB erkennt also eine Art von relativem Datensicherheitsstandard im Internet an. Eine öffentliche Stelle kann sich nicht auf jegliches illegale Zugriffsszenario vorbereiten. Diese Sichtweise erscheint praxisnah. Die totale Sicherheit im Internet wird es nicht geben. Ist jedoch der Behörde gesetzlich die Möglichkeit eingeräumt, elektronisch gegenüber dem Bürger aufzutreten, so hat sie hierbei nach dem Gericht 1)dafür zu sorgen, dass eine auf Wahrung der Datensicherheit ausgelegte Informationstechnik verwendet wird und 2) erkannte Sicherheitslücken geschlossen werden, die in ihrer Einflusssphäre liegen.

Spanien: Datenschützer verhängen Bußgeld gegen Google wegen Cookies auf Blogspot

Mit Beschluss vom 14. Mai 2014 hat die spanische Datenschutzbehörde (AEPD) ein Bußgeld in Höhe von 25.000 € gegen Google verhängt (hier der Beschluss im Original (Spanisch), PDF).

In dem Verfahren ging es um die datenschutzrechtliche Prüfung von Cookies, welche über Blogs verbreitet wurden, die auf der Plattform „Blogger“ und unter Adressen wie „Beispiel.blogspot.com“ betrieben wurden. Dabei ging es jedoch nicht um die Verantwortlichkeit des Blogbetreibers, sondern um diejenige der Google Inc.

Untersucht wurden von den Datenschützern vor allem Analyse-Cookies (die im Rahmen von Google-Analytics arbeiteten) und solche für Zwecke der Schaltung von personalisierter Werbeanzeigen.

Nach Ansicht der Datenschützer verletzte der Einsatz der Cookies vorliegend die Vorgaben des spanischen Datenschutzrechts, insbesondere diejenige einer Einwilligung entsprechend Art. 5 Abs. 3 der Richtlinie 2002/58/EG (PDF) (ePrivacyRL, in der Fassung durch Richtlinie 2009/136/EG). Art. 5 Abs. 3 ePrivacyRL sieht für die Speicherung von Informationen oder den Zugriff auf Informationen auf Endgeräten des Nutzers (oder Teilnehmers) eine Einwilligung in Kenntnis der Sachlage vor. Diese Vorschrift gilt freilich nicht nur für Cookies, wird in der Praxis aber gerade für diese relevant. Von dem Einwilligungserfordernis gibt es jedoch Ausnahmen, unter anderem dann, wenn der Zugriff oder die Speicherung der Informationen unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Laut den tatsächlichen Feststellungen in dem Beschluss, wurden auf den Rechnern von Nutzern, die einen Blog unter einer „blogspot“-Adresse besuchten, unter anderem Analyse-Cookies und solche für Werbezwecke gesetzt. Der Einsatz der Cookies wurde dabei durch Google selbst festgelegt und konnte durch den Blogbetreiber nicht unterbunden werden.

Die Behörde beanstandet, dass es zwar Informationen zu dem Einsatz von Cookies und auch von Analyse-Cookies im speziellen in der Datenschutzerklärung von Google gebe. Diese seien für die Besucher des jeweiligen Blogs jedoch schwierig aufzufinden. Zudem würden die Besucher nicht darauf hingewiesen, dass Cookies zum Einsatz kämen und wo sie hierzu Informationen finden könnten. Auch würden entsprechende Informationen etwa nicht den Blogbetreibern zur Verfügung gestellt, die diese dann an ihre Besucher weiterleiten könnten.

Google brachte unter anderem vor, dass für den Einsatz der Cookies keine Einwilligung der Nutzer nötig sei, da er für die Zurverfügungstellung des Dienstes unbedingt erforderlich sei. Diese Sichtweise wies die Behörde jedoch zurück. Sie begründet ihren Beschluss damit, dass sowohl die Werbe-Cookies als auch die Analyse-Cookies nicht unbedingt erforderlich seien, damit die Plattform zum einen den Bloggern (für das Erstellen von Blogs) und auch deren Besuchern zur Verfügung gestellt werden könne.

Fazit
Wann Cookies (und damit der Zugriff bzw. die Speicherung von Informationen; Achtung, nicht nur „personenbezogene“ Informationen!) unbedingt erforderlich sind, lässt sich kaum generell sagen, sondern hängt stark von dem jeweiligen Einzelfall ab. Die europäischen Datenschutzbehörden haben in einer Stellungnahme aus dem Jahre 2012 (WP 194, PDF) jedoch zumindest einige Leitlinien aufgestellt, wann nach ihrer Ansicht die Einwilligung beim Einsatz von Cookies entbehrlich sein kann.

Datenschutz bei Smart-TVs: Datenschützer legen Voraussetzungen fest

Der Zusammenschluss der deutschen Datenschutzbehörden für den nicht-öffentlichen Bereich (Düsseldorfer Kreis) hat zusammen mit den Datenschutzbeauftragten der öffentlich-rechtlichen Rundfunkanstalten eine gemeinsame Position zum Datenschutz bei sog. Smart-TVs veröffentlicht (Gemeinsame Position: Smartes Fernsehen nur mit smartem Datenschutz, PDF).

In ihrer Position weisen die Datenschützer darauf hin, dass im Alltag immer mehr internetfähige Fernsehgeräte benutzt werden. Hierbei entsteht, neben dem normalen Fernsehsignal, ein Rückkanal an den Hersteller des Gerätes oder zum Fernsehsender über das Internet. Über diesen Kanal ist es grundsätzlich möglich, das Nutzungsverhalten der Zuschauer zu erfassen. Die Datenschützer sehen in dieser Möglichkeit der Aufzeichnung des Nutzerverhaltens eine Gefahr für das Recht auf freien Informationszugang, welches „empfindlich beeinträchtigt“ werden könnte.

Die Datenschutzbehörden stellen daher folgende Anforderungen an einen datenschutzrechtskonformen Einsatz von Smart-TVs und der Datenverarbeitung:

Eine Profilbildung über das individuelle Fernsehverhalten der Nutzer ist ohne informierte und ausdrückliche Einwilligung der Zuschauer unzulässig.

Web- oder HbbTV-Dienste unterliegen als Telemedien dem TMG und dessen datenschutzrechtlichen Anforderungen. Die Mindestvorgaben an Hersteller, Sendeanstalten oder andere Dritte lauten hierbei: auch personenbeziehbare Daten der Nutzer dürfen nur verwendet werden, wenn dies zur Erbringung des jeweiligen Dienstes erforderlich ist. Zudem müssen Betroffene zu Beginn der Nutzung über die Datenerhebung informiert werden.

Grundsätzlich dürfen Nutzungsprofile nur mit Pseudonymen erstellt werden und die Nutzer dürfen der Profilerstellung nicht widersprochen haben. Zu beachten ist, dass nach Ansicht der Datenschützer IP-Adressen und Gerätekennungen keine Pseudonyme i. S. d. TMG darstellen.

Zudem haben nach Ansicht der Datenschützer die Gerätehersteller und Diensteanbieter das Prinzip des „Privacy by Default“ zu beachten. Es solle eine anonyme Nutzung der Dienste ermöglicht werden. Eine Nutzung der Webdienste dürfe erst nach einer umfassenden Information der Nutzer erfolgen. Zudem müssten die Nutzer die Kontrolle über die auf den Geräten gespeicherten Daten besitzen (z. B. Verwaltung von Cookies).

Zuletzt weisen die Datenschutzbehörden darauf hin, dass nach ihrer Auffassung die Gerätehersteller, Fernsehsender oder sonstige Web-Dienste über sicherheitstechnische Mechanismen verfügen müssten, die die Geräte und den Datenverkehr vor dem Zugriff unbefugter Dritter schützen.

Ausländische Telekommunikationsanbieter in den USA zum nationalen Routing verpflichtet

In der öffentlichen Debatte um die Einführung eines sog. „Schengen-Routings“ von Daten in Europa wurde häufig kritisiert, dass dies zu einer Zersplitterung des Internets führen würde und Europa oder Deutschland sich mit derartigen Maßnahmen vom Rest des Netzes abkapseln würden. Aus dem Bundeswirtschaftsministerium war in diesen Tagen zu hören, dass man ein nationales Routing allenfalls als freiwilliges Angebot zwischen den Unternehmen in Betracht ziehe. Anfang April hat sich auch der Handelsvertreter der Vereinigten Staaten von Amerika öffentlich gegen derartige Pläne ausgesprochen (hier mein Blogbeitrag dazu) und dies unter anderem mit einem faktischen Ausschluss und einer Diskriminierung ausländischer Anbieter begründet.

Blickt man jedoch in die USA, so zeigt sich, dass die Pflicht zu einem nationalen Routing für Telekommunikationsanbieter dort bereits Realität und eine rechtliche Pflicht ist. Der Grund: um amerikanischen Behörden einfacheren und direkten Zugriff auf gespeicherte Daten zu ermöglichen.

Ausländische, auf dem US-Markt agierende Unternehmen, schließen Verträge mit Regierungsstellen (u. a. dem Heimatschutzministerium oder dem Justizministerium) ab, in denen sie sich dazu verpflichten müssen, inländischen Datenverkehr allein innerhalb des Staatsgebietes von Amerika zu transportieren und zu speichern. Eine Auflistung von verschiedenen Verträgen, u. a. mit der Deutschen Telekom oder Telefonica Moviles) findet sich hier.

Anhand des Vertrages der Telefonica Moviles (abrufbar hier, PDF) möchte ich kurz auf ein paar der Pflichten eingehen, die dem Unternehmen auferlegt werden.

Wichtig ist zunächst unter Ziff. 1.7 die Definition der „Domestic Communications“. Dies umfasst sowohl die drahtlose als auch drahtgebundene Kommunikation, welche in den USA beginnt und endet. Aber ebenso den amerikanischen Anteil solcher Kommunikationen, die entweder in den USA beginnen oder dort enden. Zudem wird unter Ziff. 1.8 die „Domestic Communications Infrastructure“ definiert, wozu auch Anlagen und Geräte zum Routing zählen.

Nach Ziff. 2.1 des Vertrages besteht die Pflicht, dass sowohl die „Domestic Communications Infrastructure“ allein in den USA belegen sein darf und auch die durch sie abgewickelte nationalen Kommunikationsvorgänge allein durch diese Einrichtungen in den USA ausgeführt werden dürfen.

Nach Ziff. 2.3 des Vertrages besteht zudem eine Speicherpflicht für die nationalen Daten allein in den USA.

Zudem stellt Ziff. 2.8 explizit eine nationale Routing-Pflicht auf. Nationale Kommunikation darf danach nicht außerhalb der USA gerouted werden.

Und wie sieht es mit dem Zugang zu diesen Daten durch ausländische Behörden aus? Nach Ziff. 3.4 des Vertrages dürfen sowohl nationale Kommunikationsdaten (und zudem noch weitere Datenkategorien) weder direkt oder indirekt an ausländische Behörden weitergegeben werden, ohne dass eine vorherige schriftliche Zustimmung des amerikanischen Justizministeriums oder eine Anordnung eines amerikanischen (nicht etwa ausländischen) Gerichts vorliegt.

Die Verträge zeigen, dass ein nationales Routing in den USA bereits an der Tagesordnung ist. Einer der Gründe ist, den staatlichen Behörden einen einfachen Zugriff für Überwachungsmaßnahmen zu ermöglichen, wie sich etwa aus Ziff. 2.1 (b) ergibt.

Damit ist freilich noch nichts darüber gesagt, ob ein nationales Routing in Europa oder Deutschland tatsächlich gegen die Überwachung durch ausländische Geheimdienste schützen würde. Nur das Argument, dass dies eine neue Qualität des Eingriffs in den freien Fluss der Daten im Internet darstellen und Europa damit allein dastehen würde, kann damit kaum noch gelten.

Datenschutzreform: neue Ratsdokumente belegen anhaltenden Diskussionsbedarf

Unter EUDataP-links.com, einer Unterseite dieses Blogs, habe ich neue Dokumente aus der DAPIX (die für den Datenschutz zuständige Ratsarbeitsgruppe) zur Datenschutzreform verlinkt. Thematisch geht es dabei vor allem um den Dauerbrenner „one-stop-shop“ und den Datentransfer in Drittstaaten.

Wie sich aus den Dokumenten ergibt, besteht weiterhin anhaltender Diskussionsbedarf zwischen den europäischen Mitgliedstaaten in Bezug auf das Streben nach einer gemeinsamen Position zur geplanten Datenschutz-Grundverordnung (DS-GVO). Die Dokumente datieren von Ende April 2014, bilden daher wohl nicht den aktuellsten Stand der Verhandlungen ab.

Dennoch zeigt ein Blick in die Papiere und dabei insbesondere in die Fußnoten, dass Mitgliedstaaten teilweise erheblichen Diskussions- und Änderungsbedarf hinsichtlich elementarer Grundsätze der geplanten DS-GVO sehen. Beispielhaft möchte ich kurz auf das Dokument zu Datentransfers in Drittstaaten eingehen (8087/1/14 REV 1, PDF).

Einige Mitgliedstaaten zweifeln die Wirksamkeit des Prinzips der Angemessenheitsentscheidungen durch die Europäische Kommission an (siehe Fn. 13). Diese Angemessenheitsentscheidungen werden von der Kommission getroffen, um einem Drittland oder auch nur einem bestimmten Industriebereich eines Drittlandes, ein angemessenes Datenschutzniveau zu attestieren und damit Datentransfers aus der EU dorthin zu ermöglichen. Frankreich möchte zudem wissen, ob Datenübermittlungen im Rahmen des Cloud-Computing nach Ansicht der Kommission ebenfalls einen internationalen Datentransfer darstellen. Deutschland schlägt vor, dass in der DS-GVO Regelungen für die Einrichtung von Selbstverpflichtungsmechanismen in Drittstaaten (wie etwa Safe Harbor in den USA) aufgenommen werden.

Zudem werden in dem Ratsdokument auch neue Anforderungen an die den Datentransfers zugrundeliegenden Instrumenten gestellt. So sollen in unternehmensweit geltende Richtlinien (BCRs), welche durch die nationalen Datenschutzbehörden freigegeben werden müssen, nach Art. 43 Abs. 2 (l) auch Hinweise auf die in einem Konzern vorgehaltenen Mechanismen gegeben werden, welche dort existieren, um eine Datenschutzbehörde auf Anforderungen des Rechts eines Drittstaates hinzuweisen, die ein Unternehmen des Konzerns verpflichten und sich negativ auf den durch die BCRs gewährten Schutz der personenbezogenen Daten auswirken können. Im Blick hatte man hierbei wohl vor allem Anfragen und Herausgabeverlangen von drittstaatlichen Behörden.

Auf Vorschlag der deutschen Delegation (Fn. 75) wurde zudem die Voraussetzung einer „ausdrücklichen“ Einwilligung in Art. 44 Abs. 1 (a) eingefügt, die als Grundlage einer Datenübermittlung in einen Drittstaat dienen kann. Vorher war hier nur von einer „Einwilligung“ die Rede.

Bereits ein Blick in dieses Dokument zu einem besonderen Themenbereich zeigt, dass die Diskussionen im Rat weiter anhalten, Vorschläge gemacht und Änderungen eingearbeitet werden. Wenn man die Fußnoten und damit die Anmerkungen der Mitgliedstaaten liest, dann fällt zudem auf, dass Deutschland einer der aktivsten Diskussionsteilnehmer ist, sei es nun durch das Einbringen eigener Vorschläge oder kritische Anmerkungen.

Das Google-Urteil des EuGH – übers Ziel hinaus geschossen?

Mit Urteil vom heutigen Tage hat der EuGH (Az. C-131/12) verschiedene wichtige Entscheidungen in Bezug auf die zukünftige Anwendung und Durchsetzung des europäischen Datenschutzrechts getroffen. Zur Entscheidung lag ihm dabei ein Verfahren zwischen Google und der spanischen Datenschutzbehörde (AEPD) vor. Die von einem spanischen Gericht vorgelegten Fragen betreffen grob folgende Themenkomplexe: 1. den räumlichen Anwendungsbereich der geltenden Datenschutzrichtlinie (DS-RL, RL 95/46/EG, PDF); 2. die Verantwortlichkeit von Suchmaschinenbetreibern für durch sie indexierte Webseiten und darauf befindliche Daten; 3. die Reichweite des Rechts auf Löschung von personenbezogenen Daten.

Sachverhalt
Der dem Urteil zugrunde liegender Sachverhalt stellt sich grob wie folgt dar: gegen einen Betroffenen wurden, aufgrund von Schulden bei der Sozialversicherung, Immobilienversteigerungen betrieben. Diese wurden in einer Zeitung zunächst offline und später auch online veröffentlicht. Die Bekanntmachung erfolgte dabei auf einer gesetzlichen Grundlage. Die AEPD lehnte daher Löschungsansprüche des Betroffenen gegen die online abrufbaren Bekanntmachungen gegen das Presseunternehmen ab. Jedoch wandte sich der Betroffene auch an Google und verlangte, dass die betreffenden Seiten aus dem Index der Suchmaschine zu nehmen seien. Dieser Beschwerde gab die AEPD statt und forderte Google auf, die Seiten aus dem Index zu entfernen. Hiergegen wendete sich Google.

Schlussanträge des Generalanwalts
Am 25.6.2013 präsentierte der zuständige Generalanwalt (GA) am EuGH, Jääskinen, seine Schlussanträge zu dem Verfahren. Hierzu hatte ich bereits einmal gebloggt. Die Ergebnisse der rechtlichen Analyse des GA waren die folgenden:

  • Verarbeitungen personenbezogener Daten werden im Rahmen der Tätigkeiten einer „Niederlassung“ des für die Verarbeitung Verantwortlichen im Sinne von Art. 4 Abs. 1 Buchst. a der DS-RL ausgeführt, wenn der Suchmaschinenbetreiber in einem Mitgliedstaat für die Vermarktung und den Verkauf von Werbeflächen der Suchmaschine eine Niederlassung oder eine Tochtergesellschaft einrichtet, deren Tätigkeit sich an die Einwohner dieses Staats richtet.

(Diese Auslegung stieß vielfach auf Kritik, da sie über den Wortlaut der Richtlinie hinausgehe und allein das Vorhandensein einer Niederlassung in einem europäischen Land ausreichen lassen würde, um das dortige Datenschutzrecht zur Anwendung zu bringen, auch wenn diese Niederlassung überhaupt nicht in der entscheidungserheblichen Datenverarbeitung beteiligt ist. Der Anwendungsbereich der DS-RL würde damit massiv ausgeweitet.)

  • Ein Internetsuchmaschinen-Diensteanbieter, dessen Suchmaschine nach Informationen sucht, die Dritte im Internet veröffentlicht oder gespeichert haben, diese Informationen automatisch indexiert, vorübergehend speichert und sie schließlich den Nutzern des Internets in einer bestimmten Rangfolge zur Verfügung stellt, „verarbeitet“ personenbezogene Daten im Sinne von Art. 2 Buchst. b der DS-RL, wenn die Informationen personenbezogene Daten enthalten.
  • Der Internetsuchmaschinen-Diensteanbieter kann jedoch hinsichtlich dieser personenbezogenen Daten außer in Bezug auf den Inhalt des Indexes seiner Suchmaschine nicht als der „für die Verarbeitung Verantwortliche“ angesehen werden, es sei denn, er indexiert oder archiviert personenbezogene Daten entgegen den Weisungen oder Aufforderungen des Webseitenurhebers.
  • Das in Art. 12 Buchst. b der DS-RL geregelte Recht auf Löschung und Sperrung von Daten sowie das in Art. 14 Buchst. a der DS-RL vorgesehene Widerspruchsrecht verleihen der betroffenen Person nicht das Recht, sich an den Suchmaschinenbetreiber zu wenden, um die Indexierung auf sie bezogener Informationen zu verhindern, die auf Webseiten von Dritten rechtmäßig veröffentlicht sind, und sich hierzu auf ihren Willen zu berufen, dass diese Informationen den Internetnutzern nicht bekannt werden, wenn sie der Ansicht ist, dass die Informationen ihr schaden könnten, oder sie sich wünscht, dass die Informationen vergessen werden.

Das Urteil des EuGH
Der EuGH geht in seinem Urteil über die vom GA vorgeschlagene rechtliche Lösung hinaus. Man wird wohl bereits jetzt sagen können, dass dieses Urteil in Zukunft teils erhebliche Auswirkungen auf das Geschäftsmodell jeglichen Suchdienstes im Internet haben wird. Thomas Stadler spricht in einem Blogbeitrag davon, dass Urteil habe das Potential, die Funktionsfähigkeit von Suchwerkzeugen erheblich einzuschränken.

1. anwendbares Recht
Hier folgt der EuGH (leider) im Prinzip der Lösung des GA. Der Begriff „im Rahmen der Tätigkeit“ einer Niederlassung i. S. d. Art. 4 Abs. 1 Buchst. a DS-RL sei weit auszulegen. Der durch die DS-RL gewährleistete Schutz dürfe nicht umgangen werden, nur weil ein Diensteanbieter in einem Drittstaat ansässig sei. Daher werden auch Verarbeitungsvorgänge eines Anbieters in einem Drittstaat (hier von Google Search in den USA) „im Rahmen der Tätigkeit“ einer in einem EU Staat befindlichen Niederlassung ausgeführt, wenn diese Niederlassung die Aufgabe hat, in dem Mitgliedstaat für den Verkauf von Werbeanzeigen auf der Internetseite des Anbieters und damit die allgemeine Rentabilität des Unternehmens zu sorgen. Die Tätigkeiten des ausländischen Unternehmens und der europäischen Niederlassung seien dann untrennbar miteinander verbunden.
Diese weite Auslegung des Art. 4 Abs. 1 Buchst. a DS-RL ist aus meiner Sicht kritikwürdig. Denn zum einen besitzt die DS-RL in Art. 4 Abs. 1 Buchst. c einen Tatbestand, der einen Anbieter aus einem Drittstaat europäischen Recht unterwerfen würde, wenn er auf Mittel in der EU zurückgreift. Diese Mittel könnten zB Computer oder aber auch Niederlassungen selbst sein. Mit der weiten Auslegung des Art. 4 Abs. 1 Buchst. a DS-RL durch den EuGH wird diese Tatbestandsalternative praktisch kaum noch relevant werden, obwohl sie aus meiner Sicht gerade diese Konstellationen (Anbieter aus Drittland erhebt Daten im Inland) im Blick hatte. Zum anderen scheint die weite Auslegung des EuGH einfach etwas zu weit zu gehen. Denn die hier relevanten Verarbeitungsprozess (Indexierung und Crawlen) werden eben nicht im „Rahmen der Tätigkeit“ der spanischen Niederlassung durchgeführt. Im Prinzip liest der EuGH den Art. 4 Abs. 1 Buchst. a DS-RL wie „die im wirtschaftlichen Zusammenhang mit den Tätigkeiten der Niederlassung stehe“.

2. Verantwortlichkeit von Google
Der EuGH erkennt, wie der GA, in der Suche, Speicherung und Indexierung von Informationen und eben auch personenbezogenen Daten im Internet durch Google eine „Verarbeitung personenbezogener Daten“ i. S. d. Art. 2 Buchst. b DS-RL. Jedoch geht das Gericht nicht mit der Auslegung des GA konform, dass Google nur dann für die Verarbeitung verantwortlich sei, wenn es um die Daten im Index selbst gehe oder entgegen von technischen Sperren personenbezogene Daten gecrawled habe. Google sei vielmehr für alle selbst ausgeführten Tätigkeiten in Bezug auf personenbezogene Daten auf Webseiten von Dritten verantwortlich. Denn die Tätigkeit der Suchmaschine unterscheide sich von derjenigen der ursprünglichen Herausgeber. Begründet wird diese weite Auslegung des Begriffes der Verantwortlichkeit jedoch auch mit Motiven, die nicht direkt etwas mit dem Verarbeitungsvorgang zu tun haben. Die Tätigkeit von Suchmaschinen habe Anteil an der weltweiten Verbreitung personenbezogener Daten. Sie machen Daten auch solchen Nutzern zugänglich, die die Originalwebseite eventuell gar nicht gefunden hätten. Zudem bestehe die Gefahr, dass bei einer Auflistung von Informationen zu einer Person (die, wohl gemerkt, frei im Netz verfügbar sind) und einer Suche anhand ihres Namens, die Suchenden einen strukturierten Überblick über die betreffende Person erhalten, anhand dessen sie ein Profil dieser Person erstellen können.

3. Löschpflichten
Ist danach klar, dass Google grundsätzlich verantwortlich ist, sobald es mit eigenen Mechanismen Informationen aus dem Netz zusammensucht und als Ergebnislisten darstellt, stellte sich die Frage, ob Google zu einer Löschung von Links in Ergebnislisten auf Webseiten Dritter verpflichtet ist, selbst wenn die Veröffentlichung rechtmäßig erfolgte. Diese Löschpflicht kann sich aus Art. 12 Buchst. b DS-RL ergeben. Dazu müsste ihre Verarbeitung nicht den Bestimmungen der DS-RL entsprechen.

Der EuGH prüft zunächst die Rechtsgrundlage der Datenverarbeitungsvorgänge von Google. Hierbei bezieht er sich auf Art. 7 Buchst. f DS-RL. Diese Grundlage stellt auf die „berechtigten Interessen“ des für die Verarbeitung Verantwortlichen oder Dritten ab. Jedoch dürfen das Interesse oder die Grundrechte oder Grundfreiheiten der betroffenen Person überwiegen. Erforderlich ist also eine Abwägung der sich gegenüberstehenden Rechte und Interessen. Nach dem EuGH

kann eine von einem Suchmaschinenbetreiber ausgeführte Verarbeitung personenbezogener Daten wie die im Ausgangsverfahren in Rede stehende die Grundrechte auf Achtung des Privatlebens und Schutz personenbezogener Daten erheblich beeinträchtigen, wenn die Suche mit dieser Suchmaschine anhand des Namens einer natürlichen Person durchgeführt wird, da diese Verarbeitung es jedem Internetnutzer ermöglicht, mit der Ergebnisliste einen strukturierten Überblick über die zu der betreffenden Person im Internet zu findenden Informationen zu erhalten, die potenziell zahlreiche Aspekte von deren Privatleben betreffen und ohne die betreffende Suchmaschine nicht oder nur sehr schwer hätten miteinander verknüpft werden können, und somit ein mehr oder weniger detailliertes Profil der Person zu erstellen.

Zudem steigere die Rolle des Internets und damit der weltweite Abruf der Informationen noch die Eingriffsintensität. Nun kommt das Gericht zu den berechtigten Interessen von Google. Hier führt es aus, dass wegen seiner potenziellen Schwere, ein solcher Eingriff nicht allein mit dem wirtschaftlichen Interesse des Suchmaschinenbetreibers an der Verarbeitung der Daten gerechtfertigt werden könne. Die Interessen von Google bügelt der EuGH damit in einem Satz ab.

Jedoch stellt der EuGH dann fest, dass eine Löschung aus den Ergebnislisten die berechtigten Interessen von Dritten, nämlich der Internetnutzer, beeinträchtigen könnte. Nun muss also eine Interessenabwägung in diesem Verhältnis vorgenommen werden. Hierbei stellt der EuGH jedoch als Ausgangspunkt klar:

Zwar überwiegen die durch diese Artikel geschützten Rechte der betroffenen Person im Allgemeinen gegenüber dem Interesse der Internetnutzer;

Jedoch könne der nötige Ausgleich in besonders gelagerten Fällen aber von der Art der betreffenden Information, von deren Sensibilität für das Privatleben der betroffenen Person und vom Interesse der Öffentlichkeit am Zugang zu der Information abhängen, das u. a. je nach der Rolle, die die Person im öffentlichen Leben spielt, variieren. Im Prinzip lässt der EuGH hier eine (meines Erachtens bedenkliche) Tendenz erkennen. Nämlich dass Informationen dann zu löschen sind bzw. das Interesse der betroffenen Person zunächst einmal grundsätzlich überwiege und eben nur in besonderen Fällen, etwa bei Prominenten oder tagesaktuellen oder historischen Geschehnissen, hinter dem Informationsinteresse der Internetnutzer zurückzutreten habe. Damit besteht also im Ausgangspunkt eine Löschpflicht, selbst bei rechtmäßiger Weise veröffentlichten Informationen, wenn die Interessen des Betroffenen überwiegen. Dies ist nach dem EuGH grundsätzlich der Fall, außer in besonderen Situationen. Wohlgemerkt beziehen sich die Ausführungen des Gerichts auf Suchmaschinenbetreiber und die von ihnen generierten Ergebnislisten, vor allem wenn nach Namen von Personen gesucht werden.

4. Recht auf Vergessen werden
Zum Schluss befasst sich der EuGH mit der Frage, ob ein Betroffener ein Recht darauf hat, das Informationen zu ihm, die im Internet veröffentlicht wurden, irgendwann vergessen werden müssen.

Hierzu stellt der EuGH fest, dass Daten nach Art. 12 Buchst. b DS-RL auch dann zu löschen sind, wenn sie nicht den Zwecken der Verarbeitung entsprechen, dafür nicht erheblich sind oder darüber hinausgehen, nicht auf den neuesten Stand gebracht sind oder länger als erforderlich aufbewahrt werden, es sei denn ihre Aufbewahrung ist für historische, statistische oder wissenschaftliche Zwecke erforderlich. Hieraus ergebe sich, dass auch eine ursprünglich rechtmäßige Verarbeitung sachlich richtiger Daten im Laufe der Zeit nicht mehr den Bestimmungen der Richtlinie entsprechen kann, wenn die Daten für die Zwecke, für die sie erhoben oder verarbeitet worden sind, nicht mehr erforderlich sind.

Im Rahmen der Prüfung des Löschungsrechts nach Art. 12 Buchst. b DS-RL gelte es auch die Voraussetzungen des Art. 6 Abs. 1 DS-RL zu beachten, insbesondere, dass Daten nicht mehr den ursprünglichen Zwecken entsprechen. Wenn sich herausstelle, dass die Informationen in Anbetracht aller Umstände des Einzelfalls den Zwecken der in Rede stehenden Verarbeitung durch den Suchmaschinenbetreiber nicht entsprechen, dafür nicht oder nicht mehr erheblich sind oder darüber hinausgehen, müssen die betreffenden Informationen und Links der Ergebnisliste gelöscht werden, so das Gericht. Daher müsse auch geprüft werden, ob die betroffene Person ein Recht darauf habe, dass die betreffenden Information über sie zum gegenwärtigen Zeitpunkt nicht mehr durch eine Ergebnisliste, die im Anschluss an eine anhand ihres Namens durchgeführte Suche angezeigt wird, mit ihrem Namen in Verbindung gebracht wird. Hierbei weist der EuGH darauf hin, dass die Feststellung eines solchen Rechts nicht voraus setze, dass der betroffenen Person durch die Einbeziehung der betreffenden Information in die Ergebnisliste ein Schaden entstehe.

Und auch hier rückt der EuGH nicht von seiner eingeschlagenen Linie (des grundsätzlichen Vorrangs des Schutzes der Privatsphäre vor Informationsinteressen) ab. Er stellt vielmehr ausdrücklich klar, dass wenn die betroffene Person in Anbetracht ihrer Grundrechte aus den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union verlangen kann, dass die betreffende Information der breiten Öffentlichkeit nicht mehr durch Einbeziehung in eine derartige Ergebnisliste zur Verfügung gestellt wird, ist davon auszugehen, dass diese Rechte grundsätzlich nicht nur gegenüber dem wirtschaftlichen Interesse des Suchmaschinenbetreibers, sondern auch gegenüber dem Interesse der breiten Öffentlichkeit daran, die Information bei einer anhand des Namens der betroffenen Person durchgeführten Suche zu finden, überwiegen.

Fazit
Die Entscheidung des EuGH übertrifft wohl sämtliche Erwartungen an das Verfahren. Nicht nur weil das Gericht über die Linie des GA hinausgegangen ist, sondern vor allem mit welcher Deutlichkeit dies geschieht. Die Tendenz, dem Recht auf Schutz personenbezogener Daten grundsätzlich einen Vorrang einzuräumen und nur in besonderen Situationen eine Veröffentlichung zuzulassen, sollte man kritisch betrachten. Zudem scheint sich das Urteil vielerorts weniger durch juristische oder an Datenverarbeitungsprozessen ausgerichteten faktischen Feststellungen, sondern oft auch die allgemeine, aus Sicht der EuGH, negative Wirkung und das Geschäftsmodell von Google und dessen Suche in den Blick zu nehmen.

Big Data Report des Weißen Hauses – ein Überblick

Am 1. Mai 2014 hat eine durch den amerikanischen Präsidenten eingesetzte Arbeitsgruppe zu den Auswirkungen und möglichen Regulierungsansätzen rund um das Thema Big Data und Privatsphäre ihren Bericht vorgestellt („Big Data:
Seizing Opportunities, Preserving Values“
, PDF). Gleichzeitig hat auch ein Beratergremium des Präsidenten für Technologie und Wissenschaft (President’s Council of Advisors on Science and Technology (PCAST)) einen eigenen Bericht zum Thema Big Data vorgelegt („Big Data: A Technological Perspective„, PDF). Im nachfolgenden möchte ich einen kurzen (sicherlich nicht vollständigen) Überblick über einige der Ergebnisse des erstgenannten Berichtes geben. Für Informationen zu dem Bericht des PCAST sei das offizielle Fact Sheet (PDF) empfohlen.

Der Grundtenor des Berichts ist sicherlich zu begrüßen: die massenhafte Analyse und Auswertung von Daten, sowohl im öffentlichen als auch im privaten Bereich, schaffen die Grundlage für zukünftiges wirtschaftliches Wachstum und gesellschaftlichen Nutzen und sollte daher unterstützt und gefördert werden. Dabei dürfe jedoch nicht übersehen werden, dass die derzeitigen gesetzlichen Vorgaben entweder überholt oder noch gar nicht vorhanden sind, um einen verhältnismäßigen Ausgleich zwischen den betroffenen Interessen aller Beteiligten zu schaffen.

Zunächst geht der Bericht auf den Begriff „Big Data“, die diesem zugrunde liegende massenhafte Erzeugung von Daten und wie er sich in Zukunft entwickeln wird, ein. Stichworte sind hier insbesondere das Internet der Dinge, tragbare Technologie oder intelligente Autos. Eines ist gewiss: es werden täglich mehr und mehr Daten erzeugt.

Die Frage, die man sich bei einer Untersuchung des Phänomens „Big Data“ stellen muss, sind seine Einsatzmöglichkeiten und Auswirkungen. Sowohl rechtlich, ethisch als auch gesellschaftlich und ob die bestehenden Vorgaben ausreichen. Die Möglichkeit, immer mehr Daten zu speichern und auszuwerten birgt die Gefahr eine „Daten-Asymmetrie“ zu erzeugen, aus der notwendigerweise eine Macht-Asymmetrie hervorgeht. Daten und Informationen sind Macht.

Danach geht der Bericht auf einige Bereiche ein, in denen Big Data bereits heute erfolgreich eingesetzt wird (industrielle Produktion, Gesundheitswesen, Energieversorgung).

Bei Big Data geht es darum, die bekannte Nadel im Heuhaufen zu suchen, wobei der Heuhaufen die Daten sind und die Nadel ein bestimmtes Muster oder eine Anomalie. Datenschutzrechtlich ist freilich der Heuhaufen relevant, wenn es also darum geht, eine gewisse Masse an Daten zu sammeln.

Big Data betrifft häufig Techniken, an deren Ende es um die möglichst genaue Individualisierung von Betroffenen geht. Der Bericht zeigt sowohl die Vorteile (bessere Werbung; bessere Gesundheitsvorsorge) als auch die Nachteile (Ungleichbehandlung bestimmter Personen oder Gruppen) auf. Problematisch seien insofern auch die sog. „filter bubbles“, wenn also einer Person einer bestimmten Gruppe zugeordnet wird und dann entsprechend nur noch mit auf diese Gruppe zugeschnitten Informationen versorgt wird.

Techniken der Anonymisierung von Daten helfen bereits heute, datenschutzrechtlichen Gesichtspunkten Rechnung zu tragen. Die Betroffenen sind dann nicht mehr erkennbar. Diese Techniken der „De-Identifizierung“ bewirken andererseits jedoch, dass die Möglichkeiten von Datenanalysen und ihr Potential teilweise nicht voll ausgeschöpft werden kann. Zudem lässt sich nicht vorhersagen, wie sich die Methoden zur „Re-Identifizierung“ in Zukunft entwickeln werden. Hierdurch entsteht jedoch Unsicherheit darüber, wie Betroffene in Zukunft die auf sie bezogenen Informationen kontrollieren können und wie sie etwa aus Datenanalysen abgeleiteten Entscheidungen widersprechen können.

Der Bericht analysiert im folgenden die derzeit bestehenden gesetzlichen Vorgaben und politischen Initiativen in den USA im Bereich von Open Data und der Nutzung von Big Data im öffentlichen Bereich. Essentiell wird hierbei in der Zukunft die Schaffung von Vertrauen in das Handeln der Regierung und der öffentlichen Stellen sein. Auch der Zugang zu Informationen, die über die eigene Person gespeichert sind, muss eine wichtige Rolle spielen. Gerade in diesem Bereich lässt sich die Gefahr eines Machtungleichgewichts aufgrund von gesammelten Daten und ihrer Analyse durch staatliche Stellen erkennen. Wichtig seien hier für die Zukunft Regelungen, die eine effiziente Überwachung des staatlichen Handelns garantieren.

Ein möglicher Lösungsansatz zur Etablierung datenschutzrechtlicher Sicherungen beim Umgang mit Daten könnten dabei „Datenmarkierungen“ darstellen. Hierbei werden Informationen nach einem festgelegten Schema markierte („tagged“), woraus sich verschiedene Verwendungsmöglichkeiten und Zugriffsrechte für die Behörden ergeben. Manche Behörden benötigen etwa nur den Namen, die Anschrift und das Geburtsdatum, andere öffentliche Stellen jedoch zusätzlich etwa Zugriff auf Steuerinformationen. Die Tags bestimmen, wer auf die Daten Zugriff hat und für welche Zwecke sie verwendet werden können. Dieses System wird derzeit bereits beim amerikanischen Heimatschutzministerium verwendet.

Ein weiterer Untersuchungsbereich betrifft die Datenanalyse durch Strafverfolgungsbehörden. Hier geht der Bericht etwa auf die Möglichkeit der Vorhersage von Verbrechen in besonders gefährdeten Gebieten ein. Zudem untersucht er die Frage, wann staatliche Stellen auf Daten zugreifen können, die durch Betroffene an Dritte preisgegeben und von diesen gespeichert werden („third-party-doctrine“). Ob also etwa Strafverfolgungsbehörden ohne richterliche Anordnung auf Daten bei einem Telekommunikationsunternehmen zugreifen können, wie die Verbindungsdaten von Telefonaten. Hierbei geht es vor allem um die Frage der technischen Entwicklung und wie historische Schutzbereiche (private Wohnung) auf diese Übertragen werden können (Speicherung in der Cloud). Der Schutz von Metadaten wird in dem Bericht speziell angesprochen und es wird geraten, diesen Schutz zu stärken, da auch diese Daten sensible Informationen über Betroffene preisgeben können.

Danach untersucht der Bericht Big Data im privat-wirtschaftlichen Bereich. Auch hier bestehe die Gefahr einer Machtasymmetrie zwischen Verbrauchern und Unternehmen, wobei der Einsatz von Big Data freilich auch hier immense Vorteile bereit halte. Etwas genauer untersucht der Bericht den Bereich der Online-Werbung. Internetdienste sind auf diese Art der Einnahmequellen angewiesen. Dabei spielen viele Parteien eine Rolle bei der Darbietung von Werbung. Problematisch hierbei ist aus der Sicht des Berichts, dass die Verbraucher meist nur mit dem Webseitenbetreiber selbst in Kontakt kommen, jedoch nicht mit den dahinter stehenden Werbenetzwerken und anderen Beteiligten, die eventuell auch Informationen über sie speichern. Dadurch verstehen sie auch zumeist nicht, welche Rolle sie und ihre Daten in diesen Verarbeitungsprozessen spielen.

In Zukunft wird es besonders wichtig sein, den Verbrauchern mit der erforderlichen Transparenz in Bezug auf Datenverarbeitung zu begegnen und sinnvolle Wahlmöglichkeiten zur Verfügung zu stellen. Der Bericht zeigt dabei auch, dass allein ein „Mehr“ an Informationen nicht unbedingt der beste Weg ist. Denn obwohl die Werbeindustrie teilweise freiwillig Maßnahmen ergriffen hat, um Nutzer besser zu informieren (Icons auf der Webseite), wurden diese Hinweise von Verbrauchern kaum verstanden oder genutzt.

Danach befasst sich der Bericht mit Datendiensteanbietern, den sog. data brokers. Diese Unternehmen sammeln und analysieren Daten aus verschiedenen Quellen und bieten ihre Dienste (z. B. Nutzerprofile, Produktmarketing) anderen Unternehmen an, ohne jedoch meist direkten Kontakt mit den Verbrauchern zu besitzen. Vorteil ihrer Arbeit ist etwa die möglichst genaue Ausspielung von Werbung oder Anpassung von Angeboten auf die Bedürfnisse des Verbrauchers, was jedoch zugleich die machtvolle Möglichkeit bietet, Daten der Nutzer ohne ihr Wissen algorithmisch zu analysieren.

In diesem Zusammenhang geht der Bericht auf den Einsatz von Algorithmen und die Gefahr einer Diskriminierung der Betroffenen durch automatische Entscheidungen ein. Hier bestehe noch der Bedarf nach weiterer Offenheit der Analysemethoden und auch die Frage der Verantwortlichkeit für Entscheidungen von Algorithmen müsse untersucht werden. Betroffene sollten Zugang zu gespeicherten Informationen erhalten, um so etwa falsche Daten korrigieren zu können.

Durch den Trend, dass immer mehr Geräte Daten erzeugen und miteinander kommunizieren, wird das Prinzip der Datenminimierung an die Grenze seiner Belastbarkeit geführt, ja wenn nicht sogar obsolet. Daten, ob sie nun analog oder digital entstehen, werden analysiert und kombiniert. Aufgrund der geringen Kosten für Speicherplatz ist diese Entwicklung auch nicht unbedingt überraschend.

Der Bericht regt vor diesem Hintergrund dazu an, über die Wertigkeit der Einwilligung und vorheriger Informationen nachzudenken. Sich auf die Kontrolle der Datenerhebung und die Umstände der Speicherung zu fokussieren könnte für einen wirksamen Schutz der Privatsphäre nicht mehr ausreichend sein. Das Konstrukt der Einwilligung mag noch in der Beziehung zwischen dem Verbraucher und z. B. dem Webseitenbetreiber den nötigen Nutzen bringen, da hier eine direkte Verbindung besteht. Da Daten jedoch immer mehr von Dritten analysiert und gespeichert werden, sollte man darüber nachdenken, sich regelungstechnisch auf die Kontrolle des Datenumgangs fokussieren. Der Vorteil hiervon wäre unter anderem, dass die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung dann von dem Betroffenen (der heutzutage sowieso allenfalls eine deklaratorische Einwilligung abgibt, da er die Informationen der Datenverarbeitung erst gar nicht lies oder nicht versteht) auf die verarbeitende Stelle übergeht.

Fazit
Dies sind nur einige der in dem wirklich lesenswerten Bericht angesprochenen Themenfelder. Am Ende listet der Bericht seine konkreten Empfehlungen noch einmal auf. Darunter findet sich auch der Vorschlag, Ausländern in den USA dieselben oder zumindest ähnliche Rechte in Bezug auf ihre Daten einzuräumen, wie den amerikanischen Bürgern. Dieser Vorschlag ist gerade vor dem Hintergrund der andauernden Verhandlungen der EU mit den USA um ein Rahmenabkommen beim Datenschutz im Bereich der Strafverfolgung interessant. Denn dort war und ist bisher immer noch die Frage strittig, ob europäische Bürger Rechtsschutzmöglichkeiten in den USA erhalten sollen, wenn ihre Daten rechtswidrig verarbeitet wurden. Vielleicht zeichnet sich hier also ein Umdenken ab. Insgesamt stellt der Big Data Bericht sicherlich einen wichtigen Beitrag zur Diskussion um eine Regulierungsnotwendigkeit vor dem Hintergrund neuer technologischer Entwicklungen dar und sollte auch in Deutschland und Europa gelesen und berücksichtigt werden.

Bundesregierung zum Beschäftigungsdatenschutz in sozialen Netzwerken

Was ist „öffentlich“, was ist „privat“? Welche Regeln gelten für die Datenerhebung durch (zukünftige) Arbeitgeber in sozialen Netzwerken? Wann kommt die Datenschutz-Grundverordnung?

Zu diesen und andere Fragen hat die Bundesregierung in der Antwort auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag (BT-Drs. 18/1122, PDF) Stellung genommen.

Bestehende Regelung in § 32 BDSG
In ihrer Antwort verweist die Bundesregierung zunächst auf die Vorgaben des § 32 BDSG, der die Datenerhebung, -verarbeitung und –nutzung für Zwecke des Beschäftigungsverhältnisses regelt. Personenbezogene Daten eines Bewerbers oder eines Beschäftigten dürfen nach § 32 Abs. 1 S. 1 BDSG erhoben oder verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Die Vorschrift ist freilich nicht nur speziell für den Umgang mit Daten aus dem Internet konzipiert. Die Bundesregierung stellt jedoch klar:

Diese Vorgaben gelten auch für die Erhebung von Daten in
sozialen Netzwerken und Internetforen.

In der Datenschutz-Grundverordnung
DIE LINKE wollte zudem wissen, ob die Fragen der Datenerhebung von Bewerbern in sozialen Netzwerken auch Gegenstand der Verhandlungen zur geplanten Datenschutz-Grundverordnung (DS-GVO, PDF) sind. Hier verweist die Bundesregierung auf Art. 82 Abs. 1 DS-GVO, nach dem die Mitgliedstaaten beschäftigungsdatenschutzrechtliche Fragen in den Grenzen der Verordnung durch Gesetz regeln können.

Anmerkung: Wichtig an dieser Vorgabe ist die Beschränkung auf die „Grenzen“ der DS-GVO. Hierdurch wird den Mitgliedstaaten sowohl in Bezug auf eine mögliche Erhöhung oder auch mögliche Absenkung des Schutzniveaus von Beschäftigungsdaten eine Vorgabe gemacht. Nationale Regelungen, welche sich nicht an die Vorgaben der DS-GVO und den ihr zugrunde liegenden Prinzipien halten, würden sich nicht innerhalb dieser Grenzen bewegen.

Abgrenzung: privat – öffentlich
Zudem wollte DIE LINKE wissen, wann eine Unterhaltung in einem sozialen Netzwerk oder Internetforum als „öffentlich“ oder „privat“ anzusehen ist. Die Bundesregierung weist darauf hin, dass die Diskussion um die Abgrenzung von öffentlicher und privater Kommunikation in sozialen Netzwerken und Internetforen noch geführt wird und nicht abgeschlossen ist. Nach Ansicht der Bundesregierung ist

Eine Unterhaltung in sozialen Netzwerken oder Internetforen … zumeist dann eine öffentliche Kommunikation, wenn eine allgemeine Zugänglichkeit zu diesen Kommunikationsplattformen besteht.

Zudem merkt die Bundesregierung an, dass die allgemeine Zugänglichkeit nicht unbedingt dadurch ausgeschlossen wird, dass eine vorherige Registrierung erforderlich ist. Im Ergebnis bedürfe es jedoch einer Beurteilung im Einzelfall. Kriterien hierfür seien etwa: „Die Größe des Empfängerkreises, das Ziel und der Zweck des Kommunikationsforums oder die soziale Akzeptanz und Ortsüblichkeit“.

Wann kommt die DS-GVO?
Völlig unabhängig vom Thema Beschäftigungsdatenschutz möchte DIE LINKE auch wissen, wann die Verhandlungen zur DS-GVO beendet sein werden und mit einer Verabschiedung zu rechnen ist. Hier die Antwort:

Die Bundesregierung setzt sich dafür ein, dass die Verhandlungen über die Datenschutz-Grundverordnung entschieden vorangehen. Gegenwärtig sind trotz intensiver Arbeiten für eine große Anzahl von Mitgliedstaaten noch wichtige Fragen offen. Vor diesem Hintergrund begrüßt die Bundesregierung den Beschluss des Europäischen Rates, wonach die rechtzeitige Verabschiedung eines soliden EU-Datenschutzrahmens für die Vollendung des Digitalen Binnenmarktes bis zum Jahr 2015 als von entscheidender Bedeutung bezeichnet wird.

Nationale Regelungen zum Beschäftigungsdatenschutz plane die Bundesregierung, mit Blick auf die Verhandlungen zur DS-GVO, derzeit nicht. Sollte jedoch mit einem Abschluss der Verhandlungen „nicht in angemessener Zeit gerechnet werden können“, so soll eine nationale Regelung zum Beschäftigungsdatenschutz geschaffen werden.