Strategie automatisiertes und vernetztes Fahren – Neuerungen im Datenschutzrecht?

Heute hat das Bundeskabinett die durch Bundesverkehrsminister Alexander Dobrindt erarbeitete „Strategie automatisiertes und vernetztes Fahren“ beschlossen (PDF). Das mit der Strategie verfolgte Ziel des Bundesverkehrsministers:

Wir wollen unsere Erfolgsgeschichte beim Automobil digital fortschreiben und die Wachstums- und Wohlstandschancen der Mobilität 4.0 nutzen.

In der zu der Veröffentlichung der Strategie herausgegebenen Pressemeldung wurde zum Thema „Datenschutz“ konstatiert:

Neue Vorgaben im Datenschutzrecht?

Die Fahrer automatisierter und vernetzter Fahrzeuge müssen über die Erhebung und Verwertung von Daten informiert werden – und ihre Einwilligung geben. Die Daten gehören dem Nutzer.

Eine solche Ankündigung lies zunächst doch ein wenig aufhorchen. Nicht jene Feststellung, dass die Fahrer in vernetzten Fahrzeugen über stattfindende Datenverarbeitungen aufzuklären sind. Dies ist bereits jetzt gesetzlich vorgeschrieben (§ 4 Abs. 3 BDSG, § 13 Abs. 1 TMG). Doch das formulierte Postulat, dass Fahrer „ihre Einwilligung“ in eine Datenverarbeitung erteilen „müssen“ und die Aussage, „Daten gehören dem Nutzer“, würden in dieser Pauschalität die datenschutzrechtlichen Gegebenheiten und den geltenden Gesetzesrahmen nicht korrekt darstellen bzw. neue Anforderungen an die Datenverarbeitungen schaffen. Die Einwilligung ist derzeit nur eine von mehreren Möglichkeiten, um personenbezogene Daten verarbeiten zu können und „muss“ daher nicht zwingend vorliegen. Die Frage, wem Daten „gehören“, wird seit einiger Zeit im Datenschutzrecht kontrovers diskutiert – ohne, dass es bisher eine befriedigende Antwort darauf gegeben hätte. Dies mag daran liegen, dass ein Besitz oder gar an Eigentum an Daten im Datenschutzrecht nicht vorgesehen ist und daher andere Rechtsgebiete (Zivilrecht, Urheberrecht, etc.) bemüht werden müssen.

Das Datenschutzrecht muss beachtet werden

Betrachtet man nun die beschlossene Strategie selbst, so kann man aus Sicht des Datenschutzrechts feststellen, dass die geltenden Vorgaben erhalten bleiben und es etwa keine (in der Pressemitteilung anklingende) Pflicht zur Einholung der Einwilligung geben soll. Überhaupt nicht eingegangen wird auf das Postulat „Daten gehören dem Nutzer“.

Die Grundsätze des allgemeinen Datenschutzrechts sind zu beachten.

Mit diesem Hinweis beginnt der Abschnitt zum Datenschutz in der Strategie (S. 24 f.). Alles andere hätte auch verwundert.

Verpflichtende Anonymisierung und Pseudonymisierung?

Eine weitere Vorgabe der Strategie unterscheidet sich dann doch in einem bestimmten Punkt von den geltenden gesetzlichen Bestimmungen:

Bei der Erhebung, Verarbeitung und Verknüpfung von Daten müssen verstärkt Techniken zur Anonymisierung und Pseudonymisierung eingesetzt werden.

Die Strategie statuiert ihrem Wortlaut nach eine Pflicht („müssen“) zur Implementierung von Technologien zur Datenvermeidung und zur Verwirklichung des Grundsatzes der Datensparsamkeit. Vergleicht man damit die geltenden gesetzlichen Vorgaben, fällt auf, dass nach § 3a S. 2 BDSG keine generelle Pflicht zur Anonymisierung und Pseudonymisierung besteht. In § 3a S. 2 BDSG heißt es:

Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist.

Anonymisierung und Pseudonymisierung werden also derzeit als eine Art Zielvorgaben ausgegeben und mit dem Aufwand in einem angemessenen Verhältnis stehen. Die Nichtbeachtung dieser Zielvorgabe hat auch keinen direkten Einfluss auf die Rechtmäßigkeit einer Datenverarbeitung. Nach der Formulierung in der Strategie („müssen“), könnte sich dies eventuell ändern. Dies wird man, gerade mit Blick auf die anstehenden Änderungen durch die Datenschutz-Grundverordnung, jedoch abwarten müssen.

Generelle Einwilligungs-Pflicht?

Die Einwilligung muss dabei selektiv möglich und zudem widerruflich sein, soweit es um Funktionen geht, die nicht für das Funktionieren des Fahrzeugs bzw. für die Verkehrssicherheit erforderlich sind.

Die Strategie befasst sich mit den Anforderungen an die datenschutzrechtliche Einwilligung. Diese muss „selektiv“, also für einzelne Datenverarbeitungen getrennt möglich sein. Zudem soll ein Widerruf einer einmal erteilten Einwilligung möglich sein. Auch diese Vorgabe ist keine Neuerung im Vergleich zur geltenden Rechtslage (vgl. etwa § 13 Abs. 2 Nr. 4 TMG), zumindest soweit man das TMG betrachtet. Mit Blick auf das BDSG hat das Bundesarbeitsgericht im Jahre 2014 (Urteil vom 11.12.2014 – Az. 8 AZR 1010/13) entschieden, dass die Erteilung einer zeitlich nicht beschränkten Einwilligung zwar im Grundsatz nicht bedeutet, dass sie unwiderruflich erteilt worden wäre. Allerdings, so das BAG, deute ein Umkehrschluss aus § 28 Abs. 3a S. 1 BDSG darauf hin, dass eine einmal erteilte Einwilligung nicht generell „jederzeit mit Wirkung für die Zukunft widerrufen werden kann„. Eventuell denkt man im BMVI also darüber nach, ein generelles Widerrufsrecht im Datenschutzrecht, zumindest mit Blick auf das vernetzte Auto, einzuführen? Auch dies wird man abwarten müssen.

Festhalten kann man jedoch, dass die Ausführungen der Strategie zur Einwilligung sich einschränkend nur auf Funktionen des „SmartCar“ beziehen, die nicht für das Funktionieren des Fahrzeugs bzw. für die Verkehrssicherheit erforderlich sind. Oder anders: die Einwilligung ist eben nur dann notwendig, wenn nicht bereits ein Kauf-, Leasing- oder auch reiner Nutzungsvertrag über Dienste im Fahrzeug als Grundlage der Datenverarbeitung dient und diese Datenverarbeitung erforderlich ist, um den Vertrag durchzuführen oder Dienstfunktionen zu erbringen. Auch dies entspricht der geltenden Gesetzeslage (vgl. etwa § 28 Abs. 1 S. 1 Nr. 1 BDSG, § 14 Abs. 1 TMG oder § 15 Abs. 1 TMG).

Festzuhalten bleibt also aus Sicht des Datenschutzrechts, dass weit weniger Änderungen in der Strategie angedacht sind, als dies eventuell zunächst den Anschein hatte. Man baut die Einhaltung geltender Prinzipien, die eventuell punktuell angepasst werden könnten. Dabei muss freilich beachtet werden, dass jede Änderung des geltenden Datenschutzrechts nach In Kraft treten der Datenschutz-Grundverordnung auf ihre Daseinsberechtigung (also Vereinbarkeit mit den zukünftigen europäischen Vorgaben) geprüft werden muss.

Datenflüsse beim Softwareeinsatz: Bundestag lehnt erweiterte Transparenzpflicht für Hersteller ab

Der Petitionsausschuss des Bundestages hat eine Online-Petition mit dem Titel „Kundenschutz im Telekommunikationsbereich – Bestätigungsfunktion bei Rücksendung von Daten an Softwarehersteller“ am 2.7.2015 abgeschlossen und den in der Petition aufgestellten Forderungen eine Absage erteilt.

Nach der Petition sollte der Bundestag beschließen,

dass die Hersteller von Software grundsätzlich die Daten, die im Hintergrund an den Hersteller – oder andere Zielsysteme – gesendet werden sollen, auf dem Bildschirm anzeigt und vom Nutzer der Software eine Bestätigung erfolgen muss, bevor diese Daten an den Hersteller – oder andere Zielsysteme – gesendet werden.

In seinem ablehnenden Beschluss (PDF), führt der Petitionsausschuss zunächst an, dass das Datenschutzrecht (und damit verbundene Informationspflichten) überhaupt nur dann Anwendung findet, wenn personenbezogene Daten betroffen sind. Danach befasst sich der Ausschuss mit den rechtlichen Grundlagen, wann personenbezogene Daten im Verhältnis zwischen Softwarenutzer und –hersteller verarbeitet werden dürfen.

Dabei kommen insbesondere § 28 Abs. 1 S. 1 Nr. 1 und Nr. 2 BDSG in Betracht. Insofern weist der Ausschuss darauf hin, dass bei Vorliegen der Voraussetzung eine Datenverarbeitung durch die Softwarehersteller auch ohne (die von der Petition geforderte) Einwilligung erlaubt ist. Jedoch sei auch dafür Sorge getragen, dass personenbezogene Daten nicht ohne Kenntnis der Betroffenen verarbeitet werden. Denn nach § 4 Abs. 2 S. 1 BDSG gelte der Grundsatz der Direkterhebung. Daten sollen also grundsätzlich direkt beim Betroffenen erhoben werden. Zudem soll dieser nach § 4 Abs. 3 S. 1 BDSG von dem Softwarehersteller über dessen Identität, die Zweckbestimmung der Verarbeitung und die Kategorien von Empfängern informiert werden.

Zudem sind nach Auffassung des Ausschusses die benannten Erlaubnistatbestände eng auszulegen. Der Softwarehersteller als verantwortliche Stelle könne nicht frei darüber befinden, welche Daten er zu welchen Zwecken erheben und verwenden möchte. Lediglich die für Vertragserfüllung objektiv erforderlichen Daten dürfen genutzt werden. Zudem müssen nach § 28 Abs. 1 S. 2 BDSG schon bei der Erhebung der Daten die Zwecke konkret festgelegt werden, für die die Daten verarbeitet werden sollen.
Für den Fall, dass einer der Erlaubnistatbestände nicht greift und die Einwilligung des Nutzers eingeholt werden muss, weist der Ausschuss darauf hin, dass diese informiert abgegeben werden muss. Nutzer sind also auf die vorgesehenen Zwecke der Datenverarbeitung hinzuweisen.

In beiden Konstellationen ist nach Auffassung des Ausschusses folglich eine hinreichende Transparenz gewährleistet.

Zuletzt begründet der Ausschuss seine Entscheidung mit dem Verweis auf das Auskunftsrecht (§ 34 BDSG) der Nutzer und die Benachrichtigungspflicht (§ 33 BDSG) der verantwortlichen Stelle, wenn personenbezogene Daten nicht direkt beim Betroffenen erhoben werden. Auch durch diese Instrumente ist gewährleistet, dass interessierte Betroffene in Erfahrung bringen können, welche Daten zu welchen Zwecken verarbeitet werden.

Achtung Webseitenbetreiber: Ab Samstag gelten erhöhte Anforderungen an die technische Sicherheit

Am 25. Juli 2015, also morgen, tritt das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz PDF) in Kraft getreten. Das Gesetz richtet sich zwar insbesondere an die Betreiber Kritischer Infrastrukturen (z.B. von Atomkraftwerken), aber auch Betreiber von Webseiten und Telekommunikationsdiensteanbieter sind betroffen. Das Gesetz legt diesen neue gesetzliche Pflichten zum technischen und organisatorischen Schutz ihrer Angebote auf. Nachfolgend ein grober Überblick zu den Änderungen, die für Webseitenbetreiber gelten:

Nach dem neuen § 13 Abs. 7 Telemediengesetz (TMG), werden die Pflichten für Telemediendiensteanbieter, die ihre Telemedien geschäftsmäßig anbieten, um technische und organisatorische Maßnahmen zum Schutz vor unerlaubten Zugriffen, der personenbezogenen Daten und vor Störungen ergänzt. „Geschäftsmäßig“ ist ein Webangebot dann, wenn es auf einer nachhaltigen Tätigkeit beruht. Die Gesetzesbegründung (S. 34, PDF) zum IT-Sicherheitsgesetz geht davon aus, dass bei einem entgeltlichen Dienst diese Voraussetzung regelmäßig erfüllt ist. Dies soll auch für werbefinanzierte Webseiten gelten.

Maßnahmen, die zu treffen sind
Anbieter einer geschäftsmäßig betriebenen Webseite (also etwa eines Webshops), haben, soweit ihnen dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  • kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen (also Ihre Server und das gesamte Backend) möglich ist (§ 13 Abs. 7 S. 1 Nr. 1 TMG) und

gesichert sind. Diese technischen und organisatorischen Vorkehrungen müssen den Stand der Technik berücksichtigen. Dies bedeutet, dass die Vorkehrungen auf einem aktuellen Stand gehalten und nötigenfalls aktualisiert werden müssen.

Das Gesetz stellt die Umsetzung dieser Maßnahmen unter einen Zumutbarkeitsvorbehalt. Hierdurch soll sichergestellt werden, dass nur solche Vorkehrungen zu treffen sind, deren Kosten in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen. Jeder Webseitenbetreiber wird also prüfen müssen, ob er etwa besonders sensible Daten (z. B. Gesundheitsdaten und Zahlungsinformationen) verarbeitet oder allein mit „normalen“ personenbezogenen Daten in Kontakt kommt und anhand dieser Prüfung dann eventuell neue oder weitere technische Sicherheitsvorkerhungen treffen müssen. Vom Schutzzweck einerseits und den anfallenden Kosten andererseits hängt dann der auf Aufwand ab, den Anbieter betreiben müssen, um entsprechende technische Vorkehrungen umzusetzen. Zu den technischen Vorkehrungen zählt die Gesetzesbegründung beispielhaft die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens oder angemessener Authentifizierungsverfahren.

Es geht dem Gesetzgeber jedoch nicht nur um technische, sondern auch um organisatorische Maßnahmen. Ausdrücklich erwähnt die Gesetzesbegründung als Beispiel für solche Maßnahmen, dass  Vertragspartner (z. B. ein Werbedienstleister, dem Sie Werbeflächen auf Ihrer Webseite eingeräumt haben) zu notwendigen Schutzmaßnahmen zu verpflichten sind.

Und was sind mögliche Folgen bei mangelnder Beaxhtung der neuen Vorgaben?
Nach dem neuen § 16 Abs. 2 Nr. 3 TMG können Verstöße gegen die Vorgaben des § 13 Abs. 7 S. 1 Nr. 1 und Nr. 2 Buchst. a TMG mit einem Bußgeld bis zu 50.000 EUR geahndet werden. Laut der Gesetzesbegrünung ist gerade auch der Einsatz technischer und organisatorischer Maßnahmen durch Diensteanbieter, die nicht den Stand der Technik berücksichtigen, bußgeldbewehrt. Ob es in der Praxis jedoch direkt zu Bußgeldverfahren kommt, ist eine andere Frage.

Datenschutzreform: Deutschland fordert mehr Sicherheit bei internationalen Datentransfers

Wie bereits berichtet, stehen die Verhandlungen im Rat der Europäischen Union zur geplanten Datenschutz-Grundverordnung (DS-GVO) kurz vor ihrer finalen Phase. Im Juni soll der Ministerrat den gemeinsamen Standpunkt beschließen, um danach mit der Kommission und dem europäischen Parlament in die sog. Trilog-Verhandlungen einsteigen zu können.

Die deutsche Delegation möchte die noch verbleibende Zeit für Änderungen am Gesetzestext im Gremium der Mitgliedstaaten offensichtlich so gut wie möglich nutzen und schlägt in einem Arbeitspapier vom 18. Mai 2015 (PDF) in der zuständigen Ratsarbeitsgruppe (Dapix) einige wichtige Änderungen an den geplanten zukünftigen Vorschriften zur Regelung von internationalen Datentransfers vor. Zudem sollen, nach dem Willen Deutschlands, personenbezogene Daten aus Europa besser vor einem unkontrollierten Zugriff durch Behörden aus Drittstaaten geschützt werden.

Anforderungen an einen neuen ‚Safe Harbor‘
Die deutsche Delegation möchte Artikel 41, in dem es um die Voraussetzungen für die Feststellung eines angemessenen Schutzniveaus für personenbezogene Daten in Staaten außerhalb des Europäischen Wirtschaftraums geht, anpassen. Nach geltender und auch derzeit geplanter zukünftiger Rechtslage, dürfen personenbezogene Daten grundsätzlich nicht in Drittstaaten transferiert werden. Es bestehen jedoch Ausnahmen, wie etwa der Abschluss sog. Standardvertragsklauseln oder das Vorliegen eines Angemessenheitsbeschlusses der Kommission, in dem sie einen angemessenen Schutz von personenbezogenen Daten in einem Drittstaat feststellen kann. Dann sind Übermittlungen in dieses Land grundsätzlich erlaubt.

Besonders in der Kritik stand zuletzt der Angemessenheitsbeschluss der Kommission für Datentransfers in die USA, das sog. Safe Harbor-Abkommen (wobei es sich eigentlich nicht um ein internationales Abkommen handelt. Zur Rechtsnatur von Safe Harbor, hatte ich bereits gebloggt).

Deutschland möchte nun besondere Voraussetzungen in der DS-GVO festschreiben, die erfüllt sein sollten, um ein angemessenes Schutzniveau für Daten attestieren zu können. Im Prinzip also eine Art Checkliste für die Kommission. Wenn der Drittstaat eine internationale Vereinbarung zum Datenschutz oder andere internationale Verpflichtungen mit anderen Staaten eingegangen ist, so sollte sich der Drittstaat vor allem dazu verpflichten, dass

  • eine effektive Aufsicht durch Behörden, insbesondere durch die Beteiligung europäischer Datenschutzbehörden, sichergestellt ist, und
  • den Betroffenen muss die Möglichkeit effektiver Rechtsschutzmechanismen eröffnet werden.

Diese Forderungen sind nicht unkritisch. Handelt es sich doch gerade bei dem letzten Punkt um jenes Thema, welches sowohl im Rahmen der derzeitigen Verhandlungen zur Überarbeitung von Safe Harbor als auch im Rahmen des EU-US Datenschutzabkommens für den Bereich der Justiz und Strafverfolgung für den meisten Diskussionsstoff sorgt.

Eingeschränkte Anti-FISA-Klausel
Zudem schlägt die deutsche Delegation die (Wieder-)Einführung der sog. „Anti-FISA-Klausel“ vor (neuer Artikel 42a). Zumindest eingeschränkt.

Hierbei handelt es sich um eine Bestimmung, welche die Weitergabe von Daten aus Europa auf Verlangen von Gerichten und Behörden aus Drittstaaten grundsätzlich verbieten und von der Zustimmung europäischer Datenschutzbehörden abhängig machen soll. Im ersten offiziellen Entwurf der DS-GVO war diese Klausel nicht enthalten. In einer früheren inoffiziellen Fassung existierte sie noch.

Das Europäische Parlament hat die Wiedereinführung dieser Klausel ebenfalls im Rahmen seiner Stellungnahme zur DS-GVO im März 2014 gefordert (dort Artikel 43a).

Im Unterschied zum Vorschlag des Parlaments möchte Deutschland das Weitergabeverbot von Daten an Behörden aus Drittstaaten jedoch dann nicht zur Anwendung bringen, wenn diese Anfragen im Rahmen von Rechtshilfeabkommen oder anderer internationaler Vereinbarung erfolgen. Zudem soll eine Autorisierung durch eine europäische Datenschutzbehörde dann nicht erforderlich sein, wenn die Datenweitergabe dem Zweck der Aufklärung oder Verfolgung von Straftaten dient. Das Parlament sah entsprechende Ausnahmen nicht vor.

Fazit
Salopp ausgedrückt, gibt Deutschland auf den letzten Metern der Verhandlungen zur DS-GVO noch einmal Gas. Dies vor allem im Sinne einer Erhöhung der Anforderungen an den Schutz von personenbezogenen Daten. Leider stand das deutsche Verhalten im Rat in den letzten Monaten öffentlich eher in der Kritik. Vielleicht wird ja nun auch einmal über positive Vorstöße berichtet.

Digitaler Binnenmarkt: EU-Kommission plant umfassende Reformen

In dieser Woche wurden zwei Entwurfsdokumente der Europäischen Kommission geleaked, die ambitionierte Ideen für Reformen auf dem digitalen Binnenmarkt in Europa erkennen lassen.

Hier die Links zu den beiden Dokumenten:
Digital Single Market: The Evidence
A Digital Single Market Strategy for Europe

Betroffen von den vorgeschlagenen Reformen wären sowohl der Verbraucherschutz, der E-Commerce, das Urheberrecht oder auch das Datenschutzrecht. Ich möchte mich auf einige Aspekte beschränken.

Illegale Inhalte im Internet
Die Kommission verweist bei der Frage der rechtlichen Grundlage zum Vorgehen gegen illegale Inhalte im Internet auf die derzeitigen Vorgaben der e-Commerce-Richtlinie. Nach dieser sind Intermediäre für fremde Inhalte grundsätzlich nicht selbst verantwortlich, müssen jedoch tätig werden, wenn sie von rechtswidrigen Inhalten erfahren. Die Kommission sieht hier Probleme bei der Rechtedurchsetzung, insbesondere könne der Prozess zum Löschen rechtswidriger Inhalte lange dauern und intransparent sein. Zudem sei oft nicht klar, wann Internet-Intermediäre von einer passiven Rolle (etwa des Hosters) in eine aktive Rolle schlüpfen und damit selbst für Inhalte verantwortlich sind. Die Kommission plant daher, weitere Initiativen zum Vorgehen gegen rechtswidrige Informationen im Netz vorzustellen und genauere Vorgaben für Sorgfaltspflichten von Intermediären aufzustellen.

Umgang mit personenbezogenen Daten
Datensicherheit spielt für die Kommission eine wichtige Rolle, wenn es um das Vertrauen der Bevölkerung in das Internet und den Umgang mit Daten geht. Es bestünden derzeit noch große Lücken bei dem Angebot an passenden Technologien und Lösungen, um Sicherheit in Netzwerken herstellen zu können. Zudem möchte die Kommission in Zukunft die Auswirkungen der Nutzung personenbezogener Daten für unterschiedliche Zwecke durch Internetdiensteanbieter untersuchen. Dieser Aspekt gehört zu einer großen geplanten Untersuchung des Marktes der Diensteanbieter im Internet.
Der Mitteilungsentwurf verweist auch auf die geplante Datenschutz-Grundverordnung. Die gesetzlichen Regelungen, welche durch diese aufgestellt werden, betreffen jedoch nicht spezialgesetzliche Vorgaben zum Umgang mit personenbezogenen Daten, etwa im Bereich der elektronischen Kommunikationsdienste (e-privacy-Richtlinie). Diese speziellen Gesetze sollen nach Verabschiedung der Datenschutz-Grundverordnung überprüft und eventuell reformiert werden.

Aufbau einer „Data Economy“
Die Kommission sieht (gesetzgeberischen) Handlungsbedarf in den „datengetriebenen“ Wirtschaftszweigen, insbesondere wo es um Big Data, Cloud-Dienste, Open Data und Fragen des Eigentums an Daten geht. Um die neu entstehenden, auf Daten beruhenden Technologien zu nutzen, möchte die Kommission die derzeit bestehenden Hindernisse beseitigen, welche einen freien Fluss von Daten innerhalb der EU verhindern. Nach Ansicht der Kommission müssen die Anbieter von „Datendiensten“ derzeit mit verschiedenen Schwierigkeiten kämpfen, unter anderem Anforderungen an eine Speicherung von Daten allein in einem bestimmten Land oder auch Anforderungen der Verschlüsselung. Die Kommission möchte daher eine „Freier Fluss von Daten“-Initiative anstoßen, welche sich der Beseitigung nationaler Vorgaben zur lokalen Speicherung von Daten und zur verpflichtenden Errichtung von Serverfarmen in einem bestimmten Land widmet. Dies gerade auch mit Blick auf den Bereich des Cloud-Computing.

Am Ende des Dokuments „A Digital Single Market Strategy for Europe“ findet sich noch eine Roadmap, auf der die jeweiligen Themen aufgelistet sind und ihnen Jahre zugeordnet werden, wann hier von Seiten der Kommission mit einer Initiative gerechnet wird.

Empfehlung im Bundesrat: Mehr Einsatz für den Schutz von Beschäftigtendaten

Am 27. März 2015 wird der Bundesrat erneut tagen. Auf der Tagesordnung wird auch die Stellungnahme des Bundesrates zum Jahreswirtschaftsbericht 2015 der Bundesregierung (BT-Drs. 18/3840, PDF) stehen.

Der im Bundesrat für die Beratung zu dem Jahreswirtschaftsbericht 2015 federführend verantwortliche Wirtschaftsausschuss möchte dem Bundesrat empfehlen, dass sich die Bundesregierung in den Verhandlungen um die Datenschutz-Grundverordnung im Rat der Europäischen Union verstärkt für die Berücksichtigung der Belange der Arbeitnehmer in einer digitalisierten Arbeitswelt einzusetzen. Dies geht aus der Empfehlung des Wirtschaftsausschusses (BR-Drs. 31/1/15, PDF) vom 13. März 2015 hervor.

Danach empfiehlt der Ausschuss dem Bundesrat festzustellen, dass

mit einer stärkeren Digitalisierung das Potenzial für neue Arbeitsplätze in Industrie, Dienstleistung und Handel besteht.

Gleichzeitig weist die Empfehlung des Wirtschaftsausschusses jedoch auch auf Risiken einer verstärkten Digitalisierung des Arbeitsmarktes hin. Nach Ansicht der Verfasser der Empfehlung bestehen diese vor allem in einer Schwächung der betrieblichen Mitbestimmung und in einem Missbrauch von Beschäftigtendaten, der verhindert werden müsse.

Nach der Empfehlung des Wirtschaftsausschusses soll der Bundesrat die Bundesregierung in diesem Zusammenhang darum bitten,

sich darüber hinaus im Europäischen Rat für die Berücksichtigung der Belange im Rahmen der Beratung und Beschlussfassung hinsichtlich einer Datenschutz-Grundverordnung und der Gestaltung des Digitalen Binnenmarktes einzusetzen.

USA: Obama kündigt neue Gesetze zur IT-Sicherheit und zum Datenschutz an

Im Rahmen eines Besuchs bei der amerikanischen Federal Trade Commission (FTC), hat Präsident Obama mehrere Initiativen angekündigt, um zukünftig sowohl die IT-Sicherheit bei Unternehmen und Behörden zu erhöhen als auch den Schutz personenbezogener Daten in den USA zu stärken.

Zu den vorgeschlagenen Initiativen und Maßnahmen hat das Weiße Haus ein übersichtliches „Fact Sheet“ veröffentlicht.

Datensicherheit
So beinhaltet das Maßnahmenpaket unter anderem den Gesetzesvorschlag für den „Personal Data Notification & Protection Act“. Dieser Vorschlag hat vor allem die Datensicherheit und ganz konkret Sicherheitsverletzungen im Auge. Mit dem Gesetz sollen die Pflichten von Unternehmen im Fall der Verlustes oder widerrechtlichen Zugriffs auf Daten klarer gefasst werden. Kunden sollen danach innerhalb von 30 Tagen benachrichtigt werden, wenn es zu einer Sicherheitsverletzung kommt. Auf der anderen Seite sollen die Neureglungen einen einheitlichen, nationalen Standard und damit eine Erleichterung in der täglichen Praxis für Unternehmen darstellen.

Datenschutz bei Schülern
Anders als in Europa wird in den USA der Datenschutz sektoral geregelt. Es gibt also spezielle Gesetze, welche den Umgang mit personenbezogenen Daten in einer besonderen Situation oder etwa in einem Wirtschaftszweig regeln. Präsident Obama kündigt den Entwurf für ein neues Gesetz an, welches den Schutz von personenbezogenen Daten sicherstellen soll, die im Zusammenhang mit dem Unterricht an Schulen und Bildungseinrichtungen erhoben wurden. Der „Student Digital Privacy Act“. Danach soll es Unternehmen verboten werden, personenbezogene Daten von Schülern oder Studenten an Dritte zu anderen Zweck zu verkaufen, die nicht mit dem Bildungsauftrag im Zusammenhang stehen. Auch personalisierte Werbung auf der Grundlage der im Zusammenhang mit der Ausbildung und dem Unterricht erhobenen Daten soll ausgeschlossen werden. Dennoch soll eine Datenverarbeitung für wichtige Forschungsinitiativen, etwa um die Lernergebnisse zu verbessern, möglich sein. Auch die Anstrengungen von Unternehmen zur kontinuierlichen Verbesserung der Wirksamkeit technischer Lernmittel und hiermit im Zusammenhang stehende Datenverarbeitungen sollen nicht behindert werden.

Verbraucherschutz im Internet
Daneben möchte Präsident Obama wichtige Grundprinzipien bei dem Umgang mit personenbezogenen Daten von Nutzern im Internet gesetzlich festschreiben. Hierzu soll auf der bereits im Jahr 2012 vorgestellten „Consumer Privacy Bill of Rights“ (PDF) aufgebaut werden. Zu den Grundprinzipien der Datenverarbeitung gehören nach diesem Gesetzesvorschlag u. a. die individuelle Kontrolle über personenbezogene Daten, die Transparenz in Bezug auf die Erhobenen Daten und deren Verwendung sowie eine Zweckbestimmung der Datenverarbeitung, dass also Daten nicht für gänzlich andere bzw. mit dem Erhebungszweck unvereinbare Zwecke genutzt werden. Diese Prinzipien sind den Europäern aus der geltenden Datenschutzrichtlinie und den nationalen Gesetzen bereits bekannt. Nach einer Phase der öffentlichen Konsultation zu einem überarbeiteten Gesetzesentwurf soll dieser neue Gesetzestext in den USA nun innerhalb von 45 Tagen vorgestellt werden.

Bundesregierung zu Google’s Marktmacht: Geschäftspraxis grundsätzlich nicht verboten

Die Diskussion um eine marktbeherrschende Stellung von Google in Europa bzw. Deutschland und mögliche kartellrechtliche Konsequenzen, diente der Fraktion Bündnis 90/Die Grünen im deutschen Bundestag für eine kleine Anfrage an die Bundesregierung. Die Antwort vom 11. September 2014 ist nun online abrufbar (BT-Drs. 18/2520, PDF).

Wirklich neue oder überraschende Aussagen trifft die Bundesregierung in ihrer Antwort nicht. Dennoch lohnt sich für jeden interessierten Leser, der sich mit dem Themenkomplex rund um Google, seiner wirtschaftliche Position in Europa und den kartellrechtlichen Implikationen befasst, eine Lektüre.

Die Bundesregierung stellt in ihrer Antwort zunächst klar: „Auch marktbeherrschenden Unternehmen ist es erlaubt, in verschiedenen Geschäftsfeldern tätig zu sein.“

Danach wird in aller Kürze dargelegt, wann eine marktbeherrschende Stellung unter dem Kartellrecht angegriffen werden könnte. Daneben verweist die Bundesregierung auch auf das Gesetz gegen den unlauteren Wettbewerb (UWG), welches eine Tätigkeit in mehreren Geschäftsfeldern ebenfalls nicht grundsätzlich verbietet, solange die Vorgaben des Gesetzes beachtet werden. Ein Verstoß gegen das Wettbewerbsrecht könnte z. B. dann vorliegen, wenn Mitbewerber gezielt behindert oder irreführende (Werbe-)Aussagen getroffen werden.

Zu einer möglichen Reform des nationalen und europäischen Kartellrechts, besonders mit Blick auf das Internet, äußert sich die Bundesregierung zurückhaltend. Derzeit biete dies

grundsätzlich ein ausreichendes Instrumentarium, um einem
missbräuchlichen Verhalten marktbeherrschender Internetplattformen zu begegnen.

Von Interesse könnte dann noch die Antwort der Bundesregierung auf die Frage sein, was Bundeswirtschaftsminister Gabriel in seinem Beitrag in der FAZ mit einer „kartellrechtsähnlichen Regulierung von Internetplattformen“ meinte. Hierzu gibt die Bundesregierung in ihrer Antwort an, dass für den Fall,

dass auch in Anbetracht des laufenden Kartellverfahrens der Europäischen Kommission gegen Google Probleme fortbestehen, die als nicht hinnehmbar zu bewerten sind,

die Bundesregierung die Notwendigkeit einer Anpassung oder Modifizierung der verfügbaren kartellrechtlichen Instrumente prüfen wird.

Dies schließt die Frage ein, wie die Diskriminierung von Wettbewerbern durch marktbeherrschende Internet-Plattformbetreiber verhindert und ein diskriminierungsfreier Zugang zu Distributionswegen und Inhalten sichergestellt werden können.

Häufiger wurde durch Politiker in der Öffentlichkeit auch laut über eine „Zerschlagung“ des amerikanischen Unternehmens nachgedacht. Die Bundesregierung weist darauf hin, dass eine Entflechtung von Unternehmen bereits nach dem geltenden deutschen und europäischen Kartellrecht als Sanktion für ein verbotenes Verhalten in Betracht kommt,

wenn keine wirksameren Maßnahmen für die Abstellung des Verhaltens zur Verfügung stehen (ultima ratio). Für die Anordnung sind die Kartellbehörden zuständig.

Nach einem tatsächlich bestehenden Aktionsplan klingt diese Aussage zumindest nicht. Vor diesem Hintergrund sei auch noch einmal auf das im Juli 2014 erschienene Hauptgutachten der Monopolkommission hingewiesen (mein Beitrag hierzu). Die Monopolkommission sprach sich dort für eine Versachlichung der Debatte aus und äußerte auch Zweifel an öffentlichen Behauptungen, wie etwa dass es sich bei den derzeit bestehenden Internetsuchmaschinen oder sozialen Netzwerken um „wesentliche Einrichtungen“ im Sinne des Kartellrechts handele.

Die Bundesregierung verweist in ihrer Antwort zumeist auf das laufende Kartellverfahren bei der Europäischen Kommission gegen Google. Von dessen Ausgang scheint sie maßgeblich weitere eigene Schritte abhängig zu machen wollen. Zumindest scheint die deutsche Regierung, ganz im Sinne der Monopolkommission, eine Versachlichung der Debatte anzustreben und vorerst keine nationalen Alleingänge betreiben zu wollen.

Hausaufgaben für den neuen Digitalkommisar – Datenschutz und Cookies

Der designierte Kommissionspräsident Jean Claude Juncker hat am 10. September die Verteilung der Zuständigkeiten in seinem Team und die Arbeitsorganisation der neuen Kommission bekanntgegeben. Eine Überraschung wär die Auswahl von Günther Oettinger als neuen Kommissar für digitale Wirtschaft und Gesellschaft. Über die Personalie an sich möchte ich hier nicht diskutieren, sondern auf eine Art Hausaufgabenheft hinweisen, welches Herrn Oettinger aufgegeben wurde (hier als PDF).

Dort legt Herr Juncker dar, was er von seinem Kommissar in den nächsten Jahren im Bereich digitalen Wirtschaft erwartet. Mit Blick auf das Datenschutzrecht von Interesse dürften folgende beide Anforderungen sein:

Die zuständigen Vize-presidentem der Kommission bei einer raschen Umsetzung der geplanten Datenschutz-Grundverordnung zu unterstützen. Die Verhandlungen sollen im Jahr 2015 abgeschlossen werden.

Nach dem Abschluss dieser Reform des Datenschutzrechts soll Herr Oettinger eine Reform der sog. e-Privacy Richtlinie (RL 2002/58/EG, in Deutschland auch bekannt als Cookie-Richtlinie) anstoßen und vorbereiten.

Die Regelungen der Cookie-Richtlinie (insbesondere zur Einwilligung) stellen seit Jahren den Gegenstand juristischer Diskussionen dar. Zuletzt überraschte die Meldung, dass Deutschland die Änderungen der e-Privacy Richtlinie (hin zu einem Opt-in bei der Datenverarbeitung über Cookies) bereits im TMG umgesetzt habe (hierzu der Beitrag von Adrian Schneider bei Telemedicus).

Man darf gespannt sein, welche Neuerungen Herr Oettinger vorschlagen wird, nicht nur bezogen auf die Thematik „Einwilligung und Cookies“.

Hausaufgaben für den neuen Digitalkommisar – Datenschutz und Cookies

Der designierte Kommissionspräsident Jean Claude Juncker hat am 10. September die Verteilung der Zuständigkeiten in seinem Team und die Arbeitsorganisation der neuen Kommission bekanntgegeben. Eine Überraschung wär die Auswahl von Günther Oettinger als neuen Kommissar für digitale Wirtschaft und Gesellschaft. Über die Personalie an sich möchte ich hier nicht diskutieren, sondern auf eine Art Hausaufgabenheft hinweisen, welches Herrn Oettinger aufgegeben wurde (hier als PDF).

Dort legt Herr Juncker dar, was er von seinem Kommissar in den nächsten Jahren im Bereich digitalen Wirtschaft erwartet. Mit Blick auf das Datenschutzrecht von Interesse dürften folgende beide Anforderungen sein:

Die zuständigen Vize-presidentem der Kommission bei einer raschen Umsetzung der geplanten Datenschutz-Grundverordnung zu unterstützen. Die Verhandlungen sollen im Jahr 2015 abgeschlossen werden.

Nach dem Abschluss dieser Reform des Datenschutzrechts soll Herr Oettinger eine Reform der sog. e-Privacy Richtlinie (RL 2002/58/EG, in Deutschland auch bekannt als Cookie-Richtlinie) anstoßen und vorbereiten.

Die Regelungen der Cookie-Richtlinie (insbesondere zur Einwilligung) stellen seit Jahren den Gegenstand juristischer Diskussionen dar. Zuletzt überraschte die Meldung, dass Deutschland die Änderungen der e-Privacy Richtlinie (hin zu einem Opt-in bei der Datenverarbeitung über Cookies) bereits im TMG umgesetzt habe (hierzu der Beitrag von Adrian Schneider bei Telemedicus).

Man darf gespannt sein, welche Neuerungen Herr Oettinger vorschlagen wird, nicht nur bezogen auf die Thematik „Einwilligung und Cookies“.