Bundesrat: Bayern möchte Benennungspflicht für Datenschutzbeauftragte einschränken

Das Bundesland Bayern hat im Bundesrat einen Antrag für eine „Entschließung des Bundesrates zur Evaluierung des Datenschutz-Anpassungs- und Umsetzungsgesetzes EU“ (PDF) mit Datum vom 10.5.2022 eingebracht. In dem Antrag schlägt Bayern verschiedenste Anpassungen des BDSG vor dem Hintergrund des Berichts des Bundesministeriums des Innern zur Evaluierung des Datenschutz-Anpassungs- und Umsetzungsgesetzes aus 2021 vor.

Pflicht zur Benennung eines Datenschutzbeauftragten

Kernbestandteil des Entwurfs ist die Beschränkung der Benennungspflicht für Datenschutzbeauftragte nach § 38 BDSG. Hinsichtlich dieser nationalen Regelung wird bereits ganz allgemein Kritik geäußert, in dem die Änderungsvorschläge wie folgt eingeleitet werden: „Soll an der zusätzlichen nationalen Regelung überhaupt weiterhin festgehalten werden…“.

In dem Entwurf schlägt Bayern vor, „in Anlehnung an den von der DSGVO verfolgten risikobasierten Ansatz“, § 38 Abs. 1 BDSG anzupassen. Die dort vorgegebene Grenze von mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, soll insofern modifiziert werden, dass als relevante Beschäftigte nur solche Personen gelten, die bei ihrer Tätigkeit die Voraussetzungen des Art. 37 Abs. 1 lit. b, c DSGVO erfüllen.

Derzeit bestehen nur die Anforderungen, dass die 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese Voraussetzung soll nun noch verschärft werden, in dem zusätzlich an die Kriterien aus Art. 37 Abs. 1 lit. b und c DSGVO angeknüpft werden soll.

Der Antrag begründet hierzu:

Die zusätzliche Benennungspflicht nach nationalem Recht sollte demnach nur dann bestehen, soweit der Verantwortliche oder Auftragsverarbeiter mindestens 20 Personen beschäftigen, deren Kerntätigkeit in der Durchführung von Verarbeitungstätigkeiten besteht, welche aufgrund ihrer Art, ihres Umfangs und / oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder deren Kerntätigkeit in der umfangreichen Verarbeitung sensibler Daten i.S.d. Art. 9, 10 DSGVO besteht.“

Ziel dieses Vorschlags ist es, kleinere und mittlere Unternehmen zu entlasten.

Ich persönlich sehe solche Forderungen kritisch. Denn nur weil ggfs. die Benennungspflicht entfällt, bedeutet dies natürlich nicht, dass die Unternehmen sich nicht mehr an die DSGVO halten müssen. In der Praxis existiert aber leider die Vorstellung: „Kein DSB erforderlich – Keine Vorgaben aus dem Datenschutzrecht zu beachten“. Das ist natürlich falsch und für die Unternehmen im schlimmsten Fall auch rechtlich gefährlich. Politisch klingt ein solcher Vorschlag freilich super: wir entlasten die Unternehmen (von einer Pflicht…).

Verzeichnis von Verarbeitungstätigkeiten

Zudem schlägt Bayern vor, in die gegebenenfalls zu erstellende Gesetzbegründung den Hinweis aufzunehmen, dass Unternehmen, wenn sie nach (einem neuen) § 38 BDSG keinen Datenschutzbeauftragten benennen müssen, auch kein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO führen müssen.

Auch diesen Vorschlag empfinde ich eher als politisches Geschenk an die wählenden Unternehmen. Denn auch hier gilt: nur, weil ich als Unternehmen evtentuell kein Verzeichnis führen muss, muss ich dennoch die übrigen Pflichten der DSGVO einhalten. UND: das Verzeichnis ist in der Praxis eine extrem relevante Hilfe bei der Erfüllung weiterer Pflichten, wie etwa jener zur Informationserteilung nach Art. 13, 14 DSGVO oder auch zur Erfüllung von Auskunftsanträgen nach Art. 15 DSGVO. Fällt die Pflicht für das Verzeichnis weg, steht das Unternehmen im Zweifel „nackig“, ohne Übersicht zu seinen Datenverarbeitungen da, wenn der erste Betroffene Auskunft über seine Daten, die Empfänger etc. verlangt.

Institutionalisierung der DSK

Auch zur Zukunft der DSK enthält der Entwurf eine Position. So wird die Auffassung des BMI aus seinem Bericht geteilt, dass eine Regelung im BDSG

zur weitergehenden Institutionalisierung der DSK wegen des Verbots der Mischverwaltung an verfassungsrechtliche Grenzen stößt.“

Zudem schlägt Bayern vor, sich gegen Befugnisse der DSK zu verbindlichen Entscheidungen über Auslegungsmaximen des Datenschutzrechts und Angelegenheiten des Datenschutzes auszusprechen.

Berliner Datenschutzbeauftragte: Verfassung von Berlin ist wegen fehlender Unabhängigkeit der Datenschutzbehörde europarechtswidrig

Die in der Verfassung von Berlin niedergelegte Dienstaufsicht des Präsidenten des Abgeordnetenhauses von Berlin über die Berliner Datenschutzbeauftragte verstößt gegen Europarecht. Diese Ansicht vertritt die Berliner Datenschutzbeauftragte in ihrem aktuellen Jahresbericht (pdf, S. 202 ff)

Diese sehr klar Positionierung ist, soweit ersichtlich, bislang noch nicht öffentlich kommentiert oder diskutiert worden, birgt jedoch durchaus Konfliktpotential. Beispielsweise könnte die Europäische Kommission aufgrund der aktuellen Regelung ein Vertragsverletzungsverfahren gegen Deutschland einleiten.

Derzeit lautet Art. 47 Abs. 1 Verfassung von Berlin (VvB) wie folgt:

Zur Wahrung des Rechts der informationellen Selbstbestimmung wählt das Abgeordnetenhaus einen Datenschutzbeauftragten. Er wird vom Präsidenten des Abgeordnetenhauses ernannt und unterliegt dessen Dienstaufsicht.

Art. 52 Abs. 1 DSGVO sieht vor, dass jede Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse völlig unabhängig handelt. Nach Ansicht der BlnBfDI wird diese Vorgabe noch durch Art. 52 Abs. 2 DSGVO konkretisiert.

Das Mitglied oder die Mitglieder jeder Aufsichtsbehörde unterliegen bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse gemäß dieser Verordnung weder direkter noch indirekter Beeinflussung von außen und ersuchen weder um Weisung noch nehmen sie Weisungen entgegen“.

Die BlnBfDI begründet ihre Ansicht insbesondere mit Verweisen auf das europäische Primärrecht sowie die Rechtsprechung des EuGH zur Unabhängigkeit der Datenschutzbehörden (noch zur alten EU Datenschutz-Richtlinie).

Nach Art. 16 Abs. 2 S. 2 AEUV wird die Einhaltung der Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten von unabhängigen Behörden überwacht. Ähnliches sieht auch Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union vor:

Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

In seinem Urteil vom 9. März 2010 (C-518/07) hatte sich der EuGH mit der entsprechenden Vorgabe zur Unabhängigkeit der Aufsichtsbehörden unter Geltung der EU Datenschutz-Richtlinie befasst (Art. 28 Abs. 1 RL 95/46). Dieser lautete:

Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen. Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.“

Der EuGH befand, dass die staatliche Aufsicht gleich welcher Art es der Regierung des betroffenen Landes oder einer Stelle der ihr untergeordneten Verwaltung grundsätzlich ermöglicht, auf Entscheidungen der Kontrollstellen unmittelbar oder mittelbar Einfluss zu nehmen bzw. diese Entscheidungen aufzuheben und zu ersetzen.

Zwar mag es sein, dass die staatliche Aufsicht nur sicherstellen soll, dass das Handeln der Kontrollstellen den geltenden nationalen und gemeinschaftsrechtlichen Bestimmungen entspricht, und demnach nicht darauf abzielt, diese Stellen dazu zu zwingen, politische Zielsetzungen zu verfolgen, die dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den Grundrechten zuwiderlaufen.

Jedoch, so der EuGH, lasse sich nicht ausschließen, dass die Aufsichtsstellen, die Teil der allgemeinen Staatsverwaltung und damit der Regierung des jeweiligen Landes unterstellt sind, nicht zu objektivem Vorgehen in der Lage sind, wenn sie die Vorschriften über die Verarbeitung personenbezogener Daten auslegen und anwenden. Hinzu kommt, dass bereits die bloße Gefahr einer politischen Einflussnahme der Aufsichtsbehörden auf die Entscheidungen der Kontrollstellen ausreicht, um deren unabhängige Wahrnehmung ihrer Aufgaben zu beeinträchtigen.

Nach Ansicht der BlnBfDI ermöglicht eine staatliche Aufsicht „gleich welcher Art“ jedoch eine solche Einflussnahme. Selbst wenn die Aufsicht einer übergeordneten Stelle in der Praxis regelmäßig nicht zu konkreten Weisungen an die Aufsichtsbehörden führe, reiche die bloße Gefahr einer politischen Einflussnahme, um deren unabhängige Aufgabenwahrnehmung zu beeinträchtigen.

Da Art. 47 Abs. 1 Verfassung von Berlin eine Dienstaufsicht über die BlnBfDI vorsieht, verstoße diese Vorschrift gegen die europäischen Vorgaben.

Die in der Berliner Verfassung noch immer geregelte Dienstaufsicht der Berliner Beauftragten für Datenschutz und Informationsfreiheit durch den Präsidenten des Abgeordnetenhauses verstößt gegen Art. 52 Abs. 1 und 2 DS-GVO.

Zudem weist die BlnBfDI darauf hin, dass Art. 52 DSGVO auf nationaler Ebene unmittelbar anwendbares Unionsrecht darstellen und somit dem nationalen Recht vorrangig anzuwenden sind. Die Folge eines Verstoßes des Landes Berlin gegen die DSGVO kann etwa die Einleitung eines Vertragsverletzungsverfahrens gegen Deutschland sein.

Interessant ist hier zudem ein weiterer Hinweis der BlnBfDI:

Im Fall von Verstößen der Mitgliedsstaaten gegen Art. 52 DS-GVO können sich die Aufsichtsbehörden unmittelbar auf die DS-GVO berufen und gerichtlichen Rechtsschutz suchen.

Die BlnBfDI deutet hier also an, dass sie eventuell selbst gegen die aus ihrer Sicht europarechtswidrige Regelung vorgehen möchte. Zuletzt schlägt die BlnBfDI auch einen neuen Text für Art. 47 Abs. 1 VvB vor.

Kaum beachtet: Bundestag beschließt Anpassungen vieler Spezialgesetze an die Datenschutz-Grundverordnung

In den letzten Monaten wurde öffentlich vor allen Dingen über die Anpassung des nationalen Datenschutzrechts an die Datenschutz-Grundverordnung im Zuge der Schaffung eines neuen BDSG berichtet und diskutiert. Relativ geräuschlos hat der Bundestag jedoch zudem am 1. Juni über einen Änderungsantrag (BT Drs. 18/12611, pdf) von CDU/CSU und SPD im Ausschuss für Arbeit und Soziales abgestimmt und weitreichende Änderungen in vielen Spezialgesetzen zur Anpassung bestehender gesetzlicher Vorgaben an die Datenschutz-Grundverordnung beschlossen.

Die durch den Änderungsantrag betroffenen Gesetze sind die folgenden:

  • Handelsgesetzbuch
  • Genossenschaftsgesetz
  • Patentgesetz
  • Gebrauchsmustergesetz
  • Markengesetz
  • Halbleiterschutzgesetz
  • Urheberrechtsgesetz
  • Verwertungsgesellschaftengesetz
  • Designgesetz
  • Finanzverwaltungsgesetz
  • Abgabenordnung
  • Zehntes Buch Sozialgesetzbuch

Insbesondere werden durch die Änderungen die Betroffenenrechte in den Artikel 12 – 22 Datenschutz-Grundverordnung beschränkt. Diesbezüglich ausdrücklich festzustellen, dass der deutsche Gesetzgeber nach Artikel 23 Datenschutz Grundverordnung zu einer solchen Beschränkung befugt ist. Die jeweilige Beschränkung muss aber der Sicherstellung eines der in Artikel 23 Abs.1 lit) a bis j) Datenschutz-Grundverordnung genannten Schutzzwecke dienen. Ob die nun beschlossenen Gesetzesänderungen in Gänze den die Vorgaben der Datenschutz-Grundverordnung erfüllen, wird sich erst in Zukunft zeigen. Viele der Änderungen betreffen insbesondere öffentliche Register, in denen personenbezogene Daten enthalten sein können. In diesen Fällen betreffen viele der nun beschlossenen Änderungen die Beschränkung des Auskunftsrechts betroffener Personen.

Die nun durch den Bundestag verabschiedeten Anpassungen sind aber nur ein kleiner Ausschnitt jener spezialgesetzlicher Regelungen in Deutschland, die aufgrund der Anwendbarkeit der Datenschutz-Grundverordnung ab 25. Mai 2018 geprüft und ggf. angepasst werden müssen.

Anhörung im Innenausschuss des Bundestages – Meine Stellungnahme zum BDSG-E

Am 27. März 2017 habe ich die Ehre als Sachverständiger im Innenausschuss des Bundestages zu dem Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) sprechen zu dürfen. Darüber freue ich mich sehr.

Meine Stellungnahme, in der ich (aufgrund der knappen Bearbeitungszeit) nur einige Themen anschneiden konnte, kann man über die Seite des Innenausschusses herunterladen (PDF).

Schwerpunktmäßig geht es natürlich um die Anpassung des BDSG an die Vorgaben der Datenschutz-Grundverordnung. In einem allgemeinen Teil gehe ich aber auch auf die europäischen Vorgaben zur Anpassung des deutschen Rechts ein und stelle meine Meinung zu dem Streitpunkt dar, ob nationale Datenschutzbehörden möglicherweise gegen EU-Vorgaben verstoßende nationale Norman nicht anwenden dürfen (oder können). Viel Spass bei der Lektüre.

Für die Anhörung kann man sich noch bis zum 23. März 2017 über die Adresse innenausschuss@bundestag.de anmelden.

Bundesrat: Datenschutz als Eignungskriterium für Carsharinganbieter

Heute hat sich der Bundesrat mit dem Gesetzentwurf der Bundesregierung für ein Gesetz zur Bevorrechtigung des Carsharing (Carsharinggesetz – CsgG, PDF) befasst und über die Empfehlungen der beteiligten Bundesratsausschüsse abgestimmt. Die Empfehlung zum dem Gesetzentwurf findet sich hier (PDF).

Mehrheitlich angenommen wurde im Bundesrat unter anderem der Vorschlag des Ausschusses für Umwelt, Naturschutz und Reaktorsicherheit, nach dem die Bundesregierung prüfen soll, ob der von Anbietern von Carsharingdiensten zu erfüllenden Anforderungskatalog um Kriterium ergänzt werden sollte,

 wonach Carsharinganbieter die Nutzung ihrer Dienstleistungen und Fahrzeuge nicht davon abhängig machen dürfen, dass die Kunden in die Erhebung, Verarbeitung, Verwertung oder Übermittlung von personenbezogenen Daten einwilligen, die für die Durchführung des jeweiligen Mietvertrags bzw. der Rahmenvereinbarung nicht zwingend erforderlich sind (Koppelungsverbot).

Zur Begründung wird ausgeführt, dass das Auswahlverfahren auch dazu genutzt werden sollte, im Rahmen des Mindestleistungsumfangs ein hohes Datenschutzniveau für die Kunden zu gewährleisten und nur solche Anbieter zu begünstigen, die den Kunden die freie Wahl lassen, ob ihre Daten über das für die Vertragsdurchführung Erforderliche hinaus genutzt werden.

Verwiesen wird in diesem Zusammenhang auf das in der Datenschutz-Grundverordnung (DSGVO) angelegte sog. Kopplungsverbot in Art. 7 Abs. 4. Wenn Carsharinganbieter personenbezogene Daten verarbeiten, sind sie ab dem 25. Mai 2018 (ab dann ist die DSGVO anwendbar) zwar ohnehin an die DSGVO gebunden. Würde eine datenschutzrechtliche Einwilligung entgegen den Vorgaben des Art. 7 Abs. 4 DSGVO an die Erfüllung eines Vertrags gekoppelt, wäre die Einwilligung daher nicht freiwillig erteilt, unwirksam und eventuell auch die entsprechende Datenverarbeitung unzulässig. Der Bundesrat möchte jedoch zusätzlich, als Auswahlkriterium für Carsharinganbieter, das Erfordernis aufstellen, dass personenbezogene Daten, die nicht für die Erbringung des Dienstes erforderlich sind, nur dann von dem Anbieter genutzt werden dürfen, wenn die Kunden die freie Wahl haben, ob sie dieser Nutzung von Daten zustimmen. Eine Kopplung der Einwilligung in die Datenverarbeitung mit dem Nutzungsvertrag soll dadurch unterbunden werden.

In der Praxis soll die Prüfung der Erfüllung dieser Voraussetzung durch die „zuständige Behörde“ erfolgen, so die Ausschussempfehlung. Es ist jedoch nicht klar, welche Behörde hier gemeint ist bzw. spricht viel dafür, dass dies nicht die zuständige Datenschutzbehörde, sondern die für die Erteilung der Sondernutzungserlaubnis zuständige Landesbehörde ist, die dann, so die Empfehlung, die dann die entsprechenden Allgemeinen Geschäftsbedingungen bzw. Datenschutzbestimmungen prüfen soll. Ob diese Regelung der Prüfung wirklich glück ist, erscheint zumindest fraglich. Denn bereits unter Datenschutzrechtlern (Berater oder auch Behörden) ist die Auslegung und Interpretation der Vorgaben der DSGVO und auch von Art. 7 Abs. 4 teilweise stark umstritten und die Feststellung einer unzulässigen Kopplung dürfte einer anderen, sachfremden Behörde nicht unbedingt leicht fallen. Zudem stellt sich etwa die Folgefrage, was geschieht, wenn die für die Erteilung der Sondernutzungserlaubnis zuständige Behörde eine Kopplung verneint, im Rahmen einer späteren Prüfung aber z.B. eine Landesdatenschutzbehörde eine Kopplung bejaht.

Datenschutz nach dem Brexit: Vereinigtes Königreich strebt Angemessenheitsbeschluss der EU-Kommission an

Die britische Regierung hat ein Weißbuch für den Plan zum Austritt aus der Europäischen Union veröffentlicht (pdf, Stand: Februar 2017). In dem Weißbuch wird auch knapp das Thema „Datenschutz“ gestreift (S. 45).

In dem Weißbuch erkennt die britische Regierung den besonderen Stellenwert eines Datentransfers für viele Wirtschaftssektoren an. Solange das Vereinigte Königreich noch Teil der Europäischen Union ist, existieren auch keine anderen datenschutzrechtlichen Anforderungen für Unternehmen, wenn diese etwa personenbezogene Daten mit einem Dienstleister in England austauschen möchten, als wenn sie einen Dienstleister im eigenen EU-Mitgliedstaat wählen würden.

Jedoch wird sich datenschutzrechtlich der Status des Vereinigten Königreichs nach dem Brexit ändern: in ein sog. Drittland. An Datentransfers in diese Länder bestehen bekanntlich höhere datenschutzrechtliche Anforderungen. Grundsätzlich dürfen derzeit und auch unter der Datenschutz-Grundverordnung, keine personenbezogene Daten aus der EU in Drittländer übermittelt werden, die nicht über ein angemessenes Schutzniveau für personenbezogene Daten verfügen oder ein anderes besonderes Instrument, wie etwa die EU-Standardvertragsklauseln oder gesetzliche Ausnahmen, nutzen.

Die Angemessenheit des Datenschutzniveaus in einem Drittland wird durch die Europäische Kommission geprüft und bestätigt. Ein Beispiel hierfür ist etwa der Beschluss zum EU-US Datenschutzschild.

Laut dem Weißbuch möchte auch die britische Regierung in Zukunft wohl in den Genuss eines Angemessenheitsbeschlusses der Kommission kommen. Zumindest wird darauf hingewiesen, dass der Kommission diese Befugnis zusteht und die britische Regierung alles dafür tun werde, um die Beständigkeit von Datentransfers zwischen EU-Mitgliedstaaten und dem Vereinigten Königreich zu sichern.

Ob jedoch ein solcher Angemessenheitsbeschluss der Kommission so einfach erlassen wird, darüber kann man zumindest diskutieren. Dies mag verwundern, da das Vereinigte Königreich ja derzeit als Mitgliedstaat der EU qua Gesetz (der Richtlinie 95/46/EG) ein angemessenes Niveau bietet und man hinterfragen könnte, was sich denn groß ändert, wenn doch das nationale Datenschutzrecht wie bisher auch nach dem Brexit erhalten bleibt. Der Grund für eine kritische Diskussion über den Erfolg eines Angemessenheitsbeschlusses findet man jedoch in dem Konstrukt der Kompetenzen der EU. Das europäische Datenschutzrecht und allgemein die EU hat keine Wirkung bzw. keine Befugnis auf dem Gebiet der nationalen Sicherheit, insbesondere der Tätigkeit der Geheimdienste. Selbst wenn man also derzeit die Tätigkeit des britischen GCHQ kritisiert, ändert dies nichts daran, dass im Vereinigten Königreich per se ein angemessenes Datenschutzniveau existiert. Soll die Kommission jedoch das Schutzniveau im Vereinigten Königreich nach dem Brexit prüfen, so sind von dieser Prüfung auch die Tätigkeiten der Sicherheitsbehörden, deren Datenverarbeitungsmaßnahmen und entsprechende Schutzmaßnahmen für EU-Bürger umfasst (vgl. etwa das Urteil des EuGH zu Safe Harbor, C?362/14, Rz. 88). Das Vereinigte Königreich ist in diesem Moment ein Drittland und die Kommission darf (und muss) dann im Rahmen ihrer Kompetenz das Schutzniveau für personenbezogene Daten in Gänze prüfen.

Man darf also auf die Prüfung durch die Kommission gespannt sein.

Datenschutz-Grundverordnung: „Snowden-Klausel“ wird nicht im Vereinigten Königreich gelten

Die sogenannte „Snowden-Klausel“, Art. 43a der zukünftigen Datenschutz-Grundverordnung (deutsche Fassung, pdf) wurde, ursprünglich in noch weitergehende im Umfang, vom Europäischen Parlament in den Text für das zukünftig geltende Datenschutzrecht in Europa eingebracht. Nachdem sich nunmehr das Europäische Parlament und der Rat auf eine gemeinsame Fassung der Datenschutz-Grundverordnung verständigt haben, lautet der finale Text von Art. 43a (vor der amtlichen Übersetzung):

Nach dem Unionsrecht nicht zulässige Übermittlung oder Weitergabe

Urteile eines Gerichts eines Drittlands und Entscheidungen einer Verwaltungsbehörde eines Drittlands, mit denen von einem für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Weitergabe personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.

Dieser Artikel besagt, dass bei Anfragen von Behörden aus Staaten außerhalb des europäischen Wirtschaftsraumes, beispielsweise wenn Strafverfolgungsbehörden oder Geheimdienste personenbezogene Daten zu Betroffenen im Rahmen ihrer Ermittlungen verlangen, eine Weitergabe von personenbezogenen Daten rechtlich nur zulässig ist, wenn hierfür eine internationale Übereinkunft (wie etwa ein Rechtshilfeabkommen) mit den jeweiligen Drittstaat existiert oder die Datenübermittlung durch andere Tatbestände des Kapitels V der Datenschutz-Grundverordnung erlaubt ist.

Am 4. Februar 2016 hat nun die parlamentarische Unterstaatssekretärin im Ministerium für Kultur, Medien und Sport des Vereinigten Königreichs, Baroness Neville-Rolfe, in einer schriftlichen Stellungnahme mitgeteilt, dass das Vereinigte Königreich dem Art. 43a Datenschutz-Grundverordnung und seinem Anwendungsbereich nicht unterworfen sein wird. Das Vereinigte Königreich wird das sog. „opt-in“, also die entsprechende Einwilligung zur Anerkennung der bindenden Wirkung, nicht erteilen. Dass das Vereinigte Königreich hier überhaupt eine Wahlmöglichkeit besitzt und entscheiden kann, ob es an bestimmten Maßnahmen der Europäischen Union gebunden ist oder nicht, ist für den Bereich der Justiz und des Inneren im sog. „opt-in Protokol 21“ (pdf) geregelt.

Als Folge ist das Vereinigte Königreich also nicht an die Vorschrift des Art. 43a Datenschutz-Grundverordnung gebunden. Dies bedeutet freilich auch, dass Anfragen von Behörden und Gerichten aus Staaten außerhalb des europäischen Wirtschaftsraumes sich nicht an diesen Vorgaben messen lassen müssen, wenn sie Auftragsverarbeiter oder für die Verarbeitung Verantwortliche mit Sitz im Vereinigten Königreich betreffen.

Dieser Aspekt ist meines Erachtens eine nicht zu unterschätzende Tatsache mit Blick auf das eigentlich mit der Datenschutz-Grundverordnung angestrebte einheitliche Schutzniveau in der Europäischen Union. Man kann trefflich darüber streiten, ob dies überhaupt bereits aufgrund der vielen Öffnungsklauseln in der Datenschutz-Grundverordnung der Fall ist. Das nun angekündigte Ausbleiben des „opt-ins“ durch das Vereinigte Königreich für Artikel 43a, betrifft jedoch zudem einen ganz zentralen Bereich, nämlich die Frage der Zulässigkeit von Datenübermittlung an ausländische Behörden, über den ja etwa derzeit Microsoft mit der amerikanischen Regierung vor Gerichten streitet. Eine Kette ist bekanntlich immer nur so stark, wie ihr schwächstes Glied.

Strategie automatisiertes und vernetztes Fahren – Neuerungen im Datenschutzrecht?

Heute hat das Bundeskabinett die durch Bundesverkehrsminister Alexander Dobrindt erarbeitete „Strategie automatisiertes und vernetztes Fahren“ beschlossen (PDF). Das mit der Strategie verfolgte Ziel des Bundesverkehrsministers:

Wir wollen unsere Erfolgsgeschichte beim Automobil digital fortschreiben und die Wachstums- und Wohlstandschancen der Mobilität 4.0 nutzen.

In der zu der Veröffentlichung der Strategie herausgegebenen Pressemeldung wurde zum Thema „Datenschutz“ konstatiert:

Neue Vorgaben im Datenschutzrecht?

Die Fahrer automatisierter und vernetzter Fahrzeuge müssen über die Erhebung und Verwertung von Daten informiert werden – und ihre Einwilligung geben. Die Daten gehören dem Nutzer.

Eine solche Ankündigung lies zunächst doch ein wenig aufhorchen. Nicht jene Feststellung, dass die Fahrer in vernetzten Fahrzeugen über stattfindende Datenverarbeitungen aufzuklären sind. Dies ist bereits jetzt gesetzlich vorgeschrieben (§ 4 Abs. 3 BDSG, § 13 Abs. 1 TMG). Doch das formulierte Postulat, dass Fahrer „ihre Einwilligung“ in eine Datenverarbeitung erteilen „müssen“ und die Aussage, „Daten gehören dem Nutzer“, würden in dieser Pauschalität die datenschutzrechtlichen Gegebenheiten und den geltenden Gesetzesrahmen nicht korrekt darstellen bzw. neue Anforderungen an die Datenverarbeitungen schaffen. Die Einwilligung ist derzeit nur eine von mehreren Möglichkeiten, um personenbezogene Daten verarbeiten zu können und „muss“ daher nicht zwingend vorliegen. Die Frage, wem Daten „gehören“, wird seit einiger Zeit im Datenschutzrecht kontrovers diskutiert – ohne, dass es bisher eine befriedigende Antwort darauf gegeben hätte. Dies mag daran liegen, dass ein Besitz oder gar an Eigentum an Daten im Datenschutzrecht nicht vorgesehen ist und daher andere Rechtsgebiete (Zivilrecht, Urheberrecht, etc.) bemüht werden müssen.

Das Datenschutzrecht muss beachtet werden

Betrachtet man nun die beschlossene Strategie selbst, so kann man aus Sicht des Datenschutzrechts feststellen, dass die geltenden Vorgaben erhalten bleiben und es etwa keine (in der Pressemitteilung anklingende) Pflicht zur Einholung der Einwilligung geben soll. Überhaupt nicht eingegangen wird auf das Postulat „Daten gehören dem Nutzer“.

Die Grundsätze des allgemeinen Datenschutzrechts sind zu beachten.

Mit diesem Hinweis beginnt der Abschnitt zum Datenschutz in der Strategie (S. 24 f.). Alles andere hätte auch verwundert.

Verpflichtende Anonymisierung und Pseudonymisierung?

Eine weitere Vorgabe der Strategie unterscheidet sich dann doch in einem bestimmten Punkt von den geltenden gesetzlichen Bestimmungen:

Bei der Erhebung, Verarbeitung und Verknüpfung von Daten müssen verstärkt Techniken zur Anonymisierung und Pseudonymisierung eingesetzt werden.

Die Strategie statuiert ihrem Wortlaut nach eine Pflicht („müssen“) zur Implementierung von Technologien zur Datenvermeidung und zur Verwirklichung des Grundsatzes der Datensparsamkeit. Vergleicht man damit die geltenden gesetzlichen Vorgaben, fällt auf, dass nach § 3a S. 2 BDSG keine generelle Pflicht zur Anonymisierung und Pseudonymisierung besteht. In § 3a S. 2 BDSG heißt es:

Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist.

Anonymisierung und Pseudonymisierung werden also derzeit als eine Art Zielvorgaben ausgegeben und mit dem Aufwand in einem angemessenen Verhältnis stehen. Die Nichtbeachtung dieser Zielvorgabe hat auch keinen direkten Einfluss auf die Rechtmäßigkeit einer Datenverarbeitung. Nach der Formulierung in der Strategie („müssen“), könnte sich dies eventuell ändern. Dies wird man, gerade mit Blick auf die anstehenden Änderungen durch die Datenschutz-Grundverordnung, jedoch abwarten müssen.

Generelle Einwilligungs-Pflicht?

Die Einwilligung muss dabei selektiv möglich und zudem widerruflich sein, soweit es um Funktionen geht, die nicht für das Funktionieren des Fahrzeugs bzw. für die Verkehrssicherheit erforderlich sind.

Die Strategie befasst sich mit den Anforderungen an die datenschutzrechtliche Einwilligung. Diese muss „selektiv“, also für einzelne Datenverarbeitungen getrennt möglich sein. Zudem soll ein Widerruf einer einmal erteilten Einwilligung möglich sein. Auch diese Vorgabe ist keine Neuerung im Vergleich zur geltenden Rechtslage (vgl. etwa § 13 Abs. 2 Nr. 4 TMG), zumindest soweit man das TMG betrachtet. Mit Blick auf das BDSG hat das Bundesarbeitsgericht im Jahre 2014 (Urteil vom 11.12.2014 – Az. 8 AZR 1010/13) entschieden, dass die Erteilung einer zeitlich nicht beschränkten Einwilligung zwar im Grundsatz nicht bedeutet, dass sie unwiderruflich erteilt worden wäre. Allerdings, so das BAG, deute ein Umkehrschluss aus § 28 Abs. 3a S. 1 BDSG darauf hin, dass eine einmal erteilte Einwilligung nicht generell „jederzeit mit Wirkung für die Zukunft widerrufen werden kann„. Eventuell denkt man im BMVI also darüber nach, ein generelles Widerrufsrecht im Datenschutzrecht, zumindest mit Blick auf das vernetzte Auto, einzuführen? Auch dies wird man abwarten müssen.

Festhalten kann man jedoch, dass die Ausführungen der Strategie zur Einwilligung sich einschränkend nur auf Funktionen des „SmartCar“ beziehen, die nicht für das Funktionieren des Fahrzeugs bzw. für die Verkehrssicherheit erforderlich sind. Oder anders: die Einwilligung ist eben nur dann notwendig, wenn nicht bereits ein Kauf-, Leasing- oder auch reiner Nutzungsvertrag über Dienste im Fahrzeug als Grundlage der Datenverarbeitung dient und diese Datenverarbeitung erforderlich ist, um den Vertrag durchzuführen oder Dienstfunktionen zu erbringen. Auch dies entspricht der geltenden Gesetzeslage (vgl. etwa § 28 Abs. 1 S. 1 Nr. 1 BDSG, § 14 Abs. 1 TMG oder § 15 Abs. 1 TMG).

Festzuhalten bleibt also aus Sicht des Datenschutzrechts, dass weit weniger Änderungen in der Strategie angedacht sind, als dies eventuell zunächst den Anschein hatte. Man baut die Einhaltung geltender Prinzipien, die eventuell punktuell angepasst werden könnten. Dabei muss freilich beachtet werden, dass jede Änderung des geltenden Datenschutzrechts nach In Kraft treten der Datenschutz-Grundverordnung auf ihre Daseinsberechtigung (also Vereinbarkeit mit den zukünftigen europäischen Vorgaben) geprüft werden muss.

Datenflüsse beim Softwareeinsatz: Bundestag lehnt erweiterte Transparenzpflicht für Hersteller ab

Der Petitionsausschuss des Bundestages hat eine Online-Petition mit dem Titel „Kundenschutz im Telekommunikationsbereich – Bestätigungsfunktion bei Rücksendung von Daten an Softwarehersteller“ am 2.7.2015 abgeschlossen und den in der Petition aufgestellten Forderungen eine Absage erteilt.

Nach der Petition sollte der Bundestag beschließen,

dass die Hersteller von Software grundsätzlich die Daten, die im Hintergrund an den Hersteller – oder andere Zielsysteme – gesendet werden sollen, auf dem Bildschirm anzeigt und vom Nutzer der Software eine Bestätigung erfolgen muss, bevor diese Daten an den Hersteller – oder andere Zielsysteme – gesendet werden.

In seinem ablehnenden Beschluss (PDF), führt der Petitionsausschuss zunächst an, dass das Datenschutzrecht (und damit verbundene Informationspflichten) überhaupt nur dann Anwendung findet, wenn personenbezogene Daten betroffen sind. Danach befasst sich der Ausschuss mit den rechtlichen Grundlagen, wann personenbezogene Daten im Verhältnis zwischen Softwarenutzer und –hersteller verarbeitet werden dürfen.

Dabei kommen insbesondere § 28 Abs. 1 S. 1 Nr. 1 und Nr. 2 BDSG in Betracht. Insofern weist der Ausschuss darauf hin, dass bei Vorliegen der Voraussetzung eine Datenverarbeitung durch die Softwarehersteller auch ohne (die von der Petition geforderte) Einwilligung erlaubt ist. Jedoch sei auch dafür Sorge getragen, dass personenbezogene Daten nicht ohne Kenntnis der Betroffenen verarbeitet werden. Denn nach § 4 Abs. 2 S. 1 BDSG gelte der Grundsatz der Direkterhebung. Daten sollen also grundsätzlich direkt beim Betroffenen erhoben werden. Zudem soll dieser nach § 4 Abs. 3 S. 1 BDSG von dem Softwarehersteller über dessen Identität, die Zweckbestimmung der Verarbeitung und die Kategorien von Empfängern informiert werden.

Zudem sind nach Auffassung des Ausschusses die benannten Erlaubnistatbestände eng auszulegen. Der Softwarehersteller als verantwortliche Stelle könne nicht frei darüber befinden, welche Daten er zu welchen Zwecken erheben und verwenden möchte. Lediglich die für Vertragserfüllung objektiv erforderlichen Daten dürfen genutzt werden. Zudem müssen nach § 28 Abs. 1 S. 2 BDSG schon bei der Erhebung der Daten die Zwecke konkret festgelegt werden, für die die Daten verarbeitet werden sollen.
Für den Fall, dass einer der Erlaubnistatbestände nicht greift und die Einwilligung des Nutzers eingeholt werden muss, weist der Ausschuss darauf hin, dass diese informiert abgegeben werden muss. Nutzer sind also auf die vorgesehenen Zwecke der Datenverarbeitung hinzuweisen.

In beiden Konstellationen ist nach Auffassung des Ausschusses folglich eine hinreichende Transparenz gewährleistet.

Zuletzt begründet der Ausschuss seine Entscheidung mit dem Verweis auf das Auskunftsrecht (§ 34 BDSG) der Nutzer und die Benachrichtigungspflicht (§ 33 BDSG) der verantwortlichen Stelle, wenn personenbezogene Daten nicht direkt beim Betroffenen erhoben werden. Auch durch diese Instrumente ist gewährleistet, dass interessierte Betroffene in Erfahrung bringen können, welche Daten zu welchen Zwecken verarbeitet werden.

Achtung Webseitenbetreiber: Ab Samstag gelten erhöhte Anforderungen an die technische Sicherheit

Am 25. Juli 2015, also morgen, tritt das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz PDF) in Kraft getreten. Das Gesetz richtet sich zwar insbesondere an die Betreiber Kritischer Infrastrukturen (z.B. von Atomkraftwerken), aber auch Betreiber von Webseiten und Telekommunikationsdiensteanbieter sind betroffen. Das Gesetz legt diesen neue gesetzliche Pflichten zum technischen und organisatorischen Schutz ihrer Angebote auf. Nachfolgend ein grober Überblick zu den Änderungen, die für Webseitenbetreiber gelten:

Nach dem neuen § 13 Abs. 7 Telemediengesetz (TMG), werden die Pflichten für Telemediendiensteanbieter, die ihre Telemedien geschäftsmäßig anbieten, um technische und organisatorische Maßnahmen zum Schutz vor unerlaubten Zugriffen, der personenbezogenen Daten und vor Störungen ergänzt. „Geschäftsmäßig“ ist ein Webangebot dann, wenn es auf einer nachhaltigen Tätigkeit beruht. Die Gesetzesbegründung (S. 34, PDF) zum IT-Sicherheitsgesetz geht davon aus, dass bei einem entgeltlichen Dienst diese Voraussetzung regelmäßig erfüllt ist. Dies soll auch für werbefinanzierte Webseiten gelten.

Maßnahmen, die zu treffen sind
Anbieter einer geschäftsmäßig betriebenen Webseite (also etwa eines Webshops), haben, soweit ihnen dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  • kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen (also Ihre Server und das gesamte Backend) möglich ist (§ 13 Abs. 7 S. 1 Nr. 1 TMG) und

gesichert sind. Diese technischen und organisatorischen Vorkehrungen müssen den Stand der Technik berücksichtigen. Dies bedeutet, dass die Vorkehrungen auf einem aktuellen Stand gehalten und nötigenfalls aktualisiert werden müssen.

Das Gesetz stellt die Umsetzung dieser Maßnahmen unter einen Zumutbarkeitsvorbehalt. Hierdurch soll sichergestellt werden, dass nur solche Vorkehrungen zu treffen sind, deren Kosten in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen. Jeder Webseitenbetreiber wird also prüfen müssen, ob er etwa besonders sensible Daten (z. B. Gesundheitsdaten und Zahlungsinformationen) verarbeitet oder allein mit „normalen“ personenbezogenen Daten in Kontakt kommt und anhand dieser Prüfung dann eventuell neue oder weitere technische Sicherheitsvorkerhungen treffen müssen. Vom Schutzzweck einerseits und den anfallenden Kosten andererseits hängt dann der auf Aufwand ab, den Anbieter betreiben müssen, um entsprechende technische Vorkehrungen umzusetzen. Zu den technischen Vorkehrungen zählt die Gesetzesbegründung beispielhaft die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens oder angemessener Authentifizierungsverfahren.

Es geht dem Gesetzgeber jedoch nicht nur um technische, sondern auch um organisatorische Maßnahmen. Ausdrücklich erwähnt die Gesetzesbegründung als Beispiel für solche Maßnahmen, dass  Vertragspartner (z. B. ein Werbedienstleister, dem Sie Werbeflächen auf Ihrer Webseite eingeräumt haben) zu notwendigen Schutzmaßnahmen zu verpflichten sind.

Und was sind mögliche Folgen bei mangelnder Beaxhtung der neuen Vorgaben?
Nach dem neuen § 16 Abs. 2 Nr. 3 TMG können Verstöße gegen die Vorgaben des § 13 Abs. 7 S. 1 Nr. 1 und Nr. 2 Buchst. a TMG mit einem Bußgeld bis zu 50.000 EUR geahndet werden. Laut der Gesetzesbegrünung ist gerade auch der Einsatz technischer und organisatorischer Maßnahmen durch Diensteanbieter, die nicht den Stand der Technik berücksichtigen, bußgeldbewehrt. Ob es in der Praxis jedoch direkt zu Bußgeldverfahren kommt, ist eine andere Frage.